Si è già avuto occasione di dare notizia,
in questa Rivista, della
rimessione alle Sezioni Unite,
da parte della quinta Sezione della Cassazione, della questione relativa all'integrazione del reato di
accesso abusivo ad un sistema informatico o telematico (art. 615
ter c.p.) nel caso in cui l'agente sfrutti le proprie credenziali per scopi e finalità
diverse da quelle in ragione delle quali le ha ricevute
.
Dal pronunciamento delle Sezioni Unite - atteso a breve - dipendono, in specie, le sorti di un maresciallo dei Carabinieri, il quale aveva fornito ad un conoscente dati riguardanti una terza persona tramite l'accesso al sistema informatico dell'Arma (denominato S.I.D., Sistema di Indagine), allo scopo di favorire un'operazione di dossieraggio.
Ciò premesso, pare interessante svolgere qualche breve considerazione, quanto alle prospettive che aprirebbe un'interpretazione più o meno ampia, da parte delle Sezioni Unite, dei concetti di “abusività dell'accesso” e di “mantenimento” di un soggetto entro un determinato sistema informatico.
1. L'ordinanza della Quinta Sezione
La Corte individua il perno delle motivazioni di ricorso presentate dai legali del Carabiniere (e riportate nell'ordinanza di rimessione, a pagina 2) nel carattere “abusivo” (o meno) della condotta posta in essere dall'agente, nel momento in cui egli, utilizzando le credenziali di accesso di cui era detentore autorizzato, trae dal sistema elementi non attinenti alle ragioni per cui esse gli sono state consegnate. La questione verte infatti sul dubbio se il legislatore, individuando un elemento del fatto tipico con l'espressione “accesso abusivo”:
- intendesse fare uso dello strumento penale al fine di proteggere informazioni riservate verso l'accesso da parte di chi non sia stato in precedenza identificato e abilitato,
ovvero, in modo più ampio,
- volesse individuare quale illecito (anche) ogni utilizzo delle credenziali non conforme alle prescrizioni previste dall'ente emittente.
Da tale alternativa discendono alcune conseguenze di non scarsa rilevanza.
La prima, e più evidente, è la possibilità (o meno) di configurare il reato di cui all'art. 615 ter a carico di soggetti legittimamente in possesso di password d'accesso, le quali siano loro fornite solo con un preciso scopo, allorché essi le utilizzino (come nel caso di specie) con modalità o per finalità diverse e ulteriori rispetto alla volontà del gestore dei dati.
Ulteriore e più importante conseguenza della decisione demandata alle SS.UU. in tema di abusività dell'accesso è, però, la reale protezione che l'ordinamento intende riservare ai sistemi informatici, fortemente esposti ad accessi incontrollati, poiché per loro natura “immateriali” e facilmente consultabili da un ampio numero di soggetti.
Si tratta insomma di decidere se un accesso sia intrinsecamente abusivo, e quindi rilevante ai sensi dell’art. 615 ter, ogniqualvolta l'attività dell'agente sia diretta ad una finalità diversa da quella prevista dall'ente emittente, ovvero se tale condotta integri, se del caso, un diverso profilo d'illiceità, non appartenente al gruppo dei “reati informatici”.
Su tale questione sono intervenute alcune importanti sentenze della stessa Corte di Cassazione (richiamate dall'ordinanza annotata), che prendono posizione a favore di una lettura “ampia” della norma, tale per cui si considera abusivo ogni accesso eccedente le finalità per cui le credenziali di autorizzazione sono fornite. Tale lettura individua, pertanto, il bene giuridico tutelato dalla norma in parola nella riservatezza dei dati contenuti nei sistemi informatici, e non nel mero “domicilio informatico” (così, ad esempio, si veda infra Cass. pen., n. 1727/2008, Romano).
2. La giurisprudenza di legittimità sull'art. 615 ter
L'ordinanza di rimessione alle Sezioni Unite offre numerosi spunti di riflessione che traggono linfa dall'ampia casistica giurisprudenziale riportata: sono infatti menzionate sia sentenze che, in adesione all’orientamento estensivo, riconoscono la sussistenza del reato anche se il possesso delle password era di per sé legittimo (punto 3), sia sentenze in cui la Suprema Corte ha, invece, aderito all'interpretazione restrittiva della norma (punto 3a).
La Quinta Sezione, dal canto suo, sembra riservare un maggior favore all'orientamento estensivo, il quale consentirebbe di qualificare senz’altro come “abusiva” la condotta dell'agente dell'Arma dei Carabinieri, che ha sfruttato il sistema informativo interno per scopi assolutamente estranei ai suoi doveri d'ufficio.
I dubbi interpretativi qui discussi originano da una formulazione letterale poco precisa dell’art. 615 ter, laddove si parla di “chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo”.
