Codice Penale art. 615 ter - Accesso abusivo ad un sistema informatico o telematico 1 .

Soggetto attivo

Soggetto attivo può essere chiunque e quindi tanto un soggetto vicino al sistema informatico, quanto un estraneo allo stesso (Fiandaca-Musco, 245). Il reato è pertanto comune.

L'aggressione ai sistemi informatici e telematici è solitamente realizzata da soggetti con elevate conoscenze e capacità tecnico-informatiche, che vengono definiti «hacker». Hacker è colui che tramite il proprio personal computer trova collegamenti o cerca accessi non autorizzati a informazioni o banche dati: «si tratta in genere di soggetti caratterizzati da un elevato tasso di conoscenze tecniche e che talvolta sono animati da motivazioni di carattere politico o ideologiche, muovendo dalla considerazione che l'accesso ai sistemi o ai dati deve essere garantito a tutti, in modo da poter permettere a chiunque di beneficiare delle informazioni ivi disponibili» (Garofoli, 350).

Tuttavia «hacker» è oggi l'espressione universalmente impiegata per indicare ogni tipo di comportamento che possa integrare una fattispecie di reato con il ricorso a strumenti informatici o telematici. L'allarme sociale per le interferenze e i sabotaggi si è diffuso ovunque i processi di automazione hanno assunto una notevole influenza sociale per la possibilità degli «hacker» di alterare il funzionamento di rilevanti settori di interesse collettivo in modo assolutamente imprevedibile, come è del resto sottolineato dalla creazione e dal potenziamento in tutto il mondo di strutture governative deputate alla prevenzione ed al contrasto delle intrusioni informatiche.

Molto spesso, tuttavia, gli accessi abusivi sono commessi da dipendenti infedeli, che, avendo conoscenza dei codici di accesso per interagire con il sistema della società o dell'ente per cui lavorano, sono in grado di compiere una serie di atti criminali in genere preclusi alla generalità dei cittadini o, comunque, accessibili solo a soggetti maggiormente esperti nell'uso delle tecnologie.

Materialità

La condotta consiste nell'introdursi in un sistema informatico o telematico, ovvero nel trattenersi nel medesimo sistema in maniera abusiva.

La particolarità del bene giuridico tutelato e il costante sviluppo tecnologico richiedono una attenta indagine al fine di individuare correttamente il significato di “sistema informatico o telematico”.

Sistema informatico

L'art. 1 della Convenzione Europea di Budapest del 23 novembre 2001 fornisce la definizione di «sistema informatico» che viene individuato in «qualsiasi apparecchiatura o gruppo di apparecchiature interconnesse o collegate, una o più delle quali, in base ad un programma, compiono l'elaborazione automatica dei dati».

La l. n. 547/1993, che ha introdotto nel codice penale i cosiddetti «computer's crimes», non ha enunciato, quale oggetto di tutela, la definizione di «sistema informatico», ma ne ha presupposto il significato ed i profili tecnici.

Il riferimento a strumenti tecnologici impiegati a fini di automazione è inserito in varie disposizioni di legge, che contengono espressioni come elaboratore elettronico, sistema informativo automatizzato, centro di elaborazione dati, impianto meccanografico, o altro.

Per evitare vuoti di tutela è preferibile assumere la nozione più ampia possibile di computer, per ricomprendervi i sistemi a programma variabile, gli elaboratori cosiddetti dedicati, nonché i calcolatori nei quali l'inserimento del software è precostituito mediante «firmware» o circuitazione integralmente prestabilita e non mutabile.

Per assecondare tale esigenza sono state, ad esempio, qualificate come sistema informatico «le carte di credito che sono idonee a trasmettere dati elettronici nel momento in cui si connettono all'apparecchiatura Pos» (Cass. fer, n. 43755/2012).

In assenza di una puntuale classificazione legislativa, è stata la giurisprudenza a fornire una definizione tendenzialmente valida per tutte le fattispecie incriminatrici, che fanno riferimento all'espressione «sistema informatico».

Deve ritenersi «sistema informatico», secondo la ricorrente espressione utilizzata nella l. n. 547/1993, che ha introdotto nel codice penale i cosiddetti «computer's crimes», un complesso di apparecchiature destinate a compiere una qualsiasi funzione utile all'uomo, attraverso l'utilizzazione (anche parziale) di tecnologie informatiche, che sono caratterizzate — per mezzo di un'attività di «codificazione» e «decodificazione» — dalla «registrazione» o «memorizzazione», per mezzo di impulsi elettronici, su supporti adeguati, di «dati», cioè di rappresentazioni elementari di un fatto, effettuata attraverso simboli (bit), in combinazione diverse, e dalla elaborazione automatica di tali dati, in modo da generare «informazioni», costituite da un insieme più o meno vasto di dati organizzati secondo una logica che consenta loro di esprimere un particolare significato per l'utente. È stato ritenuto che la valutazione circa il funzionamento di apparecchiature a mezzo di tali tecnologie costituisce giudizio di fatto insindacabile in cassazione ove sorretto da motivazione adeguata e immune da errori logici. [Nella specie è stata ritenuta corretta la motivazione dei giudici di merito che avevano riconosciuto la natura di «sistema informatico» alla rete telefonica fissa — sia per le modalità di trasmissione dei flussi di conversazioni sia per l'utilizzazione delle linee per il flusso dei cosiddetti «dati esterni alle conversazioni» — in un caso in cui erano stati contestati i reati di accesso abusivo a sistema informatico (art. 615-ter) e di frode informatica (art. 640-ter)] (Cass. VI, n. 3067/1999).

Un normale personal computer assurge al rango di sistema informatico allorquando si caratterizza per l'impiego di periferiche, per l'interconnessione (anche potenziale) con altri dispositivi elettronici, per la pluralità dei pacchetti applicativi installati, per la molteplicità dei dati trattati e per le funzioni complessivamente svolte.

Per individuare la categorie delle apparecchiature oggetto di tutela, è necessario che i singoli sistemi utilizzino, in tutto o in parte, tecnologie elettroniche che trattano e rappresentano informazioni attraverso simboli numerici elementari denominati «bit» che, organizzati in opportune combinazioni, vengono sottoposti ad elaborazione automatica.

La definizione offerta dalla giurisprudenza è fondata sul passaggio dal «dato» all'«informazione», nel senso che alla funzione di registrazione e di memorizzazione elettronica dei dati come rappresentazione elementare di un fatto, si affianca l'attività complementare di elaborazione e di organizzazione logica, con formazione di un insieme coordinato di «informazioni».

Può pertanto affermarsi che oggetto della condotta è l'abusiva intrusione in un sistema informatico, che si identifica in un apparato elettronico in grado di elaborare un elevato numero di dati, opportunamente codificato e capace di produrre come risultato un altro insieme di informazioni, che può essere reso intellegibile da un programma in grado di far cambiare lo stato interno dell'apparato e di variarne, all'occorrenza, il risultato.

In tale accezione devono essere ricompresi sia i sistemi di scrittura o di automazione d'ufficio ad uso individuale di qualunque tipo e dimensione, sia i più complessi sistemi di elaborazione in grado di erogare, anche in rete, servizi e potenza di calcolo ad una pluralità di utenti interconnessi.

Ciò che caratterizza il sistema informatico è la diversa programmabilità e la variabilità dei risultati (ritenendo diversamente si rischierebbe di confonderlo con un mero apparecchio elettronico).

Il termine è suscettibile di ricomprendere come possibile oggetto di attacco tanto la macchina nel suo insieme, quanto i suoi singoli componenti, a condizione che il complesso delle apparecchiature, dei programmi e delle informazioni sia unitariamente finalizzato all'espletamento di determinate funzioni ed al raggiungimento di specifiche utilità.

Sistema telematico

Con l'espressione «sistema telematico» le disposizioni sui crimini informatici rinviano ad un insieme combinato di apparecchiature idonee alla trasmissione a distanza di dati e di informazioni, attraverso l'impiego di tecnologie dedicate alle telecomunicazioni.

Secondo la dottrina, «”telematico” sta per metodo tecnologico di trasmissione e circolazione del pensiero e, quindi, dei dati o delle informazioni a distanza, mediante l'impiego di un linguaggio computerizzato, che veicola informazioni automatizzate» (Sorgato, 42).

