Art. 615-ter - Accesso abusivo ad un sistema informatico o telematico (1)
1. Chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo, è punito con la reclusione fino a tre anni.
2. La pena è della reclusione da uno a cinque anni:
1) se il fatto è commesso da un pubblico ufficiale o da un incaricato di un pubblico servizio, con abuso dei poteri o con violazione dei doveri inerenti alla funzione o al servizio, o da chi esercita anche abusivamente la professione di investigatore privato, o con abuso della qualità di operatore del sistema;
2) se il colpevole per commettere il fatto usa violenza sulle cose o alle persone, ovvero se è palesemente armato;
3) se dal fatto deriva la distruzione o il danneggiamento del sistema o l’interruzione totale o parziale del suo funzionamento, ovvero la distruzione o il danneggiamento dei dati, delle informazioni o dei programmi in esso contenuti.
3. Qualora i fatti di cui ai commi primo e secondo riguardino sistemi informatici o telematici di interesse militare o relativi all’ordine pubblico o alla sicurezza pubblica o alla sanità o alla protezione civile o comunque di interesse pubblico, la pena è, rispettivamente, della reclusione da uno a cinque anni e da tre a otto anni.
4. Nel caso previsto dal primo comma il delitto è punibile a querela della persona offesa; negli altri casi si procede d’ufficio.
(1) Articolo aggiunto dall’art. 4, L. 547/1993.
Rassegna di giurisprudenza
Integra il delitto previsto dall’art. 615-ter, secondo comma, n. 1, la condotta del pubblico ufficiale o dell’incaricato di un pubblico servizio che, pur essendo abilitato e pur non violando le prescrizioni formali impartite dal titolare di un sistema informatico o telematico protetto per delimitarne l’accesso (nella specie, Registro delle notizie di reato: REGE), acceda o si mantenga nel sistema per ragioni ontologicamente estranee e comunque diverse rispetto a quelle per le quali, soltanto, la facoltà di accesso gli è attribuita (SU, 41210/2017).
Non esce dall’area di applicazione della norma la situazione nella quale l’accesso o il mantenimento nel sistema informatico dell’ufficio a cui è addetto il pubblico ufficiale o l’incaricato di pubblico servizio, seppur avvenuto a seguito di utilizzo di credenziali proprie dell’agente ed in assenza di ulteriori espressi divieti in ordine all’accesso ai dati, si connoti, tuttavia, dall’abuso delle proprie funzioni da parte dell’agente, rappresenti cioè uno sviamento di potere, un uso del potere in violazione dei doveri di fedeltà che ne devono indirizzare l’azione nell’assolvimento degli specifici compiti di natura pubblicistica a lui demandati. Si è autorevolmente chiarito da parte della dottrina che «sotto lo schema dell’eccesso di potere si raggruppano tutte le violazioni di quei limiti interni alla discrezionalità amministrativa, che, pur non essendo consacrati in norme positive, sono inerenti alla natura stessa del potere esercitato». Lo sviamento di potere è una delle tipiche manifestazioni di un tale vizio dell’azione amministrativa e ricorre quando l’atto non persegue un interesse pubblico, ma un interesse diverso (di un privato, del funzionario responsabile, ecc.). Si ha quindi “sviamento di potere” quando nella sua attività concreta il pubblico funzionario persegue una finalità diversa da quella che gli assegna in astratto la legge sul procedimento amministrativo (art. 1, legge n. 241 del 1990) (SU, 41210/2017).
Ai pubblici dipendenti che, nella loro qualità, debbono operare su registri informatizzati è imposta l’osservanza sia delle diposizioni di accesso, secondo i diversi profili per ciascuno di essi configurati, sia delle disposizioni del capo dell’ufficio sulla gestione dei registri, sia il rispetto del dovere loro imposto dallo statuto personale di eseguire sui sistemi attività che siano in diretta connessione con l’assolvimento della propria funzione. Con la conseguente illiceità ed abusività di qualsiasi comportamento che con tale obiettivo si ponga in contrasto, manifestandosi in tal modo la ‘ontologica incompatibilità’ dell’accesso al sistema informatico, connaturata ad un utilizzo dello stesso estraneo alla ratio del conferimento del relativo potere (SU, 41210/2017).
I principi espressi dalle Sezioni unite (SU, 41210/2017) per il pubblico funzionario possono essere trasfusi anche al settore privato, nella parte in cui vengono in rilievo i doveri di fedeltà e lealtà del dipendente che connotano indubbiamente anche il rapporto di lavoro privatistico. Pertanto è illecito e abusivo qualsiasi comportamento del dipendente che si ponga in contrasto con i suddetti doveri manifestandosi in tal modo l’ontologica incompatibilità dell’accesso al sistema informatico, connaturata ad un utilizzo dello stesso estraneo alla ratio del conferimento del relativo potere (Sez. 5, 565/2019).
