Legge Cybersicurezza: tutte le modifiche al Codice penale

Scarica PDF Stampa

Le modifiche apportate al codice penale dalla legge, 28 giugno 2024, n. 90: vediamo in cosa consistono. Tra le materie interessate dall’intervento del legislatore, per effetto della legge, 28 giugno 2024, n. 90 (d’ora in poi: legge n. 90 del 2024), recante disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici, molteplici sono state le modificazioni apposte al codice penale.
Difatti, l’articolo 16 della legge n. 90 del 2024, “modificato nel corso dell’esame presso la Camera dei deputati, reca modifiche al codice penale in materia di prevenzione e contrasto dei reati informatici” [1].
Orbene, scopo del presente scritto è quello di vedere come il codice penale è stato emendato alla luce di tale normativa.
Per un approfondimento sulle novità per la procedura penale, leggi l’articolo Legge Cybersicurezza: modifiche al Codice di procedura penale. Per una panoramica su tutte le disposizioni della nuova legge, leggi l’articolo dedicato.
Per un focus approfondito sugli adempimenti, abbiamo organizzato il corso di formazione “Le novità sulla cybersicurezza: gli obblighi previsti per PA e imprese dalla legge 28 giugno 2024, n. 90
, di cui parliamo in un paragrafo dedicato.

Indice

1. La modifica apportata all’art. 240 cod. pen.


La prima disposizione legislativa del codice penale, che è stata soggetta a modifiche da parte della legge n. 90 del 2024, è l’art. 240 c.p. che, come è noto, regolamenta la confisca.
Difatti, l’art. 16, co. 1, lett. a), legge n. 90 del 2024 dispone che “all’articolo 240, secondo comma, numero 1-bis, dopo la parola: «635-quinquies,» sono inserite le seguenti: «640, secondo comma, numero 2-ter),»”.
Quindi, anche nel caso di truffa aggravata a norma dell’art. 640, co. 2, n. 2-ter, c.p. (previsione, anche questa, introdotta dalla normativa qui in commento), è sempre ordinata la confisca dei beni e degli strumenti informatici o telematici che risultino essere stati in tutto o in parte utilizzati per la commissione di tale illecito penale, nonché dei beni che ne costituiscono il profitto o il prodotto ovvero di somme di denaro, beni o altre utilità di cui il colpevole ha la disponibilità per un valore corrispondente a tale profitto o prodotto, se non è possibile eseguire la confisca del profitto o del prodotto diretti.

2. Le modificazioni disposte per l’art. 615-ter cod. pen.


Altra norma del codice penale, questa volta una norma incriminatrice, soggetta a diverse modificazioni da parte della legge n. 90 del 2024, è l’articolo 615-ter c.p. che, come è noto, prevede il delitto di accesso abusivo ad un sistema informatico o telematico.
Difatti, l’art. 16, co. 1, lett. b), legge n. 90 del 2024 ha modificato siffatta disposizione legislativa nei seguenti termini: “all’articolo 615-ter: 1) al secondo comma: 1.1) all’alinea, le parole: «da uno a cinque anni» sono sostituite dalle seguenti: «da due a dieci anni»;  1.2) al numero 2), dopo la parola: «usa» sono inserite le seguenti: «minaccia o»;  1.3) al numero 3), dopo le parole: «ovvero la distruzione o il danneggiamento» sono inserite le seguenti: «ovvero la sottrazione, anche mediante riproduzione o trasmissione, o l’inaccessibilità al titolare»;  2) al terzo comma, le parole: «da uno a cinque anni e da tre a otto anni» sono sostituite dalle seguenti: «da tre a dieci anni e da quattro a dodici anni»;”.
Orbene, le “modifiche introdotte dalla disposizione in commento sono volte ad ampliare l’ambito di applicazione della fattispecie e a inasprire il trattamento sanzionatorio elevando le pene previste”[2].
In particolare, sotto “il primo profilo:  l’aggravante di cui al secondo comma, n. 2, è prevista non soltanto se il colpevole per commettere il fatto usa violenza sulle cose o sulle persone, ma anche se usa minaccia (n. 1, 1.2);  l’aggravante di cui al secondo comma, n. 3, è prevista anche se dal fatto deriva la sottrazione, anche mediante riproduzione o trasmissione, o l’inaccessibilità al titolare, dei dati (n. 1, 1.3)”[3].
Invece, sotto “il profilo dell’inasprimento delle pene:  nella fattispecie aggravata ai sensi del secondo comma è prevista la pena della reclusione da 2 a 10 anni (attualmente è da 1 a 5 anni) (n. 1, 1.1);  nella fattispecie aggravata ai sensi del terzo comma è prevista la pena della reclusione da 3 a 10 anni (attualmente è da 1 a 5 anni) (n. 2);  nella fattispecie pluriaggravata in cui ricorrano l’aggravante di cui al terzo comma nonché taluna delle aggravanti di cui al secondo comma è prevista la pena della reclusione da 4 a 12 anni (attualmente è da 3 a 8 anni) (n. 2)”[4].
Per un focus approfondito sulla criminalità nel web e sulle minacce informatiche, consigliamo il volume “Non ERA un Libro per Hacker”, che riporta episodi e consigli dal mondo della cybersecurity

FORMATO CARTACEO

Non ERA un libro per Hacker

Tra falsi miti e storie gonfiate sul cybercrime si racconta tutto e il contrario di tutto, distorcendo la percezione della realtà del fenomeno.Il libro è stato scritto con l’obiettivo di raccontare fatti realmente accaduti e storie avvincenti dove la sicurezza informatica e le indagini digitali vengono raccontate usando un linguaggio semplice e divulgativo. Stefano, in ogni storia, racconta un pezzo di sé e della sua pluriennale esperienza nel settore.Attacchi informatici, indagini oltreoceano e virus sofisticati accompagneranno il lettore in una serie di avvincenti avventure i cui protagonisti sembrano a volte usciti da serie televisive e film campioni di incassi.Stefano FratepietroDefinito “hacker buono”, citato da “La Repubblica” tra le 50 persone della cybersecurity italiana da seguire, è conosciuto a livello internazionale come padre e fondatore del progetto DEFT Linux, uno dei sistemi per le indagini informatiche più usato nel mondo. Imprenditore, professore a contratto per l’Università degli Studi di Bologna e per il Consorzio CINEAS del Politecnico di Milano, ha partecipato come consulente tecnico a casi di fama nazionale ed internazionale come il caso “Volkswagen Dieselgate” e Telecom Italia – Sismi. È consulente di cybersecurity per realtà televisive e radiofoniche come “Report”, “Le Iene”, “Omnibus La7” e “Radio Rai”.

