Quando ricorre il reato di accesso abusivo ad un sistema informatico?

Tra i reati più ricorrenti in ambito informatico vi è quello di accesso abusivo ad un sistema informatico. Tale condotta, introdotta con la legge n. 547/93, prevede la punibilità di chiunque abusivamente si introduca in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantenga contro la volontà espressa o tacita di chi ha il diritto di escluderlo (pena della reclusione fino a tre anni).

La pena è aggravata (da uno a cinque anni) nei seguenti casi: se il fatto è commesso da un pubblico ufficiale o da un incaricato di un pubblico servizio, con abuso dei poteri o con violazione dei doveri inerenti alla sua funzione o al servizio, o da chi esercita anche abusivamente la professione di investigatore privato, o con abuso della qualità di operatore del sistema; se il colpevole per commettere il fatto usa violenza sulle cose o alle persone ovvero se è palesemente armato; se dal fatto deriva la distruzione o il danneggiamento del sistema o l’interruzione totale o parziale del suo funzionamento, ovvero la distruzione o il danneggiamento dei dati, delle informazioni o dei programmi in esso contenuti. Se poi l’accesso riguardi sistemi informatici o telematici di interesse militare o relativi all’ordine pubblico o alla sicurezza pubblica o alla sanità o alla protezione civile o comunque di interesse pubblico, la pena è rispettivamente della reclusione da uno a cinque anni e da tre a otto anni.

Ma cosa intende il legislatore per “introduzione abusiva in un sistema?”.L’accesso può dirsi abusivo qualora sia attuato in contrasto con la normale fruizione dei diritti o con l’esercizio di facoltà da parte dell’agente. Quindi non sempre chi accede ad un sistema informatico è penalmente perseguibile: ad esempio, un semplice errore nell’accesso ad un file, non integra la fattispecie in esame, in quanto è prevista dal nostro codice penale l’esclusione della punibilità qualora vi sia errore sul fatto che costituisce il reato. Secondo taluni, comunque, per accesso deve intendersi non solo il semplice collegamento fisico (come può essere l’avvio dello schermo) ma primariamente il cosiddetto “collegamento logico” (si pensi all’accesso a distanza) ovvero il superamento della barriera di protezione al sistema, così che risulti possibile una interazione con lo stesso, qualunque essa sia. Il legislatore cita nella norma in esame (ovvero art. 615 ter codice penale) due condotte illecite distinte consistenti nell’accesso e nel mantenimento all’interno di un sistema informatico. Tale distinzione deriva dal fatto che potremmo essere autorizzati ad entrare in un sistema, ad esempio per scrivere alcuni dati, ma potremmo anche, successivamente al compimento dell’attività per la quale siamo stati autorizzati, mantenerci indebitamente all’interno del computer compiendo attività per le quali non siamo stati esplicitamente o implicitamente autorizzati. Secondo una recente interpretazione della norma in esame, è da ritenersi insussistente il reato in oggetto qualora il titolare del sistema non abbia adottato idonee forme di protezione del sistema. Particolarmente discussa in tal senso, una pronuncia del GIP presso il Tribunale di Roma datata 2000. Chiamato a sentenziare su di un fatto secondo cui l’imputato si sarebbe reso colpevole del reato di cui all’art. 615 ter c.p., perché introdottosi nel sito telematico della RAI sostituendo un file audio contenete il Radio Giornale, con uno proprio con oggetto critiche alla Microsoft, il GIP assolveva l’imputato per non luogo a procedere, in quanto, partendo dalla premessa che l’esistenza di mezzi efficaci di protezione è elemento costitutivo della fattispecie di cui all’art. 615 ter c.p., riteneva non potersi configurare detto reato non essendo state riscontrate misure di sicurezza idonee a proteggere il sistema della RAI.

Considerazioni a parte merita la delicata figura dell’operatore di sistema, il quale accedendo ordinariamente al sistema per lo svolgimento delle proprie funzioni, può rischiare una imputazione per accesso abusivo qualora si trattenga o visioni dati non pertinenti alle proprie mansioni o per scopi diversi rispetto a quelli per i quali ha avuto accesso. La Corte di Cassazione ha difatti più volte ribadito che l’operatore di sistema, autorizzato all’accesso per una determinata finalità, è perseguibile penalmente qualora utilizzi il titolo di legittimazione per una finalità differente rispetto a quella cui l’accesso era subordinato. In definitiva, la punibilità dell’accesso abusivo ad un sistema informatico altro non è che una forma di tutela di quello che può essere definito il domicilio informatico, ovvero uno spazio ideale o fisico (si pensi materialmente ai componenti) di pertinenza di una persona, la quale ha diritto – come per la sera individuale – di veder tutelato anche lo spazio informatico.