Accesso abusivo ad un sistema informatico

1. Sommario: Il diritto penale dell’ informatica: definizioni di base; 2. Il delitto di accesso abusivo ad un sistema informatico. La collocazione sistematica nel Codice penale; 3. Il bene giuridico tutelato; 4. La condotta tipica: intromissione e permanenza abusiva nel sistema; 5. Il requisito dell’abusività delle peculiari condotte di introduzione e di permanenza nell’altrui sistema informatico o telematico; 5.1. Il carattere dell’abusività come perseguimento di finalità contrarie all’autorizzazione del titolare; 5.2. L’incidenza del carattere abusivo della condotta quale violazione delle generali disposizioni che regolano l’introduzione e mantenimento in un sistema informatico; 6. Elemento psicologico del reato; 7. La nozione di “misure di sicurezza”; 8. Fase di consumazione del reato e configurazione del tentativo.

 

 

 

2. Il diritto penale dell’ informatica: definizioni di base

 

Il diritto penale dell’informatica rappresenta un novero di complesse combinazioni incriminatrici, manifestazione di ripetuti interventi di riforma settoriali e particolarmente frammentari susseguitisi negli anni. Ciononostante, questi restano comunque sprovvisti di una elaborata revisione dogmatica, sicché la disciplina incriminatrice potrebbe risultare non adeguatamente conforme a fronteggiare la realtà empirica e la particolare diffusività dei fenomeni delinquenziali informatici e, dunque, il dilagare di una peculiare criminalità che opera in modo congiunturale.

La normativa in materia, diretta a contrastare quelle forme di criminalità informatica, è contenuta nella L. 23.12.1991, n. 547, disposta in attuazione della Raccomandazione (89) 9 del Consiglio d’Europa.

L’attività di ricezione della Raccomandazione ha indotto il legislatore nazionale a collocare le nuove fattispecie criminose all’interno del Titolo XII, Libro II c.p.[1], fra quelle ipotesi delittuose già preesistenti che, per la propria struttura incriminatrice, nonché per l’oggettività giuridica, presentavano maggiori affinità[2].

In tal senso, il delitto di accesso abusivo ad un sistema informatico si dimostra emblematico, infatti, il suo schema ricalca, quasi pedissequamente, il modello di regolamentazione adottato per il delitto di violazione di domicilio, di cui all’art. 614 c.p.; si tratta, quindi, di una tecnica di normazione standardizzata che ha reso agevole l’inserimento dei reati informatici nella sistematica del codice penale.

Tra i più recenti e significativi interventi normativi, ci sembra opportuno far menzione della L. 13.3.2008, n. 48; normativa che ha provveduto a ratificare la nota Convenzione Cybercrime del Consiglio d’Europa. In specie, sono state apportate modifiche rilevanti alla disciplina delle falsità informatiche e alle ipotesi di danneggiamento informatico, tra cui l’inserimento di una nuova norma, ossia l’art. 495-bis c.p. e l’art. 640-quinquies c.p., ove, nello specifico, viene sanzionata la frode del certificatore.

 

3. Il delitto di accesso abusivo ad un sistema informatico. La collocazione sistematica nel Codice penale.

 

La fattispecie dell’accesso abusivo ad un sistema informatico, di cui all’art. 615-ter c.p., collocata tra i “delitti contro la inviolabilità del domicilio”, sanziona – con la reclusione sino a tre anni – chi abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza, ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo.

In tale prospettiva, il disvalore penale riscontrato nella condotta criminosa – da individuarsi nel fatto di accedere abusivamente in un sistema informatico o telematico, difeso da uno strumento di protezione – riflette, come supra sostenuto, quello del comune delitto di violazione di domicilio; oltretutto, le basi edittali delle due disposizioni (reclusione fino a tre anni) sono perfettamente coincidenti.

La scelta di inserire la fattispecie in parola fra i delitti contro l’inviolabilità del domicilio discende, quindi, da una specifica ed esauriente osservazione, secondo cui i “sistemi informatici e telematici costituiscono un’espansione ideale dell’area di rispetto pertinente al soggetto interessato, garantito dall’art. 14 Cost. e penalmente tutelata nei suoi aspetti più essenziali e tradizionali dagli artt. 614 e 615 del codice penale”[3].

Trattasi, a nostro avviso, di una decisione maturata per ragioni di coerenza sistematica, corrispondente, quindi, all’esigenza di mantenere inalterata quella relazione simmetrica del Codice e, quindi, le stesse cornici edittali ivi contenute, per far sì che il procedimento di inquadramento del bene giuridico tutelato non venga eccessivamente alterato con l’inserimento di nuove ipotesi delittuose, atte a preservare un nuovo interesse giuridico, penalmente rilevante[4]. 

