In data 2 luglio 2024 è stata pubblicata in Gazzetta Ufficiale la Legge n. 90 del 28 giugno 2024 con “Disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici”, che apporta modifiche al D.Lgs. 231/2001.
L’art. 20 della Legge Cybersicurezza interviene infatti sul catalogo dei reati presupposto della responsabilità amministrativa degli enti, contemplato dall’art. 24-bis del D.Lgs. 231/2001, in quanto:
- vengono aumentate le sanzioni previste al comma 1 che passano dalla cornice edittale compresa tra cento e cinquecento quote, a quella compresa tra duecento e settecento quote;
- viene introdotto nell’art. 24-bis il nuovo comma 1-bis: si applicherà all’ente la sanzione pecuniaria da trecento a ottocento quote in relazione alla commissione della nuova fattispecie di estorsione informatica di cui all’art. 629, terzo comma, C.P.;
- viene modificato il comma 2 dell’art. 24-bis, elevando la sanzione pecuniaria sino a quattrocento quote, e sostituendo tra i reati presupposto per i quali è prevista l’applicazione all’ente della sanzione pecuniaria suddetta il riferimento all’art. 615-quinquies c.p. (abrogato dall’art. 16, lettera d) della presente Legge), con il richiamo al nuovo delitto di detenzione, diffusione e installazione abusiva di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico, di cui all’art. 635-quater.1;
- viene integrato il comma 4: nei casi di condanna per il delitto indicato nel comma 1-bis si applicheranno le sanzioni interdittive previste dall’art. 9, comma 2, per una durata non inferiore a due anni.
In merito al nuovo terzo comma dell’art. 629 del C.P. si configura il reato di estorsione informatica nell’azione di «Chiunque, mediante le condotte di cui agli articoli 615 -ter , 617 -quater , 617 -sexies , 635 -bis , 635 -quater e 635 -quinquies ovvero con la minaccia di compierle, costringe taluno a fare o ad omettere qualche cosa, procurando a sé o ad altri un ingiusto profitto con altrui danno, è punito con la reclusione da sei a dodici anni e con la multa da euro 5.000 a euro 10.000. La pena è della reclusione da otto a ventidue anni e della multa da euro 6.000 a euro 18.000, se concorre taluna delle circostanze indicate nel terzo comma dell’articolo 628 nonché nel caso in cui il fatto sia commesso nei confronti di persona incapace per età o per infermità».
Il legislatore ha pertanto previsto una serie di reati presupposto diretti alla commissione del reato finale. Un reato presupposto è un fatto criminoso che rappresenta, a sua volta, la condizione per la commissione di un altro reato. Il reato presupposto, detto in altri termini, costituisce l’antecedente necessario per la concretizzazione di un altro tipo di reato.
La legge entrerà in vigore il 17 luglio prossimo e sarà, dunque, necessario per le Società che hanno implementato un Modello Organizzativo ai sensi del D.lgs. 231/2001 considerare l’opportunità di effettuare una valutazione del rischio di commissione della nuova fattispecie di reato introdotta e, di conseguenza, procedere all’aggiornamento dei propri Modelli Organizzativi, prevedendo nuovi specifici presidi di controllo volti a ridurre il rischio di commissione di reati.