Annunciato l’EU-US Privacy Shield, accordo sulla privacy tra Europa e Stati Uniti che sostituisce l’ormai invalidato Safe Harbour

Autore: Marco Tullio Giordano

L’Unione Europea e gli Stati Uniti d’America hanno raggiunto un compromesso sul nuovo meccanismo per il trasferimento dei dati personali oltreoceano. La Commissione ha garantito che ci sarà maggiore protezione della privacy e che si eviteranno episodi di sorveglianza di massa. Viene istituita anche la figura di un difensore civico a cui i cittadini possono rivolgersi per eventuali ricorsi.

Il vecchio accordo denominato Safe Harbour (letteralmente tradotto come “Approdo Sicuro” ed approvato il lontano 26 luglio 2000, quando gran parte del mondo della rete, per come lo conosciamo ora, non esisteva ancora), che permetteva alle aziende ed ai service provider americani di spostare i dati personali dei cittadini dell’Unione europea negli Stati Uniti, non risultava più adeguato, dopo che, ad ottobre, la Corte di Giustizia dell’Ue aveva affermato che vi fossero rischi per la protezione dei dati personali e sensibili dei cittadini europei. La Commissione europea, dunque, si è attivata per negoziare un nuovo trattato con gli USA.

Il 2 febbraio 2016, dunque, l’Unione europea e gli Stati Uniti d’America hanno raggiunto un accordo sul nuovo meccanismo, che dovrebbe permettere di trasferire in sicurezza i dati personali degli utenti europei oltreoceano.

Nel corso della una press conference tenutasi il 2 Febbraio 2016 e condivisa in streaming in rete, l’esecutivo della Comunità Europea  si è detto sicuro che il nuovo framework su come gestire i dati immagazzinati da aziende come Google o Facebook, o anche Ebay e Amazon e presentato col nome di EU-US Privacy Shield, comporterà forti obblighi alle aziende statunitensi affinché proteggano i dati personali dei cittadini europei, assicurando del resto ancora forti poteri di controllo allo  US Department of Commerce ed alla Federal Trade Commission, anche attraverso una maggiore cooperazione con le autorità europee per la protezione dei dati.

L’accordo prevede infatti che le aziende che hanno raccolto i dati personali debbano ora informare i cittadini nel momento in cui essi vengono acquisiti, rendere consapevoli i soggetti sull’utilizzo che ne verrà fatto in futuro ed ottenere il permesso di trasmettere queste informazioni a terzi, garantendo inoltre alle persone di accedere ed eventualmente modificare o cancellare i dati raccolti, mantenendone l’integrità e la riservatezza.

Sul versante dei controlli, l’EU-US Shield garantirà che le autorità di polizia degli Stati Uniti possano accedere ai dati personali trasferiti solo in casi eccezionali e in modalità ben circostanziate. Pare infatti che alle autorità europee, inizialmente preoccupate per l’ingerenza dimostrata dalle agenzie investigative statunitensi dopo le rivelazioni rilasciate da Edward Snowden nel 2014, sia bastata la garanzia che “le autorità pubbliche che fanno rispettare la legge e tutelano la sicurezza nazionale saranno soggette a limitazioni e eccezioni ben definite e a dei meccanismi di vigilanza” e che "gli Stati Uniti hanno escluso una sorveglianza di massa indiscriminata sui dati trasferiti negli USA”. Il rispetto degli accordi sarà assicurato da una relazione stilata annualmente dalla Commissione Europea e dal Department of Commerce statunitense, con la collaborazione di esperti dell'intelligence e delle autorità di vigilanza, che verificherà il rispetto degli accordi in relazione alla legge.

Gli Stati Uniti, inoltre, hanno accettato di allinearsi alle richieste dell'Unione Europea, garantendo un sistema per gestire i ricorsi dei cittadini che temano che i loro diritti siano stati violati: una stretta collaborazione tra i garanti europei, il Department of Commerce e la Federal Trade Commission consentirà di indirizzare le controversie che non si possano risolvere in seno alle aziende stesse, senza gravare il cittadino di spese. Verrà inoltre creata un'autorità dedicata, una sorta di difensore civico, alla quale potranno essere rivolte le richieste di verifica relative alle ingerenze dell'intelligence, aspetto che, complici le rivelazioni del Datagate, aveva determinato l'annullamento degli accordi Safe Harbor.

