ROBERTO BRONZINI – LORENZO VITALI - Aodv231.it

IL D.L. 93/2013: L’IMPATTO IN AMBITO DI RESPONSABILITA’AMMINISTRATIVA DELLE PERSONE GIURIDICHE(Avv. Andrea Milani)Il nostro prolifico legislatore, sempre particolarmente attivo in materia didlgs. 231/01 nel mese di agosto, ha ritenuto di non smentirsi nemmenonell’anno 2013, emanando il Decreto Legge n° 93 del 14 agosto 2013(pubblicato in G.U. n° 191 il 16.8.2013 ed entrato in vigore il17.8.2013).Tale novella, all’art. 9 comma II, statuisce che“All'articolo 24-bis, comma 1, del decreto legislativo 8 giugno2001, n. 231, le parole "e 635-quinquies" sono sostituite dalleseguenti: ", 635-quinquies e 640-ter, terzo comma," e dopo leparole: "codice penale" sono aggiunte le seguenti: "nonche' deidelitti di cui agli articoli 55, comma 9, del decreto legislativo 21novembre 2007, n. 231, e di cui alla Parte III, Titolo III, Capo IIdel decreto legislativo 30 giugno 2003, n. 196."riformulando l’art. 24-bis DLGS. 231/01 nel modo che segue:Art. 24-bis, D.Lgs. 231/2001- Delitti informatici e trattamento illecito di dati -1. In relazione alla commissione dei delitti di cui agli articoli 615-ter, 617-quater, 617-quinquies, 635-bis, 635-ter, 635-quater, 635-quinquies e 640-ter, terzo comma del codice penale nonché dei delitti di cui agli articoli 55,comma 9, del decreto legislativo 21 novembre 2007, n. 231, e di cui allaParte III, Titolo III, Capo II del decreto legislativo 30 giugno 2003, n. 196,si applica all'ente la sanzione pecuniaria da cento a cinquecento quote.2. In relazione alla commissione dei delitti di cui agli articoli 615-quater e615-quinquies del codice penale, si applica all'ente la sanzione pecuniariasino a trecento quote.

3. In relazione alla commissione dei delitti di cui agli articoli 491-bis e640-quinquies del codice penale, salvo quanto previsto dall'articolo 24 delpresente decreto per i casi di frode informatica in danno dello Stato o dialtro ente pubblico, si applica all'ente la sanzione pecuniaria sino aquattrocento quote.4. Nei casi di condanna per uno dei delitti indicati nel comma 1 siapplicano le sanzioni interdittive previste dall'articolo 9, comma 2, letterea), b) ed e). Nei casi di condanna per uno dei delitti indicati nel comma 2si applicano le sanzioni interdittive previste dall'articolo 9, comma 2,lettere b) ed e). Nei casi di condanna per uno dei delitti indicatinel comma 3 si applicano le sanzioni interdittive previste dall'articolo 9,comma 2, lettere c), d) ed e).***Ovvie le conseguenze in materia di dlgs. 231/01: la norma menzionataintroduce infatti tra i reati cosiddetti sensibili ex dlgs. 231/01 leseguenti nuove fattispecie: Art. 640-ter, terzo comma, c.p. (Frode informatica) (1) (2) .1. Chiunque, alterando in qualsiasi modo il funzionamento di unsistema informatico o telematico o intervenendo senza diritto conqualsiasi modalità su dati, informazioni o programmi contenuti inun sistema informatico o telematico o ad esso pertinenti, procura asé o ad altri un ingiusto profitto con altrui danno, è punito con lareclusione da sei mesi a tre anni e con la multa da euro 51 a euro1.032.2. La pena è della reclusione da uno a cinque anni e della multa daeuro 309 a euro 1.549 se ricorre una delle circostanze previste dalnumero 1) del secondo comma dell'articolo 640, ovvero se il fatto ècommesso con abuso della qualità di operatore del sistema.3. La pena è della reclusione da due a sei anni e della multa daeuro 600 a euro 3.000 se il fatto è commesso con sostituzionedell'identità digitale in danno di uno o più soggetti (3) .4. Il delitto è punibile a querela della persona offesa, salvo chericorra taluna delle circostanze di cui al secondo e terzo comma oun'altra circostanza aggravante (4) .-----------------------(1) Articolo aggiunto dall'art. 10, L. 23 dicembre 1993, n. 547, chemodifica ed integra le norme del codice penale o del codice diprocedura penale in tema di criminalità informatica.(2) Per l'aumento della pena per i delitti non colposi di cui alpresente titolo commessi in danno di persona portatrice diminorazione fisica, psichica o sensoriale, vedi l’art. 36, comma 1, L.2

