L’accesso abusivo ad un sistema informatico o telematico è un reato punito all’art. 615 – ter del nostro codice penale

 

Reati informatici e normativa: un’introduzione all’accesso abusivo ad un sistema informatico

L’accesso abusivo ad un sistema informatico fa parte di quei reati cosiddetti “reati informatici”. A livello internazionale non è stata data loro una definizione, tuttavia, possiamo definirli come “atti o fatti contrari alle norme penali vigenti, nei quali il computer viene coinvolto come oggetto o come strumento”.

Si suole suddividere questo tipo di reati in:

  • Propri: in mancanza di un computer il comportamento incriminato non è concepibile. Questo è il caso, ad esempio, dell’accesso abusivo ad un sistema informatico.
  • Impropri, in questi casi il computer è uno strumento utilizzato per porre in essere un’offesa tradizionale, pensiamo ad esempio alla diffamazione che avviene tramite social network.

 

È stato il Comitato dei Ministri degli Stati membri dell’OCSE[1] a raggruppare le condotte delittuose nate a seguito dello sviluppo delle nuove tecnologie nella Raccomandazione n. R. (89) 9 del 1989 e a suddividerle in due liste:

  1. Lista minima: prevede tutte quelle condotte ritenute necessariamente meritevoli di sanzioni penali. Il legislatore nazionale è sollecitato affinché inserisca delle specifiche disposizioni penali che puniscano quei comportamenti. Sono inseriti, ad esempio, la frode informatica[2] e l’accesso abusivo ad un sistema informatico.
  2. Lista facoltativa: contenente i casi in cui l’incriminazione è rimessa alla discrezionalità del legislatore, il quale potrà scegliere se punire o meno quelle condotte, come ad esempio lo spionaggio informatico[3].

 

La Raccomandazione è stata accolta dal legislatore italiano con la Legge 547/1993, la quale ha inserito i nuovi reati informatici nel codice penale.

È stato poi approvato nel 2001 il primo accordo internazionale riguardante i crimini online, ossia la Convenzione del Consiglio d’Europa sulla criminalità informatica[4], recepita dal legislatore italiano con la Legge 48/2008, la quale ha collocato al primo posto della lista dei reati da incriminare l’accesso abusivo ad un sistema informatico.

A partire dalla legge del 1993, il nostro legislatore ha ritenuto che non fosse necessario emanare una disciplina ad hoc per i reati informatici oppure creare un titolo autonomo a loro dedicato nel codice penale. Ha scelto, infatti, denominazioni, collocazioni e sanzioni il più possibile analoghe a quelle relative ai crimini già esistenti.

È questa la ragione per la quale, il reato di accesso abusivo ad un sistema informatico, si trova in prossimità della violazione di domicilio (art. 614 c.p.).

 

Il bene giuridico protetto dalla norma

Al fine di comprendere la natura del reato[5], occorre indagare su quale sia il bene che il legislatore abbia voluto tutelare introducendo l’art. 615 – ter.

A tal proposito vi sono tre diversi orientamenti:

