la difesa

Digital Crime. Come difendersi dalla contestazione di accesso abusivo ad un sistema informatico

Al fine di adottare la strategia difensiva idonea è opportuno verificare quali elementi della fattispecie possano essere messi in discussione nei reati di accesso abusivo ad un sistema informatico o telematico.

di Paolo Galdieri, Avvocato, Docente di Informatica giuridica, LUISS di Roma |

La rubrica Digital Crime, a cura di Paolo Galdieri, Avvocato e Docente di Informatica giuridica, alla LUISS di Roma, si occupa del cybercrime dal punto di vista normativo e legale. Clicca qui per leggere tutti i contributi.

Questo articolo fa parte di una serie di scritti su come difendersi nel processo rispetto alle contestazioni di determinati crimini digitali. Per consultare tutti gli articoli dedicati al tema clicca qui.

 

Il delitto di accesso abusivo ad un sistema informatico o telematico ( art.615 –  ter c.p. ) si realizza, nell’ipotesi base, procedibile a querela, in due distinte ipotesi: quando il soggetto abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza; quando il soggetto, seppur autorizzato ad accedere, vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo.

 

Al fine di adottare la strategia difensiva idonea è opportuno verificare quali elementi della fattispecie possano essere messi in discussione.

 

Per quanto concerne la prima delle due condotte, l’intrusione senza autorizzazione, una  valutazione riguarda l’oggetto dell’accesso ovvero il sistema. Per l’art.1  della Convenzione Europea di Budapest sistema informatico è “qualsiasi apparecchiatura o gruppi di apparecchiature interconnesse  o collegate, una o più delle quali, in base ad un programma, compiono l’elaborazione automatica dei dati”, definizione questa già fornita in passato dalla giurisprudenza (Cass., Sez. VI, sent. n.3067/99).

Banner Tiesse

 

Rientrerebbero, quindi, nell’accezione di sistema: le carte di pagamento, trattandosi di strumenti idonei a trasmettere dati elettronici nel momento in cui si connettono all’apparecchiatura POS(Cass., Sez. F, sent. 43755/2012); la telefonia digitale (Cass., Sez. VI, sent. n. 3067/99); la televisione satellitare (Cass., Sez. V, sent. n.4389/98, in senso contrario Richiesta di archiviazione del 18 marzo 2002, Procura presso Tribunale di Crotone, P.M. Toriello);  la casella di posta elettronica (Cass., Sez. V, sent.13057/2016); i sistemi di trattamento delle informazioni che sfruttano l’architettura di rete denominata clientserver, nella quale un computer o terminale (i1 client) si connette tramite rete ad un elaboratore centrale(il server) per la condivisione di risorse o informazioni, che possono essere rese disponibili a distanza anche ad altri utenti (Cass., Sezioni Unite, sent. n.17325/15).

 

Poiché la disposizione non tutela il sistema inteso quale mezzo per svolgere una qualsiasi attività, bensì quale luogo “ virtuale” all’interno del quale il titolare manifesta la sua personalità, si potrà contestare l’operatività della disposizione ogni qualvolta l’intrusione non abbia comportato un’ingerenza domiciliare o sia riferita a sistemi che si limitano ad offrire uno specifico servizio. Tendenzialmente da escludere la sussistenza del reato nelle ipotesi di utilizzo del sistema altrui per svolgere esclusivamente attività esterne, es. collegamenti ad Internet e  nel caso  di inserimento di una smart card pirata nel sistema televisivo satellitare.

 

Occorre poi verificare se il sistema sia protetto da misure di sicurezza, condizione imprescindibile per la sussistenza del delitto. Secondo  un orientamento consolidato assumerebbero rilevanza non solo le protezioni interne al sistema informatico, come le chiavi d’accesso, ma anche le protezioni esterne, come la custodia degli impianti. Non si tratterebbe,infatti, secondo tale impostazione, di un illecito caratterizzato dall’effrazione dei sistemi protettivi, ma dalla contravvenzione alle disposizioni del titolare. Ne conseguirebbe  che, ai fini della configurabilità del delitto, assumerebbe  rilevanza qualsiasi meccanismo di selezione dei soggetti abilitati all’accesso al sistema informatico, anche quando si tratti di strumenti esterni al sistema e meramente organizzativi, in quanto destinati  a regolare l’ingresso stesso nei locali in cui gli impianti sono custoditi(Cass., Sez. V, sent. n.1675/2000). Per altra impostazione, minoritaria, le misure di sicurezza rilevanti ai fini dell’applicazione della norma dovrebbero consistere in efficaci mezzi di protezione (Tribunale di Roma, Gip Landi, sentenza del 4 aprile 2000). Sempre riguardo a tale tema si è sottolineato come il reato di accesso abusivo postuli che  l’agente, per accedere, abbia in qualche modo neutralizzato le misure predisposte. Non avrebbe, quindi,  rilevanza penale, almeno rispetto all’art.615-ter,  la condotta di chi ,successivamente a detta neutralizzazione posta in essere da altri al di fuori anche di ipotesi di concorso, ne approfitti avvalendosi soltanto degli strumenti e dei dati di cui sia legittimamente in possesso(Cass., Sez.V, sent. n.6459/2007).

