Gli accessi illeciti al Sistema D’Indagine (SDI)




Luigi Curatoli
Generale di Brigata dei Carabinieri,
Direttore del personale Carabinieri in ambito dei servizi di cooperazione internazionale di polizia.







L’articolo 8 della legge 121/81 ha istituito, presso il Ministero dell’Interno, il Centro Elaborazione Dati, per la raccolta delle informazioni e dei dati inerenti all’attività, di cui agli artt. 6, lettera a), e 7 della stessa legge.
In particolare, i dati raccolti a mente di quest’ultima norma sono custoditi nel c.d. Sistema D’Indagine (SDI) e posti a disposizione delle Forze di Polizia. SDI, tuttavia, è un sistema chiuso, accessibile, cioè, solo da postazioni di lavoro certificate che consentono l’acquisizione delle informazioni in sede locale utilizzando una rete intranet, senza esporsi ad interazioni con la rete pubblica. L’accesso alla Banca Dati, quindi, è possibile solo a persone debitamente autorizzate in sede locale dal proprio Funzionario/Ufficiale Responsabile e previa abilitazione di un apposito profilo, diversificato a seconda delle informazioni che il personale deve conoscere, in ragione delle mansioni da svolgere, avuto riguardo anche all’incarico ricoperto in seno alla propria Forza di Polizia.
Preliminarmente, si deve individuare il reato che commette l’appartenente alle Forze di Polizia che accede a SDI per prelevare dati da utilizzare per fini diversi da quelli stabiliti dalla legge.
L’articolo 12 della citata legge 121/81 punisce “il pubblico Ufficiale che comunica o fa uso di dati ed informazioni in violazione delle disposizioni della presente legge”.
L’articolo 615 ter c.p. sanziona “chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo”.
La medesima norma prevede, altresì un’aggravante “se il fatto è commesso da un pubblico ufficiale o da un incaricato di un pubblico servizio, con abuso dei poteri o con violazione dei doveri inerenti alla funzione o al servizio”.
Da un primo sommario esame, dunque, si potrebbe ipotizzare che la norma da contestare all’appartenente alle Forze di Polizia, introdottosi in SDI per utilizzare in modo difforme alla legge le informazioni contenute, sia l’art. 12 della legge121/81.
L’articolo 615 ter c.p., infatti, sembra applicabile a quanti si introducano in sistemi per i quali non siano muniti di alcuna autorizzazione all’accesso né siano legittimati ad utilizzarne i dati e, per questo, debbano forzarne le protezioni, permanendo nel sistema medesimo contro la volontà di chi ha il diritto di escluderlo. Il Pubblico Ufficiale, di contro, entra con credenziali autorizzative nel sistema e vi permane lecitamente: è il successivo utilizzo difforme alle previsioni normative che configura la condotta illegale. Inoltre, mentre il ripetuto articolo 615 ter cita genericamente “un sistema informatico o telematico protetto da misure di sicurezza”, la legge 121 esplicitamente fa riferimento ai dati conservati negli archivi automatizzati del c.d. “CED Interforze”.
Ma una attenta valutazione della tematica, anche alla luce degli orientamenti della Corte di Cassazione, invero tra essi diversi, induce ad un maggiore riflessione nella disamina e, di conseguenza, ad un approfondimento.
Si deve, inizialmente, rimarcare come la dottrina in materia sia, come si è accennato, controversa. L’orientamento della Corte di Cassazione, infatti, si è diviso su diverse posizioni fino a far avvertire il bisogno di un atteggiamento univoco, assunto poi, con una recentissima sentenza emessa a Sezioni Unite.
Il primo orientamento della Corte di Cassazione ha posto una stretta correlazione tra la violazione di un sistema informativo chiuso e la violazione di domicilio, pertanto ha ritenuto che l’accesso al sistema dell’agente munito di credenziali autorizzative, ma per prelevare dati da utilizzare per scopi diversi da quelli per i quali aveva ottenuto il consenso all’utilizzo del sistema stesso, fosse da considerare di per sé una violazione all’articolo 615 ter c.p.
