Premessa
La sentenza adottata dalla Corte di Appello di Bologna, del 30 gennaio 2008, getta nuova luce sulla interpretazione[1] dell’art. 615[2] ter del c.p. e punisce la diffusione di worm[3] a prescindere dalla consapevolezza dell’accesso abusivo presso altri sistemi informatici[4]. Allo stesso tempo ritiene non sussistere alcuna delle circostanze aggravanti disciplinate dal sopra citato articolo.
La sentenza
La vicenda ha inizio nell’anno 2001 allorchè si viene a conoscenza della esistenza di un codice auto replicante, denominato Vierika e prodotto da un hacker italiano, trasmesso in via informatica al provider “Tiscali” e tramite questo inviato a circa 900 utilizzatori del provider.
Il Tribunale di Bologna condanna in primo grado l’imputato alla pena di sei mesi di reclusione sostituita con la sanzione pecuniaria ai sensi dell’art. 53 L. 689/81, in quanto ritiene sussistere la fattispecie di cui all’art. 615 ter c.p. relativamente “…omissis alla sussistenza degli elementi costitutivi e tipizzanti del delitto di accesso abusivo a sistema informatico.”.
Invece, nella motivazione della sentenza adottata dal giudice di secondo grado emerge che ‘Vierika’ “è un’ internet worm’ …omissis…i cui effetti derivano dalla integrazione di due script[5] differenti…omissis …il primo script (la prima parte del virus) era inviato come attachment ad una email…omissis…nella mail ricevuta dal destinatario appariva però solo il nome Vierika.jpg…” Tale estensione presuppone la esistenza di un file composto da immagini. “ Il destinatario della mail, accettando l’allegato, mascherato con il nome che suggeriva l’immagine di Vierika, installava invece a sua insaputa nel proprio computer il file Vierika.jpg.vbs.”
Detto file conteneva il secondo script finalizzato a produrre un comando con il quale spedire messaggi a destinatari, in maniera esponenziale, utilizzando come indirizzi di posta elettronica quelli contenuti nel sistema Outlook.
Tali messaggi contenevano un virus ad effetto replicante e con diffusione esponenziale.
La condotta dell’attore è ritenuta essere di tipo fraudolento anche dal giudice di appello in quanto idonea ad indurre in errore l’utente che riceveva la mail “Vierika is here” e cliccando per aprire la supposta figura si vedeva introdurre a sua insaputa un programma che all’interno del suo sistema operativo inviava a tutti gli indirizzi contenuti nella rubrica di posta elettronica l’email con effetto autoreplicante.
In sede di appello la difesa proponeva la tesi della mancata configurazione della fattispecie di cui all’art. 615 ter c.p. in quanto l’accesso ad un altro sistema operativi era sì avvenuto ma solo al primo della catena in quanto i successivi accessi non erano conosciuti dall’autore poiché il programma si autoreplicava in base agli indirizzi di posta elettronica presenti nel precedente computer visitato.
A parere della Corte una interpretazione della norma di questa portata sarebbe oltremodo riduttiva in quanto non terrebbe conto delle finalità poste dal legislatore nell’inserire l’art. 615 ter c.p. quale argine a difesa del domicilio informatico.
Da una interpretazione letterale, oltre che sistematica, della norma appare come l’articolo in questione presupponga o la abusività dell’accesso al sistema oppure la permanenza invito domine; non è, invece, richiesto quale ulteriore requisito “l’effettiva conoscenza, da parte dell’agente, dei dati protetti”.
A sostegno della sua argomentazione la Corte afferma che “omissis è nel prelievo indesiderato dei dati personali dal domicilio informatico che va individuato il vero bene personalissimo protetto dalla norma, e non tanto dalla conoscenza o conosciblità di quelli da parte del soggetto agente.”
Circa la argomentazione prodotta dall’appellante in merito alla mancata elusione di misure di sicurezza informatiche in quanto le impostazioni di protezione di Internet Explorer non possono essere ritenute tali ma semplicemente delle ‘opzioni di configurazione del sistema’, la Corte rileva che dette impostazioni “omissis… regolano l’esecuzione automatica di download e contenuti attivi durante la navigazione Internet, permettendo di configurare diversi livelli di protezione, con richiesta o meno di conferma da parte dell’utente e con eventuali barriere automatiche per determinati programmi o contenuti attivi. Esse quindi non possono che rientrare nella nozione di ‘misure di sicurezza’ a protezione del sistema; omissis…attinenti esclusivamente non alla configurazione di Explorer (modalità di fruizione) ma alla maggiore o minore interazione passiva del sistema informatico, connesso al web, dall’esterno verso il suo interno.”
