Reati informatici e tutela del domicilio virtuale.

Nella Sezione IV del Capo III del codice penale, dedicato ai delitti contro la libertà individuale, sono contenute le fattispecie di reato inerenti l’inviolabilità del domicilio. In questa Sezione, la l. n. 547/1993 ha introdotto specifiche norme finalizzate alla tutela dei sistemi informatici o telematici da condotte delittuose realizzate attraverso l’utilizzo di strumenti informatici.

Il legislatore ha dunque equiparato il “sistema informatico o telematico”, cioè quel complesso di apparecchiature che utilizzano tecnologie informatiche per la raccolta e la elaborazione di dati al fine di produrre informazioni, al domicilio, estendendo così a questo spazio virtuale la tutela prevista per la sfera individuale. Le fattispecie previste in questo capo tutelano il bene giuridico della riservatezza attraverso la sanzione di condotte anche solo potenzialmente lesive (reati c.d. di pericolo) per la sicurezza e la inviolabilità del sistema informatico.

Art. 615-ter c.p. “Accesso abusivo ad un sistema informatico o telematico”

Chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo, è punito con la reclusione fino a tre anni.

La pena è della reclusione da uno a cinque anni:

1) se il fatto è commesso da un pubblico ufficiale o da un incaricato di un pubblico servizio, con abuso dei poteri o con violazione dei doveri inerenti alla funzione o al servizio, o da chi esercita anche abusivamente la professione di investigatore privato, o con abuso della qualità di operatore del sistema;

2) se il colpevole per commettere il fatto usa violenza sulle cose o alle persone, ovvero se è palesemente armato;

3) se dal fatto deriva la distruzione o il danneggiamento del sistema o l’interruzione totale o parziale del suo funzionamento, ovvero la distruzione o il danneggiamento dei dati, delle informazioni o dei programmi in esso contenuti.

Qualora i fatti di cui ai commi primo e secondo riguardino sistemi informatici o telematici di interesse militare o relativi all’ordine pubblico o alla sicurezza pubblica o alla sanità o alla protezione civile o comunque di interesse pubblico, la pena è, rispettivamente, della reclusione da uno a cinque anni e da tre a otto anni.

Nel caso previsto dal primo comma il delitto è punibile a querela della persona offesa; negli altri casi si procede d’ufficio.

Elemento oggettivo: la norma sanziona la condotta di chi si introduce in un sistema informatico protetto o chi vi permane contro la volontà di colui che abbia il diritto di escluderlo. Elemento caratterizzante della fattispecie, quindi, è che l’accesso sia realizzato abusivamente o fraudolentemente, cioè aggirando le misure di sicurezza (informatiche o materiali) del sistema o il divieto espresso o tacito del titolare dello ius excludendi. Non rileva ai fini della punibilità che il sistema o i dati in esso contenuti siano stati danneggiati, ma tali ipotesi comportano l’aggravamento della pena.

Elemento soggettivo: ai fini della configurazione del reato è richiesto il dolo generico, cioè la coscienza e volontà di entrare nel sistema informatico protetto o permanervi contro il consenso di chi può escluderlo e la consapevolezza che tale condotta sia abusiva. Non rilevano i fini che abbiano portato ad accedere al sistema.

Quadro giurisprudenziale di riferimento:

Cassazione penale, sez. un., 18/05/2017, n. 41210.

Integra il delitto previsto dall’art. 615 ter, comma 2, n. 1, c.p. la condotta del pubblico ufficiale o dell’incaricato di un pubblico servizio che, pur essendo abilitato e pur non violando le prescrizioni formali impartite dal titolare di un sistema informatico o telematico protetto per delimitarne l’accesso, acceda o si mantenga nel sistema per ragioni ontologicamente estranee rispetto a quelle per le quali la facoltà di accesso gli è attribuita. (Nella specie, la S.C. ha ritenuto immune da censure la condanna di un funzionario di cancelleria, il quale, sebbene legittimato ad accedere al Registro informatizzato delle notizie di reato – c.d. Re.Ge. – conformemente alle disposizioni organizzative della Procura della Repubblica presso cui prestava servizio, aveva preso visione dei dati relativi ad un procedimento penale per ragioni estranee allo svolgimento delle proprie funzioni, in tal modo realizzando un’ipotesi di sviamento di potere).

Cassazione penale, sez. II, 09/02/2017, n. 10060.

