L’accesso abusivo ai sistemi informatici rappresenta una minaccia costante che può avere conseguenze legali gravi, come delineato dall’articolo 615 ter del Codice penale. Ma quali sono le implicazioni di questo specifico reato? E soprattutto, come possono le aziende proteggersi efficacemente da tali intrusioni indesiderate?Proviamo a fare chiarezza su questi aspetti cruciali, analizzando la normativa vigente e proponendo strategie e buone pratiche per prevenire l’accesso abusivo ai sistemi informatici.
Accesso abusivo a sistema informatico: la normativa vigente
La norma è lunga e composita: “Chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo, è punito con la reclusione fino a tre anni.
La pena è della reclusione da uno a cinque anni:
1) se il fatto è commesso da un pubblico ufficiale o da un incaricato di un pubblico servizio, con abuso dei poteri, o con violazione dei doveri inerenti alla funzione o al servizio, o da chi esercita anche abusivamente la professione di investigatore privato, o con abuso della qualità di operatore del sistema;
2) se il colpevole per commettere il fatto usa violenza sulle cose o alle persone, ovvero se è palesemente armato;
3) se dal fatto deriva la distruzione o il danneggiamento del sistema o l’interruzione totale o parziale del suo funzionamento, ovvero la distruzione o il danneggiamento dei dati, delle informazioni o dei programmi in esso contenuti.
Qualora i fatti di cui ai commi primo e secondo riguardino sistemi informatici o telematici di interesse militare o relativi all’ordine pubblico o alla sicurezza pubblica o alla sanità o alla protezione civile o comunque di interesse pubblico, la pena è, rispettivamente, della reclusione da uno a cinque anni e da tre a otto anni.
Nel caso previsto dal primo comma il delitto è punibile a querela della persona offesa; negli altri casi si procede d’ufficio”.
Per il legislatore del 1993 che ha introdotto l’art. 615 ter del Codice penale – e gli altri reati simili – tra i reati che tutelano l’inviolabilità del domicilio, il referente normativo di rango costituzionale era indubbiamente l’articolo 14 della Costituzione, che tutela l’inviolabilità del domicilio.
La correttezza di quest’impostazione appare cristallina laddove si tenga presente l’insegnamento della dottrina tradizionale: “nel domicilio, proiezione spaziale della persona, l’ordinamento tutela, quindi, in linea preminente, non tanto la proprietà o qualsivoglia altro diritto reale, né il possesso o la detenzione, né la consistenza oggettiva di un bene materiale qualificabile come «domicilio», quanto la persona stessa o più esattamente il rapporto persona-ambiente, cioè la persona riflessa in una certa sfera spaziale volta a preservare il carattere intimo, domestico, o quantomeno privato di determinati comportamenti soggettivi”.
Gli Autori da ultimo citati affermano poi chiaramente che la nozione costituzionale di domicilio è sovrapponibile o, meglio, si conforma, alla nozione penalistica, sulla base dell’assunto per cui la tutela costituzionale si sviluppa come libertà dai pubblici poteri e confortano la tesi con l’interpretazione consolidata dell’articolo 27 dello Statuto Albertino e con l’eadem ratio intercorrente tra norma costituzionale e norme penali incriminatrici (articoli 614 e 615 Codice penale).
Il domicilio, quindi, viene caratterizzato da alcuni elementi necessari, enucleati e categorizzati, da dottrina e giurisprudenza, nello ius excludendi alios, la destinazione privata o professionale dello spazio, la legittimità della destinazione e l’attualità della stessa.
Articolo 615 ter Codice penale: le conseguenze legali
Come visto nel paragrafo precedente, le pene sono elevate: fino a tre anni di reclusione per le ipotesi semplici, da uno a cinque anni di reclusione nelle ipotesi aggravate “semplici”.
Queste ricorrono quando l’agente è un pubblico ufficiale (comma 2, numero 1), quando l’agente operi con violenza o sia armato (comma 2, numero 2), quando dall’accesso abusivo derivino la distruzione, il danneggiamento, l’interruzione totale o parziale del sistema o la perdita dei dati (comma 2, numero 3).
Il terzo comma sanziona pesantemente le ipotesi in cui oggetto dell’accesso abusivo siano sistemi informatici o telematici di interesse militare o relativi all’ordine pubblico o alla sicurezza pubblica o alla sanità o alla protezione civile o comunque di interesse pubblico: nelle ipotesi “semplici” (previste dal primo comma) la pena è della reclusione da reclusione da uno a cinque anni; nelle ipotesi aggravate (secondo comma), da tre a otto anni di reclusione.
La condotta sanzionata
Come visto in precedenza, la condotta sanzionata dalla fattispecie in esame è costituita, in alternativa, dall’introduzione abusiva in un sistema informatico o telematico protetto o nel mantenimento, all’interno dello stesso, contro la volontà di chi ha il diritto di escluderlo.
La questione che ha interessato la giurisprudenza di legittimità in modo costante, dal 2012 ad oggi, è la portata del concetto di abusività dell’accesso.
