Il DL n. 105/2019 prevede il reato presupposto per la responsabilità degli enti relativa a violazioni del «perimetro di sicurezza nazionale cibernetica»
Oltre al prossimo inserimento delle frodi IVA nell’ambito della responsabilità degli enti ex DLgs. 231/2001 – che deriva dal recepimento della direttiva “PIF” con L. 117/2019 – va dato atto di un ulteriore “reato presupposto” introdotto, in via indiretta, con il DL 105 del 21 settembre 2019, che ha istituito il c.d. “perimetro di sicurezza nazionale cibernetica”, volto ad “assicurare un livello elevato di sicurezza delle reti, dei sistemi informativi e dei servizi informatici delle amministrazioni pubbliche, degli enti e degli operatori nazionali, pubblici e privati, da cui dipende l’esercizio di una funzione essenziale dello Stato, ovvero la prestazione di un servizio essenziale per il mantenimento di attività civili, sociali o economiche fondamentali per gli interessi dello Stato e dal cui malfunzionamento, interruzione, anche parziali, ovvero utilizzo improprio, possa derivare un pregiudizio per la sicurezza nazionale” (art. 1 comma 1 del decreto citato).
La ragione di tale previsione è dovuta, secondo il legislatore, alla straordinaria necessità e urgenza, nell’attuale quadro normativo e a fronte della realizzazione in corso di importanti e strategiche infrastrutture tecnologiche, anche in relazione a recenti attacchi alle reti di Paesi europei, di disporre, per le finalità di sicurezza nazionale, di un sistema di organi, procedure e misure, che consenta una efficace valutazione sotto il profilo tecnico della sicurezza degli apparati e dei prodotti, in linea con le più elevate e aggiornate misure di sicurezza adottate a livello internazionale; nonché di disporre anche dei più idonei strumenti d’immediato intervento che consentano di affrontare, con la massima efficacia e tempestività, eventuali situazioni di emergenza in ambito cibernetico.
Il tutto in raccordo con la normativa in materia di valutazione della presenza di fattori di vulnerabilità che potrebbero compromettere l’integrità e la sicurezza delle reti inerenti ai servizi di comunicazione elettronica a banda larga basati sulla tecnologia 5G e dei dati che vi transitano.
Il decreto – di cui non è ancora intervenuta la conversione in legge – prevede (art. 1 comma 11) quale illecito penale il fornire informazioni, dati o elementi di fatto non rispondenti al vero, rilevanti per la predisposizione o l’aggiornamento degli elenchi delle reti, dei sistemi informativi e dei servizi informatici impiegati (art. 1 comma 2 lett. b), o ai fini delle comunicazioni preventive al Centro di valutazione e certificazione nazionale o CVCN (art. 1 comma 6 lett. a), o per lo svolgimento di specifiche attività ispettive e di vigilanza (comma 6 lett. c) ovvero omettere di comunicare entro i termini prescritti i predetti dati, informazioni o elementi di fatto.
Il tutto allo scopo di ostacolare o condizionare – secondo lo schema penalistico del dolo specifico – l’espletamento dei procedimenti, descritti nello stesso art. 1 citato, per i quali è imposto l’obbligo di verità.
Va, comunque, precisato che sia gli enti pubblici e privati da inserire nel “perimetro di sicurezza nazionale cibernetica” che le dette procedure di sicurezza sono demandate alla normativa regolamentare di attuazione da emanarsi successivamente alla data di entrata in vigore della legge di conversione del decreto.
Pertanto, si tratta di fattispecie penale “in bianco” che rinvia alla emananda normativa extrapenale, sia per l’individuazione del soggetto attivo del “reato proprio” (pur avendo il legislatore utilizzato il pronome “chiunque”) riguardante solo chi operi all’interno del “perimetro di sicurezza nazionale cibernetica”, sia per le precise modalità delle procedure e, quindi, della condotta illecita.
La pena prevista per il soggetto agente persona fisica è la reclusione da uno a cinque anni, a cui si aggiunge per l’ente, responsabile secondo i criteri del “sistema 231”, la sanzione pecuniaria fino a quattrocento quote.
A tale proposito, va evidenziato che non viene direttamente arricchito il catalogo del DLgs. 231/2001, ma la responsabilità deriva dal richiamo esistente nel DL 105/2019. Scelta che, da un lato, inficia l’organicità della disciplina sulla responsabilità degli enti che pare necessario non disperdere in diversi provvedimenti normativi; dall’altro, testimonia, una volta di più, come tale responsabilità sia in continua espansione.