Ha le “chiavi” per accedere: è violazione di “domicilio”

Il diritto alla riservatezza, la tutela della proprietà, sono esempi tra gli altri, di diritti costituzionalmente protetti che rivestono un certo allarme sociale qualora siano  a qualsiasi titolo messi in discussione o in pericolo.

Ma la circostanza acquista maggior rilievo e diventa motivo di ondeggianti interpretazioni giurisprudenziali, quando l’invasione del nostro privato avviene per mezzo di sistemi informatici, dove addirittura vi è il concreto pericolo che la nostra identità venga defraudata.

Nel nostro immaginario quando chiunque, capziosamente, accede a mezzo internet nelle banche dati, custodi di notizie anche sensibili, il nostro pensiero si sofferma su quei geniali personaggi misteriosi appellati hacker, associati poi ai criminali informatici.

L’enciclopedia wikipedia così descrive l’hacker e ne fornisce una rappresentazione a mio avviso frivola ed efficace:

- “Un hacker (termine coniato negli Stati Uniti che si può rendere in italiano con smanettone) è una persona che si impegna nell’affrontare sfide intellettuali per aggirare o superare creativamente le limitazioni che gli vengono imposte, non limitatamente ai suoi ambiti d’interesse (che di solito comprendono l’informatica o l’ingegneria e elettronica), ma in tutti gli aspetti della sua vita”.

Beh, che dire, un concetto assai ampio ma che di fatto rende tangibile quel “mestiere”.

Orbene, il nostro codice penale alla sezione IV “Dei delitti contro l’inviolabilità del domicilio”, dedica diversi articoli inerenti al domicilio, non solo quello inteso dal latino “domus” ovvero casa, perseguendo chiunque s’introduce nell’abitazione altrui contro la volontà o clandestinamente o con l’inganno ma anche con riferimento all’accesso abusivo ad un sistema informatico o telematico.

Mi riferisco segnatamente al seguente articolo che testualmente recita:

- 615 ter c.p. Accesso abusivo ad un sistema informatico o telematico

“Chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo, è punito con la reclusione fino a tre anni.

La pena è della reclusione da uno a cinque anni:

1) se il fatto è commesso da un pubblico ufficiale o da un incaricato di un pubblico servizio, con abuso dei poteri o con violazione dei doveri inerenti alla funzione o al servizio, o da chi esercita anche abusivamente la professione di investigatore privato, o con abuso della qualità di operatore del sistema;

2) se il colpevole per commettere il fatto usa violenza sulle cose o alle persone, ovvero se è palesemente armato;

3) se dal fatto deriva la distruzione o il danneggiamento del sistema o l`interruzione totale o parziale del suo funzionamento, ovvero la distruzione o il danneggiamento dei dati, delle informazioni o dei programmi in esso contenuti.

Qualora i fatti di cui ai commi primo e secondo riguardino sistemi informatici o telematici di interesse militare o relativi all`ordine pubblico o alla sicurezza pubblica o alla sanità o alla protezione civile o comunque di interesse pubblico, la pena è, rispettivamente, della reclusione da uno a cinque anni e da tre a otto anni.

Nel caso previsto dal primo comma il delitto è punibile a querela della persona offesa; negli altri casi si procede d`ufficio”.

Il precetto si riferisce a "chiunque", ma poi nell’esaminare la pena per chi commette tale violazione il legislatore si sofferma, tra gli altri, sulla figura del pubblico ufficiale e dell’incaricato di un pubblico servizio, non tralasciando quella dell’investigatore privato.

E su queste figure occorre porre l’attenzione per meglio lumeggiare il contrasto giurisprudenziale in merito al delitto in esame emerso a seguito di fatti di rilievo penale sottoposti all’attenzione dell’Autorità Giudiziaria.

La vicenda che vado ad illustrare e che ha ora interessato le sezioni unite della Suprema Corte di Cassazione si riferisce ad un accesso verificatosi nel sistema di indagine posto a disposizione delle forze di polizia (SDI) a cui ha avuto ingresso un appartenente alle forze dell’ordine, pertanto soggetto legittimato (Cassazione nrg 20928/2010-udienza del 27 ottobre 2011).

