Cybersecurity e reati informatici: due ipotesi a confronto
L’ascesa del cyberspazio nella società moderna ha comportato una sensibile trasformazione del diritto positivo che doveva necessariamente adeguarsi alle nuove esigenze di tutela di una dimensione nuova e indubbiamente oscura dello spazio. Lo spazio, così come abitualmente inteso in quattro dimensioni dove si svolgono i fenomeni fisici, si è espanso in nuove aree inesplorate in cui l’agire umano non ha atteso ad introdursi. E come tale, anche il delinquere vi si è insinuato. Era perciò inevitabile, anzi vitale, lo sforzo del legislatore di porre precetti che non lasciassero shadow areas nella tutela dei diritti degli uomini o più propriamente degli utenti e tale forma di salvaguardia ha preso il nome di cybersecurity. È stata la legge n. 547 del 1993 ad aver introdotto una disciplina per il crybercrime, ossia una regolamentazione per quei crimini commessi tramite l’utilizzo di tecnologie informatiche o telematiche[1] , anche detti reati informatici. Questi sono stati immessi nell’ordinamento, sia mediante norme del Codice Penale, sia in alcune disposizioni del Codice di Procedura Penale, precisamente negli artt. 640 ter, 615 ter, 615 quater, 615 quinquies, 617 quater, 617 quinquies e sexies c.p.
Le fonti normative dei reati informatici, al di fuori delle disposizioni summenzionate, sono principalmente tre:
- La c.d. Legge Conso, L. 23.12.1993, n. 547;
- La L. 18 marzo 2008;
- La L. 15 febbraio 2012, n. 12.
Può dirsi essenziale un breve accenno ad alcuni concetti nati proprio sul campo dei reati informatici, senza i quali non potrebbe procedersi ad un’ idonea comprensione degli stessi previsti e puniti dall’ordinamento.
Il Cybercrime è inteso in due diverse accezioni: in senso stretto, riguarda tutti gli illeciti che non potrebbero essere commessi in assenza di strumenti informatici o telematici; il cybercrime in senso lato comprende i reati commessi anche al di fuori del cyberspazio, come lo stalking.[2]
All’interno del Cybercrime si suole distinguere due categorie di illeciti: i reati informatici sono qualificati come comportamenti manipolativi truffaldini, mentre i delitti di abuso riguardano gli usi impropri delle risorse tecnologiche per scopi personali.
Invece, per documento informatico si intende qualunque supporto informatico contenente dati o informazioni avente efficacia probatoria o programmi specificamente destinati ad elaborarli[3]. In altre parole, il documento informatico è la rappresentazione informatica di atti, fatti e dati giuridicamente rilevanti[4].
Tra i reati informatici, occupano una posizione piuttosto rilevante nei tempi recenti la frode informatica ex art. 640 c.p. e l’accesso abusivo ad un sistema informatico o telematico di cui all’art. 615 ter c.p. e di seguito se ne proporrà un’approfondita analisi.
La frode informatica
Ai sensi dell’art. 640 ter c.p., “chiunque, alterando in qualsiasi modo il funzionamento di un sistema informatico o telematico o intervenendo senza diritto con qualsiasi modalità su dati, informazioni o programmi contenuti in un sistema informatico o telematico o ad esso pertinenti, procura a sé o ad altri un ingiusto profitto con altrui danno, è punito con la reclusione da sei mesi a tre anni e con la multa da cinquantuno euro a milletrentadue euro.” L’oggetto giuridico che la norma protegge è il c.d. domicilio informatico, con il quale si intende “lo spazio ideale (ma anche fisico in cui sono contenuti i dati informatici) di pertinenza della persona, il quale deve essere salvaguardato al fine di impedire non solo la violazione della riservatezza della vita privata, ma qualsiasi tipo di intrusione”[5]. L’elemento oggettivo della fattispecie è l’utilizzo di codici informatici di terzi ,in quanto quei codici siano utilizzati per intervenire senza diritto su dati, informazioni o programmi al fine di procurare a sé od altri un ingiusto profitto[6]. Questo è un reato a forma libera, in quanto prevede alternativamente una condotta che consiste nell’alterazione del funzionamento del sistema informatico o telematico, o in un intervento non autorizzato e si consuma quando l’agente, conseguendo l’ingiusto profitto, cagiona un altrui danno.
