Internet, e più in generale la telematica, sono importanti risorse per ottenere informazioni, e ogni giorno sia privati che professionisti accedono con estrema facilità ad una mole potenzialmente infinita di dati, molto spesso senza preoccuparsi davvero di quali potrebbero essere le conseguenze di questo tipo di ricerche.
Per ciò che riguarda le investigazioni private, soprattutto quelle relative alla Web Intelligence OSINT e SOCMINT, ai controlli difensivi dedicati alle aziende ed alla Computer Forensics, è di fondamentale importanza che gli investigatori impegnati in questo tipo di analisi siano preparati adeguatamente, in continua formazione e con una rilevante esperienza nel settore, per non incappare, sebbene involontariamente, in illeciti penalmente rilevanti.
Come è facilmente deducibile, i privati o le aziende non sempre hanno la giusta preparazione o le giuste risorse per muoversi autonomamente in un settore così complesso, ed è qui che intervengono le agenzie investigative autorizzate e specializzate in questo tipo di indagini.
Il rischio di accedere abusivamente nel cosiddetto “domicilio digitale”, ossia in una qualsiasi banca dati protetta da password, è più facile di quello che immaginiamo, e questo “errore” integra il reato di Accesso abusivo ad un sistema informatico e telematico, normato dall’art. 615-ter del Codice Penale.
Se a commettere tale errore è un pubblico ufficiale (ed in questo caso l’investigatore privato viene considerato come tale) vi è un aggravamento delle pene previste. Ciò rappresenta un’ulteriore conferma di quanto sia importante, per gli investigatori privati professionisti, riservare alle investigazioni informatiche la massima attenzione, per tutelare chi conferisce l’incarico, prima di tutto, e per autotutelarsi.
Così come l’investigatore privato non può accedere, senza autorizzazione, ad abitazioni e/o luoghi privati, tutelati dall'articolo 615-bis del Codice penale (interferenze illecite nella vita privata) e dall'articolo 614 (violazione di domicilio) così non potrà accedere abusivamente ai domicili digitali.
Un’interessante pronuncia della Cassazione Penale, la Sentenza n. 26530 del 2021 (in allegato) chiarisce alcuni importanti aspetti sull’accesso abusivo nel domicilio digitale, perché molto spesso si ha la convinzione, come accaduto al ricorrente nel caso in esame, che se si possiede la password di un sistema informatico si è automaticamente autorizzati ad accedervi. Ma non è così.
I controlli difensivi richiesti dalle aziende alle agenzie investigative riguardano spesso illeciti di questo tipo, commessi da dipendenti infedeli o da dipendenti disattenti e impreparati.
Nel caso in sentenza, “il ricorrente, precedentemente assegnato all'Ufficio competente per il rilascio dei DURC aziendali, dopo essere stato trasferito ad altra unità organizzativa, aveva fatto accesso, con le proprie credenziali, all'altra sezione (BURC) del predetto sistema informatico, in particolare visionando una certificazione, a suo tempo, da lui stesso inserita; in tal modo, avrebbe posto in essere un accesso per ragioni ontologicamente estranee rispetto a quelle per le quali la facoltà di accesso gli era attribuita.” Certificazione per la quale era in corso un procedimento per falso. Il ricorrente si era difeso ritenendo di avere i titoli per accedere alla sezione suindicata, e affermando di non aver avuto alcun intento di compromettere le informazioni.
Come riportato testualmente nella sentenza, però, “la norma in esame punisce non soltanto l'abusiva introduzione nel sistema (da escludersi nel caso di possesso del titolo di legittimazione), ma anche l'abusiva permanenza in esso contro la volontà di chi ha il diritto di escluderla e che, se il titolo di legittimazione all'accesso viene utilizzato dall'agente per finalità diverse da quelle consentite, dovrebbe ritenersi che la permanenza nel sistema informatico avvenga contro la volontà del titolare del diritto di esclusione.”
Per integrare il reato, dunque, basta l’accesso non autorizzato, anche se effettuato tramite password, ed anche se ciò non arreca di fatto un danno ai titolari delle informazioni contenute nel sistema.
Possiamo dunque così concludere: “Alla luce di un orientamento che ormai può definirsi in termini di "diritto vivente", integra, quindi, la fattispecie criminosa di accesso abusivo ad un sistema informatico o telematico protetto, prevista dall'art. 615 ter c.p., la condotta di accesso o di mantenimento nel sistema posta in essere da soggetto che, pure essendo abilitato, violi le condizioni ed i limiti risultanti dal complesso delle prescrizioni impartite dal titolare del sistema per delimitarne oggettivamente l'accesso, ovvero ponga in essere operazioni di natura ontologicamente diversa da quelle per le quali l'accesso è consentito. Non hanno rilievo, invece, per la configurazione del reato, gli scopi e le finalità che soggettivamente hanno motivato l'ingresso al sistema.”
Come possono intervenire gli investigatori privati, in questi casi?
