TESI DI LAUREA - Accesso abusivo a un sistema informatico o telematico, Tesi di laurea di Diritto Penale

Scarica TESI DI LAUREA - Accesso abusivo a un sistema informatico o telematico e più Tesi di laurea in PDF di Diritto Penale solo su Docsity! Università degli Studi di Palermo FACOLTÀ DI GIURISPRUDENZA CORSO DI LAUREA IN OPERATORE IN RELAZIONI INDUSTRIALI POLO TERRITORIALE UNIVERSITARIO DELLA PROVINCIA DI TRAPANI L’ACCESSO ABUSIVO A UN SISTEMA INFORMATICO O TELEMATICO RELATORE: Ch.mo Prof. Ignazio Giacona TESI DI LAUREA DI: Ferlito Nicolò ANNO ACCADEMICO 2012-2013 2 Indice Capitolo primo 1. Profili storici dei reati informatici 2. Una lettura sistematica dell'art. 615-ter c.p. 3. Soggetto attivo 4. Elemento oggettivo 5. Elemento soggettivo 6. Consumazione e tentativo 7. Circostanze aggravanti 8. Concorso di reati Capitolo secondo L'ambito di operatività dell'art. 615-ter c.p. nella sentenza delle Sezioni Unite n. 4694 del 2011 1. La massima 2. Il caso ed il contrasto giurisprudenziale 3. La decisione delle Sezioni Unite Bibliografia 5 la permanenza in tali sistemi contro la volontà, espressa o tacita, del titolare>>3. 2. Una lettura sistematica dell'art. 615-ter c.p. L'art. 615-ter, intitolato "Accesso abusivo ad un sistema informatico o telematico" e collocato nel titolo XII (delitti contro la persona), capo III (delitti contro la libertà individuale), sezione IV (delitti contro la inviolabilità del domicilio) del codice penale, recita: 1. Chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo, è punito con la reclusione fino a tre anni. La pena è della reclusione da uno a cinque anni: 1) se il fatto è commesso da un pubblico ufficiale o da un incaricato di un pubblico servizio, con abuso dei poteri o con violazione dei doveri inerenti alla funzione o al servizio , o da chi esercita anche abusivamente la professione di investigatore privato, o con abuso della qualità di operatore del sistema; 2) se il colpevole per commettere il fatto usa violenza sulle cose o alle persone , ovvero se è palesemente armato; 3) se dal fatto deriva la distruzione o il danneggiamento del sistema o l'interruzione totale o parziale del suo funzionamento, ovvero la distruzione o il danneggiamento dei dati, delle informazioni o dei programmi in esso contenuti. 3. Qualora i fatti di cui ai commi primo e secondo riguardino sistemi informatici o telematici di interesse militare o relativi all'ordine 3 G. Fiandaca E. Musco, Diritto penale, p.s.,v. II, t. I, cit., p. 282 6 pubblico o alla sicurezza pubblica o alla sanità o alla protezione civile o comunque di interesse pubblico, la pena è, rispettivamente, della reclusione da uno a cinque anni e da tre a otto anni. 4. Nel caso previsto dal primo comma il delitto è punibile a querela della persona offesa ; negli altri casi si procede d'ufficio. Il fatto che il reato di accesso abusivo ai sistemi informatici sia stato collocato nella sezione riguardante i delitti contro la inviolabilità del domicilio, lo si evince dalla relazione al disegno di legge del '93, nella quale i sistemi informatici vengono definiti <<un'espansione ideale dell'area di rispetto pertinente al soggetto interessato, garantita dall'art. 14 della Costituzione e tutelata nei suoi aspetti più essenziali e tradizionali dagli artt. 614 e 615 del codice penale>>4. L'art. 615-ter, infatti, essendo posto a tutela della privacy informatica e telematica, ovvero della riservatezza dei dati memorizzati nei sistemi informatici o trasmessi con i sistemi telematici, assume, in particolare, come oggetto di tutela, la riservatezza del c.d. domicilio informatico, <<inteso quest'ultimo come "luogo informatico" nel quale la persona agisce ed estrinseca la sua personalità>>5. <<Non sembra, tuttavia, che i sistemi informatici possano essere assimilati ai luoghi privati riconducibili alla nozione di domicilio rilevante per il diritto penale, per la pressoché totale assenza di contenuti personalistici