Il collegamento tra più sistemi informatici deve, tuttavia, soddisfare alcuni requisiti essenziali: a) la connessione deve avere carattere stabile (attraverso canali di comunicazione televisivi, satellitari, telefonici, via etere) o permanente (Lan o rete collegata via cavo);

b) lo scambio di informazioni e la connessione tra elaboratori distanti deve essere il mezzo necessario per conseguire le finalità operative del sistema.

La definizione di telematica deriva dalla contrazione semantica tra i termini «telecomunicazioni» e «informatica» per indicare la trasmissione a distanza e la circolazione dei dati con i moderni sistemi di diffusione delle informazioni.

I sistemi informatici o telematici devono essere protetti da misure di sicurezza, in quanto tale circostanza è sintomatica della volontà di impedire l'accesso a persone non autorizzate (Picotti, 114).

Per “misure di sicurezza” devono genericamente intendersi tutti quei «mezzi di protezione sia logica che fisica (materiale o personale) che il “dominus” del sistema informatico o telematico abbia predisposto al fine di riservare l'accesso o la permanenza alle sole persone da lui autorizzate» (Pestelli, 2320 ss.).

L'art. 4, comma 3, lett. a), d.lgs. n. 196/2003 (codice della privacy) definisce “misure minime” «il complesso delle misure tecniche, informatiche, organizzative, logistiche e procedurali di sicurezza che configurano il livello minimo di protezione richiesto in relazione ai rischi previsti nell'articolo 31».

La precisazione era senza dubbio doverosa: «l'assenza di una “fisicità” direttamente percepibile e la possibilità di connettersi con estrema facilità con sistemi di varia natura e portata ha imposto al legislatore di definire la antigiuridicità degli accessi, limitandola a quelli posti in essere in presenza di sistemi di sicurezza» (Parodi-Calice, 65).

Le misure protettive si atteggiano, in ambiente informatico, a surrogato della perimetrazione muraria o della delimitazione spaziale connaturata al domicilio tradizionale per la tutela di beni giuridici come il patrimonio, la riservatezza, la fede pubblica, l'inviolabilità dei segreti e la libertà individuale.

La giurisprudenza ha osservato che nella nozione “di misure di sicurezza” possono farsi rientrare tutte quelle misure di protezione, al cui superamento è possibile subordinare l'accesso ai dati e ai programmi contenuti nel sistema. Può trattarsi, ad es., di codici di accesso, alfabetici o numerici, da digitarsi alla tastiera, ovvero memorizzati sulla banda magnetica di una tessera da introdurre in un apposito lettore. Oltre a queste misure c.d. logiche, vengono in rilievo anche misure di tipo fisico (ad es. chiavi metalliche per l'accensione dell'elaboratore); in tal caso si fa riferimento a queste misure con l'espressione misure di protezione hardware, per distinguerle da quelle logiche di tipo software. È certamente necessario che il sistema non sia aperto a tutti, ma assume rilevanza qualsiasi meccanismo di selezione che abiliti all'accesso» (Cass. II, n. 36721/2008).

L'elusione delle barriere protettive può avvenire in qualsiasi modo, sia modificando i presupposti conoscitivi del software che regola gli accessi, che individuando password con ripetuti tentativi o aggirando in ogni altro modo la protezione.

Nel delitto di accesso abusivo a un sistema informatico o telematico, «la violazione dei dispositivi di protezione non assume rilevanza per sé, ma solo come eventuale manifestazione di una volontà contraria a quella di chi dispone legittimamente del sistema: l'art. 615-ter, infatti, punisce, al comma primo, non solo chi abusivamente si introduce in tali sistemi, ma anche chi vi si trattiene contro la volontà —esplicita o tacita — di colui che ha il diritto di escluderlo» (Cass. V, n. 12732/2000)

In particolare, attraverso la repressione di quelle condotte si assicurerebbe «un livello anticipato e preventivo di protezione rispetto al momento dell'effettiva lesione dell'integrità delle informazioni o dei sistemi informatici, garantendo così anche l'interesse super-individuale o di natura collettiva a che l'accesso a sistemi informatici ed alla stessa rete avvenga per finalità lecite e in modo tale da essere regolare per la sicurezza degli utenti» (Pecorella, 3692).

Ha formato oggetto di ampio dibattito, anche in giurisprudenza, se l'apposizione di un codice di accesso o di una parola chiave possa costituire una misura di sicurezza, la cui effrazione sia in grado di integrare il reato previsto dall'art. 615-ter, sul presupposto che la norma parla di misure al plurale e sembra riferirsi a qualcosa di più complesso di una semplice «password».

È stato rilevato che l'utilizzo del plurale rappresenta solo un collegamento grammaticale (in parallelo con «i sistemi») e che anche la predisposizione di una protezione piuttosto banale e facilmente aggirabile non esclude, in caso di accesso da parte di chi non è autorizzato, la sussistenza del reato. La fattispecie non richiede un determinato coefficiente di efficacia delle misure di sicurezza, né fornisce alcun parametro tecnico per valutarne l'efficienza, perché una ricognizione successiva alla commissione dell'intrusione farebbe emergere che nessun accorgimento potrebbe mai reputarsi davvero valido. L'art. 615-ter ha inteso reprimere ogni incursione che avvenga contro la precisa volontà del titolare e, per rendere penalmente apprezzabile il segnale esteriore del concreto esercizio del diritto di esclusione dei terzi, è sufficiente qualsiasi mezzo di protezione o misura di sicurezza, anche se facilmente aggirabile da una persona mediamente esperta.

A conclusione di tale percorso di elaborazione concettuale, la giurisprudenza ha affermato che «integra il delitto di introduzione abusiva in un sistema informatico o telematico l'accesso ad un sistema che sia protetto da un dispositivo costituito anche soltanto da una parola chiave o «password»» (Cass. II, n. 36721/2008).

La tutela dalle altrui indiscrezioni e, quindi, «la volontà del titolare del sistema di escludere i terzi da indebite interferenze o intrusioni, è destinata a prevalere sull'effettiva funzionalità operativa e sulla reale efficacia protettiva e dissuasiva delle misure di sicurezza (anche se agevolmente superabili). È stato affermato che «la protezione del sistema può essere adottata anche con misure di carattere organizzativo, che disciplinino le modalità di accesso ai locali in cui il sistema è ubicato e indichino le persone abilitate al suo utilizzo» (Cass. V, n. 37322/2008).

Come già indicato la condotta tipica consiste nell'introdursi in un sistema informatico o telematico, ovvero nel trattenersi nel medesimo sistema in maniera abusiva

L'introduzione abusiva

Al fine di delineare correttamente il contenuto della fattispecie occorre preliminarmente chiarire come debba interpretarsi il termine “accesso” (o meglio “introduzione” come precisato dal testo della norma) all'interno di un sistema informatico o telematico.La condotta incriminata implica una interazione tra l'agente e il sistema, realizzata mediante l'utilizzo della tastiera ovvero attraverso una connessione telematica e concerne la «intrusione da parte di colui che non sia in alcun modo abilitato» (Cass. V, n. 1727/2008).

Autorevole dottrina, in particolare, rileva che la condotta di accesso al sistema informatico può scindersi in due eventuali fasi: l'accesso fisico, consistente nella materiale accensione del computer, e l'accesso logico, consistente nell'inizio del colloquio con il software, ed evidenzia che per l'integrazione del reato non è sufficiente il mero accesso fisico ma è necessario l'utilizzo delle tecnologie informatiche attraverso cui si compie «l'introduzione elettronica» e cioè il colloquio attivo con il software (Garofoli, 350).

Per la giurisprudenza il termine “accesso” è riferito «non tanto al semplice collegamento fisico, ovvero all'accensione dello schermo, quanto a quello logico, ovvero al superamento della barriera di protezione del sistema che rende possibile il dialogo con il medesimo, in modo che l'agente venga a trovarsi nella condizione di conoscere dati o informazioni» (Cass. V, n. 37322/2008), posto che «è solo in quel momento che può dirsi realizzata la situazione di pericolo per la riservatezza dei dati e dei programmi memorizzati dall'elaboratore, che giustifica l'intervento della sanzione penale» (Cass. II n. 36721/2008).

