Quando l’accesso abusivo a un sistema informatico assorbe il reato di detenzione e diffusione dei codici d’accesso

Il meno grave - quoad poenam - delitto di cui all'art. 615-quater, non può concorrere con quello, più grave, di cui all'art. 615-ter, del quale costituisce naturalisticamente un antecedente necessario, sempre che quest'ultimo sia contestato, procedibile ed integrato nel medesimo contesto spazio-temporale in cui fu perpetrato l'antefatto, ed in danno della medesima persona fisica titolare del bene protetto.

La Corte d'appello di Brescia ha confermato in ampia parte la sentenza con la quale in data 5.12.2016, il Tribunale di Brescia ha dichiarato A.P., in atti generalizzato, colpevole dei reati ascritti al capo B) delle imputazioni (reati di cui agli artt. 640-ter, 615-ter e 615-quater c.p.) e F.S., in atti generalizzata, colpevole dei reati ascrittile al capo A) delle imputazioni (reati di cui agli artt. 640-ter e 615-quater c.p), condannandoli entrambi alle pene di giustizia.

Le contestazioni riguardavano due distinte condotte, poste in essere in pari data e con analoghe modalità:

• la prima consistente nell'utilizzo di codici di accesso a conti correnti bancari (fraudolentemente carpiti con l'invio di e-mail con cui si richiedeva alle pp.oo la comunicazione di dati riservati relativi ad un rapporto di c.c. bancario e da cui gli imputati ricavavano le parole chiave ed i dati riservati di accesso al sistema informatico della banca riferibili alle pp.oo stesse);
• la seconda consistente nella ricarica di carte di credito delle quali avevano disponibilità, sulla scorta dei dati fraudolentemente carpiti con l'accesso ai sistemi bancari delle pp.oo, così ottenendo un ingiusto profitto.

Gli imputati ricorrevano in Cassazione, lamentando, tra gli altri motivi, l'affermazione di responsabilità relativa ai reati di cui al capo b) e la qualificazione giuridica delle condotte accertate, ovvero sostenendo che il reato di cui all'art. 615-quater c.p., dovesse ritenersi assorbito nel reato di cui all'art. 640-ter e 615-ter c.p.

La Suprema Corte, valutate le questioni sollevate dai ricorrenti, ha annullato la sentenza appellata, senza rinvio e nei confronti di uno solo degli imputati, limitatamente al reato di cui all'art 615-quater c.p., assorbito dal reato di cui all'art 615-ter, così eliminando l'aumento di pena irrogato in continuazione.

La questione principale sollevata nei motivi di ricorso, ed esaminata dalla Suprema Corte, ha riguardato la qualificazione giuridica delle fattispecie di cui agli

artt. 615-ter

e

615 quater c.p.

, e, più nello specifico, la possibilità che tali reati possano concorrere.

Mentre la Cassazione ha fornito una risposta positiva solo in merito alla concorrenza delle fattispecie di cui agli artt. 640-ter e 615-ter c.p., è giunta invero a conclusioni differenti in ordine ai rapporti tra accesso abusivo a un sistema informatico o telematico e la detenzione/diffusione abusiva di codici di accesso a sistemi informatici o telematici, previste e disciplinate rispettivamente negli artt. 615-ter e -quater c.p.

Gli Ermellini infatti, partendo prima dall'esame nel dettaglio delle condotte – alternative - previste dall'art. 615-quater c.p., consistenti nel procurarsi, riprodurre, diffondere, comunicare o consegnare a terzi i dati riservati edi codici di accesso a sistemi informatici o telematici, hanno poi precisato come si tratti di condotte aventi tutte natura di reato di pericolo, in quanto prodromiche a un eventuale, successivo, accesso abusivo: condizione per la quale è sufficiente la mera idoneità dei dati carpiti a consentire tale accesso.

Per tali ragioni, le previsioni di cui agli artt. 615-ter e -quater non possono concorrere, in quanto, pur posti entrambi a presidio dell'inviolabilità del domicilio “informatico” privato, hanno finalità diverse.