e privatistici nella maggior parte di essi; d'altra parte, la scelta del legislatore di circoscrivere la tutela ai soli sistemi "protetti da misure di sicurezza" apparirebbe del tutto 4 Codice penale, a cura di Padovani, cit., p. 4401 5 Commentario breve al codice penale, a cura di Crespi, Forti, Zuccalà, 5a ed., Padova, 2008, sub art. 615-ter, p. 1726 7 irragionevole se oggetto di protezione fosse l'elaboratore in quanto "spazio privato">>6. Piuttosto che nel "domicilio informatico", infatti, il bene giuridico protetto dall'art. 615-ter andrebbe individuato nella riservatezza dei dati e dei programmi contenuti in un sistema informatico, che fra l'altro, <<accanto ad una "funzione incriminatrice primaria dell'indiscrezione informatica", ravvisa una "funzione incriminatrice secondaria" con riguardo all'uso non autorizzato dell'altrui sistema informatico a spese altrui, o finalizzato alla commissione di un reato. Questa soluzione, oltre ad essere coerente con l'esperienza criminologica - dalla quale emerge che l'accesso abusivo ad un sistema informatico ha come obiettivo costante l'acquisizione indebita del materiale contenuto nell'elaboratore - appare anche l'unica in grado di attribuire un significato coerente al requisito della protezione del sistema mediante "misure di sicurezza": la tutela penale non opera infatti in modo indiscriminato, ma si rivolge esclusivamente a quei dati e programmi alla cui riservatezza il "titolare" ha mostrato interesse, avendo predisposto delle barriere di protezione contro le eventuali intrusioni altrui>>7. Inoltre, considerando oggetto di tutela non già il sistema informatico come possibile contenitore di dati (domicilio informatico) bensì la riservatezza dei dati e dei programmi in esso contenuti, risulta circoscritto l'ambito dei sistemi informatici nei quali può realizzarsi una introduzione (o permanenza) abusiva ai sensi dell'art. 615-ter: infatti, dovrà trattarsi di sistemi informatici destinati alla raccolta di 6 E. Dolcini G. Marinucci, Codice penale commentato, 3a ed., IPSOA, Milano, 2011, sub art. 615-ter, p. 5979 7 E. Dolcini G. Marinucci, Codice penale commentato, cit., sub art. 615-ter, p. 5980 10 nell'attuale stato della società">>10, tale orientamento, ravvisa un <<parallellismo tra l'articolo in esame e l'art. 637, con il quale il legislatore del 1930, nel reprimere l'ingresso abusivo nel fondo altrui, ha voluto proteggere la proprietà fondiaria che allora costituiva un bene di preminente rilievo>>11. Ma, in realtà, a prescindere dal fatto che la turbativa si concretizzi in un vero e proprio danneggiamento del sistema, l'accesso nel sistema di una persona non autorizzata non comporta, se non in casi del tutto eccezionali, nessun pregiudizio alla possibilità di utilizzare il sistema da parte del gestore e di ogni altro legittimo utente. 3. Soggetto attivo Il reato di cui all'art. 615-ter è un reato comune, in quanto chiunque è destinatario della disposizione contenuta nel 1° comma, <<anche se la previsione è principalmente rivolta contro i c.d. hackers, soggetti che, dotati di particolari conoscenze e capacità informatiche, si introducono nei sistemi informatici attraverso le reti telematiche, superando le eventuali protezioni elettroniche apprestate dai proprietari del sistema. La norma sanziona sia l'accesso "da lontano", tipico degli hackers, sia quello "da vicino", conseguito da chi si trova a diretto contatto con l'elaboratore altrui>>12. 