Infatti la stessa Corte ha sostenuto che “l’analogia con la fattispecie della violazione di domicilio deve indurre a concludere che integri la fattispecie criminosa prevista dall’art. 615 ter c.p. anche chi, autorizzato, all’accesso per una determinata finalità, utilizzi il titolo di legittimazione per una finalità diversa e, quindi, non rispetti le condizioni alle quali era subordinato l’accesso. Infatti, se l’accesso richiede un’autorizzazione e questa è destinata a un determinato scopo, l’utilizzazione dell’autorizzazione per uno scopo diverso non può non considerarsi abusiva”(1).
Sulla stessa direttrice si è posta la sentenza(2) con la quale si è affermato che la norma in esame(3) tutela, secondo la più accreditata dottrina, molti beni giuridici ed interessi eterogenei, quali il diritto alla riservatezza, diritti di carattere patrimoniale, come il diritto all’uso indisturbato dell’elaboratore per perseguire fini di carattere economico e produttivo, interessi pubblici rilevanti, come quelli di carattere militare, sanitario nonché quelli inerenti all’ordine pubblico ed alla sicurezza, che potrebbero essere compromessi da intrusioni o manomissioni non autorizzate.
Tra i beni e gli interessi tutelati non vi è alcun dubbio, come già osservato dalla Suprema Corte (Cass., Sez. VI penale, 4 ottobre 1999-14 dicembre 1999, n. 3067, CED 3067), che particolare rilievo assume la tutela del diritto alla riservatezza e, quindi, la protezione del domicilio informatico, visto quale estensione del domicilio materiale.
Tanto si desume dalla lettera della norma che non si limita soltanto a tutelare i contenuti personalissimi dei dati raccolti nei sistemi informatici, ma prevede uno ius excludendi alios quale che sia il contenuto dei dati, purché attinenti alla sfera di pensiero o alla attività lavorativa dell’utente; è, quindi, evidente che da tale norma vengono tutelati anche gli aspetti economici e patrimoniali, come si è dinanzi anticipato.
D’altro canto il reato di accesso abusivo ai sistemi informatici è stato collocato dalla legge 23 dicembre 1993 n. 547, che ha introdotto nel codice penale i cosiddetti computer’s crimes, nella sezione concernente i delitti contro la inviolabilità del domicilio e nella relazione al disegno di legge i sistemi informatici sono stati definiti un’espansione ideale dell’area di rispetto pertinente al soggetto interessato, garantita dall’articolo 14 della Costituzione e penalmente tutelata nei suoi aspetti più essenziali e tradizionali dagli articoli 614 e 615 c.p. … la violazione dei dispositivi di protezione del sistema informatico non assume rilevanza di per sé, perché non si tratta di un illecito caratterizzato dalla effrazione dei sistemi protettivi, bensì solo come manifestazione di una volontà contraria a quella di chi del sistema legittimamente dispone. …L’accesso al sistema è consentito dal titolare per determinate finalità, ovvero il raggiungimento degli scopi aziendali, cosicché se il titolo di legittimazione all’accesso viene dall’agente utilizzato per finalità diverse da quelle consentite non vi è dubbio che si configuri il delitto in discussione, dovendosi ritenere che il permanere nel sistema per scopi diversi da quelli previsti avvenga contro la volontà, che può, per disposizione di legge, anche essere tacita, del titolare del diritto di esclusione.
Questo orientamento, inoltre, è stato più volte ribadito dalla stessa Corte in altre sentenze(4).
Tali considerazioni sembra portino a ritenere l’art. 615 ter assorbente di ogni tipo di accesso al Sistema D’Indagine da parte del Pubblico Ufficiale per utilizzarne le informazioni contenute in modo difforme alle previsioni della legge 121/81, così, di fatto, escludendo l’applicabilità dell’art. 12 della medesima norma. Si è, infatti, dell’opinione che, lapalissianamente, un accesso dell’appartenente alle Forze di Polizia a SDI per scopi diversi da quelli previsti non possa che sottendere alla comunicazione o all’uso dei dati e delle informazioni in violazione delle disposizioni della legge 121/81. Potrebbe, tuttavia, verificarsi l’ipotesi del Pubblico Ufficiale che, avuto accesso al Sistema D’Indagine per motivi inerenti all’attività che sta svolgendo, decida, poi, di propalarli per scopi diversi.