L'art 615-ter c.p., ovvero l'accesso abusivo al sistema informatico, serve a contrastare il fenomeno degli hacker, e protegge in maniera più incisiva il domicilio informatico tout court (inteso come spazio ideale di esclusiva pertinenza di una persona fisica o giuridica); mentre l'art. 615-quater c.p., che reprime condotte prodromiche, tutela la segretezza dei dati e dei programmi, già assicurata dall'incriminazione dell'accesso e della permanenza in un sistema informatico.

Tale seconda fattispecie – non autonomamente disciplinata - si pone quindi come “necessario antefatto” del reato di cui all'art 615-ter c.p., e deve ritenersi assorbito in quest'ultimo più grave delitto,.

Conclude quindi la Cassazione che il «meno grave - quoad poenam - delitto di cui all'art. 615-quater, non può concorrere con quello, più grave, di cui all'art. 615-ter, del quale costituisce naturalisticamente un antecedente necessario, sempre che quest'ultimo sia contestato, procedibile ed integrato nel medesimo contesto spazio-temporale in cui fu perpetrato l'antefatto, ed in danno della medesima persona fisica titolare del bene protetto».

La sentenza in oggetto si pone nella scia (confermando l'orientamento ormai consolidato) di svariate pronunce in tema di tutela e sicurezza del “domicilio informatico”, precisando ulteriormente limiti e natura delle due fattispecie di cui all'art 615-ter e -quater c.p.

Già nel 2012, con la sentenza n. 42021, la V Sezione, aveva fornito un'interpretazione chiara e molto dettagliata del “domicilio informatico”, definendone confini e caratteristiche.

In quell'occasione gli Ermellini avevano infatti statuito che con tale espressione dovesse intendersi «lo spazio ideale (ma anche fisico in cui sono contenuti i dati informatici) di pertinenza della persona, a cui viene estesa la tutela della riservatezza della sfera individuale, quale bene anche costituzionalmente protetto. L'art. 615-ter c.p., infatti, non si limita a tutelare solamente i contenuti personalissimi dei dati raccolti nei sistemi informatici protetti, ma offre una tutela più ampia che si concreta nello jus excludendi alios, quale che sia il contenuto dei dati racchiusi in esso, purché attinente alla sfera di pensiero o all'attività, lavorativa o non, dell'utente; con la conseguenza che la tutela della legge si estende anche agli aspetti economico-patrimoniali dei dati, sia che titolare dello jus excludendi sia persona fisica, persona giuridica, privata o pubblica, o altro ente».

I sistemi informatici e telematici - entità immateriali caratterizzate da informazioni inserite in software, sistemi o apparati - dunque, non costituiscono più solo dei mezzi attraverso cui il soggetto può esprimere le proprie idee, capacità professionali etc., ma diventano “luoghi o spazi” dove l'uomo vi proietta la propria persona fisica e vi trasferisce alcune facoltà intellettuali (con le ovvie conseguenze, anche e soprattutto di natura giuridica, connesse all'individuazione dei confini e della delimitazione fisica di tali spazi meritevoli di tutela).

Proprio in ragione delle numerose criticità che tale definizione trascina con sè, e con l'obiettivo di risolverne gli aspetti più dirompenti, la legge 547/1993 ha riconosciuto giuridicamente il nuovo concetto di domicilio informatico, intendendo con esso quel «bene giuridico per la cui tutela l'ordinamento garantisce il diritto di esplicare liberamente qualsiasi attività lecita all'interno del luogo informatico (spazio ideale, i cui confini “virtuali” sono rappresentati da informazioni), con facoltà di escludere terzi non graditi».

