Il delitto di accesso abusivo a un sistema informatico o telematico da parte del soggetto abilitato all’accesso (S. Logroscino)

 

IL DELITTO DI ACCESSO ABUSIVO A UN SISTEMA INFORMATICO O TELEMATICO DA PARTE DEL SOGGETTO ABILITATO ALL’ACCESSO

Cassazione, Sezioni Unite, 7 febbraio, n. 4694

Stefano Logroscino, Avvocato- Cultore della materia di Diritto dell’informatica

(Estratto da Diritto e Processo formazione n. 3/2012)

 

 

“Integra la fattispecie criminosa di accesso abusivo ad un sistema informatico o telematico protetto, prevista dall’art. 615-ter cod. pen., la condotta di accesso o di mantenimento nel sistema posta in essere da soggetto che, pure essendo abilitato, violi le condizioni ed i limiti risultanti dal complesso delle prescrizioni impartite dal titolare del sistema per delimitarne oggettivamente l’accesso. Non hanno rilievo, invece, per la configurazione del reato, gli scopi e le finalità che soggettivamente hanno motivato l’ingresso al sistema”.

 

SOMMARIO: Premessa;  1) L’accesso abusivo a un sistema informatico o telematico; 2) Le tesi contrapposte; 3) La soluzione della Corte di Cassazione, Sezioni Unite, Sent. n. 4694 del 2012.

 

 

PREMESSA

Con la sentenza n. 4694 del 27 ottobre 2011-7 febbraio 2012, la Corte di Cassazione, a Sezioni Unite, ha risolto il pluriennale contrasto emerso a seguito delle precedenti pronunce della Suprema Corte inerenti la qualificazione giuridica della condotta posta in essere dal soggetto che, abilitato dal titolare dello ius excludendi ad effettuare l’accesso al sistema informatico o telematicoe, effettui l’accesso e vi si mantenga per scopi e con modalità contrari alla volontà espressa o tacita del titolare stesso. In particolare, con ordinanza dell’11 febbraio-23 marzo 2011 della V Sezione della Corte di Cassazione, è stato posto alle Sezioni Unite  il quesito se “(omissis) costituisca il reato previsto dall’art. 615 ter cod. pen. L’accesso di soggetto abilitato ad un sistema informatico protetto per scopi e finalità estranee a quelle per le quali la chiave di accesso gli era stata attribuita (omissis[1]).

 

1) L’ACCESSO ABUSIVO A UN SISTEMA INFORMATICO O TELEMATICO

Con riferimento al delitto di accesso abusivo a un sistema informatico o telematico, previsto dall’art. 615 ter c.p.[2], e introdotto con la legge n.547 del 1993 insieme a circa altri venti cyber crimes, si propone una breve analisi introduttiva. Tra i diversi beni giuridici tutelati dalla norma, quello che assume maggior rilievo è il c.d. domicilio informatico, inteso come diritto alla riservatezza e alla protezione dei dati presenti nel sistema protetto. E, in effetti, tale assunto trova conforto nell’analisi sistematica dell’art. 615 ter, inserito nel libro II, Titolo XII, Capo III, Sezione IV, rubricata “dei delitti contro la inviolabilità del domicilio”.

