Cos'è l'accesso abusivo ad un sistema?

a cura di Valentina Frediani (consulentelegaleinformatico.it) - In quali casi in Italia si può parlare di accesso abusivo ad un sistema informatico? Perché in alcuni casi è considerato più grave che in altri? Il caso RAI

Roma - Tra i reati più ricorrenti in ambito informatico vi è quello di accesso abusivo ad un sistema informatico. Tale condotta, introdotta con la legge n. 547/93, prevede la punibilità di chiunque abusivamente si introduca in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantenga contro la volontà espressa o tacita di chi ha il diritto di escluderlo (pena della reclusione fino a tre anni).

La pena è aggravata (da uno a cinque anni) nei seguenti casi: se il fatto è commesso da un pubblico ufficiale o da un incaricato di un pubblico servizio, con abuso dei poteri o con violazione dei doveri inerenti alla sua funzione o al servizio, o da chi esercita anche abusivamente la professione di investigatore privato, o con abuso della qualità di operatore del sistema; se il colpevole per commettere il fatto usa violenza sulle cose o alle persone ovvero se è palesemente armato; se dal fatto deriva la distruzione o il danneggiamento del sistema o l'interruzione totale o parziale del suo funzionamento, ovvero la distruzione o il danneggiamento dei dati, delle informazioni o dei programmi in esso contenuti.

Se poi l'accesso riguardi sistemi informatici o telematici di interesse militare o relativi all'ordine pubblico o alla sicurezza pubblica o alla sanità o alla protezione civile o comunque di interesse pubblico, la pena è rispettivamente della reclusione da uno a cinque anni e da tre a otto anni.
Ma cosa intende il legislatore per "introduzione abusiva in un sistema"?

L'accesso può dirsi abusivo qualora sia attuato in contrasto con la normale fruizione dei diritti o con l'esercizio di facoltà da parte dell'agente. Quindi non sempre chi accede ad un sistema informatico è penalmente perseguibile: ad esempio, un semplice errore nell'accesso ad un file non integra la fattispecie in esame, in quanto è prevista dal nostro codice penale l'esclusione della punibilità qualora vi sia errore sul fatto che costituisce il reato.

Secondo taluni, comunque, per accesso deve intendersi non solo il semplice collegamento fisico (come può essere l'avvio dello schermo) ma primariamente il cosiddetto "collegamento logico" (si pensi all'accesso a distanza) ovvero il superamento della barriera di protezione al sistema, così che risulti possibile una interazione con lo stesso, qualunque essa sia.

Il legislatore cita nella norma in esame (ovvero art. 615 ter codice penale) due condotte illecite distinte, consistenti nell'accesso e nel mantenimento all'interno di un sistema informatico. Tale distinzione deriva dal fatto che potremmo essere autorizzati ad entrare in un sistema, ad esempio per scrivere alcuni dati, ma potremmo anche, successivamente al compimento dell'attività per la quale siamo stati autorizzati, mantenerci indebitamente all'interno del computer compiendo attività per le quali non siamo stati esplicitamente o implicitamente autorizzati.
17 Commenti alla Notizia Cos'è l'accesso abusivo ad un sistema?
Ordina
  • "[..]la punibilità di chiunque abusivamente si introduca in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantenga contro la volontà espressa o tacita di chi ha il diritto di escluderlo"

    Cosa diavolo vuol dire "tacitamente"? Se io per sbaglio metto documenti riservati in una directory sotto /var/www, tacitamente non voglio che la gente li scarichi. Quindi chi li scarica commette reato?
    non+autenticato
  • rileggi quello che hai scritto e riformula
    non+autenticato
  • Se mi metto davanti ad un baconmat e lo perforo con un trapano e lo sventro con delle attrezzature, bhe quello e' un accesso non autorizzato.

    Se invio ad un server pacchetti di dati malformati per poterne prendere il controllo, oppure fermare o rallentare il servizio ecco, quello e' un abuso.

    non+autenticato

  • - Scritto da: Anonimo
    > Se mi metto davanti ad un baconmat e lo
    > perforo con un trapano e lo sventro con
    > delle attrezzature, bhe quello e' un accesso
    > non autorizzato.

    Ok , ma se leggi bene quanto scritto si diceva espressamente "senza rompere nulla"

    >
    > Se invio ad un server pacchetti di dati
    > malformati per poterne prendere il
    > controllo, oppure fermare o rallentare il
    > servizio ecco, quello e' un abuso.
    >
    Facciao delle distinzioni:
    1. rallento il servizio: arreco quindi un danno, pago.
    2. Copio un file: che danno ho fatto?

