Il reato di accesso abusivo a sistema informatico o telematico, previsto dall’art. 615-ter del codice penale, costituisce una delle fattispecie centrali nel sistema repressivo della criminalità informatica. Tale reato punisce chi, abusivamente, si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo.

Introdotto nel 1993, il reato si è imposto come uno degli strumenti giuridici più efficaci per contrastare le intrusioni non autorizzate nel cyberspazio, anche grazie alla sua ampia applicabilità e alla rilevanza assunta nel contesto della protezione dei dati e delle informazioni digitali.

L’accesso abusivo si configura come una condotta prodromica, poiché spesso rappresenta il primo atto di una serie di comportamenti illeciti che possono verificarsi all’interno di un sistema informatico, come il furto di dati, la distruzione di informazioni o il danneggiamento del sistema stesso.

Con l’applicazione della norma nel corso degli anni, la giurisprudenza ha riconosciuto che l’accesso abusivo può configurarsi anche quando un soggetto legittimamente autorizzato a utilizzare il sistema superi i limiti della propria autorizzazione, mantenendosi all’interno del sistema in modo illecito. Questo fenomeno, noto come insider abuse, amplia notevolmente il campo di applicazione dell’art. 615-ter c.p., rendendolo rilevante non solo per le intrusioni esterne, ma anche per quelle compiute da soggetti interni che sfruttano il loro ruolo per fini illeciti.

L’obiettivo di questo articolo è fornire una panoramica chiara sul reato di accesso abusivo a sistema informatico o telematico, delineando le principali caratteristiche della fattispecie e l’evoluzione giurisprudenziale che l’ha riguardata.

Trattandosi di un reato che tocca aspetti complessi e in continua evoluzione, è fondamentale per imprese e individui, beneficiare di un’assistenza legale specialistica per prevenire rischi legali e assicurare la corretta gestione di eventuali responsabilità derivanti dall’accesso abusivo a sistemi informatici.

Struttura del reato di accesso abusivo

Il reato di accesso abusivo a un sistema informatico o telematico, disciplinato dall’art. 615-ter del codice penale, si articola in due condotte alternative: l’introduzione abusiva e la permanenza non autorizzata all’interno del sistema.

La prima condotta si verifica quando un soggetto, senza avere il permesso del titolare del sistema, supera le misure di sicurezza predisposte e si introduce all’interno del sistema informatico o telematico. Tale introduzione può avvenire sia da remoto, utilizzando un dispositivo diverso dall’elaboratore, sia attraverso un contatto diretto con il sistema.

Ciò che rileva ai fini della configurazione del reato è l’avvio di un dialogo logico con il software, che consente all’agente di operare all’interno del sistema. La giurisprudenza ha chiarito che non è necessario che il soggetto attivo prenda effettiva cognizione dei dati o dei programmi contenuti nel sistema; ciò che conta è che egli abbia violato le barriere di protezione che ne regolano l’accesso.

La seconda condotta, quella di permanenza abusiva, si configura quando un soggetto, che ha avuto legittimo accesso al sistema, vi si mantiene contro la volontà, espressa o tacita, del titolare. In questo caso, la condotta diviene illecita non per l’accesso iniziale, che può essere stato lecito, ma per il mantenimento della connessione al sistema oltre i limiti imposti dal titolare.

Tale permanenza non si deve intendere in senso fisico, bensì come il mantenimento di una connessione logica con il sistema, che inizialmente poteva essere autorizzata ma successivamente diviene contraria alla volontà del titolare. Anche in questo caso, la condotta illecita può realizzarsi sia con un accesso diretto al sistema sia da remoto.

Il requisito essenziale che accomuna entrambe le condotte è l’elemento dell’abusività, che implica un conflitto tra il soggetto attivo e il titolare del sistema. L’abusività è evidente quando l’agente non possiede alcuna autorizzazione per accedere al sistema, ma può anche configurarsi nel caso in cui l’accesso sia avvenuto legittimamente e poi il soggetto ecceda i limiti dell’autorizzazione. In entrambi i casi, l’art. 615-ter c.p. richiede che vi sia una violazione della volontà del titolare di escludere l’agente dall’accesso al sistema o dal permanere all’interno dello stesso.