10 E. Dolcini G. Marinucci, Codice penale commentato, cit., sub art. 615-ter, p. 5981 11 E. Dolcini G. Marinucci, Codice penale commentato, cit., sub art. 615-ter, p. 5981 12 Commentario breve al codice penale, a cura di Crespi, Forti, Zuccalà, cit., p. 1726 11 Il soggetto attivo del reato, quindi, può essere sia colui che trovandosi in una posizione di estraneità rispetto al sistema vi accede abusivamente - il c.d. outsider hacking - e sia colui che, trovandosi in una posizione di vicinanza ed essendo autorizzato ad accedere ad alcune parti del sistema, si inserisca abusivamente in una parte protetta da misure di sicurezza - il c.d. insider; la qualità soggettiva dell'agente poi (pubblico ufficiale, incaricato di pubblico servizio, investigatore privato, operatore del sistema) integra la circostanza aggravante di cui al comma 2, n. 1. <<Oggetto materiale del reato è l'altrui sistema informatico o telematico, protetto da misure di sicurezza, ovunque esso sia sito, nelle mura domestiche o nello spazio extradomiciliare>>13, quindi, <<per essere penalmente rilevante l'indebita intromissione o permanenza deve riguardare un sistema informatico o telematico "protetto da misure di sicurezza">>14. Le misure di sicurezza, secondo il punto di vista dominante, sono costituite da tutti quei dispositivi, idonei ad impedire l'accesso al sistema ai soggetti non autorizzati e che possono consistere, oltre che in codici alfabetici o numerici, in dispositivi fisici (per es. le chiavi metalliche per l'accesso all'elaboratore); non rientrano, invece, fra le misure di sicurezza in considerazione, le barriere poste a protezione dei locali in cui si trovi il sistema stesso, poichè l'art. 615-ter riferisce la misura protettiva al solo sistema, quale espressione dell'interesse alla riservatezza dei dati e dei programmi, tutelando, come si ricava 13 Commentario breve al codice penale, a cura di Crespi, Forti, Zuccalà, cit., p. 1726 14 E. Dolcini G. Marinucci, Codice penale commentato, cit., sub art. 615-ter, p. 5983 12 dalla relazione al disegno di legge, non qualsiasi dato memorizzato ma i soli dati protetti da misure di sicurezza. Altra dottrina invece, <<in aderenza alla norma che prevede anche una circostanza di concomitante violenza alle cose o alle persone, ritengono che l'accesso abusivo possa consistere anche nell'ingresso abusivo di un soggetto nei locali dove è custodito l'elaboratore di dati>>15. Con riferimento ad alcune ipotesi, l'adozione di una password, ad esempio, rappresenta pur sempre un'esplicitazione del divieto di accesso al sistema e legittima la tutela in sede penale, mentre, se le misure di sicurezza presenti nel computer siano state disattivate, si ritiene che il reato non si realizzi in quanto, l'espressione utilizzata dal legislatore "protetto da misure di sicurezza", sembra imporre l'attualità della protezione, la quale svolge una importante funzione di responsabilizzazione della vittima, che potrà fare affidamento sulla responsabilità penale solo se, in precedenza, avrà protetto il suo sistema. 4. Elemento oggettivo Per quanto riguarda l'elemento oggettivo, la condotta tipica consiste alternativamente, nell'accesso abusivo e cioè senza il consenso del titolare, in un sistema informatico o telematico protetto da misure di sicurezza ovvero nel permanervi contro la volontà espressa o tacita di chi ha il diritto di escluderlo. Anche se l'art. 615-ter sembra distinguere due tipi di accesso, il primo virtuale, ossia attuato da un sistema informatico ad un altro, ed 15 Codice penale, a cura di Padovani, cit., p. 4402 15 Pertanto, non sussisterà il reato in caso di persistenza nella presa di conoscenza di dati senza il mantenersi nel sistema, ad esempio, continuando nella lettura dei dati, già visualizzati sul video, dopo l'intervenuto divieto da parte del titolare. Tale seconda ipotesi delittuosa, quindi, potrà dirsi integrata ogniqualvolta, <<dopo una introduzione legittima, in quanto effettuata con il consenso dell'avente diritto, l'accesso al sistema sia divenuto successivamente illegittimo o, ad esempio, per il superamento della fascia oraria di accesso consentita o per il venir meno dell'autorizzazione del proprietario a seguito di attività espressamente o tacitamente vietate, oppure il caso in cui l'agente, essendosi trovato per caso all'interno del sistema, abbia digitato una password a caso e sia riuscito ad entrare, consapevole dell'esistenza