Il portale della previdenza dei professionisti

logo-old.png
jfw_prefett_500x64_small.gif
Home arrow Ricerca Giuridica arrow accesso abusivo a sistema informatico o telematico - 615 ter cp
accesso abusivo a sistema informatico o telematico - 615 ter cp

L'accesso abusivo a sistema informatico e telematico, inquadramento giuridico e questioni giurisprudenziali - i chiarimenti delle Sezioni Unite in ordine alla nozione di accesso abusivo

 

Approfondimento a cura di

 

Caterina Panzarino

 

Magistrato presso la Corte di Appello di Roma

 

L’art. 615ter disciplina l’accesso abusivo a sistema informatico o telematico e tutela l’interesse alla riservatezza delle comunicazioni e delle informazioni.

La norma dispone che

chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo è punito con la reclusione fino a tre anni.

La pena è della reclusione da uno a cinque anni:

1.        Se il fatto è commesso da un pubblico ufficiale o da un incaricato di pubblico servizio, con abuso dei poteri o con violazione dei doveri inerenti alla funzione o al servizio, o da chi esercita anche abusivamente la professione di investigatore privato o con abuso della qualità di operatore del sistema;

2.        Se il colpevole per commettere il fatto usa violenza sulle cose o alle persone ovvero se è palesemente armato;

3.        Se dal fatto deriva la distruzione o il danneggiamento del sistema o l’interruzione totale o parziale del suo funzionamento, ovvero la distruzione o il danneggiamento dei dati, delle informazioni o dei programmi in esso contenuti.

Qualora i fatti di cui ai commi primo e secondo riguardino sistemi informatici o telematici di interesse militare o relativi all’ordine pubblico o alla sicurezza pubblica o alla sanità o alla protezione civile o comunque di interesse pubblico, la pena è rispettivamente, della reclusione da uno a cinque anni e da tre a otto anni.

Nel caso previsto dal primo comma il delitto è punibile a querela della persona offesa; negli altri casi si procede d’ufficio

Si tratta di un reato comune che può essere, dunque, compiuto da chiunque. La condotta è a forma libera e si sostanzia nel’introdursi in un sistema informatico o telematico protetto da misure di sicurezza o nel mantenervisi contro la volontà, espressa o tacita, di chi ha il diritto di escluderlo.

Il sistema informatico è costituito da un complesso di apparecchiature destinate a compiere una qualsiasi funzione utile all’uomo, attraverso l’utilizzazione anche parziale di tecnologie informatiche. Il sistema telematico è, invece, uno strumento di gestione a distanza di sistemi informatici mediante l’impiego di reti di telecomunicazione.

Per quel che concerne l’elemento soggettivo si tratta di una fattispecie a dolo generico connotato dalla coscienza e volontà di introdursi o mantenersi in un sistema informatico o telematico contro la volontà di chi ha diritto di escluderlo.

La norma richiede, per la configurazione del reato, che l’accesso avvenga ad un sistema protetto da misure di sicurezza. La giurisprudenza si è interrogata su tale nozione ed ha elaborato una serie di indici concreti utili per verificare l’abusività dell’accesso.