L’oggetto materiale del reato è rappresentato dal sistema informatico o telematico, inteso come un insieme di apparecchi e programmi che consentono l’elaborazione e la gestione di informazioni. Sebbene il codice penale non fornisca una definizione specifica di sistema informatico o telematico, la dottrina e la giurisprudenza hanno chiarito che rientrano in questa categoria tutti i sistemi elettronici che permettono la memorizzazione, il trattamento e lo scambio di dati attraverso reti di comunicazione.

Le modalità tecniche con cui l’accesso o la permanenza abusiva si realizzano possono essere diverse, ma ciò che conta è l’effettiva instaurazione di una connessione logica con il sistema, indipendentemente dall’effettiva cognizione dei dati o dei programmi in esso contenuti.

Infine, l’elemento soggettivo del reato è costituito dal dolo generico, ossia dalla consapevolezza e volontà del soggetto di introdursi o di permanere abusivamente all’interno del sistema, sapendo di non essere autorizzato.

Il reato si consuma nel momento in cui si instaura la connessione con il sistema, ossia quando l’agente supera le misure di protezione predisposte dal titolare e acquisisce il controllo del sistema, anche senza utilizzare i dati in esso contenuti. Nel caso della permanenza illecita, il momento consumativo coincide con il mantenimento della connessione contro la volontà del titolare.

Le circostanze aggravanti dell’accesso abusivo

Il reato di accesso abusivo a sistema informatico o telematico, previsto dall’art. 615-ter c.p., prevede una serie di circostanze aggravanti che incidono sul trattamento sanzionatorio.

Tali circostanze sono state oggetto di numerose modifiche normative, soprattutto con la recente Legge 90/2024, che ha inasprito le pene e ampliato le ipotesi aggravate del reato. Per un approfondimento rinviamo al contributo specifico sul tema. L’intento del legislatore è stato quello di rafforzare la tutela dei sistemi informatici di particolare rilevanza per la sicurezza nazionale, l’ordine pubblico e i servizi essenziali.

Una delle aggravanti più rilevanti riguarda l’accesso abusivo commesso da un pubblico ufficiale o da un incaricato di pubblico servizio. In questi casi, la pena è più severa, poiché l’agente, abusando della propria posizione, accede al sistema con una violazione dei doveri inerenti alla sua funzione, o da chi esercita anche abusivamente la professione di investigatore privato, o con abuso della qualità di operatore del sistema.

La giurisprudenza ha chiarito che tale aggravante si applica anche nel caso in cui il pubblico ufficiale o l’incaricato di pubblico servizio utilizzi le proprie credenziali per scopi diversi da quelli previsti, configurando uno sviamento di potere. Questo tipo di accesso abusivo assume un particolare disvalore sociale, poiché l’abuso della funzione pubblica mette in pericolo la fiducia della collettività nelle istituzioni.

Ulteriore aggravante riguarda i casi in cui l’accesso abusivo provochi danni al sistema informatico, con la distruzione o il danneggiamento dei dati, delle informazioni o dei programmi in esso contenuti, oppure l’interruzione totale o parziale del suo funzionamento. In particolare, la legge n. 90 del 2024 ha introdotto nuove ipotesi aggravate, includendo anche la sottrazione, la riproduzione o la trasmissione non autorizzata dei dati contenuti nel sistema, rendendoli inaccessibili al titolare. Questo tipo di condotta espande significativamente la portata del reato, includendo non solo il danneggiamento fisico o logico del sistema, ma anche l’illecito trattamento delle informazioni.

