Brevi cenni sull’accesso abusivo ad un sistema informatico
La legge n. 547 del 1993, di fatto, non esplicita la definizione di sistema informatico, dandola per presupposta sulla base di quanto sancito dalla Suprema Corte, secondo cui <<l’espressione “sistema informatico” cont[iene] in sé il concetto di una pluralità di apparecchiature destinate a compiere una qualsiasi funzione utile all’uomo, attraverso l’utilizzazione (anche in parte) di tecnologie informatiche. Queste ultime sono caratterizzate dalla registrazione (o memorizzazione), per mezzo di impulsi elettronici, su supporti adeguati, di “dati”, cioè di rappresentazioni elementari di un fatto, effettuata attraverso simboli (bit) numerici (“codice”) in combinazioni diverse>>.
È d’uopo sottolineare che la Cassazione, in merito all’art. 4 della L. 547/1993 con cui è stata istituita la fattispecie in parola, ha stabilito che <<il legislatore ha dettato un sistema completo di norme in tema di criminalità informatica, considerando i sistemi informatici e telematici alla stregua del domicilio>>.
L’art. 615ter c.p. prevede due distinte condotte che consistono, rispettivamente, nell’accesso e nel mantenimento all’interno di un sistema informatico.
La prima si verifica nell’ipotesi in cui un soggetto si introduca in una tale struttura, protetta da misure di sicurezza.
La seconda si concretizza nel momento in cui un soggetto autorizzato ad accedere a detto sistema, vi si trattenga successivamente al periodo temporale necessario a giustificare la presenza nello stesso e per il quale aveva ricevuto l’autorizzazione. In entrambi i casi si può parlare di reato di azione.
Si tratta, adesso, di stabilire quale sia il bene giuridico protetto dall’art. 615ter c.p. e, precisamente, se debba farsi riferimento al concetto di domicilio informatico oppure a quello di riservatezza informatica: il primo è stato sviluppato prendendo a prestito quella di domicilio comune, così come esplicitato dalla Costituzione, mentre il secondo lo si desume attraverso la normativa che disciplina il trattamento dei dati personali. Valutate entrambe le discipline offerte, a parere di chi scrive, appare, in prima battuta, preferibile l’adozione del secondo, che certamente offre una più compiuta forma di tutela.
Conclusioni
Per dirimere, quindi, l’ormai risalente contrasto tra le due teorie contrapposte in merito a quale sia il luogo del commesso reato – l’una basata sul concetto classico di fisicità del luogo ove è collocato il server e l’altra sul funzionamento delocalizzato, all’interno della rete, di più sistemi informatici e telematici – interviene la più recente pronuncia della Suprema Corte (Cass., Sez. Un., 24 aprile 2015, n. 17325), la quale privilegia <<le modalità di funzionamento dei sistemi informatici e telematici rispetto al luogo in cui è fisicamente collocato il server>>.
Come argomenta la Suprema Corte, <<in ambito informatico, deve, quindi, attribuirsi rilevanza al luogo da cui parte il dialogo elettronico tra sistemi interconnessi e dove le informazioni vengono trattate dall’utente>> e, poiché nel c.d. cyberspazio il flusso dei dati informatici si trova allo stesso tempo nella piena disponibilità di consultazione di un numero indefinito di utenti abilitati, non sarà corretto affermare che i dati si trovino solo nel server ma, piuttosto, che questi ultimi siano diffusi sul territorio e contestualmente consultabili in condizione di parità presso tutte le postazioni a ciò autorizzate.
Viene, così, riperimetrata la nozione di accesso ad un sistema informatico, vista come <<l’introduzione telematica o virtuale che avviene instaurando un colloquio elettronico o circuitale con il sistema centrale e con tutti i terminali ad esso collegati>>.
L’accesso inizierà, quindi, con l’unica condotta umana di natura materiale, consistente nella digitazione da remoto delle credenziali di riconoscimento da parte dell’utente, mentre tutti gli eventi successivi assumeranno i connotati di comportamenti comunicativi tra client e server.
Le condotte da ritenersi, quindi, perseguite nel caso di specie vengono ad essere integrate nel luogo in cui l’operatore materialmente digita la password di accesso ed esegue la procedura di login, determinando, così, il superamento delle misure di sicurezza apposte dal titolare del sistema, in tal modo realizzando l’accesso alla banca-dati.