Polizia di Stato - Carabinieri - Accesso SDI mediante abuso del proprio titolo di legittimazione

Polizia di Stato - Carabinieri - Accesso SDI mediante abuso del proprio titolo di legittimazione

L'ACCESSO AD UN SISTEMA INFORMATICO OPERATO MEDIANTE ABUSO DEL PROPRIO TITOLO DI LEGITTIMAZIONE

D'Arcangelo Fabrizio

Trib. Verona, 13 dicembre 2008

FONTE
Il Corriere del Merito, 2009, 6, 654

Sommario: La sentenza del Tribunale di Verona - L'accesso ad un sistema informatico operato mediante abuso del proprio titolo di legittimazione - L'accesso ad una rete aziendale mediante utilizzo non consentito di una password di sistema

La vicenda giurisprudenziale del delitto di accesso abusivo ad un sistema informatico si rivela assolutamente peculiare e feconda nel panorama del diritto penale dell'informatica (2).

Tale fattispecie incriminatrice (3), infatti, per l'ampiezza dell'oggetto giuridico e, segnatamente, per la mancanza di una finalità tipica della condotta, è divenuta il principale strumento attraverso il quale garantire la sicurezza della privacy e del domicilio informatico (4).

L'art. 615 ter c.p., introdotto dalla legge 23 dicembre 1993, n. 547 nella disciplina dei computer crimes, nel mutato contesto tecnologico delineato dall'avvento di Internet(5) supera la dimensione limitata della tutela del singolo computer per assumere una valenza più ampia.

La fattispecie di accesso abusivo ad un sistema informatico, in particolare, assume il ruolo di presidio primario contro le aggressioni esogene poste in essere dagli hacker a scopo di spionaggio, emulativo o anche solo dimostrativo, contro la diffusione dei virus e di fenomeni criminali tipici del crimine cibernetico (6) quali il phishing, l'Internet fraud, l'abuso di identità virtuale e l'identity theft(7).

D'altra parte, in relazione alla sempre più ampia diffusione delle banche dati informatiche ed alle reti intranet aziendali o della Pubblica Amministrazione, la fattispecie di cui all'art. 615 ter c.p. assurge a fondamentale strumento di tutela contro le intrusioni endogene dei soggetti che, pur abilitati all'accesso alla banca dati in virtù di un rapporto contrattuale o di servizio, abusino del proprio titolo di legittimazione.

In entrambi i contesti la questione ermeneutica fondamentale è costituita dalla delimitazione dei confini mobili della nozione di accesso abusivo.

Se, infatti, è ormai recessivo nella riflessione giurisprudenziale il tema delle misure di sicurezza (8) e della loro adeguatezza a scongiurare aggressioni non volute, indubbiamente complesso è stabilire quali connotazioni debba assumere un accesso ad un sistema informatico perché possa essere definito abusivo e, pertanto, sanzionato penalmente.

Secondo l'orientamento maggioritario, infatti, il reato si perfeziona se il soggetto si introduce, senza esservi autorizzato, nel sistema protetto da misure di sicurezza, indipendentemente dalla natura e dall'efficacia di queste ultime.

La violazione dei dispositivi di protezione del sistema informatico non assume rilevanza di per sé, bensì solo come manifestazione di una volontà contraria a quella di chi del sistema legittimamente dispone (9).

È, tuttavia, controverso se l'avverbio ”abusivamente” inserito nel contesto della fattispecie valga ad ulteriormente descrivere il fatto tipico o meno.

Secondo alcune interpretazioni il requisito della abusività, infatti, si risolverebbe in un pleonasmo che ribadisce la necessaria assenza di scriminanti ovvero la presenza di un dissenso dell'avente diritto ai fini della integrazione del delitto (10).

In una diversa prospettiva ermeneutica si rileva, invece, che tale sintagma, lungi dall'esaurirsi in una retorica declamazione, integrerebbe una causa di illiceità speciale che richiede, per la punibilità del fatto, l'assenza di situazioni scriminanti ulteriori rispetto alle cause di giustificazione codificate e ravvisabili in pregnanti esigenze morali e di difesa della propria onorabilità o nella necessità di contrastare condotte violative di specifici principi deontologici (11).

La giurisprudenza, invece, afferma, sia pure ricorrendo a formulazioni non sempre coincidenti, che la violazione dello spazio virtuale altrui, in contrasto con la voluntas domini, costituisce l'elemento fondante l'incriminazione e che tale elemento compendia ed esprime la connotazione abusiva del fatto (12).

