Tra le più recenti pronunce della Corte di Cassazione Penale in materia di abusivismo finanziario, figurano casi relativi all’offerta e gestione di criptoattività in assenza delle prescritte abilitazioni. Con il presente articolo ci proponiamo di delineare i criteri interpretativi adottati dal giudice penale per ricondurre le operazioni aventi a oggetto valute virtuali nell’ambito applicativo dell’art. 166 del D. Lgs. 24 febbraio 1998, n. 58 (Testo Unico della Finanza – TUF), norma incriminatrice dell’esercizio abusivo di servizi e attività di investimento.
La complessità della materia – che intreccia diritto penale dell’economia e diritto dei mercati finanziari – impone una lettura coordinata delle fonti interne ed europee, nonché un confronto con le definizioni elaborate dalla giurisprudenza di legittimità, anche in ambito civilistico.
In tale prospettiva, particolare rilievo assume la sentenza della Corte di Cassazione, Sezione V Penale, 19 luglio 2024, n. 29649, che ha affrontato in modo approfondito il tema della riconducibilità delle criptovalute alla nozione di prodotto finanziario.
Il commento alla decisione è stato oggetto di una nostra nota pubblicata nel fascicolo 2/2025 della rivista “Diritto di Internet”, nella quale sono stati esaminati gli approdi ermeneutici della Suprema Corte e le possibili ricadute in termini di responsabilità penale.
L’articolo che segue si propone dunque di riprendere e sviluppare ulteriormente tali profili, mettendo in luce i criteri giuridici attraverso cui l’abusivismo finanziario viene riconosciuto anche nei confronti di soggetti operanti nel mercato delle valute virtuali.
Tassatività penale e abusivismo finanziario: il caso giudiziario affrontato dalla Corte
La vicenda affrontata dalla Corte di Cassazione con la sentenza n. 29649 del 19 luglio 2024 prende le mosse dalla condanna riportata da un soggetto ritenuto responsabile del reato di abusivismo finanziario per aver svolto, in maniera sistematica e senza alcuna abilitazione, attività di investimento e offerta fuori sede di prodotti e strumenti finanziari, tra cui figuravano anche investimenti in criptovalute.
Il Tribunale di Verona, con sentenza confermata in appello, aveva accertato che l’imputato aveva gestito capitali per oltre due milioni di euro, promuovendo operazioni rivolte a un numero rilevante di risparmiatori.
In sede di legittimità, la difesa ha invocato il principio di tassatività della norma penale, sostenendo l’insussistenza del reato di cui all’art. 166 TUF in quanto i prodotti finanziari offerti risultavano, salvo che per le criptovalute, del tutto inesistenti nella realtà fenomenica e giuridica. Secondo tale impostazione, la condotta avrebbe dovuto essere sussunta – eventualmente – sotto altre fattispecie, come quella di truffa, ma non sarebbe stata idonea a integrare il reato di abusivismo finanziario, il quale richiederebbe l’offerta o la gestione di prodotti effettivamente esistenti e riconducibili all’ordinamento di settore.
La Corte ha tuttavia rigettato tale ricostruzione, rilevando come l’essenza dell’infrazione consista nell’esercizio non autorizzato di attività riservate, indipendentemente dalla liceità o dalla validità intrinseca dei prodotti prospettati.
Anche qualora l’attività concretamente svolta si riveli priva di valore economico reale, ciò che rileva è la percezione da parte del pubblico e la funzione economica assunta dall’operazione, se connotata da aspettativa di rendimento e da un rischio di investimento. L’interpretazione offerta dalla Cassazione si muove dunque lungo una linea di continuità con la funzione protettiva dell’art. 166 TUF, intesa a tutelare non soltanto l’interesse individuale del risparmiatore, ma anche l’integrità e il corretto funzionamento del mercato finanziario.
In questa prospettiva, l’abusivismo finanziario può configurarsi anche in relazione ad asset privi di valore oggettivo, laddove il promotore ne abbia fatto oggetto di un’attività riconducibile ai servizi di investimento disciplinati dal Testo Unico della Finanza.
Abusivismo finanziario e criptovalute: natura dell’asset e criteri interpretativi
L’art. 166, comma 1, del D. Lgs. 24 febbraio 1998, n. 58 (TUF) prevede che: «È punito con la reclusione da uno a otto anni e con la multa da euro quattromila a euro diecimila chiunque, senza esservi abilitato ai sensi del presente decreto: a) svolge servizi o attività di investimento o di gestione collettiva del risparmio; […] c) offre fuori sede, ovvero promuove o colloca mediante tecniche di comunicazione a distanza, prodotti finanziari o strumenti finanziari o servizi o attività di investimento». La norma incriminatrice individua quindi due diverse tipologie di condotte penalmente rilevanti: da un lato, l’esercizio abusivo di servizi di investimento; dall’altro, l’offerta, promozione o collocamento di prodotti finanziari senza abilitazione, anche tramite tecniche di comunicazione a distanza.
Nel caso deciso dalla Cassazione con la sentenza n. 29649/2024, l’imputato era accusato di aver posto in essere condotte riconducibili alle ipotesi di cui alle lettere a) e c) dell’art, 166, avendo promosso operazioni speculative in criptovalute, ricevendo direttamente le somme dai risparmiatori e gestendo portafogli digitali per loro conto, pur essendo privo delle necessarie autorizzazioni.
Il ricorrente ha contestato la configurabilità del reato, sostenendo che le criptovalute non potessero essere ricondotte né alla nozione di prodotto finanziario né a quella di strumento finanziario, in quanto non espressamente menzionate nel TUF.
La Suprema Corte ha respinto tale impostazione, sottolineando che ciò che rileva, ai fini dell’integrazione del reato di abusivismo finanziario, è la funzione economica concretamente assunta dall’operazione. In particolare, la Corte ha accertato che l’imputato non si limitava a facilitare l’acquisto di criptovalute come mezzo di scambio, bensì gestiva portafogli virtuali riconducibili ai clienti, perseguendo un obiettivo di rendimento finanziario. Tale modalità operativa consente di qualificare le valute virtuali come strumenti impiegati con finalità di investimento e, pertanto, suscettibili di essere ricondotti nell’ambito applicativo dell’art. 166 TUF.
La Corte valorizza, in questo senso, una nozione funzionale del prodotto finanziario, ponendo al centro dell’analisi la finalità economica dell’operazione e la percezione che ne ha il pubblico, piuttosto che la tassatività della tipologia contrattuale o la denominazione dello strumento. In questa prospettiva, la condotta contestata rientra appieno nella disciplina penale dell’abusivismo finanziario, anche in assenza di un’espressa tipizzazione delle valute virtuali come strumenti regolamentati.
Abusivismo finanziario e criteri civilistici di finanziarietà
L’inquadramento delle criptovalute tra i prodotti finanziari rilevanti ai fini dell’art. 166 TUF presuppone una riflessione sul concetto di investimento finanziario, che non può esaurirsi in un elenco tassativo di strumenti normativamente tipizzati.
In tal senso, la giurisprudenza civile ha progressivamente elaborato una nozione “aperta” di prodotto finanziario, capace di adattarsi alle continue evoluzioni del mercato. Ai sensi dell’art. 1, comma 1, lett. u), del Testo Unico della Finanza, i prodotti finanziari sono definiti come «gli strumenti finanziari e ogni altra forma di investimento di natura finanziaria».
Tale formula evidenzia un approccio funzionale e non formale alla nozione di prodotto, volto a ricomprendere tutte quelle operazioni che, pur prive di una veste giuridica codificata, presentano elementi oggettivi di finanziarietà.
Secondo un consolidato orientamento della Corte di Cassazione civile (v. Sez. I, sent. n. 10598 del 19 maggio 2005; Sez. II, sent. n. 2736 del 5 febbraio 2013), costituisce investimento di natura finanziaria ogni operazione nella quale ricorra un conferimento di denaro da parte del risparmiatore, un’aspettativa di rendimento o di utilità, e l’assunzione di un rischio, rispetto all’impiego delle disponibilità in un determinato intervallo temporale.
L’effetto economico dell’operazione, e non la forma contrattuale utilizzata, rappresenta il criterio guida per accertare la sussistenza della “finanziarietà”. Tale impostazione consente di includere nella disciplina di protezione anche le operazioni atipiche o innominate, in linea con le esigenze di tutela degli investitori nei confronti di iniziative di mercato sempre più articolate e tecnologicamente avanzate.
Nel solco di tale interpretazione, la Cassazione penale, nella sentenza n. 29649/2024, ha valorizzato proprio questi indici civilistici per affermare la sussumibilità delle operazioni aventi a oggetto criptovalute nella nozione di investimento finanziario penalmente rilevante.
È la stessa Corte a richiamare, in motivazione, il principio secondo cui il prodotto finanziario costituisce una categoria aperta, elaborata dal legislatore per rispondere alla creatività del mercato e alla necessità di intercettare tutte le forme, anche non convenzionali, di offerta al pubblico del risparmio.
L’abusivismo finanziario, pertanto, può configurarsi anche in relazione a strumenti non espressamente elencati dal TUF, purché sussistano gli elementi oggettivi dell’investimento secondo i criteri funzionali indicati dalla giurisprudenza civile. Tale convergenza interpretativa tra i giudici civili e penali rafforza la coerenza sistematica dell’ordinamento e consente di attribuire rilievo penalistico anche a condotte che si pongono al di fuori dei modelli contrattuali tradizionali, ma che realizzano di fatto una gestione speculativa del risparmio.
Valute virtuali, abusivismo finanziario e limiti di legalità nell’offerta di cryptoasset
L’estensione della fattispecie di abusivismo finanziario alle condotte aventi a oggetto le criptoattività solleva interrogativi rilevanti sotto il profilo della legalità penale e della prevedibilità del precetto. In effetti, la tipologia eterogenea delle valute virtuali, la mancanza di un’espressa ricomprensione delle stesse nella nozione codificata di strumento finanziario e l’assenza, fino a tempi recenti, di una disciplina armonizzata sul piano europeo, rendono necessario un esercizio interpretativo particolarmente rigoroso da parte dell’interprete.
La Corte di Cassazione, nella sentenza in commento, affronta tali criticità chiarendo che l’elemento decisivo non risiede nella classificazione astratta dell’asset, bensì nella finalità economica dell’operazione e nella percezione che ne deriva in capo agli investitori.
Secondo il principio affermato dalla Suprema Corte, l’abusivismo finanziario ex art. 166, comma 1, TUF, si configura ogniqualvolta un soggetto, senza autorizzazione, offra al pubblico strumenti o servizi che si presentano come investimenti di natura finanziaria. Ciò include le ipotesi in cui l’offerta sia effettuata al di fuori della sede legale o attraverso tecniche di comunicazione a distanza, anche mediante canali digitali o piattaforme telematiche.
La Cassazione ha più volte chiarito che, qualora l’attività di vendita di valute virtuali sia accompagnata dalla prospettazione di rendimenti attesi, obblighi di riacquisto, strategie di valorizzazione o altre forme di sollecitazione del risparmio, essa assume natura finanziaria e ricade nel perimetro delle condotte sanzionate dall’art. 166, lett. c).
L’offerta di cryptoasset diventa, quindi, penalmente rilevante non in ragione della nomenclatura dell’oggetto scambiato, ma della struttura economica e comunicativa dell’operazione, che deve essere valutata caso per caso.
Ciò impone al giudice penale un’attenta verifica in ordine alla concreta destinazione del capitale, alla presenza di una prospettiva di rendimento, al rischio assunto dall’investitore e alla modalità con cui l’operazione è stata promossa. Tale verifica, ispirata ai criteri civilistici della finanziarietà, permette di rispettare il principio di legalità senza sacrificare l’effettività della tutela del mercato.
