L'APPROFONDIMENTO

Reato di accesso abusivo a sistemi informatici o telematici: la configurabilità del tentativo

La pandemia ha accresciuto esponenzialmente il pubblico digitale e, di conseguenza, il numero di cyber crime caratterizzati da abuso di componenti hardware e software della tecnologia dell’informazione. Ecco come si configura il tentativo nel reato di accesso abusivo a sistemi informatici

21 Gen 2021
L
Claudia Lupo

Privacy & Data Protection specialist | Deloitte Legal

L’accesso abusivo a sistemi informatici o telematici (nel seguito anche solo “sistemi”), conseguito attraverso diverse tecniche – da quelle che sfruttano le vulnerabilità dei sistemi stessi a quelle di social engineering che approfittano delle vulnerabilità e dei bias umani – è, ad oggi, uno dei cyber crime più frequenti e temuti, peraltro solitamente prodromico alla realizzazione di reati più gravi, come il danneggiamento di sistemi informatici, nonché connesso alle sempre più frequenti richieste di pagamento di riscatti per ripristinare il sistema violato.

Vero è che la sicurezza dei sistemi informatici mediante misure a presidio del rischio di accesso abusivo è al centro di strategie nazionali che mirano a prevenire danni alla popolazione e al tessuto produttivo, ma anche pregiudizi per la sicurezza nazionale ove l’accesso abusivo avvenga a sistemi di interesse pubblico o ad infrastrutture ritenute critiche.

È dunque opportuno chiedersi quale sia il bene giuridico oggetto di tutela nel reato di accesso abusivo a sistemi informatici o telematici e se questo reato è compatibile con l’istituto del tentativo.

Accesso abusivo a sistemi informatici: come si donfigura il reato

Recenti orientamenti giurisprudenziali in materia di accesso abusivo ad un sistema informatico sostengono che il reato punito dall’art. 615-ter del Codice penale si configuri quale reato di pericolo che si realizza “ogniqualvolta l’ingresso abusivo riguardi un sistema informatico in cui sono contenute notizie riservate, indipendentemente dal tipo di notizia eventualmente appresa” (Cassazione penale, sez. V, sentenza 27/02/2019 n° 8541; Corte di Cassazione – V sez. pen. – sentenza n. 8541 del 09-11-2018).

WHITEPAPER
Canale ICT: 5 misure di successo automatizzare il business
Sicurezza
Software

Secondo tale orientamento, bene giuridico oggetto di protezione nel reato de quo sarebbe la riservatezza delle informazioni e dei dati contenuti nel sistema violato, a cui la norma offrirebbe una tutela anticipata.

Ciò che può derivare dalla configurazione di questo reato quale reato di pericolo è l’inammissibilità di un’ipotesi “tentata” di accesso abusivo al sistema informatico.

Infatti, trattandosi di un reato di pericolo, l’applicazione all’art. 615-ter della disciplina di cui all’art. 56 del Codice penale potrebbe comportare la repressione del “pericolo di un pericolo”, determinando una eccessiva anticipazione della tutela che rischierebbe di entrare in contrasto con il principio di offensività.

In realtà, muovendo dalla collocazione sistematica di questo reato nel Codice penale e dalla ratio legis che ha portato a prevedere la punibilità di “chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo”, la compatibilità con l’istituto del tentativo non sembra potersi escludere, in quanto il bene giuridico oggetto di protezione nel reato de quo sembrerebbe, piuttosto, essere lo ius excludendi del titolare del sistema informatico o telematico più che la riservatezza delle informazioni in esso contenute.

Accesso abusivo a sistemi informatici e configurabilità del tentativo

L’esigenza di perseguire come reato l’accesso abusivo a sistemi informatici emerse già alla fine degli Anni 80 quando, nel 1989, questo reato fu inserito nella c.d. “lista minima” delle condotte informatiche abusive proposta dal Consiglio d’Europa nella Raccomandazione sulla Criminalità Informatica.

Il reato è stato, poi, recepito nell’art. 615-ter del Codice penale italiano con la Legge n. 547 del 1993 “Modificazioni ed integrazioni alle norme del Codice Penale e del codice di procedura penale in tema di criminalità informatica”, secondo l’approccio “old wine in new bottles[1] che prevede l’accostamento dei cybercrimes ai reati “tradizionali”.

In particolare, la fattispecie di cui all’art. 615-ter c.p. ha trovato il proprio collocamento in Italia nella categoria dei delitti contro la persona e, in particolare, nella sezione dedicata ai delitti contro l’inviolabilità del domicilio.

Pertanto, è dalla tutela del domicilio che occorre partire per valutare la configurabilità del tentativo di accesso abusivo ad un sistema.

Il domicilio, nel diritto privato italiano, corrisponde al luogo in cui una persona “ha stabilito la sede principale dei suoi affari e interessi” (articolo 43, comma I, Codice civile), per tali intendendosi tanto quelli di natura personale, quanto quelli di natura sociale, politica ed economica.

A livello costituzionale, il domicilio gode delle medesime tutele stabilite per la libertà personale, di cui è corollario.

Ai sensi dell’art. 614 del Codice penale, è punito chiunque s’introduca nell’abitazione altrui contro la volontà espressa o tacita di chi ha il diritto di escluderlo.

