Monthly Archives: September 2019

Accesso da parte di terzi ad un sistema informatico: guida ragionata alla normativa

By | News | No Comments

Salvaguardare un sistema informatico da un possibile accesso abusivo costituisce uno degli aspetti più complessi e delicati della cyber security: si tratta di tutelare il “domicilio informatico” inteso come estensione del domicilio fisico e spazio virtuale anche in ambito aziendale. Ecco cosa dice la legge e come tutelarsi

La necessità di salvaguardare un sistema informatico da un possibile accesso abusivo costituisce uno degli aspetti più complessi e delicati della cyber security.

Un aspetto emerso a partire dal momento in cui lo sviluppo tecnologico consentì a più computer di “dialogare” fra loro e ricollegabile alla facoltà di accesso alla “rete” anche da parte di operatori privati, cui venne consentito di occupare uno spazio al suo interno, divenendo con ciò implicito il riconoscimento di una sorta di “spazio virtuale”.

D’altronde, l’ampia diffusione di strumenti informatici tra le persone comuni è tale da risultare uno strumento operativo indispensabile sia per le loro relazioni interpersonali ed economiche sia nei luoghi di lavoro.

Tale utilizzo, giustificato dall’obiettivo di migliorare il sistema di produzione e di gestione delle risorse e alla luce di un costante sviluppo tecnologico, ha creato in molti casi un quadro di vulnerabilità diffusa che pone in pericolo non solo i più ingenui e meno esperti ma anche coloro che, sicuri di conoscere a fondo le tecnologie che utilizzano, in realtà spesso manifestano evidenti punti deboli.

Reato di accesso abusivo ad un sistema informatico: la normativa

La rete è grande, entrare in contatto con gli utenti attraverso l’impiego di strumenti di comune utilizzo quali computer, PC, tablet e cellulari in modo il più possibile non sospetto, è l’obiettivo di molti criminali informatici.

Per questo è sempre più importante l’esigenza di positivizzare tutti quei comportamenti, per esempio di intrusione o sabotaggio, che possono provocare danni notevoli, sotto molteplici aspetti, alla vita del Paese.

La rivoluzione tecnologica ha avuto un forte impatto sui rapporti sociali e giuridici, determinando in circa mezzo secolo profondi cambiamenti anche per il diritto penale.

Recenti provvedimenti dell’autorità giudiziaria hanno dimostrato come comportamenti penalmente rilevanti possano frequentemente presentarsi anche nell’ambito di attività imprenditoriali e professionali nei termini descritti dalle fattispecie informatiche, vista la globalizzazione dello strumento informatico come modalità di espressione dell’attività economica.

Il reato di accesso abusivo, se da un lato può configurare un momento prodromico di una attività illecita diretta contro l’altrui patrimonio, allo stesso modo può costituire un “attacco” a interessi di natura extrapatrimoniale – culturali, scientifici o legati comunque alle più intimi manifestazioni della vita privata e interiore – di fondamentale rilievo, specie con riguardo ai valori riconosciuti e tutelati dalla carta costituzionale.

La condotta tipica sanzionata dall’art. 615-ter del Codice penale consiste, alternativamente, nell’introdursi abusivamente, e cioè senza il consenso del titolare dello jus excludendi (rectius titolare/responsabile del trattamento dei dati), in un sistema protetto, ovvero nel permanervi invito domino ma per finalità estranee da quelle consentite.

Detto articolo è inserito all’interno del titolo XII del Codice, dedicato ai delitti contro la persona, capo III, sezione IV, preposta a sanzionare i delitti contro l’inviolabilità del domicilio.

L´art.615-ter c.p., va considerato, unitamente al 640 ter c.p. (frode informatica), l’articolo più importante introdotto dalla legge n. 547 del 1993 (Modificazioni ed integrazioni alle norme del Codice penale e del codice di procedura penale in tema di criminalità informatica) poiché rende penalmente perseguibile l’accesso abusivo ad un sistema informatico o telematico protetto da misure di sicurezza o il mantenimento in esso contro la volontà espressa o tacita dell’avente diritto.

Quando si configura l’accesso abusivo ad un sistema informatico

Come è noto, la norma oggetto di analisi circoscrive la tutela ai soli sistemi protetti da misure di sicurezza.

Per la dottrina maggioritaria le misure di sicurezza consistono in dispositivi idonei ad impedire l’accesso al sistema a chi non sia autorizzato.

In particolare, secondo i più, è sufficiente qualsiasi misura di protezione, anche banale e facilmente aggirabile, in quanto la pretesa esistenza della misura di sicurezza, è esclusivamente preordinata a rendere esplicita e non equivoca la volontà di riservare l’accesso solo a determinate persone, ovvero di porre un generale divieto di accesso.

Ne consegue che anche l’adozione di una protezione costituita da una semplice parola chiave (password), facilmente accessibile o ricostruibile, rappresenta un’esplicitazione del divieto di accesso al sistema e legittima la tutela in sede penale.

Il concetto di domicilio informatico

Il bene giuridico oggetto della norma è il “domicilio informatico”, inteso come estensione del domicilio fisico e spazio virtuale, facente parte della sfera personale di un individuo che, come tale, deve essere tutelato.

