L’art 615-ter punisce chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo. Questa figura di reato comprende due distinte condotte tipiche realizzabili in maniera alternativa: l’introduzione abusiva e il mantenimento all’interno del sistema.
Secondo la giurisprudenza la norma ha come scopo quello di tutelare il “domicilio informatico” formulando una protezione simile a quella per il “domicilio fisico”. Il collegamento tra i due concetti è funzionale ad estendere la copertura dell’art 14 della Costituzione laddove prevede al primo comma che Il domicilio è inviolabile.
Secondo la Corte di cassazione (sez. VI,4 ottobre 1999 n.3067), la norma non opera distinzioni tra sistemi informatici in ragione dei contenuti che ospitano, abbiano essi interesse pubblico o privato quindi il reato si configura in maniera eguale in entrambe le situazioni.
Le definizioni giurisprudenziali di sistema informatico, telematico e misure di sicurezza
Quando la norma parla di sistema informatico, telematico e misure di sicurezza non fornisce le relative definizioni. La giurisprudenza ha sopperito a questa lacuna, individuando:
- la nozione di “sistema informatico” come il complesso dell’hardware e del software.
- Allo stesso modo per “sistema telematico” si intende quel complesso organico di elementi di un elaboratore che consentono “la comunicazione a distanza di dati tramite una rete di terminali dialoganti”.
- Un ulteriore termine che crea problemi interpretativi è “misura di sicurezza” dato che non sono chiari i suoi confini. Nella sentenza Zara (n.12732/2000) il giudice di legittimità ha precisato che con questo termine il legislatore intende ricomprendere “qualsiasi meccanismo di selezione dei soggetti abilitati all’accesso”. In definitiva ciò che assume rilievo è solo la volontà del titolare di escludere terzi non autorizzati all’accesso (il cosiddetto jus excludendi).
La condotta incriminata
La condotta di chi senza autorizzazione si introduce in un sistema informatico è sicuramente considerabile come rientrante nella fattispecie (per una disamina specifica sul data breach, ne abbiamo parlato qui)
La norma pone alcuni dubbi interpretativi in merito all’estensione massima del reato perciò, le sezioni unite hanno risolto il contrasto interpretativo e sono arrivate alla conclusione di ritenere che: “non è punibile la condotta di chi, entra nel sistema e permane rispettando i limiti dell’autorizzazione rilasciata dal titolare”.
Il reato sussisterebbe tutte quelle volte che il soggetto, pur astrattamente autorizzato ad accedere o permanere nel sistema, lo fa violando i limiti risultanti dal complesso delle prescrizioni impartite dal titolare del sistema ovvero quando pone in essere operazioni ontologicamente diverse da quelle autorizzate.
Un caso particolare del 2017 può essere utile per capire l’effettiva portata di questo orientamento. Il caso era quello di un pubblico ufficiale, nel caso di specie funzionario di cancelleria, autorizzato ad accedere al Registro informatizzato delle notizie di reato ma che usa tale potere per controllare ulteriori procedimenti penali per puro interesse privato (sentenza Savarese Cass. ss.uu. 41210/2017).
In questo procedimento la Corte ha ritenuto sussistente il reato di cui all’art 615-ter c.p. in ragione del fatto che i compiti della cancelleria sono descritti e scanditi dalla legge, perciò, l’uso del potere pubblico per finalità diverse da quelle indicate dalla norma costituisce “sviamento di potere”, una categoria specifica del più generale vizio di “eccesso di potere”.
Il reato continuato come naturale schema di condotta del 615ter
Oltre al problema dell’ambiguità del dato normativo ex 615-ter c.p., bisogna anche tener conto che questo tipo di reati solitamente compongono un più ampio disegno criminoso.
Gli esempi che conosce la giurisprudenza sono i più disparati, l’esempio più classico è quello del soggetto che, impossessandosi del telefono altrui, analizza le chat per indagare sul partner o sulle conversazioni relative all’ambito di lavoro. La Cassazione si è espressa ritenendo che si integra il delitto ex art. 615 ter c.p. anche nel caso di accesso ad un sistema che sia protetto da un dispositivo costituito anche soltanto da una parola chiave - cosiddetta "password" (Cass, pen., sez. II, 25.09.2008, n. 36721). Questo in quanto la password rappresenta esercizio dello, già citato, jus excludendi del titolare del sistema.
Normalmente un soggetto accede e permane in un sistema informatico per ottenere delle informazioni o modificare il sistema, con una finalità specifica appunto, avendo in mente una serie di reati-mezzo al fine di realizzare il reato-scopo.
Il co.2 dell’art 81 c.p. prevede che si ha reato continuato quando lo stesso soggetto commette, con più azioni od omissioni una pluralità di reati, esecutivi di un medesimo disegno criminoso.
Il reato continuato è punito in maniera più mite rispetto al cumulo materiale (normale somma delle pene) dei reati, ciò in quanto il legislatore ritiene meno riprovevole la condotta di chi, pur commettendo una pluralità di reati, cede una sola volta alla volontà di delinquere.
L'elemento soggettivo richiesto dal reato ex 615ter è solo il dolo generico, ossia la coscienza e la volontà di introdursi nell'altrui sistema informatico o telematico senza il consenso dell'avente diritto ma l’elemento soggettivo che anima il disegno criminoso è, invece, la volontà di realizzare un obbiettivo specifico all’interno del sistema, ad esempio la conoscenza delle informazioni sul sistema informatico, lettura della corrispondenza, alterazione dei dati, ecc.