 

4. Il bene giuridico protetto.

 

Premesso che l’incriminazione dell’accesso abusivo ad un sistema informatico trovi giustificazione nella necessità di contrastare il dilagante fenomeno degli hacker[5], occorre soffermarsi sul percorso d’individuazione dell’oggettività giuridica per il delitto di accesso abusivo. Come già in precedenza osservato, si è concordi nel ritenere che vi sia un rapporto di stretta afferenza fra l’art. 614 e 615-ter c.p.; sicché il sistema informatico è equiparato alla nozione giuridica, altresì tradizionale, di domicilio; ciò, infatti, sarebbe positivamente desunto dalla ricostruzione strutturale delle due fattispecie in commento, per cui l’altra forma di domicilio tutelato sarebbe quello informatico, inteso quale specificazione in rapporto ai dati informatici[6]. Veppiù da considerare che tale forma di domicilio costituisca un luogo privato e riservato, ove vengono svolte attività strettamente personali; pertanto, è riconosciuto, in capo al titolare del domicilio informatico, lo ius excludendi [7].

Sebbene, come noto, parte della dottrina abbia sostenuto questa tesi, vi è un’altra che ha sollevato alcune critiche nei confronti di una siffatta ricostruzione afferente all’oggettività giuridica.

In specie, si è ritenuto che i sistemi informatici non possono essere riconducibili alla generale definizione di domicilio – ossia luoghi privati, effettiva estensione di protezione spaziale della persona, direttamente tutelati dall’art. 614 c.p. – poiché tra i predetti sistemi sono comprese anche quelle piattaforme informatiche pubbliche, industriali e commerciali. Per esemplificazione, dobbiamo richiamare quanto previsto al comma 3, art. 615-ter c.p., nella parte in cui ci si riferisce a quei sistemi di interesse militare, relativi all’ordine pubblico o alla sicurezza pubblica, sanità, protezione civile e ogni altra piattaforma che possa coinvolgere un interesse pubblicistico.

In questi termini, è certo che l’ambito applicativo della fattispecie non può dirsi circoscritto a quei luoghi di esclusiva pertinenza dell’interessato – ove trova applicazione la violazione di domicilio – ma, per l’appunto, coinvolge la collettività e interessi superindividuali.

Proprio per questo motivo, l’interesse protetto dal delitto di accesso abusivo ha riguardo alla riservatezza dei dati e dei programmi che sono compresi in un sistema informatico[8].

In tal guisa, volgendo lo sguardo alla struttura incriminatrice, intenta a sanzionare due ipotesi di condotta, seppur alternative fra loro, ovvero l’introduzione abusiva e il mantenimento illecito nel sistema, si dovrebbe considerare che, accanto ad una funzione sanzionatoria primaria, corrispondente all’indiscrezione informatica, v’è né una seconda, riguardante l’uso non autorizzato dell’altrui sistema. Oltremodo, il bene giuridico tutelato sarebbe ridotto alla tutela di quei dati strettamente personali, per cui la sussistenza o meno del reato sarebbe rimessa all’ampia discrezione del giudice sulla qualità e sulle caratteristiche da attribuire ai dati stessi.

In verità, a sommesso avviso di chi scrive, questa soluzione ermeneutica sarebbe quella più coerente alla funzionalità incriminatrice del delitto de quo, visto che l’accesso abusivo è compiuto col fine di acquisire, in modo indebito, il materiale contenuto in un determinato sistema informatico. Ciò posto, si attribuirebbe un significato ben determinato alla sicurezza sui dati e sul sistema informatico attraverso misure di protezione; tuttavia, in questa ipotesi, la tutela penale accordata non opererebbe in modo discrezionale e indiscriminato; quanto a dire a voler garantire indistintamente il sistema informatico quale spazio inviolabile della privacy, giacché la predisposizione di strumenti di protezione comprova l’interesse del titolare a preservare i propri dati e i programmi da intrusioni arbitrarie esterne, quindi, come un mezzo per conservare ed elaborare dati rilevanti, quantomeno sul piano soggettivo[9].

Da ultimo, l’intendimento di tutela giammai corrisponde alla preservazione del sistema informatico quale luogo domiciliare dell’avente diritto, piuttosto all’insieme degli elementi inclusi nel sistema informatico e primariamente ai dati lì contenuti.

