ISSN 2784-9635

L’accesso abusivo a sistema informatico: sicurezza IT e giurisprudenza recente

Cecilia Battistoni - 13/09/2021

L’ampia diffusione dello smartworking al giorno d’oggi, nettamente accelerata dalle restrizioni sui luoghi di lavoro dovute alla pandemia del Covid-19, ha “prestato il fianco” al rischio di condotte di cybercrimes: aziende ed enti pubblici, più o meno strutturati, hanno subito infatti attacchi al loro sistema informatico da parte di hacker (da ultimo, si ricorda la ben nota vicenda del sistema IT della Regione Lazio). In particolare, l’utilizzo di una rete “VPN” da parte dei dipendenti in smartworking, per consentire il collegamento di questi da remoto, ha favorito l’accesso ai sistemi aziendali mediante Pc ed altri strumenti personali non dotati di tutti i presidi necessari ad assicurare un alto livello di sicurezza informatica (o comunque non protetti quanto gli strumenti di proprietà dell’azienda).

L’esigenza di adottare strumenti di sicurezza informatica adeguati risulta dunque sempre più impellente, non solo per impedire le violazioni in tema di tutela dei dati personali, dai risvolti penali e non (D.lgs. 196/2003 “Codice Privacy” e Regolamento Europeo 679/2916 “GDPR”), ma anche e soprattutto per evitare la configurazione dei cosiddetti reati informatici disciplinati dal nostro Codice Penale, ovvero reati compiuti attraverso un utilizzo mirato della tecnologia informatica.

Nello specifico, tali illeciti possono essere causati da accessi non autorizzati o attacchi malevoli effettuati da soggetti esperti di software (i cosiddetti hacker), in grado di accedere a software altrui, di danneggiarli e di estrapolarne i dati, personali o e inerenti al know-how aziendale. Il classico esempio di hackeraggio è la creazione di malware, ovvero di un programma in grado di attivare automaticamente azioni che danneggiano il computer e che vi permettono l’accesso illecito. Tra questi, vi sono in particolare i spyware, ovvero malware utilizzati per introdursi abusivamente in un sistema e carpire le informazioni contenute in questo, che vengono quindi acquisite da un soggetto esterno non autorizzato (trattasi di password per diversi profili di autenticazione, dati personali sensibili, abitudini di navigazione…).

A titolo esemplificativo, gli spyware più noti sono costituiti da mail con campi da completare, finestre o link, che hanno lo scopo di far connettere l’utente a determinati siti o di carpire le informazioni che lo stesso dovrebbe inserire (pratica conosciuta come phishing); oppure, l’hacker esperto potrebbe riprodurre un sito web ufficiale, in modo che l’utente inserisca i propri dati (pratica detta pharming, evoluzione del phishing); ancora, un programmatore potrebbe intercettare passivamente i dati che transitano in una rete telematica attraverso particolari software creati ad hoc, volti apparentemente a risolvere problematiche del dispositivo: tale partica, detta sniffing, può essere utilizzata in maniera fraudolenta per intercettare informazioni quali password di accesso a determinati servizi. Trattasi di pratiche di “ingegneria sociale”, ovvero tecniche di studio del comportamento che un utente tiene online, volte a mettere in atto una sorta di manipolazione psicologica che induce l’utente a compiere un’azione rivelatrice di determinate informazioni utili (come password e login a servizi particolari, a siti web) o a fornire spontaneamente dati personali senza rendersene conto, una volta acquisita la sua fiducia nel sito, nella mail, nel programma creato ad hoc che va a visionare.

Per evitare tale fenomeni, è fondamentale che un’azienda sia dotata di un efficace sistema di sicurezza IT, quindi di tecnologie mirate (antivirus aggiornati, crittografia dei dati, firewall) e processi (doppia autenticazione, modifica frequente di password, back-up dei dati, regolamentazione nell’utilizzo dei pc) volti a proteggere i suoi sistemi operativi, le reti, i programmi e le informazioni da accessi illeciti e conseguenti danni. E’ inoltre importante la formazione dei suoi dipendenti affinché utilizzino correttamente gli strumenti informatici e provvedano a dotarsi di determinati presidi anche al di fuori del luogo di lavoro durante le ore di smartworking, in modo che sia comunque garantita l’integrità fisica (inerente l’hardware) e logico-funzionale (software) del sistema e, soprattutto, dei dati in esso contenuti o scambiati in rete.

Il tema della sicurezza informatica interessa anzitutto l’ambito della privacy e mira ad impedire l’illecito trattamento dei dati personali ed aziendali, secondo la disciplina nazionale e comunitaria; meno immediato è, invece, il legame del tema con l’ambito penale. Nel nostro ordinamento, le pratiche illecite ivi brevemente descritte possono infatti configurare il reato di accesso abusivo a sistema informatico di cui all’art. 615-ter del Codice Penale, sul quale la Corte di Cassazione si è più volte espressa negli ultimi anni, anche alla luce della maggior diffusione dei cybercrimes.

L’art. 615-ter c.p. sanziona con una pena fino a tre anni di reclusione chi si introduce abusivamente in un sistema informatico o telematico protetto da misure di sicurezza o vi si mantiene contro la volontà espressa o tacita (che può già desumersi implicitamente dalle misure di protezione poste in essere) di chi ha il diritto di escluderlo (ad esempio, il proprietario del PC o l’azienda proprietaria del sistema IT violato). E’ previsto un aggravamento della pena se il fatto è commesso da un pubblico ufficiale o da un incaricato di un pubblico servizio, con abuso dei poteri o con violazione dei doveri inerenti alla funzione o al servizio oppure con abuso della qualità di operatore del sistema.

