← Torna a Responsabilità Amministrativa Enti (D.Lgs. 231/2001)
Ultimo aggiornamento: 27 Maggio 2026
Fonte: Normattiva.it · Gazzetta Ufficiale
Indice
  1. Testo dell'articolo
  2. Commento
  3. Prassi e linee guida
  4. Casi pratici
  5. Domande frequenti
  6. Vedi anche
In sintesi
L'articolo 24-bis del D.Lgs. 231/2001 estende la responsabilità degli enti ai delitti informatici e al trattamento illecito di dati, ampliando il catalogo dei reati presupposto con un gruppo di fattispecie che il legislatore ha progressivamente integrato per rispondere all'evoluzione tecnologica. La norma prevede tre fasce sanzionatorie pecuniarie: la fascia alta (200-700 quote, aumentata a 300-800 per l'estorsione informatica) per accesso abusivo, intercettazione illecita, danneggiamento di sistemi e varianti aggravate; la fascia media (fino a 400 quote) per detenzione di codici di accesso e danneggiamento con le relative forme; la fascia bassa (fino a 400 quote) per i delitti di falso informatico e frode informatica non in danno dello Stato. Sul piano delle sanzioni interdittive, il comma 4 differenzia in base alla gravità: per i reati della fascia alta si applicano le misure delle lettere a), b) ed e) dell'art. 9, comma 2, con durata minima di due anni per l'estorsione informatica. La norma impone agli enti di presidiare il rischio informatico nel proprio MOG con specifici protocolli di cybersecurity, controllo degli accessi, gestione dei sistemi informativi e segnalazione delle violazioni (anche attraverso i canali whistleblowing ex D.Lgs. 24/2023).

Testo dell'articoloVigente

Art. 24 bis D.Lgs. 231/2001 Responsabilita Enti — (Delitti informatici e trattamento illecito di dati)

In vigore dal 04/07/2001

1. In relazione alla commissione dei delitti di cui agli articoli 615-ter , 617-quater , 617-quinquies , 635-bis , 635-ter , 635-quater e 635-quinquies del codice penale , si applica all'ente la sanzione pecuniaria ((da duecento a settecento quote)) . ((1-bis. In relazione alla commissione del delitto di cui all' articolo 629, terzo comma, del codice penale , si applica all'ente la sanzione pecuniaria da trecento a ottocento quote))

2. In relazione alla commissione dei delitti di cui agli articoli 615-quater e ((635-quater.1)) del codice penale , si applica all'ente la sanzione pecuniaria ((sino a quattrocento quote)) .

3. In relazione alla commissione dei delitti di cui agli articoli 491-bis e 640-quinquies del codice penale , salvo quanto previsto dall'articolo 24 del presente decreto per i casi di frode informatica in danno dello Stato o di altro ente pubblico, e dei delitti di cui all' articolo 1, comma 11, del decreto-legge 21 settembre 2019, n. 105 , si applica all'ente la sanzione pecuniaria sino a quattrocento quote.

4. Nei casi di condanna per uno dei delitti indicati nel comma 1 si applicano le sanzioni interdittive previste dall'articolo 9, comma 2, lettere a), b) ed e). ((Nei casi di condanna per il delitto indicato nel comma 1-bis si applicano le sanzioni interdittive previste dall'articolo 9, comma 2, per una durata non inferiore a due anni)) . Nei casi di condanna per uno dei delitti indicati nel comma 2 si applicano le sanzioni interdittive previste dall'articolo 9, comma 2, lettere b) ed e). Nei casi di condanna per uno dei delitti indicati nel comma 3 si applicano le sanzioni interdittive previste dall'articolo 9, comma 2, lettere c), d) ed e).

Commento

L'articolo 24-bis del D.Lgs. 231/2001 è stato introdotto dalla L. 48/2008 di ratifica della Convenzione di Budapest sul cybercrime e ha subito successive integrazioni che riflettono l'evoluzione delle minacce informatiche. La norma attribuisce all'ente la responsabilità per una vasta gamma di delitti informatici commessi nel suo interesse o a suo vantaggio, costruendo una gerarchia sanzionatoria che tiene conto della gravità delle diverse fattispecie.

