Accesso abusivo a sistema informatico – indice
Il reato di accesso abusivo ad un sistema informatico o telematico è previsto dal nostro codice penale all’art. 615-ter. Un reato relativamente recente, introdotto con l’art. 4 della l. 23 dicembre 1993, n. 547, a disciplinare un comportamento evidentemente non preventivabile nell’originaria formulazione del codice.
Ma in che cosa consiste l’accesso abusivo ad un sistema informatico o telematico? Quali sanzioni sono state ricollegate a tale reato da parte del legislatore?
Nel codice penale
Come sempre, introduciamo innanzitutto il tenore letterale dell’articolo del codice penale cui si riferisce il reato, l’art. 615-ter, secondo cui:
Chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo, è punito con la reclusione fino a tre anni.
La pena è della reclusione da uno a cinque anni:
1) se il fatto è commesso da un pubblico ufficiale o da un incaricato di un pubblico servizio, con abuso dei poteri, o con violazione dei doveri inerenti alla funzione o al servizio, o da chi esercita anche abusivamente la professione di investigatore privato, o con abuso della qualità di operatore del sistema;
2) se il colpevole per commettere il fatto usa violenza sulle cose o alle persone, ovvero se è palesemente armato;
3) se dal fatto deriva la distruzione o il danneggiamento del sistema o l’interruzione totale o parziale del suo funzionamento, ovvero la distruzione o il danneggiamento dei dati, delle informazioni o dei programmi in esso contenuti.
Qualora i fatti di cui ai commi primo e secondo riguardino sistemi informatici o telematici di interesse militare o relativi all’ordine pubblico o alla sicurezza pubblica o alla sanità o alla protezione civile o comunque di interesse pubblico, la pena è, rispettivamente, della reclusione da uno a cinque anni e da tre a otto anni.
Nel caso previsto dal primo comma il delitto è punibile a querela della persona offesa; negli altri casi si procede d’ufficio.
Gli spunti che il testo del codice penale ci propone sono numerosi. Giova tuttavia suggellare, in questa fase introduttivo, che il legislatore con tale previsione ha voluto tutelare la libertà della persona estendendola anche all’interesse alla sicurezza dei propri sistemi informatici.
Leggi anche: Identità digitale, è sostituzione di persona creare account a nome altrui
L’oggetto di tutela
Come risulta evidente, le intenzioni del legislatore sono quelle di tutelare la riservatezza informatica e la fruizione del sistema informatico, punendo di fatto due condotte:
- l’introduzione abusiva in un sistema informatico o telematico protetto da misure di sicurezza;
- il mantenimento nel sistema informatico o telematico contro la volontà espressa o tacita di chi ha il diritto di escluderlo.
I riflessi di tale protezione giuridica sono numerosi. Tra gli interessi tutelati vi è infatti la riservatezza, i diritti di carattere patrimoniale, gli interessi pubblici, quelli di ordine pubblico e di sicurezza, e altro ancora.
È anche per questi motivi che il reato in esame risulta configurato in senso più ampio rispetto a quanto potrebbe essere suggerito da un’interpretazione ristretta.
Risulta ad esempio configurato il delitto in esame anche dalla condotta di quel soggetto che, pur abilitato ad accedere al sistema, si introduca per raccogliere dati protetti per finalità che sono estranee alle ragioni per cui possiede le credenziali di accesso, usando dunque il sistema per finalità che sono differenti da quelle consentite.
D’altra parte, il reato si consuma anche se l’utente viola il sistema informatico pur senza acquisire dati. Per sistema informatico si intende, evidentemente, un insieme di apparecchiature che sono destinate a compiere una funzione utile all’uomo, mediante il ricorso a tecnologie informatiche.
Esempio
In questo senso, risulta configurato il reato se, ad esempio:
- l’operatore sanitario è autorizzato ad accedere al sistema informatico, ma vi accede per sottrarre dati della struttura ospedaliera che non è autorizzato a prelevare;
- l’operatore sanitario non è autorizzato ad accedere al sistema informatico, e lo viola, anche senza prelevare dati privati della struttura.
Leggi anche: Frode informatica – una guida rapida
Accesso abusivo da parte di chi ha un account
A chiarire ulteriormente l’orientamento di cui sopra è stata, in tempi relativamente recenti, la Cassazione con sent. n. 14546/17.
Nell’occasione, i giudici della Suprema Corte hanno sottolineato che per poter far scattare il reato di accesso abusivo al sistema informatico non è necessario penetrare in programmi, archivi o database informatici.
In altre parole, anche chi è già abilitato all’accesso può commettere questo illecito penale, a patto che usi i dati in modo improprio o contrario alle prescrizioni impartitegli dal titolare del sistema.
Ancor prima di tale pronuncia, si era già così espressa la stessa Cassazione con la sentenza n. 4694/2012, per cui
integra la fattispecie criminosa di accesso abusivo ad un sistema informatico o telematico protetto la condotta di accesso o di mantenimento nel sistema posta in essere da soggetto che, pure essendo abilitato, violi le condizioni ed i limiti risultanti dal complesso delle prescrizioni impartite dal titolare del sistema per delimitarne oggettivamente l’accesso. Non hanno rilievo, invece, per la configurazione del reato, gli scopi e le finalità che soggettivamente hanno motivato l’ingresso al sistema.
Non hanno alcun rilievo, ai fini della configurazione del reato, gli scopi e le finalità che hanno motivato l’ingresso al sistema.
Leggi anche: Phishing: profili di responsabilità penale – una guida rapida
Le sanzioni
Il reato di cui all’art. 615-ter c.p. è pesantemente sanzionato dal legislatore, con una reclusione fino a tre anni.
Esistono tuttavia alcune specifiche ipotesi di maggiore gravità, cui viene ricollegata una pena più aspra, con reclusione da uno a cinque anni. È questo il caso in cui:
- il fatto sia commesso da un pubblico ufficiale o da un incaricato di un pubblico servizio, con abuso dei suoi poteri o con violazione dei doveri di funzione o servizio, o ancora da chi esercita abusivamente la professione di investigatore privato, o con abuso della qualità di operatore del sistema;
- il fatto sia commesso con violenza su cose o persone, o se il colpevole appare essere palesemente armato;
dal fatto deriva la distribuzione o il danneggiamento del sistema o l’interruzione totale o parziale del suo funzionamento, la distruzione o il danneggiamento dei dati, delle informazioni o dei programmi contenuti in esso.
Esiste poi un ulteriore livello di gravità, con il legislatore che precisa che “qualora i fatti di cui ai commi primo e secondo riguardino sistemi informatici o telematici di interesse militare o relativi all’ordine pubblico o alla sicurezza pubblica o alla sanità o alla protezione civile o comunque di interesse pubblico, la pena è, rispettivamente, della reclusione da uno a cinque anni e da tre a otto anni”.
Per quanto attiene la procedibilità, nei casi “ordinari” il reato è procedibile a querela della persona offesa. In tutte le altre ipotesi di maggiore gravità, il reato è procedibile d’ufficio.