Chi entra in un sito web esposto, accede ad un database lasciato senza protezioni o penetra in un sistema informatico privo di difese, commette un reato? E se la password c’è, ma è “password123”? La risposta potrebbe sorprendere molti.
E per comprenderla appieno è necessario fornire agli operatori del settore una mappa chiara dei confini legali tra negligenza e dolo, permettendo di configurare i sistemi non solo per essere tecnicamente sicuri, ma giuridicamente difendibili in tribunale secondo la giurisprudenza italiana vigente[1].
Secondo quest’ultima, infatti, l’accesso a sistemi informatici non protetti da “misure di sicurezza idonee” non costituisce reato penale. È una distinzione fondamentale tra “introduzione” e “intrusione” che ha implicazioni profonde per organizzazioni, sviluppatori e cittadini digitali, emersa da una storica sentenza del 2000 che ha stabilito principi validi ancora oggi.
Questa zona grigia normativa è il motivo per cui la governance della sicurezza non è solo una questione tecnica, ma legale. Capire dove finisce la negligenza della vittima e inizia il dolo dell’attaccante è essenziale per chiunque gestisca infrastrutture critiche o dati sensibili.
Indice degli argomenti
L’art. 615-ter: estensione digitale dell’inviolabilità del domicilio
Da ex Agente Scelto della squadra intrusioni della Polizia Postale, ho assistito direttamente al momento storico in cui il concetto di “effrazione” ha smesso di riguardare solo le porte blindate per applicarsi ai server.
L’articolo 615-ter del Codice Penale, introdotto dalla legge 547/1993, rappresenta infatti la norma cardine per il contrasto alla criminalità informatica, perché rende penalmente perseguibile l’accesso abusivo a sistemi informatici.
Questo articolo è strategicamente collocato tra i reati contro l’inviolabilità del domicilio, dal momento che estende idealmente dall’ambiente fisico a quello digitale la tutela garantita dall’articolo 14 della Costituzione italiana e protetta dagli articoli 614 e 615-bis del Codice Penale.
La norma prevede esplicitamente che il sistema sia “protetto da misure di sicurezza”: si tratta di una specificazione che non è casuale, perché rappresenta un requisito fondamentale per la configurazione del reato.
Il testo dell’articolo stabilisce, infatti, che «chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo, è punito con la reclusione fino a tre anni».
Senza la protezione, viene meno il presupposto della violazione del domicilio digitale. È come entrare in una casa con la porta spalancata: maleducato, forse illecito civilmente, ma non è un’effrazione.
La sentenza che ha fatto giurisprudenza: il caso RAI del 2000
Il 4 aprile 2000, il Giudice dell’Udienza Preliminare Eduardo Landi ha pronunciato una sentenza destinata a fare la storia nel diritto informatico italiano.
Il caso riguardava una persona imputata del reato di cui all’art. 615-ter per essersi introdotta nel sito telematico di RAI GR1, sostituendo il file del radiogiornale delle 13:00 con contenuti polemici nei confronti di Microsoft, con l’aggravante di aver violato un sistema telematico di pubblico interesse.
L’aspetto più interessante del caso emerge dalle dichiarazioni dell’imputato stesso, che spiegò alla stampa: «Sono entrato nel server mm1.rai.it grazie ad una password fregata al pc di G.L., che, molto imprudentemente, ha il proprio disco fisso in condivisione ed è dunque accessibile liberamente all’esterno».
La Redazione del GR1 si accorse della manomissione solo due giorni dopo e solamente grazie alle segnalazioni via email di alcuni utenti.
Il sistema della RAI non era particolarmente protetto: l’utenza del server era condivisa tra più dipendenti e la condivisione dei file avveniva tramite protocollo NETBIOS, che all’epoca non prevedeva alcuna autenticazione forte.
Il Giudice stabilì un principio fondamentale: «Non risultano elementi di prova sufficienti a dimostrare l’esistenza di misure di sicurezza idonee a proteggere il sistema violato. Il legislatore ha inteso tutelare non la privacy di qualsiasi ‘domicilio informatico’, ma soltanto quella di sistemi ‘protetti’ contro il pericolo di accessi da parte di persone non autorizzate».
La definizione di “sistema informatico”: ampiezza della tutela
La giurisprudenza ha chiarito che per “sistema informatico” si intende l’insieme dei componenti funzionali di un calcolatore e del relativo hardware, non solo una collettività di computer interconnessi.
Questa interpretazione estensiva garantisce tutela penale sia al singolo personal computer sia all’intero data center che lo contiene, coerentemente con le intenzioni del legislatore che ha previsto aggravanti specifiche per chi usa violenza sulle cose o sulle persone per accedere abusivamente ai sistemi.
Tale definizione ampia è supportata dalla logica dell’articolo stesso: se il legislatore avesse voluto limitare la tutela alle sole reti di computer, non avrebbe previsto aggravanti per l’uso della violenza fisica, che si applica tipicamente a sistemi fisicamente accessibili come singoli computer o server.
Reati informatici: il nodo delle “misure di sicurezza idonee”
La questione più dibattuta riguarda l’identificazione delle “misure di sicurezza” necessarie per rendere chiaro lo ius excludendi – il diritto di escludere persone non autorizzate ad accedere al sistema.
