Diritto penale dell'informatica

Permanenza non autorizzata nel sistema

Tale ipotesi non è contemplata da nessun altro paese. Discende infatti dalla scelta del nostro legislatore di configurare la norma sull'accesso abusivo ricalcando quella sulla violazione di domicilio.

Ovviamente la permanenza non autorizzata nel sistema presuppone che l'introduzione nel sistema sia stata casuale o autorizzata. Vale a dire, il soggetto non deve essere già punibile per il modo in cui si è introdotto nel sistema perché in questa ipotesi ricorre già la precedente fattispecie di introduzione abusiva.

La condotta consiste nel permanere all'interno del sistema con la consapevolezza di essere in un sistema protetto e di non avere quindi l'autorizzazione per farlo.

Di conseguenza, nelle ipotesi di un accesso casuale la condotta del soggetto diventerà penalmente rilevante nel momento in cui si rende conto che si trova all'interno di un sistema protetto e che deve quindi...

scollegarsi da esso. La condotta di permanenza non autorizzata nel sistema nel corso del tempo è venuta in considerazione sostanzialmente in presenza di tre tipologie di casi: a) Duplicazione di dati aziendali aventi valore economico e duplicati da parte di dipendenti o ex soci con l'intento, per esempio, di aprire un'attività in proprio; b) Consultazione di dati da parte di dipendenti pubblici; c) Consultazione e rivelazione a terzi di dati da parte di dipendenti pubblici. In merito la giurisprudenza ha assunto due orientamenti: Il primo orientamento conferiva rilevanza alla finalità con cui venivano consultati questi dati e all'impiego successivamente fatto dei dati stessi. Ove la finalità fosse illecita si riteneva possibile desumere il dissenso del titolare alla permanenza nel sistema e si riteneva dunque configurato il reato di accesso abusivo; Il secondo orientamento riteneva invece più corretto prescindere dalla finalità e

dall'impiego successivo dei dati ed andava a verificare il dissenso del titolare in relazione al risultato immediato dell'accesso, ossia in relazione al semplice fatto della consultazione dei dati.

Nel 2011 sono intervenute le Sezioni Unite per dirimere il contrasto. La Cassazione ha chiarito che per valutare la sussistenza del reato di accesso abusivo occorre prescindere dalla finalità del soggetto nella consultazione dei dati e dall'impiego successivo dei dati eventualmente acquisiti di cui comunque il soggetto può rispondere ad altro titolo.34 La formulazione della norma infatti impone di concentrare l'attenzione sul risultato immediato dell'accesso e di verificare il dissenso del titolare su base oggettiva, cioè ricavandolo dalle prescrizioni impartite per l'utilizzo del sistema. In altre parole, ci si deve chiedere se la consultazione dei dati sia legittima o no andando a vedere quelle che sono le prescrizioni impartite dal titolare.

del sistema per l'utilizzo del sistema stesso da parte dei dipendenti. Appare evidente che in tutte le situazioni l'utilizzo di qualsiasi sistema sarà vincolato alle finalità lavorative. Quindi applicare rigidamente questo principio di diritto potrebbe portare a ritenere integrato l'accesso abusivo ogniqualvolta vi sia una violazione delle prescrizioni, anche in presenza di violazioni che nulla hanno a che fare con la tutela della riservatezza dei dati. Facciamo un esempio: pensiamo ad una prescrizione che imponga la consultazione dei dati esclusivamente durante l'orario lavorativo. La permanenza nel sistema oltre l'orario lavorativo, a livello oggettivo, integra una violazione delle prescrizioni impartite per l'utilizzo del sistema. Tuttavia sarebbe completamente assurdo punire il soggetto a titolo di accesso abusivo. In questo caso infatti la riservatezza dei dati non è stata in nessun modo messa in pericolo. Occorre quindi trovare uncriterio per differenziare in maniera ragionevole le situazioni di permanenza nel sistema per ragioni estranee all'attività lavorativa e questo criterio non può che risiedere nell'interesse specifico di tutela della norma. Tuttavia la Cassazione non ha chiarito una volta per tutte quale sia l'interesse tutelato dall'accesso abusivo, norma che quindi si espone ancora ad interpretazioni ed applicazioni differenziate. Le aggravanti Consideriamo infine alcune circostanze aggravanti previste per il reato di accesso abusivo: La prima circostanza aggravante che consideriamo è la seguente: - "La pena è della reclusione da uno a cinque anni se il fatto è commesso con abuso della qualità di operatore del sistema". Questa è una circostanza che avevamo già riscontrato per la frode informatica e in quella sede avevamo già sottolineato l'equivocità di questa espressione e la necessità di

interpretarla in maniera di dar conto dei poteri superiori di questo soggetto così da evitare di considerare integrata la circostanza aggravante in presenza di qualsiasi accesso abusivo.

