– Il nuovo DDL cybersicurezza nella prima parte dà concretezza alle finalità di rafforzamento della sicurezza cibernetica nazionale e di contrasto al cyber crime, Nella seconda parte riforma il trattamento sanzionatorio per i reati informatici, con consistenti modifiche al codice penale, al codice di procedura penale ed al D. Lgs. 231/2001.

Roma, 17/12/2024 – Con l’entrata in vigore del DDL cybersicurezza, ci si domanda se e come la nuova disciplina impatterà con le altre norme dettate per la compliance aziendale e se la stessa introdurrà nuovi obblighi per società, enti ed imprese. Le tematiche della cybersecurity, infatti, non affrontano questioni isolate, ma al contrario tematiche che richiedono un approccio integrato. La Relazione annuale del Parlamento svolta dall’Agenzia per la Cybersicurezza Nazionale (ACN) ha rilevato che, nel solo anno 2022, sono stati trattati oltre mille incidenti informatici; numero sottostimato se si considera il volume di incidenti non denunciati, per motivi legati alla reputazione aziendale e all’attribuzione di responsabilità. È in questo scenario di crescente emergenza che il 19 giugno 2024 il Senato ha approvato il disegno di legge n. 1717, recepito con la Legge 28 giugno 2024, n. 90, recante Disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici (c.d. legge sulla cybersicurezza), entrata in vigore lo scorso 17 luglio.

«La legge è composta di soli due capi e 24 articoli – spiega l’avvocato Patrizia Giusti dello studio legale Giusti&Laurenzano –. Nella prima parte si dedica a dare concretezza alle finalità di rafforzamento della sicurezza cibernetica nazionale e di contrasto al cybercrime; la seconda parte, invece, è dedicata al trattamento sanzionatorio per i reati informatici, completamente riformati, con consistenti modifiche al codice penale, al codice di procedura penale ed al D. Lgs. 231/2001, norma che disciplina la responsabilità di enti, società ed associazioni, anche prive di personalità giuridica. Al momento della sua entrata in vigore, nel lontano 2001, tra i reati-cyber intesi quali presupposto della responsabilità dell’ente era prevista esclusivamente la fattispecie di frode informatica in danno di enti pubblici. La situazione oggi è profondamente mutata, poiché il nuovo DDL cybersicurezza ha interagito (anche) con il D. Lgs. 231/2001, introducendo nuove fattispecie, divenute reato-presupposto della responsabilità dell’ente. Si tratta di accesso abusivo a sistemi informatici, detenzione e diffusione illecita di codici di accesso, intercettazione illecita di comunicazioni informatiche, danneggiamento di sistemi informatici di pubblica utilità».

Una novità di degna menzioneè l’introduzione della fattispecie di estorsione mediante reato informatico, anche reato-presupposto della responsabilità dell’ente. «L’aver inserito i reati informatici nell’elenco tassativo dei reati-presupposto ex D. Lgs. 231/2001 – sottolinea l’avvocato Giusti – rende non più rinviabile un’analisi (anche) del rischio informatico, con la conseguente individuazione di misure tecniche ed organizzative volte a prevenire e/o contrastare il verificarsi di tali fattispecie criminose. L’approccio metodologico per entrambe le discipline dovrà essere il medesimo, fondato sul risk assesment, con particolare attenzione ai c.d. processi rilevanti, poiché maggiormente esposti al rischio-reato, con la predisposizione di specifici presidi di controllo, tecnici ed organizzativi in primis, ma che passino anche per un’efficace attività di controllo dell’Organismo di Vigilanza».

La legge sulla cybersicurezza ha, quindi, introdotto l’obbligatorietà di una valutazione preliminare (anche) del rischio informatico, secondo il metodo proprio già descritto dal D. Lgs. 231/2001. «L’assunto – evidenzia l’avvocato Giusti – riaccende l’annoso quesito, mai sopito, circa l’obbligatorietà o meno per enti, società ed associazioni, dell’adozione del c.d. Modello 231. Scorrendo la normativa e integrandone la lettura con la Relazione Illustrativa, il legislatore non impone mai come obbligatoria l’adozione del Modello di Organizzazione, Gestione e Controllo e dell’Organismo di Vigilanza, né tanto meno descrive come obbligatoria l’adozione di misure tecniche ed organizzative che, dopo accurato risk assesment, aiutino a prevenire il rischio-reato. Ma se il nuovo DDL cybersicurezza descrive come obbligatoria la valutazione (anche) del rischio informatico e se la Legge 90/2024 impone che tale valutazione sia gestita con l’approccio di cui al D. Lgs. 231/2001, come è possibile conciliare queste due opposte esigenze? Anche prima della manifestata sensibilità verso la cybersicurezza, da più parti si è proposta una soluzione che definisce obbligatoria la norma sulla responsabilità degli enti, ciò in virtù di una interpretazione sistematica delle norme del decreto, con le altre previste negli altri settori».

Da ciò emerge che, per introdurre un adeguato ed efficace assetto organizzativo, l’imprenditore sia onerato di realizzare una preliminare attività di risk assesment. «Questa attività – prosegue l’avvocato Giusti – è volta al valutare ex ante le ipotesi di reato che, con maggiore probabilità, potrebbero verificarsi, adottando i correttivi tecnici ed organizzativi utili, secondo l’unico metodo codificato che è quello descritto nel D. Lgs. 231/2001. Chiaro, allora, che se l’obbligatorietà del D. Lgs. 231/2001 appariva cogente già in passato, nessun dubbia residua oggi, in seguito alla riforma sulla cybersicurezza. Con obbligo per tutti i destinatari della norma di adeguarsi, nei termini di legge, attraverso l’introduzione e/o l’implementazione (laddove già esistente) del Modello di Organizzazione, Gestione e Controllo e dell’Organismo di Vigilanza».

È su questa “nuova” obbligatorietà, posta a carico di enti, società, imprese ed aziende, che si innesta il sartoriale apporto dello Studio Legale Giusti&Laurenzano, i cui professionisti sono in grado di offrire consulenza in tutte le fase ed i tempi della vita aziendale, in un’ottica di approccio integrato alla compliance aziendale.

Contatti: www.avvocatigiustilaurenzano.it