Introdotta una misura di prevenzione che cerca di incidere sui pagamenti dei riscatti informatici richiesti dalle organizzazioni criminali
Entra oggi in vigore la legge la legge sulla cybersicurezza (L. 90/2024) pubblicata sulla Gazzetta Ufficiale dello scorso 2 luglio, con il titolo “Disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici”.
L’art. 16 di tale legge apporta diverse modifiche ai reati informatici previsti dal codice penale (che indirettamente incidono anche sulla responsabilità amministrativa degli enti, prevista dal DLgs. 231/2001); mentre l’art. 20 tocca direttamente l’art. 24-bis del DLgs. 231/2001.
In particolare, vengono aumentate le sanzioni previste dall’art. 24-bis relativo ai reati informatici, in modo tale che si passi da una cornice edittale ricompresa tra cento e cinquecento quote, a una ricompresa tra duecento e settecento quote.
Allo stesso art. 24-bis viene introdotto un nuovo comma 1-bis, ai sensi del quale si applica all’ente la sanzione pecuniaria da trecento a ottocento quote a seguito della commissione della nuova fattispecie di reato – introdotta sempre dalla legge sulla cybersicurezza – legata all’estorsione informatica (art. 629 comma 3 c.p.). Si tratta di una misura di prevenzione rispetto agli attacchi informatici (“ransomware”) che cerca di incidere sui pagamenti dei riscatti richiesti dalle organizzazioni criminali. Tale nuova disposizione prevede, infatti, la punibilità di chiunque, mediante le condotte di accesso abusivo a un sistema informatico o telematico (art. 615-ter c.p.), falsificazione, alterazione o soppressione del contenuto di comunicazioni o conversazioni telegrafiche o telefoniche (art. 617-quater c.p.) o di comunicazioni informatiche o telematiche (art. 617-sexies c.p.), danneggiamento di informazioni, dati e programmi informatici (artt. 635-bis, 635-quater e 635-quinquies c.p.) ovvero con la minaccia di compierle, costringe taluno a fare o a omettere qualche cosa, procurando a sé o ad altri un ingiusto profitto con altrui danno.
Il tema del pagamento del riscatto è un argomento che nelle prassi aziendali è stato già dibattuto, con particolare riguardo alle possibili responsabilità penali conseguenti e all’opportunità di coinvolgimento nel team che fronteggia l’emergenza dell’Organismo di Vigilanza nominato ai sensi del DLgs. 231/2001.
Ciò che va tenuto conto nella prospettazione di una eventuale responsabilità dell’ente è la necessità di un concorso di un soggetto interno all’ente (apicale o sottoposto ai sensi dell’art. 5 del DLgs. 231/2001), oltre che ovviamente la prova di un interesse e vantaggio dell’ente stesso e di una colpa organizzativa nella gestione di una simile evenienza.