L’accesso abusivo al sistema informatico

Quando si parla di violazione di un elaboratore elettronico, immediatamente nella mente si materializza il termine hacker, e chiunque abbia avuto almeno quindici anni nel 1984 ripensa a Matthew Broderick e al film “Wargames”, in cui un giovane studente riesce a collegarsi al computer Joshua, installato presso il Norad (Sistema di difesa statunitense del Nord Atlantico) e rischia di scatenare la terza guerra mondiale.

Degli hackers parla da tempo, il film l’hanno visto in tanti, ciò che manca è capire come i sistemi informatici abbiano cambiato la vita di ciascuno, e come gli ordinamenti abbiano reagito alla crescente esigenza di tutelare noi stessi e i nostri dati dalle possibili aggressioni di natura tecnologica.

L’accesso abusivo ad un sistema informatico era già stato teorizzato, come problema giuridico, nel corso degli anni ottanta, a seguito di numerosi fatti di criminalità informatica verificatisi negli Stati Uniti e in Europa, contro i quali i vari paesi erano assolutamente impreparati.

Poiché nella maggioranza degli ordinamenti giuridici vale il principio che non vi è reato senza una legge che espressamente preveda una condotta come penalmente rilevante, le Forze dell’Ordine e la Magistratura si trovavano, nella maggior parte dei casi, ad avere le mani legate.

Solo nel 1989, tuttavia, la Comunità Europea codificava una serie di interventi, con la Direttiva n. 89/9, in parte obbligatori, in parte facoltativi, che gli stati membri avrebbero dovuto adottare per adeguare ed armonizzare i singoli ordinamenti nazionali e accordare tutela ai beni tecnologici e ai dati in forma elettronica.

Con la legge 23.12.1993, n. 547, l’Italia, sulla scorta dell’esperienza francese, dalla quale mutuava diversi istituti, provvedeva ad aggiornare in chiave tecnologica il codice penale e il codice di procedura penale, per la verità cedendo ad un’impostazione particolarmente restrittiva, e senza istituire un vero e proprio corpus omogeneo di norme dedicate alle nuove tecnologie, ma semplicemente inserendo i nuovi articoli in varie sezioni già esistenti, creando non pochi problemi interpretativi.

Del resto, il Legislatore italiano, come al solito, aveva iniziato con estremo ritardo ad occuparsi del problema, nel tentativo di arginare un fenomeno che stava assumendo dimensioni preoccupanti e che, sempre più spesso, vedeva le Forze dell’ordine contrapposte ad una criminalità decisamente insolita: giovani informatici che, più per gioco che per l’effettiva volontà di mettere in discussione diritti ed interessi giuridicamente rilevanti, violavano le banali misure di sicurezza dei sistemi dell’epoca, mettendo in seria difficoltà aziende ed istituzioni, nazionali ed internazionali.

Accanto alle scorribande dei giovanissimi attori dell’underground informatico, la Magistratura procedeva tuttavia alla contestazione di diverse ipotesi di reato a carico di veri e propri criminali, resisi responsabili di operazioni su vasta scala e di discreta importanza.

Nel 1990, l’operazione “INPS” della Polizia di Stato portava all’arresto di un dipendente dell’Istituto Nazionale della Previdenza Sociale, preposto al caricamento dei dati relativi alle posizioni degli assistiti, il quale, mediante la registrazione di operazioni fittizie su cartelle realmente esistenti, consentiva ad alcuni complici di percepire fraudolentemente arretrati non dovuti, parte dei quali gli venivano successivamente corrisposti come compenso. Sempre nel 1990, attraverso un indagine internazionale, le Forze dell’Ordine riuscivano ad individuare e catturare un cittadino americano, autore di un virus informatico che, diffuso tramite floppy disk contenenti documentazione sulla sindrome dell’HIV, provocava la cifratura dei dati dell’hard disk, recuperabili solo attraverso la chiave di accesso che il criminale offriva successivamente alle vittime, ovviamente a pagamento.