Secondo la dottrina, «per “accesso” deve ritenersi, piuttosto che un semplice collegamento fisico (ossia la chiamata telefonica tramite modem o l'accensione dello schermo) quello logico (ossia il superamento della barriera, quale essa sia, di protezione al sistema, così che risulti possibile un “dialogo” con il medesimo, ovvero l'entrata o il collegamento con un sistema non protetto), nel caso in cui, avendo superato qualsiasi barriera prevista per il sistema, l'agente venga a trovarsi nella condizione di conoscere direttamente dati, informazioni o programmi in esso contenuti» (Parodi-Calice 54).

L'introduzione, come non hanno mancato di rilevare i commentatori della disposizione normativa, «può avvenire “da lontano”, cioè per via elettronica, allorché venga utilizzato un altro elaboratore; ovvero “da vicino”, ad opera di chi si venga a trovare a diretto contatto con il sistema informatico» (Cerqua, 53).

Il presupposto dell'incriminazione, come già precisato, è l'instaurazione di una “dialogo comunicativo” con il sistema, che può avvenire, se l'utente non è legittimato, con «l'utilizzo di password carpite da terzi, o l'impiego di appositi software per individuare password, o inoltrandosi in livelli di accesso diversi da quelli per cui si è legittimati, o contravvenendo a specifici regolamenti che disciplinino tempi, modalità o qualifiche dell'accesso» (Civardi, 60).

Il mantenimento abusivo

Oltre all'introduzione è punito, in via alternativa, anche il mantenimento all'interno del sistema, che presuppone una legittima ammissione nell'ambiente informatico e una successiva volontà di espulsione dell'avente diritto.

La condotta di accesso è prodromica a quella di mantenimento e tale successiva condotta si realizza, dunque, nei casi in cui ad un ingresso originariamente legittimo faccia seguito un trattenimento illegittimo, che perdura consapevolmente.

La condotta di mantenimento si realizza già con la digitazione di una serie di comandi con cui si richieda ad un sistema informatico di eseguire una determinata operazione e questo risponda in modo positivo, permettendo al soggetto richiedente di utilizzare in tutto o in parte le sue risorse. [...] Essa va intesa come un continuare ad accedere o restare connesso con il sistema, eccedendo i limiti dell'autorizzazione. In altre parole, il soggetto si trattiene “invito domino” nel sistema informatico nel momento in cui non “esce” (log-out) dal sistema, interrompendo il dialogo logico instaurato fortuitamente od inizialmente autorizzato da parte del titolare o, comunque, alla stregua delle prescrizioni e regole da questi impartite.

È evidente che «non ci si potrà “mantenere” all'interno di un sistema informatico o telematico altrui se prima non ci si sarà introdotti in esso. Quello che potrebbe apparire come un inutile pleonasmo del legislatore, tuttavia, trova la sua giustificazione in tutti quei casi, piuttosto frequenti, soprattutto in ambito lavorativo ad opera di dipendenti infedeli, in cui, seppur sia lecita l'introduzione all'interno del sistema, magari perché regolarmente autorizzati, pongano in essere un successivo illecito mantenimento all'interno del sistema, ad esempio perché operato in difformità ed in contrasto con gli accordi esistenti con il titolare, ovvero oltrepassando i limiti dell'autorizzazione all'accesso. [...]

Si ritiene, quindi, più adeguata l'espressione “abusivamente” per qualificare l'introduzione, quale atto considerato come “ab initio” non autorizzato e quindi illecito, ed invece più congruo l'inciso “contro la volontà espressa o tacita di chi ha il diritto di escluderlo”, con riferimento all'illiceità sopravvenuta della condotta di mantenimento nel sistema, autonomamente prevista proprio per far rientrare nella norma anche il fatto illecito del “permanere” non autorizzato dell'agente nel sistema, dopo che vi ha acceduto lecitamente» (Perri, 1657).

Secondo la giurisprudenza “commette il reato previsto dall'art. 615-ter il soggetto che, «avendo titolo per accedere al sistema, lo utilizzi per finalità diverse da quelle consentite» (Cass. V, n. 37322/2008), «contro la volontà espressa o tacita di chi abbia il diritto di escluderlo» (Cass. V, n. 24583/2011), «per raccogliere dati protetti per finalità estranee alle ragioni di istituto ed agli scopi sottostanti alla protezione dell'archivio informatico, in quanto la norma non punisce soltanto l'accesso abusivo ma anche la condotta di chi vi si mantenga contro la volontà espressa o tacita di chi ha il diritto di escluderlo» (Cass. V, n. 2987/2010; Cass. V, n. 18006/2009).

Il fondamento dell'incriminazione sia dell'introduzione, che del mantenimento all'interno dell'altrui sistema di elaborazione dei dati, è stato illustrato dalla Cass. V, n. 12732/2000 secondo cui la fattispecie non consiste «in un illecito caratterizzato dall'effrazione dei sistemi protettivi, perché altrimenti non avrebbe rilevanza la condotta di chi, dopo essere legittimamente entrato nel sistema informatico, vi si mantenga contro la volontà del titolare. Ma si tratta di un illecito caratterizzato appunto dalla contravvenzione alle disposizioni del titolare, come avviene nel delitto di violazione di domicilio, che è stato notoriamente il modello di questa nuova fattispecie penale, tanto da indurre molti a individuarvi, talora anche criticamente, la tutela, di un "domicilio informatico". [...] D'altro canto, l'analogia con la fattispecie della violazione di domicilio deve indurre a concludere che integri la fattispecie criminosa anche chi, autorizzato all'accesso per una determinata finalità, utilizzi il titolo di legittimazione per una finalità diversa e, quindi, non rispetti le condizioni alle quali era subordinato l'accesso. Infatti, se l'accesso richiede un'autorizzazione e questa è destinata a un determinato scopo, l'utilizzazione dell'autorizzazione per uno scopo diverso non può non considerarsi abusiva».

In tale prospettiva ermeneutica, la norma posta dall'art. 615-ter, nel configurare il reato di "accesso abusivo", sanziona non solo la condotta del cosiddetto hacker o "pirata informatico", cioè di quell'agente che, non essendo abilitato ad accedere al sistema protetto, riesca tuttavia ad entrarvi scavalcando la protezione costituita da una chiave di accesso (password), ma anche quella del soggetto abilitato all'accesso, e perciò titolare di un codice d'ingresso, che s'introduca legittimamente nel sistema, per finalità però diverse da quelle delimitate specificamente dalla sua funzione e dagli scopi per i quali la password gli è stata assegnata. L'enunciata interpretazione è affermata anche dalla V Sezione della Corte di Cassazione con le sentenze: Cass. V, n. 37322/2008, Cass. V, n. 1727/2008, Cass. V, n. 18006/2009, Cass. V, n. 2987/2009, Cass. V, n. 19463/2010, Cass. V, n. 39620/2010. In particolare, nelle sentenze Bassani e Lesce, era stato espressamente enunciato che il comma 1 dell'art. 615-ter  sanziona non soltanto l'introduzione abusiva in un sistema informatico protetto, ma anche il mantenersi al suo interno  contro la volontà espressa o tacita di chi abbia il diritto di escluderlo  da parte di soggetto abilitato, il cui accesso, di per sé legittimo, diviene abusivo, e perciò illecito, per il suo protrarsi all'interno del sistema per fini e ragioni estranee a quelle d'istituto