In tale prospettiva interpretativa si individua in termini non riduttivi rispetto alla ratio legis l'ambito applicativo della fattispecie incriminatrice e, pertanto, la nozione di abusività dell'accesso è declinata secondo parabole interpretative estremamente variegate, che sono difficilmente riconducibili ad una matrice unitaria.

Nelle sentenze di merito che si confrontano con il fenomeno dell'hacking(13) o dei phishing attacks(14), infatti, la nozione di accesso abusivo si dilata sino a ricomprendere le ipotesi di intrusioni nel sistema informatico poste in essere mediante induzione in errore della vittima e realizzate con la sua collaborazione involontaria mediante l'apertura o la risposta a messaggi di posta elettronica decettivi (15).

Nelle pronunce che decidono casi di intrusioni poste in essere da soggetti abilitati ad accedere al sistema, ma che esorbitano i limiti del proprio titolo di legittimazione, si assiste, invece, ad un penetrante sindacato sul fondamento e sulla ampiezza del titolo di accesso ed alla valutazione delle finalità del medesimo.

In tale contesto si colloca la vicenda decisa dalla sentenza in epigrafe.

La sentenza del Tribunale di Verona

Nella sentenza in commento il Tribunale di Verona, chiamato a giudicare di una ipotesi in cui un dirigente della società, ottenuta la password di administrator al fine dichiarato di effettuare un back-up aveva duplicato alcuni files riservati, afferma la sussistenza del delitto di accesso abusivo a sistema informatico, avendo l'imputato ecceduto il proprio titolo di legittimazione.

Il Giudice di Verona, in primo luogo, disattende una eccezione difensiva intesa ad escludere la ammissibilità della tutela della riservatezza per i dati presenti nella rete aziendale.

Muovendo, infatti, da un orientamento della giurisprudenza di legittimità emerso nel contiguo ambito della tutela della corrispondenza telematica (16), la sentenza afferma che quando il sistema informatico sia protetto da una password, i dati presenti nel medesimo sono conoscibili esclusivamente da parte di coloro che legittimamente dispongono della chiave informatica di accesso.

Nel caso di specie, tuttavia, l'apprensione di contenuti riservati era avvenuta mediante l'utilizzo di una password di administrator che consentiva l'accesso ad aree estranee alla sfera di conoscibilità degli ordinari utenti del sistema informatico.

Il Giudice, inoltre, dopo aver accertato all'esito dell'istruttoria dibattimentale che l'imputato, ricevuta la password di sistema al fine di effettuare il back-up, aveva proceduto alla apprensione ed alla memorizzazione di dati presenti nella rete aziendale sul proprio personal computer, accoglieva la impostazione accusatoria.

L'imputato, infatti, aveva utilizzato la password ricevuta per finalità diverse da quelle consentite e, segnatamente, per prendere cognizione di dati ed informazioni che non aveva titolo per acquisire.

Il Giudice, pertanto, dopo aver accertato che all'imputato, nonostante la posizione apicale rivestita nell'organigramma aziendale, non spettasse l'utilizzo della password dell'amministratore di sistema, concludeva nel senso che l'uso del titolo di legittimazione per finalità diverse da quelle consentite, concreta un abuso punibile ai sensi dell'art. 615 ter c.p.

L'accesso ad un sistema informatico operato mediante abuso del proprio titolo di legittimazione

La vicenda posta all'esame del Tribunale di Verona impone una rapida disamina della più recente elaborazione giurisprudenziale del tema dell'accesso ad un sistema informatico operato da parte di coloro (gli insider), che, pur vantando un valido titolo di legittimazione all'introduzione del sistema, abusino dello stesso.

In particolare in tale ambito risulta estremamente controverso definire quando sia ravvisabile un abuso di un titolo di legittimazione conferito dal titolare del sistema informatico ed il ruolo da attribuire alle finalità dell'acceso ai fini della sua qualificazione come abusivo.

Secondo la giurisprudenza maggioritaria, la violazione delle misure di sicurezza poste a presidio del sistema non assume rilevo di per sé, ma costituisce un significativo indicatore dell'atteggiamento psicologico dell'agente, della sua volontà aggressiva in presenza di una manifestazione di volontà da parte del gestore del sistema di esclusione dell'indiscriminato accesso agli estranei (17).

L'art. 615 ter, primo comma seconda parte, c.p. simmetricamente a quanto previsto dall'art. 614, comma secondo, c.p., infatti, punisce non solo chi si introduce abusivamente in un sistema informatico o telematico, ma anche chi ”vi si mantiene contro la volontà esplicita o tacita di chi ha il diritto di escluderlo”.

