L’accesso abusivo ad un sistema informatico
Oggi parleremo dell’accesso abusivo ad un sistema informatico o telematico, disciplinato dall’art. 615 ter del codice penale.
Tale articolo, inserito nel capo III (dei delitti contro la libertà individuale) del titolo XII (dei delitti contro la persona) del nostro codice penale, è compreso tra i reati contro l´inviolabilità del domicilio in quanto i sistemi violati vengono considerati come una espansione ideale dell´area di rispetto garantita dall´art. 14 della Costituzione. Il Legislatore ha così assicurato la difesa anche del cosiddetto “domicilio informatico”.
Il codice così recita: “chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo, è punito con la reclusione fino a tre anni.
La pena è della reclusione da uno a cinque anni:
1) se il fatto è commesso da un pubblico ufficiale o da un incaricato di un pubblico servizio, con abuso dei poteri, o con violazione dei doveri inerenti alla funzione o al servizio, o da chi esercita anche abusivamente la professione di investigatore privato, o con abuso della qualità di operatore del sistema;
2) se il colpevole per commettere il fatto usa violenza sulle cose o alle persone, ovvero se è palesemente armato;
3) se dal fatto deriva la distruzione o il danneggiamento del sistema o l’interruzione totale o parziale del suo funzionamento, ovvero la distruzione o il danneggiamento dei dati, delle informazioni o dei programmi in esso contenuti.
Qualora i fatti di cui ai commi primo e secondo riguardino sistemi informatici o telematici di interesse militare o relativi all’ordine pubblico o alla sicurezza pubblica o alla sanità o alla protezione civile o comunque di interesse pubblico, la pena è, rispettivamente, della reclusione da uno a cinque anni e da tre a otto anni.
Nel caso previsto dal primo comma il delitto è punibile a querela della persona offesa; negli altri casi si procede d’ufficio.”
L’accesso abusivo a sistemi informatici è un reato che sta crescendo sempre più nella sua importanza, essendo la tecnologia man mano sempre più presente nel nostro quotidiano. Si pensi, difatti, oltre alle frequenti violazioni ai sistemi informatici da parte di estranei, agli accessi da remoto, tipici dei cosidetti hacker, soggetti abili ad introdursi all’interno delle reti di sistemi informatici e di sicurezza informatica e in grado di acquisire le informazioni ivi contenute, al fine di un loro utilizzo personale e quasi mai lecito (si pensi, ad esempio, ad un eventuale fine estorsivo in cui si minaccia di far trapelare contenuti personali o comunque soggetti a privacy).
Ebbene, in presenza di tali condotte illecite, la prima e complessa problematica che nasce in fase di indagini è quella di stabilire il luogo di consumazione della condotta criminosa.
Si pensi, a tal proposito, all’avvento della rete e del cyberspazio ed alla nascita dei web server, oppure anche a normali server ove sono collocate delle informazioni, abusivamente poi carpite dall’esterno da altri terminali che magari si trovano ad enormi distanze fisiche da essi.
In tali casi, la condotta tipica del reato quest’oggi in esame induce a ritenere che il delitto si perfezioni nell’esatto momento e nel luogo specifico in cui l’operatore abusivo abbia inviato, mediante la digitazione sulla propria tastiera, la serie di input necessari ad acquisire le informazioni a cui era interessato all’interno del sistema da lui preso di mira con l’attacco informatico.
In realtà, tale affermazione costituisce un vero e proprio punto di arrivo, essendo stata molto dibattuta in giurisprudenza la questione se il locus commissi delicti andasse individuato nel momento della digitazione sulla tastiera dell’operatore esterno oppure fosse da individuarsi nella collocazione fisica del server. Pertanto, si tende a preferire il criterio espresso nella prima soluzione, come invocato anche da una pronuncia della Suprema Corte a Sezioni Unite la quale, su una questione riguardante l’art. 615 ter già da tempo aveva descritto come: “l’individuazione del giudice penale territorialmente competente a giudicare un dato reato debba richiedere la presenza di un collegamento con il luogo di commissione del reato stesso, per tutta una serie di intuitive ragioni, che vanno dall’esigenza di assicurare un effettivo controllo sociale, a quella di agevolare la raccolta delle prove, a quella di ridurre i disagi per le parti e per i testi” (Cass. pen., Sez. un., n. 40537/09). Non sono mancate però soluzioni interpretative di senso opposto, in particolar modo quando ogni qual volta l’operatore infiltrato si fosse collegato ad un server italiano dall’estero.
E’ bene ricordare anche come l’art. 615 ter, non si limiti a punire chiunque abusivamente si introduca in un sistema informatico o telematico protetto da misure di sicurezza, ma anche chi vi si mantenga all’interno contro la volontà espressa o tacita di chi ha il diritto di escluderlo.
Ciò vuol dire che anche chi precedentemente avesse avuto un accesso, se pure autorizzato, qualora continuasse ad averlo contro la volontà espressa (o anche tacita) del concedente e per finalità diverse da quelle per le quali era stato a ciò abilitato, può essere perseguito penalmente.