Si evince l’importanza e la delicatezza del problema dal fatto che la fattispecie delittuosa in rassegna ha già formato oggetto di due interventi delle Sezioni Unite della Suprema Corte di Cassazione.

Con una prima sentenza del 2011 è stato affermato che integra il delitto previsto dall’art. 615-ter c.p. colui che, pur essendo abilitato, acceda o si mantenga in un sistema informatico o telematico protetto violando le condizioni ed i limiti risultanti dal complesso delle prescrizioni impartite dal titolare del sistema per delimitarne oggettivamente l’impiego (disposizioni organizzative interne, clausole di contratti individuali, prassi aziendale ecc.), dovendo ritenersi decisiva la prova del compimento sul sistema di operazioni di natura intrinsecamente diversa da quelle di cui il soggetto era incaricato e per cui aveva ricevuto al facoltà di utilizzo.

Rimangono invece irrilevanti, sempre per questa pronuncia, ai fini della sussistenza del reato, gli scopi che avessero soggettivamente motivato l’ingresso nel sistema, escludendo pertanto che il requisito di abusività della condotta potesse discendere dalle finalità perseguite dall’agente al momento dell’accesso o del mantenimento nel sistema informatico, dovendo piuttosto essere ancorato ai suddetti sicuri criteri di natura obiettiva.

Con una seconda sentenza del 2017 le Sezioni Unite, pronunciandosi in un’ipotesi di fatto commesso da un pubblico ufficiale o da un incaricato di pubblico servizio (615-ter, co. 2, n. 1), hanno avuto modo di precisare, sotto il profilo dell’elemento oggettivo, che integra il delitto previsto dall’art. 615-ter c.p. la condotta di colui che pur essendo abilitato e pur non violando le prescrizioni formali impartite dal titolare di un sistema informatico o telematico protetto per delimitarne l’accesso, acceda o si mantenga nel sistema per ragioni ontologicamente estranee e comunque diverse rispetto a quelle per le quali la facoltà di accesso gli è attribuita.

Doveri di fedeltà e lealtà del dipendente

I principi espressi per il pubblico funzionario possono essere trasfusi, sempre secondo la Suprema Corte, anche al settore privato, nella parte in cui vengono in rilievo i doveri di fedeltà e lealtà del dipendente che connotano indubbiamente anche il rapporto di lavoro privatistico.

Pertanto, è illecito e abusivo qualsiasi comportamento anche di un dipendente privato che si ponga in contrasto con i suddetti doveri manifestando in tal modo la “ontologica incompatibilità” dell’accesso al sistema informatico, connaturata a un utilizzo dello stesso estraneo alla ratio del conferimento del relativo potere.

Integra ad esempio il reato in esame, rimanendo nel mio campo degli studi legali, la condotta di quel collaboratore cui sia affidata esclusivamente la gestione di un numero circoscritto di clienti, il quale acceda all’archivio informatico dello studio provvedendo a copiare e a duplicare, trasferendoli su altri supporti informatici, i file riguardanti l’intera clientela dello studio professionale.

Nell’ambito dei rapporti bancari, ad esempio, il reato in questione può consistere nel fatto di un dipendente di un istituto di credito che si trattenga nel sistema informatico della Banca per compiere un’attività vietata ossia per trasmettere a mezzo di mail aziendale dei dati a soggetto/collega dello stesso istituto non autorizzato a prenderne cognizione, violando per ciò i limiti dell’autorizzazione che egli aveva ad accedere e a permanere in quel sistema informatico protetto.

Occorre comunque evidenziare che tali principi devono essere osservati non solo nei luoghi di lavoro, ma ovviamente devono essere rispettati e applicati da qualunque persona nella sua vita privata – l’avverbio “chiunque” che apre l’art. 615-ter c.p. vuole indicare che tutti possono essere potenziali soggetti attivi della fattispecie criminosa – dal momento che perché l’accesso a un sistema informatico o telematico possa ritenersi legittimo è necessario che non siano ecceduti da nessuno gli ambiti di misura tracciati dal titolare dello ius excludendi alios.

Venendo all’aspetto pratico, la pagina personale di un social network può essere benissimo definita un vero e proprio “domicilio virtuale” in cui la persona titolare ha piena facoltà di esercitare il proprio diritto di escludere o limitare l’accesso di altre persone: chi vi si introduce ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo, commette un accesso abusivo a sistema informatico integrativo del reato di cui all’art. 615-ter Codice penale.

Articolo pubblicato su:
https://www.cybersecurity360.it/soluzioni-aziendali/accesso-da-parte-di-terzi-ad-un-sistema-informatico-guida-ragionata-alla-normativa/

Responsabilità contrattuale.

By | | No Comments

Interessante ordinanza della Suprema Corte di Cassazione – n. 8748 del 12 luglio 2019 –  secondo la quale nel valutare se sia applicabile la clausola generale dell’art. 1337 c.c., il Giudice di merito, dopo aver individuato il comportamento della parte che si assume contrario ai doveri di correttezza, deve altresì considerare l’idoneità di tale comportamento ad ingenerare nella controparte l’idea di una rottura ingiustificata delle trattative, valutazione nella quale non si può prescindere dal comportamento tenuto dalla parte adempiente.