Non si tratta, pertanto, di un illecito caratterizzato dall'effrazione dei sistemi protettivi, perché altrimenti non avrebbe rilevanza la condotta di chi, dopo essere legittimamente entrato nel sistema informatico, vi si mantenga contro la volontà del titolare. Ma si tratta di un illecito caratterizzato dalla contravvenzione alle disposizioni del titolare, come avviene nel delitto di violazione di domicilio che ha costituto l'archetipo di tale fattispecie legale.

In tale prospettiva interpretativa alcune pronunce di legittimità affermano che si rivela abusiva, pertanto, non solo la effrazione o la elusione delle misure poste a protezione del sistema, ma anche la condotta di chi, autorizzato all'accesso per una determinata finalità, utilizzi il titolo di legittimazione per una finalità diversa e, quindi, non rispetti le condizioni alle quali era subordinato l'accesso (18).

Da una disamina della giurisprudenza di legittimità emerge, pertanto, che commette il delitto di accesso abusivo ad un sistema informatico l'ufficiale di polizia giudiziaria che, pure essendo astrattamente abilitato ad accedere al Centro Elettronico di Documentazione del Ministero dell'Interno, vi sia entrato “abusivamente”, per un fine meramente privato, quale quello di verificare il possesso legittimo di armi da parte di un proprio vicino di casa” (19).

In altri termini se l'accesso richiede un'autorizzazione e questa è destinata ad un determinato scopo, l'utilizzazione dell'autorizzazione per uno scopo diverso non può non considerarsi abusiva.

In tale prospettiva interpretativa l'abusività dell'accesso va, pertanto, verificata considerando diversi profili quali la natura e finalità dell'incursione, l'idoneità dell'intervento a ledere o porre in pericolo gli obiettivi ai quali era strumentale la protezione del sistema, nonché la eventuale qualità soggettiva dell'agente che rilevi nel senso di consentirgli o limitargli l'accesso al sistema (20).

Un recente revirement della giurisprudenza di legittimità, tuttavia, delinea sistematicamente un diverso percorso argomentativo ed esclude la configurabilità del delitto di cui all'art. 615-ter c.p. nelle ipotesi di utilizzo del titolo di legittimazione per finalità diversa da quella consentita.

La Corte di Cassazione (21), infatti, in una recente pronuncia ha affermato che non commette il reato di cui all'art. 615 ter c.p. il soggetto il quale, avendo titolo per accedere al sistema, se ne avvalga, sia pure per finalità illecite, fermo restando che egli dovrà comunque rispondere dei diversi reati che risultino eventualmente configurabili, ove le suddette finalità vengano poi effettivamente realizzate.

Non integra, pertanto, il reato di accesso abusivo ad un sistema informatico la condotta di coloro che, in qualità rispettivamente di ispettore della Polizia di Stato e di appartenente all'Arma dei Carabinieri, si siano introdotti nella banca dati interforze degli organi di polizia (S.D.I.) ed abbiano successivamente trasmesso i dati acquisiti ad una agenzia investigativa privata; l'accesso, infatti, era stato operato da soggetti autorizzati e che, in virtù del medesimo titolo, erano abilitati a prendere cognizione dei dati riservati contenuti nel sistema.

La successiva condotta di rilevazione dei dati segreti appresi potrà essere autonomamente sanzionata per altro e diverso titolo di reato.

La Suprema Corte statuisce, inoltre, l'irrilevanza della circostanza che l'uso dei dati e delle informazioni carpite per finalità diverse da quelle che consentono l'accesso alla banca dati sia già previsto dall'agente all'atto dell'acquisizione e ne costituisca la motivazione esclusiva; la sussistenza della volontà contraria dell'avente diritto, cui fa riferimento l'art. 615 ter c.p., ai fini della configurabilità del reato, deve, infatti, essere verificata solo ed esclusivamente con riguardo al risultato immediato della condotta posta in essere dall'agente con l'accesso al sistema informatico e con il mantenersi al suo interno e non con riferimento a fatti successivi che, anche se già previsti, potranno di fatto realizzarsi solo in conseguenza di nuovi e diversi atti di volizione da parte dell'agente.

Parimenti in una successiva sentenza (22), la Corte di Cassazione, ponendosi in espressa continuità con la precedente, esclude che debba rispondere del delitto di accesso abusivo a sistema informatico il funzionario di cancelleria il quale, legittimato in forza della sua qualifica ad accedere al sistema informatico dell'amministrazione giudiziaria, lo aveva fatto allo scopo di acquisire notizie riservate che aveva poi indebitamente rivelato a terzi con i quali era in previo accordo; condotta, questa, ritenuta integratrice del solo reato di rivelazione di segreto d'ufficio, previsto dall'art. 326 c.p.