 

Sul piano difensivo si potrebbe allora contestare l’operatività dell’art.615 – ter , oltre che dimostrando l’assenza di misure di sicurezza, quando le stesse, pur presenti, non siano idonee a manifestare all’esterno la volontà di esclusione del titolare, perché in quel momento disattivate o totalmente inefficaci.

 

Per quanto concerne la seconda condotta punibile, ovvero quella di colui che pur autorizzato ad accedere nel sistema vi si mantiene contro la volontà del titolare, oltre a quanto già detto, occorre verificare l’effettiva condotta tenuta dal soggetto agente. Secondo orientamento dominante il reato sussisterebbe solo allorquando siano violate le condizioni ed i limiti risultanti dal complesso delle prescrizioni impartite dal titolare del sistema per delimitarne oggettivamente l’accesso.

 

Non avrebbero, invece, rilievo, gli scopi e le finalità che soggettivamente hanno motivato l’ingresso al sistema (Cass., Sezioni Unite, sent. n.4694/2012). Ci si confronti anche, tuttavia, con l’ultimo orientamento secondo il quale “ integra il delitto previsto dall’art.615-ter, secondo comma, n.1,c.p. la condotta del pubblico ufficiale o dell’incaricato di un pubblico servizio che, pur essendo abilitato e pur non violando le prescrizioni formali impartite dal titolare di un sistema informatico o telematico protetto per delimitarne l’accesso, acceda o si mantenga nel sistema per ragioni estranee e comunque diverse rispetto  quelle per le quali , soltanto, la facoltà di accesso gli è attribuita”(Cass., Sezioni Unite, n.41210/17).

 

Rispetto a tale ipotesi,  sul piano difensivo si può tentare di dimostrare che la condotta non era contraria alle prescrizioni impartite, ad esempio rilevando che in casi analoghi lo stesso titolare non aveva mai preso provvedimenti o evidenziando che non sono scattati i meccanismi di controllo, allert, predisposti proprio per segnalare il mancato  rispetto delle prescrizioni.

 

Validi argomenti difensivi possono essere svolti, in relazione ad entrambe le ipotesi delittuose,  attraverso una riflessione  sul bene giuridico protetto dall’art. 615 –ter c.p., poiché da ciò dipende l’individuazione del titolare dello ius escludendi, l’abusività della condotta e la stessa legittimazione a sporgere querela.

 

Seguendo un’ impostazione sistematica, bene giuridico dovrebbe essere il domicilio informatico, da intendersi quale bene identico a quello comune, differente solo per la componente tecnologica, il sistema al posto dell’abitazione o privata dimora. Conseguentemente: titolare dello ius esludendi sarebbe il soggetto al quale è assegnato lo spazio virtuale;  abusivo l’accesso realizzato contro la sua volontà; esclusivamente suo il diritto di sporgere querela. Prendendo ad esempio un rapporto di lavoro, nell’ipotesi di aerea del sistema riservata ad un dipendente, quest’ultimo sarebbe il titolare dello ius escludendi, abusiva la condotta del datore di lavoro che entra  senza autorizzazione e sempre e solo il dipendente legittimato a sporgere querela.

 

Aderendo ad altro orientamento che, pur riconoscendo quale bene giuridico il domicilio informatico, intende lo stesso come interesse differente dal domicilio comune, titolare dello ius escludendi, sarebbe esclusivamente, o anche, il soggetto che vanta interessi e diritti sul sistema Rimanendo all’esempio, si potrebbe immaginare una titolarità dello ius escludendi, e quindi una legittimazione a sporgere querela in capo anche o addirittura in via esclusiva al datore di lavoro.

 

La possibilità di sostenere entrambe le tesi deriva dall’incertezza giurisprudenziale nel definire gli esatti contorni del domicilio informatico, essendosi riconosciuto come il parallelo con il domicilio reale sia imperfetto, in quanto la fattispecie offre una tutela anticipata ad una pluralità di beni giuridici ed interessi eterogenei e non si limita a preservare solamente i contenuti dei dati raccolti, ma ne offre una protezione da qualsiasi tipo di intrusione che possa avere anche ricadute economico-patrimoniali(Cass.,Sezioni Unite, sent. n.17325/15).

 

Quando viene contestata l’aggravante dell’ aver agito con abuso della qualità di operatore di sistema (art.615-ter c.p., comma 2, n.1) può essere di fondamentale importanza farla cadere non solo ai fini della pena, ma, qualora non vi sia querela, ai fini della procedibilità. Se infatti si riuscisse a dimostrare che il soggetto agente non è un operatore di sistema, il delitto sarebbe perseguibile a querela e, quindi, in caso di mancanza della stessa, si giungerebbe ad un proscioglimento per mancanza della condizione di procedibilità.

 

In assenza di indicazioni nella norma su chi debba considerarsi operatore di sistema, si potrebbe validamente sostenere che sia da considerare tale sia il soggetto che ha specifiche competenze informatiche, sia colui che per motivi di lavoro (anche un semplice dipendente senza qualifiche tecniche), ha maggiori facilità di accesso alle risorse ivi contenute ( Tribunale di Milano, Sez.II,  28 settembre 2007).

© 2002-2018 Key4biz

Instant SSL