In particolare

  1. La qualificazione di abusività va intesa in senso oggettivo, con riferimento al momento dell'accesso ed alle modalità utilizzate dall'autore per neutralizzare e superare le misure di sicurezza (chiavi fisiche o elettroniche, password, ecc.) apprestate dal titolare dello ius excludendii, al fine di selezionare gli ammessi al sistema ed impedire accessi indiscriminati. Il reato è integrato dall'accesso non autorizzato nel sistema informatico, ciò che di per sé mette a rischio la riservatezza del domicilio informatico, indipendentemente dallo scopo che si propone l'autore dell'accesso abusivo.”Cass. Pen., sez VI, 8 ottobre 2008 n. 39290.
  2. Per la sussistenza del delitto di accesso abusivo ad un sistema informatico o telematico è necessario e sufficiente che il sistema sul quale sono appoggiati i dati, dalla cui conoscenza si vuole escludere i terzi, abbia una qualsiasi forma di protezione, anche di livello basso quale una "password"”Trib. Milano 28 settembre 2007, sez II.
  3. Ai fini della configurabilità dei reato di cui all'art. 615ter c.p. (accesso abusivo ad un sistema informatico o telematico), per la quale si richiede che il sistema sia "protetto da misure di sicurezza ", non occorre che tali misure siano costituite da "chiavi di accesso" o altre analoghe protezioni interne assumendo invece rilevanza qualsiasi meccanismo di selezione dei soggetti abilitati all'accesso, anche quando si tratti di strumenti esterni al sistema e meramente organizzativi, in quanto destinati a regolare l'ingresso stesso nei locali in cui gli impianti sono custoditi. Pertanto, è da considerare responsabile del reato in questione chi acceda senza titolo ad una banca dati privata contenente i dati contabili di un'azienda essendo in una tale ipotesi indubitabile, pur in assenza di meccanismi di protezione informatica, la volontà dell'avente diritto di escludere gli estranei. E ciò senza che possa assumere rilievo in contrario, il fatto che nella gestione, del sistema non siano stati adottati, da parte del titolare, le misure minime di sicurezza nel trattamento dei dati personali previste dal regolamento emanato ai sensi dell'art. 15 l. 31 dicembre 1996 n. 675 e si renda quindi configurabile, a carico dello stesso titolare, il reato di cui all'art. 36 di detta legge” Cass. Pen., sez V, 7 novembre 2000 n. 12732.
  4. Il reato di “accesso abusivo ad un sistema informatico o telematico» sussiste ogni volta che vengano sorpassati gli ostacoli che presiedono l'accesso al sistema, senza presupporre necessariamente che il reo sia in grado di poter richiamare e disporre dei dati e dei programmi contenuti nel computer violato, dovendosi, in questo caso, apprezzare la natura, le finalità e le modalità della condotta, con lo scopo di raggirare lo jus prohibendi dei titolari.” Trib. Bologna 21 luglio 2005.

 

La norma in esame è stata protagonista di un vivace dibattito giurisprudenziale di recente oggetto di attenzione da parte dalle SS UU della Corte di Cassazione. Ci si chiedeva se potesse o meno integrare l’art. 615ter , la condotta del soggetto,  abilitato ad accedere ad un sistema informatico o telematico,  che vi si introducesse o vi si mantenesse per scopi o finalità estranee a quelle per le quali tale facoltà gli era stata concessa.

Prima di procedere all’esame della pronuncia SSUU (7 febbraio 2012 n. 4694 che come anticipato ha dato risposta al quesito in esame) occorre dar conto dello sviluppo della giurisprudenza sul tema, con particolare riferimento a due diversi orientamenti.

Sulla base di un primo approccio, l’art. 615ter trova applicazione anche quando il soggetto, pur abilitato all’accesso ad un sistema informatico o telematico, vi si introduca con la password di servizio per raccogliere dati protetti con la volontà di perseguire finalità estranee rispetto a quelle per le quali è autorizzato e, dunque, utilizzando il sistema per scopi diversi rispetto a quelli per i quali lo stesso è stato costituito.

Secondo tale interpretazione, la norma in esame sanzionerebbe non soltanto l’abusiva introduzione nel sistema, ma anche la permanenza abusiva nello stesso, contro la volontà di chi ha il diritto di escluderla quando tale permanenza sia volta al perseguimento di finalità diverse da quelle per le quali l’accesso è consentito e le chiavi  di accesso sono state consegnate. Tale affermazione viene suffragata, richiamando l’art. 614 c.p.  (violazione di domicilio) e  sostenendo  che entrambe ( art. 614 – art. 615ter c.p.) sono caratterizzate  dalla manifestazione di una volontà contraria rispetto a quella anche tacita di chi ha il diritto di escludere l’accesso, di ammetterlo o di consentire la permanenza. In particolare, quando il titolo di accesso viene utilizzato per finalità diverse rispetto a quelle per le quali è stato conferito si deve concludere che la permanenza avvenga contro la volontà del titolare del diritto di esclusione. Dunque la norma trova applicazione anche quando un soggetto sia entrato legittimamente in un sistema, ma operi servendosi di esso, al di fuori dei limiti consentitigli e fissati dal titolare.

