Red Hot Cyber

La cybersecurity è condivisione.
Riconosci il rischio, combattilo, condividi le tue esperienze ed 
incentiva gli altri a fare meglio di te.

Cerca
Crowdstrike

Digital Crime: l’accesso abusivo ai sistemi informatici. Scopriamo cosa dice la legge e le relative pene

Paolo Galdieri : 14 Maggio 2024 08:04

Art. 615-ter c.p. :
La pena è della reclusione da uno a cinque anni:

se il fatto è commesso da un pubblico ufficiale o da un incaricato di un pubblico servizio, con abuso dei poteri o con violazione dei doveri inerenti alla funzione o al servizio, a da chi esercita anche abusivamente la professione di investigatore privato, o con abuso della qualità di operatore del sistema;

se il colpevole per commettere il  fatto usa violenza sulle cose o alle persone, ovvero se è palesemente armato;

se dal fatto deriva la distruzione o il danneggiamento del sistema o l’interruzione totale o parziale del suo funzionamento, ovvero la distruzione o il danneggiamento dei dati, delle informazioni o dei programmi in  esso contenuti.

Qualora i fatti di cui ai commi primo e secondo riguardino i sistemi informatici e telematici di interesse militare o relativi all’ordine pubblico, la pena è, rispettivamente ,della reclusione da uno a cinque anni e da tre a otto anni.

Nel caso previsto dal primo comma il delitto è punibile a querela della persona offesa; negli altri casi si procede d’ufficio.>>

Il contenuto della norma

            L’accesso abusivo all’interno di un sistema trova tutela diretta nell’art. 615-ter c.p. che nell’ipotesi base (art. 615-ter comma 1), punisce, con la pena della reclusione sino a tre anni, colui che si introduce abusivamente, o si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo, in un sistema informatico o telematico protetto da misure di sicurezza.

Stando a tale disposizione viene punito tanto chi senza esservi autorizzato entra nel sistema altrui, che il soggetto,  pur autorizzato, il quale si mantiene nel sistema oltre i limiti temporali e le modalità consentite. E’ bene sottolineare che in entrambi i casi si venga puniti anche se l’introduzione nel sistema non comporti danni o manomissioni, in quanto non si protegge la vulnerabilità del sistema o la riservatezza dei dati ivi contenuti, bensì il c.d. domicilio informatico.

Così come avviene per la violazione di domicilio, che si consuma quando un soggetto si introduce nell’abitazione altrui senza il permesso, la violazione di domicilio informatico si realizza nel momento in cui un soggetto accede abusivamente nel sistema di altri.

Mentre, tuttavia,  l’art. 614 c.p. consente di tutelare qualsiasi abitazione o privata dimora , l’art. 615 – ter c.p. tutela soltanto quei sistemi informatici o telematici protetti da misure di sicurezza

Sul piano strettamente giuridico rimangono invero alcuni problemi interpretativi attorno a quali debbano essere considerate misure di sicurezza e ancor prima riguardo a cosa debba intendersi per sistema.

Per alcuni autori è da considerare sistema, nel senso inteso dalla norma,  quel complesso di attrezzature dotate di un grado di strutturazione e complessità superiori a quelle di un personal computer. Altri, riflettendo sul livello di enorme potenza raggiunto dai personal computers, ammettono la loro riconducibilità all’interno della categoria sistema quando, anche se non collegati in rete, presentano applicazioni complesse o svolgono funzioni di un certo livello. Si discute inoltre in dottrina ed in giurisprudenza se possano essere considerati sistemi, nel senso inteso dalla norma, le centraline telefoniche digitali e il sistema  di trasmissione delle televisioni satellitari.

Su quali siano le misure di sicurezza richieste dalla norma, parte della dottrina ritiene che  non si tratti di mezzi di protezione del luogo ove trovasi il computer, c.d. misure di sicurezza fisiche (es. serrature antiscasso o servizio di vigilanza), ma di mezzi di protezione aventi ad oggetto direttamente ed esclusivamente il sistema informatico o telematico, cosiddette misure di sicurezza logiche (es, passwords).

Sembra da preferire comunque la tesi, accolta dalla giurisprudenza consolidata,  secondo la quale basta una qualunque misura di protezione, anche banale e facilmente aggirabile; ciò appunto perché il legislatore ha richiesto la misura di sicurezza come elemento in grado di rendere esplicita ed inequivoca la volontà di riservare l’accesso solo a determinate persone.

