Accesso abusivo a un sistema informatico: l’autorizzazione può non bastare - Riskmanagement

Norme

Accesso abusivo a un sistema informatico: l’autorizzazione può non bastare

Una riflessione a seguito della sentenza n. 25994/2020 resa dalla sezione V della Suprema Corte: il domicilio informatico ha una tutela perfettamente sovrapponibile a quella garantita al domicilio “fisico”

17 Dic 2020

Valerio Gherardini

avvocato

La V Sezione della Corte di Cassazione, con il recente pronunciamento n. 25994 depositato lo scorso 11 settembre, ha (ri)affermato la configurabilità del reato previsto e punito dalla norma contenuta nell’art. 615ter c.p., l’accesso abusivo a un sistema informatico o telematico, anche nei confronti del soggetto che, pur essendo titolare di apposita licenza o autorizzazione, faccia accesso al sistema o vi si intrattenga per ragioni diverse da quelle per le quali la licenza o l’autorizzazione era stata concessa.

Il superiore arresto giurisprudenziale, seppure per nulla innovativo o inaspettato, offre lo spunto per un’analisi del reato di cui all’art. 615 ter c.p. e dell’evoluzione giurisprudenziale che ha riguardato il reato medesimo con particolare attenzione al significato da attribuire all’avverbio “abusivamente” che connota (e permea) la condotta incriminata.

Il domicilio informatico estensione del domicilio fisico

La collocazione del reato in esame tra i delitti contro l’inviolabilità del domicilio assume notevole rilievo e permette di individuare il bene giuridico protetto nel diritto alla riservatezza e nella protezione del domicilio “informatico” inteso quale estensione ideale del domicilio fisico.

WHITEPAPER
Suggerimenti e strumenti pratica per difendersi dagli attacchi informatici
Sicurezza
Cybersecurity

In proposito, si deve rilevare che già la relazione al disegno di legge n. 547/1993 – introduttiva dei c.d. “computer’s crimes” – qualificava i sistemi informatici come “un’espansione ideale dell’area di rispetto pertinente al soggetto interessato, garantita dall’art. 14 Cost., e penalmente tutelata nei suoi aspetti più essenziali e tradizionali dagli artt. 614 e 615 c.p.”[1].

Inoltre, ai fini della presente trattazione e delle considerazioni che seguiranno, è il caso di ricordare che si tratta di reato di mera condotta per la cui configurabilità è sufficiente la semplice introduzione abusiva nel sistema o la permanenza nel sistema parimenti abusiva ovvero contro la volontà del soggetto titolare del diritto di escludere gli altri.

Accesso abusivo a sistema informatico: la sentenza n. 25994/2020

Fatte queste premesse di carattere sostanziale, è possibile analizzare il caso deciso dalla Suprema Corte nella sentenza richiamata e seguire l’excursus giurisprudenziale seguito dagli ermellini per giungere alla soluzione adottata.

Il caso prende le mosse dal ricorso presentato da un sottoufficiale della Guardia di Finanza condannato, in secondo grado, per il reato di cui all’art. 615 ter c.p. per aver utilizzato il sistema informatico SDI in uso alle forze di polizia (cui lo stesso era legittimato ad accedere in virtù del ruolo ricoperto) al fine di acquisire informazioni riguardanti un terzo soggetto.

In realtà, il principale motivo di ricorso da parte dell’imputato (ovvero quello che maggiormente rileva in questa sede) non riguardava tanto la configurabilità del reato in capo al soggetto munito, per ragioni di ufficio e/o di servizio, della autorizzazione ad accedere al sistema, quanto la pretesa violazione dell’art. 7 CEDU attesa la mancata prevedibilità della disposizione all’epoca dei fatti (anni 2010/2011) in ragione del contrasto giurisprudenziale esistente sul punto.

In altri termini, il ricorrente lamentava che la configurabilità del reato de quo in capo al soggetto autorizzato all’accesso al sistema informatico sarebbe stata ammessa, in maniera inequivocabile, solo a seguito della pronuncia delle SS.UU. del 2017 (sent. n. 41210, ricorrente Savarese).

Di tal ché, il precedente contrasto giurisprudenziale avrebbe reso non prevedibile la sussumibilità della condotta posta in essere dal soggetto autorizzato (come nel caso concreto) nella fattispecie descritta dall’art. 615 ter c.p..

