Home

Accesso abusivo ad un sistema informatico o telematico

Fonte: Cod. Pen Articolo 615 ter
Luigi Cuomo
19 Giugno 2015

L'art. 615-ter c.p. punisce con la reclusione fino a tre anni “chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo”.
Inquadramento

L'art. 615-ter c.p. punisce con la reclusione fino a tre anni “chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo”.

La norma protegge il cosiddetto “domicilio informatico”, in tal modo colmando talune lacune strutturali dell'ordinamento penale in materia di “computer crimes”: le ragioni che hanno portato all'introduzione nel nostro ordinamento della fattispecie incriminatrice vanno ricercate nella Raccomandazione del Consiglio d'Europa sulla criminalità informatica del 1989, con la quale si chiedeva, tra l'altro, agli Stati di assicurare “una protezione, in via anticipata e indiretta, contro i rischi di manipolazioni informatiche, di danneggiamento dei dati e di spionaggio informatico, che possono derivare dall'accesso non autorizzato a un sistema informatico”.

Meritevole di tutela penale è il contenuto dei sistemi informatici, ossia i dati e i programmi che vi sono immagazzinati e che l'intruso potrebbe manipolare fraudolentemente, danneggiare e, soprattutto, conoscere e riprodurre.

Il bene giuridico tutelato

La fattispecie incriminatrice è stata inserita nella sezione IV del codice penale dedicata ai delitti contro l'inviolabilità del domicilio, penalmente inteso come luogo dove l'individuo esplica liberamente la personalità in tutte le sue manifestazioni.

Il domicilio informatico costituisce un'espansione ideale dell'area di rispetto pertinente al soggetto interessato, garantita dall'art. 14 Cost. e penalmente tutelata nei suoi aspetti essenziali e tradizionali dall'art. 614 c.p.

In evidenza

Colui che si inserisce abusivamente nell'altrui unità di elaborazione, contro la volontà del titolare, commette un reato al pari di chi si introduce in un'abitazione senza il consenso dell'avente diritto.

L'istituto difende una pluralità di beni giuridici e di interessi eterogenei, dal diritto alla riservatezza (che collima con l'idea di domicilio informatico quale estensione del domicilio tradizionale), a diritti di natura patrimoniale (come l'uso indisturbato dell'elaboratore per perseguire scopi economici e produttivi), fino ad interessi collettivi, come quelli di carattere militare, sanitari, oppure relativi all'ordine e alla sicurezza pubblica, che potrebbero essere compromessi da intrusioni e manomissioni non autorizzate.

L'ambiente informatico, contenendo informazioni e dati personali che devono rimanere riservati e conservati al riparo da ingerenze ed intrusioni provenienti da terzi, rappresenta un luogo inviolabile delimitato da confini virtuali, come uno spazio privato dove si proteggono le attività domestiche, che crea una interdipendenza immediata con il soggetto che ne è titolare.

Il sistema informatico non può essere più considerato un semplice strumento di elaborazione e conservazione di documenti in formato elettronico, ma rappresenta un indispensabile mezzo di catalogazione, applicazione e ricerca attraverso il quale l'individuo esprime le sue capacità professionali, culturali e, più in generale, le proprie facoltà intellettive.

In evidenza

Con la previsione dell'art. 615-ter c.p., introdotto a seguito della legge 23 dicembre 1993, n. 547, “il legislatore ha assicurato la protezione del domicilio informatico quale spazio ideale (ma anche fisico in cui sono contenuti i dati informatici) di pertinenza della persona, ad esso estendendo la tutela della riservatezza della sfera individuale, quale bene anche costituzionalmente protetto. Tuttavia l'art. 615-ter c.p. non si limita a tutelare solamente i contenuti personalissimi dei dati raccolti nei sistemi informatici protetti ma offre una tutela più ampia che si concreta nello jus excludendi alios, quale che sia il contenuto dei dati racchiusi in esso, purché attinente alla sfera di pensiero o all'attività, lavorativa o non, dell'utente; con la conseguenza che la tutela della legge si estende anche agli aspetti economico-patrimoniali dei dati sia che titolare dello jus excludendi sia persona fisica, sia giuridica, privata o pubblica, o altro ente (Cass. pen., Sez. VI, 4 ottobre 1999, n. 3067).
Il soggetto attivo

L'aggressione ai sistemi informatici e telematici è solitamente realizzata da soggetti con elevate conoscenze e capacità tecnico-informatiche, che vengono definiti hacker.