di misure di protezione attivate. In entrambe le ipotesi non si richiede che l'agente effettui una operazione sui dati, avendo il legislatore sanzionato la "mera permanenza" nel sistema>>19. Inoltre, la permanenza nel sistema informatico, nel quale ci si sia introdotti lecitamente, deve essere contraria alla volontà espressa o tacita del titolare del diritto di esclusione; a differenza dell'ipotesi della introduzione, in questo caso, il dissenso dell'avente diritto, è un elemento costitutivo del fatto tipico, la cui assenza impedisce che si realizzi la fattispecie oggettiva del reato. Poichè l'introduzione avviene quando si siano oltrepassate tutte le barriere di protezione, il dissenso del titolare alla permanenza nel sistema non potrà essere desunto dalla presenza di misure di sicurezza, 19 Commentario breve al codice penale, a cura di Crespi, Forti, Zuccalà, cit., p. 1727 16 la cui rimozione sia indispensabile per accedere ai dati: infatti, qualora l'agente si trovasse di fronte a misure del genere, non potrebbe dirsi ancora avvenuta una introduzione nel sistema. Il titolare, quindi, dovrà aver dichiarato in precedenza - in modo espresso o tacito - il suo dissenso alla permanenza del terzo, oppure potrà manifestarlo successivamente, ad esempio, con un messaggio che avverta che l'accesso ai dati è consentito solo alle persone autorizzate. Poichè, come si è già accennato in precedenza, la permanenza in un sistema protetto risulta penalmente rilevante, solo se sussiste l'esigenza di salvaguardare la riservatezza dei dati e/o dei programmi che vi sono contenuti, potrò essere chiamato a rispondere del reato in esame sia chi, entrato casualmente nel sistema, non provveda ad uscirne, una volta divenuto consapevole della natura protetta del sistema, sia chi si intrattenga senza motivo in un sistema al quale sia stato autorizzato ad accedere in via occasionale o temporanea, per lo svolgimento di una determinata operazione. <<Oggetto giuridico deve ritenersi essere - nonostante l'ambigua formulazione della fattispecie - almeno in via principale e per le ragioni già dette, il diritto alla riservatezza, informatica (o telematica), cioè dei dati e programmi contenuti nei sistemi. Offesa è la lesione di tale diritto, onde trattasi di reato di danno. Soggetto passivo (e titolare del diritto di querela) è il titolare del diritto alla suddetta riservatezza>>20. 20 F. Mantovani, Diritto penale, p.s., v. I, cit., p. 545 17 5. Elemento soggettivo Per quanto concerne l'elemento soggettivo, l'elemento psicologico del reato di cui all'art. 615-ter consiste nel dolo generico, rappresentato dalla coscienza e volontà di accedere nell'altrui sistema informatico o telematico protetto, oppure nel rimanervi contro la volontà espressa o tacita di chi ha il diritto di esclusione, quindi, nella volontà di introdursi o mantenersi nella memoria interna di un computer, in assenza del consenso del titolare, e con la consapevolezza che quest'ultimo ha predisposto delle misure di protezione per i dati che vi sono memorizzati. <<È incompatibile con il dolo sia l'erronea credenza - ex art. 47 - che il proprietario sia consenziente, sia l'atteggiamento psichico di colui che, impiegato in un ufficio pubblico, a causa di un improvviso guasto al proprio computer, acceda per ragioni d'ufficio a quello di un collega assente essendo a conoscenza della password necessaria>>21. 6. Consumazione e tentativo Il reato si consuma, in caso di introduzione, nel momento in cui si sono oltrepassate tutte le barriere, logiche e/o fisiche, cui è subordinato l'accesso ai dati e ai programmi contenuti nella memoria del sistema, mentre, in caso di permanenza, quando ci si trattiene all'interno del sistema, nonostante il dissenso del titolare del diritto di esclusione, per un tempo sufficiente a creare una situazione di pericolo per la riservatezza dei dati contenuti nel sistema. 