Reati cyber: il gioco si fa duro, ma i giocatori sono pronti? (parte prima)

Qualche giorno si discuteva con alcuni giuristi sul disegno di legge in materia di rafforzamento della cybersicurezza nazionale e di reati informatici. In particolare la chiacchierata verteva sul proposto aumento delle pene per il reato di accesso abusivo a un sistema informatico (articolo 615 ter del codice penale) in presenza di aggravanti che da uno a cinque anni diventerebbero da due a dieci anni. Ancora più nello specifico si discettava anche sulla nuova aggravante della condotta di chi “…sottrae, anche mediante riproduzione o trasmissione, … , i dati, le informazioni…”.

Ascoltando, mi sono ricordato di un corso sui crimini informatici che tenevo tra il 2004 e il 2005 in cui citavo alcune sentenze per dare un’idea di quanto fosse ondivaga l’interpretazione del reato. Per rendere più agevole la lettura ecco cosa punisce il testo dell’articolo di legge: “Chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo…”. Accade così che nel 2000 un giudice per le indagini preliminari dichiara il non luogo a procedere per un imputato accusato di essersi introdotto in un sistema informatico utilizzando un programma per la ricerca su internet di computer con condivisione aperta. La motivazione è la seguente: “… se il sistema non è protetto da misure di sicurezza la condotta non viene in essere perché il legislatore, con l'introduzione dell'art. 615 ter, ha inteso tutelare non la privacy di qualsiasi domicilio informatico ma soltanto quella di sistemi protetti da misure di sicurezza contro il pericolo di accesso da parte di persone non autorizzate” (Trib. Pen. di Roma, Uff. GUP, sez. 8, sent. 21 aprile 2000). Passano meno di sei mesi e la Corte di Cassazione ravvisa la responsabilità di tre imputati che avevano copiato il contenuto di una banca dati della propria azienda a fini concorrenziali. La motivazione è la seguente: “Affinché si realizzi la fattispecie dell’articolo 615-ter, primo comma, non è sufficiente di per sé la violazione dei sistemi di protezione del sistema informatico ma è necessario che sia manifestazione di una volontà contraria a quella di chi del sistema legittimamente dispone. Non si tratta perciò di un illecito caratterizzato dall’effrazione dei sistemi protettivi, perché altrimenti non avrebbe rilevanza la condotta di chi, dopo essere legittimamente entrato nel sistema informatico, vi si mantenga contro la volontà del titolare ma piuttosto di un illecito caratterizzato appunto dalla contravvenzione alle disposizioni del titolare, come nella violazione del domicilio” (Corte di cassazione - Sezione V penale - Sentenza 7 novembre-6 dicembre 2000, n. 12732). Quattro anni dopo ancora la Cassazione assolve il dipendente di un Comune dall’accusa di intrusione nel sistema informatico/telematico dell’ente allo scopo di avere un collegamento alla rete Internet per finalità personali. La motivazione è la seguente: “… non è ravvisabile la condotta contestata in quanto il sistema informatico nel quale l'imputato si inseriva abusivamente non risulta obiettivamente (né la sentenza fornisce la relativa prova) protetto da misure di sicurezza, essendo anzi tale sistema a disposizione dell'imputato in virtù delle mansioni affidategli per ragioni di ufficio. Il fatto che il D.C. ne facesse un uso distorto a fini illeciti e personali, non sposta i termini della questione, mancando il presupposto della "protezione" speciale del sistema stesso…” (Corte di Cassazione, Sez. VI, 27 ottobre 2004, n. 46509). Facciamo un salto di venti anni e domandiamoci quale è oggi l’interpretazione prevalente. Diciamo che è molto vicina alla seconda sentenza che ho citato. In estrema sintesi: accedere a un sistema a cui si è abilitati, ma violare le regole stabilite da chi di quel sistema è titolare può configurare il reato. In pratica: il dipendente di un’impresa che scarica un file dalla rete aziendale e lo invia sulla sua casella di posta elettronica personale potenzialmente è perseguibile, qualora il titolare abbia stabilito che i dati aziendali devono essere trattati solo ed esclusivamente con dotazioni fornite dall’impresa. A questo punto se passa il disegno di legge questo signore rischia fino a 10 anni di reclusione ed ecco che il gioco si fa veramente (forse anche giustamente) duro. Tuttavia, per condannare qualcuno servono le prove e, personalmente, penso che quando i reati producono conseguenze tanto pesanti ci vogliano persone con competenze di un certo livello. Questo ci porta a una domanda: l’intero apparato della nostra giustizia (avvocati, giudici, procuratori e via dicendo) ha una preparazione adeguata (non uso questo termine a caso) a valutare le prove digitali e le relative modalità di raccolta e gestione? Di questo scriverò la settimana prossima non per dare risposte, ma per fare riflettere.