L’accesso abusivo ad un sistema informatico o telematico già negli anni ‘80 veniva visto come fenomeno potenzialmente dannoso per effetto delle iniziative dei cosiddetti “Hackers”, ma è stato previsto come reato soltanto dalle legislazioni più recenti.
L’articolo 615-ter del Codice penale, in particolare, disciplina tale reato e persegue l’obiettivo di tutelare il sistema informatico, inteso come vera e propria estensione del domicilio informatico, al fine di proteggerlo da accessi non autorizzati.
Tale reato si realizza mediante due differenti condotte:
L’introduzione abusiva in un sistema informatico o telematico protetto da misure di sicurezza. Tale condotta punisce il mero accesso in presenza di misure di sicurezza, cioè misure tecniche, informatiche, organizzative e procedurali volte ad escludere o impedire l’ingresso nel sistema. Tra queste misure rientrano le password, i dispositivi biometrici, i firewall ecc.;
Il mantenimento all’interno del medesimo sistema contro la volontà espressa o tacita di chi ha il diritto di escluderlo. Tale ipotesi si riferisce, invece, al mantenimento nel sistema informatico nono stante il titolare abbia espresso, in maniera espressa o tacita, la volontà di esclusione.
Per la configurazione del reato, è di fondamentale importanza chiarire cosa debba intendersi per sistema informatico e sistema telematico. Non esiste una chiara definizione fornita dal Legislatore, di conseguenza è necessario mutuare tali definizioni dal settore tecnico-informatico. Per tale motivo, rientra nella definizione di sistema informatico, l’hardware ed il software. Il sistema telematico è, invece, composto da una serie di componenti informatici collegati tra di loro mediante una rete telematica.
Il bene giuridico tutelato dalla norma è il domicilio informatico. L’art. 615-ter considera, infatti, che i sistemi informatici costituiscano “un’espansione ideale dell’area di rispetto pertinente al soggetto interessato, garantito dall’art. 14 della Costituzione e penalmente tutelata nei suoi aspetti più essenziali e tradizionali agli artt. 614 e 615 del codice penale” (Relazione sul disegno di legge n. 2773, che successivamente ha dato origine alla Legge n. 547/1993).
Si è così affiancato, accanto alla classica figura di domicilio fisico, una nuova, quella di domicilio informatico, ove l’uomo esplica buone parti delle sue attività quotidiane, le sue facoltà intellettuali, esprime, quindi, la propria personalità ed ha la facoltà di escludere i terzi non graditi.
L’elemento psicologico contemplato nella fattispecie, è il dolo generico ed il sistema informatico/telematico per poter subire un accesso abusivo, deve essere protetto da una qualsivoglia forma di sicurezza (protezione logica, ad esempio nome utente e password ovvero protezione fisica, ad esempio la presenza di un vigilante o di una porta blindata a protezione dei sistemi informatici). L’adozione delle suddette misure di protezione rivela l’interesse a voler tutelare i propri dati e soprattutto a voler escludere l’accesso da parte di chiunque non abbia il consenso del titolare. È, qui, utile distinguere la differenza del domicilio informatico da quello fisico, tutelato dall’art. 614 c.p.
Il domicilio informatico è, infatti, un luogo estremamente flessibile ed aperto, che non può essere tutelato a priori ed in quanto tale, ma si deve tutelare solo ciò che esplicitamente il titolare ha deciso che deve rimanere riservato, e tale volontà è manifestata attraverso l’adozione di una misura di sicurezza. Da ciò consegue che nel caso in cui il sistema informatico non sia protetto, in alcun modo, non può sussistere il reato di accesso abusivo.
Le Sezioni unite penali della Corte di Cassazione con sentenza n. 4694 del 7 febbraio 2012, hanno risolto una complessa questione interpretativa inerente la configurabilità del reato di accesso abusivo ai sistemi informatici o telematici nel caso in cui un soggetto, legittimamente ammesso ad un sistema informatico o telematico, vi operi per conseguire finalità illecite.
In merito, difatti, si sono affermati due diversi orientamenti da parte della Corte di Cassazione.
Un primo orientamento ritiene che il reato di cui al primo comma dell’art. 615-ter cod. pen. possa essere integrato anche dalla condotta del soggetto che, pure essendo abilitato ad accedere al sistema informatico o telematico, vi si introduca con la password di servizio per raccogliere dati protetti per finalità estranee alle ragioni di istituto ed agli scopi sottostanti alla protezione dell’archivio informatico, utilizzando sostanzialmente il sistema per finalità diverse da quelle consentite.
Tale orientamento si fonda sostanzialmente sulla considerazione che la norma in esame punisce non soltanto l’abusiva introduzione nel sistema (da escludersi nel caso di possesso del titolo di legittimazione) ma anche l’abusiva permanenza in esso contro la volontà di chi ha il diritto di escluderla.
Questa interpretazione è stata data inizialmente dalla Quinta Sezione della Suprema Corte con la sentenza n. 12732 del 7 novembre 2000, Zara e poi ribadita, sempre dalla Quinta Sezione, con le sentenze: n. 37322 dell’8 luglio 2008, Bassani, n. 1727 del 30 settembre 2008, Romano, n. 13006 del 13 febbraio 2009, Russo, n. 2987 del 10 dicembre 2009, Matassich, n. 19463 del 16 febbraio 2010, Jovanovic, n. 39620 del 22 settembre 2010, Lecce.
