Ieri, davanti alle le Sezioni Unite penali della Suprema Corte di Cassazione si è svolta una udienza importante in materia di accesso abusivo a sistema informatico (art. 615 ter c.p.).
I giudici di legittimità hanno stabilito che è configurabile il reato di intrusione abusiva in un sistema informatico o telematico anche quando il soggetto, abilitato per motivi di servizio o di ufficio ad accedere ad una banca dati e in possesso delle credenziali di autenticazione (es. userid e password) del sistema informatico o telematico, decida di entrare nel sistema non per motivi di ufficio bensì per motivi diversi, non autorizzati, del tutto personali o per altre finalità (cessione a terzi dei dati o delle informazioni, curiosità personale, vendita di dati, corruzione di pubblici ufficiali, rivelazione di segreti di ufficio o aziendali).
La soluzione non appariva cosi scontata e la questione era abbastanza delicata. Vedremo naturalmente le motivazioni della sentenza che saranno depositate tra qualche tempo, ma rispetto alla fattispecie non c’è dubbio che vi sia stata una interpretazione estensiva delle norma prevista e punita dall’art. 615 ter del codice penale. Negli ultimi anni, i casi verificatisi di cui si ha notizia, sono stati molto frequenti sia in ambito pubblico sia in ambito privato.
Con la decisione, giunta nel tardo pomeriggio dopo una lunga camera di consiglio, la Corte ha risolto un contrasto giurisprudenziale che ormai durava da diverso tempo e che aveva visto contrapporsi alcune sezioni della stessa corte e a volte i diversi collegi all’interno delle stesse sezioni.
Da una parte vi è l’orientamento, a cui hanno aderito le Sezioni Unite, secondo il quale la seconda parte dell’articolo 615 ter c.p. relativo a colui che si mantiene all’interno del sistema informatico “contro la volontà di chi ha diritto ad escluderlo” si applica anche a coloro che per ragioni di ufficio (es. incaricati, ma anche pubblici ufficiali, cancellieri, forze dell’ordine) hanno la possibilità di accedere con le loro credenziali di autenticazione e attraverso sistemi informatici e telematici alle banche dati in dotazione ma che decidono di farlo, con gli stessi mezzi, per scopi e finalità del tutto estranee al servizio e senza una giustificazione dettata da esigenze lavorative.
Dall’altro lato vi è l’orientamento contrario, che non sembra aver convinto gli ermellini, secondo il quale il soggetto che è in possesso delle credenziali di autenticazione per accedere ad una banca dati per motivi di servizio non può introdursi abusivamente nel sistema stesso perché il suo accesso sarà sempre legittimo e mai abusivo in quanto previsto e consentito come semplice accesso. È l’accesso illecito la condotta tassativamente punita dalla norma penale non l’uso che si fa del dato eventualmente acquisito o conosciuto. Secondo questo orientamento, ai fini di una valutazione di illiceità semmai devono essere considerate le condotte successive all’accesso (cessione di dati, rivelazione di segreti di ufficio, corruzione, trattamento illecito dei dati, etc) ma che sono previste e punite da altre disposizioni di legge e che non sono contemplate nella fattispecie di cui all’art. 615 ter c.p. In quest’ultima norma sarebbe stata prevista tassativamente la sola condotta di intrusione abusiva di terzi esterni ed estranei al sistema oppure la permanenza nel sistema di soggetti, non in possesso dei privilegi (password), temporaneamente autorizzati a svolgere una sola operazione che invece si “mantengono..” oltre (..”contro la volontà di chi ha diritto ad escluderli” , ad esempio il mantenimento nel sistema dei tecnici per la manutenzione, di soggetti con password temporanee o limitate nelle funzioni, dei tecnici per la mera istallazione e verifica dei software, etc).
Vi sono anche altri aspetti interpretativi che qui per brevità non riportiamo ma che sono emersi ieri in fase di discussione e saranno presi in esame e chiariti dalla Corte (l’applicazione e la caratteristica di alcune aggravanti dell’ art. 615 ter, l’aggravante del pubblico ufficiale e quella di operatore del sistema, etc). Com’è noto agli addetti ai lavori non sono stati fissati termini per il deposito delle motivazioni, pertanto non ci resta che attendere.
di Stefano Aterno
Roma, 28 ottobre 2011
Ho appena aggiunto ai preferiti http://www.leggioggi.it/2011/10/28/cassazione-reato-accedere-alla-banca-dati-fuori-dalle-finalita-del-servizio/!
Pingback: Accesso abusivo banca dati | Ordine Avvocati Agrigento
Dal momento che il legislatore parla – non di intrusione in un sistema protetto- ma di intrusione “abusiva” in un sistema protetto, credo quella adottata dalla Corte sia la soluzione interpretativa più confacente alla ratio ed alla struttura della norma.
Valutare la condotta tenuta dall’agente in seguito all’intrusione può essere utile, ma è un’attività afferente la prova del reato non la struttura.
Per una mera curiosità personale, sicuramente qualcuno si esporrà, come si è esposto in passato, al rischio di vedersi ora inflitta una sanzione penale. Non vorrei che fosse l’unico … Adesso che le SS.UU. hanno optato per la sussistenza del reato, chi accede al sistema per motivi diversi di quelli d’ufficio per finalità di cessione a terzi dei dati o delle informazioni, vendita di dati, corruzione di pubblici ufficiali, rivelazione di segreti di ufficio o aziendali, adotterà opportune cautele per non essere individuato. Nessuno più userà le proprie credenziali per delinquere. Così, mentre chi non resiste alla tentazione di mettere il naso nella scheda anagrafica di qualche personaggio famoso, il bravo hacker spinto da motivi economici continuerà con qualche artificio a intrufolarsi nei dati sensibili di personaggi anche meno noti ma più redditizi.
Nel vecchio testamento sta scritto: «non mettere la museruola al bue che trebbia», per dire: lascia che l’animale che lavora per te mangi pure qualche spiga. Se i dati che io leggo restano dentro di me, che male faccio?
In conclusione, d’accordo, è meglio minacciare tutti. Ma spero che la sanzione penale sia applicata cum grano salis …
Saggia soluzione. Si parla tanto delle intercettazioni illecite, ma il vero problema è che troppa gente – pseudo pubblici ufficiali – viola la privacy carpendo notizie e dati riservati attraverso accessi o permanenze informatiche assolutamente abusive ed arbitrarie.
Penso, ad esempio, alle banche, alle centrali rischio, e ad un mondo (anche economico) sorretto proprio dall’abuso delle notizie assunte arbitrariamente per via telematica e con l’aiuto di pubblici ufficiali o di incaricati di pubblico servizio ….