5 febbraio 1992, n. 104, come sostituito dal comma 1 dell’art. 3, L.15 luglio 2009, n. 94.(3) Comma inserito dalla lett. a) del comma 1 dell’art. 9, D.L. 14agosto 2013, n. 93.(4) Comma così modificato dalla lett. b) del comma 1 dell’art. 9, D.L.14 agosto 2013, n. 93. Art. 55, comma 9 (Sanzioni penali) D.lgs. 21 novembre 2007, n. 231Chiunque, al fine di trarne profitto per sé o per altri, indebitamenteutilizza, non essendone titolare, carte di credito o di pagamento,ovvero qualsiasi altro documento analogo che abiliti al prelievo didenaro contante o all'acquisto di beni o alla prestazione di servizi, èpunito con la reclusione da uno a cinque anni e con la multa da 310a 1.550 euro. Alla stessa pena soggiace chi, al fine di trarneprofitto per sé o per altri, falsifica o altera carte di credito o dipagamento o qualsiasi altro documento analogo che abiliti alprelievo di denaro contante o all'acquisto di beni o alla prestazionedi servizi, ovvero possiede, cede o acquisisce tali carte o documentidi provenienza illecita o comunque falsificati o alterati, nonchéordini di pagamento prodotti con essi. Art. 167 (Trattamento illecito di dati) D.lgs. 30 giugno 2003, n. 1961. Salvo che il fatto costituisca più grave reato, chiunque, al fine ditrarne per sé o per altri profitto o di recare ad altri un danno,procede al trattamento di dati personali in violazione di quantodisposto dagli articoli 18, 19, 23, 123, 126 e 130, ovvero inapplicazione dell'articolo 129, è punito, se dal fatto derivanocumento, con la reclusione da sei a diciotto mesi o, se il fattoconsiste nella comunicazione o diffusione, con la reclusione da sei aventiquattro mesi.2. Salvo che il fatto costituisca più grave reato, chiunque, al fine ditrarne per sé o per altri profitto o di recare ad altri un danno,procede al trattamento di dati personali in violazione di quantodisposto dagli articoli 17, 20, 21, 22, commi 8 e 11, 25, 26, 27 e 45,è punito, se dal fatto deriva nocumento, con la reclusione da uno atre anni.Art. 168 (Falsità nelle dichiarazioni e notificazioni al Garante)D.lgs. 30 giugno 2003, n. 1961. Chiunque, nelle comunicazioni di cui all'articolo 32-bis, commi 1e 8, nella notificazione di cui all'articolo 37 o in comunicazioni, atti,documenti o dichiarazioni resi o esibiti in un procedimento dinanzial Garante o nel corso di accertamenti, dichiara o attesta3

particolare rilevanza in sede applicativa, il terzo [concernente i delitti inmateria di violazione della privacy previsti dal d. lgs. n. 196/2003 e cioèle fattispecie di trattamento illecito dei dati (art. 167), di falsità nelledichiarazioni notificazioni al Garante (art. 168) e di inosservanza deiprovvedimenti del Garante (art. 170)] risulta invece di grande impatto,soprattutto per la configurazione della responsabilità da reato degli entiper l’illecito trattamento dei dati, violazione potenzialmente in grado diinteressare l’intera platea delle società commerciali e delle associazioniprivate soggette alle disposizioni del d.lgs. n. 231/2001”.La nota è certamente tanto condivisibile quanto poco utile nelcomprendere la ratio dell’intervento legislativo.Certo è che l’operatore in ambito 231 non può e non deve rimanereindifferente.Non deve infatti passare inosservato come l’ampliamento del catalogodei reati sensibili sia già norma vigente: la giurisprudenza ha già avutoagio di esprimersi sul tema della esigibilità dell’immediato adeguamentodel modello di organizzazione ex dlgs. 231/01 alle novelle legislative diampliamento dei reati presupposto, in occasione della sentenzapronunciata dal GUP presso il Tribunale di Novara in data 1.10.2010,riferita al noto caso dell’investimento ferroviario; in tale occasione,venne sentenziato come “il breve arco temporale pari a circa due mesi,intercorso tra l’entrata in vigore della normativa contestata e lacommissione del fatto reato, non comporta in sé l’inesigibilità dellacondotta. […] La mancanza di una disciplina transitoria, ovvero di untermine a cui ancorare la decorrenza degli effetti della nuova disciplinasanzionatoria, comporta che era obbligo immediato per le società,adottare ed attuare i modelli di organizzazione e gestione idonei aprevenire incidenti sul lavoro del tipo di quello poi verificatosi”.Pertanto, occorrerà anzitutto provvedere all’inserimento delle nuoveipotesi di reato all’interno del catalogo del MOG, alla valutazione deirischi specifici di commissione delle stesse, all’individuazione dellerelative aree di rischio e all’introduzione di procedure di prevenzione econtrollo idonee ad impedire la commissione di detti reati.Va da sé che le fattispecie neo introdotte si collocano in area attigua aquella delle fattispecie già previste all’art. 24 bis dlgs. 231/01 in ambitodi criminalità informatica: pertanto – quantomeno in prima battuta –una implementazione delle procedure di gestione dei sistemi informaticipotrebbe soddisfare la finalità preventiva richiesta dalla novella6

legislativa in esame; ma ciò certamente non basta con particolareriferimento alle fattispecie riferibili al trattamento dei dati.Sul punto, fondamentale diviene:1) il ripristino di quelli che erano gli strumenti di primo livelloprevisti (e poi deflazionati dal c.d. decreto semplificazioni) per ilcorretto trattamento dei dati (e quindi sostanzialmente il DPS exdlgs. 196/2003 e accessori);2) l’introduzione da parte del MOG231 di attività di monitoraggio disecondo livello sugli strumenti di cui al punto che precede;3) l’idonea formazione del personale sui reati neo introdotti;4) la previsione di flussi informativi obbligatori verso l’OdV nellematerie specifiche oggetto della riforma;5) l’estensione dell’attività di controllo da parte dell’OdV.***Nell’attesa poi di comprendere se la novella avrà un impattogiurisprudenziale effettivo o se – come per molte altre fattispecie previstenel catalogo 231 – languirà quale ennesimo emblema della velleitàlegislativa.Torino, lì 27.08.20137