INDICE
Vi è mai capitato di sentire che l’accesso al gestionale aziendale, in aree diverse da quelle a voi attribuite per lo svolgimento dei vostri compiti, potrebbe configurare il reato di accesso abusivo ad un sistema informatico?
Se non sapete di cosa stiamo parlando, e magari qualche volta avete pure avuto voglia di sbirciare alcuni file del vostro capo oppure il profilo Facebook del vostro fidanzato/a o la sua casella e-mail (…tanto so la password!), potrebbe essere utile leggere le righe che seguono.
A volte, infatti, giocare con la tecnologia, soprattutto se altrui, potrebbe essere più rischioso che giocare con il fuoco. Vediamo quindi quali sono i comportamenti che potrebbero assumere rilevanza penale e configurare il reato di accesso abusivo ad un sistema informatico.
Cosa prevede il Codice penale
Ai sensi dell’art. 615 ter c.p., “chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo, è punito con la reclusione fino a tre anni.”
La pena è più severa, ed è della reclusione da uno a cinque anni, se:
- il fatto è commesso da un pubblico ufficiale o da un incaricato di un pubblico servizio, con abuso dei poteri, o con violazione dei doveri inerenti alla funzione o al servizio, o da chi esercita anche abusivamente la professione di investigatore privato, o con abuso della qualità di operatore del sistema;
- il colpevole per commettere il fatto usa violenza sulle cose o alle persone, ovvero se è palesemente armato;
- dal fatto deriva la distruzione o il danneggiamento del sistema o l’interruzione totale o parziale del suo funzionamento, ovvero la distruzione o il danneggiamento dei dati, delle informazioni o dei programmi in esso contenuti.
Cos’è un sistema informatico?
Stando alla Convenzione sulla Cybersicurezza di Budapest del 23.11.2001, un sistema informatico, protetto dalla norma in esame, è “qualsiasi apparecchiatura o gruppo di apparecchiature interconnesse o collegate, una o più delle quali effettuano l’elaborazione automatica di dati in base ad un programma”.
Stiamo parlando quindi di qualsiasi computer, così come il gestionale aziendale, una banca dati oppure l’account email o di un social network.
Quando utilizzare computer altrui configura il reato di accesso abusivo ad un sistema informatico?
Non vi sono dubbi che l’attacco di un hacker, volto ad introdursi illecitamente in un computer per rubare le informazioni che vi sono contenute, configuri il reato in esame.
Se, invece, colui che accede al sistema informatico è legittimamente in possesso delle credenziali, la sua condotta può dirsi abusiva?
Ebbene sì, perché si configura il reato di accesso abusivo ad un sistema informatico anche quando ci si mantiene nel sistema informatico “contro la volontà espressa o tacita di chi ha il diritto di escluderlo”.
Lo scopo è irrilevante perché si configuri il reato
Non serve che l’autore del reato l’abbia commesso per finalità di lucro, per interessi privati o per curiosità. Lo ha precisato la Corte di Cassazione con la recente sentenza n. 15629 del 2022: sono “irrilevanti, ai fini della sussistenza del reato” di cui all’art. 615 ter c.p., cioè appunto di accesso abusivo ad un sistema informatico, “gli scopi e le finalità che abbiano soggettivamente motivato l’ingresso nel sistema”.
L’unica cosa che rileva, quindi, è la volontà di introdursi o mantenersi all’interno di un sistema telematico oltrepassando i limiti e le condizioni imposte dal titolare, a prescindere dall’obiettivo perseguito.
Il furto di dati da parte del dipendente privato
Ritornando ora alla domanda posta all’inizio, è possibile commettere il reato di accesso abusivo ad un sistema informatico in azienda? Sì.
I dati contenuti nei dispositivi messi a disposizione dall’azienda al lavoratore per lo svolgimento delle sue mansioni sono parte del patrimonio aziendale. Per questo motivo il dipendente, pur avendone l’accesso, non ne può disporre liberamente al di fuori delle istruzioni ricevute dal proprio datore di lavoro.
A tal proposito, rimandiamo anche al nostro articolo “Sottrazione di dati aziendali da parte del dipendente: quando è reato e come proteggersi”.
La curiosità dei dipendenti pubblici che configura un accesso abusivo ad un sistema informatico
L’accesso abusivo ad un sistema informatico è un reato molto pericoloso proprio perché commetterlo è più facile di quanto si possa immaginare.
Stando ad una recente sentenza penale, si è di fronte al reato in esame anche nelle ipotesi in cui il dipendente pubblico consulta, per finalità diverse da quelle istituzionali, le informazioni delle banche dati utilizzate dalla Pubblica Amministrazione presso cui è assunto.
Attenzione: non è necessario che il dipendendente si impossessi fisicamente di dette informazioni, copiandole o scaricandole su qualche supporto, basta che le consulti (Cassazione Sezioni Unite n. 41210 del 2017). Secondo la prospettiva dei giudici, infatti, configura il reato di accesso abusivo ad un sistema informatico la condotta del pubblico ufficiale che “acceda o si mantenga nel sistema per ragioni ontologicamente estranee e comunque diverse rispetto a quelle per le quali, soltanto, la facoltà di accesso gli è attribuita”.
