Accesso abusivo ad un sistema informatico o telematicoFonte: Cod. Pen Articolo 615 ter
19 Giugno 2015
Inquadramento
L'art. 615-ter c.p. punisce con la reclusione fino a tre anni “chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo”. La norma protegge il cosiddetto “domicilio informatico”, in tal modo colmando talune lacune strutturali dell'ordinamento penale in materia di “computer crimes”: le ragioni che hanno portato all'introduzione nel nostro ordinamento della fattispecie incriminatrice vanno ricercate nella Raccomandazione del Consiglio d'Europa sulla criminalità informatica del 1989, con la quale si chiedeva, tra l'altro, agli Stati di assicurare “una protezione, in via anticipata e indiretta, contro i rischi di manipolazioni informatiche, di danneggiamento dei dati e di spionaggio informatico, che possono derivare dall'accesso non autorizzato a un sistema informatico”. Meritevole di tutela penale è il contenuto dei sistemi informatici, ossia i dati e i programmi che vi sono immagazzinati e che l'intruso potrebbe manipolare fraudolentemente, danneggiare e, soprattutto, conoscere e riprodurre. Il bene giuridico tutelato
La fattispecie incriminatrice è stata inserita nella sezione IV del codice penale dedicata ai delitti contro l'inviolabilità del domicilio, penalmente inteso come luogo dove l'individuo esplica liberamente la personalità in tutte le sue manifestazioni. Il domicilio informatico costituisce un'espansione ideale dell'area di rispetto pertinente al soggetto interessato, garantita dall'art. 14 Cost. e penalmente tutelata nei suoi aspetti essenziali e tradizionali dall'art. 614 c.p.
L'istituto difende una pluralità di beni giuridici e di interessi eterogenei, dal diritto alla riservatezza (che collima con l'idea di domicilio informatico quale estensione del domicilio tradizionale), a diritti di natura patrimoniale (come l'uso indisturbato dell'elaboratore per perseguire scopi economici e produttivi), fino ad interessi collettivi, come quelli di carattere militare, sanitari, oppure relativi all'ordine e alla sicurezza pubblica, che potrebbero essere compromessi da intrusioni e manomissioni non autorizzate. L'ambiente informatico, contenendo informazioni e dati personali che devono rimanere riservati e conservati al riparo da ingerenze ed intrusioni provenienti da terzi, rappresenta un luogo inviolabile delimitato da confini virtuali, come uno spazio privato dove si proteggono le attività domestiche, che crea una interdipendenza immediata con il soggetto che ne è titolare. Il sistema informatico non può essere più considerato un semplice strumento di elaborazione e conservazione di documenti in formato elettronico, ma rappresenta un indispensabile mezzo di catalogazione, applicazione e ricerca attraverso il quale l'individuo esprime le sue capacità professionali, culturali e, più in generale, le proprie facoltà intellettive.
Il soggetto attivo
L'aggressione ai sistemi informatici e telematici è solitamente realizzata da soggetti con elevate conoscenze e capacità tecnico-informatiche, che vengono definiti hacker. Molto spesso, tuttavia, gli accessi abusivi sono commessi da dipendenti infedeli, che, essendo a conoscenza dei codici di accesso per interagire con il sistema della società o dell'ente per cui lavorano, sono in grado di compiere una serie di atti criminali in genere preclusi alla generalità dei cittadini o, comunque, accessibili solo a soggetti maggiormente esperti nell'uso delle tecnologie. Il reato è aggravato non solo se il fatto è commesso da un pubblico ufficiale o da un incaricato di un pubblico servizio, con abuso dei poteri o con violazione dei doveri inerenti alla funzione o al servizio, ma anche se la condotta è posta in essere da chi esercita anche abusivamente la professione di investigatore privato o con abuso della qualità di operatore del sistema. L'inasprimento del trattamento sanzionatorio è giustificato dalla maggiore pericolosità della condotta posta in essere dai soggetti che ricoprono qualifiche pubblicistiche, da coloro che hanno un rapporto privilegiato con il sistema o esercitano una professione connotata dall'impiego di sofisticati strumenti di intrusione tecnologica nella sfera privata dei terzi. Può assumere la qualità di operatore di sistema una vasta gamma di persone, tra cui il soggetto preposto alle operazioni di input e di output, di avviamento o di arresto dell'elaboratore elettronico, il programmatore, il sistemista o l'analista che sviluppa gli algoritmi per soddisfare specifiche esigenze. Se un crimine informatico viene commesso da un operatore di sistema occorre considerare che l'agente, in qualche modo, riveste il ruolo di custode del bene tutelato dalla norma e che, contro le sue condotte offensive, le difese e le misure protettive opponibili sono nella pratica inesistenti o del tutto inefficaci.