Assistenza legale qualificata sul tema Blockchain&Cryptoasset: l’esperienza dello Studio Legale D’Agostino
La crescente diffusione delle valute virtuali come strumenti di investimento e la progressiva affermazione di un’interpretazione estensiva della nozione di prodotto finanziario pongono rilevanti esigenze di orientamento e tutela per operatori economici, investitori, start-up tecnologiche e piattaforme attive nell’ambito delle criptoattività.
La disciplina dell’abusivismo finanziario è soltanto un esempio. Emergono diversi ambiti e profili di responsabilità per soggetti che – spesso in buona fede – svolgano attività di promozione, intermediazione o gestione di valori virtuali, senza considerare la necessità di abilitazioni o iscrizioni presso le autorità di vigilanza .
Il nostro Studio Legale, grazie alla guida dell’Avv. Luca D’Agostino, ha maturato una consolidata esperienza nella valutazione di progetti imprenditoriali relativi a criptoasset, assistendo imprenditori, società fintech, sviluppatori di piattaforme nella valutazione di legalità dei modelli operativi, nella predisposizione di documentazione conforme alla normativa vigente e nella difesa tecnica in procedimenti presso la Consob e altre autorità pubbliche di vigilanza. L’attività si estende anche al contenzioso amministrativo e all’interlocuzione con le autorità competenti per l’adeguamento ai requisiti autorizzatori, alla trasparenza dell’offerta e alla prevenzione di possibili illeciti.
Siamo a disposizione per un confronto operativo e proattivo volto alla soluzione di problematiche specifiche. Contattaci qui.
Diritto penale d’impresa e white-collar crimes – Studio Legale Luca D’Agostino, Roma.
Il tentativo di phishing è, purtroppo, all’ordine del giorno. Negli ultimi mesi si è assistito a una crescente sofisticazione delle tecniche di frode online, con particolare riferimento al fenomeno del tentativo di phishing che sfrutta dati verosimili e circostanze concrete per ingannare l’utente.
Uno degli schemi più insidiosi recentemente emersi riguarda l’invio di comunicazioni fraudolente in occasione del rinnovo di servizi digitali, come il piano di hosting di un sito web. È quanto accaduto nel caso recentemente affrontato dal nostro Studio, in cui è stato rilevato un tentativo di phishing costruito intorno al rinnovo del piano di hosting presso Aruba (qui le informazioni che il provider mette a disposizione per individuare e segnalare un illecito).
Gli autori della truffa, evidentemente a conoscenza della data imminente di scadenza del servizio, hanno inviato un messaggio email apparentemente legittimo, completo di logo, intestazione e riferimenti temporali compatibili con le comunicazioni ufficiali del fornitore.
Il messaggio conteneva un link per procedere al rinnovo, che in realtà conduceva a un sito clone, creato per acquisire i dati della carta di pagamento dell’ignaro destinatario. Questo episodio conferma come il tentativo di phishing possa oggi manifestarsi con modalità estremamente credibili, rendendo necessario un elevato livello di attenzione da parte dell’utente, nonché un’adeguata consapevolezza giuridica circa le implicazioni di tale condotta fraudolenta.
Il tentativo di phishing come forma di spear phishing: tecniche e finalità
Il tentativo di phishing analizzato nel caso relativo al rinnovo del piano di hosting presso Aruba presenta tutte le caratteristiche tipiche di una tecnica evoluta, nota come spear phishing. A differenza delle campagne generiche, questa modalità prevede un’attività di profilazione preventiva dell’utente, finalizzata a rendere il messaggio fraudolento altamente personalizzato e quindi più persuasivo.
L’inclusione di dati attendibili, quali la scadenza effettiva del contratto o il nome del provider, accresce il livello di verosimiglianza della comunicazione e riduce le difese dell’utente, che può essere indotto a cliccare sul link e a inserire dati sensibili senza sospetti.
Dal punto di vista giuridico, tali condotte possono integrare diverse fattispecie penalmente rilevanti, tra cui – a seconda dei casi – l’accesso abusivo a sistema informatico (art. 615-ter c.p.), la truffa (art. 640 c.p.) o la frode informatica (art. 640-ter c.p.) e/o l’utilizzo indebito di strumenti di pagamento elettronico (art. 493-ter c.p.).
Profili di responsabilità e rimedi in caso di tentativo di phishing riuscito
Qualora il tentativo di phishing sortisca effetto, con conseguente sottrazione di dati bancari o l’effettuazione di pagamenti non autorizzati, si aprono scenari complessi dal punto di vista della responsabilità penale e civile.
In primo luogo, l’autore dell’attacco dovrebbe rispondere delle ipotesi di reato sopra enucleate; ciò significa che la vittima potrà avvalersi degli strumenti di tutela offerti dal codice di procedura penale (dalla possibilità di denunciare il fatto alle competenti autorità, alla costituzione di parte civile nel procedimento penale).
Inoltre il soggetto passivo del reato potrà, in base alle circostanze, valutare gli opportuni rimedi contrattuali o civilistici a propria tutela.
Tentativo di phishing: quando rivolgersi a un professionista
L’elevato grado di sofisticazione raggiunto dalle moderne campagne di phishing impone una reazione non solo tecnica, ma anche giuridica. Intercettare tempestivamente la frode, verificare le condizioni contrattuali eventualmente implicate, denunciare l’accaduto alle autorità competenti e agire in giudizio per la tutela dei propri diritti richiedono competenze specifiche e una visione sistemica delle normative in materia di reati informatici.
Nel case study qui in esame, la tempestività nell’individuazione del tentativo di phishing e la verifica della provenienza del messaggio hanno impedito conseguenze patrimoniali dannose. Tuttavia, numerosi utenti e imprese, specialmente in ambito digitale, non dispongono dei mezzi per riconoscere immediatamente una frode e rischiano di subire danni economici e reputazionali rilevanti.
Per questa ragione, il nostro Studio è a disposizione per offrire consulenza specialistica sui reati informatici, sia in fase preventiva — attraverso audit contrattuali e formazione interna — sia in caso di attacco già avvenuto, per valutare l’azione legale più idonea e la tutela giudiziale o stragiudiziale percorribile.
Il fenomeno del danneggiamento informatico assume oggi una rilevanza crescente sotto il profilo della sicurezza dei dati e dell’affidabilità delle infrastrutture telematiche. L’alterazione, la cancellazione o la distruzione di contenuti informatici rappresentano condotte sempre più frequenti, in grado di compromettere non solo il patrimonio informativo dei singoli, ma anche il corretto funzionamento di servizi essenziali per l’interesse pubblico.
In tale contesto, la prevenzione assume un ruolo centrale, da attuarsi mediante misure tecniche e organizzative idonee a tutelare l’integrità dei dati e dei sistemi, nonché mediante un’adeguata formazione degli operatori e degli utenti.
È altresì fondamentale che, in presenza di situazioni sospette o di veri e propri attacchi informatici, i soggetti coinvolti si attivino tempestivamente per garantire una pronta reazione, anche sotto il profilo giuridico. In tal senso, un’attenta ricostruzione dei fatti (siano essi di danneggiamento informatico o altro cybercrime), un’immediata raccolta delle evidenze digitali e una corretta qualificazione delle condotte possono rivelarsi dirimenti per l’attivazione degli strumenti di tutela offerti dal nostro ordinamento penale.
In particolare, l’inquadramento giuridico del fatto e l’individuazione degli strumenti repressivi più efficaci possono richiedere, sin dalle prime fasi, il contributo di competenze specialistiche nel campo del diritto penale dell’informatica, trattandosi di un settore normativo in continua evoluzione e di non agevole interpretazione.
Il sistema normativo sul danneggiamento informatico nel codice penale
Il legislatore italiano ha progressivamente elaborato un vero e proprio microsistema penale dedicato al danneggiamento informatico, collocato nel titolo XIII del codice penale, tra i delitti contro il patrimonio. Sebbene l’apparente collocazione sistematica richiami la tutela del bene patrimoniale, l’interesse protetto dalle norme incriminatrici va ben oltre la mera protezione economica, mirando piuttosto a garantire l’integrità e la disponibilità dei dati, dei programmi e dei sistemi informatici e telematici.
Si tratta di beni giuridici autonomi, affermatisi con l’avvento delle tecnologie digitali, i quali assumono una dimensione talvolta individuale e talvolta collettiva, in ragione della funzione che tali strumenti assolvono nella società contemporanea.
Il cuore del sistema è rappresentato dagli articoli 635-bis e seguenti del codice penale, introdotti inizialmente con la legge 23 dicembre 1993, n. 547 e successivamente ampliati con la legge 18 marzo 2008, n. 48, di ratifica della Convenzione di Budapest sulla criminalità informatica. Le modifiche più recenti sono state apportate dalla legge 28 giugno 2024, n. 90, che ha ulteriormente raffinato le fattispecie incriminatrici, inasprendo il trattamento sanzionatorio e adeguando la normativa alle esigenze emergenti in materia di cybersicurezza.
Il sistema si articola in una pluralità di disposizioni, distinte in base alla natura del bene tutelato: da un lato, la protezione delle informazioni, dei dati e dei programmi informatici (c.d. danneggiamento logico), dall’altro, la tutela dei sistemi informatici o telematici (c.d. danneggiamenti fisico), con ulteriore specificazione per quelli di interesse pubblico.
A queste si affiancano norme che puniscono le condotte prodromiche o preparatorie, come la detenzione e diffusione di strumenti informatici dannosi, completando un quadro normativo coerente e strutturato, finalizzato a reprimere in modo differenziato tutte le possibili aggressioni alla dimensione digitale del patrimonio informativo.
Si darà ora uno sguardo alle singole fattispecie, per illustrare l’effettivo perimetro dell’incriminazione.
Il danneggiamento informatico “logico”: art. 635-bis c.p.
L’articolo 635-bis punisce, salvo che il fatto non costituisca reato più grave, chiunque distrugge, deteriora, cancella, altera o sopprime dati o programmi informatici, delineando una pluralità di condotte alternative che si prestano a una casistica applicativa estremamente ampia. Il legislatore ha così recepito, anche alla luce delle indicazioni della Convenzione di Budapest del 2001, una visione moderna del bene giuridico tutelato, sganciata dalla nozione tradizionale di “cosa” e costruita sulla funzionalità dei contenuti digitali.
Il danneggiamento informatico “logico” si configura come un delitto comune, essendo previsto a carico di “chiunque”, ed è a forma libera, potendo essere realizzato mediante azioni diverse purché riconducibili a una violazione dell’integrità o della disponibilità del bene informatico. Le singole condotte hanno una portata autonoma e devono essere interpretate in base alla loro effettiva incidenza sulla struttura e sull’utilizzabilità del dato: si pensi, ad esempio, alla cancellazione, che può avvenire mediante tecniche di sovrascrittura o di smagnetizzazione; oppure all’alterazione, che consiste nella modifica sostanziale delle istruzioni o delle sequenze logiche di un programma, con perdita della funzionalità originaria.
L’altruità dei dati costituisce un presupposto fondamentale, sebbene la giurisprudenza abbia nel tempo esteso l’interpretazione di tale requisito, ricomprendendo non solo il proprietario, ma anche il soggetto legittimamente titolare di un interesse all’integrità o al godimento del contenuto digitale. Il reato richiede il dolo generico, ovvero la consapevolezza e volontà di porre in essere una delle condotte tipizzate con riferimento a dati altrui.
La recente legge n. 90 del 2024 (per un quadro sulle novità apportate dalle legge rinviamo a un precedente approfondimento) ha introdotto nuove aggravanti e ha elevato le pene edittali, portando la reclusione per la fattispecie base fino a sei anni e prevedendo pene più severe nei casi di abuso di funzione, minaccia, violenza o uso di armi. Si rafforza così il ruolo dell’art. 635-bis c.p. nella repressione del danneggiamento informatico dei contenuti digitali.