Stefano Fratepietro | Maggioli Editore 2024

3. Le modifiche apportate all’art. 615-quater cod. pen.


Altra norma incriminatrice, che è stata oggetto di modifiche da parte della normativa qui in esame, è l’art. 615-quater c.p. che, come è risaputo, contempla il delitto di detenzione, diffusione e installazione abusiva di apparecchiature, codici e altri mezzi atti all’accesso a sistemi informatici o telematici.
Difatti, l’art. 16, co. 1, lett. c), legge n. 90 del 2024 ha emendato codesto precetto normativo nel seguente modo: “all’articolo 615-quater: 1) al primo comma, la parola: «profitto» e’ sostituita dalla seguente: «vantaggio»; 2) il secondo comma e’ sostituito dal seguente: «La pena e’ della reclusione da due anni a sei anni quando ricorre taluna delle circostanze di cui all’articolo 615-ter, secondo comma, numero 1)»; 3) dopo il secondo comma e’ aggiunto il seguente: «La pena e’ della reclusione da tre a otto anni quando il fatto riguarda i sistemi informatici o telematici di cui all’articolo 615-ter, terzo comma»”.
Alla luce di tali cambiamenti: 1) viene ampliato “(dal «profitto» al più generico «vantaggio») il dolo specifico previsto per la configurabilità della fattispecie”[5]; 2) è preveduta “l’ipotesi aggravata punita con la pena della reclusione da due anni a sei anni quando ricorre taluna delle circostanze di cui al precedente articolo 615-ter, secondo comma, numero 1) (se il fatto è commesso da un pubblico ufficiale o da un incaricato di un pubblico servizio, con abuso dei poteri o con violazione dei doveri inerenti alla funzione o al servizio, o da chi esercita anche abusivamente la professione di investigatore privato, o con abuso della qualità di operatore del sistema)”[6]; 3) si inserisce “un ulteriore comma all’articolo, introducendo un’ulteriore ipotesi aggravata punita con la pena della reclusione da tre a otto anni quando il fatto riguarda i sistemi informatici o telematici di cui all’articolo 615-ter, terzo comma”[7].

4. L’abrogazione dell’art. 615-quinquies cod. pen.


L’art. 16, co. 1, lett. d), legge n. 90 del 2024 ha abrogato l’art. 615-quinquies c.p. che, come è risaputo, nel prevedere il delitto di detenzione, diffusione e installazione abusiva di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico, statuiva quanto segue: “Chiunque, allo scopo di danneggiare illecitamente un sistema informatico o telematico, le informazioni, i dati o i programmi in esso contenuti o ad esso pertinenti ovvero di favorire l’interruzione, totale o parziale, o l’alterazione del suo funzionamento, abusivamente si procura, detiene, produce, riproduce, importa, diffonde, comunica, consegna o, comunque, mette in altro modo a disposizione di altri o installa apparecchiature, dispositivi o programmi informatici, è punito con la reclusione fino a due anni e con la multa sino a euro 10.329”.

5. Le modificazioni apposte all’art. 617-bis c.p.


Per quanto concerne l’art. 617-bis c.p. che, come è noto, prevede il delitto di detenzione, diffusione e installazione abusiva di apparecchiature e di altri mezzi atti a intercettare, impedire o interrompere comunicazioni o conversazioni telegrafiche o telefoniche, l’art. 16, co. 1, lett. e), legge n. 90 del 2024 provvede ad una sua modificazione nella susseguente maniera: “all’articolo 617-bis: 1) dopo il primo comma e’ inserito il seguente: «La pena e’ della reclusione da due a sei anni quando ricorre taluna delle circostanze di cui all’articolo 615-ter, secondo comma, numero 1)»; 2) al secondo comma, le parole da: «ovvero da un pubblico ufficiale» fino alla fine del comma sono soppresse”.
Quindi, alla luce di tale intervento legislativo, viene inserito “un ulteriore comma volto a prevedere una circostanza aggravante, con l’applicazione della reclusione da 2 a 6 anni, qualora ricorra taluna delle circostanze di cui all’art. 615-ter, secondo comma, n. 1, vale a dire la commissione del fatto da parte di un pubblico ufficiale o incaricato di pubblico servizio con abuso dei poteri o con violazione dei doveri, da un investigatore privato anche abusivo, o con abuso della qualità di operatore di sistema”[8].
“Tale circostanza aggravante assorbe pertanto parzialmente la fattispecie prevista dal vigente secondo comma (terzo comma a seguito delle modifiche introdotte dalla disposizione in commento), che viene conseguentemente modificato al fine di coordinare le due disposizioni”[9].
“Il testo risultante dalle modifiche prevede, dunque, l’aggravante, con reclusione da 2 a 6 anni, se il fatto è commesso da determinate categorie di soggetti (pubblico ufficiale, investigatore privato, operatore di sistema), e l’aggravante, con reclusione da 1 a 5 anni, per la commissione del fatto in danno di un pubblico ufficiale”[10].