21 Commentario breve al codice penale, a cura di Crespi, Forti, Zuccalà, cit., p. 1728 20 reato base, si proceda d'ufficio, ovvero anche in assenza di querela da parte del soggetto titolare del diritto. L'aggravamento della sanzione prevista per il pubblico ufficiale, per l'incaricato di pubblico servizio e per colui che, anche abusivamente, esercita la professione di investigatore privato, trova giustificazione nella maggiore potenziale pericolosità delle condotte di soggetti destinatari di poteri più incisivi. Per quanto riguarda l'abuso della qualità di operatore del sistema, la norma non fa riferimento alla titolarità astratta di una particolare qualifica o al fatto che l'operatore sia o meno esperto di informatica, bensì intende sanzionare più gravemente chi, in ragione del suo lavoro, avendo un rapporto privilegiato con il sistema, abusa ovvero eccede dai limiti dell'uso del sistema che gli sono consentiti. In particolare, <<per "operatore del sistema" deve intendersi soltanto quella particolare figura di tecnico dell'informatica (c.d. system administrator) che, all'interno di un'azienda, ha il controllo delle diverse fasi del processo di elaborazione dei dati - e quindi la possibilità di inserirsi in esse, per realizzare, ad esempio, un danneggiamento (art. 635 bis) o una frode informatica (art. 640 ter) -, nonchè l'opportunità di accedere a tutti i settori della memoria del sistema informatico su cui opera, ovvero di altri sistemi, qualora vi sia un collegamento in rete, sfruttando il canale di accesso legittimo all'elaboratore>>25. Non rientrano, invece, nella nozione in esame, oltre al semplice operatore che svolge funzioni esclusivamente esecutive e manuali, anche altre figure professionali, come ad esempio, il programmatore o 25 E. Dolcini G. Marinucci, Codice penale commentato, cit., sub art. 615-ter, p. 5988 21 il sistemista, che pur essendo abilitati ad operare nel sistema, dispongono soltanto di una conoscenza limitata di quest'ultimo, che non li mette in condizione di realizzare un accesso abusivo con altrettanta facilità rispetto al c.d. "operatore del sistema". In particolare poi, <<la qualità di operatore deve essere attuale, cioè presente al momento in cui il soggetto opera l'accesso abusivo. L'aggravante sussisterà solo nei casi in cui l'accesso abusivo sia commesso sullo stesso sistema presso il quale il soggetto è operatore>>26. La circostanza aggravante della violenza sulle cose ovvero della violenza sulle persone, definita quale elemento costitutivo del reato di cui all'art. 392, si realizza quando la condotta violenta (per esempio: sfondamento della porta, ritenuta chiusa) si riveli necessaria od agevolatrice della realizzazione del reato, non essendo sufficiente un mero rapporto occasionale e nemmeno modale. Si richiede pertanto, un rapporto strumentale tra detta violenza e la condotta base, rapporto che viene quindi meno, ad es., nel caso del soggetto che, entrando in una stanza buia o muovendosi maldestramente, infranga alcuni oggetti. L'ulteriore circostanza aggravante prevista nel co. 2, al n. 3, fa riferimento alla eventualità che dall'accesso abusivo sia derivato il danneggiamento del sistema nel suo complesso o di singole sue componenti (dati, informazioni o programmi in esso contenuti). Un esempio, potrebbe essere dato da quei casi in cui i soggetti, facendo un uso non autorizzato dell'elaboratore, ne rendono 26 Commentario breve al codice penale, a cura di Crespi, Forti, Zuccalà, cit., p. 1728 22 parzialmente inservibile la memoria attraverso il sovraccarico di lavoro. Rientrano in questa previsione, tutte quelle ipotesi nelle quali il danneggiamento di beni informatici sia stato una conseguenza dell'accesso abusivo, e non il "mezzo necessario o agevolatore" per realizzarlo, nel qual caso troverà applicazione l'art. 615-ter co. 2, n. 2, nella parte relativa alla violenza sulle cose. Per quanto riguarda l'interruzione totale o parziale del funzionamento del sistema, se essa