Di fatto, l’EU-US Shield è ancora tutti da formalizzare: si procederà a consolidare un testo nelle prossime settimane e se nel corso dell'iter tutte le parti dovessero risultare soddisfatte, il mese di aprile sarà il traguardo più ottimistico per l'entrata in vigore dei nuovi accordi. In particolare, si attende l'esito del dibattito in seno all'Article 29 Working Party, in cui sono radunati i garanti della privacy europei, investiti di una crescente responsabilità nella tutela dei diritti fondamentali della società civile.

Al di là delle dichiarazioni di rito da parte delle autorità che hanno partecipato alle trattative, però, ed al di là del sospiro di sollievo tirato dall'industria che fa dei dati un business, anche in seno ai rappresentanti dei cittadini europei c'è chi diffida dagli annunci trionfalistici di un accordo che sembrava destinato a ritardare ad oltranza: l’ex commissario Viviane Reding, ad esempio, ha espresso delusione rispetto ad un accordo basato su impegni fissati in lettere di rassicurazione, ancora troppo vago per sapere se soddisferà i requisiti dettati dalla Corte di Giustizia dell'Unione Europea.

Prevedibilmente, non hanno risparmiato le loro critiche Edward Snowden e Max Schrems, protagonisti del decadimento degli accordi Safe Harbor: secondo i due, sarà probabilmente il confronto concreto con la giustizia a decretare la solidità di accordi che per ora hanno la fragilità di dichiarazioni politiche. Allo stesso modo, le associazioni che si battono per la tutela dei diritti dei cittadini, come EPIC (Electonic Privacy Information Center), non nascondono la sfiducia rispetto ad un accordo che sembra confermare la situazione attuale. Una situazione, osserva EDRi (European Digital Rights), caratterizzata da incongruenze apparentemente insanabili tra i quadri normativi statunitense e europeo ed aggravata dalla confusa evoluzione delle normative sul tecnocontrollo, fra cui i cosiddetti “Umbrella Agreement”, che dovrebbero definire le regole sulla cooperazione e sul trasferimento dei dati personali tra le forze di polizia degli stati membri UE e degli USA.

Ma l'Europa, che sembra aver tentato quasi unilateralmente di sbrogliare il nodo della ricostruzione di un sistema di garanzie che consentisse ai colossi statunitensi di continuare a fare affari nel Vecchio Continente, ha proposto la sua soluzione: il Privacy Shield è un meccanismo vivo e non un patto statico, soggetto a continue revisioni. Non resta, dunque, che attendere che venga partorito.

Leggi tutto...

Le frodi man-in-the-middle, truffe informatico-finanziarie che provocano danni da migliaia di euro alle aziende

autore: 

 

Marco Tullio Giordano

Negli ultimi mesi si sono intensificati gli episodi di truffe finanziarie online ai danni delle aziende di quasi tutta Europa, opera di criminali informatici ed organizzazioni transnazionali che sono riuscite a colpire anche molte società italiane. La semplice violazione di caselle di posta elettronica, combinata con tecniche di social engineering, si sta rivelando il mezzo perfetto per indurre disposizioni di pagamento fraudolente e provocare ingenti perdite di denaro. La prevenzione, attraverso la sicurezza informatica e l’educazione dei dipendenti, pare essere l’unica soluzione, posto che non i rimedi sul piano civilistico e della proposizione dell’azione penale non sembrano garantire il ristoro dei danni subiti.

