La tutela della cybersicurezza nazionale: il nuovo reato di ”estorsione informatica”

La sicurezza informatica e la nuova fattispecie prevista dall’art. 629, comma 3 c.p.

1. Introduzione

Negli ultimi anni, il tema della cybersicurezza sta acquisendo sempre più rilevanza nel nostro Paese, complice, altresì, il miglioramento delle tecnologie e la loro espansione d’utilizzo.

Si tratta di una questione di primaria importanza, soprattutto guardando al profilo della sicurezza, anche economica, dell’Italia, tanto delle istituzioni organizzative quanto delle imprese private, dal momento che risultano in aumento gli attacchi informatici noti pubblicamente, per di più, rimanendo esclusi tutti quegli attacchi di minore rilevanza oppure quelli coperti da segreto che non raggiungono i mass media nazionali.

Con il D.L. 14 giugno 2021, n. 82, è stata, infatti, istituita l’Agenzia per la cybersicurezza, al fine di “tutelare la sicurezza dello sviluppo e della crescita dell’economia e dell’industria nazionale, ponendo la cybersicurezza a fondamento della trasformazione digitale”, promuovendo il dialogo tra tutti i soggetti interessati e favorendo percorsi formativi per lo sviluppo di soggetti esperti in materia da impiegare nel settore.

2. Rapporto Clusit: l’andamento del primo semestre 2024

Essenziale, in tal senso, è esaminare brevemente gli inquietanti dati statistici emersi dal Rapporto Clusit rispetto all’andamento del primo semestre dello scorso anno.

Come può leggersi da quanto diramato sul relativo sito web, nell’ultimo quinquennio la situazione degli incidenti cyber ha subito un netto peggioramento sul piano quantitativo, con una costanza nella loro tendenza.

Basti pensare come la media mensile di incidenti gravi sul piano globale sia sbalzata da 139 nel 2019 a 232 nel 2023, per passare a 272 nel solo primo semestre del 2024.

Nel 2023, l’aumento degli incidenti è stato dell’11% rispetto all’annualità precedente, con una registrazione del 65% per quelli occorsi verso l’Italia.

In particolar modo, concentrandoci sul nostro Paese, nel primo semestre del 2024, gli incidenti di particolare gravità sono stati 124, con una diminuzione rispetto allo stesso periodo degli anni 2022 (132 attacchi) – 2023 (178 attacchi), anche se gli eventi registrati nella seconda parte dell’anno hanno superato quelli registrati nei primi sei mesi, con una crescita del 35% tra il primo ed il secondo semestre.

Come si legge dal Rapporto in questione, “[n]ei primi 6 mesi del 2024, gli attacchi avvenuti con successo contro le realtà del nostro Paese costituiscono il 7,6% del totale degli eventi rilevati a livello globale (1637). L’incidenza degli incidenti in Italia rispetto al campione complessivo risulta in lieve miglioramento (era pari al 9,6% nel primo semestre 2023 e al 12,7% nel secondo), seppure il numero corposo di eventi continui a evidenziare una situazione di allarme” (p. 28).

Tra gli attacchi occorsi in Italia, la maggioranza degli incidenti ha ad oggetto la categoria cybercrime, rappresentando il 71% del totale, a fronte del 63% nel 2023, con una continuità di crescita sempre più importante avverso le organizzazioni locali e non.

Inoltre, più di un terzo del totale degli incidenti noti (34%), con il fine di “Hacktivism” sono avvenuti contro organizzazioni italiane.

Per quanto riguarda, invece, il profilo delle vittime, come possiamo rilevare dai grafici riportati dal Rapporto Clusit, gli incidenti informatici hanno colpito plurimi settori, in quasi tutte le aree merceologiche (ad esempio, al primo posto troviamo il settore del manufacturing con il 19% e al terzo posto l’ambito governativo e militare con l’11%).

Tali dati sono particolarmente allarmanti, dal momento che oggi giorno non sono più colpite solo le grandi organizzazioni governative che dispongono di maggiori risorse da impiegare per la loro tutela, ma altresì le imprese private che, al contrario, per carenza di disponibilità monetarie e professionali, si ritrovano a dover fronteggiare circostanze mai affrontate prima, con una situazione di estrema debolezza che gli attaccanti si trovano a poter sfruttare per raggiungere i propri obiettivi economici e non.

Proprio su tale punto, è emerso che l’80% delle piccole aziende, anche quelle con nemmeno 10 collaboratori, non dispongono di personale dedicato all’informatica, richiedendo il supporto di collaboratori esterni dietro specifica esigenza.

Nel 64% delle microimprese, molto spesso è presente una sola persona esterna (fornitore) a cui vengono affidati anche compiti di cybersecurity.

Nelle realtà più grandi e strutturate, anche in presenza di soggetti adibiti a tali mansioni, solo nel 17% dei casi esaminati, rinveniamo soggetti dotati di una specifica formazione certificata.

La formazione risulta, invero, un punto chiave, giacché “anche nelle aziende più grandi del campione solo poco più di metà offre ai collaboratori una formazione sia in ambito cybersecurity sia privacy, e solo circa 1/3 lo fa in modo regolare” (pp. 127-128). Basti, poi, pensare che, nell’ambito delle microimprese, per 9 strutture su 10, la formazione è completamente mancante.

3. Il rafforzamento della cybersicurezza nazionale

Negli ultimi tempi, come abbiamo già visto in premessa, uno dei principali obiettivi dell’agenda governativa è stato quello di puntare sul potenziamento della tutela della sicurezza informatica, con lo stanziamento di importanti fondi.