In tal caso l’art. 12 della legge121/81 sarebbe concorrente all’art. 615 ter c.p. qui di seguito si cercherà di evidenziare come questo sia stato un distinto orientamento della Suprema Corte e che possa considerarsi un caso distinto dall’accesso attraverso la forzatura dei sistemi di protezione dell’infrastruttura informatica.
In particolare, la Corte, in altre diverse sentenze ha espresso una posizione diversa da quella fin qui illustrata ed ha sostenuto che l’accesso al sistema e la diffusione illecita dei dati siano due momenti distinti e, quindi, determinino due diverse fattispecie di reato.
Inoltre, va sottolineato come, secondo le considerazioni espresse dalla Corte più avanti riportate, l’accesso a SDI da parte del personale autorizzato, ossia munito di username e password, non sembri costituire ontologicamente reato, poiché esso si configura allorquando si utilizzano in modo non consentito le informazioni estratte dal sistema. Né, peraltro, rileva che l’accesso a SDI per prelevarne dati di cui si è già intenzionati a far uso illecito possa di per sé costituire reato, poiché non è l’intenzione criminale che va punita, ma l’effettiva condotta che, non v’è dubbio, si concreta nel momento in cui le notizie acquisite lecitamente dal sistema vengono diffuse, poi, in modo difforme rispetto alla legge. In questo caso, infatti, si ritiene che l’appartenente alle Forze di Polizia, debba rispondere del solo articolo 12 legge 121/81.
Conferendo, dunque, maggior risalto al primo comma dell’art. 615 ter c.p., allorquando pone l’accento sulla introduzione attraverso la forzatura o l’elusione delle “misure di sicurezza”, la Corte di Cassazione ha reputato che l’accesso di chi è munito di credenziali abilitative va ritenuto lecito, seppure le relative finalità fossero affatto diverse da quelle previste dalla normativa(5).
In effetti, la Suprema Corte ha affermato che(6) “Secondo un condivisibile orientamento giurisprudenziale, la qualificazione di abusività va intesa in senso oggettivo, con riferimento al momento dell’accesso e alle modalità utilizzate dall’autore per neutralizzare e superare le misure di sicurezza, apprestate dal titolare dello ius excludendi, al fine di impedire accessi indiscriminati.
Non hanno quindi rilevanza la finalità che si propone l’autore e l’uso successivo dei dati che, se illeciti, integrano eventualmente un diverso titolo di reato(7) (Cass. sez. VI, n. 39290 dell’8 ottobre 2008, Peparaio, in Cass. pen. 2009, n. 863; conf. N. 2534/2007 e sez. V, 26797 del 29 maggio 2008, Scimia).
Quest’ultima decisione, correttamente rileva come la formula “abusivamente si introduce” sia ambigua e foriera di pericolose dilatazioni della fattispecie penale, se non intesa in senso restrittivo di “accesso non autorizzato”, secondo la più corretta espressione di cui alla cosiddetta lista minima della Raccomandazione del Consiglio d’Europa, attuata in Italia con la legge n. 547 del 1993, e di “accesso senza diritto”, impiegata nell’art. 2 della Convenzione sul “cyber crime”, a cui la legge n. 48 del 2008, non ha ritenuto di dare attuazione, trattandosi di ipotesi già disciplinata dall’art. 615 ter c.p.”.
