da Redazione | Ott 24, 2024 | Diritto Penale, Diritto d'Impresa
Il reato di accesso abusivo a sistema informatico o telematico, previsto dall’art. 615-ter del codice penale, costituisce una delle fattispecie centrali nel sistema repressivo della criminalità informatica. Tale reato punisce chi, abusivamente, si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo.
Introdotto nel 1993, il reato si è imposto come uno degli strumenti giuridici più efficaci per contrastare le intrusioni non autorizzate nel cyberspazio, anche grazie alla sua ampia applicabilità e alla rilevanza assunta nel contesto della protezione dei dati e delle informazioni digitali.
L’accesso abusivo si configura come una condotta prodromica, poiché spesso rappresenta il primo atto di una serie di comportamenti illeciti che possono verificarsi all’interno di un sistema informatico, come il furto di dati, la distruzione di informazioni o il danneggiamento del sistema stesso.
Con l’applicazione della norma nel corso degli anni, la giurisprudenza ha riconosciuto che l’accesso abusivo può configurarsi anche quando un soggetto legittimamente autorizzato a utilizzare il sistema superi i limiti della propria autorizzazione, mantenendosi all’interno del sistema in modo illecito. Questo fenomeno, noto come insider abuse, amplia notevolmente il campo di applicazione dell’art. 615-ter c.p., rendendolo rilevante non solo per le intrusioni esterne, ma anche per quelle compiute da soggetti interni che sfruttano il loro ruolo per fini illeciti.
L’obiettivo di questo articolo è fornire una panoramica chiara sul reato di accesso abusivo a sistema informatico o telematico, delineando le principali caratteristiche della fattispecie e l’evoluzione giurisprudenziale che l’ha riguardata.
Trattandosi di un reato che tocca aspetti complessi e in continua evoluzione, è fondamentale per imprese e individui, beneficiare di un’assistenza legale specialistica per prevenire rischi legali e assicurare la corretta gestione di eventuali responsabilità derivanti dall’accesso abusivo a sistemi informatici.
Struttura del reato di accesso abusivo
Il reato di accesso abusivo a un sistema informatico o telematico, disciplinato dall’art. 615-ter del codice penale, si articola in due condotte alternative: l’introduzione abusiva e la permanenza non autorizzata all’interno del sistema.
La prima condotta si verifica quando un soggetto, senza avere il permesso del titolare del sistema, supera le misure di sicurezza predisposte e si introduce all’interno del sistema informatico o telematico. Tale introduzione può avvenire sia da remoto, utilizzando un dispositivo diverso dall’elaboratore, sia attraverso un contatto diretto con il sistema.
Ciò che rileva ai fini della configurazione del reato è l’avvio di un dialogo logico con il software, che consente all’agente di operare all’interno del sistema. La giurisprudenza ha chiarito che non è necessario che il soggetto attivo prenda effettiva cognizione dei dati o dei programmi contenuti nel sistema; ciò che conta è che egli abbia violato le barriere di protezione che ne regolano l’accesso.
La seconda condotta, quella di permanenza abusiva, si configura quando un soggetto, che ha avuto legittimo accesso al sistema, vi si mantiene contro la volontà, espressa o tacita, del titolare. In questo caso, la condotta diviene illecita non per l’accesso iniziale, che può essere stato lecito, ma per il mantenimento della connessione al sistema oltre i limiti imposti dal titolare.
Tale permanenza non si deve intendere in senso fisico, bensì come il mantenimento di una connessione logica con il sistema, che inizialmente poteva essere autorizzata ma successivamente diviene contraria alla volontà del titolare. Anche in questo caso, la condotta illecita può realizzarsi sia con un accesso diretto al sistema sia da remoto.
Il requisito essenziale che accomuna entrambe le condotte è l’elemento dell’abusività, che implica un conflitto tra il soggetto attivo e il titolare del sistema. L’abusività è evidente quando l’agente non possiede alcuna autorizzazione per accedere al sistema, ma può anche configurarsi nel caso in cui l’accesso sia avvenuto legittimamente e poi il soggetto ecceda i limiti dell’autorizzazione. In entrambi i casi, l’art. 615-ter c.p. richiede che vi sia una violazione della volontà del titolare di escludere l’agente dall’accesso al sistema o dal permanere all’interno dello stesso.
L’oggetto materiale del reato è rappresentato dal sistema informatico o telematico, inteso come un insieme di apparecchi e programmi che consentono l’elaborazione e la gestione di informazioni. Sebbene il codice penale non fornisca una definizione specifica di sistema informatico o telematico, la dottrina e la giurisprudenza hanno chiarito che rientrano in questa categoria tutti i sistemi elettronici che permettono la memorizzazione, il trattamento e lo scambio di dati attraverso reti di comunicazione.
Le modalità tecniche con cui l’accesso o la permanenza abusiva si realizzano possono essere diverse, ma ciò che conta è l’effettiva instaurazione di una connessione logica con il sistema, indipendentemente dall’effettiva cognizione dei dati o dei programmi in esso contenuti.
Infine, l’elemento soggettivo del reato è costituito dal dolo generico, ossia dalla consapevolezza e volontà del soggetto di introdursi o di permanere abusivamente all’interno del sistema, sapendo di non essere autorizzato.
Il reato si consuma nel momento in cui si instaura la connessione con il sistema, ossia quando l’agente supera le misure di protezione predisposte dal titolare e acquisisce il controllo del sistema, anche senza utilizzare i dati in esso contenuti. Nel caso della permanenza illecita, il momento consumativo coincide con il mantenimento della connessione contro la volontà del titolare.
Le circostanze aggravanti dell’accesso abusivo
Il reato di accesso abusivo a sistema informatico o telematico, previsto dall’art. 615-ter c.p., prevede una serie di circostanze aggravanti che incidono sul trattamento sanzionatorio.
Tali circostanze sono state oggetto di numerose modifiche normative, soprattutto con la recente Legge 90/2024, che ha inasprito le pene e ampliato le ipotesi aggravate del reato. Per un approfondimento rinviamo al contributo specifico sul tema. L’intento del legislatore è stato quello di rafforzare la tutela dei sistemi informatici di particolare rilevanza per la sicurezza nazionale, l’ordine pubblico e i servizi essenziali.
Una delle aggravanti più rilevanti riguarda l’accesso abusivo commesso da un pubblico ufficiale o da un incaricato di pubblico servizio. In questi casi, la pena è più severa, poiché l’agente, abusando della propria posizione, accede al sistema con una violazione dei doveri inerenti alla sua funzione, o da chi esercita anche abusivamente la professione di investigatore privato, o con abuso della qualità di operatore del sistema.
La giurisprudenza ha chiarito che tale aggravante si applica anche nel caso in cui il pubblico ufficiale o l’incaricato di pubblico servizio utilizzi le proprie credenziali per scopi diversi da quelli previsti, configurando uno sviamento di potere. Questo tipo di accesso abusivo assume un particolare disvalore sociale, poiché l’abuso della funzione pubblica mette in pericolo la fiducia della collettività nelle istituzioni.
Ulteriore aggravante riguarda i casi in cui l’accesso abusivo provochi danni al sistema informatico, con la distruzione o il danneggiamento dei dati, delle informazioni o dei programmi in esso contenuti, oppure l’interruzione totale o parziale del suo funzionamento. In particolare, la legge n. 90 del 2024 ha introdotto nuove ipotesi aggravate, includendo anche la sottrazione, la riproduzione o la trasmissione non autorizzata dei dati contenuti nel sistema, rendendoli inaccessibili al titolare. Questo tipo di condotta espande significativamente la portata del reato, includendo non solo il danneggiamento fisico o logico del sistema, ma anche l’illecito trattamento delle informazioni.
Infine, il comma 3 dell’art. 615-ter c.p. prevede una ulteriore aggravante per i casi in cui l’accesso abusivo riguardi sistemi informatici o telematici di particolare interesse pubblico. Tra questi rientrano i sistemi legati alla sicurezza nazionale, all’ordine pubblico, alla sanità, alla protezione civile o a qualsiasi altro ambito di interesse pubblico rilevante. In queste ipotesi, la pena può arrivare fino a dodici anni di reclusione, in quanto l’accesso abusivo compromette non solo i singoli interessi privati, ma anche la sicurezza e il buon funzionamento di servizi essenziali per la collettività.
Il reato di accesso abusivo è procedibile d’ufficio nelle ipotesi aggravate, a testimonianza della sua rilevanza e della necessità di una risposta penale più incisiva nei confronti di condotte che mettono in pericolo l’integrità dei sistemi informatici pubblici o di rilevanza nazionale.
Le misure di sicurezza come presupposto dell’ accesso abusivo
Le misure di sicurezza costituiscono un elemento centrale nella configurazione del reato di accesso abusivo a sistema informatico o telematico. L’art. 615-ter c.p. riserva infatti la tutela penale ai soli sistemi che siano protetti da misure di sicurezza, escludendo quelli che, pur essendo accessibili, non sono protetti da barriere che ne limitino l’accesso.
La predisposizione di tali misure è quindi indicativa della volontà del titolare di escludere soggetti non autorizzati, configurando un elemento essenziale per la sussistenza del reato.
Secondo la giurisprudenza e la dottrina, le misure di sicurezza possono essere sia di natura fisica che logica. Le prime comprendono dispositivi come chiavi magnetiche, tessere o altri strumenti fisici che permettono l’accesso diretto ai terminali o agli elaboratori. Le misure logiche, invece, includono l’uso di password, codici di accesso e moderni sistemi di autenticazione, come il riconoscimento biometrico o l’uso di impronte digitali.
Non è richiesto che le misure di protezione siano particolarmente sofisticate o difficili da aggirare: è sufficiente che esse dimostrino la volontà del titolare di limitare l’accesso al sistema a soggetti autorizzati.
Il necessario apprestamento delle misure di sicurezza tende a responsabilizzare il titolare del sistema, che è chiamato a proteggere i propri dati e informazioni attraverso strumenti adeguati. Questo requisito, quindi, funge da filtro per evitare che siano tutelati sistemi che, di fatto, non presentano una volontà effettiva di esclusione. È proprio attraverso la presenza di barriere logiche o fisiche che si può affermare la volontà del titolare di proteggere il proprio spazio informatico da intrusioni indebite. Si tratta dunque di un incentivo forte alla cybersicurezza.
Un aspetto importante da sottolineare è che il reato di accesso abusivo si configura anche se le misure di sicurezza non vengono effettivamente superate dall’agente. Ciò significa che, per integrare la fattispecie criminosa, non è necessario che l’intruso eluda con successo le protezioni. La semplice introduzione abusiva o la permanenza non autorizzata in un sistema protetto da misure di sicurezza è sufficiente a configurare il reato, indipendentemente dal livello di protezione delle barriere predisposte.
Pertanto, ciò che rileva è l’esistenza stessa di tali misure, piuttosto che la loro effettiva efficacia contro l’intrusione.
L’abuso del titolo di legittimazione nell’accesso abusivo
Un aspetto particolarmente complesso del reato di accesso abusivo è la questione dell’abuso del titolo di legittimazione, ovvero la condotta di chi, pur essendo autorizzato ad accedere a un sistema informatico o telematico, ne fa un uso illecito, eccedendo i limiti della propria autorizzazione. Questa fattispecie si verifica tipicamente nel caso di soggetti interni a un’organizzazione, come dipendenti o collaboratori, che utilizzano le proprie credenziali di accesso per scopi diversi da quelli previsti, violando così la volontà del titolare del sistema.
La giurisprudenza ha lungamente dibattuto sull’inquadramento di tali condotte nell’ambito del reato di accesso abusivo. Secondo un primo orientamento, qualsiasi utilizzo delle credenziali di accesso per fini estranei a quelli autorizzati configurerebbe un reato, poiché contrasterebbe con la volontà tacita del titolare di escludere ogni utilizzo illecito del sistema.
Tuttavia, un diverso orientamento ha escluso questa impostazione, sostenendo che il semplice utilizzo improprio delle credenziali non possa integrare il reato di accesso abusivo, a meno che non vi sia una chiara violazione delle disposizioni organizzative che regolano l’accesso al sistema.
Le Sezioni Unite della Cassazione, con la sentenza Casani del 2011, hanno chiarito che l’abuso del titolo di legittimazione non può configurare il reato di accesso abusivo se l’agente non viola le specifiche prescrizioni che regolano l’accesso al sistema informatico. Secondo questa pronuncia, per integrare la fattispecie è necessario che l’accesso o la permanenza nel sistema siano in contrasto con le regole che ne disciplinano l’utilizzo, non essendo sufficiente il solo uso improprio dei dati ottenuti. In altre parole, la violazione dei limiti di accesso deve riguardare il momento in cui si verifica l’introduzione o la permanenza, e non le finalità successive per cui vengono utilizzati i dati.
