CYBER SECURITY

Digital Crime. Accesso abusivo nel sistema informatico: l’azienda, vittima o carnefice?

di Paolo Galdieri, Avvocato, Docente di Informatica giuridica, LUISS di Roma |

La norma punisce tanto colui che si introduce senza alcun permesso, quanto il soggetto che, pur autorizzato, vada oltre i limiti consentiti.

La norma che punisce l’accesso abusivo all’interno dei sistemi informatici e telematici, art. 615 ter c.p., è probabilmente quella sottoposta a maggior approfondimento da parte della giurisprudenza chiamata ad occuparsi dei reati informatici. Si è a tal riguardo chiarito che la disposizione in parola tutela il cd. domicilio informatico (Cass. Pen. Sez. V n. 9002/00; Cass. Pen. Sez. VI n. 3067/99), che si riferisce esclusivamente ai sistemi protetti da misure di sicurezza (Cass. Pen. Sez. V n. 37322/08; Cass. Pen. Sez. V n. 9002/00), che per tali si intendono quelle misure, fisiche, logiche o organizzative idonee a manifestare una volontà di esclusione(Cass. Pen. Sez. V n. 9002/00).

Si è altresì sottolineato che la norma punisce tanto colui che si introduce senza alcuna permesso, quanto il soggetto che, pur autorizzato, vada oltre i limiti consentiti. A tal riguardo la Suprema Corte di Cassazione, a Sezioni Unite, ha precisato che integra il reato di accesso abusivo “la condotta di accesso o mantenimento nel sistema posta in essere da un soggetto che, pur essendo abilitato, violi le condizioni ed i limiti risultanti dal complesso delle prescrizioni impartite dal titolare del sistema per delimitarne oggettivamente l’accesso. Non hanno rilievo invece per la configurazione del reato gli scopi e le finalità che soggettivamente hanno motivato l’ingresso al sistema” (sent. n. 4694/012).

La rubrica #DigitalCrime, a cura di Paolo Galdieri, Avvocato e Docente di Informatica giuridica, alla LUISS di Roma, si occupa del cybercrime dal punto di vista normativo e legale.
Clicca qui per leggere tutti i contributi.

Questione delicata, che verrà risolta a breve dalle Sezioni Unite, chiamate a pronunciarsi sul punto, è quella della competenza territoriale, problema che si è posto considerato che parte della giurisprudenza ritiene rilevante il momento dell’accesso dal  proprio sistema, reputando  luogo del commesso reato quello dove lo stesso fisicamente si trova, mentre altra individua quale momento consumativo quello in cui si  entra nel server ove sono collocate le informazioni.

Benché tante siano le questioni risolte, o in via di soluzione, non pare, invece, essere stata approfondita a sufficienza quella relativa al titolare del bene protetto dalla norma e precisamente non sono ancora chiari  i criteri da utilizzare per stabilire chi sia il titolare dello ius excludendi e quindi il soggetto legittimato a sporgere querela. È evidente che, nell’ipotesi di un uso esclusivo del sistema, il titolare dello ius excludendi, e quindi il legittimato a sporgere querela, sia sicuramente l’unico e solo detentore.

Problemi interpretativi sorgono quando si ha a che fare con un sistema aziendale assegnato ad un dipendente a cui viene fornita apposita ed esclusiva password per l’accesso. In tal caso chi è il titolare protetto dalla norma? L’azienda, il dipendente o entrambi? L’accesso sarà abusivo quando si penetrerà contro la volontà del dipendente o del datore di lavoro? E se,  ad esempio,  il titolare dell’azienda decidesse di entrare nel sistema assegnato al proprio sottoposto potrebbe rispondere di accesso abusivo?

Si tratta di domande apparentemente banali le cui risposte, tuttavia, presuppongono opzioni interpretative estremamente complesse. Se infatti si considera come bene protetto il domicilio informatico, alla stregua del domicilio comune, si dovrebbe ritenere che il titolare dello ius excludendi, legittimato a sporgere querela, sia solo il dipendente, in quanto titolare dello spazio virtuale a lui assegnato. E ciò perché sia in ambito penale che costituzionale , ciò che si intende tutelare è, da un lato , l’inviolabilità di un luogo, proprio perché scelto dal soggetto quale sede di interessi di varia natura (a carattere materiale, morale, economico, affettivo,ecc.), dall’altro il complesso di interessi che, confluendo in quell’ambito spaziale, attribuiscono allo stesso rilevanza giuridica.

Si pensi a tal riguardo a quella giurisprudenza che ritiene configurabile la violazione di domicilio in capo al proprietario di un appartamento che entra senza autorizzazione nella stanza concessa alla domestica.

Se si configurasse la tutela in termini proprietari, e quindi in un’ottica diversa da quella della tutela del domicilio comune, il diritto di esclusione e la legittimazione a sporgere querela spetterebbe all’azienda, in quanto titolare degli impianti violati. Altra soluzione, anche questa, tuttavia, ben lontana dal concetto di domicilio comune, sarebbe quella di considerare beneficiario della protezione giuridica il titolare dei dati contenuti nel sistema (vedi Cass. Pen. Sez. III n. 35731/010 secondo cui la norma tutela oltre che al domicilio informatico anche la riservatezza dei dati personali). Tale soluzione interpretativa sembra però difficile da accettare considerato che la norma punisce l’intrusione senza far riferimento alcuno alle informazioni presenti nel sistema ed a prescindere dalla loro apprensione ed utilizzo.

Entrambe le tesi, poi, non tengono conto dell’inserimento  della norma nella parte del  codice penale riservata alla tutela del domicilio e della volontà espressa dal legislatore  secondo cui  tale disposizione  troverebbe collocazione tra i reati contro l’inviolabilità del domicilio” perché i sistemi informatici o telematici, la cui violazione essa reprime, costituiscono un’espansione ideale dell’area di rispetto pertinente al soggetto interessato, garantito dall’art.14 della Costituzione e penalmente tutelata nei suoi aspetti più essenziali e tradizionali agli artt.614 e 615 c.p.“

Ciò detto è comunque da auspicare una presa di posizione della giurisprudenza ed eventualmente un nuovo intervento legislativo  per dirimere qualsiasi dubbio in proposito e per evitare decisioni eterogenee che certo non contribuirebbero ad indirizzare verso la strada, spesso smarrita, della “certezza del diritto”.