I reati informatici: intervista all’Avv. Pier Paolo Casale

D: Se si è vittime di un di attacco hacker, cosa si può fare dal punto di vista legale?

Innanzitutto, è assai opportuna una consulenza tecnica di un professionista che vada a confermare sotto il profilo informatico gli aspetti da cui si è evinta la problematica. Tale consulenza risulta assai utile per convalidare la tesi di partenza ed aiutare l’organo inquirente nella prima fase delle indagini. Infatti, è opportuno affidarsi a un perito che per precedenti incarichi ha lavorato presso il Tribunale, laddove con l’esperienza acquisita questi può da subito fornire dati utili capaci di accellerare le ulteriori operazioni tecniche che dovrà compiere la Procura della Repubblica.

D: Quali sono i reati che si possono contestare?

La fattispecie contestabile è l’art. 615-ter del Codice penale, ovvero l’accesso abusivo a un sistema informatico o telematico. Si tratta di un delitto perseguibile a querela (ovviamente molto spesso la stessa sarà mossa contro ignoti: non si conosce quasi mai da subito l’hacker responsabile). L’Ufficio inquirente competente per le indagini sarà la Procura distrettuale situata presso il Tribunale del capoluogo dove ha sede la Corte d’appello.

Nell’atto di querela sarà necessario, oltre alla narrazione dei fatti, fornire tutte “le prove” a riscontro di quanto illustrato (come la consulenza tecnica già menzionata) e sollecitare ulteriori attività d’indagine indicando specificatemente quali elementi potranno essere ulteriore fonte di conoscenza, ad esempio: indicare le persone informate sui fatti da sentire a sommarie informazioni, specificare da quale server provider acquisire i log, etc.

D: A fronte di una denuncia/querela, cosa può accadere?

Si possono aprire due principali scenari:

1. il primo, e più favorevole, l’individuazione del criminale e pertanto, verrà esercitata l’azione penale per ottere la sua condanna;
2. il secondo, meno favorevole, con la richiesta di archiviazione perché non è stato individuato il soggetto responsabile ovvero, a giudizio del Pubblico Ministero, non si sono trovati elementi utili che permetteranno, secondo un giudizio prognostico, di ottenere la condanna se verrà processato.

Il termine previsto per compiere le indagini preliminari (a seguito della riforma Cartabia) è di un anno se si procede per un delitto contro persone note; mentre trattandosi di ignoti, il termine per terminare le indagini preliminari è di sei mesi, salvo che il l’organo inquirente chieda l’autorizzazione al Giudice di poter proseguire le indagini.

Qualora venga formulata la richiesta di archiviazione, la persona offesa per mezzo del proprio legale può opporsi indicando i motivi per i quali si dovrebbe in realtà procedere alla luce dell’esito delle indagini svolte (la c.d. imputazione coatta, se il reo è persona nota). Oppure, quali ulteriore attività d’indagine sarebbe in realtà necessaria, e non è stata svolta dalla Parte pubblica, per completare il quadro delle responsabilità e poter procedere nei confronti del reo individuato.

Naturalmente la vittima del reato, qualora si proceda con il processo, potrà trovare ristoro al danno patito costituendosi parte civile nel procedimento penale attraverso il proprio difensore di fiducia.

D: Quali sono le casistiche di reati più diffusi?

Ad oggi, secondo la mia esperienza nel Triveneto, i reati informatici maggiormente contestati sono la frode informatica (ovvero il classico phishing), la sostituzione di persona (sempre nell’ambito del phishing), l’accesso abusivo ad un sistema informatico, il revenge porn e la diffamazione a mezzo web. Quest’ultimo è un reato comune ma è perpetrato per mezzo web.

D: E nel caso in cui l’accesso abusivo sia derivato da una misconfigurazione grave di sicurezza che non ha inibito l’accesso?

Seppur tale tesi non sia stata accolta al momento dalla Corte di Cassazione, c’è una timida giurisprudenza di merito rappresentata da una sentenza di un Tribunale di primo grado che affronta una diversa interpretazione del requisito di “misure di sicurezza” richiamato come condizione essenziale per la consumazione del reato ex art. 615 ter c.p.

Infatti, per aversi un attacco hacker rilevante penalmente, il sistema informatico deve essere protetto da misure che esprimono la volonta di escludere i soggetti terzi non autorizzati ad accedere: secondo il giudice di legittimità per aversi il parametro rispettato, basta anche una mera password avente come codice 1234.

Di contro, secondo questa pronuncia, il livello di sicurezza deve essere necessariamente calibrato in base al tipo di proprietario e/o utilizzatore finale del device. Ad un utente domestico è legittimo chiedere quale parametro di sicurezza una semplice password, mentre è esigibile nei confronti di un’azienda l’adozione di strumenti di sicurezza più complessi. In sostanza, se una società non adotta sistemi di protezione solidi diviene quasi indirettamente corresponsabile di quanto accaduto, laddove gli strumenti di protezione siano banali e insufficienti rispetto al grado di complessità della struttura potrebbero essere ritenuti come non apposti. In tale situazione, si potrebbe affermare che il sistema non fosse protetto da sistema di sicurezza, e pertanto il reato non si sarebbe configurato.

Entrando più nello specifico della domanda, sicuramente in ragione dell’orientamento giurisprudenziale maggioritario, in caso di una misconfigurazione non solo sussiste il reato di accesso abusivo a sistema informatico o telematico, ma anche si aprono problematiche relative alla riservatezza dei dati personali.