L’entrata in vigore del d.lgs. n. 231 del 2001 ha segnato un punto di svolta nel diritto penale italiano, introducendo per la prima volta la responsabilità penale delle persone giuridiche.
Un cambiamento che ha imposto alle aziende l’adozione di Modelli di organizzazione, gestione e controllo (MOGC) accurati e funzionali, non solo come misura preventiva, ma anche come vera e propria salvaguardia.
Negli anni, i reati-presupposto che possono determinare l’applicazione del decreto si sono moltiplicati, acquisendo una dimensione tecnologica con l’introduzione dei cosiddetti computer crime.
Un tema delicato e complesso, che richiede una costante attenzione al fine di evitare onerose sanzioni e preservare al contempo la reputazione dell’azienda sul mercato.
La responsabilità penale delle persone giuridiche: il d.lgs. n. 231 del 2001
Come noto, il d.lgs. n. 231 del 2001 ha introdotto nel nostro ordinamento un regime di responsabilità a carico delle persone giuridiche, delle società e delle associazioni anche prive di personalità derivante dalla commissione, o tentata commissione, di determinate fattispecie di reato ad opera dei soggetti apicali degli enti o di persone a questi sottoposte, nell’interesse o a vantaggio dell’ente stesso.
L’ambito applicativo della normativa in oggetto, inizialmente limitato ad alcuni delitti contro la pubblica amministrazione, è stato fortemente ampliato nel corso degli anni e, stante la continua evoluzione della materia, da ultimo sono state progressivamente introdotte nuove ed eterogenee tipologie di reati-presupposto quali, tra gli altri, i reati tributari, il riciclaggio, l’autoriciclaggio e, per quanto qui di nostro interesse, i computer crime.
L’accertamento della responsabilità dell’ente comporta l’applicazione a suo carico di sanzioni pecuniarie e di pesanti sanzioni interdittive (interdizione dall’esercizio dell’attività; sospensione o revoca delle autorizzazioni, licenze o concessioni funzionali alla commissione dell’illecito; divieto di contrattare con la pubblica amministrazione; esclusione da agevolazioni, finanziamenti, contributi o sussidi e revoca eventuale di quelli già concessi; divieto di pubblicizzare beni o servizi) suscettibili di arrecare non solo gravi pregiudizi alla posizione dell’impresa sul mercato, ma anche un irreparabile danno reputazionale agli occhi dei vari stakeholder dell’ente.
L’importanza dei Modelli di organizzazione, gestione e controllo (MOGC)
Al fine di sottrarsi all’applicazione delle sanzioni di cui sopra, il legislatore ha previsto la possibilità per l’ente di dimostrare la preventiva efficace adozione di modelli di organizzazione, gestione e controllo (MOGC) idonei a prevenire la realizzazione degli illeciti penali da cui scaturirebbe la sua responsabilità (para) penale.
Soltanto attraverso l’adozione di idonei Modelli Organizzativi 231– e la loro costante applicazione, monitoraggio ed aggiornamento – sarà possibile evitare l’irrogazione di misure cautelari e di sanzioni in grado di avere effetti potenzialmente “letali” sull’ente.
In particolare, il modello di organizzazione volto a prevenire la commissione dei reati presupposto:
- se adottato in via preventiva rispetto alla commissione del reato, può esimere l’ente da responsabilità e, comunque, salvaguardarlo dall’applicazione di una misura cautelare interdittiva;
- se adottato successivamente alla commissione del reato presupposto, comporta una riduzione della sanzione pecuniaria e preclude l’irrogazione di sanzioni interdittive, nonché l’applicazione delle stesse in via cautelare.
Sarà inoltre evitata, in entrambe le fattispecie, la pubblicazione della sentenza di condanna, salvaguardando così l’immagine “pubblica” dell’ente.