La Corte di Cassazione, con la sentenza in commento, esclude la fondatezza della doglianza difensiva affermando che la richiamata sentenza Savarese del 2017 è, unicamente, intervenuta per sciogliere alcuni dubbi interpretativi emersi a seguito della sentenza Casani in ordine alla rilevanza della violazione di norme specifiche -disciplinanti l’accesso al sistema – ai fini della connotazione dell’accesso medesimo come “abusivo”.

Ne deriva che, l’asserita situazione di incertezza e il contrasto giurisprudenziale che ne costituiva il fondamento dovevano già ritenersi risolti a partire dal pronunciamento delle Sezioni Unite n. 4694/2011 (dep. 7 febbraio 2012) per cui, secondo il Supremo Collegio, nessun dubbio avrebbe potuto seriamente nutrire il ricorrente, al momento del fatto, in ordine alla concreta possibilità di incorrere nella applicazione della disposizione incriminatrice in esame.

Le Sezioni Unite “Casani” del 2011 e il contrasto giurisprudenziale risolto

L’orientamento “possibilista”

La rilevata importanza attribuita alla sentenza Casani impone di valutare gli elementi di carattere logico-giuridico impiegati dalla giurisprudenza di legittimità per approdare al riferito orientamento giurisprudenziale.

Gli ermellini, nella citata sentenza, ripercorrono i principali pronunciamenti – che hanno accolto l’una o l’altra interpretazione – partendo dall’orientamento che, sulla scorta di argomentazioni diverse tra loro, ha ritenuto configurabile il reato in esame anche a carico del soggetto formalmente legittimato ad accedere al sistema informatico.

Un primo filone di pensiero sostiene che, per qualificare l’accesso come “abusivo”, debba ritenersi sufficiente che lo stesso avvenga per finalità diverse da quelle consentite e che avevano giustificato la concessione della licenza o della autorizzazione.

In tal caso, l’accesso o la permanenza nel sistema devono ritenersi contrari alla volontà del titolare giacché le ragioni poste alla base della concessione della autorizzazione sono da intendersi elementi determinanti del consenso che segnano, di conseguenza, il perimetro di liceità della condotta del soggetto agente.

La riferita opzione ermeneutica si fonda sulla analogia della fattispecie descritta dall’art. 615 ter c.p. con quella della violazione di domicilio laddove il diritto di esclusione del titolare del domicilio si estrinseca nella facoltà di vietare l’accesso a soggetti “non desiderati” ovvero in quella di impedirne il protrarsi della permanenza nel caso in cui essa si ponga – successivamente all’accesso “consentito” – in contrasto con la volontà del titolare medesimo.

Lo stesso ragionamento (ovvero lo stesso “diritto”) deve ritenersi valido in relazione al domicilio digitale – ritenuto, dai più, il bene giuridico protetto dalla norma incriminatrice di cui si tratta – per cui la permanenza nel sistema informatico deve ritenersi invito domino allorquando, all’accesso consentito, faccia seguito un utilizzo improprio del sistema medesimo ovvero l’uso dell’elaboratore con modalità non consentite.

La prima “traccia” giurisprudenziale delle richiamate argomentazioni si rinviene nella sent. n. 12732 del 2000 (ricorrente Zara) resa dalla V Sezione della Suprema Corte la quale, dopo aver ribadito che il reato in esame costituisce l’evoluzione del reato di violazione di domicilio, ha affermato che “se l’accesso richiede un’autorizzazione e questa e questa è destinata a un determinato scopo, l’utilizzazione dell’autorizzazione per uno scopo diverso non può non considerarsi abusiva[2].

Dello stesso avviso, le successive pronunce n. 30663/2006 (sez. II, ricorrente Grimoldi) e n. 37322/2008 (sez. V, ricorrente Bassani).

La sentenza Bassani, da ultimo citata, assume particolare rilievo posto che, sviluppando il richiamato parallelismo tra il reato in oggetto e la violazione di domicilio, contribuisce a delineare i contorni della fattispecie criminosa prevista e punita dalla disposizione normativa di cui all’art. 615 ter c.p..

In particolare, tale sentenza attribuisce decisivo rilievo alla tutela del diritto alla riservatezza quale estrinsecazione del “domicilio informatico” che la norma incriminatrice tende a tutelare.

La riprova del superiore assunto, secondo l’estensore della pronuncia in esame, si ricaverebbe dal tenore letterale della norma incriminatrice che non fa riferimento alle informazioni o ai dati personalissimi – eventualmente contenuti nel sistema informatico oggetto della “intrusione” – ma tutela lo spazio virtuale (ovvero il c.d. “domicilio digitale”) attraverso il diritto di esclusione in capo al titolare a prescindere da quanto, in tale spazio, sia eventualmente contenuto.