Nel 1992 e nel 1993, le operazioni “Videotel” ed “Hackers Hunter”, portarono all’arresto di numerosi individui, resisi responsabili di aver utilizzato migliaia di password di accesso a sistemi informatici acquisite illecitamente, grazie alle quali riuscivano ad utilizzare servizi a pagamento, addebitando il relativo costo ai titolari delle utenze.

Con il passare degli anni sono cresciuti esponenzialmente sia i problemi connessi alle tecnologie informatiche che gli interventi delle Forze dell’Ordine e della Magistratura.

Gli elementi fondamentali dell’illecito informatico sono analoghi a quelli di qualsiasi altro reato tradizionale, mentre è diverso il contesto all’interno del quale il crimine viene perpetrato.

Un contesto decisamente complicato, caratterizzato da un’evoluzione tecnologica rapida e continua, che non è assimilabile a quella di altri settori.

Un ambito che non è possibile ricondurre banalmente ai normali canoni di interpretazione teleologica, risultando decisamente complicato, a chi non possiede almeno le conoscenze tecniche di base, associare la condotta prevista dalla norma come reato ai comportamenti concretamente analizzati.

Del resto, la medesima situazione si riscontra in altri rami del diritto, come ad esempio l’urbanistica e la tutela dell’ambiente, in cui la conoscenza tecnica è indispensabile per il corretto inquadramento del problema giuridico.

Proprio a causa della difficoltà di inquadrare correttamente le singole fattispecie di reato, la nozione di accesso abusivo ad un sistema informatico è stata solo parzialmente delineata dalla dottrina e dalla giurisprudenza, permanendo seri dubbi e notevoli perplessità circa la concreta applicazione dell’art. 615 ter del codice penale a fatti e tecnologie particolari, come i sistemi che consentono l’accesso fraudolento alle trasmissioni televisive ad accesso condizionato (le smart card e i decoders taroccati per vedere gratuitamente i programmi di Stream e Telepiù, per intenderci).

Ed infatti, uno dei problemi più rilevanti è quello di definire il concetto di sistema informatico e telematico, che è di creazione legislativa e che non ha corrispondenze nella nomenclatura informatica.

Parte della dottrina riconduce la nozione di sistema informatico alla presenza dei componenti tradizionali di un elaboratore elettronico: unità di elaborazione dati, memoria centrale, unità di input/output. Mentre per sistema telematico si è soliti individuare l’insieme di due o più sistemi informatici connessi tramite reti di comunicazione.

E’ la prima definizione a comportare notevoli problemi applicativi, soprattutto perché ormai ogni sistema elettronico è basato sugli anzidetti tre elementi.

Ipotizzando, quindi, la semplice rilevazione di microprocessore, memoria e unità di scambio dei dati, come logica di individuazione del sistema informatico, si perviene all’applicazione della norma ai personal computer, agli elaboratori di grandi dimensioni, ai palmari, ma anche al forno a microonde, alla lavastoviglie ed alla lavatrice, posto che anche tali elettrodomestici dispongono di sensori, di microprocessori e di memorie, seppure ridottissime, sulle quali elaborare dati.

E quindi si perviene, per assurdo, alla contestazione del reato di accesso abusivo ad un sistema informatico al marito che apre il forno a microonde della moglie senza averle chiesto prima il permesso (peraltro, per evitare sorprese connesse a disaccordi coniugali, sarebbe opportuno farselo rilasciare per iscritto). Soluzione che contrasta con il principio di ragionevolezza, che pretende che nell’interpretazione della norma si pervenga a soluzioni, per l’appunto, ragionevoli.

Facezie a parte, è per questi motivi che altri giuristi propendono per l’individuazione di un quarto elemento, per la classificazione di un sistema elettronico come “informatico”: la versatilità connessa al suo utilizzo.

