Cybersicurezza e reati informatici: ecco le recenti modifiche normative

È stata recentemente approvata la Legge 28 giugno 2024 n. 90, “Disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici”, con la finalità di rafforzare le misure nazionali in materia di cybersicurezza e di prevenire e punire maggiormente i reati informatici.

Cosa sono e quali sono i reati informatici

La definizione di reato informatico può essere così riassunta: un’attività illecita che sfrutta le tecnologie informatiche e le reti digitali per compiere azioni che danneggiano persone fisiche, aziende e istituzioni.

Esistono diverse tipologie di condotte riconducibili ai reati informatici. Le più comuni includono:

• Hacking: è l’accesso non autorizzato a sistemi o reti informatiche.
• Phishing: si tratta di frodi attraverso e-mail o siti web ingannevoli che hanno come obiettivo il furto di dati personali.
• Malware: consiste nella diffusione di software dannosi come virus, ransomware e spyware.
• Cyberstalking: si definisce in questo modo la persecuzione online tramite molestie o minacce.
• Spionaggio informatico: definibile come la raccolta di informazioni riservate da parte di entità non autorizzate.
• DoS: acronimo di Denial of Service, consiste nel sovraccarico di un sistema per renderlo inaccessibile agli utenti legittimi.

Reati informatici e conseguenze sulla reputazione aziendale

I reati informatici possono causare danni reputazionali significativi alle aziende. Un attacco informatico come la violazione dei dati può infatti portare al furto di informazioni sensibili o brevetti, compromettendo la fiducia di clienti, fornitori e partner commerciali.

Le conseguenze di tali reati non sono soltanto reputazionali: oltre ai danni all’immagine del marchio, possono anche includere la perdita di clienti o un calo delle vendite. Inoltre, le aziende colpite da reati informatici si trovano spesso a dover affrontare costi elevati per la gestione della crisi e per il miglioramento delle misure di sicurezza informatica.

Cybersicurezza e reati informatici: le novità della Legge 28 giugno 2024 n. 90

La recente Legge 28 giugno 2024 n. 90 si articola in due capi, il primo (articoli da 1 a 15) che si occupa delle novità in materia di cybersicurezza e il secondo (articoli da 16 a 23) che introduce diverse modifiche in materia di reati informatici e di coordinamento degli interventi in caso di attacchi a sistemi informatici o telematici.

Nel dettaglio, le novità introdotte dal primo capo della Legge n. 90/2024 mirano a:

• ampliare la platea dei soggetti su cui vige l’obbligo di notifica degli incidenti rilevanti in materia di cybersicurezza;
• migliorare le modalità e le tempistiche degli interventi risolutivi da parte dei soggetti obbligati in caso di segnalazioni puntuali dell’Agenzia per la cybersicurezza nazionale in merito a specifiche vulnerabilità;
• introdurre all’interno delle Pubbliche Amministrazioni strutture a presidio della cybersicurezza con un referente che abbia la funzione di punto di contatto unico con l’Agenzia per la cybersicurezza nazionale;
• adottare l’utilizzo da parte delle Pubbliche Amministrazioni di soluzioni crittografiche adeguate rispetto alle linee guida adottate dall’Agenzia per la cybersicurezza nazionale;
• assegnare all’Agenzia per la cybersicurezza nazionale il potere di effettuare verifiche ed irrogare sanzioni;
• tutelare la disciplina dei contratti pubblici di beni e servizi informatici impiegati per interessi nazionali strategici.

Le numerose modifiche introdotte dal secondo capo della Legge n. 90/2024 riguardano invece:

• un aumento delle pene previste dall’art. 615-ter c.p. (accesso abusivo ad un sistema informatico o telematico);
• un aumento delle pene previste dall’art. 615-quater c.p. (detenzione, diffusione e installazione abusiva di apparecchiature, codici e altri mezzi atti all’accesso a sistemi informatici o telematici);
• l’abrogazione dell’art. 615-quinquies c.p. (detenzione, diffusione e installazione abusiva di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico);
• un aumento delle pene previste dall’art. 617-bis c.p. (detenzione, diffusione e installazione abusiva di apparecchiature e di altri mezzi atti a intercettare, impedire o interrompere comunicazioni o conversazioni telegrafiche o telefoniche);
• un aumento delle pene previste dall’art. 617-quater c.p. (intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche);
• un aumento delle pene previste dall’art. 617-quinquies c.p. (detenzione, diffusione e installazione abusiva di apparecchiature e di altri mezzi atti a intercettare, impedire o interrompere comunicazioni informatiche o telematiche);
• un aumento delle pene previste dall’art. 617-sexies c.p. (falsificazione, alterazione o soppressione del contenuto di comunicazioni informatiche o telematiche);
• il nuovo art. 623-quater c.p. (circostanze attenuanti) con la previsione di una diminuzione delle pene quando il fatto risulta di lieve entità e la previsione di una diminuzione delle pene dalla metà a due terzi per chi si adopera per evitare che l’attività delittuosa sia portata a conseguenze ulteriori;
• una modifica dell’art. 629 c.p. (estorsione) con l’inserimento del comma 3 che include le condotte previste dai reati informatici;
• un aumento delle pene previste dall’art. 635-bis c.p. (danneggiamento di informazioni, dati e programmi informatici) e la modifica del comma 2;
• una modifica complessiva dell’art. 635-ter c.p. (danneggiamento di informazioni, dati e programmi informatici pubblici o di interesse pubblico);
• un aumento delle pene previste dall’art. 635-quater c.p. (danneggiamento di sistemi informatici o telematici) e la modifica del comma 2;
• il nuovo art. 635-quater1 c.p. (detenzione, diffusione e installazione abusiva di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico);
• una modifica complessiva dell’art. 635-quinquies c.p. (danneggiamento di sistemi informatici o telematici di pubblico interesse);
• il nuovo art. 639-ter c.p. (circostanze attenuanti) con la previsione di una diminuzione delle pene quando il fatto risulta di lieve entità e la previsione di una diminuzione delle pene dalla metà a due terzi per chi si adopera per evitare che l’attività delittuosa sia portata a conseguenze ulteriori;
• la modifica dell’art. 640 c.p. (truffa) con l’inserimento del comma 2-ter se il fatto è commesso mediante strumenti informatici o telematici idonei ad ostacolare la propria o altrui identificazione (c.d. truffa informatica);
• alcune modifiche al codice di procedura penale ed all’art. 24-bis del D.Lgs. n. 231/2001 (delitti informatici e trattamento illecito di dati) con un aumento delle pene previste per l’ente.

Alla luce di tali novità e modifiche introdotte dalla Legge n. 90/2024, è evidente che le tematiche connesse alla cybersicurezza e ai reati informatici assumono un ruolo sempre più centrale al giorno d’oggi: per tale ragione, è opportuno che sia le persone fisiche che le aziende si affidino a professionisti legali competenti in materia per conoscere gli eventuali rischi e tutelarsi nella maniera più efficace, sia in sede stragiudiziale che – eventualmente – in sede giudiziale.