L’accesso abusivo ad un sistema informatico è una condotta illecita di rilevanza penale, volontaria e non colposa, che negli ultimi anni ha assunto un’importanza sempre maggiore nell’ambito della giurisprudenza della Corte di Cassazione, anche per le diverse modalità con cui si è manifestata con il progredire delle tecnologie digitali.
L’evoluzione del concetto di sistema informatico e telematico
Benché fosse stata delineata in un periodo storico (L. 547/1993) nel quale per sistema informatico soleva intendersi esclusivamente un terminale collegato ad un server e quindi, nella sostanza, un elaboratore elettronico, con il passare degli anni il concetto di sistema informatico e telematico è stato invece esteso ad ogni tipo di dispositivo digitale in grado di processare dati tramite una memoria elettronica gestita da un microprocessore.
Sono quindi rientrati nel novero dei sistemi informatici anche dispositivi comuni come gli smartphone, equiparabili ormai, in tutto e per tutto, al concetto di elaboratore elettronico, ma anche i dispositivi che fanno parte della categoria degli oggetti dell’Internet (IOT), autonomi rispetto ad altri device ma comunque rientranti nell’area di stretta pertinenza giuridica dell’individuo, che può essere sottoposta a limitazioni quanto ad accesso e fruibilità da parte di terzi.
Anzi, l’uso ormai diffusissimo di questi dispositivi, in grado di acquisire molte più informazioni sull’individuo di quanto non fosse possibile realizzare con un personal computer, porterà sicuramente ad ulteriori interpretazioni del concetto di sistema informatico e telematico, poiché la protezione del domicilio digitale delle persone fisiche e le attività che sono già oggi realizzabili con firme elettroniche, posta certificata e dispositivi indossabili, che possono svolgere anche funzione di identificatore personale, non mancheranno di aprire nuove strade.
Anche il concetto di sistema telematico, che originariamente era stato concepito per le reti di comunicazione cablate, interne o pubbliche, è stato successivamente esteso alle comunicazioni senza cavi ed ha quindi ampliato notevolmente la portata dell’articolo 615 ter del Codice penale.
l’accesso abusivo ad un sistema informatico o telematico nel Codice penale
Il Codice penale definisce l’accesso abusivo ad un sistema informatico o telematico come la condotta di “Chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo” e prevede, per tale attività, la sanzione della reclusione fino a tre anni.
Quando, durante le tavole rotonde che seguivano i primi convegni sulle tecnologie informatiche degli anni ’90, scherzavamo (tra i pochi appassionati della materia, con gli altrettanto pochi interessati alla sua evoluzione) ipotizzando una separazione giudiziale tra moglie e marito che sarebbe stato possibile risolvere grazie al crescente uso di tecnologie digitali lavatrici e frigoriferi, addebitando al coniuge convenuto di aver utilizzato uno di questi dispositivi digitando il codice impostato dall’altro e concretizzando, quindi, un accesso abusivo ad un elettrodomestico informatico, certo non immaginavamo che saremmo arrivati a gestire non solo tali situazioni nell’ambito dei conflitti familiari (oggi anche una smartTV può fornire le prove di un adulterio) ma finanche le vertenze sul pascolo abusivo e l’invasione di terreni ed edifici con elementi di prova acquisiti mediante l’uso di droni e localizzatori GPS.
Come è ormai uniformemente accettato da dottrina e giurisprudenza, le condotte sono in realtà distinte tra sistema informatico e telematico, che sono ovviamente oggetti diversi (sebbene spesso l’azione iniziata sul primo vada ad incidere anche sul secondo e viceversa), e, più concretamente, tra l’azione di chi si introduce in un sistema violando le misure di sicurezza e quella di chi, invece, pur avendo avuto accesso in modo lecito al sistema, abusa delle credenziali e svolge un’attività non prevista o palesemente contraria alle autorizzazioni concesse.
Il reato di accesso abusivo ad un sistema informatico nella giurisprudenza della Corte di Cassazione
Nella giurisprudenza della Corte di Cassazione si possono individuare diverse fasi che hanno segnato l’evoluzione dell’interpretazione del reato di accesso abusivo ad un sistema informatico.
La prima fase
La prima fase, che si estende dagli anni ’90 fino alla metà del primo decennio del XXI secolo, è caratterizzata da una scarsa attenzione da parte della giurisprudenza di merito e di Cassazione per tale particolare tipologia di reato, con pronunce a volte anche errate dal punto di vista sostanziale, a causa della generale impreparazione del mondo giuridico ad affrontare l’argomento. E’ nota, agli operatori del settore, la motivazione della sentenza relativa all’attacco portato a termine contro il GR1, con la sostituzione del file originale del giornale radio con un diverso audio contenente pesanti critiche alla Microsoft e al suo fondatore, Bill Gates, che si concludeva con l’assoluzione dell’imputato per la mancanza di “idonee” misure di sicurezza nel sistema informatico della Rai, e che rendeva palese la confusione fatta dall’estensore tra il reato di accesso abusivo ad un sistema informatico e le misure minime di sicurezza previste dalla normativa del periodo sulla tutela dei dati personali (L. 675/1996) e dal connesso regolamento per l’individuazione delle misure minime di sicurezza (DPR 318/99).
A parte tali incidenti di percorso, si assiste comunque ad una generalizzata interpretazione restrittiva della condotta considerata illecita, tanto che in diversi casi viene esclusa la sussistenza del reato nonostante l’evidente aggressione ai beni oggetto di tutela.
La seconda fase
La seconda fase, che scavalca il 2010 e si estende all’incirca fino al 2015, si caratterizza per un progressivo ampliamento dell’interpretazione del reato di accesso abusivo ad un sistema informatico, per effetto della quale il processo si risolve con l’accoglimento dell’istanza punitiva anche in casi in cui la responsabilità dell’imputato era stata precedentemente esclusa.
