Accesso abusivo a un sistema informatico

Il legislatore italiano e quello europeo hanno posto particolare attenzione agli strumenti sanzionatori contro le aggressioni abusive dei sistemi informatici. Con la legge 18 marzo 2008 n. 48, di ratifica della Convenzione del Consiglio d’Europa sulla criminalità informatica (convenzione di Budapest del 23 novembre 2001), è stata adeguata la legislazione nazionale al quadro europeo, introducendo nuove ipotesi di reato e nuovi strumenti di contrasto alla criminalità.
Ma la norma fondamentale a presidio del domicilio informatico, rimane comunque l’articolo 615 ter del codice penale, che sanziona l’accesso abusivo a un sistema informatico, reato introdotto nel 1993.

Con tale articolo il legislatore assicura la protezione del domicilio informatico, al quale viene quindi estesa la tutela della riservatezza della sfera individuale, bene costituzionalmente protetto. Si tratta di un reato di mera condotta (a parte le ipotesi aggravate di cui al comma secondo, numeri 2 e 3), che si perfeziona con la violazione del domicilio informatico senza alcuna necessità che si verifichi una effettiva lesione del diritto alla riservatezza dei dati. La norma, quindi, offre una tutela anticipata fornendo protezione da qualsiasi tipo di intrusione nel domicilio informatico.

 

Condotta

Il reato previsto dall’art. 615 ter del codice penale punisce coloro che abusivamente si introducono in un sistema informatico o telematico protetto da misure di sicurezza. È essenziale che sia resa evidente la volontà dell’avente diritto di non consentire a chiunque l’accesso al sistema informatico, anche eventualmente a mezzo di restrizioni consistenti in “misure di carattere organizzativo che disciplinino le modalità di accesso ai locali in cui il sistema è ubicato e indichino le persone abilitate al suo utilizzo” (Cass. Pen. Sez V, n. 37322/2008).

Quindi la violazione dei sistemi di protezione non assume rilevanza di per sé, ma solo come eventuale manifestazione di una volontà contraria a quella di chi dispone legittimamente del sistema. Pertanto, ciò che caratterizza tale reato non è l’effrazione dei sistemi protettivi, bensì la contravvenzione alle disposizioni del titolare del diritto di esclusiva. Ragionando diversamente non avrebbe senso punire anche chi accede legittimamente ma vi si mantiene contro le disposizioni del titolare, oppure accede a dati diversi da quelli per i quali ha la legittimazione a visionare.

Un caso classico è l'accesso abusivo alla rete wifi di altri, qualora la rete wifi sia, appunto, protetta da password.
 

Modalità di realizzazione

Il reato si realizza secondo varie modalità:
- accedendo abusivamente ad un sistema telematico protetto (quindi con l’effrazione delle misure protettive del domicilio altrui);
- oppure trattenendosi nel sistema informatico contro la volontà espressa o tacita di chi ha diritto di escludere l’accesso, cioé contravvenendo alle disposizioni del titolare dello spazio virtuale. In quest’ultimo caso evidentemente l’accesso è autorizzato, per cui il reato si configura soltanto dopo l’accesso, con la permanenza abusiva nel sistema.

Altra ipotesi di configurabilità del reato si ha nel momento in cui si va oltre i limiti dell’accesso consentito, quindi abusando del titolo autorizzativo, ad esempio consultando file o dati riservati ad altri utenti. Per cui l’accento deve essere posto sull’abusività della condotta.
In tal senso si è espressa la Corte di Cassazione a Sezioni Unite, risolvendo un contrasto giurisprudenziale, con la sentenza n. 4694 del 7 febbraio 2012.

La semplice lettura di dati o di informazioni già stampate da altri, invece, non configura il reato in questione, in quanto l’agente non accede al sistema, bensì prende cognizione di dati al di fuori dello stesso sistema. Occorre tenere presente, però, che, in presenza di dati riservati, potrebbero essere configurabili altre ipotesi di reato.
 