 Le condotte del reato, alternative, sono due. La prima consiste  nell’effettuare l’accesso a un sistema informatico o telematico che sia protetto da misure di sicurezza (tanto di carattere fisico meccanico, come ad es. una porta chiusa a chiave, tanto di carattere elettronico- informatico, come ad es. mediante la predisposizione di una password di sicurezza). Detto accesso, inoltre, deve avvenire in maniera abusiva, ovvero contro il consenso dell’avente diritto tramite la ‘forzatura’ delle misure di protezione ovvero, lo si vedrà meglio di seguito, con violazione delle prescrizioni e dei limiti all’accesso imposti all’operatore dall’avente diritto. La seconda condotta del delitto in oggetto consiste nel trattenersi nel sistema informatico o telematico nonostante la volontà contraria espressa o tacita dell’avente diritto all’esclusione. Sotto il profilo dell’elemento soggettivo del reato, viene in rilievo il dolo generico, inteso come rappresentazione e volontà del fatto tipico. Quali circostanze aggravanti del reato, il comma II dell’art. 615 ter c.p. prevede l’accesso al sistema da parte di soggetti qualificati (il pubblico ufficiale o l’incaricato di pubblico servizio, l’investigatore privato o l’operatore di sistema, qualora vi sia un abuso delle prerogative proprie della funzione) i quali in virtù del loro status hanno una maggiore facilità a effettuare l’accesso al sistema informatico. Costituiscono circostanze che aggravano la pena anche l’uso di violenza su cose o persone o l’agire armati per commettere il reato, o, ancora, il cagionare un ‘danneggiamento’ al funzionamento del sistema informatico. Se, infine, i sistemi violati sono di interesse militare o pubblico, vi è un ulteriore aumento della pena. Sotto il profilo procedurale, è richiesta la denuncia-querela della persona offesa solo in riferimento all’ipotesi di reato semplice; per le ipotesi aggravate è prevista la procedibilità d’ufficio.

 

2) LE TESI CONTRAPPOSTE

2.1 In base a una prima tesi, fatta propria da numerose pronunce della Corte, il delitto di cui all’art. 615 ter c.p. è integrato anche nell’ipotesi in cui l’accesso al sistema informatico venga effettuato dal soggetto abilitato dal titolare del sistema ancorchè l’agente si sia prefissato scopi diversi rispetto a quelli per il raggiungimento dei quali era stato precedentemente autorizzato. Sotto il profilo dell’autore del reato, in genere si tratta di dipendenti o di fiduciari del titolare del sistema informatico. Costoro, dunque, per espletare le mansioni loro affidate, sono abilitati all’accesso al sistema ma solo nei limiti e secondo le modalità imposte loro dal titolare. A mero titolo esemplificativo, si pensi all’ingegnere dipendente di un’impresa che ha accesso al sistema e alla banca dati aziendale, o alla segretaria di uno studio legale che ha accesso al sistema informatico dello Studio per catalogare le pratiche  o, ancora, all’ufficiale di polizia che ha accesso alla banca dati informatizzata della polizia per ragioni di servizio. E si immagini l’eventualità in cui taluno di questi soggetti, ad esempio la segretaria dello studio legale, effettui l’accesso per prelevare informazioni riservate e sensibili riguardanti un’impresa cliente del titolare dello Studio legale, dietro compenso, ovviamente, di una ditta concorrente. Secondo la tesi in parola, in ipotesi consimili, l’accesso al sistema informatico, seppur autorizzato ab origine onde espletare determinate funzioni commissionate dal titolare del sistema,  avviene de facto contro il consenso tacito dell’avente diritto all’esclusione dal sistema[3].  Alla base di tale ragionamento vi è, evidentemente, l’esigenza ti massima tutela del domicilio c.d. informatico, in analogia con ciò che prevede la norma dell’art. 614 c.p., a tutela del domicilio fisico[4]. In particolare, sul punto, nella pronuncia con la quale la Suprema Corte ebbe a sostenere tale tesi per la prima volta, venne evidenziato come “il delitto di violazione di domicilio è stato notoriamente il modello dì questa nuova fattispecie penale, tanto .da indurre molti a individuarvi, talora anche criticamente, la tutela di un domicilio informatico”[5].