6. I cambiamenti effettuati per l’art. 617-quater cod. pen.


Sempre tra i delitti contro l’inviolabilità del domicilio, un ulteriore reato tra questi è stato modificato dalla legge in esame.
Invero, l’art. 16, co. 1, lett. f), legge n. 90 del 2024 è intervenuto sull’art. 617-quater c.p. che, come è notorio, prevede il delitto di intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche, nei seguenti termini: “all’articolo 617-quater, quarto comma: 1) all’alinea, le parole: «da tre a otto anni» sono sostituite dalle seguenti: «da quattro a dieci anni»; 2) il numero 1) e’ sostituito dal seguente:«1) in danno di taluno dei sistemi informatici o telematici indicati nell’articolo 615-ter, terzo comma»; 3) al numero 2), le parole: «da un pubblico ufficiale» sono sostituite dalle seguenti: «in danno di un pubblico ufficiale nell’esercizio o a causa delle sue funzioni o da un pubblico ufficiale» e la parola: «ovvero» e’ sostituita dalle seguenti: «o da chi esercita, anche abusivamente, la professione di investigatore privato, o»; 4) il numero 3) e’ abrogato”.
Dunque, in ragione di siffatte modificazioni, si registrano le seguenti novità normative: a) si prevede “l’aumento della pena edittale dalla reclusione da tre a otto anni alla reclusione «da quattro a dieci anni»”[11]; b) si contempla “la procedibilità d’ufficio, quando il fatto è commesso in danno di taluno dei sistemi informatici o telematici indicati nell’articolo 615-ter, terzo comma”[12], cioè i sistemi informatici o telematici di interesse militare o relativi all’ordine pubblico o alla sicurezza pubblica o alla sanità o alla protezione civile o comunque di interesse pubblico; 3) si concepisce un’apposita “ipotesi aggravata quando il fatto è commesso in danno di un pubblico ufficiale nell’esercizio o a causa delle sue funzioni o da un pubblico ufficiale o da un incaricato di un pubblico servizio, con abuso dei poteri o con violazione dei doveri inerenti alla funzione o al servizio, o da chi esercita anche abusivamente la professione di investigatore privato, o con abuso della qualità di operatore del sistema; 4) si sopprime “la disposizione specifica di cui al numero 3) dell’articolo 617-quater, quarto comma”, escludendosi in tal guisa l’ipotesi in cui il reato in questione sia commesso da chi esercita anche abusivamente la professione di investigatore privato.

7. Le modifiche disposte nei confronti dell’art. 617-quinquies cod. pen.


A proposito dell’art. 617-quinquies c.p. che, come è risaputo, contempla il delitto di detenzione, diffusione e installazione abusiva di apparecchiature e di altri mezzi atti a intercettare, impedire o interrompere comunicazioni informatiche o telematiche, l’art. 16, co. 1, lett. g), legge n. 90 del 2024 provvede ad una sua modificazione nella seguente maniera: “all’articolo 617-quinquies: 1) il secondo comma e’ sostituito dal seguente: «Quando ricorre taluna delle circostanze di cui all’articolo 617-quater, quarto comma, numero 2), la pena e’ della reclusione da due a sei anni»; 2) dopo il secondo comma e’ aggiunto il seguente: «Quando ricorre taluna delle circostanze di cui all’articolo 617-quater, quarto comma, numero 1), la pena e’ della reclusione da tre a otto anni»”.
La disposizione in commento, così formulata, reca quindi talune “modifiche alla disciplina delle aggravanti, innalzando le pene e ridefinendo le fattispecie, analogamente a quanto previsto dalla lett. f) per l’art. 617-quater”[13] c.p. (già esaminato poco prima).

8. La modificazione apportata all’art. 617-sexies cod. pen.


L’art. 16, co. 1, lett. g), legge n. 90 del 2024 modifica l’art. 617-sexies c.p. che, come è noto, prevede il delitto di falsificazione, alterazione o soppressione del contenuto di comunicazioni informatiche o telematiche nel seguente modo: “all’articolo 617-sexies, secondo comma, le parole: «da uno a cinque anni» sono sostituite dalle seguenti: «da tre a otto anni»”.
Dunque, per effetto di questa previsione di legge, viene innalzata “la pena per la fattispecie aggravata (ossia per i casi di cui all’art. 617-quater, co. 4, c.p.), per la quale si prevede la reclusione da 3 a 8 anni (anziché da 1 a 5 anni)”[14].

9. Il “nuovo” art. 623-quater cod. pen.


Fermo restando che l’art. 16, co. 1, lett. i), legge n. 90 del 2024, “reca una disposizione di coordinamento”[15], prevedendo che “alla rubrica del capo III-bis del titolo dodicesimo del libro secondo, le parole: «sulla procedibilita’» sono soppresse”, alla seguente lettera l) è previsto quanto segue: “nel capo III-bis del titolo dodicesimo del libro secondo, dopo l’articolo 623-ter e’ aggiunto il seguente: «Art. 623-quater (Circostanze attenuanti). – Le pene comminate per i delitti di cui agli articoli 615-ter, 615-quater, 617-quater, 617-quinquies e 617-sexies sono diminuite quando, per la natura, la specie, i mezzi, le modalita’ o le circostanze dell’azione ovvero per la particolare tenuita’ del danno o del pericolo, il fatto risulti di lieve entita’. Le pene comminate per i delitti di cui al primo comma sono diminuite dalla meta’ a due terzi per chi si adopera per evitare che l’attivita’ delittuosa sia portata a conseguenze ulteriori, anche aiutando concretamente l’autorita’ di polizia o l’autorita’ giudiziaria nella raccolta di elementi di prova o nel recupero dei proventi dei delitti o degli strumenti utilizzati per la commissione degli stessi. Non si applica il divieto di cui all’articolo 69, quarto comma»;”.
Quindi, per effetto di questo nuovo precetto normativo, è contemplato “l’inserimento nel codice penale dell’art. 623-quater in materia di circostanze attenuanti per i delitti di cui agli artt. 615-ter (Accesso abusivo a un sistema informatico o telematico), 615-quater (Detenzione, diffusione e installazione abusiva di apparecchiature, codici e altri mezzi atti all’accesso a sistemi informatici o telematici), 617-quater (Intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche), 617-quinquies (Detenzione, diffusione e installazione abusiva di apparecchiature e di altri mezzi atti a intercettare, impedire o interrompere comunicazioni informatiche o telematiche) e 617-sexies (Falsificazione, alterazione o soppressione del contenuto di comunicazioni informatiche o telematiche) del codice penale”[16].
In particolare, sono stabilite: “ una circostanza attenuante a effetto comune (diminuzione della pena fino a un terzo) quando il fatto sia di lieve entità, avuto riguardo alla natura, alla specie, ai mezzi, alle modalità o alle circostanze dell’azione o alla particolare tenuità del danno o del pericolo (primo comma del nuovo art. 623-quater);  una circostanza attenuante a effetto speciale (diminuzione della pena dalla metà a due terzi) in favore di chi si adopera per evitare che l’attività delittuosa sia portata a ulteriori conseguenze, anche aiutando concretamente l’autorità giudiziaria o l’autorità di polizia nella raccolta di prove o nel recupero dei proventi dei delitti o degli strumenti utilizzati per la commissione degli stessi (secondo comma del nuovo art. 623-quater)”[17].
Ad ogni modo, alle “predette attenuanti non si applica il divieto di prevalenza sancito dall’art. 69, quarto comma, c.p.”[18] che, come è noto, dispone quanto sussegue: “Le disposizioni del presente articolo si applicano anche alle circostanze inerenti alla persona del colpevole, esclusi i casi previsti dall’articolo 99, quarto comma, nonché dagli articoli 111 e 112, primo comma, numero 4), per cui vi è divieto di prevalenza delle circostanze attenuanti sulle ritenute circostanze aggravanti, ed a qualsiasi altra circostanza per la quale la legge stabilisca una pena di specie diversa o determini la misura della pena in modo indipendente da quella ordinaria del reato”.

