Accesso abusivo e aggravante informatica: l’alterazione della password come reato aggravato

L’accesso abusivo a un sistema informatico si configura come reato anche quando il soggetto agente, pur avendo inizialmente la legittimazione ad accedere, compie una condotta che eccede i limiti del proprio titolo di accesso o ne altera le modalità di utilizzo. In tale contesto, assume particolare rilevanza la modifica non autorizzata delle credenziali di accesso, come la password o le informazioni di recupero di una casella di posta elettronica aziendale, soprattutto se tale azione comporta l’inidoneità temporanea del sistema a garantire il funzionamento originario.

La modifica unilaterale della password, accompagnata dal cambiamento delle credenziali di recupero, incide direttamente sulla struttura logica del sistema informatico. La configurazione di nuove credenziali, rese note esclusivamente all’autore della condotta, impedisce al titolare legittimo dell’account di accedere tempestivamente al proprio spazio digitale. Tale situazione realizza una temporanea esclusione del titolare, alterando la piena disponibilità della risorsa informatica e integrando una forma di interruzione funzionale che assume rilievo penale.

Nonostante la possibilità tecnica di ripristino attraverso procedimenti amministrativi o l’intervento di esperti, l’effetto immediato dell’azione rimane quello di privare il titolare del controllo effettivo sul proprio account, con tutte le conseguenze operative e organizzative che ne derivano. L’indisponibilità anche temporanea di un sistema di comunicazione aziendale può compromettere il regolare svolgimento delle attività produttive, innescando una catena di eventi dannosi sia sotto il profilo economico che reputazionale.

Il codice penale sanziona queste condotte ai sensi dell’art. 615-ter, comma 2, n. 3, che prevede un aggravamento di pena nei casi in cui l’accesso abusivo determini la distruzione, il deterioramento o l’alterazione di un sistema informatico o telematico. L’aggravante si fonda sull’effetto diretto che l’azione ha avuto sull’integrità funzionale del sistema, anche se non accompagnata da distruzioni materiali o danneggiamenti irreversibili.

L’idoneità oggettiva della condotta a determinare la temporanea inoperatività del sistema costituisce l’elemento qualificante della fattispecie aggravata. L’arresto funzionale può non essere assoluto, ma la sua sola esistenza, accompagnata da un’effettiva impossibilità per l’utente di accedere o utilizzare il sistema come previsto, è sufficiente a integrare il reato aggravato.

Nel caso in esame, l’intervento unilaterale sull’infrastruttura informatica aziendale ha prodotto un blocco operativo della piattaforma dal 13 dicembre 2018 al 16 aprile 2019. La riattivazione è avvenuta esclusivamente grazie all’intervento tecnico di una società esterna, il che conferma la gravità dell’alterazione e il carattere strutturale dell’impedimento. Tale circostanza non solo evidenzia la vulnerabilità delle architetture digitali in presenza di accessi non controllati, ma sottolinea anche il danno patrimoniale arrecato all’ente, aggravato dall’impiego di risorse tecniche e finanziarie per ripristinare il sistema.

L’interesse penalmente protetto è duplice: da un lato la riservatezza e l’inviolabilità del domicilio informatico, e dall’altro la garanzia della continuità operativa dei sistemi informatici, soprattutto quando siano strumenti essenziali dell’attività imprenditoriale. La modifica non autorizzata delle credenziali, se diretta a impedire l’uso del sistema da parte del legittimo titolare, assume quindi il significato di un’interferenza dolosa con la struttura operativa dell’organizzazione, ed è punita più severamente in ragione dell’offesa all’interesse collettivo alla sicurezza dei sistemi informatici.

Il danno prodotto non è misurabile solo in termini di perdita d’accesso, ma anche nella sottrazione del controllo e nella compromissione dell’affidabilità dell’ambiente digitale. Il fatto che l’azione sia compiuta con strumenti formalmente ordinari – la semplice modifica di una password – non ne sminuisce la pericolosità. È proprio l’abuso della posizione tecnica o funzionale dell’agente, che approfitta di credenziali legittime per finalità devianti, a costituire l’elemento più subdolo e, al tempo stesso, più rilevante sotto il profilo dell’offesa.

La dimensione temporale del blocco, infine, gioca un ruolo decisivo nella valutazione giudiziaria. Più prolungata è l’interruzione del servizio, maggiore è la gravità del fatto e più stringente diviene l’applicazione dell’aggravante. L’articolazione temporale del danno è dunque un indice della profondità dell’alterazione e della lesione provocata all’ordinaria funzionalità dell’infrastruttura informatica coinvolta.

ChatGPT può commettere errori. OpenAI non utilizza i dati dell’area di lavoro Collitude per addestrare i modelli.