La tesi da commentare, smentire o semplicemente
criticare…
Dando per presupposte tutte le considerazioni in merito
all’abusività della condotta [1],
con l’espressione “accesso ad un sistema informatico”
il legislatore, nell’art. 615 ter c.p., ha inteso
indicare quella particolare attività di introduzione
in un sistema caratterizzata dal superamento di dispositivi
di sicurezza idonei a proteggere il sistema stesso contro
eventuali comportamenti abusivi.
L' “accesso” a cui si riferisce il legislatore
non appare essere quello relativo al semplice collegamento
fisico, ma piuttosto quello logico in cui è possibile
instaurare un dialogo con l'elaboratore, situazione ottenibile
generalmente dopo aver superato barriere erette a sicurezza
dell'inviolabilità del sistema.
Infatti, con la semplice espressione "accesso ad
un sistema", generalmente, si intende indicare qualunque
attività che, prescindendo dal superamento di barriere
e muri di sicurezza, mette in comunicazione un computer
chiamante con un computer risponditore.
Quello che rileva, però, ai fini dell'art. 615
ter c.p. è solo l'accesso che consente un dialogo
più ampio e profondo con il sistema tale da poter
agire come dominus dello stesso copiando, eliminando,
inserendo o semplicemente modificando i dati e le informazioni
in esso contenute.
In altre parole, non è sufficiente la semplice
comunicazione fisica, ad esempio la chiamata telefonica
via modem o l’accensione dello schermo, che in termini
pratici non consente alcuna azione all’agente ma
occorre un accesso al sistema tale da instaurare un reale
dialogo con il sistema bersaglio.
Il punto di partenza di questo ragionamento è
rappresentato dalla constatazione che la semplice realizzazione
di un contatto che non riesca a sfociare in un dialogo
effettivo con il sistema bersaglio potrebbe, al massimo
e con le ovvie difficoltà probatorie, perfezionare
gli estremi di un tentativo[2] di accesso
al sistema quando gli atti appaiono idonei.
Il tentativo, si ricorda, è caratterizzato dalla
messa in pratica da parte dell’agente di atti idonei
diretti in modo non equivoco a commettere un delitto che
nei fatti non si realizza. In particolare l’idoneità
quale requisito imprescindibile del tentativo deve essere
valuta secondo la dottrina dominante sulla base del c.d.
criterio della prognosi postuma, ossia : « il giudice…,
collocandosi idealmente nella stessa posizione dell’agente
all’inizio della stessa attività criminosa,
deve accertare – alla stregua di una valutazione
operata in base alle conoscenze dell’uomo medio,
eventualmente arricchite delle maggiori conoscenze dell’agente
concreto- se gli atti erano in grado, tenuto conto delle
concrete circostanze del caso, di sfociare nella commissione
del reato».[3]
L’operazione logica da compiere è quindi un
giudizio ex ante e in concreto, in quanto il giudizio
prognostico sebbene realizzato dopo la realizzazione dei
atti è effettuato con la mente rivolta al momento
della stessa realizzazione.
Comunque sia, ritornando all’art. 615 ter c.p.,
ed all’instaurazione di un contatto con il sistema
che non consente un dialogo con lo stesso, bisogna ora
considerare quello che può essere definito come
il limite minimo al di sotto del quale non vi può
essere “accesso” penalmente rilevante.
L’art. 49, secondo comma, c.p. afferma che «la
punibilità è altresì esclusa quando,
per la inidoneità dell’azione o per la inesistenza
dell’oggetto di essa, è impossibile l’evento
dannoso o pericoloso».
Con questa norma il legislatore penale delinea, in estrema
sintesi, la figura del reato impossibile; ossia del reato
ritenuto tale per l’inidoneità dell’azione
posta in essere ovvero per l’inesistenza dell’oggetto
che l’azione doveva ledere o porre in pericolo.
Questa norma di carattere generale si relaziona in modo
particolare con alcune dinamiche relative all’accesso
abusivo a sistemi informatici.
Si immagini, ad esempio, come la disciplina del reato
impossibile per inesistenza dell’oggetto[4]
si relazioni al problema relativo all’esatta identificazione
del comportamento dell’agente che viola un sistema
honeypot, ossia di un sistema informatico-schermo geneticamente
precostituito dal suo titolare per essere attaccato all’insaputa
dello stesso attaccante (carnefice e vittima).