10. Le modifiche apportate all’art. 629 cod. pen.


In riferimento al delitto di estorsione, la legge n. 90 del 2024 è intervenuta anche sulla norma incriminatrice che lo prevede, vale a dire l’art. 629 c.p..
Difatti, l’art. 16, co. 1, lett. m), legge n. 90 del 2024 ha apposto delle modifiche a tale disposizione codicistica nei seguenti termini: “all’articolo 629: 1) al secondo comma, le parole: «nell’ultimo capoverso dell’articolo precedente» sono sostituite dalle seguenti: «nel terzo comma dell’articolo 628»; 2) dopo il secondo comma e’ aggiunto il seguente: «Chiunque, mediante le condotte di cui agli articoli 615-ter, 617-quater, 617-sexies, 635-bis, 635-quater e 635-quinquies ovvero con la minaccia di compierle, costringe taluno a fare o ad omettere qualche cosa, procurando a se’ o ad altri un ingiusto profitto con altrui danno, e’ punito con la reclusione da sei a dodici anni e con la multa da euro 5.000 a euro 10.000. La pena e’ della reclusione da otto a ventidue anni e della multa da euro 6.000 a euro 18.000, se concorre taluna delle circostanze indicate nel terzo comma dell’articolo 628 nonche’ nel caso in cui il fatto sia commesso nei confronti di persona incapace per eta’ o per infermita’»”.
Dunque, le novità, che riguardano questo illecito penale, sono sintetizzabili nel seguente modo: a) si introduce una peculiare “fattispecie del delitto di estorsione mediante reati informatici, realizzata dalla costrizione di taluno a fare o ad omettere qualche cosa, procurando a sé o ad altro un ingiusto profitto, mediante le condotte, o la minaccia di compierle, di cui ai seguenti reati: artt. 615-ter (Accesso abusivo ad un sistema informatico o telematico), 617-quater (Intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche), 617-sexies (Falsificazione, alterazione o soppressione del contenuto di comunicazioni informatiche o telematiche), 635-bis (Danneggiamento di informazioni, dati e programmi informatici), 635-quater (Danneggiamento di sistemi informatici o telematici) e 635-quinquies (Danneggiamento di sistemi informatici o telematici di pubblica utilità)”[19], stabilendosi al contempo che tale “nuova fattispecie delittuosa sia punita con la reclusione da 6 a 12 anni e con la multa da euro 5.000 a euro 10.000”[20]; b) si stabilisce “la reclusione da 8 a 22 anni e la multa da euro 6.000 a euro 18.000 se ricorre taluna delle circostanze aggravanti indicate dal terzo comma dell’articolo 628 c.p. relativo al delitto di rapina”[21].

11. Le modificazioni apposte all’art. 635-bis cod. pen.


Per quanto concerne l’art. 635-bis c.p. che, come è notorio, prevede il delitto di danneggiamento di informazioni, dati e programmi informatici, l’art. 16, co. 1, lett. n), legge n. 90 del 2024 è intervenuto su di esso nella seguente maniera: “all’articolo 635-bis: 1) al primo comma, le parole: «da sei mesi a tre anni» sono sostituite dalle seguenti: «da due a sei anni»; 2) il secondo comma e’ sostituito dal seguente: «La pena e’ della reclusione da tre a otto anni: 1) se il fatto e’ commesso da un pubblico ufficiale o da un incaricato di un pubblico servizio, con abuso dei poteri o con violazione dei doveri inerenti alla funzione o al servizio, o da chi esercita, anche abusivamente, la professione di investigatore privato, o con abuso della qualita’ di operatore del sistema; 2) se il colpevole per commettere il fatto usa minaccia o violenza ovvero se e’ palesemente armato»”.
Dunque, alla luce di codesto innesto legislativo: I) è previsto un “aumento della pena edittale della reclusione da sei mesi a tre anni alla reclusione da due a sei anni”[22]; II) si modifica il secondo comma dell’articolo, introducendosi “disposizioni relative alle fattispecie aggravate”[23]; III) si stabilisce “che la pena è della reclusione da tre a otto anni se il fatto è commesso da un pubblico ufficiale o da un incaricato di un pubblico servizio, con abuso dei poteri, o con violazione dei doveri inerenti alla funzione o al servizio, o da chi esercita anche abusivamente la professione di investigatore privato, o con abuso della qualità di operatore del sistema o se il colpevole per commettere il fatto usa minaccia o violenza, ovvero se è palesemente armato”[24].

