Il favoreggiamento entra nel dibattito sul pagamento del riscatto nelle estorsioni informatiche tramite ransomware. Alla luce dell’art. 629, comma III, c.p., inquadriamo le possibili ricadute penali per vittime e terzi, collegandoci alle novità normative e giurisprudenziali.
Indice degli argomenti
Il nuovo quadro normativo contro l’estorsione informatica ransomware
In tema di estorsione informatica tramite attacco ransomware, che rappresenta una minaccia significativa per il privato, l’ente pubblico e la Società quotata e non quotata, il legislatore ha previsto l’ipotesi delittuosa specifica che punisce proprio la realizzazione dell’estorsione mediante la commissione di un reato informatico ai sensi e per gli effetti del comma III all’art. 629 c.p., introdotto dalla Legge n. 90 del 28 giugno 2024, entrata in vigore il 17 luglio 2024[1].
Il delitto di cui all’art. 629 comma III c.p., peraltro, è stato introdotto nel catalogo dei reati informatici di cui all’art. 24 bis del D.lgs. 231/2001, rubricato “delitti informatici e trattamento illecito di dati”, che costituiscono reato presupposto per la responsabilità amministrativa da reato dell’ente.
Divieto di pagamento del riscatto: la proposta del DDL 1441/2025
Nel panorama si inserisce, inoltre, il Disegno di legge n. 1441 presentato al Senato della Repubblica il 3 aprile 2025 che contiene la previsione di un divieto di pagamento di un riscatto a seguito delle condotte di cui all’art. 629 comma III c.p. per i soggetti pubblici e privati inclusi nel “Perimetro di Sicurezza Nazionale Cibernetica”[2]; la violazione di tale divieto potrebbe comportare una sanzione amministrativa.
Orbene, una riflessione a latere può essere fatta in merito ai rapporti tra il reato di estorsione e il delitto di favoreggiamento e, con riferimento alle possibili ricadute penalistiche, anche per la vittima, del pagamento del riscatto (c.d. “ransom”).
Le due forme di favoreggiamento nel codice penale italiano
L’ordinamento italiano prevede due distinte figure di favoreggiamento: il favoreggiamento personale previsto e punito all’art. 378 c.p. e quello reale ex art. 379 c.p.
Il favoreggiamento personale si ha quando, dopo che fu commesso un reato, e fuori dei casi di concorso nel medesimo, viene aiutato taluno a eludere le investigazioni dell’Autorità o a sottrarsi alle ricerche di questa.
Il favoreggiamento reale, dall’altra parte, consiste nel fatto di colui che fuori dei casi di concorso nel reato e nei casi di ricettazione (art. 648 c.p.), riciclaggio (art. 648 bis c.p.) e impiego di denaro, beni o utilità di provenienza illecita (648 ter c.p.), aiuta taluno ad assicurare il prodotto o il profitto o il prezzo di un reato.
Il favoreggiamento personale e quello reale, secondo attenta dottrina, hanno in comune due presupposti: a) “la preesistenza di un reato”; b) “la mancanza di partecipazione nel reato antecedente”[3].
Presupposti comuni e bene giuridico tutelato dal favoreggiamento
Le fattispecie sono inserite nel Libro II del codice penale, Titolo III, “Dei delitti contro l’amministrazione della giustizia”.
L’oggetto della tutela giuridica, per quanto riguarda il favoreggiamento personale, si configura nell’interesse dell’Amministrazione della giustizia al regolare svolgimento del processo penale, poiché i fatti che lo costituiscono tendono a fuorviare od ostacolare l’attività diretta all’accertamento e alla repressione dei reati.
Nel favoreggiamento reale, invece, è tutelato principalmente l’interesse generale che ha lo Stato ad impedire che sia prestata ai rei una collaborazione destinata a far diventare definitivi i vantaggi da essi conseguiti con azioni criminose. Nella fattispecie ex art. 379 c.p., peraltro, di regola, è pregiudicato altresì l’interesse del soggetto passivo del reato precedente, poiché la dispersione delle cose di provenienza delittuosa ne rende più difficile il recupero, consolidando quindi il danno subito dalla vittima.
