PENALE - D&G, Sistema informatico violato "invito domino"..
SICUREZZA INFORMATICA: D&G - Efficienza delle protezioni e sistema informatico violato "invito domino"
(D&G, diritto e giustizia, 12.04.2009)
di Salvatore Frattallone
La questione - La condotta di introduzione in un sistema informatico o telematico protetto da misure di sicurezza senza che il titolare del diritto abbia in alcun modo autorizzato l’accesso o nel caso in cui abbia revocato l’autorizzazione ad intromettersi nel sistema è punita dalla parte prima del co. 1 dell’art. 615-ter c.p.(in tema di qualificazione dell’ingresso come assolutamente abusivo, anziché relativamente tale, vedasi D. Lusitano, In tema di accesso abusivo a sistemi informatici o telematici, Giur. it., 1998). La L. n. 547/93 sui computer crimes, per il contrasto alla criminalità informatica, novellò il codice penale e il codice di rito penale, inserendo anche questa fattispecie. Ci si chiede se le misure di sicurezza debbano essere, oltreché presenti e percepibili, risultare anche efficienti e se sia configurabile il reato anche in assenza di captazione di dati riservati o d’inceppamenti nel funzionamento del sistema. La risposta presuppone l’esame del bene tutelato.
L’asserita genericità della norma - La formulazione della norma é sembrata generica, in violazione del principio di offensività, col rischio di colpire penalmente condotte d’infima pregnanza. Come osservato in giurisprudenza, “la ben laconica enucleazione degli elementi costitutivi del reato a fronte della novità nonché della rilevante complessità, anche tecnica, e vastità della materia che essa disciplina, determina indubbiamente ardui problemi interpretativi in fase di applicazione ai più vari e diversi casi concreti a essa astrattamente riconducibili” (Tribunale di Gorizia, sent. 19.02.03 n. 601, Merini, Riv. Pen. 2005, p. 895, connota di Tarlao, Accesso abusivo e sistema informatico: natura delle norme di protezione). Inoltre, si è ritenuto in dottrina che l’equiparazione tra domicilio (art. 614 c.p.) e sistema informatico (art. 615-ter c.p.) appaia artificiosa, auspicandone il superamento (cfr. A. Gentiloni Silveri, L’accesso abusivo a sistema informatico da parte di funzionari pubblici: non c’è reato se i dati non sono riservati?, Dir. Inf. 2008, p. 367).
La tesi tradizionale - La norma protegge un interesse diverso rispetto alle altre della sezione codicistica sulla “inviolabilità del domicilio” o tutela il medesimo bene giuridico? Invero, l’inserimento in partizioni già esistenti del c.p. era stato reputato coerente con la natura dell’intervento normativo, strumentale a colpire nuove forme di aggressione a beni già oggetto di notoria tutela penale (quali il patrimonio e la fede pubblica). Peraltro, la collocazione edittale della disposizione è stata ritenuta strategica rispetto all'impianto del codice sostanziale, talché “bene giuridico tutelato = domicilio informatico”. Così nella relazione al ddl n.2773 (poi divenuto la L. 547/93) si affrontò il quesito se “[...] arginare la sempre più ampia tendenza alla decodificazione, [...] o se, invece, fosse preferibile ricondurre i nuovi reati alle figure già esistenti che ad essi, pur nella loro autonomia, appaiano più vicine. Si è ritenuta preferibile la seconda soluzione, nella convinzione che la particolarità della materia non costituisse ragione sufficiente per la configurazione di uno specifico titolo.”. La struttura della disposizione ricalca quella della “classica” violazione di domicilio e il trattamento sanzionatorio è identico. Il c.d. domicilio informatico è quel luogo in cui può estrinsecarsi la personalità individuale e rappresenta la trasposizione, sul piano virtuale, dello jus excludendi omnes alios: il titolare del sistema ha il diritto di vietare l’accesso allo spazio informatico - protetto con misure di sicurezza- di sua pertinenza. E questo è l’oggetto della tutela (cfr. Cass. pen., 04.10.99, Piersanti, Dir. Inf., 2001; indottrina, G. Corrias Lucente, “Brevi note in tema di accesso abusivo e frode informatica; uno strumento perla tutela penale dei servizi”, Dir. Inf., 2001; N. Maiorano, sub art. 615 ter c.p. in Lattanzi Lupo, 2005; Alma-Perroni, “Riflessioni sull’attuazione delle norme a tutela dei sistemi informatici”, in Dir. pen. e proc., 1997; R. Flor, “Identity thef e identity abuse. Le prospettive applicative del diritto penale vigente”, Riv. It. Dir.proc. pen., 2007; Pica, “Diritto penale delle tecnologie informatiche”, To, 1997; Galdieri, “La tutela penale del domicilio informatico”, in AA.VV., Problemi giuridici dell’informatica nel Mec, Mi, 1996).