Se la formulazione simmetrica degli articoli 614 e 615-ter del Codice Penale non fosse sufficiente a rimarcarne la medesima ratio, a ciò si aggiunga che – nella relazione accompagnante il disegno della citata legge del 1993 con cui fu introdotto il reato di accesso abusivo ad un sistema – il legislatore riconosceva espressamente come i sistemi informatici e telematici rappresentassero ormai “una espansione ideale dell’area di rispetto pertinente al soggetto interessato garantita dall’articolo 14 della Costituzione”.

I sistemi informatici e telematici, al pari del domicilio, rappresentano ambienti che devono rimanere riservati e conservati al riparo da ingerenze e intrusioni altrui, luoghi inviolabili, delimitati da confini virtuali, paragonabili a qualunque altro spazio privato (o domicilio) in cui la persona esplica liberamente la sua personalità in tutte le sue dimensioni e manifestazioni (Cass. Pen. SS. UU. n. 17325 del 26 marzo 2015).

Dalla collocazione sistematica del reato de quo e da quanto suesposto deriva che il reato di accesso abusivo si perfezioni con la mera realizzazione della violazione del sistema, senza che sia necessario che in tale sistema siano contenute informazioni di carattere personale: perché si realizzi il reato è, dunque, sufficiente che siano state violate le condizioni e i limiti impostati dal titolare del sistema per delimitarne l’accesso, intendendosi per “titolare” chi ha la titolarità dello ius excludendi, cioè del diritto di vietare a terzi l’accesso o la permanenza in esso.

Il sistema informatico o telematico, dunque, altro non è che estensione della sfera personale del titolare, proiettata nella sua manifestazione virtuale.

L’orientamento che sostiene che il bene giuridico tutelato nel reato de quo sia lo ius excludendi è confermato dalla giurisprudenza di legittimità secondo cui, ai fini della configurabilità della citata fattispecie delittuosa, risultano irrilevanti gli scopi e le finalità che soggettivamente hanno indotto e motivato l’ingresso nel sistema (Cass. Pen. S.U. 27.10.2011, n. 4694), che eventualmente andranno ad integrare diverse ed ulteriori fattispecie penalmente rilevanti.[2]

Altro elemento del reato da tenere in considerazione per valutare la configurabilità del tentativo è il tempus commissi delicti.

Secondo la dottrina maggioritaria, infatti, trattasi di reato istantaneo che si consuma nel momento stesso in cui l’agente non autorizzato accede al sistema, ovvero di reato istantaneo ad effetto permanente nell’ipotesi in cui l’autore si trattenga nel sistema (e, dunque, con riferimento al periodo di permanenza nel sistema contro la volontà del titolare), senza che debba verificarsi una effettiva lesione della riservatezza delle informazioni ivi contenute.

Conclusioni

Il tentativo è configurabile, ai sensi dell’art. 56 del Codice penale, laddove siano presenti i requisiti di idoneità e direzione non equivoca degli atti a mettere in pericolo il bene tutelato. Va da sé che l’individuazione del bene oggetto di tutela nell’art. 615-ter è dirimente nel valutare la configurabilità del tentativo di accesso abusivo ad un sistema.

Nel tentativo, infatti, l’autore viene punito perché ha “messo in pericolo” il bene tutelato. Il legislatore, cioè anticipa la punibilità del fatto di reato ad un momento anteriore rispetto a quello dell’offesa effettiva.

Con riferimento all’accesso abusivo ad un sistema, tale ipotesi risulta – a detta di chi scrive – configurabile alle stesse condizioni di quanto previsto per la configurabilità del tentativo di violazione del domicilio.

Sostenere la non configurabilità del tentativo di accesso abusivo ad un sistema in quanto reato di pericolo posto a tutela anticipata della riservatezza delle informazioni in esso contenuto sarebbe come sostenere la non configurabilità del tentativo di violazione di domicilio in quanto reato di pericolo posto a tutela anticipata di quanto in esso eventualmente presente.

In realtà, la sottrazione di quanto eventualmente presente presso il domicilio configurerebbe una diversa fattispecie penalmente sanzionabile – es. il furto in abitazione – in cui la fattispecie di violazione di domicilio sarebbe assorbita, così come l’accesso abusivo ad un sistema può essere eventualmente prodromico alla realizzazione di diverse e ulteriori condotte penalmente sanzionabili ovvero in esse assorbito.

NOTE

  1. Vedi S. Brenner, Defining Cybercrime: A Review of Federal and State Law, in R. D. Clifford (ed.), Cybercrime, cit., 15-104, 17.
  2. In alcune legislazioni, come quella statunitense, perché l’intrusore sia punito non basta il semplice accesso al sistema informatico, ma è necessario che dalla violazione derivino danni economici per il titolare o che siano compiute condotte sanzionate penalmente, successive all’accesso abusivo. In tali ordinamenti risultano, infatti, sanzionabili i soli c.d. cracker che – a differenza degli hacker – agiscono con il fine di arrecare danno ovvero di conseguire un profitto. Distinzione che non esiste nel nostro ordinamento.

candidatura
Passione per la cybersecurity? Candidati per la squadra di IT & Cyber Security Governance di P4I!
Sicurezza
Cybersecurity
@RIPRODUZIONE RISERVATA

Articolo 1 di 3