Quando si configura il reato di accesso abusivo a sistema informatico? Dove si consuma il reato?
Può essere commesso anche da chi ha l’autorizzazione per accedervi, ma si trattiene per scopi estranei all’autorizzazione?
E’ punibile il c.d. “hacking etico”?
Cerchiamo di rispondere in questo podcast dell’Avv. Paolo Palmieri.
Versione testuale
L’accesso abusivo a sistema informatico
Caratteristiche principali
Il delitto di accesso abusivo a sistema informatico o telematico è disciplinato dall’art. 615 ter del codice penale, ed è stato introdotto dalla legge n. 547 del 1993. L’articolo configura due ipotesi di reato: viene punito il fatto di “… chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza”; e il fatto di chi “…si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo”, con la reclusione fino a tre anni.
La pena è inasprita da uno a cinque di reclusione nel caso in cui a commettere il reato sia un pubblico ufficiale o l’incaricato di un pubblico servizio; se il colpevole usa violenza sulle cose oppure usa delle armi; e, infine, se dal fatto deriva la distruzione o il danneggiamento del sistema o l’interruzione totale o parziale del suo funzionamento, ovvero la distruzione o il danneggiamento dei dati, delle informazioni o dei programmi in esso contenuti.
Innanzitutto, occorre chiarire cosa si intende per sistema informatico, tenuto conto che la legge 23 dicembre 1993, n. 547, che ha introdotto nel nostro sistema i cd. computer’s crimes, non ha enunciato, quale oggetto di tutela, la definizione di sistema informatico, presupponendone significato e profili tecnici. Né tale classificazione si può rinvenire nella successiva legge n. 48 del 18 marzo 2008 che ha modificato, in parte, la normativa in questione. La giurisprudenza di legittimità, con il tempo, è arrivata a definire un sistema informatico come l’insieme delle apparecchiature destinate a compiere una qualsiasi funzione utile all’uomo, attraverso l’utilizzazione (anche in parte) di tecnologie informatiche (SS.UU. n. 17325/2015). Può essere un database, può essere un social network, può essere l’area personale dell’home banking, oppure il gestionale dell’impresa.
Analizzando la fattispecie astratta, occorre analizzare prima di tutto cosa vuol dire “introdursi” in un sistema informatico. Tale circostanza si verifica quando si accede all’interno del sistema, anche fisicamente, ad esempio forzando una stanza contenente dei server; ma, ovviamente, il caso più frequente di accesso abusivo si verifica mediante tecniche informatiche.
Il legislatore ha configurato il delitto ex art. 615 ter c.p. con due fattispecie distinte, ma perché lo ha fatto, tenuto conto che per “mantenersi” in un sistema informatico, occorre prima necessariamente esservi entrato abusivamente?
La risposta è semplice; il delitto di accesso abusivo può essere commesso anche da chi può lecitamente introdursi nel sistema, ma che può non avere la facoltà di effettuare operazioni diverse da quelle consentitegli, o non avere la facoltà di mantenersi oltre un determinato lasso di tempo.
Un altro requisito importante è che affinché vi sia accesso abusivo, il sistema deve essere protetto da misure di sicurezza. E questo per incentivare il legittimo proprietario del sistema a predisporre mezzi di protezione adeguati e proporzionati al sistema da proteggere, che può significare l’uso di semplici password, fino a sistemi di protezione crittografati o con vari livelli di autenticazione. Per misure di sicurezza sono intese anche quelle c.d. esterne, come quelle relative all’accesso ai locali dov’è situato il sistema informatico, ad esempio. Per configurare il reato di accesso abusivo a sistema informatico, è sufficiente il dolo generico, ossia la semplice intenzione del colpevole di introdursi o mantenersi illecitamente nel sistema informatico. Infine, il delitto è punibile solo seguito di querela della persona offesa, salvo il verificarsi di una delle circostanze aggravanti sopra descritte.
Questa per sommi capi la sintesi delle caratteristiche principali del reato. Analizziamo alcuni casi pratici affrontati e risolti dalla giurisprudenza, che hanno modellato il reato nel tempo.
Casi pratici
Locus commissi delicti
Una prima questione che ha dovuto affrontare la giurisprudenza riguarda l’individuazione del locus commissi delicti, ossia l’individuazione del luogo di consumazione del reato di accesso abusivo. Un primo orientamento lo individuava nel luogo dove si trovava il sistema informatico violato, ossia il server (ex plurimis, Cass. n. 40303/2013); un secondo orientamento lo individuava nel luogo presso il quale il soggetto effettuava l’introduzione abusiva.