            Di seguito all’ipotesi base sono previste sanzioni più severe quando ricorrono specifiche circostanze soggettive ed oggettive. La pena è della reclusione da uno a cinque anni (art.615-ter secondo comma) qualora “il fatto sia commesso da un pubblico ufficiale o da un incaricato di un pubblico servizio, con abuso dei poteri o con violazione dei doveri inerenti alla funzione o servizio, o da chi esercita anche abusivamente la professione di investigatore privato, o con abuso della qualità di operatore del sistema”.

            La stessa pena si applica “se il colpevole per commettere il fatto usa violenza sulle cose o alle persone, ovvero se è palesemente armato”, o ancora “se dal fatto deriva la distruzione o il danneggiamento del sistema o l’interruzione totale o parziale del suo funzionamento, ovvero la distruzione o il danneggiamento dei dati, delle informazioni o dei programmi in esso contenuti”  art.615-ter secondo comma). 

            Tutela più incisiva è riservata, infine, ai sistemi informatici e telematici di interesse militare o relativi all’ordine pubblico o alla sicurezza pubblica o alla sanità o alla protezione civile o comunque di interesse pubblico. Per tali ipotesi la pena è della reclusione da uno a cinque anni, se ricorrono i requisiti previsti nel reato base, e della reclusione da tre ad otto anni, in riferimento all’ipotesi aggravata ( art.615-ter, terzo comma).

Cosa dice la giurisprudenza

Sull’interesse protetto

La giurisprudenza sino ad oggi ha sostanzialmente riconosciuto quale interesse protetto il domicilio informatico , precisando, per quanto attiene i dati contenuti all’interno del sistema, che in caso di eventuale loro uso illecito può integrarsi un diverso titolo di reato (Cass., Sez. V, sent.n.40078/09).

            Ciononostante non si è mancato di evidenziare cheil parallelo con il domicilio reale è imperfetto in quanto la fattispecie offre una tutela anticipata ad una pluralità di beni giuridici ed interessi eterogenei e non si limita a preservare solamente i contenuti dei dati raccolti, ma ne offre una protezione da qualsiasi tipo di intrusione che possa avere anche ricadute economico-patrimoniali (Cass., Sezioni Unite, sent. n.17325/15; Cass., Sez. IV, sent. n.3067/99).

            Affinché possa ritenersi integrato il delitto di cui all’art. 615 ter cod. pen., è necessario che si individuino nel dettaglio la titolarità dello spazio di archiviazione, la disponibilità e la finalità degli accessi, a prescindere dalla natura dei dati ivi contenuti. In questo senso, non sussiste il delitto de quo qualora dei dipendenti creino una cartella Dropbox, condividano successivamente la password con la società e, in un secondo momento, modifichino la password rendendo il cloud inagibile al datore di lavoro e ciò poiché i collaboratori, in quanto proprietari, hanno tutto il diritto di esercitare sullo spazio di archiviazione lo ius excludendi alios ( Cass. , Sez.V,sent.n. 27900/23).

Sul significato di “sistema informatico” e “telematico” ai fini applicazione norma  

Presupposto per la sussistenza del delitto di cui all’art. 615 – ter è che l’accesso avvenga all’interno di un sistema informatico o telematico, onde l’esigenza di individuare quali possano considerasi tali.

La giurisprudenza ha fornito una definizione tendenzialmente valida per tutti i reati facenti riferimento all’espressione “sistema informatico” che deve intendersi come complesso di apparecchiature destinate a compiere una qualsiasi funzione utile all’uomo attraverso l’utilizzazione(anche parziale) di tecnologie informatiche che sono caratterizzate, per mezzo di una attività di codificazione e decodificazione, dalla registrazione o memorizzazione tramite impulsi elettronici, su supporti adeguati, di dati, cioè, di rappresentazioni elementari di un fatto, effettuata attraverso simboli(bit)in combinazioni diverse, e dalla elaborazione automatica di tali dati,in modo da generare informazioni costituite da un insieme più o meno vasto di informazioni organizzate secondo una logica che consente loro di esprimere un particolare significato per l’utente ( Cass., Sez. VI, sent. n.3067/99 ).