Non sembra neanche convincere la tesi secondo cui l’oggettività giuridica consista nell’indisturbata fruizione del sistema da parte del gestore[10], in quanto bisogna constatare che l’intrusione, anche abusiva, di un terzo in un sistema informatico non causa, generalmente, alcun danneggiamento del struttura informatica/telematica o di talune sue essenziali e funzionali componenti, poiché il gestore riesce ugualmente e in modo regolare ad utilizzare il suo sistema, anche nel caso in cui vi sia collegato un altro utente. Invero, il problema si pone nel momento in cui la fruizione dei dati avvenga contestualmente da due soggetti, visto che l’intrusione di più persone può effettivamente essere causa di un rallentamento o di ulteriori disagi per le funzioni dell’elaboratore. Ciononostante, la norma non considera dettagliatamente tale ipotesi; tuttavia, rinviando ad una lettura ossequiosa della disposizione, si ammette che il fatto penalmente rilevante attiene esclusivamente all’accesso; in tal modo, anche la situazione summenzionata non arrecherebbe alcuna considerevole compromissione.

Sulla scorta di tali riflessioni, siamo assolutamente convinti che l’interesse giuridico tutelato dalla fattispecie in esame deve riconoscersi nella riservatezza dei dati e dei programmi contenuti nel domicilio informatico.

 

 

5. La condotta tipica: intromissione e permanenza abusiva nel sistema.

 

Quanto alla condotta, questa consiste nell’introdursi abusivamente in un sistema informatico o telematico protetto e, alternativamente, nel permanervi senza l’autorizzazione dell’avente diritto, quindi contro la sua volontà, tanto espressa, quanto tacita.

Per “introdursi” s’intende quella condotta consistente nel varcare materialmente e anche fisicamente il perimetro definito di uno spazio circoscritto. Inserirsi in un sistema informatico protetto significa oltrepassare le barriere che presidiano l’accesso; di conseguenza, l’attività intrusiva non può ridursi ad un contatto con il sistema, sicché, qualora si dia seguito a questa interpretazione, il delitto in parola sarebbe astrattamente configurabile anche nel caso di un mero contatto materiale con un computer.

Si ribadisce, quindi, che il fatto tipico deve necessariamente sostanziarsi in un dialogo automatizzato con il software[11]. Non v’è chi non veda come la condotta penalmente rilevante deve caratterizzarsi per la facoltà, posta all’agente, di richiamare i dati e i programmi che sono contenuti nel sistema; ciò, infatti, consegue da una operazione manuale, dal susseguirsi di comandi predisposti, tali da poter conoscere quanto recepito nella piattaforma[12].

Diversamente da quanto sopra enunciato, si riterrebbe indispensabile l’accesso, da parte del reo, alla conoscenza dei dati o delle informazioni memorizzate nell’elaboratore, con l’immissione in esso attraverso operazioni o congegni predisposti a tale scopo[13]. Nell’ambito di simile corrente di pensiero, par vero che il semplice elenco di documenti memorizzati forma un insieme di dati, la cui riservatezza assume precipuo rilievo, allora l’ipotesi delittuosa in commento sarà integrata nel momento in cui le barriere di sicurezza al sistema saranno oggettivamente travalicate.

Malgrado si possa apprezzare una tale ricostruzione, siamo dell’opinione che tale risultato sia irrilevante per la consumazione del reato[14], dato che l’elaborazione di un dialogo computerizzato generi la facoltà di utilizzare, anche solo parzialmente, tutte le risorse presenti nel computer, ossia di avere accesso a dati ivi contenuti[15]; tanto è vero se si asserisce che l’impiego illecito del sistema informatico consente al criminale di intercettare la comunicazione o di navigare nel software del legittimo titolare, a sua insaputa.

Per quanto attiene la modalità intrusiva, si segnala che questa può verificarsi sia da lontano – mediante via elettronica – che da vicino, da chiunque si trovi in contatto con l’elaboratore.

È imprescindibile che, anche per tale eventualità, l’intromissione abusiva nel sistema si sia effettivamente verificata, per cui il delitto non è configurato laddove la condotta si riduca in una consultazione di documenti o, comunque, nell’assolvimento di operazioni illecite, contrastanti con la volontà del titolare[16].

 

Oltre alla modalità di intromissione abusiva, è incriminata quella condotta, di natura puramente omissiva, consistente nel mantenersi/permanere all’interno del sistema informatico o telematico protetto da apposite misure di protezione contro la volontà, sì espressa che tacita, dell’avente diritto ad escludere l’altro[17]. In conformità a quanto comunemente ritenuto per la violazione di domicilio, questa ipotesi può dirsi integrata anche quando l’introduzione iniziale sia avvenuta causalmente o sia stata autorizzata, ma l’autore permane nel sistema, nonostante il successivo dissenso di colui che tiene alla riservatezza dei propri dati e programmi, tra l’altro titolare dello ius excludendi [18].