Sulla scorta di quanto argomentato si conferma il giudizio di sussistenza del reato in esame.
La Corte reputa, però, non presenti gli elementi aggravanti in quanto sia la installazione che il, successivo, funzionamento del worm denominato Vierika non hanno danneggiato il sistema operativo.
Diverso ragionamento deve, invece, farsi a proposito della ‘alterazione’ del programma informatico che si realizza quando gli si fanno compiere azioni non volute dall’utente oppure vengono modificati i parametri di riferimento.
A detta della Corte la condotta dell’agente rientra a pieno titolo nella ipotesi della alterazione, regolamentata dall’art. 615 quinquies c.p., in quanto “Non altrimenti che alterazione è definibile l’azione occulta ed indesiderata di modificazione del registro di Windows, attraverso i comandi di programma Vierika…omissis …che modificavano l’home page predefinita del browser, ed abbassando al minimo le protezioni; non altrimenti che alterazione di funzionamento sono definibili il comando e l’azione occulte di mass mailing.”
Commento
La sentenza presa ad esame rappresenta, indubbiamente, una apertura da parte della magistratura nella interpretazione di una norma in materia di criminalità informatica rispetto alla quale in passato ci si era, forse, limitati ad un approccio di basso profilo, basato su una interpretazione restrittiva della fattispecie che non teneva conto della specificità rappresentata materia attinente, appunto, il crimine informatico nelle sue varie forme attuative.
A tale proposito non può non menzionarsi la sentenza n. 3067 del 4.10.1999 adottata dalla Cass. Pen. che in merito all’oggetto giuridico della tutela approntata attraverso l’art. 615 ter dispone che il legislatore – inserendo la norma nella sezione IV del capo III del titolo XIII del libro II “Ha preso a parametro il “domicilio fisico” dell’individuo…” ed in questo modo ha inteso “…assicurare la protezione del “domicilio informatico”, quale spazio ideale (ma anche fisico in cui sono contenuti i dati informatici ), di pertinenza della persona, al quale estendere la tutela della riservatezza della sfera individuale, quale bene anche costituzionalmente protetto (art. 14 cost.)…”. In merito alla estensione da attribuire alla tutela garantita dall’art. 615 ter la suprema Corte individua due teorie che riporta nella sentenza de quo: “ …lo scopo avuto di mira dal legislatore (è) stato quello di tutelare soltanto i contenuti personalissimi (cioè attinenti al diritto alla riservatezza della vita privata) dei sistemi informatici…mentre vi è chi riconosce che la norma in parola debba estendersi nel senso che essa abbia ad oggetto lo jus exludendi del titolare del sistema informatico, quale che sia il contenuto dei dati racchiusi in esso, purchè attinente alla propria sfera di pensiero o alla propria attività…”.la Corte adotta il secondo indirizzo poiché la norma non opera distinzioni tra sistemi a seconda dei contenuti.
In riferimento alla tematica avente ad oggetto le misure di sicurezza e, quindi, la loro rilevanza ai fini della realizzazione della fattispecie, precedenti pronunce giurisprudenziali (sentenza del 21 aprile 2000, del Trib. Pen. di Roma ) avevano sancito il non luogo a procedere nel caso in cui le misure di sicurezza in atto non fossero state ritenute adeguate ad un determinato standard al di sotto del quale non si configura il reato in oggetto.
