Penale.it - Giacomo Stalla, L’accesso abusivo ad un sistema informatico o telematico

Il reato di accesso abusivo ad un sistema informatico o telematico (art.615 ter cp) è stato introdotto dalla l.23.12.93 n.547 in tema di criminalità informatica.

Non è certo questa la sede per svolgere una disamina analitica ed approfondita di questa legge; pare tuttavia opportuno evidenziarne brevemente taluni caratteri originari, utili anche sul piano interpretativo, osservando che:

¨ è proprio con la l.547 del ’93 che il legislatore nazionale prende per la prima volta organicamente atto del sempre più temibile fenomeno dei computer crimes (nelle sue più varie forme di manifestazione e lesività: dalla sfera personale e morale a quella patrimoniale, dal terreno dei rapporti tra privati a quello dei servizi e delle funzioni proprie del settore pubblico). Più precisamente, prende atto della radicale inadeguatezza del codice penale a fronteggiare con efficacia detto fenomeno che già a fine anni ’70 e poi negli anni ’80 aveva mostrato di poter colpire, in una con la sempre più capillare diffusione delle nuove tecnologie, praticamente tutti gli ambiti della vita nazionale: banche ed intermediari finanziari, assicurazioni, trasporti, banche-dati pubbliche e private, telecomunicazioni, sanità, difesa, solo per citarne alcuni;

¨ si è del resto trattato di una “presa d’atto” - alla quale sarebbe seguito un processo di evoluzione normativa, tuttora in corso, sempre più mirato su settori specifici di tutela penale concernenti, per esempio, la riservatezza dei dati personali e delle banche-dati (l.31.12.96 n.675 e d.lvo.13.5.98 n.171 in attuazione Dir.97/66/CE), il diritto d’autore e le trasmissioni televisive “criptate” (l.18.8.00 n.248), la pedopornografia in internet (l.3.8.98 n.269) - indotta dalla necessità di adeguare l’ordinamento interno a quello di molti altri Stati che già erano intervenuti in materia (esigenza tanto più pressante considerando il carattere transnazionale che operativamente spesso il crimine informatico presenta). Ma, soprattutto, si trattava di dare attuazione alla Raccomandazione 13.9.89 con la quale il Consiglio dell’Unione Europea indicava agli Stati membri una “lista minima” cogente di interventi penali (alla quale si affiancava una lista c.d. “facoltativa” di fattispecie reputate di meno impellente introduzione), in tema di frode informatica, falso informatico, danneggiamento di dati o programmi, sabotaggio di sistemi, intercettazione di comunicazioni telematiche, riproduzione e diffusione di software protetto e, appunto, accesso abusivo;

¨ l’emanazione, in questo contesto, della l.547/93 registra anche il definitivo abbandono di quella impostazione concettuale di partenza che potremmo definire di “sufficienza” del codice penale; essendo ormai chiaro a tutti che il dato tecnologico attribuiva alle emergenti manifestazioni criminose un’impronta di novità tale da non consentire la loro “inclusione”, per quante acrobazie l’interprete potesse fare, nelle figure di reato tradizionali: e ciò tanto nel caso in cui il mezzo informatico rappresentasse lo strumento di commissione del reato, quanto in quello in cui esso stesso fosse il destinatario precipuo dell’offesa [1] . Furono anzi proprio la dottrina e la giurisprudenza a segnalare l’intollerabilità costituzionale di un adeguamento forzoso delle norme previgenti alle nuove fattispecie; intollerabilità in termini di violazione del divieto di analogia in malam partem e, tramite questo, dei principi di tassatività e di legalità;

¨ e tuttavia, la scelta del legislatore del ’93 è stata quella di “ancorare” il più possibile, sul piano sistematico, le nuove incriminazioni alle vecchie; risultato ottenuto non mediante l’emanazione di una legge speciale dedicata, bensì tramite l’inserimento delle nuove disposizioni nel corpus dello stesso codice penale del ‘30. La relazione al disegno di legge ha anzi cura di precisare come, scelto questo tipo di intervento (in controtendenza rispetto ad un già allora marcato processo di decodificazione), l’opzione sia stata quella non di raccogliere le nuove incriminazioni (aventi peraltro tutte natura di delitto) in un nuovo ed autonomo titolo avente ad oggetto la tutela informatica, quanto invece di novellare qua e là le norme del codice inserendo la nuova figura di reato nelle immediate vicinanze del reato “tradizionale” al quale per struttura e, soprattutto, per comunanza di bene protetto, più poteva assimilarsi. Si è trattato, evidentemente, di una scelta non tanto topografica quanto piuttosto ideologica perché volta a negare da un lato il riconoscimento del “bene” informatico quale oggetto sufficiente ed autonomo di tutela penale, riaffermando dall’altro il ruolo tendenzialmente strumentale e mediato rivestito dal “mezzo” informatico nella lesione di beni giuridici tradizionali: il patrimonio, la fede pubblica, l’inviolabilità dei segreti, la libertà individuale anche nelle sue implicazioni – ad esempio proprio per quanto riguarda il reato di accesso abusivo - con la inviolabilità del domicilio. Il risultato è stato un intervento “a macchia di leopardo” in esito al quale l’elemento informatico (o telematico) della fattispecie rileva a vario titolo. Così, senza pretesa di completezza: - quale “cosa” oggetto di possibile violenza nel reato di esercizio arbitrario delle proprie ragioni (art.392 3^ co.); - quale “sistema” oggetto di distruzione o danneggiamento (art.635 bis), eventualmente anche nell’ambito di attentato ad impianti di pubblica utilità (art.420 2^ co.); - quale “supporto” o “programma” suscettibile, in quanto “documento informatico” in tutto equiparabile agli altri documenti, di falsificazione (art.491 bis), ovvero di rivelazione abusiva del suo contenuto (art.621 2^ co.); - quale “comunicazione” protetta da indebite condotte di intercettazione, impedimento, interruzione, falsificazione, soppressione (artt.617 quater e segg.); - quale “sistema” suscettibile di venire alterato nel suo funzionamento a scopo di frode (art.640 ter); - ed ancora, venendo al tema in esame, quale “sistema protetto da misure di sicurezza” esposto alla possibilità di accessi indebiti (art.615 ter), con quanto ne consegue quanto a repressione “ad ampio spettro” dei fenomeni collaterali insiti nella detenzione e diffusione di codici di accesso o programmi (inclusi i cc.dd. programmi “virus”) atti alla sua effrazione o danneggiamento (art.615 quater e quinquies) .

L’accesso abusivo deve avere ad oggetto un “sistema informatico o telematico”.