Al di là, infatti, delle ipotesi più ovvie ed abusive in sé e per sé considerate, di sottrazione delle chiavi d’accesso o di elusione dei sistemi di protezione informatica, dottrina e giurisprudenza hanno dovuto confrontarsi con la casistica di accessi effettuati da soggetti che legittimamente detenevano le chiavi d’accesso ma che le hanno utilizzate per scopi diversi da quelli per cui erano state attribuite .
Detto altrimenti, prima della sentenza del dicembre 2020 sull’associazione professionale, l’accesso abusivo per finalità extraistituzionali è stato oggetto di due distinti interventi delle Sezioni Unite della Cassazione, nel 2012 e nel 2017.
Con la sentenza Casani del 17 febbraio 2012 numero 4694, le Sezioni Unte hanno affermato che la condotta penalmente rilevante ai sensi dell’art. 615 ter Codice penale consiste sia nell’accesso che nel mantenimento del soggetto abilitato che “violi le condizioni ed i limiti risultanti dal complesso delle prescrizioni impartite dal titolare del sistema per delimitare oggettivamente l’accesso”.
La finalità dell’agente, al contrario, veniva ritenuta irrilevante, perchè la Cassazione ha ritenuto di privilegiare l’aspetto oggettivo del complesso di limiti e della natura dell’operazione svolta mediante l’utilizzo delle credenziali.
In conclusione, le Sezioni Unite hanno ritenuto che, ove l’ingresso nel sistema avvenisse al di là dei limiti oggettivi di cui sopra, la natura abusiva dell’accesso fosse determinata proprio – e soltanto – dalla violazione delle prescrizioni.
Con la sentenza Savarese del settembre 2017, numero 41210, le Sezioni Unite hanno affrontato la questione inerente alla qualificazione giuridica dell’utilizzo, da parte di un cancelliere, del sistema informatico “Re.Ge” in uso alla Procura della Repubblica, per verificare se vi fossero notitiae criminis in capo ad un conoscente.
La Cassazione, nel ritenere integrata l’ipotesi aggravata del reato in discorso, partiva dal concetto di sviamento di potere, consistente nel perseguimento “di una finalità diversa” da quella assegnata in astratto dalla legge sul procedimento amministrativo, per sancire l’equivalenza tra abusività dell’accesso, violazione dei doveri di ufficio da parte del P.U. e sviamento di potere.
L’accesso per ragioni extraistituzionali, in conclusione, veniva ritenuto abusivo ex se per la sua “ontologica incompatibilità” con la funzione del P. U.
Gli impatti dell’accesso abusivo ai sistemi informatici sulle aziende
Per ogni azienda il rischio informatico è diventato un elemento da tenere in seria considerazione.
L’epoca del “semplice” acquisto di un software “antivirus” è del tutto tramontata ed ha lasciato spazio ad un’era in cui solo la consapevolezza del rischio informatico e la formazione del personale addetto consentono una prevenzione sufficiente.
Metodi per prevenire l’accesso abusivo ai sistemi informatici
Oltre a dotarsi di sistemi efficienti di sicurezza informatica, è necessario prevenire gli accessi abusivi interni per mezzo di un sistema di policy e di istruzioni rivolte a dipendenti e collaboratori.
In generale, è certamente utile evitare di far uscire i devices aziendali fuori dalla sede operativa e limitare l’utilizzo dei terminali aziendali per scopi personali.
Una policy per le password, inoltre, per essere davvero efficace deve prevedere una revisione almeno trimestrale e la previsione di codici di accesso alfanumerici di almeno 8/10 cifre.
Strumenti e tecniche utilizzate dagli hacker
Dall’attacco brutale ad ogni specie di malware: i mezzi per effettuare l’accesso abusivo sono molteplici e non hanno una forma specifica o codificata.
Questa è la ragione per cui sia il legislatore che la cassazione non hanno individuato modalità specifiche, limitandosi a descrivere una condotta idonea a ricomprendere le più svariate ipotesi “operative”.
L’importanza della sicurezza informatica
Come sarà ormai chiaro, la sicurezza informatica è un asset importante per ogni azienda che operi con un minimo di struttura e che abbia seguito un iter di digitalizzazione.
Si tratta, evidentemente, anche di un costo che deve essere previsto dal budget aziendale e che deve, necessariamente, essere anche proporzionato alla struttura dell’ente.
L’evoluzione delle leggi e delle politiche per contrastare l’accesso abusivo
La sicurezza informatica è diventata centrale anche a livello statale; sul piano privato, l’attenzione alla cybersecurity si è esplicitata anche nella nuova normativa Uni En Iso 27001/2022, che ha ampliato di molto gli obblighi di compliance n capo alle aziende che intendono ottenere la certificazione sul punto.
E’ evidente che questi standard normativi mirano a limitare al massimo le ipotesi si reati informatici, primo fra tutti, evidentemente, proprio l’accesso abusivo.