Un orientamento diverso e contrastante è stato espresso, invece, dalla sentenza Migliazzo (Cass. V, n. 2534/2007, Cass. V, n. 26797/2008, Cass.  VI, n. 3290/2008, Cass.  V, n. 40078/2009), che hanno valorizzato il dettato della prima parte del comma 1 dell'art.615-ter , e hanno ritenuto perciò illecito il solo accesso abusivo, e cioè quello effettuato da soggetto non abilitato, mentre sempre e comunque lecito considerano l'accesso del soggetto abilitato, ancorché effettuato per finalità estranee a quelle d'ufficio (espressamente sul punto la sentenza Peparaio) e perfino illecite (cosi la sentenza Scimia).Le Sezioni Unite della Corte di Cassazione chiamate a dirimere il contrasto nella  sentenza Cass. n. 4694/2012 a fronte del contrastante quadro interpretativo hanno ritenuto che la questione di diritto controversa non dovesse essere riguardata sotto il profilo delle finalità perseguite da colui che accede o si mantiene nel sistema, in quanto la volontà del titolare del diritto di escluderlo si connette soltanto al dato oggettivo della permanenza (per così dire "fisica") dell'agente in esso. Ciò significa che la volontà contraria dell'avente diritto deve essere verificata solo con riferimento al risultato immediato della condotta posta in essere, non già ai fatti successivi. Rilevante deve ritenersi, perciò, il profilo oggettivo dell'accesso e del trattenimento nel sistema informatico da parte di un soggetto che sostanzialmente non può ritenersi autorizzato ad accedervi ed a permanervi sia allorquando violi i limiti risultanti dal complesso delle prescrizioni impartite dal titolare del sistema (nozione specificata, da parte della dottrina, con riferimento alla violazione delle prescrizioni contenute in disposizioni organizzative interne, in prassi aziendali o in clausole di contratti individuali di lavoro) sia allorquando ponga in essere operazioni di natura ontologicamente diversa da quelle di cui egli è incaricato ed in relazione alle quali l'accesso era a lui consentito. In questi casi è proprio il titolo legittimante l'accesso e la permanenza nel sistema che risulta violato: il soggetto agente opera illegittimamente, in quanto il titolare del sistema medesimo lo ha ammesso solo a ben determinate condizioni, in assenza o attraverso la violazione delle quali le operazioni compiute non possono ritenersi assentite dall'autorizzazione ricevuta.Il dissenso tacito del dominus loci non viene desunto dalla finalità (quale che sia) che anima la condotta dell'agente, bensì dall'oggettiva violazione delle disposizioni del titolare in ordine all'uso del sistema. Irrilevanti sono pertanto stati considerati gli eventuali fatti successivi: questi, se seguiranno, saranno frutto di nuovi atti volitivi e pertanto, se illeciti, saranno sanzionati con riguardo ad altro titolo di reato (rientrando, ad esempio, nelle previsioni di cui agli artt. 326, 618, 621 e 622). Il giudizio circa l'esistenza del dissenso del dominus loci deve assumere come parametro la sussistenza o meno di un'obiettiva violazione, da parte dell'agente, delle prescrizioni impartite dal dominus stesso circa l'uso del sistema e non può essere formulato unicamente in base alla direzione finalistica della condotta, soggettivamente intesa. Vengono in rilievo, al riguardo, quelle disposizioni che regolano l'accesso al sistema e che stabiliscono per quali attività e per quanto tempo la permanenza si può protrarre, da prendere necessariamente in considerazione, mentre devono ritenersi irrilevanti, ai fini della configurazione della fattispecie, eventuali disposizioni sull'impiego successivo dei dati.

Le Cassazione con sentenza Cass. n. 41210/2017,  puntualizzando alcuni passaggi della sentenza Casani  ha ritenuto che integra il delitto previsto dall'art. 615-ter, comma 2, n. 1, c.p. la condotta del pubblico ufficiale o dell'incaricato di un pubblico servizio che, pur essendo abilitato e pur non violando le prescrizioni formali impartite dal titolare di un sistema informatico o telematico protetto per delimitarne l'accesso, acceda o si mantenga nel sistema per ragioni ontologicamente estranee rispetto a quelle per le quali la facoltà di accesso gli è attribuita. (Nella specie, la S.C. ha ritenuto immune da censure la condanna di un funzionario di cancelleria, il quale, sebbene legittimato ad accedere al Registro informatizzato delle notizie di reato - c.d. Re.Ge. - conformemente alle disposizioni organizzative della Procura della Repubblica presso cui prestava servizio, aveva preso visione dei dati relativi ad un procedimento penale per ragioni estranee allo svolgimento delle proprie funzioni, in tal modo realizzando un'ipotesi di sviamento di potere).

In assenza di una previsione vincolante in merito alla «forma» delle disposizioni organizzative, «la permanenza “invito domino” in una parte di uno spazio informatico a cui si ha avuto accesso legittimo può configurarsi solo se sussiste la prova del mancato rispetto dei «profili di autorizzazione», che può desumersi dalla violazione, oltre che di «consuetudini aziendali», anche di regolamenti organizzativi interni, di clausole di contratti individuali di lavoro e finanche del contenuto degli «incarichi» previsti dall'art. 30 d.lgs. n. 196/2003, in particolare quando essi specificano l'«ambito» di trattamento affidato, individuando le tipologie di dati (compresi quelli diversi dai dati sensibili e giudiziari), i tipi di operazioni eseguibili e le modalità di accesso, nel rispetto del regolamento per il trattamento dei dati sensibili e giudiziari adottato obbligatoriamente, per il soggetto pubblico, ex art. 20, secondo comma, del medesimo decreto» (Flor, 1509 ss.).

È stato affermato che «ai fini della configurabilità del reato di cui all'art. 615-ter, non assumono rilievo le violazioni commesse dal soggetto autorizzato in ordine alle indicazioni relative all'orario nel quale gli accessi possono essere effettuati in quanto si tratta di prescrizioni che attengono solo al profilo della organizzazione interna dell'ufficio presso il quale il sistema è operativo e non, invece, all'accesso e al tempo di permanenza nel sistema informatico» (Cass. V n. 47938/2014). Al mantenimento nel sistema al di fuori dell'orario previsto, la Cassazione non annette rilevanza ai fini dell'attribuzione del carattere di “abusività” della condotta, in quanto «le indicazioni sull'orario nel quale gli accessi possono essere effettuati, sono del tutto indifferenti rispetto all'esercizio della facoltà di esclusione da parte del titolare del sistema informatico nei confronti di un soggetto autorizzato all'accesso e, invece, chiaramente inerenti al solo profilo dell'organizzazione lavorativa interna dell'ufficio presso il quale il sistema è operativo».

Il riferimento ai profili organizzativi interni e al rispetto delle disposizioni diramate dal titolare del sistema è stato richiamato anche dalla Cass. V, n. 44390/2014 laddove è stato ribadito che «l'accesso di un soggetto abilitato ad un sistema informatico è abusivo solo quando l'agente viola i limiti risultanti dal complesso delle prescrizioni impartite dal titolare, ovvero pone in essere operazioni di natura ontologicamente diversa da quelle di cui egli è incaricato ed in relazione alle quali l'accesso è a lui consentito. (Fattispecie in cui la Corte ha escluso che l'accesso ai dati di un sistema informativo di tipo «chiuso» in dotazione delle forze di polizia, possa essere considerato «abusivo» per la sola violazione dei principi generali di imparzialità e trasparenza dell'azione amministrativa, essendo comunque necessario accertare il contenuto delle prescrizioni formalmente impartite dal «dominus loci»»; in senso adesivo Cass. V, n. 15054/2012, nel caso di un soggetto munito di regolari credenziali di autenticazione, rileva esclusivamente il superamento oggettivo dei limiti e delle prescrizioni organizzative relative all'accesso ed al trattenimento nel sistema).

In questa prospettiva, si ritiene ravvisabile «il reato in esame nella condotta del soggetto che, avendo titolo per accedere al sistema in virtù di un rapporto contrattuale o di servizio, vi si introduca con la password concessa in uso per consultare o estrarre dati protetti per finalità estranee alle ragioni di istituto e agli scopi sottostanti alla protezione dell'archivio informatico» (D'Arcangelo, 660).

Casistica

Nella casistica giurisprudenziale numerosi sono i casi in cui è stata affermata la responsabilità di dipendenti infedeli, che, pur se abilitati, dopo essere legittimamente entrati nel sistema informatico dell'amministrazione o della società di appartenenza, avevano:

- effettuato interrogazioni sul sistema centrale dell'anagrafe tributaria sulla posizione di contribuenti non rientranti, in ragione del loro domicilio fiscale, nella competenza del proprio ufficio (Cass. V, n. 22024/2013);

- manomesso la posizione di un contribuente, effettuando sgravi non dovuti e non giustificati dalle evidenze in possesso dell'ufficio (Cass. II, n. 13475/ 2013);

- compiuto una interrogazione al Ced — banca dati del Ministero dell'Interno — relativa ad una vettura, usando la propria «password» con l'artifizio della richiesta di un organo di Polizia in realtà inesistente, necessario per accedere a tale informazione (Cass. V, n. 39620/2010);

- acquisito indebitamente notizie riservate tratte dalla banca dati del sistema telematico di informazione interforze del Ministero dell'Interno, per l'utilizzo in attività di investigazione privata (Cass. V, n. 18006/ 2009);

- alterato i dati contenuti nel sistema in modo tale da fare apparire insussistente il credito tributario dell'Erario nei confronti di numerosi contribuenti (Cass. V, n. 1727/2009).

