10 Dicembre 2020

L’evoluzione normativa del reato di accesso abusivo ad un sistema informatico o telematico

GIUSEPPE AIELLO

Immagine dell'articolo: <span>L’evoluzione normativa del reato di accesso abusivo ad un sistema informatico o telematico</span>

Abstract

L’accesso abusivo ad un sistema informatico o telematico è stato introdotto dal legislatore italiano con la legge n. 23.12.1993, n. 547 che contempla le forme di aggressione informatica individuate dal Consiglio d’Europa nella raccomandazione del 13.09.1989 n. R. (89) 9, che è il punto di riferimento Internazionale nella lotta ai reati informatici.

***

L’accesso abusivo al sistema informatico e telematico e la violazione della privacy informatica

Con l’introduzione del reato di accesso abusivo ad un sistema informatico o telematico, il legislatore ha voluto assicurare la protezione del c.d. “domicilio informatico”, riconoscendogli una tutela costituzionale.

Il domicilio informatico può essere inteso, sia quale spazio fisico in cui sono contenuti i dati informatici personali e sia quale spazio ideale di pertinenza della sfera individuale privata.

L’accesso abusivo ad un sistema informatico o telematico inizia con la digitalizzazione da parte di intrusori interni (white collar) o esterni (hacker o chatter), delle credenziali di autentificazione dalla propria postazione, garantendo in tal modo il superamento delle misure di sicurezza poste in essere dal suo titolare a protezione del sistema, in modo da consentire all’intrusore di poter conoscere e/o acquisire dati, informazioni, programmi.

Il sistema informatico è continuamente sottoposto ad attacchi di pirateria informatica da parte dei c.d. hacker, i quali, spinti da motivazioni o ideologie politiche, tramite l’ausilio di un personal computer, si collegano o trovano accesso alle banche dati, diversamente dai chatter, utenti appassionati di dialoghi in diretta via tastiera, i quali commettono crimini informatici per puro divertimento.

I crimini informatici che destano particolare allarme sociale sono quelli commessi dai c.d. white collar, ossia da dipendenti di aziende o società che, grazie alla possibilità di accedere facilmente al sistema informatico o telematico (avendo conoscenza dei codici di accesso del sistema operativo dell’ente in cui lavorano), sono in grado di compiere atti indebiti preclusi alla generalità dei consociati, poiché spinti dal conseguimento di un proprio o altrui vantaggio economico.

L’accesso ad un sistema informatico o telematico si considera conseguito con la possibilità di “aprire” liberamente uno dei diversi documenti memorizzati sul sistema che risultano visualizzati sullo schermo, ovvero con il prelievo indesiderato dei dati personali dal domicilio informatico.

La norma, però, sanziona, non solo chi accede abusivamente ad un sistema informatico o telematico, ma anche la condotta del mantenersi in un sistema protetto contro la volontà espressa o tacita del titolare dello jus excludendi.

Il legislatore, anche in tal caso, sanziona la mera permanenza nel sistema e non le attività poste in essere, quali l’effettiva conoscenza di informazioni.

Ad essere sanzionata dal legislatore, inoltre, è anche la condotta di colui che pur essendo autorizzato all’accesso del sistema informatico o telematico, violi i limiti risultanti dal complesso delle prescrizioni contenute in disposizioni organizzative interne (prassi aziendali, clausole contrattuale impartite dal datore di lavoro, ecc…).

Si tratta di un reato di pericolo astratto, in quanto c’è il rischio, che l’agente possa carpire, accendendo nella memoria del computer, quanto più di riservato possa esservi.

 

L’accesso abusivo ad un sistema informatico e telematico: I profili di responsabilità delle persone giuridiche

Con l’introduzione della legge n. 48/2008 è stato esteso l’ambito di applicazione del sistema normativo in tema di responsabilità da reato delle persone giuridiche, anche alle ipotesi di delitti informatici.

Per potersi configurare la responsabilità della persona giuridica, è necessario che il reato sia stato compiuto da soggetti che ricoprono alcuni ruoli all’interno della compagine organizzativa (legale rappresentante, amministratore, direttore di fatto, ecc..), purché la loro condotta sia stata assunta nell’interesse esclusivo o a vantaggio dell’ente.

Tra le sanzioni previste dal d.lgs. n. 231/2001 a carico della persona giuridica per la commissioni di reati, sono da annoverare le sanzioni pecuniarie da commisurarsi in un numero di quote non inferiore a cento e non superiore a mille e le sanzioni interdittive che in genere si applicano congiuntamente alla pena pecuniaria, come possono essere l’interdizione dall’esercizio di una attività, la sospensione o revoca di una licenza, autorizzazione, la revoca di un contributo o il divieto di pubblicizzare beni o servizi.

Inoltre, nei confronti dell’ente è sempre disposta la confisca del prezzo o profitto del reato, fatta eccezione per la parte che può essere restituita al danneggiato, o nei casi in cui l’ente è esente da responsabilità, per avere adottato e attuato i modelli organizzativi previsti dal d.lgs. n.231/2001.

Il ricorso alla confisca, di frequente applicazione, nei casi di condanna della persona giuridica, serve a ristabilire quell’equilibrio economico alterato dal reato-presupposto.

In effetti, l’illecito «amministrativo» da reato, così, come osservato dalla Corte di Giustizia Europea, con sentenza del 12 luglio 2012, C-79/11, come quello all'origine delle imputazioni sulla base del decreto legislativo n. 231/2001 è un reato distinto che non presenta un nesso causale diretto con i pregiudizi cagionati dal reato commesso da una persona fisica e di cui si chiede il risarcimento.

Secondo il giudice del rinvio, in un regime come quello istituito da tale decreto legislativo, la responsabilità della persona giuridica è qualificata come «amministrativa», «indiretta» e «sussidiaria», e si distingue dalla responsabilità penale della persona fisica, autrice del reato che ha causato direttamente i danni e a cui può essere chiesto il risarcimento nell'ambito del processo penale.

Pertanto, le persone offese in conseguenza di un illecito amministrativo da reato commesso da una persona giuridica, come quella imputata in base al regime instaurato dal decreto legislativo n. 231/2001, non possono essere considerate, ai fini dell'applicazione dell'articolo 9, paragrafo 1, della decisione quadro, come le vittime di un reato che hanno il diritto di ottenere che si decida, nell'ambito del processo penale, sul risarcimento da parte di tale persona giuridica.

La Corte di Giustizia Europea, partendo da tali considerazioni ritiene che l’articolo 9, paragrafo 1, della decisione quadro deve essere interpretato nel senso che non osta a che, nel contesto di un regime di responsabilità delle persone giuridiche come quello in discussione nel procedimento principale, la vittima di un reato non possa chiedere il risarcimento dei danni direttamente causati da tale reato, nell'ambito del processo penale, alla persona giuridica autrice di un illecito amministrativo da reato.

Altri Talks