La necessità di una dimensione internazionale del contrasto alla criminalità
Viviamo in un’epoca digitale in cui, dopo l’affermazione di Internet, non solo la nostra dimensione privata, ma anche la criminalità, ha assunto, tre le altre più classiche, una spiccata ed in qualche misura innovativa vocazione alla dematerializzazione delle condotte, queste oramai prive di confini geografici e foriere di ampliamento di possibili fattispecie di reato. Fattispecie che, per la loro dimensione e per la difficoltà di accertamento, non possono essere efficacemente perseguite soltanto all’interno dei confini nazionali, rendendo obbligato il passaggio da sistemi penali costruiti su misura interna ad una dimensione internazionale del contrasto alla criminalità, organizzata e non. Il crimine cibernetico si distingue, dunque, dalla criminalità tradizionale per l’assenza di confini fisici e geografici con conseguente aumento della vulnerabilità delle potenziali vittime che molto spesso non riescono a percepire il pericolo in quanto non fisicamente tangibile.
La pandemia da COVID-19 ha accelerato ulteriormente quello che già sembrava essere un processo “evolutivo” ineluttabile; con l’incremento della forma telematica che sta di fatto sostituendo la maggior parte delle attività economiche (e-commerce, home banking, trading online), lavorative (smart working) e sociali (e-government, social network), si è assistito da un lato ad una crescita esponenziale delle opportunità di sviluppo personale e d’impresa ma, dall’altro, ad un aumento della criminalità virtuale.
Cybercrime e responsabilità amministrativa degli enti
Nello specifico, per quanto concerne il rapporto tra il cybercrime e la responsabilità amministrativa degli enti, l’art. 24-bis del d.lgs. 231/2001 (delitti informatici e trattamento illecito dei dati) è stato introdotto dalla l. 48/2008 ed è stato modificato, da ultimo, dal d.l. 105/2019, convertito mediante la l. 133/2013, attraverso il quale il legislatore ha istituito il perimetro di sicurezza nazionale cibernetica. Per tale si intende quell’insieme di reti, sistemi informativi e servizi informatici di Pubbliche Amministrazioni, enti ed operatori privati aventi una sede nel territorio nazionale da cui dipende l’esercizio di una funzione essenziale dello Stato e dal cui malfunzionamento e interruzione, anche parziale, ovvero utilizzo improprio possa derivare un pregiudizio alla sicurezza nazionale.
I reati forieri di possibile responsabilità para-penale degli enti
I reati forieri di possibile responsabilità para-penale degli enti, contemplati dall’art. 24-bis sono:
Falsità di documenti informatici (art. 491-bis c.p.)
La norma sanziona le condotte di falso sui documenti informatici pubblici aventi efficacia probatoria estendendo, attraverso un espresso rinvio, l’applicazione delle disposizioni sulla falsità in atti (falso materiale e ideologico) alle ipotesi di falso su documento informatico
Accesso abusivo a un sistema informatico o telematico (art. 615-ter c.p.)
Tale ipotesi di reato punisce chiunque si introduca abusivamente in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantenga contro la volontà espressa o tacita di chi ha il diritto di escluderlo.
Nel primo caso si mira dunque a punire colui che abusivamente si introduce in un sistema informatico o telematico protetto. Più precisamente, l’introduzione nel sistema informatico deve realizzarsi mediante un accesso non autorizzato al sistema stesso, intendendosi come tale l’inizio di un’interazione con il software della macchina che supporta il sistema cui abusivamente si accede (cd. accesso logico). La condotta di introduzione si realizza nel momento in cui l’agente oltrepassa abusivamente le barriere di protezione sia dell’hardware che del software. La legge non richiede che l’agente abbia preso conoscenza di tutti o di una parte cospicua dei dati memorizzati nel sistema violato; per l’integrazione della condotta di introduzione è sufficiente che lo stesso abbia superato le barriere di protezione e che abbia iniziato a conoscere i dati in esso contenuti.
Nel caso del mantenimento, invece, si punisce la condotta di colui che permane nel sistema informatico/telematico contro la volontà di chi ha il diritto di escluderlo. Si tratta di casi in cui l’introduzione nel sistema avviene originariamente in modo legittimo, ma diviene poi illecita in un secondo tempo, a causa del superamento dei limiti di permanenza nel sistema.