Segue– 2.2  Secondo una seconda tesi, seguita per lo più dalla V e dalla VI sezione della Corte di Cassazione, il delitto di accesso abusivo a un sistema informatico o telematico non può essere integrato qualora la condotta di accesso al sistema venga perpetrata da soggetto abilitato, sebbene detta condotta venga finalizzata a conseguire risultati avulsi da quelli prefissati dal titolare dello ius excludendi. In particolare, in alcune pronunce a sostegno di tale tesi, opportunamente riportate nella parte motiva della Sentenza n. 4694/12 delle Sezioni Unite della Cassazione, è stato addotto che la volontà contraria dell’avente diritto deve essere immediatamente sussumibile nella condotta posta in essere dall’agente, a nulla rilevando eventuali “fatti successivi (l’uso illecito dei dati) che, anche se già previsti, potranno di fatto realizzarsi solo in conseguenza di nuovi e diversi atti di volizione da parte dell’agente”. Un altro argomento a sostegno dell’irrilevanza penale (in riferimento alla fattispecie dell’art. 615 ter c.p.) dell’accesso al sistema informatico, da parte dei soggetti previamente autorizzati, poggia sull’interpretazione della locuzione “abusivamente si introduce”. Ebbene, in accordo a tale linea di pensiero, onde evitare un’inaccettabile dilatazione della portata applicativa dell’art. 615 ter c.p., la locuzione ‘abusivamente si introduce’, evidentemente troppo vaga e indeterminata, dovrebbe essere interpretata in maniera restrittiva quale ‘accesso non autorizzato’, conformemente alle locuzioni,  utilizzate rispettivamente dalla Raccomandazione R(89)9 del Comitato dei ministri del Consiglio d’Europa, in materia di criminalità informatica e attuata in Italia con la nota legge sui Cyber Crimes, n. 547 del 1993 e, successivamente, dalla Convenzione del Consiglio d’Europa sulla Criminalità informatica del 2000, ratificata in Italia con l’ n. 48/2008. Ulteriore conferma di tale tesi andrebbe ravvisata nell’analisi esegetica della norma dell’art. 615 ter c.p. Infatti, la fattispecie dell’accesso abusivo a un sistema informatico prevede due condotte alternative: la prima è quella dell’accesso abusivo; la seconda consiste nel mantenimento, evidentemente del soggetto che già ha avuto legittimamente accesso al sistema[6], contro la volontà espressa o tacita del titolare del sistema informatico o telematico. Ebbene, il requisito dell’abusività andrebbe ricostruito sotto un profilo squisitamente oggettivo. Assumerebbe rilievo primario, in tal senso, la verifica delle modalità d’accesso al sistema secondo le modalità ed entro i limiti imposti dall’avente diritto all’esclusione più che le finalità cui l’accesso era preposto (finalità che, qualora realizzate, potranno comunque essere represse, se penalmente illecite in relazione ad altre fattispecie di reato)[7].

 

3) LA SOLUZIONE della Corte di Cassazione, Sezioni Unite, 7 febbraio, n. 4694

A fronte del sopra enunciato contrasto interpretativo, le Sezioni Unite della Corte di Cassazione hanno stabilito che, per la soluzione della questione posta, occorre comprendere “se integri la fattispecie criminosa di accesso abusivo ad un sistema informatico telematico protetto la condotta di accesso o di mantenimento nel sistema posta in essere da soggetto abilitato ma per scopi o finalità estranei a quelli per i quali la facoltà di accesso gli è stata attribuita”. Ebbene, secondo il giudizio delle Sezioni Unite della Corte di Cassazione, la questione va risolta sulla base unicamente del ‘profilo oggettivo’ dell’accesso o del trattenimento nel sistema informatico in violazione delle prescrizioni, dei limiti di utilizzo e, ancora, delle modalità d’accesso impartite dal titolare del sistema, a nulla rilevando le finalità, eventualmente illecite, perseguite dall’agente. Sul punto, infatti, le Sezioni Unite della Suprema Corte hanno evidenziato che “il dissenso tacito del dominus loci non viene desunto dalla finalità (quale che sia) che anima la condotta dell’agente, bensì dall’oggettiva violazione delle disposizioni del titolare in ordine all’uso del sistema (omissis) – mentre- gli eventuali fatti successivi (omissis) se seguiranno, saranno frutto di nuovi ati successivi e pertanto, se illeciti, saranno sanzionati con riguardo ad altro profilo di reato (omissis). Sulla base di tale argomentazione, perciò, dovrebbe ritenersi pienamente lecita (almeno in riferimento al delitto di accesso abusivo a un sistema informatico) la condotta del soggetto abilitato che effettui l’accesso nei limiti e secondo le modalità imposte dal titolare ed effettui operazioni autorizzate ab origine, sebbene si sia prefissato di utilizzare illecitamente eventuali informazioni acquisite a seguito di siffatto accesso. E’ sulla scorta di tale ragionamento che le Sezioni Unite della Corte di Cassazione, con la sentenza in oggetto, hanno risolto il sopra enunciato contrasto stabilendo che “Integra la fattispecie criminosa di accesso abusivo ad un sistema informatico o telematico protetto, prevista dall’art. 615-ter cod. pen., la condotta di accesso o di mantenimento nel sistema posta in essere da soggetto che, pure essendo abilitato, violi le condizioni ed i limiti risultanti dal complesso delle prescrizioni impartite dal titolare del sistema per delimitarne oggettivamente l’accesso. Non hanno rilievo, invece, per la configurazione del reato, gli scopi e le finalità che soggettivamente hanno motivato l’ingresso al sistema”.

