In tale contesto è è stata emanata la Legge 28 giugno 2024, n. 90, recante “[d]isposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici”, pubblicata sulla Gazzetta Ufficiale il 02.07.2024 ed entrata in vigore il 17.07.2024.
Il testo è composto da due capi ed ossia il primo (artt. 1-15) nel quale sono contenute le “[d]isposizioni in materia di rafforzamento della cybersicurezza nazionale, di resilienza delle pubbliche amministrazioni e del settore finanziario, di personale e funzionamento dell’Agenzia per la cybersicurezza nazionale e degli organismi di informazione per la sicurezza nonché di contratti pubblici di beni e servizi informatici impiegati in un contesto connesso alla tutela degli interessi nazionali strategici” ed il secondo (artt. 16-24) che contiene le “[d]isposizioni per la prevenzione e il contrasto dei reati informatici nonché in materia di coordinamento degli interventi in caso di attacchi a sistemi informatici o telematici e di sicurezza delle banche di dati in uso presso gli uffici giudiziari”.
La nuova legge, con l'art. 16, ha anche introdotto importanti modifiche al Codice Penale intervenendo sull'art. 629 (in materia di estorsione), modificando il secondo comma ed introducendo un terzo comma.
Il terzo comma del nuovo art. 629 c.p. punisce infatti “chiunque, mediante le condotte di cui agli articoli 615 ter, 617 quater, 617 sexies, 635 quater e 635 quinquies ovvero con la minaccia di compierle, costringe taluno a fare o ad omettere qualche cosa, procurando a sé o ad altri un ingiusto profitto con altrui danno, è punito con la reclusione da sei a dodici anni e con la multa da euro 5.000 a euro 10.000. La pena è della reclusione da otto a ventidue anni e della multa da euro 6.000 a euro 18.000, se concorre taluna delle circostanze indicate nel terzo comma dell’articolo 628 nonché nel caso in cui il fatto sia commesso nei confronti di persona incapace per età o per infermità”.
Leggendo il testo si comprende, dunque, che è stata prevista la punibilità dell'estorsione che sia commessa tramite i reati di: accesso abusivo a sistema informatico o telematico (art. 615 ter c.p.); intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche (art. 617 quater c.p.); falsificazione, alterazione o soppressione del contenuto di comunicazioni informatiche o telematiche (art. 617 sexies c.p.); danneggiamento di sistemi informatici o telematici (art. 635 quater c.p.) e danneggiamento di sistemi informatici o telematici di pubblica utilità (art. 635 quinquies c.p.).
Il legislatore, con tale norma ha dunque inteso proteggere non solo il bene della sicurezza informatica (già protetto peraltro dai citati art. 615 ter, 617 quater e sexies, 635 quater e 635 quinquies), ma anche (così come avviene per il reato di estorsione "tradizionale", il patrimonio della persona offesa con l’irrogazione di pene anche molto severe (si parte, infatti, da un minimo della pena di sei anni).
Rileggendo la norma, peraltro, appare subito evidente, ai fini dell'applicazione delle pene più gravi (da otto a ventidue anni) il riferimento alle circostanze aggravanti di cui all'art. 628 del Codice Penale (la rapina).
Ciò premesso appare abbastanza evidente come tale aggravamento sanzionatorio sia stato introdotto soprattutto al fine di contrastare il sempre più crescente fenomeo del "ransomware" e cioè quella particolare tipologia di virus informatici che bloccano l'accesso ai file dell'utente richiedendo in cambio dello sblocco una somma di denaro (molto spesso in criptovalute).
A parte questo altri fenomeni estorsivi sono rappresentati ad esempio dalla minaccia di diffusione dei dati personali della vittima sul web ovvero di metterli in vendita attraverso siti illeciti ovvero ancora quello della cosiddeta "sextortion" e cioè la minaccia di diffondere immagini "intime" della vittima.
La particolarità della norma è rappresentato dal fatto che non è stato individuata una nuova fattispecie di reato per l'estorsione informatica, ma lo stesso è stato inserito all'interno dell'ipotesi dell'estorsione tradizionale.
Non solo, ma a differnza dell'estorsione classica la fattispeice in questione prevede la preventiva commissione di un altro reato informatico tra quelli citati (615 ter e altri che già di per sè costituiscono una fattispecie criminosa) ovvero la "minaccia" di compierli, costringendo taluno a fare od omettere qualcosa nonché procurando a sé un profitto “ingiusto”.
