Accesso abusivo a sistema informatico, intercettazione illecita di comunicazioni telematiche e trattamento illecito di dati: questi i reati di cui è accusato l’ex dipendente infedele del Leonardo-Leaks e per cui è stato sottoposto alla misura della custodia cautelare in carcere.
Vediamo però meglio di cosa si tratta, quali sono le sanzioni penali e le conseguenze per queste condotte.
Il fatto
La vicenda del furto dati subito da Leonardo, azienda tra le più note al mondo in ambito di prodotti per la Difesa e la cybersecurity, è, ormai, nota ai più: dal il 2015 e il 2017 un (ormai ex) dipendente infedele aveva caricato, mediante inserimento di chiavetta usb in vari pc dello stabilimento di Pomigliano D’Arco, un malware sufficientemente sofisticato da non essere riconosciuto dai sistemi antivirus aziendali.
Il fatto è emerso la scorsa settimana; le indagini sono partite su denuncia della stessa azienda.
Il malware ha permesso di intercettare tutto qual che veniva digitato sulle tastiere dei computer infetti mediante la tecnica del cosiddetto screen capturing; il materiale “hackerato” veniva poi diretto ad una pagina web ora sequestrata. Mettiamo tra virgolette “hacking” perché secondo alcuni esperti quest’attività, non prevendo il superamento di difese, è solo spionaggio industriale, non vero è proprio hacking o attacco informatico.
Dopo aver scaricato i dati, le tracce dell’accesso abusivo venivano cancellate da remoto.
Nel 2017 la Società Leonardo, avendo riscontrato anomalie, presentava denuncia all’Autorità giudiziaria; la polizia postale per parte sua, ha accertato l’attacco informatico e l’ha classificato cime estremamente grave, dato il numero delle postazioni infette (94), la durata dell’accesso abusivo (corca due anni), la tipologia dei dati sottratti e la modalità sofisticata di utilizzo del malware e del depistaggio operato.
L’accesso abusivo a sistema informatico
L’articolo 615 ter del Codice penale punisce con la reclusione fino a tre anni chiunque, abusivamente, “si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo”.
La pena va da uno a cinque anni di reclusione se il fatto è commesso da pubblico ufficiale, incaricato di pubblico servizio con abuso dei poteri o violazione dei rispettivi doveri, se è effettuato con violenza su cose, persone, o da soggetto palesemente armato, o se dal fatto derivano l’interruzione di servizi o la distruzione o il danneggiamento di dati, informazioni o programmi.
Se – come in questo caso – l’accesso abusivo si riferisce a sistemi informatici o telematici di interesse militare o relativi all’ordine pubblico o alla sicurezza pubblica o alla sanità o alla protezione civile o comunque di interesse pubblico, la pena sarà da uno a cinque anni nella prima ipotesi e da tre ad otto nelle ipotesi più gravi.
L’accesso abusivo a sistema informatico è considerato una specificazione telematica del delitto di violazione di domicilio, perché ha lo stesso parametro costituzionale di riferimento, ossia l’articolo 14 della Costituzione che tutela, appunto, l’inviolabilità del domicilio.
Questa impostazione è sempre stata criticata dagli autori più attenti alle nuove realtà che emergono dall’avvento della digitalizzazione e della tecnologia di ultima generazione in particolare.
L’inviolabilità del domicilio informatico, infatti, è considerata una mera specificazione del principio generale, mentre meriterebbe, ormai, una riqualificazione diversa, più rispondente sia alle novità tecnologiche che alla realtà quotidiana.
La dottrina lo inquadra tra i reati di ostacolo, perché sanziona, nella sua forma meno articolata, il mero accesso contro la volontà di chi ha protetto il proprio sistema informatico, limitandosi ad aggravare la pena nei casi in cui vi siano anche danni a dati o programmi o che il reato sia commesso da soggetti con determinate qualifiche o con modalità particolari.
Intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche
L’articolo 617 quater del Codice penale punisce con la reclusione da sei mesi a quattro anni “chiunque fraudolentemente intercetta comunicazioni relative a un sistema informatico o telematico o intercorrenti tra più sistemi, ovvero le impedisce o le interrompe” o, con la stessa pena, chiunque le riveli, in tutto o in parte, al pubblico.