L’accesso abusivo ad un sistema informatico o telematico
L’art. 615 ter c.p. è rubricato “accesso abusivo ad un sistema informatico o telematico” e stabilisce: “Chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo, è punito con la reclusione fino a tre anni.” Le condotte tipizzate, dunque, sono due e sono alternative: la prima è quella di chi si introduce abusivamente in un sistema informatico, la seconda è quella di chi permanga senza autorizzazione nel sistema, contro la volontà espressa o tacita del titolare. In quanto piuttosto vago, la giurisprudenza ha chiarito il significato della locuzione “sistema informatico”, stabilendo che “per sistema informatico deve intendersi quel complesso di apparecchiature destinate a compiere una qualsiasi funzione utile all’uomo, attraverso l’utilizzazione di tecnologie informatiche”[7]. Anche in questo caso il legislatore ha inteso dare tutela al c.d. domicilio informatico, inteso come spazio fisico o ideale di pertinenza della sfera individuale dei soggetti, di cui si è appena detto. Avendo riguardo all’elemento oggettivo richiesto affinché si configuri la fattispecie, recente giurisprudenza ha stabilito che ai fini della condanna è sufficiente la mera sussistenza di specifiche deduzioni tecniche, come l’accertamento dell’esistenza di un indirizzo IP associato al computer dal quale si accede, anche qualora mancassero altri elementi tecnici individualizzanti in tal senso.[8]
Quanto alle nozioni di “intrusione” e “accesso abusivo”, occorre fare alcune precisazioni: i giudici hanno stabilito in modo pressoché unanime che per aversi accesso abusivo è necessario che il soggetto, pur avendo titolo per accedere in un sistema, vi si introduca con le credenziali (password) di servizio ai fini di ottenere dati protetti per scopi estranei a quelli ai quali era preposto.[9] Nondimeno, integra il reato di cui all’art. 615 ter c.p. la condotta di chi acceda o si mantenga in un sistema informatico protetto, in violazione delle condizioni e delle prescrizioni imposte dal titolare per proteggere l’accesso. Dal momento in cui questo reato fu introdotto, si sono alternate svariate teorie dirette a spiegare in modo più uniforme i concetti di “entrare” e “mantenersi” all’interno di un sistema sistema. I giudici, in particolare, si sono occupati di tracciare i contorni di quei casi di ingresso abusivo nelle banche dati strettamente protette, come quelle in possesso delle forze di polizia o dei ministeri, impiegate per finalità di ordine pubblico e sicurezza e pertanto maggiormente protetti.
Nel 2015, sono intervenute le Sezioni Unite, con sentenza 26 marzo 2015, n. 17325, che hanno sancito che il luogo di consumazione del delitto di accesso abusivo a sistema informatico è quello in cui si trova il soggetto che effettua l’introduzione abusiva o vi si mantiene abusivamente. La Suprema Corte ha spiegato che per l’individuazione del luogo di consumazione del delitto “assume rilevanza il luogo di ubicazione della postazione remota dalla quale avviene l’accesso e non invece il luogo in cui si trova l’elaboratore centrale”. Inoltre, rispetto all’opaco elemento della legittimazione ad accedere al sistema, nel caso di possesso delle password per accedere a un sistema, per parte della giurisprudenza è da escludersi la responsabilità dell’agente, secondo altro indirizzo, il soggetto dovrebbe comunque rispettare dei limiti temporali di accesso per essere esente da responsabilità.
