La Legge 90/2024, pubblicata in Gazzetta Ufficiale il 2 luglio 2024, rappresenta un punto di svolta nella regolamentazione della cybersicurezza in Italia. Con l’aumento delle sanzioni e l’introduzione di nuove circostanze aggravanti per i reati informatici, questa normativa ha un impatto significativo sulla compliance aziendale, in particolare sul Modello 231 e sulla protezione dei dati personali. In questo articolo, analizzeremo nel dettaglio le principali modifiche introdotte dalla legge e come le aziende devono adattarsi per rispettare le nuove disposizioni.
Table of Contents
Introduzione alla Legge 90/2024
La crescente criminalità informatica e l’adozione di tecniche sempre più sofisticate hanno reso necessaria una revisione delle normative esistenti. La Legge 90/2024 nasce in risposta a questa esigenza, con l’obiettivo di rafforzare la sicurezza informatica nazionale. La nuova legge prevede un inasprimento delle pene per i reati informatici, un’estensione dei confini del dolo specifico e l’introduzione di nuove circostanze aggravanti.
Le principali modifiche introdotte
Innalzamento delle pene per i reati informatici
Una delle modifiche più rilevanti introdotte dalla Legge 90/2024 riguarda l’innalzamento delle pene per i reati informatici. Le sanzioni pecuniarie per gli enti responsabili di tali reati sono ora comprese tra 500 e 700 quote, rispetto alla precedente fascia di 100-200 quote. Questo aumento significativo mira a scoraggiare la commissione di reati attraverso l’uso di apparecchiature informatiche.
Estensione del dolo specifico e nuove circostanze aggravanti
La legge estende inoltre i confini del dolo specifico, includendo azioni commesse per ottenere indebiti vantaggi con danno altrui. Sono state introdotte anche nuove circostanze aggravanti per i reati commessi utilizzando dispositivi informatici, e sono stati vietati gli sconti di pena per alcune fattispecie di reato. Questo approccio più rigido sottolinea l’importanza della prevenzione e della punizione adeguata dei crimini informatici.
Impatti sul Modello 231
Modifiche all’articolo 24-bis del Decreto 231
La Legge 90/2024 ha introdotto modifiche significative all’articolo 24-bis del Decreto Legislativo n. 231/2001, che riguarda i delitti informatici e il trattamento illecito di dati. In particolare, il primo comma dell’art. 24-bis è stato aggiornato per riflettere l’aumento delle sanzioni pecuniarie. Al comma 2, il riferimento all’articolo 615-quinquies del Codice Penale è stato sostituito con l’articolo 635-quater.1, che include due nuove circostanze aggravanti.
Introduzione del nuovo comma 1-bis
Un’altra modifica rilevante è l’introduzione del nuovo comma 1-bis, che punisce la fattispecie di estorsione mediante reati informatici con sanzioni pecuniarie comprese tra 300 e 800 quote, oltre a sanzioni interdittive di almeno due anni. Questa disposizione evidenzia la gravità attribuita alle estorsioni commesse attraverso strumenti informatici e la necessità di una risposta sanzionatoria adeguata.
Esempi pratici di applicazione
Caso Alpha S.p.A. vs Beta S.r.l.
Immaginiamo un caso in cui il responsabile commerciale di Alpha S.p.A., ex dipendente di Beta S.r.l., accede abusivamente ai sistemi informatici di quest’ultima per carpire informazioni riservate. Questa azione potrebbe configurare un concorso tra il delitto informatico di accesso abusivo a un sistema informatico e uno dei delitti contro l’industria e il commercio, con conseguenze legali sia per il dipendente che per l’azienda.
Caso Gamma S.r.l.
Consideriamo un altro scenario in cui un dipendente di Gamma S.r.l. subisce un infortunio grave e il direttore di stabilimento manomette le registrazioni del sistema di videosorveglianza per evitare sanzioni. Questa condotta potrebbe rientrare nel reato di danneggiamento di sistemi informatici previsto dall’art. 635-quater del Codice Penale e punito dall’art. 24-bis del Decreto 231, con sanzioni per la società.
Compliance e gestione dei rischi
Impatti sulla protezione dei dati personali
La commissione di reati informatici spesso coincide con una violazione dei dati personali, nota come data breach. Il Regolamento Generale sulla Protezione dei Dati (GDPR) impone al titolare del trattamento di notificare tali violazioni al Garante per la protezione dei dati personali entro 72 ore. La mancata notifica può comportare severe sanzioni, rendendo essenziale per le aziende implementare misure di sicurezza adeguate per proteggere i dati personali.
Adattamento dei Modelli di Organizzazione e Gestione
Per minimizzare i rischi associati ai reati informatici, le aziende devono aggiornare i propri Modelli di Organizzazione e Gestione ai sensi del D.Lgs. 231/2001. Questo processo include la valutazione dei rischi e l’implementazione di misure di controllo adeguate. Procedure interne rigorose e sistemi di monitoraggio continuo sono fondamentali per prevenire accessi non autorizzati e violazioni dei dati.
Formazione e sensibilizzazione dei dipendenti
Programmi di formazione
Organizzare programmi di formazione per sensibilizzare i dipendenti sulla responsabilità amministrativa degli enti è cruciale. Questi programmi devono educare i dipendenti sulle nuove disposizioni normative e sui rischi associati ai reati informatici. La consapevolezza dei rischi e la comprensione delle misure di sicurezza possono prevenire azioni illecite che potrebbero danneggiare l’azienda.
Ruolo dell’Organismo di Vigilanza
L’Organismo di Vigilanza (OdV) gioca un ruolo chiave nella supervisione delle attività di compliance. Deve garantire che le misure di sicurezza siano implementate correttamente e che le procedure interne siano seguite. La collaborazione tra consulenti di compliance e l’OdV è essenziale per creare una cultura aziendale orientata alla sicurezza e alla consapevolezza dei rischi digitali.
Leggi anche: Riforma Nordio: abolito l’abuso d’ufficio e nuove norme giudiziarie