12. Le modifiche disposte in relazione all’art. 635-ter cod. pen.


In riferimento all’art. 635-ter c.p. che, come è risaputo, prevede il delitto di danneggiamento di informazioni, dati e programmi informatici pubblici o di interesse pubblico, l’art. 16, co. 1, lett. o), legge n. 90 del 2024 ha proceduto alle seguenti modifiche: “1) al primo comma, le parole: «utilizzati dallo Stato o da altro ente pubblico o ad essi pertinenti, o comunque di pubblica utilità, è punito con la reclusione da uno a quattro anni» sono sostituite dalle seguenti: «di interesse militare o relativi all’ordine pubblico o alla sicurezza pubblica o alla sanità o alla protezione civile o comunque di interesse pubblico, è punito con la reclusione da due a sei anni»;  2) il secondo e il terzo comma sono sostituiti dai seguenti: «La pena è della reclusione da tre a otto anni: 1) se il fatto e’ commesso da un pubblico ufficiale o da un incaricato di un pubblico servizio, con abuso dei poteri o con violazione dei doveri inerenti alla funzione o al servizio, o da chi esercita, anche abusivamente, la professione di investigatore privato, o con abuso della qualità di operatore del sistema; 2) se il colpevole per commettere il fatto usa minaccia o violenza ovvero se è palesemente armato; 3) se dal fatto deriva la distruzione, il deterioramento, la cancellazione, l’alterazione o la soppressione delle informazioni ovvero la sottrazione, anche mediante riproduzione o trasmissione, o l’inaccessibilità al legittimo titolare dei dati o dei programmi informatici. La pena è della reclusione da quattro a dodici anni quando taluna delle circostanze di cui ai numeri 1) e 2) del secondo comma concorre con taluna delle circostanze di cui al numero 3)»; 3) nella rubrica, le parole: «utilizzati dallo Stato o da altro ente pubblico o comunque di pubblica utilità» sono sostituite dalle seguenti: «pubblici o di interesse pubblico»”.
Quindi, in ragione di tali emende: 1) viene cambiata la rubrica dell’articolo da “Danneggiamento di informazioni, dati e programmi informatici utilizzati dallo Stato o da altro ente pubblico o comunque di pubblica utilità” a “Danneggiamento di informazioni, dati e programmi informatici pubblici o di interesse pubblico”; 2) si interviene “sulla definizione della fattispecie delittuosa, prevedendo che i fatti descritti debbano essere diretti a distruggere, deteriorare, cancellare, alterare o sopprimere informazioni, dati o programmi di interesse militare o relativi all’ordine pubblico o alla sicurezza pubblica o alla sanità o alla protezione civile o comunque di interesse pubblico”[25]; 3) sono “previste quali circostanze aggravanti, con l’applicazione della pena della reclusione da 3 a 8 anni:  la commissione del fatto da parte di un pubblico ufficiale o incaricato di pubblico servizio con abuso dei poteri o con violazione dei doveri, da un investigatore privato anche abusivo, o con abuso della qualità di operatore di sistema (il testo vigente fa riferimento solo all’abuso della qualità di operatore di sistema e prevede l’aumento della pena fino a un terzo) (nuovo secondo comma, n. 1);  l’uso di violenza o minaccia o la commissione del fatto da parte di persona palesemente armata (rispetto al testo vigente l’aggravante è estesa pertanto alle ipotesi della violenza alle cose e della persona palesemente armata ed è inasprito il trattamento sanzionatorio, prevedendo il testo vigente l’aumento della pena fino a un terzo) (nuovo secondo comma, n. 2);  la distruzione, il deterioramento, la cancellazione, l’alterazione o la soppressione delle informazioni, ovvero la sottrazione, anche mediante riproduzione o trasmissione, o l’inaccessibilità al legittimo titolare dei dati o dei programmi (rispetto al testo vigente, l’aggravante è estesa alle ipotesi di sottrazione o inaccessibilità dei dati o dei programmi) (nuovo secondo comma, n. 3)”[26]; 4) viene sostituito “il terzo comma dell’articolo prevedendo, nel caso di concorso di taluna delle circostanze di cui ai nn. 1 e 2 del secondo comma e della circostanza di cui al n. 3, la pena della reclusione da 4 a 12 anni”[27].

13. Le modificazioni apportate all’art. 635-quater cod. pen.


“Il comma 1, lett. p), interviene sull’art. 635-quater c.p.p. (Danneggiamento di sistemi informatici o telematici)”[28], essendo ivi preveduto quanto segue: “all’articolo 635-quater: 1) al primo comma, le parole: «da uno a cinque anni» sono sostituite dalle seguenti: «da due a sei anni»; 2) il secondo comma e’ sostituito dal seguente: «La pena e’ della reclusione da tre a otto anni: 1) se il fatto e’ commesso da un pubblico ufficiale o da un incaricato di un pubblico servizio, con abuso dei poteri o con violazione dei doveri inerenti alla funzione o al servizio, o da chi esercita, anche abusivamente, la professione di investigatore privato, o con abuso della qualita’ di operatore del sistema; 2) se il colpevole per commettere il fatto usa minaccia o violenza ovvero se e’ palesemente armato»;”.
Queste sono quindi le novità introdotte dalla normativa qui in commento in relazione a tale norma incriminatrice: “l’innalzamento della pena per la fattispecie semplice, con la reclusione da 2 a 6 anni (anziché da 1 a 5 anni); l’ampliamento della fattispecie aggravata; la ridefinizione della pena per la fattispecie aggravata, con la reclusione da 3 a 8 anni (anziché l’aumento fino a un terzo previsto dal testo [pre]vigente)”[29].

