L’accesso abusivo al sistema informatico configura un reato di pericolo

 

(Rigetto del ricorso)

(Normativa di riferimento: art. 615-ter c.p.)

Il fatto

La vicenda sottoposta all’attenzione della Corte riguarda un sottufficiale della Guardia di Finanza che, per essersi abusivamente introdotto nel sistema informatico “Serpico” al fine di acquisire informazioni sulla situazione reddituale della moglie con cui aveva in corso una causa di separazione, viene condannato dal Tribunale di primo grado, per aver commesso il reato di cui all’art. 615-ter.

La condanna viene confermata in grado di appello.

Contro la suddetta sentenza, il difensore dell’imputato propone ricorso per  Cassazione, adducendo tre motivi di doglianza, di cui, i primi due hanno carattere squisitamente processuale, mentre il terzo attiene, nello specifico, al giudizio di responsabilità ex art. 615-ter c.p.

In particolare, il difensore dell’imputato contesta il mancato raggiungimento della prova del carattere abusivo dell’accesso, in quanto  non sarebbero stati accertati né i limiti né le condizioni dell’accesso imposti dal complesso delle disposizioni impartite dal titolare del sistema.

La decisione della Corte

La Corte di Cassazione rigetta tutte le doglianze manifestate dall’imputato e, con riferimento all’ultimo motivo di ricorso, conferma espressamente il superamento del precedente orientamento oggettivistico, affermando che “la giurisprudenza di questa Corte nella pronuncia a Sezioni Unite n. 41210 del 2017, ha ormai chiarito che ciò che effettivamente rileva ai fini della configurabilità del delitto di accesso abusivo ad un sistema informatico commesso da un pubblico ufficiale o da un incaricato di un pubblico servizio è che questi, pur essendo abilitato e pur non commettendo alcuna violazione delle prescrizioni impartitegli per delimitarne l’accesso, acceda o si mantenga nel sistema per ragioni ontologicamente estranee a quelle per cui la facoltà di accesso gli è stata attribuita ”.

Pertanto, indipendentemente dai limiti formali posti dall’amministratore, nel caso di specie, l’imputato si sarebbe introdotto nel sistema per ragioni ontologicamente diverse da quelle per cui il potere gli era stato conferito, commettendo il reato di cui all’art. 615-ter, II comma n 1 c.p.

L’inquadramento normativo

L’inquadramento normativo della fattispecie criminosa dell’ “accesso abusivo ad un sistema informatico o telematico” ha manifestato, sin dal suo inserimento nel codice penale,  non poche criticità interpretative.

I reati informatici (c.d. “computer crimes”) e i reati telematici rappresentano una delle forme di aggressione più frequenti nell’attuale ambiente sociale.

Quanto maggiore è il grado di evoluzione della tecnologica e delle reti informatiche, tanto più si assiste a un incremento del potere e della libertà di ogni singolo individuo nell’utilizzo di tali strumenti,  causando non pochi problemi in materia di tutela della  riservatezza.

Il nostro ordinamento ha assistito a una vorticosa crescita dei delitti informatici e telematici sin dai primi anni ’90.

Per colmare i vuoti di tutela, sulla base delle Raccomandazioni in materia di criminalità informatica dettate dal Consiglio d’Europa, con la Legge n. 547 del 1993, sono state introdotte una serie di nuove figure di reato che, avendo trovato una varia collocazione sistematica nel codice penale, vengono spesso raggruppate in base al ruolo che, all’interno di ciascuna di esse, viene assunto dal sistema informatico o telematico.

La fattispecie di cui all’art. 615-ter c.p., che trova riconoscimento nell’ampia categoria dei “delitti contro la persona” e, in particolare, nella sezione dedicata ai “delitti contro l’inviolabilità del domicilio”, si caratterizza in quanto il sistema informatico o telematico costituisce l’oggetto materiale della condotta, ovvero la “cosa” sulla quale ricade l’azione del reo e, per tale ragione, viene qualificata, insieme alle ipotesi criminose delineate nei successivi artt. 615-quater e 615-quinquies, come reato commesso “contro” i sistemi informatici o telematici. [1]

La collocazione sistematica della norma ha condotto la giurisprudenza di legittimità ad inquadrare il bene giuridico oggetto di tutela nel cosiddetto “domicilio informatico”, affermando che  “con la previsione dell’art. 615-ter c.p. il legislatore ha assicurato la protezione del domicilio informatico quale spazio ideale in cui sono contenuti i dati informatici di pertinenza della persona, ad esso estendendo la tutela della riservatezza della sfera individuale, quale bene costituzionalmente protetto”.

