Un commento alla luce della sentenza della Cassazione che in materia di accesso abusivo a sistema informatico ha stabilito che l’imputato deve essere assolto quando il computer non è protetto da misure di sicurezza (art. 615 ter c.p.)
Corte di Cassazione Sez. VI, ud. 27 ottobre 2004 (dep. 30 novembre 2004), n. 46509
(inedita, non massimata)
Un commento che, alla luce di questa sentenza, parte dai diversi orientamenti della dottrina e della giurisprudenza sul punto, passa attraverso la struttura del reato e giunge ad una analisi dei beni giuridici tutelati.
La Suprema Corte di Cassazione ha stabilito (finalmente) che non è ravvisabile il reato di accesso abusivo se il sistema informatico o telematico nel quale l’imputato si inserisce non risulta obiettivamente protetto da misure di sicurezza. La sentenza è del 2004 ma sembra essere passata inosservata visto che non si rilevano pubblicazioni e commenti sul punto. Le conclusioni a cui si giunge in motivazione potrebbero sembrare ovvie ma coloro che conoscono la materia e gli orientamenti giurisprudenziali di questi anni, sanno che la pronuncia è in realtà una lieta sorpresa. Prima di illustrare il contenuto della sentenza in esame è opportuno fare alcune brevi considerazioni sulla struttura del reato di accesso abusivo a sistema informatico.
L’articolo 615 ter del codice penale punisce chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha dirito di escluderlo. L’articolo è stato inserito dal Legislatore tra i delitti contro l’inviolabilità del domicilio perché i sistemi informatici costituiscono "un'espansione ideale dell'area di rispetto pertinente al soggetto interessato, garantita dall'art. 14 costituzione..." [1]. Le questioni giuridiche sollevate nel corso degli anni sono le più diverse e hanno visto la dottrina [2] appassionarsi e confrontarsi fin dai primi anni 90. Le prime sentenze della giurisprudenza non sempre sono state in linea con le indicazioni suggerite, e in alcuni casi hanno portato a conclusioni poco condivisibili. Tra gli argomenti di cui si discute vi è senz’altro il bene giuridico tutelato o, meglio, i beni giuridici tutelati.
Considerata la sistematica del codice penale e la sezione nella quale sono inseriti i reati informatici sorge spontanea la domanda, ovvero è legittimo chiedersi se i sistemi informatici e telematici possono essere assimilabili ai luoghi privati, mutuando il concetto comune di “domicilio”. La perplessità ha un suo fondamento normativo nel momento in cui, la fattispecie, circoscrive la tutela penale ai soli sistemi informatici o telematici protetti da misure di sicurezza: appare di tutta evidenza che ciò non è che una conferma delle perplessità sul punto.
Il personal computer, il sistema telematico, sono oggi più che mai strumenti con i quali non ci si rinchiude all’interno di uno spazio, non si delimita l’area di interesse, bensì si offre il proprio spazio (o parte di esso) all’esterno, c’è una condivisione con terzi del contenuto del PC, si condivide con altri il proprio spazio informatico (es. p2p; VOIP; Chat; Messanger), si comunica con il mondo e con Internet. E’ per questi motivi che, differentemente dal concetto tipico di domicilio, quello informatico è un luogo, un’area, uno spazio o luogo informatico che un soggetto decide autonomamente di condividere o meno con altri; una persona è libera di predisporre le misure di sicurezza, oppure di non apporre alcuna barriera (o semplicemente di “abbassarle momentaneamente” per un uso specifico). Se tutto ciò è vero, il concetto di domicilio informatico come bene giuridico tutelato deve essere rivisto.
Il bene protetto nell’intrusione informatica non può essere (soltanto) ciò che intendiamo comunemente come “domicilio” definito inviolabile, protetto con l’art. 614 c.p. e poi tutelato costituzionalmente con l’art. 14 perché altrimenti non si spiega come mai la tutela è condizionata dalla presenza delle misure di sicurezza.