In altri termini, così come la violazione di domicilio prescinde dal “contenuto” dell’abitazione violata (di tal ché si tratta di reato astrattamente ipotizzabile anche in relazione a un domicilio completamente vuoto o spoglio), allo stesso modo il reato di cui all’art. 615 ter c.p. non prende in considerazione i dati contenuti nel sistema, ma solo il sistema in sé.

A ciò si aggiunga che il momento dell’accesso al sistema non riveste carattere dirimente ai fini della configurabilità del reato posto che la norma incriminatrice non richiede la effrazione dei dispositivi di sicurezza ovvero dei sistemi di accesso, ma soltanto la volontà contraria del titolare che deve ritenersi presunta nel caso in cui la permanenza nel sistema avvenga per finalità diverse da quelle acconsentite dal titolare medesimo.

Ne deriva che, come accennato in precedenza, la volontà del titolare – che può essere anche tacita – si ritiene condizionata al perseguimento delle finalità che avevano giustificato la concessione dell’autorizzazione.

Sulla stessa scia, si collocano le successive sentenze n. 18006/2009 (ricorrente Russo), n. 2987/2009 (dep. 2010, ricorrente Matassich), n. 19463/2010 (ricorrente Jovanovich) e n. 39620/2010 (ricorrente Lesce) con le quali la sezione V ha consolidato il suo orientamento ammettendo la configurabilità del reato nei confronti di pubblici ufficiali che hanno utilizzato i sistemi informatici e le banche-dati in loro possesso per scopi estranei alle finalità di servizio.

accesso abusivo sistema informatico

L’orientamento “negazionista”

Sul versante opposto, si colloca l’orientamento che fa propria l’interpretazione più restrittiva della norma in virtù della quale l’accesso del soggetto legittimato non può, in alcun caso, ritenersi abusivo dovendosi escludere la valutazione delle finalità perseguite dall’agente (fatti salvi i diversi reati eventualmente ipotizzabili nel caso in cui tali finalità illecite vengano portate a esecuzione).

In primo luogo, tale interpretazione si fonda sulla considerazione per cui la volontà contraria del titolare del diritto di esclusione deve essere valutata unicamente con riguardo al risultato immediato della condotta dell’agente (accesso o permanenza all’interno del sistema) e non con riferimento alle fasi successive della condotta relative all’utilizzo improprio dei dati acquisiti.

In altri termini, è difficile ipotizzare la volontà contraria del titolare a ché il soggetto agente acquisisca informazioni e dati che sarebbe legittimato a conoscere in virtù del suo ufficio o dell’autorizzazione concessa, non avendo alcuna importanza il successivo impiego dei dati (legittimamente acquisiti) che costituirebbe una condotta subsequens irrilevante.

Tale orientamento trova, altresì, sostegno nella interpretazione restrittiva ovvero letterale della locuzione “abusivamente si introduce” che descrive la condotta illecita e che, se interpretata in maniera elastica o estensiva, comporterebbe una pericolosa dilatazione della fattispecie penale.

Nella stessa direzione, si colloca la sentenza n. 2534/2007 (sez. V, ricorrente Migliazzo) che ha escluso la responsabilità del reato previsto e punito dall’art. 615 ter c.p. in capo a due ufficiali di P.G. che avrebbero acquisito dei dati riservati – contenuti nel sistema cui, per ragioni di ufficio, avevano accesso – per trasmetterli a un’agenzia di investigazioni private.

Nella fattispecie, la Suprema Corte si è premurata di mettere in guardia dalle conseguenze cui condurrebbe la focalizzazione dell’attenzione sulle intenzioni ovvero sulle finalità perseguite dall’agente al momento della condotta.

E, invero, seguendo il ragionamento degli ermellini nella sentenza in commento, se l’intenzione di destinare i dati acquisiti a fini illeciti ovvero estranei a quelli di ufficio dovesse ritenersi di per sé sufficiente a ritenere integrato il reato di cui all’art. 615 ter c.p., la sussistenza del medesimo non potrebbe escludersi anche nel caso in cui l’uso illecito previsto non si dovesse verificare[3].

In altri termini, il soggetto – formalmente autorizzato all’accesso – subirebbe un processo alle intenzioni che potrebbero, in ipotesi, non tradursi in un fatto concreto, magari in virtù di un “ravvedimento” dell’agente medesimo.

