Avv. Francesca De Carlo

Cassazione, Sez. V Penale, 11.09.2020, n. 25944

In tema di reati informatici, degna di approfondimento, è la sentenza n. 25944/2020, con la quale la Suprema Corte, Sezione V Penale, ha confermato l’orientamento più volte espresso, secondo cui: “è penalmente rilevante anche la condotta del soggetto che, pur essendo abilitato ad accedere al sistema informatico o telematico, vi si introduca con la password di servizio per raccogliere dati protetti per finalità estranee alle ragioni di istituto ed agli scopi sottostanti alla protezione dell’archivio informatico, utilizzando sostanzialmente il sistema per finalità diverse da quelle consentite”.

Nel caso di specie, la Corte d’appello di Venezia aveva confermato la sentenza del Tribunale di Vicenza con la quale un sottufficiale della Guardia di Finanza veniva ritenuto colpevole del reato di cui all’articolo 615 ter, comma 1, 2, n. 1 e 3 c.p., per “essersi abusivamente introdotto nel sistema di indagine (S.D.I., sistema di informazione interforze del Ministero dell’Interno) in uso alle forze di polizia”.

In due diverse occasioni, infatti, il soggetto aveva avuto accesso al sistema, per ragioni del tutto estranee a quelle dettate dal servizio e senza alcuna autorizzazione da parte dei superiori.

Già in una precedente pronuncia del 2017, le SS. UU., Penali¹ avevano chiarito che nell’ipotesi di accesso abusivo a sistema informatico o telematico da parte del pubblico ufficiale o dell’incaricato di pubblico servizio, non è tanto l’esistenza di un’autorizzazione formale da parte del titolare del sistema, quanto la finalità istituzionale o privata dell’accesso, ad integrare o meno la condotta criminosa.

La Cassazione, dunque, nella sentenza in commento, delinea ulteriormente il reato di cui all’art. 615 ter c.p., sanzionando la condotta di accesso o mantenimento abusivo nel sistema informatico o telematico, prescindendo sia dall’eventuale danneggiamento del sistema, sia dalla alterazione od utilizzazione dei dati in esso contenuti, in linea, quindi, con quanto prescritto dall’articolo in esame.

La fattispecie criminosa in oggetto, è stata introdotta dalla L. 547 del 1993,² la quale l’ ha inserita tra i delitti contro l’inviolabilità del domicilio³ e ciò in quanto “i sistemi informatici o telematici (…) costituiscono un’espansione ideale dell’area di rispetto pertinente al soggetto interessato, garantito dall’articolo 14 della Costituzione e penalmente tutelata nei suoi aspetti più essenziali e tradizionali dagli articoli 614 e 615 del codice penale”⁴.

L’oggetto giuridico della norma in esame, è rappresentato dalla riservatezza delle comunicazioni e delle informazioni trasmesse attraverso sistema informatico e telematico e, pertanto, l’accesso abusivo si concretizza sia quando vengono violate le misure di sicurezza del sistema, sia quando si permane all’interno dello stesso, contro la volontà del titolare dello ius excludendi.

Secondo la dottrina maggioritaria, può considerarsi misura di sicurezza, qualsiasi modalità di protezione, anche banale e facilmente raggirabile, purchè dalla stessa si evinca la volontà di riservare l’accesso solo al titolare o ad una ristretta cerchia di persone.

A tal proposito, la Cassazione⁵ ha sottolineato che può considerarsi misura di sicurezza anche soltanto la violazione di una semplice password, predisposta dal titolare del diritto. Si è fatto largo, dunque, all’interno del nostro ordinamento, un interesse nuovo, al passo con i mutati tempi, suscettibile di altrettanta tutela giuridica, la cosiddetta privacy informatica, da intendersi come una vera e propria esigenza affinchè l’uso di un sistema informatico avvenga in condizioni di libertà e autonomia tali da assicurare l’integrità e la riservatezza del sistema e dei dati raccolti⁶.

Il legislatore non ha fornito una definizione univoca del concetto di sistema informatico e telematico., purtuttavia, secondo l’interpretazione maggioritaria, con l’espressione, si fa riferimento a quel complesso di apparecchiature destinate a compiere una qualsiasi funzione utile all’uomo, attraverso l’utilizzazione di tecnologie informatiche⁷.

