Il reato di accesso abusivo ad un sistema informatico o telematico è previsto dall’art. 615-ter c.p. che, a presidio della riservatezza informatica e della sicurezza dei dati di un sistema informatico o telematico, punisce chiunque si introduca in un tale sistema protetto da misure di sicurezza oppure vi si mantenga contro la volontà espressa o tacita di chi ha il diritto di escluderlo.
Benché non siano affatto la stessa cosa, il legislatore italiano censura l’accesso abusivo al sistema informatico o telematico, alla stregua della violazione di domicilio, perciò è sostanzialmente identico il trattamento sanzionatorio.
Va detto che non è necessaria una aggressione fisica al sistema informatico o telematico, tale delitto si perfeziona, infatti, quando un soggetto accede senza autorizzazione ad un qualsiasi sistema informatico o telematico, anche a distanza, o ivi si mantiene.
Gli elementi oggettivi del reato sono due:
- l’accesso al sistema, indipendentemente se sia protetto o meno da credenziali d’accesso (in tal caso l’accesso può avvenire inserendo le credenziali di accesso o aggirando le stesse);
- il contrasto della volontà dell’avente diritto, espressa o tacita (cioè desumibile dalle istruzioni impartite direttamente o indirettamente dall’avente diritto, dalle policy aziendali o dalle circostanze).
Con riguardo all’elemento soggettivo, è richiesto il dolo generico, e cioè la coscienza e volontà di introdursi o di permanere in un sistema, senza avere il consenso dell’avente diritto. Ma per la Suprema Corte è da considerarsi colpevole anche chi si introduce o permane nel sistema per finalità diverse da quelle consentite «pur non violando le prescrizioni formali impartite dal titolare».
Ed infatti le Sezioni Unite con la sentenza n. 41210/2017 hanno sul punto affermato il seguente principio di diritto: «Integra il delitto previsto dall’art. 615-ter comma 2 n. 1 c.p. la condotta del pubblico ufficiale o dell’incaricato di pubblico servizio che, pur essendo abilitato e pur non violando le prescrizioni formali impartite dal titolare di un servizio informatico o telematico protetto per delimitarne l’accesso, acceda o si mantenga nel sistema per ragioni ontologicamente estranee e comunque diverse rispetto a quelle per le quali, soltanto, la facoltà di accesso gli è attribuita».
Per questa fattispecie di reato, sono previste tre aggravanti:
- se il colpevole è un pubblico ufficiale o un incaricato di un pubblico servizio, o un investigatore privato, od operatore del sistema;
- se il colpevole usa violenza sulle cose o alle persone, ovvero se è palesemente armato;
- se viene distrutto o reso inservibile, in tutto o in parte, il sistema bersagliato ovvero i dati o i programmi ivi contenuti.
In tali ultime ipotesi aggravate il reato è procedibile d’ufficio, ma è anche punibile a querela della persona offesa.
Quanto invece al momento della consumazione reato esso coincide con l’effettiva instaurazione di un dialogo logico con l’elaboratore, in violazione della volontà del titolare del sistema, pertanto per integrare tale fattispecie di reato non basta la mera immissione delle credenziali informatiche. Va detto però, con riguardo alla condotta omissiva del “mantenimento”, invece, la consumazione del reato coincide con la scadenza del “termine” fissato per effettuare il log-out dal sistema.
Il tentativo non è ammissibile.
Secondo la giurisprudenza di legittimità, il luogo di consumazione del delitto è quello in cui si trova il soggetto agente che pone in essere la condotta di accesso abusivo, introducendosi o mantenendosi nel sistema informatico altrui. Tal tesi, sebbene da ritenersi maggioritaria, ad avviso di chi scrive non tiene conto però del fatto che la maggior parte degli accessi non autorizzati a sistemi informatici o telematici viene oggi commessa servendosi di Internet Services Provider che si trovano in luoghi diversi da quello in cui opera effettivamente il reo, rendendo così la verifica del luogo effettivo quanto mai complessa ed onerosa.
Sarebbe dunque più opportuno ritenere, a nostro sommesso avviso, che il locus commissi delicti di tale reato coincidesse invece con il luogo in cui si trova il server del sistema violato, abbandonando quindi l’idea di virtualità per quella di fisicità dell’accesso informatico. L’impostazione della S.C., infatti, incardinando la competenza territoriale presso ogni luogo in cui abbia materialmente accesso l’operatore remoto – mediante pressione del tasto “log-in” o “invio” – o si verifichi il “dialogo” fra i sistemi interconnessi, di cui il database possiede una valenza circolare o diffusa – non fa altro che determinare, in realtà, notevoli complicazioni per l’accertamento investigativo (non essendo sufficiente, di fatto, il ricorso ai criteri suppletivi ex art. 9 c.p.p.).
Per approfondire:
- Cass. pen., SS.UU., 8 settembre 2017 (ud. 18 maggio 2017), n. 41210;; - A. Cadoppi, S. Canestrari, A. Manna, M. Papa, Cybercrime, Padova, 2023; - C. Frediani, Cybercrime, Milano, 2019; - K. Mitnick, Il fantasma nella rete. La vera storia dell'hacker pi+ ricercato del mondo, Milano, 2014; - G. Ziccardi, Hacker, Venezia, 2011.
Nicola Nappi
Ultimi post di Nicola Nappi (vedi tutti)
- Parere EDPB sull’intelligenza artificiale: trattamento dei dati personali e implicazioni - Dicembre 18, 2024
- Analisi giuridica e peculiarità del reato di frode informatica - Dicembre 16, 2024
- Ruolo e responsabilità del “responsabile del trattamento” nell’ecosistema del GDPR - Dicembre 9, 2024
- La qualificazione giuridica del contratto di licenza d’uso - Dicembre 2, 2024
- Sui limiti all’utilizzabilità delle deroghe al trasferimento transfrontaliero dei dati personali - Novembre 25, 2024