Legge 90/2024

Estorsione telematica: luci e (molte) ombre del nuovo reato



Indirizzo copiato

La Legge 90/2024 introduce l’estorsione telematica come nuovo reato, con pene severe e aggravanti simili alla rapina. Mira a combattere i ransomware, che bloccano i file degli utenti chiedendo un riscatto. La norma tutela la sicurezza informatica e il patrimonio, ma presenta criticità nell’applicazione e proporzionalità delle pene

Pubblicato il 26 set 2024

Marco Cartisano

Studio Polimeni.legal



ransomware (1)

La L. 90 del 28 giugno 2024 introduce nuove disposizioni per rafforzare la cybersicurezza nazionale e contrastare i reati informatici, tra cui una nuova fattispecie di estorsione telematica.

Ransomware: comprendere pratiche e motivazioni degli aggressori per difendersi al meglio

Questa norma modifica il codice penale, prevedendo aggravanti specifiche e pene severe per l’estorsione telematica, paragonabili a quelle della rapina. Particolare attenzione è rivolta al fenomeno dei ransomware, virus che bloccano l’accesso ai file degli utenti richiedendo un riscatto in criptovalute.

La nuova disposizione mira a proteggere sia la sicurezza informatica che il patrimonio delle persone fisiche e degli enti, sebbene presenti alcune criticità nella sua applicazione pratica e proporzionalità delle pene. Vediamo nel dettaglio.

La novella all’art. 629 c.p.

La nuova fattispecie reato di estorsione “telematica” si rinviene, fra le altre, fra le «Disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici.» contenute nella L. 90 del 28 giugno 2024.

Come abbiamo detto, l’art. 16, comma 1, lettera m) della succitata legge, ha modificato il comma 2 art. 629, prevedendo, anche per l’estorsione, le aggravanti già contemplate per la rapina, con una pena da sette a venti anni e la multa da euro 5.000 a euro 15.000.

È tuttavia, oggetto della nostra indagine, il successivo l’inserimento all’art. 629 c.p. di un terzo comma che così recita: «Chiunque, mediante le condotte di cui agli articoli 615 ter, 617 quater, 617 sexies, 635 bis, 635 quater e 635 quinquies ovvero con la minaccia di compierle, costringe taluno a fare o ad omettere qualche cosa, procurando a sé o ad altri un ingiusto profitto con altrui danno, è punito con la reclusione da sei a dodici anni e con la multa da euro 5.000 a euro 10.000. La pena è della reclusione da otto a ventidue anni e della multa da euro 6.000 a euro 18.000, se concorre taluna delle circostanze indicate nel terzo comma dell’articolo 628 nonché nel caso in cui il fatto sia commesso nei confronti di persona incapace per età o per infermità».

Tale fattispecie di configura come norma a tutela non solo del bene giuridico “sicurezza informatica” ma anche del patrimonio, sia delle persone fisiche che degli Enti.

Il problema dei “ransomware”

La fattispecie in questione mira a contrastare il preoccupante fenomeno dei “ramsoware”, ovvero dei virus che bloccano l’accesso ai file dell’utente richiedendo una somma di denaro in cambio, solitamente in cripto valute; secondo i dati del C.N.A.I.P.I.C., questi attacchi hanno costituito nel 2023 la tipologia più diffusa di “attacchi gravi” (34%),

A tal proposito, va detto che esistono sono due tipi di ransomware:

• “cryptor” che, con un algoritmo la cui chiave è conosciuta ai soli programmatori, crittografa i file contenuti nella macchina bersaglio rendendoli non più accessibili;

blocker, che, più semplicemente, impediscono l’accesso al dispositivo bersaglio

In entrambi i casi, il malware mostra una finestra pop-up in cui vengono riportate le istruzioni per ottenere la chiave di cifratura per lo sblocco dei file o della macchina dietro il pagamento di una somma di danaro, ma questa soluzione non sempre garantisce lo sblocco: in ogni caso, rappresenta un odioso attacco ai beni immateriali della persona offesa (i dati) a cui il legislatore ha deciso di porre un freno.

Altre condotte estorsive possono concretizzarsi nella minaccia di informare le autorità del data breach (es. Garante Privacy), di diffondere i dati o di offrirli in vendita sul deep web.