Anche se l’ormai classico phishing, fattispecie criminosa riconducibile alla sostituzione di persona ed alla frode informatica, è divenuta largamente riconoscibile ed in parte evitabile dalla maggioranza degli utenti della rete (c’è davvero chi casca ancora oggi nel trucco della “vincita” della lotteria o nell’invito a fornire le proprie credenziali smarrite dalla propria banca?), nuove e più pericolose varianti sembrano farsi strada tra i cybercriminali. E, proprio come per le infezioni nel mondo reale, pare che queste nuove varianti evolute siano più aggressive, più mirate, più resistenti e, soprattutto, più remunerative per i criminali ed estremamente dannose, sul piano finanziario, per le vittime. Oggi la nuova frontiera è il “man in the mail”, versione riadattata in chiave informatica, di quel “man in the middle” (letteralmente l'uomo in mezzo) che fu usato come meccanismo del film “La stangata”. E le vittime sono, nella maggioranza dei casi, non più i privati ma le aziende, almeno a giudicare dalle richieste di assistenza – indistintamente in ambito civile e penale –  pervenute a noi ed ai nostri colleghi di R&P Legal nel corso di questo primo semestre del 2015. Sembra, pertanto, opportuno divulgare l’informazione e mettere in guardia i nostri clienti sulle metodologie di attacco e sulle relative possibilità di difesa, onde evitare conseguenze catastrofiche sul piano finanziario.

 

L’attacco MITM (acronimo di man-in-the-middle), sostanzialmente, è un tipo di attacco silente nel quale l’agente si inserisce nei sistemi della vittima o del suo interlocutore (la dicitura man-in-the-middle si riferisce proprio alla posizione del portatore dell'attacco, interposta tra le due vittime) e per un lungo periodo di tempo, monitorandolo, ne studia le abitudini informatiche, leggendo e modificando, senza darne evidenza, le comunicazioni tra le due parti e nascondendo la sua presenza ad entrambe. Il meccanismo è molto semplice: gli “hacker” violano la casella email di una società, scelta con cura tramite valutazioni principalmente basate sul fatto che effettui operazioni internazionali di import/export, in modo da essere certi che essa abbia una relazione commerciale con un partner o con un fornitore estero. Per poter entrare nelle caselle di posta i criminali utilizzano metodi come phishing, brute forcing o persino trojan inviati via posta sui computer o sui telefoni di chi, all’interno dell’azienda, gestisce i rapporti finanziari con l’estero. La posta elettronica viene poi monitorata per diverso tempo, in maniera da essere difficilmente individuabile, fino al momento in cui vengono scambiate i documenti utili all’importazione o esportazione di materiali, spesso con ingenti capitali in gioco. Al momento giusto i truffatori inviano un’email, fingendo di essere il fornitore estero (attraverso l’artificio del creare una casella di posta elettronica simile a quella originale) in cui chiedono che il pagamento per i beni acquistati o venduti avvenga su un differente istituto di credito, con tanto di specifica delle coordinate bancarie di destinazione, spesso modificando graficamente il modulo d’ordine originale. Il messaggio appare solitamente autentico agli occhi dell’interlocutore, poco attento o non avvezzo allo strumento informatico, proprio per tutte le informazioni che i truffatori hanno potuto acquisire dall’email durante le settimane di monitoraggio. Per leggerezza o troppa fiducia, il cliente dall’altra parte esegue il bonifico sul nuovo IBAN, in alcuni casi chiedendo conferma del cambio con una semplice email, alla quale i criminali rispondono fingendosi la controparte e tranquillizzando circa la legittimità del nuovo conto. I soldi vengono quindi bonificati su un conto in realtà intestato a dei prestanome (i c.d. “financial manager”, già utilizzati indebitamente nei primi casi di phishing a cui siamo ormai stati abituati), dal quale poi entro pochi giorni spariscono senza possibilità di recupero.

