La L. 90 del 28 giugno 2024 introduce nuove disposizioni per rafforzare la cybersicurezza nazionale e contrastare i reati informatici, tra cui una nuova fattispecie di estorsione telematica.
Questa norma modifica il codice penale, prevedendo aggravanti specifiche e pene severe per l’estorsione telematica, paragonabili a quelle della rapina. Particolare attenzione è rivolta al fenomeno dei ransomware, virus che bloccano l’accesso ai file degli utenti richiedendo un riscatto in criptovalute.
La nuova disposizione mira a proteggere sia la sicurezza informatica che il patrimonio delle persone fisiche e degli enti, sebbene presenti alcune criticità nella sua applicazione pratica e proporzionalità delle pene. Vediamo nel dettaglio.
La novella all’art. 629 c.p.
La nuova fattispecie reato di estorsione “telematica” si rinviene, fra le altre, fra le «Disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici.» contenute nella L. 90 del 28 giugno 2024.
Come abbiamo detto, l’art. 16, comma 1, lettera m) della succitata legge, ha modificato il comma 2 art. 629, prevedendo, anche per l’estorsione, le aggravanti già contemplate per la rapina, con una pena da sette a venti anni e la multa da euro 5.000 a euro 15.000.
È tuttavia, oggetto della nostra indagine, il successivo l’inserimento all’art. 629 c.p. di un terzo comma che così recita: «Chiunque, mediante le condotte di cui agli articoli 615 ter, 617 quater, 617 sexies, 635 bis, 635 quater e 635 quinquies ovvero con la minaccia di compierle, costringe taluno a fare o ad omettere qualche cosa, procurando a sé o ad altri un ingiusto profitto con altrui danno, è punito con la reclusione da sei a dodici anni e con la multa da euro 5.000 a euro 10.000. La pena è della reclusione da otto a ventidue anni e della multa da euro 6.000 a euro 18.000, se concorre taluna delle circostanze indicate nel terzo comma dell’articolo 628 nonché nel caso in cui il fatto sia commesso nei confronti di persona incapace per età o per infermità».
Tale fattispecie di configura come norma a tutela non solo del bene giuridico “sicurezza informatica” ma anche del patrimonio, sia delle persone fisiche che degli Enti.
Il problema dei “ransomware”
La fattispecie in questione mira a contrastare il preoccupante fenomeno dei “ramsoware”, ovvero dei virus che bloccano l’accesso ai file dell’utente richiedendo una somma di denaro in cambio, solitamente in cripto valute; secondo i dati del C.N.A.I.P.I.C., questi attacchi hanno costituito nel 2023 la tipologia più diffusa di “attacchi gravi” (34%),
A tal proposito, va detto che esistono sono due tipi di ransomware:
• “cryptor” che, con un algoritmo la cui chiave è conosciuta ai soli programmatori, crittografa i file contenuti nella macchina bersaglio rendendoli non più accessibili;
• blocker, che, più semplicemente, impediscono l’accesso al dispositivo bersaglio
In entrambi i casi, il malware mostra una finestra pop-up in cui vengono riportate le istruzioni per ottenere la chiave di cifratura per lo sblocco dei file o della macchina dietro il pagamento di una somma di danaro, ma questa soluzione non sempre garantisce lo sblocco: in ogni caso, rappresenta un odioso attacco ai beni immateriali della persona offesa (i dati) a cui il legislatore ha deciso di porre un freno.
Altre condotte estorsive possono concretizzarsi nella minaccia di informare le autorità del data breach (es. Garante Privacy), di diffondere i dati o di offrirli in vendita sul deep web.
La condotta incriminatrice
La fattispecie è “a condotta complessa” e consiste in due fasi, ovvero la commissione di uno dei reati “informatici” citati nella norma (acceso abusivo a sistema informatico, intercettazione informatica abusiva, ecc..) o “la minaccia di compierli” costringendo taluno a fare od omettere qualcosa nonché procurando a sé un profitto “ingiusto”.