In particolare, si vedano le seguenti pronunce:

  1. Integra la fattispecie criminosa di accesso abusivo ad un sistema informatico o telematico protetto, prevista dall'art. 615 ter  c.p., la condotta di accesso o di mantenimento nel sistema posta in essere da soggetto, che pur essendo abilitato, violi le condizioni ed i limiti risultanti dal complesso delle prescrizioni impartite dal titolare del sistema per delimitarne oggettivamente l'accesso. Non hanno rilievo, invece, per la configurazione del reato, gli scopi e le finalità che soggettivamente hanno motivato l'ingresso nel sistema (annullata, nella specie, l'ordinanza che aveva disposto la custodia cautelare dei due indagati, accusati di accessi abusivi al sistema informatico per il rilascio di codici fiscali fittizi e da false certificazioni. I due soggetti si erano limitati ad accedere al sistema attraverso l'utilizzo di una password, in loro legittimo possesso, giacché fornita dal titolare del servizio, nonché ad effettuare delle attività (rilascio di codici fiscali) cui erano stati preposti dal titolare stesso)”. Cass. Pen. 22 febbraio 2012, sez V,  n.15054.

                                                                                                     

  1. Integra il delitto previsto dall'art. 615 ter c.p. non solo la condotta di colui che si introduca abusivamente in un sistema informatico protetto, ma altresì quella di chi, pur autorizzato ad accedervi, vi si trattenga, contro la volontà espressa o tacita di chi abbia il diritto di escluderlo, per finalità diverse da quelle per le quali era stato abilitato”. Cass Pen, sez IV 18 gennaio 2011 n. 24583.

 

  1. “Integra il reato di accesso abusivo ad un sistema informatico o telematico (art. 615 ter c.p.) il pubblico ufficiale che, pur avendo titolo e formale legittimazione per accedere al sistema, vi si introduca su altrui istigazione criminosa nel contesto di un accordo di corruzione propria; in tal caso l'accesso del pubblico ufficiale - che, in seno ad un reato plurisoggettivo finalizzato alla commissione di atti contrari ai doveri d'ufficio (art. 319 c.p., diventi la "longa manus" del promotore del disegno delittuoso - è in sé abusivo e integrativo della fattispecie incriminatrice di cui all'art. 615 ter c.p., in quanto effettuato al di fuori dei compiti d'ufficio e preordinato all'adempimento dell'illecito accordo con il terzo, indipendentemente dalla permanenza nel sistema contro la volontà di chi ha il diritto di escluderlo”. Cass Pen 16 febbraio 2010 n. 19463.
  2. Integra il delitto previsto dall'art. 615 ter cod. pen. colui che, pur essendo abilitato, acceda o si mantenga in un sistema informatico o telematico protetto violando le condizioni ed i limiti risultanti dal complesso delle prescrizioni impartite dal titolare del sistema per delimitarne oggettivamente l'accesso, rimanendo invece irrilevanti, ai fini della sussistenza del reato, gli scopi e le finalità che abbiano soggettivamente motivato l'ingresso nel sistema”. Cass. Pen. 27 ottobre 2011 n. 4694

 

Sulla base di  opposto orientamento, invece, è esclusa la configurabilità dell’art. 615ter, nel caso in cui un soggetto abilitato ad accedere al sistema se ne avvalga per finalità diverse da quelle per le quali tale possibilità gli è stata attribuita, ferma restando la responsabilità per gli eventuali ulteriori illeciti commessi. In particolare, si sostiene che la verifica circa l’esistenza della volontà contraria dell’avente diritto deve essere effettuata esclusivamente con riferimento alla condotta dell’agente ed al risultato conseguito con l’accesso al sistema informatico e con il permanere al suo interno, non certamente con riferimento alla fase successiva, afferente l’uso illecito di dati. Infatti, l’espressione abusivamente si introduce potrebbe dar luogo ad eccessive dilatazioni applicative della norma ove non venisse interpretata come accesso non autorizzato.

