Identikit dei principali reati informatici ex D.Lgs.231/01
Il chi, quando, cosa, come e perché dell’accesso abusivo ad un sistema informatico o telematico (art.615 ter c.p.)
Quando. L’accesso abusivo punisce la condotta di chi si introduce abusivamente – ossia eludendo una qualsiasi forma, anche minima, di barriere ostative all’accesso – in un sistema informatico o telematico, protetto da misure di sicurezza, rimanendovi contro la volontà di chi ha diritto di escluderlo.
Due sono pertanto le condotte penalmente rilevanti: l’intrusione in un sistema protetto ed il mantenimento nello stesso contro la volontà espressa o tacita di chi ha il diritto di esclusione.
Di conseguenza si parla di accesso abusivo sia nel caso in cui il soggetto, pur legittimato all’utilizzo del sistema, entri in ambienti informatici a cui non è autorizzato ad accedere, sia nel caso in cui lo stesso, pur essendo abilitato, acceda o si mantenga nel sistema violando le condizioni ed i limiti fissati dal titolare per delimitarne oggettivamente l’accesso, restando invece del tutto irrilevanti le finalità che hanno mosso l’agente.
Perché il reato si configuri il sistema deve essere protetto da misure di sicurezza. Occorre dunque dimostrare che siano stati adottati dei meccanismi di selezione dei soggetti abilitati all’accesso del sistema informatico che possono essere di tipo logico (es. firewall, password, codici d’accesso, dati biometrici), fisico (es. sistemi di videosorveglianza, porte blindate) od organizzativo (es. accesso ai locali vietato al personale impiegatizio). E’ sufficiente che il soggetto agisca con la coscienza e la volontà di introdursi nell’altrui sistema protetto ovvero di rimanervi contro la volontà di chi ha diritto di escluderlo, mentre non rilevano in alcun modo le finalità (curiosità, ricerca di informazioni riservate, intento vandalico o manipolativo) per cui il soggetto agisce.
Oggetto di tutela è il “domicilio informatico” quale spazio fisico e ideale, estensione della sfera di riservatezza della persona (sia fisica che giuridica).
Chi. E’ un reato che può essere compiuto da chiunque abbia accesso al sistema, per cui può essere realizzato tanto dall’utente generico quanto dall’amministratore di sistema (magari in outsourcing). Dal momento che non esistono delle aree o funzioni maggiormente a rischio si rileva la necessità di una vigilanza “trasversale”.
Perchè. Posto che ai sensi del d.lgs.231/01 il reato deve essere commesso “nell’interesse o a vantaggio” dell’azienda per fondare una responsabilità della stessa, si avrà accesso abusivo, rilevante in chiave 231, a titolo esemplificativo, allorquando il soggetto (apicale o sottoposto) acceda abusivamente al sistema di un’azienda concorrente al fine di conoscerne il portafoglio clienti o per acquisire, a scopo di spionaggio industriale, la documentazione relativa ai suoi prodotti. Si avrà altresì accesso abusivo anche quando il soggetto acceda abusivamente ai propri sistemi informatici, ad esempio per manipolarne i dati al fine di ottenere un vantaggio in ordine agli adempimenti contabili e di bilancio.
Come. In generale, costituiscono attività “sensibili” (i.e. a rischio di commissione di reato) tutti gli accessi ai sistemi informatici/telematici.
Cosa. Tra i protocolli da adottare per prevenire la commissione di questa tipologia di reato, fondamentale è il ricorso ad adeguate policies (supportate da corrispondenti procedure) che andranno a disciplinare la gestione degli account e dei profili di autorizzazione, la gestione della rete aziendale e di internet nonché l’utilizzo della posta elettronica.
Però. La sanzione prevista è quella pecuniaria da cento a cinquecento quote (in grado dunque di arrivare sino ad € 774.500) nonché, laddove ricorrano le condizioni di cui agli artt. 9, 12 e 13, d.lgs. 231/01, le sanzioni interdittive dell’interdizione dall’esercizio dell’attività, della sospensione o revoca delle autorizzazioni, licenze o concessioni funzionali alla commissione dell’illecito e del divieto di pubblicizzare beni o servizi.