Su tale argomento, a nostro avviso cruciale nella delimitazione della fattispecie criminosa, va registrato un altro pronunciamento, questa volta ai massimi livelli, da parte della Cass. Pen., sentenza n. 12732 del 6 dicembre 2000 che è di diverso avviso, in quanto “…omissis la violazione dei dispositivi di protezione del sistema informatico non assume rilevanza di per sé, bensì solo come manifestazione di una volontà contraria a quella di chi del sistema legittimamente dispone. Non si tratta perciò di un illecito caratterizzato dall’effrazione dei sistemi protettivi…ma si tratta di un illecito caratterizzato appunto dalla contravvenzione alle disposizioni del titolare, come avviene nel delitto di violazione di domicilio, che è stato notoriamente il modello di questa nuova fattispecie penale, tanto da indurre molti a individuarvi, talora anche criticamente, la tutela di un domicilio informatico. …certo è necessario che l’accesso al sistema informatico non sia aperto a tutti…Ma deve ritenersi che, ai fini della configurabilità del delitto, assuma rilevanza qualsiasi meccanismo di selezione dei soggetti abilitati all’accesso al sistema informatico, anche quando si tratti di strumenti esterni al sistema e meramente organizzativi, in quanto destinati a regolare l’ingresso stesso nei locali in cui gli impianti sono custoditi”. Continuando, “…Omissis L’analogia con la fattispecie della violazione di domicilio deve indurre a concludere integri la fattispecie criminosa anche chi, autorizzato all’accesso per una determinata finalità, utilizzi il titolo di legittimazione per una finalità diversa e, quindi, non rispetti le condizioni alle quali era subordinato l’accesso. Infatti, se l’accesso richiede un’autorizzazione e questa è destinata a un determinato scopo, l’utilizzazione dell’autorizzazione per uno scopo diverso non può non considerarsi abusiva” E’ chiaro il riferimento alla ipotesi che si realizza qualora ad un accesso autorizzato, ad es. ad un operatore di sistema, faccia seguito una permanenza all’interno del sistema per un fine diverso da quello che ha legittimato l’accesso stesso.
Sempre la Cass. Sez. III pen., con Sentenza 31 luglio 2003, n. 32440[i], ha stabilito che i “ delitti di cui agli articoli 615-quater, 615-ter…collocati entrambi tra quelli contro l’inviolabilità del domicilio perché si è ritenuto che i sistemi informatici costituiscano “un’espansione ideale dell’area di rispetto pertinente al soggetto interessato, garantito dall’articolo 14 della Costituzione e penalmente tutelata nei suoi aspetti più essenziali e tradizionali agli articoli 614 e 615 del c.p.”.inoltre, “…l’incriminazione dell’accesso abusivo al sistema informatico altrui (articolo 615-ter c.p.) è sostanzialmente finalizzata a contrastare il rilevante fenomeno degli hackers, e cioè di quei soggetti che, servendosi del proprio elaboratore, collegato con la rete telefonica, riescono ad entrare in comunicazione con i diversi sistemi informatici che a quella stessa rete sono collegati, aggirando le misure di protezione predisposte dal titolare del sistema”.
Conclusione
Come giustamente è stato rilevato[ii], l’avverbio “chiunque” che apre l’art. 615-ter cp vuole indicare che tutti possono essere i potenziali soggetti attivi della fattispecie criminosa
L’interesse[6] tutelato dal legislatore è la privacy informatica e la riservatezza dei dati memorizzati nei sistemi informatici e telematici.
La norma vuole colpire chiunque si introduce nei pc di altri soggetti senza dirlo e, a ben vedere, tale condotta non viene posta in essere solo dagli hacker ma anche da chi utilizzando sistemi di monitoraggio è in grado di accedere ai sistemi. Ci riferiamo, quindi, ai provider, alle ditte di software, alle aziende, alle stesse istituzioni[iii] !.