Il delitto di accesso abusivo a sistema informatico, infatti, garantisce la riservatezza del domicilio informatico quale spazio ideale (ma anche fisico) in cui sono contenuti i dati informatici, per salvaguardarlo da qualsiasi tipo di intrusione non autorizzata, indipendentemente dallo scopo, che si propone l'autore dell'accesso abusivo (23).

Il titolare dello ius excludendi, del resto, seleziona gli utenti ammessi al sistema informatico mediante l'apprestamento dei mezzi di protezione e l'erogazione delle chiavi di accesso, ma il dovere di riservatezza dei soggetti abilitati all'accesso trova fondamento e sanzione aliunde.

Il cattivo uso della password, infatti, non integra il delitto di accesso abusivo a sistema informatico, in quanto non esiste norma o disposizione interna organizzativa che inibisca al cancelliere di accedere ai dati del registro generale ed alle assegnazioni ai diversi uffici; in tale prospettiva non può, pertanto, ritenersi abusivo un accesso che era consentito e, parimenti, non può ipotizzarsi la condotta di mantenimento abusivo in assenza di prescrizioni limitative (24).

Secondo la Corte di Cassazione, inoltre, la formula ”abusivamente si introduce” obiettivamente ambigua non concorre alla descrizione del fatto e si limita a ribadire la necessità dell'assenza di scriminanti; il sintagma si rivela, infatti, la incerta traduzione di quella di ”accesso non autorizzato” (o accesso illegale) già utilizzato nella lista minima del Consiglio d'Europa che accompagnava la Raccomandazione (89) 9, cui si è adeguato il legislatore nazionale con la L. n. 547 del 1993, e, quindi, della locuzione accesso “senza diritto” (access ... without right) impiegata nell'articolo 2 della Convenzione sul cyber crime (al quale con la recente legge n. 48 del 2008 non si è ritenuto di dare ulteriore attuazione trattandosi di ipotesi già prevista, appunto, dall'art. 6, comma 5 ter) (25).

Pertanto, come per ogni norma che rappresenta la trasposizione o l'attuazione di disposizioni sovranazionali, anche per l'art. 615 ter c.p.p., va privilegiata, tra più possibili letture, quella di senso più conforme alle disposizioni comuni.

L'accesso ad una rete aziendale mediante utilizzo non consentito di una password di sistema

Secondo il più recente orientamento della giurisprudenza di legittimità, pertanto, nelle intrusioni poste in essere non già da terzi irrelati con il sistema informatico, bensì da soggetti abilitati all'accesso, la finalità dell'agente non fonda, né dimostra il carattere abusivo dell'accesso.

La fattispecie di cui all'art. 615 ter c.p., infatti, è volta esclusivamente a tutelare la inviolabilità del sistema informatico e non già a garantire la riservatezza di coloro che vi hanno legittimo accesso ed a scongiurare la propalazione di informazioni riservate presenti nel sistema informatico.

Tale ermeneusi appare assolutamente condivisibile anche perché risulta maggiormente coerente con il bene giuridico tutelato dalla fattispecie incriminatrice, con la sua collocazione sistematica e con le finalità di politica criminale perseguite dal legislatore con la introduzione di tale norma.

D'altra parte, se, diversamente opinando, dovesse ritenersi che, ai fini della consumazione del reato, basti l'intenzione da parte del soggetto autorizzato all'acceso al sistema informatico ed alla conoscenza dei dati nel medesimo contenuti, di fare un uso illecito di tali dati, ne deriverebbe l'aberrante conseguenza che il reato non sarebbe escluso neppure se poi quell'uso, di fatto, magari per un ripensamento da parte del medesimo soggetto agente, non vi fosse più stato (26).

Nelle ipotesi di aggressioni del domicilio informatico poste in essere da insiders si impone, pertanto, in sede giudiziale una attenta disamina del titolo di legittimazione vantato dal soggetto abilitato ad accedere ai dati ed alle informazioni presenti nel sistema informatico (27).

È necessario, pertanto, stabilire caso per caso, in base alle norme organizzative interne (di fonte amministrativa o contrattuale), se all'interno della rete o del sistema informatico esistano o meno zone riservate o se l'intero compendio dei dati sia fruibile da tutti i soggetti abilitati all'accesso (28).

In altri termini acquista un rilievo decisivo la distinzione tra “spazi riservati” o “spazi condivisi” e “comuni” di un sistema informatico (29), in quanto integra il delitto di accesso abusivo a sistema informatico esclusivamente la condotta di chi, autorizzato ad accedere a determinate aree o servizi interni al sistema (30), acceda o si mantenga invito dominio in aree o servizi diversi (31).