Ancora, le Sezioni Unite Cavani richiamano il pronunciamento n. 26797/2008 della sez. V (ricorrente Scimia) con il quale è stata esclusa la responsabilità per il reato in oggetto in capo a un funzionario di cancelleria che, facendo “legittimo” uso della sua password, aveva fatto accesso ai registri informatizzati di un altro ufficio – cui era, comunque, legittimato ad accedere – per rivelare, poi, le informazioni acquisite a soggetti terzi in virtù di un precedente accordo.

Il caso, da ultimo sintetizzato, assume particolare rilievo in ordine alla irrilevanza delle “finalità” ove si consideri che l’ulteriore condotta del soggetto agente (ovvero la divulgazione delle informazioni acquisite) era costata al medesimo una condanna per il reato di rivelazione di segreto di ufficio.

L’insegnamento della Suprema Corte è chiaro: il possesso della autorizzazione formale ad accedere al sistema esclude, a monte, qualsiasi profilo di rilevanza delle intenzioni e delle finalità che il soggetto agente si prefigge al momento dell’accesso medesimo.

Un ulteriore sviluppo dell’orientamento in esame è contenuto nella sent. n. 39290/2008 (sez. VI, ricorrente Peparaio) secondo la quale il carattere abusivo dell’accesso deve essere inteso in senso puramente oggettivo quale difetto dell’autorizzazione da parte del titolare del diritto di esclusione.

Peraltro, tale elemento “negativo” deve essere accertato con riferimento al momento dell’accesso medesimo.

Diversamente argomentando, non vi sarebbe alcuna distinzione effettiva tra le due condotte sanzionate dalla norma incriminatrice in esame (accesso abusivo e permanenza contro la volontà del titolare), sicché sarebbe del tutto pleonastica la previsione della rilevanza penale del trattenimento nel sistema invito domino[4].

Acesso abusivo a sistema informatico: l’approdo delle Sezioni Unite

Dopo aver analizzato le ragioni poste a sostegno dei due orientamenti contrapposti (siccome appena sintetizzati), la sentenza Casani procede a tirare le fila del discorso per risolvere il rilevato contrasto giurisprudenziale.

Il primo chiarimento delle Sezioni Unite riguarda il rilievo da attribuire alle finalità perseguite dal soggetto agente ai fini dell’accertamento della volontà del titolare.

Si tratta di un profilo irrilevante posto che la volontà del dominus del sistema “è connessa al dato oggettivo della permanenza (per così dire “fisica”) in esso”.

Ne consegue che la volontà contraria del titolare deve essere verificata con riguardo esclusivo al risultato immediato della condotta descritta dalla norma incriminatrice e non già con riferimento ai fatti successivi che, eventualmente, ne conseguono.

In altri termini, la condotta dell’agente meritevole di valutazione (e di accertamento giudiziale) per la configurabilità del reato di cui all’art. 615 ter c.p. si arresta al momento in cui l’agente medesimo esce dal sistema in cui si era abusivamente introdotto o trattenuto.

Di conseguenza, occorre fare ricorso a un concetto di “abusività sostanziale” (che prescinde dalla qualifica del soggetto agente o dalla esistenza di una formale autorizzazione) ravvisabile vuoi nel caso in cui il soggetto violi i limiti risultanti dalle prescrizioni imposte dal titolare vuoi nel caso in cui l’agente ponga in essere “operazioni di natura ontologicamente diversa” rispetto a quelle di cui lo stesso era stato incaricato.

In casi consimili, spiegano gli ermellini, l’abusività ovvero la volontà contraria del titolare deriva dalla violazione del titolo legittimante posto che l’agente (sia pure formalmente autorizzato) opera al di là di quel perimetro di liceità – tracciato anche implicitamente dal titolo autorizzativo – di cui si è detto in precedenza.

Pertanto, la effettiva violazione delle disposizioni imposte dal titolare è, di per sé, sufficiente a escludere il consenso del titolare medesimo con la conseguenza che tutti i fatti successivi (che costituiscono la eventuale concretizzazione degli intendimenti e delle finalità che avevano mosso l’agente) non assumono rilievo se non con riferimento ad autonome e diverse fattispecie penali.

Di tal ché, il soggetto che agisce nei limiti dettati dal titolare e nel rispetto delle relative disposizioni non potrebbe ritenersi responsabile del reato in esame anche allorquando utilizzi per fini illeciti le informazioni legittimamente acquisite.

