Dott.ssa Valentina Frediani
Il Consulente Legale Informatico
vfrediani@consulentelegaleinformatico.it
Quando ricorre il reato di accesso abusivo ad un
sistema informatico?
Tra i reati più ricorrenti in ambito informatico vi è quello di accesso abusivo ad un sistema informatico. Tale condotta, introdotta con la legge n. 547/93, prevede la punibilità di chiunque abusivamente si introduca in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantenga contro la volontà espressa o tacita di chi ha il diritto di escluderlo (pena della reclusione fino a tre anni).
La pena è aggravata (da uno a cinque anni) nei seguenti casi: se il fatto è commesso da un pubblico ufficiale o da un incaricato di un pubblico servizio, con abuso dei poteri o con violazione dei doveri inerenti alla sua funzione o al servizio, o da chi esercita anche abusivamente la professione di investigatore privato, o con abuso della qualità di operatore del sistema; se il colpevole per commettere il fatto usa violenza sulle cose o alle persone ovvero se è palesemente armato; se dal fatto deriva la distruzione o il danneggiamento del sistema o l’interruzione totale o parziale del suo funzionamento, ovvero la distruzione o il danneggiamento dei dati, delle informazioni o dei programmi in esso contenuti. Se poi l’accesso riguardi sistemi informatici o telematici di interesse militare o relativi all’ordine pubblico o alla sicurezza pubblica o alla sanità o alla protezione civile o comunque di interesse pubblico, la pena è rispettivamente della reclusione da uno a cinque anni e da tre a otto anni.
Ma cosa intende il
legislatore per “introduzione abusiva in un sistema?”
L’accesso può dirsi abusivo
qualora sia attuato in contrasto con la normale fruizione dei diritti o con
l’esercizio di facoltà da parte dell’agente.
Quindi non sempre chi accede ad un sistema informatico
è penalmente perseguibile: ad esempio, un semplice errore nell’accesso ad un
file, non integra la fattispecie in esame, in quanto è prevista dal nostro
codice penale l’esclusione della
punibilità qualora vi sia errore
sul fatto che costituisce il reato.
Secondo taluni, comunque, per accesso deve intendersi non solo il semplice collegamento fisico (come può essere l’avvio dello schermo) ma primariamente il cosiddetto “collegamento logico” (si pensi all’accesso a distanza) ovvero il superamento della barriera di protezione al sistema, così che risulti possibile una interazione con lo stesso, qualunque essa sia.
Il legislatore cita nella norma in esame (ovvero art. 615 ter codice penale) due condotte illecite distinte consistenti nell’accesso e nel mantenimento all’interno di un sistema informatico. Tale distinzione deriva dal fatto che potremmo essere autorizzati ad entrare in un sistema, ad esempio per scrivere alcuni dati, ma potremmo anche, successivamente al compimento dell’attività per la quale siamo stati autorizzati, mantenerci indebitamente all’interno del computer compiendo attività per le quali non siamo stati esplicitamente o implicitamente autorizzati.
Secondo una recente interpretazione della norma in esame,
è da ritenersi insussistente il reato
in oggetto qualora il titolare del sistema non abbia adottato idonee forme di
protezione del sistema. Particolarmente discussa in tal senso, una pronuncia del GIP presso il Tribunale di Roma datata 2000.
Chiamato a sentenziare su di un fatto secondo cui l’imputato si sarebbe reso
colpevole del reato di cui all’art. 615 ter c.p., perché introdottosi nel sito
telematico della RAI sostituendo un file audio contenete il Radio Giornale, con
uno proprio con oggetto critiche alla Microsoft, il GIP assolveva l’imputato
per non luogo a procedere, in quanto, partendo dalla premessa che l’esistenza
di mezzi efficaci di protezione è elemento costitutivo della fattispecie di cui
all’art. 615 ter c.p., riteneva non potersi configurare detto reato non essendo
state riscontrate misure di sicurezza idonee a proteggere il sistema della RAI.
Considerazioni a parte merita la delicata figura dell’operatore di sistema, il quale accedendo
ordinariamente al sistema per lo svolgimento delle proprie funzioni, può rischiare
una imputazione per accesso abusivo qualora si trattenga o visioni dati non
pertinenti alle proprie mansioni o per scopi diversi rispetto a quelli per i
quali ha avuto accesso. La Corte di Cassazione ha difatti più volte
ribadito che l’operatore di sistema, autorizzato all’accesso per una
determinata finalità, è perseguibile penalmente qualora utilizzi il titolo di
legittimazione per una finalità differente rispetto a quella cui l’accesso era
subordinato.
In definitiva, la
punibilità dell’accesso abusivo ad un
sistema informatico altro non è che una forma di tutela di quello che può
essere definito il domicilio informatico, ovvero uno spazio ideale o fisico (si
pensi materialmente ai componenti) di pertinenza di una persona, la quale ha
diritto – come per la sera individuale – di veder tutelato anche lo spazio
informatico.
Dott.ssa Valentina Frediani