
Accesso abusivo ad un sistema informatico o telematico
Il legislatore disciplina il delitto di accesso abusivo ad un sistema informatico o telematico al Libro III, Titolo XII, Sezione IV intitolata “Dei delitti contro la inviolabilità del domicilio” e precisamente all’art. 615 ter c.p. secondo cui:
«Chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo, è punito con la reclusione fino a tre anni.
La pena è della reclusione da uno a cinque anni:
- se il fatto è commesso da un pubblico ufficiale o da un incaricato di un pubblico servizio, con abuso dei poteri o con violazione dei doveri inerenti alla funzione o al servizio, o da chi esercita anche abusivamente la professione di investigatore privato, o con abuso della qualità di operatore del sistema;
- se il colpevole per commettere il fatto usa violenza sulle cose o alle persone, ovvero se è palesemente armato;
- se dal fatto deriva la distruzione o il danneggiamento del sistema o l’interruzione totale o parziale del suo funzionamento, ovvero la distruzione o il danneggiamento dei dati, delle informazioni o dei programmi in esso contenuti.
Qualora i fatti di cui ai commi primo e secondo riguardino sistemi informatici o telematici di interesse militare o relativi all’ordine pubblico o alla sicurezza pubblica o alla sanità o alla protezione civile o comunque di interesse pubblico, la pena è, rispettivamente, della reclusione da uno a cinque anni e da tre a otto anni. Nel caso previsto dal primo comma il delitto è punibile a querela della persona offesa; negli altri casi si procede d’ufficio.»
Ancor prima di procedere all’analisi delle condotte tipizzate dal legislatore per la configurabilità del delitto in esame previsto dall’art. 615 ter c.p., è necessario soffermarsi su cosa debba intendersi per “sistema informatico”.
A tal proposito una prima indicazione è contenuta nella c.d. “Relazione di presentazione dello Schema di Progetto di legge contenente modificazioni ed integrazioni delle norme del Codice penale in tema di criminalità informatica del 1993” secondo cui per sistemi informatici si deve intendere:
- i sistemi informatici di qualunque tipo e dimensione, comprendendo in tale accezione sia sistemi di scrittura o di automazione d’ufficio ad uso individuale o particolare sia complessi sistemi di elaborazione dati in grado di fornire servizi e potenza di calcolo a migliaia di utenti, sull’intero territorio nazionale od anche oltre i confini del Paese;
- i sistemi telematici, includendo in tale accezione reti di telecomunicazione sia pubbliche che private, “locali” o “geografiche”, nazionali o internazionali, operanti da e per il nostro paese, ed ogni altra loro componente (software, dati, informazioni, flussi di comunicazione, messaggi, ecc.);
- il software, sia esso di base, di supporto, “generalizzato” o “applicativo”, inglobando nel concetto qualunque programma informatico realizzato dal costruttore dell’hardware, da strutture di produzione ad hoc, da singoli utenti e registrato sui supporti più vari, dal singolo semiconduttore ai supporti di memorizzazione magnetici, ottici o di altra natura;
- il patrimonio informatico dei suddetti sistemi (…); in tale accezione vengono ricomprese informazioni, dati elementari, immagini, suoni e quant’altro possa essere registrato, elaborato o scambiato mediante sistemi informatici o telematici di qualunque tipo o dimensione».
Orbene, è evidente, dal raffronto tra il disposto normativo citato e la relazione predetta, che non vi è alcun limite esplicito riferibile ad essi e per tali motivi si deve concludere che anche i sistemi informatici individuali, ossia i personal computers, rientrino pienamente nell’ambito di tutela penale dagli accessi abusivi offerta dall’art. 615 ter c.p.
Tale impostazione è avvalorata finanche dalla giurisprudenza della Corte di Cassazione che, traendo spunto proprio dalla relazione di accompagnamento, ha definito come “sistema informatico” quel «complesso di apparecchiature destinate a compiere qualsiasi funzione utile all’uomo, attraverso l’utilizzazione di tecnologie, appunto, informatiche», cioè «caratterizzate dalla “registrazione” o “memorizzazione” – per mezzo di impulsi elettronici, su supporti adeguati – di “dati”, cioè di rappresentazioni elementari di un fatto, effettuate attraverso simboli (bit), in combinazioni diverse, nonché costituite dalla elaborazione automatica di dati, in modo da generare “informazioni”, costituite da un insieme, più o meno vasto, dei dati stessi, organizzati secondo una logica che consenta loro di esprimere un particolare significato per l’utente» . (In questo senso, cfr. Cass. pen., 6-2-2006, n. 11689, che sul punto sembrerebbe per vero riprendere un orientamento già espresso anni prima da Cass. pen., 4-10-1999, n. 3067, cit.; per la giurisprudenza di merito, v. in questo senso A. Bologna, 30-1-2008, in Corr. Merito, 2008, 1066.)