In assenza di una definizione legislativa, è stata la giurisprudenza a tentare di fornire una definizione generale di “sistema informatico” tendenzialmente valida per tutte le fattispecie incriminatici che vi facciano riferimento, ed in forza della quale deve reputarsi tale qualsiasi apparecchiatura più o meno complessa “destinata a svolgere qualsiasi funzione utile all’uomo attraverso l’utilizzazione, anche solo parziale, di tecnologie informatiche” [2] . Queste ultime sono a loro volta caratterizzate dalla compresenza di tre aspetti funzionali: a) la registrazione o memorizzazione, “per mezzo di impulsi elettronici e su supporti adeguati, di dati rappresentati attraverso simboli (bit) numerici (codice) in combinazioni diverse”; b) “l’elaborazione automatica” da parte della macchina dei dati così registrati o memorizzati; c) l’organizzazione di tali dati “secondo una logica che consenta loro di esprimere un particolare significato per l’utente” (utilità).

Si tratta di una definizione incentrata sul passaggio dal “dato” all’ “informazione”; nel senso che alla funzione di registrazione-memorizzazione elettronica di dati intesi quali “rappresentazioni elementari di un fatto” si affianca la funzione complementare di elaborazione-organizzazione logica di tali dati in insiemi più o meno estesi costituenti “informazioni”.

L’attitudine della macchina (computer) ad organizzare ed elaborare dati sulla base di un certo programma (software) ed in vista di finalità eterogenee costituisce elemento discretivo essenziale, consentendo di distinguere ciò che è “informatico” da ciò che è invece solamente “elettronico”. Così, ad esempio, il videoregistratore, il lettore di CD (sempre che non siano connessi ad un computer con funzione di masterizzazione o elaborazione di immagini e suoni), i dispositivi che presiedono all’attivazione dei sistemi di sicurezza sulle auto (come l’airbag, o l’ABS), certi elettrodomestici a tecnologia digitale sempre più diffusi nelle nostre case, non possono considerarsi – proprio perché inidonei alla elaborazione ed organizzazione di dati nel senso che si è detto – “sistemi informatici”, quanto solamente apparati elettronici.

Più sistemi informatici collegati stabilmente tra loro (per esempio via modem o anche via radio se connessi con tecnologia wireless) al fine di permettere la trasmissione-comunicazione a distanza delle informazioni raccolte costituiscono un “sistema telematico”.

In tal caso l’elemento che consente di ravvisare un sistema “telematico” in luogo di un mero dispositivo di trasmissione a distanza di segnali (come il telefono o il fax) è dato proprio dal fatto che ad essere collegati tra loro sono due (o più) sistemi “informatici” : tipico è il caso dei sistemi di posta elettronica o di connessioni tramite terminali remoti (per esempio il bancomat).

Si tratta di definizioni assai ampie suscettibili di ricomprendere – come possibile oggetto di attacco - tanto l’hardware quanto il software, tanto la macchina nel suo insieme, quanto i suoi singoli componenti, a condizione che il tutto sia unitariamente finalizzato all’espletamento di quelle funzioni ed al raggiungimento di quelle utilità.

Rientrano dunque nella nozione il più piccolo personal computer per uso domestico o di gioco, così come il supercalcolatore (mainframe) capace di gestire (ad esempio nell’ambito di banche-dati o CED) un numero indeterminato di utenti simultaneamente ad esso collegati via terminale; la rete locale (LAN) di realtà aziendali o professionali medio-piccole, così come la grande rete geografica (WAN) capace di collegare aree molto distanti, eventualmente anche mediante il collegamento tra loro di un numero indeterminato di reti locali.

Lo stesso internet, inteso quale insieme mondiale di nodi (host) e reti accomunate dall’utilizzo dello stesso protocollo di invio e ricezione di dati (TCP/IP), rientra nella definizione normativa, al pari di quelle reti private (intranet) che, pur avendo l’aspetto esteriore di un sito WEB e pur utilizzando lo stesso protocollo convenzionale, non sono tuttavia connesse ad internet, avendo lo scopo di gestire informazioni solo all’interno di una determinata organizzazione (per esempio una società o gruppo societario, ovvero un comparto della PA).

Sulla base di queste definizioni, la giurisprudenza ha attribuito natura di sistema informatico o telematico, proprio in relazione agli artt.615 ter e quater cp, alla TV digitale a pagamento (più esattamente: ai sistemi di trasmissione-ricezione del segnale televisivo), sia in abbonamento non “in chiaro” (pay TV), sia su acquisto di programmi specifici (TV on demand o pay per view) .

Ciò perché si tratta di sistemi caratterizzati dalla trasmissione (satellitare o via cavo) di un segnale criptato soggetto ad una procedura digitalizzata di codificazione-elaborazione-decodificazione mediante un apposito apparecchio (decoder) in uso all’utente.

Per questa ragione è stata ritenuta [3] l’applicabilità dell’ art.615 ter (ed anche dell’art.615 quater cp) alla condotta di chi abbia fatto ingresso al sistema televisivo in questione mediante utilizzo di “pic-cards” abusive, assunte quali supporti contenenti programmi e codici necessari per consentire al decoder la funzione di decriptazione [4] .

Analogamente, è stato riconosciuto il carattere di sistema telematico alla telefonia mobile (GSM o UMTS), sia cellulare sia satellitare, in quanto sistema atto alla trasmissione del segnale (comportante anche la possibilità di invio di brevi messaggi di testo - gli SMS - ovvero anche, più recentemente, audio-video) con tecnologia digitale, perché incentrata sulla conversione del segnale analogico in numero binario 0-1 (bit) [5] .

La responsabilità ex art.615 ter è poi stata ritenuta a carico di due dipendenti della filiale Telecom di Brindisi anche con riguardo alla telefonia fissa (in relazione sia al centralino di smistamento e gestione del traffico, sia alla rete in quanto tale). Ciò in un caso nel quale l’accesso abusivo alla rete telefonica esterna era avvenuto (al fine di poter eseguire dall’ufficio numerosissime telefonate su utenze australiane e delle Isole di Cook con addebito internazionale di oltre 120 milioni di lire alla stessa Telecom) mediante la rapida digitazione del numero estero nel breve lasso di tempo intercorrente tra la selezione del “numero breve” - abilitante l’accesso ad utenze esterne liberamente raggiungibili dai dipendenti per esigenze lavorative - e l’invio automatico dei numeri corrispondenti a queste stesse utenze [6] .

Perché si integri la materialità del reato non è però sufficiente che l’accesso abusivo abbia ad oggetto un sistema informatico o telematico, essendo richiesto che lo stesso sia “protetto da misure di sicurezza”.

Si tratta di un requisito che suscita notevoli difficoltà interpretative: non sul piano operativo, quanto piuttosto su quello strettamente giuridico.

Sul piano operativo, rileva qualsiasi accorgimento finalizzato ad impedire o quantomeno ad ostacolare l’ingresso nel sistema da parte di soggetti non autorizzati. Si tratterà normalmente di protezioni – più o meno sofisticate - aventi esse stesse natura informatica: passwords, codici di accesso, identificativi di utenza, questionari di autenticazione, smart-cards, firewall di rete; fino ai più recenti dispositivi biometrici di riconoscimento dell’utente sulla base di sue irripetibili caratteristiche corporee (ad esempio le impronte digitali, piuttosto che il timbro della voce o il fondo retinico) .

