E‐commerce, e‐government, home‐banking, trading online, sono tutti termini che immediatamente colleghiamo al rischio di reati informatici, ma in realtà anche l’usuale scambio di posta elettronica sul lavoro intra ed extra aziendale, l’elaborazione e la conservazione di banche dati o documenti aziendali – dall’offerta per partecipare ad una gara, allo sviluppo di progetti o strategie -, ed in generale tutte le attività di ordinario funzionamento dell’impresa che oggigiorno vengono normalmente svolte col supporto di sistemi informatici rientrano sotto diversi profili nel campo di interesse dei c.d cyber crimes, ovvero di quelle specifiche fattispecie di reato che il legislatore ha introdotto, in aggiunta alla tutela ordinaria offerta dal codice penale, per contrastare i fenomeni illeciti collegati all’utilizzo della tecnologia, e che comprendono i casi in cui il sistema informatico può costituire un bersaglio (es. danneggiamento dei sistemi informatici, punito all’art. 635 bis C.p.), come quelli in cui siano strumento per commettere altri reati (es. truffa informatica, commessa inducendo taluno a comunicare propri dati di accesso a portali riservati, c.d. phishing, punito all’art. 640 ter c.p).
Nel panorama delle norme incriminatrici, rientra l’art. 615 ter del Codice penale che punisce l’accesso abusivo a sistema informatico e che è stato introdotto nel nostro ordinamento nell’ormai lontano 1993, in accoglimento della Raccomandazione del Consiglio d’Europa sulla criminalità informatica del 1989 contro l’incremento diffuso di “manipolazioni informatiche, danneggiamento dei dati e spionaggio informatico” che l’esperienza criminologica cominciava a registrare sia da parte di c.d. “hacker”, sia da parte di dipendenti infedeli.
La norma punisce chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo. Tende quindi ad assicurare una protezione a qualunque ambiente informatico o telematico che contiene/trasmette dati che devono rimanere riservati e conservati al riparo da ingerenze ed intrusioni di chiunque potrebbe manipolarli fraudolentemente, danneggiarli e, soprattutto, conoscere e riprodurre.
La giurisprudenza in questi anni ha potuto soffermarsi praticamente su ogni elemento costituivo della condotta del reato, chiarendo a quali condizioni l’introduzione possa definirsi “abusiva“, cosa si debba intendere per “sistema” informatico o telematico, in che cosa debbano consistere le “misure di sicurezza” approntate che costituiscono il presupposto imprescindibile per la configurabilità del reato e quindi il conseguimento della legittima tutela.
Tutte le pronunce della Suprema Corte tendono a garantire la più ampia tutela ed a considerare l’ambiente informatico un luogo inviolabile, delimitato da confini virtuali, paragonabile allo spazio privato dove si svolgono le attività domestiche. Per questo la fattispecie è stata inserita nella Sezione IV del Capo III del Titolo XII del Libro II del codice penale, dedicata ai delitti contro la inviolabilità del domicilio, che deve essere inteso come luogo, anche virtuale, dove l’individuo esplica liberamente la sua personalità in tutte le sue dimensioni e manifestazioni. Allo stesso modo per sistema informatico si deve intendere qualsiasi apparecchio, indipendentemente dalle dimensioni (dal telefono al pc ai più grandi serve aziendali) e dalle prestazioni, comunque in grado di compiere una elaborazione di dati finalizzata all’espletamento di determinate funzioni ed al raggiungimento di specifiche utilità.
Condizione necessaria, ma anche da sola sufficiente, a integrare il reato è il superamento della barriera di protezione del sistema che «rende possibile il dialogo con il medesimo, in modo che l’agente venga a trovarsi nella condizione di conoscere dati o informazioni» (Cass. V, n. 37322/2008), posto che «è in quel momento che può dirsi realizzata la situazione di pericolo per la riservatezza dei dati e dei programmi memorizzati dall’elaboratore, che giustifica l’intervento della sanzione penale».
Sempre in tema di superamento della barriera di protezione, è stato anche chiarito che la norma ha inteso reprimere ogni incursione che avvenga contro la precisa volontà del titolare e, per rendere penalmente apprezzabile il segnale esteriore del concreto esercizio della volontà di esclusione dei terzi, con la formula “protetto da misure di sicurezza” , si deve intendere qualsiasi presidio anche consistente in una banale e semplice password facilmente aggirabile. Di più, «la protezione del sistema può essere adottata anche con misure di carattere organizzativo, che disciplinino le modalità di accesso ai locali in cui il sistema è ubicato e indichino le persone abilitate al suo utilizzo» (Cass. V, n. 37322/2008).
Come è agevole comprendere le condotte perseguibili sono tanto quelle di chi aggira le protezioni, accedendo a dati a cui non avrebbe legittimo accesso, tanto quelle di chi abusa della conoscenza delle protezioni compiendo su dati legittimamente disponibili operazioni a cui non sarebbe abilitato; i casi di scuola sono quelli del dipendente infedele che compie operazioni di copiatura abusiva di files, in pendenza del rapporto di lavoro o successivamente alla sua cessazione.
La brevissima analisi sia dunque da monito per ricordare l’importanza per ogni azienda di curare attentamente la parte del regolamento interno sull’utilizzo del computer e dei telefoni che definisce il legittimo accesso ed utilizzo dei dati da parte delle diverse figure aziendali, le modalità di accesso, le operazioni eseguibili, le modalità di salvataggio e protezione dei files, degli archivi, in modo da costruire preventivamente un perimetro chiaro dei comportamenti legittimi, presupposto per evitare ed eventualmente veder reprimere qualunque condotta patologica.