L’ambiente informatico o telematico che contiene dati personali che devono rimanere riservati e conservati al riparo da ingerenze e intrusioni altrui rappresenta un luogo inviolabile, delimitato da confini virtuali, paragonabile allo spazio privato in cui si svolgono le attività domestiche.  L’inviolabilità del domicilio viene quindi intesa come inviolabilità del luogo, anche virtuale, in cui l’individuo esplica liberamente la sua personalità in tutte le sue dimensioni e manifestazioni. (Cass. Pen. SS. UU. n. 17325 del 26 marzo 2015).

Secondo la più autorevole dottrina, la formulazione dell’art. 615-ter è diretta a perseguire l’indiscrezione informatica e telematica e si incentra non tanto sulla condotta del “prendere cognizione”, ma su quella dell’introdursi nel sistema informatico o telematico (“introduzione-indiscrezione”), ovvero nel rimanere al suo interno continuando a servirsene nonostante l’intervenuto divieto del titolare dello ius excludendi. [2]

La tutela della riservatezza informatica risiede, quindi, nella necessità di proteggere lo ius excludendi di ciascun soggetto titolare del sistema informatico o telematico, dalla propria sfera personale proiettata nella sua manifestazione virtuale.

L’interpretazione della norma

Individuato il bene giuridico oggetto di tutela, l’interpretazione della norma è stata, per lungo tempo, oggetto di un’ importante oscillazione giurisprudenziale, con specifico riferimento alla portata, più o meno ampia, della condotta di accesso abusivo assunta da parte di un pubblico ufficiale o di un incaricato di un pubblico servizio.

Sin dal 2011, infatti, l’oggetto della questione di diritto sottoposta all’attenzione della Corte, ha riguardato la possibilità che tale fattispecie criminosa venisse integrata da parte non soltanto del soggetto che si fosse introdotto abusivamente (quindi senza alcun titolo di legittimazione) nel sistema informatico o telematico protetto ma anche di colui che, pur essendo abilitato, si fosse mantenuto al suo interno per scopi o finalità estranei o diversi rispetto a quelli per cui la facoltà di accesso gli era stata attribuita.

La delimitazione dei confini di applicazione della norma assumeva particolare importanza in considerazione non solo della rilevanza del bene giuridico oggetto di tutela, ma anche degli obblighi di fedeltà, nonché dei principi pubblicistici fondamentali   cui l’attività di un pubblico ufficiale o di un incaricato di un pubblico servizio deve essere diretta.

Inizialmente, la giurisprudenza aveva cercato di dirimere la questione, inquadrando la condotta nell’ambito di una configurazione “oggettiva”. Si era quindi affermato che la condotta criminosa non avrebbe dovuto riguardare le finalità perseguite da colui che accede o si mantiene nel sistema. Ciò significa che la violazione dello ius exscludendi del titolare del sistema avrebbe dovuto essere verificata soltanto con riferimento al risultato immediato della condotta e non a fatti successivi ( che potrebbero, eventualmente, essere ricondotti ad altre diverse ipotesi criminose).

Ciò che assumeva rilievo era, quindi, il profilo oggettivo dell’accesso e del trattenimento nel sistema da parte di un soggetto non legittimato o che avesse violato le prescrizioni impartitegli dal titolare. ( Cass. Pen. SS. UU. n.4694 del 27 ottobre 2011)

Tuttavia, i giudici di legittimità hanno preso atto delle diverse posizioni assunte dalla giurisprudenza successiva al principio di diritto sopra enunciato e della conseguente necessità di apportare alcune precisazioni in chiave estensiva con riferimento alla condotta del pubblico ufficiale o dell’incaricato di un pubblico servizio che si traduca in un abuso o in uno sviamento del potere conferitogli.