Sistema informatico e telematico: le definizioni
Per “sistema informatico” deve intendersi qualsiasi apparecchiatura o rete di apparecchiature interconnesse o collegate, una o più delle quali, attraverso l’esecuzione di un programma per elaboratore, compiono l’elaborazione automatica di dati.
Per “sistema telematico” si intende un sistema combinato di apparecchiature, idoneo alla trasmissione a distanza di dati e informazioni, attraverso l’impiego di tecnologie dedicate alle comunicazioni.
Detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici (art. 615-quater c.p.)
La condotta incriminata consiste alternativamente nel procurarsi, ovvero acquistare in qualsiasi modo la disponibilità (è del tutto irrilevante che il codice di accesso al sistema informatico altrui, oggetto di cessione, sia stato ottenuto illecitamente) riprodurre, ovvero effettuare la copia in uno o più esemplari, diffondere ovvero divulgare, comunicare, ovvero portare a conoscenza materialmente a terzi, codici, parole chiave o altri mezzi idonei all’accesso ad un sistema informatico o telematico altrui protetto da misure di sicurezza, oppure nel fornire indicazioni o istruzioni idonee a consentire ad un terzo di accedere ad un sistema informatico altrui protetto da misure di sicurezza.
La norma prevede un aggravamento di pena nelle ipotesi in cui il fatto sia commesso in danno di un sistema informatico o telematico utilizzato dallo Stato o da altro ente pubblico o da impresa esercente servizi pubblici o di pubblica utilità; da un pubblico ufficiale o da un incaricato di pubblico servizio, con abuso dei poteri o con violazione dei doveri inerenti alla funzione o al servizio, ovvero con abuso della qualità di operatore del sistema.
Diffusione di programmi diretti a danneggiare o interrompere un sistema informatico (art. 615-quinquies c.p.)
La norma intende preservare il corretto funzionamento delle tecnologie informatiche. Essa sanziona la condotta di chiunque si procura, produce, riproduce, importa, diffonde, comunica, consegna o, comunque, mette a disposizione di altri apparecchiature, dispositivi o programmi informatici, allo scopo di danneggiare illecitamente un sistema informatico o telematico, le informazioni, i dati o i programmi in esso contenuti o a esso pertinenti, ovvero di favorire l’interruzione, totale o parziale, l’alterazione del suo funzionamento.
Il riferimento è, tra l’altro, ai c.d. virus, programmi capaci di modificare o cancellare i dati di un sistema informatico
Intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche (art. 617-quater c.p.)
La norma in esame tutela la riservatezza delle comunicazioni informatiche ovvero il diritto all’esclusività della conoscenza del contenuto di queste ultime, sia nei confronti di condotte di indebita captazione, sia di rivelazione di contenuti illecitamente appresi.
Tale fattispecie di reato può configurarsi attraverso due distinte modalità: l’ipotesi in cui un soggetto fraudolentemente intercetti, interrompa o impedisca, con interruzioni provocate da qualsiasi forma di ingresso nel sistema, le comunicazioni intercorrenti tra soggetti terzi per il tramite di sistemi informatici o telematici, oppure l’ipotesi in cui un soggetto diffonda il contenuto di comunicazioni informatiche o telematiche fraudolentemente intercettate tramite un mezzo di comunicazione al pubblico.
Per intercettazione deve intendersi la presa di conoscenza del contenuto di comunicazioni informatiche o telematiche, che deve essere attuata con modalità fraudolente, l’impedimento è la privazione della possibilità di iniziare una comunicazione, l’interruzione consiste creare ostacoli tali da rendere impossibile la prosecuzione della comunicazione già iniziata, mentre rivelazione è qualsiasi forma di divulgazione delle comunicazioni.
Il terzo comma della fattispecie in esame prevede delle circostanze aggravanti per i casi in cui il fatto sia commesso a danni di un sistema informatico o telematico utilizzato dallo Stato o da altro ente pubblico o da altra impresa esercente servizi pubblici o di pubblica necessità, o da pubblico ufficiale o incaricato di pubblico servizio con abuso di potere, o con abuso della qualità di operatore di sistema, o da chi esercita la professione di investigatore privato;
Installazione di apparecchiature atte ad intercettare, impedire od interrompere comunicazioni informatiche o telematiche (art. 617-quinquies c.p.)