14. Il “nuovo” art. 635-quater.1 cod. pen.


L’art. 16, co. 1, lett. q), legge n. 90 del 2024 introduce una ulteriore fattispecie criminosa, vale a dire il delitto di detenzione, diffusione e installazione abusiva di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico.
Invero, tale precetto normativo prevede per l’appunto a tal fine quanto segue: “dopo l’articolo 635-quater e’ inserito il seguente: «Art.  635-quater.1 (Detenzione, diffusione e installazione abusiva di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico). – Chiunque, allo scopo di danneggiare illecitamente un sistema informatico o telematico ovvero le informazioni, i dati o i programmi in esso contenuti o ad esso pertinenti ovvero di favorire l’interruzione, totale o parziale, o l’alterazione del suo funzionamento, abusivamente si procura, detiene, produce, riproduce, importa, diffonde, comunica, consegna o, comunque, mette in altro modo a disposizione di altri o installa apparecchiature, dispositivi o programmi informatici e’ punito con la reclusione fino a due anni e con la multa fino a euro 10.329. La pena e’ della reclusione da due a sei anni quando ricorre taluna delle circostanze di cui all’articolo 615-ter, secondo comma, numero 1). La pena e’ della reclusione da tre a otto anni quando il fatto riguarda i sistemi informatici o telematici di cui all’articolo 615-ter, terzo comma»;”.
Quindi, se il primo comma di questo nuovo articolo “riproduce il vigente art. 615-quinquies c.p.9 (che viene contestualmente abrogato dalla lett. d)”[30], punendo “con la reclusione fino a 2 anni e con la multa fino a euro 10.329 chiunque, allo scopo di danneggiare illecitamente un sistema informatico o telematico, le informazioni, i dati o i programmi in esso contenuti o ad esso pertinenti ovvero di favorire l’interruzione, totale o parziale, o l’alterazione del suo funzionamento, abusivamente si procura, detiene, produce, riproduce, importa, diffonde, comunica, consegna o, comunque, mette in altro modo a disposizione di altri o installa apparecchiature, dispositivi o programmi informatici”[31], a loro volta, il “secondo e il terzo comma prevedono quali circostanze aggravanti:  la commissione del fatto da parte di un pubblico ufficiale o incaricato di pubblico servizio con abuso dei poteri o con violazione dei doveri, da un investigatore privato anche abusivo, o con abuso della qualità di operatore di sistema (reclusione da 2 a 6 anni), previsione operata tramite il rinvio alle circostanze di cui all’art. 615-ter, secondo comma, n. 1;  la commissione del fatto su sistemi informatici o telematici di interesse militare o relativi all’ordine pubblico o alla sicurezza pubblica o alla sanità o alla protezione civile o comunque di interesse pubblico (reclusione da 3 a 8 anni), previsione operata tramite il rinvio all’articolo 615-ter, terzo comma, primo periodo”[32].

15. La riformulazione dell’art. 635-quinquies cod. pen.


L’art. 16, co. 1, lett. r), legge n. 90 del 2024 riformula l’art. 635-quinquies c.p. nei seguenti termini: “l’articolo 635-quinquies e’ sostituito dal seguente: «Art. 635-quinquies (Danneggiamento di sistemi informatici o telematici di pubblico interesse). – Salvo che il fatto costituisca piu’ grave reato, chiunque, mediante le condotte di cui all’articolo 635-bis ovvero attraverso l’introduzione o la trasmissione di dati, informazioni o programmi, compie atti diretti a distruggere, danneggiare o rendere, in tutto o in parte, inservibili sistemi informatici o telematici di pubblico interesse ovvero ad ostacolarne gravemente il funzionamento e’ punito con la pena della reclusione da due a sei anni. La pena e’ della reclusione da tre a otto anni: 1) se il fatto e’ commesso da un pubblico ufficiale o da un incaricato di un pubblico servizio, con abuso dei poteri o con violazione dei doveri inerenti alla funzione o al servizio, o da chi esercita, anche abusivamente, la professione di investigatore privato, o con abuso della qualita’ di operatore del sistema; 2) se il colpevole per commettere il fatto usa minaccia o violenza ovvero se e’ palesemente armato; 3) se dal fatto deriva la distruzione, il deterioramento, la cancellazione, l’alterazione o la soppressione delle informazioni, dei dati o dei programmi informatici. La pena e’ della reclusione da quattro a dodici anni quando taluna delle circostanze di cui ai numeri 1) e 2) del secondo comma concorre con taluna delle circostanze di cui al numero 3)»”.
Quindi, questo “nuovo art. 635-quinquies, come sostituito dalla disposizione in commento, reca la rubrica: Danneggiamento di sistemi informatici o telematici di pubblico interesse”[33] mentre, in precedenza, la rubrica di questa norma incriminatrice era la seguente: “Danneggiamento di sistemi informatici o telematici di pubblica utilità”.
Ciò posto, il “primo comma punisce – salvo che il fatto costituisca più grave reato – con la reclusione da 2 a 6 anni, chiunque, mediante le condotte di cui all’art. 635-bis () ovvero mediante l’introduzione o la trasmissione di dati, informazioni o programmi compie atti diretti a distruggere, danneggiare, rendere, in tutto o in parte, inservibili sistemi informatici o telematici di pubblico interesse ovvero ad ostacolarne gravemente il funzionamento”[34].
“Rispetto al testo vigente si prevede, dunque, l’innalzamento della pena e la sostituzione della nozione di servizi informatici o telematici di pubblica utilità con quella di servizi informatici o telematici di pubblico interesse”[35] mentre, quanto “alle modalità della condotta la disciplina vigente non è sostanzialmente innovata, in quanto – secondo quanto precisato nella relazione illustrativa – la nuova formulazione si limita a riprodurre estensivamente la descrizione della fattispecie che, nel testo vigente, è operata mediante rinvio all’art. 635-quater”[36].
Precisato ciò, dal canto suo, il “secondo comma disciplina le circostanze aggravanti, prevedendo quali circostanze aggravanti, con l’applicazione della pena della reclusione da 3 a 8 anni:  la commissione del fatto da parte di un pubblico ufficiale o incaricato di pubblico servizio con abuso dei poteri o con violazione dei doveri, da un investigatore privato anche abusivo, o con abuso della qualità di operatore di sistema (il testo vigente fa riferimento solo all’abuso della qualità di operatore di sistema e prevede l’aumento della pena fino a un terzo) (n. 1);  l’uso di violenza o minaccia o la commissione del fatto da parte di persona palesemente armata (rispetto al testo vigente l’aggravante è estesa pertanto alle ipotesi della violenza alle cose e della persona palesemente armata ed è inasprito il trattamento sanzionatorio, prevedendo il testo vigente l’aumento della pena fino a un terzo) (n. 2);  la distruzione, il deterioramento, la cancellazione, l’alterazione o la soppressione delle informazioni dei dati o dei programmi (il testo vigente prevede l’aggravante nel caso di distruzione, danneggiamento o inservibilità del sistema) (n. 3)”[37].
Infine, il “terzo comma prevede, nel caso di concorso di taluna delle circostanze di cui ai nn. 1 e 2 del secondo comma e di taluna delle circostanze di cui al n. 3, la pena della reclusione da 4 a 12 anni”[38].

