Il luogo sbagliato: accesso abusivo ad un sistema informatico o telematico
Indice:
1. Delitto di accesso abusivo ad un sistema informatico o telematico
2. Primo orientamento giurisprudenziale: luogo in cui si trova il server
3. Secondo orientamento giurisprudenziale: luogo in cui agisce l’agente
4. Caso concreto
5. Conclusione sull’accesso abusivo a sistema informatico
1. Delitto di accesso abusivo ad un sistema informatico o telematico
L’ultimo decennio del XXI secolo può essere definito “un decennio a schermo piatto”, dove la vita di ogni individuo, sin dalla tenera età, dipende, in tutto e per tutto, da strumenti sempre più tecnologici e sofisticati.
In altre parole, si vive in un’epoca dove la facilità e, al contempo, la pericolosità di un click può invadere e cambiare la vita di un essere umano.
Dal punto di vista giuridico, data la situazione particolarmente delicata, il legislatore ha introdotto, con legge n. 547/1993, una norma a tutela della riservatezza informatica e dell’indisturbata fruizione del sistema informatico da parte del gestore.
In particolare, detto intervento legislativo ha previsto l’inserimento nel Codice Penale di un apposito articolo, il 615 ter, rubricato “Accesso abusivo ad un sistema informatico o telematico”, che al comma I punisce chiunque abusivamente chi si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo.
Trattasi di un reato comune, che può essere commesso da “chiunque”, ad esclusione della previsione di cui al comma II, n. 1, dove si prevede un inasprimento della pena nel caso in cui il delitto di cui all’articolo 615 ter Codice Penale sia commesso da un pubblico ufficiale o incaricato di pubblico servizio (reato proprio).
In merito all’elemento oggettivo, bisogna distinguere la condotta dell’accesso non autorizzato in un sistema telematico o informatico protetto da misure di sicurezza, come la password, dal mantenimento in esso contro la volontà del gestore dello stesso. La prima delle due condotte, l’accesso, si configura come reato a consumazione istantanea, mentre la seconda, il mantenimento, si manifesta come un reato permanente.
Ai fini dell’integrazione del delitto di accesso abusivo ad un sistema informatico o telematico è necessario un dolo generico, dolo che consiste nella rappresentazione e nella volontà dell’intero fatto tipico, senza che sia necessario un fine ulteriore.
Infine, quanto al locus commissi delicti, in giurisprudenza sono emersi due differenti orientamenti.
2. Primo orientamento giurisprudenziale: luogo in cui si trova il server
Secondo un primo orientamento, il luogo di consumazione del reato ex articolo 615 ter Codice Penale è quello in cui viene effettivamente superata la protezione informatica e vi è l’introduzione nel sistema. In altre parole, il locus commissi delicti è materialmente situato nel luogo ove si trova il sistema informatico violato, cosiddetto server, ovvero l’elaboratore che controlla le credenziali di autenticazione del cliente (ex plurimis, Cass., 2013, n. 40303).
Il ragionamento sotteso alla predetta pronuncia focalizza l’attenzione sulla collocazione sistematica dell'articolo 615 ter Codice Penale (sezione IV, capo III, titolo XII, libro II), in quanto, con l’introduzione della fattispecie in esame, il legislatore ha voluto apportare una maggiore tutela al bene giuridico del domicilio, bene tutelato sia a livello costituzionale che sovranazionale dagli articoli 14 Costituzione, 7 della Carta di Nizza e 8 CEDU. Più precisamente, secondo questa prima impostazione, l’articolo 615 ter Codice Penale tutela il domicilio informatico, inteso come spazio ideale, ma anche fisico in cui sono contenuti i dati informatici, di pertinenza della sfera individuale.
3. Secondo orientamento giurisprudenziale: luogo in cui agisce l’agente
Un diverso indirizzo giurisprudenziale, accolto anche dalla Suprema Corte a Sezioni Unite (Cass., S.U., 2015, n. 17325) ha, invece, statuito che il luogo di consumazione del delitto de quo è quello nel quale si trova il soggetto che effettua l’introduzione abusiva o vi si mantiene abusivamente, piuttosto che quello ove si trova fisicamente il server violato.