La norma tutela il bene giuridico della riservatezza delle informazioni o notizie trasmesse per via telematica o elaborate da singoli sistemi informatici. Questa ipotesi di reato si configura nel caso in cui vengano istallate apparecchiature volte a consentire al soggetto agente o ad altro soggetto di intercettare, interrompere o impedire comunicazioni informatiche o telematiche. La condotta sanzionata è quella dell’installazione, nel senso che il complesso delle apparecchiature deve essere posto in condizione di poter svolgere le funzioni richieste dalla norma, ovvero “intercettare, impedire o interrompere”;
Danneggiamento di informazioni, dati e programmi informatici (art. 635-bis c.p.)
La norma punisce chiunque, salvo che il fatto costituisca più grave reato, distrugge, deteriora, cancella, altera o sopprime informazioni dati e programmi informatici. La pena è aumentata se il fatto è commesso con violenza alla persona o con minaccia, ovvero con abuso della qualità di operatore di sistema;
Danneggiamento di informazioni, dati e programmi informatici utilizzati dallo Stato o da altro Ente pubblico o comunque di pubblica utilità (art. 635-ter c.p.)
La norma, salvo che il fatto costituisca più grave reato, sanziona la condotta di chiunque ponga in essere atti volti a distruggere, deteriorare, cancellare, alterare o a sopprimere informazioni dati e programmi informatici utilizzati dallo Stato o da altro Ente pubblico o ad essi pertinenti o comunque di pubblica utilità. La pena è aumentata qualora dal fatto consegua la distruzione, il deterioramento, la cancellazione, l’alterazione o la soppressione delle informazioni, dei dati o programmi informatici o se il fatto è commesso con violenza alla persona o con minaccia ovvero con abuso della qualità di operatore di sistema;
Danneggiamento di sistemi informatici o telematici (art. 635-quater c.p.)
La fattispecie di cui trattasi risulta integrata laddove sia cagionato il danneggiamento di un sistema informatico o telematico mediante la distruzione, il deterioramento, la cancellazione, l’alterazione o la soppressione di informazioni, dati o programmi ovvero tramite l’introduzione o la trasmissione di dati, informazioni o programmi. La distinzione tra il danneggiamento di dati (punito dall’art. 635-bis c.p.) e il danneggiamento del sistema è pertanto legata alle conseguenze che la condotta assume: laddove la soppressione o l’alterazione di dati informazioni e programmi renda inservibile, o quantomeno ostacoli gravemente il funzionamento del sistema, ricorrerà la più grave fattispecie del danneggiamento di sistemi informatici o telematici, prevista appunto dall’art. 635-quater c.p.
Anche in questo caso il legislatore ha previsto un aggravamento di pena nelle ipotesi in cui il fatto sia commesso con violenza alla persona o con minaccia ovvero con abuso della qualità di operatore di sistema;
Danneggiamento di sistemi informatici o telematici di pubblica utilità (art. 635-quinquies c.p.)
La norma sanziona la stessa condotta di cui al punto precedente nel caso in cui il fatto è diretto a distruggere, danneggiare, rendere, in tutto o in parte, inservibili sistemi informatici o telematici di pubblica utilità o ad ostacolarne gravemente il funzionamento. La pena è aumentata se dal fatto deriva la distruzione o il danneggiamento del sistema informatico o telematico di pubblica utilità ovvero se questo è reso, in tutto o in parte, inservibile e se il fatto è commesso con violenza alla persona o con minaccia ovvero con abuso della qualità di operatore del sistema;
Frode informatica del certificatore di firma elettronica (art. 640-quinquies c.p.)