 

Sotto il profilo del diritto penale, la fattispecie può essere inquadrata quale una vera e propria truffa ex art. 640 c.p. (la vittima è indotta in errore tramite artifizi e raggiri, consistenti nella falsa email a nome del fornitore e nell’uso di falsa documentazione contabile), piuttosto che scissa in molteplici condotte, avvinte dal vincolo della continuazione, riconducibili ai reati di sostituzione di persona ex art. 494 c.p. e di frode informatica ex art. 640 ter c.p., soprattutto a seguito della recente modifica legislativa introdotta dall'art. 9, comma 1, D.L. 14.08.2013, n. 93, così come modificato dall'allegato alla legge di conversione L. 15.10.2013, n. 119, che ha previsto l’inserimento di un comma specifico avente ad oggetto la commissione della frode mediante furto o utilizzo indebito dell’identità digitale altrui (letteralmente: “La pena è della reclusione da due a sei anni e della multa da euro 600 a euro 3.000 se il fatto è commesso con furto o indebito utilizzo dell’identità digitale in danno di uno o più soggetti”). Le circostanze che rendono, tuttavia, difficile se non addirittura impossibile incardinare l’azione penale nei confronti degli autori delle condotte illecite sono relative ai limiti temporali (quando ci si accorge della truffa, solitamente i soldi sono stati sottratti dal conto di destinazione) e giurisdizionali (per nostra esperienza diretta, le connessioni risultano sempre originate da Paesi stranieri quali la Costa d’Avorio, la Russia o altri territori che non garantiscono l’assistenza giudiziaria necessaria per l’individuazione e la repressione dei colpevoli), che rendono la presentazione di denunce-querele contro ignoti più un adempimento burocratico che una effettiva soluzione del problema.

 

In aggiunta a ciò, anche sul parallelo versante civilistico della eventuale ripetizione dell’indebito pagamento mediante interpello della banca disponente e, soprattutto, di quella del beneficiario (sebbene sine titulo), l’esperienza diretta permette di prevedere che l’unica circostanza risolutiva sarebbe quella di richiedere lo storno del pagamento nel più breve tempo possibile e comunque solo finchè i fondi sono ancora presenti sul conto di destinazione. In questo caso, infatti, alcune banche europee (è il caso di alcuni istituti di credito londinesi, ma non certo quello delle filiali ungheresi o della Repubblica Ceca, dimostratesi molto più reticenti a collaborare con le persone offese), interessate nel corso di procedimenti di questo tipo, si sono rese disponibili a “congelare” i conti dei financial managers concorrenti nel reato e a restituire le somme ancora in giacenza. Tuttavia, ove – come nella maggioranza dei casi concretamente accade – la richiesta di ripetizione dell’indebito pagamento arrivi in ritardo e a conto ormai “svuotato”, neppure sembrerebbe possibile addebitare alcuna responsabilità alle imprese creditizie: deve infatti essere sottolineato che le disposizioni comuni europee (discendenti tutte dalla direttiva 2007/64/CE del Parlamento europeo e del Consiglio, relativa ai servizi di pagamento nel mercato interno), declinate poi nei testi normativi quali il Payment Service Regulation (PSR) inglese del 2009 (specificamente l’art. 74, rubricato “Liability - Incorrect unique identifiers”) o il nostrano Decreto Legislativo 27 gennaio 2010, n. 11 (specificamente all’art. 24, rubricato “Identificativi unici inesatti”) tendono a giustificare – e di conseguenza a garantirne l’efficacia – le disposizioni di pagamento in cui l’indicazione del titolare del conto e le relative coordinate bancarie non coincidono, finendo di fatto per escludere ogni responsabilità in capo alle banche.

 

Permane, a giudizio di chi scrive, il dubbio circa l’adeguatezza di normative di e portata, soprattutto in un’epoca in cui la semplicità e la velocità dei pagamenti online ha, di fatto, trasferito ogni possibilità di controllo nelle mani degli intermediari finanziari, i quali, invero, sarebbero già dotati di strumenti di verifica e alert automatici che, con facilità, possano individuare operazioni potenzialmente sospette perché gravate da macroscopiche incongruenze (quale l’indicazione di un beneficiario diverso dal titolare del conto) o altri parametri sentinella, quali ad esempio l’atipicità della disposizione, la transnazionalità o il coinvolgimento di utenti privati nel corso di operazioni commerciali. Ma questo sembra un argomento che deve essere affrontato dal legislatore piuttosto che dalle autorità giudiziarie con funzione nomofilattica.