In tale contesto, è da inquadrare la recente Legge 28 giugno 2024, n. 90, recante “[d]isposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici”, pubblicata sulla Gazzetta Ufficiale il 02.07.2024 ed entrata in vigore il 17.07.2024.

Tale testo, aggiornando le norme contro gli illeciti informatici, si compone di due capi: il primo ove si rinvengono, dall’
art. 1 all’
art. 15, le “[d]isposizioni in materia di rafforzamento della cybersicurezza nazionale, di resilienza delle pubbliche amministrazioni e del settore finanziario, di personale e funzionamento dell’Agenzia per la cybersicurezza nazionale e degli organismi di informazione per la sicurezza nonché di contratti pubblici di beni e servizi informatici impiegati in un contesto connesso alla tutela degli interessi nazionali strategici” ed il secondo contenente, dall’
art. 16 all’
art. 24, le “[d]isposizioni per la prevenzione e il contrasto dei reati informatici nonché in materia di coordinamento degli interventi in caso di attacchi a sistemi informatici o telematici e di sicurezza delle banche di dati in uso presso gli uffici giudiziari”.

4. L’introduzione del reato di c.d. “estorsione informatica”

La novità legislativa di cui sopra è intervenuta, peraltro, sull’art. 629 c.p. avente ad oggetto il reato di estorsione.

Segnatamente, tale articolo è stato novellato dall’art. 16, primo comma, lett. m), della Legge n. 90/2024, modificando il secondo comma ed introducendo un nuovo comma dopo il secondo.

Il terzo comma dell’art. 629 c.p. punisce “[c]hiunque, mediante le condotte di cui agli articoli 615 ter, 617 quater, 617 sexies, 635 quater e 635 quinquies ovvero con la minaccia di compierle, costringe taluno a fare o ad omettere qualche cosa, procurando a sé o ad altri un ingiusto profitto con altrui danno, è punito con la reclusione da sei a dodici anni e con la multa da euro 5.000 a euro 10.000. La pena è della reclusione da otto a ventidue anni e della multa da euro 6.000 a euro 18.000, se concorre taluna delle circostanze indicate nel terzo comma dell’articolo 628 nonché nel caso in cui il fatto sia commesso nei confronti di persona incapace per età o per infermità”.

È stata, invero, prevista la punibilità dell’estorsione commessa tramite i reati di: accesso abusivo a sistema informatico o telematico (art. 615 ter c.p.); intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche (art. 617 quater c.p.); falsificazione, alterazione o soppressione del contenuto di comunicazioni informatiche o telematiche (art. 617 sexies c.p.); danneggiamento di sistemi informatici o telematici (art. 635 quater c.p.) e danneggiamento di sistemi informatici o telematici di pubblica utilità (art. 635 quinquies c.p.).

Come si evince dalla lettura del nuovo dato normativo, il legislatore ha inteso proteggere sia il bene della sicurezza informatica sia il patrimonio della persona offesa, tramite l’irrogazione di pene molto aspre e severe, forse eccessive rispetto al fatto illecito e a diversi reati a tutela della persona sanzionati in misura inferiore, a dispetto dei corollari principi costituzionali.

Se, da un lato, deve apprezzarsi l’introduzione legislativa, dall’altro, avrebbe reso la novella maggiormente rilevante la formulazione di una rubrica separata, trattandosi di una fattispecie autonoma di reato e non già l’introduzione di un ulteriore comma all’art. 629 c.p., complice anche una diversità strutturale rispetto all’ipotesi di estorsione “tradizionale”.

5. Conclusioni

Dalle considerazioni sopra esposte, è possibile trarre le seguenti conclusioni.

La digitalizzazione è un fenomeno che, anno dopo anno, sta abbracciando sempre più le nostre esistenze, sotto plurimi aspetti, senza nemmeno esserne pienamente consapevoli.

È chiaro come la sola informazione non possa essere sufficiente, rendendosi indispensabile un’evoluzione tecnologica che possa bloccare le minacce provenienti dallo spazio cibernetico, in un’ottica di adeguamento anche al contesto europeo.

Essenziale sarà, pertanto, un confronto (pro)attivo tra tutti i soggetti coinvolti, tra cui le organizzazioni governative, le aziende, le università ma anche i genitori e le nuove forze lavoro.

La formazione giocherà, invero, un ruolo essenziale, in termini di un investimento sicuramente oneroso nel presente ma che potrà rivelarsi particolarmente importante nel lungo periodo, con una forza lavoro nel settore ben formata, altamente qualificata e che possa rimanere in Italia, senza dover migrare all’estero in cerca di migliori prospettive professionali, soprattutto sul piano economico.

Se, come esposto precedentemente, è da apprezzarsi la nuova introduzione di reato, dall’altro risulta, al momento, un ennesimo tentativo che rischia di rimanere vincolato alla carta, se non accompagnato da una struttura circostante al passo con l’avanzare tecnologico (si pensi, ad esempio, alle difficoltà connesse all’emersione di elementi probatori circa l’identità dei soggetti agenti e in relazione all’elemento psicologico).

Alla luce di tali rilievi, sarà necessario posticipare la formulazione di un giudizio più dettagliato e preciso sull’effettiva utilità della disposizione, dovendosi attendere le risultanze processuali derivanti dall’applicazione e, soprattutto, dall’interpretazione del nuovo dato normativo, il quale richiederà lo sviluppo di maggiori competenze specialistiche anche in capo alla magistratura requirente e giudicante.

Fonte: https://www.altalex.com/documents/news/2025/03/07/tutela-cybersicurezza-nazionale-nuovo-reato-estorsione-informatica