16. Il “nuovo” art. 639-ter cod. pen.


“La lettera s) prevede l’inserimento nel codice penale dell’art. 639-ter in materia di circostanze attenuanti per i delitti di cui agli artt. del codice penale 629, terzo comma, introdotto dalle lett. l) (Estorsione mediante reati informatici (…)), 635-ter (Danneggiamento di informazioni, dati e programmi informatici utilizzati dallo Stato o da altro ente pubblico o comunque di pubblica utilità), 635-quater.1 (Detenzione, diffusione e installazione abusiva di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico) e 635-quinquies, modificato alla lett. q) (Danneggiamento di sistemi informatici o telematici di pubblico interesse)”[39], essendo ivi disposto quanto segue: “nel capo I del titolo tredicesimo del libro secondo, dopo l’articolo 639-bis e’ aggiunto il seguente: «Art. 639-ter (Circostanze attenuanti). – Le pene comminate per i delitti di cui agli articoli 629, terzo comma, 635-ter, 635-quater.1 e 635-quinquies sono diminuite quando, per la natura, la specie, i mezzi, le modalita’ o le circostanze dell’azione ovvero per la particolare tenuita’ del danno o del pericolo, il fatto risulti di lieve entita’. Le pene comminate per i delitti di cui al primo comma sono diminuite dalla meta’ a due terzi per chi si adopera per evitare che l’attivita’ delittuosa sia portata a conseguenze ulteriori, anche aiutando concretamente l’autorita’ di polizia o l’autorita’ giudiziaria nella raccolta di elementi di prova o nel recupero dei proventi dei delitti o degli strumenti utilizzati per la commissione degli stessi. Non si applica il divieto di cui all’articolo 69, quarto comma»;”.
In particolare, sono “previste: una circostanza attenuante a effetto comune (diminuzione della pena fino a un terzo) quando il fatto sia di lieve entità, avuto riguardo alla natura, alla specie, ai mezzi, alle modalità o alle circostanze dell’azione o alla particolare tenuità del danno o del pericolo (primo comma del nuovo art. 639-ter); una circostanza attenuante a effetto speciale (diminuzione della pena dalla metà a due terzi) in favore di chi si adopera per evitare che l’attività delittuosa sia portata a ulteriori conseguenze, anche aiutando concretamente l’autorità giudiziaria o l’autorità di polizia nella raccolta di prove o nel recupero dei proventi dei delitti o degli strumenti utilizzati per la commissione degli stessi (secondo comma del nuovo art. 639-quater)”[40].
Ad ogni modo, alle “predette attenuanti non si applica il divieto di prevalenza sancito dall’art. 69, quarto comma, c.p.”[41].

17. Le modifiche apportate all’art. 640 cod. pen.


“La lettera t) è diretta a sanzionare più rigorosamente le truffe consumate attraverso l’utilizzo di strumenti informatici, prefigurando così la ricorrenza degli estremi della minorata difesa del contraente più debole, ossia il cliente finale allettato dall’offerta artificiosamente camuffata come vantaggiosa”[42].
In particolare, siffatta lettera, nello stabilire che “all’articolo 640: 1) al secondo comma e’ aggiunto, in fine, il seguente numero: «2-ter) se il fatto e’ commesso a distanza attraverso strumenti informatici o telematici idonei a ostacolare la propria o altrui identificazione»; 2) al terzo comma, le parole: «capoverso precedente» sono sostituite dalle seguenti: «secondo comma, a eccezione di quella di cui al numero 2-ter)»”, fa sì che si preveda in tal modo “per tale reato un’ipotesi aggravata (numero 1, che introduce il numero 2-ter al comma secondo dell’articolo 640) e procedibile d’ufficio (numero 2, che interviene sul terzo comma dell’articolo 640), quando il fatto è commesso a distanza mediante strumenti informatici o telematici che ostacolano l’identificazione del proponente”[43].

18. La modificazione apposta all’art. 640-quater cod. pen.


La lettera u), da ultimo, stabilendo che “all’articolo 640-quater, le parole: «numero 1» sono sostituite dalle seguenti: «numeri 1 e 2-ter)»”, in tal guisa “prevede, mediante la modifica dell’articolo 640-quater, nell’ipotesi di truffa aggravata di cui all’articolo 640, comma secondo, numero 2-ter, appena esaminato, l’applicabilità dell’articolo 322-ter[44], in materia di confisca obbligatoria dei beni che costituiscono il profitto o il prezzo del reato”[45].

Le novità sulla cybersicurezza: gli obblighi previsti per PA e imprese dalla legge 28 giugno 2024, n. 90 -formazione per professionisti a cura di Stefano Mele


Le novità sulla cybersicurezza: gli obblighi previsti per PA e imprese dalla legge 28 giugno 2024, n. 90
Il corso illustra le novità e gli adempimenti che la nuova legge 90/2024 sulla cybersicurezza richiede a pubbliche amministrazioni e imprese: gli obblighi e i tempi di segnalazione e notifica, le conseguenze derivanti dalle eventuali inosservanze, i nuovi reati informatici e i principali punti di attenzione che derivano dalla nuova norma.
L’appuntamento è gratuito, previa compilazione del form di iscrizione. 
→ Per più info ed iscrizioni ←