Infine, il comma 3 dell’art. 615-ter c.p. prevede una ulteriore aggravante per i casi in cui l’accesso abusivo riguardi sistemi informatici o telematici di particolare interesse pubblico. Tra questi rientrano i sistemi legati alla sicurezza nazionale, all’ordine pubblico, alla sanità, alla protezione civile o a qualsiasi altro ambito di interesse pubblico rilevante. In queste ipotesi, la pena può arrivare fino a dodici anni di reclusione, in quanto l’accesso abusivo compromette non solo i singoli interessi privati, ma anche la sicurezza e il buon funzionamento di servizi essenziali per la collettività.

Il reato di accesso abusivo è procedibile d’ufficio nelle ipotesi aggravate, a testimonianza della sua rilevanza e della necessità di una risposta penale più incisiva nei confronti di condotte che mettono in pericolo l’integrità dei sistemi informatici pubblici o di rilevanza nazionale.

Le misure di sicurezza come presupposto dell’ accesso abusivo

Le misure di sicurezza costituiscono un elemento centrale nella configurazione del reato di accesso abusivo a sistema informatico o telematico. L’art. 615-ter c.p. riserva infatti la tutela penale ai soli sistemi che siano protetti da misure di sicurezza, escludendo quelli che, pur essendo accessibili, non sono protetti da barriere che ne limitino l’accesso.

La predisposizione di tali misure è quindi indicativa della volontà del titolare di escludere soggetti non autorizzati, configurando un elemento essenziale per la sussistenza del reato.

Secondo la giurisprudenza e la dottrina, le misure di sicurezza possono essere sia di natura fisica che logica. Le prime comprendono dispositivi come chiavi magnetiche, tessere o altri strumenti fisici che permettono l’accesso diretto ai terminali o agli elaboratori. Le misure logiche, invece, includono l’uso di password, codici di accesso e moderni sistemi di autenticazione, come il riconoscimento biometrico o l’uso di impronte digitali.

Non è richiesto che le misure di protezione siano particolarmente sofisticate o difficili da aggirare: è sufficiente che esse dimostrino la volontà del titolare di limitare l’accesso al sistema a soggetti autorizzati.

Il necessario apprestamento delle misure di sicurezza tende a responsabilizzare il titolare del sistema, che è chiamato a proteggere i propri dati e informazioni attraverso strumenti adeguati. Questo requisito, quindi, funge da filtro per evitare che siano tutelati sistemi che, di fatto, non presentano una volontà effettiva di esclusione. È proprio attraverso la presenza di barriere logiche o fisiche che si può affermare la volontà del titolare di proteggere il proprio spazio informatico da intrusioni indebite. Si tratta dunque di un incentivo forte alla cybersicurezza.

Un aspetto importante da sottolineare è che il reato di accesso abusivo si configura anche se le misure di sicurezza non vengono effettivamente superate dall’agente. Ciò significa che, per integrare la fattispecie criminosa, non è necessario che l’intruso eluda con successo le protezioni. La semplice introduzione abusiva o la permanenza non autorizzata in un sistema protetto da misure di sicurezza è sufficiente a configurare il reato, indipendentemente dal livello di protezione delle barriere predisposte.

Pertanto, ciò che rileva è l’esistenza stessa di tali misure, piuttosto che la loro effettiva efficacia contro l’intrusione.

L’abuso del titolo di legittimazione nell’accesso abusivo

Un aspetto particolarmente complesso del reato di accesso abusivo è la questione dell’abuso del titolo di legittimazione, ovvero la condotta di chi, pur essendo autorizzato ad accedere a un sistema informatico o telematico, ne fa un uso illecito, eccedendo i limiti della propria autorizzazione. Questa fattispecie si verifica tipicamente nel caso di soggetti interni a un’organizzazione, come dipendenti o collaboratori, che utilizzano le proprie credenziali di accesso per scopi diversi da quelli previsti, violando così la volontà del titolare del sistema.

La giurisprudenza ha lungamente dibattuto sull’inquadramento di tali condotte nell’ambito del reato di accesso abusivo. Secondo un primo orientamento, qualsiasi utilizzo delle credenziali di accesso per fini estranei a quelli autorizzati configurerebbe un reato, poiché contrasterebbe con la volontà tacita del titolare di escludere ogni utilizzo illecito del sistema.

