L'accesso abusivo ad un sistema informatico o telematico

• Autore: Vincenzo Di Lembo
• Pagine: 921-928

Page 921

@1. Premessa.

Il delitto di accesso abusivo ad un sistema informatico o telematico (art. 615 ter c.p.) è stato introdotto dalla L. 23 dicembre 1993, n. 547 (art. 4) ¹.

Con la L. 547 del 1993 il legislatore nazionale, superando la manifesta inadeguatezza del codice penale a fronteggiare efficacemente un fenomeno che, già alla fine anni '70, aveva mostrato di poter colpire tutte le strutture della vita socio-economica, anche le più complesse (banche, intermediari finanziari e assicurativi, banche-dati pubbliche e private, sistemi di telecomunicazione, trasporti, sanità, difesa), ha preso atto, per la prima volta organicamente, del sempre più diffuso e lesivo fenomeno dei computer crimes ².

Si è trattato di un intervento normativo espresso in un processo di evoluzione ancora in corso, indotto dalla necessità di adeguare l'ordinamento interno a quello di molti altri Stati, e mirato ad ampliare anche altri specifici settori di tutela penale: la riservatezza dei dati personali trattati dalle banche-dati ³, il diritto d'autore e le trasmissioni televisive criptate ⁴, la tutela dei minori vittime della pedopornografia telematica ⁵.

In tal modo si è data attuazione alla Raccomandazione del 13 settembre 1989 con la quale il Consiglio dell'Unione Europea indicava agli Stati membri una «lista minima cogente» di interventi penali (alla quale si affiancava una lista di fattispecie reputate di cogenza meno impellente): in tema di frode informatica, falso informatico, danneggiamento di dati o programmi, sabotaggio di sistemi, intercettazione di comunicazioni telematiche, riproduzione e diffusione di software protetto e, in particolare, accesso abusivo.

In questo contesto, l'adozione della L. 547/1993 ha manifestato il definitivo superamento di quella impostazione, di sufficienza, favorevole ad una sussunzione delle nuove condotte delittuose nelle tradizionali figure di reato: ciò sia nel caso in cui il mezzo informatico costituiva lo strumento di commissione del reato, sia nel caso in cui esso stesso costituiva il bene giuridico offeso.

Lo sconfinamento nell'interpretazione analogica delle fattispecie incriminatrici risultava particolarmente evidente con riguardo a quelle componenti informatiche contraddistinte da più marcata immaterialità: le comunicazioni, le informazioni, il software.

Poteva parlarsi di furto di «cosa mobile» o di «energia» nel caso di sottrazione di informazioni o di dati direttamente attinti dagli archivi elettronici di appartenenza, e non immagazzinati in supporti fisici?

Poteva parlarsi di danneggiamento di cosa mobile nel caso di distruzione o di manomissione di programmi senza che si fosse realizzata una distruzione delle componenti hardware?

Le comunicazioni telematiche intercorrenti tra due ovvero più soggetti a mezzo di computers connessi in rete, potevano essere tutelate alla stregua di conversazioni telegrafiche o telefoniche ex artt. 617 ss. c.p.?

Nel caso di una truffa realizzata avvalendosi di un sistema informatico, il «taluno» indotto in errore, previsto dall'art. 640 c.p. con riferimento alla persona fisica, poteva essere esteso al computer, vale a dire ad una macchina?

L'incriminazione prevista per la sostituzione di persona (art. 494 c.p.) poteva essere estesa all'indebito utilizzo di codici di accesso e passwords identificative?

La dottrina e la giurisprudenza avevano evidenziato in più occasioni l'illegittimità costituzionale di un adeguamento forzoso delle norme previgenti alle nuove fattispecie, in ragione della violazione del divieto di analogia in malam partem e, tramite questo, dei principi di tassatività e di legalità (art. 25 comma II Cost.; art. 1 c.p.; art. 14 disp. prel. c.c.).

Sul terreno positivo, la scelta del legislatore del 1993 è stata quella di «ancorare», per quanto possibile, le nuove incriminazioni alle vecchie: tale risultato è stato ottenuto non mediante l'adozione di una disciplina speciale, in controtendenza rispetto ad un già allora marcato processo di decodificazione, ma tramite l'inserimento delle nuove disposizioni nel corpus del codice penale del 1930.

Inoltre, la relazione al disegno di legge ha avuto cura di precisare come, scelto questo tipo di intervento, le nuove incriminazioni, aventi tutte natura di delitto, non siano state raccolte in un nuovo ed autonomo titolo avente ad oggetto la tutela informatica, ma abbiano novellato qua e là le norme del codice, inserendo le nuove figure di reato nelle immediate vicinanze del reato «tradizionale», al quale, per struttura, e soprattutto per comunanza di bene protetto, maggiormente potevano assimilarsi.

Si è realizzata, con tutta evidenza, una scelta ideologica volta sia a negare il riconoscimento del «bene» informatico quale oggetto di autonoma tutela penale, sia a riaffermare il ruolo strumentale e mediato svolto dal «mezzo» informatico nella lesione dei beni giuridici tradizionali: il patrimonio, la fede pubblica, l'inviolabilità dei segreti, la libertà individuale, l'inviolabilità del domicilio.