Pertanto, alla luce delle regole di imparzialità e trasparenza enunciate dall’art. 1 della legge 241 del 1990, le Sezioni Unite della Corte di Cassazione  – con la  sentenza Savarese, n. 41210 del 2017 – hanno prodotto un revirement giurisprudenziale, abbracciando quella tesi soggettivistica che sembrava essere stata superata con il predetto arresto del 2011.

Conclusioni

Riportando alla luce il vecchio orientamento soggettivo, la Corte di Cassazione ha sostanzialmente ricondotto nell’ambito applicativo della norma, l’accesso e la permanenza che si rivelino “teleologicamente incongrui”, affermando che integra il delitto di cui all’art. 615-ter II comma n. 1 c.p., la condotta del pubblico ufficiale o dell’incaricato di un pubblico servizio che, pur essendo abilitato o pur non violando le prescrizioni formali imposte dal titolare del sistema, tuttavia vi acceda o vi si mantenga per ragioni ontologicamente diverse o estranee rispetto a quelle per cui tale facoltà gli è stata attribuita.

Attraverso questo orientamento, si è inteso dare avvio ad un’interpretazione  giurisprudenziale unitaria, dando rilievo alle condotte di accesso o di permanenza in un sistema protetto che rappresentino uno sviamento di potere, in violazione dei doveri di fedeltà volti a guidare l’azione del soggetto agente.

Il corso delle pronunce di legittimità successive alla sentenza Savarese, sembra che stia proseguendo secondo questa linea interpretativa, trovando una conferma decisiva ed efficace nella pronuncia oggetto d’esame, con la quale la Corte di Cassazione cristallizza la tesi soggettivistica, dando esplicito rilievo, ai fini della configurazione del reato di cui all’art. 615-ter c.p., alle ragioni “ontologicamente diverse” da quelle per le quali l’imputato aveva ottenuto il potere di introdursi all’interno del sistema informatico.  E ciò, a prescindere dalle prescrizioni formali impartite dall’amministratore del sistema stesso.

Ma la Corte non si limita a consolidare il predetto orientamento, in quanto afferma altrettanto espressamente che, trattandosi di un reato di pericolo,  “lo scopo della norma è quello di inibire l’ingresso abusivo nel sistema informatico quale ingresso che non sia sorretto da ragioni collegate dal servizio (pubblico o privato) svolto”.

Ne deriva che il reato si perfeziona ogniqualvolta l’ingresso abusivo riguardi un sistema informatico in cui sono contenute notizie riservate, indipendentemente dal tipo di notizia appresa.

Viene, quindi, messa in evidenza l’anticipazione della tutela offerta al bene giuridico oggetto di protezione, in quanto, ai fini della configurazione del reato, ciò che effettivamente rileva è la condotta di “introduzione nel sistema”, ovvero la violazione del domicilio informatico, a prescindere dalla effettiva lesione del diritto alla riservatezza dei dati.

Ciò che ne può derivare è l’eventuale inammissibilità di un’ipotesi “tentata” di accesso abusivo al sistema informatico. Infatti trattandosi di un reato di pericolo, l’applicazione della disciplina di cui all’art. 56 c.p. potrebbe comportare la repressione del “pericolo di un pericolo”, determinando una eccessiva anticipazione della tutela che rischierebbe di entrare in contrasto con il principio di offensività.

Volume consigliato

 

 

 

 

 

 

 

 

 

[1] F. Mantovani, Diritto Penale parte speciale 1, “delitti contro la persona” CEDAM 2008

[2] F. Mantovani, Diritto Penale parte speciale 1, “delitti contro la persona” CEDAM 2008

Sentenza collegata

66768-1.pdf 567kB

Iscriviti alla newsletter per poter scaricare gli allegati

Grazie per esserti iscritto alla newsletter. Ora puoi scaricare il tuo contenuto.

Rossana Talarico

Scrivi un commento

Accedi per poter inserire un commento