Molto spesso, tuttavia, gli accessi abusivi sono commessi da dipendenti infedeli, che, essendo a conoscenza dei codici di accesso per interagire con il sistema della società o dell'ente per cui lavorano, sono in grado di compiere una serie di atti criminali in genere preclusi alla generalità dei cittadini o, comunque, accessibili solo a soggetti maggiormente esperti nell'uso delle tecnologie.

Il reato è aggravato non solo se il fatto è commesso da un pubblico ufficiale o da un incaricato di un pubblico servizio, con abuso dei poteri o con violazione dei doveri inerenti alla funzione o al servizio, ma anche se la condotta è posta in essere da chi esercita anche abusivamente la professione di investigatore privato o con abuso della qualità di operatore del sistema.

L'inasprimento del trattamento sanzionatorio è giustificato dalla maggiore pericolosità della condotta posta in essere dai soggetti che ricoprono qualifiche pubblicistiche, da coloro che hanno un rapporto privilegiato con il sistema o esercitano una professione connotata dall'impiego di sofisticati strumenti di intrusione tecnologica nella sfera privata dei terzi.

Può assumere la qualità di operatore di sistema una vasta gamma di persone, tra cui il soggetto preposto alle operazioni di input e di output, di avviamento o di arresto dell'elaboratore elettronico, il programmatore, il sistemista o l'analista che sviluppa gli algoritmi per soddisfare specifiche esigenze.

Se un crimine informatico viene commesso da un operatore di sistema occorre considerare che l'agente, in qualche modo, riveste il ruolo di custode del bene tutelato dalla norma e che, contro le sue condotte offensive, le difese e le misure protettive opponibili sono nella pratica inesistenti o del tutto inefficaci.

In evidenza

Con la previsione dell'art. 615-ter c.p., introdotto a seguito della legge 23 dicembre 1993, n. 547, “il legislatore ha assicurato la protezione del domicilio informatico quale spazio ideale (ma anche fisico in cui sono contenuti i dati informatici) di pertinenza della persona, ad esso estendendo la tutela della riservatezza della sfera individuale, quale bene anche costituzionalmente protetto. Tuttavia l'art. 615-ter c.p. non si limita a tutelare solamente i contenuti personalissimi dei dati raccolti nei sistemi informatici protetti ma offre una tutela più ampia che si concreta nello jus excludendi alios, quale che sia il contenuto dei dati racchiusi in esso, purché attinente alla sfera di pensiero o all'attività, lavorativa o non, dell'utente; con la conseguenza che la tutela della legge si estende anche agli aspetti economico-patrimoniali dei dati sia che titolare dello jus excludendi sia persona fisica, sia giuridica, privata o pubblica, o altro ente (Cass. pen., Sez. VI, 4 ottobre 1999, n. 3067).
Il sistema informatico

Il costante sviluppo tecnologico richiede una attenta indagine al fine di individuare correttamente il significato di “sistema informatico o telematico”, che costituisce l'oggetto della protezione giuridica dalle altrui intrusioni o indiscrezioni.

L'art. 1 della Convenzione Europea di Budapest del 23 novembre 2001 fornisce la definizione di “sistema informatico” che viene individuato in “qualsiasi apparecchiatura o gruppo di apparecchiature interconnesse o collegate, una o più delle quali, in base ad un programma, compiono l'elaborazione automatica dei dati”.

