(1)

Il 24 maggio 2022, la decisione (UE) 2022/895 del Consiglio (1) ha autorizzato la Commissione ad aprire i negoziati, a nome dell’Unione, per una Convenzione delle Nazioni Unite contro la criminalità informatica – Rafforzare la cooperazione internazionale ai fini della lotta contro determinati reati commessi tramite sistemi di tecnologia dell’informazione e della comunicazione e per la condivisione di prove in formato elettronico per reati gravi («Convenzione»).

(2)

Il testo della Convenzione è stato adottato il 24 dicembre 2024 mediante la risoluzione 79/243 alla 55a Assemblea generale delle Nazioni Unite e si prevede che sarà aperto alla firma ad Hanoi, Vietnam, dal 25 al 26 ottobre 2025 e successivamente presso la sede delle Nazioni Unite a New York fino al 31 dicembre 2026.

(3)

La Convenzione è in conformità con gli obiettivi dell’Unione in materia di sicurezza di cui all’articolo 67, paragrafo 3, del trattato sul funzionamento dell’Unione europea (TFUE), ossia garantire un livello elevato di sicurezza attraverso misure di prevenzione e di lotta contro la criminalità, attraverso misure di coordinamento e cooperazione tra forze di polizia e autorità giudiziarie e altre autorità competenti, nonché tramite il ravvicinamento delle legislazioni penali.

(4)

La Convenzione si applica a indagini o procedimenti penali specifici riguardanti i reati previsti dalla Convenzione, nonché allo scambio di prove in formato elettronico relative a reati gravi (reati sanzionabili con una pena privativa della libertà non inferiore nel massimo a quattro anni o con una pena più grave), e consente gli scambi di informazioni solo per tali finalità.

(5)

La Convenzione armonizza una serie limitata di reati chiaramente definiti, offrendo al tempo stesso agli Stati Parte la flessibilità necessaria per evitare la criminalizzazione di condotte lecite.

(6)

La Convenzione stabilisce solo norme minime sulla responsabilità delle persone giuridiche per la partecipazione a reati stabiliti conformemente alla Convenzione. Non richiede agli Stati Parte di adottare le misure eventualmente necessarie per determinare la responsabilità delle persone giuridiche in un modo che sarebbe incompatibile con i loro principi giuridici.

(7)

La Convenzione è inoltre in conformità con gli obiettivi dell’Unione in materia di protezione dei dati di carattere personale, della vita privata e dei diritti fondamentali, in linea con l’articolo 16 TFUE e con la Carta dei diritti fondamentali dell’Unione europea («Carta»).

(8)

La Convenzione prevede solide garanzie in materia di diritti umani ed esclude ogni interpretazione che possa portare alla soppressione di diritti umani o libertà fondamentali, in particolare la libertà di espressione, di coscienza, di opinione, di religione o convinzione, di riunione pacifica e di associazione. Tali garanzie assicurano inoltre che la cooperazione internazionale possa essere rifiutata qualora sia contraria al diritto interno degli Stati Parte o ove tale rifiuto sia necessario per evitare qualsiasi forma di discriminazione.

(9)

Per quanto riguarda i poteri e le procedure sia a livello interno sia a livello internazionale, la Convenzione prevede condizioni e garanzie orizzontali che assicurino la tutela dei diritti umani conformemente agli obblighi degli Stati Parte ai sensi del diritto internazionale in materia di diritti umani. Gli Stati Parte devono inoltre incorporare il principio di proporzionalità nel loro diritto nazionale. Tali condizioni e garanzie devono includere, fra l’altro, il controllo giurisdizionale o altro controllo indipendente, il diritto a un ricorso effettivo, motivi che giustifichino l’applicazione e la limitazione dell’ambito e della durata di tali poteri o procedure.

(10)

La Convenzione contiene un’apposita disposizione sulla protezione dei dati personali, la quale garantisce che, prima che qualsiasi dato personale possa essere fornito a un altro Stato Parte, debbano essere applicati importanti principi fondamentali in materia di protezione dei dati, compresi i principi di limitazione della finalità, di minimizzazione dei dati, di proporzionalità e di necessità, conformemente alla Carta.

(11)

Partecipando ai negoziati a nome dell’Unione, la Commissione ha garantito la compatibilità della Convenzione con le pertinenti norme dell’Unione.

(12)

Una serie di riserve e notifiche è opportuna al fine di garantire la compatibilità della Convenzione con il diritto e le politiche dell’Unione, nonché l’applicazione uniforme della Convenzione tra gli Stati membri nei loro rapporti con gli Stati Parte non appartenenti all’Unione e l’effettiva applicazione della Convenzione.

(13)

Poiché la Convenzione prevede procedure che migliorano l’accesso transfrontaliero alle prove in formato elettronico e un elevato livello di garanzie, aderendo alla Convenzione si promuoverà la coesione dell’impegno dell’Unione nella lotta contro la criminalità informatica e altre forme di criminalità a livello mondiale. Si faciliterà inoltre la cooperazione fra gli Stati Parte appartenenti all’UE e gli Stati Parte non appartenenti all’UE, garantendo al tempo stesso un elevato livello di protezione delle persone.

(14)

In conformità del suo articolo 64, paragrafo 2, la Convenzione è aperta alla firma dell’Unione.

(15)

L’Unione dovrebbe aderire alla Convenzione unitamente ai suoi Stati membri, in quanto l’Unione e i suoi Stati membri hanno competenze nei settori da essa contemplati. La presente decisione lascia impregiudicata la firma della Convenzione da parte degli Stati membri conformemente alle rispettive procedure interne. È opportuno firmare la Convenzione a nome dell’Unione per quanto riguarda le materie ricadenti nella competenza dell’Unione nella misura in cui la convenzione può incidere su norme comuni o modificarne la portata. Nel settore delle competenze concorrenti, gli Stati membri mantengono le rispettive competenze nella misura in cui la Convenzione non incide sulle norme comuni o ne modifica la portata.

(16)

La firma in tempi brevi della Convenzione da parte dell’Unione garantirà inoltre che l’Unione abbia una voce importante nella fase iniziale dell’attuazione di questo nuovo quadro mondiale per la lotta contro la criminalità informatica.

(17)

Il Garante europeo della protezione dei dati è stato consultato a norma dell’articolo 42, paragrafo 1, del regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio (2) e ha espresso un parere il 4 settembre 2025.

(18)

A norma degli articoli 1 e 2 del protocollo n. 21 sulla posizione del Regno Unito e dell’Irlanda rispetto allo spazio di libertà, sicurezza e giustizia, allegato al trattato sull’Unione europea (TUE) e al TFUE, e fatto salvo l’articolo 4 di tale protocollo, l’Irlanda non partecipa all’adozione della presente decisione, non è da essa vincolata né è soggetta alla sua applicazione.

(19)

A norma degli articoli 1 e 2 del protocollo n. 22 sulla posizione della Danimarca, allegato al TUE e al TFUE, la Danimarca non partecipa all’adozione della presente decisione, non è da essa vincolata né è soggetta alla sua applicazione.

(20)

È opportuno firmare la Convenzione,