Tuttavia, un diverso orientamento ha escluso questa impostazione, sostenendo che il semplice utilizzo improprio delle credenziali non possa integrare il reato di accesso abusivo, a meno che non vi sia una chiara violazione delle disposizioni organizzative che regolano l’accesso al sistema.

Le Sezioni Unite della Cassazione, con la sentenza Casani del 2011, hanno chiarito che l’abuso del titolo di legittimazione non può configurare il reato di accesso abusivo se l’agente non viola le specifiche prescrizioni che regolano l’accesso al sistema informatico. Secondo questa pronuncia, per integrare la fattispecie è necessario che l’accesso o la permanenza nel sistema siano in contrasto con le regole che ne disciplinano l’utilizzo, non essendo sufficiente il solo uso improprio dei dati ottenuti. In altre parole, la violazione dei limiti di accesso deve riguardare il momento in cui si verifica l’introduzione o la permanenza, e non le finalità successive per cui vengono utilizzati i dati.

Tuttavia, la giurisprudenza successiva ha continuato a dibattere sulla rilevanza del fine illecito perseguito dall’agente. Un altro orientamento, infatti, ha ritenuto che, nel caso di pubblici ufficiali o incaricati di pubblico servizio, l’utilizzo delle credenziali per scopi diversi da quelli istituzionali possa comunque integrare il reato di accesso abusivo, anche in assenza di una violazione formale delle disposizioni organizzative.

Questo orientamento, sostenuto dalle Sezioni Unite Savarese, ha esteso la nozione di abusività includendo anche l’accesso o la permanenza nel sistema per finalità estranee alle attività per le quali l’autorizzazione era stata concessa, come ad esempio lo sviamento di potere.

L’abuso del titolo di legittimazione, quindi, rappresenta una delle questioni più complesse nella disciplina del reato di accesso abusivo. Mentre l’orientamento più restrittivo richiede la violazione di precise disposizioni organizzative, altre interpretazioni giurisprudenziali attribuiscono rilevanza anche alle finalità per le quali l’accesso è stato utilizzato, ampliando così il perimetro della fattispecie e rendendo più difficile tracciare una linea netta tra condotta lecita e abuso.

Il luogo di consumazione del reato di accesso abusivo

La particolare natura del reato di accesso abusivo a sistema informatico o telematico, che si svolge nel cyberspace, pone rilevanti problematiche in merito all’individuazione del luogo di consumazione del delitto. La caratteristica di immaterialità dello spazio virtuale rende complessa la determinazione del locus commissi delicti, ossia del luogo in cui il reato viene considerato consumato e, quindi, del giudice territorialmente competente a conoscerlo.

La giurisprudenza si è a lungo divisa su due orientamenti principali. Il primo individuava il luogo di consumazione del reato nel luogo fisico in cui si trovava il soggetto che accedeva abusivamente al sistema. Secondo questa impostazione, il reato si perfeziona nel momento e nel luogo in cui l’agente si introduce nel sistema informatico utilizzando il proprio terminale, da remoto o in prossimità del sistema violato. Tale interpretazione si basa sull’idea che il delitto si consuma quando si instaura la connessione logica tra l’agente e il sistema, superando le misure di sicurezza predisposte dal titolare.

Il secondo orientamento, invece, privilegiava l’individuazione del locus commissi delicti nel luogo in cui si trova il server che elabora e controlla le credenziali di accesso fornite dall’agente. In base a questa teoria, il reato si consuma nel luogo in cui è collocato fisicamente il sistema informatico protetto, indipendentemente dal luogo in cui si trova l’autore del reato. Questa tesi si fonda sul principio per cui l’evento lesivo si verifica nel luogo in cui il sistema informatico subisce l’intrusione, e non necessariamente nel luogo da cui essa viene perpetrata.