Riferendo tali riflessioni al caso esaminato dal Tribunale di Verona deve, tuttavia, rilevarsi come la impostazione teorica adottata dalla più recente giurisprudenza di legittimità non avrebbe condotto ad un diverso esito processuale.

La sentenza in commento, infatti, argomenta la sussistenza del reato muovendo dalla “correlazione che deve necessariamente esistere tra l'accesso del terzo legittimato e le finalità per le quali la legittimazione è stata concessa” e rileva che qualora tale correlazione manchi l'accesso al sistema informatico si connota irrimediabilmente come abusivo e, pertanto, diviene penalmente illecito.

Tuttavia, pur abbandonando l'angolo prospettico della finalità dell'accesso al sistema (nel caso di specie animato dal fine di acquisire notizie commerciali riservate), emerge parimenti il carattere illecito della condotta dell'imputato, atteso che questi aveva fatto uso di una password di sistema senza averne diritto in ragione della disciplina vigente in ambito aziendale.

Tale esempio consente di evidenziare come l'abbandono del paradigma interpretativo delle finalità dell'accesso (e la conseguente focalizzazione del tema del fondamento e dell'ampiezza del titolo di legittimazione) non comporti necessariamente sul piano giurisprudenziale l'approdo ad esiti difformi da quelli progressivamente stratificatisi; l'esame delle pronunce edite, infatti, dimostra come di frequente nelle motivazioni delle sentenze i due profili fossero esaminati congiuntamente e come si stigmatizzasse sotto il profilo finalistico la carenza, totale o parziale, del titolo di legittimazione per l'accesso al sistema informatico.
-----------------------

(1) Il dato cronologico è certo in quanto in data 18.11.2003 la p.g. effettuò, in esecuzione di un decreto di sequestro emesso dal P.M., la masterizzazione delle cartelle MYPC1 e MYPC2 che ancora si trovavano sul server di ICI Caldaie, memorizzate nella cartella “direzione”. Questi dati vennero copiati nei CD poi prodotti ed acquisiti nel fascicolo per il dibattimento. La tecnica utilizzata dalla p.g. consente, come di seguito meglio esposto, di avere una sorta di fotografia del contenuto delle due cartelle ma non di ricostruire la storia dei files e delle cartelle in cui essi sono contenuti, non essendo possibile risalire alla origine e alla modifica di essi e rimanendo, limitatamente ai files, solo la data e l'ora dell'ultima modifica.


(2) Sul diritto penale dell'informatica si vedano: Pecorella, Il diritto penale dell'informatica, Padova, rist. 2006; Picotti, Reati informatici, in Enc. giur. Treccani, Vol. III, Aggiornamento; Pica, Reati informatici e telematici, in Dig.disc.pen., Torino, Aggiornamento, 255 ss.; Di Giandomenico-Cuomo, Profili giuridici dell'informatica, Napoli, 2000; Borruso, Informatica giuridica, in Enc.dir., Aggiornamento, Vol. I, Milano, 1997, 640 ss.; Alma-Perroni, Riflessioni sull'attuazione delle norme a tutela dei sistemi informatici, in Dir. pen. proc., 1997, 504 ss.; Borruso-Buonomo-Corasanit-D'Aietti, Profili penali dell'informatica, Milano, 1994; Sarzana, Informatica e diritto penale, Milano, 1994; Alessandri, Criminalità informatica, in Riv. trim. dir. pen. econ., 1990, 653.


(3) Sul delitto di accesso abusivo ad un sistema informatico o telematico si veda: Flor, Art. 615 ter c.p.: natura e funzioni delle misure di sicurezza, consumazione del reato e bene giuridico protetto, in Dir. pen.proc., 2008, 106 ss.; Di Lembo, L'accesso abusivo ad un sistema informatico o telematico, in Riv.pen., 2005, 921 ss.; Berghella-Blaiotta, Diritto penale dell'informatica e beni giuridici, in Cass. pen., 1995, 2329; Pazienza, In tema di criminalità informatica: L'art. 4 della legge 23 dicembre 1993, n. 547, in Riv. dir. pen. proc., 1995, 750; Aterno, Sull'accesso abusivo a un sistema informatico o telematico, in Cass. pen., 2000, 2994; Cuomo, La tutela penale del domicilio informatico, ivi, 2000, 2998; Nunziata, La prima applicazione giurisprudenziale del delitto di “accesso abusivo ad un sistema informatico” ex art. 615-ter c.p., in Giur. merito, 1998, II, 711; Lusitano, In tema di accesso abusivo a sistemi informatici o telematici, in Giur. it., 1998, c. 1923; Fiandaca-Musco, Diritto penale, parte speciale. I delitti contro la persona, Bologna, 2006, 250 e ss.; Mantovani, Diritto penale, parte speciale. Delitti contro la persona, Padova, 2005, 498 ss.