Si assiste, inoltre, all’ampliamento del dibattito nei confronti di questo tipo di reato, soprattutto in considerazione dello sviluppo delle tecnologie informatiche e della loro crescente diffusione.
La responsabilità penale dei dipendenti
Un esempio significativo di questa evoluzione è rappresentato dalle Sentenze della Corte di Cassazione che riconoscono la responsabilità penale dei dipendenti che, pur avendo ricevuto legittimamente le credenziali di accesso al sistema informatico del datore di lavoro, ne fanno un uso non previsto dalle autorizzazioni concesse o le trattengono anche dopo il termine del rapporto di lavoro per continuare ad utilizzarle per scopi personali o per danneggiare il titolare.
È di questo periodo anche una delle più discusse interpretazioni sull’ipotesi di reato consistente nel diffondere un virus informatico (il caso vierika) che successivamente dava l’opportunità di esfiltrare dati dai sistemi infetti, ritenuta da alcuni interpreti una particolare fattispecie di accesso abusivo al sistema e non semplicemente la diffusione di codice malevolo di cui all’art. 615 quater.
La terza fase
La terza fase, a partire dal 2016, si caratterizza per una sempre maggiore attenzione da parte della giurisprudenza alla tutela dei diritti soggettivi dei titolari di sistemi informatici, anche in relazione alla crescente diffusione delle tecnologie di fruizione delle reti pubbliche, delle tecnologie senza fili (di prossimità e di comunicazione a distanza, come bluetooth low energy, rfid, nfc, fino agli hotspot wifi pubblici e privati).
L‘accesso a una rete Wi-Fi protetta da password
In questa fase, la giurisprudenza ha chiarito che l’accesso ad una rete Wi-Fi protetta da password, senza il permesso del titolare, concretizza il reato di accesso abusivo anche se le stesse password sono state fornite ai vicini di casa. In buona sostanza, deve ritenersi che la condivisione di una credenziale nel corso della visita nell’abitazione non autorizzi il beneficiario a continuare l’uso della rete senza fili anche dopo il termine dell’incontro, magari approfittando della contiguità degli appartamenti (caso abbastanza frequente nei condomini) e determinando un danno (riduzione della banda disponibile) con profitto del responsabile (connessione gratuita).
Di particolare interesse possono individuarsi, nel corso degli anni, le sentenze che di seguito si riassumono, caratterizzate dai chiarimenti che la Corte di Cassazione, a sezioni unite, ha dato sull’argomento.
La sentenza 17 febbraio 2012, n. 4694
Con la sentenza 17 febbraio 2012, n. 4694, le Sezioni Unite hanno chiarito che la condotta penalmente rilevante, ai sensi dell’art. 615 ter cp, consiste sia nell’accesso che nel mantenimento del soggetto all’interno del sistema, anche nell’ipotesi in cui abbia ottenuto le credenziali in modo lecito, laddove “violi le condizioni ed i limiti risultanti dal complesso delle prescrizioni impartite dal titolare del sistema per delimitare oggettivamente l’accesso”. La motivazione per cui il responsabile della condotta interviene sul sistema, invece, non ha rilevanza, perché il reato è considerato a dolo generico e l’azione concretizza quindi la coscienza e volontà di violare la norma, indipendente dall’intenzione soggettiva specifica. La violazione delle prescrizioni impartite dal titolare del sistema – ad esempio con un regolamento diffuso tra gli utenti ovvero con ordine di servizio adeguatamente dettagliato ovvero con mansionario – è sufficiente a concretizzare l’ipotesi di reato delineata dall’art. 615 ter cp.
La sentenza n. 41210/2017
Con la sentenza n. 41210/2017, le Sezioni Unite pervengono ad analoga considerazione sul caso del Direttore di una testata giornalistica nazionale, oggetto di contestazione nel corso di un programma televisivo con la rivelazione della notizia di avere ricevuto un decreto penale di condanna per reati oggettivamente odiosi, a seguito del quale numerosi cancellieri, a livello nazionale, avevano ritenuto di poter verificare tale informazioni accedendo al sistema informatico “Re.Ge” in uso alle Procure della Repubblica.
La Cassazione, dopo un rinvio alle sezioni unite cagionato da precedente giurisprudenza altalenante (tecnicamente ogni cancelliere aveva svolto i compiti stabiliti dal mansionario, senza violare le istruzioni impartite, ma senza che vi fosse una specifica ragione di servizio, essendo l’accesso dettato da semplice curiosità), estendeva il concetto già espresso nel 2012, evidenziando che in questo caso la finalità perseguita rilevava in senso negativo, richiamando il concetto di sviamento di potere proprio del diritto amministrativo ed evidenziando che, pur avendo avuto accesso legittimo al sistema e pur non avendo valicato le autorizzazioni concesse o le istruzioni impartite, la condotta doveva essere censurata in quanto in realizzata violazione dei doveri d’ufficio per la sua “ontologica incompatibilità” con la funzione rivestita e con l’aggravante di essere un operatore di sistema.
La sentenza n. 17325/2015
È interessante anche la sentenza n. 17325/2015 della Corte di Cassazione a Sezioni Unite, perché si pronuncia sui criteri di determinazione della competenza territoriale ex art. 8 cpp, evidenziando che il luogo di consumazione del delitto va individuato con riferimento alla collocazione del client attraverso il quale l’azione viene iniziata indipendentemente dalla posizione del server in cui sono custoditi i dati, i software o l’hardware della persona offesa. Il luogo in cui si perfeziona il delitto non deve necessariamente coincidere con quello in cui si manifesta il danno o il risultato della condotta.