Il sistema informatico
Il costante sviluppo tecnologico richiede una attenta indagine al fine di individuare correttamente il significato di “sistema informatico o telematico”, che costituisce l'oggetto della protezione giuridica dalle altrui intrusioni o indiscrezioni. L'art. 1 della Convenzione Europea di Budapest del 23 novembre 2001 fornisce la definizione di “sistema informatico” che viene individuato in “qualsiasi apparecchiatura o gruppo di apparecchiature interconnesse o collegate, una o più delle quali, in base ad un programma, compiono l'elaborazione automatica dei dati”. Per evitare vuoti di tutela è preferibile assumere la nozione più ampia possibile di computer, per ricomprendervi i sistemi a programma variabile, gli elaboratori cosiddetti dedicati, nonché i calcolatori nei quali l'inserimento del software è precostituito mediante firmware o circuitazione integralmente prestabilita e non mutabile. Per individuare la categorie delle apparecchiature oggetto di tutela, è comunque necessario che i singoli sistemi utilizzino, in tutto o in parte, tecnologie elettroniche che trattano e rappresentano informazioni attraverso simboli numerici elementari denominati bit che, organizzati in opportune combinazioni, vengono sottoposti ad elaborazione automatica.
Il termine è suscettibile di ricomprendere come possibile oggetto di attacco tanto la macchina nel suo insieme, quanto i suoi singoli componenti, a condizione che il complesso delle apparecchiature, dei programmi e delle informazioni sia unitariamente finalizzato all'espletamento di determinate funzioni e al raggiungimento di specifiche utilità.
Il sistema telematico
Con l'espressione “sistema telematico” le disposizioni sui crimini informatici rinviano ad un insieme combinato di apparecchiature idoneo alla trasmissione a distanza di dati e di informazioni, attraverso l'impiego di tecnologie dedicate alle telecomunicazioni. La definizione di telematica deriva dalla contrazione semantica tra i termini “telecomunicazioni” e “informatica” per indicare la trasmissione a distanza e la circolazione dei dati con i nuovi sistemi di diffusione delle informazioni o con i moderni dispositivi mobili come smartphone e tablet. Nell'ambito dei meccanismi di elaborazione delle informazioni rientrano i sistemi denominati client-server, che indicano una architettura di rete nella quale genericamente un computer client o terminale si connette ad un server per la fruizione di un certo servizio, quale ad esempio la condivisione di una certa risorsa hardware o software, ovvero per consultare, immettere o modificare informazioni rese disponibili ad altri client, appoggiandosi alla sottostante architettura protocollare. Le misure di sicurezza
La difesa giuridica è limitata ai sistemi informatici o telematici “protetti da misure di sicurezza”, che consistono in mezzi di protezione sia logica che fisica apposti dal titolare al fine di riservare l'accesso o la permanenza alle sole persone da lui autorizzate: le misure di sicurezza rilevanti ai fini della protezione giuridica, possono essere costituite da chiavi metalliche per l'accensione del sistema, badge, password o caratteristiche biometriche dell'utente. L'elusione delle barriere protettive può avvenire in qualsiasi modo, sia modificando i presupposti conoscitivi del software che regola gli accessi, che individuando password con ripetuti tentativi o aggirando in ogni altro modo la protezione. Gli accorgimenti predisposti dal titolare costituiscono una condizione per la verifica dell'abusività dell'accesso e per semplificare l'accertamento dell'aspetto soggettivo del reato, avvertendo l'intrusore dell'abuso che sta compiendo.
La fattispecie non richiede un determinato coefficiente di efficacia delle misure di sicurezza, né fornisce alcun parametro tecnico per valutarne l'efficienza, perché una ricognizione successiva alla commissione dell'intrusione farebbe emergere che nessun accorgimento potrebbe mai reputarsi davvero valido. Pertanto, «integra il delitto di introduzione abusiva in un sistema informatico o telematico l'accesso ad un sistema che sia protetto da un dispositivo costituito anche soltanto da una parola chiave o "password"» (Cass. pen., Sez. II, 21 febbraio 2008, n. 36721).