Da ultimo è stato ritenuto (Cass. V, n. 44403/2015) che integra il delitto previsto dall'art. 615-ter, la condotta di accesso o di mantenimento nel sistema informatico da parte di un soggetto, che, pure essendo abilitato, violi le condizioni ed i limiti risultanti dal complesso delle prescrizioni impartite dal titolare del sistema per delimitarne oggettivamente l'accesso. (Fattispecie in cui la Corte ha ritenuto configurasi il reato nei confronti di un cancelliere del tribunale, che, utilizzando un codice di accesso ad efficacia limitata nel tempo, fornitogli anni addietro per la trasmigrazione di dati informatici, si era abusivamente introdotto nel sistema informatico RE.GE. in dotazione alla Procura della Repubblica, al diverso fine di visionare l'iscrizione di un procedimento penale a carico di un suo conoscente). In tal senso anche Cass. V, n. 33311/2016 che ha ritenuto immune da censure la condanna del cancelliere di un tribunale che si era introdotto nel sistema del casellario giudiziale ed aveva preso visione dei precedenti di un soggetto ricorrendo all'artificio consistente nell'indicazione di un procedimento inesistente ovvero relativo a soggetto diverso).

Da ultimo è stato ritenuto (Cass.V, n. 565/2019)che integra il delitto previsto dall'art. 615-ter c.p. la condotta del dipendente che, pur essendo abilitato e pur non violando le prescrizioni formali impartite dal titolare di un sistema informatico o telematico protetto per delimitarne l'accesso, acceda o si mantenga nel sistema per ragioni ontologicamente estranee rispetto a quelle per le quali la facoltà di accesso gli è attribuita. (Fattispecie relativa alla trasmissione, tramite e-mail,da parte di un dipendente di istituto bancario ad altro dipendente non abilitato a prenderne cognizione, di dati riservati concernenti la clientela).

E’ stato affermato che l’accesso abusivo a un sistema informatico protetto non può essere scriminato dall'esigenza dell'agente di carpire dati utili alla sua difesa in giudizio (Cass. V, n. 52075/2014) e che commette il reato il marito che acceda al conto corrente online intestato alla coniuge e compia operazioni qualora la moglie abbia revocato al consorte la delega per le suddette operazioni (Cass. V, n. 14627/2017).

Consumazione e tentativo

Il delitto di accesso abusivo a un sistema informatico, «è un reato di mera condotta, che si perfeziona con la violazione del domicilio informatico e, quindi, con l'introduzione in un sistema costituito da un complesso di apparecchiature che utilizzano tecnologie informatiche, senza che sia necessario che l'intrusione sia effettuata allo scopo di insidiare la riservatezza dei legittimi utenti o che si verifichi una effettiva lesione alla stessa» (Cass. V, n. 11689/ 2007).

Il reato si consuma al momento dell'intrusione, in quanto l'elusione o la manipolazione delle barriere elettroniche è indice della volontà di penetrare all'interno del sistema, mentre non è necessario che il responsabile abbia agito per fini di lucro o semplicemente per gioco, ovvero abbia effettivamente carpito informazioni o impedito il funzionamento dell'unità di elaborazione, sebbene, di regola, l'intrusione è preordinata alla lettura o alla duplicazione di dati.

La condotta di introduzione è a consumazione istantanea (cfr. Monaco, 1728, Antolisei, 247).

Con riguardo alla condotta di trattenimento il reato è permanente.

La Cass. S.U.,n. 17325/2015 ha affermato che il luogo di consumazione coincide con quello in cui si trova l'utente che, tramite elaboratore elettronico o altro dispositivo per il trattamento automatico dei dati, digitando la «parola chiave» o altrimenti eseguendo la procedura di autenticazione, supera le misure di sicurezza apposte dal titolare per selezionare gli accessi e per tutelare la banca-dati memorizzata all'interno del sistema centrale ovvero vi si mantiene eccedendo i limiti dell'autorizzazione ricevuta. In motivazione la Corte ha specificato che il sistema telematico per il trattamento dei dati condivisi tra più postazioni è unitario e, per la sua capacità di rendere disponibili le informazioni in condizioni di parità a tutti gli utenti abilitati, assume rilevanza il luogo di ubicazione della postazione remota dalla quale avviene l'accesso e non invece il luogo in cui si trova l'elaboratore centrale. In particolare è stato evidenziato che “da un punto di vista tecnico-informatico, il sistema telematico deve considerarsi unitario, essendo coordinato da un software di gestione che presiede al funzionamento della rete, alla condivisione della banca dati, alla archiviazione delle informazioni, nonché alla distribuzione e all'invio dei dati ai singoli terminali interconnessi. Consegue che è arbitrario effettuare una irragionevole scomposizione tra i singoli componenti dell'architettura di rete, separando i terminali periferici dal server centrale, dovendo tutto il sistema essere inteso come un complesso inscindibile nel quale le postazioni remote non costituiscono soltanto strumenti passivi di accesso o di interrogazione, ma essi stessi formano parte integrante di un complesso meccanismo, che è strutturato in modo da esaltare la funzione di immissione e di estrazione dei dati da parte del client. I terminali, secondo la modulazione di profili di accesso e l'organizzazione della banca-dati, non si limitano soltanto ad accedere alle informazioni contenute nel data base, ma sono abilitati a immettere nuove informazioni o a modificare quelle preesistenti, con potenziale beneficio per tutti gli utenti della rete, che possono fruire di dati più aggiornati e completi per effetto dell'interazione di un maggior numero di operatori. Alla luce di questa considerazione, va focalizzata la nozione di accesso in un sistema informatico, che non coincide con l'ingresso all'interno del server fisicamente collocato in un determinato luogo, ma con l'introduzione telematica o virtuale, che avviene instaurando un colloquio elettronico o circuitale con il sistema centrale e con tutti i terminali ad esso collegati. L'accesso inizia con l'unica condotta umana di natura materiale, consistente nella digitazione da remoto delle credenziali di autenticazione da parte dell'utente, mentre tutti gli eventi successivi assumono i connotati di comportamenti comunicativi tra il client e il server. L'ingresso o l'introduzione abusiva, allora, vengono ad essere integrati nel luogo in cui l'operatore materialmente digita la password di accesso o esegue la procedura di login, che determina il superamento delle misure di sicurezza apposte dal titolare del sistema, in tal modo realizzando l'accesso alla banca dati. Da tale impostazione, coerente con la realtà di una rete telematica, consegue che il luogo del commesso reato si identifica con quello nel quale dalla postazione remota l'agente si interfaccia con l'intero sistema, digita le credenziali di autenticazione e preme il tasto di avvio, ponendo così in essere l'unica azione materiale e volontaria che lo pone in condizione di entrare nel dominio delle informazioni che vengono visionate direttamente all'interno della postazione periferica. Anche in tal senso rileva non il luogo in cui si trova il server, ma quello decentrato da cui l'operatore, a mezzo del client, interroga il sistema centrale che gli restituisce le informazioni richieste, che entrano nella sua disponibilità mediante un processo di visualizzazione sullo schermo, stampa o archiviazione su disco o altri supporti materiali. Le descritte attività coincidono con le operazioni di «trattamento», compiute sul client, che l'art. 4, lett. a), d.lgs. 30 giugno 2003, n. 196 (codice della privacy) definisce come «qualunque operazione o complesso di operazioni, effettuati anche senza l'ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, la consultazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati». La condotta è già abusiva (secondo la clausola di antigiuridicità speciale) nel momento in cui l'operatore non autorizzato accede al computer remoto e si fa riconoscere o autenticare manifestando, in tale modo, la sua volontà di introdursi illecitamente nel sistema con possibile violazione della integrità dei dati. Deve precisarsi in ogni caso che, se il server non risponde o non valida le credenziali, il reato si fermerà alla soglia del tentativo punibile. Nelle ipotesi, davvero scolastiche e residuali, nelle quali non è individuabile la postazione da cui agisce il client, per la mobilità degli utenti e per la flessibilità di uso dei dispositivi portatili, la competenza sarà fissata in base alle regole suppletive (art. 9 c.p.p.) la conclusione è trasferibile alla diversa ipotesi nella quale un soggetto facoltizzato ad introdursi nel sistema, dopo un accesso legittimo, vi si intrattenga contro la volontà del titolare eccedendo i limiti della autorizzazione. In questo caso, non può farsi riferimento all'azione con la quale l'agente ha utilizzato le sue credenziali e dato l'avvio al sistema, dal momento che tale condotta commissiva è lecita ed antecedente alla perpetrazione del reato, Necessita, quindi, fare leva sull'inizio della condotta omissiva che, come è stato puntualmente osservato, coincide con un uso illecito dello elaboratore, con o senza captazione di dati. L'operatore remoto, anche in questo caso, si relaziona, con impulsi elettronici e colloquia con il sistema dalla sua postazione periferica presso la quale vengono trasferiti i dati con la conseguenza che è irrilevante il luogo in cui è collocato il server.

