Accesso abusivo al sistema informatico. SDI
Inviato: sab mag 30, 2015 10:30 pm
Corte Suprema di Cassazione – Ufficio del Massimario e del Ruolo - Servizio Penale
DELITTI CONTRO LA LIBERTÀ INDIVIDUALE
-------------------------------------------------------------------------
1. Accesso abusivo ad un sistema informatico.
-------------------------------------------------------------------------
Le Sezioni Unite si sono pronunciate sulla tematica dell’accesso abusivo ad un sistema informatico. La già citata sent. Sez. U, n. 4694 del 27/10/2011, dep. 07/02/2012, Casani ed altri ha riguardato un caso di accesso di tal tipo secondo l’accusa posto in essere da un maresciallo dei Carabinieri che si introduceva nel sistema informatico denominato S.D.I. (Sistema di Indagine), in dotazione alle forze di polizia, sistema protetto da misure di sicurezza, con abuso dei poteri e violazione dei doveri inerenti la funzione di ufficiale di p.g. e con violazione delle direttive concernenti l'accesso allo S.D.I. da parte di appartenenti alle forze dell'ordine e all'Arma dei Carabinieri.
Al riguardo le Sezioni Unite hanno affermato che “integra il delitto previsto dall'art. 615-ter cod. pen. colui che, pur essendo abilitato, acceda o si mantenga in un sistema informatico o telematico protetto violando le condizioni ed i limiti risultanti dal complesso delle prescrizioni impartite dal titolare del sistema per delimitarne oggettivamente l'accesso, rimanendo invece irrilevanti, ai fini della sussistenza del reato, gli scopi e le finalità che abbiano soggettivamente motivato l'ingresso nel sistema” (Rv. 251269) e, inoltre, che “la fattispecie di accesso abusivo ad un sistema informatico protetto commesso dal pubblico ufficiale o dall'incaricato di pubblico ufficio con abuso dei poteri o con violazione dei doveri inerenti alla funzione o al servizio costituisce una circostanza aggravante del delitto previsto dall'art. 615 ter, comma primo, cod. pen. e non un'ipotesi autonoma di reato” (RV. 251270).
La questione di diritto per la quale i ricorsi erano stati rimessi alle Sezioni Unite da parte della Quinta Sezione penale, all’udienza dell'11 febbraio 2011 e con ordinanza depositata il 23 marzo 2011, era relativa al se integri la fattispecie criminosa di accesso abusivo ad un sistema informatico o telematico protetto la condotta di accesso o di mantenimento nel sistema posta in essere da soggetto abilitato ma per scopi o finalità estranei a quelli per i quali la facoltà di accesso gli è stata attribuita.
Orbene, al riguardo, un primo orientamento riteneva che il reato di cui al primo comma dell'art. 615-ter cod. pen. potesse essere integrato anche dalla condotta del soggetto che, pure essendo abilitato ad accedere al sistema informatico o telematico, vi si introducesse con la password di servizio per raccogliere dati protetti per finalità estranee alle ragioni di istituto ed agli scopi sottostanti alla protezione dell'archivio informatico, utilizzando sostanzialmente il sistema per finalità diverse da quelle consentite.
Esso si fondava sostanzialmente, oltre che sull’analogia con la fattispecie della violazione di domicilio, sulla considerazione che la norma in esame punisce non soltanto l'abusiva introduzione nel sistema (da escludersi nel caso di possesso del titolo di legittimazione) ma anche l'abusiva permanenza contro la volontà di chi ha il diritto di escluderla (in questo senso v. sentenza n. 12732 del 07/11/2000, Zara; sentenza n. 30663 del 04/05/2006, Grimoldi; sentenza n. 37322 del 08/07/2008, Bassani).
Tale orientamento aveva trovato successivamente accoglimento in ulteriori pronunce della Quinta Sezione (sentenza n. 18006 del 13/02/2009, Russo; sentenza n. 2987 del 10/12/2009, dep. 2010, Matassich; sentenza n. 19463 del 16/02/2010, Jovanovic; sentenza n. 39620 del 22/09/2010, dep. 2010, Lesce).
Un altro orientamento, del tutto difforme, escludeva in ogni caso che il reato di cui all'art. 615-ter cod. pen. fosse integrato dalla condotta del soggetto il quale, avendo titolo per accedere al sistema, se ne avvalesse per finalità estranee a quelle di ufficio, ferma restando la sua responsabilità per i diversi reati eventualmente configurabili, ove le suddette finalità vengano poi effettivamente realizzate.