La pena è della reclusione da uno a cinque anni se il fatto è commesso in danno di un sistema informatico o telematico utilizzato dallo Stato o da altro ente pubblico o da impresa esercente servizi pubblici o di pubblica necessità (come nel caso di Leonardo) o da un pubblico ufficiale o da un incaricato di un pubblico servizio con abuso dei poteri o con violazione dei doveri inerenti alla funzione o al servizio o, ancora, con abuso della qualità di operatore del sistema
Stessa pena per chi intercetta abusivamente comunicazioni esercitando, anche senza licenza, la professione di investigatore privato.
In questo caso il parametro costituzionale di riferimento è l’articolo 15 della Costituzione, che sancisce la libertà e la segretezza della corrispondenza e di ogni altra forma di comunicazione, sempre inviolabili salvo che per atto motivato dell’Autorità giudiziaria.
Per intercettazione si deve intendere non la presa di cognizione diretta delle comunicazioni aggredite: è sufficiente che l’hacker riesca a sottrarre i dati o i files che costituiscono l’oggetto della comunicazione trasmessa.
L’avverbio “fraudolentemente” utilizzato dal legislatore penale indica l’esigenza che l’intercettazione avvenga in modo da abbassare o eludere le difese di chi comunica, di modo che quest’ultimo sia ignaro del fatto di essere “spiato”.
Questa fattispecie di reato tutela l’integrità del sistema informatico di comunicazione, intesa come possibilità di svolgere le proprie funzioni in modo libero e pacifico: per questa ragione, a differenza del reato precedente, è considerato un delitto di danno vero e proprio.
Il trattamento illecito di dati
Questo reato è previsto dall’articolo 167 del Decreto legislativo 196 del 2003, più noto come Codice della privacy.
Viene punito chi, per ottenere un vantaggio o recare danni all’interessato o agli interessati, tratti dati in violazione del Regolamento UE 16/679, con pene variabili da sei mesi a un anno e sei mesi di reclusione per le ipotesi meno gravi, a pene che vanno da un anno a tre anni di reclusione per le più gravi.
E’ un reato a dolo specifico, perché deve essere commesso per un fine determinato e con un obiettivo chiaro.
Dato che è un reato residuale, nel caso dell’attacco informatico a Leonardo si dovrà capire se la contestazione resisterà al giudizio o se cadrà successivamente, perché “assorbita” dalle altre contestazioni.
Responsabilità degli Enti da reato: Leonardo rischia qualcosa?
Se è certo che in questo caso Leonardo è parte offesa, va anche detto che una sua responsabilità per omesso o insufficiente controllo pare quasi certa. Numerosi esperti hanno commentato in tal senso nelle scorse ore (tra gli altri, a Cybersecurity360, il decano della cyber italiana, Danilo Bruschi, ordinario dell’Università di Milano, e Pierluigi Paganini della Luiss).
La stessa procura scrive di “anomalie nelle procedure di gestione e nei meccanismi di risoluzione che pongono interrogativi sulle strategie e sull’efficacia dedelle azioni adottate”. Leonardo puntualizza che gli errori riguardano la gestione passata; i nuovi ad e presidente hanno cambiato responsabili e regole.
In ogni caso, i reati di accesso abusivo a sistema informatico e di intercettazione abusiva di comunicazioni rientrano tra i cosiddetti reati presupposto della responsabilità amministrativa degli enti da reato: uno dei due requisiti perché si verifichi questo tipo di responsabilità, quindi, è integrato.
Il secondo è che l’agente abbia agito per interesse o a vantaggio dell’ente: in questo caso si può essere certi – salvo colpi di scena che non è dato prevedere oggi – che così non sia stato.
Certo è che la Cassazione ha comunque confermato la condanna degli enti che, per risparmiare sulle strutture di sicurezza interna, non hanno adottato misure organizzative idonee a prevenire il reato presupposto.
In altri termini, il vantaggio dell’ente sarebbe nel minor costo determinato dalla mancata adozione di misure efficaci.
In ambiente G.D.P.R., poi, è del tutto evidente il grave data breach che si è verificato: tuttavia, esso è relativo a fatti verificatisi tra il 2015 ed il 2017 ed il regime sanzionatorio non potrà essere quello posto Reg. UE 16/679.