→ Vai al modulo per l’iscrizione←

Note


[1]Servizio studi del Senato della Repubblica e Servizio studi dei Dipartimenti Istituzioni e Giustizia della Camera dei Deputati, Dossier n. 257/2 riguardante le Disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici (A.S. n. 1143), 22 maggio 2024, in senato.it, p. 52.
[2]Ibidem, p. 50.
[3]Ibidem, p. 50.
[4]Ibidem, p. 50.
[5]Relazione tecnica riguardante Disegno di legge recante disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici (AS 1143), verificata dal Dipartimento della Ragioneria generale dello Stato del Ministero dell’Economia e delle Finanze il 28/05/2024, in senato.it, p. 10.
[6]Ibidem, p. 10.
[7]Ibidem, p. 10.
[8]Servizio studi del Senato della Repubblica e Servizio studi dei Dipartimenti Istituzioni e Giustizia della Camera dei Deputati, Dossier n. 257/2 riguardante le Disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici (A.S. n. 1143), 22 maggio 2024, in senato.it, p. 52.
[9]Ibidem, p. 52.
[10]Ibidem, p. 52.
[11]Relazione tecnica riguardante Disegno di legge recante disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici (AS 1143), verificata dal Dipartimento della Ragioneria generale dello Stato del Ministero dell’Economia e delle Finanze il 28/05/2024, in senato.it, p. 10 e p. 11.
[12]Ibidem, p. 11.
[13]Servizio del bilancio del Senato della Repubblica, Dossier n. 149 del mese di maggio del 2024 riguardante il progetto di legge   A.S. 1143: “Disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici”, in senato.it, p. 19.
[14]Ibidem, p. 19.
[15]Servizio studi del Senato della Repubblica e Servizio studi dei Dipartimenti Istituzioni e Giustizia della Camera dei Deputati, Dossier n. 257/2 riguardante le Disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici (A.S. n. 1143), 22 maggio 2024, in senato.it, p. 55.
[16]Ibidem, p. 55.
[17]Ibidem, p. 55.
[18]Ibidem, p. 56.
[19]Ibidem, p. 56.
[20]Ibidem, p. 56.
[21]Ibidem, p. 56.
[22]Relazione tecnica riguardante Disegno di legge recante disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici (AS 1143), verificata dal Dipartimento della Ragioneria generale dello Stato del Ministero dell’Economia e delle Finanze il 28/05/2024, in senato.it, p. 12.
[23]Ibidem, p. 12.
[24]Ibidem, p. 12.
[25]Servizio studi del Senato della Repubblica e Servizio studi dei Dipartimenti Istituzioni e Giustizia della Camera dei Deputati, Dossier n. 257/2 riguardante le Disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici (A.S. n. 1143), 22 maggio 2024, in senato.it, p. 58.
[26]Ibidem, p. 58 e p. 59.
[27]Ibidem, p. 59.
[28]Ibidem, p. 59.
[29]Servizio del bilancio del Senato della Repubblica, Dossier n. 149 del mese di maggio del 2024 riguardante il progetto di legge   A.S. 1143: “Disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici”, in senato.it, p. 20.
[30]Servizio studi del Senato della Repubblica e Servizio studi dei Dipartimenti Istituzioni e Giustizia della Camera dei Deputati, Dossier n. 257/2 riguardante le Disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici (A.S. n. 1143), 22 maggio 2024, in senato.it, p. 60.
[31]Ibidem, p. 60.
[32]Ibidem, p. 60.
[33]Ibidem, p. 61.
[34]Ibidem, p. 61.
[35]Ibidem, p. 61.
[36]Ibidem, p. 61.
[37]Ibidem, p. 61 e p. 62.
[38]Ibidem, p. 62.
[39]Servizio del bilancio del Senato della Repubblica, Dossier n. 149 del mese di maggio del 2024 riguardante il progetto di legge   A.S. 1143: “Disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici”, in senato.it, p. 20.
[40]Ibidem, p. 20.
[41]Ibidem, p. 20.
[42]Relazione tecnica riguardante Disegno di legge recante disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici (AS 1143), verificata dal Dipartimento della Ragioneria generale dello Stato del Ministero dell’Economia e delle Finanze il 28/05/2024, in senato.it, p. 14.
[43]Ibidem, p. 14.
[44]Ai sensi del quale: “1. Nel caso di condanna, o di applicazione della pena su richiesta delle parti a norma dell’articolo 444 del codice di procedura penale, per uno dei delitti previsti dagli articoli da 314 a 320, anche se commessi dai soggetti indicati nell’articolo 322-bis, primo comma, è sempre ordinata la confisca dei beni che ne costituiscono il profitto o il prezzo, salvo che appartengano a persona estranea al reato, ovvero, quando essa non è possibile, la confisca di beni, di cui il reo ha la disponibilità, per un valore corrispondente a tale prezzo o profitto (3). 2. Nel caso di condanna, o di applicazione della pena a norma dell’articolo 444 del codice di procedura penale, per il delitto previsto dall’articolo 321, anche se commesso ai sensi dell’articolo 322-bis, secondo comma, è sempre ordinata la confisca dei beni che ne costituiscono il profitto salvo che appartengano a persona estranea al reato, ovvero, quando essa non è possibile, la confisca di beni, di cui il reo ha la disponibilità, per un valore corrispondente a quello di detto profitto e, comunque, non inferiore a quello del denaro o delle altre utilità date o promesse al pubblico ufficiale o all’incaricato di pubblico servizio o agli altri soggetti indicati nell’articolo 322-bis, secondo comma. 3. Nei casi di cui ai commi primo e secondo, il giudice, con la sentenza di condanna, determina le somme di denaro o individua i beni assoggettati a confisca in quanto costituenti il profitto o il prezzo del reato ovvero in quanto di valore corrispondente al profitto o al prezzo del reato”.
[45]Relazione tecnica riguardante Disegno di legge recante disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici (AS 1143), verificata dal Dipartimento della Ragioneria generale dello Stato del Ministero dell’Economia e delle Finanze il 28/05/2024, in senato.it, p. 14.

Scrivi un commento

Accedi per poter inserire un commento