Con l’articolo 635-quater del codice penale si introduce una specifica fattispecie di danneggiamento informatico avente ad oggetto non più i dati o i programmi, ma direttamente i sistemi informatici o telematici, intesi come l’insieme coordinato di componenti hardware e software destinato all’elaborazione o alla trasmissione automatizzata di informazioni.
Il legislatore, recependo quanto previsto dall’art. 5 della Convenzione di Budapest, ha distinto chiaramente tra la compromissione dei contenuti informatici (disciplinata dall’art. 635-bis c.p.) e l’aggressione all’infrastruttura che li ospita o elabora. La norma punisce, salvo che il fatto non costituisca reato più grave, chiunque, mediante le condotte già descritte all’articolo 635-bis, ovvero attraverso l’introduzione o la trasmissione di dati, informazioni o programmi, distrugge, danneggia, rende inservibili in tutto o in parte i sistemi informatici o telematici altrui, oppure ne ostacola gravemente il funzionamento.
Il danneggiamento informatico “fisico” si configura come reato di evento, che si perfeziona nel momento in cui si verifica l’effetto lesivo su uno dei sistemi target. L’aspetto peculiare di questa disposizione è l’apertura alla cosiddetta condotta di sabotaggio informatico, che si realizza tramite l’inserimento di comandi, dati alterati o programmi malevoli – come i malware – finalizzati a compromettere le funzionalità del sistema.
L’introduzione può avvenire localmente o da remoto, anche mediante supporti fisici o rete Internet, e produce un risultato che, se non equivale alla distruzione, può comunque comportare gravi disfunzioni operative. Il bene tutelato, in tal caso, si estende alla continuità e regolarità del funzionamento dei sistemi informatici, i quali, seppur di natura privata, spesso svolgono un ruolo cruciale nelle attività produttive o nei servizi digitali.
L’elemento soggettivo richiesto per il danneggiamento informatico è il dolo generico, comprendente la coscienza e volontà sia della condotta che dell’evento che ne deriva. Anche in questo caso la legge n. 90/2024 ha significativamente inasprito il trattamento sanzionatorio anche per questa fattispecie, prevedendo una reclusione da tre a otto anni nei casi aggravati, in particolare quando il reato è commesso da pubblici ufficiali o operatori del sistema, o con violenza, minaccia o armi.
Danneggiamento informatico di dati e sistemi di interesse pubblico: artt. 635-ter e 635-quinquies c.p.
La necessità di garantire una tutela rafforzata nei confronti dei contenuti e delle infrastrutture digitali che svolgono una funzione pubblica o di rilevante interesse collettivo ha condotto il legislatore all’introduzione di specifiche figure criminose, oggi disciplinate dagli articoli 635-ter e 635-quinquiesdel codice penale.
Tali disposizioni si collocano nel solco della bipartizione già delineata tra il danneggiamento informatico di contenuti (dati, programmi e informazioni) e quello di sistemi, ma si caratterizzano per l’ulteriore elemento della destinazione pubblica o dell’interesse collettivo del bene giuridico leso.
In particolare, l’art. 635-ter c.p. punisce chi commette un fatto diretto a distruggere, deteriorare, cancellare, alterare o sopprimere informazioni, dati o programmi di interesse militare, relativi all’ordine pubblico, alla sanità, alla sicurezza pubblica, alla protezione civile o comunque di interesse pubblico, secondo una nozione funzionale che prescinde dalla titolarità pubblica del sistema.
Viene quindi sanzionata una condotta diretta e idonea a produrre un effetto lesivo, anticipando così la soglia di punibilità al momento in cui si verifica il pericolo concreto per il bene tutelato, secondo la logica propria dei reati di attentato. Una struttura analoga è prevista all’art. 635-quinquies c.p., che incrimina gli atti diretti a danneggiare o ostacolare gravemente il funzionamento di sistemi informatici o telematici di pubblico interesse, con modalità analoghe a quelle previste per i sistemi privati, ma con un disvalore penale rafforzato.
Le aggravanti introdotte dal legislatore nel 2024 riflettono tale maggiore gravità: tra esse si segnala, oltre alla commissione del reato da parte di pubblici ufficiali o soggetti qualificati, anche l’effettiva produzione di eventi lesivi, quali la distruzione o l’inaccessibilità delle informazioni, ovvero la loro sottrazione, anche mediante trasmissione. Inoltre, la nuova aggravante del comma 3 comporta un innalzamento ulteriore della pena fino a dodici anni di reclusione.
Queste disposizioni evidenziano il ruolo strategico che i dati e i sistemi pubblici assumono in una società digitale, nella quale la sicurezza informatica non è più solo un’esigenza tecnica, ma una priorità giuridica e istituzionale, oggetto di specifica tutela penale attraverso il reato di danneggiamento informatico in forma qualificata.
Condotte prodromiche al danneggiamento informatico: l’art. 635-quater.1 c.p. e i dual-use software
Il sistema di tutela penale delineato in materia di danneggiamento informatico si completa con la previsione dell’articolo 635-quater.1 del codice penale, il quale incrimina una serie di condotte prodromiche o preparatorie alla commissione di reati informatici, aventi ad oggetto strumenti tecnologici intrinsecamente pericolosi.
La disposizione punisce, infatti, chiunque, allo scopo di danneggiare illecitamente un sistema informatico o telematico, o di favorirne l’interruzione o l’alterazione del funzionamento, abusivamente si procura, detiene, produce, riproduce, importa, diffonde, comunica, consegna, installa o mette a disposizione di altri apparecchiature, dispositivi o programmi informatici idonei a tal fine.
La norma risponde all’esigenza di anticipare la soglia della rilevanza penale in un settore in cui l’offensività si manifesta spesso con rapidità e gravità. Trattandosi di una fattispecie di mera condotta e a dolo specifico, essa richiede non solo la consapevolezza e volontà della detenzione o diffusione abusiva, ma anche il fine di realizzare un successivo danno o interruzione di un sistema informatico o dei dati in esso contenuti.
Sul piano oggettivo, l’articolo in esame ricomprende anche i cosiddetti dual-use software, ossia quei programmi suscettibili di un impiego sia lecito che illecito (vale a dire: possono essere impiegati per un danneggiamento informatico o per finalità di testing di sicurezza), la cui punibilità dipende dunque dall’uso concreto che l’agente intende farne. In tal senso, l’elemento della abusività della condotta diviene decisivo per distinguere l’attività lecita (si pensi alla ricerca informatica o al testing etico) da quella penalmente rilevante.
La norma è stata significativamente riformulata dalla legge n. 90 del 2024, che ne ha trasferito la collocazione tra i delitti contro il patrimonio, ha introdotto nuove aggravanti e ha confermato l’applicabilità delle attenuanti di cui all’art. 639-ter c.p., nei casi in cui il fatto risulti di lieve entità o l’autore collabori con l’autorità per evitare conseguenze ulteriori.
Danneggiamento informatico e indagini digitali: il ruolo dei log e delle denunce circostanziate
Le indagini relative a ipotesi di danneggiamento informatico presentano specificità tecniche che impongono un approccio investigativo altamente specializzato. Trattandosi di reati che si manifestano mediante condotte digitali spesso non direttamente percepibili, l’accertamento del fatto e l’individuazione dell’autore presuppongono l’impiego di strumenti di analisi forense e metodologie informatiche idonee a garantire la tracciabilità delle operazioni eseguite sui sistemi coinvolti.
In tale ambito, particolare rilevanza assumono i file di log, ossia i registri digitali che documentano le attività effettuate all’interno di un sistema, sia da parte degli utenti sia da parte delle applicazioni. Tali registrazioni possono contenere informazioni essenziali, come gli indirizzi IP, gli orari di accesso, le modifiche apportate ai dati o ai programmi, nonché le operazioni di installazione o esecuzione di software che causano un danneggiamento informatico.
L’analisi forense dei log, ove tempestivamente conservati e messi a disposizione degli inquirenti, può dunque consentire la ricostruzione del percorso digitale seguito dall’agente, anche in presenza di tecniche di offuscamento o dissimulazione.
Ai fini dell’efficacia dell’azione investigativa, risulta fondamentale anche la qualità e la tempestività della denuncia sporta dalla persona offesa. Una denuncia dettagliata, corredata da informazioni tecniche specifiche, consente infatti di indirizzare con maggiore precisione l’attività della polizia giudiziaria e del pubblico ministero, riducendo il rischio di dispersione probatoria.
È altresì opportuno che, nelle prime fasi successive all’evento, vengano effettuate attività di preservazione delle prove digitali, mediante procedure di duplicazione forense dei supporti e acquisizione certificata dei file. In questo scenario, la sinergia tra competenze tecniche e giuridiche permette una risposta efficace agli episodi di danneggiamento informatico, la cui individuazione richiede spesso la collaborazione tra autorità inquirenti, consulenti tecnici e operatori del settore informatico.
Assistenza legale in casi di danneggiamento informatico
Nel contesto della crescente esposizione delle imprese e delle organizzazioni a condotte di danneggiamento informatico, l’assistenza legale non deve essere intesa unicamente come presidio da attivare nella fase patologica, a seguito di un attacco subito o di un evento già consumato.
Al contrario, l’intervento di un avvocato penalista con specifica competenza in materia di reati informatici può rivelarsi determinante anche in una prospettiva di prevenzione, orientando l’ente verso l’adozione di policy di sicurezza in grado di ridurre il rischio di aggressioni esterne e interferenze sui sistemi e sui dati aziendali.
Il diritto penale dell’informatica, infatti, non è solo uno strumento repressivo, ma costituisce anche un parametro normativo cui devono conformarsi le misure di tutela dell’integrità di dati e sistemi. In tal senso, un avvocato esperto può contribuire all’elaborazione di policy interne coerenti con gli standard di diligenza richiesti, favorendo una gestione consapevole degli accessi ai sistemi, una tracciabilità completa delle attività digitali e un impiego sicuro dei software e delle infrastrutture tecnologiche.
Ciò risulta particolarmente rilevante in un contesto nel quale il patrimonio informativo di un’impresa rappresenta l’asset strategico per eccellenza, suscettibile di essere gravemente leso da un danneggiamento informatico, con conseguenze gravi sul piano economico, reputazionale e operativo.
Phishing è il termine con cui si identifica una delle più insidiose forme di truffa informatica, caratterizzata dall’inganno finalizzato alla sottrazione di dati sensibili e informazioni riservate. L’evoluzione tecnologica e la crescente digitalizzazione delle attività quotidiane hanno ampliato le possibilità di comunicazione e gestione dei servizi online, ma al contempo hanno esposto gli utenti a nuove minacce. Il phishing, in particolare, si avvale di tecniche fraudolente attraverso le quali il soggetto agente, comunemente noto come phisher, induce la vittima a rivelare spontaneamente dati personali, quali credenziali di accesso a servizi bancari, numeri di carte di credito e informazioni finanziarie.
L’attacco si concretizza mediante l’invio di comunicazioni apparentemente legittime, che riproducono i segni distintivi di istituti bancari, enti pubblici o aziende note, al fine di persuadere l’utente a fornire informazioni riservate o a eseguire azioni che compromettano la sicurezza dei suoi dati. Generalmente, il phishing avviene attraverso e-mail fraudolente, messaggi di testo o chiamate telefoniche, all’interno delle quali la vittima viene indotta a cliccare su link malevoli o a scaricare allegati dannosi, con il conseguente rischio di compromissione dei propri dispositivi e dell’integrità delle informazioni personali.
L’impatto del phishing non si esaurisce nel mero contesto informatico, ma determina rilevanti conseguenze economiche e giuridiche per le vittime, che possono subire ingenti perdite patrimoniali e la violazione della propria privacy. L’elevato grado di sofisticazione delle tecniche adottate dai phisher, unito alla crescente difficoltà nel riconoscere le comunicazioni fraudolente, rende indispensabile un’attenta analisi del fenomeno, con l’obiettivo di comprenderne le modalità operative e individuare misure efficaci di prevenzione e tutela.