Nel phishing (truffa informatica effettuata inviando una email con il logo contraffatto di un istituto di credito o di una società di commercio elettronico, in cui si invita il destinatario a fornire dati riservati quali numero di carta di credito, password di accesso al servizio di home banking, motivando tale richiesta con ragioni di ordine tecnico), accanto alla figura dell’hacker (esperto informatico) che si procura i dati, assume rilievo quella collaboratore prestaconto che mette a disposizione un conto corrente per accreditare le somme, ai fini della destinazione finale di tali somme. A tal riguardo, il comportamento di tale soggetto è punibile a titolo di riciclaggio ex art. 648 bis c.p., e non a titolo di concorso nei reati con cui si è sostanziato il phishing (art. 615 ter e 640 ter c.p.), giacché la relativa condotta interviene, successivamente, con il compimento di operazioni volte a ostacolare la provenienza delittuosa delle somme depositate sul conto corrente e successivamente utilizzate per prelievi di contanti, ricariche di carte di credito o ricariche telefoniche.

Cassazione penale, sez. V, 05/12/2016, n. 11994.

Integra il delitto previsto dall’art. 615 ter c.p., la condotta del collaboratore di uno studio legale — cui sia affidata esclusivamente la gestione di un numero circoscritto di clienti — il quale, pur essendo in possesso delle credenziali d’accesso, si introduca o rimanga all’interno di un sistema protetto violando le condizioni e i limiti impostigli dal titolare dello studio, provvedendo a copiare e a duplicare, trasferendoli su altri supporti informatici, i files riguardanti l’intera clientela dello studio professionale e, pertanto, esulanti dalla competenza attribuitagli.

Cassazione penale, sez. V, 26/10/2016, n. 14546.

Ai fini della configurabilità del delitto di cui all’art. 615 ter c.p., da parte colui che, pur essendo abilitato, acceda o si mantenga in un sistema informatico o telematico protetto, violando le condizioni e i limiti risultanti dal complesso delle prescrizioni impartite dal titolare del sistema per delimitarne oggettivamente l’accesso, è necessario verificare se il soggetto, ove normalmente abilitato ad accedere nel sistema, vi si sia introdotto o mantenuto appunto rispettando o meno le prescrizioni costituenti il presupposto legittimante la sua attività, giacché il dominus può apprestare le regole che ritenga più opportune per disciplinare l’accesso e le conseguenti modalità operative, potendo rientrare tra tali regole, ad esempio, anche il divieto di mantenersi all’interno del sistema copiando un file o inviandolo a mezzo di posta elettronica, incombenza questa che non si esaurisce nella mera pressione di un tasto ma è piuttosto caratterizzata da una apprezzabile dimensione cronologica.

Cassazione penale, sez. V, 28/10/2015, n. 13057.

Integra il reato di cui all’art. 615-ter c.p. la condotta di colui che accede abusivamente all’altrui casella di posta elettronica trattandosi di uno spazio di memoria, protetto da una password personalizzata, di un sistema informatico destinato alla memorizzazione di messaggi, o di informazioni di altra natura, nell’esclusiva disponibilità del suo titolare, identificato da un account registrato presso il provider del servizio. (In motivazione la Corte di cassazione ha precisato che anche nell’ambito del sistema informatico pubblico, la casella di posta elettronica del dipendente, purché protetta da una password personalizzata, rappresenta il suo domicilio informatico sicché è illecito l’accesso alla stessa da parte di chiunque, ivi compreso il superiore gerarchico).

Cassazione penale, sez. I, 23/07/2015, n. 36338.

In tema di accesso abusivo ad un sistema informatico o telematico, il luogo di consumazione del delitto di cui all’art. 615-ter c.p. coincide con quello in cui si trova l’utente che, tramite elaboratore elettronico o altro dispositivo per il trattamento automatico dei dati, digitando la « parola chiave » o altrimenti eseguendo la procedura di autenticazione, supera le misure di sicurezza apposte dal titolare per selezionare gli accessi e per tutelare la banca dati memorizzata all’interno del sistema centrale ovvero vi si mantiene eccedendo i limiti dell’autorizzazione ricevuta.

Cassazione penale, sez. V, 11/03/2015, n. 32666.

Integra la fattispecie criminosa di accesso abusivo ad un sistema informatico o telematico protetto, prevista dall’art. 615 ter, c.p. la condotta di accesso o mantenimento nel sistema posta in essere da un soggetto, che pur essendo abilitato, violi le condizioni ed i limiti risultanti dal complesso delle prescrizioni impartite dal titolare del sistema per delimitare oggettivamente l’accesso. Non hanno rilievo, invece, per la configurazione del reato, gli scopi e le finalità che soggettivamente hanno motivato l’ingresso nel sistema.

Cassazione penale, sez. V, 18/12/2014, n. 10121.