A sostegno di tale interpretazione, si osservava che la sussistenza della volontà contraria dell'avente diritto, cui fa riferimento la norma incriminatrice, deve essere verificata esclusivamente con riguardo al risultato immediato della condotta posta in essere dall'agente con l'accesso al sistema informatico e con il mantenersi al suo interno, e non con riferimento a fatti successivi (l'uso illecito dei dati) che, anche se già previsti, potranno di fatto realizzarsi solo in conseguenza di nuovi e diversi atti di volizione da parte dell'agente.
Ulteriore argomentazione veniva tratta dalla formula normativa "abusivamente si introduce", la quale doveva essere intesa nel senso di "accesso non autorizzato", secondo la più corretta espressione di cui alla c.d. "lista minima" della Raccomandazione R(89)9 del Comitato dei Ministri del Consiglio d'Europa, sulla criminalità informatica, approvata il 13 settembre 1989 ed attuata in Italia con la legge n. 547 del 1993, e, quindi, della locuzione "accesso senza diritto" (access [...] without right) impiegata nell'art. 2 della Convenzione del Consiglio d'Europa sulla criminalità informatica (cybercrime) fatta a Budapest il 23 novembre 2001 e ratificata con la legge 18 marzo 2008, n. 48.
Alle stesse conclusioni pervenivano pure la Sesta Sezione, con la sentenza n. 39290 del 08/10/2008, Peparaio, e la Quinta Sezione con la sentenza n. 40078 del 25/06/2009, Genchi.
In tale contesto interpretativo, le Sezioni Unite hanno ritenuto “che la questione di diritto controversa non debba essere riguardata sotto il profilo delle finalità perseguite da colui che accede o si mantiene nel sistema, in quanto la volontà del titolare del diritto di escluderlo si connette soltanto al dato oggettivo della permanenza (per così dire "fisica") dell'agente nell’elaboratore”.
Ciò significa che la volontà contraria dell'avente diritto deve essere verificata solo con riferimento al risultato immediato della condotta posta in essere, non già ai fatti successivi.
Rilevante deve ritenersi, perciò, il profilo oggettivo dell'accesso e del trattenimento nel sistema informatico da parte di un soggetto che sostanzialmente non può ritenersi autorizzato ad accedervi ed a permanervi sia allorquando violi i limiti risultanti dal complesso delle prescrizioni impartite dal titolare del sistema (nozione specificata, da parte della dottrina, con riferimento alla violazione delle prescrizioni contenute in disposizioni organizzative interne, in prassi aziendali o in clausole di contratti individuali di lavoro) sia allorquando ponga in essere operazioni di natura ontologicamente diversa da quelle di cui egli è incaricato ed in relazione alle quali l'accesso era a lui consentito.
In questi casi, è proprio il titolo legittimante l'accesso e la permanenza nel sistema che risulta violato: il soggetto agente opera illegittimamente, in quanto il titolare del sistema medesimo lo ha ammesso solo a ben determinate condizioni, in assenza o attraverso la violazione delle quali le operazioni compiute non possono ritenersi assentite dall'autorizzazione ricevuta.
Il dissenso tacito del “dominus loci“ non viene desunto dalla finalità (quale che sia) che anima la condotta dell'agente, bensì dall'oggettiva violazione delle disposizioni del titolare in ordine all'uso del sistema.
Irrilevanti devono considerarsi gli eventuali fatti successivi: “questi, se seguiranno, saranno frutto di nuovi atti volitivi e pertanto, se illeciti, saranno sanzionati con riguardo ad altro titolo di reato (rientrando, ad esempio, nelle previsioni di cui agli artt. 326, 618, 621 e 622 cod. pen.)”.
Pertanto, “nei casi in cui l'agente compia sul sistema un'operazione pienamente assentita dall'autorizzazione ricevuta ed agisca nei limiti di questa, il reato di cui all'art. 615-ter cod. pen. non è configurabile, a prescindere dallo scopo eventualmente perseguito; sicché qualora l'attività autorizzata consista anche nella acquisizione di dati informatici, e l'operatore la esegua nei limiti e nelle forme consentiti dal titolare dello “ius excludendi”, il delitto in esame non può essere individuato anche se degli stessi dati egli si dovesse poi servire per finalità illecite.
Il giudizio circa l'esistenza del dissenso del “dominus loci” deve assumere come parametro la sussistenza o meno di un'obiettiva violazione, da parte dell'agente, delle prescrizioni impartite dal dominus stesso circa l'uso del sistema e non può essere formulato unicamente in base alla direzione finalistica della condotta, soggettivamente intesa.
Vengono in rilievo, al riguardo, quelle disposizioni che regolano l'accesso al sistema e che stabiliscono per quali attività e per quanto tempo la permanenza si può protrarre, da prendere necessariamente in considerazione, mentre devono ritenersi irrilevanti, ai fini della configurazione della fattispecie, eventuali disposizioni sull'impiego successivo dei dati”.