Phishing e social engineering: il meccanismo dell’inganno
Phishing e ingegneria sociale rappresentano due fenomeni strettamente connessi, in quanto il successo degli attacchi si fonda sull’applicazione di tecniche psicologiche volte a manipolare il comportamento della vittima. L’ingegneria sociale, infatti, è l’insieme di strategie basate sulla persuasione e sullo sfruttamento delle reazioni automatiche della mente umana, con lo scopo di indurre il soggetto passivo a compiere un’azione specifica senza che questi si renda conto di essere stato influenzato da un soggetto esterno.
Nel contesto del phishing, il truffatore elabora messaggi ingannevoli che riproducono fedelmente il linguaggio, la struttura e i segni distintivi di comunicazioni ufficiali inviate da istituti bancari, enti pubblici o aziende. L’obiettivo è quello di suscitare nella vittima un senso di urgenza o di pericolo, inducendola a ritenere che sia necessario compiere un’azione immediata per evitare presunte conseguenze negative.
Un esempio tipico è rappresentato dai messaggi che informano l’utente di un presunto problema di sicurezza del proprio conto bancario, della necessità di aggiornare le credenziali di accesso o di verificare transazioni sospette. Simili comunicazioni sono progettate per far leva sulla paura e sull’ansia della vittima, spingendola ad agire impulsivamente senza effettuare i necessari controlli.
L’efficacia del phishing è accresciuta dalla capacità del phisher di creare un contesto comunicativo verosimile e coerente, che lasci intendere alla vittima di avere il controllo della situazione e di poter risolvere il problema autonomamente.
A tale scopo, il linguaggio utilizzato nelle comunicazioni fraudolente è attentamente calibrato per mantenere un tono istituzionale e rassicurante, evitando espressioni eccessivamente intimidatorie che potrebbero destare sospetti. L’elemento psicologico gioca un ruolo determinante nella riuscita dell’attacco, poiché il soggetto passivo, convinto di agire in modo razionale e autodeterminato, finisce per eseguire le istruzioni dell’attaccante, fornendo i propri dati personali o accedendo a piattaforme compromesse.
Le diverse forme di phishing e il loro funzionamento
Il phishing è un fenomeno in costante evoluzione, caratterizzato dall’adattamento delle tecniche di attacco alle nuove abitudini digitali degli utenti e ai sistemi di sicurezza implementati dalle piattaforme online. Sebbene il principio di base rimanga invariato, esistono diverse varianti di phishing, ciascuna con modalità operative specifiche, studiate per aumentare l’efficacia dell’inganno e rendere più complesso il riconoscimento della truffa. Per una sintesi sulla descrizione del fenomeno, rinviamo al sito della Polizia Postale.
Una delle forme più comuni è il deceptive phishing, che si basa sull’invio massivo di comunicazioni fraudolente a un numero indeterminato di utenti, senza una selezione specifica della vittima. Il messaggio, solitamente veicolato tramite e-mail, riproduce l’identità grafica e il linguaggio di enti bancari, piattaforme di pagamento o servizi online di largo utilizzo, inducendo il destinatario a inserire le proprie credenziali di accesso in una pagina web contraffatta. Questa tipologia di attacco si caratterizza per l’approccio generico, in quanto mira a raggiungere il maggior numero possibile di utenti, confidando nel fatto che una percentuale di essi cadrà nella trappola.
Un’evoluzione del phishing tradizionale è rappresentata dallo spear Phishing, una tecnica più sofisticata che prevede una fase preliminare di raccolta delle informazioni sulla vittima, al fine di personalizzare il messaggio-esca. A differenza del deceptive Phishing, che si affida a una strategia indiscriminata, lo spear Phishing colpisce in modo mirato, utilizzando dettagli specifici sulla persona o sull’organizzazione attaccata per conferire maggiore credibilità alla comunicazione fraudolenta. L’elemento distintivo di questa variante è l’elevato grado di verosimiglianza, che riduce la capacità della vittima di riconoscere la natura ingannevole del messaggio.
Ulteriori varianti del phishing includono lo smishing e il vishing, che differiscono dal modello classico per il mezzo di comunicazione impiegato. Lo smishing sfrutta l’invio di SMS contenenti link dannosi o richieste di informazioni personali, mentre il vishing utilizza chiamate telefoniche nelle quali il truffatore si spaccia per un operatore di banca, un ente pubblico o un servizio clienti, inducendo la vittima a fornire dati sensibili. In questi casi, l’attacco si avvale spesso della tecnica dello spoofing, che consente di alterare il numero di telefono del mittente per far apparire la chiamata come proveniente da un’istituzione affidabile.
Tra le forme più recenti di phishing si segnala il deepfake phishing, una tecnica che combina l’uso dell’intelligenza artificiale con strumenti di manipolazione multimediale avanzati. Di tale nuova tipologia tratteremo nei paragrafi seguenti.
Phishing e il quadro giuridico: truffa e frode informatica
Il phishing rappresenta una condotta illecita priva di una specifica incriminazione autonoma all’interno del codice penale italiano. Tuttavia, la sua realizzazione si articola attraverso comportamenti riconducibili a diverse fattispecie criminose, tra cui la truffa prevista dall’art. 640 c.p., la frode informatica disciplinata dall’art. 640-ter c.p., la sostituzione di personaex art. 494 c.p. e l’accesso abusivo a un sistema informatico sanzionato dall’art. 615-ter c.p.. L’inquadramento giuridico della fattispecie varia a seconda delle modalità con cui il phishing viene perpetrato e degli strumenti utilizzati dal soggetto agente per appropriarsi indebitamente delle informazioni riservate della vittima.
La qualificazione del phishing come truffa ai sensi dell’art. 640 c.p. è stata oggetto di dibattito in dottrina e giurisprudenza. La disposizione punisce chi, con artifizi o raggiri, inducendo taluno in errore, procura a sé o ad altri un ingiusto profitto con altrui danno. Il soggetto agente utilizza un messaggio decettivo, inducendo la vittima a ritenere autentica una comunicazione fraudolenta e a compiere volontariamente un’azione che determina un pregiudizio economico. La condotta del phisher, pertanto, può rientrare nella nozione di truffa tradizionale, in quanto l’induzione in errore della vittima avviene mediante raggiri finalizzati all’ottenimento di un vantaggio patrimoniale illecito.
L’applicazione dell’art. 640-ter c.p., che disciplina la frode informatica, diventa rilevante qualora l’attacco si realizzi attraverso l’alterazione di un sistema informatico o telematico. La norma punisce chiunque, “alterando in qualsiasi modo il funzionamento di un sistema informatico o telematico o intervenendo senza diritto con qualsiasi modalità su dati, informazioni o programmi contenuti in un sistema informatico”, ottenga un profitto illecito con danno altrui.
Tale disposizione potrebbe trovare applicazione nei casi in cui il phishing si concretizzi mediante l’uso di malware o software autoinstallanti che sottraggono dati sensibili della vittima senza che vi sia un’interazione consapevole da parte di quest’ultima. Secondo un recente orientamento giurisprudenziale, la frode informatica potrebbe applicarsi anche alle condotte più “tradizionali”, qualora l’attaccante riesca a ottenere il profitto intervenendo senza diritto su sistemi informatici (es. facendo uso delle credenziali precedentemente sottratte per eseguire un bonifico).
Un ulteriore profilo giuridico del phishing riguarda la sostituzione di persona, sanzionata dall’art. 494 c.p., qualora l’attaccante utilizzi illecitamente l’identità di un soggetto terzo, come un istituto bancario o un ente pubblico, per rendere più credibile l’inganno. Tale condotta si realizza quando il truffatore falsifica l’intestazione di un’e-mail o manipola l’identità del mittente per far apparire la comunicazione come proveniente da un soggetto istituzionale reale.
Infine, nelle ipotesi in cui l’autore del reato utilizzi le credenziali sottratte per accedere indebitamente agli account online della vittima, potrebbe configurarsi il il reato di accesso abusivo a un sistema informatico o telematico, previsto dall’art. 615-ter c.p.. La disposizione punisce chi si introduce in un sistema informatico protetto senza autorizzazione o vi si mantiene contro la volontà del titolare. Tale reato assume particolare rilevanza nei casi in cui il phishing abbia come obiettivo il controllo degli account bancari della vittima o l’accesso a dati riservati custoditi in piattaforme online.
La sovrapposizione tra queste diverse fattispecie penali dimostra come la condotta, nel suo complesso, possa integrare una pluralità di reati, a seconda delle modalità esecutive adottate dal phisher. La giurisprudenza ha chiarito che, in determinati casi, può configurarsi un concorso di reati.
Phishing e nuove tecnologie: l’intelligenza artificiale al servizio della frode
Il phishing è un fenomeno in continua evoluzione, che trae vantaggio dall’innovazione tecnologica per affinare le proprie modalità operative e incrementare il tasso di successo degli attacchi. L’introduzione di strumenti avanzati, tra cui sistemi di intelligenza artificiale, ha reso le truffe informatiche ancora più sofisticate e difficili da individuare, riducendo sensibilmente la capacità delle vittime di riconoscere la natura fraudolenta delle comunicazioni ricevute.
L’intelligenza artificiale, grazie alla capacità di elaborare grandi quantità di dati e simulare il linguaggio naturale, viene impiegata dai criminali informatici per generare contenuti personalizzati che aumentano la credibilità dei messaggi di phishing. Gli algoritmi avanzati consentono di analizzare i comportamenti digitali delle vittime, raccogliere informazioni dai social network e creare messaggi ingannevoli altamente verosimili.
Un ulteriore sviluppo che ha incrementato la pericolosità del phishing è rappresentato dall’impiego della tecnologia deepfake, che sfrutta l’intelligenza artificiale per creare contenuti multimediali falsificati. Questa innovazione ha portato alla diffusione di una nuova forma di attacco, nota come deepfake phishing, che si distingue per l’utilizzo di video, immagini o messaggi audio alterati in modo da riprodurre fedelmente l’aspetto e la voce di persone reali. Attraverso questi strumenti, i truffatori possono impersonare dirigenti aziendali, funzionari di enti pubblici o persone di fiducia della vittima, aumentando la probabilità che quest’ultima cada nell’inganno.
Il deepfake phishing ha trovato particolare applicazione nelle frodi aziendali e nei tentativi di CEO fraud, in cui i criminali informatici si spacciano per alti dirigenti di un’azienda e inducono dipendenti o collaboratori a effettuare bonifici fraudolenti o a condividere informazioni riservate. La capacità di generare contenuti audio e video realistici rende questa tipologia di attacco estremamente efficace, poiché la vittima, ritenendo di interagire con un interlocutore affidabile, difficilmente mette in dubbio l’autenticità della richiesta.
L’evoluzione tecnologica ha inoltre ampliato il raggio d’azione del phishing, consentendo la creazione di siti web contraffatti con livelli di realismo sempre più elevati. Gli attacchi che un tempo si limitavano alla semplice riproduzione grafica di una pagina web ora sfruttano l’intelligenza artificiale per replicare in tempo reale le interazioni tipiche di un portale legittimo, generando risposte dinamiche agli utenti e simulando il comportamento di un servizio autentico. Queste tecniche avanzate riducono la percezione del rischio e inducono le vittime a inserire le proprie credenziali senza sospettare la natura fraudolenta del sito visitato.
L’influenza delle nuove tecnologie sul phishing dimostra come la criminalità informatica sia in grado di adattarsi rapidamente ai cambiamenti del panorama digitale, sfruttando strumenti innovativi per perfezionare le proprie strategie fraudolente. La crescente sofisticazione degli attacchi richiede un approccio integrato alla sicurezza informatica, basato su una combinazione di prevenzione, formazione degli utenti e strumenti avanzati di protezione, al fine di contrastare efficacemente le minacce emergenti.