Ad adiuvandum, la stessa V sezione, con diversa sentenza(8), ha affermato che “non integra il reato di accesso abusivo ad un sistema informatico (art. 165 ter c.p.) la condotta di coloro che, in qualità rispettivamente di Ispettore della Polizia di Stato e di appartenente all’Arma dei Carabinieri, si introducano nel sistema denominato SDI (banca dati interforze degli organi di polizia), considerato che si tratta di soggetti autorizzati all’accesso e, in virtù del medesimo titolo, a prendere cognizione dei dati riservati contenuti nel sistema, anche se i dati acquisiti siano stati trasmessi ad una agenzia investigativa, condotta quest’ultima ipoteticamente sanzionabile per altro e diverso titolo di reato… se dovesse ritenersi che, ai fini della consumazione del reato, basti l’intenzione, da parte del soggetto autorizzato all’accesso al sistema informatico ed alla conoscenza dei dati ivi contenuti, di fare poi uso illecito di tali dati, ne deriverebbe l’aberrante conseguenza che il reato non sarebbe escluso neppure se poi quell’uso, di fatto, magari per un ripensamento da parte del medesimo soggetto agente, non vi fosse più stato”.
Inoltre, altra già menzionata sentenza(9), ha aggiunto “Nella fattispecie di cui all’art. 615 ter c.p. sono delineate due diverse condotte integratici del delitto; la prima (quella contestata agli indagati) consiste nel fatto di ‘chi abusivamente si introduce in un sistema informatico o telematico protetto da misura di sicurezza’, la seconda nel fatto di chi ‘vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo’.
In dottrina e giurisprudenza (v. Cass., sez. V, n. 26797/2008) è stato giustamente criticata l’espressione ‘abusivamente si introduce’ per la sua forte ambiguità e la conseguente possibilità d’imprevedibili e pericolose dilatazioni della fattispecie penale se non intesa in senso di ‘accesso non autorizzato…’.
Il Collegio aderisce a tale rigorosa lettura dell’art. 615 ter c.p., anche in applicazione del principio secondo cui, in mancanza di riserva all’apposizione della firma dei trattati, ‘per ogni norma che rappresenta la trasposizione o l’attuazione di disposizioni sovrannazionali, va privilegiata, tra più possibili letture, quella di senso più conforme alle disposizioni comuni’, opportunamente sottolineato da Cass. sez. V, n. 26797/08.
La qualificazione di abusività va intesa in senso oggettivo, con riferimento al momento dell’accesso ed alle modalità utilizzate dall’autore per neutralizzare e superare le misure di sicurezza (chiavi fisiche o elettroniche, password, etc.) apprestate dal titolare del ius exludendi, al fine di selezionare gli ammessi al sistema ed impedire accessi indiscriminati.
Il reato è integrato dall’accesso non autorizzato nel sistema informatico, ciò che di per sè mette a rischio la riservatezza del domicilio informatico, indipendentemente dallo scopo che si propone l’autore dell’accesso abusivo.
La finalità dell’accesso, se illecita, integrerà eventualmente un diverso titolo di reato, come ha affermato questa Corte in due precedenti arresti, che presentano forti analogie con la vicenda in esame.
In tal senso, Cass. n. 2534/2007 con riferimento alla condotta di un ispettore della Polizia di Stato e di appartenente all’Arma dei Carabinieri, che si servivano dell’autorizzazione all’accesso alla banca dati degli organi di polizia per acquisire dati riservati che trasmettevano ad un’agenzia investigativa, e Cass. n. 26797/08, in relazione alla condotta di un cancelliere dell’ufficio del giudice delle indagini preliminari, autorizzato all’accesso ai registri informatizzati dell’amministrazione della giustizia, che aveva fornito notizie riservate ad un avvocato.
In entrambi i casi è stato ritenuto che la trasmissione a terzi di notizie apprese dalla consultazione della banca dati non attiene alle modalità che regolano l’accesso al sistema e la consultazione dei dati in esso registrati, ma riguarda l’uso successivo che di tali dati s’è fatto, con eventuale integrazione di altre fattispecie illecite”.
Anche un siffatto orientamento è stato ribadito in altre sentenze della medesima Corte(10).
Per quanto attiene alla illecita propalazione delle informazioni estratte dalla Banca Dati Interforze (SDI) da parte dell’appartenente alle Forze di Polizia autorizzato all’accesso, il principio lex specialis derogat generali, sancito dall’articolo 15 c.p., sembra, a fortiori, rendere applicabile proprio l’articolo 12 anzidetto invece delle altre fattispecie previste dal vigente codice penale(11), in quanto si ritiene che l’art. 12 voglia stigmatizzare una species particolare del genus “rivelazione o utilizzazione di segreto d’ufficio” previsto dall’art. 326 c.p.