Un altro orientamento – del tutto difforme – esclude in ogni caso che il reato di cui all’art. 615-ter cod. pen. sia integrato dalla condotta del soggetto il quale, avendo titolo per accedere al sistema, se ne avvalga per finalità estranee a quelle di ufficio, ferma restando la sua responsabilità per i diversi reati eventualmente configurabili, ove le suddette finalità vengano poi effettivamente realizzate.
A sostegno di tale interpretazione, la Suprema Corte osserva anzitutto che la sussistenza della volontà contraria dell’avente diritto, cui fa riferimento la norma incriminatrice, deve essere verificata esclusivamente con riguardo al risultato immediato della condotta posta in essere dall’agente con l’accesso al sistema informatico e con il mantenersi al suo interno, e non con riferimento a fatti successivi (l’uso illecito dei dati) che, anche se già previsti, potranno di fatto realizzarsi solo in conseguenza di nuovi e diversi atti di volizione da parte dell’agente.
Un ulteriore argomento viene tratto dalla formula normativa “abusivamente si introduce”, la quale, per la sua ambiguità, potrebbe dare luogo ad imprevedibili e pericolose dilatazioni della fattispecie penale se non fosse intesa nel senso di “accesso non autorizzato”.
Questo orientamento è stato espresso dalle sentenze Migliazzo (Sez. 5, n. 2534 del 20 dicembre 2007), Scimia (Sez. 5, n. 26797 del 29 maggio 2008), Peparaio (Sez. 6, n. 3290 dell’8 ottobre 2008), Genchi (Sez. 5, n. 40078 del 25 giugno 2009).
A fronte del contrastante quadro interpretativo dianzi delineato le Sezioni Unite hanno ritenuto che la questione di diritto controversa non dovesse essere risolta sotto il profilo delle finalità perseguite da colui che accede o si mantiene nel sistema, in quanto la volontà del titolare del diritto di escluderlo si connette soltanto al dato oggettivo della permanenza (per così dire “fisica”) dell’agente in esso.
Secondo la S.C., ciò che ha rilevanza, invece, è il profilo oggettivo dell’accesso e del trattenimento nel sistema informatico da parte di un soggetto che sostanzialmente non può ritenersi autorizzato ad accedervi ed a permanervi sia quando violi i limiti risultanti dal complesso delle prescrizioni impartite dal titolare del sistema sia quando ponga in essere operazioni di natura sostanzialmente diversa da quelle di cui egli è incaricato ed in relazione alle quali l’accesso era a lui consentito.
In questi casi è proprio il titolo legittimante l’accesso e la permanenza nel sistema che risulta violato: il soggetto agente opera illegittimamente, in quanto il titolare del sistema medesimo lo ha ammesso solo a ben determinate condizioni, in assenza o attraverso la violazione delle quali le operazioni compiute non possono ritenersi assentite dall’autorizzazione ricevuta.
In conclusione, quindi, le Sezioni Unite della S.C. affermano il principio di diritto secondo il quale integra la fattispecie criminosa di accesso abusivo ad un sistema informatico o telematico protetto, prevista dall’art. 615-ter cod. pen., la condotta di accesso o di mantenimento nel sistema posta in essere da soggetto che, pure essendo abilitato, violi le condizioni ed i limiti risultanti dal complesso delle prescrizioni impartite dal titolare del sistema per delimitarne oggettivamente l’accesso. Non hanno rilievo, invece, per la configurazione del reato, gli scopi e le finalità che soggettivamente hanno motivato l’ingresso al sistema.
In una successiva pronuncia le Sezioni Unite della Suprema Corte nel dirimere alcune controversie sorte tra diverse Sezioni hanno chiarito ulteriormente la portata del reato di accesso abusivo con riferimento alla figura del Pubblico Ufficiale. Difatti con sentenza n. 8 settembre 2017, n. 41210 hanno precisato che integra il delitto previsto dall’art. 615-ter, secondo comma, n. 1, cod. pen. la condotta del pubblico ufficiale o dell’incaricato di un pubblico servizio che, pur essendo abilitato e pur non violando le prescrizioni formali impartite dal titolare di un sistema informatico o telematico protetto per delimitarne l’accesso (nella specie, Registro delle notizie di reato: Re. Ge.), acceda o si mantenga nel sistema per ragioni ontologicamente estranee e comunque diverse rispetto a quelle per le quali, soltanto, la facoltà di accesso gli è attribuita».
Tale orientamento è stato successivamente confermato da altre pronunce della Suprema Corte come la sentenza della V sez. penale 27 febbraio 2019, n. 8541 dove si precisa che lo scopo della norma è quello di inibire ingressi abusivi in un sistema informatico o telematico, sicché non assumerebbe rilievo ciò che l’agente riuscisse a carpire indebitamente (se notizie riservate o altrimenti recuperabili), ma l’ingresso stesso, non sorretto da ragioni collegate al servizio (pubblico o privato) svolto. La disposizione normativa in questione configura, infatti, un reato di pericolo, che si concretizza “ogniqualvolta l’ingresso abusivo riguardi un sistema informatico in cui sono contenute notizie riservate, indipendentemente dal tipo di notizia eventualmente appresa.
Quali sono le principali innovazioni a livello di conglomerato bituminoso per le pavimentazioni stradali? Proviamo a capire cosa c'è oltre l'asfalto...