Prevenire il phishing: strategie e accorgimenti per difendersi
La prevenzione è l’elemento cardine nella difesa contro le frodi informatiche, poiché il riconoscimento tempestivo dei segnali d’allarme può evitare conseguenze dannose per gli utenti e le organizzazioni. La protezione contro il phishing si fonda su una combinazione di buone pratiche di sicurezza informatica, strumenti tecnologici avanzati e un’adeguata consapevolezza del rischio.
Uno degli aspetti fondamentali della prevenzione è il riconoscimento delle caratteristiche comuni degli attacchi Phishing. Le comunicazioni fraudolente presentano spesso elementi ricorrenti, tra cui un linguaggio persuasivo che richiama situazioni di emergenza, la richiesta di inserire credenziali personali, link che rimandano a pagine web contraffatte e mittenti dall’apparenza ingannevole.
L’analisi critica del contenuto di un’e-mail o di un messaggio, unita alla verifica dell’indirizzo del mittente e dell’autenticità dei collegamenti ipertestuali, rappresenta il primo strumento di autodifesa. Nessuna istituzione bancaria o azienda affidabile richiede l’inserimento di dati sensibili tramite e-mail o SMS, pertanto, la ricezione di simili richieste deve essere considerata un chiaro indicatore di un tentativo di Phishing.
Un ulteriore accorgimento essenziale è l’utilizzo dell’autenticazione a più fattori, che aggiunge un ulteriore livello di protezione agli account personali e aziendali. Questo sistema impedisce agli aggressori di ottenere accesso non autorizzato anche nel caso in cui riescano a sottrarre le credenziali di accesso, poiché sarà necessario un secondo codice di verifica generato su un dispositivo di proprietà dell’utente. L’implementazione di password robuste e uniche per ciascun servizio online riduce, inoltre, il rischio che la compromissione di un singolo account possa estendersi ad altre piattaforme.
L’installazione e l’aggiornamento regolare di software di sicurezza, tra cui antivirus, firewall e filtri anti-phishing, contribuisce in modo significativo alla protezione dalle minacce informatiche. Molti servizi di posta elettronica integrano già sistemi di rilevamento automatico che segnalano i messaggi sospetti o li collocano direttamente nella cartella spam. Tuttavia, è opportuno adottare ulteriori misure, come l’abilitazione di funzionalità avanzate di protezione della navigazione e l’uso di estensioni browser progettate per identificare siti web malevoli prima che l’utente inserisca informazioni sensibili.
Un ruolo determinante nella prevenzione del phishing è svolto dalla cybersecurity awareness, ovvero la formazione degli utenti sui rischi legati alle truffe informatiche e sulle corrette pratiche di comportamento online. In ambito aziendale, l’adozione di programmi di formazione periodica per il personale riduce sensibilmente la vulnerabilità delle organizzazioni agli attacchi mirati.
Molti attacchi di phishing, infatti, prendono di mira dipendenti e dirigenti per ottenere accesso alle infrastrutture informatiche aziendali, sfruttando la mancanza di consapevolezza sui rischi informatici. L’organizzazione di simulazioni di attacchi phishing, in cui gli utenti vengono esposti a e-mail fraudolente create a scopo didattico, rappresenta un metodo efficace per migliorare la capacità di riconoscere e reagire correttamente ai tentativi di frode.
Nel caso in cui si sospetti di aver ricevuto una comunicazione fraudolenta, è essenziale evitare di cliccare su link o scaricare allegati, e verificare l’autenticità del messaggio contattando direttamente l’ente o l’azienda presunta mittente attraverso i canali ufficiali. In caso di dubbio, è sempre preferibile non eseguire alcuna azione e procedere a una verifica preventiva. Le autorità di regolamentazione e gli istituti bancari forniscono strumenti per segnalare i tentativi di phishing, contribuendo così a identificare e bloccare gli attacchi in corso.
In definitiva, la prevenzione del Phishing richiede un approccio multidisciplinare, che combini tecnologie di protezione, consapevolezza e buone pratiche di sicurezza digitale.
Conclusioni: cosa fare in caso di attacco phishing
La crescente sofisticazione delle tecniche di attacco rende essenziale l’adozione di misure preventive efficaci, basate sulla consapevolezza dei rischi e sull’utilizzo di strumenti di sicurezza avanzati. Il riconoscimento tempestivo dei segnali di un tentativo di phishing, unito all’applicazione di protocolli di autenticazione e verifica, è la strategia più efficace per evitare di cadere vittima di truffe informatiche.
Nel caso in cui un attacco abbia già avuto successo, è fondamentale intervenire immediatamente, segnalando l’accaduto alle autorità competenti, contattando il proprio istituto bancario per limitare i danni finanziari e adottando misure per ripristinare la sicurezza dei propri account e dispositivi.
La protezione dalle frodi informatiche non può prescindere da un’adeguata consulenza legale e da un’efficace gestione della sicurezza cibernetica. Il nostro Studio fornisce supporto specializzato a privati e aziende nella prevenzione e gestione delle conseguenze derivanti da attacchi informatici, offrendo assistenza nella valutazione dei rischi, nella predisposizione di strategie di tutela e nella difesa dei diritti di reati informatici.
L’impiego dell’IA in ambito medico sta determinando una trasformazione profonda nel settore sanitario, in particolare nel campo della diagnostica medica. La capacità di analizzare grandi quantità di dati clinici, individuare schemi e formulare ipotesi diagnostiche ha reso l’intelligenza artificiale uno strumento “di frontiera” per il miglioramento delle prestazioni sanitarie, incidendo significativamente sul rapporto tra medico e paziente.
L’IA non si limita a supportare il medico, ma può apprendere e modificare il proprio funzionamento nel tempo, rendendo ancora più complessa l’individuazione delle responsabilità in caso di errore diagnostico. Tale evoluzione pone questioni giuridiche di rilevante spessore, in particolare in relazione alla responsabilità penale derivante dall’utilizzo di sistemi automatizzati nella pratica medica. Il problema della corretta imputazione dell’errore diagnostico, infatti, dipende dal ruolo attribuito all’IA, che può essere impiegata come strumento di supporto o come vero e proprio sostituto della decisione medica.
In quest’ultimo caso, l’attribuzione della responsabilità non riguarderebbe più esclusivamente il medico, ma si estenderebbe ai produttori e sviluppatori di tali sistemi, con il conseguente interrogativo sull’applicabilità delle attuali norme penali a scenari di crescente automazione nella sanità.
Il presente contributo rappresenta una versione estesa dell’approfondimento già pubblicato su HealthTech360.
IA in ambito medico e il ruolo della diagnostica automatizzata
L’introduzione dell’IA in ambito medico ha determinato un mutamento significativo nella metodologia diagnostica, incidendo sia sulla raccolta e interpretazione dei dati clinici sia sul processo decisionale del medico.
Tradizionalmente, l’attività diagnostica si articola in una serie di fasi ben definite che includono la raccolta delle informazioni cliniche rilevanti, la formulazione di una diagnosi differenziale, l’approfondimento del quadro clinico e, infine, l’individuazione della diagnosi definitiva.
L’avvento di strumenti basati su intelligenza artificiale ha reso possibile un potenziamento dell’intero processo, superando il tradizionale utilizzo della tecnologia quale mero supporto alla raccolta dati e consentendo invece l’autonoma elaborazione di ipotesi diagnostiche da parte di sistemi avanzati.
Il funzionamento di questi strumenti si basa su modelli matematici capaci di analizzare enormi quantità di dati clinici, individuando correlazioni e schemi non immediatamente percepibili dall’occhio umano. L’IA in ambito medico consente così di identificare con maggiore precisione patologie complesse, migliorando l’accuratezza e la tempestività della diagnosi, in particolare nei settori della diagnostica per immagini, della medicina predittiva e della personalizzazione dei trattamenti terapeutici.
Tuttavia, il passaggio da un modello in cui l’IA rappresenta uno strumento di supporto a uno in cui assume un ruolo preponderante nel processo diagnostico solleva delicate questioni giuridiche. La capacità degli algoritmi di adattarsi autonomamente all’esperienza clinica, modificando nel tempo il proprio comportamento sulla base dei dati raccolti, introduce un ulteriore elemento di complessità, poiché rende più difficile prevedere e controllare l’esito delle decisioni generate dal sistema.
IA in ambito medico: il quadro normativo e gli obblighi cautelari
A livello normativo, i sistemi di intelligenza artificiale utilizzati nella sanità rientrano nella categoria dei dispositivi medici, come stabilito dalla Direttiva 85/374/CEE e dal Regolamento (UE) 2017/745, che disciplinano la sicurezza e l’immissione in commercio di prodotti medici.
Sul piano civilistico, l’inserimento degli strumenti IA-based tra i dispositivi medici implica l’applicazione della disciplina sulla responsabilità da prodotto difettoso, attribuendo ai fabbricanti l’onere di garantire che il sistema non presenti difetti che possano causare danni ai pazienti.
Un ulteriore riferimento normativo – oggi di centrale importanza – è il Regolamento sull’Intelligenza Artificiale (AI Act), recentemente approvato dal Parlamento europeo, che disciplina gli obblighi specifici per i fornitori di sistemi di IA ad alto rischio. In virtù dell’articolo 6, i sistemi IA impiegati nella diagnostica medica rientrano tra quelli sottoposti a requisiti più stringenti in termini di trasparenza, gestione del rischio e conformità alle normative di sicurezza.
Il Regolamento impone ai produttori di adottare misure di controllo rigorose per garantire che i sistemi rispettino standard elevati di qualità e sicurezza, attraverso la gestione del rischio, la sorveglianza post-commercializzazione e l’implementazione di procedure di verifica periodica delle prestazioni del software.
Particolare attenzione è riservata alla trasparenza del processo decisionale dell’IA, che rappresenta una delle criticità più rilevanti nel settore sanitario. I sistemi basati su reti neurali profonde e machine learning possono infatti operare in modalità black box, rendendo difficile per il medico e per le autorità di controllo comprendere il percorso logico attraverso cui l’algoritmo è giunto a una determinata conclusione diagnostica.
L’AI Act stabilisce pertanto che i produttori devono garantire tracciabilità e spiegabilità degli output generati dall’IA, affinché il professionista sanitario possa valutare in modo consapevole le informazioni fornite e prendere decisioni in linea con le migliori pratiche mediche.
Parallelamente agli obblighi gravanti sui produttori, la normativa prevede doveri specifici per le strutture sanitarie e per i professionisti medici che utilizzano sistemi IA nella loro attività. La giurisprudenza, in particolare, riconosce che il medico conserva una posizione di garanzia nei confronti del paziente, con il dovere di verificare l’attendibilità dello strumento diagnostico e di valutarne criticamente i risultati. Questo principio comporta che, anche in presenza di un sistema IA certificato, il sanitario non possa affidarsi passivamente alle indicazioni fornite dall’algoritmo, ma debba sempre esercitare un controllo attivo e responsabile.
L’inosservanza di tali obblighi potrebbe determinare l’insorgere di responsabilità penale in caso di errore diagnostico, soprattutto laddove il medico abbia omesso di valutare con diligenza l’affidabilità del sistema o abbia adottato una diagnosi automatizzata senza sottoporla a una verifica clinica adeguata.
IA in ambito medico: focus sui profili di responsabilità
L’utilizzo dell’IA in ambito medico solleva rilevanti questioni circa la responsabilità penale del personale sanitario, soprattutto nei casi in cui l’impiego di tali tecnologie comporti errori diagnostici con conseguenze dannose per il paziente. La responsabilità può riguardare diverse figure, tra cui il medico, la struttura sanitaria e il produttore del sistema IA, a seconda delle circostanze in cui si verifica l’evento lesivo.
