In una recente sentenza la Corte di Cassazione si è pronunciata sul rapporto tra accesso abusivo a sistema informatico e detenzione e diffusione abusiva di codici di accesso a sistemi informatici.

L’art. 615 ter del codice penale prevede che compie accesso abusivo ad un sistema informatico o telematico chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo.

L’accesso abusivo a sistema informatico è un reato sempre molto attuale, infatti sono numerose le sentenze della Corte di Cassazione in merito; meno frequente è il tema della detenzione di codici di accesso.

Proprio in questi giorni si è pronunciata in merito anche all’ulteriore reato che, insieme all’art. 615 ter è posto a tutela del medesimo bene giuridico, ossia il così detto “domicilio informatico”. Stiamo parlando dell’art. 615-quater del codice penale:

Chiunque, al fine di procurare a sé o ad altri un profitto o di arrecare ad altri un danno, abusivamente si procura, riproduce, diffonde, comunica o consegna codici, parole chiave o altri mezzi idonei all’accesso ad un sistema informatico o telematico, protetto da misure di sicurezza, o comunque fornisce indicazioni o istruzioni idonee al predetto scopo, è punito con la reclusione sino a un anno e con la multa sino a cinquemilacentosessantaquattro euro se ricorre taluna delle circostanze di cui ai numeri 1) e 2) del quarto comma dell’articolo 617quater.

Ma andiamo con ordine.

Quali pronunce recenti in merito al solo reato di accesso abusivo?

Così, come era stato considerata colpevole l’accesso da parte dell’ex moglie alla posta elettronica del marito nonostante la conoscenza della password, ancora una volta la Corte di Cassazione si pronuncia su un caso analogo, ossia l’accesso al profilo Facebook da parte del coniuge conoscente delle credenziali d’accesso al fine di precostituirsi la prova in sede di separazione.

La sentenza 2905 del 2019 infatti, richiamando la sentenza n. 52527 del 06/06/2017 precedentemente indicata, afferma che la circostanza che il ricorrente fosse a conoscenza delle chiavi di accesso della moglie al sistema informatico – quand’anche fosse stata quest’ultima a renderle note e a fornire, così, in passato, un’implicita autorizzazione all’accesso – non escluderebbe comunque il carattere abusivo degli accessi sub iudice. Mediante questi ultimi, infatti, si è ottenuto un risultato certamente in contrasto con la volontà della persona offesa ed esorbitante rispetto a qualsiasi possibile ambito autorizzatorio del titolare dello ius excludendi alios, vale a dire la conoscenza di conversazioni riservate e finanche l’estromissione dall’account Facebook della titolare del profilo e l’impossibilità di accedervi. Tale interpretazione è confortata dalla recente Sez. U, n. 41210 del 18/05/2017, Savarese, Rv. 271061, che sia pure rispetto ad una situazione diversa – ha valorizzato contra reo la forzatura dei limiti dell’autorizzazione concessa dal titolare del domicilio informatico da parte di soggetto autorizzato ad accedervi.

Pertanto, anche colui che ha ricevuto spontaneamente le credenziali del titolare di quel domicilio informatico e vi accede per scopi eccedenti le ragioni per cui le aveva ricevute, commette reato.

Accesso abusivo a sistema informatico e detenzione e diffusione abusiva di codici di accesso a sistemi informatici: quando quest’ultimo viene assorbito dal primo?

Sul rapporto tra accesso abusivo a sistema informatico e detenzione e diffusone abusiva di codici di accesso a sistemi informatici si è espressa recentemente la Corte di Cassazione.

Il caso trattato dai giudici di legittimità e giudicato con la sentenza n. 21987/2019, II sez. Penale riguarda

due distinte condotte poste in essere in pari data e con analoghe modalità, ovvero mediante l’utilizzo di codici di accesso a conti correnti bancari fraudolentemente carpiti mediante l’invio di e-mail che sollecitavano l’invio di dati riservati relativi ad un rapporto di c.c. bancario; in tal modo, gli imputati si procuravano fraudolentemente le parole chiave ed i dati riservati di accesso al sistema informatico della banca riferibili alle persone offese dei reati a ciascuno di essi separatamente contestati, vi accedevano abusivamente, intervenendo sui dati riservati inerenti al singolo rapporto bancario, e successivamente procedevano alla ricarica di carte di credito delle quali avevano rispettivamente disponibilità, ciascuno ottenendo in tal modo un ingiusto profitto.