Un sistema informatico, infatti, oltre agli elementi tecnici, è caratterizzato dal poter essere utilizzato praticamente per qualsiasi scopo, semplicemente cambiando programma, cosa che non è possibile con normali sistemi elettronici, quali, per l’appunto, lavastoviglie, forno a microonde, ecc. (che sono invece dedicati all’espletamento di un compito preciso e non modificabile).

Ciò posto, diviene tuttavia comunque difficoltoso individuare il sistema informatico in zone di confine come quella dei telefoni cellulari, sempre più simili ad un computer e sempre meno dedicati alla sola gestione del traffico telefonico. Ma anche in questo caso il problema è di semplice soluzione, se si considera che un Nokia 9210 altro non è che un personal computer palmare che ha inglobato un terminale telefonico.

Più complessa la situazione relativa ai decoders per trasmissioni televisive ad accesso condizionato, che la giurisprudenza ha erroneamente associato ai sistemi informatici e telematici fino a quando l’intervento del legislatore non ha correttamente ricondotto la materia alla disciplina del diritto d’autore (in effetti, a dover essere tutelati non sono i sistemi o la loro affidabilità, bensì le trasmissioni ivi veicolate e, soprattutto, i diritti di sfruttamento economico ad esse connessi).

L’art. 615 ter del Codice Penale definisce “accesso abusivo” la condotta posta in essere da “Chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo”

Il reato viene quindi delineato come perpetrabile da qualsiasi individuo, mentre costituisce un’aggravante, cui corrisponde un inasprimento della pena, la condotta posta in essere da un pubblico ufficiale, da un incaricato di pubblico servizio, da chi esercita la professione di investigatore privato o dall’operatore del sistema.

Il riferimento a queste categorie è abbastanza evidente: il pubblico ufficiale, l’incaricato di pubblico servizio, l’investigatore privato e l’operatore di sistema hanno, a causa della funzione rivestita, un accesso privilegiato a determinate strutture e a determinati sistemi informatici.

Ove si introducano abusivamente all’interno degli stessi o per finalità diverse da quelle per le quali hanno ricevuto la relativa autorizzazione, si rendono ovviamente responsabili di un reato più grave di quello commesso da chi dovesse penetrare nel sistema da utente normale, pur in presenza della medesima condotta.

E’ sufficiente pensare alle conseguenze che avrebbe, sul futuro di una qualsiasi azienda, la sottrazione di dati riservati, operata da un dipendente infedele in favore di una ditta concorrente, per comprendere il grado di attenzione che è necessario rivolgere al problema.

Tra le aggravanti, il Legislatore ha inserito anche la condotta rivolta verso impianti di interesse militare o pubblico, ed anche la ragione di tale scelta risulta evidente. Un attacco semantico (o data tampering) al database di un ospedale, infatti, ove portato a termine con successo, otterrebbe il terribile risultato di mescolare i dati delle cartelle cliniche dei pazienti, con ogni prevedibile conseguenza. Per non parlare della violazione del sistema di gestione del traffico aereo di un aeroporto, ricostruito abbastanza realisticamente da risultare inquietante nel film dell’attore statunitense Bruce Willis, dal titolo “Die Hard, 58 minuti per morire”, in cui i terroristi provocano un incidente semplicemente modificando i dati dell’assetto di volo, innalzando il parametro relativo all’altitudine di duecento metri e provocando così lo schianto sulla pista dell’aereo, giunto in fase di atterraggio con l’assetto sbagliato.

Ipotesi catastrofiche a parte, il problema dell’accesso abusivo ad un sistema informatico è comunque rilevante anche nel caso di semplice violazione del computer aziendale o dell’organizer dell’uomo d’affari, temporaneamente lasciato incustodito.

Al punto che la successiva normativa posta dal Legislatore a tutela della riservatezza dei dati personali (L. 675/1996) ha imposto a ciascun titolare del trattamento l’adozione di precise misure di sicurezza (D.P.R. 318/99).