DELITTI CONTRO LA LIBERTÀ INDIVIDUALE
-------------------------------------------------------------------------
1. Accesso abusivo ad un sistema informatico.
-------------------------------------------------------------------------
Le Sezioni Unite si sono pronunciate sulla tematica dell’accesso abusivo ad un sistema informatico. La già citata sent. Sez. U, n. 4694 del 27/10/2011, dep. 07/02/2012, Casani ed altri ha riguardato un caso di accesso di tal tipo secondo l’accusa posto in essere da un maresciallo dei Carabinieri che si introduceva nel sistema informatico denominato S.D.I. (Sistema di Indagine), in dotazione alle forze di polizia, sistema protetto da misure di sicurezza, con abuso dei poteri e violazione dei doveri inerenti la funzione di ufficiale di p.g. e con violazione delle direttive concernenti l'accesso allo S.D.I. da parte di appartenenti alle forze dell'ordine e all'Arma dei Carabinieri.
Al riguardo le Sezioni Unite hanno affermato che “integra il delitto previsto dall'art. 615-ter cod. pen. colui che, pur essendo abilitato, acceda o si mantenga in un sistema informatico o telematico protetto violando le condizioni ed i limiti risultanti dal complesso delle prescrizioni impartite dal titolare del sistema per delimitarne oggettivamente l'accesso, rimanendo invece irrilevanti, ai fini della sussistenza del reato, gli scopi e le finalità che abbiano soggettivamente motivato l'ingresso nel sistema” (Rv. 251269) e, inoltre, che “la fattispecie di accesso abusivo ad un sistema informatico protetto commesso dal pubblico ufficiale o dall'incaricato di pubblico ufficio con abuso dei poteri o con violazione dei doveri inerenti alla funzione o al servizio costituisce una circostanza aggravante del delitto previsto dall'art. 615 ter, comma primo, cod. pen. e non un'ipotesi autonoma di reato” (RV. 251270).
La questione di diritto per la quale i ricorsi erano stati rimessi alle Sezioni Unite da parte della Quinta Sezione penale, all’udienza dell'11 febbraio 2011 e con ordinanza depositata il 23 marzo 2011, era relativa al se integri la fattispecie criminosa di accesso abusivo ad un sistema informatico o telematico protetto la condotta di accesso o di mantenimento nel sistema posta in essere da soggetto abilitato ma per scopi o finalità estranei a quelli per i quali la facoltà di accesso gli è stata attribuita.
Orbene, al riguardo, un primo orientamento riteneva che il reato di cui al primo comma dell'art. 615-ter cod. pen. potesse essere integrato anche dalla condotta del soggetto che, pure essendo abilitato ad accedere al sistema informatico o telematico, vi si introducesse con la password di servizio per raccogliere dati protetti per finalità estranee alle ragioni di istituto ed agli scopi sottostanti alla protezione dell'archivio informatico, utilizzando sostanzialmente il sistema per finalità diverse da quelle consentite.
Esso si fondava sostanzialmente, oltre che sull’analogia con la fattispecie della violazione di domicilio, sulla considerazione che la norma in esame punisce non soltanto l'abusiva introduzione nel sistema (da escludersi nel caso di possesso del titolo di legittimazione) ma anche l'abusiva permanenza contro la volontà di chi ha il diritto di escluderla (in questo senso v. sentenza n. 12732 del 07/11/2000, Zara; sentenza n. 30663 del 04/05/2006, Grimoldi; sentenza n. 37322 del 08/07/2008, Bassani).
Tale orientamento aveva trovato successivamente accoglimento in ulteriori pronunce della Quinta Sezione (sentenza n. 18006 del 13/02/2009, Russo; sentenza n. 2987 del 10/12/2009, dep. 2010, Matassich; sentenza n. 19463 del 16/02/2010, Jovanovic; sentenza n. 39620 del 22/09/2010, dep. 2010, Lesce).
Un altro orientamento, del tutto difforme, escludeva in ogni caso che il reato di cui all'art. 615-ter cod. pen. fosse integrato dalla condotta del soggetto il quale, avendo titolo per accedere al sistema, se ne avvalesse per finalità estranee a quelle di ufficio, ferma restando la sua responsabilità per i diversi reati eventualmente configurabili, ove le suddette finalità vengano poi effettivamente realizzate.
A sostegno di tale interpretazione, si osservava che la sussistenza della volontà contraria dell'avente diritto, cui fa riferimento la norma incriminatrice, deve essere verificata esclusivamente con riguardo al risultato immediato della condotta posta in essere dall'agente con l'accesso al sistema informatico e con il mantenersi al suo interno, e non con riferimento a fatti successivi (l'uso illecito dei dati) che, anche se già previsti, potranno di fatto realizzarsi solo in conseguenza di nuovi e diversi atti di volizione da parte dell'agente.
