ACCESSO ABUSIVO AD UN SISTEMA...

La tesi da commentare, smentire o semplicemente criticare…

Dando per presupposte tutte le considerazioni in merito all’abusività della condotta [1], con l’espressione “accesso ad un sistema informatico” il legislatore, nell’art. 615 ter c.p., ha inteso indicare quella particolare attività di introduzione in un sistema caratterizzata dal superamento di dispositivi di sicurezza idonei a proteggere il sistema stesso contro eventuali comportamenti abusivi.

L' “accesso” a cui si riferisce il legislatore non appare essere quello relativo al semplice collegamento fisico, ma piuttosto quello logico in cui è possibile instaurare un dialogo con l'elaboratore, situazione ottenibile generalmente dopo aver superato barriere erette a sicurezza dell'inviolabilità del sistema.

Infatti, con la semplice espressione "accesso ad un sistema", generalmente, si intende indicare qualunque attività che, prescindendo dal superamento di barriere e muri di sicurezza, mette in comunicazione un computer chiamante con un computer risponditore.

Quello che rileva, però, ai fini dell'art. 615 ter c.p. è solo l'accesso che consente un dialogo più ampio e profondo con il sistema tale da poter agire come dominus dello stesso copiando, eliminando, inserendo o semplicemente modificando i dati e le informazioni in esso contenute.

In altre parole, non è sufficiente la semplice comunicazione fisica, ad esempio la chiamata telefonica via modem o l’accensione dello schermo, che in termini pratici non consente alcuna azione all’agente ma occorre un accesso al sistema tale da instaurare un reale dialogo con il sistema bersaglio.

Il punto di partenza di questo ragionamento è rappresentato dalla constatazione che la semplice realizzazione di un contatto che non riesca a sfociare in un dialogo effettivo con il sistema bersaglio potrebbe, al massimo e con le ovvie difficoltà probatorie, perfezionare gli estremi di un tentativo[2] di accesso al sistema quando gli atti appaiono idonei.

Il tentativo, si ricorda, è caratterizzato dalla messa in pratica da parte dell’agente di atti idonei diretti in modo non equivoco a commettere un delitto che nei fatti non si realizza. In particolare l’idoneità quale requisito imprescindibile del tentativo deve essere valuta secondo la dottrina dominante sulla base del c.d. criterio della prognosi postuma, ossia : « il giudice…, collocandosi idealmente nella stessa posizione dell’agente all’inizio della stessa attività criminosa, deve accertare – alla stregua di una valutazione operata in base alle conoscenze dell’uomo medio, eventualmente arricchite delle maggiori conoscenze dell’agente concreto- se gli atti erano in grado, tenuto conto delle concrete circostanze del caso, di sfociare nella commissione del reato».[3]
L’operazione logica da compiere è quindi un giudizio ex ante e in concreto, in quanto il giudizio prognostico sebbene realizzato dopo la realizzazione dei atti è effettuato con la mente rivolta al momento della stessa realizzazione.

Comunque sia, ritornando all’art. 615 ter c.p., ed all’instaurazione di un contatto con il sistema che non consente un dialogo con lo stesso, bisogna ora considerare quello che può essere definito come il limite minimo al di sotto del quale non vi può essere “accesso” penalmente rilevante.

L’art. 49, secondo comma, c.p. afferma che «la punibilità è altresì esclusa quando, per la inidoneità dell’azione o per la inesistenza dell’oggetto di essa, è impossibile l’evento dannoso o pericoloso».

Con questa norma il legislatore penale delinea, in estrema sintesi, la figura del reato impossibile; ossia del reato ritenuto tale per l’inidoneità dell’azione posta in essere ovvero per l’inesistenza dell’oggetto che l’azione doveva ledere o porre in pericolo.

Questa norma di carattere generale si relaziona in modo particolare con alcune dinamiche relative all’accesso abusivo a sistemi informatici.

Si immagini, ad esempio, come la disciplina del reato impossibile per inesistenza dell’oggetto[4] si relazioni al problema relativo all’esatta identificazione del comportamento dell’agente che viola un sistema honeypot, ossia di un sistema informatico-schermo geneticamente precostituito dal suo titolare per essere attaccato all’insaputa dello stesso attaccante (carnefice e vittima).

