Quando si parla di reati informatici in Italia, c’è un aspetto che molti ignorano e che invece cambia radicalmente le carte in tavola. La giurisprudenza italiana ha stabilito un principio che, a prima vista, può sembrare sorprendente: accedere a un sistema informatico privo di misure di sicurezza adeguate non costituisce reato penale. Sembra controintuitivo, eppure è esattamente così. E le conseguenze di questa interpretazione toccano aziende, sviluppatori, pubbliche amministrazioni e qualunque cittadino che abbia a che fare col mondo digitale.
Il punto centrale ruota attorno a una distinzione sottile ma decisiva, quella tra “introduzione” e “intrusione“. Non sono sinonimi, almeno non dal punto di vista del diritto penale italiano. L’intrusione presuppone il superamento di un ostacolo, di una barriera, di qualcosa che segnali chiaramente la volontà del titolare di impedire l’accesso. Parliamo di password, firewall, sistemi di autenticazione, crittografia. Insomma, quelle che il legislatore chiama misure di sicurezza idonee. Se queste misure non ci sono, o se sono talmente deboli da risultare inesistenti, allora chi accede al sistema non sta tecnicamente “violando” nulla. Sta semplicemente entrando da una porta aperta.
Il quadro normativo e le implicazioni per aziende e cittadini
L’articolo 615 ter del codice penale, che disciplina l’accesso abusivo a sistemi informatici, è stato pensato proprio con questa logica. La norma punisce chi si introduce in un sistema protetto contro la volontà di chi ne ha diritto. La parola chiave è “protetto”. Se il sistema è aperto, esposto, senza alcuna forma di protezione, la punibilità diventa un terreno molto scivoloso.
Questo non significa che sia tutto lecito, ovviamente. Se qualcuno accede a dati personali altrui, anche su un sistema non protetto, possono scattare altre violazioni legate alla normativa sulla privacy o al trattamento illecito di dati. Ma sul piano strettamente penale dei reati informatici, la mancanza di protezione rappresenta un elemento che può far cadere l’accusa.
Le implicazioni per le organizzazioni sono enormi. Chi gestisce infrastrutture digitali, database, portali web o qualunque piattaforma connessa ha un obbligo implicito ma sostanziale: dotarsi di misure di sicurezza che non siano solo di facciata. Non basta un disclaimer o una pagina di login senza alcun meccanismo reale di protezione. La giurisprudenza guarda alla sostanza, non alla forma. Se un’azienda lascia un database accessibile senza autenticazione, il fatto che qualcuno ci entri potrebbe non essere perseguibile penalmente.
Cosa cambia per sviluppatori e responsabili IT
Per chi sviluppa software o amministra sistemi, il messaggio è piuttosto chiaro. La responsabilità di rendere un sistema effettivamente sicuro ricade su chi lo gestisce. Non si può contare sulla legge penale come unica rete di protezione quando si è trascurata la sicurezza informatica di base. La normativa, in sostanza, riconosce che un sistema lasciato senza difese equivale a un sistema aperto, e un sistema aperto non genera reato per chi vi accede.
Questa interpretazione ha anche risvolti importanti per i ricercatori di sicurezza e per chi si occupa di vulnerability disclosure. Segnalare una falla su un sistema palesemente non protetto si colloca in una zona giuridica diversa rispetto al forzare un accesso su una piattaforma dotata di robuste contromisure tecniche.
Va detto che ogni caso fa storia a sé e che i tribunali valutano le circostanze specifiche. Ma il principio di fondo resta: senza protezione adeguata, parlare di reati informatici legati all’accesso diventa molto più complicato dal punto di vista della punibilità.