In tema di accesso abusivo ad un sistema informatico o telematico, la circostanza aggravante prevista dall’art. 615 ter, comma 3, c.p., per essere il sistema violato di interesse pubblico, è configurabile anche quando lo stesso appartiene ad un soggetto privato cui è riconosciuta la qualità di concessionario di pubblico servizio, seppur limitatamente all’attività di rilievo pubblicistico che il soggetto svolge, quale organo indiretto della p.a., per il soddisfacimento di bisogni generali della collettività, e non anche per l’attività imprenditoriale esercitata, per la quale, invece, il concessionario resta un soggetto privato. (Fattispecie in cui la Corte ha annullato con rinvio l’ordinanza cautelare che aveva ritenuto sussistente la circostanza aggravante in questione in relazione alla condotta di introduzione nella “rete” del sistema bancomat di un istituto di credito privato).

Cassazione penale, sez. V, 31/10/2014, n. 10083.

Nel caso in cui l’agente sia in possesso delle credenziali per accedere al sistema informatico, occorre verificare se la condotta sia agita in violazione delle condizioni e dei limiti risultanti dal complesso delle prescrizioni impartite dal titolare dello jus excludendi per delimitare oggettivamente l’accesso, essendo irrilevanti, per la configurabilità del reato di cui all’art. 615 ter c.p., gli scopi e le finalità soggettivamente perseguiti dall’agente così come l’impiego successivo dei dati eventualmente ottenuti.

Cassazione penale, sez. V, 30/09/2014, n. 47105.

In tema di accesso abusivo ad un sistema informatico o telematica (art. 615 ter c.p.), dovendosi ritenere realizzato il reato pur quando l’accesso avvenga ad opera di soggetto legittimato, il quale però agisca in violazione delle condizioni e dei limiti risultanti dal complesso delle prescrizioni impartite dal titolare del sistema (come, in particolare, nel caso in cui vengano poste in essere operazioni di natura antologicamente diversa da quelle di cui il soggetto è incaricato ed in relazione alle quali l’accesso gli è stato consentito), deve ritenersi che sussista tale condizione qualora risulti che l’agente sia entrato e si sia trattenuto nel sistema informatico per duplicare indebitamente informazioni commerciali riservate; e ciò a prescindere dall’ulteriore scopo costituito dalla successiva cessione di tali informazioni ad una ditta concorrente.

Cassazione penale, sez. VI, 11/07/2014, n. 37240

Integra il reato di accesso abusivo ad un sistema informatico o telematico (ex art. 615-ter c.p.) il pubblico ufficiale che, pur avendo titolo e formale legittimazione per accedere al sistema, vi si introduca su altrui istigazione criminosa nel contesto di un accordo di corruzione propria; in tal caso, l’accesso del pubblico ufficiale – che, in seno ad un reato plurisoggettivo finalizzato alla commissione di atti contrari ai doveri d’ufficio (ex art. 319 c.p.), diventi la “longa manus” del promotore del disegno delittuoso – è in sé “abusivo” e integrativo della fattispecie incriminatrice sopra indicata, in quanto effettuato al di fuori dei compiti d’ufficio e preordinato all’adempimento dell’illecito accordo con il terzo, indipendentemente dalla permanenza nel sistema contro la volontà di chi ha il diritto di escluderlo (nella specie, l’imputato, addetto alla segreteria di una facoltà universitaria, dietro il pagamento di un corrispettivo in denaro, aveva registrato 19 materie in favore di uno studente, senza che questo ne avesse mai sostenuto gli esami).

Art. 615-quater c.p. “Detenzione e diffusione abusiva di codici di accesso a sistemi informatici e telematici”

Chiunque, al fine di procurare a sé o ad altri un profitto o di arrecare ad altri un danno, abusivamente si procura, riproduce, diffonde, comunica o consegna codici, parole chiave o altri mezzi idonei all’accesso ad un sistema informatico o telematico, protetto da misure di sicurezza, o comunque fornisce indicazioni o istruzioni idonee al predetto scopo, è punito con la reclusione sino a un anno e con la multa sino a 5.174 euro.

La pena è della reclusione da uno a due anni e della multa da 5.174 euro a 10.329 euro se ricorre taluna delle circostanze di cui ai numeri 1) e 2) del quarto comma dell’articolo 617-quater.

Elemento oggettivo: la fattispecie sanziona la condotta di chiunque si procuri o metta abusivamente in circolazione i codici di accesso (c.d. password) a sistemi informatici e telematici protetti.

Elemento soggettivo: il dolo richiesto è specifico, infatti la condotta deve essere orientata a procurare un profitto per sé o altri, oppure finalizzata a procurare un danno.

quadro giurisprudenziale di riferimento:

Cassazione penale, sez. II, 03/10/2013, n. 47021.

Integra il reato di detenzione e diffusione abusiva di codici di accesso a servizi informatici e telematici (art. 615 quater c.p.) e non quello di ricettazione la condotta di chi riceve i codici di carte di credito abusivamente scaricati dal sistema informatico, ad opera di terzi e li inserisce in carte di credito clonate poi utilizzate per il prelievo di denaro contante attraverso il sistema bancomat.