La funzione penalizzante della condotta omissiva del mantenersi illecitamente nel sistema informatico permette di reprimere quelle manifestazioni criminose che si sostanziano in uno stazionamento momentaneo in un elaboratore, fatti che, per la peculiare modalità, non potrebbero essere sussunti nella condotta attiva di intrusione.

Al pari dell’introduzione, anche la permanenza, inizialmente consentita, deve manifestarsi come un mantenimento della connessione logica alla piattaforma informatica, per cui è intesa come una continuazione nell’accesso alla conoscenza dei dati, benché vi sia, successivamente, il divieto del titolare a proseguire il trattenimento[19]. Vero è che questa considerazione si pone in netto contrasto con il dato normativo, infatti, il delitto di accesso abusivo è consumato qualora la permanenza non autorizzata si sia compiutamente realizzata, non rileva, in alcun modo, che l’agente abbia avuto accesso ai dati o ai programmi figuranti nel sistema informatico, ove si è introdotto irregolarmente.

 

6. Il requisito dell’abusività delle peculiari condotte di introduzione e di permanenza nell’altrui sistema informatico o telematico.

 

Presupposto essenziale per l’integrazione del reato, tanto per l’intromissione, quanto per il mantenersi nel sistemo informativa, è l’abusività, qualificante la condotta.

In verità, l’impiego di tal locuzione, formalmente appartenente alla categoria dell’antigiuridicità speciale[20], sembrerebbe pleonastico, dato che assolverebbe ad una funzione di richiamo sul momento dell’antigiuridicità del fatto di reato [21], quindi, avrebbe riguardo ad una clausola di illiceità espressa[22]. Invero, l’espressione “abusivamente” è elemento costitutivo del reato, inteso quale elemento positivo che concorre, appunto, per la descrizione del fatto tipico e, dunque, circoscrive l’ambito di applicazione della fattispecie[23]. Laddove il requisito dell’abusività fosse espunto, la previsione normativa sarebbe limitata, in quanto le condotte di intrusione e di permanenza non raggiungerebbero quella autonoma, nonché considerevole carica di offensività.

Vero è, quindi, che l’avverbio in parola costituisce elemento normativo capace di esprimere l’illiceità speciale del fatto criminoso, sicché la propria funzione è orientata a far emergere quel conflitto intersoggettivo che si pone fra gli interessi dell’avente diritto e di colui che intende violare il sistema informatico/telematico altrui. Premere rilevare che le forme di accesso e di trattenimento in una piattaforma informatica e/o telematica sono considerate di per sé lecite; il disvalore penale è avvertito, di contro, nell’eventualità in cui la condotta diviene abusiva, ovvero nel momento in cui l’agente contravviene l’altrui diritto di disporre autonomamente del proprio bene e, quindi, la facoltà di escludere il terzo, c.d. ius excludendi, sulla base di una manifestazione di contrarietà, espressa e tacita[24]. È ben chiaro che la condotta sarà qualificata abusiva e, conseguentemente, penalmente rilevante, in seguito ad una valutazione di carattere extrapenale.

Orbene, il contenzioso intersoggettivo che, come abbiamo osservato, si pone alla base dell’illecito sorge in rapporto all’accesso che, tuttavia, si realizza in assenza dell’autorizzazione del titolare o in violazione dei limiti da questi imposti; perciò, è punita l’intromissione o la permanenza in assenza di una pregressa autorizzazione, tanto che, in tal modo, si eccedono i limiti della medesima[25].

Il carattere abusivo della condotta deve risultare oggettivamente quanto avviene l’attività di introduzione e mantenimento e non in relazione alle ultronee e successive azioni, come il danneggiamento, furto, alterazione dei dati[26].

 

• Il carattere dell’abusività come perseguimento di finalità contrarie all’autorizzazione del titolare.

 

Prospettando una ricostruzione di questa specifica clausola di illiceità penale, in senso soggettivo, si potrebbe asserire che il delitto in parola possa configurarsi anche nel caso in cui, sebbene il titolare del sistema informatico abbia consentito l’accesso al terzo, questi impieghi il titolo di legittimazione per perseguire finalità illecite rispetto al motivo per cui aveva in precedenza ottenuto l’accesso[27]. In tal guisa, qualora l’agente abbia avuto modo di accedere alla piattaforma, spendendo legittimamente il titolo ricevuto, ma con l’intendimento di perseguire finalità criminali, sarà plausibile considerare che l’accesso contrasta, seppur tacitamente, con la volontà dell’avente diritto[28].