 

In particolare:

 

Non commette il reato di accesso abusivo ad un sistema informatico o telematico il funzionario dell'Agenzia delle entrate che, autorizzato ad accedere al sistema informatico dell'anagrafe tributaria, lo abbia utilizzato al fine di conoscere, per mera curiosità, i dati fiscali di un personaggio pubblico al quale era applicabile la disciplina volta ad assicurare la trasparenza della situazione patrimoniale dei titolari di cariche elettive”. Corte Appello Venezia, 10 marzo 2009.

 

Non commette il reato di accesso abusivo a un sistema informatico (art. 615 ter c.p.) il soggetto che, avendo titolo per accedere al sistema informatico, se ne sia avvalso sia pure per finalità illecite, fermo restando che egli dovrà comunque rispondere dei diversi reati che risultino eventualmente configurabili, ove le suddette finalità venissero poi effettivamente realizzate. (Fattispecie nella quale la Corte ha ritenuto correttamente ravvisato il diverso reato di cui all'art. 326 c.p. a carico di un cancelliere che, legittimato ad accedere al sistema informatico dell'amministrazione giudiziaria, lo aveva fatto allo scopo di acquisire notizie riservate, che aveva poi indebitamente rivelato a terzi)”.Cass. Pen., 13.10.2010 n. 38667

 

Non commette il reato di cui all'art. 615-ter (accesso abusivo ad un sistema informatico o telematico) il soggetto il quale, avendo titolo per accedere al sistema, se ne avvalga, sia pure per finalità illecite, fermo restando che egli dovrà comunque rispondere dei diversi reati che risultino eventualmente configurabili, ove le suddette finalità vengano poi effettivamente realizzate. (Nella specie, in applicazione di tale principio, la Corte ha escluso che dovesse rispondere del reato in questione un funzionario di cancelleria il quale, legittimato in forza della sua qualifica ad accedere al sistema informatico dell'amministrazione giudiziaria, lo aveva fatto allo scopo di acquisire notizie riservate che aveva poi indebitamente rivelato a terzi con i quali era in previo accordo; condotta, questa, ritenuta integratrice del solo reato di rivelazione di segreto d'ufficio, previsto dall'art. 326 c.p.)”. Cass. Pen., 29 maggio 2008 n. 26797.

 

Occorre a questo punto esaminare la sentenza delle SS UU con la quale è stato composto il contrasto. Si tratta della pronuncia depositata in data 7.2.2012 n. 4694.

 

Le SS UU partono individuando in via concreta la questione da risolvere, ossia si chiedono se sia in grado di integrare la fattispecie prevista dall’art. 615ter la condotta “di accesso o di mantenimento nel sistema posta in essere da soggetto abilitato ma per scopi o finalità estranee a quelli per i quali la facoltà di accesso gli è stata attribuita” per poi procedere a ricostruire con precisione i termini del contrasto giurisprudenziale intervenuto tra le sezioni semplici.

 

La Corte precisa che la norma in esame punisce due condotte:

 

  1. l’introdursi abusivamente in un sistema informatico o telematico protetto da misure di sicurezza sia da lontano (hacker), sia da vicino (soggetto che si trova nella diretta disponibilità del’elaboratore);
  2. il mantenersi nel sistema contro la volontà di chi ha il diritto di esclusione (tale ipotesi va intesa come il permanere nel sistema dopo una introduzione inizialmente “autorizzata o casuale”, accedendo ai dati ivi contenuti nonostante il divieto del titolare del sistema. (La corte indica come esempio l’ipotesi dell’accesso da parte di un soggetto che sia autorizzato  a restare nel sistema per il compimento di determinate operazioni e per il tempo per le stesse necessario, il quale terminata l’attività consentita si intrattenga ulteriormente nel sistema e acceda a dati in via non autorizzata).

 

Le SS UU procedono poi ad esaminare i due contrastanti orientamenti giurisprudenziali, ricordando sempre che il problema concreto da risolvere si incentra sulla possibilità di applicazione dell’art. 615ter nell’ipotesi in cui un soggetto legittimamente ammesso ad accedere a quel sistema, vi operi tuttavia per il perseguimento di finalità illecite.