Le critiche alla tesi tradizionale - Su più fronti si sono levate censure contro l’individuazione del domicilio virtuale quale unico bene giuridico oggetto della protezione penale. Si sono così eccepiti: l’incongrua espansione dei concetti di domicilio e riservatezza personale che ne deriverebbe; la problematicità dell’inserimento del concetto di sistema informatico, di per sé privo di contenuti personalistici e privatistici, nella controversa nozione di domicilio penalmente rilevante; l’irragionevolezza della la scelta del legislatore, se il bene giuridico tutelato è lo spazio privato virtuale, di circoscrivere la tutela ai soli sistemi informatici protetti da misure di sicurezza; l’incompatibilità dell’applicazione dell’art. 615-ter c.p. ai sistemi operanti nel settore pubblico (ad esempio, militari e di pubblica sicurezza) che restano estranei alla proiezione spaziale della persona; l’indifferenza circa la natura del titolare del domicilio informatico (persona fisica o giuridica),rispetto alla previsione dell’art. 614 c.p., inerente i soli luoghi di privata dimora.Gli altri beni forse tutelati - Il bene oggetto della protezione penale invece andrebbe ravvisato, secondo autorevoli opinioni dottrinarie, nell’indisturbata fruizione del sistema da parte del gestore, nella tutela dell’integrità dei dati e dei sistemi informatici, nella vera e propria riservatezza dei dati e dei programmi contenuti nel sistema. Decidendo un caso di sviamento di clientela di studio professionale da parte di soci che, secondo la prospettazione accusatoria, avevano trasfuso i dati dei server nei loro notebook, la Cassazione ha di recente reputato che l’art. 615-ter c.p., oltre al domicilio informatico, tuteli anche tali ulteriori e specifici “beni giuridici e interessi eterogenei” (Cass. Pen., Sez. V, 01.10.2008 n. 37322, A.M.+1).Invero, la prima tesi poggia sulle analogie tra il delitto ex art. 615 ter c.p. e il delitto di ingresso abusivo nel fondo altrui (art. 637 c.p.), con eadem ratio e apprestando la stessa tutela accordata al proprietario di un bene nei confronti di altrui indebite interferenze, a prescindere dagli scopi dell’invasore (Berghella - Blaiotta,Diritto penale dell’informatica e beni giuridici tradizionali, Cass. Pen., 1995). Per la seconda tesi, ove sussista l’idoneità dell’intervento a danneggiare gli obiettivi cui era strumentale la protezione del sistema e dei suoi dati, risulterebbero salvaguardati anche gli aspetti economico-patrimoniali dei dati (Mantovani, Brevi note a proposito della nuova legge sulla criminalità informatica, in Critica del diritto, 1994; Tribunale di Gorizia, n. 601/03 cit.). Infine per la terza tesi, rispetto al pericolo di aggressione da parte di terzi non autorizzati, rimarrebbero sforniti di garanzie i sistemi privi di dati o misure di sicurezza, quelli contenenti solo dati o programmi di pubblico dominio, quelli volti soltanto a erogare beni o servizi (Pecorella, sub art.615-ter c.p., in Marinucci Dolcini, Codice penale commentato Milano, 2006; Aterno, Sull’accesso abusivo ad un sistema informatico e telematico, Cass. Pen., 2000).