Tornando alla fattispecie principale delineata dalla norma, essa si configura come la violazione delle misure di sicurezza predisposte dal soggetto per consentire l’accesso ai soli soggetti autorizzati, ovvero, come l’utilizzo del sistema per fini diversi da quelli per i quali l’accesso è stato consentito. Condotte che, ovviamente, devono essere consapevoli e chiaramente in contrasto con la volontà dell’avente diritto all’utilizzo del sistema, non rilevando l’accesso casuale, pur eseguito in violazione delle misure di sicurezza adottate o contro la volontà del titolare (il problema, semmai, sarà quello di dover dimostrare la mancanza di consapevolezza, ma non è una ipotesi da sottovalutare, come vedremo più avanti)

In assenza di misure di sicurezza e di usi predeterminati in sede di rilascio delle relative autorizzazioni, pertanto, l’utilizzo di un personal computer non può essere classificato come illecito.

La distinzione è importante, dato che anche la Corte di Cassazione ha avuto modo di occuparsi del problema, giungendo, con Sentenza del 7 novembre 2002, n. 12732, alle seguenti conclusioni.

Il caso sottoposto all’attenzione della Corte riguardava il comportamento posto in essere da un membro di uno studio commerciale che, nell’imminenza della separazione professionale dai propri soci e dell’apertura di uno studio concorrente, di cui sarebbe stato titolare, aveva duplicato il database della contabilità e l’aveva caricato sui propri sistemi informatici, al fine di evitare il lungo lavoro di ripristino e caricamento dei dati contabili dei clienti che l’avrebbero seguito.

Concorrenza sleale a parte, il Giudice di legittimità, con la motivazione che segue, ha ritenuto sussistere il reato di accesso abusivo al sistema informatico dello Studio Commerciale, poiché l’autorizzazione concessa per accedere ai dati (sulla quale faceva leva la linea difensiva dell’imputato) non riguardava l’ipotesi di sottrazione degli stessi, per cui doveva ritenersi concretizzata la condotta della permanenza nel sistema contro il consenso dell’avente diritto, di cui alla seconda parte dell’art. 615 ter c.p.

Nel delitto di accesso abusivo ad un sistema informatico o telematico, la violazione dei dispositivi di protezione non assume rilevanza per sé, ma solo come eventuale manifestazione di una volontà contraria a quella di chi dispone legittimamente del sistema; l’art. 615 ter c.p., infatti, punisce, al comma 1, non solo chi abusivamente si introduce in tali sistemi, ma anche chi vi si trattiene contro la volontà – esplicita o tacita – di colui che ha il diritto di escluderlo”.

Dello stesso parere e per lo stesso caso giudiziario, qualche anno prima, il Tribunale di Torino, con sentenza del 7.2.1998: “La duplicazione di dati acquisiti con accesso abusivo ad un sistema informatico integra la condotta tipica di cui all’art. 615 ter c.p., in quanto siffatta sottrazione di dati non è altro che una forma di presa di conoscenza di notizie cui è preordinata l’intrusione, che può risolversi sia in una semplice lettura che in una vera e propria copiatura dei dati rinvenuti nel sistema oggetto dell’introduzione; infatti, la norma di cui all’art. 615 ter c.p. è una estensione della protezione penale offerta al domicilio, reprimendosi qualsiasi introduzione in un sistema informatico che avvenga contro la precisa volontà dell’avente diritto. Per rendere opponibile e penalmente rilevante siffatta contraria volontà, basta qualsiasi mezzo protettivo del sistema concretamente considerato, ancorchè facilmente superabile da persona mediamente esperta, essendo sufficiente che questo mezzo renda palese la contraria volontà dell’avente diritto all’accesso ed al trattenimento nel sistema”