Integra il delitto previsto dall’art. 615-ter colui che, pur essendo abilitato, acceda o si mantenga in un sistema informatico o telematico protetto violando le condizioni ed i limiti risultanti dal complesso delle prescrizioni impartite dal titolare del sistema per delimitarne oggettivamente l’accesso, rimanendo invece irrilevanti, ai fini della sussistenza del reato, gli scopi e le finalità che abbiano soggettivamente motivato l’ingresso nel sistema (SU, 4694/2012).
La fattispecie di accesso abusivo ad un sistema informatico protetto, commesso dal pubblico ufficiale o dall’incaricato di pubblico ufficio con abuso dei poteri o con violazione dei doveri inerenti alla funzione o al servizio, costituisce una circostanza aggravante del delitto previsto dall’art. 615-ter, comma primo, e non un’ipotesi autonoma di reato (SU, 4694/2012).
La decisione Savarese delle Sezioni unite (SU, 41210/2017) non costituisce un caso di overruling sfavorevole rispetto alla precedente decisione Casani, tale da postulare le medesime garanzie di accessibilità e prevedibilità proprie della norma sanzionatoria, con conseguente applicazione del principio di irretroattività della interpretazione giurisprudenziale più sfavorevole, pena la violazione degli artt. 2 cod. pen. 25 Cost. e 7 CEDU (SU, 4694/2012) (Sez. 5, 47510/2018).
Il luogo di consumazione del delitto di accesso abusivo ad un sistema informatico o telematico, di cui all’art. 615-ter, è quello nel quale si trova il soggetto che effettua l’introduzione abusiva o vi si mantiene abusivamente (SU, 17325/2015).
La giurisprudenza di legittimità in tema di accesso abusivo ad un sistema informatico afferma che occorre far riferimento ai limiti dell’autorizzazione di accesso caratterizzanti la competenza del soggetto agente: integra pertanto il delitto previsto dall’art. 615-ter, la condotta di colui (nel caso: collaboratore di uno studio legale, cui sia affidata esclusivamente la gestione di un numero circoscritto di clienti) che acceda all’archivio informatico dello studio provvedendo a copiare e a duplicare, trasferendoli su altri supporti informatici, i files riguardanti l’intera clientela dello studio professionale e, pertanto, esulanti dalla competenza che gli era stata attribuita (Sez. 5, 11994/2017).
L’accesso abusivo ad un sistema informatico consiste nella obiettiva violazione delle condizioni e dei limiti risultanti dalle prescrizioni impartite dal titolare del sistema per delimitarne l’accesso, compiuta nella consapevolezza di porre in essere una volontaria intromissione nel sistema in violazione delle regole imposte dal dominus loci, a nulla rilevando gli scopi e le finalità che abbiano soggettivamente motivato tale accesso (Sez. 5, 33311/2016).
Il delitto di accesso abusivo ad un sistema informatico può concorrere con quello di frode informatica, diversi essendo i beni giuridici tutelati e le condotte sanzionate, in quanto il primo tutela il domicilio informatico sotto il profilo dello “ius excludendi alios”, anche in relazione alle modalità che regolano l’accesso dei soggetti eventualmente abilitati, mentre il secondo contempla l’alterazione dei dati immagazzinati nel sistema al fine della percezione di ingiusto profitto (Sez. 7, 31858/2018).
Il delitto di accesso abusivo ad un sistema informatico, previsto dall’art. 615-ter, è reato di mera condotta, che si perfeziona con la violazione del domicilio informatico e, quindi, con l’introduzione in un sistema costituito da un complesso di apparecchiature che utilizzano tecnologie informatiche, senza che sia necessario che l’intrusione sia effettuata allo scopo di insidiare la riservatezza dei legittimi utenti e che si verifichi una effettiva lesione alla stessa (Sez. 5, 11689/2007).