Quando la vittima di estorsione diventa autore di favoreggiamento personale
La persona offesa del reato di estorsione, reato presupposto della fattispecie di favoreggiamento, può diventare soggetto attivo del delitto di favoreggiamento personale laddove il suo contributo in favore dell’autore del reato consumato in suo danno è idoneo a causare la lesione dell’interesse tutelato dalla norma ex art. 378 c.p.
In tal senso si è espressa la Corte di Cassazione con la pronuncia n. 31168 del 2023 ove nel caso di specie il soggetto, vittima del reato di estorsione, nel corso dell’indagine a carico dei soggetti attivi dell’estorsione venne interrogato dall’Autorità procedente ed ebbe, tuttavia, a negare di aver corrisposto agli estorsori il denaro, avendo il timore di essere coinvolto nell’indagine. Ciò contribuirebbe a turbare l’attività di ricerca e acquisizione della prova da parte degli organi della magistratura, con conseguente integrazione del delitto di favoreggiamento giacché costituisce attività investigativa non solo quella volta alla ricerca della prova, ma anche quella mirante all’acquisizione di esse nel procedimento penale, nonché quella di selezione del materiale probatorio raccolto ai fini della decisione[4].
Elemento psicologico e causa di non punibilità nell’art. 378 c.p.
Nel caso oggetto della citata pronuncia, la C.S. ha ritenuto altresì sussistente l’elemento psicologico del delitto di cui all’art. 378 c.p., rappresentato dal dolo generico, consistente “nella consapevole determinazione dell’agente di fuorviare, con la propria condotta, le investigazioni dirette all’acquisizione della prova di un delitto o le ricerche poste in essere dalla competente autorità nei confronti del latitante, a prescindere dalle finalità ulteriori perseguite dall’agente” (in tal senso Cass. Pen., Sez. V, 11.10.2019, n. 50206).
La pronuncia è interessante anche per quanto riguarda il versante dell’applicabilità della causa di non punibilità di cui all’art. 384 c.p.
L’art. 384 c.p., invero, con riferimento al favoreggiamento personale, integra una causa di esclusione della colpevolezza e non di esclusione della antigiuridicità della condotta. Pertanto, la norma in esame è applicabile nel caso in cui, tenuto conto delle circostanze del caso concreto, valutate secondo il parametro della massima diligenza esigibile, si presenti all’agente come “l’unica in grado di evitare all’agente un grave pregiudizio per la libertà o per l’onore proprio o altrui” (cfr. Cass. Pen., Sez. VI, 23.09.2020, n. 34777).
Orbene, nel caso oggetto della sentenza n. 31168 del 2023 è stata esclusa l’applicabilità della causa di non punibilità di cui all’art. 384 c.p. giacché non vi era alcuna correlazione tra la natura delle informazioni richieste, ossia l’essere stato vittima dell’estorsione, e il presunto nocumento alla libertà, fondato su una mera ed astratta congettura dell’imputato.
È auspicabile, quindi, che chi subisce un attacco ransomware collabori con l’Autorità giudiziaria.
Pagamento del riscatto e favoreggiamento reale: esclusione della responsabilità
Con riferimento al favoreggiamento reale, il tema si pone rispetto alla possibilità di ritenere, o meno, che il pagamento del riscatto da parte della vittima, o di terzo per suo conto, possa costituire quell’“aiuto”, rilevante ex art. 379 c.p., ad assicurare all’estorsore il prodotto o il profitto del reato.
Dal punto di vista giuridico la risposta potrebbe essere negativa in considerazione del fatto che si è in presenza a monte di una condotta estorsiva ove il soggetto passivo del reato si configura quale persona offesa che agisce per tutelare se stesso o i di lui beni.