Per quanto riguarda la specifica definizione di accesso, oggetto del presente ragionamento, può essere analizzata la definizione che la giurisprudenza prevalente offre in argomento di reato impossibile di inidoneità dell’azione.

E’ inidonea l’azione, e quindi è impossibile il reato, quando la stessa è in concreto inadeguata ed inefficiente ai fini della realizzazione del proposito criminoso. L’inidoneità degli atti, valida ad escludere la figura del delitto tentato, va stabilita facendo riferimento all’inefficacia intrinseca ed originaria degli atti stessi a produrre, sotto il profilo esclusivamente potenziale, l’evento consumativo. Siffatta inadeguatezza alla produzione del risultato criminoso, che deve essere apprezzata con giudizio ex ante non può essere tale che in sé e per sé, indipendentemente da ogni fattore estraneo che in concreto abbia impedito la lesione dell’interesse giuridico protetto[5].

Con il reato impossibile il legislatore penale ha inteso eliminare ogni dubbio relativo all’assoluta irrilevanza penale di un tentativo che in concreto non si dimostri idoneo a mettere in pericolo il bene protetto.

«…il tentativo esula, in altri termini, quando un fatto astrattamente idoneo, al momento dell’azione, a raggiungere l’obiettivo criminoso perseguito, non potrebbe in ogni caso sfociare in un delitto consumato per la presenza di circostanze che ne rendono in concreto impossibile la realizzazione»[6]

Tutto questo discorso sul tentativo e sul reato impossibile si pone, quindi, come momento discriminante tra una condotta idonea o non idonea a realizzare un accesso penalmente rilevante ai sensi dell’art. 615 ter c.p.

In conclusione, si ha accesso abusivo ad un sistema informatico penalmente rilevante (tentativo o reato consumato) quando gli atti posti in essere dall’agente appaiono idonei, nell’ottica dell’agente e della vittima, a mettere almeno in pericolo il bene protetto.

…continua…

-----

NOTE

[1] Non tutti gli accessi con cui si riesce ad instaurare una stretta comunicazione con la macchina sono rilevanti ex art. 615 ter c.p., rilevando solo penalmente solo quelli, in ampio senso, non autorizzati. Per quanto riguarda gli elementi costitutivi della fattispecie il primo punto da esaminare è l’individuazione di cosa s’intenda indicare con l’espressione «sistema … protetto da misure di sicurezza». La dottrina più attenta nota che: «la precisazione era senza dubbio doverosa: l’assenza di una fisicità direttamente percepibile e la possibilità di connettersi con estrema facilità con sistemi di varia natura e portata ha imposto al legislatore di definire l’antigiuridicità degli accessi, limitandola a quelli posti in essere in presenza di sistemi di sicurezza»(PARODI-CALICE). La premessa logica è rappresentata, quindi, dalla volontà palese e manifesta del titolare del diritto di escludere i terzi da un’area informatica che lo stesso ritiene di proprio esclusivo dominio. In altre parole non è sufficiente il semplice accesso ad un sistema per la venuta in essere del reato di cui all’art. 615 ter c.p., ma è necessario un quid pluris che metta “in guardia” i soggetti che potrebbero venire, per svariati motivi leciti e illeciti, a contatto con il “muro, più o meno spesso, di sicurezza” eretto a difesa della zona informatica di esclusivo dominio.

[2] PARODI- CALICE, Responsabilità penali e internet, Milano, 2001, 64.

[3] FIANDACA-MUSCO, Diritto penale, parte generale, Bologna, terza edizione, 414.

[4] E’ pacifico in giurisprudenza che la seconda ipotesi di reato impossibile si può realizzare solo quando l’inesistenza dell’oggetto dell’azione delittuosa sia assoluta ed originaria e non già quando essa sia puramente temporanea ed accidentale (Cass. 11.11.74, Bardelli, Cass. 30.6.78, Paolini…).

[5] Cass. Sent. 26.4.88.

[6] FIANDACA-MUSCO, op. cit., 432.