Questi, contrariamente al corretto utilizzo di quei dati avuti in suo possesso ed in ragione della funzione rivestita, ha fornito a terzi quelle informazioni sensibili utilizzate o da utilizzare in una causa di separazione in corso.

Quell’accesso, pur legittimo, al sistema, con l’utilizzo di una password di servizio aveva comunque il solo scopo di raccogliere dati protetti per finalità estranee alle ragioni di istituto, elementi dunque di una condotta da ritenersi idonea a configurare l’ipotesi di cui all’articolo 615 ter del codice penale secondo un orientamento di legittimità, ma potremmo dire anche no [1].

In ragione di tale orientamento è evidente che l’interpretazione fornita dagli ermellini sull’applicazione dell’articolo 615 ter codice penale in esame non punisce solo gli hacker ma parimenti i soggetti abilitati ad entrare nel sistema informatico e che abusano delle credenziali in loro possesso.

Parrebbe chiara l’interpretazione a riguardo, ma non è affatto così.

In effetti, sussistono, ad oggi, due contrapposti orientamenti:

L’orientamento sopra citato era già stato espresso nel 1999 dalla medesima sezione V della Cassazione nella sentenza 12732 del 07 novembre 2000 la quale così si era espressa:

“l’analogia con la fattispecie della violazione di domicilio deve indurre a concludere che integri la fattispecie criminosa (prevista dall’art. 615 ter cod.pen.) anche chi, autorizzato all’accesso per una determinata finalità, utilizzi il titolo di legittimazione per una finalità diversa e quindi, non rispetti le condizioni alle quali era subordinato l’accesso. Infatti se l’accesso richiede un’autorizzazione e questa è destinata a un determinato scopo, l’utilizzazione dell’autorizzazione per uno scopo diverso non può non considerarsi abusiva”.

Pertanto il pirata informatico andrebbe comunque perseguito pur introducendosi legittimamente nel sistema: l’esame dei dati contenuti nella banca dati per scopi diversi da quelli dettati dalla sua funzione integrerebbe il reato di “accesso abusivo”.

In tema occorre citare altresì le sentenze emesse sempre della sezione Quinta della Corte di Cassazione specificatamente [2].

Allora, ritornando al caso di cui trattasi, ovvero dell’accesso legittimo in banca dati ma per un fine lontano da quello per cui il pubblico ufficiale era stato autorizzato, la Corte di Cassazione esprime anche una posizione in senso assolutamente opposto, ritenendo ai sensi della prima parte del primo comma dell’articolo 615 ter codice penale illecito solo “l’accesso abusivo, cioè quello effettuato da soggetto non abilitato, mentre sempre e comunque lecito l’accesso del soggetto abilitato, ancorché effettuato per finalità estranee a quelle d’Ufficio” [3].

Il contrasto evidente, che non risulta ancora definito, è stato sottoposto alle sezioni Unite della Cassazione per dirimere così il seguente quesito:

- “Se costituisca il reato previsto dall’articolo 615 ter del codice penale, l’accesso di soggetto abilitato ad un sistema informativo protetto per scopi e finalità estranee a quelle per le quali la chiave di accesso gli era stata attribuita”.

A scioglimento della riserva da parte delle Sezioni Unite della Cassazione, ad umile avviso dello scrivente, nel rispetto dell’articolo 14 della carta Costituzionale, nonché gli articoli 614 e 615 ter del codice penale, dovrebbe integrare l’accesso abusivo, anche da soggetto legittimato, l’introduzione in un sistema informatico svolta per finalità estranee all’attività istituzionale ed idonea a fornire a terzi notizie utilizzabili finanche per scopi poco leciti e che non garantiscono la tutela della libertà personale, della segretezza e perché non giustificata da motivi giuridicamente rilevanti o disposti da un atto motivato dell’autorità giudiziaria.

[1] Cassazione penale V sezione nr.2987 del 10 dicembre 2009 depositata il 22 gennaio 2010

[2] Le sentenze nn. 37322 del 08 luglio 2008; 1727 del 30 settembre 2008; 18006 del 13 febbraio 2009; 2987 del 10 dicembre 2009; 19463 del 16 febbraio 2010; 39620 del 22 settembre 2010

[3] Cassazione Sezione Quinta n. 2534 del 20 dicembre 2007; Sezione Quinta n. 26797 del 29 maggio 2008; Sezione Sesta n. 3920 del 08 ottobre 2008 Il diritto alla riservatezza, la tutela della proprietà, sono esempi tra gli altri, di diritti costituzionalmente protetti che rivestono un certo allarme sociale qualora siano  a qualsiasi titolo messi in discussione o in pericolo.