Concretezza e offensività - Indubbio il pregio di tali indirizzi interpretativi, di tentare di circoscrivere in concreto l’ambito del reato, in ossequio al principio di offensività. Ma essi finiscono col “colorare” la condotta aggiungendovi un inammissibile quid pluris (la finalità della condotta di danneggiamento del sistema), definendo il delitto in termini di danno (anziché di pericolo), sopravvalutando la protezione dei dati personali sino a ritenerne la tacita inclusione nel fatto tipico. Aderendo a siffatte opinioni, in ultima analisi, si dovrebbe convenire che occorrerebbe sempre almeno la lesione o messa in pericolo dell’integrità dei dati del sistema, del funzionamento del sistema, della riservatezza dei dati, restando altrimenti esclusa la punibilità. Il che appare francamente eccessivo.
La soluzione preferibile - Più fondata è, senz’ombra di dubbio, la tesi che individua nel solo domicilio virtuale il bene giuridico protetto dal 615-ter, co. 1, parte prima, c.p., quale reato monoffensivo. Come acutamente osservato, la digitalizzazione delle informazioni personali e la costituzione di banche dati pubbliche e private impongono un efficace e dissuasivo perimetro di garanzia a tutela di privacy e riservatezza privata, aziendale o pubblica. Ma il dissenso dell’avente diritto non implica, de jure condito,oltre alla mera presenza di misure di sicurezza, anche dell’altro, cioè precedenti manifestazioni espresse o tacite del titolare dello jus excludendi, nemmeno in caso di dati non significativi né confidenziali giacenti nella memoria del sistema violato (sul punto, Cisterna, Solo una misura di protezione calibrata da luogo aviolazioni di sistema criminali, Guida dir. 12/2008). Conscio dell’importanza delle nuove tecnologie nella Società dell’Informazione, il legislatore italiano ha posto il veto, penalmente sanzionato, a qualunque invasione dei sistemi informatici e telematici altrui: come a nessuno è consentito mettere i piedi sul suolo altrui senza il permesso dell’avente diritto o in difetto di altre situazioni che ne legittimerebbero il contegno, così è precluso a chiunque di invadere spazi virtuali su cui altri abbia l’esclusiva signoria. La lettera della fattispecie è del resto conforme alle prescrizioni dell’art. 2, co. 2, della Decisione Quadro n. 2005/222/GAI del 24.02.2005 del Consiglio d’Europa, poiché il mero “utilizzo non autorizzato” di un elaboratore è contegno non dotato di sufficiente lesività.
