La Legge 90/2024 – Riforma della Cybersicurezza, implicazioni per i Modelli Organizzativi 231.

La Legge 90/2024 – Riforma della Cybersicurezza, implicazioni per i Modelli Organizzativi 231.

Indice:

1. Introduzione
2. Nuove fattispecie di reato e aggravanti: una risposta decisa al cybercrime
3. L’importanza della collaborazione e della prevenzione: l’attenuante premiale
4. Implicazioni per i Modelli Organizzativi 231: un adeguamento necessario
5. Relazioni con la Direttiva NIS 2 e il GDPR
6. Conclusioni: verso una maggiore consapevolezza e resilienza cibernetica
7. Tabella riassuntiva delle principali modifiche al Codice Penale

Introduzione

L’entrata in vigore della Legge 90/2024 segna un punto di svolta nella lotta alla criminalità informatica in Italia.
Le sue disposizioni mirano a rafforzare la cybersicurezza nazionale, introducendo nuove fattispecie di reato, inasprendo le pene per i reati esistenti e potenziando gli strumenti di prevenzione e contrasto.
Questo nuovo quadro normativo impone alle aziende un’attenta revisione e un adeguamento dei propri Modelli Organizzativi ex D. Lgs. 231/2001 (di seguito “Modelli 231”) per mitigare i rischi di responsabilità amministrativa derivanti da condotte illecite nel cyberspazio.

 Nuove fattispecie di reato e aggravanti: una risposta decisa al cybercrime

La legge abroga l’art. 615-quinquies c.p., che puniva genericamente la diffusione di strumenti informatici dannosi, e introduce una serie di nuove fattispecie di reato e aggravanti, focalizzandosi su condotte più specifiche e pericolose.
Tra queste, l’estorsione informatica (art. 629 c.p. modificato) emerge come una minaccia crescente, in particolare per le imprese.
Non si tratta più solo di attacchi ransomware che criptano i dati aziendali, ma anche di minacce di diffusione di informazioni sensibili, come dati personali o segreti industriali, per ottenere un vantaggio economico.
Le nuove aggravanti previste per i reati di intercettazione, accesso abusivo e manipolazione di dati, quando commessi nei confronti di infrastrutture critiche o sistemi di interesse pubblico, sottolineano la crescente preoccupazione del legislatore per la sicurezza di settori strategici come l’energia, i trasporti, la sanità e la finanza.
Un attacco informatico a una centrale nucleare, ad esempio, potrebbe avere conseguenze catastrofiche, ben oltre il semplice danno economico.

 L’importanza della collaborazione e della prevenzione: l’attenuante premiale

La legge introduce anche una circostanza attenuante (art. 623-quater c.p.) per chi collabora con le autorità, incentivando la denuncia e la segnalazione di reati informatici.
Questa disposizione riconosce l’importanza della collaborazione tra pubblico e privato nella lotta al cybercrime.
Un dipendente che scopre un tentativo di intrusione nella rete aziendale e lo segnala tempestivamente all’autorità giudiziaria, ad esempio, potrebbe beneficiare, se coinvolto, di questa attenuante.

 Implicazioni per i Modelli Organizzativi 231: un adeguamento necessario

Le aziende dovranno aggiornare i propri Modelli 231 per includere le nuove fattispecie di reato e le aggravanti introdotte dalla legge.
Ciò implica una revisione del catalogo dei reati, l’adeguamento delle procedure di controllo e la formazione del personale sui nuovi rischi e responsabilità.
Ad esempio, un’azienda che gestisce dati sensibili dovrà implementare misure di sicurezza più stringenti, come la crittografia dei dati e l’autenticazione a più fattori, per prevenire l’accesso abusivo.
Un’azienda che opera in un settore critico dovrà adottare protocolli di sicurezza specifici per proteggere le proprie infrastrutture da attacchi informatici, come la segmentazione della rete e l’utilizzo di firewall di nuova generazione.
Inoltre, la formazione del personale diventa un elemento cruciale per la prevenzione dei reati informatici. I dipendenti devono essere consapevoli dei rischi e delle conseguenze delle loro azioni online, sia a livello personale che aziendale.
Ad esempio, un dipendente che utilizza una password debole o che apre un allegato sospetto in un’email potrebbe involontariamente causare un grave danno all’azienda.

Relazioni con la Direttiva NIS 2 e il GDPR

La Legge 90/2024 si inserisce in un quadro normativo europeo più ampio, rappresentato dalla Direttiva NIS 2 e dal Regolamento Generale sulla Protezione dei Dati (GDPR).
La Direttiva NIS 2 mira a rafforzare la sicurezza delle reti e dei sistemi informativi di settori critici, mentre il GDPR si concentra sulla protezione dei dati personali.

La nuova legge italiana interagisce con le disposizioni di entrambe le normative, creando un quadro giuridico più completo e coerente per la cybersicurezza.

 Conclusioni: verso una maggiore consapevolezza e resilienza cibernetica

La Legge 90/2024 rappresenta una sfida importante per le aziende italiane, che dovranno adeguarsi rapidamente alle nuove disposizioni per evitare di incorrere in sanzioni.
Tuttavia, questa legge offre anche l’opportunità di rafforzare la cultura della sicurezza informatica all’interno dell’azienda, implementando misure di prevenzione e controllo più efficaci e sensibilizzando il personale sui rischi del cybercrime.
In definitiva, la Legge 90/2024 segna un passo avanti nella tutela della sicurezza informatica in Italia, ponendo le basi per un futuro in cui le aziende saranno sempre più preparate ad affrontare le sfide della digitalizzazione, proteggendo i propri dati e la propria reputazione.

 Tabella riassuntiva delle principali modifiche al Codice Penale: