Cybersecurity e Responsabilità Amministrativa degli enti ex D.Lgs. 231/2001

Orrick, Herrington & Sutcliffe LLP
Contact

Orrick, Herrington & Sutcliffe LLP

[ co-author: Elena Carrara]

In data 20 novembre 2019 è stata pubblicata in G.U. la Legge 18 novembre 2019, n. 133 (la “Legge Cybersecurity”), con cui è stato convertito in legge, con modifiche, il Decreto Legge 21 settembre 2019, n. 105 (il “Decreto Cybersecurity”), recante “Disposizioni urgenti in materia di perimetro di sicurezza nazionale ciberneticae di disciplina dei poteri speciali nei settori di rilevanza strategica”.

Con il citato Decreto Cybersecurity, come convertito dalla Legge Cybersecurity, il legislatore ha previsto l’istituzione del c.d. perimetro di sicurezza nazionale cibernetica (PSNC), al fine di assicurare un elevato livello di sicurezza delle reti, dei sistemi informativi e dei servizi informatici di interesse collettivo.

In particolare, la disciplina in esame si applica “[alle]amministrazioni pubbliche, [agli] enti e [agli] operatori pubblici e privati aventi una sede nel territorio nazionale da cui dipende l’esercizio di unfunzione essenziale dello Stato, ovvero la prestazione di un servizio essenziale per il mantenimento di attività civili, sociali o economiche fondamentali per gli interessi dello Stato e dal cui malfunzionamento, interruzione - anche parziali - ovvero utilizzo improprio, possa derivare un pregiudizio per la sicurezza nazionale” 1.

Tuttavia, si segnala che la precisa individuazione dei soggetti tenuti al rispetto della nuova disciplina è stata rimessa all’emanazione di un Decreto del Presidente del Consiglio dei Ministri che dovrà intervenire entro quattro mesi dall’entrata in vigore della Legge Cybersecurity 2 (vigente dal 21 novembre 2019).

La nuova normativa prevede a carico dei destinatari, da un lato, una serie di obblighi e misure di sicurezza da rispettare e, dall’altro, la possibilità di essere sottoposti ad attività ispettiva e di vigilanza da parte della Presidenza del Consiglio dei Ministri (per gli enti pubblici e gli enti pubblici economici) ovvero da parte del Ministero dello Sviluppo Economico (per gli enti di natura privatistica). Alle predette autorità viene riconosciuto il potere di irrogare le sanzioni amministrative previste per la violazione dei suddetti obblighi.

La normativa in oggetto ha, inoltre, apportato modifiche in materia di responsabilità amministrativa degli enti con l’inserimento, all’interno del Decreto Legislativo 8 giugno 2001, n. 231 (il “Decreto 231”) e, in particolare, all’art. 24-bis (Delitti informatici e trattamento illecito di dati), di un nuovo reato presupposto, incentrato sulla violazione delle nuove norme e procedure contestualmente introdotte e per la cui commissione si prevede che l’ente venga punito con sanzioni pecuniarie fino a quattrocento quote 3.

In particolare, l’articolo 1, comma 11-bis, della Legge Cybersecurity prevede quanto segue:

All’articolo 24-bis, comma 3, del decreto legislativo 8 giugno 2001, n. 231, dopo le parole: “di altro ente pubblico” sono inserite le seguenti: “e dei delitti di cui all’articolo 1, comma 11, del decreto-legge 21 settembre 2019, n. 105”.

L’articolo 1, comma 11, del Decreto Cybersecurity, sopra richiamato e come convertito, recita:

Chiunque, allo scopo di ostacolare o condizionare l’espletamento dei procedimenti di cui al comma 2, lettera b) 4, o al comma 6, lettera a) 5, o delle attività ispettive e di vigilanza previste dal comma 6, lettera c) 6, fornisce informazioni, dati o elementi di fatto non rispondenti al vero, rilevanti per la predisposizione o l’aggiornamento degli elenchi di cui al comma 2, lettera b), o ai fini delle comunicazioni di cui al comma 6, lettera a), o per lo svolgimento delle attività ispettive e di vigilanza di cui al comma 6), lettera c) od omette di comunicare entro i termini prescritti i predetti dati, informazioni o elementi di fatto, è punito con la reclusione da uno a tre anni”.