La scelta di impiegare l'avverbio
“abusivamente”, anziché altre formule meno ambigue (come, ad esempio, “accesso non autorizzato”) risulta, peraltro, in contrasto con la
“Raccomandazione sulla criminalità informatica”, adottata dal Comitato dei Ministri del Consiglio d'Europa il 13 settembre 1989, la quale ha dato impulso all’emanazione, da parte del nostro legislatore, della legge n. 547 del 23 dicembre 1993, introduttiva di alcuni reati c.d. informatici (tra cui quello previsto all’art. 615
bis)
[1]. Tale raccomandazione, citata spesso nelle sentenze che prediligono una lettura restrittiva dell'art. 615
ter c.p.
[2], invita infatti gli Stati contraenti a punire il solo “
accesso non autorizzato a sistemi informatici”, vale a dire l'accesso illegittimo, avvenuto in mancanza di credenziali autentiche.
Questa formula parrebbe invitare i singoli Stati a punire tutti (e solo) quei comportamenti che consistono nell'accedere ad un sistema senza esserne validamente autorizzati da chi detiene il c.d. “ius excludendi”: in altre parole, se non ho ricevuto la password e me la procuro in modo illecito, non posso (e non devo) entrare nel sistema, pena la sanzione; se, invece, l'ho ricevuta, posso utilizzare il sistema liberamente.
Questa seconda ipotesi (accesso autorizzato avvenuto, tuttavia, per finalitá diverse rispetto a quelle per cui l’autorizzazione era stata concessa), pur non integrando un “accesso abusivo”, potrebbero, tuttavia, essere punita in forza di altre norme incriminatrici (a seconda delle circostanze di specie, frode informatica, illecita diffusione di dati personali, rivelazione ed utilizzazione di segreti d'ufficio, ecc.).
Questi argomenti usati dai sostenitori della interpretazione restrittiva dell’art. 615
ter non tengono, tuttavia, conto – come rilevato da altra e contrastante giurisprudenza di legittimità
[3] –, delle concrete modalità e motivazioni in base alle quali determinate credenziali d'accesso sono fornite ai più diversi soggetti, sia nel settore privato che in quello delle Amministrazioni pubbliche, e in particolare delle Forze Armate.
La sentenza Zara del 2000, che aderisce all’orientamento estensivo, afferma che l’analogia con la violazione di domicilio “deve indurre a concludere che integri la fattispecie criminosa (prevista dall'art. 615 ter c.p.) anche chi, autorizzato all'accesso per una determinata finalità, utilizzi il titolo di legittimazione per una finalità diversa e, quindi, non rispetti le condizioni alle quali era subordinato l'accesso. Infatti, se l'accesso richiede un'autorizzazione e questa è destinata a un determinato scopo, l'utilizzazione dell'autorizzazione per uno scopo diverso non può non considerarsi abusiva.”.
La sentenza Romano del 2008, invero, va oltre: nel decidere in merito ad un'ordinanza cautelare relativa a numerosi reati, commessi da un funzionario dell'Agenzia delle Entrate, la Corte pare estendere alla formulazione per così dire “generica” del primo comma dell'art. 615 ter alcune considerazioni riferibili invece al secondo comma, ove si sanziona più gravemente la condotta del pubblico ufficiale che abbia commesso l'accesso al sistema informatico "con abuso dei poteri o con la violazione dei doveri inerenti alla funzione o al servizio".
Questa sentenza critica la precedente sentenza Scimia per non aver considerato la norma nel suo complesso, trascurando quindi di comprendere a fondo quali siano tutte le diverse previsioni in merito al fatto tipico alla base dell'irrogazione della sanzione.
3. Le possibili “vie d'uscita” dal contrasto interpretativo
Dalla lettura delle numerose pronunce in tema, un dato pare comunque emergere con forza: lo strumento informatico, sempre più diffuso non solo nella vita dei privati cittadini ma anche delle amministrazioni pubbliche, non può essere lasciato sprovvisto di tutela penale da parte dell'ordinamento, soprattutto per quanto concerne la gestione e la circolazione dei dati riconducibili a ciascuno di noi.
Sono numerose, invero, le norme che puntano alla tutela delle informazioni, telematiche e non, nonché alla protezione dei sistemi da abusi e violazioni: esempi possono esserne l'art. 167 del c.d. Codice della Privacy (D. Lgs. n. 196/2003) il quale punisce la diffusione senza titolo di dati personali, con pene di una certa gravità, così come l'art. 640 ter c.p. in tema di frodi informatiche (spesso richiamato quale norma a portata più ampia di quella in discorso, che anzi sarebbe ivi ricompresa).
Ma le concrete modalità con le quali le norme di diritto penale devono intervenire, nella loro attuale formulazione, sui c.d. “crimini informatici”, sono fortemente dibattute.
La norma (anche solo considerata nella sua formulazione letterale) pare infatti voler punire sia chi si introduca in un sistema senza averne la “chiave”, sia chi – una volta entrato – si trattenga al suo interno per ragioni diverse che, se portate a conoscenza del soggetto che ha il diritto di escluderlo, ne provocherebbero, appunto, l'esclusione.