Stante tuttavia la genericità del dato letterale e la stessa ratio della legge, è da ritenere che rilevino ai nostri fini anche misure di protezione diverse e più rudimentali perché non logiche ma fisiche quali, ad esempio, la necessità di una chiave tradizionale per l’avvio del computer, ovvero per l’accesso al locale dove il computer è collocato o anche per quello dove il foglio di carta con su scritta la password è nascosto. Questa conclusione si avvalora anche in ragione del fatto che è espressamente prevista – come aggravante e presupposto della procedibilità d’ufficio – l’ipotesi che l’accesso abusivo sia stato realizzato mediante “violenza sulle cose” (art.615 ter 2^ co.n.2).

Sul piano giuridico si pone invece innanzitutto il problema di verificare se le misure di sicurezza debbano necessariamente rispondere ad un determinato livello di efficacia e capacità protettiva .

Così ha ritenuto il GUP del Tribunale di Roma [7] che ha dichiarato il non luogo a procedere per insussistenza del fatto nei confronti di un hacker che, operando via internet dal PC della propria abitazione, era riuscito ad introdursi nel sito telematico RAI del GR1 ed a sostituire il file di detto GR1 (edizione del 10.7.98, ore 13) con un altro file di sua creazione (denominato alla stessa maniera) e contenente una serie di critiche personali alla MICROSOFT di Bill Gates e, in particolare, all’ultima versione del sistema operativo Windows (’98). Allertata dalle e-mail di due utenti che si erano connessi al sito internet per ascoltare quella edizione del GR1, la RAI presentava denuncia contro ignoti. Appresa questa circostanza dalla stampa, l’autore del fatto si presentava spontaneamente agli organi di Polizia dopo aver rivendicato il gesto con una lettera inviata a “La Repubblica”, nella quale spiegava: “sono entrato nel server RAI grazie ad una password ‘fregata’ al PC di G.L. (dipendente RAI, ndr) che, molto imprudentemente, ha il proprio disco fisso in condivisione e dunque è accessibile liberamente dall’esterno”. Accertato peritalmente che l’indagato era effettivamente riuscito ad accedere al sito del GR1 “usando un programma per la ricerca di computer su internet con condivisioni aperte” e , in particolare, che il computer RAI così raggiungibile (ancorchè assistito da un firewall che nella specie non si era però attivato) conteneva la password per l’accesso al server manomesso, il giudice ha concluso nel senso della irrilevanza ex art.615 ter cp del fatto, posto che tale norma presuppone – quale “elemento costitutivo” - l’esistenza di “efficaci” mezzi di protezione , mentre nel caso di specie le misure di sicurezza adottate dalla RAI si erano dimostrate del tutto inidonee allo scopo, dal momento che “la password del computer MM1 era citata in un file contenuto in una macchina (GRR4) vulnerabile”.

Si tratta di soluzione difficilmente condivisibile perché né la lettera né la ratio dell’art.615 ter richiedono un determinato coefficiente di efficacia della misura di sicurezza adottata; né – specie in una realtà caratterizzata dalla continua “rincorsa” nel perfezionamento delle misure di sicurezza non meno che dei programmi atti al loro aggiramento – vengono forniti criteri per valutare in concreto detto coefficiente. Del resto, non vi è dubbio che – se riguardata ex post, cioè ad accesso abusivo ormai realizzato – nessuna misura potrebbe per ciò solo mai reputarsi davvero “efficace”.

Preferibile è invece l’opposta tesi [8] in base alla quale l’art.615 ter “ha inteso reprimere qualsiasi introduzione in un sistema informatico che avvenga contro la precisa volontà dell’avente diritto e, per rendere penalmente apprezzabile una simile contraria volontà, è da ritenersi sufficiente qualsiasi mezzo di protezione, anche se facilmente aggirabile da persona mediamente esperta, ma che abbia comunque la caratteristica di rendere palese tale contraria volontà” (nel caso di specie si trattava del computer di uno studio professionale di consulenza e tenuta della contabilità “sistemato all’interno di un locale dotato di apposite serrature e per di più assistito da un normale codice di accesso”).

Questo orientamento [9] muove dal presupposto che la l.547/93 abbia inteso, con l’introduzione dell’art 615 ter cp, estendere all’ambito informatico e telematico la protezione già riconosciuta al domicilio tradizionalmente inteso ex art.614 cp. Ciò che è d’altra parte reso esplicito nella relazione governativa alla legge del ’93, secondo la quale “la normativa trova la sua collocazione tra i reati contro l’inviolabilità del domicilio perché i sistemi informatici o telematici, la cui violazione essa reprime, costituiscono un’espansione ideale dell’area di rispetto pertinente al soggetto interessato, garantito dall’art.14 Cost. e penalmente tutelata nei suoi aspetti più essenziali e tradizionali dagli artt.614 e 615 cp"” [10]

Nell’ottica di assimilazione alla figura originaria, le misure di sicurezza vengono dunque recepite non nella loro idoneità od efficacia preclusiva, quanto nella loro portata puramente dichiarativa di una volontà contraria all’accesso indiscriminato al sistema; esse sono in definitiva il “segnale” esteriore del concreto esercizio dello jus excludendi alios , al pari di quanto accade nella violazione di domicilio “classica”, per la quale l’art.614 cp richiede che l’introduzione abusiva nell’abitazione altrui avvenga “contro la volontà espressa o tacita di chi ha il diritto di escluderlo” [11] .

Del resto, dalla stessa descrizione della condotta penalmente rilevante si evince non solo che non è richiesto il raggiungimento da parte della misura di sicurezza di un determinato livello di efficacia, ma che la stessa effrazione della misura di sicurezza può non essere necessaria. In base all’art.615 ter 1^ co. seconda parte, infatti, il reato si realizza (riproducendosi con ciò una ulteriore simmetria con l’art.614 2^ co.) anche nell’ipotesi in cui il soggetto sia entrato nel sistema del tutto legittimamente, mantenendovisi però contro la volontà di chi ha il diritto di proibirglielo. Indipendentemente dall’aggiramento illecito delle misure di sicurezza, pertanto, è punibile anche chi operi sul sistema oltre i tempi consentiti, oppure per finalità in contrasto con la volontà del titolare del diritto; così come chi - autorizzato ad accedere soltanto a determinate aree o servizi interni al sistema - acceda e si mantenga in aree diverse “invito domino”. Su questo presupposto è stata ritenuta [12] la configurabilità del reato anche nei confronti dell’operatore (per il quale ricorre tra l’altro l’ipotesi aggravata del 2^co.n.1) che, legittimamente entrato nel sistema per controllare la funzionalità del programma applicativo, vi si sia poi trattenuto al fine di copiare i dati in esso archiviati; e ciò senza che potesse assumere rilevanza la circostanza che si trattasse di un programma applicativo di sua proprietà e concesso solamente in uso al titolare del computer violato. E che non si tratti di ipotesi marginali è dimostrato dal fatto che in tantissimi casi ci si trova di fronte proprio ad episodi di aggressione interna, vale a dire di violazioni del sistema poste in essere da collaboratori, soci o dipendenti infedeli del titolare dello stesso [13] .