Il risultato è stato un intervento «a macchia di leopardo» a conclusione del quale l'elemento informatico-telematico della fattispecie rileva a vario titolo.

A solo titolo esemplificativo: quale «bene» suscettibile di violenza nel reato di esercizio arbitrario delle proprie ragioni (art. 392 terzo comma c.p.); quale «sistema» suscettibile di distruzione o danneggiamento (art. 635 bis c.p.), eventualmente configurando un attentato ad impianti di pubblica utilità (art. 420 secondo comma c.p.); quale «supporto» o «programma» suscettibile, in quanto «documento informatico», di falsificazione (art. 491 bis c.p.), ovvero di rivelazionePage 922 abusiva del suo contenuto (art. 621 secondo comma c.p.); quale «comunicazione» protetta da indebite condotte di intercettazione, impedimento, interruzione, falsificazione, soppressione (artt. 617 quater c.p. e ss.); quale «sistema» suscettibile di alterazione a scopo di frode (art. 640 ter c.p.); quale «sistema protetto da misure di sicurezza» esposto alla possibilità di accessi abusivi (art. 615 ter c.p.), con quanto ne consegue quanto a repressione dei fenomeni collaterali insiti nella detenzione e diffusione di codici di accesso o programmi (i cc.dd. programmi virus) diretti a danneggiare o ad interrompere (art. 615 quater e quinquies c.p.).

@2. L'accesso abusivo e il bene protetto.

Sul piano della condotta materiale, l'introduzione abusiva nel sistema protetto è condizione necessaria e sufficiente a far scattare l'incriminazione di cui all'art. 615 ter c.p. ⁶.

Tra gli indici che in tal caso dovranno essere vagliati al fine di ritenere sussistente il carattere abusivo vi sono: la natura e le finalità dell'accesso; l'idoneità dell'intervento a ledere o a porre in pericolo gli obiettivi ai quali era strumentale la protezione del sistema e dei dati in esso residenti; l'esistenza per l'agente di divieti o limiti a conoscere o a utilizzare i contenuti dell'area informatica visitata ⁷.

La norma non esige che l'accesso risponda ad un determinato scopo: non si pretende che all'introduzione faccia seguito l'acquisizione di informazioni segrete o riservate, che potrebbero anche mancare, oppure, la riproduzione o l'alterazione di dati, oppure, il danneggiamento del programma o del sistema, oppure, la consultazione di archivi senza il versamento del corrispettivo di abbonamento.

Ciò che rileva è l'accesso in quanto tale, così che il carattere «abusivo» va riferito non al perseguimento di ulteriori scopi illeciti collegati al contenuto del sistema, ma alla dolosa violazione (dolo generico) dello jus prohibendi del gestore ⁸.

Il legislatore ha voluto chiaramente proteggere il «domicilio informatico» in sè, quale spazio intangibile do estronsecazione della persona, così come avviene per la pax domestica protetta dal tradizionale reato di violazione di domicilio (art. 614 c.p.) ⁹.

L'art. 615 ter comma 1 c.p. punisce non solo chi s'introduce abusivamente in un sistema informatico o telematico, ma anche chi vi si mantiene contro la volontà esplicita o tacita di chi ha il diritto di escluderlo.

Ne consegue che la violazione dei dispositivi di protezione del sistema informatico non assume rilevanza di per sè, bensì solo come manifestazione di una volontà contraria a quella di chi del sistema legittimamente dispone.

Non si tratta di un illecito caratterizzato dall'effrazione dei sistemi protettivi, perché altrimenti non avrebbe rilevanza la condotta di chi, dopo essere legittimamente entrato nel sistema informatico, vi si mantenga contro la volontà del titolare.

Si tratta, piuttosto, di un illecito caratterizzato dalla contravvenzione alle disposizioni del titolare, come avviene nel delitto di violazione di domicilio, che è stato notoriamente il modello di questa nuova fattispecie penale, tanto da indurre molti a individuarvi la tutela di un domicilio informatico ¹⁰.

Una conferma la si rinviene nel fatto che la distruzione o il danneggiamento del sistema, o l'interruzione totale o parziale del suo funzionamento, ovvero la distruzione o il danneggiamento dei dati, delle informazioni o dei programmi in esso contenuti, concretano una mera ipotesi circostanziale (secondo comma n. 3).

Autorevole dottrina assimila il reato in esame, piuttosto che alla violazione del domicilio, all'ingresso abusivo nel fondo altrui (art. 637 c.p.), in quanto: «appare inevitabile considerare realisticamente che il legislatore tutela il sistema informatico in quanto possesso di straordinario rilievo nell'attuale stato della società» ¹¹.

Come nel 1930, in una società contadina, il codificatore proteggeva da ogni possibile turbativa il possesso fondiario, che allora costituiva bene di preminente rilievo, sanzionando chiunque senza necessità entra nel fondo altrui recinto da fosso, da siepe viva o da un altro stabile riparo, così, nell'attuale società dominata dall'informatica, viene protetto il possesso informatico da quelle intrusioni che costituiscono un ostacolo alla esclusiva e indisturbata...