La fascia sanzionatoria più elevata (200-700 quote) colpisce i reati più gravi: accesso abusivo a sistemi informatici (art. 615-ter c.p.), intercettazione di comunicazioni informatiche (art. 617-quater e quinquies c.p.) e le molteplici forme di danneggiamento di sistemi pubblici e privati (artt. 635-bis, ter, quater, quinquies c.p.). Il comma 1-bis, aggiunto con le modifiche più recenti, eleva la fascia fino a 300-800 quote per il reato di estorsione informatica (art. 629, comma 3, c.p.), riflettendo l'emergere del ransomware come minaccia sistemica per le imprese. La fascia media (fino a 400 quote) riguarda la detenzione illegale di codici di accesso e le forme di danneggiamento informatico meno gravi. La norma del comma 4, infine, associa a ciascuna fascia le corrispondenti sanzioni interdittive: per i reati più gravi si applicano le misure di cui all'art. 9, comma 2, lett. a) (interdizione dall'attività), b) (divieto di contrattare con la PA) ed e) (divieto di pubblicizzare beni), con un minimo di due anni per l'estorsione informatica. Sul piano della compliance 231, l'art. 24-bis impone agli enti di integrare nel MOG specifici protocolli di cybersecurity, presidi per il controllo degli accessi ai sistemi, procedure di incident response e canali di segnalazione interna delle violazioni informatiche, anche attraverso il sistema di whistleblowing ex D.Lgs. 24/2023. L'OdV deve essere dotato di competenze tecniche adeguate o avvalersi di consulenti specializzati per valutare i rischi informatici dell'ente. Va ribadito che il D.Lgs. 231/2001 non va confuso con il D.Lgs. 231/2007.

Per strutturare un protocollo di cybersecurity compliance conforme al D.Lgs. 231/2001, è necessario il supporto di un professionista legale qualificato in materia informatica e di compliance aziendale.

Prassi e linee guida

· 22/11/2018

Garante per la protezione dei dati personali

Leggi il documento su www.garanteprivacy.it

Domande frequenti

Quali reati informatici sono inclusi nel catalogo dell'art. 24-bis D.Lgs. 231/2001?

L'articolo comprende accesso abusivo a sistemi informatici (art. 615-ter c.p.), intercettazione illecita di comunicazioni telematiche (artt. 617-quater e quinquies c.p.), danneggiamento di sistemi e dati (artt. 635-bis, ter, quater, quinquies c.p.), detenzione di codici di accesso (art. 615-quater c.p.), falso informatico (art. 491-bis c.p.), frode informatica non in danno dello Stato (art. 640-quinquies c.p.) ed estorsione informatica (art. 629, comma 3, c.p.).

Qual è il trattamento sanzionatorio per un ransomware che colpisce l'ente come strumento?

Se il ransomware costituisce estorsione informatica ex art. 629, comma 3, c.p. commessa nell'interesse dell'ente, si applica la sanzione pecuniaria da 300 a 800 quote (comma 1-bis) e le sanzioni interdittive di cui all'art. 9, comma 2, per una durata non inferiore a due anni: tra le misure più severe dell'intero catalogo 231.

Come deve essere strutturato il MOG per presidiare i rischi informatici ex art. 24-bis?

Il MOG deve includere: mappatura dei rischi informatici per funzione aziendale, protocolli di accesso ai sistemi con autenticazione forte, procedure di incident response, clausole contrattuali con fornitori IT, formazione periodica del personale sui rischi di cybercrime e canali di segnalazione interna ex D.Lgs. 24/2023 per anomalie nei sistemi informativi.

A cura di
Andrea Marton — Autore e divulgatore giuridico
Autore e responsabile editoriale di La Legge in Chiaro, portale di divulgazione giuridica gratuita su 54 testi e codici italiani. I contenuti hanno scopo informativo e divulgativo e non costituiscono consulenza professionale. Profilo completo →
Informazione giuridica di carattere generale — Il presente contenuto costituisce informazione giuridica di carattere generale e non sostituisce in alcun modo il parere di un avvocato iscritto all'Albo. La norma riportata è tratta da fonti ufficiali (Normattiva, Gazzetta Ufficiale) e il commento ha finalità divulgativa. Per la valutazione del caso specifico è necessario consultare un professionista abilitato.