Dott. Giovanni Modesti[7]
[1] Sull’argomento sia consentito rimandare a Modesti G., Commento al reato di accesso abusivo ad un sistema informatico, di cui all’art. 615-ter c.p., alla luce delle pronunce giurisprudenziali, su www.filodiritto.com/diritto/privato/informaticagiuridica/accessoabusivosisinformaticogiurispmodesti.htm; ottobre 2005; e su www.diritto.it/archivio/1/20950.pdf; (2005)
[2] Art. 615 ter Accesso abusivo ad un sistema informatico o telematico 1. Chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volonta’ espressa o tacita di chi ha il diritto di escluderlo, e’ punito con la reclusione fino a tre anni. 2. La pena e’ della reclusione da uno a cinque anni:
1) se il fatto e’ commesso da un pubblico ufficiale o da un incaricato di un pubblico servizio, con abuso dei poteri o con violazione dei doveri inerenti alla funzione o al servizio, o da chi esercita anche abusivamente la professione di investigatore privato, o con abuso della qualita’ di operatore del sistema; 2) se il colpevole per commettere il fatto usa violenza sulle cose o alle persone, ovvero se e’ palesemente armato; 3) se dal fatto deriva la distruzione o il danneggiamento del sistema o l’interruzione totale o parziale del suo funzionamento, ovvero la distruzione o il danneggiamento dei dati, delle informazioni o dei programmi in esso contenuti. 3. Qualora i fatti di cui ai commi primo e secondo riguardino sistemi informatici o telematici di interesse militare o relativi all’ordine pubblico o alla sicurezza pubblica o alla sanita’ o alla protezione civile o comunque di interesse pubblico, la pena e’, rispettivamente, della reclusione da uno a cinque anni e da tre a otto anni. 4. Nel caso previsto dal primo comma il delitto e’ punibile a querela della persona offesa; negli altri casi si procede d’ufficio. (Articolo aggiunto dall’art. 4, L. 23 dicembre 1993, n. 547)
1) se il fatto e’ commesso da un pubblico ufficiale o da un incaricato di un pubblico servizio, con abuso dei poteri o con violazione dei doveri inerenti alla funzione o al servizio, o da chi esercita anche abusivamente la professione di investigatore privato, o con abuso della qualita’ di operatore del sistema; 2) se il colpevole per commettere il fatto usa violenza sulle cose o alle persone, ovvero se e’ palesemente armato; 3) se dal fatto deriva la distruzione o il danneggiamento del sistema o l’interruzione totale o parziale del suo funzionamento, ovvero la distruzione o il danneggiamento dei dati, delle informazioni o dei programmi in esso contenuti. 3. Qualora i fatti di cui ai commi primo e secondo riguardino sistemi informatici o telematici di interesse militare o relativi all’ordine pubblico o alla sicurezza pubblica o alla sanita’ o alla protezione civile o comunque di interesse pubblico, la pena e’, rispettivamente, della reclusione da uno a cinque anni e da tre a otto anni. 4. Nel caso previsto dal primo comma il delitto e’ punibile a querela della persona offesa; negli altri casi si procede d’ufficio. (Articolo aggiunto dall’art. 4, L. 23 dicembre 1993, n. 547)
[3] Da Wikipedia,.NavigazionecercaUn worm (letteralmente "verme") è una particolare categoria di malware in grado di autoreplicarsi. È simile ad un virus, ma a differenza di questo non necessita di legarsi ad altri eseguibili per diffondersi.
[4]Sistema (informatica) Da Wikipedia, l’enciclopedia libera.NavigazionecercaPer sistema informatico si intende un insieme di computer, composti da hardware e software che elaborano dati e informazioni per restituire altri dati ed informazioni utili. Il Personal Computer, o PC è un esempio di un sistema relativamente semplice, mentre internet è un esempio molto più complesso.
[5] Da Wikipedia,.In informatica, il termine script designa un tipo particolare di programma. I linguaggi di programmazione utilizzati per scrivere tali programmi vengono detti linguaggi di scripting.
[6]Bibliografia di riferimento: Corrias L., Informatica e Diritto Penale: elementi per una comparazione con il diritto statunitense; 1987; Tonelli G., Il delitto di accesso abusivo a sistemi informatici o telematici con particolare riferimento alla tutela dei dati personali; in Filodiritto.it; Frediani V., Quando ricorre il reato di accesso abusivo
[7]L’Autore, funzionario AUSL, è Docente Incaricato di: Diritto Privato al Corso di Laurea Specialistica in Scienze Infermieristiche ed Ostetriche, e di: Elementi di Diritto Pubblico al Corso di Laurea in Tecnico di Laboratorio Biomedico; presso la Università “G.D’Annunzio” – Facoltà di Medicina e Chirurgia di Chieti-Pescara; a.a. 2007/2008.
[i]Tale sentenza verteva sulla condotta del soggetto che ricarichi il proprio telefono cellulare servendosi di un codice di accesso indebitamente ottenuto.
[ii]Crespi,Stella,Zuccalà, Commentario breve al codice penale, 2003.
[iii] Palmieri N.W., Usa: lo spyware protetto dalla libertà di espressione? In www.interlex.it; al quale si rimanda per una puntuale disamina dei pericoli rappresentati dall’utilizzo della rete.
Scrivi un commento
Accedi per poter inserire un commento