Inoltre è altresì previsto un aumento di pena:
1) se il fatto è commesso da un pubblico ufficiale o da un incaricato di un pubblico servizio, con abuso dei poteri, o con violazione dei doveri inerenti alla funzione o al servizio, o da chi esercita anche abusivamente la professione di investigatore privato o con abuso della qualità di operatore del sistema;
2) se il colpevole per commettere il fatto usa violenza sulle cose o alle persone, ovvero se è palesemente armato;
3) se dal fatto deriva la distruzione o il danneggiamento del sistema o l’interruzione totale o parziale del suo funzionamento, ovvero la distruzione o il danneggiamento dei dati, delle informazioni o dei programmi in esso contenuti.
Riguardo al punto n. 1, in particolare, tale disposizione costituisce una “circostanza aggravante esclusivamente soggettiva”, collegando l’aumento di pena e la procedibilità di ufficio ad una sola specifica qualità dell’agente e cioè che il soggetto attivo del reato rivesta la qualifica di investigatore privato, operatore di sistema informatico o di pubblico ufficiale e di incaricato di pubblico servizio. Tali qualifiche gli permetterebbero, infatti, di sfruttare una evidente posizione di vantaggio nella commissione del fatto tipico.
Di recente interesse è una sentenza della Cassazione a Sezioni Unite che sul tema, pronunciandosi sul caso di un cancelliere che aveva utilizzato le proprie credenziali di accesso per informarsi riguardo al procedimento di un conoscente, ha dato delle linee guida riguardo alle condotte di accesso ad un sistema informatico commesse da un pubblico ufficiale o da un incaricato di pubblico servizio che attui un cosìdetto sviamento di potere, ossia acceda ad un sistema informatico o telematico protetto per finalità diverse da quelle di ufficio. Le S.U. hanno stabilito, pertanto, il seguente principio di diritto: “integra il delitto previsto dall’art. 615 ter, secondo comma, n. 1, cod. pen. la condotta del pubblico ufficiale o dell’incaricato di un pubblico servizio che, pur essendo abilitato e pur non violando le prescrizioni formali impartite dal titolare di un sistema informatico o telematico protetto per delimitarne l’accesso (nella specie, Registro delle notizie di reato: Re. Ge.) acceda o si mantenga nel sistema per ragioni ontologicamente estranee e comunque diverse rispetto a quelle per le quali, soltanto, la facoltà di accesso gli è attribuita.” (Cass., Sez. Un., sent. n. 41210/17).
In particolare, le Sezioni Unite hanno finito per dissipare i dubbi circa la rilevanza penale del fatto commesso dal pubblico ufficiale o dall’incaricato di pubblico servizio, pur se in assenza della violazione di specifiche prescrizioni provenienti dal titolare del sistema.
Tale cosiddetto sviamento di potere si ha quando il pubblico funzionario persegua nella sua attività una finalità diversa da quella che gli assegna in astratto la legge.
Da tempo, infatti, la nozione dello sviamento di potere è ricondotta all’interno delle più ampie nozioni di abusività della condotta e di fatto commesso con violazione dei doveri di ufficio, realizzandosi una violazione di legge non solo quando la condotta del pubblico ufficiale sia confliggente con le norme che regolano l’esercizio del suo potere, ma anche quando la stessa risulti orientata alla sola realizzazione di un interesse che vada a contrastare quello per il quale il potere è attribuito. Ne consegue, dunque, che l’accesso ad un sistema informatico per ragioni estranee a quelle di ufficio permea la condotta abusiva del pubblico ufficiale ponendosi in totale contrasto con la funzione espletata.
Inoltre, il codice prevede che qualora i fatti di cui al primo e secondo comma riguardino sistemi informatici o telematici di interesse militare o relativi all’ordine pubblico o alla sicurezza pubblica o alla sanità o alla protezione civile o comunque di interesse pubblico, la pena è, rispettivamente, della reclusione da uno a cinque anni e da tre a otto anni.
Infine precisa come solo quanto previsto al primo comma è procedibile a querela di parte, mentre tutti gli altri casi invece sono procedibili d’ufficio.
In sostanza, dunque, la disciplina del reato in esame risulta essere ancora in evoluzione. Sicuramente in alcune parti essa è perfettibile, quantomeno ai fini della esatta individuazione del reo in un sistema telematico in continua espansione e tenuto costantemente sotto tiro dagli attacchi di pirati informatici. Il problema non è di poco conto, basti pensare che i costi sostenuti dalle aziende italiane a causa del cosiddetto cybercrime sono elevatissimi e purtroppo i furti di dati sono all’ordine del giorno. Sarebbe, dunque, auspicabile un ripensamento sistemico della cybersecurity e della sicurezza informatica in generale per allargare ed incasellare progressivamente le nuove fattispecie punibili.
Avv. Alessio Giuseppe Verde – Avv. Mariaelena Verde