Novità normative e giurisprudenziali

in tema di d.lg. 231/2001

Avv. Maurizio Arena
Osservatorio 231 Farmaceutiche, 11 ottobre 2024
Legge 9 agosto 2024 n. 114

• Abrogazione dell’abuso d’ufficio

• Il delitto (art 323 c.p.) poteva essere ascritto anche ad una società «privata» sulla
base del concorso nel reato del pubblico funzionario.
• In altri termini, l’esponente aziendale poteva – per favorire la sua azienda -
istigare o aiutare concretamente il pubblico funzionario ad appropriarsi di (o a
distrarre) utilità che non gli spettavano o ad abusare del suo ufficio, pur senza la
dazione o promessa di utilità che avrebbe portato ad integrare il più grave delitto
di corruzione.
II

• Come evidenziato, ormai qualche anno fa (2014), dalle Linee-Guida di

Confindustria:
La fattispecie sopra considerata potrebbe realizzarsi, in concreto, nel caso del
dipendente di un’impresa che, approfittando di rapporti personali con il
funzionario pubblico preposto al rilascio di determinati permessi e/o
autorizzazioni, prenda contatto con quest’ultimo per ottenere un provvedimento
favorevole nell’interesse dell’impresa, pur consapevole di non averne diritto.
In un caso del genere, il dipendente potrebbe supportare il funzionario pubblico
fornendogli pareri legali e documenti utili ai fini del perfezionamento del reato.
III

• Riformulazione del traffico di influenze illecite

• La legge 3/2019 ha inserito il traffico di influenze illecite tra i reati presupposto
della responsabilità dell’ente, nell’art 25 comma 1 del d.lg. 231/2001, insieme ai
delitti di corruzione per l’esercizio delle funzioni e di istigazione alla corruzione
per l’esercizio delle funzioni (sanzione pecuniaria per l’ente fino a 200 quote;
non applicabili le sanzioni interdittive).
• Il mediatore e il finanziatore possono appartenere al medesimo ente ma pure ad
enti distinti (ad esempio: il mediatore ad una società di pubbliche relazioni e il
finanziatore ad una società commerciale che si serve della prima).
IV

• Riassumo le modifiche apportate:

- Innanzitutto, le relazioni del mediatore con il pubblico ufficiale devono essere
effettivamente utilizzate (non solo vantate) e devono essere esistenti (non solo
asserite).
- In secondo luogo, l’utilizzazione delle relazioni deve avvenire “intenzionalmente
allo scopo” (sic) di porre in essere le condotte che integrano la fattispecie
delittuosa.
- Inoltre, l'utilità data o promessa al mediatore, in alternativa al denaro, deve ora
essere economica.
Pertanto, non sarà più punibile il mediatore che fa dare o promettere a sé o ad altri
un’utilità non economica, come ad esempio un rapporto sessuale, o vantaggi sociali
o di natura meramente politica.
V

• Infine, la c.d. mediazione onerosa viene limitata a quella commessa “per indurre
il pubblico ufficiale o l’incaricato di un pubblico servizio…a compiere un atto
contrario ai doveri d’ufficio costituente reato dal quale possa derivare un
vantaggio indebito”.
Il Legislatore, in definitiva, ha recepito la definizione di mediazione illecita
recentemente proposta dalla Cassazione nel tentativo di precisare i confini
applicativi della fattispecie.
Decreto-legge 92/2024

• Nuovo reato-presupposto ex art 314-bis c.p. (Indebita destinazione di denaro o

cose mobili), che punisce
il pubblico ufficiale o l'incaricato di un pubblico servizio, che, avendo per ragione
del suo ufficio o servizio il possesso o comunque la disponibilità di denaro o di
altra cosa mobile altrui, li destina ad un uso diverso da quello previsto da
specifiche disposizioni di legge o da atti aventi forza di legge dai quali non
residuano margini di discrezionalità e intenzionalmente procura a sè o ad altri un
ingiusto vantaggio patrimoniale o ad altri un danno ingiusto.
Legge 28 giugno 2024 n. 90

• La legge (“Disposizioni in materia di rafforzamento della

cybersicurezza nazionale e di reati informatici”), in vigore dal 17 luglio
2024, inserisce nel codice penale la nuova fattispecie di “estorsione
informatica”.
• Il Governo si è orientato in questa direzione “in ragione della specifica
gravità e della frequenza dei ricatti realizzati attraverso la minaccia o
l’attuazione di attacchi informatici”.
II

• Viene aggiunto un comma 3 all’art 629 c.p. (Estorsione):

• Chiunque, mediante le condotte di cui agli articoli 615-ter, 617-
quater, 617-sexies, 635-bis, 635-quater e 635- quinquies ovvero con la
minaccia di compierle, costringe taluno a fare o ad omettere qualche
cosa, procurando a sé o ad altri un ingiusto profitto con altrui danno,
è punito con la reclusione da sei a dodici anni e con la multa da euro
5.000 a euro 10.000.
III

• In altri termini, viene punita l’estorsione commessa attraverso i reati (anche se

minacciati) di:
- accesso abusivo a sistema informatico o telematico;
- intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o
telematiche;
- falsificazione, alterazione o soppressione del contenuto di comunicazioni
informatiche o telematiche;
- danneggiamento di informazioni, dati e programmi informatici;
- danneggiamento di sistemi informatici o telematici;
- danneggiamento di sistemi informatici o telematici di pubblica utilità.
IV

• L’estorsione informatica viene pure richiamata dall’art 24-bis d.lg.