Il tentativo è configurabile in tutti i casi in cui l'agente, in presenza di una volontà contraria dell'avente diritto, cerchi di aggirare le protezioni, per esempio digitando più password, e non vi riesca (cfr. Pica, 58; Monaco, 1728; Marini, 389, Cass. S.U. n. 17325/2015). Non si ha tentativo nei casi in cui l'agente acceda da lontano o da vicino al sistema informatico o telematico altrui, ma non tenti di superare le misure di sicurezza esistenti, in tale ipotesi, infatti, non si è in presenza di atti diretti in modo non equivoco alla violazione delle barriere di protezione e, quindi, della privacy, in quanto il soggetto può ben essersi collegato senza sapere che l'accesso ai dati fosse protetto.

Nel caso di misure di protezione «fisiche» (come ad es. le porte blindate che precludano l'accesso ai locali in cui è posto il sistema) non è configurabile il tentativo poiché non si tratta di atti diretti in modo non equivoco a violare il sistema informatico ben potendo trattarsi di atti diretti a compiere altri illeciti (ad es. furti, ecc.).

Secondo un orientamento nel reato di accesso abusivo, trattandosi di un reato di pericolo astratto, non è ammissibile il tentativo perché altrimenti vi sarebbe un'eccessiva anticipazione della soglia di punibilità in violazione del principio di offensività (Pecorella, sub art. 615-ter, 5988; Antolisei, 247; Mucciarelli, 101). Definisce il reato in esame come reato di pericolo Cass. V, n. 8541/2019.

Elemento soggettivo

L'elemento soggettivo della fattispecie è il dolo generico, cioè la cosciente e volontaria ingerenza nel sistema, pur nella consapevolezza che lo stesso è protetto da misure di scurezza, o nel volontario trattenimento nonostante la contraria volontà del titolare dello jus excludendi.

È del tutto irrilevante lo scopo perseguito dall'agente nel commettere l'accesso abusivo (Pica, 69).

Circostanze aggravanti

L'art. 615-ter prevede, nei commi 2 e 3, quattro circostanze aggravanti, in presenza delle quali si registra un notevole inasprimento della pena edittale (alla pena base della reclusione sino a 3 anni si sostituisce la reclusione da 1 a 5 anni): si tratta di circostanze ad effetto speciale, secondo la previsione di cui all'art. 63, comma 3, che consentono, a differenza dell'ipotesi base del reato perseguibile a querela, che si proceda d'ufficio.

Vengono, anzitutto, in rilievo le circostanze caratterizzate dallo specifico ruolo dell'autore del reato, il comma 2, n. 1 prevede, infatti, l'aggravamento della pena per il pubblico ufficiale o incaricato di un pubblico servizio che agisce con abuso dei poteri o con violazione dei doveri inerenti alla funzione o al servizio, per chi esercita abusivamente la professione di investigatore privato e per chi agisce con abuso della qualità di operatore del sistema.

Il comma 2, n. 2, concerne, invece, profili di oggettiva gravità della condotta (se il colpevole per commettere il fatto usa violenza sulle cose o alle persone ovvero se è palesemente armato).

È da rilevare che tutte le circostanze in questione appaiono di semplice struttura in quanto — se si esclude l'ipotesi dell'operatore di sistema — gli altri casi corrispondono ad ipotesi identiche o simili già esistenti nel codice penale ed, in particolare, alle aggravanti del delitto di interferenze illecite nella vita privata (cfr. art. 615-bis) e di violazione di domicilio (art. 614) (cfr. Pica, Diritto, 71; Monaco, 1728; Galdieri, 156).

Del tutto originale è, invece, la previsione, nell'ambito del n. 1, dell'abuso della qualità di operatore del sistema, figura prevista da diverse disposizioni introdotte con la l. n. 547/1993, su cui in dottrina non v'è univocità di consensi. Nell'interpretazione più ampia si ritiene che rivesta detta qualità chiunque sia legittimato ad operare nel sistema, ivi compreso l'addetto all'immissione dei dati (cfr. D'Aietti, 69), fino a ricomprendere tutti i tecnici dell'informatica, trattandosi di persone che «operano sul computer» (Borruso, 33). Per una posizione intermedia (Mucciarelli, 102) sono dotati di tale qualità solo «quei soggetti che non solo possono legittimamente contattare il sistema..., ma che dispongono altresì di una qualificazione professionale ovvero di conoscenze ulteriori e specifiche». Altri ritengono che rivestano la qualità di operatore di sistema le figure soggettive (programmatore, sistemista, analista ecc.) titolari di una maggiore, per qualità e quantità, competenza tecnica, la quale unitamente al ruolo che rivestono all'interno del contesto in cui agiscono le agevola nel momento in cui intendono perpetrare il delitto.

Altri ancora ritengono che con detta qualità la norma in esame non faccia riferimento alla titolarità astratta di una particolare qualifica, bensì intenda sanzionare più severamente la condotta spesa dall'agente all'interno del complesso ove esercita abitualmente la propria attività e, quindi, l'approfittamento del collegamento funzionale esistente per ragioni professionali tra l'operatore e il sistema informatico violato (cfr. Pica, 74; Monaco, 1728, Galdieri, 156). Così intesa l'aggravante colpisce, non tanto conoscenze tecniche, magari di natura particolarmente sofisticata, che l'agente possiede (il che renderebbe periglioso l'ancoraggio della fattispecie alle garanzia di certezza e di tassatività), quanto le conoscenze concrete che privilegiano l'operatore nell'accesso al sistema in virtù del rapporto funzionale con lo stesso (cfr. Pica, 74).

Conformemente a quest'ultima posizione si ritiene che la norma sia strutturata in relazione alle conoscenze legate ad uno specifico e peculiare rapporto con un sistema, con la conseguenza che viene esclusa l'applicabilità dell'aggravante in esame all'operatore informatico che intervenga in caso di richiesta di assistenza avendo così modo di apprendere le procedure riservate di accesso al sistema, in quanto si tratta di intervento occasionale e svincolato dall'utilizzo professionale del sistema stesso (cfr. Parodi, Calice, 70).

Muovendo dal riferimento alla posizione privilegiata dell'agente ai fini dell'applicazione dell'aggravante in esame, si specifica che «operatore del sistema» debba intendersi soltanto quella particolare figura di tecnico dell'informatica (c.d. system administrator) che, all'interno di un'azienda, abbia il controllo delle diverse fasi del processo di elaborazione dei dati e, quindi, la possibilità di inserirsi in esse per realizzare, ad esempio, un danneggiamento (art. 635-bis) o una frode informatica (art. 640-ter), nonché l'opportunità di accedere a tutti i settori della memoria del sistema informatico su cui opera, ovvero di altri sistemi, qualora vi sia un collegamento in rete, sfruttando il canale di accesso legittimo all'elaboratore (cfr. Pecorella, Il diritto, 121, 353; Pecorella , sub art. 615-ter, 5988). Mentre sono esclusi dalla nozione in esame, oltre al semplice operatore (c.d. operator) che svolge funzioni meramente esecutive e manuali, anche le altre figure professionali — come, ad esempio, il programmatore, il sistemista e l'analista — che, pur essendo abilitate ad operare alla consolle dell'elaboratore, dispongono solo di una conoscenza settoriale e limitata del sistema, che non li mette in condizione di poter realizzare un accesso abusivo (o un qualsiasi altro reato informatico) con altrettanta facilità rispetto all'operatore del sistema.