Si è detto che le “misure di sicurezza” delle quali il sistema informatico o telematico deve essere fornito rilevano nella loro idoneità non ad effettivamente impedire od ostacolare l’accesso, bensì a rendere palese l’interdizione all’ingresso; va ora aggiunto che, in quanto necessariamente riferibili ad un sistema (o archivio o programma) che , per quanto esteso ed articolato, è comunque ben individuabile, esse fungono in sostanza anche da surrogato, in ambiente informatico, della perimetrazione muraria o comunque della delimitazione fisico-spaziale connaturate al domicilio tradizionalmente inteso; essendo tra l’altro frequente, nei sistemi di medio-alta complessità, la presenza di vari livelli di interdizione d’area e/o funzione (domini), ciascuno assistito da misure di sicurezza autonome.

Sul piano oggettivo, ciò è necessario e sufficiente a far scattare l’incriminazione dell’art.615 ter . La disposizione non richiede che l’introduzione risponda ad una determinata finalizzazione; non si richiede che all’introduzione faccia ad esempio seguito la acquisizione di informazioni segrete o riservate (che potrebbero anche mancare del tutto); la copiatura o alterazione di dati; il danneggiamento del programma o del sistema; la consultazione di archivi senza il pagamento del relativo canone di abbonamento ecc…

Rileva l’accesso in quanto tale [15] , così che l’avverbio “abusivamente” va riferito non già al perseguimento di ulteriori scopi illeciti in qualche modo legati al contenuto del sistema, quanto invece alla pura violazione (assistita da dolo generico) dello jus prohibendi del gestore.

Ciò si spiega proprio sul presupposto che il legislatore ha voluto proteggere il “domicilio informatico” in sé, inteso come spazio intangibile di estrinsecazione della persona (al pari di quanto avviene con la pax domestica protetta dal tradizionale reato di violazione di domicilio) . Ciò trova conferma nel fatto che “la distruzione o il danneggiamento del sistema o l’interruzione totale o parziale del suo funzionamento, ovvero la distruzione o il danneggiamento dei dati, delle informazioni o dei programmi in esso contenuti” concreta una mera eventualità circostanziale (2^co.n. 3).

Corollario pratico di questa conclusione è che se davvero il domicilio informatico viene in sostanza ad identificarsi nella inviolabilità in sé del sistema, l’ipotetica lesione o messa in pericolo di altri beni giuridici, quali la privacy o il patrimonio, implica (al pari di quanto accade nella violazione di domicilio comune) il concorso del reato ex art.615 ter con quell’altro o quegli altri che si rendessero via via identificabili (621-623 bis, 640 ter, 392 ecc…) [16] [17] .

Va però detto che la disposizione in esame contiene, nel 3^ co., una “variante” che mette in crisi l’interprete che voglia addivenire ad una lettura unitaria e monoffensiva dell’incriminazione. Ciò perché il 3^ co. prevede l’ipotesi in cui la violazione abusiva abbia ad oggetto una particolare tipologia di “sistemi informatici e telematici”, accomunati dallo svolgimento di una funzione di interesse pubblico, ed esemplificati nei sistemi “di interesse militare o relativi all’ordine pubblico o alla sicurezza pubblica o alla sanità o alla protezione civile”.

L’elemento di rottura rispetto alla fattispecie di partenza è data dal fatto che vengono presi in considerazione sistemi che non possono in alcun modo riferirsi ad una sfera di estrinsecazione della personalità individuale ma che, all’esatto contrario, richiamano figure di pubblico interesse e di pubblico servizio.

Ciò preclude in radice la possibilità di estendere anche a tale ipotesi la nozione di “domicilio informatico”; nel senso che il bene tutelato rimane l’integrità del sistema ed il diritto di proibirne l’accesso indiscriminato, e tuttavia il sistema viene qui assunto non nella sua dimensione personalistica, bensì nella sua preminente ed oggettiva strumentalità all’erogazione di servizi pubblici reputati essenziali e, più in generale, al perseguimento di interessi e di esigenze collettive.

Da questo punto di vista, l’autonomia dell’oggetto giuridico appare anzi a tal punto marcata, da far ritenere che ci si trovi di fronte non ad un’ipotesi aggravata, quanto piuttosto ad un reato autonomo (di pericolo) contrassegnato da specialità rispetto all’incriminazione-base.

Problematiche del tutto peculiari affiorano allorchè si ponga in relazione il reato di accesso abusivo con internet. Non è, si badi, che il legislatore del ’93 non avesse a mente questo aspetto; tuttavia lo sviluppo esponenziale che internet ha registrato – su scala mondiale – nell’ultimo decennio (con quanto ne è seguito a livello di crescente telematizzazione di sempre più diffuse attività umane, così come di sempre più nevralgici servizi collettivi) ha attribuito al fenomeno connotati quantitativi e, soprattutto, qualitativi impensabili in quegli anni [18] .

Del resto, la repentina evoluzione tecnologica ha segnato non soltanto la rete e le sue applicazioni (il commercio elettronico, l’ “e-government”, il “banking on line”, solo per citarne alcune, sono ormai diventate realtà di frequentazione quotidiana), ma anche le metodiche ed i programmi atti ad attaccarla ed a realizzare – proprio per suo tramite – nuove e vecchie figure di reato.

Non è certo possibile dare qui conto – neppure sinteticamente – delle mille problematiche che agitano il c.d. diritto penale dell’informatica.

Ciò che va qui rilevato è invece come il reato di accesso abusivo - proprio per l’ampiezza dell’oggetto giuridico che lo contraddistingue e, soprattutto, per la mancanza di una finalizzazione tipica della condotta – appaia almeno astrattamente idoneo a colpire la principale minaccia per la rete e la sua sicurezza, vale a dire le intrusioni poste in essere da quegli esperti comunemente noti come “hackers”.

Non pare inutile premettere che un siffatto giudizio di idoneità si muove sul piano della pura interpretazione normativa, non potendocisi nascondere – per contro – le enormi difficoltà investigative che spesso si incontrano nell’individuazione dei responsabili; ed anche i talvolta insormontabili ostacoli che la frequente sovranazionalità del fenomeno e l’interferenza tra le sfere di sovranità dei singoli ordinamenti giuridici a vario titolo coinvolti (aspetti non ancora risolti dalle convenzioni internazionali) frappongono alla effettività della repressione della c.d. pirateria informatica [19] .

Sul piano normativo, la struttura del reato ex art.615 ter pare attagliarsi, per le suddette caratteristiche, non solo agli attacchi volti a distruggere tramite internet determinati siti, reti o sistemi ad esso connessi, ma anche a quelle intrusioni puramente dimostrative che, pure, spesso connotano il fenomeno dell’ hackeraggio [20] .