Va da sé che la motivazione dell’illecito profitto, prevista dal terzo comma di quest’ultima norma, non può essere assorbita dal menzionato principio di specialità poiché integra una fattispecie che l’articolo 12 non prevede.
Nel quadro di dissonanza di giudizi della Corte va collocata l’ultima sentenza, in ordine temporale, a Sezioni Unite(12) che, volendo operare una reductio ad unum degli orientamenti discordi espressi nel tempo ha stabilito che “… a fronte del contrastante quadro interpretativo dianzi delineato, queste Sezioni Unite ritengono che la questione di diritto controversa non debba essere riguardata sotto il profilo delle finalità perseguite da colui che accede o si mantiene nel sistema, in quanto la volontà del titolare del diritto di escluderlo si connette soltanto al dato oggettivo della permanenza (per così dire ‘fisica’) dell’agente in esso. Ciò significa che la volontà contraria dell’avente diritto deve essere verificata solo con riferimento al risultato immediato detta condotta posta in essere, non già ai fatti successivi.
Rilevante deve ritenersi, perciò, il profilo oggettivo dell’accesso e del trattenimento nel sistema informatico da parte di un soggetto che sostanzialmente non può ritenersi autorizzato ad accedervi ed a permanervi sia allorquando violi i limiti risultanti dal complesso delle prescrizioni impartite dal titolare del sistema (nozione specificata, da parte della dottrina, con riferimento alla violazione delle prescrizioni contenute in disposizioni organizzative interne, in prassi aziendali o in clausole di contratti individuali di lavoro) sia allorquando ponga in essere operazioni di natura ontologicamente diversa da quelle di cui egli è incaricato ed in relazione alle quali l’accesso era a lui consentito.
In questi casi è proprio il titolo legittimante l’accesso e la permanenza nel sistema che risulta violato: il soggetto agente opera illegittimamente, in quanto il titolare del sistema medesimo lo ha ammesso solo a ben determinate condizioni, in assenza o attraverso la violazione delle quali le operazioni compiute non possono ritenersi assentite dall’autorizzazione ricevuta.
Il dissenso tacito del dominus loci non viene desunto dalla finalità (quale che sia) che anima la condotta dell’agente, bensì dall’oggettiva violazione delle disposizioni del titolare in ordine all’uso del sistema.
Irrilevanti devono considerarsi gli eventuali fatti successivi: questi, se seguiranno saranno frutto di nuovi atti volitivi e pertanto, se illeciti, saranno sanzionati con riguardo ad altro titolo di reato (rientrando, ad esempio, nelle previsioni di cui agli artt. 326, 618, 621 e 622 c.p.(13)).
Ne deriva che, nei casi in cui l’agente compia sul sistema un’operazione pienamente assentita dall’autorizzazione ricevuta, ed agisca nei limiti di questa, il reato di cui all’art. 615-ter c.p. non è configurabile, a prescindere dallo scopo eventualmente perseguito; sicché qualora l’attività autorizzata consista anche nella acquisizione di dati informatici, e l’operatore la esegua nei limiti e nelle forme consentiti dal titolare dello ius exdudendi, il delitto in esame non può essere individuato anche se degli stessi dati egli si dovesse poi servire per finalità illecite.
Il giudizio circa l’esistenza del dissenso del dominus loci deve assumere come parametro la sussistenza o meno di un’obiettiva violazione, da parte dell’agente, delle prescrizioni impartite dal dominus stesso circa l’uso del sistema e non può essere formulato unicamente in base alla direzione finalistica della condotta, soggettivamente intesa.
Vengono in rilievo, al riguardo, quelle disposizioni che regolano l’accesso al sistema e che stabiliscono per quali attività e per quanto tempo la permanenza si può protrarre, da prendere necessariamente in considerazione, mentre devono ritenersi irrilevanti, ai fini della configurazione della fattispecie, eventuali disposizioni sull’impiego successivo dei dati.