Altra interessante sentenza sull'argomento è la n. 13057/2016: in questa pronuncia i Giudici della Suprema Corte hanno stabilito come anche l'accesso alla casella di posta elettronica (spazio di memoria destinato alla memorizzazione dei messaggi, informazioni, immagini, video, ecc.), di un soggetto identificato da un account registrato presso un provider, sia equiparabile ad un accesso al sistema informatico e come tale meritevole di ampia tutela. Più nello specifico, potendovi il soggetto accedere solo tramite inserimento di propria password (indice della volontà di creare uno spazio riservato) ogni accesso abusivo concreta l'elemento materiale del reato di cui all'art. 615-ter c.p.

Per sistema informatico, dunque, si deve intendere il complesso organico di elementi fisici (hardware) e astratti (software) che compongono un apparato di elaborazione dati, nonché, come stabilito anche dalla Convenzione di Budapest, qualsiasi apparecchiatura - o gruppo di apparecchiature interconnesse o collegate – che, in base ad un programma, compiono l'elaborazione automatica dei dati.

L'esatta definizione di domicilio informatico, concetto ribadito nell'odierna pronuncia, fa da sfondo a un tema particolarmente sentito e foriero di non pochi e accesi dibattiti e confronti tra dottrina e giurisprudenza, quale quello di contrasto alla “criminalità informatica” in quanto, la rapidità con cui crimini e delitti si evolvono e si perfezionano (anche attraverso l'uso di strumenti tecnologici o con l'obiettivo di carpire informazioni e dati telematici per usi e finalità criminose), costringe tutti gli operatori del diritto non solo a un continuo aggiornamento, bensì ad una rivalutazione “in tempo reale” delle esigenze e dei diritti degli individui a cui dare prioritaria tutela, persino a costo di superare quelle definizioni canoniche e più rigoriste che per anni sono state alla base del diritto penale.

Ciò comporta inevitabili diatribe circa la necessità ovvero l' pportunità di ricorrere, per le nuove fattispecie - talvolta non ancora codificate o delimitate nei loro tratti essenziali e tipici - ad applicazioni analogiche di istituti “classici”, con non pochi dubbi circa le ripercussioni che tali scelte possono avere soprattutto nelle aule di giudizio, a fronte dell'urgenza con cui intervenire per fronteggiare il dilagarsi di certe forme particolarmente insidiose di criminalità.

Nel caso di specie, dunque, i Giudici (oltre a trattare una questione puramente di diritto quale quella della differenza tra concorrenza o assorbimento di fattispecie) si sono ancora una volta concentrati sull'individuazione e definizione dei limiti, della natura e dell'oggetto reale di tutela del cd “domicilio informatico”, finendo per costruire un istituto giuridico “ibrido”, che riassume in sé concetti di domicilio estrapolati dal codice penale e dalla Costituzione, nonché concetti puramente informatici e tecnici.

L'attenzione, inevitabilmente, si è dovuta concentrare anche sul tema dei contenuti da tutelare, di come e dove poterli rintracciare, di come altresì garantirli e tutelarli senza oltrepassare quei limiti interpretativi, il cui sconfinamento porta, come immediata conseguenza, la violazione del divieto di applicazione analogica. Tutto ciò nella consapevolezza di come l'assoluta astrattezza e intangibilità di tali beni non possa tuttavia comportarne una riduzione di tutela, essendo essi strettamente connessi ad altri diritti e facoltà dell'individuo, considerati centrali e preminenti nell'ordinamento.

Gli Ermellini, anche in passate ma recenti pronunce, si sono dovuti confrontare con ulteriori tematiche imprescindibilmente legate al domicilio informatico, quali la natura e la definizione di “dato personale”: concetto che il legislatore ha definito, con l'art. 4 del d.lgs. 196/2003 come qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale. Si tratta evidentemente di una definizione molto estesa che può ricomprendere nome e cognome, età, codice fiscale, indirizzo, voce, caratteristiche biometriche di una persona, ect.

Senza dimenticare che alla sfera dei dati personali, e dunque all'individuo che opera anche nello spazio virtuale, spettano tutta una serie di ulteriori diritti e garanzie aventi ad oggetto altri “dati informatici” che il legislatore non può non tutelare: basti pensare a dati contenuti nelle mail e nelle pec; dati bancari accessibili in via telematica; dati sanitari e professionali; dati politici - solo per citarne alcuni -.

