L’accesso abusivo a sistema informatico: luogo di consumazione del reato – indice:
- Il caso
- La definizione
- Lo spazio virtuale
- La dimensione elettronica
- I client ed i server
- Il luogo fisico
Una pronuncia recente della Suprema Corte di Cassazione in ordine al reato di cui all’articolo 615-ter del Codice Penale, ha chiarito con un proprio intervento a Sezioni Unite, come il reato di Accesso abusivo a sistema informatico sia perfezionato non tanto nel luogo in cui sono posti i server a cui l’agente acceda abusivamente, quanto piuttosto nel luogo in cui venga posta in essere la condotta criminosa.
L’accesso abusivo a sistema informatico al vaglio della Cassazione
La sentenza in questione nell’ambito di una risoluzione di conflitto di competenze, si riferisce al caso di un accesso abusivo posto in essere ripetutamente da parte di un’impiegata infedele della Motorizzazione Civile, a danno del Ministero delle Infrastrutture e dei Trasporti, per fare delle visure al di fuori della propria attività di ufficio, in collaborazione con il gestore di un’agenzia di pratiche automobilistiche.
Nell’esame delle Sezioni Unite, è analiticamente ricostruita la fattispecie integrante suddetto reato caratterizzato dal dolo generico:
- In primo luogo l’introduzione non autorizzata in un sistema informatico che può avvenire tanto a distanza, quanto in diretto contatto con il computer a cui si effettua l’accesso.
- In secondo luogo il persistere nel rimanere in detto sistema informatico in violazione dei limiti espressi o taciti di chi è titolare del sistema informatico.
La Cassazione, ha già avuto modo nei tempi più o meno recenti di chiarire come il reato contemplato sia di condotta e non di evento, fatto salvo quanto disposto dai commi successivi al primo dell’articolo 615-ter; consiste quindi nella violazione del domicilio informatico della persona offesa, ma non è necessario vi sia un’effettiva lesione dei diritti del titolare del sistema informatico o di terzi. Ciò è chiarito nell’intervento della Corte di Cassazione con Sentenza 11689 del 2007.
La definizione di sistema informatico ai fini dell’identificazione del reato
In tale sentenza viene poi ricostruita la nozione di “sistema informatico“: si tratta di un complesso di apparecchiature volte al compimento di una qualsiasi funzione che sia utile, attraverso l’utilizzazione di tecnologia caratterizzata attraverso attività di codificazione e decodificazione, registrazione e memorizzazione, attraverso impulsi elettronici su supporti di dati. Tali apparecchiature combinate fra loro diventano poi “sistema informatico” se sono ricollegate attraverso un sistema di software che le coordina nel loro funzionamento, e se i dati oggetto del trattamento sono molteplici.
Lo spazio virtuale del sistema informatico
Premesse queste analisi meglio approfondite nella Sentenza della Corte, si viene al nodo della questione, risolvendo il conflitto fra le due contrapposte teorie: la prima basata sul luogo fisico in cui è collocato il server e l’altra sul funzionamento a distanza della rete, con l’accesso a più sistemi informatici e telematici fra di loro collegati.
Il nodo prende in esame l’articolo 8 del codice di procedura penale, che è di difficile applicazione per quanto attiene ad i reati telematici, che concernono, come già chiarito, spazi fisici e non virtuali, all’interno dei quali la comunicazione avviene attraverso lo scambio di impulsi elettronici sotto forma di bit
La dimensione elettronica per la Corte di Cassazione
La “dimensione elettronica” ad avviso della Suprema Corte, è concretamente distante dalla dimensione spaziale classica, perché, ad avviso della stessa Corte, non è possibile vi sia né coincidenza né concreta individuazione del luogo in cui i dati come impulsi elettronici vengono scambiati e circolano fisicamente. Non si può infatti dire che i dati circolino soltanto ove è posto il server o il sistema informatico. Il server, data la complessità anche solo potenziale dei vari elementi di cui si compone, non è individuabile in un solo luogo secondo criteri fisici.
Nel cyberspazio infatti, i dati, pur essendo archiviati in uno spazio fisico (il server), circolano e vengono messi a disposizione di chi li consulta. Costituiscono quindi un flusso caratterizzato dall’ubiquità e dalla diffusione dei dati stessi. Non è giusto dunque ritenere che tali dati si trovino soltanto all’interno del server a cui si accede. Le prove inerenti ai flussi di scambio, poi, non sono soltanto rinvenibili all’interno dei server ove tali dati sono conservati, ma sono anche ben rintracciabili attraverso l’analisi dell’elaboratore o della postazione attraverso la quale l’agente abbia effettuato il proprio accesso; tale elaboratore è anche definito “client” in contrapposizione al “server” cui si accede.
I cosiddetti “client” non sono solo elementi passivi del sistema informatico
È dunque respinto l’orientamento in base al quale le postazioni attraverso cui è effettuato l’accesso siano solamente strumenti passivi e non parte del sistema informatico. Il sistema informatico, infatti, nella sua integralità all’interno della quale scorre il flusso di dati scambiati, è coordinato da un software che gestisce l’integrale e corretto funzionamento della rete.
Il sofware si occupa tanto dell’archiviazione che della banca dati, della condivisione e della trasmissione ai singoli terminali di volta in volta connessi. In considerazione di ciò appare dunque illogico scomporre questo sistema unitario per individuarne il centro fisico nella base in cui sono archiviati i dati telematici. I terminali o cosiddetti “client” costituiscono dunque parte integrante e sostanziale del sistema di cui vengono a far parte, non limitandosi soltanto all’accesso alle informazioni, ma più precisamente, attraverso e per mezzo degli stessi terminali è invece possibile immettere nuovi dati, modificare quelli preesistenti, eliminarli e condividerli a loro volta.