Va affermato, in conclusione, il principio di diritto secondo il quale integra la fattispecie criminosa di accesso abusivo ad un sistema informatico o telematico protetto, prevista dall’art. 615-ter c.p., la condotta di accesso o di mantenimento nel sistema posta in essere da soggetto che, pure essendo abilitato, violi le condizioni ed i limiti risultanti dal complesso delle prescrizioni impartite dal titolare del sistema per delimitarne oggettivamente l’accesso. Non hanno rilievo, invece, per la configurazione del resto, gli scopi e le finalità che soggettivamente hanno motivato l’ingresso al sistema”.
Sembra dedursi, dunque, che, indipendentemente dall’utilizzo successivo dei dati estratti, qualora l’accesso al sistema informativo dell’agente si fosse verificato in violazione delle previsioni del DPR 378/82, in particolare dal titolo II, e delle disposizioni impartite dal titolare, dal responsabile del trattamento dei dati e dall’Ufficiale/funzionario responsabile, l’accesso debba intendersi abusivo, pertanto sanzionabile con l’art. 615 ter c.p., di contro, se l’accesso fosse eseguito secondo le norme vigenti non si può applicare l’art. 615 ter c.p., ma, si ritiene, l’art. 12 legge 121/81, qualora l’uso delle informazioni estratte fosse difforme alla legge medesima.
Come più innanzi si è detto, inoltre, l’art. 12 della legge 121/81 non è alternativo, ma complementare all’art. 615 ter c.p. Si è, infatti, dell’opinione che il primo possa essere contestato, in aggiunta a quest’ultimo, all’appartenente alla Forze di Polizia munito di credenziali autorizzative che, introdottosi nel sistema con modalità diverse dalle norme stabilite dal dominus loci acquisisca informazioni che poi diffonda illegalmente.
Altera res è l’ipotesi dell’appartenente alle Forze di Polizia che, attraverso il portale del Servizio per il Sistema Informativo Interforze, acceda alle c.d. “banche dati esterne” o alle c.d. “banche dati di polizia” (ossia Banche dati di altri Enti Pubblici o gestite da una particolare forza di polizia o il Sistema Informativo contemplato dal Trattato di Shengen, inserite nel portale) nelle quali è possibile entrare sia, nella maggior parte dei casi, con le medesime credenziali previste per il Sistema D’Indagine sia, per qualcuna, diverse. Queste Banche Dati non sono considerate dall’art. 12 della legge 121/81 pertanto, non sembra esservi dubbio, che, per la illegale diffusione dei dati inseriti in tali sistemi, opereranno le fattispecie disciplinate dal vigente codice penale poc’anzi richiamate(14).
Sembra opportuno stabilire, a questo punto, chi sia il dominus loci nel caso del Sistema D’Indagine. Come si è anticipato, si ritiene che, per addivenire a questa indicazione, possa soccorrere l’art. 4 del D.Lgs. 30 giugno 2003 n. 196(15) che definisce il “titolare”(16), il “responsabile”(17) e gli ”incaricati”(18) del trattamento dei dati personali. Esaminando le definizioni contenute in questa norma, sembra si possa individuare una ben definita figura cui attribuire la veste di dominus loci, ossia il “titolare” poiché a lui competono “le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza”. Tuttavia, tenendo presente che questi si avvale di altre persone per perseguire i fini affidatigli dalla medesima norma, nel novero delle persone cui compete la responsabilità autorizzativa dell’accesso e di stabilirne le modalità vanno aggiunti il “responsabile”, in quanto “preposto dal titolare al trattamento di dati personali” e l’Ufficiale/Funzionario responsabile, poiché anche a lui compete l’emanazione di disposizioni organizzative volte a regolare l’accesso al sistema.
Alla luce di quanto fin qui riportato, si ritiene che si debbano individuare due momenti della condotta illecita: l’accesso abusivo nel sistema (non presente nel caso dell’appartenente alle Forze di Polizia che acceda al Sistema usando le credenziali proprie e rispettando le norme e le regole vigenti) e l’illecito uso delle informazioni estratte.