consiste in una modifica del software che alteri il funzionamento del sistema, deve ritenersi inclusa nell'aggravante del danneggiamento; se invece, l'agente interrompe il funzionamento del sistema senza danneggiare il software, oppure dopo averlo danneggiato provvede poi a ripararlo, si configura l'aggravante in questione. <<La disposizione contenuta nell'ultimo comma, infine, appresta una tutela più intensa, attraverso la previsione di una severa pena, a taluni sistemi informatici che, per la funzione svolta e per il rilevante interesse pubblico, si appalesano come beni di primaria importanza>>27. Infatti, in base al co. 3 dell'art. 615-ter l'accesso abusivo, sia nell'ipotesi base che in quella circostanziata ai sensi del co. 2, è sottoposto ad una pena più severa (rispettivamente, la reclusione da 1 a 5 anni e da 3 a 8 anni) qualora abbia ad oggetto sistemi informatici o telematici di interesse pubblico, tra i quali possono annoverarsi, i sistemi di interesse militare o relativi all'ordine pubblico, alla sicurezza pubblica, alla sanità o alla protezione civile. 27 Codice penale, a cura di Padovani, cit., p. 4405 25 Capitolo secondo L'ambito di operatività dell'art. 615-ter c.p. nella sentenza delle Sezioni Unite n. 4694 del 2011 SOMMARIO: 1. La massima - 2. Il caso e il contrasto giurisprudenziale - 3. La decisione delle Sezioni Unite 1. La massima La Cassazione a Sezioni Unite è stata chiamata a dirimere una controversia giurisprudenziale relativa alla qualificazione della condotta idonea ad integrare il reato di accesso abusivo ad un sistema informatico o telematico, ex art. 615 – ter c.p., e lo ha fatto attraverso la sentenza n. 4694 del 27 ottobre 2011 (dep. 7 febbraio 2012). Nell’occasione le Sezioni Unite hanno affermato: <<Integra il delitto previsto dall’articolo 615 – ter c.p. colui che, pur essendo abilitato, acceda o si mantenga in un sistema informatico o telematico protetto violando le condizioni ed i limiti risultanti dal complesso delle prescrizioni impartite dal titolare del sistema per delimitarne oggettivamente l’accesso, rimanendo invece irrilevanti, ai fini della sussistenza del reato, gli scopi e le finalità che abbiano soggettivamente motivato l’ingresso nel sistema>>29; aggiungendo inoltre: <<La fattispecie di accesso abusivo ad un sistema informatico protetto commesso dal pubblico ufficiale o dall’incaricato di un pubblico ufficio con abuso dei poteri o con violazione dei doveri 29 Sez. Un. – Ud. 27 ottobre 2011 (dep. 7 febbraio 2012), N. 4694, in Cass. pen., 2012, II, 3681 ss. 26 inerenti alla funzione o al servizio costituisce una circostanza aggravante del delitto previsto dall’art. 615 – ter, comma 1, c.p. e non un’ipotesi autonoma di reato>>30. 2. Il caso e il contrasto giurisprudenziale I fatti che hanno interessato la pronuncia delle Sezioni Unite hanno riguardato la qualificazione giuridica della condotta posta in essere da un sottufficiale dell’arma dei carabinieri che, su richiesta di un terzo, era entrato nel sistema informatico dell’Arma utilizzando il codice di accesso di cui era titolare per la sua funzione, ma al fine di acquisire notizie riservate da trasmettere al terzo31. Secondo la ricostruzione dei fatti operata dai giudici del merito l’imputato <<si era introdotto nel sistema informatico S.D.I., protetto da misure di sicurezza e relativo all’ordine pubblico e alla sicurezza pubblica, usando il proprio codice di identificazione per finalità diverse da quelle che gli consentivano l’accesso>>32 e precisamente per compiere accertamenti su una persona non per ragioni di ufficio, bensì a seguito della richiesta a lui rivolta per motivi personali. Punto nodale della vicenda processuale in esame è stato, dunque, costituito dalla qualificazione giuridica della condotta posta in essere dal maresciallo dei carabinieri. I giudici della Suprema Corte si sono, quindi, chiesti <<se integri la fattispecie criminosa di accesso abusivo ad un sistema 30 Sez. Un. – Ud. 27 ottobre 2011 (dep. 7 febbraio 2012), N. 4694, in Cass. pen., cit., 3681 ss. 31 MONTAGNA, I confini del reato di accesso abusivo ad un sistema informatico o telematico, in Dir. pen. proc., 2012, 4, 417. 