Accesso abusivo al sistema informatico: per la cassazione è sufficiente la prova dell’IP per individuare l’autore del reato.

Con la sentenza n. 20485/2018, la Cassazione è tornata a pronunciarsi in materia di reati informatici, con riferimento al delitto di accesso abusivo a sistema informatico.

La fattispecie oggetto dello scrutinio di legittimità riguardava la condotta di introduzione abusiva nei profili Facebook delle persone offese.

Il problema tecnico-giuridico oggetto di ricorso devoluto al giudizio della Suprema Corte e che, più in generale, interessa tutti i reati consumati attraverso l’utilizzo di strumenti informatici o telematici, riguarda essenzialmente l’identificazione, al di là di ogni ragionevole dubbio, del soggetto al quale siano riconducibili le condotte abusive commesse mediante l’uso di strumenti o apparati elettronici.

Secondo la Cassazione, una volta individuato l’IP a cui è associato l’utente fruitore del servizio offerto dagli operatori di mercato, è di fatto rimesso alla difesa del giudicabile l’onere di provare la non riconducibilità della condotta illecita contestata al proprio assistito per superare la prova indiziaria grave, precisa e concordante acquisita nei confronti dell’imputato.

Di seguito, si riporta il passaggio motivazionale più interessante in tema di identificazione dell’autore del reato:

Osserva, sul punto, il Collegio come sia ormai patrimonio acquisito che la prova dell’utilizzazione di un sistema telematico possa essere ricondotta, mediante specifici accertamenti tecnici, ad una sorta di ‘mappatura genetica digitale’ che può consentire l’identificazione certa dell’operatore che abbia effettuato connessioni attraverso un dispositivo connesso alla rete attraverso l’indirizzo IP. Al medesimo risultato probatorio può, tuttavia, pervenirsi attraverso elementi dimostrativi diversi dall’accertamento tecnico, purché rispondenti allo standard declinato dall’art. 192, comma II, cod. pro. pen..

(…) La sentenza impugnata evidenzia da un lato come l’imputato, nel richiedere la definizione del procedimento nelle forme del giudizio abbreviato, non abbia condizionato l’istanza ad accertamenti finalizzati all’analisi dei reperti informatici, ammettendo comunque il giudice di primo grado – su richiesta del pubblico ministero a prova contraria sulle produzioni documentali della difesa – l’esame del consulente tecnico; dall’altro, come gli elementi indiziari, complessivamente apprezzati, abbiano condotto alla attribuzione della illecita condotta all’imputato in quanto esclusivo usuario del personal computer collegato all’indirizzo IP, alla luce delle dichiarazioni dell’intestatario dell’utenza, congiunto convivente dell’imputato, e dello stesso (omissis). Né risulta – in un quadro di protezione debole dei sistemi violati evidenziato in sentenza – che l’imputato abbia, a sua volta, denunciato l’abusivo accesso all’indirizzo IP associato all’utenza domestica, o comprovato una potenza della banda router Wi-fi in suo uso tale da poter essere intercettata dall’esterno, nonostante la protezione della connessione attraverso apposita password. Di guisa che la corte territoriale ha argomentativamente affrontato e risolto le critiche prospettate nell’atto di gravame, con motivazione completa e plausibile che si sottrae a censure in questa sede di legittimità”.

Quadro giurisprudenziale di riferimento in materia di accesso abusivo a sistema informatico:

Cassazione penale, sez. un., 18/05/2017,  n. 41210.

Integra il delitto previsto dall’art. 615 ter, comma 2, n. 1, c.p. la condotta del pubblico ufficiale o dell’incaricato di un pubblico servizio che, pur essendo abilitato e pur non violando le prescrizioni formali impartite dal titolare di un sistema informatico o telematico protetto per delimitarne l’accesso, acceda o si mantenga nel sistema per ragioni ontologicamente estranee rispetto a quelle per le quali la facoltà di accesso gli è attribuita. (Nella specie, la S.C. ha ritenuto immune da censure la condanna di un funzionario di cancelleria, il quale, sebbene legittimato ad accedere al Registro informatizzato delle notizie di reato – c.d. Re.Ge. – conformemente alle disposizioni organizzative della Procura della Repubblica presso cui prestava servizio, aveva preso visione dei dati relativi ad un procedimento penale per ragioni estranee allo svolgimento delle proprie funzioni, in tal modo realizzando un’ipotesi di sviamento di potere).

Cassazione penale, sez. II, 09/02/2017,  n. 10060.