Proprio al fine dunque di garantire la massima riservatezza informatica, nonché l'accesso libero e sicuro ai propri sistemi informatici, nella convinzione ormai consolidata che luoghi di dimora non siano solo quelli materialmente individuati, bensì tutti quelli ove si proietta e si estrinseca la libertà individuale dell'individuo, il Legislatore ha scelto di introdurre due differenti e graduate forme di disciplina all'accesso stesso, attraverso le previsioni più rigorose del 615-ter e quelle meno stringenti del 615-quater c.p.

Il 615-ter infatti sanziona sia l' accesso puro e semplice da parte di un soggetto in un sistema informatico o telematico protetto da misure di sicurezza; sia il mantenimento all'interno di un sistema informatico da parte di un soggetto autorizzato all'accesso, ma oltre il periodo temporale necessario a giustificare la presenza in quel sistema per il quale aveva ricevuto la autorizzazione.

Il 615-quater, predisposto per tutelare la riservatezza delle chiavi di accesso ai sistemi informatici o telematici, punisce invece una condotta prodromica alla commissione del delitto di cui all'articolo 615-ter c.p., sanzionando la detenzione o la messa a disposizione di apparecchiature in grado di infrangere i presidi posti a tutela del "domicilio informatico altrui".

Altro problema di non poco conto, cui sono stati chiamati a pronunciarsi i Giudici della Suprema negli ultimi anni, è quello relativo all'esatta individuazione del luogo nel quale si consuma il reato di accesso, tanto che nel 2015, con sentenza del 24 apirle 2015, n. 17325, le Sezioni Unite, hanno rilevato come le modalità di funzionamento dei sistemi informatici e telematici, comportino che ci si debba riferire non al luogo in cui è collocato il server, bensì al luogo in cui si verifica materialmente l'accesso al sistema o a più sistemi interconnessi tra loro, cioè il luogo fisico in cui le informazioni vengono materialmente trattate dall'utente. Nello specifico, dunque, l'ingresso o l'introduzione abusiva, vengono ad essere integrati (per il delitto di cui all'art 615-ter c.p) nel luogo in cui l'operatore materialmente digita la password di accesso o esegue la procedura di login, con il superamento delle misure di sicurezza apposte dal titolare del sistema, così accedendo alla banca-dati.

Come si può agevolmente comprendere, sono tematiche che hanno un notevole impatto non solo su questioni meramente teoriche e dottrinali, bensì procedurali e procedimentali in senso stretto, coinvolgendo e riguardando l'esatta individuazione della competenza ratio materia e territoriale, l'inizio e l'espletamento di attività di indagine, l'individuazione dei Giudici naturali etc.

Tali “nuove fattispecie e nuovi istituti” comportano, quindi, da un lato un diritto sempre più al passo con i tempi, “giovane e smart”, ma che rischia di perdere di vista i dettami della norma penale in tema di certezza del diritto, tipicità, divieto di applicazione analogica; dall'altro che, un diritto “arcaico” e rigido nelle sue interpretazioni rigoriste, che non riesce a sostenere la velocità con cui il mondo tecnologico si muove e con cui impone a tutti gli operatori sociali di adeguarsi ai continui e repentini cambiamenti, finisca per non tutelare più i reali diritti degli individui, o di trascurarne alcuni ormai di importanza pari, se non maggiore, a quelli codicisticamente noti, tipizzati e disciplinati.

Un difficile equilibrio nel quale sia i Giudici, che tutti coloro che orbitano nel campo del diritto, sono chiamati ad operare, senza tuttavia perdere vista l'obiettivo primario di proteggere e garantire la sfera di libertà dell'individuo – anche nelle nuove connotazioni - e, contemporaneamente, di salvaguardare quei cardini insuperabili e invalicabili di un diritto penale caratterizzato da certezza, determinatezza, legalità e tipicità.