 

Il consiglio, in via residuale, non rimane che quello di una attenta prevenzione di rischi di questo genere, con attivazione di procedure interne di controllo e verifica delle informazioni, nonché di adeguamento della sicurezza informatica aziendale: in molti casi basterebbe la verifica dell'indirizzo del mittente, perché è piuttosto facile crearne uno molto simile a quello originale e soprattutto impostare il nome del mittente identico a quello corretto. In caso di pagamenti di importo elevato, poi, sarebbe preferibile porre in essere sempre un controllo con canali di comunicazione alternativi - una telefonata o un fax – per confermare esattamente richieste anomale ricevute via email.

 

Soprattutto fare molta attenzione alle repentine richieste di cambiamento nelle normali pratiche commerciali. Ed ancora, non utilizzare l'opzione “Rispondi” per rispondere a tutte le e-mail aziendali. Al contrario, usare l'opzione “Forward” e digitare l'indirizzo e-mail corretto o selezionarlo dalla rubrica per essere certi di utilizzare il vero indirizzo e-mail, ricordando di porre la massima attenzione ai messaggi di SPAM o insoliti, e guardare sempre con sospetto a richieste di cambiamento come quelle descritte. Infine ma non ultimo, chi si trova vittima di questa truffa dovrà sporgere denuncia, anche se difficilmente il capitale perso si potrà recuperare.

 

Negli Stati Uniti l’FBI ha pubblicato da tempo un avviso utile alla prevenzione. In attesa che il legislatore, o le associazioni di categoria, si attivino anche nel vecchio continente per porre un freno al fenomeno, l’unica soluzione quindi sembra essere quella della previsione di forti strumenti di prevenzione interni, poiché una volta che il pagamento è stato disposto, risultano davvero remote le possibilità di rientrare in possesso di quanto indebitamente trasferito su conti estranei a quelli sottesi al rapporto sinallagmatico con il proprio fornitore.

Leggi tutto...

Accesso abusivo del dipendente autorizzato: condanna annullata

autore:

Marco Tullio Giordano

La Corte di Cassazione chiarisce che il reato di accesso abusivo ad un sistema informatico protetto, da parte di chi è oggettivamente autorizzato, è punibile solo ove egli si mantenga all'interno di tale sistema violando le condizioni ed i limiti risultanti dal complesso delle prescrizioni impartite dal titolare del sistema, essendo irrilevanti, per la configurabilità del reato di cui all’art. 615 ter c.p., gli scopi e le finalità soggettivamente perseguiti dall’agente così come l’impiego successivo dei dati eventualmente ottenuti. (Corte di Cassazione, Sezione V Penale, sentenza n. 10083/15 del 31.10.2014, depositata il 10.03.2015).