Le conseguenze pratiche - I mezzi di protezione (le barriere, logiche o fisiche, interne o esterne al sistema,che ostacolano l’interazione con il pc, anche se solo di carattere “organizzativo”) devono essere obiettivamente esistenti (Cass. Pen., VI, 27.10.04, n. 46509) e percepibili da parte del soggetto agente. Ma non può pretendersi che risultino anche di per sé idonei a impedire la violazione (Flor). Nel caso d’introduzione abusiva, non è condivisibile la tesi (cfr. G. Garbagnati, Diritto dell’internet, n. 4/08) della presunta necessità che i mezzi di protezioni neutralizzati fossero efficaci. Basta, invece, anche la protezione con una banale password, a valere quale avviso al potenziale invasore ad astenersi dall’eseguire accessi senza diritto. Una sorta di moderno monito cave canem. Come statuito anche dalla S.C. in materia di misure di sicurezza (Cass. Pen., Sez. V, 06.12.2000, n. 12731), “la loro violazione non rileva in sé, ma quale eventuale manifestazione di volontà contraria di chi dispone legittimamente del sistema” (peraltro, contra, Cass. Pen., Sez. V, 07.11.2000, n. 12732, Zara, che ha prescisso dalla presenza di misure di sicurezza). Il reato de quo si perfeziona con la semplice violazione del c.d. domicilio informatico, rimanendo assolutamente irrilevante la natura della informazioni captate attraverso l’illecita introduzione, se cioè riservate, personali, sensibili o no, poiché la tutela apprestata dall’ordinamento opererà anche se l’elaboratore non contiene alcun dato (Cass., sez. V, n. 11689/07, Cerbone; Cass., sez. VI, n. 3065/99, De Vecchis). Sotto altro punto di vista, “la lettera dell’art, 615-ter [...] richiede unicamente l’abusività dell’accesso al sistema[...], ma non pretende l’effettiva conoscenza, da parte dell’agente, dei dati protetti [...] o la loro conoscibilità[...] di quelli da parte del soggetto agente”. Così ha stabilito la C.d.A. di Bologna, con la sentenza n. 369 del27.03.2008, resa nel caso Vierika: il worm, a diffusione indiscriminata e autoreplicante, inviato via e-mail con allegato all’apparenza *.jpg. La Corte felsinea ha confermato che l’elusione di misure di protezione,ancorché soltanto elementari, facilmente aggirabili e persino se predisposte dall’applicativo, è condotta idonea ad integrare la fattispecie descritta nella prima parte dell’art. 615-ter c.p. Come rettamente osservato in dottrina (G. Braghò, Diritto dell’Internet, n. 5/2008), però, la Corte d’Appello di Bologna è incorsa in errore, nell’escludere che la manipolazione dei programmi operata dal virus abbia prodotto un’alterazione del funzionamento dei sistemi operativi, trattandosi di concetto distinto dal danneggiamento di sistema informatico, di cui è solo un quid minoris. Anzi, è ravvisabile l’abusività anche soltanto nella fraudolenta induzione in errore dell’internauta che apre l’allegato infetto, nel sistema occulto di successivo scarico del secondo script e nella consequenziale attività autoreplicante del programma clandestino insediato nel sistema. In definitiva, non appare affatto opportuno innalzare l’asticella della punibilità, invocando il principio di offensività. L’accertato ingresso nello spazio virtuale altrui, ove volontario e non permesso, si traduce intrinsecamente nella concreta lesione del bene protetto, il domicilio informatico cui il sistema telematico inerisce.
“ART. 615-ter c.p. - Accesso abusivo ad un sistema informatico o telematico.
1. Chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo, è punito con la reclusione fino a tre anni.
2. La pena è della reclusione da uno a cinque anni:
1) se il fatto è commesso da un pubblico ufficiale o da un incaricato di un pubblico servizio, con abuso dei poteri o con violazione dei doveri inerenti alla funzione o al servizio, o da chi esercita anche abusivamente la professione di investigatore privato, o con abuso della qualità di operatore del sistema;
2) se il colpevole per commettere il fatto usa violenza sulle cose o alle persone, ovvero se è palesemente armato;
3) se dal fatto deriva la distruzione o il danneggiamento del sistema o l’interruzione totale o parziale del suo funzionamento ovvero la distruzione o il danneggiamento dei dati, delle informazioni o dei programmi in esso contenuti.
3. Qualora i fatti di cui ai commi primo e secondo riguardino sistemi informatici o telematici di interesse militare o relativi all’ordine pubblico o alla sicurezza pubblica o alla sanità o alla protezione civile o comunque di interesse pubblico, la pena è, rispettivamente, della reclusione da uno a cinque anni e da tre a otto anni.
4. Nel caso previsto dal primo comma il delitto è punibile a querela della persona offesa; negli altri casi si procede d’ufficio.”