Le modalità della condotta: accesso e trattenimento abusivi

La norma in esame configura un reato di mera condotta. E' necessario premettere che, in ragione dell'utilizzo di termini semanticamente riferibili alla figura della violazione di domicilio (sulla base della concezione per cui le nuove fattispecie dei reati informatici altro non sarebbero se non un'evoluzione, in chiave tecnologica, di quelle già disciplinate), la condotta che consta nell'”introdursi” o “mantenersi” possa fare impropriamente pensare ad una presenza fisica dell'agente. Si tratta di situazioni differenti rispetto a quanto previsto nella violazione di domicilio poiché descrivono specifiche condizioni di accessibilità a dati, informazioni o programmi o possibilità di copia, trasmissione, modifica, cancellazione ecc., che possono realizzarsi prescindendo dalle condotte fisiche di introduzione e mantenimento generalmente intese in quanto la presenza è da considerarsi “virtuale”. Discutibile è apparsa la scelta del legislatore di delineare la condotta tipica facendo ricorso al termine “introdursi”, probabilmente per seguire l'impronta del delitto di violazione di domicilio, anzichè parlare in termini di accesso. Per intrusione è da intendersi un dialogo

logico con il software di un sistema informatico101, coincidendo con una serie di ordini impartiti alla macchina affinchè esegua determinate operazioni. L'accesso spesso tenderà a coincidere col momento dell'inserimento delle credenziali di accesso.

La condotta della fattispecie in esame quindi richiede una interazione tra l'agente ed il sistema che può realizzarsi o attraverso l'utilizzo fisico di una tastiera collegata a quell'elaboratore o grazie ad una connessione informatica. Di conseguenza non potrebbe considerarsi integrato il reato ex art 615 ter qualora un soggetto legga dati o informazioni già stampati ad opera di altri. E' inoltre importante soffermarsi sull'elemento dell'abusività dell'accesso o del trattenimento: sarà allora evidente la rilevanza, sotto il profilo penale, di accessi o trattenimenti avvenuti in contrasto alle norme del diritto civile e amministrativo. Ricordiamo che nella fattispecie ciò che è sanzionato è l'accesso o la permanenza nel sistema, non l'effettiva presa di conoscenza di dati od informazioni. Proprio con riguardo alla permanenza, essa deve realizzarsi contro la volontà espressa o tacita di chi ha il diritto di escludere. Ancora una volta l'utilizzo di questa formula ha sollevato qualche critica in ambito dottrinale, la quale ha condotto alla conclusione per cui il suo ricorso sarebbe dovuto solo ad esigenze di stile (per ricalcare il modello della violazione di domicilio). E' da escludere che vi sia una differenza sotto il profilo del disvalore della condotta tra l'ipotesi dell'accesso e quella del mantenimento. Difatti, in entrambi i casi, dovrà essere riscontrabile una situazione di abusività.

Tale carattere sarebbe presente ad esempio, con riguardo alla condotta di introduzione, sia nel caso in cui un soggetto outsider trovi il modo di introdursi in remoto nel sistema, sia quando l'insider riesca a

101 I.SALVADORI, Commento a Sentenza Cass.,s.u. 27.10.2011 (dep.7.2.2012),

procurarsi indebitamente le credenziali di accesso al sistema (costituiscono infatti delle misure di sicurezza per parte della dottrina). Molto interessante è soffermarsi sul caso in cui un soggetto, pur avendo titolo per accedere legittimamente al sistema, vi acceda o vi si trattenga utilizzando la password in suo (legittimo) possesso per raccogliere dati o informazioni protette per scopi diversi da quelli a lui consentiti. Paradigmatico, e non raro nella casistica giurisprudenziale, è il caso dell'accesso abusivo da parte dell'insider. Basti pensare ad un dipendente che si introduce in un sistema con la password di servizio per finalità del tutto diverse ed incompatibili come, ad esempio, prelevare dei dati aziendali e trasmetterli ad una società concorrente102. Per quanto concerne l'indebito trattenimento, esso può configurarsi qualora un soggetto (come lo stesso insider), pur inizialmente abilitato ad accedere, permanga nel sistema contro la volontà dell'avente diritto. Questo tema è stato oggetto di un contrasto giurisprudenziale nel quale hanno avuto modo di confrontarsi due orientamenti differenti. Per una parte della dottrina la norma sarebbe pacificamente applicabile anche agli insider che si trattengono nel sistema con finalità differenti da quelle previste dalle loro mansioni. Altri invece focalizzano la loro attenzione sulla “intrusione”, ritenendo che l'art. 615 ter c.p. debba applicarsi solo agli outsider dato che sono definibili come i soggetti non autorizzati ad introdursi nel sistema.L'introduzione abusiva non sarebbe di conseguenza possibile per gli insider i quali andrebbero a rispondere solo delle condotte, illecite, conseguenti all'accesso autorizzato al sistema (si pensi alla rivelazione di segreti ex art. 326 c.p. a titolo di esempio). La Cassazione ha quindi cercato di comporre questo contrasto affermando l'applicabilità del reato in esame anche all'insider, sia nel caso in cui violi condizioni e limiti posti dal titolare,

sia quando comunque vada ad oltrepassare i limiti dell'autorizzazione103.

Inoltre, secondo una parte minoritaria della dottrina, in tal caso non sarebbe configurabile il reato in esame se il soggetto si avvale del trattenimento abusivo al fine di acquisire informazioni per finalità diverse da quelle consentite (ovviamente il soggetto andrebbe incontro a responsabilità penale per altre fattispecie). E' un'opinione che non riesce ad essere completamente persuasiva, dato che rischia di svuotare di significato il trattenimento abusivo nella norma de quo. Questa interpretazione, del resto, può essere utile in una particolare ipotesi: quando l'utilizzo delle informazioni per finalità estranee viene a collocarsi in un contesto temporale diverso, privo anche di un collegamento finalistico con la condotta dell'accesso104. L'accesso, in tal caso, ha una sua autonomia sotto il profilo fenomenico rispetto a quello che sarà l'utilizzo delle informazioni ottenute. Pensiamo al caso in cui, dopo un accesso legittimo, l'utilizzo indebito dei dati appresi legittimamente sia frutto di un atto di volizione nuovo ed autonomo da parte dell'agente.

Le Sezioni Unite hanno avuto modo di accogliere un'interpretazione per la quale il carattere abusivo della introduzione o del mantenimento dell'insider-dipendente sarebbe determinato in base di un contratto, di un regolamento, delle prassi aziendali o di disposizioni di carattere organizzativo attraverso le quali il titolare del sistema (e dello jus excludendi alios) delinea il perimetro spazio-temporale di accesso. Perciò l'abusività andrà apprezzata, nel caso in cui un dipendente acceda/si mantenga nel sistema, non solo verificando la natura protetta del sistema, ma tenendo anche in considerazione le violazioni delle condizioni poste dal titolare del sistema, purchè non si tratti di

103 Cass.,s.u. 27.10.2011 (dep.7.2.2012), n.4694

prescrizioni troppo generiche.