 

La Corte ricorda che, secondo un primo orientamento, il 615ter comma 1 può essere integrato anche nell’ipotesi in cui un soggetto, seppure abilitato ad accedere al sistema informatico o telematico vi si introduca con la password di servizio per raccogliere informazioni e dati protetti e lo faccia per finalità diverse da quelle per le quali  l’accesso gli è consentito

 

Tale impostazione si fonda sull’assunto che la norma in esame stigmatizza non solo l’accesso abusivo al sistema (accesso senza titolo di legittimazione), ma anche la permanenza abusiva nello stesso intesa come permanenza contro la volontà espressa o tacita di chi ha il diritto di escluderla. Tale volontà deve intendersi come tacitamente ed implicitamente contraria,  nel momento in cui venga perseguita una finalità illecita incompatibile con le motivazioni per le quali l’autorizzazione all’accesso è stata concessa.

 

La conclusione in esame viene fatta discendere in primo luogo dalla analogia del 615ter con la fattispecie della violazione di domicilio sulla base del fatto che le due norme richiedono una volontà contraria da parte del titolare del diritto di esclusione o di consentire la permanenza.

 

In particolare sulla base di tale orientamento “Se il titolo di legittimazione all'accesso viene utilizzato dall'agente per finalità diverse da quelle consentite, dovrebbe ritenersi che la permanenza nel sistema informatico avvenga contro la volontà dei titolare del diritto di esclusione. Pertanto commette reato anche chi, dopo essere; entrato legittimamente in un sistema, continui ad operare o a servirsi di esso oltre i limiti prefissati dal titolare; in tale Ipotesi ciò che si punisce è l'uso dell'elaboratore avvenuto con modalità non consentite, più che l'accesso ad esso.”

(cfr  Cass Pen 07/11/2000  n. 12732 , Cass Pen  08/07/2008, n. 37322; Cass. Pen. 13/02/2009 n. 13006,  Cass. Pen 16/02/2010 n. 19463, Cass. Pen..

 

Secondo opposto orientamento, ricordano le SSUU è assolutamente escluso che l’art. 615ter c.p. possa essere integrato nell’ipotesi in cui un soggetto avendo titolo per accedere al sistema se ne avvalga per finalità diverse rispetto a quelle per le quali il titolo è stato conferito, ferma poi la possibilità di essere perseguito per i reati diversi eventualmente configurabili ove le suddette finalità vengano realizzate.

 

Tale impostazione si basa sull’assunto che “la sussistenza della volontà contraria dell'avente diritto, cui fa riferimento la norma incriminatrice, deve essere verificata esclusivamente con riguardo al risultato immediato della condotta posta in essere dall'agente con l'accesso al sistema informatico e con il mantenersi al suo interno, e non con riferimento a fatti successivi (l'uso illecito dei dati) che, anche se già previsti, potranno di fatto realizzarsi solo in conseguenza di nuovi e diversi atti di volizione da parte dell'agente. Un ulteriore argomento viene tratto dalla formula normativa "abusivamente si introduce", la quale, per la sua ambiguità, potrebbe dare luogo ad imprevedibili e pericolose dilatazioni della fattispecie penale se non fosse intesa nel senso di "accesso non autorizzato",

( cfr Cass. Pen. 20/12/2007 n. 2534 , Cass. Pen. 29/05/2008 n. 26797 , Cass. Pen. 08/10/2008 n. 39290,  Cass. Pen. 25/06/2009 n. 40078)

 

La Corte descritti i due opposti orientamenti passa a comporre il contrasto e sostiene che “A fronte del contrastante quadro interpretativo dianzi delineato, queste Sezioni Unite ritengono che la questione di diritto controversa non debba essere riguardata sotto il profilo delle finalità perseguite da colui che accede o si mantiene nel sistema, in quanto la volontà del titolare del diritto di escluderlo si connette soltanto al dato oggettivo della permanenza (per così dire "fisica") dell'agente in esso. Ciò significa che la volontà contraria dell'avente diritto deve essere verificata solo con riferimento al risultato immediato detta condotta posta in essere, non già ai fatti successivi.