Per riassumere, e meglio chiarire, sembra che si possano individuare tre ipotesi di introduzione nel Sistema D’Indagine da parte dell’appartenente alle Forze di Polizia:
- accesso secondo le regole vigenti, ma con successiva illecita diffusione dei dati, quando l’appartenente alle forze di polizia acquisisca dal sistema lecitamente, nell’ambito di attività che sta svolgendo, informazioni, che decida poi di utilizzare per scopi diversi. In questo caso l’agente risponderà del solo articolo 12 della legge121/81;
- accesso fuori dalle regole imposte dalle figure più innanzi individuate ossia il titolare, il responsabile del trattamento dei dati o gli Ufficiali/funzionari responsabili, al fine di utilizzare illegalmente i dati acquisiti. In tale eventualità l’agente risponderà sia del reato previsto dall’articolo 615 ter c.p. che del delitto previsto dall’art. 12 legge 121/81, poiché, pur avendo fatto uso del titolo autorizzativo, si è discostato dalle precetti stabiliti dal dominus loci (ad esempio entrando nel sistema fuori dagli orari stabiliti dal Funzionario/Ufficiale responsabile o, più semplicemente, indicando, quale motivazione dell’ingresso, inesistenti indagini di polizia giudiziaria) così rendendo l’accesso di per se abusivo;
- accesso attraverso la materiale forzatura della protezione della infrastruttura informatica (ad esempio utilizzando le credenziali di un altro ignaro appartenente alle forze di polizia che possiede un profilo più ampio) per prelevare informazioni da utilizzare illegalmente, anche in questa circostanza risponderà sia del reato previsto dall’articolo 615 ter c.p. che del delitto previsto dall’art. 12 legge 121/81.
Si ritiene, quindi, che l’art. 12 della legge 121/81 e l’art. 615 ter c.p. non siano alternativi, ma debbano considerarsi complementari. In tale quadro, l’appartenente alle Forze di Polizia che entri nel Sistema D’Indagine in modo difforme rispetto alle norme stabilite dalle figure che hanno la responsabilità della custodia e della sicurezza dei dati e vi prelevi informazioni di cui, altresì, fa uso in dispregio delle previsioni specifiche della legge 121/81, dovrà rispondere sia del reato previsto e punito dal ripetuto art. 615 ter c.p., sia di quello sancito dall’art. 12 legge 121/81.
Si vuole, ora, esaminare la competenza territoriale degli Uffici giudiziari, nella considerazione che le credenziali di accesso sono inserite, nella grande maggioranza dei casi, in un terminale remoto sito in una città diversa da quella ove sono ubicati i server.
In primo luogo occorre considerare, secondo quanto esposto, che l’oggetto del reato è necessariamente diverso tra chi, per ottenere dati contenuti in un sistema informativo chiuso, ne forzi - in qualsiasi modo, quindi anche violando semplicemente le regole imposte da chi ha la responsabilità della sicurezza del sistema - le protezioni poiché ad esso non è autorizzato ad accedere o può accedervi solo secondo norme precise, e chi, legittimato ad acquisire i dati di un medesimo sistema, rispettando le disposizioni ricevute, ne faccia un uso diverso da quello consentito ex lege. Tale distinzione, pertanto, non tanto e non solo cambia le fattispecie normative contestabili, quanto, e soprattutto, individua con certezza il locus commissi delicti nel luogo ove è stata posta in essere la condotta criminale, ossia ove le notizie acquisite sono state utilizzate in modo estemporaneo rispetto alla previsione legislativa.