Si sottolinea, infine, la particolare insidiosità degli attacchi «interni», ancora più pericolosi di quelli esterni in virtù della conoscenza del sistema che richiede l'uso professionale dello stesso, la quale giustifica l'aggravante in esame (Parodi-Calice, 71; conf. D'Aietti, 73).

La circostanza aggravante prevista nel comma 2, al n. 3, concerne le conseguenze della condotta e, specificamente, fa riferimento alla eventualità che dal fatto (id est accesso abusivo) derivi il danneggiamento del sistema nel suo complesso o di singole sue componenti (dati, informazioni o programmi «in esso contenuti»).

L'ipotesi in esame concerne il caso in cui il danneggiamento di beni informatici sia una conseguenza dell'accesso abusivo e non il «mezzo necessario o agevolatore» per realizzarlo, in quest'ultimo caso trova invece applicazione il comma 2, n. 2, nella parte relativa alla «violenza sulle cose» (cfr. Pecorella, sub art. 615-ter, 5989; Mantovani, PS, I, 547; analogamente Mucciarelli, 103); inoltre, deve trattarsi di una conseguenza non voluta, essendo altrimenti applicabile la norma sul danneggiamento informatico (art. 635-bis) (cfr. Fondaroli, 314; Mantovani, PS, I, 547: reato aggravato dall'evento).

Infine, ai sensi del comma 3, le condotte di cui al ai commi 1 e 2 vengono sanzionate più gravemente (rispettivamente, con la reclusione da 1 a 5 anni e da 3 a 8 anni) qualora abbiano ad oggetto sistemi informatici o telematici di interesse pubblico, tra i quali rientrano, i sistemi «di interesse militare o relativi all'ordine pubblico o alla sicurezza pubblica o alla sanità o alla protezione civile». Si ritiene che detta previsione pecchi di indeterminatezza non essendo chiari i criteri in base ai quali il sistema assuma la connotazione pubblicistica facendo scattare l'aggravante in esame (cfr. Parodi-Calice, 70). Inoltre, coloro che individuano l'interesse tutelato dalla norma in esame nel domicilio informatico, pur comprendendo l'interesse del legislatore ad una tutela più incisiva dei sistemi di maggiore interesse sociale, rilevano l'incongruenza di detta previsione, ritenendone più opportuna la collocazione in altre parti del codice specificamente dedicate alla protezione di interessi pubblici, piuttosto che nell'ambito di una tutela che resterebbe pur sempre di natura privatistica (Galdieri, 157). Si rileva, comunque, che l'accesso abusivo a questi sistemi assume senza dubbio una particolare pericolosità per il carattere riservato dei dati che vi sono immagazzinati e per l'importanza che il loro funzionamento regolare e indisturbato riveste per l'intera collettività (Pecorella, sub art. 615-ter, 5989).

La giurisprudenza afferma che ai fini della configurabilità della circostanza aggravante dell'essere il sistema di interesse pubblico non è sufficiente la qualità di concessionario di pubblico servizio rivestita dal titolare del sistema, dovendosi accertare se il sistema informatico o telematico si riferisca ad attività direttamente rivolta al soddisfacimento di bisogni generali della collettività (Cass. V, n. 1934/2011). Nel caso di specie, relativo a gestore di rete di telefonia, la S.C. ha affermato la necessità di accertare se la condotta dell'imputato abbia riguardato la rete stessa ovvero la rete «parallela» predisposta per la gestione del credito).  La Cass V, n. 25944/2020,  ha precisato che in tema di delitto di accesso abusivo ad un sistema informatico o telematico, la fattispecie di cui l'art. 615-ter, comma 1, che punisce la condotta del soggetto che, abilitato all'accesso, violi le condizioni ed i limiti dell'autorizzazione, non è integralmente sovrapponibile all'ipotesi aggravata di cui al comma secondo, n. 1) del medesimo articolo, che richiede che tale violazione sia commessa da un pubblico ufficiale o un incaricato di pubblico servizio.

La Cass. V, n. 10121/2014 ha affermato che in tema di accesso abusivo ad un sistema informatico o telematico, la circostanza aggravante prevista dall'art. 615-ter, comma 3, per essere il sistema violato di interesse pubblico, è configurabile anche quando lo stesso appartiene ad un soggetto privato cui è riconosciuta la qualità di concessionario di pubblico servizio, seppur limitatamente all'attività di rilievo pubblicistico che il soggetto svolge, quale organo indiretto della P.A., per il soddisfacimento di bisogni generali della collettività, e non anche per l'attività imprenditoriale esercitata, per la quale, invece, il concessionario resta un soggetto privato. (Fattispecie in cui la Corte ha annullato con rinvio l'ordinanza cautelare che aveva ritenuto sussistente la circostanza aggravante in questione in relazione alla condotta di introduzione nella «rete» del sistema bancomat di un istituto di credito privato).

E' stato affermato che integra il reato di accesso abusivo ad un sistema informatico o telematico, aggravato, ex art. 615-ter, comma 3, dall'essere il sistema di interesse pubblico, la condotta di colui che, essendosi procurato le credenziali relative alla carta Postepay della persona offesa, acceda all'area riservata alla gestione della carta della persona offesa, la quale costituisce una componente del sistema informatico Poste Italiane, ente conferente le credenziali per l'accesso alle diverse aree personali e gestore delle stesse. (Cass. V n. 6906/2016).

Rapporti con altre figure di reato

La giurisprudenza ritiene che il delitto di accesso abusivo a un sistema informatico. può concorrere con quello di frode informatica di cui all'art. 640-ter, in quanto si tratta di reati diversi: la frode informatica postula necessariamente la manipolazione del sistema, elemento costitutivo non necessario per la consumazione del reato di accesso abusivo che, invece, può essere commesso solo con riferimento a sistemi protetti, requisito non richiesto per la frode informatica. (Cass. V n. 2672/2004; Cass. V. n. 1727/2009, da ultimo Cass II n. 26604/2019) In applicazione di questo principio la S.C. ha ritenuto immune da censure la decisione con cui il giudice di appello ha ritenuto il concorso tra i due reati nei confronti dell'imputato che, in qualità di dipendente dell'Agenzia delle entrate, agendo in concorso con altri dipendenti nonché con commercialisti e consulenti tributari, si era abusivamente introdotto nel sistema informatico dell'amministrazione, inserendovi provvedimenti di sgravio fiscale illegittimi perché mai adottati, in relazione a tributi già iscritti a ruolo per la riscossione coattiva, così alterando i dati contenuti nel sistema in modo tale da fare apparire insussistente il credito tributario dell'Erario nei confronti di numerosi contribuenti)

Poiché la fattispecie normativa di cui all'art. 615-ter sanziona esclusivamente gli accessi in forma virtuale, se il responsabile per entrare nel sistema si introduce indebitamente nei locali ove sono ubicate le apparecchiature, il reato di accesso abusivo ad un sistema informatico o telematico concorre con quello di violazione di domicilio (art. 614).

La duplicazione dei dati contenuti in un sistema informatico o telematico costituisce «condotta tipica del reato previsto dall'art. 615-ter, restando in esso assorbito il reato di appropriazione indebita» (Cass. V, n. 37322/2008).

Nella sentenza Cass. n. 35731/2010 è stato ritenuto che il delitto di turbata libertà dell'industria o del commercio (art. 513) può concorrere formalmente con quelli di accesso abusivo ad un sistema informatico (art. 615-ter) e di appropriazione indebita (art. 646) attesa la diversità dei beni giuridici tutelati e la necessità, ai fini della sua configurabilità, di un nesso teleologico tra i mezzi fraudolenti impiegati e la turbativa dell'esercizio dell'industria o del commercio che ne consegue, essendo la norma diretta a garantire il diritto individuale al libero svolgimento di un'attività industriale o commerciale: (Fattispecie nella quale la turbativa dell'attività svolta da una società era stata attuata da soggetti facenti capo ad una società concorrente mediante condotte fraudolente che avevano provocato uno storno di clientela in favore di quest'ultima; in motivazione la Corte ha escluso che l'uso di mezzi fraudolenti volti ad assicurare all'agente un profitto concretizzi solo un'ipotesi di concorrenza sleale ai sensi dell'art. 2598, comma terzo, c.c.).