Il concetto di “domicilio” comunemente inteso, di cui al Titolo XII, Capo II, sezione IV, art. 614 cp è qualcosa di diverso tanto che la sua tutela non è limitata dal requisito delle protezioni o “misure di sicurezza”. In caso di intrusione informatica ritenere che il solo bene giuridico tutelato è il “domicilio informatico” può creare qualche problema interpretativo e applicativo, anche perché mal si concilia con le ipotesi aggravate del sistema informatico di interesse pubblico, di interesse militare o relativo all’ordine pubblico, alla sicurezza pubblica o alla sanità
In realtà il bene protetto dalla norma investe anche altri non trascurabili aspetti e viene da alcuni individuato nel grado di riservatezza o meglio, nella segretezza dei dati e dei programmi contenuti nel sistema e quindi non soltanto nel cd domicilio informatico.
Autorevole dottrina ritiene infatti che la fattispecie avrebbe, accanto ad una funzione incriminatrice primaria con riferimento all’indiscrezione informatica o telematica, anche una funzione secondaria e sussidiaria relativamente all’uso non autorizzato dell’altrui sistema. Ciò è così condivisibile che altrimenti non avrebbe coerenza il passo relativo alla protezione mediante < > ed al mantenimento contro la volontà di chi ha diritto ad escluderlo [3]. Dal dettato normativo emerge con chiarezza che la tutela penale non è generica né punisce indiscriminatamente ogni tipo di intrusione (vedi invece il testo elaborato dalla Commissione Nordico sul punto nel cd. ”elaborato Tanga”) rivolgendosi invece esclusivamente a quei dati, programmi e informazioni alla cui riservatezza il titolare del sistema ha mostrato interesse proprio predisponendo barriere di protezione. Molto opportunamente, parte della dottrina [4], ritiene che il requisito operi come criterio di selezione della tutela, circoscrivendola a quei dati o programmi “immagazzinati” in un elaboratore, rispetto ai quali il titolare ha dimostrato interesse alla riservatezza. Il requisito in esame assolve altresì ad una funzione di responsabilizzazione della vittima, potendo godere della tutela penale solo chi ha provveduto a dotare il proprio sistema di dispositivi di protezione. [5]
Non può pertanto accogliersi quell’orientamento giurisprudenziale che ritiene configurabile il reato di accesso abusivo anche in assenza di vere e proprie misure di sicurezza (logiche e/o fisiche) sull’apparecchio [6]. In sostanza, la giurisprudenza del 1997 (merito) e del 2000 (legittimità) ha ritenuto che il reato si può realizzare anche quando, in assenza del titolare, un soggetto supera strumenti esterni meramente organizzativi e diversi rispetto al sistema informatico ma tali a denotare la volontà del titolare di negare l’accesso agli estranei e, anche se il computer è privo di misure di sicurezza (sia logiche e sia fisiche), tale volontà sarebbe <<..implicita, ma intuibile…>>. Secondo questa tesi, a nulla rileverebbe l’assenza di misure di sicurezza, la condotta di un soggetto che si introduce è sempre illecita anche se il sistema non è dotato di strumenti di condivisione, in quanto è evidente che il dominus vuole escludere tutti quelli non autorizzati. Non sarebbe la presenza o meno delle misure di sicurezza che determina la configurabilità del reato bensì, secondo la sentenza del 2000, la situazione vista in un quadro generale.
Chi scrive, critica da tempo questo assunto della Suprema Corte e di qui a poco tenterà di spiegarlo con l’ausilio di una recente sentenza della Cassazione che finalmente rende giustizia ad una teoria da molti autori condivisa [7] ma scarsamente considerata dalla giurisprudenza.
Preliminarmente occorre fare una precisazione importante: la porta chiusa di un locale tutela il locale e non il computer, la volontà (anche tacita) di escludere dal sistema informatico deve essere “comprensibile” e chiaramente percepibile all’estraneo. E’ per questo e non per altro che devono essere presenti misure di sicurezza riconoscibili come tali e come tali istallate a protezione del sistema e non a protezione di altri beni. Lo ius escludendi alios non può ricavarsi da elementi fattuali o circostanziali o meglio da prassi e abitudini. Altrimenti la distorsione e l’allargamento dell’applicabilità della norma potrebbero portare a situazioni abnormi e paradossali come ad esempio da un lato la punibilità di colui che trova acceso il terminale in una stanza casualmente aperta e vi accede anche e solo in alcune parti di esso; e dall’altro, la non punibilità di un accesso abusivo in senso “informatico” attraverso la Rete da una delle tante porte seriali del PC non dotato di firewall. In quest’ultimo caso infatti non potrà certo addebitarsi all’hacker di non aver visto il cartello sulla porta.