Tuttavia, la giurisprudenza successiva ha continuato a dibattere sulla rilevanza del fine illecito perseguito dall’agente. Un altro orientamento, infatti, ha ritenuto che, nel caso di pubblici ufficiali o incaricati di pubblico servizio, l’utilizzo delle credenziali per scopi diversi da quelli istituzionali possa comunque integrare il reato di accesso abusivo, anche in assenza di una violazione formale delle disposizioni organizzative.
Questo orientamento, sostenuto dalle Sezioni Unite Savarese, ha esteso la nozione di abusività includendo anche l’accesso o la permanenza nel sistema per finalità estranee alle attività per le quali l’autorizzazione era stata concessa, come ad esempio lo sviamento di potere.
L’abuso del titolo di legittimazione, quindi, rappresenta una delle questioni più complesse nella disciplina del reato di accesso abusivo. Mentre l’orientamento più restrittivo richiede la violazione di precise disposizioni organizzative, altre interpretazioni giurisprudenziali attribuiscono rilevanza anche alle finalità per le quali l’accesso è stato utilizzato, ampliando così il perimetro della fattispecie e rendendo più difficile tracciare una linea netta tra condotta lecita e abuso.
Il luogo di consumazione del reato di accesso abusivo
La particolare natura del reato di accesso abusivo a sistema informatico o telematico, che si svolge nel cyberspace, pone rilevanti problematiche in merito all’individuazione del luogo di consumazione del delitto. La caratteristica di immaterialità dello spazio virtuale rende complessa la determinazione del locus commissi delicti, ossia del luogo in cui il reato viene considerato consumato e, quindi, del giudice territorialmente competente a conoscerlo.
La giurisprudenza si è a lungo divisa su due orientamenti principali. Il primo individuava il luogo di consumazione del reato nel luogo fisico in cui si trovava il soggetto che accedeva abusivamente al sistema. Secondo questa impostazione, il reato si perfeziona nel momento e nel luogo in cui l’agente si introduce nel sistema informatico utilizzando il proprio terminale, da remoto o in prossimità del sistema violato. Tale interpretazione si basa sull’idea che il delitto si consuma quando si instaura la connessione logica tra l’agente e il sistema, superando le misure di sicurezza predisposte dal titolare.
Il secondo orientamento, invece, privilegiava l’individuazione del locus commissi delicti nel luogo in cui si trova il server che elabora e controlla le credenziali di accesso fornite dall’agente. In base a questa teoria, il reato si consuma nel luogo in cui è collocato fisicamente il sistema informatico protetto, indipendentemente dal luogo in cui si trova l’autore del reato. Questa tesi si fonda sul principio per cui l’evento lesivo si verifica nel luogo in cui il sistema informatico subisce l’intrusione, e non necessariamente nel luogo da cui essa viene perpetrata.
Le Sezioni Unite della Corte di Cassazione sono intervenute per dirimere la questione, stabilendo che il luogo di consumazione del reato di accesso abusivo va individuato nel luogo in cui si trova l’agente al momento dell’introduzione o della permanenza non autorizzata nel sistema. Pertanto, l’orientamento prevalente ritiene che il delitto si consumi nel punto fisico in cui il soggetto attivo opera per accedere abusivamente al sistema, sia esso un luogo remoto o lo stesso luogo in cui è collocato il server.
Questa soluzione giurisprudenziale tiene conto delle peculiarità del cyberspace, pur mantenendo un principio di territorialità nell’individuazione del locus commissi delicti. Ciò risponde all’esigenza di ancorare il reato a un luogo fisico, consentendo così di determinare con maggiore certezza il giudice competente a conoscere del reato di accesso abusivo.
Tuttavia, non mancano casi complessi in cui, data la natura transnazionale del cyberspace, la determinazione del luogo di consumazione del reato richiede un’analisi approfondita della localizzazione dei server e delle modalità tecniche con cui è avvenuto l’accesso abusivo.
Detenzione, diffusione e installazione abusiva di strumenti per l’accesso abusivo
L’art. 615-quater c.p. disciplina un altro importante aspetto connesso al reato di accesso abusivo, ossia la detenzione, diffusione e installazione abusiva di strumenti o codici atti a consentire l’accesso non autorizzato a un sistema informatico o telematico. Questa norma, introdotta con la legge n. 547 del 1993 e successivamente modificata dalla legge n. 90/2024, ha ampliato l’ambito di applicazione del reato, includendo condotte preparatorie che rafforzano la tutela dei sistemi informatici e la riservatezza dei dati.
L’art. 615-quater c.p. punisce chiunque, al fine di procurare a sé o ad altri un profitto o di arrecare un danno, si procuri, detenga, produca, riproduca, diffonda, importi, comunichi, consegni, metta a disposizione o installi apparati, strumenti, codici, password o altri mezzi idonei all’accesso abusivo a un sistema informatico o telematico.
La norma copre quindi una vasta gamma di condotte che possono preparare o facilitare l’intrusione in un sistema protetto, anticipando la soglia di punibilità anche a comportamenti che, di per sé, non costituiscono un accesso diretto ma che ne creano le condizioni.
La giurisprudenza e la dottrina hanno chiarito che l’oggetto materiale di questo reato include qualsiasi strumento idoneo a consentire l’accesso abusivo a un sistema informatico. Ciò comprende codici di accesso, password, dispositivi hardware o software appositamente progettati per violare le misure di sicurezza di un sistema informatico. Il legislatore ha adottato una clausola aperta per includere strumenti tecnologici anche di nuova concezione, garantendo così che la norma rimanga applicabile a fronte dei progressi tecnologici.
Inoltre, la legge n. 90 del 2024 ha inasprito le sanzioni previste dall’art. 615-quater c.p., soprattutto in presenza di circostanze aggravanti. Ad esempio, se l’accesso abusivo riguarda sistemi di interesse pubblico o legati alla sicurezza nazionale, la pena può essere significativamente aumentata.
Responsabilità degli enti 231 per accesso abusivo
L’inclusione del reato di accesso abusivo tra i reati presupposto ai sensi del D. Lgs. n. 231/2001, ai senso dell’art. 24-bis, comporta rilevanti conseguenze in termini di responsabilità amministrativa degli enti collettivi.
L’art. 24-bis del D.Lgs. n. 231/2001, introdotto dalla legge n. 48 del 2008 che ha recepito la Convenzione di Budapest sulla criminalità informatica, prevede che le aziende e gli enti possano essere chiamati a rispondere qualora si dimostri che la commissione del reato di accesso abusivo sia avvenuta nell’interesse o a vantaggio dell’ente stesso. Per un approfondimento sulle ipotesi di responsabilità dell’ente da reato informatico rinviamo a un nostro precedente approfondimento.
In questo contesto, la responsabilità dell’ente non deriva dall’eventuale mancata adozione di modelli di organizzazione e gestione che avrebbero potuto prevenire la commissione del reato.
Il D. Lgs. n. 231/2001 introduce infatti un sistema di responsabilità che si basa sull’imputazione dell’illecito all’ente, qualora vi siano carenze organizzative o gestionali tali da consentire il compimento del reato. In assenza di un efficace modello di compliance, che preveda misure idonee a prevenire reati informatici, l’ente può essere considerato responsabile e soggetto a sanzioni.
La responsabilità amministrativa dell’ente si basa su due elementi: l’interesse o il vantaggio che l’ente trae dalla commissione del reato e la colpa organizzativa, ovvero la mancanza di adeguate misure di controllo e prevenzione dei reati. In caso di accertamento della responsabilità, l’ente può essere soggetto a sanzioni pecuniarie, interdittive (come la sospensione dell’attività) e, nei casi più gravi, alla confisca dei beni.
Inoltre, la normativa prevede che l’ente possa dimostrare di aver adottato e attuato efficacemente modelli organizzativi e di gestione, al fine di escludere la propria responsabilità. Tali modelli devono prevedere, tra l’altro, un sistema di vigilanza adeguato alla prevenzione dei reati di accesso abusivo e altre fattispecie informatiche. L’adozione di questi modelli, insieme alla nomina di un organismo di vigilanza, rappresenta una delle principali difese dell’ente in caso di contestazione del reato.
L’introduzione del reato di accesso abusivo nel catalogo dei reati presupposto ex D.Lgs. n. 231/2001 sottolinea l’importanza di adottare politiche aziendali di compliance in materia di sicurezza informatica. Le aziende devono quindi dotarsi di strumenti adeguati per prevenire e gestire eventuali attacchi o accessi non autorizzati ai propri sistemi, al fine di evitare conseguenze non solo penali per i soggetti fisici coinvolti, ma anche amministrative per l’ente stesso.
Un modello organizzativo efficace dovrebbe prevedere adeguati presidi anche contro le condotte di accesso abusivo commesse ai danni dei sistemi aziendali interni. Ad esempio, un dipendente potrebbe accedere abusivamente a un’area protetta da misure di sicurezza all’interno del sistema informatico dell’azienda, dove sono archiviate informazioni sensibili.
Tale condotta può avvenire al fine di favorire una società terza, magari nell’acquisizione di un appalto o nell’ottenimento di vantaggi competitivi. In questo contesto, anche se la condotta del dipendente è rivolta nei confronti dei sistemi aziendali, è possibile che essa sia diretta a procurare un vantaggio economico o strategico all’ente stesso.
In questi casi, il reato di accesso abusivo potrebbe essere riconducibile all’interesse o al vantaggio dell’ente, e dunque comportare la responsabilità amministrativa dello stesso ai sensi del D. Lgs. n. 231/2001. Diventa quindi essenziale che il modello organizzativo preveda non solo misure di prevenzione generali, ma anche specifici strumenti di controllo volti a monitorare e limitare l’accesso dei dipendenti alle aree sensibili del sistema informatico aziendale.
L’adozione di protocolli di accesso rigorosi e la predisposizione di audit interni possono rappresentare strumenti efficaci per evitare che simili condotte si verifichino e per escludere, in caso di reato, la responsabilità dell’ente.
Conclusioni sul reato di accesso abusivo
Il reato di accesso abusivo a sistema informatico o telematico si distingue per la sua complessità e per le peculiarità che lo caratterizzano, richiedendo una conoscenza approfondita non solo delle norme penali, ma anche delle tecnologie informatiche.Per tale ragione, è fondamentale affidarsi a una consulenza legale specialistica sia per la prevenzione che per la repressione di queste condotte.
Il nostro studio offre assistenza qualificata nella difesa in giudizio, fornendo supporto tecnico-giuridico indispensabile per affrontare casi di accesso abusivo.
Sul fronte della prevenzione, ci occupiamo della redazione di modelli organizzativi e codici di condotta interni, volti a disciplinare l’utilizzo delle risorse informatiche aziendali, garantendo così una gestione corretta e sicura dei sistemi e una protezione adeguata contro le condotte illecite.
Assistenza legale per reati informatici e cybercrime – Studio Legale Luca D’Agostino, Roma. Novità dopo la Legge 90/2024.
da Redazione | Ott 23, 2024 | Diritto Penale
La pornografia minorile rappresenta una delle forme più gravi di sfruttamento sessuale, resa ancora più pericolosa dall’ampia diffusione delle reti di comunicazione elettronica. Internet ha permesso agli individui di interagire su scala globale tramite chatroom, social network e servizi di messaggistica, ma questo ha anche creato un ambiente favorevole per la realizzazione di illeciti, inclusa la pornografia minorile e il cyberbullismo.
L’anonimato offerto dalle piattaforme online ha infatti incentivato la creazione, distribuzione e commercializzazione di materiale pedopornografico, rendendo difficile l’identificazione e la persecuzione dei responsabili.
In Italia, il reato di pornografia minorile è regolato dall’art. 600-ter del codice penale, che punisce tutte le condotte che sfruttano sessualmente i minori attraverso la produzione, distribuzione o possesso di materiale pedopornografico. Sebbene la legge sia chiara nella sua definizione, la portata di questo crimine è estesa da una connessione globale, che permette ai colpevoli di operare anche al di fuori dei confini nazionali. Il contrasto al fenomeno richiede quindi non solo una rigorosa applicazione delle norme nazionali, ma anche la cooperazione internazionale.