In conclusione, l’accertamento della penale responsabilità, ai sensi dell’art. 615 ter c.p., in capo al titolare di una autorizzazione ad accedere al sistema informatico (e a trattenersi all’interno dello stesso) giuridicamente postula la obiettiva violazione delle prescrizioni impartite dal dominus loci e delle disposizioni (normative, regolamentari e contrattuali) che disciplinano le modalità e i tempi di accesso e di impiego del sistema medesimo.

Il principio di diritto che racchiude il richiamato percorso argomentativo è il seguente:

integra la fattispecie criminosa di accesso abusivo ad un sistema informatico o telematico protetto, prevista dall’art. 615‐ter cod. pen., la condotta di accesso o di mantenimento nel sistema posta in essere da soggetto che, pure essendo abilitato, violi le condizioni ed i limiti risultanti dal complesso delle prescrizioni impartite dal titolare del sistema per delimitarne oggettivamente l’accesso. Non hanno rilievo, invece, per la configurazione del reato, gli scopi e le finalità che soggettivamente hanno motivato l’ingresso al sistema”.

Considerazioni conclusive

Il riferito arresto giurisprudenziale, ormai consolidato, prende atto della crescente importanza che acquista, nell’era digitale, il domicilio informatico cui mira a fornire una tutela perfettamente sovrapponibile a quella garantita al domicilio “fisico”.

L’originaria autorizzazione da parte del dominus a che qualcuno faccia ingresso all’interno del suo “spazio personale” (fisico o “virtuale”) non equivale ad autorizzare lo stesso soggetto a comportamenti contrari alle regole impartite dal padrone di casa.

Ma l’importanza della norma incriminatrice in esame – secondo l’interpretazione conforme al tenore letterale della norma medesima e alla ratio legis ricavabile dalla relazione al relativo disegno di legge[5]è l’individuazione del “domicilio digitale” come spazio meritevole di tutela in via autonoma ovvero meritevole di una forma di tutela che prescinde dalla considerazione di quanto eventualmente contenuto all’interno di tale spazio o delle successive condotte quali conseguenze dell’indebita introduzione.

Peraltro, la configurabilità – definitivamente ammessa – del reato de quo in capo al soggetto che sia formalmente autorizzato ad accedere al sistema segna, da un lato, la necessità di una tutela sostanziale che non può dirsi garantita sulla scorta della mera esistenza di un titolo (i cui contenuti vengono, di fatto, disattesi) e costituisce, dall’altro, un significativo deterrente all’utilizzo sconsiderato o improprio dei sistemi informatici da parte di chi ne ha facoltà di accesso.

Pertanto, il titolare del sistema informatico rimane il dominus cui è demandato il potere non solo di scegliere quali “ospiti” accogliere, ma, anche (e soprattutto!), di imporre le regole cui l’ospite dovrà attenersi durante tutta la sua permanenza.

L’inosservanza di tali regole rende il visitatore un “ospite” non gradito all’interno del sistema.

  1. Relazione del Disegno di legge n. 2773, presentato dal Ministro di Grazia e Giustizia. – “Modificazioni ed integrazioni alle norme del codice penale e del codice di procedura penale in tema di criminalità informatica” (XI Legislatura, divenuto Legge 23 dicembre 1993, n. 547)
  2. Cass. Pen., Sez. V, Sent. n. 12372 dello 07.11.2000 – Ric. Zara.
  3. Cass. Pen., Sez. V, sent. n. Sent. n. 2534 del 20/12/2007, dep. 2008, Migliazzo «Se dovesse ritenersi che, ai fini della consumazione del reato, basti lʹintenzione, da parte del soggetto autorizzato allʹaccesso al sistema informatico ed alla conoscenza dei dati ivi contenuti, di fare poi un uso illecito di tali dati, ne deriverebbe lʹaberrante conseguenza che il reato non sarebbe escluso neppure se poi quellʹuso, di fatto, magari per un ripensamento da parte del medesimo soggetto agente, non vi fosse più stato»
  4. Dello stesso avviso, Cass. Pen., Sez. V, sent. n. 40078/2009, ricorrente Genchi.
  5. Cfr. nota sub 1.

WHITEPAPER
Rete, sicurezza e digital workplace: un nuovo modello per il lavoro agile
Networking
Network Security
@RIPRODUZIONE RISERVATA
G
Valerio Gherardini
avvocato

Articolo 1 di 5