Il contrasto sul tema permane, difatti, in pronunce come Cass. Pen. Sez. Un. 27 ottobre 2011, n. 4694, si è esclusa la responsabilità dell’agente in quanto non si può sovrapporre all’accesso abusivo il fatto di accedere essendone legittimati; al contrario, in Cass. Pen. Sez. Un, 18 maggio 2017 n. 271061, si è stabilito che chi accede o si mantiene nel sistema, pur essendo legittimato ad entrare, per ragioni estranee o diverse dalle facoltà attribuitegli, può essere condannato ai sensi dell’art. 615 ter c.p.
Due reati a confronto: l’art. 640 ter e l’art. 615 ter c.p.
La giurisprudenza si è trovata plurime volte a dover discernere le ipotesi di frode informatica ed accesso abusivo ad un sistema informatico ex artt. 640 ter e 615 ter c.p. e in tal sede ha stabilito, piuttosto pacificamente, che i due reati si differenziano sensibilmente e che per tal motivo, possono formalmente concorrere. Invero, sia i beni giuridici tutelati sia le condotte sanzionate sono divergenti: l’accesso abusivo tutela il domicilio informatico sotto il profilo dello ius excludendi alios, mentre la frode informatica riguarda l’alterazione dei dati accumulati nel sistema ai fini di percepire un ingiusto profitto.[10] Peraltro, è elemento dirimente la previsione della possibilità di commettere il reato di accesso abusivo ex art. 615 ter c.p. solo nei riguardi di sistemi protetti, caratteristica non ricorrente nel reato di frode informatica ex art. 640 ter c.p. Infine, mentre nella condotta di accesso abusivo non si richiede la manipolazione del sistema, questa è elemento caratterizzante la frode informatica.
[1] Tratto da www.cybersecurity360.it
[2] Palazzolo E., “il cybercrime in Italia: una visione d’insieme”, tratto da www.iusinitinere.it
[3] Art. 3 L. 547/1993
[4] Art. 1 DPR 513/1997
[5] Cass. Pen., 4 ottobre 1999, n. 3065
[6] Cass., Pen., 13 ottobre 2015, n. 50140
[7] Cass. Pen., 4 ottobre 1999, n. 3067
[8] Cass. Pen., 23 marzo 2018, n. 20485
[9] In tal senso, Cass. Pen., 26 ottobre 2016, n. 14546; Cass. Pen., 10 dicembre 2009, n. 2987
[10] Cass. Pen., 30 settembre 2008, n. 1727. Nel caso di specie la S.C. ha ritenuto immune da censure la decisione con cui il Giudice d’Appello ha ritenuto il concorso tra i due reati nei confronti dell’imputato che, dipendente dell’Agenzia delle Entrate, si era abusivamente introdotto nel sistema dell’Amministrazione, inserendovi provvedimenti fiscali mai adottati, alterando il sistema per occultare il credito che molti contribuenti vantavano nei riguardi dell’Erario.
Fonte immagine: www.selfence.altervista.org
Sono Alessia Di Prisco, classe 1993 e vivo in provincia di Napoli.
Iscritta all’Albo degli Avvocati di Torre Annunziata, esercito la professione collaborando con uno studio legale napoletano.
Dopo la maturità scientifica, nel 2017 mi sono laureata alla facoltà di giurisprudenza presso l’Università degli Studi Federico II di Napoli, redigendo una tesi dal titolo “Il dolo eventuale”, con particolare riferimento al caso ThyssenKrupp S.p.A., guidata dal Prof. Vincenzo Maiello.
In seguito, ho conseguito il diploma di specializzazione presso una Scuola di Specializzazione per le Professioni Legali a Roma, con una dissertazione finale in materia di diritto penale, in relazione ai reati informatici.
Ho svolto il Tirocinio formativo presso gli uffici giudiziari del Tribunale di Torre Annunziata affiancando il GIP e scrivo da anni per la rubrica di diritto penale di Ius In Itinere.
Dello stesso progetto sono stata co-fondatrice e mi sono occupata dell’organizzazione di eventi giuridici per Ius In Itinere su tutto il territorio nazionale.