Il concetto di “accesso” o “introduzione” implica una interazione tra l'agente e il sistema, realizzata mediante l'utilizzo della tastiera ovvero attraverso una connessione telematica “da parte di colui che non sia in alcun modo abilitato” (Cass. pen., Sez. V, 30 settembre 2008, n. 1727) Il termine “accesso” è riferito non tanto al semplice collegamento fisico o all'accensione dello schermo, quanto al dialogo comunicativo che si instaura a seguito del superamento della barriera di protezione del sistema, in modo che l'agente venga a trovarsi nella condizione di conoscere dati o informazioni. L'introduzione può avvenire “da lontano”, cioè per via elettronica, allorché venga utilizzato un altro elaboratore, o “da vicino”, ad opera di chi si venga a trovare a diretto contatto con il sistema informatico. La condotta illecita deve consistere, per superare la barriera di perimetrazione elettronica posta a protezione dell'elaboratore elettronico, in un ingresso abusivo reso possibile per l'uso di parole chiave, codici od altri strumenti duplicati, rubati, sottratti o comunque ricevuti in modo illecito.
Il mantenimento abusivo
La condotta di accesso è prodromica a quella di mantenimento e tale successiva condotta si realizza nei casi in cui, ad un ingresso originariamente legittimo, faccia seguito un trattenimento illegittimo che perdura consapevolmente. Mantenersi all'interno del sistema significa abusare del titolo di abilitazione, continuare ad operare o servirsi delle risorse informatiche dopo esservi entrato legittimamente ed averne fatto un uso lecito, ma oltre i limiti prefissati dal titolare. In questa prospettiva, si ritiene ravvisabile il reato nella condotta del soggetto che, avendo titolo per accedere al sistema in virtù di un rapporto contrattuale o di servizio, vi si introduca con la password concessa in uso per consultare o estrarre dati protetti per finalità estranee alle ragioni di istituto e agli scopi sottostanti alla protezione dell'archivio informatico. Nel caso, quindi, di mantenimento nell'elaboratore elettronico, dopo esservi entrato legittimamente, oltre i limiti prefissati dall'avente diritto, oggetto della punizione sarebbe l'uso dell'elaboratore attraverso modalità non consentite, più che l'accesso ad esso. Secondo la giurisprudenza, “integra il delitto previsto dall'art. 615-terc .p. non solo la condotta di colui che si introduca abusivamente in un sistema informatico protetto, ma altresì quella di chi, pur autorizzato ad accedervi, vi si trattenga, contro la volontà espressa o tacita di chi abbia il diritto di escluderlo, per finalità diverse da quelle per le quali era stato abilitato” (Cass. pen., Sez. V, 18 gennaio 2001, n. 24583).
Il reato si consuma al momento dell'intrusione, in quanto l'elusione o la manipolazione delle barriere elettroniche è indice della volontà di penetrare all'interno del sistema, mentre non è necessario che il responsabile abbia agito per fini di lucro o semplicemente per gioco, ovvero abbia effettivamente carpito informazioni o impedito il funzionamento dell'unità di elaborazione, sebbene, di regola, l'intrusione è preordinata alla lettura o alla duplicazione di dati. Il delitto di accesso abusivo a un sistema informatico “è un reato di mera condotta, che si perfeziona con la violazione del domicilio informatico e, quindi, con l'introduzione in un sistema costituito da un complesso di apparecchiature che utilizzano tecnologie informatiche, senza che sia necessario che l'intrusione sia effettuata allo scopo di insidiare la riservatezza dei legittimi utenti o che si verifichi una effettiva lesione alla stessa” (Cass. pen., Sez. V, 6 febbraio 2007, n. 11689).
Non tutti gli accessi con cui si instaura una comunicazione in senso tecnico-informatico sono penalmente rilevanti, essendo punibili solo quelli vietati dal titolare. L'abuso in esame discende da una clausola di “antigiuridicità speciale”, che estende l'oggetto dell'interpretazione della fattispecie alla normativa extrapenale, cui è demandato il compito di regolare l'accesso lecito al sistema informatico, distinguendo le condotte di ingresso o mantenimento clandestine e fraudolente. In altre parole, l'avverbio “abusivamente” rappresenta un requisito normativo della condotta tipica, consistente nella mancanza o, comunque, nella violazione dell'autorizzazione all'accesso, di consuetudini aziendali, di regolamenti organizzativi interni o di clausole contrattuali individuali di lavoro.
La competenza territoriale
Il luogo di consumazione del delitto di cui all'art. 615-ter c.p. coincide con quello in cui si trova l'utente che, tramite elaboratore elettronico o altro dispositivo per il trattamento automatico dei dati, digitando la "parola chiave" o altrimenti eseguendo la procedura di autenticazione, supera le misure di sicurezza apposte dal titolare per selezionare gli accessi e per tutelare la banca-dati memorizzata all'interno del sistema centrale, ovvero vi si mantiene eccedendo i limiti dell'autorizzazione ricevuta (Cass. pen., Sez. un., 26 marzo 2014, n. 17325). Casistica
Potrebbe interessarti |