Accesso abusivo per motivi difensivi
Talvolta si abusa delle autorizzazioni concesse dal titolare del sistema per motivi difensivi, ad esempio per ottenere informazioni utili in un processo, ed è proprio questo un caso che ha interessato la Corte di cassazione recentemente.
La sentenza in questione è la 34501/2024 della V sez. penale, la questione verte sulla richiesta che fa l’imputata di vedersi riconosciuta la scriminante di un generico diritto di difesa e quindi di ritenere “giustificata” la condotta di accesso abusivo al telefono dell’ex marito per ottenere informazioni utili nel processo di separazione con quest’ultimo.
In questa vicenda l’ex moglie della persona offesa, in vista del processo, ha sfruttato le credenziali dell’home banking del marito per ottenere estratti conto e dossier titoli relativi al conto corrente del coniuge, poi prodotti in vista dell'udienza presidenziale di comparizione dei coniugi, per l'adozione dei provvedimenti provvisori in ordine all'obbligo di mantenimento del coniuge più debole e della prole. I giudici di merito hanno sempre escluso la possibilità di scriminare ex art 51c.p. la condotta sostenendo che la donna avrebbe potuto agire ex art. 210 c.p.c. (Ordine di esibizione alla parte o al terzo) e richiedere quelle informazioni legittimamente tramite l’intermediazione del giudice. La necessità di attuare un disegno criminoso per acquisire elementi da far valere in giudizio a propria difesa non può che essere valutato come un'ipotesi limite, che è discriminata solo quando è dettata dalla necessità di adottare quel comportamento quale unico mezzo per ottenere il risultato difensivo.
Accesso abusivo dell’amministratore di sistema in ambito aziendale
Fuoriuscendo dalle questioni più privatistiche la questione ha un’ampia rilevanza soprattutto in ambito aziendale. Molto spesso il reato di accesso abusivo al sistema informatico avviene come mezzo per conoscere la corrispondenza aziendale in maniera illecita.
Quest’ultimo è un reato che frequentemente si associa al 615ter dato che molto spesso è il fine del disegno criminoso.
Accade abbastanza spesso che i dipendenti abusino dei diritti derivanti dalla loro posizione per conoscere informazioni riservate circa la loro posizione o affari interessanti. Una recentissima sentenza la n.23158/2025 della V. sez. penale della Corte di cassazione si è occupata del tema.
Nel caso specifico, il soggetto agente con più azioni esecutive di un medesimo disegno criminoso, nella sua qualità di amministratore e operatore di sistema del sistema informatico si è introdotto abusivamente nel sistema al fine di prendere cognizione del contenuto della corrispondenza riservata ad altri soggetti candidati per la sua stessa posizione in relazione alle trattative delle società per la revoca del precedente amministratore e la nomina di un nuovo amministratore.
Nel caso specifico, la corte territoriale aveva riconosciuto il reato con l'aggravante del nesso teleologico e di avere commesso il fatto con abuso della qualità di operatore di sistema e dell'avere danneggiato un sistema informatico.
In sintesi, venivano contestati i reati di: accesso abusivo (615 ter) con l’aggravante specifica del comma 2 n.3 (se dal fatto deriva la distruzione o il danneggiamento del sistema) dello stesso articolo nonché con l’aggravante generica del nesso teleologico e soprattutto anche il reato ex art 616 (Violazione, sottrazione e soppressione di corrispondenza).
È molto interessante la lettura che la Corte di cassazione dà della nozione di “danneggiamento del sistema” dato che ricomprende in questa definizione anche la semplice modifica alla password avendo reso inutilizzabile il sistema per molto tempo. La corte dice in particolare che: “è configurabile l'aggravante di cui all'art. 615-ter, comma secondo, n. 3, cod. pen. nel caso di modifica della "password" d'accesso alla casella di posta elettronica e delle credenziali di recupero della medesima, determinandosi l'alterazione di una componente essenziale del sistema informatico che lo rende temporaneamente inidoneo al funzionamento.”
Violazione della corrispondenza
La libertà e la segretezza della corrispondenza è un valore costituzionale tutelato dall’art 15 della Costituzione e concretamente punito in caso di violazione dall’art 616 c.p.
Dal canto suo l’art 616 c.p. è un articolo complesso nella sua struttura dato che permette di scindere più fattispecie di reato derivanti dalla stessa norma, in particolare i commi 2 e 4 c.p., prevedono una fattispecie di reato autonoma rispetto a quella del primo comma.
Di fatti, il comma 1 della norma in esame punisce chiunque prende cognizione del contenuto di una corrispondenza chiusa, a lui non diretta, ovvero sottrae o distrae, al fine di prenderne o di fame da altri prendere cognizione, una corrispondenza chiusa o aperta, a lui non diretta, ovvero, in tutto o in parte, la distrugge o sopprime.Il comma 2 e 4 della medesima disposizione punisce il colpevole che, nell’ambito della condotta di cui al comma 1, senza giusta causa, rivela, in tutto o in parte, il contenuto della corrispondenza, se dal fatto deriva nocumento, intendendo come tale qualsiasi pregiudizio giuridicamente rilevante.
Il problema di questa fattispecie è che la nozione di giusta causa, rilevante ai fini dell'art. 616 co. 2 c.p., non è fornita dal legislatore ed è, dunque, “affidata al concetto generico di giustizia che la locuzione stessa presuppone e che il giudice, pertanto, deve determinare di volta in volta” (Cass. pen. Sez. V, 15/12/2014, n. 52075).
Se sei un’azienda e necessiti di supporto su questi temi rivolgiti ai nostri partner dello Studio Legale FCLEX e chiedi dell’Avvocato Giuseppe Croari esperto di diritto dell’informatica e delle nuove tecnologie.