Per evitare vuoti di tutela è preferibile assumere la nozione più ampia possibile di computer, per ricomprendervi i sistemi a programma variabile, gli elaboratori cosiddetti dedicati, nonché i calcolatori nei quali l'inserimento del software è precostituito mediante firmware o circuitazione integralmente prestabilita e non mutabile.

Per individuare la categorie delle apparecchiature oggetto di tutela, è comunque necessario che i singoli sistemi utilizzino, in tutto o in parte, tecnologie elettroniche che trattano e rappresentano informazioni attraverso simboli numerici elementari denominati bit che, organizzati in opportune combinazioni, vengono sottoposti ad elaborazione automatica.

In evidenza

Deve ritenersi "sistema informatico" un complesso di apparecchiature destinate a compiere una qualsiasi funzione utile all'uomo, attraverso l'utilizzazione (anche parziale) di tecnologie informatiche, che sono caratterizzate – per mezzo di un'attività di "codificazione" e "decodificazione" – dalla registrazione o memorizzazione, per mezzo di impulsi elettronici, su supporti adeguati, di dati, cioè di rappresentazioni elementari di un fatto, effettuata attraverso simboli (bit), in combinazione diverse, e dalla elaborazione automatica di tali dati, in modo da generare "informazioni", costituite da un insieme più o meno vasto di dati organizzati secondo una logica che consenta loro di esprimere un particolare significato per l'utente. La valutazione circa il funzionamento di apparecchiature a mezzo di tali tecnologie costituisce giudizio di fatto insindacabile in cassazione ove sorretto da motivazione adeguata e immune da errori logici (Cass. pen., Sez. VI, 4 ottobre 1999, n. 3067).


Nella nozione di sistema informatico devono essere ricompresi sia i dispositivi di scrittura o di automazione d'ufficio ad uso individuale di qualunque tipo e dimensione, sia i più complessi sistemi di elaborazione in grado di erogare, anche in rete, servizi e potenza di calcolo ad una pluralità di utenti interconnessi.

Il termine è suscettibile di ricomprendere come possibile oggetto di attacco tanto la macchina nel suo insieme, quanto i suoi singoli componenti, a condizione che il complesso delle apparecchiature, dei programmi e delle informazioni sia unitariamente finalizzato all'espletamento di determinate funzioni e al raggiungimento di specifiche utilità.

In evidenza

Ai fini della configurabilità della circostanza aggravante dell'essere il sistema di interesse pubblico non è sufficiente la qualità di concessionario di pubblico servizio rivestita dal titolare del sistema, dovendosi accertare se il sistema informatico o telematico si riferisca ad attività direttamente rivolta al soddisfacimento di bisogni generali della collettività (Cass. pen., Sez. V, 13 dicembre 2010, n. 1934).

Il sistema telematico

Con l'espressione “sistema telematico” le disposizioni sui crimini informatici rinviano ad un insieme combinato di apparecchiature idoneo alla trasmissione a distanza di dati e di informazioni, attraverso l'impiego di tecnologie dedicate alle telecomunicazioni.

La definizione di telematica deriva dalla contrazione semantica tra i termini “telecomunicazioni” e “informatica” per indicare la trasmissione a distanza e la circolazione dei dati con i nuovi sistemi di diffusione delle informazioni o con i moderni dispositivi mobili come smartphone e tablet.

Nell'ambito dei meccanismi di elaborazione delle informazioni rientrano i sistemi denominati client-server, che indicano una architettura di rete nella quale genericamente un computer client o terminale si connette ad un server per la fruizione di un certo servizio, quale ad esempio la condivisione di una certa risorsa hardware o software, ovvero per consultare, immettere o modificare informazioni rese disponibili ad altri client, appoggiandosi alla sottostante architettura protocollare.