Le Sezioni Unite della Corte di Cassazione sono intervenute per dirimere la questione, stabilendo che il luogo di consumazione del reato di accesso abusivo va individuato nel luogo in cui si trova l’agente al momento dell’introduzione o della permanenza non autorizzata nel sistema. Pertanto, l’orientamento prevalente ritiene che il delitto si consumi nel punto fisico in cui il soggetto attivo opera per accedere abusivamente al sistema, sia esso un luogo remoto o lo stesso luogo in cui è collocato il server.

Questa soluzione giurisprudenziale tiene conto delle peculiarità del cyberspace, pur mantenendo un principio di territorialità nell’individuazione del locus commissi delicti. Ciò risponde all’esigenza di ancorare il reato a un luogo fisico, consentendo così di determinare con maggiore certezza il giudice competente a conoscere del reato di accesso abusivo.

Tuttavia, non mancano casi complessi in cui, data la natura transnazionale del cyberspace, la determinazione del luogo di consumazione del reato richiede un’analisi approfondita della localizzazione dei server e delle modalità tecniche con cui è avvenuto l’accesso abusivo.

Detenzione, diffusione e installazione abusiva di strumenti per l’accesso abusivo

L’art. 615-quater c.p. disciplina un altro importante aspetto connesso al reato di accesso abusivo, ossia la detenzione, diffusione e installazione abusiva di strumenti o codici atti a consentire l’accesso non autorizzato a un sistema informatico o telematico. Questa norma, introdotta con la legge n. 547 del 1993 e successivamente modificata dalla legge n. 90/2024, ha ampliato l’ambito di applicazione del reato, includendo condotte preparatorie che rafforzano la tutela dei sistemi informatici e la riservatezza dei dati.

L’art. 615-quater c.p. punisce chiunque, al fine di procurare a sé o ad altri un profitto o di arrecare un danno, si procuri, detenga, produca, riproduca, diffonda, importi, comunichi, consegni, metta a disposizione o installi apparati, strumenti, codici, password o altri mezzi idonei all’accesso abusivo a un sistema informatico o telematico.

La norma copre quindi una vasta gamma di condotte che possono preparare o facilitare l’intrusione in un sistema protetto, anticipando la soglia di punibilità anche a comportamenti che, di per sé, non costituiscono un accesso diretto ma che ne creano le condizioni.

La giurisprudenza e la dottrina hanno chiarito che l’oggetto materiale di questo reato include qualsiasi strumento idoneo a consentire l’accesso abusivo a un sistema informatico. Ciò comprende codici di accesso, password, dispositivi hardware o software appositamente progettati per violare le misure di sicurezza di un sistema informatico. Il legislatore ha adottato una clausola aperta per includere strumenti tecnologici anche di nuova concezione, garantendo così che la norma rimanga applicabile a fronte dei progressi tecnologici.

Inoltre, la legge n. 90 del 2024 ha inasprito le sanzioni previste dall’art. 615-quater c.p., soprattutto in presenza di circostanze aggravanti. Ad esempio, se l’accesso abusivo riguarda sistemi di interesse pubblico o legati alla sicurezza nazionale, la pena può essere significativamente aumentata.

Responsabilità degli enti 231 per accesso abusivo

L’inclusione del reato di accesso abusivo tra i reati presupposto ai sensi del D. Lgs. n. 231/2001, ai senso dell’art. 24-bis, comporta rilevanti conseguenze in termini di responsabilità amministrativa degli enti collettivi.

L’art. 24-bis del D.Lgs. n. 231/2001, introdotto dalla legge n. 48 del 2008 che ha recepito la Convenzione di Budapest sulla criminalità informatica, prevede che le aziende e gli enti possano essere chiamati a rispondere qualora si dimostri che la commissione del reato di accesso abusivo sia avvenuta nell’interesse o a vantaggio dell’ente stesso. Per un approfondimento sulle ipotesi di responsabilità dell’ente da reato informatico rinviamo a un nostro precedente approfondimento.

In questo contesto, la responsabilità dell’ente non deriva dall’eventuale mancata adozione di modelli di organizzazione e gestione che avrebbero potuto prevenire la commissione del reato.