Inoltre, la pena è più grave anche qualora la condotta criminosa comporti la distruzione o il danneggiamento del sistema o dei dati, delle informazioni o dei programmi in esso contenuti o comporti l’interruzione totale o parziale del suo funzionamento; al fine della tutela della privacy, è interessante notare l’attenzione posta dal Codice Penale all’eventuale danneggiamento dei dati, quale conseguenza che ben potrebbe verificarsi a seguito di un attacco informatico. Lo scopo della sicurezza informatica, infatti, è il mantenimento della disponibilità e dell’integrità dei dati, oltre che della loro riservatezza. Tuttavia, non sempre l’accesso si verifica mediante una concreta violazione dei sistemi di sicurezza informatica da parte di un soggetto esperto, ma può riscontrarsi anche in condotte poste in essere da un soggetto “comune” già abilitato ad accedere ad un sistema, quindi in assenza di particolari condotte riconducibili all’ingegneria sociale ed all’uso distorto della conoscenza informatica (le suddette pratiche di hackeraggio).

A questo proposito, la Cassazione penale ha specificato l’elemento fattuale del trattenimento abusivo in un sistema, nel quale originariamente si poteva accedere. Con la sentenza n. 41210 del 2017, le Sezioni Unite hanno ritenuto illecito l’accesso effettuato dal dipendente pubblico che, formalmente autorizzato ad effettuare l’accesso al sistema IT, lo fa per un fine diverso da quello istituzionale per il quale, soltanto, gli è attribuita la facoltà di accesso, concretando uno “sviamento di potere” pur non violando specifiche disposizioni regolamentari ed organizzative. Tale sentenza riprendeva le Sezioni Unite del 2011 (n.4964/2011), secondo le quali la fattispecie di cui all’art. 615-ter c.p. si applica sia quando vengono violati i limiti derivanti da prescrizioni impartite dal titolare del sistema (ad esempio, tramite regolamenti interni all’azienda o presenti nel contratto), sia quando il soggetto pone in essere operazioni “ontologicamente estranee” o comunque diverse da quelle per le quali gli è stato concesso l’accesso.

In seguito, è stata data una maggiore attenzione alle finalità del reo, in quanto a volte il confine tra accesso/mantenimento lecito o illecito è labile: la Corte di Cassazione, con la sentenza n. 34296/2020, ha preso in esame il caso del socio di uno studio professionale associato il quale, volendo avviare un’attività in proprio, aveva copiato dai computer dello studio (ai quali aveva la possibilità di accedere) alcuni file contenenti i dati relativi al patrimonio clienti. In tale caso, la Corte ha dato rilevanza al fine perseguito dall’agente, affermando che, per giudicare della liceità dell’accesso effettuato da chi sia abilitato ad entrare in un sistema informatico, è decisiva la finalità perseguita dall’agente, che deve essere “confacente alla ratio sottesa al potere di accesso, il quale mai può essere esercitato in contrasto con gli scopi che sono a base dell’attribuzione del potere, nonché in contrasto con le regole dettate dal titolare o dall’amministratore del sistema”. Sulla stessa linea, la sentenza n. 72/2021 Cass. pen. ha confermato tale orientamento e ha ritenuto che, per configurare l’accesso abusivo ad un sistema informatico, non rileva la circostanza che le password per accedere al sistema informatico protetto siano state comunicate all’autore del reato, in epoca antecedente, dallo stesso titolare delle credenziali; ciò che rileva è che la condotta abusiva abbia portato ad un risultato chiaramente in contrasto con la volontà della persona offesa ed eccedente i limiti dell’eventuale ambito autorizzato. Pertanto, deve configurarsi nel concreto una intromissione, seppur originariamente permessa, nella consapevolezza di violare le condizioni e/o di esorbitare dalle prescrizioni impartite dal titolare del sistema per delimitare l’accesso.

A questo punto, occorre precisare che il reato di cui all’art. 615-ter c.p. costituisce un “reato presupposto” previsto dal D.Lgs. 231/2001, che disciplina la responsabilità da reato degli enti. Infatti, l’articolo 24-bis del Decreto stabilisce che un ente potrà essere ritenuto responsabile qualora venga compiuto un accesso abusivo a sistema informatico da una persona fisica, dipendente o con un ruolo apicale presso l’ente, se dal reato può derivare un vantaggio per lo stesso ente. Per tale ragione, è opportuno che un ente, oltre a prevenire il verificarsi di cybercrimes ai danni dello stesso, si adoperi per prevenire la commissione di reati informatici da parte di soggetti interni a danni di terzi in quanto, ai sensi dell’art. 24-bis del D.Lgs. 231/2001, potrebbe essere ritenuto responsabile unitamente al reo-persona fisica e subire le relative pene pecuniarie ed interdittive.

Pertanto, in un’ottica di compliance, al fine di prevenire la commissione di reati informatici da parte di soggetti esterni (a danno dell’azienda stessa) ed interni (per i quali l’azienda potrebbe essere assoggettata a procedimento penale ai sensi del D.Lgs. 231/2001), un’impresa dovrebbe anzitutto dotarsi di un adeguato sistema di sicurezza IT e di idonei presidi a tutela della privacy ai sensi del Reg. UE 679/2016 (GDPR), per poi sensibilizzare e formare i suoi dipendenti sul tema; d’altra parte, dovrebbe dotarsi di un modello organizzativo 231/20001 per evitare condotte criminose a danni di terzi commesse a suo vantaggio o comunque per essere ritenuta esente da responsabilità per tali condotte poste in essere da singoli, mettendo in atto una compliance aziendale integrata, efficace su diversi fronti.