In tutti questi casi l’attacco presuppone pressochè immancabilmente l’aggiramento delle misure di sicurezza che, a vario livello ed in varie ubicazioni, assistono la rete nel suo complesso così come i singoli sistemi presi di mira. Può trattarsi, pertanto, di misure di protezione di vario grado di complessità e sofisticazione che assistono i nodi principali di internet ed i server di instradamento dei messaggi (router), così come i server locali, piuttosto che i singoli PC che si connettono alla rete con la semplice digitazione di un codice di abbonamento (userid) e di una password.

Detto aggiramento è reso possibile dall’utilizzo di appositi programmi di effrazione (presi espressamente in considerazione dall’art.615 quinquies cp) che vengono introdotti nel sistema-bersaglio – per lo più tramite un allegato di posta elettronica (worm) ovvero lo scaricamento di un programma da un sito non sicuro - opportunamente camuffati [21] . Né mancano programmi-virus di più recente concezione (“cavalli di Troia”) che, installati via internet sul computer bersaglio, sono in grado di registrare e memorizzare tutti i tasti premuti dall’utente ignaro, compresi quelli di password, codici cifrati, numeri di carte di credito e di altri mezzi telematici di pagamento.

Resta naturalmente salva, nel caso in cui l’accesso abusivo sia strumentale alla commissione di illeciti ulteriori, la configurabilità del concorso formale o materiale di reati sulla base dei principi generali.

Altrettanto insidiose sono quelle intrusioni concretanti vere e proprie forme di aggressività commerciale e pubblicitaria via internet.

Si tratta di tecniche di invasione dell’altrui dominio rese ancor più subdole dal fatto che operano mediante la (inconsapevole) cooperazione della vittima.

E’ noto, ad esempio, che largamente diffusa è la prassi di scaricare software gratuito dai vari siti internet che lo consentono. Talvolta si tratta di programmi dimostrativi ed “a tempo” (shareware), cioè funzionanti in prova solo fino ad una data prestabilita (dopodichè l’utente interessato può decidere di acquistare, a pagamento, la versione definitiva). Altre volte, si tratta di programmi pienamente operativi che vengono installati sul proprio hard disk per l’uso abituale, senza che venga chiesto al fruitore di pagare alcunchè (freeware).

Nell’ambito di questa opportunità, viene però sempre più spesso previsto che, a titolo di “contributo” o “corrispettivo” simbolico della messa a disposizione gratuita del software, l’utente accetti di ricevere taluni messaggi pubblicitari via e-mail o, più frequentemente, tramite riquadri ed immagini (banner) appositamente studiati [22] . In questa maniera, il prezzo del software viene posto a carico non dell’utente che lo ha scaricato, bensì delle varie società ed imprese commerciali che pagano, per gli spazi pubblicitari così creati, i siti ospitanti (gli stessi che hanno messo a disposizione il software “gratuito”).

L’utente che accetti questa condizione sarà esposto al piccolo incomodo di veder saltuariamente comparire i banner sul proprio PC: vuoi al momento di utilizzare il programma scaricato, vuoi all’atto di connettersi ad internet.

Fin qua parrebbe trattarsi di un accettabile do ut des, tutto sommato conveniente anche per l’utente (si tratta del resto di una tecnica già nota nel campo telefonico, dove esiste la possibilità di fruire presso taluni operatori di tariffe agevolate in cambio dell’inserzione periodica, durante la conversazione, di qualche messaggio pubblicitario).

Il problema nasce quando assieme al programma scaricato o allo stesso banner viene installato sull’hard disk dell’utente (semprechè, naturalmente, ciò avvenga all’insaputa di questi) un apposito software-parassita (la cui presenza normalmente sfugge anche all’utente di buona esperienza) capace di “navigare” nelle varie aree del PC; così da leggerne i dati d’archivio, individuarne i programmi preferiti, cogliere gli interessi ed i settori di attività del suo utilizzatore mediante l’esame dei siti internet visitati, dei banner cliccati, dei prodotti ordinati, dei questionari compilati su siti di imprese concorrenti (scopi, questi ultimi, peraltro massicciamente perseguiti anche tramite i cc.dd.”cookies”). I dati così raccolti vengono quindi ritrasmessi, in occasione della prima connessione internet, ad un determinato sito dove vengono memorizzati ed organizzati [23] .

Lo scopo ultimo di questa operazione è quella di acquisire un “ritratto” quanto più possibile dettagliato delle inclinazioni commerciali del soggetto; un pacchetto di informazioni utili a fini promozionali e pubblicitari e dotate, in quanto tali, di una loro autonoma rilevanza ed appetibilità economica; al punto da avere, esse stesse, un proprio “mercato”. [24]

Ancorchè si tratti di programmi non distruttivi quanto solamente ricognitivi (spyware), essi interferiscono pur sempre, anche se in misura trascurabile, sul funzionamento e sulle risorse del computer destinatario: quantomeno a livello di assorbimento di memoria ed occupazione della banda telefonica di connessione (a tacere dell’eventualità che programmi di questo genere possano rendere di per sé più esposto il computer ad attacchi esterni di diverso genere, mediante l’apertura di canali nascosti di ingresso o backdoor).

I problemi principali sono tuttavia di tipo giuridico, essendo evidenti le implicazioni sortite da una simile operatività sulla riservatezza della persona [25] .

La questione che qui più rileva (impregiudicata la possibilità di configurare il concorso di illeciti di altro tipo) attiene alla configurabilità nel caso di specie del reato ex art.615 ter cp.

Come si è detto (§ 4.) il reato presuppone il semplice accesso abusivo indipendentemente dalla sua finalità (copiatura o dispersione di dati, distruzione o interruzione del sistema ecc…), di tal chè non pare dubbio che anche un accesso “innocuo” (ammesso che sia davvero tale) può da questo punto di vista essere penalmente rilevante.

La difficoltà maggiore sta invece nell’individuazione dell’ulteriore requisito normativo delle “misure di sicurezza” che devono essere poste a protezione del sistema.

Può darsi che lo spyware sia in grado di “forzare” determinate barriere (codici, password) poste a presidio di aree delimitate interne al computer penetrato o alla rete di cui fa parte. In tal caso, esso opera alla stregua di qualsiasi altro programma di cracking e la configurabilità del reato va senz’altro affermata.

Che accade, però, nei casi in cui ciò non si verifica perché non si realizzano effrazioni dirette e l’accesso viene consentito e materialmente attuato (sia pure inconsapevolmente) dallo stesso utente che ha scaricato lo spyware sul proprio hard disk ? potrebbe sostenersi che in tal caso il reato sussisterebbe quantomeno nella sua forma (tipica anch’essa) del “mantenimento” nel sistema contro la volontà del gestore (art.615 ter 1^ co., seconda parte) ?