Il D. Lgs. n. 231/2001 introduce infatti un sistema di responsabilità che si basa sull’imputazione dell’illecito all’ente, qualora vi siano carenze organizzative o gestionali tali da consentire il compimento del reato. In assenza di un efficace modello di compliance, che preveda misure idonee a prevenire reati informatici, l’ente può essere considerato responsabile e soggetto a sanzioni.

La responsabilità amministrativa dell’ente si basa su due elementi: l’interesse o il vantaggio che l’ente trae dalla commissione del reato e la colpa organizzativa, ovvero la mancanza di adeguate misure di controllo e prevenzione dei reati. In caso di accertamento della responsabilità, l’ente può essere soggetto a sanzioni pecuniarie, interdittive (come la sospensione dell’attività) e, nei casi più gravi, alla confisca dei beni.

Inoltre, la normativa prevede che l’ente possa dimostrare di aver adottato e attuato efficacemente modelli organizzativi e di gestione, al fine di escludere la propria responsabilità. Tali modelli devono prevedere, tra l’altro, un sistema di vigilanza adeguato alla prevenzione dei reati di accesso abusivo e altre fattispecie informatiche. L’adozione di questi modelli, insieme alla nomina di un organismo di vigilanza, rappresenta una delle principali difese dell’ente in caso di contestazione del reato.

L’introduzione del reato di accesso abusivo nel catalogo dei reati presupposto ex D.Lgs. n. 231/2001 sottolinea l’importanza di adottare politiche aziendali di compliance in materia di sicurezza informatica. Le aziende devono quindi dotarsi di strumenti adeguati per prevenire e gestire eventuali attacchi o accessi non autorizzati ai propri sistemi, al fine di evitare conseguenze non solo penali per i soggetti fisici coinvolti, ma anche amministrative per l’ente stesso.

Un modello organizzativo efficace dovrebbe prevedere adeguati presidi anche contro le condotte di accesso abusivo commesse ai danni dei sistemi aziendali interni. Ad esempio, un dipendente potrebbe accedere abusivamente a un’area protetta da misure di sicurezza all’interno del sistema informatico dell’azienda, dove sono archiviate informazioni sensibili.

Tale condotta può avvenire al fine di favorire una società terza, magari nell’acquisizione di un appalto o nell’ottenimento di vantaggi competitivi. In questo contesto, anche se la condotta del dipendente è rivolta nei confronti dei sistemi aziendali, è possibile che essa sia diretta a procurare un vantaggio economico o strategico all’ente stesso.

In questi casi, il reato di accesso abusivo potrebbe essere riconducibile all’interesse o al vantaggio dell’ente, e dunque comportare la responsabilità amministrativa dello stesso ai sensi del D. Lgs. n. 231/2001. Diventa quindi essenziale che il modello organizzativo preveda non solo misure di prevenzione generali, ma anche specifici strumenti di controllo volti a monitorare e limitare l’accesso dei dipendenti alle aree sensibili del sistema informatico aziendale.

L’adozione di protocolli di accesso rigorosi e la predisposizione di audit interni possono rappresentare strumenti efficaci per evitare che simili condotte si verifichino e per escludere, in caso di reato, la responsabilità dell’ente.

Conclusioni sul reato di accesso abusivo

Il reato di accesso abusivo a sistema informatico o telematico si distingue per la sua complessità e per le peculiarità che lo caratterizzano, richiedendo una conoscenza approfondita non solo delle norme penali, ma anche delle tecnologie informatiche.Per tale ragione, è fondamentale affidarsi a una consulenza legale specialistica sia per la prevenzione che per la repressione di queste condotte.

Il nostro studio offre assistenza qualificata nella difesa in giudizio, fornendo supporto tecnico-giuridico indispensabile per affrontare casi di accesso abusivo.

Sul fronte della prevenzione, ci occupiamo della redazione di modelli organizzativi e codici di condotta interni, volti a disciplinare l’utilizzo delle risorse informatiche aziendali, garantendo così una gestione corretta e sicura dei sistemi e una protezione adeguata contro le condotte illecite.