Quanto alla definizione di domicilio informatico, la stessa Corte di Cassazione, con una precedente sentenza, la n. 3067 del 14.12.1999, aveva chiarito la portata della norma in riferimento allo spazio fisico e logico che si intende tutelare: “Con la previsione dell’art. 615 ter cod. pen., introdotto a seguito della legge 23 dicembre 1993, n. 547, il legislatore ha assicurato la protezione del “domicilio informatico” quale spazio ideale (ma anche fisico in cui sono contenuti i dati informatici) di pertinenza della persona, ad esso estendendo la tutela della riservatezza della sfera individuale, quale bene anche costituzionalmente protetto. Tuttavia l’art. 615 ter cod. pen. non si limita a tutelare solamente i contenuti personalissimi dei dati raccolti nei sistemi informatici protetti, ma offre una tutela più ampia che si concreta nello “jus excludendi alios”, quale che sia il contenuto dei dati racchiusi in esso, purché attinente alla sfera di pensiero o all’attività, lavorativa o non, dell’utente; con la conseguenza che la tutela della legge si estende anche agli aspetti economico-patrimoniali dei dati, sia che titolare dello “jus excludendi” sia persona fisica, sia giuridica, privata o pubblica, o altro ente”

Una pronuncia importante, che chiarisce un aspetto non secondario della disciplina ed associa, come, del resto, era nell’intenzione del Legislatore del 1993 (circostanza che traspare anche dai lavori preparatori), il concetto di domicilio informatico a quello di domicilio fisico, non inteso come spazio materiale, ma come area di stretta pertinenza giuridica della persona, dalla quale il titolare ha il diritto di escludere chiunque.

Ma proprio per tale rilevantissima tutela, accordata dall’ordinamento al domicilio informatico, risulta complessa l’individuazione dei vari elementi che compongono la fattispecie normativa concretamente applicabile.

Occorre, innanzitutto, stabilire cosa debba qualificarsi per introduzione in un sistema informatico. La dottrina più autorevole la individua nel superamento delle barriere fisiche e logiche che presidiano l’accesso alla memoria interna del sistema, e la cristallizza nel momento in cui l’autore del reato è in condizione di poter richiamare i dati e i programmi che vi sono contenuti, potendosi dirsi realizzata quella situazione di pericolo per la segretezza dei programmi e dei dati memorizzati nell’elaboratore, che giustifica l’intervento della sanzione penale.

Nella nozione di sicurezza possono farsi rientrare tutte quelle misure di protezione al cui superamento è preordinata la condotta dell’agente, al fine di raggiungere i dati e i programmi contenuti nell’elaboratore.

Benchè non vi sia puntuale accordo in materia, normalmente, per tali, si intendono sia qualunque protezione fisica installata sul computer (es.: chiave di accensione), sia la protezione logica rappresentata, ad esempio, dalla chiave di accesso al sistema (password) e dal livello di accesso ai dati (account).

La violazione di tali misure è sufficiente per far scattare l’apparato sanzionatorio, mentre il tentativo di violazione è comunque punibile ai sensi dell’art. 56 c.p. (delitto tentato).

Diversamente argomentando, del resto, si verrebbe a restringere in modo ingiustificato la portata della norma, il cui fine, come già detto, è quello di accordare tutela alla proiezione della personalità del soggetto nell’ambiente in cui vive e lavora, che si sintetizza nei dati conservati nel sistema informatico.

Il problema sorge nel momento in cui l’accesso non si materializza, ma la condotta può essere comunque riconducibile ad un tentativo di accesso.

Indipendentemente dalle correnti di pensiero che ritengono ipotizzabile o meno il tentativo di delitto, dal punto di vista tecnico-giuridico la questione non risulta di facile soluzione.

L’utilizzo di comandi di sistema come ping e tracert, infatti, può essere ugualmente finalizzato alla esecuzione di operazioni di manutenzione come alla preparazione di un assalto, e quindi essere considerato condotta propedeutica.

Il confine diviene ancora più labile con l’uso di programmi di port scanning, il cui scopo è quello di testare le porte di comunicazione di un elaboratore per verificare se siano aperte, chiuse o nascoste.

Anche tale software viene solitamente sviluppato per finalità tecniche, ma può essere certamente utilizzato per preparare un assalto.