Il luogo fisico in cui si consuma il reato
Fatte queste considerazioni è evidente il perché dell’orientamento a Sezioni Unite della Corte: l’interazione dell’umano con il sistema informatico e l’elaboratore costituisce l’apice rilevante in cui si verifica la consumazione della fattispecie prevista dall’articolo 615-ter del codice penale. L’accesso è da individuarsi quindi nella digitazione e nell’autenticazione da parte dell’utente che li effettua, mentre l’intercambio di dati costituisce soltanto un effetto di tale condotta che scaturisce dall’azione umana; la condotta abusiva dunque è integrata solo e soltanto nel luogo in cui l’agente inserisce le proprie credenziali di accesso, superando le misure di sicurezza e gli impedimenti posti dai titolari del sistema.
Sebbene i risvolti pratici di questa Sentenza, che può massimarsi con il titolo di questo articolo, siano da ritenersi, più che altro, strettamente connessi alla competenza territoriale delle corti di merito, il percorso logico affrontato dalla Suprema Corte a Sezioni Unite ha un pregio che va sicuramente oltre. Tale Sentenza rappresenta sicuramente un passo avanti della giurisprudenza nel confrontarsi non soltanto con i reati che concernono l’uso del computer e sono connotati da una virtualità: la ricostruzione e la definizione che la Corte di Cassazione dà al sistema informatico deve ritenersi una pietra miliare nell’ambito del diritto dell’informatica e più precisamente nella trasmissione di dati per via telematica, anche con riferimento alle conseguenze civilistiche e giuridiche in generale.
Accesso abusivo a sistema informatico – guida rapida
Esaminato il caso in commento, cerchiamo di condividere insieme una guida rapida al reato di accesso abusivo al sistema informatico, cominciando con la sua definizione.
L’art. 615 ter del codice penale
Chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza, ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo, è punito con la reclusione fino a tre anni.
La pena è della reclusione da uno a cinque anni:
1) se il fatto è commesso da un pubblico ufficiale o da un incaricato di un pubblico servizio, con abuso dei poteri o con violazione dei doveri inerenti alla funzione o al servizio, o da chi esercita anche abusivamente la professione di investigatore privato, o con abuso della qualità di operatore del sistema;
2) se il colpevole per commettere il fatto usa violenza sulle cose o alle persone, ovvero se è palesemente armato;
3) se dal fatto deriva la distruzione o il danneggiamento del sistema o l’interruzione totale o parziale del suo funzionamento ovvero la distruzione o il danneggiamento dei dati, delle informazioni o dei programmi in esso contenuti.
Qualora i fatti di cui ai commi primo e secondo riguardino sistemi informatici o telematici di interesse militare o relativi all’ordine pubblico o alla sicurezza pubblica o alla sanità o alla protezione civile o comunque di interesse pubblico, la pena è, rispettivamente, della reclusione da uno a cinque anni e da tre a otto anni.
Nel caso previsto dal primo comma il delitto è punibile a querela della persona offesa; negli altri casi si procede d’ufficio.
Il reato di abusivo accesso al sistema informatico
Da tale lettura è evidente che il reato è di tipo comune, potendo essere commesso da chiunque. Consiste infatti nell’introduzione in un sistema informatico, così come definito dalla Convenzione Europea di Budapest del 23 novembre 2001 come
qualsiasi apparecchiatura o gruppo di apparecchiature interconnesse o collegate, una o più delle quali, in base ad un programma, compiono l’elaborazione automatica dei dati.
Con una definizione così ampia, non possono che rientrare sia gli apparati elettronici in grado di elaborare dati, che i suoi singoli componenti, programmi, informazioni e dati.
Non solo: la definizione finisce con il ricomprendere anche i sistemi telematici, intendendo come tali un insieme di apparecchiature che consentono la trasmissione di dati a distanza, tramite linguaggio computerizzato.
Ad ogni modo, affinché si possa parlare di accesso abusivo, i sistemi devono essere protetti da misure di sicurezza, anche semplicemente una password.
Le circostanze aggravanti
L’art. 615 ter c. p. prevede quattro diverse circostanze aggravanti, ossia circostanze che consentono al giudice di aumentare la pena, sulla base di:
- ruolo dell’autore del reato: pubblico ufficiale o incaricato di un pubblico servizio, ovvero per coloro c he agiscono con abuso dei poteri o con violazione dei doveri inerenti alla funzione o al servizio, per chi esercita abusivamente la professione di investigatore privato e per chi agisce con abuso della qualità di operatore del sistema;
- gravità della condotta: se il colpevole per commettere il fatto usa violenza sulle cose o alle persone ovvero se è palesemente armato;
- danni: se dal fatto deriva la distruzione o il danneggiamento del sistema o l’interruzione totale o parziale del suo funzionamento o ancora la distruzione o il danneggiamento dei dati, delle informazioni o dei programmi in esso contenuti;
- sistema violato: se i fatti riguardano sistemi informatici o telematici di interesse militare o relativi all’ordine pubblico o alla sicurezza pubblica o alla sanità o alla protezione civile o comunque di interesse pubblico.
Procedibilità a querela
Il reato di accesso abusivo ad un sistema informatico o telematico è procedibile a querela della persona offesa, tranne le ipotesi previsti dal secondo e terzo comma, procedibili d’ufficio. Affinché il fatto possa essere perseguito penalmente, la vittima dovrà rivolgersi alla giustizia entro 3 mesi dalla scoperta del fatto.
In ogni caso, la competenza a giudicare è del tribunale monocratico, previa udienza preliminare nei casi previsti dal secondo e terzo comma.