Il reato di accesso abusivo si configura quando: “Chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza, ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo” (Art. 615 ter Codice Penale).
Il reato in oggetto, punibile con la reclusione fino a 3 anni, prevede delle costanti tra le quali due sono la violazione delle misure di protezione del sistema e la messa in pericolo della riservatezza delle informazioni oppure dei programmi che il sistema informatico attaccato custodisce.
A questo si ricollega l’articolo 32 del Regolamento UE 2016/679 (GDPR) che prevede che il Titolare del trattamento debba mettere in atto misure tecniche e organizzative idonee per garantire un livello di sicurezza adeguato al rischio, al fine di assicurare la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi.
Ciò significa che per garantire la riservatezza delle informazioni archiviate nel proprio sistema informatico dovrà dimostrare di aver adottato misure tecniche e organizzative, comprensive di credenziali e privilegi di accesso. Una semplice password in un dispositivo equivale a un divieto esplicito di accesso.
La norma penale è posta a tutela del diritto alla riservatezza del titolare del sistema informatico e riguarda due tipologie di condotte:
a) L’introduzione abusiva in un sistema informatico o telematico protetto da misure di sicurezza;
b) Il mantenimento nel sistema informatico o telematico contro la volontà espressa o tacita di chi ha il diritto di escluderlo (ius excludendi).
Affinché l’elemento soggettivo del reato si realizzi è sufficiente la coscienza e volontà di introdursi ovvero mantenersi abusivamente nel sistema informatico o telematico (dolo generico).
Per “sistema informatico” si intende “qualsiasi apparecchiatura o gruppo di apparecchiature interconnesse o collegate, una o più delle quali, in base ad un programma, compiono l’elaborazione automatica dei dati”. Mentre, per “sistema telematico” si intendono un insieme di apparecchiature che consentono la trasmissione di dati a distanza.
Il reato si configura con il semplice accesso ad un sistema informatico o telematico, a prescindere dal fine o dalla volontà di poterne trarne beneficio o recare danno all’azienda o a terzi, purché il sistema sia protetto da misure di sicurezza e quindi, come precisato dalla Corte di Cassazione (Cass. Pen. 36721/2008), che non sia aperto a tutti.
Ne conviene che per il legislatore la configurabilità del reato dipende dalla presenza o meno delle misure di sicurezza nel sistema informatico/telematico.
Anche perché è naturale pensare che la prima regola di ogni impresa è quella di difendersi da ogni possibile attacco informatico in grado di recare danno alla propria operatività, al proprio patrimonio, alla propria clientela e, perché no, alla propria reputazione.
Rimane fondamentale per ogni impresa definire un processo autorizzativo per la designazione dei profili di accesso ai sistemi aziendali (è possibile accedere alle aree utili allo svolgimento delle mansioni aziendali dell’utente), adottare delle procedure atte a garantire la tracciabilità degli accessi, cancellare i diritti di accesso ai sistemi informativi alla cessazione del rapporto di lavoro, prevedere l’aggiornamento dei sistemi, predisporre procedure per rilevare e indirizzare tempestivamente le vulnerabilità tecniche dei sistemi, prevedere misure di sicurezza per apparecchiature fuori sede.
Il “whistleblowing” è l’azione di un lavoratore che durante il lavoro segnala, con garanzia di anonimato, possibili illeciti.
CASSAZIONE 22 AGOSTO 2023, N. 35314