Per quanto riguarda la specifica definizione di accesso,
oggetto del presente ragionamento, può essere analizzata
la definizione che la giurisprudenza prevalente offre
in argomento di reato impossibile di inidoneità
dell’azione.
E’ inidonea l’azione, e quindi è impossibile
il reato, quando la stessa è in concreto inadeguata
ed inefficiente ai fini della realizzazione del proposito
criminoso. L’inidoneità degli atti, valida
ad escludere la figura del delitto tentato, va stabilita
facendo riferimento all’inefficacia intrinseca ed
originaria degli atti stessi a produrre, sotto il profilo
esclusivamente potenziale, l’evento consumativo.
Siffatta inadeguatezza alla produzione del risultato criminoso,
che deve essere apprezzata con giudizio ex ante non può
essere tale che in sé e per sé, indipendentemente
da ogni fattore estraneo che in concreto abbia impedito
la lesione dell’interesse giuridico protetto[5].
Con il reato impossibile il legislatore penale ha inteso
eliminare ogni dubbio relativo all’assoluta irrilevanza
penale di un tentativo che in concreto non si dimostri
idoneo a mettere in pericolo il bene protetto.
«…il tentativo esula, in altri termini, quando
un fatto astrattamente idoneo, al momento dell’azione,
a raggiungere l’obiettivo criminoso perseguito, non
potrebbe in ogni caso sfociare in un delitto consumato
per la presenza di circostanze che ne rendono in concreto
impossibile la realizzazione»[6]
Tutto questo discorso sul tentativo e sul reato impossibile
si pone, quindi, come momento discriminante tra una condotta
idonea o non idonea a realizzare un accesso penalmente
rilevante ai sensi dell’art. 615 ter c.p.
In conclusione, si ha accesso abusivo ad un sistema informatico
penalmente rilevante (tentativo o reato consumato) quando
gli atti posti in essere dall’agente appaiono idonei,
nell’ottica dell’agente e della vittima, a mettere
almeno in pericolo il bene protetto.
…continua…
-----
NOTE
[1] Non tutti gli accessi con cui si
riesce ad instaurare una stretta comunicazione con la
macchina sono rilevanti ex art. 615 ter c.p., rilevando
solo penalmente solo quelli, in ampio senso, non autorizzati.
Per quanto riguarda gli elementi costitutivi della fattispecie
il primo punto da esaminare è l’individuazione
di cosa s’intenda indicare con l’espressione
«sistema … protetto da misure di sicurezza».
La dottrina più attenta nota che: «la precisazione
era senza dubbio doverosa: l’assenza di una fisicità
direttamente percepibile e la possibilità di connettersi
con estrema facilità con sistemi di varia natura
e portata ha imposto al legislatore di definire l’antigiuridicità
degli accessi, limitandola a quelli posti in essere in
presenza di sistemi di sicurezza»(PARODI-CALICE).
La premessa logica è rappresentata, quindi, dalla
volontà palese e manifesta del titolare del diritto
di escludere i terzi da un’area informatica che lo
stesso ritiene di proprio esclusivo dominio. In altre
parole non è sufficiente il semplice accesso ad
un sistema per la venuta in essere del reato di cui all’art.
615 ter c.p., ma è necessario un quid pluris che
metta “in guardia” i soggetti che potrebbero
venire, per svariati motivi leciti e illeciti, a contatto
con il “muro, più o meno spesso, di sicurezza”
eretto a difesa della zona informatica di esclusivo dominio.
[2] PARODI- CALICE, Responsabilità
penali e internet, Milano, 2001, 64.
[3] FIANDACA-MUSCO, Diritto penale, parte
generale, Bologna, terza edizione, 414.
[4] E’ pacifico in giurisprudenza
che la seconda ipotesi di reato impossibile si può
realizzare solo quando l’inesistenza dell’oggetto
dell’azione delittuosa sia assoluta ed originaria
e non già quando essa sia puramente temporanea
ed accidentale (Cass. 11.11.74, Bardelli, Cass. 30.6.78,
Paolini…).
[5] Cass. Sent. 26.4.88.
[6] FIANDACA-MUSCO, op. cit., 432.