Un elemento chiave che emerge dalla giurisprudenza è la difficoltà nell’accertare la diffusione del materiale pedopornografico. In particolare, la sentenza delle Sezioni Unite ha chiarito che non è necessario dimostrare il pericolo concreto di diffusione per configurare il reato di produzione di materiale pornografico minorile. Questo rappresenta un importante progresso nel trattamento giuridico del fenomeno, considerando la crescente facilità con cui i contenuti possono essere condivisi su scala globale. La creazione del materiale, infatti, è considerata di per sé lesiva della dignità del minore, indipendentemente dal suo successivo utilizzo.
L’obiettivo di questo articolo è quello di approfondire il fenomeno della pornografia minorile, evidenziando il quadro normativo attuale e i principali orientamenti della giurisprudenza in materia.
Le norme internazionali e sovranazionali contro la pornografia minorile
A livello internazionale, la lotta contro la pornografia minorile ha preso forma attraverso una serie di convenzioni e trattati volti a contrastare lo sfruttamento sessuale dei minori. Tra i principali documenti normativi spicca la Convenzione ONU sui Diritti dell’infanzia del 1989 e il Protocollo Opzionale di New York del 2000, che ha posto l’accento sulla necessità di criminalizzare la produzione, diffusione e possesso di materiale pedopornografico.
Il Consiglio d’Europa ha adottato diverse iniziative normative, tra cui la Convenzione di Budapest sul Cybercrime (2001), che ha rappresentato un pilastro nella criminalizzazione della pornografia minorile. L’art. 9 della Convenzione di Budapest impone agli Stati firmatari di adottare misure legislative per punire una vasta gamma di condotte legate alla pornografia infantile, tra cui la produzione, distribuzione, possesso e accesso consapevole al materiale pedopornografico attraverso sistemi informatici.
A livello comunitario, la Direttiva 2011/92/UE ha sostituito la Decisione quadro 2004/68/GAI, rafforzando ulteriormente il quadro normativo europeo.
L’Italia, in adempimento di tali obblighi, ha emanato una serie di normative, tra cui la L. 23 dicembre 2021, n. 238, che ha aggiornato la definizione e le sanzioni legate alla pornografia minorile, includendo anche il reato di accesso intenzionale a tale materiale. Le iniziative normative internazionali evidenziano l’impegno globale nella lotta alla pornografia minorile, ma resta cruciale la cooperazione tra Stati per rendere effettive queste misure.
Il contrasto alla pornografia minorile nell’ordinamento italiano
In Italia, la legislazione contro la pornografia minorile ha subito diverse modifiche nel corso degli anni per adattarsi all’evoluzione tecnologica e alle esigenze internazionali. Uno dei pilastri del contrasto a questo fenomeno è rappresentato dall’art. 600-ter del codice penale, introdotto con la L. 3 agosto 1998, n. 269, che punisce le condotte di sfruttamento sessuale dei minori, comprese la produzione, distribuzione e commercializzazione di materiale pedopornografico.
I primi due commi sanzionano la realizzazione di esibizioni o spettacoli pornografici, la produzione di materiale pornografico, l’induzione minori a partecipare a tali esibizioni o spettacoli, e la commercializzazione di tale materiale. Il terzo comma si riferisce alle condotte di distribuzione, divulgazione, diffusione o pubblicizzazione, anche per via telematica del materiale pedopornografico. Il quarto comma punisce, in via residuale, l’offerta e la cessione ad altri del predetto materiale, anche a titolo gratuito.
Il delitto si presenta come un reato di mera condotta a dolo generico. Sebbene le condotte ivi descritte si riferiscano a diversi “segmenti” nella catena di distribuzione del materiale pedopornografico, la possibilità di un concorso di reati è esclusa dalla presenza di clausole di sussidiarietà.
Nell’applicazione giurisprudenziale dell’art. 600-ter, comma 1, si è discusso circa la necessità di accertare – relativamente alla condotta di produzione – il concreto pericolo di diffusione esterna del materiale. Secondo l’orientamento prevalente il pericolo di diffusione del materiale costituiva il discrimen fra la fattispecie in esame e quella residuale di detenzione di materiale pedopornografico (art. 600-quater c.p.).
Il dubbio è stato risolto dalle Sezioni Unite (Cass. Pen. Sez. I, 17 luglio 2018 n. 47086) nel senso della superfluità di un tale accertamento, sulla base di una interpretazione sistematica ed evolutiva della norma incriminatrice. Trattandosi di una fattispecie posta a presidio della dignità del minore in quanto tale non assume rilevanza il pericolo di diffusione esterna: la lesione al bene giuridico si sostanza nella semplice creazione del materiale.
Con riferimento alla condotta di diffusione del materiale realizzata online, la giurisprudenza si è soffermata anche sul locus commissi delicti affermando che la competenza per territorio è dell’ufficio giudiziario nella cui circoscrizione si trova il dispositivo informatico mediante il quale è stato impartito il comando di immissione in rete del materiale pedopornografico (Cass. Pen. Sez. I, 17 luglio 2018 n. 47086).
Il successivo art. 600-quater c.p. punisce in via residuale chi consapevolmente si procura o detiene materiale pornografico realizzato utilizzando minori degli anni diciotto. La differenza tra le due condotte sta nel diverso rapporto tra l’agente e il materiale: mentre il “procurarsi” è una azione istantanea, il “detenere” configura un reato permanente, la cui consumazione coincide con la cessazione della detenzione (Cass. Pen., Sez. III, 23 febbraio 2016 n. 15719).
Le due condotte sono alternative ai fini della commissione delitto: secondo la giurisprudenza prevalente si tratta di due diverse modalità commissive che non possono concorrere tra loro se riguardano lo stesso materiale pedopornografico (Cass. Pen., Sez. III, 25 maggio 2017 n. 38221).
Con la riforma del 2006 il predicato “dispone” è stato sostituito con “detiene” il che pone l’accento sull’irrilevanza del mero accesso a un sito Internet contenente il predetto materiale. La scelta è stata confermata dalla legge del 2012 di ratifica della Convenzione di Lanzarote; il legislatore italiano sembra essersi avvalso della facoltà, prevista dall’art. 20, comma 4, della Convenzione, di non sanzionare l’accesso consapevole, mediante le tecnologie dell’informazione, al materiale in parola.
Sul punto la giurisprudenza aveva precisato che la mera visualizzazione del materiale su Internet, senza la consapevolezza che a seguito della navigazione in rete una copia delle immagini visualizzate viene automaticamente salvata dal browser nella memoria temporanea del sistema informatico (c.d. copie cache), non integra gli estremi dell’art. 600-quater (Cass. Pen., Sez. III, 20 gennaio 2016, n. 12458. Contra v. Cass. Pen., Sez. III, 11 novembre 2010, n. 43246, la quale ha sancito l’equivalenza, ai fini della prova della condotta di detenzione, tra il materiale pedopornografico scaricato ed i files temporanei di Internet).
Soltanto con la L. 23 dicembre 2021, n. 238 la fattispecie è stata modificata per introdurre il delitto di accesso intenzionale a materiale pedopornografico, che si affianca al reato di detenzione di tale materiale già disciplinato dall’art. 600-quater.
Il consenso del minore e la produzione di pornografia minorile “domestica”: evoluzione giurisprudenziale
Tra le questioni più complesse e dibattute in relazione alla pornografia minorile vi è quella del consenso prestato dal minore ultraquattordicenne nella produzione della cosiddetta “pornografia domestica”. Per molti anni, la giurisprudenza ha sostenuto l’ontologica invalidità del consenso del minore, anche se maggiore di quattordici anni, alla produzione di materiale pornografico, soprattutto quando tale produzione avveniva nell’ambito di una relazione con un soggetto maggiorenne.
Il consenso del minore, in altre parole, era considerato irrilevante in quanto incapace di legittimare una condotta che violava la sua dignità e integrità sessuale.
Tuttavia, di recente, la giurisprudenza ha modificato tale orientamento, attribuendo maggiore importanza all’inciso contenuto nel primo comma dell’art. 600-ter e dell’art. 600-quater del codice penale, secondo cui il reato di pornografia minorile si configura quando viene “utilizzato” un minore di anni diciotto.
Le Sezioni Unite della Corte di Cassazione, con la sentenza del 15 novembre 2018, n. 51815, hanno chiarito che il termine “utilizzazione” deve essere inteso in senso dispregiativo, indicando la trasformazione del minore da soggetto dotato di dignità sessuale in mero strumento per il soddisfacimento dei desideri sessuali di terzi o per ottenere utilità di vario genere.
Questo chiarimento è stato necessario a seguito di un contrasto interpretativo tra diverse pronunce giurisprudenziali. Le Sezioni Unite sono poi intervenute nuovamente con la sentenza del 28 ottobre 2021, n. 4616, per risolvere la questione se la produzione di materiale pornografico con il consenso di un minore ultraquattordicenne, nell’ambito di una relazione con un adulto, costituisca reato di pornografia minorile ai sensi dell’art. 600-ter, primo comma.
Con un articolato iter motivazionale, la Corte ha stabilito che il consenso che un minore ultraquattordicenne può prestare per atti sessuali ex art. 609-quater c.p. si estende anche alla riproduzione visiva di tali atti, purché le immagini o i video siano frutto di una scelta libera e consapevole e siano destinati a uso esclusivo dei partecipanti all’atto. Tuttavia, qualora queste immagini siano destinate fin dall’inizio alla diffusione, si configura comunque il reato di produzione di materiale pedopornografico ai sensi dell’art. 600-ter, primo comma.
Inoltre, le condotte di diffusione e cessione del materiale, disciplinate dal terzo e quarto comma dello stesso articolo, sono sanzionabili anche quando il materiale sia stato inizialmente prodotto in modo legittimo. Questo principio evidenzia come la giurisprudenza abbia voluto porre un freno alla diffusione non autorizzata di contenuti che, sebbene originati con il consenso del minore, possono comunque offendere la sua dignità.
Un altro aspetto importante riguarda la riforma introdotta con la L. 23 dicembre 2021, n. 238, che ha previsto un nuovo reato di atti sessuali con minorenne compiuti abusando della fiducia acquisita o dell’autorità esercitata su di lui. Sarà compito della giurisprudenza futura chiarire se il principio enunciato dalle Sezioni Unite riguardo alla pornografia minorile domestica potrà essere applicato anche alle nuove fattispecie previste dal terzo comma dell’art. 609-quater c.p., relative agli atti sessuali abusivi compiuti in contesti di fiducia o autorità.
Altrettanto dibattuta, soprattutto nella prassi applicativa, è la rilevanza penale del sexting tra minori, ossia la produzione e condivisione consensuale di immagini intime. Alcune pronunce, come quella della Corte di Cassazione, Sez. III, n. 11675 del 18 febbraio 2016, hanno affermato che il sexting tra minori non costituisce reato di produzione di pornografia minorile ai sensi dell’art. 600-ter, comma 4, c.p., a meno che il materiale non venga prodotto da un soggetto terzo rispetto al minore. Secondo questa interpretazione, la mera autoproduzione di immagini intime da parte di un minore non integra gli estremi del reato di pornografia minorile.
Più di recente, però, la Corte di Cassazione ha rivisto questa posizione con la sentenza del 21 novembre 2019, n. 5522, stabilendo che per configurare le ipotesi di reato previste dai commi da due a cinque dell’art. 600-ter c.p., non è necessario che la produzione del materiale avvenga per mano di un soggetto diverso dal minore stesso. In sostanza, per il reato di produzione di pornografia minorile di cui al primo comma dell’art. 600-ter, è richiesta l’alterità tra il soggetto ritratto e l’autore del materiale, mentre per gli altri commi non rileva la modalità di produzione delle immagini, che possono essere sia eteroprodotte sia autoprodotte.
Infine, occorre sottolineare che le condotte di diffusione e cessione del materiale pedopornografico (art. 600-ter, commi 3 e 4), nonché la detenzione dello stesso (art. 600-quater), sono aggravate nel caso in cui il materiale sia di ingente quantità, un’aggravante che sottolinea la gravità del fenomeno e la necessità di una repressione severa e incisiva da parte delle autorità.
Pornografia minorile e child grooming
L’art. 609-undecies del codice penale, introdotto con la L. 1° ottobre 2012, n. 172, ha previsto il reato di child grooming, ossia l’adescamento di minori. Questo reato, inserito per dare attuazione alla Convenzione di Lanzarote, risponde alla necessità di contrastare in modo efficace il fenomeno del child grooming, che prelude spesso a forme più gravi di sfruttamento sessuale, tra cui la produzione di pornografia minorile. Secondo la legge, l’adescamento consiste in “qualsiasi atto volto a carpire la fiducia del minore attraverso artifici, lusinghe o minacce”, allo scopo di coinvolgerlo in attività sessuali.