Il pagamento del riscatto, in tal senso, non potrebbe far ricadere la condotta nella fattispecie ex art. 379 c.p., dal momento che chi subisce il ransomware verrebbe a configurarsi quale mera vittima, soggetto passivo.
A ciò si aggiunga che il pagamento del riscatto, laddove l’estorsione, anche informatica, si traduca in una minaccia di danni gravi alla persona, potrebbe invocarsi l’applicabilità della causa di non punibilità, stato di necessità ex art. 54 c.p.
Società terze e cybersecurity: profili di responsabilità nel pagamento
Occorre, inoltre, interrogarsi sulla eventuale rilevanza penale della condotta di una società terza che, su incarico della vittima, provveda al pagamento del riscatto richiesto nell’ambito di un’estorsione informatica.
Si pensi a società specializzate in cybersecurity che, su mandato della vittima dell’estorsione, procedano direttamente alla trattativa con gli estorsori e/o al versamento della somma a questi ultimi, normalmente in criptovaluta.
Ebbene, in tali ipotesi potrebbe escludersi che il pagamento da parte della società terza possa integrare di per sé il reato di favoreggiamento reale, essendo tale corresponsione di denaro finalizzata esclusivamente a tutelare l’interesse della vittima, es. recupero dati, limitazione dei danni, e non ad avvallare l’operato dell’estorsore.
Presidi di tutela e rischio di concorso nel reato di estorsione
Peraltro, si rappresenta che attenta dottrina, ha osservato che “rientra nella previsione della legge altresì il fatto di colui che si interpone tra “il ladro” e “il derubato” per far ottenere al secondo la restituzione del tolto mediante lo sborso di un prezzo di riscatto”[5] .
Alcuni presidi di tutela potrebbero essere individuati in un’autorizzazione formale della vittima al pagamento del riscatto, alla tracciabilità dello stesso e disposto secondo procedure trasparenti e documentate.
Ciò anche al fine di poter escludere o ripararsi da eventuali contestazioni di “mediatore” tra la vittima e l’estorsore che, talvolta, la giurisprudenza ha qualificato quali condotte di concorso ex art. 110 c.p. nel reato di cui all’art. 629 c.p.
Prospettive future: strategia nazionale e formazione in cybersicurezza
In conclusione, indicazioni utili ed eventuali linee guide sulla gestione di attacchi ransomware e definizioni delle conseguenze rispetto al pagamento del riscatto potranno auspicabilmente rinvenirsi nella proposta di delega al Governo per la definizione di una strategia nazionale per il contrasto degli attacchi informatici a scopo di estorsione, contenuta nel DDL 1441 del 2025.
Nel Disegno di Legge, d’altronde, al fine di accrescere la consapevolezza e la capacità di prevenzione degli attacchi ransomware, si predispone altresì la formazione obbligatoria in materia di cybersicurezza per i dipendenti pubblici e si prevedono incentivi per le piccole e medie imprese per la formazione in materia.
Note
[1] Sul cui approfondimento si rimanda all’Articolo “Attacco ransomware, pagare o no il riscatto? Ecco cosa dice la legge” pubblicato in data 28.08.2025 in AgendaDigitaleEu.
[2] Il Perimetro di Sicurezza Nazionale Cibernetica ricomprende le amministrazioni pubbliche, gli enti e gli operatori pubblici e privati con sede nel territorio italiano inclusi nell’elencazione adottata dal Presidente del Consiglio dei Ministri (art. 1, comma 2-bis, del decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133).
[3] F. Antolisei, Manuale di Diritto Penale, Parte Speciale, II, Settima edizione, a cura di Luigi Conti, Milano Giuffrè, 1977.
[4] In tal senso Cass. Pen., Sez. VI, 18.07.2023, n. 31168, in OneLegale WalterKulwer.
[5] F. Antolisei, Manuale di Diritto Penale, Parte Speciale, II, Settima edizione, a cura di Luigi Conti, Milano Giuffrè,1977, p.869.