Le misure di sicurezza

La difesa giuridica è limitata ai sistemi informatici o telematici “protetti da misure di sicurezza”, che consistono in mezzi di protezione sia logica che fisica apposti dal titolare al fine di riservare l'accesso o la permanenza alle sole persone da lui autorizzate: le misure di sicurezza rilevanti ai fini della protezione giuridica, possono essere costituite da chiavi metalliche per l'accensione del sistema, badge, password o caratteristiche biometriche dell'utente.

L'elusione delle barriere protettive può avvenire in qualsiasi modo, sia modificando i presupposti conoscitivi del software che regola gli accessi, che individuando password con ripetuti tentativi o aggirando in ogni altro modo la protezione.

Gli accorgimenti predisposti dal titolare costituiscono una condizione per la verifica dell'abusività dell'accesso e per semplificare l'accertamento dell'aspetto soggettivo del reato, avvertendo l'intrusore dell'abuso che sta compiendo.

In evidenza

Le misure di sicurezza sono costituite dai meccanismi logici, tecnologici ed organizzativi che tendono ad impedire la commissione di reati informatici e a prevenire altri eventi dannosi per la macchina o per i dati (più che mezzi di protezione del luogo ove è collocato il computer, si tratta di strumenti protettivi aventi ad oggetto direttamente ed esclusivamente il sistema informatico).

Secondo la giurisprudenza, la violazione dei dispositivi di protezione non assume rilevanza per sé, ma solo come eventuale manifestazione di una volontà contraria a quella di chi dispone legittimamente del sistema (Cass pen., Sez. 5, Sentenza n. 12732/2000, Rv. 217743).

La fattispecie non richiede un determinato coefficiente di efficacia delle misure di sicurezza, né fornisce alcun parametro tecnico per valutarne l'efficienza, perché una ricognizione successiva alla commissione dell'intrusione farebbe emergere che nessun accorgimento potrebbe mai reputarsi davvero valido.

Pertanto, «integra il delitto di introduzione abusiva in un sistema informatico o telematico l'accesso ad un sistema che sia protetto da un dispositivo costituito anche soltanto da una parola chiave o "password"» (Cass. pen., Sez. II, 21 febbraio 2008, n. 36721).

In evidenza

La protezione del sistema può essere adottata anche con misure di carattere organizzativo, che disciplinino le modalità di accesso ai locali in cui il sistema è ubicato e indichino le persone abilitate al suo utilizzo (Cass. pen., Sez. V, 8 luglio 2008, n. 37322).
L'introduzione abusiva

Il concetto di “accesso” o “introduzione” implica una interazione tra l'agente e il sistema, realizzata mediante l'utilizzo della tastiera ovvero attraverso una connessione telematica “da parte di colui che non sia in alcun modo abilitato” (Cass. pen., Sez. V, 30 settembre 2008, n. 1727)

Il termine “accesso” è riferito non tanto al semplice collegamento fisico o all'accensione dello schermo, quanto al dialogo comunicativo che si instaura a seguito del superamento della barriera di protezione del sistema, in modo che l'agente venga a trovarsi nella condizione di conoscere dati o informazioni.

L'introduzione può avvenire “da lontano”, cioè per via elettronica, allorché venga utilizzato un altro elaboratore, o “da vicino”, ad opera di chi si venga a trovare a diretto contatto con il sistema informatico.

La condotta illecita deve consistere, per superare la barriera di perimetrazione elettronica posta a protezione dell'elaboratore elettronico, in un ingresso abusivo reso possibile per l'uso di parole chiave, codici od altri strumenti duplicati, rubati, sottratti o comunque ricevuti in modo illecito.

In evidenza

La duplicazione dei dati contenuti in un sistema informatico o telematico costituisce “condotta tipica del reato previsto dall'art. 615-ter c.p., restando in esso assorbito il reato di appropriazione indebita” (Cass. pen., Sez. V, 8 luglio 2008, n. 37322).
Il mantenimento abusivo

La condotta di accesso è prodromica a quella di mantenimento e tale successiva condotta si realizza nei casi in cui, ad un ingresso originariamente legittimo, faccia seguito un trattenimento illegittimo che perdura consapevolmente.

