Il Professionista della Sicurezza Informatica sotto la Lente del Codice Penale

L’inarrestabile metamorfosi delle tecnologie dell’informazione ha trasformato radicalmente i paradigmi di protezione dei beni giuridici. In un’epoca dove la robustezza delle infrastrutture critiche è diventata sinonimo di sicurezza nazionale, chi opera nella cybersecurity non è più un semplice tecnico ma un attore centrale investito di responsabilità che travalicano il perimetro dei bit per approdare nelle aule di giustizia. Come avvocato che da anni seziona i reati informatici in tribunale e come docente che cerca di trasmettere la dogmatica di questa materia, avverto l’urgenza di fare chiarezza su un punto fondamentale: oggi l’operatore IT non è solo il difensore del sistema ma può diventarne, per azione o per una fatale omissione, il responsabile legale davanti allo Stato.

La mappatura dei ruoli e l’identificazione della posizione di garanzia

L’Agenzia per la Cybersicurezza Nazionale ha adottato lo European Cybersecurity Skills Framework per classificare le figure professionali e questa non è una mera operazione burocratica. In sede giudiziaria, questa catalogazione funge da parametro per identificare quella che noi giuristi chiamiamo posizione di garanzia. Ogni ruolo porta con sé una specifica esposizione al rischio penale. Se pensiamo al CISO, ci troviamo di fronte al vertice della gestione della sicurezza. Ai sensi dell’articolo 40 del Codice Penale, non impedire un evento che si ha l’obbligo giuridico di evitare equivale a cagionarlo. Se un responsabile omette di segnalare vulnerabilità critiche o non richiede gli investimenti necessari pur consapevole del rischio imminente, potrebbe essere chiamato a rispondere degli effetti dannosi di un attacco come se lo avesse agevolato.

Operatività tecnica e il rischio di condotte attive illecite

Per le figure più operative come i Cybersecurity Architect o i Responder, il rischio è spesso legato alla condotta attiva. L’installazione di programmi di monitoraggio che possono essere interpretati come strumenti di intercettazione abusiva o la configurazione di backdoor non autorizzate integra fattispecie di reato se non supportata da una delega formale. Durante la gestione di un incidente, manovre di emergenza eccessivamente intrusive potrebbero causare il danneggiamento di dati o la violazione della segretezza delle comunicazioni. Ancora più delicata è la posizione del Digital Forensics Investigator. Un errore nella catena di custodia o l’alterazione di un supporto informatico può non solo invalidare un processo ma esporre il professionista ad accuse di falso o inquinamento probatorio.

Il sottile confine del penetration testing e il valore del consenso

L’articolo 615-ter c.p. rimane il pilastro della tutela del domicilio informatico e la sua interpretazione è più insidiosa di quanto sembri. La giurisprudenza della Cassazione ha chiarito che l’accesso è abusivo ogni volta che un soggetto pur dotato di credenziali legittime si trattiene nel sistema violando le disposizioni del titolare o agendo per scopi ontologicamente estranei alle finalità per cui il potere gli è stato conferito. Un amministratore di sistema che accede ai log di un collega per curiosità personale commette un reato anche se possiede tecnicamente le chiavi per farlo. In questi casi l’abuso della qualità di operatore costituisce un’aggravante che trasforma la procedibilità da querela a d’ufficio, rendendo l’azione penale inevitabile.

Il penetration tester si trova in una posizione paradossale: la sua attività materiale è formalmente identica a un attacco criminale. L’unica scriminante che separa la sua condotta dal reato è il consenso dell’avente diritto previsto dall’articolo 50 del Codice Penale. Tuttavia questo consenso deve essere preventivo, informato e soprattutto specifico. Un tester che durante un’attività autorizzata decide autonomamente di estendere il raggio d’azione a una rete interna non inclusa nel contratto commette il reato di accesso abusivo.

Affinché un professionista sia ritenuto penalmente responsabile per un data breach o un attacco ransomware, invece, la pubblica accusa deve dimostrare la sussistenza di un nesso di causalità ipotetica. Si deve cioè provare che se la misura di sicurezza omessa (come l’applicazione di una patch critica già disponibile) fosse stata adottata, l’evento con elevata probabilità non si sarebbe verificato. La colpa professionale si manifesta nell’ignorare i risultati di test di vulnerabilità o nella scelta di fornitori palesemente inadeguati per ragioni di risparmio. La Direttiva NIS 2 ha accentuato questo profilo eliminando lo scudo della sola responsabilità societaria e introducendo la responsabilità personale degli organi di gestione per l’inottemperanza agli obblighi di sicurezza.

La rivoluzione della Legge 90 del 2024 e le nuove sfide dell’IA

Il recente intervento legislativo ha inasprito le pene per l’accesso abusivo fino a dieci anni di reclusione se l’azione causa il danneggiamento del sistema o se colpisce infrastrutture di interesse pubblico. È stata inoltre introdotta un’aggravante specifica per l’estorsione commessa mediante reati informatici, un punto che tocca da vicino i CISO coinvolti nella gestione di trattative ransomware. A questo si aggiungono le nuove frontiere dell’intelligenza artificiale con il reato di diffusione illecita di contenuti generati tramite IA per trarre in inganno o causare danno. Per chi si occupa di sicurezza, l’uso di tecniche generative AI per simulazioni di social engineering deve essere ora più che mai autorizzato nei minimi dettagli per non incorrere nelle nuove sanzioni.

La complessità di questo quadro impone al professionista moderno l’adozione di rigorose strategie di compliance. È fondamentale verbalizzare ogni richiesta di budget o di intervento tecnico negata dalla direzione per poter dimostrare in sede penale la propria mancanza di colpa. Per i consulenti, la chiave della sicurezza legale risiede nelle Rules of Engagement. Il contratto deve definire in modo puntuale indirizzi IP target, finestre temporali e tecniche escluse. La sicurezza informatica non è più una disciplina esclusivamente tecnica e la tolleranza verso la zona grigia della gestione IT si è azzerata. Solo agendo nel perimetro della legge l’esperto di cybersecurity può dirsi realmente al sicuro dai rischi intrinseci alla sua professione.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Paolo Galdieri

Avvocato penalista e cassazionista, noto anche come docente di Diritto Penale dell'Informatica, ha rivestito ruoli chiave nell'ambito accademico, tra cui il coordinamento didattico di un Master di II Livello presso La Sapienza di Roma e incarichi di insegnamento in varie università italiane. E' autore di oltre cento pubblicazioni sul diritto penale informatico e ha partecipato a importanti conferenze internazionali come rappresentante sul tema della cyber-criminalità. Inoltre, collabora con enti e trasmissioni televisive, apportando il suo esperto contributo sulla criminalità informatica.

Aree di competenza: Diritto Penale Informatico, Cybercrime Law, Digital Forensics Law, Cybercrime Analysis, Legal Teaching, Scientific Publishing

Visita il sito web dell'autore