:.:.: (il blog di) Daniele Minotti

(da Punto Informatico n. 2995 del 16 maggio 2008)

Roma – La diffusione di un worm costituisce accesso abusivo a sistema informatico o telematico.
È questa, in estrema sintesi, una della più rilevanti conclusioni tratte dalla Corte di Appello di Bologna in una recentemente depositata.

Molti ricorderanno il caso Vierika, così noto dal nome del primo malware italiano finito sotto processo in Italia.
Siamo nell’estate del 2005 e il Tribunale di Bologna condanna un giovane informatico per aver diffuso, nel 2001, un malware (worm). Sono contestati i reati di cui agli artt. 615-ter c.p. (accesso abusivo a sistema informatico o telematico) e 615-quinques c.p. (diffusione di programmi diretti a danneggiare o interrompere un sistema informatico).
La discussione in primo grado si articola soprattutto sulle modalità investigative aspramente criticate dalla difesa. Il giudice si sofferma sul punto ma, di fatto, rigetta ogni eccezione concludendo – consacrando pienamente il principio del libero convincimento – per la perfetta regolarità dell’operato degli investigatori.

Esula da questo articolo una puntuale analisi di questi aspetti. Da un lato perché non è possibile dare un giudizio senza conoscere l’integralità degli atti di causa, dall’altro perché con la ratifica della Convenzione di Budapest sui cibercrimini le regole sono un po’ cambiate (almeno nominalmente, in verità senza apprezzabili sanzioni processuali come, ad esempio, l’inutilizzabilità). Ritengo più interessante, e fattibile, occuparmi dell’asserito accesso abusivo a sistema informatico o telematico analizzando entrambe le sentenze perché, a parte le questioni appena viste, mi sembra il punto più debole della condanna.

Premesso che la norma punisce “chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo” e che, dunque, non va oltre un fatto di “introduzione”, penso siano da mettere a fuoco due punti: cosa mira a proteggere il legislatore (e parliamo, in “legalese”, di “bene protetto”) e cosa si intende per accesso/introduzione di tipo informatico.

Come, probabilmente, molti sanno, il delitto di accesso abusivo è stato introdotto poco meno di quindici anni fa, con la l. 547/93 appunto dedicata ai reati informatici.
Espressamente, si è voluta estendere la tutela del domicilio “tradizionale” (ad esempio, un’abitazione) anche ad altri ambiti, nel caso concreto quello informatico, costituenti la sfera privata dell’individuo. Ciò in accordo all’art. 14 della Costituzione. Non a caso, l’art. 615-ter c.p. è sostanzialmente un clone, pur con qualche adeguamento, dell’art. 614 c.p. che punisce la violazione di domicilio “tradizionale”, “tangibile”.

Ma il problema, come anticipato, è quello di definire gli intenti del legislatore in ordine all’oggetto della protezione. E due sono le principali teorie: il domicilio di per sé e la riservatezza. In estrema sintesi e semplificando, ove fosse giusta la prima, si proteggerebbe anche una “casa informatica” vuota, senza alcun dato riservato, per il solo fatto dello scavalcamento della soglia. Se, invece, fosse corretta la prima, la tutela offerta dal legislatore dovrebbe intendersi limitata alle sole “case” contenenti dati riservati. In questo caso, vi sarebbe, in pratica, accesso abusivo rilevante soltanto in presenza di dati riservati (cosa, peraltro, non emersa nel procedimento).

Va detto, però, che la soluzione prevalente, pur con qualche mio personale dubbio, è la prima. Non si può non prenderne atto. Sicché è opportuno passare al secondo profilo domandandoci cosa si debba intendere, tecnicamente, per accesso/introduzione. E sul punto, va subito precisato, i giudici bolognesi, del primo e del secondo grado, hanno gravemente equivocato, prendendo la via sbagliata, condannando nei fatti per una non codificata (cioè non punita) “introduzione per mezzo di un programma”.

In proposito, non posso non ricordare il provocatorio pensiero di Gianluca Pomante che, nel 2006, sosteneva che, di fatto, nella stragrande maggioranza dei casi di asserita intrusione, questa, in realtà, non c’è. Semmai vi è interrogazione, non accesso vero e proprio.
Lascio le considerazioni del caso ai tecnici, pur riconoscendo che, almeno a me, qualche sano dubbio è venuto. Osservo, però, che il caso “Vierika” è ancora meno “accesso”, anzi, a mio parere non lo è. Dunque, non vi doveva essere condanna.

A mio avviso, un qualsiasi programma (anche non necessariamente malware) scritto per essere “lanciato” in un sistema informatico, riprodursi e rispedirsi agli indirizzi presenti in un dato sistema non è diverso da un ipotetico oggetto lanciato, dall’esterno, in una casa.
Un worm non è una “sonda” che, in qualche modo, estende i sensi di chi l’ha lanciata rinviando al mittente una serie di dati. Un worm è un programma creato per diffondersi e perdersi nello spazio telematico, al di fuori di ogni controllo, senza fornire feedback. È come la pietra scagliata, volontariamente o meno, da un ragazzo all’interno di una casa. Non può, dunque, violare alcun domicilio (tanto meno la riservatezza) ma, al limite, cagionare un danno.

E nessuno si sognerebbe mai, nel mondo “reale”, di contestare una violazione di domicilio al ragazzino dalla mira invidiabile. Semplicemente perché il soggetto non entra nella casa altrui.

Ecco perché, a prescindere dalle valutazioni tecniche comunque opinate in giudizio, il fatto può costituire esclusivamente (ed eventualmente) diffusione di programmi atti a danneggiare.
Se il legislatore ha voluto creare un parallelo tra “reale” e “virtuale”, ove possibile non è consentito omettere di ragionare in parallelo.

avv. Daniele Minotti
http://www.studiominotti.it/