Le Sezioni Unite, con la sentenza 17325/2015, hanno infine accolto questa seconda tesi, chiarendo che il reato si consuma nel luogo dove l’agente effettua l’introduzione abusiva, per via di un’interpretazione estensiva della nozione di “domicilio”.
Scopi ultronei
Ci si è chiesti, poi, se integri questo reato la condotta di colui che è autorizzato ad accedere ad un dato sistema informatico, ma che ha degli scopi che vanno oltre la sua autorizzazione. È il caso tipico dell’agente delle forze dell’ordine che può accedere ad un determinato database, ma che vi acceda per finalità diverse da quelle per le quali è incaricato.
Su questo punto molto controverso, sono intervenute sempre le Sezioni Unite con la sentenza n. 57521/2015, le quali hanno stabilito che il delitto di accesso abusivo viene commesso anche da chi può accedere ad un sistema perché possiede le credenziali di accesso e le autorizzazioni necessarie, ma che si trattenga per motivi estranei a quelli per i quali è autorizzato. Ciò che rileva, a dire delle Sezioni Unite, non è la finalità che anima la condotta dell’agente, bensì l’oggettiva violazione delle disposizioni del titolare in ordine all’uso del sistema informatico.
Accesso al conto del coniuge
Un altro caso tipico di accesso abusivo a sistema informatico si configura quando il coniuge si introduce nell’home banking dell’altro coniuge. L’area personale della propria banca costituisce di sicuro un sistema informatico protetto da misure di sicurezza. La giurisprudenza ha ritenuto che si realizzi l’accesso abusivo qualora si consultino i dati relativi ad un conto corrente non cointestato, qualora sia stata revocata la delega ad operare sullo stesso (Cass. n. 14627/2018).
Riconducibilità dell’indirizzo IP
Quando si parla di accesso abusivo a sistema informatico, un altro aspetto importante è l’accertamento della provenienza dell’introduzione abusiva nel sistema. Ad esempio, l’introduzione nel profilo di un social network di un’altra persona, come ad esempio facebook o twitter, costituisce accesso abusivo. Per ricondurre quell’accesso ad una data persona, la giurisprudenza ha chiarito che in questi casi è sufficiente la titolarità dell’indirizzo IP da cui proviene l’accesso. L’indirizzo IP è un codice numerico che identifica univocamente un dispositivo – host – collegato a una rete informatica connessa alla rete internet. Il problema si pone quando ad usare quella data connessione non sia soltanto un unico sogetto: in questo caso, per risalire al vero autore della condotta, si dovrà fare affidamento anche su altri indizi.
Sottrazione dati da parte di un collaboratore
Infine, commette il reato di accesso abusivo anche il dipendente di una società che copi su un supporto fisico o su qualche piattaforma cloud dei files contenenti dati riservati del proprio datore di lavoro, procedendo poi irreversibile alla cancellazione dei dati contenuti sul PC aziendale in uso. Oppure, integra il delitto previsto dall’art. 615 ter c.p. la condotta del collaboratore di uno studio di professionisti, incaricato di occuparsi solo di un numero circoscritto di clienti, che acceda all’archivio informatico dello studio provvedendo a copiare e a duplicare, trasferendoli su altri supporti informatici, i files riguardanti l’intera clientela dello studio professionale (Cass. n. 48895/2018).
Il c.d. “hacking etico”
Per concludere è stata recentemente pubblicata un’interessantissima ordinanza di archiviazione del G.I.P. di Catania, del luglio del 2019, che nella sostanza “legittima” il c.d. “hacking etico”. In sostanza un esperto di informatica aveva ripetutamente avvisato una società sviluppatrice di app per smartphone dei bug e dei problemi di sicurezza dell’applicazione. Non avendo ricevuto risposta, passando delle parole ai fatti, aveva voluto dimostrare alla società la facilità di penetrazione nel sistema con un attacco hacker in piena regola. Il G.I.P., all’esito delle indagini, ha archiviato il procedimento perché a suo dire la condotta dell’hacker non integrava il delitto di accesso abusivo, ma al contrario poteva essere inquadrata nella metodologia comune della “divulgazione responsabile”. Insomma, l’hacker non è punibile se il suo attacco viene effettuato “a fin di bene”.