La sentenza, emessa alla fine dello scorso anno, potrebbe far discutere, poiché sostiene l’irrilevanza, ai fini dell’integrazione della fattispecie, di finalità ulteriori ed illecite in capo al dipendente: ciò che conta, per addebitare l’illecito in oggetto, è l’agente deve aver violato chiare norme regolamentari che ne delimitino l’attività sui sistemi aziendali. Tuttavia, la lettura delle motivazioni, depositate solo all’inizio di questo mese, aiuta a meglio comprendere la ratio dell’annullamento della sentenza di condanna e definisce, ulteriormente rispetto alle precedenti occasioni di intervento della Suprema Corte, l’importanza di una chiara politica di sicurezza informatica e aziendale.
L’imputato, ex-socio e consigliere di amministrazione di una società di broker assicurativi e in forza di tale qualità e quale operatore del sistema, era in possesso delle credenziali di accesso alle banche dati aziendali. A seguito della comunicazione dell’interruzione del rapporto di collaborazione, accedeva con le proprie credenziali e si manteneva nel sistema informatico, al fine di visualizzare files contenenti i dati riguardanti l'attività dell'azienda e, più nello specifico, i nominativi dei clienti che avevano contratto polizze con la società. Successivamente duplicava parte di tali files su supporto ottico – utilizzandoli, secondo l’accusa, per la sua nuova attività professionale – ed infine eliminava diversi documenti a carattere professionale, contenuti sulla memoria del computer in uso e di proprietà dell'azienda. Oltre alla condanna penale, l’imputato era stato condannato al risarcimento del danno in favore della società, costituitasi parte civile, e al pagamento di una provvisionale immediatamente esecutiva. Secondo il ricorrente tuttavia, la sentenza d’appello che lo aveva confermato colpevole di accesso abusivo a sistema informatico, ai sensi dell’art. 615 ter c.p., aveva ritenuto apoditticamente che il regolamento aziendale per l’utilizzo delle risorse informatiche vietasse le condotte asseritamente addebitate, mentre tale documento non escludeva specificamente né la copia né la duplicazione dei files, lasciando pertanto lecita la condotta in senso oggettivo.
E' noto che la fattispecie in oggetto punisce le condotte che si caratterizzano per l’introduzione abusiva in un sistema informatico o telematico protetto da misure di sicurezza, effettuato sia a distanza, sia da persona che si trovi a diretto contatto con l’elaboratore elettronico, così come le condotte che si concretano nel mantenimento nel sistema contro la volontà, espressa o tacita, del titolare dello ius excludendi. Di regola, tale volontà si manifesta mediante l’apposizione di misure di sicurezza logiche che assolvono la funzione di manifestare l’intenzione di impedire la diffusione a persone non autorizzate, oppure richiedendo specifiche prescrizioni comportamentali per l’utente o per mezzo di qualsiasi altro meccanismo selettivo dei soggetti abilitati. Ma quando ad accedere è un dipendente o, come nel caso di specie, persino un dirigente – per lo più amministratore di sistema – il quale, benchè abbia da poco appreso del termine della collaborazione, è ancora oggettivamente autorizzato alla visione ed alla copia, ipoteticamente per finalità lecite quali il backup dei dati?
Premesso che, ai fini della configurabilità del reato di accesso abusivo ad un sistema informatico nel caso di soggetto munito di credenziali aziendali, è necessario accertare “il superamento e la violazione, su un piano oggettivo, delle prescrizioni relative all'accesso ed al trattenimento nel sistema informatico, contenute in disposizioni organizzative impartite dal titolare dello stesso, indipendentemente dalle finalità soggettivamente perseguite” (così Cass., sez. V, 22 febbraio 2012, n. 15054), era sorto in passato un contrasto giurisprudenziale: secondo un primo orientamento si considerava integrata la fattispecie non solo in presenza della condotta di chi vi si introduca essendo privo di codice di accesso, ma anche quella di chi, autorizzato all'accesso per una determinata finalità, utilizzasse il titolo di legittimazione per una finalità diversa e, quindi non rispettasse le condizioni alle quali era subordinato l'accesso (Cass., sez. V, 7 novembre 2000, n. 12732; Cass., sez. V, 8 luglio 2008, n. 37322), mentre differenti pronunce, in aderenza ad un opposto e forse più riduttivo principio interpretativo, avevano ritenuto illecito il solo accesso oggettivamente abusivo, mentre sempre e comunque lecito veniva considerato l'accesso del soggetto abilitato, ancorché effettuato per finalità estranee a quelle dell'ufficio, persino quando illecite (Cass., sez. V, 20 dicembre 2007, n. 2534; Cass., sez. , 29 maggio 2008, n. 26797; Cass., sez. VI; 8 ottobre 2008, n. 3290). Il contrasto in parola, tuttavia, è stato