 

 

 


[1] Cfr. Cass. Pen., 23 febbraio 2011, n. 11714.

[2] Art. 615 ter c.p.  Accesso abusivo ad un sistema informatico o telematico Chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volonta’ espressa o tacita di chi ha il diritto di escluderlo, e’ punito con la reclusione fino a tre anni. La pena e’ della reclusione da uno a cinque anni: 1) se il fatto e’ commesso da un pubblico ufficiale o da un incaricato di un pubblico servizio, con abuso dei poteri o con violazione dei doveri inerenti alla funzione o al servizio, o da chi esercita anche abusivamente la professione di investigatore privato, o con abuso della qualita’ di operatore del sistema; 2) se il colpevole per commettere il fatto usa violenza sulle cose o alle persone, ovvero se e’ palesemente armato; 3) se dal fatto deriva la distruzione o il danneggiamento del sistema o l’interruzione totale o parziale del suo funzionamento, ovvero la distruzione o il danneggiamento dei dati, delle informazioni o dei programmi in esso contenuti. Qualora i fatti di cui ai commi primo e secondo riguardino sistemi informatici o telematici di interesse militare o relativi all’ordine pubblico o alla sicurezza pubblica o alla sanita’ o alla protezione civile o comunque di interesse pubblico, la pena e’, rispettivamente, della reclusione da uno a cinque anni e da tre a otto anni. Nel caso previsto dal primo comma il delitto e’ punibile a querela della persona offesa; negli altri casi si procede d’ufficio (1). (1)Articolo aggiunto dall’art. 4, L. 23 dicembre 1993, n. 547.

[3] Ex multis, cfr. Cass., Sez. V, 10 dicembre 2009-22 gennaio 2010, n. 2987, CED, 245842.

[4] Art. 614 c.p.- Violazione di domicilio

Chiunque si introduce nell’abitazione altrui, o in un altro luogo di privata dimora, o nelle appartenenze di essi, contro la volontà espressa o tacita di chi ha il diritto di escluderlo, ovvero vi s’introduce clandestinamente o con inganno, è punito con la reclusione fino a tre anni. Alla stessa pena soggiace chi si trattiene nei detti luoghi contro l’espressa volontà di chi ha diritto di escluderlo, ovvero vi si trattiene clandestinamente o con inganno. (omissis).

[5] Cfr. Cass., Sezione V, sentenza n. 12732, 7 novembre 2000.

[6] Sul punto Cfr. L. CUOMO, La tutela penale del domicilio informatico, in Cass. Pen., 2000, 11, 2990.

[7] Sul punto Cfr. Cass. Pen., Sez. VI, Sent. n. 39290, 8 ottobre 2008.

 

LASCIA UN COMMENTO

Please enter your comment!
Please enter your name here