La norma sanziona il soggetto, che nell’esercizio dei propri servizi di certificazione di firma elettronica, al fine di procurare a sé o ad altri un ingiusto profitto ovvero di arrecare un danno, viola gli obblighi di legge per il rilascio di un certificato qualificato;
Ostacolo o condizionamento dell’espletamento alle misure di sicurezza nazionale cibernetica (art. 1, comma 11, del D.L. 21 settembre 2019, n.105)
Viene contemplata la fattispecie di falsa o omessa comunicazione entro i termini prescritti di informazioni, dati o elementi rilevanti per la predisposizione o aggiornamento degli elenchi nei sistemi e servizi informatici, allo scopo di ostacolare attività di vigilanza e ispettiva svolta dalla Presidenza del Consiglio o al Ministero dello Sviluppo economico.
L’articolo 24-bis del d.lgs. 231/2001 prende in considerazione i soli reati informatici in senso stretto. La frode informatica è stata collocata all’art. 24, d.lgs. n. 231/2001, rilevando ai fini della responsabilità dell’ente quando è commessa ai danni dello Stato o di altro ente pubblico. Vanno inoltre menzionati nell’alveo del suddetto decreto i reati che possono, potenzialmente, essere commessi nel cyberspace quali il terrorismo (art. 25- quater), la pedopornografia virtuale (art. 25- quinquies) nonché i delitti di riciclaggio (art. 25- octies) e quelli in materia di violazione del diritto d’autore (art. 25-novies).
Se il reato informatico è funzionale all’azienda
Di fatto, seppure le imprese siano molto spesso bersaglio dei cybercrime si ha, per converso, una casistica in cui il reato si rivela funzionale alla strategia aziendale. Si pensi, ad esempio, ad accessi non autorizzati allo scopo di ottenere dati sensibili o comunicazioni riservate di un’impresa concorrente; oppure a condotte volte al danneggiamento od interruzione del funzionamento di sistemi informatici di una rivale al fine di causare danni d’immagine o disservizi per gli utenti della stessa.
Come già accennato, il superamento della dimensione territoriale comporta problemi per l’individuazione della competenza territoriale ed anche in ambito “231” sussiste la medesima difficoltà essendo, per l’accertamento dell’illecito amministrativo, competente il giudice del procedimento avente ad oggetto il reato presupposto. A tal proposito, con particolare riguardo al reato di accesso abusivo ad un sistema informatico, le Sezioni unite della Corte di Cassazione (n. 17325 del 26.03.2015) hanno dettato il principio di diritto secondo cui il luogo di consumazione del delitto è quello nel quale si trova il soggetto che effettua l’introduzione abusiva o vi si mantiene abusivamente.
La responsabilità amministrativa degli enti per i delitti in materia di violazione dei diritti d’autore
Da ultimo, lo scorso 8 agosto è entrata in vigore la legge n. 93 del 14 luglio 2023, pubblicata in GU n. 171 del 24 luglio 2023 e recante “Disposizioni per la prevenzione e la repressione della diffusione illecita di contenuti tutelati dal diritto d’autore mediante le reti di comunicazione elettronica”, che ha ampliato la responsabilità amministrativa degli enti per i delitti in materia di violazione dei diritti d’autore di cui all’art. 25-novies del d.lgs. n. 231/2001.
L’art. 3 della l. 93/2023 modifica il co.1 dell’art. 171-ter della l. 633/1941 (richiamato dall’art. 25-novies del d.lgs. 231/01) introducendo la lettera h-bis), che punisce chiunque abusivamente “esegue la fissazione su supporto digitale, audio, video o audiovideo, in tutto o in parte, di un’opera cinematografica, audiovisiva o editoriale ovvero effettua la riproduzione, l’esecuzione o la comunicazione al pubblico della fissazione abusivamente eseguita”.
La nuova fattispecie di reato è punita con la pena della reclusione da 6 mesi a 3 anni e della multa da € 2.582 a € 15.493; per l’ente, ai sensi dell’art. 25-novies del d.lgs. 231/01, è prevista l’applicazione di una sanzione pecuniaria fino a 500 quote e di sanzioni interdittive.
La modifica normativa è finalizzata a contrastare il fenomeno della pirateria, tutelando la proprietà intellettuale e il diritto d’autore.
