Editoriale Maggio 2012

Postato in Maggio 2012

I “reati informatici” e l’accesso abusivo al sistema informatico e telematico

Cari lettori,

l’Editoriale di questo mese è dedicato ai c.d. “reati informatici” -in conseguenza di un procedimento penale di cui lo Studio si sta attualmente occupando- con particolare attenzione alla fattispecie criminosa principale, l’accesso abusivo ad un sistema informatico o telematico.

Tale argomento si pone in un’ ottica di continuità tematica con un precedente Editoriale dedicato alla nascita dei diritti nel mondo facebook, pubblicato nello scorso mese di ottobre.

Entrambi gli argomenti riguardano la risposta fornita dall’Ordinamento Giuridico alla scoperta che più di tutte ha stravolto negli ultimi quarant’anni la vita di ognuno di noi, sia dal punto di vista lavorativo che delle relazioni interpersonali, ovvero l’avvento del computer (e successivamente di internet).

A livello europeo, l’esigenza di punire i crimini informatici emerse già alla fine degli anni ’80, con l’emanazione della “Raccomandazione sulla Criminalità Informatica” 13 Settembre 1989, con cui il Consiglio d’Europa divise tali reati in due liste (una detta ”minima”, comprendente le condotte che gli Stati erano invitati a perseguire penalmente, ed una seconda “facoltativa” di condotte “solo eventualmente” da incriminare), riunite nel 1990 in un’unica lista in occasione del XV Congresso dell’Associazione Internazionale di Diritto Penale (AIDP) del 1990, ulteriormente ampliata nel settembre 1994 dal Consiglio d’Europa.

Sul piano nazionale, i crimini informatici vengono disciplinati nel 1993 con la legge n. 547 sulle “Modificazioni ed integrazioni alle norme del codice penale e del codice di procedura penale in tema di criminalità informatica”.

Con tale legge, il legislatore prende per la prima volta organicamente atto del sempre più temibile fenomeno dei computer crimes e della radicale inadeguatezza del codice penale a fronteggiare con efficacia detto fenomeno, che già alla fine degli anni ’70 e poi negli anni ’80 aveva mostrato di poter colpire tutti gli ambiti della vita economica nazionale.

Tale legge rappresenta il primo passo di un’evoluzione normativa finalizzata a disciplinare specifici settori di tutela penale (concernenti, per esempio, la riservatezza dei dati personali e delle banche dati, il diritto d’autore e le trasmissioni televisive “criptate”, la pedopornografia in internet), e dettata dalla necessità sia di dare attuazione alle direttive europee che di adeguare l’ordinamento interno a quello di molti altri Stati che già erano intervenuti in materia, esigenza tanto più pressante considerando il carattere transnazionale del crimine informatico.

Era chiaro, infatti, che l’opera di interpretazione delle norme del codice penale vigente non fosse più sufficiente ad arginare l’insorgenza di tali reati, né tollerabile in termini di violazione del divieto di analogia in malam partem e dei principi di tassatività e di legalità, che vietano di punire tutti i comportamenti non previsti dalla legge come reati.

Tuttavia, la scelta del legislatore del ’93 (in totale controtendenza rispetto ad un già allora marcato processo di decodificazione) è stata quella di “ancorare” il più possibile, sul piano sistematico, le nuove incriminazioni a quelle vecchie, mediante l’inserimento -qua e là- delle nuove disposizioni nel corpus dello stesso codice penale del ’30 nelle immediate vicinanze del reato “tradizionale”, al quale per struttura e, soprattutto, per comunanza di bene protetto, più poteva assimilarsi.

All’interno di tale intervento “a macchia di leopardo”, il reato di accesso abusivo a sistema informatico o telematico è stato inserito tra le norme sui “delitti contro la persona” e, in particolare, accanto alla figura tradizionale della violazione del domicilio (art. 614 c.p.).

Con tale disposizione, in particolare, il legislatore ha inteso punireChiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo”.

Le condotte punite da tale norma consistono:

a) nell’introdursi abusivamente in un sistema informatico o telematico protetto da misure di sicurezza: da intendersi come accesso alla conoscenza dei dati o informazioni contenuti nel sistema, effettuato sia da lontano (attività tipica dell’hacker) sia da vicino (da persona, cioè, che si trova a diretto contatto dell’elaboratore);

b) nel mantenersi nel sistema contro la volontà, espressa o tacita, di chi ha il diritto di esclusione: da intendersi come il persistere nella già avvenuta introduzione, inizialmente autorizzata o casuale, continuando ad accedere alla conoscenza dei dati nonostante il divieto, anche tacito, del titolare del sistema (ipotesi tipica è quella in cui l’accesso di un soggetto sia autorizzato per il compimento di operazioni determinate e per il relativo tempo necessario -ad esempio, l’esecuzione di uno specifico lavoro ovvero l’installazione di un nuovo programma- ed il soggetto medesimo, compiuta l’operazione espressamente consentita, si intrattenga nel sistema per la presa di conoscenza, non autorizzata, dei dati).

