IUSTLAB

L’accesso abusivo ad un sistema informatico o telematico

Scritto da: Giovanni Orlando - Pubblicato su IUSTLAB




Pubblicazione legale:

La diffusione sempre maggiore di nuove tecnologie ha fatto sorgere simmetricamente nuove esigenze di tutela penale, in particolare, degli interessi cd. “immateriali” diversi dalle “cose” in senso tradizionale che difficilmente avrebbero trovato la giusta collocazione sistematica nell’ambito del catalogo originario delle fattispecie del codice Rocco, la cui ratio è diretta a preservare, in un’ottica general preventiva, interessi ontologicamente estranei al mondo informatico e telematico.

Un primo passo in questo senso si ebbe agli albori degli anni novanta, davanti al dirompente avanzare e al diffondersi dell’elettronica di consumo ma anche di quella su scala industriale e professionale, con le conseguenti implicazioni di carattere criminale meritevoli di particolare attenzione anche in forza della straordinaria pericolosità dei crimini informatici, direttamente proporzionale alla loro grande attitudine offensiva pur non immediatamente evidente per via delle caratteristiche modalità di consumazione dei reati informatici, i cui autori si identificano con soggetti altamente specializzati, in genere addetti ai lavori che facendo uso delle loro speciali competenze tecniche non lasciano tracce, il che spiegherebbe, fra l’altro, anche (l’iniziale) scarsità giurisprudenziale in materia.

Stante le predette condizioni strutturali del processo di informatizzazione esistenti in Italia, la manifestazione patologica rappresentata dalla criminalità informatica che si suole ricondurre alla criminalità dei colletti bianchi, non poteva non trovare adeguata attenzione in dottrina, che in prima battuta si domandò quale condotta poteva ritenersi illecita in presenza di sistemi di elaborazione elettronica e/o sistemi telematici collegati in rete. Sebbene le ipotesi di reato riconducibili ai crimini informatici sia un genus contraddistinto da sostanziale eterogeneità, possono tuttavia essere ricondotte sotto un’unica categoria il cui denominatore comune è la presenza del computer, sia inteso come strumento per la realizzazione dell’illecito, sia inteso come oggetto tutelato dalla norma penale. In questa seconda ipotesi, le fattispecie delittuose si concentrano in due sottocategorie: a) accesso abusivo e uso indebito dell’elaboratore e/o del sistema telematico; b) appropriazione e manipolazione di dati e/o programmi che comportano (anche) violazione della privacy.

2

Il problema che ci si trova subito ad affrontare è quello dell’accesso all’elaboratore o al sistema, dovendosi tuttavia distinguere, in via preliminare, fra “accesso fisico” e “accesso logico”. Quello che qui viene in considerazione è l’accesso logico, in una certa misura indipendente dall’accesso fisico, in quanto mentre per quest’ultimo è necessario l’ingresso nel locale dove si trova la postazione informatica o di rete, per il primo è condizione sufficiente una postazione remota, dalla quale è possibile sia l’accesso in rete, sia l’accesso alla stessa postazione informatica e telematica collegata in rete con funzione di server. Il sistema ovviamente riconosce la persona autorizzata ad accedervi mediante quelle che comunemente si definiscono le “credenziali di accesso” e cioè username e password, il che è indipendente dalla identità fisica. Le intrusioni dell’esterno, cioè gli accessi non autorizzati dal dominus, in questo ambito sono un fenomeno abbastanza diffuso anche e soprattutto per l’attività dei cd. “hackers” i quali attraverso postazioni remote collegate in rete (internet) riescono ad accedere abusivamente sia alla postazione server, sia alla stessa postazione informatica usata dall’utente.

Ci si domandò, dunque, se il semplice accesso abusivo senza ulteriore attività criminale rappresenti un disvalore tale da implicare la necessità di sanzionare penalmente il fatto.

Inizialmente, con riguardo all’accesso fisico nei locali in cui vi è la presenza di un elaboratore, si sostenne la possibilità di applicare la norma che punisce la violazione di domicilio; tale tesi incontrò tuttavia forti critiche soprattutto perché il bene tutelato dalla norma di cui all’art. 614 c.p. tutela un bene affatto diverso. Per quanto riguarda l’accesso logico si propugnò l’applicabilità dell’art. 494 c.p. o dell’art. 617 bis c.p., quest’ultimo solo in presenza di ulteriori atti criminali.

E’ agevole notare che gli sforzi interpretativi in dottrina e in giurisprudenza rappresentano già di per sé una prima risposta all’allarme sociale che il solo accesso abusivo costituiva nell’ambito delle attività criminali informatiche percepite come altamente lesive.

La risposta definitiva arrivò dal legislatore con il primo intervento in materia di criminalità informatica, e cioè con la legge 547 del 27 dicembre 1993 che introdusse nel codice penale l’art. 615-ter che così recita: “Chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza

3

ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo, è punito con la reclusione fino a tre anni.”

La norma si riferisce alla violazione del sistema informatico o telematico. Occorre quindi distinguere le due ipotesi. E’ evidente che la scarsa diffusione della rete internet al momento della entrata in vigore della legge n. 547 obbliga a ritenere quale sistema informatico il singolo computer e quale sistema telematico più computer connessi in rete, che questa poi sia collegata solo in locale o via internet non è rilevante, in quanto all’accesso logico si potrebbe sempre accompagnare l’abusivo accesso fisico con tutto quello che ne conseguirebbe in termini di rilevanza penale del fatto. Quello che caratterizza il reato è piuttosto la necessaria esistenza di misure di sicurezza percepibili, atte ad impedire l’accesso ai terzi senza le quali non si potrebbe ipotizzare alcuna intrusione non autorizzata. Nella fattispecie rientrano tutte quelle condotte di interferenza mediante ingresso o permanenza non autorizzata nella memoria di un sistema informatico o telematico “chiuso” cioè protetto da una chiave di ingresso che sta ad indicare la volontà di dissenso del titolare dello ius excludendi.