La Corte di Cassazione recentemente si è pronunciata proprio sull’art. 615 ter c.p [8] in una ipotesi di intrusione abusiva nel sistema informatico/telematico di un Comune allo scopo di avere un collegamento alla rete Internet per finalità personali e senza essere abbonato. La sentenza ha stabilito che non è configurabile l’accesso abusivo quando il sistema informatico non risulta obiettivamente protetto da misure di sicurezza. La circostanza che l’imputato facesse un uso distorto del sistema informatico a fini illeciti e personali, non ha spostato i termini della questione, mancando il presupposto della “protezione“ speciale del sistema stesso. In realtà, i giudici di legittimità hanno affrontato anche un altro problema in quanto hanno annullato senza rinvio la sentenza impugnata assolvendo l’imputato perché il fatto non sussiste anche per il reato di frode informatica (art. 640 ter c.p.) in quanto non vi è stata alcuna alterazione del funzionamento del sistema informatico né alcuna manipolazione di dati, informazioni e programmi.
Questa sentenza è sicuramente tra le più importanti in materia se non altro perché riprende un orientamento giurisprudenziale che si temeva smarrito ma che in realtà iniziò con un'altra brillante sentenza, questa volta del Giudice per le indagini preliminari di Roma che nel 2000 si pronunciò in merito ad un accesso abusivo e assolse l’imputato, anche se risultò provata la sua introduzione nei sistemi informatici Rai del GR 1, perché questi elaboratori risultarono privi delle misure di sicurezza [9].
Risolta, si spera definitivamente, la vexata quaestio sulle misure di sicurezza, è importante soffermarsi brevemente sul concetto di introduzione e permanenza nel sistema per arrivare a comprendere meglio il bene o i diversi beni giuridici tutelati. L’importanza di una corretta comprensione della condotta di intrusione in un sistema informatico o telematico è fondamentale per evitare errori interpretativi e ipotesi paradossali (si vedano i non pochi casi di cronaca in cui si contesta l’accesso abusivo in occasione degli sblocchi dei videofonini cellulari) [10] con il reato di cui all’art. 615 ter cp contestato allo stesso proprietario del “telefonino” sul quale… egli stesso si sarebbe introdotto… (??).
La condotta tipica consiste, alternativamente, nell’introdursi abusivamente in un sistema protetto, ovvero nel permanervi contro la volontà espressa o tacita del titolare dello ius excludendi. Si ha introduzione in un sistema informatico o telematico protetto nel momento in cui si superano le “barriere”(logiche e/o fisiche) che presidiano l’accesso alla memoria interna del sistema. E’ a questo punto che l’agente entra in contatto con il sistema e viene a conoscenza dei dati e alle informazioni contenute nella memoria del sistema. Non è necessario che venga a conoscenza del contenuto dei dati o delle informazioni, di per sé questa condotta lede già il bene giuridico dell’interesse alla segretezza dei dati informatici, delle informazioni e dei programmi informatici ovvero quel bene della “riservatezza informatica” che, non da oggi, sta assumendo un ruolo autonomo, distinto e meritevole di tutela penale. Tra le altre cose questo bene giuridico è coerente con il requisito delle misure di sicurezza a cui sopra si faceva riferimento.
Da una corretta analisi della fattispecie e del bene tutelato si determina anche la natura del reato. Al di là di molte ipotesi avanzate dalla dottrina, non vi è dubbio che vi sono una pluralità di beni giudici e di interessi eterogenei riferibili alla norma in esame, dal diritto alla riservatezza informatica all’idea di domicilio informatico quale estensione del domicilio materiale e proiezione nel cyberspazio della persona [11].