Un ulteriore definizione di “sistema informatico” è contenuta all’art. 1 della Convenzione di Budapest secondo cui: “sistema informatico” è qualsiasi apparecchiatura o gruppo di apparecchiature interconnesse o collegate, una o più delle quali, in base ad un programma, compiono l’elaborazione automatica dei dati.
Il bene giuridico tutelato dalla norma viene individuato dalla dottrina e dalla giurisprudenza (Cass. pen., Sez. VI, 4.10.1999; Cass. pen. Sez. V, 06-02-2006, n. 11689), anche in considerazione della collocazione sistemica della norma tra i delitti posti a tutela dell’inviolabilità del domicilio, nella tutela del c.d. domicilio informatico da intendersi quale espressione non solo del diritto alla riservatezza della vita privata ma anche dello jus excludendi del titolare del sistema informatico, quale sia il contenuto dei dati racchiusi in esso, purché attinente alla propria sfera di pensiero o alla propria attività sia lavorativa che non.
LE CONDOTTE TIPIZZATE DAL LEGISLATORE
I Giudici della Corte di Cassazione a Sezioni Unite (Cfr. SS. UU, n. 4694, 27 ottobre 2011, Casani; Cass. pen., sez. I, Sent., 27.09.2013, n. 40303) hanno precisato che le condotte penalmente rilevanti ai sensi dell’art. 615 ter c.p. devono individuarsi:
- nell’introdursi abusivamente in un sistema informatico o telematico protetto da misure di sicurezza, da intendersi come accesso alla conoscenza dei dati o informazioni contenuti nel sistema, effettuato sia da lontano (attività tipica dell’hacker) sia da vicino (da persona, cioè, che si trova a diretto contatto dell’elaboratore);
- nel mantenersi nel sistema contro la volontà, espressa o tacita, di chi ha il diritto di esclusione, nel senso di persistere nella già avvenuta introduzione, inizialmente autorizzata, continuando ad accedere alla conoscenza dei dati nonostante il divieto, anche tacito, del titolare del sistema.
I Giudici della Suprema Corte di Cassazione a Sezioni Unite hanno, recentemente, precisato che nel caso di accesso autorizzato al sistema informatico «Sussiste il reato di accesso abusivo ad un sistema informatico o telematico protetto di cui all’art. 615 ter c.p. allorché la condotta di accesso o di mantenimento nel sistema posta in essere dal soggetto agente, nonostante a ciò abilitato, violi le condizioni ed i limiti risultanti dal complesso delle prescrizioni impartite dal titolare del sistema in parola onde delimitarne oggettivamente l’accesso. Ne deriva che, ai fini della configurabilità della citata fattispecie delittuosa, risultano irrilevanti gli scopi e le finalità che soggettivamente hanno indotto e motivato l’ingresso al sistema». (Cfr. SS.UU., 27.10.2011, n. 4694; nello stesso senso vd. Cass. pen., sez. V, 26.06.2015, n. 44403; Cass. pen., sez. V, 15.01.2015, n. 15950; Cass. pen., sez. V, 20.06.2014, n. 44390; Cass. pen., sez. V, 30.09.2014, n. 47105)
Da ultimo, anche i Giudici di Legittimità della sez. V, con due recentissimi arresti hanno stabilito che «Integra il delitto previsto dall’art. 615-ter c.p., la condotta di colui il quale, pur essendo abilitato, acceda e si mantenga in un sistema informatico o telematico protetto, violando le condizioni e i limiti risultanti dal complesso delle prescrizioni impartite dal titolare del sistema per delimitarne oggettivamente l’accesso, rimanendo invece irrilevanti, ai fini della sussistenza del reato, gli scopi e le finalità che abbiano soggettivamente motivato l’ingresso nel sistema». (Cfr. Cass. pen. Sez. V, Sent., 24.03.2017, n. 14546)
Pertanto, «ai fini della configurabilità del delitto di cui si discute, nel caso di soggetto dotato delle credenziali per accedere ad una banca dati riservata, è necessario accertare se la condotta di copiatura/duplicazione dei files addebitata all’imputato rientri o meno nel perimetro dei suoi poteri, in relazione alle funzioni svolte all’interno della struttura cui fa capo il sistema informatico, vale a dire se la copia e la duplicazione esulino o meno dalle competenze dell’operatore, ponendosi in contrasto con le prescrizioni relative all’accesso e al trattenimento nel sistema informatico, contenute in disposizioni organizzative impartite dal titolare dello stesso». (Cfr. Cass. pen., sez. V, 13.03.2017, n.11994; Cass. pen., sez. V, 31.10.2014, n. 10083; Cass., sez. V, 31.10.2014, n. 10083)
L’ELEMENTO SOGGETTIVO
L’elemento soggettivo richiesto dalla norma è il dolo generico, che consiste nella coscienza e volontà di introdursi o di mantenersi nell’altrui sistema informatico o telematico ovvero nella memoria interna di un elaboratore, in assenza del consenso del titolare dello jus excludendi e con la consapevolezza che quest’ultimo ha predisposto misure di protezione del sistema. (Antolisei, PS, I, 247; Mucciarelli, 100; Mantovani F., PS, I, 546, Pica, Diritto, 69. In Giurisprudenza si veda Cass. pen., sez. V, 13.6.2016, n. 33311.)