(4) Cass. 10 luglio 2003, n. 32440, P.M. in proc. Larné, rv. 226259, richiamando i lavori preparatori della l. 23 dicembre 1993, n. 547, afferma che “i sistemi informatici costituiscono “un'espansione ideale dell'area di rispetto pertinente al soggetto interessato, garantito dall'art. 14 della Costituzione e penalmente tutelata nei suoi aspetti più essenziali e tradizionali agli artt. 614 e 615 c.p.”. Secondo Cass. 4 ottobre 1999, n. 3067, P.M. in proc. Piersanti, rv. 214946, in Foro it., 2000, II, 133, per domicilio informatico deve intendersi “lo spazio ideale (ma non anche fisico) in cui sono contenuti i dati informatici di pertinenza della persona, che deve essere salvaguardato, al fine di impedire non solo la violazione della riservatezza della propria vita privata, ma qualsiasi tipo di intrusione, anche se relativa a profili economico-patrimoniali”.


(5) Sui rapporti tra il diritto penale ed Internet si veda anche: Di Lello, Internet e Costituzione: garanzia del mezzo e suoi limiti, in Dir.inf., 2007, 895 ss.; Picotti, Sistematica dei reati informatici, tecniche di formulazione legislativa e beni giuridici tutelati, in Picotti (a cura di), Il diritto penale dell'informatica nell'epoca di Internet, Padova, 2004, 21 ss.; Seminara, La pirateria su Internet e il diritto penale, in Riv.trim.dir.pen.econ., 1997, 71 ss. Osserva Pecorella, op.cit., p. 33 che l'aspetto che caratterizza i comportamenti criminali commessi a mezzo Internet non è tanto un (irrilevante) collegamento con la tecnologia informatica, quanto le peculiarità che presenta il sistema di telecomunicazione all'interno del quale quei fatti sono stati realizzati: “un sistema che non ha una disciplina specifica e universale; che non è comandato o controllato da alcuna autorità sopranazionale; che consente agli utenti l'assoluto anonimato; un sistema, infine, all'interno del quale i dati circolano e si riproducono con una tale velocità e superando distanze talmente immense da rendere spesso vano ogni tentativo di delimitazione spazio-temporale degli illeciti commessi”.


(6) La nozione di cybercrimine ha una valenza più descrittiva che ricostruttiva, in quanto non è stata espressamente accolta nel nostro ordinamento. La convenzione Cybercrime promossa dal Consiglio d'Europa ed approvata a Budapest il 23 novembre 2001 enuncia una nozione di reato cibernetico in senso proprio, ma si applica anche a tutti i reati comunque commessi mediante un sistema informatico, nonché a qualsiasi altro reato di cui si debbano o possano raccogliere le prove in forma elettronica. Sulla nozione di reato cibernetico si veda: Picotti, Internet e diritto penale: il quadro attuale alla luce dell'armonizzazione internazionale, in Dir. internet, 2005, 189 ss.


(7) Per una razionalizzazione delle questioni di diritto penale poste da tali fenomeni criminali si veda Flor, Phishing, identity theft e identity abuse. Le prospettive applicative del diritto penale vigente, in Riv.dir.pen.proc., 2007, 939.


(8) Per misure di sicurezza (o, più propriamente, misure di protezione) deve intendersi qualsiasi meccanismo di selezione dei soggetti abilitati all'accesso al sistema protetto, anche se si tratta di elementi esterni al sistema, cfr. sul punto: Fiandaca-Musco, op.cit., 246; Mantovani, op.cit., 501.


(9) Cass. 7 novembre 2000, n. 12732, Zara, rv. 217743, in Cass. pen., 2002, 1015, con nota adesiva di Cuomo-Izzi, Misure di sicurezza e accesso abusivo ad un sistema informatico telematico.


(10) Mantovani, op.cit., 453; Borruso, op. cit., 32; Pazienza, op. cit., 756.


(11) Mucciarelli, Commento alla l. 547/93, in Leg.pen., 1996, 100; Pica, op. cit., 51


(12) Secondo Cass. 6 febbraio 2007, n. 11689, Cerbone ed altro, rv. 236221, il delitto di accesso abusivo ad un sistema informatico, che è reato di mera condotta, si perfeziona con la violazione del domicilio informatico e, quindi, con l'introduzione in un sistema costituito da un complesso di apparecchiature che utilizzano tecnologie informatiche, senza che sia necessario che l'intrusione sia effettuata allo scopo di insidiare la riservatezza dei legittimi utenti e che si verifichi una effettiva lesione alla stessa (Fattispecie in cui il reato è stato ravvisato nella condotta degli imputati che si erano introdotti in una centrale Telecom ed avevano utilizzato apparecchi telefonici opportunamente modificati, per allacciarsi a numerose linee di utenti, stabilendo, all'insaputa di costoro, contatti con utenze caratterizzate dal codice 899).


