Responsabilità da reato degli enti: alcuni interventi normativi di modifica del D. Lgs. n. 231/2001

Nel corso del 2024 il legislatore è intervenuto in plurime occasioni in materia di responsabilità da reato degli enti, incidendo sia sul catalogo dei reati presupposto, sia sulle sanzioni applicabili alle diverse ipotesi di illecito dell’ente.

Una prima novità ha riguardato il reato di vendita di prodotti industriali con segni mendaci, di cui all’art. 517 c.p.

Nei primi giorni di gennaio 2024 è infatti entrata in vigore la l. 206/2023 (“Disposizioni organiche per la valorizzazione, la promozione e la tutela del Made in Italy”) che ha ampliato l’ambito applicativo della fattispecie richiamata, che oggi non punisce più solo chi pone in vendita o mette altrimenti in circolazione i beni contraffatti, ma anche chi li detiene per la vendita.

Viene quindi estesa l’area del penalmente rilevante anche alle condotte di mera detenzione di opere dell’ingegno o prodotti industriali con nomi, marchi o segni distintivi che abbiano capacità decettiva, ossia che siano atti a indurre in inganno il compratore sulla sua origine, provenienza o qualità. E’ da precisare che la condotta di detenzione di tali beni ha rilevanza penale a condizione che sia preordinata alla vendita.

Ebbene, tale modifica si è riversata anche sulla responsabilità dei soggetti collettivi, essendo il reato di cui all’art. 517 previsto dall’art. 25 bis1 d.lgs. 231/2001.

Di particolare rilievo, nelle novità legislative del 2024, è inoltre l’estensione della tutela in materia di cybersecurity con la l. 90/2024, intitolata “Disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici”, che ha previsto l’introduzione nell’art. 24 bis d.lgs. 231/2001 di nuove fattispecie e l’inasprimento del trattamento sanzionatorio per gli illeciti dell’ente derivanti dalla commissione di questa tipologia di reati presupposto.

In particolare, viene innanzitutto inserita l’ipotesi di estorsione di cui all’art. 629, comma 3, c.p., che punisce la c.d. estorsione informatica, ossia commessa mediante le condotte di cui agli artt. 615 ter, 617 quater, 617 sexies, 635 bis, 635 quater e 635 quinquies ovvero con la minaccia di compierle.

È stata poi introdotta nel comma 2 dell’art. 24 bis d.lgs. 231/2001 la fattispecie di detenzione, diffusione e installazione abusiva di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico, prevista dall’art. 635 quater1 c.p.

Sempre in materia di cybersicurezza, infine, merita menzione anche il d.lgs. 138/2024, che recepisce la c.d. Direttiva NIS 2. Quest’ultima, sostituendo la precedente Direttiva Network and Information Systems (NIS), mira al rafforzamento della sicurezza informatica a livello europeo, prevedendo una implementazione delle misure volte a prevenire, gestire e rispondere efficacemente ai cyber risk.

Con riguardo ai precipitati pratici delle modifiche normative, l’espansione dell’area del penalmente rilevante per gli enti – tanto per via diretta, con un intervento ampliativo sul catalogo 231, tanto per via indiretta, con una modifica del precetto penale della norma incriminatrice contenuta nel catalogo – comporta la necessità che i modelli 231 degli enti siano aggiornati a seguito di un attento assessment specifico e concreto dei nuovi rischi reato.

Ad esempio, nel caso dei reati informatici, i modelli dovranno essere adeguati per riflettere le modifiche apportate e prevedere nuovi presidi al passo con l’evoluzione della criminalità informatica. A questo proposito, sarà probabilmente opportuna anche una sensibilizzazione dei dipendenti, attraverso una formazione incentrata sulle varie tipologie di cyber risk e sulle relative cautele da intraprendere.