Uno dei principali riferimenti normativi in questo ambito è rappresentato dall’articolo 590-sexies, comma 1, c.p., che disciplina la responsabilità colposa per morte o lesioni personali in ambito sanitario. Come noto, tale disposizione prevede che il medico possa andare esente da responsabilità se ha rispettato le linee guida e le buone pratiche clinico-assistenziali, ma l’applicazione di questa norma ai sistemi IA risulta problematica, in quanto le best practice in materia di intelligenza artificiale sono in continua evoluzione e spesso non codificate in modo uniforme (o non codificate affatto).
Ciò crea un’incertezza giuridica che potrebbe tradursi in un aumento del contenzioso penale nei confronti dei professionisti sanitari che decidono di avvalersi di strumenti basati sull’IA in ambito medico per formulare diagnosi o definire percorsi terapeutici.
Peraltro, individuare con certezza il nesso di causalità tra il difetto del sistema IA e l’evento lesivo rappresenta un aspetto particolarmente complesso, soprattutto in presenza di dispositivi che operano in maniera autonoma e il cui comportamento può variare nel tempo in funzione dell’apprendimento automatico.
Un ulteriore profilo di responsabilità coinvolge la struttura sanitaria, che è tenuta a garantire un utilizzo appropriato delle tecnologie IA e a predisporre adeguati protocolli di verifica e sorveglianza. La struttura può essere chiamata a rispondere per responsabilità contrattuale, con l’onere della prova liberatoria a proprio carico, mentre il medico risponde in termini di responsabilità extracontrattuale, con la necessità per il paziente di dimostrare il nesso causale tra l’errore diagnostico e il danno subito.
Sul piano penale, la colpa professionale del medico potrebbe configurarsi qualora venga dimostrato che l’adozione del sistema IA sia avvenuta con negligenza, imperizia o imprudenza, ad esempio utilizzando un algoritmo privo delle necessarie certificazioni o facendo affidamento su un software che presenta limiti tecnici non adeguatamente considerati.
Le problematiche connesse alla responsabilità penale per l’uso dell’IA in ambito medico sono acuite dalla natura stessa di questi sistemi, che spesso operano in modo opaco e difficilmente comprensibile persino per gli stessi sviluppatori. La crescente diffusione di tecniche di deep learning ha accentuato il problema della black box AI, ossia l’incapacità di spiegare con precisione il ragionamento seguito dall’algoritmo per giungere a una determinata diagnosi. Questa caratteristica rende estremamente complesso per il medico controllare e verificare la correttezza delle informazioni fornite dal sistema, con il rischio di attribuire erroneamente la responsabilità dell’errore diagnostico al professionista sanitario, pur in assenza di una reale possibilità di intervento correttivo da parte di quest’ultimo.
In questo scenario, appare evidente che la responsabilità penale in ambito sanitario sta affrontando una fase di profonda trasformazione, in cui l’attribuzione della colpa non può più basarsi esclusivamente sui criteri tradizionali della colpa medica o della responsabilità da prodotto.
IA in ambito medico e la complessità dell’accertamento della responsabilità
L’accertamento della responsabilità penale per errore diagnostico, in caso di utilizzo dell’IA in ambito medico, rimane in assoluto la questione più spinosa e controversa. Essa coinvolge una pluralità di soggetti e impone un’analisi approfondita delle dinamiche che hanno portato all’evento lesivo. A differenza dei modelli tradizionali di imputazione della colpa in ambito sanitario, nei quali il nesso di causalità tra condotta del medico ed evento dannoso può essere ricostruito con criteri consolidati, l’introduzione dell’intelligenza artificiale potrebbe richiedere una revisione delle categorie giuridiche applicabili, a causa dell’autonomia e dell’evoluzione continua degli algoritmi.
Uno dei principali problemi riguarda la difficoltà di individuare il soggetto responsabile nel caso in cui un sistema IA diagnostico generi un errore con conseguenze dannose per il paziente. L’architettura di questi dispositivi prevede la partecipazione di diversi attori, tra cui i programmatori e sviluppatori dell’algoritmo, i produttori del dispositivo medico, i responsabili della manutenzione e degli aggiornamenti, nonché il personale sanitario che utilizza il sistema nella pratica clinica.
Tale frammentazione dei ruoli rende arduo stabilire in quale fase del processo si sia verificata la disfunzione che ha determinato l’errore diagnostico e, di conseguenza, attribuire la responsabilità penale a un determinato soggetto.
Inoltre, la capacità dei sistemi IA in ambito medico di apprendere autonomamente dall’esperienza clinica introduce un ulteriore elemento di incertezza nell’attribuzione della colpa. Le reti neurali e i modelli di machine learning non funzionano attraverso un insieme statico di regole prestabilite, bensì modificano il proprio comportamento nel tempo in base ai dati raccolti e alle interazioni con il contesto operativo.
Questo meccanismo, pur migliorando l’efficacia diagnostica nel lungo periodo, determina una crescente difficoltà nell’identificare le cause di un eventuale errore e nel comprendere se esso sia dovuto a un difetto originario del software, a un problema di addestramento dell’algoritmo o a un utilizzo non conforme da parte del medico.
In un simile contesto, il tradizionale approccio basato sull’imputazione della colpa per imperizia, imprudenza o negligenza rischia di risultare inadeguato, poiché il medico potrebbe non avere alcun controllo diretto sul processo decisionale dell’algoritmo e, al tempo stesso, il produttore potrebbe non essere in grado di prevedere con esattezza il comportamento futuro del sistema.
Un ulteriore fattore di complessità è rappresentato dalla combinazione dell’IA in ambito medico con altri strumenti digitali, come dispositivi di monitoraggio remoto o strumenti di imaging medico avanzato, che possono influenzare l’esito delle diagnosi attraverso l’integrazione di dati provenienti da fonti multiple. In questi casi, la ricostruzione del nesso di causalità tra il malfunzionamento del sistema e l’evento dannoso si complica ulteriormente, poiché la responsabilità potrebbe derivare non da un singolo errore, ma da un’interazione tra più fattori tecnologici.
Alla luce di queste problematiche, risulta evidente che i criteri tradizionali di attribuzione della responsabilità penale in ambito medico necessitano di un adeguamento per poter rispondere alle nuove sfide poste dall’intelligenza artificiale. Il diritto penale, fondato su principi di certezza e prevedibilità, si trova di fronte alla necessità di bilanciare la tutela dei pazienti con il rischio di creare un sistema di responsabilità eccessivamente gravoso per i medici e le strutture sanitarie.
In questo scenario, il legislatore e la giurisprudenza saranno chiamati a individuare soluzioni capaci di garantire un equo riparto delle responsabilità tra i soggetti coinvolti, evitando di generare una criminalizzazione eccessiva dei professionisti sanitari per eventi che, di fatto, potrebbero dipendere da variabili difficilmente controllabili.
IA in ambito medico e la collaborazione uomo-macchina: un nuovo modello di responsabilità
L’integrazione dell’IA in ambito medico nella pratica diagnostica ha determinato una ridefinizione dei rapporti tra il medico e gli strumenti tecnologici, sollevando interrogativi non solo in merito alla responsabilità individuale, ma anche riguardo alla possibile configurazione di una forma di responsabilità condivisa tra uomo e macchina.
Tradizionalmente, gli strumenti diagnostici erano considerati meri ausili del medico, il quale conservava un ruolo preminente nella valutazione delle informazioni cliniche e nella formulazione della diagnosi. Con l’avvento dei sistemi IA in ambito medico, in grado di elaborare autonomamente ipotesi diagnostiche e suggerire percorsi terapeutici, si sta delineando un nuovo paradigma in cui la decisione medica non è più il risultato esclusivo del ragionamento umano, ma deriva da una cooperazione tra professionista sanitario e algoritmo.
In questa prospettiva, l’IA in ambito medico non può essere considerata alla stregua di un semplice strumento consultivo, bensì deve essere interpretata come un elemento attivo nel processo decisionale. Tale cambiamento incide direttamente sull’imputazione della responsabilità penale, poiché il medico potrebbe essere chiamato a rispondere non solo per le proprie scelte, ma anche per gli errori derivanti dall’adozione delle indicazioni fornite dall’intelligenza artificiale. La questione diviene ancora più complessa nei casi in cui il sistema diagnostico abbia operato in modo non trasparente, fornendo risultati basati su correlazioni statistiche di difficile interpretazione.
Dal punto di vista giuridico, si aprono due possibili scenari. Nel primo, il sanitario conserva un ruolo di supervisione e controllo sul sistema IA in ambito medico, assumendo la piena responsabilità delle decisioni adottate sulla base delle analisi algoritmiche. In questo caso, la colpa del professionista potrebbe essere configurata qualora si dimostrasse che ha fatto affidamento in modo acritico su un sistema IA senza verificarne l’attendibilità o senza adottare ulteriori accertamenti clinici.
Nel secondo scenario, il medico e il sistema IA operano in una relazione di cooperazione decisionale, in cui il professionista segue le indicazioni dell’algoritmo in quanto ritenute altamente affidabili sulla base di dati oggettivi e standardizzati. In questa ipotesi, la responsabilità potrebbe essere distribuita tra il medico, il produttore del sistema IA e la struttura sanitaria, configurando un modello di cooperazione colposa.
La distinzione tra cooperazione colposa e concorso di cause indipendenti assume qui un rilievo fondamentale, poiché nel primo caso i soggetti coinvolti sono consapevoli di operare in un contesto di responsabilità condivisa, mentre nel secondo le condotte colpose restano autonome e non riconducibili a una collaborazione consapevole.
Un altro aspetto di particolare interesse riguarda l’eventuale responsabilità dei programmatori e degli sviluppatori del sistema IA, qualora il software utilizzato dal medico presenti difetti strutturali che abbiano influito sulla formulazione della diagnosi. In tal caso, si potrebbe configurare una responsabilità diretta dei produttori per prodotto difettoso, ai sensi delle normative europee in materia di dispositivi medici. Tuttavia, l’assenza di un criterio chiaro per stabilire il grado di autonomia dell’algoritmo rende incerta l’applicabilità delle norme tradizionali, poiché le attuali disposizioni sulla colpa professionale si basano su un modello di responsabilità che presuppone l’intervento umano come elemento centrale.
Il dibattito sulla responsabilità penale per l’uso dell’IA in ambito medico impone una riflessione sulla necessità di un aggiornamento normativo che tenga conto delle nuove dinamiche collaborative tra uomo e macchina. Il diritto penale tradizionale, fondato su categorie statiche di colpa e dolo, si trova a dover affrontare una realtà in cui le decisioni cliniche non sono più frutto della volontà esclusiva del medico, ma derivano dall’interazione con sistemi tecnologici sempre più avanzati.
L’assenza di una disciplina specifica su questi aspetti potrebbe portare a una distribuzione irrazionale della responsabilità, penalizzando eccessivamente il medico o, al contrario, lasciando impuniti gli errori derivanti da un utilizzo improprio dei sistemi IA. In tale contesto, diviene necessario individuare modelli di imputazione della colpa che siano in grado di bilanciare l’esigenza di tutela del paziente con il progresso tecnologico, evitando di ostacolare l’innovazione per il timore di un’eccessiva esposizione al rischio penale.
Conclusioni: prospettive future e scelte di politica criminale
L’evoluzione dell’IA in ambito medico sta modificando profondamente i parametri tradizionali della responsabilità penale in ambito sanitario, rendendo sempre più evidente la necessità di un adeguamento normativo. L’impiego di sistemi di intelligenza artificiale nella diagnostica e nella formulazione delle scelte terapeutiche ha sollevato questioni complesse che riguardano l’attribuzione della colpa, il rapporto tra medico e macchina e la necessità di garantire un livello adeguato di sicurezza per il paziente senza scoraggiare l’innovazione tecnologica.