Competenza territoriale

La Corte di Cassazione penale, a Sezioni Unite, con la sentenza n. 17325 del 24/04/2015 ha risolto il contrasto giurisprudenziale relativo alla competenza territoriale del reato di cui all'art. 615-ter cod. pen. Secondo la Suprema Corte “l'ingresso o l'introduzione abusiva, allora, vengono ad essere integrati nel luogo in cui l'operatore materialmente digita la password di accesso o esegue la procedura di login, che determina il superamento delle misure di sicurezza apposte dal titolare del sistema, in tal modo realizzando l'accesso alla banca-dati”.
In conclusione il reato si perfeziona nel momento e nel luogo dell'accesso o della permanenza al sistema informatico, per cui il “luogo di consumazione del delitto di accesso abusivo ad un sistema informatico o telematico, di cui all'art. 615-ter cod. pen., è quello nel quale si trova il soggetto che effettua l'introduzione abusiva o vi si mantiene abusivamente”.


Sistema informatico e telematico

La Cassazione, con la sentenza n. 3067 del 1999, ha individuato il sistema informatico in tutte quelle apparecchiature destinate a compiere una qualsiasi funzione utile all’uomo attraverso l’utilizzazione di tecnologie informatiche. Più tecnicamente la sentenza della Cassazione, sez. V penale, del 2 luglio 1998, ha individuato il sistema informatico “in un apparato elettronico in grado di elaborare un elevato numero di dati/informazioni opportunamente codificato e capace di produrre come risultato un altro insieme di dati/informazioni codificato in maniera leggibile grazie ad un programma in grado di far cambiare lo stato interno dell’apparato e di variarne, all’occorrenza, il risultato”. La caratteristica del sistema informatico è, quindi, la programmabilità e la variabilità dei risultati.
Telematico, invece, è il metodo di trasmissione e circolazione a distanza dei dati o delle informazioni, metodo che presuppone il collegamento tra due sistemi informatici (come può essere anche il sistema bancomat).


Domicilio informatico

Il reato in questione, essendo inserito tra i delitti contro l’inviolabilità del domicilio, ha lo scopo di proteggere il domicilio informatico quale spazio virtuale (ma anche fisico in cui sono contenuti dati informatici) di pertinenza della persona, e bene costituzionalmente protetto. Tale domicilio è equiparato al domicilio tradizionale, godendo, quindi, dell’inviolabilità e delle guarentigie previste dalla legge e, in particolare, dall’art. 14 della Costituzione.
Il titolare ha il diritto di escludere altri dal domicilio, o di limitarne l’accesso temporalmente o in altri modi. L’abusività sarebbe realizzata, quindi, quando l’accesso avvenga in modo clandestino, fraudolento o comunque contro la volontà del titolare (invito domino).

Tale reato ovviamente ha carattere prodromico alla realizzazione di fatti reati più gravi, come il danneggiamento di sistemi informatici, per cui la sua esistenza ha anche una funzione strumentale nel senso che anticipa la tutela dell’integrità di dati ed informazioni dei sistemi informatici, facendo in modo che non si producano le condizioni in presenza delle quali il legislatore ritiene probabile la lesione dell’interesse ulteriore.


Clonazione di bancomat

Un caso classico di accesso abusivo ad un sistema informatico si ha con la clonazione delle tessere bancomat o delle carte di credito. Con la sentenza n. 43755 del 2012, infatti, la Corte di Cassazione ha stabilito che la carte di credito e debito costituiscono un sistema informatico capace di elaborare dati nel momento in cui si connettono all'apparecchiatura POS. L'accesso abusivo, quindi, non è solo quello al chip della carta ma anche al sistema informatico bancario che autentica l'utente grazie ai dati memorizzati sulla carta. La Suprema Corte ha anche precisato che il sistema finanziario ha natura di pubblico interesse, ed infine che la manomissione provoca un funzionamento anomalo e non voluto dall'utente legittimo, cosa che va ad integrare il requisito della "violenza sulle cose", aggravante del reato stesso.