Emerge chiaramente come il legislatore abbia voluto punire quegli accessi ai sistemi informatici e telematici (personal computer, e-mail, siti internet ma anche reti aziendali) per i quali il gestore (rectius “dominus”) ha espresso la volontà di impedire un accesso indiscriminato, mediante la creazione di barriere protettive di accesso (ovvero password, codici e sistemi di riconoscimento), che costituiscono le mura perimetrali del c.d. “domicilio informatico”.

Tralasciando le molteplici problematiche interpretative -oggi risolte- emerse nell’immediatezza della Legge del 1993 (su tutte quelle concernenti i concetti di “sistema informatico e telematico” e “misure di sicurezza”), grande attualità riveste la problematica connessa ai casi di “accesso consentito”, ovvero posto in essere da soggetto autorizzato (si pensi ad un dipendente di un’impresa o ad un pubblico ufficiale che hanno accesso ai sistemi aziendali e a quelli statali contenenti informazioni protette).

Su tale problematica vi è stato un contrasto della giurisprudenza di legittimità e di merito, solo di recente risolto dalle Sezioni Unite della Corte di Cassazione.

Secondo un primo orientamento, la fattispecie di accesso abusivo ad un sistema informatico punisce non solo chi vi si introduca essendo privo di codice di accesso, ma anche chi, autorizzato all'accesso per una determinata finalità, utilizzi il titolo di legittimazione per una finalità diversa e, quindi, non rispetti le condizioni alle quali era subordinato l'accesso; insomma, l'utilizzazione dell'autorizzazione per uno scopo diverso è da considerarsi abusiva.

Un diverso orientamento aveva, invece, ritenuto illecito il solo accesso abusivo, mentre sempre e comunque lecito l'accesso del soggetto abilitato, ancorché effettuato per finalità estranee a quelle dell'ufficio e perfino illecite.

Le Sezioni Unite della Suprema Corte (SS.UU., 07 febbraio 2012 n. 4694), nel comporre il contrasto, hanno sottolineato che la questione riguarda soltanto il profilo oggettivo dell'accesso e del trattenimento nel sistema informatico da parte di un soggetto il quale, pertanto, non può ritenersi autorizzato, sia quando vìoli i limiti di accesso al sistema, sia nei casi in cui ponga in essere operazioni ontologicamente diverse da quelle di cui è incaricato ed in relazione alle quali l'accesso era a lui consentito.

Nel caso di specie, in particolare, la Cassazione ha confermato la condanna di un Maresciallo dei Carabinieri il quale, autorizzato all’accesso al sistema informatico denominato S.D.I. (Sistema di Indagine) soltanto per ragioni di tutela dell’ordine e della sicurezza pubblica e di prevenzione e repressione dei reati, aveva svolto indagini “personali” su alcune persone -tra cui il coniuge separato della sua convivente- impossessandosi di notizie afferenti alla vita privata e alla vicende giudiziarie degli stessi.

Altro aspetto di attualità della fattispecie criminale in esame riguarda l’identificazione dell’autore del reato in esame, in particolare nel caso in cui il sistema telematico sia costituito dalla rete internet, trattandosi di un sistema non controllato da alcuna autorità sovranazionale, che consente agli utenti assoluto anonimato, dove i dati si diffondono con rapidità elevatissima oltre i confini nazionali, e dove il gestore del sistema ha spesso sede a migliaia di chilometri di distanza dal luogo ove si trova il computer da cui l’accesso illegittimo viene effettuato.

Negli ultimi anni, tuttavia, si è assistito ad una progressiva cooperazione tra i gestori di sistema e le singole autorità nazionali attraverso lo strumento della rogatoria internazionale (art. 723 ss. c.p.c.), che permette all’autorità inquirente di acquisire materiale probatorio all’estero: si pensi, da ultimo, al caso di cronaca riguardante l’omicidio di Melania Rea, ove, a seguito di rogatoria internazionale, gli investigatori hanno chiesto ed ottenuto il testo di alcune conversazioni al gestore Facebook Inc. con sede in California.

Ciò dimostra come sia costantemente in atto una corsa continua del legislatore e della magistratura all’evoluzione informatica, che ogni giorno pone problematiche differenti a cui l’ordinamento giudiziario è chiamato a rispondere.

De jure condendo, e alla luce delle considerazioni di cui sopra, è opportuno consigliare grande attenzione a tutti coloro che utilizzano abitualmente i sistemi informatici, posto che l’introdursi nel sistema altrui, per ragioni lavorative o anche solo per diletto, e confidando in una sorta di autorizzazione tacita preventiva del titolare, può costituire reato con conseguenze gravi, non facilmente difendibili se portate a conoscenza dell’autorità giudiziaria, soprattutto nel caso in cui, trattandosi di accertamenti che avvengono -generalmente- a distanza di tempo, non si possa più contare su una fattiva cooperazione del titolare (si pensi, ad esempio, a relazioni sentimentali finite malamente od a rapporti lavorativi conclusi non amichevolmente).

Un caro saluto a tutti.

Dott. Denis Tartaglione