Pertanto, sulla base di questo assunto, anche un semplice personal computer può rientrare in siffatta definizione, allorquando la complessità e la ricchezza contenutistica dei materiali in esso presenti, è da considerarsi alla stregua di un vero e proprio sistema informatico.

Si tratta di un reato di pericolo che si realizza “ogni qualvolta l’ingresso abusivo riguardi un sistema informatico in cui sono contenute notizie riservate, indipendentemente dal tipo di notizia eventualmente appresa”⁸.

Il bene giuridico tutelato dall’articolo 615 ter, è il cosiddetto domicilio informatico, da intendersi come spazio ideale di esclusivo accesso del soggetto, il quale deve essere salvaguardato così da inibire sia la violazione della riservatezza della vita privata, sia qualsivoglia tipo di intrusione, anche relativa ai profili economico-patrimoniale dei dati, “sia che il titolare dello ius excludendi sia persona fisica, giuridica, privata o pubblica, o altro ente”⁹.

Per la configurazione del reato in oggetto, è richiesto il dolo generico, vale a dire la coscienza e volontà di porre in essere la condotta tipica che si esplicita nella consapevolezza di introdursi o di mantenersi all’interno di un sistema informatico, in assenza del consenso del gestore e con la consapevolezza che quest’ultimo ha predisposto delle misure di protezione, per i dati che vi sono custoditi, così da inibire qualsiasi accesso esterno.

Per quanto riguarda l’ipotesi prevista dal comma I dell’articolo 615 ter, si tratta di un reato comune, a forma libera, potendo essere commesso da chiunque. Non lo stesso può dirsi per il comma successivo, in quanto si prevede un inasprimento della pena nell’ipotesi in cui il delitto sia commesso da un pubblico ufficiale o da un incaricato di pubblico servizio: in tal caso si rientra nella fattispecie del reato proprio. Trattandosi di due distinte ipotesi di reato, l’applicabilità di una esclude l’altra, secondo il principio di specialità¹⁰

Per quanto riguarda il tempus commissi delicti, bisogna differenziare i due momenti già precedentemente enunciati: nel caso di accesso abusivo, si avrà un reato a consumazione istantanea che si perfeziona nel momento in cui il soggetto accede abusivamente, senza averne alcuna titolarità, al sistema.

Nell’ipotesi, invece, di mantenimento del soggetto all’interno del sistema, si possono verificare due ipotesi: se il soggetto adopera il sistema per finalità diverse rispetto a quelle per le quali è stato autorizzato, si realizzerà un reato a consumazione istantanea, mentre se supera il limite temporale autorizzato dal titolare, si realizzerà un reato permanente. La consumazione si realizza nel momento in cui il soggetto agente si introduce abusivamente nel sistema ovvero permane.

Da ultimo, per quanto riguarda il locus commissi delicti, la diatriba giurisprudenziale (tra chi ritiene che il luogo di consumazione sia situato nel posto dove si trova il sistema informatico violato e chi sostiene che esso si trovi nel domicilio del soggetto agente), è stata superata da un’importante sentenza della Cassazione a Sezioni Unite, n. 17325/2015, secondo la quale il luogo di consumazione del delitto in esame coincide con quello in cui si trova l’utente che, tramite elaboratore elettronico o altro dispositivo per il trattamento automatico dei dati, digitando la parola chiave o altrimenti eseguendo la procedura di autenticazione, supera le misure di sicurezza apposte dal titolare per selezionare gli accessi e per tutelare la banca dati memorizzata all’interno del sistema centrale, ovvero vi si mantiene eccedendo i limiti dell’autorizzazione ricevuta.

Il sistema telematico per il trattamento dei dati condivisi tra più postazioni è, infatti, unitario e, per la sua capacità di rendere disponibili le informazioni in condizioni di parità a tutti gli utenti abilitati, assume rilevanza il luogo di ubicazione della postazione remota alla quale avviene l’accesso e non invece il luogo in cui si trova l’elaboratore centrale”.