I motivi per cui la Corte di Cassazione è giunta al suddetto epilogo sono principalmente due: il primo si basa sull’interpretazione estensiva dell’articolo 614 Codice Penale con particolare riferimento alla definizione di domicilio.
Più precisamente, il diritto alla libertà domiciliare, bene tutelato sia a livello costituzionale che sovranazionale dagli articoli 14 Costituzione, 7 della Carta di Nizza e 8 CEDU, è un diritto complesso, risultante dalla duplice facoltà di ammissione o di esclusione dalla propria sfera privata, allo scopo di assicurare la salvaguardia dello spazio individuale e di evitare interferenze arbitrarie o non desiderate.
Il secondo, strettamente correlato al primo, riguarda proprio il luogo in cui il soggetto agente effettua l’introduzione abusiva o vi si mantiene abusivamente, ossia il luogo in cui sussistono le prove della condotta illecita. Quindi, il ragionamento sotteso alla pronuncia in esame sottolinea il legame che sussiste tra il locus commissi delicti e il giudice naturale precostituito per legge ai sensi degli articoli 25, comma 1, Costituzione e 8 Codice Penale.
4. Caso concreto
Una volta conclusa l’analisi del delitto de quo, al fine di individuare le conseguenze dei diversi indirizzi giurisprudenziali sopra citati, si ritiene opportuno esemplificare la questione attraverso un esempio.
In particolare, prendendo in esame un caso concreto, bisogna capire se la condotta posta in essere da Tizio integra il delitto di cui all’articolo 615 ter, c.2, n.1, Codice Penale. Più precisamente, Tizio viene denunciato dal comandante della stazione dei Carabinieri del Comune y, stazione ove svolge il ruolo di maresciallo dell’Arma, poiché ha acquistato informazioni sul conto del pregiudicato Caio, attuale convivente di Mevia, coniuge separato dell’odierno imputato.
Soffermandosi sull’interpretazione del dato normativo oggetto della trattazione si nota come quest’ultimo non dia alcuna risposta al quesito in esame e, per tale motivo, si ritiene opportuno attenzionare i differenti orientamenti giurisprudenziali che si sono succeduti nel corso del tempo.
Secondo un primo orientamento, non integra il reato di cui all’articolo 615 ter Codice Penale la condotta del soggetto autorizzato ad introdursi in un sistema denominato SDI (banca dati interforze degli organi di polizia), come un ispettore della Polizia di Stato o un appartenente all’Arma dei Carabinieri, che prende cognizione di dati riservati, contenuti nel sistema, per finalità non consentite (Cass. pen., 2008, n. 2534).
Tale orientamento si fonda sulla considerazione per cui il dissenso tacito del dominus loci non viene desunto dalla finalità che anima la condotta dell’agente, bensì dall’oggettiva violazione delle disposizioni del titolare in ordine all’uso del sistema. Ne deriva che, nei casi in cui l’agente compia sul sistema un’operazione pienamente assentita dall’autorizzazione ricevuta, ed agisca nei limiti di questa, il reato di cui all’articolo 615 ter Codice Penale non è configurabile, a prescindere dallo scopo eventualmente perseguito.
In altri termini, l’orientamento in parola esclude la rilevanza di una violazione “mediata” consistente in un uso legittimo del sistema informatico non accompagnato da uno scopo soggettivo altrettanto legittimo. Ritiene, invece, illecita la sola violazione “immediata”, vale a dire un accesso od una permanenza nel sistema in diretto conflitto con le istruzioni ricevute che regolano l’accesso al sistema e che stabiliscono per quali attività e per quanto tempo la permanenza si può protrarre.