Va osservato, peraltro, che, anche quando la condotta criminosa si concreta nella forzatura del sistema, essa ha inizio nel momento in cui, dal terminale remoto, vengono inviate le “stringhe di comando” atte a forzare il firewall e/o i sistemi di sicurezza posti a protezione dei dati. Più precisamente si è dell’opinione che il reato debba considerarsi consumato allorquando viene pigiato il tasto “invio” del terminale remoto, in quanto da quel momento la volontà delittuosa si realizza in modo inequivocabile ed irreversibile e, dunque, si consuma la condotta criminosa. Si reputa, infatti, poco rilevante che il dato sarà poi prelevato da server ubicati in altra località, in quanto il crimine è già stato compiuto nel momento in cui l’atto di forzatura o di invio delle credenziali ingannevoli si è concluso. A fortori si deve considerare come, dopo aver premuto il tasto di invio, non sia neppure più attuabile il c.d. “ravvedimento attuoso”, di conseguenza l’atto criminoso deve intendersi perfezionato.
In tale quadro, sembra che la competenza territoriale vada riportata al luogo ove risiede il terminale remoto.
In conclusione, appare consequenziale, accogliendo le considerazioni fin qui svolte, che la norma da adottare - qualora l’agente abbia avuto accesso al sistema in ottemperanza delle regole dettate dalla normativa primaria e secondaria, nonché dalle circolari del responsabile e degli incaricati del trattamento - non sia l’articolo 615 ter c.p., ma il solo articolo 12 della legge 121/81 e, quindi, che la pertinenza territoriale vada conferita all’Ufficio competente sul luogo ove i dati sono stati diffusi illegalmente. Per altro verso, si ritiene che, anche nel caso che vi sia stata forzatura del Sistema, la competenza territoriale vada conferita agli Uffici competenti sul luogo ove sono ubicati i terminali, poiché in quella località si è resa operativa, in modo non equivocabile ed irreversibile, la volontà di aggredire o di accedere ai server obbiettivo, inviando le “stringhe di comando” o le credenziali volte a forzare, ingannare o eludere i sistemi di protezione.
Infine, nel caso particolare relativo all’introduzione in un sistema chiuso da parte di un hacker da altro Stato, sembra operante l’art. 10 c.p. che dispone la sanzione secondo la normativa italiana del reato commesso all’estero dal cittadino straniero ai danni di interessi nazionali, seppure ponendo, quale condizione di procedibilità, la presenza del reo straniero nel territorio dello Stato.


(1) - Cass. Sez. V, sentenza n. 12732 del 7 novembre 2000.
(2) - Cass. Sez. V, sentenza n. 37322 dell’8 luglio 2008. Tuttavia le persone interessate non erano Pubblici Ufficiali ed il sistema non era SDI.
(3) - Art. 615 ter c.p.
(4) - Sentenze Sez. V, n. 1727 del 30 settembre 2008, n. 13006 del 13 febbraio 2009, 2987 del 10 dicembre 2009, n. 19463 del 16 febbraio 2010, n. 39620 del 22 settembre 2010.
(5) - Cass. Sez. V, n. 2534 del 20 dicembre 2007, Sez. V, n. 26797 del 29 maggio 2008, Sez. VI, n. 3290 dell’8 ottobre 2008, Sez. V, n. 40078 del 25 giugno 2009.
(6) - Sez. V, n. 40078 del 25 giugno 2009.
(7) - Potrebbe essere il caso dell’art. 12 della legge 121/81.
(8) - Cass. Sez. V, n. 2534 del 20 dicembre 2007 dep. 2008.
(9) - Cass. Sez. V, n. 39290 dell’8 ottobre 2008.
(10) - Sent. sez. V, n. 26797 del 29 maggio 2008.
(11) - Specialmente l’art. 326, ma la condotta dell’agente potrebbe integrare anche le fattispecie previste dagli artt. 618, 621 e 622 c.p.
(12) - Cass. Pen. Sez. Unite, sentenza 7 febbraio 2012, n. 4694.
(13) - Si potrebbe aggiungere a tal proposito l’art. 12 delle richiamata legge 121/81, nel caso dell’appartenente alle Forze di Polizia.
(14) - Vds. nota 11.
(15) - Codice in materia di protezione dei dati personali.
(16) - f) “titolare”, la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza.
(17) - g) “responsabile”, la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali.
(18) - h) “incaricati”, le persone fisiche autorizzate a compiere operazioni di trattamento dal titolare o dal responsabile.