Sotto tale profilo sarebbe stato, dunque, opportuno creare una fattispecie di reato autonoma, visto che appunto perchè la stessa si possa configurare è necessaria la commissione di più azioni alcune delle quali (615 ter, 617 quater, ecc..) sono già punite autonomamente come reati unitamente a quella dell'estorsione classica.
Tra l'altro il reato in questione, per come è stata elaborata la norma si configurerebbe a prescindere dall'avvenuto versamento della somma di denaro richiesta per sbloccare il sistema informatico bloccato appunto dal virus, mentre nell’estorsione il conseguimento del profitto ingiusto è un vero e proprio un elemento costitutivo del reato.
Come detto le pene previste sono molto pesanti (reclusione da 6 a 12 anni e la multa da euro 5.000 a euro 10.000 nell'ipotesi base) con limiti edittali addirittura più alti rispetto all’ipotesi di estorsione “semplice” (da 5 a 10 anni, ndr).
Sul punto va detto che se, la finalità offensiva ulteriore potrebbe giustificare pene più elevate nei delitti a dolo specifico (come nel caso di specie), non è, invece, così scontato che il ricorso a uno strumento informatico, debba essere considerato più grave, rispetto alla violenza fisica o alla minaccia, nella commissione del delitto di estorsione.
Il nuovo comma 3 dell’art. 629 c.p., sotto tale profilo, potrebbe, dunque, essere sottoposto ad un vaglio di legittimità costituzionale, essendo legittimo quantomeno dubitare che l’estorsione informatica sia di per sé ogni caso più grave rispetto all’estorsione “comune” nella quale la violenza o la minaccia possono riguardare l'integrità fisica della persona.
Quanto alle aggravanti per la cui applicazione si fa stranamente riferimento quelle del delitto di rapina appare difficile possano verificarsi nell'applicazoine pratica.
Per esempio l'art. 628 prevede un aggravante se il fatto è commesso con l'uso delle armi ovvero ancora se commesso all'interno di un mezzo di trasporto con l'incredibile conseguenza che se, per assurdo un hacker commettesse la fattispecie criminosa di cui al nuovo 629 c.p terzo comma all'interno di un autobus sarebbe punito più severamente di chi lo commette in casa propria (!!).
Quanto al coordinamento con le altre norme va detto che al reato previsto dall’art. 629, co. 3, c.p. potranno essere applicabili anche le circostanze attenuanti del “fatto di lieve entità” e del “ravvedimento”/“collaborazione” dopo la commissione del delitto previste dal nuovo art. 639-ter c.p. (art. 15, co. 1, lett. s).
Da segnalare anche che, in maniera alquanto strana, il reato di cui all'art. 629 terzo comma, viene inserito tra quelli che presuppongono una responsabilità amministrativa da reato dell’ente di cui al Dlgs 231/2001, atteso che tali attacchi informatici sono essenzialmente riconducibili a gruppi criminali e non già ad Enti privati.
La norma in questione (la legge 90/2024) introduce anche importanti modifiche al codice di procedura penale prevedendo, per i reati informatici l’attribuzione della competenza delle indagini preliminari alla Procura distrettuale nonchè la deroga all’ordinario regime per la concessione della proroga dei termini per lo svolgimento delle indagini preliminari.
Pe effetto di tali norme, in applicazione di quanto previsto dall’art. 406, comma 5-bis c.p.p. – il giudice provvede con ordinanza entro dieci giorni dalla presentazione della richiesta di proroga, nonchè l’estensione del termine di durata massima delle indagini preliminari a 2 anni.
Invero si segnala, però, che l'art. 17 stranamento non fa rinvio a tale disposizione e, dunque, (a differenza dei reati informatici "ordinari") per il reato di cui 629 terzo comma (probabilmente a causa di uns svista del legislatore) non vi sarebbe nè la specifica competenza della Procura distrettuale, né il regime derogatorio in tema di durata delle indagini preliminari e proroga dei termini).
Naturalmente, al di là delle critiche e perplessità portate dalla dottrina sarà, come sempre la giurisprudenza a fornire criteri intepretatvi e applicativi della detta norma.
In conclusione, dunque, la Legge n. 90/2024 può certamente essere considerata un'importante novità finalizzata ad introdurre nell’ordinamento giuridico misure utili per far fronte al dilagare dei reati informatici, sebbene la stessa sia meritevole di alcuni piccoli interventi necessari a renderla non solo più efficace, ma anche e soprattutto armonica con l'intero impianto normativo penale e non solo.
Commenti
Posta un commento