Ma la circostanza acquista maggior rilievo e diventa motivo di ondeggianti interpretazioni giurisprudenziali, quando l’invasione del nostro privato avviene per mezzo di sistemi informatici, dove addirittura vi è il concreto pericolo che la nostra identità venga defraudata.

Nel nostro immaginario quando chiunque, capziosamente, accede a mezzo internet nelle banche dati, custodi di notizie anche sensibili, il nostro pensiero si sofferma su quei geniali personaggi misteriosi appellati hacker, associati poi ai criminali informatici.

L’enciclopedia wikipedia così descrive l’hacker e ne fornisce una rappresentazione a mio avviso frivola ed efficace:

- “Un hacker (termine coniato negli Stati Uniti che si può rendere in italiano con smanettone) è una persona che si impegna nell’affrontare sfide intellettuali per aggirare o superare creativamente le limitazioni che gli vengono imposte, non limitatamente ai suoi ambiti d’interesse (che di solito comprendono l’informatica o l’ingegneria e elettronica), ma in tutti gli aspetti della sua vita”.

Beh, che dire, un concetto assai ampio ma che di fatto rende tangibile quel “mestiere”.

Orbene, il nostro codice penale alla sezione IV “Dei delitti contro l’inviolabilità del domicilio”, dedica diversi articoli inerenti al domicilio, non solo quello inteso dal latino “domus” ovvero casa, perseguendo chiunque s’introduce nell’abitazione altrui contro la volontà o clandestinamente o con l’inganno ma anche con riferimento all’accesso abusivo ad un sistema informatico o telematico.

Mi riferisco segnatamente al seguente articolo che testualmente recita:

- 615 ter c.p. Accesso abusivo ad un sistema informatico o telematico

“Chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo, è punito con la reclusione fino a tre anni.

La pena è della reclusione da uno a cinque anni:

1) se il fatto è commesso da un pubblico ufficiale o da un incaricato di un pubblico servizio, con abuso dei poteri o con violazione dei doveri inerenti alla funzione o al servizio, o da chi esercita anche abusivamente la professione di investigatore privato, o con abuso della qualità di operatore del sistema;

2) se il colpevole per commettere il fatto usa violenza sulle cose o alle persone, ovvero se è palesemente armato;

3) se dal fatto deriva la distruzione o il danneggiamento del sistema o l`interruzione totale o parziale del suo funzionamento, ovvero la distruzione o il danneggiamento dei dati, delle informazioni o dei programmi in esso contenuti.

Qualora i fatti di cui ai commi primo e secondo riguardino sistemi informatici o telematici di interesse militare o relativi all`ordine pubblico o alla sicurezza pubblica o alla sanità o alla protezione civile o comunque di interesse pubblico, la pena è, rispettivamente, della reclusione da uno a cinque anni e da tre a otto anni.

Nel caso previsto dal primo comma il delitto è punibile a querela della persona offesa; negli altri casi si procede d`ufficio”.

Il precetto si riferisce a "chiunque", ma poi nell’esaminare la pena per chi commette tale violazione il legislatore si sofferma, tra gli altri, sulla figura del pubblico ufficiale e dell’incaricato di un pubblico servizio, non tralasciando quella dell’investigatore privato.

E su queste figure occorre porre l’attenzione per meglio lumeggiare il contrasto giurisprudenziale in merito al delitto in esame emerso a seguito di fatti di rilievo penale sottoposti all’attenzione dell’Autorità Giudiziaria.

La vicenda che vado ad illustrare e che ha ora interessato le sezioni unite della Suprema Corte di Cassazione si riferisce ad un accesso verificatosi nel sistema di indagine posto a disposizione delle forze di polizia (SDI) a cui ha avuto ingresso un appartenente alle forze dell’ordine, pertanto soggetto legittimato (Cassazione nrg 20928/2010-udienza del 27 ottobre 2011).

Questi, contrariamente al corretto utilizzo di quei dati avuti in suo possesso ed in ragione della funzione rivestita, ha fornito a terzi quelle informazioni sensibili utilizzate o da utilizzare in una causa di separazione in corso.