Va detto, in prima battuta, che la scelta “toponomastica” effettuata dal legislatore appare censurabile, tenendo conto che si tratta di una fattispecie di reato autonoma rispetto al 629 c.p. e che, quindi, avrebbe meritato una rubrica a sé stante.
Ma l’aspetto significativo riguarda la concezione del reato de quo, qualificato come a condotta estorsiva, anziché “a scopo di estorsione” sulla falsariga del sequestro di persona ex art. 630 c.p.
E non si può non essere d’accordo su chi, fra gli studiosi, sostiene che «Tale diversa struttura della fattispecie parrebbe preferibile non foss’altro perché, ad esempio, nel caso del delitto commesso a scopo di estorsione il reato sarebbe integrato a prescindere dall’avvenuto versamento del “prezzo della liberazione” dei sistemi informatici o dei dati (posto che il profitto costituirebbe soltanto l’oggetto del dolo specifico), mentre nell’estorsione il conseguimento del profitto ingiusto rappresenta un elemento costitutivo del reato, in assenza del quale può ritenersi tutt’al più integrata la fattispecie tentata. ».1
Sanzioni e aggravanti
Il trattamento sanzionatorio è piuttosto severo, in quanto è prevista la reclusione da 6 a 12 anni con la multa da euro 5.000 a euro 10.000, con limiti edittali più alti rispetto all’ipotesi di estorsione “semplice” (da 5 a 10 anni, ndr) il che potrebbe esporre la norma a censura di anticostituzionalità, se si parte dall’ assunto che le pene debbano – in una lettura costituzionalmente orientata – essere proporzionate al fatto reato.
Tale discrasia si rinviene nell’analisi della fattispecie astratta, difatti, mentre il 629 co.1 c.p. (estorsione) si configura anche con la violenza alla persona, il 629 co. 3 contempla la sola minaccia o la commissione dei reati informatici in danno della persona offesa: da punto di vista ontologico potrebbero essere più gravi la violenza o la minaccia che attentino all’incolumità fisica altrui, anziché la minaccia di blocco permanente dei dati o di diffusione degli stessi.
Inoltre, c’è da dire che le aggravanti (che richiamano quelle del delitto di rapina) non sembra possano essere nel concreto applicabili (si pensi all’uso di armi); al contrario, a tale delitto è applicabile l’attenuante della lieve entità e della collaborazione cooperativa così come disciplinati dal novellato art. 635 c.p.
La responsabilità dell’ente collettivo
II delitto in questione – a seguito della modifica, richiamato dall’art 24-bis D.lgs. 231/2001 (c.d. numerus clausus) – se commesso a vantaggio dell’Ente comporta l’applicazione, in danno dello stesso, della sanzione pecuniaria da trecento a ottocento quote e delle sanzioni interdittive previste dall’articolo 9, comma 2 D.lgs. cit. per una durata non inferiore a due anni.
Anche in questo caso, il legislatore non ha osservato il criterio di proporzionalità rispetto agli altri reati informatici, prevenendo una pena accessoria sostanzialmente in misura fissa, quindi non consentendo una corretta modulazione da parte del Giudice al fatto in concreto.
Conclusioni
Il delitto di “estorsione informatica” così come strutturato e concepito, non ha quell’efficacia general-preventiva delle iniziali volontà dal legislatore, ma sembra una adattamento al “cyberspazio” poco riuscito del delitto di estorsione che granitica giurisprudenza ha ormai definito del corso degli anni; se a ciò si aggiunge l’oggettiva impossibilità di rintracciare gli autori del fatto e di provare l’elemento psicologico a sostegno, l’applicazione pratica del reato oggi analizzato non provocherà di certo quella svolta epocale alla lotta contro la criminalità informatica.
Fonti
https://www.filodiritto.com/lestorsione-informatica;
Gaia Fiorinelli, Il ransomware nel DDL Cybersicurezza: dalla fattispecie di estorsione “informatica” al coordinamento tra indagini e incident respons, R.I.I.D. rv. 1/2024 pagg. 35-39;