Ulteriore argomentazione veniva tratta dalla formula normativa "abusivamente si introduce", la quale doveva essere intesa nel senso di "accesso non autorizzato", secondo la più corretta espressione di cui alla c.d. "lista minima" della Raccomandazione R(89)9 del Comitato dei Ministri del Consiglio d'Europa, sulla criminalità informatica, approvata il 13 settembre 1989 ed attuata in Italia con la legge n. 547 del 1993, e, quindi, della locuzione "accesso senza diritto" (access [...] without right) impiegata nell'art. 2 della Convenzione del Consiglio d'Europa sulla criminalità informatica (cybercrime) fatta a Budapest il 23 novembre 2001 e ratificata con la legge 18 marzo 2008, n. 48.
Alle stesse conclusioni pervenivano pure la Sesta Sezione, con la sentenza n. 39290 del 08/10/2008, Peparaio, e la Quinta Sezione con la sentenza n. 40078 del 25/06/2009, Genchi.
In tale contesto interpretativo, le Sezioni Unite hanno ritenuto “che la questione di diritto controversa non debba essere riguardata sotto il profilo delle finalità perseguite da colui che accede o si mantiene nel sistema, in quanto la volontà del titolare del diritto di escluderlo si connette soltanto al dato oggettivo della permanenza (per così dire "fisica") dell'agente nell’elaboratore”.
Ciò significa che la volontà contraria dell'avente diritto deve essere verificata solo con riferimento al risultato immediato della condotta posta in essere, non già ai fatti successivi.
Rilevante deve ritenersi, perciò, il profilo oggettivo dell'accesso e del trattenimento nel sistema informatico da parte di un soggetto che sostanzialmente non può ritenersi autorizzato ad accedervi ed a permanervi sia allorquando violi i limiti risultanti dal complesso delle prescrizioni impartite dal titolare del sistema (nozione specificata, da parte della dottrina, con riferimento alla violazione delle prescrizioni contenute in disposizioni organizzative interne, in prassi aziendali o in clausole di contratti individuali di lavoro) sia allorquando ponga in essere operazioni di natura ontologicamente diversa da quelle di cui egli è incaricato ed in relazione alle quali l'accesso era a lui consentito.
In questi casi, è proprio il titolo legittimante l'accesso e la permanenza nel sistema che risulta violato: il soggetto agente opera illegittimamente, in quanto il titolare del sistema medesimo lo ha ammesso solo a ben determinate condizioni, in assenza o attraverso la violazione delle quali le operazioni compiute non possono ritenersi assentite dall'autorizzazione ricevuta.
Il dissenso tacito del “dominus loci“ non viene desunto dalla finalità (quale che sia) che anima la condotta dell'agente, bensì dall'oggettiva violazione delle disposizioni del titolare in ordine all'uso del sistema.
Irrilevanti devono considerarsi gli eventuali fatti successivi: “questi, se seguiranno, saranno frutto di nuovi atti volitivi e pertanto, se illeciti, saranno sanzionati con riguardo ad altro titolo di reato (rientrando, ad esempio, nelle previsioni di cui agli artt. 326, 618, 621 e 622 cod. pen.)”.
Pertanto, “nei casi in cui l'agente compia sul sistema un'operazione pienamente assentita dall'autorizzazione ricevuta ed agisca nei limiti di questa, il reato di cui all'art. 615-ter cod. pen. non è configurabile, a prescindere dallo scopo eventualmente perseguito; sicché qualora l'attività autorizzata consista anche nella acquisizione di dati informatici, e l'operatore la esegua nei limiti e nelle forme consentiti dal titolare dello “ius excludendi”, il delitto in esame non può essere individuato anche se degli stessi dati egli si dovesse poi servire per finalità illecite.
Il giudizio circa l'esistenza del dissenso del “dominus loci” deve assumere come parametro la sussistenza o meno di un'obiettiva violazione, da parte dell'agente, delle prescrizioni impartite dal dominus stesso circa l'uso del sistema e non può essere formulato unicamente in base alla direzione finalistica della condotta, soggettivamente intesa.
Vengono in rilievo, al riguardo, quelle disposizioni che regolano l'accesso al sistema e che stabiliscono per quali attività e per quanto tempo la permanenza si può protrarre, da prendere necessariamente in considerazione, mentre devono ritenersi irrilevanti, ai fini della configurazione della fattispecie, eventuali disposizioni sull'impiego successivo dei dati”.