Quell’accesso, pur legittimo, al sistema, con l’utilizzo di una password di servizio aveva comunque il solo scopo di raccogliere dati protetti per finalità estranee alle ragioni di istituto, elementi dunque di una condotta da ritenersi idonea a configurare l’ipotesi di cui all’articolo 615 ter del codice penale secondo un orientamento di legittimità, ma potremmo dire anche no [1].

In ragione di tale orientamento è evidente che l’interpretazione fornita dagli ermellini sull’applicazione dell’articolo 615 ter codice penale in esame non punisce solo gli hacker ma parimenti i soggetti abilitati ad entrare nel sistema informatico e che abusano delle credenziali in loro possesso.

Parrebbe chiara l’interpretazione a riguardo, ma non è affatto così.

In effetti, sussistono, ad oggi, due contrapposti orientamenti:

L’orientamento sopra citato era già stato espresso nel 1999 dalla medesima sezione V della Cassazione nella sentenza 12732 del 07 novembre 2000 la quale così si era espressa:

“l’analogia con la fattispecie della violazione di domicilio deve indurre a concludere che integri la fattispecie criminosa (prevista dall’art. 615 ter cod.pen.) anche chi, autorizzato all’accesso per una determinata finalità, utilizzi il titolo di legittimazione per una finalità diversa e quindi, non rispetti le condizioni alle quali era subordinato l’accesso. Infatti se l’accesso richiede un’autorizzazione e questa è destinata a un determinato scopo, l’utilizzazione dell’autorizzazione per uno scopo diverso non può non considerarsi abusiva”.

Pertanto il pirata informatico andrebbe comunque perseguito pur introducendosi legittimamente nel sistema: l’esame dei dati contenuti nella banca dati per scopi diversi da quelli dettati dalla sua funzione integrerebbe il reato di “accesso abusivo”.

In tema occorre citare altresì le sentenze emesse sempre della sezione Quinta della Corte di Cassazione specificatamente [2].

Allora, ritornando al caso di cui trattasi, ovvero dell’accesso legittimo in banca dati ma per un fine lontano da quello per cui il pubblico ufficiale era stato autorizzato, la Corte di Cassazione esprime anche una posizione in senso assolutamente opposto, ritenendo ai sensi della prima parte del primo comma dell’articolo 615 ter codice penale illecito solo “l’accesso abusivo, cioè quello effettuato da soggetto non abilitato, mentre sempre e comunque lecito l’accesso del soggetto abilitato, ancorché effettuato per finalità estranee a quelle d’Ufficio” [3].

Il contrasto evidente, che non risulta ancora definito, è stato sottoposto alle sezioni Unite della Cassazione per dirimere così il seguente quesito:

- “Se costituisca il reato previsto dall’articolo 615 ter del codice penale, l’accesso di soggetto abilitato ad un sistema informativo protetto per scopi e finalità estranee a quelle per le quali la chiave di accesso gli era stata attribuita”.

A scioglimento della riserva da parte delle Sezioni Unite della Cassazione, ad umile avviso dello scrivente, nel rispetto dell’articolo 14 della carta Costituzionale, nonché gli articoli 614 e 615 ter del codice penale, dovrebbe integrare l’accesso abusivo, anche da soggetto legittimato, l’introduzione in un sistema informatico svolta per finalità estranee all’attività istituzionale ed idonea a fornire a terzi notizie utilizzabili finanche per scopi poco leciti e che non garantiscono la tutela della libertà personale, della segretezza e perché non giustificata da motivi giuridicamente rilevanti o disposti da un atto motivato dell’autorità giudiziaria.

[1] Cassazione penale V sezione nr.2987 del 10 dicembre 2009 depositata il 22 gennaio 2010

[2] Le sentenze nn. 37322 del 08 luglio 2008; 1727 del 30 settembre 2008; 18006 del 13 febbraio 2009; 2987 del 10 dicembre 2009; 19463 del 16 febbraio 2010; 39620 del 22 settembre 2010

[3] Cassazione Sezione Quinta n. 2534 del 20 dicembre 2007; Sezione Quinta n. 26797 del 29 maggio 2008; Sezione Sesta n. 3920 del 08 ottobre 2008