La l. 93/2023, attribuisce altresì maggiore rilevanza alle funzioni dell’Autorità per le garanzie nelle comunicazioni (AGCOM), che può ordinare ai prestatori di servizi di disabilitare l’accesso a contenuti diffusi in maniera illecita, anche adottando provvedimenti cautelari d’urgenza.
La riforma riguarda innanzitutto, tra gli altri, gli enti che operano nel settore editoriale, cinematografico, televisivo, artistico e musicale, che dovranno dunque valutare eventuali rischi di commissione del reato previsto dalla nuova normativa nonché l’opportunità di implementare e aggiornare il proprio Modello Organizzativo in conformità con le nuove disposizioni.
Risulta di palmare evidenza, dunque, come lo sviluppo tecnologico possa da un lato favorire la crescita della libera concorrenza tra imprese lecite ma possa anche, d’altro canto, minacciarla nella misura in cui operazioni illecite vengano agevolate dalla “penombra” del web qualora sfruttata per dissimulare le tracce di reato. Ed è proprio in quest’ottica che l’adozione e l’efficace attuazione di un MOGC ex d. lgs. 231/2001 risulta fondamentale onde consentire sia, a livello generale, la caduta di quel velo che le società c.d. criminali utilizzano per i propri scopi illeciti sia, a livello particolare, alle imprese sane di proteggere la liceità delle proprie condotte rispetto alle attività contra legem poste in essere a loro insaputa dalle persone fisiche alle stesse collegate in via apicale o subordinata, così evitando, inoltre, ingenti sanzioni pecuniare ed interdittive.
Conclusioni
Alla luce di quanto sopra si è avvertita la necessità, a livello nazionale ed internazionale, di aggiornare i sistemi di difesa per combattere i fenomeni di cybercrime. A tal proposito va sicuramente citato, tra gli altri, il Cybersecurity act, approvato con il Reg. UE 2019/881 che si propone di realizzare un quadro europeo per la certificazione della sicurezza informatica dei prodotti e servizi digitali secondo un modello di security by design, con conseguente rafforzamento del ruolo dell’ENISA (The European Union Agency for Cybersecurity). Rispetto alla prospettiva del d. lgs. 231/2001, in questo caso non si tratta di prevenire specifiche figure di reato, ma si impongono agli operatori di determinati servizi essenziali (quali infrastrutture digitali, trasporto, settore bancario nonché ai responsabili del trattamento dei dati) misure tecniche ed organizzative di prevenzione unitamente ad obblighi di comunicazione alle autorità competenti degli attacchi informatici che incidano sulla continuità dei servizi, tra cui i data breach. Anche in questo settore la ratio è quella della corresponsabilizzazione dell’organizzazione in caso di mancata adozione di misure di compliance, con l’applicazione di sanzioni in ottica di tutela anticipata rispetto al d. lgs. 231/01.
Ecco allora come, considerata la pervasività dei reati informatici e la notevole incidenza delle tecniche di indagine nella sfera privata dei cittadini, è auspicabile che il contrasto al cybercrime avvenga nel rispetto dei diritti fondamentali, come la privacy, la libertà personale e di comunicazione. L’obiettivo del legislatore italiano e di quello europeo è, dunque, il raggiungimento di un equilibrato bilanciamento degli opposti interessi in gioco onde evitare che la lotta alle nuove forme di criminalità vanifichi le conquiste e le possibilità, anche in termini assoluti di libertà, offerte dal cyberspace.
Il percorso, però, risulta quantomeno impervio; basti specificare in questa sede come vi siano ancora molte lacune da colmare in ambito di cooperazione internazionale che permettono al cyber crime di proliferare in quelle che potremmo definire “zone d’ombra” non ancora oggetto di specifica e coordinata disciplina. Anche in quest’ottica, le imprese che adottano un “Modello 231” possono non solo proteggere in maniera più efficace dati e risorse, ma contribuiscono finanche a creare un ambiente digitale e quindi una rete sociale più sicura ed affidabile per ogni soggetto direttamente o indirettamente coinvolto, a partire dai propri stakeholder fino a possibili partner internazionali e, a valle, ai singoli privati cittadini.