Il caso, in particolare, era quello di un Cancelliere della Procura del Tribunale di Busto Arsizio, condannato per essere entrato nel registro informatico delle notizie di reato per verificare lo stato del procedimento penale pendente a carico di un amico, ma assegnato ad un Procuratore diverso da quello per cui il Cancelliere prestava servizio.
L’accesso abusivo alle email
Configura il reato di cui accesso abusivo ad un sistema informativo anche “la condotta di colui che accede abusivamente all’altrui casella di posta elettronica, trattandosi di una spazio di memoria, protetto da una password personalizzata, di un sistema informatico destinato alla memorizzazione di messaggi, o di informazioni di altra natura, nell’esclusiva disponibilità del suo titolare, identificato da un account registrato presso il provider del servizio” (Cassazione penale, sentenza n. 13057 del 2015).
L’accesso a questo “spazio di memoria” costituisce, se compiuta senza autorizzazione nei termini di cui sopra, una violazione penalmente rilevante. Può essere posta in essere, ad esempio, anche da parte del datore di lavoro e/ superiore gerarchico.
Questo perché, quando in un ambiente di lavoro vengono attivate caselle di posta elettronica, protette da password personalizzate e intestate a nome di uno specifico dipendente, quelle caselle rappresentano il domicilio informatico proprio del dipendente. Egli ha pertanto il diritto di escludere chiunque altro dalle stesse, anche i propri superiori.
Per sapere come trattare la casella e-mail degli ex dipendenti potete leggere l’articolo “si possono conservare email ed account dell’ex dipendente?”.
Se l’email è del mio partner?
Spostando l’attenzione anche al di fuori del mondo lavorativo, ci si potrebbe domandare se anche all’interno dei contesti familiari si potrebbe configurare il reato di accesso abusivo ad un sistema informatico. Questo perché è all’attenzione di tutti il fatto che il mondo digitale sia oramai parte integrante della nostra vita quotidiana, anche all’interno delle mura di casa.
Inizia la convivenza e vengono attivate le utenze domestiche. Il gestore del servizio vi offre uno sconto sul prezzo dell’energia elettrica oppure riconosce altre tipologie di vantaggi se rinunciate alle bollette cartacee, attivando la cd. “bolletta web”. Così la fattura vi viene inviata solamente via email.
A questo punto è necessario decidere chi dei due partner si assume la responsabilità di controllare la casella email. Tu o lei/lui? Magari entrambi, utilizzando l’account di uno solo dei due, e così password e nome utente vengono volontariamente condivisi per gestire meglio la vita familiare ed evitare ritardi nei pagamenti.
Sorge quindi spontaneo domandarsi se, in tale contesto, si potrebbe configurare il reato di accesso abusivo ad un sistema informatico? Anche qui, la risposta è SI.
Un caso pratico di accesso non autorizzato agli account del partner
Qualche anno fa, infatti, è stata condannata una donna che, essendo a conoscenza delle credenziali del marito, accedeva alla casella email di quest’ultimo, e, probabilmente per vendicarsi di un tradimento subito, modificava la password impostando una nuova domanda di recupero, piuttosto offensiva.
In questa occasione i giudici hanno evidenziato che essere a conoscenza delle credenziali della casella di posta elettronica del proprio partner non ci autorizza ad utilizzarla come più ci pare e piace.
Anche nei rapporti più intimi, per evitare che il nostro comportamento integri il reato di accesso abusivo a sistema informatico, bisogna fare attenzione alle “istruzioni” che ci vengono date. Esse costituiscono i limiti di utilizzo che dobbiamo rispettare quando utilizziamo la casella di posta elettronica del nostro partner (Cassazione Penale, sentenza n. 52572 del 2017).
Quali precauzioni per evitare che si configuri il reato di accesso abusivo ad un sistema informatico?
Come abbiamo visto, il possesso delle credenziali di autenticazione non impedisce che si configuri il reato di accesso abusivo ad un sistema informatico. Se si accede oltrepassando i limiti che ci sono stati imposti dal titolare del sistema informatico, la condotta può quindi acquistare rilevanza penale.
Per questo motivo, per evitare di commettere azioni penalmente sanzionabili, sarebbe opportuno:
- Se sei un dipendente, pubblico o privato, osservare pedissequamente la Policy di utilizzo dei dispositivi informatici predisposta dal datore di lavoro;
- Se sei il titolare dell’azienda, predisporre protocolli che regolamentano l’accesso ai dispositivi dei lavoratori da parte dei superiori;
- In ambito privato, ottenere un’espressa autorizzazione all’utilizzo, meglio ancora se scritta, ogni qual volta si renda necessario accedere ad un dispositivo informatico del partner, di un conoscente o un familiare.