Nonostante l’apparenza letterale, il bene tutelato non è l’integrità del sistema informatico o telematico ma il diritto fondamentale alla riservatezza.

Si tratta di un reato istantaneo che si consuma nel momento dell’introduzione del sistema; il dolo consiste nella coscienza e volontà di introdursi nel sistema nella consapevolezza dell’esistenza di misure di sicurezza.

Nei suoi aspetti pratici e applicativi, la richiamata fattispecie criminale ha dimostrato tuttavia diversi aspetti problematici, sia in ragione dell’individuazione dei limiti dell’antigiuridicità espressa dal dissenso del titolare del sistema, sia in ordine alla presenza, ai limiti e alle modalità di un’eventuale autorizzazione all’accesso al sistema che renderebbe la condotta penalmente irrilevante.

L’analisi di diversi casi concreti nella giurisprudenza di merito, mette in risalto il fatto di colui che si introduce nel sistema informatico per scopi diversi da quelli per cui l’autorizzazione è stata concessa. In altre parole, l’autorizzazione è presente, ma ha dei limiti ben definiti che consistono nel perseguimento degli scopi d’ufficio o istituzionali. Al di fuori di questa ipotesi, e cioè travalicando le modalità tipiche proprie

4

dell’autorizzazione concessa, l’accesso o la permanenza nel sistema informatico è (o dovrebbe essere) abusiva.

Di diverso avviso il GUP del Tribunale di Brescia che, con una sentenza del 2011, ha prosciolto l’imputato che si era introdotto nel sistema informatico “per mera curiosità” giacché la locuzione “con scopi diversi da quelli consentiti” deve essere interpretata –secondo il giudicante- nel senso del “perseguimento di finalità illecite” andando così molto oltre non solo la ratio della norma ma anche oltre il semplice senso letterale della norma stessa. (G.U.P. Tribunale di Brescia, Sentenza 3 marzo 2011, n. 293)

L’impostazione del giudice di merito tradisce, invero, l’esistenza nella giurisprudenza di legittimità di due orientamenti opposti che hanno contribuito a creare non poca confusione: il primo, per il quale a nulla rileva lo scopo per il quale si è eseguito l’accesso né l’utilizzazione dei dati, ben sintetizzato nella pronuncia della Suprema Corte del 25 giugno 2009 n. 40078

Il secondo, per il quale se l’accesso non è autorizzato, si tratta indubbiamente di un’intrusione abusiva; i problemi insorgono se si è in presenza di un autorizzazione all’accesso; in questo caso il baricentro si sposta sull’utilizzazione dei dati; se l’utilizzazione dei dati e cioè lo scopo dell’accesso non è conforme all’autorizzazione si ricadrebbe comunque nell’alveo di punibilità di cui all’art. 615-ter c.p. Significativa, sul punto, la sentenza della Suprema Corte del 22 settembre 2010 n. 39620

L'esistenza del sopra richiamato conflitto giurisprudenziale ha indotto la Sezione V° della Corte di Cassazione con l'ordinanza n. 11714 del 11 febbraio 2011, a rimettere alle Sezione Unite un fatto riguardante l'utilizzazione di un sistema informatico da parte di un pubblico dipendente per la consultazione di banche dati cui egli aveva accesso per ragioni di servizio, sulla base del seguente quesito” Se costituisca il reato previsto dall’art. 615 ter c.p. l’accesso di soggetto abilitato ad un sistema informatico protetto per scopi e finalità estranee a quelle per le quali la chiave di accesso gli era stata attribuita”.

Con la sentenza del 7 febbraio 2012 n.4694, le Sezioni Unite hanno risolto il conflitto creatosi, sostenendo la fondatezza dell'orientamento diretto a ricomprendere nell'art 615-ter c.p., anche quelle condotte di accesso o permanenza che si pongono al di fuori del complesso di prescrizione impartite dal dominus, a nulla rilevando però gli scopi perseguiti né l’utilizzazione successiva dei dati.

5

In buona sostanza, taluna giurisprudenza aveva confuso il complesso delle direttive costituenti autorizzazione all’acceso con gli scopi (soggettivi) perseguiti dal soggetto che accede al sistema, la cui manifestazione principale era data dall’utilizzo (successivo) dei dati informatici che doveva essere conforme all’autorizzazione, compiendo, in ultima analisi, un’operazione additiva relativa a due elementi (lo scopo soggettivo e l’utilizzo successivo dei dati) del tutto estranei al dettato normativo, seppur in fattispecie residuali nelle quali l’autorizzazione del titolare del sistema è presente, onde individuare i limiti dell’autorizzazione medesima con l’evidente intento di ricondurle nell’area applicativa dell’art. 615-ter del codice penale.

La Suprema Corte a Sezioni Unite ha chiarito tuttavia ogni dubbio enunciando, in definitiva, il seguente principio: ”Va affermato, in conclusione, il principio di diritto secondo il quale "integra la fattispecie criminosa di accesso abusivo ad un sistema informatico o telematico protetto, prevista dall'art. 615-ter cod. pen., la condotta di accesso o di mantenimento nel sistema posta in essere da soggetto che, pure essendo abilitato, violi le condizioni ed i limiti risultanti dal complesso delle prescrizioni impartite dal titolare del sistema per delimitarne oggettivamente l'accesso. Non hanno rilievo, invece, per la configurazione del resto, gli scopi e le finalità che soggettivamente hanno motivato l'ingresso al sistema".

-avv. Giovanni Orlando-



Pubblicato da:


Giovanni Orlando

Avvocato in Catanzaro