Nel phishing (truffa informatica effettuata inviando una email con il logo contraffatto di un istituto di credito o di una società di commercio elettronico, in cui si invita il destinatario a fornire dati riservati quali numero di carta di credito, password di accesso al servizio di home banking, motivando tale richiesta con ragioni di ordine tecnico), accanto alla figura dell’hacker (esperto informatico) che si procura i dati, assume rilievo quella collaboratore prestaconto che mette a disposizione un conto corrente per accreditare le somme, ai fini della destinazione finale di tali somme. A tal riguardo, il comportamento di tale soggetto è punibile a titolo di riciclaggio ex art. 648 bis c.p., e non a titolo di concorso nei reati con cui si è sostanziato il phishing (art. 615 ter e 640 ter c.p.), giacché la relativa condotta interviene, successivamente, con il compimento di operazioni volte a ostacolare la provenienza delittuosa delle somme depositate sul conto corrente e successivamente utilizzate per prelievi di contanti, ricariche di carte di credito o ricariche telefoniche.

Cassazione penale, sez. V, 05/12/2016,  n. 11994.

Integra il delitto previsto dall’art. 615 ter c.p., la condotta del collaboratore di uno studio legale — cui sia affidata esclusivamente la gestione di un numero circoscritto di clienti — il quale, pur essendo in possesso delle credenziali d’accesso, si introduca o rimanga all’interno di un sistema protetto violando le condizioni e i limiti impostigli dal titolare dello studio, provvedendo a copiare e a duplicare, trasferendoli su altri supporti informatici, i files riguardanti l’intera clientela dello studio professionale e, pertanto, esulanti dalla competenza attribuitagli.

Cassazione penale, sez. V, 26/10/2016,  n. 14546.

Ai fini della configurabilità del delitto di cui all’art. 615 ter c.p., da parte colui che, pur essendo abilitato, acceda o si mantenga in un sistema informatico o telematico protetto, violando le condizioni e i limiti risultanti dal complesso delle prescrizioni impartite dal titolare del sistema per delimitarne oggettivamente l’accesso, è necessario verificare se il soggetto, ove normalmente abilitato ad accedere nel sistema, vi si sia introdotto o mantenuto appunto rispettando o meno le prescrizioni costituenti il presupposto legittimante la sua attività, giacché il dominus può apprestare le regole che ritenga più opportune per disciplinare l’accesso e le conseguenti modalità operative, potendo rientrare tra tali regole, ad esempio, anche il divieto di mantenersi all’interno del sistema copiando un file o inviandolo a mezzo di posta elettronica, incombenza questa che non si esaurisce nella mera pressione di un tasto ma è piuttosto caratterizzata da una apprezzabile dimensione cronologica.

Cassazione penale, sez. V, 28/10/2015, n. 13057.

Integra il reato di cui all’art. 615-ter c.p. la condotta di colui che accede abusivamente all’altrui casella di posta elettronica trattandosi di uno spazio di memoria, protetto da una password personalizzata, di un sistema informatico destinato alla memorizzazione di messaggi, o di informazioni di altra natura, nell’esclusiva disponibilità del suo titolare, identificato da un account registrato presso il provider del servizio. (In motivazione la Corte di cassazione ha precisato che anche nell’ambito del sistema informatico pubblico, la casella di posta elettronica del dipendente, purché protetta da una password personalizzata, rappresenta il suo domicilio informatico sicché è illecito l’accesso alla stessa da parte di chiunque, ivi compreso il superiore gerarchico).

Cassazione penale, sez. I, 23/07/2015,  n. 36338.

In tema di accesso abusivo ad un sistema informatico o telematico, il luogo di consumazione del delitto di cui all’art. 615-ter c.p. coincide con quello in cui si trova l’utente che, tramite elaboratore elettronico o altro dispositivo per il trattamento automatico dei dati, digitando la « parola chiave » o altrimenti eseguendo la procedura di autenticazione, supera le misure di sicurezza apposte dal titolare per selezionare gli accessi e per tutelare la banca dati memorizzata all’interno del sistema centrale ovvero vi si mantiene eccedendo i limiti dell’autorizzazione ricevuta.

Cassazione penale, sez. V, 11/03/2015,  n. 32666.

Integra la fattispecie criminosa di accesso abusivo ad un sistema informatico o telematico protetto, prevista dall’art. 615 ter, c.p. la condotta di accesso o mantenimento nel sistema posta in essere da un soggetto, che pur essendo abilitato, violi le condizioni ed i limiti risultanti dal complesso delle prescrizioni impartite dal titolare del sistema per delimitare oggettivamente l’accesso. Non hanno rilievo, invece, per la configurazione del reato, gli scopi e le finalità che soggettivamente hanno motivato l’ingresso nel sistema.

©RIPRODUZIONE RISERVATA