successivamente affrontato e risolto dalle Sezioni Unite della Suprema Corte (Cass., sez. un., 27 ottobre 2011, n. 4694), secondo cui “sono indifferenti le finalità perseguite da colui che accede o si mantiene nel sistema, in quanto la volontà del titolare del diritto di esclusione si connette soltanto al dato oggettivo della permanenza dell'agente nel sistema informatico, rilevando il solo profilo oggettivo dell'accesso e del trattenimento nel sistema informatico da parte di un soggetto che non può ritenersi autorizzato ad accedervi ed a permanervi sia quando violi i limiti risultanti dal complesso delle prescrizioni impartite dal titolare del sistema, sia quando ponga in essere operazioni ontologicamente diverse da quelle di cui egli è incaricato ed in relazione alle quali l'accesso era a lui consentito”. Secondo le Sezioni Unite, dunque, rilevante per la sussistenza del reato deve ritenersi il profilo oggettivo dell'accesso e del trattenimento nel sistema informatico da parte di un soggetto che sostanzialmente non può ritenersi autorizzato ad accedervi ed a permanervi, sia allorquando violi i limiti risultanti dal complesso delle prescrizioni impartite dal titolare del sistema (nozione specificata, da parte della dottrina, con riferimento alla violazione delle prescrizioni contenute in disposizioni organizzative interne, in prassi aziendali o in clausole di contratti individuali di lavoro), sia allorquando ponga in essere operazioni di natura ontologicamente diversa da quelle di cui egli è incaricato ed in relazione alle quali l'accesso era a lui consentito.
Queste considerazioni, dunque, impongono che quando si contesta ad un soggetto, di per sé abilitato all’accesso da un sistema informatico protetto – ad esempio, perché, come nel caso di specie, in possesso delle necessarie credenziali di accesso – bisogna prescindere dalla circostanza inerente l’utilizzo che l’accusato possa fare dei dati acquisiti, anche se tale utilizzo possa sembrare illecito o comunque civilmente illegittimo. Ciò che occorre verificare è se l’accesso fosse o meno legittimo al momento dei fatti, “riscontrando la sussistenza di eventuali violazioni delle condizioni e dei limiti risultanti dal complesso delle prescrizioni impartite dal titolare del sistema per delimitarne oggettivamente l'accesso” (come già statuito da Cass., sez. V, 18 dicembre 2012, n. 18497). Nel caso oggetto della sentenza in commento, tale accertamento, nel corso dei giudizi di merito, è risultato completamente omesso, pur essendo invece assolutamente necessario. Infatti, il regolamento aziendale della persona giuridica parte lesa, per quanto dimostrato dalla stessa parte civile con produzione documentale nel corso del dibattimento di primo grado, statuiva che era assolutamente vietato “copiare o duplicare files di dati di proprietà per finalità che esulano dal trattamento dei dati di propria competenza o dalla semplice copia di backup degli stessi” ed in nessun caso tali dati potevano essere portati all'esterno della società su qualunque tipo di supporto di memorizzazione, con il che non essendo esclusa tout court né la copia né la duplicazione dei file, ma solo la copia o duplicazione per finalità che esulassero dal trattamento dei dati di propria competenza o dalla semplice copia di backup degli stessi. Nonostante ciò, nelle decisioni di condanna non era stato assolutamente esaminato il profilo attinente le ragioni per cui l’imputato avesse duplicato i files, né era stata fornita alcuna prova circa il fatto che tale condotta non rientrasse nelle finalità del trattamento dei dati di competenza dello stesso accusato. Tale circostanza ha imposto l’annullamento della decisione impugnata con rinvio ad altro giudice per un esame relativamente al suddetto profilo.
Dirimente, pertanto, sembra diventare la previsione, in seno alle aziende, di un chiaro ed esaustivo regolamento per l’utilizzo degli strumenti e dei dispositivi informatici: il soggetto che sia, infatti, in astratto legittimato ad accedere ad un sistema informatico, penetra illecitamente nello stesso solo ed esclusivamente se viola le specifiche condizioni alla cui sussistenza è subordinato il suo (consentito) accesso nel sistema medesimo. Ne deriva che, nei casi in cui l'agente compia sul sistema un'operazione pienamente assentita dall'autorizzazione ricevuta, ed agisca nei limiti di questa, il reato di cui all'art. 615-ter c.p. non è configurabile, a prescindere dallo scopo eventualmente perseguito, sicché qualora l'attività autorizzata consista anche nella acquisizione di dati informatici e l'operatore la esegua nei limiti e nelle forme consentiti dal titolare dello ius excludendi, il delitto in esame non è sussistente anche se degli stessi dati egli si dovesse poi servire per finalità illecite.

Leggi tutto...
Sottoscrivi questo feed RSS