Una delle principali criticità emerse riguarda il vuoto normativo in materia di responsabilità derivante dall’utilizzo di dispositivi IA in ambito medico. Se da un lato il diritto penale tradizionale impone che l’imputazione della colpa si basi su criteri di prevedibilità ed evitabilità dell’evento, dall’altro l’autonomia e l’evoluzione continua degli algoritmi complicano l’applicazione di tali principi, determinando il fenomeno del responsibility gap.
L’assenza di un controllo diretto da parte del medico sulle decisioni dell’algoritmo e l’impossibilità di prevedere con assoluta certezza il comportamento futuro del sistema IA potrebbero determinare situazioni in cui nessun soggetto possa essere chiamato a rispondere penalmente, oppure, al contrario, portare a una responsabilità generalizzata che rischierebbe di penalizzare ingiustamente i professionisti sanitari.
Si dovrebbe al riguardo meditare su un modello di responsabilità plurisoggettiva che riconosca il ruolo attivo di tutti i soggetti coinvolti nella progettazione, nello sviluppo e nell’utilizzo dell’IA in ambito medico. In questa prospettiva, la responsabilità penale non ricadrebbe esclusivamente sul medico, ma sarebbe distribuita tra le diverse figure professionali coinvolte nella creazione e gestione del sistema IA, compresi i programmatori, i produttori di software e i responsabili della manutenzione degli algoritmi. Questo modello permetterebbe di superare le rigidità del sistema attuale, attribuendo la colpa in maniera proporzionata rispetto al grado di influenza che ciascun soggetto ha esercitato nella determinazione dell’errore diagnostico.
Sotto il profilo della politica criminale, la tendenza più ragionevole sembra essere quella di evitare una criminalizzazione generalizzata dell’uso dell’IA nella sanità, limitando l’intervento punitivo alle ipotesi di colpa grave e dolo, e rafforzando invece i meccanismi di compliance e controllo preventivo.
L’adozione di protocolli chiari sull’uso dell’IA, l’obbligo di trasparenza nell’addestramento degli algoritmi e l’istituzione di un sistema di certificazione per i dispositivi IA in ambito medico potrebbero costituire strumenti più efficaci per garantire la sicurezza dei pazienti rispetto a un’applicazione indiscriminata delle sanzioni penali.
Alla luce di queste considerazioni, è evidente che l’IA in ambito medico pone sfide inedite per il diritto penale, che non può più limitarsi a interpretare l’intelligenza artificiale come un semplice strumento, ma deve riconoscere il ruolo attivo che essa gioca nel processo diagnostico e terapeutico. La transizione verso un modello di responsabilità condivisa e l’adozione di nuovi criteri di imputazione della colpa rappresentano passi fondamentali per garantire un equilibrio tra l’innovazione tecnologica e la tutela dei diritti fondamentali dei pazienti.
In questo scenario in continua evoluzione, il legislatore e la giurisprudenza saranno chiamati a individuare soluzioni capaci di coniugare le esigenze della scienza medica con i principi fondamentali del diritto penale, evitando sia la deresponsabilizzazione totale dei soggetti coinvolti, sia l’imposizione di oneri eccessivi che potrebbero ostacolare il progresso della medicina digitale.
Il nostro studio legale, da sempre attento alle evoluzioni normative e tecnologiche, offre consulenza specializzata in compliance nel settore delle nuove tecnologie, con particolare attenzione all’integrazione dell’IA nei processi aziendali. Attraverso un approccio multidisciplinare, supportiamo aziende, sviluppatori e strutture sanitarie nell’adozione di disruptive technologies in conformità con la normativa vigente, minimizzando i rischi giuridici e promuovendo un utilizzo responsabile dell’intelligenza artificiale.
La prevenzione è il fulcro della nostra attività: affianchiamo i nostri clienti nella definizione di protocolli operativi, nell’adeguamento ai requisiti normativi e nella predisposizione di modelli organizzativi che assicurino un impiego dell’IA quanto più possibile immune da rischi e orientato alla sicurezza e alla tutela dei diritti fondamentali.
La nomina dell’Organismo di Vigilanza garantisce l’effettività del Modello organizzativo 231, nell’ambito delle strategie aziendali di prevenzione dei reati all’interno dell’ente. L’Organismo di Vigilanza (OdV) è un organo di controllo indipendente, previsto dal D.lgs. 231/2001, con il compito di vigilare sull’efficace attuazione e aggiornamento del modello, segnalando eventuali irregolarità e proponendo misure correttive.
L’introduzione della responsabilità amministrativa degli enti ha determinato la necessità, per le imprese e le organizzazioni, di adottare strumenti di compliance aziendale in grado di ridurre il rischio di coinvolgimento in procedimenti sanzionatori.
Il modello organizzativo 231, se adeguatamente implementato e aggiornato, può costituire una causa esimente dalla responsabilità dell’ente, ma solo a condizione che sia stata la nomina dell’Organismo di Vigilanza, dotato dei requisiti di autonomia, indipendenza e professionalità.
L’OdV svolge quindi un ruolo chiave nel garantire che il modello non si riduca a un mero apparato formale, ma sia concretamente applicato nella gestione aziendale. La sua istituzione e il suo funzionamento devono essere regolati da criteri rigorosi, in modo da assicurare una vigilanza efficace sui processi interni e sugli obblighi di prevenzione dei reati.
Nei paragrafi successivi verranno approfonditi i criteri di nomina dell’Organismo di Vigilanza 231, i requisiti necessari per i suoi componenti, le sue principali funzioni e l’importanza dei flussi informativi come strumento essenziale per il corretto svolgimento della sua attività di controllo.
Nomina dell’Organismo di Vigilanza 231: criteri e modalità
La Nomina dell’Organismo di Vigilanza è un atto di fondamentale importanza per l’efficace attuazione del Modello organizzativo 231. Solitamente essa viene deliberata dal Consiglio di Amministrazione, sentito il Collegio Sindacale, con l’obiettivo di garantire che il soggetto o i soggetti designati abbiano i requisiti di autonomia, indipendenza e competenza richiesti dalla normativa. L’OdV può avere una composizione monocratica o collegiale, a seconda delle dimensioni e della complessità organizzativa dell’ente.
Per le imprese di piccole dimensioni e per le start-up, l’art. 6, comma 4 del D.lgs. 231/2001 prevede che i compiti dell’OdV possano essere svolti direttamente dall’organo dirigente, senza la necessità di un organismo separato. Questa soluzione, sebbene legittima, solleva criticità in termini di indipendenza e obiettività del controllo, motivo per cui molte aziende, anche di ridotte dimensioni, preferiscono istituire un OdV autonomo. Abbiamo trattato il tema in un precedente articolo, al quale facciamo rinvio.
Per le imprese di medie e grandi dimensioni, invece, la composizione collegiale è generalmente preferibile, in quanto consente una maggiore distribuzione delle competenze e una più efficace gestione dei controlli.
L’OdV può essere composto sia da componenti interni all’ente (ad esempio il responsabile dell’internal audit o della funzione legale) sia da esperti esterni con competenze specifiche in diritto penale d’impresa, sistemi di controllo e compliance aziendale. La scelta tra un modello monocratico o collegiale dipende dalla necessità di assicurare l’effettività e l’efficacia del controllo, evitando qualsiasi interferenza con le attività operative dell’ente.
Una particolare attenzione deve essere posta nella definizione dei criteri di nomina. Per garantire l’autonomia dell’OdV, è necessario che i componenti non abbiano conflitti di interesse, vincoli di subordinazione o ruoli operativi che potrebbero comprometterne l’imparzialità. Inoltre, il loro mandato deve essere stabilito per un periodo di tempo definito, con possibilità di rinnovo, e deve essere prevista una procedura di revoca solo per giusta causa, evitando la possibilità di pressioni o interferenze indebite.
La nomina dell’Organismo di Vigilanza rappresenta, dunque, una fase delicata che incide direttamente sull’efficacia del modello organizzativo. Un OdV correttamente selezionato, e dotato dei requisiti richiesti dalla normativa, permette di garantire la corretta funzionalità del sistema di prevenzione dei reati e per conferire all’ente un’effettiva protezione dalla responsabilità amministrativa dipendente da reato.
Requisiti per la Nomina dell’Organismo di Vigilanza 231
Guardano alla prassi e alle best practices di settore, i principali requisiti per la Nomina dell’Organismo di Vigilanza sono tre: autonomia e indipendenza, professionalità e continuità di azione. Tali caratteristiche non solo assicurano il corretto funzionamento dell’OdV, ma sono anche decisive per dimostrare l’effettività del modello 231, evitando che esso venga considerato un mero strumento formale privo di reale applicazione.
a) Autonomia e indipendenza
Il principio di autonomia e indipendenza dell’OdV è essenziale affinché l’organismo possa esercitare il proprio ruolo senza subire pressioni o interferenze da parte degli organi di gestione dell’ente. Il D.lgs. 231/2001 non fornisce una definizione puntuale di tali requisiti, ma la prassi e la giurisprudenza hanno chiarito che l’OdV deve essere dotato di autonomi poteri di iniziativa e controllo, senza essere soggetto a vincoli di subordinazione gerarchica o funzionale.
Affinché sia garantita l’autonomia decisionale, la nomina dell’Organismo di Vigilanza deve riguardare soggetti che non siano coinvolti nelle attività operative dell’ente e che non abbiano interessi economici rilevanti nell’organizzazione. Questo significa, ad esempio, che un dirigente con poteri esecutivi o un membro del Consiglio di Amministrazione non può essere nominato come OdV, in quanto la sua funzione di controllo potrebbe risultare compromessa dalla partecipazione alle decisioni gestionali.
L’indipendenza dell’OdV deve essere valutata sia a livello oggettivo che soggettivo. Sul piano oggettivo, l’OdV deve essere collocato in una posizione di livello, ma senza essere sottoposto a direttive o condizionamenti operativi.
Sul piano oggettivo, i componenti dell’OdV devono essere privi di conflitti di interesse con l’ente e con le società collegate o controllate. Non devono inoltre esistere vincoli di parentela o affinità con i vertici aziendali, né partecipazioni azionarie o interessi economici significativi nell’ente.
L’atto di nomina dell’Organismo di Vigilanza deve inoltre prevedere garanzie di stabilità e protezione nei confronti dei componenti, evitando che possano essere rimossi o sostituiti senza una giusta causa. Il loro incarico deve avere una durata definita e la revoca deve essere giustificata esclusivamente in presenza di comprovate inadempienze o conflitti di interesse sopravvenuti.
b) Professionalità
La competenza professionale dei componenti dell’OdV è un requisito essenziale per la sua efficacia. La nomina dell’Organismo di Vigilanza deve riguardare soggetti con un elevato livello di specializzazione, in grado di effettuare verifiche ispettive, analizzare i processi aziendali e individuare eventuali criticità nei sistemi di prevenzione dei reati.
Le Linee Guida di Confindustria raccomandano che i componenti dell’OdV abbiano conoscenze approfondite in materia giuridica, economica e gestionale, con particolare attenzione al diritto penale d’impresa, ai sistemi di controllo interno, alla corporate governance e ai meccanismi di compliance aziendale.
Le principali competenze richieste per la nomina dell’Organismo di Vigilanza riguardano:
Diritto penale e amministrativo, con particolare riferimento ai reati previsti dal D.lgs. 231/2001 e ai criteri di imputazione della responsabilità amministrativa dell’ente.
Attività ispettiva e di audit, con capacità di condurre verifiche, ispezioni interne e analisi documentali per garantire il rispetto del Modello organizzativo 231.
Analisi dei processi aziendali, attraverso la mappatura delle aree sensibili e la valutazione dei rischi connessi alla possibile commissione di reati.