  • Alcuni ritengono che l’oggetto di tutela sia il domicilio informatico. La loro idea trae fondamento dalla collocazione sistematica dell’articolo che, come già detto, si trova a fianco dell’art. 614 c.p. il quale tutela il domicilio. Ma il sistema informatico può essere inteso come un luogo paragonabile ad una privata dimora? Per rispondere a questa domanda è necessario riprendere il testo dell’articolo 615 – ter, il quale prevede che “qualora i fatti (…) riguardino sistemi informatici o telematici di (…) interesse pubblico, la pena è, rispettivamente, della reclusione da uno a cinque anni e da tre a otto anni.”. Il riferimento a sistemi informatici di tipo pubblico non è irrilevante, anzi, porta a pensare che l’intenzione del legislatore non fosse quella di tutelare i sistemi informatici ad uso privato (similari alla privata dimora), ma anche quello ad uso pubblico. Per tale ragione si dovrebbe escludere che il domicilio possa essere il bene tutelato dalla norma.
  • Vi è chi sostiene che sia l’integrità dei dati contenuti nel sistema informatico il bene oggetto di tutela, in ragione della previsione della circostanza aggravante che prevede che “se dal fatto deriva la distruzione o il danneggiamento del sistema o l’interruzione totale o parziale del suo funzionamento, ovvero la distruzione o il danneggiamento dei dati, delle informazioni o dei programmi in esso contenuti” la reclusione è da uno a cinque anni. Secondo questo indirizzo, la previsione di un aumento di pena nel caso in cui si distruggano o danneggino i dati, porta a convenire che sia l’integrità dei dati il bene protetto. Tuttavia, non possiamo non considerare il fatto che a tutela di questo bene vi siano già altre figure di reato[6] e che raramente nel caso in cui vi sia un accesso abusivo, vi è anche un danneggiamento: l’obiettivo è quello di non essere scoperti e non lasciare alcuna traccia.
  • Altri ritengono che sia la riservatezza dei dati il bene che il legislatore intende proteggere, questo perchè lo scopo di chi si introduce in un sistema informatico è, la maggior parte delle volte, quello di sottrarre dati altrui o riservati, senza che la vittima se ne accorga.

 

Ciò detto, nel caso in cui il bene tutelato sia il domicilio informatico parleremmo di reato di danno, in quanto qualsiasi introduzione abusiva danneggia l’interesse dell’utente all’inviolabilità del proprio spazio privato.

Se fossero l’integrità o la riservatezza dei dati si tratterebbe di un reato di pericolo, in quanto, nel primo caso, introdursi in un sistema non provoca automaticamente il danneggiamento dei dati ma li mette in pericolo; nel secondo caso l’introduzione mette a rischio la riservatezza dei dati contenuti, senza direttamente danneggiarli.

 

Condotte incriminate

Le condotte incriminate dall’articolo 615 – ter sono: introduzione abusiva e permanenza non autorizzata.

Nel primo caso, un utente, per essere passibile di sanzione dovrà, attraverso la rete oppure direttamente dal server:

  1. Superare le misure di sicurezza poste a protezione del sistema;
  2. Essere nella condizione di poter consultare i dati ivi contenuti[7].

 

L’accesso si configura pertanto nel momento in cui il sistema informatico altrui esegue un’operazione richiestagli dal soggetto agente mediante una serie di comandi, mettendolo nelle condizioni di poter conoscere quanto in esso contenuto[8].

Ma attenzione, il soggetto non risulta sanzionabile nel momento in cui immette solamente la password e il nome utente: è necessario che si autentichi e riesca quindi ad utilizzare le risorse contenute nel sistema.

Invece, per far sì che si configuri una permanenza non autorizzata, il legislatore presuppone che l’introduzione sia avvenuta in modo casuale o autorizzato. Per cui la persona non deve già essere punibile per come si introduce nel sistema, altrimenti si tratterebbe di introduzione abusiva.

Il suo comportamento diverrà penalmente rilevante nel momento in cui, pur essendosi reso conto di essere all’interno di un’area riservata, nella quale non aveva l’autorizzazione per entrare, l’utente non si scollega[9].

Nel corso degli anni questa condotta si è verificata, ad esempio, con riferimento alla duplicazione dati aziendali da parte di ex dipendenti.

Vediamo qualche esempio:

  1. Una signora è stata condannata per aver modificato ed utilizzato la password di accesso al cassetto fiscale della sorella per continuare a gestire il patrimonio familiare pur dopo i contrasti insorti tra loro. Si è ritenuto che avesse abusivamente violato il sistema in quanto il cassetto fiscale è un servizio informatico e consente la consultazione di informazioni fiscali, come i dati anagrafici e le dichiarazioni fiscali oltre che dei versamenti, gli atti del registro ed i dati patrimoniali[10].
  2. Un dipendente può essere condannato per permanenza non autorizzata quando, pur avendo le credenziali per accedere al sistema, fa intenzionalmente accesso ad un’area riservata, all’interno della quale non aveva l’autorizzazione per entrare.