(13) Salvadori, L'esperienza giuridica degli Stati Uniti d'America in materia di hacking e cracking, in Riv.dir.pen.proc., 2008, 1243.


(14) Sulla figura criminosa del phishing e sul suo inquadramento giuridico si vedano: Cajani, Profili penali del phishing, in Cass. pen. 2007, pp. 2294 e ss.; Flor, op.cit., 899 e ss.; ID., Phishing, Internet fraud, identity theft: nuove forme di criminalità on line, in Picotti (a cura di), Tutela penale della persona e nuove tecnologie, Quaderni per la riforma del codice penale, Padova, 2007.


(15) Trib. Bologna, 21 luglio 2005, in questa Rivista, 2006, con nota di D'Arcangelo, Accesso abusivo ad un sistema informatico mediante induzione in errore dell'utente, ed in Dir. Internet, 2006, 153 ss. con nota di Luparia-Catullo, Il caso “Vierika”: un interessante pronuncia in materia di virus informatici e prova penale digitali. I profili processuali e penali; App. Bologna 30 gennaio 2008, in questa Rivista, 2008, 1071, con nota di D'Arcangelo, L'accesso abusivo ad un sistema informatico nell'era di Internet.


(16) Secondo Cass. 11 dicembre 2007, n. 47096, Tramalloni, rv. 238284, in Cass. pen., 2008, p. 4669, con nota adesiva di Aterno, La cognizione di corrispondenza informatica del dipendente da parte del superiore gerarchico, “non integra il reato di cui all'art. 616 c.p. la condotta del superiore gerarchico che prenda cognizione della posta elettronica contenuta nel computer del dipendente, assente dal lavoro, dopo avere a tal fine utilizzato la password in precedenza comunicatagli in conformità al protocollo aziendale”. Su tali temi si veda anche Buffa, La riservatezza della password aziendale e delle cartelle informatiche protette da password, in Dir. Internet, 2007, 2, 125 e ss.


(17) Cass. 7 novembre 2000, n. 12732, cit.


(18) Osserva icasticamente Cass. 7 novembre 2000, n. 12732, cit., “se l'accesso richiede un'autorizzazione e questa è destinata ad un determinato scopo, l'utilizzazione dell'autorizzazione per uno scopo diverso non può non considerarsi abusiva”. Nel caso di specie l'imputato era uscito da una società per intraprendere analoga attività lavorativa e, non avendo ottenuto di poter utilizzare come locatario l'impianto informatico della società, ne aveva copiato i dati su un analogo calcolatore, facilitandosi così l'acquisizione di un gran numero di clienti della società da cui aveva esercitato il recesso.


(19) Cass. 21 febbraio 2002, n. 7041, in Guida al dir., 2002, 18, 74.


(20) Trib. Gorizia, 19 febbraio 2003, in Riv. pen., 2003, 891 con nota adesiva di Tarlao, Accesso abusivo a sistema informatico: natura della misure di protezione; in tale decisione il reato di accesso abusivo ad un sistema informatico veniva ritenuto insussistente poiché la condotta era inidonea a ledere gli interessi protetti e poiché l'imputato aveva titolo a conoscere ed utilizzare i dati protetti. Cfr. anche in termini non dissimili Trib. Torino, 7 febbraio 1998, in Giur. merito, 1998, 708, relativamente ad una ipotesi di duplicazione ed utilizzo contro la volontà dell'avente diritto dei dati contenuti in un sistema informatico aziendale da parte di ex dipendenti.


(21) Cass. 20 dicembre 2007, n. 2534, P.M. in proc. Migliazzo ed altri, rv. 239105.


(22) Cass. 29 maggio 2008, n. 26797, Scimia, rv. 240497, afferma che non commette il reato di cui all'art. 615 ter c.p. il soggetto il quale, avendo titolo per accedere al sistema, se ne avvalga, sia pure per finalità illecite, fermo restando che egli dovrà comunque rispondere dei diversi reati che risultino eventualmente configurabili, ove le suddette finalità vengano poi effettivamente realizzate.