Ciò che rende particolarmente insidioso il reato di child grooming è il fatto che può essere punito anche in assenza di atti esecutivi del reato sessuale.
Si tratta, infatti, di un reato di pericolo concreto, in quanto l’adescamento viene sanzionato anche quando non è stato consumato alcun reato di sfruttamento sessuale vero e proprio. L’art. 609-undecies punisce quindi la condotta preparatoria volta a creare un contatto con il minore per fini illeciti, anticipando la tutela penale.
A differenza di altre forme di reato legate alla pornografia minorile, il grooming è perseguito anche quando non vi sia stata una proposta di incontro tra l’agente e il minore, “anche in assenza di una proposta di incontro con il minore”.
Un aspetto significativo della disciplina del grooming in Italia è che l’utilizzo di internet per adescare minori rappresenta solo una delle modalità di realizzazione del reato, non essendo obbligatoria la mediazione tecnologica.
Tuttavia, l’uso di mezzi telematici può aggravare la condotta, soprattutto se l’autore del reato utilizza tecnologie che rendono difficile la sua identificazione. In questi casi, l’art. 609-duodecies c.p. prevede un aggravamento della pena per l’utilizzo di “mezzi atti ad impedire l’identificazione dei dati di accesso alle reti telematiche”, evidenziando come l’elemento informatico renda più complessa la prevenzione e la repressione del fenomeno della pornografia minorile.
La giurisprudenza italiana ha più volte affrontato il tema del grooming, chiarendo che per configurare il reato è sufficiente che l’agente compia atti volti a guadagnare la fiducia del minore, anche senza una concreta esecuzione di atti sessuali.
Ad esempio, la Corte di Cassazione, Sez. III, nella sentenza n. 26730/2019, ha stabilito che “il semplice utilizzo di mezzi telematici per instaurare un contatto con il minore può essere sufficiente per configurare il reato”, anche se non vi sia stato un incontro fisico.
La L. 23 dicembre 2021, n. 238, ha introdotto ulteriori aggravanti per il reato di grooming, prevedendo un aumento della pena se il reato viene commesso “da più persone riunite, o da persona che fa parte di un’associazione per delinquere e al fine di agevolarne l’attività”. Parimenti la pena è aumentata se dal fatto, a causa della reiterazione delle condotte, deriva al minore un pregiudizio grave, o se dal fatto deriva pericolo di vita per il minore.
In conclusione, il child grooming costituisce una minaccia crescente nell’era digitale, e l’ordinamento italiano ha adottato misure preventive per reprimere questa condotta, in particolare quando è finalizzata alla produzione o diffusione di materiale pedopornografico. Le nuove tecnologie, pur facilitando la commissione di tali reati, hanno trovato un argine nella normativa italiana, che continua a evolversi per proteggere i minori dagli abusi.
La repressione della pornografia minorile. L’importanza dell’assistenza legale.
La pornografia minorile continua a rappresentare una delle forme più gravi e allarmanti di sfruttamento sessuale. L’evoluzione tecnologica ha indubbiamente amplificato la portata di questo fenomeno, rendendo sempre più facile la creazione e la diffusione di materiale pedopornografico su scala globale.
Le reti telematiche e le piattaforme digitali, con il loro elevato grado di anonimato, offrono un terreno fertile per la proliferazione di contenuti illeciti, ponendo una sfida enorme per le autorità di contrasto. Tuttavia, il quadro normativo italiano, in costante aggiornamento, ha cercato di rispondere in modo efficace a questa minaccia, attraverso una legislazione rigorosa che mira a proteggere i minori sotto ogni aspetto.
L’introduzione di nuove fattispecie di reato, come l’adescamento di minori (child grooming) e l’accesso intenzionale a materiale pedopornografico, riflette l’impegno del legislatore italiano nell’anticipare la tutela penale e nel contrastare anche le condotte preparatorie che possono portare alla realizzazione di crimini più gravi.
Inoltre, la giurisprudenza ha svolto un ruolo fondamentale nell’interpretare e applicare queste normative, adeguandosi all’evoluzione delle tecnologie e delle dinamiche criminali connesse alla pornografia minorile.
Nonostante questi progressi normativi e giurisprudenziali, il problema della pornografia minorile richiede un approccio sempre più integrato, che coinvolga non solo le forze dell’ordine e le istituzioni giudiziarie, ma anche la società civile e gli operatori del settore tecnologico.
La prevenzione e il contrasto di questo fenomeno non possono prescindere da una cooperazione internazionale, poiché il crimine si sviluppa spesso in un contesto transnazionale. Allo stesso tempo, è fondamentale sensibilizzare l’opinione pubblica sull’importanza di proteggere i minori dai rischi legati all’uso non consapevole delle tecnologie.
In questo scenario complesso, il nostro studio legale offre un supporto qualificato e dedicato alle vittime di pornografia minorile e ai loro genitori.
Con una profonda conoscenza della materia e un’attenzione costante all’evoluzione normativa e giurisprudenziale, forniamo assistenza legale sia alle vittime sia alle loro famiglie, affiancandole in tutte le fasi del procedimento penale. Il nostro obiettivo è garantire che le vittime ottengano giustizia, tutelando i loro diritti e proteggendo la loro dignità.
Pornografia minorile e reati informatici: la minaccia crescente nell’era digitale. Assistenza legale dedicata per contrastare lo sfruttamento dei minori.
da Redazione | Ott 21, 2024 | Diritto d'Impresa, Diritto Penale, Notizie e Aggiornamenti Legislativi
In un contesto socio-economico sempre più caratterizzato dall’utilizzo delle tecnologie digitali, i reati informatici costituiscono per le imprese un fattore di rischio trasversale. Questo rischio si manifesta non solo per la possibilità di attacchi esterni, come un’intrusione informatica volta a compromettere la sicurezza dei dati aziendali, ma anche per condotte dannose provenienti dall’interno dell’impresa stessa.
Il legislatore, consapevole della crescente rilevanza di tali minacce, ha adeguato la normativa di settore, introducendo nuovi strumenti per contrastare tali fenomeni. Un esempio significativo è l’inclusione dei reati informatici tra i reati presupposto della responsabilità amministrativa dell’ente ai sensi dell’art. 24-bis del D. Lgs. 231/2001, una norma che è stata recentemente modificata per estendere la responsabilità anche ai reati connessi alla sicurezza cibernetica nazionale.
L’inclusione di tali fattispecie rappresenta un rilevante presidio di legalità nell’ambito aziendale, poiché essa si applica non solo alle imprese operanti nel settore digitale, ma a tutte le imprese che utilizzano strumenti informatici. Le aziende, infatti, sono oggi profondamente informatizzate, e l’abuso dei sistemi informatici, da parte di soggetti apicali o dipendenti, è una delle minacce più concrete e visibili. Non è raro, ad esempio, che reati informatici vengano commessi nell’interesse o a vantaggio dell’ente, come nel caso di un dipendente che, al fine di incrementare il fatturato, accede abusivamente a server aziendali contenenti informazioni riservate di altre aziende.
Analogamente, il dirigente che distrugge file per evitare una sanzione amministrativa a seguito di un’indagine di vigilanza agisce in modo da tutelare l’interesse dell’azienda. Questi comportamenti evidenziano come l’adozione di un sistema di gestione della sicurezza informatica, attraverso procedure operative e controlli adeguati, sia cruciale per prevenire tali condotte.
L’introduzione dei reati informatici nel catalogo della responsabilità amministrativa dell’ente ai sensi del D. Lgs. 231/2001 dimostra come la compliance penale svolga un ruolo centrale nell’innalzamento del livello di sicurezza aziendale. Attraverso l’implementazione di modelli organizzativi che regolino l’uso dei sistemi informatici e la definizione di procedure interne chiare (ad esempio, l’autorizzazione all’accesso ai sistemi, l’utilizzo dei privilegi di amministratore, o la gestione delle password), le imprese possono ridurre il rischio di essere coinvolte in reati di natura informatica, prevenendo così danni significativi sia dal punto di vista economico che reputazionale.
Parallelamente, sul piano della sicurezza cibernetica e della prevenzione delle minacce esterne, la legislazione ha subito importanti sviluppi, con un quadro normativo sempre più articolato. A livello europeo, l’approvazione delle Direttive NIS ha rappresentato un passaggio fondamentale, imponendo alle imprese l’adozione di misure tecniche e organizzative adeguate per la gestione dei rischi cibernetici, al fine di garantire la continuità operativa e minimizzare gli impatti degli incidenti. Oltre a ciò, la normativa prevede l’obbligo per le imprese di notificare tempestivamente alle autorità competenti eventuali incidenti con impatti rilevanti, evitando ritardi che potrebbero compromettere la sicurezza complessiva del sistema.
Infine, è importante evidenziare come questa normativa si sia progressivamente estesa anche ad altri settori critici, quali quello finanziario, rafforzando ulteriormente la protezione delle infrastrutture essenziali e dei servizi di pubblica utilità. L’obiettivo del presente articolo è fornire un quadro delle novità introdotte dalla Legge 90/2024, che ha ulteriormente ampliato la responsabilità amministrativa degli enti in relazione ai reati informatici e rafforzato il sistema di sanzioni previste per tali illeciti. Per una disamina di tutte le novità introdotte da tale legge, rinviamo al nostro precedente articolo.
I reati informatici presupposto della responsabilità dell’ente
L’art. 24-bis del D. Lgs. 231/2001, introdotto dalla legge 18 marzo 2008, n. 48, in attuazione della Convenzione di Budapest, ha incluso tra i reati presupposto della responsabilità amministrativa degli enti gran parte dei reati informatici. La normativa considera, in modo specifico, quei reati che richiedono necessariamente, per la loro consumazione, l’utilizzo di tecnologie dell’informazione e dei sistemi informatici.
Tuttavia, l’art. 24-bis non esaurisce la propria portata con riferimento ai soli reati informatici in senso stretto, ma abbraccia anche fattispecie che possono essere commesse o facilitate attraverso la rete o il web, quali i reati in materia di terrorismo (art. 25-quater), la pedopornografia virtuale (art. 25-quinquies) e il riciclaggio (art. 25-octies). Si tratta di reati che, pur non essendo strettamente legati all’informatica, trovano un terreno fertile di sviluppo nell’ambito digitale.
Per quanto concerne i reati informatici in senso stretto, è necessario sottolineare che essi sono volti a tutelare tre ambiti specifici: la riservatezza dei dati e delle comunicazioni informatiche, l’integrità dei dati e dei sistemi informatici, e la fede pubblica. Il primo di questi ambiti è protetto dall’art. 615-ter c.p., che punisce l’accesso abusivo a un sistema informatico o telematico. Questa fattispecie sanziona il comportamento di chi, senza autorizzazione, accede a un sistema informatico o telematico, o vi si trattiene oltre i limiti consentiti.
In merito a tale reato, la giurisprudenza ha spesso dibattuto sulla rilevanza della permanenza non autorizzata all’interno di un sistema informatico da parte di un soggetto che, pur essendo in possesso delle credenziali di accesso, utilizza il sistema per scopi diversi da quelli consentiti. Nella stessa area di protezione della riservatezza si collocano anche i reati di detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici (art. 615-quater c.p.), i quali rappresentano condotte prodromiche rispetto all’accesso abusivo, nonché le fattispecie di intercettazione abusiva di comunicazioni informatiche o telematiche (artt. 617-quater e quinquies c.p.).
Il secondo ambito di tutela, relativo all’integrità dei dati e dei sistemi informatici, è presidiato dalle fattispecie di danneggiamento introdotte dal legislatore con la legge n. 48 del 2008. Il legislatore ha articolato la risposta sanzionatoria distinguendo tra il danneggiamento di dati, programmi o sistemi informatici privati e il danneggiamento di sistemi pubblici o di pubblica utilità.
Le fattispecie più significative in questo ambito sono gli artt. 635-bis e 635-ter c.p., che tutelano rispettivamente i dati e i programmi informatici privati e pubblici, con una protezione anticipata per questi ultimi, e gli artt. 635-quater e 635-quinquies c.p., che puniscono le condotte di danneggiamento mediante l’utilizzo di virus o altri programmi dannosi. Una novità rilevante introdotta di recente è l’art. 635-quater.1 c.p., il quale punisce la produzione, diffusione o semplice detenzione di programmi informatici progettati per danneggiare sistemi o dati, configurando una protezione avanzata per i sistemi di pubblica utilità.