Non varrebbe probabilmente osservare, in questa ottica, che la contrarietà all’accesso andrebbe presunta, sul presupposto che non potrebbe ragionevolmente ritenersi (salva la prova contraria a carico dell’intruso) che l’utente avrebbe acconsentito – ove lo avesse saputo – allo spionaggio dei propri dati. [26]

Una simile affermazione urterebbe con il dato testuale dell’art.615 ter per cui il dissenso può essere “espresso” o “tacito” (cioè per facta concludentia) , ma non anche presunto; si porrebbe inoltre in contrasto con la consolidata giurisprudenza che esclude, in relazione al reato di violazione di domicilio “comune”, la rilevanza della contrarietà presunta. [27]

Appare invece preferibile affermare la sussistenza del reato assumendo l’equiparazione a tal fine tra l’aggiramento della misura di sicurezza direttamente ad opera dell’intruso e l’aggiramento invece posto in essere – con l’inganno – per il tramite dello stesso gestore che accedendo al proprio sistema (ad esempio digitando la password che solo lui conosce) inconsapevolmente vi introduca con sé anche l’usurpatore. Il che si verifica, nel caso dello spyware (ma anche di altri programmi-virus e di taluni sistemi operativi), sia al momento di accesso al computer, sia in quello nel quale l’utente spiato si connette (superando anche qui delle barriere e dei filtri di sicurezza quali password e userid) ad internet, permettendo con ciò al programma-spia di trasmettere al mittente i dati raccolti.

Si tratta di soluzione che muove dalla già citata premessa (§ 3.) del ruolo puramente dichiarativo e non tecnico-funzionale svolto dalle misure di sicurezza nella struttura del reato e che pare fondata, più che sulla responsabilità dell’autore mediato ex art.48 cp (tanto più che in tal caso ad essere ingannata sarebbe la stessa vittima del reato), sull’estensione analogica dell’introduzione “clandestina o con inganno” viceversa espressamente prevista nella violazione di domicilio tradizionale.

Una diversa tecnica di invasività commerciale (utilizzabile però per qualsiasi tipo di propaganda, anche politica ed elettorale) si realizza nel c.d. “spamming”, vale a dire nell’invio ad un numero indeterminato di destinatari - individuati a loro insaputa, con l’ausilio di software apposito, durante una precedente navigazione o partecipazione a newsgroups - di messaggi pubblicitari via posta elettronica, non richiesti nè graditi.

Si tratta, in sostanza, di una modalità di diffusione propagandistica via internet assimilabile a quelle che possono essere realizzate tramite posta ordinaria o inserimento di volantini nelle buche delle lettere. Rispetto a queste forme di pubblicità, tuttavia, lo spamming è meno oneroso per le imprese che lo praticano (essendo anzi questa la ragione principale del suo grande successo) perché i messaggi non comportano costi di stampa, distribuzione o affrancatura, comportando unicamente i costi (per esse assolutamente irrisori) della connessione alla rete. Per contro, esso può influire negativamente sui computer riceventi quanto ad occupazione di memoria e, soprattutto, allungamento dei tempi di connessione ordinariamente necessari allo scaricamento della posta elettronica.

Ferma restando la configurabilità di illeciti diversi [28] , il reato di accesso abusivo non pare nella specie configurabile, trattandosi di accesso ad un sistema non protetto ma “aperto” perché per definizione accessibile previa semplice compilazione di un indirizzo e-mail.

L’Autorità Garante per la privacy ha affermato, in due decisioni [29] del gennaio 2001 e del febbraio 2003, che gli indirizzi e-mail non sono, diversamente dagli indirizzi civici o dai numeri telefonici, di pubblico dominio (non potendo venire impiegati per finalità diverse da quelle per le quali essi sono presenti in rete); con la conseguenza che lo “spamming” effettuato senza il consenso del destinatario viola la riservatezza.

Tuttavia, fermo restando l’illecito sotto questo profilo, è dirimente al fine di escludere il reato di accesso abusivo il fatto che l’acquisizione e l’impiego dell’indirizzo e-mail senza il consenso del suo titolare non implica per ciò solo violazione o aggiramento di una misura di sicurezza del sistema.

Ciò almeno in linea di principio, posto che a differente conclusione dovrebbe pervenirsi qualora il sistema di posta elettronica del destinatario sia stato in effetti impostato con filtri, liste di blocco o altri dispositivi al precipuo fine di precludere la ricezione e respingere automaticamente quel tipo di messaggi.

In tale evenienza l’accesso abusivo andrebbe individuato nel comportamento del mittente che fosse riuscito ad infrangere detti accorgimenti (in tutto equiparabili alle “misure di sicurezza” significative di volontà di esclusione) facendo comunque giungere a destinazione il messaggio.

(Relazione tenuta in occasione della giornata di studio su "Informatica ed evoluzione del diritto" indetta il 27 febbraio 2003 dal Consiglio dell'Ordine Avvocati di Torino)

[1] L’analogia risultava tanto più esasperata con riguardo a quelle componenti informatiche contraddistinte da più marcata immaterialità, come le comunicazioni, le informazioni, i dati e, in generale, il software. Poteva la sottrazione di informazioni o dati (non dedotti in supporti fisici ma direttamente attinti dagli archivi elettronici di appartenenza) rientrare nelle nozioni di “cosa mobile” o di “energia” rilevanti ai fini del furto ? Poteva la distruzione o la manomissione di programmi (diversa dalla distruzione delle componenti hardware) rientrare nella nozione comune di danneggiamento di cosa mobile ? Erano le comunicazioni telematiche (intercorrenti non tra due soggetti, ma tra soggetto e computer, ovvero tra una pluralità di soggetti e computer connessi in rete) venire tutelate alla stregua delle conversazioni telegrafiche o telefoniche già previste dagli artt.617 segg.? era sostenibile, nella truffa commessa tramite alterazione di un sistema informatico, estendere il “taluno” indotto in errore - pacificamente concepito dall’art.640 con riguardo alla persona fisica - al computer, vale a dire ad una macchina ? In che maniera estendere all’indebito utilizzo di codici di accesso e passwords identificative l’incriminazione prevista per la sostituzione di persona ?

Su queste problematiche si rinvia alla relazione al disegno di legge 547/93 ed a: E.GIANNANTONIO, “L’oggetto giuridico dei reati informatici”, nell’ambito del Seminario su: “Computer crimes: i reati informatici” del 15-16.12.00, in http://www.giustizia.it/cassazione/convegni/dic2000/giannantonio.pdf; D.TRENTACAPILLI, “Accesso abusivo ad un sistema informatico ed adeguatezza delle misure di protezione”, in Diritto penale e processo, 10/2002, pag.1280, con varie citazioni concernenti il dibattito dottrinale e giurisprudenziale formatosi su questi temi negli anni ’80.

[2] Cass.4.10.99 n.3067, Piersanti, in Cass.Pen.2000, 11, 1611, con nota di S.Aterno.

