di Andrea Monti – PC Professionale n. 254
Le Sezioni unite della Cassazione risolvono il dilemma della punibilità di cracking e hacking. E’ accesso abusivo “bucare” un server, ma anche interrogare un database eccedendo le autorizzazioni ricevute. E non conta averlo fatto “per curiosità”
“Integra la fattispecie criminosa di accesso abusivo ad un sistema informatico o telematico protetto, prevista dall’art. 615-ter cod. pen., la condotta di accesso o di mantenimento nel sistema posta in essere da soggetto che, pure essendo abilitato, violi le condizioni ed i limiti risultanti dal complesso delle prescrizioni impartite dal titolare del sistema per delimitarne oggettivamente l’accesso. Non hanno rilievo, invece, per la configurazione del reato, gli scopi e le finalità che soggettivamente hanno motivato l’ingresso al sistema.”
Con queste oscure frasi la sentenza n. 4694/12 delle Sezioni unite della Corte di cassazione ha stabilito il criterio sulla base del quale, da oggi in poi, i tribunali giudicheranno le azioni di accesso abusivo a sistemi di varia natura.
Il caso che ha originato questa decisione è quello di appartenenti alle forze dell’ordine che, avendo accesso ai database dei procedimenti penali, li consultavano per scopi diversi da quelli di servizio. Non è certo un fatto nuovo, come dimostra la sentenza stessa che nel fare il punto sullo “stato dell’arte” della giurisprudenza in materia fa riferimento a molti altri casi analoghi, ma decisi in modo contrastante dalle varie sezioni della Corte di cassazione. Alcune, infatti, hanno ritenuto che il reato di accesso abusivo sia commesso soltanto da chi “buca” un sistema. Per cui l’operatore che – come nel caso degli appartenenti alle forze di polizia – ha un qualche titolo per accedere ma abusa dei propri privilegi non commette reato. L’accesso abusivo, sostiene questo filone di giurisprudenza, implica la violazione delle misure di sicurezza da parte di chi non ha alcun diritto di accedere a un determinato sistema – a prescindere dal “perchè” di questo accesso. Se l’intrusore voleva compiere un’azione dimostrativa o fare danni – sempre secondo questa interpretazione della norma – è cosa da valutare separatamente. Se i fatti successivi al “buco” sono anch’essi reato, verranno perseguiti, altrimenti no. Ma quello che conta è il fatto in sé di aver violato un sistema protetto.
Altre sentenze, sempre delle sezioni semplici della Cassazione, hanno ragionato in modo diverso e hanno collegato il reato di accesso abusivo al superamento dei limiti imposti dal proprietario del sistema, siano essi organizzativi o tecnologici. In altri termini, secondo questa diversa interpretazione della norma, “Se il titolo di legittimazione all’accesso viene utilizzato dall’agente per finalità diverse da quelle consentite, dovrebbe ritenersi che la permanenza nel sistema informatico avvenga contro la volontà del titolare del diritto di esclusione. Pertanto commette reato anche chi, dopo essere entrato legittimamente in un sistema, continui ad operare o a servirsi di esso oltre i limiti prefissati dal titolare; in tale ipotesi ciò che si punisce è l’uso dell’elaboratore avvenuto con modalità non consentite, più che l’accesso ad esso.” In altri termini, se consento a qualcuno di accedere alle mie macchine per svolgere determinate operazioni, o per trattare informazioni nell’ambito del rapporto di lavoro (per esempio) e questo qualcuno, a mia insaputa, invece di limitarsi a fare quanto gli è stato detto travalica gli ordini ricevuti, vuol dire che – come dice l’art. 615 ter del Codice penale – si sta trattenendo nel sistema contro la volontà di chi gli ha consentito un accesso limitato.
La sentenza delle Sezioni unite recepisce questo secondo orientamento e dunque stabilisce definitivamente (almeno fino alla prossima sentenza delle Sezioni unite stesse) che è abusivo l’accesso a un sistema anche quando è commesso in violazione delle policy e delle prassi aziendali che limitano l’accesso a determinate informazioni o restringono gli scopi per i quali determinate informazioni possono essere consultate.
L’impatto di questa sentenza nel mondo aziendale è ancora tutto da valutare, ma è certo che il principio di diritto espresso dalla Corte di cassazione creerà non pochi problemi nell’applicazione della normativa sui dati personali e sul divieto di controlli a distanza nei luoghi di lavoro. E ciò in modo particolare per chi svolge funzioni di amministratore di sistema. Dato, infatti, che ora le regole aziendali possono essere considerate come un vero e proprio spartiacque fra ciò che è legale e ciò che non lo è, le azienda saranno legittimate ad eseguire controlli approfonditi per verificare il rispetto delle prescrizioni in materia non solo di misure di sicurezza, ma anche di correttezza del trattamento dei dati. Con un effetto paradossale: il mancato controllo sul corretto uso dei dati aziendali da parte dei dipendenti provocherà, certo, sanzioni all’azienda per violazione del Codice dei dati personali, ma nello stesso tempo implicherà una denuncia penale per il dipendente infedele.
Possibly Related Posts:
- Chi ci protegge dal dossieraggio tecnologico?
- Perché Apple ha ritirato la causa contro la società israeliana dietro lo spyware Pegasus?
- Le accuse mosse a Pavel Durov mettono in discussione la permanenza in Europa di Big Tech
- Cosa significa l’arresto di Pavel Durov per social media e produttori di smart device
- Chi vince e chi perde nella vicenda di Julian Assange