Nella suddetta sentenza la Corte di Cassazione fornisce i criteri per la giusta qualificazione dei fatti accertati, ossia del rapporto che vi è tra accesso abusivo a sistema informatico (art. 615 ter) e detenzione e diffusione abusiva di codici di accesso a sistemi informatici (art. 615 quater), ritenendo – contrariamente a quanto ritenuto dalla Corte d’Appello – che nel caso di specie i due reati non possano concorrere.

In via preliminare, per giungere a tale conclusione i giudici di legittimità svolgono le seguenti considerazioni:

omissis

“3.1.4.3. I predetti reati sono, quindi, posti a tutela del medesimo bene giuridico, ovvero il c.d. “domicilio informatico”, che l’art. 615-quater protegge in misura meno ampia (ovvero limitatamente alla riservatezza informatica del soggetto) e l’art. 615-ter più incisivamente, operando un più ampio riferimento al domicilio informatico tout court, da intendere, in linea con quanto emergente dalla Raccomandazione del Consiglio d’Europa n. 9 del 1989, quale «”spazio ideale” di esclusiva pertinenza di una persona fisica o giuridica», delimitabile prendendo come parametro il domicilio delle persone fisiche, ed al quale risulta estensibile la tutela della riservatezza della sfera individuale, che costituisce bene costituzionalmente protetto.

Lo stesso orientamento innanzi menzionato riconosce che l’art. 615-quater «reprime una serie di condotte prodromiche alla (possibile) realizzazione del delitto di accesso abusivo Corte di Cassazione – copia non ufficiale in un sistema informatico o telematico, protetto da misure di sicurezza, e, quindi, pericolose peri! bene giuridico tutelato attraverso l’art. 615-ter c.p.».

3.1.4.4. Proprio da tali (pacificamente condivise) connotazioni emerge, a parere del collegio con evidenza, che il reato di cui all’art. 615-quater costituisce necessario antefatto del reato di cui all’art. 615-ter, poiché le due fattispecie criminose si pongono in stretta connessione, tutelando entrambe il medesimo bene giuridico, ovvero il domicilio informatico, passando da condotte meno invasive a condotte più invasive, poiché indiscriminate, che, sotto un profilo naturalistico, necessariamente presuppongono le prime.

3.1.4.5. In generale, l’antefatto non punibile ricorre nei casi in cui la commissione di un reato meno grave costituisce ordinariamente strumento per la commissione di un reato più grave.

 Esso (come la progressione criminosa ed il postfatto non punibile) non costituisce fattispecie autonomamente disciplinata, poiché rientra tra i casi di concorso apparente di norme da risolvere ai sensi dell’art. 15 c.p., attraverso una operazione interpretativa che impone la considerazione «congiunta» di due fattispecie tipiche, resa oggettivamente evidente dal fatto che per una di esse, destinata ad essere assorbita nell’altra, sia prevista una sanzione più lieve.”

omissis

La Cassazione quindi conclude affermando il seguente principio di diritto: il reato di detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici (art. 615-quater c.p.) è assorbito – e quindi non concorre – nel più grave rato di accesso abusivo a sistema informatico e telematico – del quale costituisce naturalisticamente un antecedente necessario, sempre che quest’ultimo – come nel caso di specie:

1. è contestato, precedibile e integrato nel medesimo contesto spazio-temporale
2. è in danno alla medesima persona fisica, ossia il titolare del bene protetto

Come accertare il reato di accesso abusivo e detenzione e diffusione abusiva di codici di accesso a sistemi informatici?

È frequente la nomina dei consulenti tecnici di BIT4LAW al fine di accertare il concretizzarsi o meno della condotta di accesso abusivo o la detenzione e la diffusione abusiva di codici di accesso a sistemi informatici.

Infatti, per fare questo sono necessarie specifiche competenze, nonché la conoscenza e il rispetto delle migliori pratiche riconosciute a livello nazionale ed internazionale dalla comunità scientifica relative al trattamento di reperti informatici, che permettano di analizzare i dati – ad esempio i file di log – del sistema o dei sistemi violati acquisendo in modalità forense i supporti informatici utilizzati per commettere il reato.