11.09.2013 Icon

I nuovi delitti informatici e di trattamento illecito di dati del D.lgs. n.231/2001

I nuovi reati inseriti nell’art. 24­bis del D.lgs.231/2001

Il catalogo dei reati­ presupposto della responsabilità amministrativa degli enti di cui al D.lgs. 231/2001 (“Decreto 231”) è stato ulteriormente ampliato, nello scorso mese di agosto, dal Decreto­ Legge n. 93 del 14 agosto 2013 (“Disposizioni urgenti in materia di sicurezza e per il contrasto della violenza di genere, nonché in tema di protezione civile e di commissariamento delle province”) entrato in vigore il 17 agosto 2013 (G.U. n. 191 del 16/08/2013). Il comma 2 dell’art. 9 del suddetto Decreto­ Legge ha infatti modificato l’art. 24­bis del Decreto 231 (già rubricato “Delitti informatici e trattamento illecito di dati”, ma che in realtà non prevedeva, fino alla novella in argomento, alcun reato in materia di privacy) introducendovi i seguenti reati:

  • ­frode informatica con l’aggravante della sostituzione dell’identità digitale (nuova fattispecie criminosa, procedibile d’ufficio, inserita nell’art. 640­ter del codice penale dal comma 1 del medesimo art. 9); ­
  • indebito utilizzo, falsificazione, alterazione e ricettazione di carte di credito o di pagamento, di cui all’art. 55, comma 9 del D.lgs. n. 231/2007 (“Decreto Antiriciclaggio”); ­
  • delitti in materia di violazione della privacy previsti nella Parte III,Titolo III, Capo II del D. Lgs. n. 196/2003 (“Codice Privacy”) e cioè le fattispecie di trattamento illecito di dati (art. 167), di falsità nelle dichiarazioni e notificazioni al Garante (art. 168) e di inosservanza di provvedimenti del Garante (art. 170). Restano in pratica esclusi dal Decreto 231 i soli illeciti penali costituenti contravvenzioni(artt.169 e 171 del Codice Privacy, rispettivamente, omessa adozione delle misure minime di sicurezza e violazione delle disposizioni di cui agli articoli 113,comma 1, e 114).

Le sanzioni

Le sanzioni applicabili all’ente in relazione alla commissione dei delitti di cui sopra sono le seguenti:

sanzioni pecuniarie : da cento a cinquecento quote,dunque da un minimo di 25.800 Euro a un massimo di 774.500 Euro (art. 24­bis,comma 1, Decreto 231);

sanzioni interdittive: interdizione dall’esercizio dell’attività;

sospensione o revoca delle autorizzazioni, licenze o concessioni funzionali alla commissione dell’illecito; divieto di pubblicizzare beni o servizi ( art. 24­bis, comma 4, Decreto 231, che rinvia all’art.9, comma 2, lettere a), b) ed e) del medesimo).

Impatto per gli enti

Tra i nuovi reati­presupposto inseriti nell’art. 24­bis del Decreto 231 quelli che certamente comportano il più rilevante impatto per la grande maggioranza degli enti collettivi sono quelli in materia di privacy.

Come anche rilevato a tal riguardo dalla Corte di Cassazione nella Relazione n. III/01/2013 del 22.8.2013 di interpretazione e commento al Decreto­Legge 14 agosto 2013, n. 93, la responsabilità da reato degli enti per l’illecito trattamento di dati è “… violazione potenzialmente in grado di interessare l’intera platea delle società commerciali e delle associazioni private soggette alle disposizioni del d.lgs. n. 231/2001.”

Occorre dunque che gli enti che hanno adottato (o intendono adottare) il Modello di organizzazione e di gestione ex art. 6 del Decreto 231 (“MOG”) al fine di evitare di incorrere nella responsabilità amministrativa connessa alla commissione degli ormai numerosissimi reati previsti nel Decreto 231, rivedano i presidi e i protocolli adottati a salvaguardia delle aree di attività aziendale ove potrebbero in teoria essere commessi i nuovi reati introdotti dal Decreto­Legge n.93/2013 (che dovrà essere convertito in legge entro il 15 ottobre 2013).

Tale aggiornamento (o implementazione) del MOG è da indirizzare in particolare nei confronti degli strumenti, dei protocolli e delle attività di formazione, di monitoraggio e di vigilanza che presidiano i rischi di commissione dei reati in materia di trattamento dei dati personali e di rapporti con il Garante della privacy.

(Diana Strazzulli – d.strazzulli@lascalaw.com)