Nel caso di specie, Tizio, nella qualità di maresciallo dell’Arma dei Carabinieri, ha acquisito le informazioni sul pregiudicato Caio attraverso l’utilizzo della propria password. Conseguentemente, poiché l’accesso alla banca dati è avvenuto attraverso una legittima banca di accesso e tale condotta non ha causato alcuna effrazione dei dispositivi di sicurezza posti a presidio del sistema informatico, Tizio non risponderà del delitto di accesso abusivo al sistema informatico ex articolo 615 ter, c.2, n.1 Codice Penale.
Diversamente, un secondo indirizzo giurisprudenziale, accolto anche dalle Sezioni Unite, ha stabilito che il delitto previsto dall’articolo 615 ter Codice Penale viene integrato nel momento in cui, pur trattandosi di un soggetto abilitato, quest’ultimo acceda o si mantenga in un sistema informatico o telematico protetto violando le condizioni ed i limiti risultanti dal complesso delle prescrizioni impartite dal titolare del sistema per delimitarne oggettivamente l’accesso (Cass. pen., Sez. Un., 2011, n.4694; Cass. pen., 2009, n. 18006).
La Suprema Corte sottolinea, inoltre, che, ai fini della sussistenza del reato, sono del tutto irrilevanti gli scopi e le finalità che abbiano soggettivamente motivato l’ingresso nel sistema.
In altre parole, ciò che rileva è il profilo oggettivo dell’accesso e del trattenimento nel sistema informatico da parte di un soggetto che non può ritenersi autorizzato ad accedervi ed a permanervi sia quando violi i limiti risultanti dal complesso delle prescrizioni impartite dal titolare del sistema, sia quando ponga in essere operazioni ontologicamente diverse da quelle di cui egli è incaricato ed in relazione alle quali l’accesso era a lui consentito. Il dissenso del dominus loci, secondo la S.C., non viene, quindi, desunto dalla finalità che anima la condotta dell'agente, bensì dalla oggettiva violazione delle disposizioni del titolare in ordine all'uso del sistema.
Inoltre, soffermandosi sulla natura giuridica del delitto in esame si evince che si tratta di un reato d’azione, di pura condotta, che si perfeziona con la violazione del domicilio informatico e, quindi, con l’introduzione in un sistema costituito da un complesso di apparecchiature che utilizzano tecnologie informatiche, senza che sia necessario che l’intrusione sia effettuata allo scopo di insidiare la riservatezza dei legittimi utenti e che si verifichi un’effettiva lesione della stessa. Da ciò si evince che si tratta di un reato di pericolo astratto, ossia il legislatore punisce il soggetto attivo prima che si verifichi il danno.
Conseguentemente, alla luce dei suddetti fondamenti, poiché non importa che Tizio abbia effettuato l’accesso abusivo per una buona causa, ossia con l’intento di consegnare a Mevia, coniuge separato di Tizio, le informazioni sul pregiudicato Caio, si ritiene integrata la fattispecie criminosa ex articolo 615, c.2, n.1, Codice Penale
5. Conclusione
In conclusione, in merito al locus commissi delicti, qualora l’organo giudicante decida di aderire al primo orientamento, la competenza territoriale ricadrà nel luogo in cui è materialmente situato il sistema informatico violato, cosiddetto server.
Viceversa, se si aderisce all’indirizzo giurisprudenziale accolto anche dalle Sezioni Unite, il luogo di consumazione del delitto de quo sarà quello nel quale si trova il soggetto che effettua l’introduzione abusiva o vi si mantiene abusivamente, ovvero il Comune y.
Infine, focalizzando l’attenzione sulla questione nodale, qualora il giudice adito decida di seguire la prima linea interpretativa, Tizio sarà esente dalla sanzione prevista dal comma 2 dell’articolo 615 ter Codice Penale.
Nel caso in cui, invece, l’organo giudicante decida di accogliere l’orientamento considerato dominante in giurisprudenza in quanto delineato anche dalle Sezioni Unite, la condotta posta in essere dal maresciallo dell’Arma dei Carabinieri integrerà il delitto previsto e punito dalla disposizione normativa 615 ter, c.2, n.1, Codice Penale.
