Nota di redazione: questo è il secondo di una serie di articoli sul tema dei reati informatici, divenuti ormai una realtà affrontata quotidianamente dagli operatori del diritto. L’obiettivo è fare chiarezza sulla disciplina giuridica, sostanziale e processuale, delle principali figure di reato che si manifestano online.
L’accesso abusivo è una fattispecie di reato che si configura quando un individuo si introduce in un “domicilio informatico” protetto, senza il consenso del titolare. In primo luogo, per “domicilio informatico” ci si riferisce alla tutela concessa dal legislatore all’inviolabilità di un sistema informatico.
Al giorno d’oggi tutti possiedono un sistema informatico, si pensi al personal computer, alla casella di posta elettronica, all’account social, al proprio smartphone e quant’altro; e tutti intendono tutelare la propria privacy mettendo in sicurezza i propri sistemi informatici, con una password.
La password, per come è stata intesa dalla Corte di cassazione, equivale ad una chiave, un lucchetto che rivela la chiara volontà del titolare di escludere da quello spazio virtuale soggetti terzi privi di autorizzazione (tant’è che forzare la password equivale alla violazione di domicilio). Violare tale “chiave” integra, quindi, il reato di accesso abusivo disciplinato dall’art. 615ter c.p.
Questa disposizione intende tutelare non soltanto il diritto di riservatezza del legittimo titolare del “domicilio informatico” in ordine ai dati di natura personalissima ivi contenuti ma anche, lo jus exludendi che deve ritenersi spettare al medesimo titolare. Quanto appena affermato trova ampio riscontro nel dictum della Corte di Cassazione risalente al lontano 1999 (sentenza n. 3065).
In tempi più recenti, le Sezioni Unite con la sentenza n. 4694 del 2012 hanno chiarito che “integra il delitto previsto dall’art. 615 ter c.p. colui che, pur essendo abilitato, acceda o si mantenga in un sistema informatico o telematico protetto violando le condizioni ed i limiti risultanti dal complesso delle prescrizioni impartite dal titolare del sistema per delimitarne oggettivamente l’accesso, rimanendo invece irrilevanti, ai fini della sussistenza del reato, gli scopi e le finalità che abbiano soggettivamente motivato l’ingresso nel sistema”. Seguendo questa interpretazione, ne consegue che è illecita anche la condotta di chi si intrattiene in un account dal quale il titolare non abbia, per dimenticanza, effettuato il log-out.
Per i giudici, inoltre, non rilevano le motivazioni soggettive alla base dell’accesso abusivo. Che si tratti di aiutare un amico, di curiosità o di vendetta non è importante: l’accesso non autorizzato è comunque illecito; tant’è che, spesso, questa disciplina risulta fondamentale dal punto di vista processuale. Infatti le indagini difensive non possono oltrepassare i limiti stabiliti dalla giurisprudenza: non è lecito violare la password altrui, neanche per difendersi in giudizio. La Corte di legittimità è stata quanto mai chiara nell’affermare che “nessuna norma giuridica, etica o sociale autorizza la propalazione di notizie ottenute invadendo la sfera privata altrui (che sia la posta, il domicilio, il luogo di lavoro o altro luogo in cui si svolge la personalità umana) per ‘ristabilire un principio morale offeso’, ovvero per consentire la punizione di un comportamento ritenuto – dall’autore – genericamente disdicevole o contrario a regole giuridiche, deontologiche o morali, giacché non è consentito a chiunque, nell’attuale contesto culturale e ordinamentale, farsi giudice dei comportamenti altrui, specie se l’asserita ansia di giustizia origina dall’avversione nutrita verso una controparte processuale”.
Quanto, poi, alla diffusione del materiale di cui si è venuti a conoscenza introducendosi illecitamente in un domicilio informatico, ciò potrebbe dar luogo al concorso di più reati. Oltre all’accesso abusivo, si andrebbero a configurare le fattispecie aggravate di trattamento illecito dei dati personali, e nelle ipotesi di divulgazione di e-mail o sms, anche di violazione della corrispondenza ex art. 616 c.p.
Infine, in relazione alla competenza, le Sezioni Unite hanno stabilito che il luogo in cui si perfeziona il reato è quello dove si trova il client e non il server, vale a dire, in altre parole, il luogo in cui è situato l’utente che, mediante sistema informatico, digitando la password supera le misure di sicurezza applicate dal titolare.