Secondo Cass. V, n. 11994/2016  non sussiste rapporto di specialità tra il reato di cui all'art. 615-ter, che sanziona l'accesso abusivo ad un sistema informatico, e quello di cui all'art. 167, d.lgs. n. 196/2003, concernente l'illecito trattamento di dati personali, in quanto costituiscono fattispecie differenti per condotte finalistiche e attività materiali che escludono la sussistenza di una relazione di omogeneità.

Secondo Cass II, n. 21987/2019 il delitto di cui all'art. 615-quater c.p. non può concorrere con quello, più grave, di cui all'art. 615-ter c.p., del quale costituisce naturalisticamente un antecedente necessario, sempre che quest'ultimo, oltre ad essere procedibile, risulti integrato nel medesimo contesto spazio-temporale in cui sia stato perpetrato l'antefatto ed in danno della medesima persona offesa”.

Secondo Cass. V, n. 18284/2019 “nel caso di accesso abusivo ad una casella di posta elettronica protetta da "password", è configurabile il delitto di accesso abusivo ad un sistema informatico che concorre con quello di violazione di corrispondenza, in relazione all'acquisizione del contenuto delle "mail" custodite nell'archivio, e con il delitto di danneggiamento di dati informatici, nel caso in cui all'abusiva modificazione delle credenziali d'accesso consegua l'inutilizzabilità della casella di posta da parte del titolare”.

Responsabilità amministrativa degli enti

A norma dell'art. 24-bis d.lgs. n. 231/2001 il delitto in argomento può costituire presupposto della responsabilità amministrativa degli enti.

Profili processuali

Il reato, nella forma semplice, è perseguibile a querela di parte; nella forma aggravata d'ufficio

L'arresto non consentito per il comma 1, facoltativo in flagranza per i commi 2 e 3. Il fermo è consentito solo per le ipotesi di cui al comma 3 in relazione a quelle previste dal comma 2.

Le misure cautelari personali non sono consentite per il comma 1 sono consentite per il comma 2 e 3.

L'autorità giudiziaria competente è il Tribunale monocratico.

Sequestro e confisca

La l. n. 12/2012 ha introdotto alcune nuove disposizioni in materia di confisca dei beni informatici e telematici utilizzati per la commissione di reati informatici e di destinazione dei medesimi beni. In particolare l'art. 1 della novella ha modificato l'art. 240, configurando nel secondo comma del medesimo, al numero 1-bis, una nuova ipotesi di confisca obbligatoria relativa ai beni e agli strumenti informatici o telematici che risultino essere stati in tutto o in parte utilizzati per la commissione dei reati informatici previsti dal codice penale e cioè dei reati di — accesso abusivo ad un sistema informatico o telematico (art. 615-ter); — detenzione e diffusione abusiva di codici di accesso ai sistemi informatici o telematici (art. 615-quater); — diffusione di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico (art. 615-quinquies); — installazione di apparecchiature atte ad intercettare od impedire comunicazioni o conversazioni telegrafiche o telefoniche (art. 617-bis); — falsificazione, alterazione o soppressione del contenuto di comunicazioni o conversazioni telegrafiche o telefoniche (art. 617-ter); — intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche (art. 617-quater); — installazione di apparecchiature atte ad intercettare, impedire o interrompere comunicazioni informatiche o telematiche (art. 617-quinquies); — falsificazione, alterazione o soppressione del contenuto di comunicazioni informatiche o telematiche (art. 617-sexies); — danneggiamento di informazioni, dati e programmi informatici (art. 635-bis); — danneggiamento di informazioni, dati e programmi informatici utilizzati dallo Stato o da altro ente pubblico o comunque di pubblica utilità (art. 635-ter); — danneggiamento di sistemi informatici e telematici, anche di pubblica utilità (artt. 635-quater e 635-quinquies) — frode informatica (art. 640-ter) — frode informatica del soggetto che presta servizi di certificazione di firma elettronica (art. 640-quinquies)

Oggetto di modifica è stato anche il comma 3 del cit. art. 240, dove viene precisato che l'obbligo di confisca non opera in caso in cui la cosa o il bene ovvero «lo strumento informatico o telematico» appartiene a persona estranea al reato anche in riferimento alla nuova ipotesi di ablazione introdotta al comma 1-bis. Nel comma 3 dell'art. 240 è stato aggiunto un periodo in cui si stabilisce che, sempre nell'ipotesi di cui al n. 1-bis di nuova introduzione, si procede alla confisca obbligatoria anche nel caso di patteggiamento.

L'art. 2 della novella ha introdotto nelle disposizioni di attuazione del codice di procedura penale l'art. 86-bis, che disciplina l'impiego e la destinazione dei beni e strumenti informatici utilizzati per la commissione dei reati informatici e di quelli di cui agli artt. 473 e 474 ed oggetto di provvedimento di sequestro o di confisca. In particolare, il comma 1 del nuovo articolo prevede che i beni o strumenti informatici o telematici, i quali a seguito di «analisi tecnica forense» risultano essere stati utilizzati per commettere uno dei reati indicati in precedenza, se sequestrati vengano affidati in custodia giudiziale con facoltà d'uso, salvo che vi ostino «esigenze processuali», agli organi di polizia che ne facciano richiesta al fine di impiego nel contrasto alla criminalità informatica, ovvero ad altri organi dello Stato che li utilizzano comunque per finalità di giustizia. La disposizione ricalca uno schema collaudato da tempo e che trova, come noto, la sua origine in quello utilizzato per la prima volta nell'art. 100 d.P.R. 309/1990 in materia di assegnazione dei beni mobili registrati sequestrati nelle operazioni antidroga. In questa occasione il legislatore ha peraltro posto un'inedita condizione la cui formulazione solleva qualche problema interpretativo. Infatti, secondo la novella, come accennato, l'assegnazione è subordinata all'accertamento tecnico dell'effettiva utilizzazione dei beni sequestrati nella consumazione dei reati per cui si procede. A parte il ricorso alla locuzione “analisi tecnica forense” che non conosce precedenti nel linguaggio normativo e che di per sé non è di immediata decodificazione, non è chiaro se il presupposto dell'assegnazione rimane integrato anche da accertamenti condotti nel corso delle indagini dal pubblico ministero ovvero se sia necessaria la già raggiunta acquisizione della prova dell'utilizzazione degli strumenti nella consumazione del reato. È evidente la preoccupazione del legislatore di evitare che l'assegnazione possa compromettere la verifica della “carica” probatoria dei beni sequestrati, nonché l'intenzione dello stesso di limitare l'ambito di applicazione della nuova disposizione ai soli beni effettivamente strumentali alla consumazione del reato.

Ma allora sembra potersi ritenere che l'assegnazione potrà essere disposta solo qualora tali bene siano stati sottoposti ad accertamento nel contraddittorio delle parti e dunque quando gli stessi siano stati quanto meno oggetto di perizia disposta nell'incidente probatorio o ad accertamento tecnico condotto nelle forme dell'art. 360 c.p.p. (Pistorelli)

Il comma 2 dell'art. 86-bis prevede invece l'assegnazione definitiva dei medesimi beni, qualora vengano confiscati, a coloro che già li hanno custoditi ai sensi del comma precedente ovvero ai medesimi organi di polizia che ne facciano richiesta o ad altri organi dello Stato.

In attuazione della Direttiva n. 2014/42/UE, in materia di confisca e di congelamento dei beni strumentali e dei proventi da reato nell'Unione europea ed in forza della delega di cui alla l. n. 154/2014  il d.lgs. n. 202/2016, introducendo un secondo periodo al disposto dell'art. 240, comma 2, n. 1-bis, ha esteso la confisca obbligatoria anche al profitto ed al prodotto dei delitti ivi indicati ed ha previsto, in via sussidiaria, la confisca per equivalente di beni di valore pari al profitto o al prodotto di tali reati.