32 Sez. Un. – Ud. 27 ottobre 2011 (dep. 7 febbraio 2012), N. 4694, in Cass. pen., cit., 3682. 27 informatico o telematico protetto la condotta di accesso o di mantenimento nel sistema posta in essere da soggetto abilitato, ma per scopi o finalità estranei a quelli per i quali la facoltà di accesso gli è stata attribuita>>33. Non vi era, infatti, alcun dubbio sul fatto che, trattandosi di ingresso abusivo posto in essere da un pubblico ufficiale, il fatto fosse sussumibile all’interno della fattispecie prevista dal comma 2, n. 1, dell’art. 615 – ter c.p. – la quale punisce con pena più grave (da uno a cinque anni, invece che fino a tre anni) l’accesso al sistema informatico <<commesso da un pubblico ufficiale o da un incaricato di pubblico servizio, con abuso dei poteri o con violazione dei doveri inerenti alla funzione o al servizio>> –; si poneva, invece, il problema circa la conformità del fatto in esame alla fattispecie (base) prevista dal primo comma dello stesso articolo34. Ed è a tal proposito che sono emersi due orientamenti giurisprudenziali contrastanti sulla vera questione problematica riguardante le diverse ipotesi in cui l’accesso ad un sistema informatico è stato realizzato da un soggetto che non è qualificato in termini pubblicistici, discutendosi appunto se l’avverbio “abusivamente” debba intendersi soltanto come “assenza di autorizzazione/abilitazione” oppure anche come “accesso in violazione dei limiti dell’autorizzazione/abilitazione”35. 33 Sez. Un. – Ud. 27 ottobre 2011 (dep. 7 febbraio 2012), N. 4694, in Cass. pen., cit., 3684. Si veda anche TRUCANO, Sull’irrilevanza dello scopo perseguito nell’accesso abusivo ad un sistema informatico, in Giur. it., 2012, 8 – 9. 34 BARTOLI, L’accesso abusivo a un sistema informatico (art. 615 – ter c.p.) a un bivio ermeneutico teleologicamente orientato”, in Dir. pen. cont.. Nota a Cass., Sez. un., 27.10.2011 (dep. 7.2.2012), n. 4694, Pres. Lupo, Rel. Fiale, ric. Casani. 35 BARTOLI, L’accesso abusivo a un sistema informatico (art. 615 – ter c.p.) a un bivio ermeneutico teleologicamente orientato”, cit. 30 penale fosse esclusivamente l’accesso non autorizzato ab origine, senza dare alcun rilievo alla finalità dell’agente43. La fattispecie in esame tenderebbe così a tutelare il “domicilio informatico”, vale a dire lo stesso involucro che può contenere i dati ed i programmi, indipendentemente dai dati e dai programmi stessi, in quanto si tratterebbe di un luogo in cui si esplica la personalità del soggetto titolare del domicilio; in questa prospettiva l’ingresso che assume disvalore è soltanto quello privo di legittimazione, mentre l’ingresso del soggetto legittimato, ancorché eccedente i limiti, non è comunque in grado di compromettere tale luogo, ma piuttosto gli interessi sottesi ai limiti44. A sostegno di tale interpretazione si osservava, anzitutto, che <<la sussistenza della volontà contraria dell’avente diritto, cui fa riferimento la norma incriminatrice, deve essere verificata esclusivamente con riguardo al risultato immediato della condotta posta in essere dall’agente con l’accesso al sistema informatico e con il mantenersi al suo interno e non con riferimento a fatti successivi (l’uso illecito dei dati) che, anche se già previsti, potranno di fatto realizzarsi solo in conseguenza di nuovi e diversi atti di volizione da parte dell’agente>>45. 43 TRUCANO, Sull’irrilevanza dello scopo perseguito nell’accesso abusivo ad un sistema informatico, cit. In giurisprudenza si veda Cass. pen., sez. V, 20 dicembre 2007, n. 2534, “se così non fosse e se, quindi, dovesse ritenersi che, ai fini della consumazione del reato, basti l’intenzione, da parte del soggetto autorizzato all’accesso al sistema informatico ed alla conoscenza dei dati ivi contenuti, di fare poi un uso illecito di tali dati, ne deriverebbe l’aberrante conseguenza che il reato non sarebbe escluso neppure se poi quell’uso, di fatto, magari per un ripensamento da parte del medesimo soggetto agente, non vi fosse più stato”. 