(23) Cass. 14 dicembre 1999, n. 3067, P.M. e Piersanti, rv., 214945, in Cass. pen., 2000, 2990 e ss., con note di Aterno, Sull'accesso abusivo ad un sistema informatico o telematico, e di Cuomo, La tutela penale del domicilio informatico. Tale sentenza afferma che “con il riferimento al “domicilio informatico”, sembra che il legislatore abbia voluto individuare il luogo fisico - come sito in cui può estrinsecarsi la personalità umana - nel quale è contenuto l'oggetto della tutela (qualsiasi tipo di dato e non i dati aventi ad oggetto particolari contenuti), per salvaguardarlo da qualsiasi tipo di intrusione (ius excludendi alios), indipendentemente dallo scopo che si propone l'autore dell'abuso. Pare, infatti, che, una volta individuato nell'accesso abusivo a sistema informatico un reato contro la libertà individuale, il legislatore sia stato quasi “costretto” dalla sistematica del codice a quel tipo di collocazione, senza però che con la collocazione stessa si sia voluto anche individuare, in via esclusiva, il bene protetto con riferimento alle norme sulla violazione di domicilio, cioè la pax domestica ovvero la quiete e la riservatezza della vita familiare”.


(24) Nella medesima sentenza di rileva, altresì, che “l'infedeltà dell'agente ammesso in via privilegiata al sistema...è tutta assorbita, nella pure contestata, condotta di rivelazione di notizie (dati) d'ufficio destinati a rimanere segreti”.


(25) Cass. 29 maggio 2008, n. 26797,cit.


(26) Tale argomento è enunciato in forma limpida da Cass. 20 dicembre 2007, n. 2534, cit.


(27) Secondo Cass. 4 dicembre 2006, n. 6459, Bertolini ed altro, rv. 236049, non integra il reato di accesso abusivo ad un sistema informatico (art. 615 ter c.p.) -che ha per oggetto un sistema informatico protetto da misure di sicurezza e richiede che l'agente abbia neutralizzato tali misure - colui che, senza avere concorso nell'accesso abusivo e conseguente indebito trasferimento (cosiddetto trascinamento) della cartella contenente dati riservati del proprio datore di lavoro dall'area protetta alla cosiddetta area comune del sistema informatico, a cui possono accedere tutti i dipendenti, acceda all'area comune avvalendosi solo di dati e strumenti di cui sia legittimamente in possesso e prenda visione della cartella riservata trasferendola su un dischetto.


(28) Cass. 6 luglio 2007, n. 31135, Casanova, rv. 237601, in Dir. prat.lav., 2007, 2508, afferma che integra il delitto di intercettazione illecita di comunicazioni informatiche o telematiche (art. 617 quater, comma primo, c.p.) la condotta di colui che si avvalga di mezzi atti ad eludere i meccanismi di sicurezza preordinati ad impedire l'accesso di estranei alle comunicazioni. (In applicazione di questo principio la S.C. ha escluso che abbiano rilievo la circostanza che l'autore di siffatta condotta rivesta la qualità di amministratore di sistema connessa alla qualità di responsabile dei servizi informatici, abilitato pertanto ad inserirsi nel sistema, perché tale qualità non lo abilita, comunque, ad accedere - come accaduto nella fattispecie - alla casella di posta elettronica del singolo account protetta da apposita password; nonché la agevole identificabilità quale autore e installatore del programma di intercettazione dello stesso amministratore di sistema).


(29) Osserva Flor, Art. 615 ter c.p.: natura e funzioni delle misure di sicurezza, consumazione del reato e bene giuridico protetto, in Dir.pen.proc., 2008, 112, che “la distinzione fra spazi “riservati” e spazi “condivisi” o “comuni” di un sistema informatico...è indissolubilmente legata alla manifestazione della voluntas domini”.


(30) Secondo Flor, op.ult.cit., 112, “un sistema informatico può ospitare al proprio interno, inoltre, una pluralità di spazi riservati, di pertinenza esclusiva di diversi soggetti, anche se individuati o collocati fisicamente in un'unica struttura tecnico informatica o in un insieme di interconnessioni fra elaboratori, oppure in un “macro sistema” il cui “titolare” concede una limitata autonomia operativa e gestionale a terzi soggetti” e, “pertanto, tale spazio informatico deve essere anche inteso non tanto quale area riservata ed esclusiva in senso assoluto, ma piuttosto quale zona virtuale delimitata -ove i limiti sono manifestati e precisati proprio dalle misure di sicurezza- su cui il “detentore qualificato” può esercitare uno ius excludendi alios condizionato alle regole stabilite dal medesimo titolare, sino a non poterlo esercitare nei confronti di quei soggetti che, in base al suo legittimo consenso, egli abilita ad accedere”.


(31) Di Lembo, op.cit., 925.