[3] Così Cass.2.7.98 n.4389, Nebbia, in Cass.Pen.2000, 1, 30, con nota di S.Aterno in Cass.Pen.2000, 4, 535. Osserva in particolare la S.C che: “il decoder, che utilizza lo stesso principio di funzionamento degli elaboratori e dei computer, è un apparecchio che rielabora il segnale ricevuto, utilizzando i dati digitali contenuti sulla card e ricompone il segnale in maniera che sia intelligibile dal televisore. Pertanto, i sistemi di trasmissione televisivi satellitare differiscono dalle normali trasmissioni televisive terrestri, in quanto costituiti da un insieme di apparati, in particolare trasmettitori, convertitori, satelliti, elaboratori di dati in trasmissione (encoder) ed analoghi elaboratori in ricezione (decoder) , finalizzati alla trasmissione di dati che non sono costituiti solamente da immagini e suoni, ma anche da testi, che diffusi da centri di smistamento costituiti dalle reti televisive, permettono di raggiungere gli utenti abilitati, cioè in possesso di cards legalmente acquisite”.

[4] Per tentare di stroncare il fenomeno sempre più diffuso delle pic cards “pirata” è stata emanata la l.18.8.2000 n.248 concernente tra l’altro la protezione delle trasmissioni e dei servizi cd “ad accesso condizionato”. I reati ivi previsti sono stati dapprima depenalizzati dal d.lvo 15.11.00 n.373 in tema di tutela del diritto d’autore e quindi reintrodotti (con richiamo agli artt.171 bis e 171 octies l.22.4.41 n.633 e succ.modif.) dal d.lvo approvato in via definitiva dalla Camera dei deputati il 15.1.03. In presenza di un accesso abusivo al sistema televisivo, deve ritenersi tuttavia sempre configurabile il reato ex art.615 ter cp.

[5] Cass.SSUU 23.2.00 n.6, D’Amuri, in Cass.Pen., 2000, 10, 1419. Si veda, sul punto, anche Cass.SSUU 13.7.98, Gallieri in Cass.Pen.1999, 157.

[6] Cass.3067/99 cit., nella quale si osserva che le linee telefoniche moderne utilizzano sempre più spesso la tecnologia digitale, posto che: “la funzione di trasmissione delle comunicazioni si attua, invero, con la conversione (codificazione) dei segnali (nel caso fonici) in forma di flusso continuo di cifre (bit) e nel loro trasporto in tale forma all’altro estremo, dove il segnale di origine viene ricostruito (decodificazione) e inoltrato, dopo essere stato registrato in apposite memorie. Si tratta cioè del flusso di comunicazioni relativo a sistemi informatici di cui all’art.266 bis, introdotto dalla stessa l.547/93 nel cpp, al quale è stata estesa la disciplina delle intercettazioni telefoniche”. Osserva inoltre la S.C. che la rete telefonica ha carattere di sistema informatico anche per quanto concerne la gestione e memorizzazione informatizzata dei cc.dd “dati esterni” alle conversazioni (numero del chiamante e del chiamato, numero degli ‘scatti’, ora di inizio, durata della chiamata), poi risultanti a tabulato.

[8] Trib.Torino 7.2.98, Zara, in Giur.Merito ’98, II, 708, con nota di NUNZIATA; anche in Giur.It. ’98, 1923, con nota di D.LUSITANO;

[9] confermato, nell’ambito dello stesso caso, da Cass. 7.11 – 6.12.2000 n.1675, in Dir.Informatica 2001, I, 17 ed in http://www.penale.it/giuris/cass_011.htm.

[10] A commento della l.del ’93 osservava BORRUSO come il legislatore avesse colto il significato più vero della vita moderna, perchè per l’uomo di oggi “il computer – ed in particolare il personal computer – costituisce una sorta di propaggine della mente e di tutte le conoscenze, i ricordi ed i segreti che essa custodisce”, in AAVV , Profili penali dell’informatica, Milano ‘94

[11] La contrarietà all’accesso deve tuttavia essere “effettiva” e non puramente simbolica, come avverrebbe, ad esempio, qualora il gestore del sistema distribuisse a tutti i dipendenti la password necessaria all’ingresso, ovvero la rendesse nota a tutti scrivendola su un bigliettino adesivo apposto sul monitor;

[12] Caso Zara, cit., contrassegnato dall’ intrusione nel computer di uno studio di consulenza posto in essere, per il tramite del programmatore addetto alla manutenzione ed assistenza, dagli ex collaboratori e finalizzata allo sviamento di clientela previa duplicazione del relativo archivio.

[13] Anche per alcuni riferimenti statistici: F.BERGHELLA e R.BLAIOTTA, Diritto penale dell’informatica e beni giuridici, in Cass.Pen.’95, 1463

[14] Ai fini della competenza territoriale ex art.8 cpp, il reato deve ritenersi consumato, anche nel caso di attacchi a distanza via modem, nel luogo dove è situato il sistema violato.

[15] BERGHELLA e BLAIOTTA, op.cit., pag.2333, preferiscono assimilare il reato in esame, più che alla violazione del domicilio, all’ingresso abusivo nel fondo altrui (art.637 cp), poiché: “ appare inevitabile considerare realisticamente che il legislatore tutela il sistema informatico in quanto bene di straordinario rilievo nell’attuale stato della società. Come nel 1930, in una società contadina, il codificatore proteggeva da ogni possibile turbativa la proprietà fondiaria che allora costituiva bene di preminente rilievo, sanzionando ‘chiunque senza necessità entra nel fondo altrui recinto da fosso, da siepe viva o da un altro stabile riparo’, così nell’attuale società dominata dall’informatica viene protetto il bene informatico da quelle intrusioni che costituiscono un ostacolo alla esclusiva, indisturbata fruizione del sistema da parte del gestore”. Si tratta di affermazione che presuppone evidentemente lo spostamento del baricentro del sistema economico-produttivo dalla proprietà agraria al dominio informatico.

[16] Cass.3067/99 cit. ha ammesso il concorso formale tra i reati di accesso abusivo e frode informatica, “trattandosi di reati totalmente diversi, il secondo dei quali postula necessariamente la manipolazione del sistema, elemento costitutivo non necessario per la consumazione del primo: la differenza tra le due ipotesi criminose si ricava, inoltre, dalla diversità dei beni giuridici tutelati, dall'elemento soggettivo e dalla previsione della possibilità di commettere il reato di accesso abusivo solo nei riguardi dei sistemi protetti, caratteristica che non ricorre nel reato di frode informatica”.

[17] Cass., Sez.IV, 27.8.02, in Dir.Pen Proc. 11/02, 1361 (m.) nel ravvisare il reato ex art.615 ter nella condotta di un funzionario ministeriale che si era clandestinamente introdotto nel computer dei ROS al fine di stampare il file contenente un verbale di interrogatorio dagli stessi assunto, ha al contempo escluso il reato dell’art.351 cp; ciò sul presupposto che l’ufficio non fosse stato privato dell’atto, né di una sua copia, atteso che: “la copia dell’atto non preesisteva fisicamente alla condotta di impossessamento, ma è stata ottenuta proprio tramite l’abusiva stampa del file, sicchè non può dirsi che l’atto sia stato ‘sottratto’ al pubblico ufficio”.