Se l'espressione “abusivamente si introduce” non può che significare l'acquisizione senza autorizzazione di credenziali d'accesso, con modalità di più o meno sofisticato hackeraggio dei sistemi informatici, la successiva “vi si mantiene (nei sistemi) contro la volontà espressa o tacita di chi ha il diritto di escluderlo” parrebbe invece voler individuare come fatto tipico rilevante ogni utilizzo contrario alla volontà del fornitore di password.
Nel caso di specie, relativo all'Arma dei Carabinieri si potrebbe quindi provare ad ipotizzare che (a) il giuramento militare, (b) i doveri d'ufficio, nonché (c) eventuali regolamenti interni disciplinino in modo “chiaro” l'accesso al S.I.D. ed il suo utilizzo, nei termini e con le modalità che potrebbero – almeno in via tacita – prefigurare una “volontà di escludere” il militare che violi tali regole, facendo un uso personale (ancor più se pure fraudolento) delle proprie credenziali.
Una tale interpretazione dell'art. 615 ter non pare in contrasto col dato letterale: una lettura integrale della disposizione dovrebbe infatti estender l'applicazione della norma anche ai comportamenti eccedenti rispetto alle finalità dell'autorizzazione di accesso ad un determinato sistema. In questo senso, si potrebbe tentare un'analogia con il caso – invero noto alla giurisprudenza in tema di violazione di domicilio - della “domestica” che si trattenga entro l'abitazione del proprio datore di lavoro ed ivi compia atti ulteriori rispetto al proprio compito: in entrambi i casi, infatti, la volontà contraria (presunta o tacita) di chi ha autorizzato l'accesso diverrebbe, a tutti gli effetti, elemento costitutivo del fatto tipico.
Non dovrebbe valere in senso contrario, secondo chi scrive, il (pur corretto) richiamo alle sopraccitate considerazioni del Consiglio d'Europa in materia di
cybercrimes: se anche là s'invitavano gli Stati contraenti a punire il solo “accesso non autorizzato”, bisognerebbe ammettere che, in base al tenore letterale che pare emergere dalla norma, il legislatore italiano – consapevolmente o meno – abbia deciso di oltrepassare tale posizione, nell'ottica di fornire una tutela piú ampia ai sistemi informatici
[4].
In tal caso, sarebbe poi interessante discutere anche se l'espressione “mantenersi contro la volontà espressa o tacita di chi ha il diritto di escluderlo” intenda o meno considerare un requisito di natura temporale, o invece la concreta finalità dell'accesso.
Nel primo caso, sarebbe punibile il solo agente che, intimato (esplicitamente o non) a lasciare un sistema informatico, vi permanga con le proprie (valide) credenziali. Ciò potrebbe però prospettare, a parere di chi scrive, un conflitto con il principio di offensività, laddove il sistema “violato” non contenga dati degni di tutela, ovvero l'attività posta in essere dall'agente non fosse concretamente lesiva (appunto, l'esempio della domestica di cui sopra).
Nel secondo caso, invece, sarebbe necessario trovare un ancoraggio chiaro e conforme ai principi costituzionali di legalità e tassatività: se la condotta è punibile in base ad una volontà di un soggetto “terzo” rispetto all'agente, come può l'agente rendersi conto di stare commettendo il reato de quo?
Una parziale soluzione, prospettata recentemente dal Tribunale di Brescia (sentenza del 3-30 marzo 2011 n. 293, GUP Dott. Benini, in Corr. merito, 2011, p. 833, con annotazione di Gatta), pare escludere dal novero delle condotte punibili – con un'interpretazione potenzialmente “additiva” – l'attività di un soggetto che, per mera curiosità, si sia trattenuto entro un sistema informatico per cui possedeva le credenziali d'accesso. Il discrimine, in tale caso, sarebbe inerente alle finalità – non illecite – dell'imputato: sarebbe quindi richiesto, per l'attribuzione di un fatto ex art. 615-ter c.p., di un quid pluris (ad esempio, una finalità illecita) che si aggiunga all'elemento materiale del reato.
[1] I reati introdotti dalla l. 547/1993 sono stati successivamente integrati e modificati dalla legge n. 48 del 2008.
[2] V.,
inter alia, Cass. Pen. n. 39290/2008, “Peparaio” (erroneamente indicata in ordinanza come
n. 3290) in merito a finalità estranee a quelle d'ufficio, e Cass. Pen. n. 26797/2008, “Scimia”, in merito – addirittura – a finalità dichiaratamente illecite.
[3] Su tutte, la – diffusamente citata nell'ordinanza – Cass. Pen. n. 1727/2008, “Romano”, nonché la – risalente, ma cara alla Quinta Sezione – Cass. Pen. n. 12732/2000, “Zara”.
[4] Si tenga altresì conto, in tale contesto, che la già citata “lista minima” prevedeva ad esempio, quali condotte da sanzionare, anche l'intercettazione di dati non autorizzata e la riproduzione non autorizzata di programmi protetti: potrebbe allora supporsi che anche tali comportamenti siano stati – almeno nelle intenzioni del Legislatore del 1993 – ricompresi proprio nella norma in esame.