La condotta incriminatrice

La fattispecie è “a condotta complessa” e consiste in due fasi, ovvero la commissione di uno dei reati “informatici” citati nella norma (acceso abusivo a sistema informatico, intercettazione informatica abusiva, ecc..) o “la minaccia di compierli” costringendo taluno a fare od omettere qualcosa nonché procurando a sé un profitto “ingiusto”.

Va detto, in prima battuta, che la scelta “toponomastica” effettuata dal legislatore appare censurabile, tenendo conto che si tratta di una fattispecie di reato autonoma rispetto al 629 c.p. e che, quindi, avrebbe meritato una rubrica a sé stante.

Ma l’aspetto significativo riguarda la concezione del reato de quo, qualificato come a condotta estorsiva, anziché “a scopo di estorsione” sulla falsariga del sequestro di persona ex art. 630 c.p.

E non si può non essere d’accordo su chi, fra gli studiosi, sostiene che «Tale diversa struttura della fattispecie parrebbe preferibile non foss’altro perché, ad esempio, nel caso del delitto commesso a scopo di estorsione il reato sarebbe integrato a prescindere dall’avvenuto versamento del “prezzo della liberazione” dei sistemi informatici o dei dati (posto che il profitto costituirebbe soltanto l’oggetto del dolo specifico), mentre nell’estorsione il conseguimento del profitto ingiusto rappresenta un elemento costitutivo del reato, in assenza del quale può ritenersi tutt’al più integrata la fattispecie tentata. ».1

Sanzioni e aggravanti

Il trattamento sanzionatorio è piuttosto severo, in quanto è prevista la reclusione da 6 a 12 anni con la multa da euro 5.000 a euro 10.000, con limiti edittali più alti rispetto all’ipotesi di estorsione “semplice” (da 5 a 10 anni, ndr) il che potrebbe esporre la norma a censura di anticostituzionalità, se si parte dall’ assunto che le pene debbano – in una lettura costituzionalmente orientata – essere proporzionate al fatto reato.

Tale discrasia si rinviene nell’analisi della fattispecie astratta, difatti, mentre il 629 co.1 c.p. (estorsione) si configura anche con la violenza alla persona, il 629 co. 3 contempla la sola minaccia o la commissione dei reati informatici in danno della persona offesa: da punto di vista ontologico potrebbero essere più gravi la violenza o la minaccia che attentino all’incolumità fisica altrui, anziché la minaccia di blocco permanente dei dati o di diffusione degli stessi.

Inoltre, c’è da dire che le aggravanti (che richiamano quelle del delitto di rapina) non sembra possano essere nel concreto applicabili (si pensi all’uso di armi); al contrario, a tale delitto è applicabile l’attenuante della lieve entità e della collaborazione cooperativa così come disciplinati dal novellato art. 635 c.p.

La responsabilità dell’ente collettivo

II delitto in questione – a seguito della modifica, richiamato dall’art 24-bis D.lgs. 231/2001 (c.d. numerus clausus) – se commesso a vantaggio dell’Ente comporta l’applicazione, in danno dello stesso, della sanzione pecuniaria da trecento a ottocento quote e delle sanzioni interdittive previste dall’articolo 9, comma 2 D.lgs. cit. per una durata non inferiore a due anni.

Anche in questo caso, il legislatore non ha osservato il criterio di proporzionalità rispetto agli altri reati informatici, prevenendo una pena accessoria sostanzialmente in misura fissa, quindi non consentendo una corretta modulazione da parte del Giudice al fatto in concreto.

Conclusioni

Il delitto di “estorsione informatica” così come strutturato e concepito, non ha quell’efficacia general-preventiva delle iniziali volontà dal legislatore,  ma sembra una adattamento al “cyberspazio” poco riuscito del delitto di estorsione che granitica giurisprudenza ha ormai definito del corso degli anni; se a ciò si aggiunge l’oggettiva impossibilità di rintracciare gli autori del fatto e di provare l’elemento psicologico a sostegno, l’applicazione pratica del reato oggi analizzato non provocherà di certo quella svolta epocale alla lotta contro la criminalità informatica.

Fonti

https://www.filodiritto.com/lestorsione-informatica;

Gaia Fiorinelli, Il ransomware nel DDL Cybersicurezza: dalla fattispecie di estorsione “informatica” al coordinamento tra indagini e incident respons, R.I.I.D. rv. 1/2024 pagg. 35-39;

EU Stories - La coesione innova l'Italia

Tutti
Analisi
Video
Iniziative
Social
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

Articolo 1 di 3