Infine, tra i reati informatici, l’ultimo ambito di tutela riguarda la fede pubblica, con due fattispecie specifiche: l’art. 491-bis c.p., che estende la disciplina della falsità documentale anche al documento informatico, e l’art. 640-quinquies c.p., che punisce le frodi informatiche connesse all’alterazione di dati, specialmente se finalizzate a trarre un ingiusto profitto a discapito della pubblica amministrazione. Questi reati rappresentano una minaccia particolarmente rilevante nell’ambito dei rapporti con le pubbliche amministrazioni, ove l’utilizzo fraudolento di dati può compromettere la trasparenza e la correttezza delle transazioni pubbliche.
Accanto ai reati informatici tradizionali, il legislatore ha recentemente introdotto, attraverso il decreto-legge n. 105 del 2019 (convertito in legge n. 133 del 2019), un’ulteriore figura di reato volta a tutelare la sicurezza cibernetica nazionale. L’art. 24-bis del D. Lgs. 231/2001 è stato infatti modificato per includere la sanzione della falsa o omessa comunicazione di dati o informazioni rilevanti per la sicurezza nazionale, nell’ambito del cosiddetto Perimetro di Sicurezza Nazionale Cibernetica. Questo nuovo reato mira a garantire la tempestiva e accurata trasmissione di informazioni alle autorità preposte, al fine di prevenire o mitigare minacce alla sicurezza dei sistemi informatici che svolgono funzioni critiche per il Paese.
Reati informatici e 231. Le novità introdotte dalla Legge 90/2024
La Legge n. 90 del 2024 ha apportato ulteriori modifiche significative all’art. 24-bis del D. Lgs. 231/2001, inasprendo le sanzioni pecuniarie previste per i reati informatici e introducendo nuove fattispecie di reato, come l’estorsione informatica, comunemente associata all’uso di ransomware. Il legislatore ha così inteso rafforzare il sistema sanzionatorio per gli enti coinvolti in reati informatici, con un chiaro intento deterrente. Le sanzioni pecuniarie sono state aumentate, con un massimo che ora raggiunge le settecento quote, mentre per i reati di estorsione informatica è stata prevista una sanzione specifica che può arrivare fino a ottocento quote.
Un ulteriore aspetto rilevante introdotto dalla Legge n. 90 del 2024 è la previsione di sanzioni interdittive per gli enti condannati per reati di estorsione informatica, con la possibilità di interdizioni dall’esercizio dell’attività per un periodo non inferiore a due anni. Tale misura dimostra l’importanza che il legislatore attribuisce alla prevenzione di tali reati, i quali rappresentano una minaccia sempre più concreta per le imprese, specie quelle che operano nel settore critico delle infrastrutture digitali.
In sintesi, l’art. 24-bis del D. Lgs. 231/2001, grazie anche alle modifiche introdotte dalla Legge n. 90 del 2024, si configura come uno strumento fondamentale per la responsabilizzazione delle imprese nell’ambito della sicurezza informatica “interna” all’ente. Le nuove disposizioni, oltre a incrementare le sanzioni, rafforzano la capacità delle autorità di contrastare efficacemente il fenomeno dei reati informatici, ponendo l’accento sulla necessità per le imprese di adottare misure di compliance adeguate a prevenire tali condotte.
Modelli organizzativi per la prevenzione dei reati informatici
L’adozione di modelli organizzativi per la prevenzione dei reati informatici è un processo complesso che richiede un’attenta pianificazione e l’implementazione di strategie mirate a ridurre il rischio derivante dall’uso delle tecnologie informatiche all’interno dell’azienda. La creazione di questi modelli deve essere specificamente adattata alle caratteristiche della singola impresa, considerando la natura delle sue attività e il contesto tecnologico in cui opera.
Uno degli aspetti più critici nella costruzione di un modello organizzativo è la possibilità che un reato informatico venga commesso utilizzando un dispositivo aziendale, anche senza che sia stato identificato l’autore della condotta criminosa. L’impresa, in questi casi, potrebbe trovarsi a rispondere per un illecito, nonostante l’impossibilità di ricostruire con precisione la dinamica del fatto o l’identità del responsabile.
Per tale ragione, l’adozione di una disciplina interna rigorosa sull’uso dei sistemi informatici e dei software aziendali diventa un passaggio imprescindibile per una gestione efficace del rischio.
La prevenzione dei reati informatici richiede l’implementazione di una politica di sicurezza equilibrata che comprenda sia misure tecniche che misure organizzative. Prima di tutto, è necessario condurre una mappatura completa di tutti i componenti dell’infrastruttura IT dell’azienda, inclusi i software installati e i dispositivi utilizzati. Successivamente, si procede con un’analisi dei rischi (risk assessment), finalizzata a identificare le vulnerabilità presenti e a sviluppare procedure adeguate per la gestione dei rischi legati agli asset immateriali dell’azienda, come i dati e le informazioni riservate.
Un aspetto centrale nella costruzione del modello organizzativo è la corretta assegnazione di ruoli e responsabilità all’interno dell’azienda. Questo comprende la regolamentazione dell’accesso ai sistemi informatici mediante l’uso di registrazioni, autenticazioni e log sui server aziendali, oltre al controllo costante del loro utilizzo, come ad esempio la verifica dei software installati e il monitoraggio delle attività svolte sui sistemi aziendali. Questi controlli devono essere adeguati e continui per garantire una tracciabilità efficace delle operazioni compiute e prevenire usi impropri dei sistemi.
Nel contesto della prevenzione degli attacchi informatici, la normativa prevista dal D. Lgs. 231/2001 si affianca ad altre importanti disposizioni legislative, come la Direttiva NIS e il Regolamento generale sulla protezione dei dati (GDPR). Questi strumenti normativi pongono l’accento sulla accountability delle imprese, incentivandole a sviluppare sistemi di sicurezza avanzati per proteggere i propri dati e le proprie infrastrutture.
Tuttavia, in alcune circostanze, la disciplina del D. Lgs. 231/2001 non trova applicazione, come nel caso in cui l’impresa sia il bersaglio di un attacco esterno. In questi casi, non si configura un reato commesso “nell’interesse o a vantaggio” dell’ente, requisito essenziale per la responsabilità prevista dalla normativa.
I modelli organizzativi finalizzati alla prevenzione dei reati informatici devono concentrarsi su tre principali contesti di rischio. Il primo è quello degli accessi abusivi a sistemi informatici e telematici, spesso compiuti per ottenere dati sensibili, come le liste clienti o informazioni riservate.
Il secondo riguarda la manipolazione dei dati nel contesto dei rapporti con la Pubblica Amministrazione, come nei casi di sovrafatturazione o alterazione di dati fiscali per ottenere vantaggi indebiti. Il terzo contesto è legato a condotte di danneggiamento o interruzione del funzionamento dei sistemi informatici, finalizzate a causare disservizi o danni all’immagine aziendale.
Negli ultimi anni, la consapevolezza dell’importanza della cybersecurity è aumentata significativamente all’interno delle imprese. Diversi documenti e iniziative, come il Framework Nazionale per la Cybersecurity e la Data Protection, sviluppato dal CINI in collaborazione con università e centri di ricerca, offrono linee guida per migliorare i controlli di sicurezza informatica nelle aziende. Tra le principali misure raccomandate vi sono la gestione degli inventari di dispositivi e software, la protezione contro i malware, la gestione di password e account, nonché la formazione e sensibilizzazione del personale in materia di cybersicurezza.
In definitiva, l’adozione di un modello organizzativo che includa queste misure di prevenzione è cruciale per ridurre il rischio di commissione di reati informatici. L’implementazione di un sistema di sicurezza robusto non solo tutela i dati e i sistemi aziendali, ma contribuisce anche a migliorare la reputazione e la competitività dell’azienda, garantendo il rispetto delle normative vigenti.
Reati informatici e 231: l’importanza nella corporate compliance
In conclusione, la crescente complessità dei reati informatici e la loro incidenza sulle attività aziendali rendono indispensabile una consulenza legale qualificata per la valutazione dei rischi, la definizione di processi di sicurezza e la costruzione di un modello organizzativo adeguato a prevenire tali condotte illecite. Rivolgersi a un avvocato specializzato in diritto penale consente di affrontare queste problematiche con una prospettiva mirata e strategica, garantendo il rispetto della normativa vigente e la protezione del patrimonio aziendale.
Lo Studio Legale D’Agostino vanta una expertise trasversale nell’ambito della criminalità informatica e della corporate compliance, offrendo un supporto legale di alto livello che garantisce l’adozione di soluzioni efficaci e innovative per la gestione dei rischi cibernetici.
Grazie alla consolidata esperienza in questi settori, lo Studio è in grado di assicurare un elevato standard qualitativo, accompagnando le imprese nella realizzazione di un sistema di compliance solido e conforme alle esigenze normative più attuali, in materia di prevenzione dei reati informatici.
Assistenza legale per reati informatici e cybercrime – Studio Legale Luca D’Agostino, Roma. Legge 90/2024.
da Redazione | Ott 18, 2024 | Notizie e Aggiornamenti Legislativi, Diritto d'Impresa, Diritto Penale
La Direttiva NIS 2 (Direttiva (UE) 2022/2555) è il corpus normativo principale nell’ambito della sicurezza delle reti e dei sistemi informativi all’interno dell’Unione Europea. L’obiettivo primario di questa normativa è, come noto, quello di migliorare la resilienza delle infrastrutture digitali europee, introducendo obblighi più stringenti per gli operatori di servizi essenziali e importanti.
Rispetto alla precedente Direttiva NIS, la NIS 2 estende il campo di applicazione e rafforza le misure di gestione del rischio di cybersicurezza, armonizzando ulteriormente le normative tra gli Stati membri.
In questo contesto, il Regolamento di attuazione recentemente approvato dalla Commissione Europea si inserisce come elemento cruciale per la concretizzazione delle disposizioni previste dalla Direttiva NIS 2. Esso è stato adottato sulla base dell’articolo 21, paragrafo 5, della Direttiva NIS 2, che stabilisce che entro il 17 ottobre 2024, la Commissione debba adottare atti di esecuzione per definire i requisiti tecnici e metodologici delle misure di gestione del rischio. Questi requisiti riguardano una serie di fornitori di servizi critici, tra cui i fornitori di servizi DNS, i registri dei nomi di dominio di primo livello (TLD), i fornitori di cloud computing, i data center, le reti di distribuzione dei contenuti (CDN), e altri operatori di servizi essenziali.
In parallelo, l’articolo 23, paragrafo 11, della Direttiva NIS 2 stabilisce che, entro la stessa scadenza, la Commissione adotti atti di esecuzione per specificare i casi in cui un incidente debba essere considerato significativo. Ciò si applica ai fornitori sopra elencati e ad altri soggetti essenziali e importanti, con l’obiettivo di garantire una risposta adeguata e tempestiva agli incidenti informatici che possano mettere a rischio la sicurezza delle reti e dei sistemi informativi.
L’obiettivo di questo articolo è offrire una panoramica dettagliata del Regolamento di attuazione della Direttiva NIS 2, che introduce una disciplina vincolante per una serie di operatori che svolgono un ruolo cruciale nella sicurezza digitale europea.
Il Regolamento, che entrerà in vigore dopo la sua pubblicazione ufficiale, si applica esclusivamente alle relevant entities o entità rilevanti, definite come quei soggetti che forniscono servizi critici per la società e l’economia. Tra queste entità si annoverano fornitori di servizi DNS, di cloud computing, di reti di distribuzione dei contenuti, motori di ricerca online, piattaforme di social networking e altre infrastrutture digitali di importanza strategica.
Nel prosieguo dell’articolo, esploreremo più nel dettaglio le misure di gestione del rischio previste dal Regolamento e le modalità per determinare quando un incidente debba essere considerato significativo ai sensi della Direttiva NIS 2. Per approfondimenti circa la normativa nazionale di recepimento della Direttiva NIS 2 e il calendario delle scadenze, rinviamo ai nostri precedenti articoli.
Requisiti di gestione del rischio nella Direttiva NIS 2
La Direttiva NIS 2 e il Regolamento di attuazione adottato dalla Commissione Europea pongono al centro dell’attenzione la necessità per le “entità rilevanti” di adottare misure specifiche di gestione del rischio per la sicurezza delle reti e dei sistemi informativi. La disciplina dettagliata di tali misure è contenuta nell’Annex I del Regolamento, che rappresenta un pilastro normativo fondamentale per garantire la sicurezza cibernetica all’interno dell’Unione Europea.