Secondo parte della dottrina [12] il reato è di pericolo (astratto) e pertanto sarebbe configurabile ogni qual volta il bene giuridico viene posto in pericolo o vi è una semplice lesione potenziale del bene tutelato. In realtà tale lettura determina una anticipazione eccessiva della soglia di punibilità. Il delitto si configurerebbe anche li dove vi è una mera messa in pericolo del bene giuridico. Ciò potrebbe avvenire anche con condotte ben lontane dalla volontà di introdursi in un sistema informatico/telematico ma che solo potenzialmente potrebbero ledere il bene riservatezza informatica o il bene domicilio informatico. Secondo questa interpretazione, anche l’invio di un virus trojan, subito bloccato dal sistema telematico o non eseguito, determinerebbe in astratto la consumazione del reato avendo messo in pericolo il bene giuridico. Il tentativo (che è una forma di manifestazione meno grave del delitto consumato) non potrebbe configurarsi in quanto il reato tentato mal si concilia con i reati di pericolo nei quali gli atti idonei proprio in quanto tali determinano già una situazione pericolosa che fa scattare la consumazione del reato.
A ben vedere la fattispecie sembra invece meglio strutturata secondo lo schema del reato di danno [13] in quanto, proprio riferendoci ai sopra citati beni giuridici, l’intrusione determina una lesione effettiva della riservatezza informatica e del domicilio informatico e non una mera messa in pericolo. Il soggetto che si introduce si trova all’interno del sistema, è padrone dello stesso e ha già acquisito conoscenza dei dati ivi presenti e della loro tipologia: ha preso conoscenza di ciò che invece il soggetto titolare del bene voleva mantenere “riservato”, e non solo si trova in uno spazio informatico nel quale non è desiderato ma carpisce informazioni e dati che la vittima voleva mantenere per sè. Pertanto il soggetto, nel momento in cui supera le misure di sicurezza, ha già leso concretamente il bene giuridico (sia esso domicilio informatico, sia riservatezza dei dati) che con la predisposizione di quelle misure si volva tutelare: ciò qualifica l’accesso abusivo come reato di danno e non di pericolo. La natura di reato di danno rende configurabile anche la figura del tentativo nell’ipotesi sopra riportata del virus trojan inviato via email ma non eseguito oppure bloccato dall’antivirus; è di tutta evidenza che ciò appare più in linea con i principi di garanzia del diritto penale in quanto si puniscono meno severamente condotte sicuramente meno gravi come quelle tentate.
In poco più di dieci anni, condotte criminose che nel 1993 neppure erano ipotizzabili oggi fanno già parte della storia della Rete e sono considerate superate dalla tecnologia e dall’inventiva della criminalità informatica. Non si vuole qui chiudere un discorso che sappiamo bene potrebbe essere riaperto grazie alla inesauribile fantasia criminale, però ci auguriamo di aver messo un punto su recenti questioni che imponevano un chiarimento definitivo.
Stefano Aterno
Avvocato del Foro di Roma
(la riproduzione è riservata – 2005)
[2] Per una segnalazione non esaustiva della più attenta dottrina si veda e si consenta il rinvio a, S. ATERNO, Sull’accesso abusivo a un sistema informatico o telematico, in Cassazione penale, 2000, p. 2994 ss, in nota a Cass. 4 ottobre 1999, n. 3067, p. 2990; S. ATERNO, La Cassazione non convince in materia di intercettazioni telematiche, in Cassazione penale, 2005, p. 1582, in nota a Cass. 14 ottobre 2003, n. 44362, p. 1580; BORRUSO-BUONOMO – CORASANITI – D’AIETTI, Profili penali dell’informatica, Giuffrè, 1994; G. CORRIAS LUCENTE, Brevi note in tema di accesso abusivo e frode informatica: uno strumento per la tutela penale dei servizi, in Dir.inf., 2001, p. 492, ss; G. CORRIAS LUCENTE, Diritto penale e informatica, in Dir. Inf., 2003, p. 49; L. CUOMO, La tutela penale del sistema informatico, in Cassazione penale. 