44 BARTOLI, L’accesso abusivo a un sistema informatico (art. 615 – ter c.p.) a un bivio ermeneutico teleologicamente orientato”, cit. 45 Sez. Un. – Ud. 27 ottobre 2011 (dep. 7 febbraio 2012), N. 4694, in Cass. pen., cit., 3686. 31 Si giungeva così ad escludere il reato in base alla considerazione che la legittimazione all’accesso al sistema comporta anche la legittimazione alla cognizione di tutti i dati che vi sono contenuti46. 3. La decisione delle Sezioni Unite Dopo aver ripercorso i diversi orientamenti formatisi sul punto, le Sezioni Unite hanno ritenuto che la questione controversa dovesse essere esaminata e risolta sotto il profilo dei limiti risultanti dal complesso delle prescrizioni impartite dal titolare del sistema, allorché si pongano in essere operazioni di natura ontologicamente diversa da quelle di cui si è incaricati ed in relazione alle quali l’accesso sia stato consentito, e non, invece, sotto il profilo delle finalità perseguite da colui che accede o si mantiene nel sistema, assumendo come rilevante il profilo oggettivo dell’accesso e del trattamento nel sistema informatico da parte di un soggetto che sostanzialmente non può ritenersi autorizzato ad accedervi ed a permanervi47. Va, pertanto, valutata l’oggettiva violazione delle disposizioni del titolare in ordine all’uso del sistema e quindi in ordine all’accesso e al trattenimento nel sistema informatico. Le Sezioni Unite prendono, così, le distanze da tutte quelle pronunce nelle quali la illiceità della permanenza nel sistema informatico, da parte di chi aveva libero accesso ad esso, viene 46 PECORELLA, L’attesa pronuncia delle Sezioni Unite sull’accesso abusivo a un sistema informatico: un passo avanti non risolutivo, in Cass. pen., 2012, 11, 3692. 47 MONTAGNA, I confini del reato di accesso abusivo ad un sistema informatico o telematico, cit., 417. 32 affermata in forza di una evidente contrarietà tra le ragioni che hanno motivato l’agente a trattenersi all’interno del sistema e quelle sottostanti all’autorizzazione originariamente ricevuta. Il criterio che a giudizio delle Sezioni Unite deve essere utilizzato per l’accertamento della eventuale volontà contraria del titolare porta a ritenere che la maggiore uniformità, nella valutazione giudiziale di tutte quelle situazioni passerà attraverso un ampliamento delle ipotesi di permanenza nel sistema informatico altrui ritenute penalmente rilevanti48. Da tali presupposti si ricava la generale conseguenza che, <<nei casi in cui l’agente compia sul sistema un’operazione pienamente assentita dall’autorizzazione ricevuta, ed agisca nei limiti di questa, il reato di cui all’art. 615 – ter c.p. non è configurabile, a prescindere dallo scopo eventualmente perseguito; sicché qualora l’attività autorizzata consista anche nella acquisizione di dati informatici, e l’operatore la esegua nei limiti e nelle forme consentiti dal titolare dello ius excludendi, il delitto in esame non può essere individuato anche se degli stessi dati egli si dovesse poi servire per attività illecite. Il giudizio circa l’esistenza del dissenso del dominus loci deve assumere come parametro la sussistenza o meno di un’obiettiva violazione, da parte dell’agente, delle prescrizioni impartite dal dominus stesso circa l’uso del sistema e non può essere formulato unicamente in base alla direzione finalistica della condotta, soggettivamente intesa>>49. 48 PECORELLA, L’attesa pronuncia delle Sezioni Unite sull’accesso abusivo a un sistema informatico: un passo avanti non risolutivo, in Cass. pen., cit., 3703. 49 Sez. Un. – Ud. 27 ottobre 2011 (dep. 7 febbraio 2012), N. 4694, in Cass. pen., cit., 3688.