L’Annex I si struttura in diverse sezioni, ciascuna delle quali delinea un insieme di requisiti tecnici e metodologici che le entità rilevanti devono implementare. Tali misure sono organizzate in modo da coprire tutti gli aspetti cruciali della gestione del rischio di cybersecurity, con l’obiettivo di fornire un approccio omnicomprensivo alla sicurezza informatica. Tra le principali aree trattate figurano la protezione delle reti, dei sistemi informativi e dei dati, nonché la preparazione a rispondere a eventuali incidenti di sicurezza.
Le misure descritte nell’Annex I impongono alle entità rilevanti l’adozione di politiche di sicurezza informatica che coprano l’intero ciclo di vita dei sistemi e dei servizi. Queste politiche devono essere sviluppate sulla base di una valutazione continua del rischio, che prevede l’identificazione delle minacce potenziali, la stima della probabilità che si verifichino incidenti e l’adozione di misure di mitigazione adeguate. L’Annex I stabilisce, inoltre, che queste politiche devono essere sottoposte a revisione periodica per adattarsi alle nuove sfide poste dall’evoluzione tecnologica e dalle crescenti minacce cibernetiche.
Inoltre, una sezione fondamentale dell’Annex I riguarda la gestione degli incidenti di sicurezza informatica. Le entità rilevanti sono tenute a implementare misure che consentano il rilevamento, la gestione e la risoluzione tempestiva degli incidenti. Questo include l’obbligo di monitorare continuamente le attività delle reti e dei sistemi informativi, in modo da rilevare eventuali anomalie che possano indicare un’intrusione o un attacco.
L’Annex I si occupa anche della continuità operativa, stabilendo che le entità rilevanti devono predisporre piani di continuità e ripristino delle attività, volti a garantire la ripresa delle operazioni nel minor tempo possibile in caso di interruzioni. Questi piani devono essere regolarmente testati e aggiornati, per assicurare che restino efficaci nel tempo e in linea con le esigenze operative dell’entità.
Un altro elemento di grande rilevanza trattato dall’Annex I riguarda la sicurezza della catena di fornitura (tema che, in generale, abbiamo già approfondito in un precedente articolo). Le entità rilevanti non solo devono assicurarsi che i loro sistemi e reti siano protetti, ma devono anche vigilare affinché i fornitori terzi che partecipano alla loro catena produttiva o distributiva rispettino standard di sicurezza analoghi. Questo principio garantisce un approccio integrato alla gestione del rischio, prevenendo potenziali vulnerabilità derivanti da attori esterni.
L’Annex I, dunque, costituisce la base normativa essenziale che le entità rilevanti devono seguire per conformarsi ai requisiti di gestione del rischio imposti dalla Direttiva NIS 2, garantendo così una maggiore resilienza delle infrastrutture digitali europee.
Incidenti significativi nel Regolamento di attuazione della Direttiva NIS 2
La Direttiva NIS 2, unitamente al Regolamento di attuazione, introduce una disciplina specifica per la gestione degli incidenti significativi. Ai sensi dell’articolo 3 del Regolamento, un incidente è considerato significativo se soddisfa uno o più criteri previsti dalla Direttiva stessa e dal Regolamento, con l’obiettivo di garantire che tali eventi ricevano una risposta tempestiva e adeguata. La rilevanza di un incidente non si limita al suo impatto immediato sui sistemi informativi dell’entità, ma viene valutata anche in funzione delle conseguenze economiche, operative e sociali che può determinare.
Secondo l’articolo 3, un incidente è considerato significativo se soddisfa uno o più criteri generali. Tra questi, vi è la possibilità che l’incidente comporti una perdita finanziaria diretta per l’entità rilevante superiore a 500.000 euro o al 5% del fatturato annuo complessivo dell’entità nell’anno finanziario precedente, a seconda di quale importo sia inferiore. Altri criteri includono la compromissione della riservatezza, integrità o autenticità dei dati, oppure la possibilità che l’incidente causi la morte o danni significativi alla salute di una persona fisica. Inoltre, il Regolamento introduce criteri specifici per diverse tipologie di entità rilevanti, in modo da adeguare la valutazione dell’incidente alle caratteristiche particolari dei servizi forniti.
Ai sensi dell’articolo 5, se l’incidente riguarda un fornitore di servizi DNS, esso è considerato significativo se uno o più criteri vengono soddisfatti. Tra questi, il servizio di risoluzione dei nomi di dominio autoritativo o ricorsivo deve essere completamente non disponibile per un periodo superiore a 30 minuti. In alternativa, la risposta del servizio di risoluzione dei nomi di dominio potrebbe superare i 10 secondi per oltre un’ora, rendendo il servizio inadeguato a rispondere in modo efficiente alle richieste DNS. Un altro criterio di significatività è la compromissione dell’integrità, riservatezza o autenticità dei dati trattati dal fornitore, soprattutto se tale compromissione coinvolge una quota rilevante di nomi di dominio gestiti.
Per quanto riguarda i registri di nomi di dominio di primo livello (TLD), l’articolo 6 stabilisce che un incidente è considerato significativo se il servizio di risoluzione dei nomi di dominio autoritativo è completamente non disponibile o se il tempo di risposta medio supera i 10 secondi per un periodo superiore a un’ora. Anche in questo caso, la compromissione della sicurezza dei dati legati al TLD può essere determinante nel qualificare l’incidente come significativo, se tale compromissione mina la riservatezza o l’integrità delle informazioni trattate.
Ai sensi dell’articolo 7 del Regolamento attuativo della Direttiva NIS 2, un fornitore di servizi di cloud computing è soggetto a criteri di significatività qualora il servizio di cloud computing sia completamente non disponibile per più di 30 minuti. Inoltre, se la disponibilità del servizio è limitata per oltre il 5% degli utenti del cloud nell’Unione Europea, o per più di un milione di utenti, l’incidente può essere considerato significativo. La compromissione dell’integrità, riservatezza o autenticità dei dati trattati da tali fornitori può inoltre essere un fattore determinante, soprattutto se coinvolge una quota considerevole di utenti del servizio.
Analogamente, l’articolo 8 del Regolamento attuativo della Direttiva NIS 2 disciplina gli incidenti che coinvolgono i fornitori di servizi di data center. Un incidente è considerato significativo se il servizio di data center risulta completamente non disponibile o se la disponibilità del servizio è limitata per un periodo superiore a un’ora. Anche in questo caso, la compromissione della sicurezza dei dati trattati nel data center può qualificare l’incidente come significativo, così come la compromissione dell’accesso fisico al data center stesso, soprattutto se si verifica una violazione dei meccanismi di protezione fisica che limitano l’accesso alle aree sensibili.
Per i fornitori di reti di distribuzione dei contenuti (CDN), l’articolo 9 stabilisce che un incidente è significativo se la rete di distribuzione è completamente non disponibile per più di 30 minuti. Se l’indisponibilità del servizio impatta oltre il 5% degli utenti della rete di distribuzione o coinvolge più di un milione di utenti, l’incidente è considerato significativo. Come per le altre entità, anche la compromissione della riservatezza, integrità o autenticità dei dati trattati dalla rete di distribuzione dei contenuti può rappresentare un criterio rilevante.
L’articolo 11 riguarda i fornitori di marketplace online, dove un incidente è considerato significativo se più del 5% degli utenti o oltre un milione di utenti nell’Unione sono coinvolti dall’indisponibilità totale o parziale del servizio. Anche in questo contesto, la sicurezza dei dati trattati gioca un ruolo fondamentale, in particolare se vi è stata una compromissione della riservatezza, integrità o autenticità delle informazioni.
Infine, gli articoli 12 e 13 del Regolamento attuativo della Direttiva NIS 2 disciplinano rispettivamente i criteri per gli incidenti significativi che coinvolgono i motori di ricerca online e le piattaforme di servizi di social networking, stabilendo criteri simili in termini di indisponibilità dei servizi e compromissione della sicurezza dei dati. Anche in questi casi, l’indisponibilità che colpisce una percentuale significativa di utenti o la violazione dei dati trattati costituisce un elemento chiave nella valutazione della significatività dell’incidente.
In conclusione, il Regolamento di attuazione della Direttiva NIS 2 stabilisce una disciplina precisa e articolata per identificare e gestire gli incidenti significativi, tenendo conto delle peculiarità delle diverse entità rilevanti e del tipo di servizi forniti.
Direttiva NIS 2 e Regolamento di attuazione. Quali adempimenti?
La Direttiva NIS 2 e il Regolamento di attuazione adottato dalla Commissione Europea rappresentano un significativo passo avanti nella gestione della sicurezza delle reti e dei sistemi informativi all’interno dell’Unione Europea. La definizione precisa delle misure di gestione del rischio e la determinazione degli incidenti significativi hanno come obiettivo quello di creare un quadro giuridico uniforme e robusto, capace di rispondere alle sfide sempre più complesse del panorama cibernetico moderno. Con l’entrata in vigore del Regolamento, le “entità rilevanti” dovranno adattarsi a nuovi standard di sicurezza e adottare un approccio proattivo nella gestione dei rischi informatici.
Per le entità rilevanti, la conformità alla Direttiva NIS 2 richiederà un impegno non solo tecnico ma anche organizzativo, attraverso l’implementazione di politiche di sicurezza coerenti e la formazione continua del personale coinvolto. Gli operatori economici, in particolare, dovranno assicurarsi che anche la loro catena di fornitura rispetti gli stessi criteri di sicurezza cibernetica. Il mancato adeguamento può comportare sanzioni rilevanti e, soprattutto, una vulnerabilità critica nei confronti delle minacce informatiche.
In questo contesto di crescente complessità normativa, lo Studio Legale D’Agostino, con la sua consolidata esperienza in ambito di corporate compliance e cybersicurezza, è in grado di fornire un supporto strategico essenziale. La nostra competenza nella gestione delle problematiche legate alla conformità aziendale e alla sicurezza informatica ci permette di assistere le imprese e le pubbliche amministrazioni nel processo di implementazione della Direttiva NIS 2, garantendo un approccio personalizzato e orientato alla prevenzione dei rischi.
Siamo lieti e orgogliosi di accompagnarvi nel percorso di adeguamento normativo, fornendo soluzioni efficaci e su misura per proteggere le vostre infrastrutture digitali e ridurre al minimo l’esposizione ai rischi cibernetici.
SCARICA QUI IL TESTO DEL Regolamento di attuazione della Direttiva NIS 2 del 17.10.2024
Studio Legale D’Agostino a Roma: consulenza su Decreto NIS 2, cyber security e sicurezza informatica, con definizioni chiave su incidenti, vulnerabilità e misure di sicurezza
da Redazione | Ott 16, 2024 | Diritto civile, Diritto d'Impresa, Diritto Penale, Notizie e Aggiornamenti Legislativi
La sostenibilità rappresenta ormai un pilastro fondamentale per le imprese, in particolare alla luce delle nuove normative dell’Unione Europea volte a regolare l’impatto delle attività aziendali sui diritti umani e sull’ambiente. Ne abbiamo già discusso in un precedente articolo.
In questo contesto, la Direttiva (UE) 2024/1760, meglio nota come Corporate Sustainability Due Diligence Directive (CSDDD), impone un dovere di diligenza alle imprese di grandi dimensioni per garantire che le loro attività e quelle dei loro partner commerciali siano in linea con gli obiettivi di sostenibilità ambientale e sociale.
La Direttiva introduce obblighi chiari e vincolanti, che richiedono alle società di identificare, prevenire e mitigare i potenziali impatti negativi lungo l’intera catena di valore. La sostenibilità diventa così non solo un obiettivo etico e strategico, ma anche un imperativo normativo, la cui non osservanza può comportare significative sanzioni e responsabilità civili. L’Unione Europea, con questa direttiva, intende promuovere una trasformazione profonda delle pratiche aziendali, allineandole agli accordi internazionali come l’Accordo di Parigi, con l’obiettivo di ridurre le emissioni di gas a effetto serra e di tutelare i diritti umani nelle operazioni globali delle imprese.
Attraverso un quadro giuridico armonizzato, la CSDDD segna un passo decisivo verso un’economia più sostenibile e responsabile, dove la trasparenza e la conformità rappresentano strumenti chiave per favorire una gestione aziendale attenta agli impatti sociali e ambientali. Tale normativa richiede un adeguamento significativo delle politiche interne delle imprese e l’adozione di piani di transizione verso una sostenibilità integrale.
Chi sono i destinatari della Direttiva sulla sostenibilità?
La Corporate Sustainability Due Diligence Directive trova applicazione su un’ampia gamma di imprese, sia costituite all’interno dell’Unione Europea sia operanti nel mercato europeo pur avendo sede legale in paesi terzi. In particolare, la direttiva è vincolante per tutte le società che, nel corso dell’ultimo esercizio finanziario, hanno avuto più di 1.000 dipendenti e un fatturato netto globale superiore a 450 milioni di euro.