Si osserva che la fase di consumazione del reato corrisponde al momento in cui il reo si introduce o rimane nell’elaboratore altrui in assenza di una preliminare autorizzazione ovvero contravvenendo norme e regole generali che disciplinano le competenze e l’uso delle attività di un ufficio, di un’azienda e impresa. Oltremodo, la peculiare caratteristica dell’abusività della condotta deve essere individuata non già dal risultato diretto della condotta di accesso, ma dai fatti che susseguono l’ingresso dell’agente nel sistema: ciò richiede, quindi, ulteriori atti di volizione. In questa ipotesi, invero, si realizza un’ iperestensione del campo applicativo della fattispecie in esame che, dunque, travalica la littera legis, contrastando consistentemente il dogma della tassatività e il generale divieto di analogia in materia penale, sicché la previsione incriminatrice non sanzionerebbe l’intrusione e permanenza illecita nel sistema, ma l’uso non autorizzato della piattaforma, di tal che anche una semplice distorsione del rapporto fiduciario con il datore di lavoro assumerebbe penale rilievo, visto che l’accesso effettuato consisterebbe in una ontologica incompatibilità con le prescrizioni stabilite dal titolare dello c.d. ius excludendi[29].

Siamo persuasi nel sostenere che le finalità, lecite e illecite che siano, perseguite da colui che accede senza autorizzazione al sistema siano del tutto irrilevanti ai fini dell’integrazione del delitto di cui all’art. 615-ter c.p., poiché il rilievo penale del fatto d’intrusione o di mantenimento nel sistema informatico non può essere strettamente asservito ad elementi mutevoli ed assai labili, coma la predetta finalità soggettiva che, altresì si dimostra di difficile accertamento processuale.

 

• L’incidenza del carattere abusivo della condotta quale violazione delle generali disposizioni che regolano l’introduzione e mantenimento in un sistema informatico.

 

Il parametro dell’abusività deve essere riscontrato dopo che l’agente si è effettivamente introdotto e permanga nell’elaboratore altrui, sebbene il titolare sia contrario alla sua presenza e nel caso in cui manchi la sua autorizzazione[30].

Contrariamente a quanto prima evidenziato, gli atti/fatti avvenuti successivamente all’azione intrusiva o di mantenimento nel sistema integrano fatti illeciti indipendenti ed autonomi – si pensi al danneggiamento, all’alterazione, al furto, alla frode informatica, alla rivelazione di segreti professionali –  per cui il requisito di abusività è ricavato a fronte di regolamenti, regole di condotta, disposizioni che condizionano l’organizzazione interna, in cui viene il contesto spazio/temporale dell’attività di accesso e trattenimento nel sistema è qualificato nell’ipotesi di mancanza di un titolo che legittima tali azioni[31].

Questa dettagliata ricostruzione in ordine all’abusività ben si conforma al tenore letterale della norma incriminatrice, giacché consente al titolare del diritto di esclusione di estromettere colui si accinge ad entrare nella piattaforma, mediante l’adozione di misure di protezione, ma anche chi già ha fatto ingresso nel sistema, fissando, quindi, i limiti leciti all’accesso e il termine della permanenza consentita. È opportuno ammettere che, a nostro sommesso parere, una siffatta interpretazione si presta in modo favorevole ad una lettura conforme, nonché costituzionalmente orientata, dei criteri di offensività e di tassatività, sicché il disvalore penale del fatto si sostanzia sull’inosservanza di un parametro oggettivo, come l’autorizzazione, un contratto e i regolamenti, ovvero prescrizioni dettagliate e precise già stabilite per definire quale sia il lecito comportamento per accedere al sistema.

 

7. Elemento psicologico del reato.

 

Quanto alla colpevolezza, questa consiste nel dolo generico, corrispondente alla volontà consapevole di accedere o di mantenersi nel sistema informatico altrui contro l’intendimento del titolare dello ius excludendi o in carenza di un titolo che legittimi l’accesso/permanenza del terzo nell’elaboratore, pur protetto da apposite misure di sicurezza.

 

8. La nozione di “misure di sicurezza”.

 

Merita un’osservazione esclusiva la definizione di misure di sicurezza, che, invero, ha sollevato alcune riflessioni, specie se si ritiene che il delitto possa essere compiutamente realizzato qualora l’accesso abusivo si verifichi in un sistema protetto: ciò escluderebbe la configurazione del reato nel caso in cui il sistema informatico non sia munito di apposite misure di protezione, quindi, liberamente accessibile a chiunque.