[18] Gli utenti internet nel 2001 ammontavano a 513 milioni (di cui 180 in USA e Canada, 154 in Europa e 143 in Asia); i server sono passati dai 9.470.000 del gennaio ’96 ai 126 milioni del luglio 2001; si prevede che la percentuale di penetrazione nella popolazione dell’Europa Occidentale passerà dal 30,2 del 2000 al 62,9 del 2005 (in Italia, rispettivamente, dal 22,8 al 59,4), da: Il sole 24 Ore – Alfa Libri 2002, “Internet, l’azienda ed il professionista”.

[19] Si tratta di un fenomeno dei più allarmanti che registra ogni giorno, in tutto il mondo, migliaia di attacchi a privati, società, enti ed istituzioni pubbliche, anche di massimo livello. Una esatta quantificazione non è possibile, anche per la sussistenza di un ingente hackeraggio “sommerso”, perché costituito da attacchi non denunciati dalle parti offese proprio al fine di non rendere di pubblico dominio la propria vulnerabilità ed inaffidabilità telematica. Oltre che per i danni che può arrecare alla rete (anche solo in termini di rallentamento della navigazione e dei servizi di mail), il fenomeno preoccupa anche per la radicalità delle reazioni che potrebbe suscitare e, a torto o ragione, in qualche modo legittimare. E’ di questi giorni la notizia di stampa per cui il governo americano avrebbe allo studio, nell’ambito della prevenzione antiterroristica, un progetto volto al controllo globale di tutto il traffico su internet (una sorta di scudo telematico), con quanto ne conseguirebbe quanto a tutela della riservatezza e delle libertà individuali di ciascun utente.

[20] E’ noto che accanto all’ hacker che pone la propria abilità informatica al servizio di scopi dichiaratamente illeciti e distruttivi (più propriamente qualificato come “cracker”), - ad esempio di danneggiamento di sistemi e di infrastrutture da questi gestite; sabotaggio; terrorismo; violazioni di segreti per fini militari, politici, industriali; concorrenza sleale, truffe ed appropriazioni patrimoniali, abuso di dati identificativi e personali ecc…- operano frequentemente hacker ispirati da intenti ludici e di puro esibizionismo; ovvero da intenti di matrice più protestataria e filosofica in base ai quali l’attacco alla rete esprime la rivendicazione ideologica di una maggior libertà e democraticità della rete e dei comportamenti umani e sociali da questa condizionati (specie in un contesto ancora fortemente caratterizzato dalla privativa dei sistemi operativi e dalla segretezza dei cc.dd.”codici sorgente”, dalla monopolizzante egemonia della MICROSOFT e dei suoi programmi, dalla ingiustificata penalizzazione – specie da parte dei governi e delle pubbliche amministrazioni - delle alternative di “open source”).

[21] Una caratteristica comune ai ccdd “programmi virus” sta nella loro potente e spesso incontrollabile diffusività all’insaputa dei singoli utenti già colpiti e tramite i dati attinti dai loro stessi computer. Taluni prelevano, ad esempio, gli indirizzi di posta elettronica direttamente dalle rubriche personali di Outlook o di programmi analoghi al fine di instaurare una sorta di “catena di S.Antonio” mediante la quale contagiare un numero via via crescente di computer. Altri si “attaccano” ad un file archiviato nel PC al fine di trasmetterlo ad un numero indeterminato di utenti che se lo vedranno recapitare direttamente nella propria casella di posta elettronica, con buona pace di ogni aspettativa di riservatezza.

[22] Naturalmente, il messaggio pubblicitario sarà tanto più efficace quanto più “mirato” sui gusti e gli interessi commerciali dell’utente, sui quali vengono spesso fatte – tramite questionari on line (form) – delle ricerche preventive.

[23] Si veda, in materia, Leo STILO: “Spyware, un parassita digitale dai mille untori”, in http://www.dirittoesicurezza.it/public/articoli/diritto/spyware.htm, con citazione di ulteriori contributi.

[24] Tanto che la raccolta delle informazioni non viene eseguita direttamente dagli operatori commerciali, ma da apposite società o software-houses che le cedono poi contro corrispettivo.

[25] Obiettano in proposito le società “mittenti” che oggetto di raccolta non sono dati “sensibili”, ma solo informazioni sulle inclinazioni commerciali degli utenti. In base all’art.5 della Direttiva 2002/58/CE relativa al trattamento dei dati personali ed alla tutela della vita privata nel settore delle comunicazioni telematiche, l’uso di reti di comunicazione elettronica per archiviare informazioni o per avere accesso a informazioni archiviate nell’apparecchio terminale di un abbonato o di un utente è consentito unicamente a condizione che l’abbonato o l’utente interessato sia stato informato in modo chiaro e completo, tra l’altro, sugli scopi del trattamento in conformità della direttiva 95/46/CE e che gli sia offerta la possibilità di rifiutare tale trattamento da parte del responsabile del medesimo.

[26] Il fatto stesso che si sia scelto di entrare in maniera “invisibile”, in luogo di chiederne l’autorizzazione al titolare, sta peraltro proprio a significare che se ne dà per scontato il dissenso. Il problema, tuttavia, è di verificare la rilevanza non fattuale ma giuridica di questa situazione.

[27] Si afferma che per la sussistenza del reato di violazione di domicilio “la volontà del titolare del diritto di esclusione deve essere manifestata in modo espresso o tacito, ma non può essere presunta. Ciò in quanto per il dolo richiesto dall’art.614 cp non è sufficiente che il soggetto attivo abbia la consapevolezza del supposto dissenso, ma occorre che abbia la consapevolezza di un dissenso reale, anche se dimostrato tacitamente”. Né è possibile desumere la contraria volontà all’accesso dalla sola illiceità del fine di questo: Cass.6.1.81 n.71, ed altre in termini.

[28] Si veda l’art.10 d.lvo 13.5.98 n.171 sulla necessità di consenso espresso dell’abbonato all’invio di materiale pubblicitario automatizzato. La violazione di questa prescrizione comporta l’applicazione delle sanzioni penali previste dall’art.35 l.675/96 sul trattamento illecito di dati personali. In base all’art.13 della recente Direttiva 2002/58/CE sul trattamento dei dati personali e la tutela della vita privata nel settore delle comunicazioni elettroniche, l’invio tramite posta elettronica di messaggi “a fini di commercializzazione diretta” è lecito solo nei confronti degli abbonati “che abbiano espresso preliminarmente il loro consenso”. Nell’art.4 si stabilisce che è in ogni caso “vietata la prassi di inviare messaggi di posta elettronica a scopi di commercializzazione diretta camuffando o celando l’identità del mittente (…) o senza fornire un indirizzo valido cui il destinatario possa inviare una richiesta di cessazione di tali comunicazioni”.