Nonostante la necessità di un'efficace risposta alle minacce informatiche, riteniamo imprescindibile garantire che tale risposta non avvenga a scapito dei diritti fondamentali dei cittadini e dell'equità del processo. Il documento della Giunta e dell’Osservatorio “Scienza, processo e intelligenza artificiale” sulla Legge n. 90/2024.
Nella Gazzetta Ufficiale del 2 luglio scorso è stata pubblicata la Legge 28 giugno 2024, n. 90, contenente “Disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici”. Questo passaggio rappresenta l’ultimo tassello del percorso di approvazione del Disegno di Legge C. 1717, presentato il 16 febbraio scorso.
A tale percorso, la Giunta dell’Unione e l’Osservatorio “Scienza, processo e intelligenza artificiale” hanno dato il loro contributo con alcuni interventi, formulati nel corso dell’audizione tenutasi il 22 marzo scorso avanti alle Commissioni Affari Costituzionali e Giustizia della Camera dei deputati. In tale sede è stata sottolineata tanto la condivisibile esigenza di far fronte al numero crescente di attacchi informatici e telematici a danno degli apparati statali, quanto la necessità che la risposta del legislatore non seguisse la tendenza panpenalistica degli ultimi anni, già ampiamente criticata da eminenti studiosi e operatori del diritto, tra i quali anche l’attuale Ministro della Giustizia.
Una prima analisi del testo approvato all’esito del percorso parlamentare restituisce un quadro caratterizzato da alcune luci e da forti ombre; queste ultime minacciano il delicato equilibrio tra sicurezza nazionale e tutela dei diritti dei cittadini.
Il testo pubblicato in Gazzetta Ufficiale, difatti, appare certamente più articolato e organico rispetto al disegno di legge: in particolare, traspare una maggiore attenzione rispetto agli obblighi di segnalazione e notifica gravanti su alcuni soggetti qualificati della Pubblica Amministrazione (artt. 1-4), viene previsto un rafforzamento delle misure di sicurezza dei dati attraverso la crittografia (artt. 9 e 10) e, cosa ancora più importante, è stato espunto il divieto di prevalenza e/o equivalenza, ex art. 69 c.p., delle circostanze attenuanti rispetto alle varie aggravanti di nuovo conio.
Quest’ultima modifica, in particolare, raccoglie l’eccezione relativa a una delle maggiori criticità sollevate dall’Unione in occasione della predetta audizione parlamentare e ribadite nel comunicato della Giunta e dell’Osservatorio “Scienza, processo e intelligenza artificiale” pubblicato il 2 aprile 2024 e recepisce quanto oramai graniticamente affermato dalla Corte Costituzionale nelle numerose sentenze che di tale divieto hanno dichiarato l’illegittimità costituzionale, correggendo così i numerosi interventi repressivi che, nel tempo, hanno interessato la parte generale del codice penale (si vedano in questo senso le sentenze nn. 201 del 2023, 188 del 2023, 141 del 2023, 94 del 2023, 55 del 2021 e 143 del 2021).
Cionondimeno, questo risultato non mitiga sufficientemente gli afflati repressivi manifestati sin dalla prima formulazione del provvedimento e che erano già stati oggetto delle nostre critiche. Al contrario, le preoccupazioni manifestate alcuni mesi fa trovano oggi conferma nella permanenza di alcuni dei punti più duramente stigmatizzati. In particolare:
- gli articoli 16, 17 e 19 vedono l’introduzione di nuove ipotesi di reato e nuove circostanze aggravanti che paiono davvero inadeguate a fornire una risposta efficace alle esigenze di sicurezza oggetto della nuova Legge. Identica valutazione può essere svolta per le nuove cornici edittali previste per i reati già esistenti, fortemente inasprite, per le nuove ipotesi di confisca obbligatoria (art. 16, c. 1, lett. a) e per l’inasprimento delle sanzioni pecuniarie e l’allargamento delle sanzioni interdittive ex d.lgs. 231/2001 (art. 20);
- permane l’implementazione del catalogo dei reati informatici suscettibili di intercettazione telematica (art. 19);
- in caso di accertamenti tecnici non ripetibili per i delitti di cui all’art. 371-bis, comma 4-bis c.p.p. (come novellato proprio dal provvedimento de quo), viene introdotta la facoltà per l’Agenzia per la Cybersicurezza nazionale, di assistere al conferimento dell’incarico e partecipare agli accertamenti, anche quando si procede nelle forme dell’incidente probatorio (art. 22 co. 4-bis.4).
Come già sottolineato in sede di audizione parlamentare, la partecipazione dell’ACN in tali contesti appare particolarmente allarmante: questa, difatti, data la fisiologica collaborazione con i servizi di intelligence, rappresenta una seria minaccia all'indipendenza delle indagini e alla trasparenza delle procedure giudiziarie. Come avemmo già modo di affermare nel comunicato datato 2 aprile 2024, nonostante la necessità di un'efficace risposta alle minacce informatiche, riteniamo imprescindibile garantire che tale risposta non avvenga a scapito dei diritti fondamentali dei cittadini e dell'equità del processo.
Roma, 17 luglio 2024
La Giunta
L’Osservatorio “Scienza, processo e intelligenza artificiale”