Questo assunto giustifica il limite di tutela dei sistemi informatici che sono preservati con l’adozione di strumenti di sicurezza, poiché il diritto garantito è riferibile ad uno specifico soggetto, per cui è incontrovertibile che questo dimostri di aver voluto espressamente riservare l’accesso e la permanenza nel sistema in modo esclusivo alle sole persone da lui abilitate, predisponendo mezzi di protezione fisica e automatizzata.

Considerando questo aspetto, è ben chiaro che la struttura incriminatrice del reato di accesso abusivo ricalca completamente il modello della violazione di domicilio, ex art. 614 c.p., dacché la condotta risulterà punibile subordinatamente alla manifestazione di una volontà contraria espressa e tacita di colui che ha la facoltà di escludere il terzo. In particolare, il requisito delle misure di sicurezza sembra ridurre al minino e, a nostro avviso, irragionevolmente l’ambito di tutela della predetta fattispecie; cioè a dire che la punibilità sarebbe vincolata dall’esistenza di codeste misure di sicurezza, oltre che al necessario dissenso, manifesto o tacito, del titolare del sistema[32]: ciò, infatti, pare in contrasto con la ratio puniendi della norma.

Talune perplessità sarebbero sorte sulla stessa proprietà etimologica dell’espressione del termine misure di sicurezza, dal momento che non sembra essere adeguata a esprimere normativamente il concetto; non è infatti casuale che questo termine appartenga già al lessico penalistico, seppur correlato ad una funzionalità del tutto diversa.

In generale per “misure di sicurezza” ci si deve riferire a qualsiasi accorgimento posto in essere per impedire, nonché eludere, qualsiasi arbitrario accesso ad un sistema informatico da parte di soggetti terzi, non autorizzati[33].

Da ultimo, tale nozione ha compreso tanto i mezzi fisici, quanto tecnologici – come quei dispositivi altamente tecnici di identificazione, vedasi impronte digitali, riconoscimento facciale, firma digitale, dati biometrici – cosicché organizzativi e, infine di natura logica, ad ogni modo adeguati, nonché funzionali a soddisfare l’evidente volontà dell’avente diritto ad escludere ogni possibile intrusione nel sistema.

Questa complessa osservazione permette di considerare che il reato di accesso abusivo non si caratterizzi per l’effrazione di un sistema protettivo, dacché tale violazione non assume ex se penale rilievo, bensì quale manifestazione di una volontà difforme da quella di chi oggettivamente ha a disposizione, in maniera legittima, il sistema. Ciononostante, la modalità di realizzazione del fatto criminoso può sicuramente sostanziarsi in un superamento di quel meccanismo di protezione, elemento determinante, nonché richiesto ai fini dell’integrazione del reato in parola.

Quanto al grado di complessità tecnica delle misure di sicurezza, ovverosia l’idoneità a ostacolare accessi non autorizzati, si è più volte osservato che il reato in discorso è integrato anche nell’ipotesi in cui il livello di efficienza del sistema protettivo non sia eccessivamente complicato, essendo necessario esclusivamente che questo esista[34].

A nulla rileva l’eventualità che l’unico strumento di protezione atto a salvaguardare l’elaboratore possa dunque consistere anche in una banale password, altresì nel caso in cui il titolare, per propria negligenza, non l’abbia in seguito modificata.

Si conclude dunque, in favore del riconoscimento dell’effettiva adozione di misure di protezione ad un sistema informatico quale presupposto necessario per godere della tutela puramente penale in ordine a fatti intrusivi o di permanenza illecita nella piattaforma informatica

 

9. Fase di consumazione del reato e configurazione del tentativo.

 

Il momento consumativo del reato consiste nell’introduzione/mantenimento dell’agente nel sistema informatico, cioè a dire che deve instaurarsi un collegamento logico con l’elaboratore, nonostante la volontà contraria del titolare o in mancanza di una dettagliata autorizzazione[35].

Per l’accertamento della fase di consumazione del reato, non si ritiene essenziale la violazione o l’aggiramento fraudolento del sistema di protezione disposto dal legittimo titolare[36].

Nello specifico, non è sufficiente che il soggetto si sia effettivamente immesso nel sistema beneficiando delle credenziali informatiche che ha ottenuto, legittimamente o abusivamente, ma è necessario che lo stesso si autentichi nel portale. Questo passaggio è infatti prodromico per l’integrazione dell’illecito in parola, proprio perché è nella fase dell’autenticazione che si materializza una connessione telematica con lo spazio informatico/telematico altrui.