231/2001, potendo comportare, a carico dell’ente a vantaggio del
quale viene commessa, l’applicazione della sanzione pecuniaria da
trecento a ottocento quote e delle sanzioni interdittive previste
dall’articolo 9, comma 2, per una durata non inferiore a due anni.
V

• Certamente quando si parla di estorsione informatica si pensa

all’azienda vittima della stessa.
• Tuttavia, si può pensare ad ipotesi nelle quali sussista una finalità di
vantaggio concorrente dell’ente: ad esempio, quando la condotta ha di
mira un competitor nei cui sistemi informatici un esponente aziendale
riesce a penetrare.
• Il risk assessment del nuovo reato sarà quindi legato, a doppio filo, alla
mappatura svolta con riguardo ai reati informatici che possono
integrarne la condotta materiale: insomma, uno sviluppo possibile di
una fattispecie di computer crime.
Decreto legislativo 26 settembre 2024 n. 141

• “Disposizioni nazionali complementari al codice doganale dell'Unione e revisione del sistema

sanzionatorio in materia di accise e altre imposte indirette sulla produzione e sui consumi”.

• Il decreto, tra l’altro, inserisce nell’art 25-sexiesdecies del d.lg. 231 i reati previsti dal c.d. TU
sulle accise (d.lg. 26 ottobre 1995, n. 504), il quale viene contestualmente modificato.

• L’accisa è l'imposizione indiretta sulla produzione o sul consumo dei prodotti energetici, dell'alcole
etilico e delle bevande alcoliche, dell'energia elettrica e dei tabacchi lavorati (diversa dalle altre
imposizioni indirette previste dal Titolo III del testo unico).
Recepimento Direttiva NIS 2

• Il d.lg. 4 settembre 2024, n. 138 dispone il recepimento della Direttiva (UE)

2022/2555, relativa a misure per un livello comune elevato di cibersicurezza
nell'Unione (c.d. Direttiva NIS 2).
II

• Interessante l’art 24, secondo cui i “soggetti essenziali” e i “soggetti

importanti” (definiti negli allegati al decreto) devono adottare misure
tecniche, operative e organizzative adeguate e proporzionate alla gestione
dei rischi posti alla sicurezza dei sistemi informativi e di rete che tali
soggetti utilizzano nelle loro attività o nella fornitura dei loro servizi, nonché
per prevenire o ridurre al minimo l'impatto degli incidenti per i destinatari
dei loro servizi e per altri servizi.
III

• Devono essere implementati i seguenti elementi:

a) politiche di analisi dei rischi e di sicurezza dei sistemi informativi e di rete;

b) gestione degli incidenti, ivi incluse le procedure e gli strumenti per eseguire le
notifiche previste dallo stesso decreto;

c) continuità operativa, ivi inclusa la gestione di backup, il ripristino in caso di disastro e

la gestione delle crisi;

d) sicurezza dell'acquisizione, dello sviluppo e della manutenzione dei sistemi

informativi e di rete, ivi comprese la gestione e la divulgazione delle vulnerabilità;
IV

e) politiche e procedure per valutare l'efficacia delle misure di gestione dei rischi per la
sicurezza informatica;

f) pratiche di igiene di base e di formazione in materia di sicurezza informatica;

g) politiche e procedure relative all'uso della crittografia e, ove opportuno, della cifratura;

h) sicurezza e affidabilità del personale, politiche di controllo dell'accesso e gestione dei beni
e degli assetti;

i) uso di soluzioni di autenticazione a più fattori o di autenticazione continua, di

comunicazioni vocali, video e testuali protette, e di sistemi di comunicazione di emergenza
protetti da parte del soggetto al proprio interno, ove opportuno.
V

• Mi pare decisamente importante – e gravosa - l’ulteriore prescrizione secondo cui le misure

devono garantire la sicurezza della catena di approvvigionamento, ivi compresi gli aspetti
relativi alla sicurezza riguardanti i rapporti tra ciascun soggetto e i suoi diretti fornitori.

• I soggetti interessati devono considerare le vulnerabilità specifiche di ogni diretto

fornitore e della qualità complessiva dei prodotti e delle pratiche di sicurezza informatica
dei propri fornitori, comprese le loro procedure di sviluppo sicuro.

• Il decreto prevede pesanti sanzioni pecuniarie – anche commisurate al fatturato - per la

violazione dell’art 24 (art 38 comma 9).
VI

• In definitiva, l’universo della prevenzione di illeciti informatici in danno e di

quelli a vantaggio delle persone giuridiche sta sempre più orientandosi verso
una strutturazione integrata: Modello 231 + Sistema di
organizzazione/gestione/controllo a fini privacy (normativa fatta salva dal
decreto all’art 3 comma 1) + misure di prevenzione richieste dal sistema della
NIS 2.
Cass. n. 31665/2024 («Bonatti»)

• La sentenza – ma anche quelle di merito – contiene importanti

affermazioni in tema di interesse/vantaggio, colpa di
organizzazione e rapporto tra SGSL e Modello 231

• Rinvio ad un mio articolo sul tema