Rientrano nell’accezione di sistema richiesta dalla norma:  le carte di pagamento, trattandosi di strumenti idonei a trasmettere dati elettronici nel momento in cui si connettono all’apparecchiatura POS (Cass.,Sez. F, sent.n. 43755/12); la telefonia digitale (Cass., Sez. VI,  sent. n. 3067/99); la televisione satellitare (Cass., Sez. V, sent. n.4389/98.In senso contrario al fatto che la televisione satellitare sia da considerarsi sistema  si veda Richiesta di archiviazione del 18 marzo 2002, Procura presso Tribunale di Crotone).

            Si è affermato che anche la casella di posta elettronica rientrerebbe nell’accezione di sistema, con la conseguenza che risponderebbe di accesso abusivo e violazione di corrispondenza colui che vi accede e prende cognizione della stessa (Cass., Sez. V, sent.13057/16; Cass.,Sez.V,sent.n.18284/19).

Sempre nell’ambito della protezione offerta dall’art.615- ter c.p. ricadono anche i sistemi di trattamento delle informazioni che sfruttano l’architettura di rete denominata clientserver, nella quale un computer o terminale(il client) si connette tramite rete ad un elaboratore centrale(il server) per la condivisione di risorse o informazioni, che possono essere rese disponibili a distanza anche ad altri utenti (  Cass., Sezioni Unite, sent. n.17325/15).

Sul significato di “misure di sicurezza” ai fini dell’applicazione della norma

          La scelta del legislatore di tutelare solo i sistemi protetti da misure di sicurezza, oltre che discutibile, pone il problema della loro individuazione.

Per quanto concerne la giurisprudenza, secondo una prima pronuncia, era da considerare penalmente rilevante qualsiasi mezzo di protezione, anche se facilmente aggirabile da persona mediamente esperta, ma che avesse comunque la caratteristica di rendere palese la contraria volontà dell’avente diritto (Tribunale di Torino, sent. 7 febbraio 1998). Di diverso avviso altra decisione secondo cui le “misure di sicurezza” dovevano consistere in efficaci mezzi di protezione (Tribunale di Roma, Gup Landi, sent. 4 aprile 2000).

              A porre chiarezza in ordine a tale profilo è la Suprema Corte, laddove precisa che ai fini della configurabilità del reato , assuma rilevanza qualsiasi meccanismo di selezione dei soggetti abilitati all’accesso al sistema informatico, anche quando si tratti di strumenti esterni al sistema e meramente organizzativi, in quanto destinati  a regolare l’ingresso stesso nei locali in cui gli impianti sono custoditi (Cass., Sez. V, sent. n.12732/00. Vedi anche Cass.,Sez.V,sent.n.18497/17).

Sulla permanenza oltre i limiti consentiti, all’interno di un sistema protetto da misure di sicurezza.

L’art. 615-ter c.p. punisce nell’ipotesi base, oltre l’intrusione, anche il mantenimento nel sistema contro la volontà delloius escludendi.

Secondo un primo orientamento sarebbe escluso che il reato di cui all’art. 615‐ter c.p.  sia integrato dalla condotta del soggetto il quale, avendo titolo per accedere al sistema, se ne avvalga per finalità estranee a quelle di ufficio, ferma restando la sua responsabilità per i diversi reati eventualmente configurabili, ove le suddette finalità vengano poi effettivamente realizzate. Infatti, la sussistenza della volontà contraria dellʹavente diritto, cui fa riferimento la norma incriminatrice, deve essere verificata esclusivamente con riguardo al risultato immediato della condotta posta in essere dallʹagente con lʹaccesso al sistema informatico e con il mantenersi al suo interno, e non con riferimento a fatti successivi (l’uso illecito dei dati) che, anche se già previsti, potranno di fatto realizzarsi solo in conseguenza di nuovi e diversi atti di volizione da parte dellʹagente (Cass., Sez. V, sent. n. 40078/09; Cass., Sez. VI, sent. n. 39290/08; Cass. , Sez. V, sent.n. 26797/08; Cass., Sez. V, sent. n. 2534/07). 

Secondo altro orientamento sussisterebbe il delitto di accesso abusivo per il soggetto che, pur avendo titolo e formale legittimazione per accedere ad un sistema informatico o telematico, vi si introduca per finalità differenti da quelle per le quali è autorizzato (Cass., Sez. V , sent. n. 19463/10; Cass., Sez. V, sent. n. 39620/10) .