Le condotte tipiche punite dall’art. 615-ter, a dolo generico, consistono: a) nell’introduzione abusiva in un sistema informatico o telematico protetto da misure di sicurezza, da intendersi come accesso alla conoscenza dei dati o informazioni contenuti nel sistema, effettuato sia da lontano (attività tipica dell’hacker) sia da vicino (da persona, cioè, che si trova a diretto contatto dell’elaboratore); b) nel mantenersi nel sistema contro la volontà, espressa o tacita, di chi ha il diritto di esclusione, nel senso di persistere nella già avvenuta introduzione, inizialmente autorizzata, continuando ad accedere alla conoscenza dei dati nonostante il divieto, anche tacito, del titolare del sistema (è il caso in cui l’accesso di un soggetto sia autorizzato per il compimento di operazioni determinate e per il relativo tempo necessario ed il soggetto medesimo, compiuta l’operazione espressamente consentita, si intrattenga nel sistema per la presa di conoscenza non autorizzata dei dati); c) nel c.d. “sviamento di potere”, ossia la situazione nella quale l’accesso o il mantenimento nel sistema informatico dell’ufficio a cui è addetto il pubblico ufficiale o l’incaricato di pubblico servizio, seppur avvenuto a seguito di utilizzo di credenziali proprie dell’agente ed in assenza di ulteriori espressi divieti in ordine all’accesso ai dati, si connoti, tuttavia, dall’abuso delle proprie funzioni da parte dell’agente, rappresenti cioè uno sviamento di potere, un uso del potere in violazione dei doveri di fedeltà che ne devono indirizzare l’azione nell’assolvimento degli specifici compiti di natura pubblicistica a lui demanda. Se la prima di tali condotte deve essere sicuramente ricompresa nella categoria dei cc.dd. reati comuni, in quanto può essere perpetrata da qualsiasi soggetto, la seconda e la terza possono farsi rientrare nella categoria dei reati propri esclusivi, perché configurabili solo se poste in essere da colui che è formalmente autorizzato all’accesso ad un sistema informatico o telematico. Con riferimento ai reati propri esclusivi non è automaticamente preclusa la configurabilità della responsabilità penale in termini di concorso nel reato, essendo invece ciò possibile qualora ricorrano elementi per ritenere sussistente l’azione concorrente di un extraneus, sotto il profilo della determinazione o dell’istigazione ovvero, ancora, della cooperazione materiale alia commissione del reato (Sez. 5, 37857/2018).
La disposizione di cui all’articolo 615-ter punisce l'accesso abusivo ad un sistema informatico, intendendosi non solo l'effettivo illecito accesso al sistema, ma anche l'accesso effettuato da un soggetto abilitato che, tuttavia, violi le condizioni ed i limiti imposti dal titolare del sistema, ovvero nell'ipotesi in cui la finalità perseguita sia diversa o ontologicamente estranea rispetto a quella consentita. Ai fini della configurabilità dell'ipotesi aggravata di cui al secondo comma n. 1, ossia quando il soggetto sia un pubblico ufficiale, non basta la qualifica soggettiva dell'agente, dovendosi accertare concretamente l'abuso dei poteri o la violazione dei doveri d'ufficio. (Fattispecie in cui l’imputato, dipendente della Agenzia delle Entrate, era stato erroneamente ritenuto responsabile del reato di cui all'art. 615-ter per aver effettuato taluni accessi alla base dati dell'ente per fornire notizie a privati. In motivazione, la Suprema Corte ha osservato come, sulla premessa erronea che incombesse sull’imputato l’onere di provare di non avere violato le regole di utilizzazione del sistema informatico, i giudici di merito non avessero considerato quali fossero le specifiche regole che, a fronte di una estesa possibilità di accesso al sistema informatico, ponessero dei limiti nel caso concreto rendendo, quindi, illecito l'accesso ai dati nelle ipotesi incriminate) (Sez. 6, 8830/2022).
È ormai patrimonio acquisito che la prova dell’utilizzazione di un sistema telematico possa essere ricondotta, mediante specifici accertamenti tecnici, ad una sorta di “mappatura genetica digitale” che può consentire l’identificazione certa dell’operatore che abbia effettuato connessioni attraverso un dispositivo connesso alla rete attraverso l’indirizzo IP. Al medesimo risultato probatorio può, tuttavia, pervenirsi attraverso elementi dimostrativi diversi dall’accertamento tecnico, purché rispondenti allo standard declinato dall’art. 192, comma 2, CPP (Sez. 5, 20485/2018).
E' ormai prassi consolidata l’invito rivolto dai titolari delle aziende a comunicare loro la presenza di bug (errori di sistema) all’interno del loro apparato da parte di chi ne abbia conoscenza. Nel caso di specie l’indagato ha inviato una serie di missive allo staff della società e, solo a seguito dell’inerzia della medesima di voler correggere la vulnerabilità del sistema, si è deciso a render noto, a tutela dei consumatori, la presenza di un simile errore a distanza di un mese dalla sua segnalazione. Pertanto, la sua condotta non integra il delitto di cui all’art. 615-ter, inquadrandosi la stessa nella metodologia comune della “divulgazione responsabile”, cosiddetto "hacking etico", avendo il medesimo contattato prima l’azienda coinvolta proprio per consentirle di emendare l’errore entro un lasso di tempo, che può variare da trenta giorni a un anno, a seconda della gravità e della complessità della vulnerabilità (Tribunale di Catania, ufficio GIP, decreto di archiviazione del 15 luglio 2019).