Questo parametro tiene conto non solo delle attività svolte direttamente dalla società, ma anche di quelle delle sue filiazioni e dei suoi partner commerciali lungo l’intera catena di valore. Ciò implica che le imprese devono monitorare non solo le loro operazioni interne, ma anche le pratiche adottate dai soggetti con cui collaborano, estendendo così l’obbligo di sostenibilità in modo capillare.
Le disposizioni della direttiva si applicano anche alle società capogruppo che esercitano un controllo su altre entità e che rientrano nei requisiti di dimensione previsti. È altresì importante sottolineare che l’applicazione si estende alle imprese costituite in paesi terzi, a condizione che esse generino un fatturato netto significativo nell’Unione Europea. In particolare, la soglia stabilita per le imprese extra-europee è di 450 milioni di euro di fatturato nell’ultimo esercizio finanziario. Questo aspetto è cruciale, poiché garantisce che le imprese non possano eludere gli obblighi di sostenibilità semplicemente trasferendo la loro sede legale al di fuori dell’Unione, pur continuando a operare nel mercato europeo.
L’obiettivo principale della direttiva è creare un quadro normativo uniforme, assicurando che tutte le imprese con una presenza economica significativa nel mercato europeo, indipendentemente dalla loro sede legale, siano tenute a rispettare gli stessi standard in materia di sostenibilità e responsabilità sociale. Questo favorisce una concorrenza leale tra le imprese e promuove una cultura aziendale orientata alla tutela dell’ambiente e dei diritti umani.
Quando entrerà in vigore la Direttiva sulla sostenibilità?
L’entrata in vigore della CSDDD è scaglionata in diverse fasi, a seconda della dimensione e della tipologia delle imprese coinvolte. Gli Stati membri sono tenuti a recepire la direttiva entro il 26 luglio 2026, data entro la quale dovranno adottare le misure legislative necessarie. Tuttavia, gli obblighi per le imprese entreranno in vigore in maniera progressiva.
Le società con più di 5.000 dipendenti e un fatturato netto superiore a 1,5 miliardi di euro a livello mondiale saranno soggette alla normativa a partire dal 26 luglio 2027. Per le imprese con più di 3.000 dipendenti e un fatturato superiore a 900 milioni di euro, gli obblighi scatteranno dal 26 luglio 2028. Le società di paesi terzi che generano un fatturato significativo nell’Unione, pari a oltre 1,5 miliardi di euro, dovranno conformarsi anch’esse dal 26 luglio 2027, mentre quelle con un fatturato superiore a 900 milioni di euro avranno tempo fino al 26 luglio 2028.
Infine, tutte le altre imprese non rientranti nelle precedenti categorie, inclusi i gruppi più piccoli che operano con modalità di franchising o licenza, dovranno conformarsi agli obblighi previsti dalla direttiva a partire dal 26 luglio 2029. Questo approccio graduale consente alle imprese di adattarsi progressivamente alle nuove norme, in base alla loro dimensione e alla complessità delle loro operazioni.
Obblighi Principali per le Imprese: la due diligence per la sostenibilità
Il cuore della Corporate Sustainability Due Diligence Directive risiede nell’obbligo imposto alle imprese di esercitare un dovere di diligenza accurato e continuo, volto a prevenire, mitigare e, se necessario, porre rimedio agli impatti negativi delle loro attività sui diritti umani e sull’ambiente. Questo dovere si estende non solo alle attività dirette dell’impresa, ma anche a quelle delle sue filiazioni e dei partner commerciali, lungo l’intera catena di valore. La sostenibilità, quindi, diventa un principio guida per tutte le fasi delle operazioni aziendali.
Le imprese sono chiamate a implementare una serie di misure volte a integrare il dovere di diligenza all’interno delle loro politiche e sistemi di gestione. In particolare, devono adottare politiche di sostenibilità ben definite, che prevedano l’individuazione e la valutazione di potenziali impatti negativi legati ai diritti umani o all’ambiente. L’individuazione degli impatti non può essere limitata alla sola attività dell’impresa, ma deve estendersi a tutte le entità collegate, incluse le filiazioni e i partner lungo la catena di fornitura.
In base agli articoli centrali della direttiva, le imprese devono adottare tutte le misure necessarie per prevenire o, laddove non sia possibile, attenuare tali impatti. Questo può includere l’adozione di piani d’azione correttivi, investimenti finanziari per migliorare i processi produttivi, la richiesta di garanzie contrattuali ai partner commerciali e, nei casi più gravi, la cessazione dei rapporti d’affari con i soggetti che contribuiscono agli impatti negativi.
Inoltre, la direttiva impone alle imprese di stabilire e mantenere un dialogo significativo con le parti interessate, compresi i lavoratori, le comunità locali e le organizzazioni non governative, al fine di garantire che gli impatti negativi siano affrontati in maniera partecipata e trasparente. Parte integrante di questo processo è la creazione di un meccanismo di reclamo che consenta a chiunque subisca danni causati dalle attività dell’impresa di presentare una denuncia.
Le imprese devono, infine, monitorare e comunicare pubblicamente l’efficacia delle loro politiche di sostenibilità. L’obbligo di trasparenza impone la pubblicazione di rapporti regolari che documentino i progressi compiuti nel prevenire e mitigare gli impatti negativi, rafforzando così la fiducia degli stakeholder e contribuendo al raggiungimento degli obiettivi di sostenibilità fissati dalla direttiva.
Lotta ai Cambiamenti Climatici e Piano di Transizione
Uno degli aspetti più innovativi della Corporate Sustainability Due Diligence Directive riguarda l’obbligo per le imprese di adottare un piano di transizione volto alla mitigazione dei cambiamenti climatici. La direttiva stabilisce che le società di grandi dimensioni, oltre a integrare la sostenibilità nelle loro politiche aziendali, devono impegnarsi attivamente nella lotta al cambiamento climatico, in linea con l’Accordo di Parigi e gli obiettivi di neutralità climatica dell’Unione Europea.
Il piano di transizione deve garantire che le strategie aziendali siano compatibili con l’obiettivo di limitare l’aumento della temperatura globale a 1,5 °C e di raggiungere la neutralità climatica entro il 2050, come stabilito dal regolamento (UE) 2021/1119.
Le imprese devono fissare obiettivi chiari e temporalmente definiti per la riduzione delle emissioni di gas a effetto serra, con tappe intermedie da raggiungere entro il 2030. Tali obiettivi non riguardano soltanto le emissioni dirette dell’impresa (ambiti 1 e 2), ma anche le emissioni indirette lungo la catena di fornitura (ambito 3). La direttiva richiede, inoltre, che le imprese identifichino le principali leve di decarbonizzazione, compresa la revisione dei loro portafogli di prodotti e servizi e l’adozione di nuove tecnologie più sostenibili.
Un aspetto cruciale è la trasparenza degli investimenti e dei finanziamenti destinati a sostenere l’attuazione del piano di transizione. Le imprese devono, infatti, fornire una chiara spiegazione e quantificazione delle risorse allocate per garantire il raggiungimento degli obiettivi climatici. Inoltre, il piano di transizione deve prevedere un ruolo attivo degli organi di amministrazione, gestione e controllo, i quali sono chiamati a supervisionare e guidare il processo di decarbonizzazione.
In questo modo, la sostenibilità climatica diventa non solo un obiettivo strategico, ma un obbligo normativo che richiede alle imprese di operare in maniera responsabile, allineandosi agli obiettivi globali per il clima.
Sostenibilità, ruolo delle Autorità e obblighi di reporting
La Corporate Sustainability Due Diligence Directive attribuisce un ruolo centrale alle autorità di controllo, incaricate di vigilare sull’attuazione e sul rispetto degli obblighi imposti alle imprese dalla normativa. Gli Stati membri dell’Unione Europea sono tenuti a designare una o più autorità di controllo nazionali, le quali devono monitorare con attenzione le attività delle imprese che rientrano nell’ambito di applicazione della direttiva, assicurandosi che esse rispettino i principi di sostenibilità e responsabilità sociale.
Le autorità di controllo hanno il compito di valutare l’efficacia delle misure adottate dalle imprese per identificare e mitigare gli impatti negativi su diritti umani e ambiente. Tra i loro poteri rientrano l’ispezione, la richiesta di informazioni e la possibilità di imporre sanzioni in caso di violazioni. Le sanzioni possono includere multe significative, fino al 5% del fatturato netto globale dell’impresa, a seconda della gravità della violazione, nonché la pubblicazione di dichiarazioni che identificano le imprese non conformi.
Un altro aspetto cruciale della direttiva riguarda gli obblighi di reporting. Le imprese sono tenute a redigere rapporti periodici che documentino le azioni intraprese per prevenire, attenuare e riparare gli impatti negativi identificati. Tali rapporti devono essere resi pubblici e accessibili, garantendo così la trasparenza nei confronti degli stakeholder e delle autorità di controllo. Il rispetto degli obblighi di reporting è essenziale per assicurare che le imprese operino in modo conforme e responsabile, mantenendo un dialogo costante con le parti interessate e dimostrando il loro impegno verso la sostenibilità.
Il sistema di controllo e monitoraggio previsto dalla direttiva mira quindi a rafforzare la fiducia nel mercato europeo, creando un quadro regolatorio trasparente che incentivi le imprese a migliorare continuamente le proprie performance in materia di sostenibilità e responsabilità sociale.
Obblighi di sostenibilità: sanzioni e responsabilità civile per le imprese
La Corporate Sustainability Due Diligence Directive introduce un quadro di sanzioni rigorose per garantire che le imprese rispettino gli obblighi derivanti dalla normativa. Le sanzioni previste dalla direttiva, che devono essere adottate dagli Stati membri, hanno l’obiettivo di essere effettive, proporzionate e dissuasive. Le autorità di controllo nazionali hanno il potere di imporre sanzioni pecuniarie significative, calcolate sulla base del fatturato netto globale dell’impresa. Le multe possono raggiungere fino al 5% del fatturato netto globale dell’esercizio precedente, una cifra che mira a dissuadere in maniera efficace le imprese dal violare gli obblighi di diligenza in materia di sostenibilità.
Le violazioni che possono comportare l’applicazione di sanzioni riguardano principalmente la mancata identificazione, prevenzione e mitigazione degli impatti negativi sui diritti umani e sull’ambiente. Le imprese che non ottemperano alle disposizioni relative alla redazione di rapporti di sostenibilità o che non rispettano i termini dei piani di transizione verso la mitigazione dei cambiamenti climatici sono soggette a sanzioni. Oltre alle multe, le autorità di controllo possono adottare misure aggiuntive, come la pubblicazione di dichiarazioni ufficiali che identificano pubblicamente le imprese responsabili delle violazioni, contribuendo così a danneggiare la reputazione aziendale a livello globale.
Un aspetto centrale della direttiva è l’introduzione della responsabilità civile per le imprese, che permette a persone fisiche o giuridiche di richiedere il risarcimento dei danni subiti a causa di una violazione degli obblighi di diligenza da parte dell’impresa. Le imprese possono essere ritenute responsabili per i danni causati da omissioni o atti intenzionali o negligenti relativi alla mancata adozione di misure preventive o correttive, in particolare se tali violazioni sono correlate a diritti protetti dalla legislazione nazionale o europea.
La responsabilità civile è particolarmente rilevante nel contesto delle catene di valore, dove le imprese possono essere chiamate a rispondere anche per i danni causati dai loro partner commerciali. Tuttavia, la direttiva prevede che le imprese non siano responsabili se dimostrano di aver adottato tutte le misure adeguate per prevenire tali impatti, inclusa la richiesta di garanzie contrattuali ai partner commerciali, la supervisione delle loro attività e l’attuazione di meccanismi di controllo efficaci. In questi casi, la responsabilità può essere condivisa con i partner commerciali, in una logica di corresponsabilità lungo la catena di fornitura.
Un altro punto di rilievo riguarda i termini di prescrizione. La direttiva prevede che i termini per l’avvio di procedimenti per il risarcimento dei danni non siano eccessivamente restrittivi e che, in ogni caso, non siano inferiori a cinque anni. Questo mira a garantire che le vittime di violazioni, siano esse comunità locali, lavoratori o altre parti interessate, abbiano il tempo sufficiente per raccogliere prove e presentare le loro richieste di risarcimento. Inoltre, la direttiva stabilisce che, in caso di controversie, i tribunali nazionali abbiano il potere di ordinare la divulgazione di prove rilevanti da parte delle imprese, purché tali richieste siano proporzionate e non ledano eccessivamente gli interessi legittimi delle parti.