Per quanto concerne l’ipotesi omissiva, ossia il “mantenersi” nella piattaforma di altri, preme sottolineare che il delitto di cui all’art. 615-ter c.p. si consuma nel momento in cui scade il termine fissato per interrompere il dialogo automatizzato con il sistema informatico/telematico, ovvero il c.d. log-out. Con questo termine viene indicato il frangente temporale dal quale la permanenza decorre e, pertanto, deve ritenersi quale condotta tipica, a sua volta, individuata in ordine alla volontà dell’avente diritto ad escludere l’estraneo e mediante un generale rinvio a concetti extrapenali ove sono disciplinate quelle operazione lecite sull’elaboratore informatico/telematico.

Quanto al locus commisi delicti, sembrerebbe essere identificato nel posto in cui l’agente realizza l’acceso, introducendosi e restando nel sistema altrui. A dir la verità, questa affermazione non può essere pienamente condivisa, in quanto non si tiene conto che, in considerazione dell’evoluzione tecnologica, gli accessi non autorizzati sono compiuti attraverso gli ISP, quindi, in domini virtuali, diversi dal luogo in cui opera il delinquente. Ciò, infatti, è ulteriormente confermato dalla prassi investigativa ad opera della competente Polizia Postale e delle Comunicazioni che, per individuare l’IP e gli indirizzi virtuali, richiede all’Autorità giudiziaria una rogatoria internazionale in base al Server utilizzato per commettere il fatto criminoso.

Emergono serie difficoltà, specialmente probatorie, in ordine al processo di individuazione del luogo in cui è stato concretamente utilizzato l’accesso; altresì, il luogo della commissione del delitto coincide con il Server del sistema su cui ricade l’azione criminosa[37].

In tema di tentativo, si asserisce che l’ipotesi tentata non possa configurarsi laddove si consideri che l’accesso abusivo possa annoverarsi fra i reati di pericolo astratto, sicché, trattandosi di una forma di tutela penale largamente anticipata, la protezione dell’interesse giuridico è garantita con immediatezza, già nel momento in cui la riservatezza informatica, quale bene giuridico finale, è minacciata dalla condotta potenzialmente offensiva dell’agente. In questo modo, il tentativo è ipotizzabile qualora l’agente tenti, senza riuscirci, ad aggirare gli strumenti posti a protezioni del dominio informatico.

[1] Pica G., Diritto penale delle tecnologie informatiche, Torino, 1999; Picotti L., I reati informatici, in Enc. giur. agg., VII, Roma, 2000, 1 ss.

[2] Picotti L., Sistematica dei reati informatici, tecniche di formulazione legislativa e beni giuridici tutelati, in Il diritto penale dell’informatica all’epoca di Internet, Padova, 2004, 21 ss., spec. 42 ss.

[3] Così come si rinviene nella relazione di presentazione al D.D.L. n. 2773, successivamente tradottosi in L. 547 del 1993.

[4] In argomento, si evidenziano le acute osservazioni di Berghella, Blaiotta, Diritto penale dell’informatica e beni giuridici, in Cass. pen., 1995, 2329 ss.

[5] Quel soggetto che, adoperando un proprio sistema informatico, collegato ad una rete internet, entra in comunicazione con più sistemi, aggirando le eventuali misure di sicurezza predisposte dal titolare del sistema.

[6] Galdieri, La tutela penale del domicilio informatico, in Problemi giuridici dell’informatica nel MEC, Milano, 1996, 189 ss.

[7][7] Pica, Diritto penale delle tecnologie informatiche, Torino, 1999, 62 ss.

[8] Alma, Perroni, Riflessioni sull’attuazione delle norme a tutela dei sistemi informatici, in Dir. pen e proc., 1997, 505 ss. Cfr. anche Borruso, La tutela del documento e dei dati, in Profili penali dell’informatica, Milano, 1994, 28 ss.

[9] Sul punto si rinvia a Pecorella, Il diritto penale dell’informatica, Padova, 2006,

[10] Berghella, Blaiotta, Diritto penale, op. cit., 2333 ss.

[11]Perri, Analisi informatico-giuridica dei reati di frode informatica e accesso abusivo a un sistema informatico o telematico con l’aggravante dell’abuso della qualità di operatore del sistema, in Giur. mer., 2008, 1651 ss.