La nuova fattispecie incriminatrice introdotta all’articolo 24-bis del Decreto 231 punisce, dunque, due condotte alternative, una di tipo commissivo ed una di tipo omissivo, entrambe sorrette da un dolo specifico consistente nel fine di ostacolare o condizionare i procedimenti ovvero le attività di ispezione e vigilanza contemplati dal Decreto Cybersecurity.

L’introduzione di tale fattispecie nel novero dei reati presupposto di cui al Decreto 231 renderà opportuno, se non addirittura necessario, effettuare un’analisi in relazione ai relativi rischi legati all’operatività societaria, individuando al contempo i presìdi necessari evalutando eventuali interventi richiesti per l’adeguato aggiornamento dei modelli di organizzazione e gestione ex Decreto 231.

Tuttavia, per valutare l’effettiva portata dell’estensione della responsabilità da reato degli enti e per l’effettiva implementazione del nuovo sistema è necessario attendere l’emanazione dei decreti attuativi della nuova disciplina, primo fra tutti il decreto di identificazione dei soggetti destinatari della stessa 7 e del regolamento su termini e modalità di notifica degli affidamenti di forniture destinate ad essere impiegati sulle reti, sui sistemi e per l’espletamento di servizi considerati sensibili 8.


[1] Art. 1, comma 1, del Decreto Cybersecurity.

[2] Art. 1, comma 2, lett. a), del Decreto Cybersecurity.

[3] Ai sensi dell’art. 10, comma 3, del Decreto 231, l’importo di una quota va da un minimo di euro 258 ad un massimo di euro 1.549.

[4] Si tratta dell’obbligo di predisporre e aggiornare, con cadenza almeno annuale, un elenco delle reti, dei sistemi informativi e dei servizi informatici di propria pertinenza dal cui malfunzionamento o interruzione - anche parziali - ovvero utilizzo improprio, possa derivare un pregiudizio per gli interessi dello Stato.

[5] Si prevede che i soggetti rientranti nel perimetro di sicurezza nazionale cibernetica, nel caso in cui intendano procedere all’affidamento di forniture di beni, sistemi e servizi ICT destinati ad essere impiegati sulle reti, sui sistemi informativi, nonché per l’espletamento di servizi informatici di interesse collettivo, debbano darne comunicazione al Centro di valutazione e certificazione nazionale (CVCN), istituito presso il Ministero dello Sviluppo Economico.

[6] Si tratta delle attività espletate dalla Presidenza del Consiglio dei Ministri ovvero dal Ministero dello Sviluppo Economico.

[7] Tale decreto dovrà essere emanato, come visto supra, dal Presidente del Consiglio dei Ministri entro quattro mesi dall’entrata in vigore della Legge Cybersecurity.

[8] Tale regolamento dovrà essere adottato, ai sensi dell’art. 1, comma 6, lett. a), del Decreto Cybersecurity, entro dieci mesi dall’entrata in vigore della Legge Cybersecurity.

DISCLAIMER: Because of the generality of this update, the information provided herein may not be applicable in all situations and should not be acted upon without specific legal advice based on particular situations.

© Orrick, Herrington & Sutcliffe LLP | Attorney Advertising

Written by:

Orrick, Herrington & Sutcliffe LLP
Contact
more
less

Orrick, Herrington & Sutcliffe LLP on:

Reporters on Deadline

"My best business intelligence, in one easy email…"

Your first step to building a free, personalized, morning email brief covering pertinent authors and topics on JD Supra:
*By using the service, you signify your acceptance of JD Supra's Privacy Policy.
Custom Email Digest
- hide
- hide