Mantenersi all'interno del sistema significa abusare del titolo di abilitazione, continuare ad operare o servirsi delle risorse informatiche dopo esservi entrato legittimamente ed averne fatto un uso lecito, ma oltre i limiti prefissati dal titolare.

In questa prospettiva, si ritiene ravvisabile il reato nella condotta del soggetto che, avendo titolo per accedere al sistema in virtù di un rapporto contrattuale o di servizio, vi si introduca con la password concessa in uso per consultare o estrarre dati protetti per finalità estranee alle ragioni di istituto e agli scopi sottostanti alla protezione dell'archivio informatico.

Nel caso, quindi, di mantenimento nell'elaboratore elettronico, dopo esservi entrato legittimamente, oltre i limiti prefissati dall'avente diritto, oggetto della punizione sarebbe l'uso dell'elaboratore attraverso modalità non consentite, più che l'accesso ad esso.

Secondo la giurisprudenza, “integra il delitto previsto dall'art. 615-terc .p. non solo la condotta di colui che si introduca abusivamente in un sistema informatico protetto, ma altresì quella di chi, pur autorizzato ad accedervi, vi si trattenga, contro la volontà espressa o tacita di chi abbia il diritto di escluderlo, per finalità diverse da quelle per le quali era stato abilitato” (Cass. pen., Sez. V, 18 gennaio 2001, n. 24583).

In evidenza

Integra il reato di accesso abusivo al sistema informatico la condotta del pubblico dipendente, impiegato della Agenzia delle entrate, che effettui interrogazioni sul sistema centrale dell'anagrafe tributaria sulla posizione di contribuenti non rientranti, in ragione del loro domicilio fiscale, nella competenza del proprio ufficio (Cass. pen., Sez. V, 24 aprile 2013, n. 22024).
Il momento consumativo e l'elemento soggettivo

Il reato si consuma al momento dell'intrusione, in quanto l'elusione o la manipolazione delle barriere elettroniche è indice della volontà di penetrare all'interno del sistema, mentre non è necessario che il responsabile abbia agito per fini di lucro o semplicemente per gioco, ovvero abbia effettivamente carpito informazioni o impedito il funzionamento dell'unità di elaborazione, sebbene, di regola, l'intrusione è preordinata alla lettura o alla duplicazione di dati.

Il delitto di accesso abusivo a un sistema informatico “è un reato di mera condotta, che si perfeziona con la violazione del domicilio informatico e, quindi, con l'introduzione in un sistema costituito da un complesso di apparecchiature che utilizzano tecnologie informatiche, senza che sia necessario che l'intrusione sia effettuata allo scopo di insidiare la riservatezza dei legittimi utenti o che si verifichi una effettiva lesione alla stessa” (Cass. pen., Sez. V, 6 febbraio 2007, n. 11689).

In evidenza

L'elemento soggettivo della fattispecie è il dolo generico, cioè la cosciente e volontaria ingerenza nel sistema, pur nella consapevolezza che lo stesso è protetto da misure di scurezza, o nel volontario trattenimento nonostante la contraria volontà del titolare dello jus excludendi.
L'abusività dell'accesso

Non tutti gli accessi con cui si instaura una comunicazione in senso tecnico-informatico sono penalmente rilevanti, essendo punibili solo quelli vietati dal titolare.

L'abuso in esame discende da una clausola di “antigiuridicità speciale”, che estende l'oggetto dell'interpretazione della fattispecie alla normativa extrapenale, cui è demandato il compito di regolare l'accesso lecito al sistema informatico, distinguendo le condotte di ingresso o mantenimento clandestine e fraudolente.