[12] Nel diritto vivente: Cass. pen., Sez. V, 8.7.2008, n. 37322. Più recente, Cass. pen., Sez. I, 27.9.2013, n. 40303.

[13] Mantovani F., Diritto penale. Parte Speciale, I, Milano, 2019, 575 ss.

[14] Cass. pen., Sez. I, 27.9.2013, n. 40303.

[15] Mazzacuva N., Delitti contro la persona: le altre ipotesi di tutela, in Diritto penale. Lineamenti di parte speciale, 7°, Milano, 2016, 601 ss.

[16] A tal riguardo, sono integrati gli estremi del delitto di accesso abusivo ad un sistema informatico altrui qualora un impiegato si introduca nell’elaboratore aziendale senza alcuna autorizzazione, adoperando il codice d’accesso che è stato consegnato ad altri, ma così anche nel caso in cui l’utente legittimo del sistema si introduce in specifici settori del database ove è possibile accedervi previa autenticazione, come nell’ipotesi di accesso nell’account di posta elettronica del dipendente, seppur protetto da password.

[17] Mucciarelli F., Commento agli art. 1,2,4 e 10, l. 1993, n. 547, in Leg. pen., 1996, 100 ss.

[18] Antolisei, Manuale di diritto penale. Parte speciale, I, Milano, 2016, 291 ss.; Fondaroli, La tutela penale dei “beni informatici”, in Dinf., 1996, 291 ss.

[19] Borruso, La tutela del documento e dei dati, op. cit., 32. In giurisprudenza: Cass. pen., Sez. V, 31.10.2014, in CED. Cass., rv. 263454.

[20] Per una definizione dell’antigiuridicità speciale: Manna, Manuale di diritto penale, 2° ed., Milano, 2021; Marinucci, Dolcini, Gatta, Manuale di diritto penale. Parte generale, Milano, 2020; Fiandaca, Musco, Diritto penale. Parte generale, Bologna, 2020.

Mantovani F., Diritto penale, op. cit., 576 ove sottolinea che l’avverbio abusivamente non integra una ipotesi di antigiuridicità speciale, atteso che non aggiunge nulla al requisito dell’antigiuridicità generale; tuttavia, non concorre in alcun modo a descrivere il fatto illecito.

[21] Sul punto preme evidenziare l’ampia letteratura in materia: Pica, Diritto penale, op. cit., 38; Gatta, Delitti contro l’inviolabilità del domicilio, in Reati contro la persona e contro il patrimonio, a cura di Viganò, Piergallini, in Trattato teorico/pratico di diritto penale, diretto da Paliero, Palazzo, 2°ed., Torino, 2015, 317 ss;

[22] Pulitanò, Illiceità espressa e illiceità speciale, in Riv. it. dir. proc. pen., 1967, 72 ss.

[23] Salvadori, I reati di possesso. Un’indagine dogmatica e politico-criminale in prospettiva storica e comparata, Napoli, 2016, 118 ss.

[24] Cass. pen., SS.UU., 27.10.2011, n. 4694.

[25] Flor, Verso una rivoluzione dell’art. 615-ter c.p.?, in Dir. pen. cont., 2011, 127 ss.

[26] Cass. pen., Sez. VI, 8.10.2008, n. 39290.

[27] In tema si registra una vasta proliferazione giurisprudenziale: Cass. pen., Sez. V, 12.2.2010, n. 19463; Cass. pen., Sez. V, 18.1.2011, n. 24583; Cass. pen., Sez. V, 29.11.2017, n. 1021.

[28] De Flammineis, Art. 615-ter c.p.: accesso legittimo ma per finalità estranee ad un sistema informatico, in Cass. pen., 2011, 6, 2209 ss.

[29] Cass. pen., Sez. V, 4.3.2013, n. 22024.

[30] Pecorella, L’attesa pronuncia delle Sezioni Unite sull’accesso abusivo a un sistema informatico: un passo avanti non risolutivo, in Cass. pen., 2012, 11, 3692 ss.

[31] Cass. pen., Sez. V, 29.7.2016, n. 33311.

[32] Pica, Diritto penale, op. cit., 43 ss.

[33] Cass. pen., 7.11.2000, n. 12732.

[34] Parodi, Accesso abusive, frode informatica, rivelazione di documenti informatici segreti: rapporti da interpretare, in Dir. pen. e proc., 1998, 1038 ss.

[35] Cass. pen., SS.UU., 24.5.2015, n. 17325.

[36] Cass. pen., Sez. V, 4.12.2006, n. 6459.

[37] Cass. pen., Sez. I, 27.5.2013, n. 1921.