Metodologie di risk assessment, per individuare e monitorare le criticità nel sistema di gestione e controllo dell’ente.
Per assicurare un adeguato livello di competenza, la nomina dell’Organismo di Vigilanza può prevedere una composizione collegiale, includendo soggetti con professionalità complementari, come avvocati esperti di diritto penale, revisori contabili, esperti di compliance aziendale e specialisti di risk management.
c) Continuità di azione
La continuità operativa dell’OdV è fondamentale affinché il controllo sulla corretta attuazione del modello organizzativo 231 non si riduca a un’attività episodica o meramente formale. La nomina dell’Organismo di Vigilanza deve quindi cadere su soggetti in grado di garantire un impegno costante nell’attività di vigilanza, con un programma di verifiche periodiche e un monitoraggio sistematico dei processi aziendali.
L’OdV deve disporre di un budget autonomo, approvato dal Consiglio di Amministrazione, per svolgere le proprie attività in maniera indipendente, avvalendosi, se necessario, di consulenti esterni per approfondimenti specialistici. È inoltre essenziale che l’OdV abbia accesso a tutta la documentazione aziendale rilevante per l’esercizio delle sue funzioni, senza restrizioni o vincoli operativi.
Un ulteriore aspetto che incide sulla continuità d’azione è la previsione di flussi informativi costanti tra l’OdV e le funzioni aziendali sensibili, al fine di garantire che tutte le segnalazioni di eventuali irregolarità vengano tempestivamente analizzate e gestite. L’OdV deve inoltre redigere report periodici, da trasmettere agli organi apicali dell’ente, nei quali riferire sulle attività svolte, sulle criticità riscontrate e sulle eventuali misure correttive da adottare.
Atto di nomina dell’Organismo di Vigilanza: compiti e poteri
I compiti dell’Organismo di Vigilanza possono essere distinti in tre aree principali: verifica dell’efficacia del modello, controllo sull’osservanza delle procedure e aggiornamento continuo del sistema di prevenzione. Tali attività sono disciplinate dall’art. 6 del D.lgs. 231/2001 e dalle Linee Guida di Confindustria, che hanno delineato una serie di funzioni essenziali per il corretto funzionamento dell’OdV.
1) Vigilanza sull’effettività del modello organizzativo: l’OdV verifica della coerenza tra i comportamenti aziendali e le prescrizioni del modello, attraverso un’analisi costante delle procedure adottate e un controllo sulle aree sensibili individuate nella mappatura dei rischi. L’atto di nomina dell’Organismo di Vigilanza deve prevedere che le misure preventive siano concretamente attuate e che non si verifichi un rispetto soltanto “cartolare” del modello.
2) Analisi dell’adeguatezza del modello: l’OdV deve verificare che il modello organizzativo sia idoneo a prevenire i reati presupposto previsti dal D.lgs. 231/2001, individuando eventuali criticità e proponendo azioni correttive. Questo richiede un’analisi approfondita della struttura organizzativa dell’ente, con particolare attenzione ai meccanismi di controllo interni, alle deleghe di poteri e ai protocolli decisionali adottati dall’azienda.
3) Monitoraggio del mantenimento nel tempo dei requisiti di solidità e funzionalità del modello: l’OdV non può limitarsi a un’analisi statica, ma deve garantire che il modello organizzativo venga costantemente aggiornato in base alle evoluzioni normative, ai cambiamenti organizzativi e agli esiti delle verifiche interne. La sua funzione è quindi dinamica e proattiva, orientata a migliorare costantemente il sistema di prevenzione dei rischi.
Per assolvere ai propri compiti, l’OdV deve essere dotato di poteri autonomi di iniziativa e controllo. Ai sensi dell’art. 6 del D.lgs. 231/2001 l’OdV dovrebbe accedere senza restrizioni a tutti i documenti aziendali rilevanti, effettuare verifiche ispettive e condurre indagini interne per accertare eventuali violazioni del modello.
Inoltre, l’OdV deve avere la possibilità di raccogliere informazioni da tutte le funzioni aziendali, interagendo con i responsabili delle aree più sensibili e richiedendo chiarimenti su operazioni o decisioni rilevanti ai fini della compliance.
L’autonomia di spesa è un altro aspetto essenziale per garantire l’indipendenza dell’OdV. La nomina dell’Organismo di Vigilanza deve prevedere l’assegnazione di un budget autonomo, che consenta all’OdV di avvalersi, se necessario, di consulenti esterni per approfondimenti specialistici e di condurre verifiche indipendenti senza interferenze da parte del management aziendale.
Infine, un ulteriore compito dell’OdV è la promozione della cultura della compliance aziendale. Ciò significa che l’Organismo di Vigilanza deve diffondere la conoscenza del modello 231 attraverso attività formative rivolte a dipendenti e dirigenti, al fine di sensibilizzare tutto il personale sull’importanza delle regole di prevenzione e sulle conseguenze della violazione delle normative di riferimento.
Nomina dell’Organismo di Vigilanza e flussi informativi
Nel trattare della nomina dell’Organismo di Vigilanza, non potrebbe tacersi l’importanza che rivestono i flussi informativi nell’effettività dei controlli demandati a quest’ultimo. Il D.lgs. 231/2001, all’art. 6, comma 2, lettera d), stabilisce che il modello di organizzazione e gestione deve prevedere obblighi di informazione nei confronti dell’OdV, al fine di consentire un controllo costante e approfondito sulle aree aziendali più esposte al rischio di commissione di reati.
I flussi informativi si articolano in due direzioni: da un lato, vi sono le comunicazioni che l’Organismo di Vigilanza deve ricevere, ossia i report periodici, le segnalazioni di anomalie e le informazioni riguardanti eventi di rilievo; dall’altro, vi sono i flussi in uscita, ovvero le relazioni che l’OdV trasmette agli organi societari, in particolare al Consiglio di Amministrazione e al Collegio Sindacale, per evidenziare criticità e proporre eventuali aggiornamenti del modello.
Le informazioni trasmesse all’OdV devono riguardare tutti gli aspetti rilevanti per la vigilanza sull’effettività e sull’adeguatezza del modello, compresi gli esiti delle attività di audit interno, le verifiche sugli strumenti di controllo e il rispetto dei protocolli aziendali. È essenziale che i responsabili delle funzioni aziendali più esposte ai rischi 231 trasmettano con regolarità report dettagliati all’OdV, segnalando eventuali situazioni anomale o potenzialmente critiche.
In questo contesto, assume particolare rilievo la gestione delle segnalazioni whistleblowing, che consente ai dipendenti e ai collaboratori di riferire eventuali violazioni delle procedure senza timore di ritorsioni, garantendo l’anonimato e la riservatezza.
Oltre ai flussi informativi interni, la nomina dell’Organismo di Vigilanza implica anche l’istituzione di un sistema di reporting periodico verso il Consiglio di Amministrazione e il Collegio Sindacale. L’OdV deve redigere relazioni periodiche – solitamente su base semestrale o annuale – in cui illustra le attività svolte, evidenzia eventuali violazioni e propone misure correttive. Questo meccanismo consente alla governance aziendale di monitorare l’efficacia del sistema di controllo interno e di intervenire tempestivamente in caso di necessità.
Un aspetto critico per l’effettività dei flussi informativi è la qualità e la tempestività delle comunicazioni. È fondamentale che le informazioni trasmesse all’OdV siano chiare, complete e tempestive, affinché l’Organismo possa intervenire con tempestività e adottare le misure necessarie per prevenire situazioni di rischio.
Per questo motivo, molte aziende formalizzano le modalità di comunicazione attraverso procedure interne e regolamenti specifici, che disciplinano la periodicità, i contenuti e i canali attraverso cui devono essere trasmesse le informazioni.
Infine, la nomina dell’Organismo di Vigilanza deve prevedere una specifica disciplina delle responsabilità in caso di omissione dei flussi informativi. L’omessa trasmissione di dati rilevanti all’OdV può costituire una grave violazione del modello e comportare conseguenze disciplinari per i soggetti responsabili.
L’efficacia dell’OdV dipende in gran parte dalla collaborazione dell’intera struttura aziendale, motivo per cui è fondamentale che i vertici societari – dopo la nomina dell’Organismo di Vigilanza – promuovano una cultura della trasparenza e della comunicazione interna, al fine di garantire il corretto funzionamento del sistema di prevenzione dei rischi previsto dal D.lgs. 231/2001.
Segnalazioni e whistleblowing: dalla nomina dell’Organismo di Vigilanza alle attività operative
La sola nomina dell’Organismo di Vigilanza può non essere sufficiente ad assicurare l’emersione di condotte illecite all’interno della società. La possibilità di segnalare violazioni del modello 231 e di eventuali condotte illecite costituisce un pilastro della corporate compliance e rappresenta un elemento imprescindibile per garantire l’effettività del controllo esercitato dall’OdV.
Il D.lgs. 231/2001, integrato dalle disposizioni del D.lgs. 24/2023 in attuazione della Direttiva (UE) 2019/1937, ha rafforzato il ruolo del whistleblowing, introducendo specifiche disposizioni a tutela dei segnalanti. La normativa impone agli enti di adottare canali di segnalazione riservati e sicuri, in grado di garantire la riservatezza dell’identità del whistleblower, nonché di predisporre misure di protezione nei confronti di chi denuncia condotte illecite, al fine di evitare ritorsioni o discriminazioni.
Nell’ambito della nomina dell’Organismo di Vigilanza, risulta quindi essenziale disciplinare in modo chiaro i flussi informativi relativi alle segnalazioni, definendo procedure interne che consentano di ricevere, analizzare e gestire le comunicazioni pervenute.
L’OdV deve essere in grado di valutare le segnalazioni con piena autonomia e indipendenza, adottando le misure necessarie per approfondire le anomalie riscontrate ed eventualmente attivare i meccanismi sanzionatori previsti dal modello.
Le aziende devono istituire canali di segnalazione adeguati, che possano includere piattaforme digitali protette, indirizzi e-mail riservati, cassette postali fisiche o altre modalità che garantiscano l’anonimato del segnalante. La nomina dell’Organismo di Vigilanza prevede che l’OdV abbia accesso diretto a queste segnalazioni, senza interferenze da parte della direzione aziendale, e che possa gestirle con criteri di trasparenza, imparzialità e riservatezza.
Si dovrebbe prevedere un sistema di verifica e monitoraggio delle segnalazioni ricevute, in modo da poter tracciare le attività di indagine svolte e le eventuali azioni correttive adottate. La registrazione e l’archiviazione delle segnalazioni devono avvenire nel rispetto della normativa sulla protezione dei dati personali, garantendo che le informazioni siano trattate con il massimo livello di riservatezza e che i principi di proporzionalità e necessità siano rispettati in ogni fase della gestione delle segnalazioni.
Supporto legale specialistico nella nomina dell’Organismo di Vigilanza
La nomina dell’Organismo di Vigilanza rappresenta un passaggio obbligato per l’attuazione di un modello 231 efficace, capace di ridurre i rischi di responsabilità amministrativa e rafforzare il sistema di corporate compliance.
Il nostro Studio vanta una pluriennale esperienza nella gestione degli adempimenti connessi alla responsabilità 231, offrendo supporto specialistico in tutte le fasi di elaborazione, implementazione e aggiornamento del modello.
Svolgiamo direttamente il ruolo di Organismo di Vigilanza esterno, sia in forma monocratica che come membri di OdV collegiali, garantendo un controllo indipendente e altamente qualificato.
Affianchiamo le imprese nella costruzione di un sistema di compliance efficace, in linea con le migliori best practice e con l’evoluzione normativa in materia di corporate governance.
Compliance 231 e nomina dell’Organismo di Vigilanza. Un avvocato specialista in diritto penale per una strategia di corporate compliance integrata.