La combinazione di sanzioni pecuniarie, pubbliche e di responsabilità civile mira a creare un sistema di enforcement robusto, capace di incentivare le imprese ad aderire ai principi di sostenibilità e a gestire in modo responsabile gli impatti delle loro attività. Questo approccio rafforza il quadro normativo europeo in materia di diritti umani e ambiente, offrendo alle imprese un chiaro incentivo a migliorare la loro governance e a ridurre i rischi legati alla sostenibilità.
Conclusioni
La CSDDD rappresenta un passaggio fondamentale nel rafforzamento della sostenibilità aziendale e nella promozione di una gestione responsabile delle attività economiche all’interno dell’Unione Europea. Con l’introduzione di obblighi stringenti in materia di diritti umani e ambiente, la direttiva mira a garantire che le imprese, sia europee sia extraeuropee, operino nel rispetto di standard elevati, contribuendo così a costruire un’economia più sostenibile e inclusiva. La normativa richiede alle imprese di adottare misure concrete per individuare e mitigare gli impatti negativi delle loro attività, promuovendo una trasformazione radicale delle loro operazioni lungo l’intera catena di valore.
Il complesso quadro regolatorio introdotto dalla direttiva pone sfide significative per le imprese, che devono adattarsi rapidamente e garantire una piena conformità agli obblighi di diligenza. La mancata osservanza di tali obblighi può comportare sanzioni rilevanti e rischi di responsabilità civile, rendendo indispensabile una gestione attenta e consapevole dei rischi legati alla sostenibilità. In questo contesto, è cruciale che le imprese si dotino di strumenti adeguati per affrontare tali sfide, non solo nel breve termine, ma anche con una visione di medio-lungo periodo.
In particolare, per assicurare una piena conformità normativa e una gestione efficace dei rischi, risulta fondamentale affidarsi a una consulenza legale esperta, capace di guidare le imprese nella costruzione di una strategia di conformità solida e sostenibile. Lo Studio Legale D’Agostino, con la sua vasta esperienza nei processi aziendali, offre un supporto essenziale per le imprese che desiderano allinearsi agli obblighi imposti dalla direttiva, riducendo al minimo i rischi legali e migliorando le proprie performance in materia di sostenibilità. Grazie a un approccio integrato e su misura, lo studio è in grado di assistere le aziende nella creazione di politiche di sostenibilità che non solo rispettino le normative, ma che rappresentino anche un vantaggio competitivo nel contesto globale.
da Redazione | Ott 14, 2024 | Diritto Penale
Il cyberbullismo rappresenta una delle minacce più insidiose e pervasive dell’era digitale, soprattutto nei confronti dei minori. Questo fenomeno si distingue per il suo carattere invasivo e per la sua capacità di colpire la sfera emotiva e psicologica della vittima attraverso l’uso della rete e dei mezzi di comunicazione digitale. Diversi comportamenti configurano il reato di cyberbullismo, tra i quali figurano la molestia online, la diffamazione tramite social media o altre piattaforme, il furto di identità digitale, nonché l’acquisizione illecita o il trattamento illecito di dati personali. Spesso, queste condotte si concretizzano anche nella diffusione non autorizzata di contenuti personali o offensivi, che amplifica il danno subito dalla vittima, esponendola a gravi ripercussioni sia a livello psicologico che sociale.
A differenza del bullismo tradizionale, il cyberbullismo consente all’aggressore di agire da remoto, celandosi dietro l’anonimato della rete, il che rende le vittime particolarmente vulnerabili e prive di strumenti immediati di difesa. Tuttavia, nonostante l’assenza di un contatto fisico diretto, gli effetti di queste condotte sono estremamente dannosi e possono tradursi in ansia, isolamento, paura e, nei casi più gravi, anche in istigazione al suicidio o all’autolesionismo.
Con la promulgazione della Legge 70/2024, il legislatore italiano ha compiuto un passo fondamentale nell’ampliare la tutela giuridica contro queste condotte, estendendo l’applicazione delle disposizioni della Legge 71/2017 – inizialmente circoscritta alla prevenzione e al contrasto del cyberbullismo – anche al bullismo. Quest’ultimo viene ora definito come l’insieme di atti aggressivi, ripetuti nel tempo, che possono includere violenze fisiche o psicologiche, offese, derisioni e minacce, finalizzate a creare sentimenti di ansia, isolamento o esclusione sociale in una o più vittime. Questa estensione normativa riconosce ufficialmente la gravità del bullismo, considerandolo alla stregua del cyberbullismo per quanto riguarda il potenziale dannoso e la necessità di un intervento giuridico tempestivo.
Bullismo e Cyberbullismo: dalla Legge 71/2017 alla Legge 70/2024
La Legge 71/2017, entrata in vigore per contrastare il fenomeno del cyberbullismo, è stato il primo intervento normativo organico in Italia volto a disciplinare un problema che, con l’avvento delle nuove tecnologie, ha assunto una dimensione sempre più preoccupante. La legge ha cercato di fornire una risposta completa, rivolta soprattutto alla tutela dei minori, ossia la fascia più vulnerabile della popolazione rispetto a questo tipo di condotte. Il cyberbullismo viene definito dalla normativa come qualunque forma di molestia, aggressione, ricatto, ingiuria, furto di identità, diffusione illecita di contenuti o trattamento non autorizzato di dati personali, perpetrata attraverso mezzi digitali e rivolta a minori.
Uno degli aspetti centrali della Legge 71/2017 riguarda la possibilità per i minori che abbiano compiuto 14 anni, nonché per i loro genitori o tutori, di chiedere ai gestori di siti internet o piattaforme social l’oscuramento, la rimozione o il blocco di contenuti lesivi che possano costituire atti di cyberbullismo. Questa richiesta mira a tutelare tempestivamente la vittima, impedendo che i contenuti dannosi possano continuare a circolare e amplificare il danno subito.
Nel caso in cui il gestore del sito o del social network non provveda entro 48 ore, la legge prevede che la vittima possa rivolgersi al Garante per la protezione dei dati personali, il quale è obbligato ad agire entro altre 48 ore. Questo meccanismo di risposta rapida rappresenta una delle novità più rilevanti introdotte dalla normativa del 2017, poiché mira a garantire una protezione immediata e concreta alla vittima, evitando che l’aggressione virtuale continui a diffondersi online, con conseguenze potenzialmente devastanti.
Accanto a queste disposizioni, la Legge 71/2017 ha assegnato un ruolo di primo piano alle istituzioni scolastiche. Le scuole, infatti, sono tenute a promuovere attività di formazione e sensibilizzazione riguardo all’uso consapevole della rete e ai diritti e doveri connessi all’utilizzo delle tecnologie informatiche. Ogni istituto scolastico deve nominare un referente per il cyberbullismo, responsabile del coordinamento delle attività di prevenzione e contrasto al fenomeno. Questa figura svolge un ruolo cruciale nella promozione di un ambiente scolastico sicuro, in cui studenti, docenti e famiglie collaborano attivamente per prevenire e affrontare episodi di cyberbullismo.
Un altro punto rilevante introdotto dalla Legge 71/2017 è la previsione del procedimento di ammonimento, uno strumento che consente di intervenire rapidamente in situazioni meno gravi, prima che le condotte possano degenerare in reati veri e propri. In base a questa procedura, quando un minore ultraquattordicenne compie atti di cyberbullismo senza che questi configurino reato, la vittima o i suoi genitori possono rivolgersi al Questore, che, dopo aver ascoltato il minore autore degli atti e i suoi genitori, può emettere un ammonimento verbale.
L’ammonimento, previsto originariamente per i reati di stalking, si configura come un avviso formale, con cui il Questore richiama il minore alla gravità delle sue azioni e lo avverte delle conseguenze legali che potrebbero derivare dalla reiterazione degli stessi comportamenti. Questo strumento ha una funzione principalmente educativa e preventiva, permettendo di evitare che episodi isolati si trasformino in condotte sistematiche e più gravi.
La Legge 71/2017, dunque, ha introdotto un complesso di misure destinate a prevenire e contrastare il fenomeno del cyberbullismo, puntando principalmente sull’educazione e la sensibilizzazione. Tuttavia, con il passare degli anni e l’evolversi delle modalità di bullismo, è emersa la necessità di un intervento normativo più ampio, che tenesse conto anche delle aggressioni perpetrate nella realtà fisica, ovvero il bullismo tradizionale.
È in questo contesto che si inserisce la Legge 70/2024, la quale rappresenta una significativa evoluzione della normativa in materia di bullismo e cyberbullismo. Questa nuova legge ha esteso le disposizioni della Legge 71/2017, applicandole espressamente anche al bullismo, e ha introdotto una serie di misure aggiuntive volte a rafforzare la protezione dei minori.
La Legge 70/2024 ha fornito una definizione precisa di bullismo, inteso come un insieme di aggressioni o molestie reiterate, sia fisiche che psicologiche, che possono essere perpetrate da una singola persona o da un gruppo di persone. Le condotte di bullismo sono idonee a provocare nella vittima sentimenti di ansia, timore, isolamento o emarginazione.
Esse includono una vasta gamma di comportamenti, che vanno dalle minacce ai ricatti, dalle violenze fisiche o psicologiche fino all’istigazione al suicidio o all’autolesionismo. La legge ha quindi riconosciuto che anche le forme di bullismo non legate al mondo digitale possono avere conseguenze devastanti per la vittima, equiparandole sotto il profilo giuridico al cyberbullismo.
Un altro importante intervento introdotto dalla Legge 70/2024 riguarda la possibilità per le Regioni di attivare, presso le scuole, servizi di supporto psicologico per gli studenti. Questo servizio mira a fornire assistenza agli alunni in situazioni di disagio, coinvolgendo anche le famiglie in un percorso di prevenzione e gestione dei conflitti. L’obiettivo è quello di garantire un intervento tempestivo e qualificato, capace di affrontare le problematiche legate al bullismo e al cyberbullismo in modo integrato e personalizzato.
Inoltre, la nuova legge prevede che ogni istituto scolastico adotti un codice interno per la prevenzione e il contrasto del bullismo e del cyberbullismo, oltre a istituire un tavolo permanente di monitoraggio. Questo tavolo, composto da rappresentanti degli studenti, delle famiglie, del corpo docente e da esperti del settore, ha il compito di monitorare costantemente la situazione all’interno della scuola, promuovendo iniziative di prevenzione e sensibilizzazione.
Un ulteriore elemento di novità della Legge 70/2024 è rappresentato dalle misure rieducative previste per i minori responsabili di condotte aggressive o lesive della dignità altrui. Il Tribunale per i minorenni può disporre lo svolgimento di progetti educativi e riparativi, sotto la direzione dei servizi sociali, che possono includere attività di volontariato sociale, laboratori teatrali o di scrittura creativa, corsi di musica o sport.
L’obiettivo di queste misure è quello di favorire lo sviluppo di forme di comunicazione non violente e promuovere una cultura del rispetto reciproco, consentendo al minore di comprendere la gravità delle proprie azioni e di inserirsi in dinamiche relazionali più sane e costruttive.
Cyberbullismo: l’importanza di una tutela legale effettiva
In conclusione, le Leggi 71/2017 e 70/2024 istituiscono un solido quadro normativo per la prevenzione e il contrasto di fenomeni come il bullismo e il cyberbullismo. La Legge 71/2017 ha posto le basi per la tutela contro il cyberbullismo, introducendo strumenti come l’ammonimento e la rimozione rapida di contenuti lesivi, mentre la Legge 70/2024 ha ampliato questa protezione, includendo anche il bullismo tradizionale e potenziando gli interventi educativi e rieducativi.
Tuttavia, nonostante le misure previste, il fenomeno rimane complesso e articolato. È per questo fondamentale il ruolo di un professionista legale esperto, che possa assistere le vittime e le loro famiglie nell’attivare tutti gli strumenti messi a disposizione dall’ordinamento giuridico per ottenere una tutela effettiva. Rivolgersi a uno studio legale specializzato in reati informatici consente non solo di gestire la parte legale del procedimento, ma anche di ricevere un supporto qualificato per orientarsi nelle dinamiche scolastiche, psicologiche e sociali legate a queste delicate problematiche.
Lo Studio Legale D’Agostino è a disposizione per fornire assistenza in materia di cyberbullismo e bullismo, garantendo un intervento tempestivo e personalizzato volto alla tutela dei diritti dei minori.
Per aggiornamenti sul tema dei reati informatici visita la nostra pagina dedicata e contattaci per un consulto.