2000, p. 2998 ss; L. CUOMO – B. IZZI, Misure di sicurezza e accesso abusivo ad un sistema informatico o telematico, in Cassazione penale, 2002, 1018 ss; P. GALDIERI, L’introduzione contro la volontà del titolare fa scattare la responsabilità dell’hacker, in Guida Dir. , 2001, n. 8, p. 81; E. GIANNANTONIO, L’oggetto giuridico dei reati informatici, in Cassazione penale, 2001, 2244 ss; F. MANTOVANI, Diritto Penale, delitti contro la persona, I. ed. Cedam, 1995; D. MINOTTI, I reati commessi mediante Internet, in Internet. Nuovi problemi e questioni controverse (a cura di G. Cassano), Giuffrè, 2001; MUCCIARELLI, < >, in Digesto pen., Torino, 1989; MUCCIARELLI, Commento agli articoli1,2,4,10 della legge 23.12.1993 n. 547, Legislazione Penale, 1996, n. ½, 57 ss; PAGLIARO, Informatica e crimine organizzato, IP, 1990, 414 ss; PALOMBI, PICA, Diritto penale dell’economia e dell’impresa, I, Utet, 1996; L. PICOTTI, Studi di diritto penale dell’informatica, Verona, 1992;C. SARZANA, Note sul diritto penale dell'informatica , in Giust. Pen., 1984, I, 21;P. VENEZIANI, I beni giuridici tutelati dalle norme penali in materia di riservatezza informatica e disciplina dei dati personali, in Ind. Pen. 2000, p. 139 ss.
[3] F. MANTOVANI, Diritto Penale, delitti contro la persona, I. ed. Cedam, 1995, p. 451; si consenta il rinvio a Cass. 4 ottobre 1999, n. 3067, p. 2990 in Cassazione penale, 2000, con nota critica di S. ATERNO a p. 2994
[4] C. Pecorella, Il diritto penale dell’informatica, Cedam, 1996, p. 20.
[5] M. MANTOVANI, Brevi note a proposito della nuova legge sulla criminalità informatica, in CrD, 1994, p. 20
[6] Cass., sez. V, 7 novembre 2000, n. 12732, con questa sentenza la Corte ritiene che<<.. nel delitto di accesso abusivo ad un sistema informatico o telematico, la violazione dei dispositivi di protezione non assume rilevanza per sé, ma solo come eventuale manifestazione di una volontà contraria a quella di chi dispone legittimamente dal sistema; l’art. 615 ter cod. pen., infatti, punisce, al 1 comma, non solo che abusivamente si introduce in tali sistemi, ma anche chi vi si trattiene contro la volontà – esplicita o tacita- di colui che ha il diritto ad escluderlo>>. (massima ufficiale, C.E.D. 217743); si veda, per gli stessi fatti, Tribunale di Torino, 4 dicembre 1997, Dir. Inf., 1998, p. 354.
[10] L’autore si riferisce ai casi di sblocco delle protezioni dei video-telefonini, i quali, una volta rimosso il blocco che li vincola ad un gestore, consentono di videochiamare anche con altri gestori: in siffatti casi è notizia diffusa che la polizia giudiziaria e diverse Procure della Repubblica stiano, inspiegabilmente, contestando l’accesso abusivo a sistema informatico.
[11] Si consenta il rinvio a, Cass. 4 ottobre 1999, n. 3067, p. 2990, in Cassazione penale, 2000, con nota critica di S. ATERNO, p. 2997, nella quale già si evidenziavano questi concetti e soprattutto i limiti del domicilio informatico; L. CUOMO – B. IZZI, Misure di sicurezza e accesso abusivo ad un sistema informatico o telematico, in Cassazione penale, 2002, p. 1018 ss
[12] BUONOMO, Le responsabilità penali, in Tosi, I problemi giuridici di Internet, Giuffrè1999, p. 327
BORRUSO, La tutela del documento e dei dati, in AAVV., Profili penali dell’informatica, Giuffrè,1994, 28.
[13] F. MANTOVANI, Diritto Penale, delitti contro la persona, I. ed. Cedam, 1995, p. 451; si consenta il rinvio a Cass. 4 ottobre 1999, n. 3067, p. 2990 in Cassazione penale, 2000, con nota critica di S. ATERNO a p. 2996.
|