In questo contesto l'operatore del sistema potrà verosimilmente realizzare solo una permanenza non autorizzata. L'operatore del sistema infatti dovrebbe essere una persona che ha dei poteri di introduzione e di utilizzo del sistema di solito non riconosciuti agli utenti normali. Quindi è difficile che possa configurarsi l'introduzione abusiva.

La seconda circostanza aggravante che consideriamo è quella che implica un "se dal fatto deriva la distruzione o il danneggiamento del sistema o l'interruzione totale o parziale del suo funzionamento, ovvero la distruzione o il danneggiamento dei dati, delle informazioni o dei programmi in esso contenuti".

Quello che importa sottolineare è che deve trattarsi di eventi dannosi non voluti dall'agente.

Se l'agente infatti entra in un sistema informatico altrui proprio per danneggiare i dati, allora in questi casi avremo un concorso di reati tra l'accesso abusivo e il danneggiamento informatico. Se dal fatto deriva un danno ai dati, la stessa espressione letterale "danneggiamento informatico" fa ritenere sussistente la circostanza aggravante in presenza di un collegamento causale tra l'accesso e il danno ai dati. Lezione 8 LA GIURISPRUDENZA SULL'ACCESSO ABUSIVO Vediamo adesso un po' di pronunce giurisprudenziali in materia di accesso abusivo. A. Esempi: l'oggetto di tutela. Sentenza Cassazione, 4 ottobre 1999 Questa sentenza riguarda quell'ipotesi di frode informatica ai danni della Telecom che avevamo considerato in precedenza. Il tribunale di Lecce aveva escluso gli estremi di un accesso abusivo al sistema informatico ma aveva ravvisato la frode. La cassazione ritiene invece sussistente sia la frode informatica che l'accesso abusivo. Si dice infatti che: "L'oggettodella tutela del reato di cui all'art. 615-ter c.p. è costituito dal c.d. domicilio informatico, da intendersi come spazio ideale (ma anche fisico in cui sono contenuti i dati informatici) di pertinenza della persona, il quale deve essere salvaguardato al fine di impedire non solo la violazione della riservatezza della vita privata, ma qualsiasi tipo di intrusione anche se relativa a profili economico-patrimoniali dei dati; pertanto, il suddetto reato è configurabile in concorso formale con quello di cui all'art. 640-ter c.p., nella condotta dell'agente che, mediante la digitazione di una particolare sequenza di cifre su apparecchi telefonici collegati a linee interne di una filiale Telecom, effettui una serie di chiamate internazionali in danno della compagnia telefonica". In questa pronuncia si ravvisa espressamente il domicilio informatico come bene giuridico tutelato dalla norma sull'accesso abusivo. Nel caso di specie il sistema considerato non.È un sistema per la raccolta di dati riservati ma un sistema telefonico per mezzo del quale l'agente ha ottenuto delle comunicazioni internazionali. Come abbiamo detto tale sistema rimarrebbe escluso dal campo di applicazione della norma se la si considerasse a tutela della riservatezza dei dati. L'unica lettura che può consentire l'applicazione della norma anche in presenza di un sistema informatico del genere è quella sul domicilio informatico. B. Esempi: la misura di sicurezza come manifestazione della volontà del titolare. Sentenza del Tribunale di Torino, 7 febbraio 1998. Anche in questa sentenza torna il concetto di domicilio informatico che rende penalmente rilevante qualsiasi introduzione in un qualsiasi sistema informatico che non risulti autorizzata. "La duplicazione di dati acquisiti con accesso abusivo ad un sistema informatico integra la condotta tipica di cui all'art. 615 ter c.p., in quanto siffatta sottrazione di

dati non è altro che una forma di presa diconoscenza di notizie cui è preordinata l'intrusione, che può risolversi sia in unasemplice lettura che in una vera e propria copiatura dei dati rinvenuti nelsistema oggetto dell'introduzione; infatti, la norma di cui all'art. 615 ter c.p. è una estensione della protezione penale offerta al domicilio,reprimendosi qualsiasi introduzione in un sistema informatico cheavvenga contro la precisa volontà dell'avente diritto.Per rendere opponibile e penalmente rilevante siffatta contraria volontà, bastaqualsiasi mezzo protettivo del sistema concretamente considerato,ancorché facilmente superabile da persona mediamente esperta,essendo sufficiente che questo mezzo renda palese la contrariavolontà dell'avente diritto all'accesso ed al trattenimento nel sistema".36 La contraria volontà dell'avente diritto deve essere palesata dalla presenza diuna misura

rio che venga effettivamente violata. La condotta dell'agente può essere considerata abusiva anche senza l'effrazione delle misure protettive, purché presenti altri elementi che la rendano tale. In conclusione, la presenza di una misura di sicurezza è un requisito fondamentale per configurare il reato di accesso abusivo a un sistema informatico, ma non è necessario che venga effettivamente violata.