Cosa deve fare concretamente il proprietario del sistema per manifestare la propria volontà di vietare l’accesso non autorizzato?
È tecnicamente evidente che una password come “pippo” o “123456” sia facilmente aggirabile, ma potrebbe comunque essere interpretata come un tentativo, seppur ingenuo, di bloccare l’accesso al passante curioso.
Le statistiche sulle password più utilizzate evidenziano una diffusa scarsa cultura della sicurezza, ma non necessariamente annullano l’intento di proteggere un asset.
La differenza tra “introduzione” ed “intrusione” diventa dirimente dal punto di vista legale: l’introduzione implica un accesso ad un sistema che non manifesta chiaramente l’intenzione di escludere, mentre l’intrusione presuppone il superamento di barriere che evidenziano la volontà di protezione da parte del proprietario.
Oggi questo concetto si applica ai bucket S3 lasciati pubblici o alle API senza autenticazione: se l’URL è pubblico e non richiede token, scaricare i dati è reato? La giurisprudenza tende a dire di no, se non c’è stata forzatura di una misura di sicurezza.
Art. 615-quater e quinquies: il mercato degli accessi e degli strumenti
Il legislatore ha previsto anche reati specifici per chi abilita l’attacco, non solo per chi lo esegue.
L’articolo 615-quater punisce «chiunque, al fine di procurare a sé o ad altri un profitto o di arrecare ad altri un danno, abusivamente si procura, riproduce, diffonde, comunica o consegna codici, parole chiave o altri mezzi idonei all’accesso ad un sistema informatico o telematico protetto da misure di sicurezza».
Questo articolo è particolarmente rilevante nell’era dei data breach di massa, dove miliardi di credenziali vengono raccolte illegalmente e rese disponibili online. Il reato si configura non solo per l’utilizzo dei codici rubati, ma anche per la loro semplice detenzione o condivisione.
Parallelamente, l’articolo 615-quinquies rappresenta una norma lungimirante che punisce la detenzione o diffusione di «apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico».
Il legislatore ha intelligentemente evitato termini specifici come “virus”, utilizzando definizioni generiche che rimangono applicabili anche all’evoluzione tecnologica futura.
Si tratta di un “reato di pericolo”: non serve che il danno avvenga, basta possedere lo strumento con l’intenzione dolosa.
L’elemento soggettivo: coscienza e volontà
Una questione delicata riguarda la punibilità di coloro che partecipano inconsapevolmente ad attacchi informatici, ad esempio attraverso dispositivi infetti che inviano malware o contribuiscono a sferrare attacchi DDoS senza la consapevolezza dell’utente (botnet).
L’articolo 42 del Codice penale stabilisce che nessuno può essere punito per un’azione commessa senza coscienza e volontà. Tuttavia, l’onere della prova tende a spostarsi.
In contesti dove gli attacchi informatici possono causare danni alle infrastrutture critiche, anche la negligenza grave nella protezione dei propri dispositivi potrebbe avere conseguenze legali, specialmente se l’utente aveva una posizione di garanzia.
Implicazioni pratiche per le organizzazioni
Queste norme hanno implicazioni dirette per le organizzazioni che gestiscono sistemi informatici. Per beneficiare della tutela penale dell’art. 615-ter, è essenziale implementare “misure di sicurezza idonee” che manifestino chiaramente l’intenzione di escludere accessi non autorizzati.
Non è sufficiente affidarsi alla buona fede degli utenti o presumere che l’accesso non autorizzato sia vietato tacitamente.
Le misure di sicurezza devono essere proporzionate al valore dei dati, ma devono anche essere sufficientemente evidenti da manifestare la volontà di protezione. Un sistema completamente aperto, privo di qualsiasi forma di autenticazione, non può beneficiare della tutela penale.
La “Security by Obscurity” (ad esempio, sperare che nessuno trovi l’indirizzo IP) non è una misura di sicurezza valida in tribunale.
Verso una sicurezza giuridicamente consapevole
La comprensione del quadro normativo italiano in materia di reati informatici è essenziale per implementare strategie di sicurezza che siano non solo tecnicamente efficaci, ma anche giuridicamente rilevanti, difendibili in caso di ispezione ed ammissibili in tribunale.
Le organizzazioni pubbliche e private devono progettare le proprie difese tenendo conto non solo delle minacce tecniche, ma anche dei requisiti legali per la configurazione dei reati informatici.
Solo attraverso questa consapevolezza giuridica si può costruire una sicurezza che protegga realmente l’ente, trasformando principi legali astratti in misure concrete che facciano da deterrente ai comportamenti illeciti e forniscano basi solide per eventuali azioni legali contro gli attaccanti.
[1] Per approfondire il quadro normativo dei reati informatici italiani, le metodologie per implementare misure di sicurezza giuridicamente rilevanti e gli strumenti per tradurre requisiti legali in controlli tecnici efficaci, il Manuale CISO Security Manager prepara alla certificazione CISSP e fornisce analisi dettagliate della legislazione italiana ed europea con guide operative per la conformità normativa.