 

Misure di sicurezza logiche o fisiche?

La norma presuppone che il sistema violato sia protetto da misure di sicurezza. Tuttavia, per la configurabilità del reato, non occorre che vi sia il loro effettivo aggiramento.

Il richiamo a queste misure evidenzia l’espressa volontà dell’utente di voler tenere riservati i dati che sono contenuti all’interno del sistema e di voler limitare l’accesso alle sole persone autorizzate.

Ma cosa si intende con misure di sicurezza? Dottrina e giurisprudenza fanno riferimento sia a protezioni di tipo logico, come ad esempio una password; sia a protezioni di tipo fisico, come una smart card; sia a strumenti di identificazione quali impronta digitale o riconoscimento facciale.

 

Le sanzioni

Il reato è sanzionato dal legislatore con la reclusione fino a tre anni. Esistono, tuttavia, alcune ipotesi di maggiore gravità, cui viene ricollegata una pena più severa: la reclusione da uno a cinque anni. È questo il caso in cui:

  • il fatto sia commesso da un pubblico ufficiale o da un incaricato di un pubblico servizio, abusando dei suoi poteri o violando i doveri di funzione o servizio, oppure esercitando abusivamente la professione di investigatore privato, o abusando della qualità di operatore del sistema[11];
  • il fatto sia commesso con violenza su cose o persone, o se il colpevole è armato;
  • dal fatto deriva la distribuzione o il danneggiamento del sistema o l’interruzione del suo funzionamento, la distruzione o il danneggiamento dei dati, delle informazioni o dei programmi contenuti.

 

Esiste un livello di gravità ulteriore, che prevede la reclusione da uno a cinque anni o da tre a otto anni qualora i fatti “riguardino sistemi informatici o telematici di interesse militare o relativi all’ordine pubblico o alla sicurezza pubblica o alla sanità o alla protezione civile o comunque di interesse pubblico”.

Informazioni

[1] Organizzazione per la Cooperazione e lo Sviluppo Economico.

[2] Consiste nell’ introduzione, alterazione, cancellazione o soppressione di dati o programmi o in qualsiasi altra ingerenza in un procedimento di elaborazione di dati che, influenzandone il risultato, cagioni ad altri un pregiudizio economico o materiale, al fine di procurare a sé o ad altri un ingiusto profitto.

[3] Consiste nel conseguire attraverso mezzi illeciti ovvero nel divulgare, trasferire o utilizzare senza averne diritto e senza alcuna giusta causa un segreto commerciale o industriale, avendo l’intenzione di cagionare un pregiudizio economico al titolare del segreto o di ottenere per sé o per altri un ingiusto profitto.

[4] Meglio conosciuta come “Convenzione Cybercrime”. Per un maggiore approfondimento  sull’argomento e, in particolare sulla digital forensics, si veda: https://www.dirittoconsenso.it/2021/02/02/digital-forensics-cybercrime-e-cybersecurity/

[5] Ossia se si tratti di un reato di danno (danneggia direttamente il bene oggetto di protezione) o di un reato di pericolo.

[6] Come il danneggiamento di informazioni, dati e programmi informatici all’art. 635 – bis.

[7] Non sarà necessita la loro acquisizione o la loro conoscenza.

[8] Cass. pen., sez. V, sent. 8.7.2008, n. 37322; Cass. pen., sez. I, 27.9.2013, n. 40303.

[9] È stato inoltre chiarito dalla Cassazione a Sezioni Unite (Cass. pen. sez. Unite, sent. n. 4694/2012) che, per essere punito, non rileva lo scopo o il fine per il quale l’utente si introduce o permane all’interno del sistema.

[10] Cass. pen., Sez. V, sentenza 27 aprile 2021 n. 15899.

[11] Corte di Cassazione, 11 novembre 2009: è operatore del sistema “colui il quale in qualità di operatore, analista o programmatore deve necessariamente avvalersi del sistema informatico per espletare le mansioni del suo ufficio e lo utilizza per una finalità diversa da quella legittimante”.