Il reato di accesso abusivo ad un sistema informatico si concretizza solo se è protetto da misure di sicurezza
Come noto l’articolo 32 del Regolamento UE 2016/679 (GDPR) prevede che il Titolare del trattamento debba mettere in atto misure tecniche e organizzative idonee per garantire un livello di sicurezza adeguato al rischio, al fine di assicurare la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi. Sotto il profilo della riservatezza dovrà, pertanto, proteggere il proprio sistema informatico con un sistema di credenziali e privilegi di accesso.
Si tratta di un profilo affrontato anche dall’articolo 615-ter del codice penale secondo il quale: Chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo, è punito con la reclusione fino a tre anni.
La norma penale è posta a tutela del diritto alla riservatezza del titolare del sistema informatico e riguarda due tipologie di condotte: a) l’introduzione abusiva in un sistema informatico o telematico protetto da misure di sicurezza; b) il mantenimento nel sistema informatico o telematico contro la volontà espressa o tacita di chi ha il diritto di escluderlo (ius excludendi).
Affinché l’elemento soggettivo del reato si realizzi è sufficiente la coscienza e volontà di introdursi ovvero mantenersi abusivamente nel sistema informatico o telematico (Dolo generico).
Per “sistema informatico” si intende secondo la convenzione Europea di Budapest del 23.11.2001 “qualsiasi apparecchiatura o gruppo di apparecchiature interconnesse o collegate, una o più delle quali, in base ad un programma, compiono l’elaborazione automatica dei dati”. Mentre, per “sistema telematico” si intendono un insieme di apparecchiature che consentono la trasmissione di dati a distanza.
Si tratta di un reato di pericolo, che si consuma nel momento in cui il soggetto si introduce nel sistema informatico o telematico. Il reato, pertanto, si consuma con il semplice accesso ad un sistema informatico o telematico, a prescindere dal fine, purchè il sistema sia protetto da misure di sicurezza. Nella nozione di misure di sicurezza possono farsi rientrare tutte quelle misure di protezione, al cui superamento è possibile subordinare l'accesso ai dati e ai programmi contenuti nel sistema.
La Corte di Cassazione ha avuto modo di precisare (Cass. Pen. 36721/2008) che è certamente necessario che il sistema non sia aperto a tutti, ma assume rilevanza qualsiasi meccanismo di selezione abilitati all'accesso. Ne consegue che anche l'adozione di una protezione semplice, costituita da una parola chiave (password) rappresenta pur sempre un'esplicitazione del divieto di accesso al sistema e legittima la tutela in sede penale.
Si tratta di un aspetto criticato da una parte della dottrina secondo la quale: “L'adozione di chiavi di accesso come “pippo” o “ciao” non può essere considerata idonea allo scopo, perché oggettivamente insicura. Né dovrebbe ragionevolmente essere perseguito penalmente il soggetto colpevole di aver ottenuto così facilmente l'accesso all'elaboratore". (Gianluca Pomante, op. cit., pag. 74.). Su questa linea anche Tribunale di Roma, Uff. GIP, Sez. 8a, sentenza del 4 aprile 2000, n. 6677/99 R.G.G.I.P.
In conclusione, il legislatore con l’introduzione della norma incriminatrice di cui all´art. 615 ter ha inteso tutelare non la privacy di qualsiasi "domicilio informatico", ma soltanto quella di sistemi "protetti" contro il pericolo di accessi da parte di persone non autorizzate.
L'accesso, invece, ad un sistema non protetto, sebbene penalmente lecito, può comportare civilisticamente un danno ingiusto risarcibile ex articolo 2043 c.c.