Cassazione penale, sez. VI, 16/07/2009, n. 35930.

Integra il reato di cui all’art. 648 c.p. la condotta di chi riceve, al fine di procurare a sè o ad altri un profitto, carte di credito o di pagamento, ovvero qualsiasi altro documento analogo che abiliti al prelievo di denaro contante o all’acquisto di beni o alla prestazione di servizi, provenienti da delitto, mentre devono ricondursi alla previsione incriminatrice di cui all’art. 12 del d.l. 3 maggio 1991 n. 143, conv. nella l. 5 luglio 1991 n. 197, che sanziona, con formula generica, la ricezione dei predetti documenti “di provenienza illecita”, le condotte acquisitive degli stessi, nell’ipotesi in cui la loro provenienza non sia ricollegabile a un delitto, bensì ad un illecito civile, amministrativo o anche penale, ma di natura contravvenzionale. (Fattispecie relativa all’acquisto di carte di credito contraffatte, in cui la S.C. ha ritenuto configurabile il delitto di ricettazione).

Cassazione penale, sez. II, 17/12/2004, n. 5688.

Integra il reato di detenzione e diffusione abusiva di codici di accesso a servizi informatici o telematici di cui all’art. 615 quater c.p., la condotta di colui che si procuri abusivamente il numero seriale di un apparecchio telefonico cellulare appartenente ad altro soggetto, poiché attraverso la corrispondente modifica del codice di un ulteriore apparecchio (cosiddetta clonazione) è possibile realizzare una illecita connessione alla rete di telefonia mobile, che costituisce un sistema telematico protetto, anche con riferimento alle banche concernenti i dati esteriori delle comunicazioni, gestite mediante tecnologie informatiche. Ne consegue che l’acquisto consapevole a fini di profitto di un telefono cellulare predisposto per l’accesso alla rete di telefonia mediante i codici di altro utente («clonato») configura il delitto di ricettazione, di cui costituisce reato presupposto quello ex art. 615 quater c.p.

Cassazione penale, sez. V, 14/10/2003, n. 44362.

Nella condotta del titolare di esercizio commerciale il quale, d’intesa con il possessore di una carta di credito contraffatta, utilizza tale documento mediante il terminale Pos in dotazione, sono ravvisabili sia il reato di cui all’art. 615 ter (accesso abusivo ad un sistema informatico o telematico) sia quello di cui all’art. 617 quater c.p, (intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche): il primo perché l’uso di una chiave contraffatta rende abusivo l’accesso al Pos; il secondo perché, con l’uso di una carta di credito contraffatta, si genera un flusso di informazioni relativo alla posizione del vero titolare di essa diretto all’addebito sul suo conto della spesa fittiziamente effettuata, per cui vi è fraudolenta intercettazione di comunicazioni.

Cassazione penale, sez. II, 17/01/2003, n. 3628.

Integra il reato di detenzione e diffusione abusiva di codici di accesso a servizi informatici o telematici (art. 615 quater c.p.), la condotta di colui che si procuri abusivamente il numero seriale di un apparecchio telefonico cellulare appartenente ad altro soggetto, poiché attraverso la corrispondente modifica del codice di un ulteriore apparecchio (c.d. clonazione) è possibile realizzare una illecita connessione alla rete di telefonia mobile, che costituisce un sistema telematico protetto, anche con riferimento alle banche concernenti i dati esteriori delle comunicazioni, gestite mediante tecnologie informatiche. Ne consegue che l’acquisto consapevole a fini di profitto di un telefono cellulare predisposto per l’accesso alla rete di telefonia mediante i codici di altro utente (“clonato”) integra il delitto di ricettazione (art. 648 c.p.), di cui costituisce reato presupposto quello ex art. 615 quater c.p.

Art. 615-quinquies c.p. “Diffusione di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico”

Chiunque, allo scopo di danneggiare illecitamente un sistema informatico o telematico, le informazioni, i dati o i programmi in esso contenuti o ad esso pertinenti ovvero di favorire l’interruzione, totale o parziale, o l’alterazione del suo funzionamento, si procura, produce, riproduce, importa, diffonde, comunica, consegna o, comunque, mette a disposizione di altri apparecchiature, dispositivi o programmi informatici, è punito con la reclusione fino a due anni e con la multa sino a euro 10.329.

Elemento oggettivo: con tale fattispecie, modificata dalla l.n. 48/2008 che ha ratificato la Convenzione di Budapest sulla criminalità informatica, il legislatore ha inteso reprimere la diffusione di virus informatici capaci di danneggiare un sistema informatico o telematico o capaci di interromperne il funzionamento.

Elemento soggettivo: la disposizione richiede il dolo specifico, cioè la coscienza e volontà della condotta finalizzata al danneggiamento.