In ordine a tali decisioni difformi, un primo  chiarimento proviene dalle Sezioni Unite, secondo cui integra la fattispecie criminosa di accesso abusivo ad un sistema informatico o telematico protetto la condotta di accesso o mantenimento nel sistema posta in essere da soggetto che, pur essendo abilitato, violi le condizioni ed i limiti risultanti dal complesso delle prescrizioni impartite dal titolare del sistema per delimitarne oggettivamente l’accesso. Non hanno rilievo, invece, per la configurazione del reato gli scopi e le finalità che soggettivamente hanno motivato l’ingresso al sistema (Cass., Sezioni Unite, sent. n.4694/12 . Su quale sia il soggetto legittimato ad entrare o restare nel sistema vedi anche: Cass., Sez. VI, sent. n. 5255/20; Cass., Sez. V, sent. n. 34296/20; Tribunale di Ferrara, sent. 3 settembre 2019).

Successivamente, sempre le Sezioni Unite, hanno statuito che integra il delitto previsto dall’art.615-ter, secondo coma n.1 c.p., la condotta del pubblico ufficiale o dell’incaricato di un pubblico servizio che, pur essendo abilitato e pur non violando le prescrizioni formali impartite dal titolare di un sistema informatico o telematico protetto per delimitarne l’accesso, acceda o si mantenga nel sistema per ragioni ontologicamente estranee e comunque diverse rispetto a quelle per le quali, soltanto, la facoltà di accesso gli è attribuita (Cass., Sezioni Unite, sent.n.41210/17. Vedi anche Cass., Sez.V, sent.n.17551/23).

Sulle aggravanti

Si discute su chi debba considerarsi operatore di sistema . Sulla natura di tale condotta, secondo un primo orientamento, l’abuso della qualità di operatore di sistema costituirebbe, in realtà, ipotesi autonoma di reato ( Cass., Sez.V, sent. n.1727/08; Cass. , Sez.V, sent. n. 24583/11).

Tale indirizzo è stato, tuttavia, superato dalle Sezioni Unite le quali hanno chiarito come l’ipotesi dell’abuso delle qualità specificate dall’art.615-ter ,comma secondo, n.1, c.p., costituisce circostanza aggravante delle condotte illecite descritte al primo comma e non un’ ipotesi autonoma di reato (  Cass., Sezioni Unite, sent. n.4694/11 ).

            L’aggravante dell’abuso della qualità di operatore del sistema non può essere ascritta al semplice utente abilitato ad accedervi (Cass., Sez. V, sent. n. 7775/22).

          La Suprema Corte, sebbene in tema di frode informatica,ha precisato che l’installatore di”slot machine”che provveda all’inserimento di schede informatiche dallo stesso predisposte e tali da alterare il sistema informatico –così da eludere il pagamento delle imposte previste con conseguente ingiusto profitto-assume la qualifica di operatore di sistema ,rilevante ai fini dell’integrazione della circostanza aggravante pevist dall’art.640-ter, secondo comma,c.p.(Cass.Sez.II,sent.n.17318/19)

La qualifica di operatore di sistema deve essere riconosciuta a chi svolge ,nell’ambito del sistema informatico , una funzione dal cui abuso può derivare una agevolazione nella perpetrazione del reato(Cass.,Sez.II,sent.n.44720/09).

Sul luogo del commesso reato ed il giudice competente

Un tema assai controverso in materia di accesso abusivo èquello relativo al luogo di consumazione, ovvero se tale debba esserequello in cui si trova il soggetto che si introduce nel sistema o, invece, quello nel quale è collocato il server che elabora e controlla le credenziali di autenticazione fornite dall’agente.

Secondo un primo orientamento ( Cass., Sez. I, sent. n. 40303/13. Stessa  direzione: Cass., Sez. fer., sent.n. 43755/12; Cass., Sez. III, sent. n. 23798/12), la competenza territoriale va individuata nel luogo ove è allocato il server oggetto dell’attacco.

            Successivamente, tuttavia, le Sezioni Unite hanno “cambiato rotta” statuendo che il delitto si consuma nel momento in cui il soggetto agente si collega  e pertanto è competente per territorio il Tribunale del luogo nel quale il soggetto si è connesso alla rete effettuando il collegamento abusivo (Cass., Sezioni Unite, sent. n.17325/15).

Paolo Galdieri
Avvocato penalista, Cassazionista, è Docente universitario di Diritto penale dell'informatica.