di Fulvio Graziotto - I sistemi informatici aziendali sono sempre più soggetti ad attacchi e tentativi di intrusioni con modalità remote: sotto il profilo penale, l'accesso abusivo a un sistema informatico è un delitto previsto dall'art. 615-ter del codice penale, punito con la reclusione fino a tre anni, e fino a otto anni nei casi più gravi: al tentativo è applicabile una pena diminuita ai sensi dell'art. 56 c.p.
Anche le aziende si trovano esposte sempre di più a potenziali rischi, con risvolti anche sanzionabili sia in termini di credibilità sul mercato, sia in termini di protezione dei dati personali trattati.
In caso di tentativi di accesso abusivo in remoto (caso più frequente in assoluto), si è posto il problema di stabilire il luogo in cui è commesso il reato (consumato o tentato), e su questo punto si sono pronunciate le Sezioni Unite della Cassazione Penale (cfr. sentenza n. 17325/2015), che hanno affrontato il seguente quesito: "Se, ai fini della determinazione della competenza per territorio, il luogo di consumazione del delitto di accesso abusivo ad un sistema informatico o telematico, di cui all'art. 615 ter c.p., sia quello in cui si trova il soggetto che si introduce nel sistema o, invece, quello nel quale è collocato il server che elabora e controlla le credenziali di autenticazione fornite dall'agente".
Precedentemente, la Cassazione (cfr. sentenza n. 40303/2013) aveva ritenuto che la competenza territoriale fosse nel luogo in cui è ubicato il server, ma le Sezioni Unite Penali, successivamente investite della questione, hanno invece affermato il seguente principio di diritto: «Il luogo di consumazione del delitto di accesso abusivo ad un sistema informatico o telematico, di cui all'art. 615 ter c.p., è quello nel quale si trova il soggetto che effettua l'introduzione abusiva o vi si mantiene abusivamente».
La decisione, evidentemente, ha cercato di dare una risposta alla problematica del "cloud computing", che di fatto ha introdotto un elemento di novità nelle architetture di rete informatiche, rendendo difficilmente conoscibile il luogo in cui sono memorizzati i dati, spesso frazionati in grandi server farms in diversi paesi.
Sotto il profilo dei rischi legali, le aziende potenzialmente suscettibili di responsabilità (a titolo contrattuale o extra-contrattuale) nei confronti di utenti e soggetti in relazione con essa, dovrebbero valutare seriamente non solo l'adozione di misure tecniche di maggiore protezione, ma anche l'opportunità di segnalare i tentativi di accesso alla polizia postale e proporre denuncia-querela, in modo da ridurre una loro eventuale responsabilità per colpa a fronte di richieste risarcitorie e, nei casi in cui la notizia di reato porti all'identificazione dei colpevoli, alla riduzione del fenomeno.
La truffa - art. 640 c.p.
Il reato di Stalking o atti persecutori
Prescrizione dei reati: come funziona?
Il falso ideologico
Il reato di corruzione
Il reato di turbativa d'asta
Il reato di violenza sessuale
Bruciare rami e sterpaglie è reato?