In altre parole, l'avverbio “abusivamente” rappresenta un requisito normativo della condotta tipica, consistente nella mancanza o, comunque, nella violazione dell'autorizzazione all'accesso, di consuetudini aziendali, di regolamenti organizzativi interni o di clausole contrattuali individuali di lavoro.

In evidenza

Ai fini della configurabilità del delitto previsto dall'art. 615-ter c.p., l'accesso di soggetto abilitato ad un sistema informatico è abusivo solo quando l'agente viola i limiti risultanti dal complesso delle prescrizioni impartite dal titolare del sistema ovvero pone in essere operazioni di natura ontologicamente diversa da quelle di cui egli è incaricato ed in relazione alle quali l'accesso è a lui consentito (Cass. pen., Sez. V, 20 giugno 2014, n. 44390).
La competenza territoriale

Il luogo di consumazione del delitto di cui all'art. 615-ter c.p. coincide con quello in cui si trova l'utente che, tramite elaboratore elettronico o altro dispositivo per il trattamento automatico dei dati, digitando la "parola chiave" o altrimenti eseguendo la procedura di autenticazione, supera le misure di sicurezza apposte dal titolare per selezionare gli accessi e per tutelare la banca-dati memorizzata all'interno del sistema centrale, ovvero vi si mantiene eccedendo i limiti dell'autorizzazione ricevuta (Cass. pen., Sez. un., 26 marzo 2014, n. 17325).

Casistica

Concorso di reati

Il delitto di accesso abusivo ad un sistema informatico può concorrere con quello di frode informatica, diversi essendo i beni giuridici tutelati e le condotte sanzionate, in quanto il primo tutela il domicilio informatico sotto il profilo dello ius excludendi alios, anche in relazione alle modalità che regolano l'accesso dei soggetti eventualmente abilitati, mentre il secondo contempla l'alterazione dei dati immagazzinati nel sistema al fine della percezione di ingiusto profitto (Cass. pen., Sez. V, 30 settembre 2008, n. 1727).

Introduzione in orario diverso da quello consentito

Ai fini della configurabilità del reato di accesso abusivo ad un sistema informatico, non assumono rilievo le violazioni commesse dal soggetto autorizzato in ordine alle indicazioni relative all'orario nel quale gli accessi possono essere effettuati in quanto si tratta di prescrizioni che attengono solo al profilo della organizzazione interna dell'ufficio presso il quale il sistema è operativo e non, invece, all'accesso ed al tempo di permanenza nel sistema informatico (Cass. pen., Sez. V, 24 settembre 2014, n. 47938).

Compimento di operazioni diverse da quelle autorizzate

L'accesso di soggetto abilitato ad un sistema informatico è abusivo solo quando l'agente viola i limiti risultanti dal complesso delle prescrizioni impartite dal titolare del sistema ovvero pone in essere operazioni di natura ontologicamente diversa da quelle di cui egli è incaricato ed in relazione alle quali l'accesso è a lui consentito (Cass. pen., Sez. V, 20 giugno 2014, n. 44390).

Associazione per delinquere finalizzata alla realizzazione di accessi abusivi

È configurabile il delitto di associazione per delinquere finalizzata alla realizzazione di accessi abusivi a sistemi informatici da parte di un sodalizio criminoso operante esclusivamente in rete, anche quando non risulti individuabile l'esistenza di una struttura di vertice del gruppo (Cass. pen., Sez. fer., 12 settembre 2013, n. 50620).

Introduzione nel sistema POS

Integra il reato di accesso abusivo ad un sistema informatico la condotta di chi si introduce nel sistema POS predisposto per il pagamento a mezzo carte di credito e bancomat, installando un microchip idoneo ad intercettare le comunicazioni informatiche di detto apparato e a scaricarne i dati, per poi successivamente utilizzarli al fine di clonare altre carte (Cass. pen., Sez. fer., 23 gosto 2012, n. 43755).
Sommario
L'introduzione abusiva
Il momento consumativo e l'elemento soggettivo
L'abusività dell'accesso