Ancora più problematica la gestione di programmi particolari, volti a testare la sicurezza del sistema, che, ove utilizzati senza avvertire il titolare dell’elaboratore o del network sottoposti a test, potrebbero concretizzare, sotto il profilo legale, un attacco vero e proprio, dato che, per verificare l’affidabilità delle porte di comunicazione, vengono solitamente utilizzati tools di assalto che tentano di individuare le debolezze del sistema e la reale possibilità di procurarsi un accesso.

L’uso dei comandi di sistema, come di software di assalto, deve sempre essere associato, ovviamente, alla finalità della condotta. Tuttavia, poiché il reato di accesso abusivo è caratterizzato da dolo generico (cioè è sufficiente la coscienza e volontà di compiere l’azione, non è necessario un fine specifico, come il procurarsi un profitto o arrecare un danno), anche operazioni di manutenzione o di verifica del sistema, senza l’autorizzazione del titolare (condotta molto più frequente di quanto non si pensi) sono riconducibili alla fattispecie del delitto tentato di accesso abusivo ad un sistema informatico.

In questo è forse eccessivamente restrittiva la norma in esame, mentre sarebbe auspicabile una maggiore elasticità.

Paragonare l’accesso abusivo ad un sistema informatico a quello domiciliare, infatti, appare quantomeno azzardato. Innanzitutto perché la percezione del reato, in quest’ultimo caso, è immediata e molto più avvertita, dal punto di vista morale, da parte della vittima.

In secondo luogo, mentre l’accesso abusivo, soprattutto a livello di tentativo, è solitamente frutto di puro divertimento o di semplice sfida (salvo che l’elaboratore non appartenga ad aziende i cui dati risultino particolarmente appetibili per i criminali), la violazione di domicilio è generalmente propedeutica alla commissione di altro e più grave reato (furto, rapina, violenza, omicidio, ecc.).

Inoltre, la situazione della sicurezza italiana e talune prassi ormai affermatesi su Internet, sconsigliano di propendere per un’applicazione restrittiva della norma, che inevitabilmente porterebbe alla celebrazione di processi inutili.

Un esempio, per tutti: la riga degli indirizzi web di ciascun programma utilizzabile per la consultazione delle pagine di Internet è in realtà una riga di comando, attraverso la quale, ai sistemi informatici che sovrintendono alla gestione dei siti web, è possibile inviare istruzioni e dati.

Un espediente solitamente utilizzato da alcuni siti che consentono l’accesso a siti pornografici e ad altri servizi a pagamento, consiste nell’associare ai link che rinviano a tali pagine elettroniche la trasmissione di UserId e Password, all’insaputa dell’utilizzatore della pagina, il quale, inconsapevolmente, si rende responsabile del reato di accesso abusivo al sistema.

Nei registri del sistema “bersaglio” risulterà la connessione effettuata dall’ignaro utente, che potrebbe essere perseguito ai sensi dell’art. 615 ter c.p. senza avere la minima consapevolezza di aver commesso un reato.

Ed ancora, il problema di presenta di rilevante gravità in relazione all’attività di un’azienda e alla rete interna che consente ai dipendenti l’accesso ad Internet.

Ove uno di essi, per mera distrazione o per semplice ignoranza, dovesse scaricare un file contenente una backdoor e favorire l’accesso abusivo al sistema da parte di un criminale, potrebbe essere ritenuto responsabile di concorso nel reato di accesso abusivo ad un sistema informatico, non potendosi comprendere, dall’esame dei registri di sistema, se la condotta sia stata volontaria o casuale.

In sostanza, l’art. 615 ter c.p. è, a tutt’oggi, una disposizione ancora parzialmente da definire nella sua applicazione concreta ai fatti quotidiani, ma, soprattutto, già da rivedere in chiave normativa, per evitare che, ad una interpretazione restrittiva, possa creare più problemi di quelli derivanti dall’effettivo pericolo corso dalla collettività in relazione al presunto potenziale lesivo della condotta.

Gianluca Pomante

Lascia una risposta

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *