Sugli elementi costitutivi e sulle caratteristiche del reato di accesso abusivo a sistema informatico o telematico e sul problema del locus commissi delicti

Tempo di lettura stimato:3 Minuti, 59 Secondi

Il reato di accesso abusivo ad un sistema informatico o telematico è previsto dall’art. 615-ter c.p. che, a presidio della riservatezza informatica e della sicurezza dei dati di un sistema informatico o telematico, punisce chiunque si introduca in un tale sistema protetto da misure di sicurezza oppure vi si mantenga contro la volontà espressa o tacita di chi ha il diritto di escluderlo.

Benché non siano affatto la stessa cosa, il legislatore italiano censura l’accesso abusivo al sistema informatico o telematico, alla stregua della violazione di domicilio, perciò è sostanzialmente identico il trattamento sanzionatorio.

Va detto che non è necessaria una aggressione fisica al sistema informatico o telematico, tale delitto si perfeziona, infatti, quando un soggetto accede senza autorizzazione ad un qualsiasi sistema informatico o telematico, anche a distanza, o ivi si mantiene.

Gli elementi oggettivi del reato sono due:

l’accesso al sistema, indipendentemente se sia protetto o meno da credenziali d’accesso (in tal caso l’accesso può avvenire inserendo le credenziali di accesso o aggirando le stesse);
il contrasto della volontà dell’avente diritto, espressa o tacita (cioè desumibile dalle istruzioni impartite direttamente o indirettamente dall’avente diritto, dalle policy aziendali o dalle circostanze).

Con riguardo all’elemento soggettivo, è richiesto il dolo generico, e cioè la coscienza e volontà di introdursi o di permanere in un sistema, senza avere il consenso dell’avente diritto. Ma per la Suprema Corte è da considerarsi colpevole anche chi si introduce o permane nel sistema per finalità diverse da quelle consentite «pur non violando le prescrizioni formali impartite dal titolare».

Ed infatti le Sezioni Unite con la sentenza n. 41210/2017 hanno sul punto affermato il seguente principio di diritto: «Integra il delitto previsto dall’art. 615-ter comma 2 n. 1 c.p. la condotta del pubblico ufficiale o dell’incaricato di pubblico servizio che, pur essendo abilitato e pur non violando le prescrizioni formali impartite dal titolare di un servizio informatico o telematico protetto per delimitarne l’accesso, acceda o si mantenga nel sistema per ragioni ontologicamente estranee e comunque diverse rispetto a quelle per le quali, soltanto, la facoltà di accesso gli è attribuita».

Per questa fattispecie di reato, sono previste tre aggravanti:

se il colpevole è un pubblico ufficiale o un incaricato di un pubblico servizio, o un investigatore privato, od operatore del sistema;
se il colpevole usa violenza sulle cose o alle persone, ovvero se è palesemente armato;
se viene distrutto o reso inservibile, in tutto o in parte, il sistema bersagliato ovvero i dati o i programmi ivi contenuti.

In tali ultime ipotesi aggravate il reato è procedibile d’ufficio, ma è anche punibile a querela della persona offesa.

Quanto invece al momento della consumazione reato esso coincide con l’effettiva instaurazione di un dialogo logico con l’elaboratore, in violazione della volontà del titolare del sistema, pertanto per integrare tale fattispecie di reato non basta la mera immissione delle credenziali informatiche. Va detto però, con riguardo alla condotta omissiva del “mantenimento”, invece, la consumazione del reato coincide con la scadenza del “termine” fissato per effettuare il log-out dal sistema.

Il tentativo non è ammissibile.

Secondo la giurisprudenza di legittimità, il luogo di consumazione del delitto è quello in cui si trova il soggetto agente che pone in essere la condotta di accesso abusivo, introducendosi o mantenendosi nel sistema informatico altrui. Tal tesi, sebbene da ritenersi maggioritaria, ad avviso di chi scrive non tiene conto però del fatto che la maggior parte degli accessi non autorizzati a sistemi informatici o telematici viene oggi commessa servendosi di Internet Services Provider che si trovano in luoghi diversi da quello in cui opera effettivamente il reo, rendendo così la verifica del luogo effettivo quanto mai complessa ed onerosa.

Sarebbe dunque più opportuno ritenere, a nostro sommesso avviso, che il locus commissi delicti di tale reato coincidesse invece con il luogo in cui si trova il server del sistema violato, abbandonando quindi l’idea di virtualità per quella di fisicità dell’accesso informatico. L’impostazione della S.C., infatti, incardinando la competenza territoriale presso ogni luogo in cui abbia materialmente accesso l’operatore remoto – mediante pressione del tasto “log-in” o “invio” – o si verifichi il “dialogo” fra i sistemi interconnessi, di cui il database possiede una valenza circolare o diffusa – non fa altro che determinare, in realtà, notevoli complicazioni per l’accertamento investigativo (non essendo sufficiente, di fatto, il ricorso ai criteri suppletivi ex art. 9 c.p.p.).

Per approfondire:

- Cass. pen., SS.UU., 8 settembre 2017 (ud. 18 maggio 2017), n. 41210;; 

- A. Cadoppi, S. Canestrari, A. Manna, M. Papa, Cybercrime, Padova, 2023; 

- C. Frediani, Cybercrime, Milano, 2019; 

- K. Mitnick, Il fantasma nella rete. La vera storia dell'hacker pi+ ricercato del mondo, Milano, 2014; 

- G. Ziccardi, Hacker, Venezia, 2011.

Bio
Ultimi Post

Nicola Nappi

⚖️ Diritto commerciale, assicurativo, bancario, delle esecuzioni, di famiglia. Diritti reali, di proprietà, delle locazioni e del condominio. IT Law. a Studio Legale Nappi

*Giurista, Master Universitario di II° livello in Informatica Giuridica, nuove tecnologie e diritto dell'informatica, Master Universitario di I° livello in Diritto delle Nuove Tecnologie ed Informatica Giuridica, Corso di Specializzazione Universitario in Regulatory Compliance, Corso di Specializzazione Universitario in European Business Law, Corso di Perfezionamento Universitario in Criminalità Informatica e Investigazioni digitali - Le procedure di investigazione e di rimozione dei contenuti digitali, Corso di Perfezionamento Universitario in Criminalità Informatica e Investigazioni digitali - Intelligenza Artificiale, attacchi, crimini informatici, investigazioni e aspetti etico-sociali, Master Data Protection Officer, Consulente esperto qualificato nell’ambito del trattamento dei dati.

Ultimi post di Nicola Nappi (vedi tutti)

Sui profili del trasferimento dei dati nell’ambito del cloud computing - Luglio 14, 2024
Riflessioni a margine del convegno di Informatica Giuridica dell’Osservatorio permanente delle novità giurisprudenziali di legittimità del Consiglio dell’Ordine degli Avvocati di Napoli - Luglio 10, 2024
Sulla nozione di trasferimento dei dati personali - Luglio 1, 2024
Sul principio della net neutrality - Giugno 24, 2024
Quando è obbligatorio nominare il D.P.O. - Giugno 17, 2024

Cookie	Durata	Descrizione
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Per approfondire:

Nicola Nappi

Ultimi post di Nicola Nappi (vedi tutti)

Correlati