IL MOMENTO CONSUMATIVO DEL REATO DELL’ACCESSO ABUSIVO AD UN SISTEMA INFORMATICO O TELEMATICO
Secondo la più recente Giurisprudenza (Cfr. Cass. pen., sez. V, 04.12.2006, n. 6459), il reato in esame si consuma nel momento in cui vengono oltrepassate e neutralizzate tutte le misure di sicurezza logiche e/o fisiche, quindi di hardware e software, poste a presidio del sistema informatico.
L’INDIVIDUAZIONE DEL LOCUS COMMISSI DELICTI
In ordine all’individuazione del luogo del commesso reato occorre segnale che le Sezioni Unite (Cfr. SS.UU., 26.3.2015, n. 17325), dirimendo un contrasto sorto in seno alle sezioni semplici (Cfr. Cass. pen., sez. I, Sent., 27.09.2013, n. 40303 secondo la quale il delitto di cui all’art. 615 ter c.p. si consumerebbe «[…] nel luogo in cui viene effettivamente superata la protezione informatica e vi è l’introduzione nel sistema e, quindi, là dove è materialmente situato il sistema informatico (server) violato, l’elaboratore che controlla le credenziali di autenticazione del client»), hanno precisato che «[…] il delitto si consuma nel luogo in cui si trova il soggetto che effettua l’introduzione abusiva, ovvero vi si mantiene abusivamente, secondo cui l’ingresso o l’introduzione abusiva si realizzano nel luogo in cui l’operatore materialmente digita la password di accesso o esegue la procedura di login)».
SEQUESTRO E CONFISCA
Con l’entrata in vigore in data 9 marzo 2012 della L. 15.2.2012, n. 12, pubblicata in G.U. il 23.2.2012, è stato sostituito il co. 2, n. 1 bis dell’art. 240 c.p., prevedendo la confisca obbligatoria per gli strumenti informatici o telematici utilizzati in tutto o in parte per la commissione, tra gli altri, dei reati di cui agli artt. 615 ter, 615 quater e 615 quinquies c.p..
Vieppiù, in attuazione della Dir. n. 2014/42/UE, in materia di confisca e di congelamento dei beni strumentali e dei proventi da reato nell’Unione europea ed in forza della delega di cui alla L. 7.10.2014, n. 154, il D.Lgs. 29.10.2016, n. 202 ha introdotto un secondo periodo al disposto dell’art. 240, 2° co., n. 1 bis con il quale viene estesa la confisca obbligatoria anche al profitto ed al prodotto dei delitti ivi indicati ed ha, altresì, previsto – in via sussidiaria – la confisca per equivalente di beni di valore pari al profitto o al prodotto di tali reati.
PROCEDIBILITÀ E COMPETENZA
Il reato in esame è procedibile a querela di parte (Vd. artt. 120 e ss. c.p. e 336 e ss. c.p.p.) nell’ipotesi di cui al co. 1 dell’art. 615 ter c.p. e pertanto secondo l’art. 124 c.p. «Salvo che la legge disponga altrimenti (art. 338 c.p.p.), il diritto di querela non può essere esercitato, decorsi tre mesi dal giorno della notizia del fatto che costituisce reato», mentre nelle ipotesi di cui ai commi 2 e 3 è procedibile d’ufficio ai sensi dell’art. 50 c.p.p..
Competente a giudicare sul reato di cui all’art. 615 ter c.p. è il Tribunale in composizione monocratica.
RAPPORTI CON ALTRI REATI
Secondo la Corte di Cassazione, il reato di accesso abusivo ad un sistema informatico di cui all’art. 615 ter c.p. può concorrere formalmente con quello di frode informatica previsto dall’art. 640 ter c.p., dato che, per usare le parole della stessa Corte, «trattasi di reati totalmente diversi, il secondo dei quali postula necessariamente la manipolazione del sistema, elemento costitutivo non necessario per la consumazione del primo: la differenza fra le due ipotesi criminose si ricava, inoltre, dalla diversità dei beni giuridici tutelati, dall’elemento soggettivo e dalla previsione della possibilità di commettere il reato di accesso abusivo solo nei riguardi di sistemi protetti, caratteristica che non ricorre nel reato di frode informatica». (Cfr. Cass. pen., sez. V, 24.11.2003, n. 4576; Cass. pen., sez. VI, n. 3067/99, CP 00, 2990)