Rilevante deve ritenersi, perciò, il profilo oggettivo dell'accesso e del trattenimento nel sistema informatico da parte di un soggetto che sostanzialmente non può ritenersi autorizzato ad accedervi ed a permanervi sia allorquando violi i limiti risultanti dal complesso delle prescrizioni impartite dal titolane del sistema (nozione specificata, da parte della dottrina, con riferimento alla violazione delle prescrizioni contenute in disposizioni organizzative interne, in prassi aziendali o in clausole di contratti individuali di lavoro) sia allorquando ponga in essere operazioni di natura ontologicamente diversa da quelle di cui egli è incaricato ed in relazione alle quali l'accesso era a lui consentito.

In questi casi è proprio il titolo legittimante l'accesso e la permanenza nel sistema che risulta violato: il soggetto agente opera illegittimamente, in quanto il titolare del sistema medesimo lo ha ammesso solo a ben determinate condizioni, in assenza o attraverso la violazione delle quali le operazioni compiute non possono ritenersi assentite dall'autorizzazione ricevuta.

Il dissenso tacito del dominus loci non viene desunto dalla finalità (quale che sia) che anima la condotta dell'agente, bensì dall'oggettiva violazione delle disposizioni del titolare in ordine all'uso del sistema. Irrilevanti devono considerarsi gli eventuali fatti successivi: questi, se seguiranno" saranno frutto di nuovi atti volitivi e pertanto, se illeciti, saranno sanzionati con riguardo ad altro titolo di reato (rientrando, ad esempio, nelle previsioni di cui agli artt. 326, 618, 621 e 622 cod. pen.).

Ne deriva che, nei casi in cui l'agente compia sul sistema un'operazione pienamente assentita dall'autorizzazione ricevuta, ed agisca nei limiti di questa, il reato di cui all'art. 615-ter cod. pen. non è configurabile, a prescindere dallo scopo eventualmente perseguito; sicchè qualora l'attività autorizzata consista anche nella acquisizione di dati informatici, e l'operatore la esegua nei limiti e nelle forme consentiti dal titolare dello ius exdudendi, il delitto in esame non può essere individuato anche se degli stessi dati egli si dovesse poi servire per finalità illecite.

Il giudizio circa l'esistenza del dissenso del dominus iodi deve assumere come parametro la sussistenza o meno di un'obiettiva violazione, da parte dell'agente, delle prescrizioni impartite dal dominus stesso circa l'uso del sistema e non può essere formulato unicamente in base alla direzione finalistica della condotta, soggettivamente intesa.

Vengono in rilievo, al riguardo, quelle disposizioni che regolano l'accesso al sistema e che stabiliscono per quali attività e per quanto tempo la permanenza si può protrarre, da prendere necessariamente in considerazione, mentre devono ritenersi irrilevanti, ai fini della configurazione della fattispecie, eventuali disposizioni sull'impiego successivo dei dati.

 

In conclusione la Corte detta il seguente principio di diritto "integra la fattispecie criminosa di accesso abusivo ad un sistema informatico o telematico protetto, prevista dall'art. 615-ter cod. pen., la condotta di accesso o di mantenimento nel sistema posta in essere da soggetto che, pure essendo abilitato, violi le condizioni ed i limiti risultanti dal complesso delle prescrizioni impartite dal titolare del sistema per delimitarne oggettivamente l'accesso. Non hanno rilievo, invece, per la configurazione del resto, gli scopi e te finalità che soggettivamente hanno motivato l'ingresso al sistema”.

 

 

 

 

 

 

 

 

 

 

 





Segnala su OK Notizie!Reddit!Del.icio.us! Facebook!
 
faccialibrodef.jpg



mod_vvisit_countervisite oggi2959
mod_vvisit_counterDal 12/06/0914716252

domiciliazioniprevprof.jpg

      SCAPPO IN BRASILE...
       www.ideabrasile.it

bannerprevprof.jpg

 

cerca ancora nel sito

Ricerca personalizzata

Cerca Professionisti