    Se non sbaglio anni fa c'era stata la vicenda di un hacker che era andato in tribunale perchè aveva copiato dei documenti prendendoli da un server dalla AT&T.
    La stessa società aveva stimato il valore di quei documenti una vagonata di mila dollari. Peccato che gli stessi fossero disponibili in rete: semplicemente erano stati presi "dalla porta sbagliata".
    Quale reato ha fatto quel poveretto?

    Emanuele

    non+autenticato
  • ...succede che certi "akuerZ", una volta beccati,
    continuino tranquillamente a fare i loro porci comodi,
    anche avendo un procedimento penale in corso

    La cosa triste e' che te li ritrovi allegramente in chat a
    giocherellare con i green o con le shell e a pubblicare
    tool su packetstorm (alvero *pietosi* se si conosca
    un minimo di programmazione)

    mah...
    KC
    91
  • Una riflessione, magari molto superficiale:

    quando si parla di sicurezza informatica si fa spesso il parallelo con la sicurezza delle abitazioni:
    se qualcuno entra in casa mia è un ladro -> se qualcuno entra nel mio PC è un cracker (ladro).
    Questo funziona finchè si parla di entrare, di accesso. Ma le cose, in realtà sono diverse.
    Io non entro in un server: semplicemente chiedo al server delle cose e lui fa il lavoro per cui è programmato e mi risponde.

    Quindi l'esempio sarebbe: io ho dei documenti in cassaforte; se qualcuno me li chiede e io glieli consegno è un ladro lui o sono pirla io?

    In realtà se non arreco danno (ma anche qui ci sarebbe da fare dei distinguo) io dal mio computer ho semplicemente fatto ua richiesta ad un server e questo mi ha risposto. NOn sono entrato da nessuna parte!

    c'è qualcuno che mi illumina?
    Emanuele
    non+autenticato
  • Gran bella questione...
    Effettivamente se non si tratta di una vera e propria intrusione al fine di "prelevare" informazioni, credo anch'io che, rivolgendo le opportune interrogazioni ad un server, tutto ciò che ricevo come risposta è a mio uso e consumo.
    Chiedere è lecito...rispondere è cortesia...

    Luca.
    non+autenticato
  • l'accezione accesso è intesa in senso più ampoio rispetto al suo significato originario. Quando ti colleghi ad un server tu invii delle informazioni (le istruzioni al server) è in questo che coniste l'accesso. Basti pensare alla semplice connesione Internet, non viene forse chiamata accesso? Quando ti colleghi stai comodo a casa tua e ricevi le informazioni che richiedi su un tuo "ordine" al server web.
    Gom
    non+autenticato

  • - Scritto da: Anonimo
    > l'accezione accesso è intesa in senso più
    > ampoio rispetto al suo significato
    > originario.

    Si, ok. Il problema nasce quando ad occuparsi di queste cose è un giudice di 70 anni che fatica ad usare il cellulare.

    Io non sono un giurista e non voglio fare polemiche inutili, ma l'accesso alle informazioni o ai servizi (accezione "informatica") è ben diversa dall'accesso che molti immaginano (cracker e hacker che scorrazzano come folletti elettronici nei sistemi di mezzo mondo...).
    E qui secondo me si crea un certo equivoco che porta a leggi (o, meglio, pene) assurde come quelle negli stati uniti.

    In pratica posso andare in galera perchè ho chiesto a qualcuno di darmi l'argenteria (chiesto, non preteso con la forza...) e lui me l'ha data, salvo poi ripensarci....

    ciao
    Emanuele
    non+autenticato

  • - Scritto da: Anonimo
    > In pratica posso andare in galera perchè ho
    > chiesto a qualcuno di darmi l'argenteria
    > (chiesto, non preteso con la forza...) e
    > lui me l'ha data, salvo poi ripensarci....

    Il problema è che quando sfrutto una falla nota faccio una richiesta intenzionalmente "maliziosa". Maliziosa nel senso che sò già che ho buone probabilità di "convincere" il server a fare qualcosa che non "vorrebbe".
    Ovviamente i termini virgolettati sono fuori luogo attribuiti ad un sistema informatico, ma che ne di reste di passare dal reato di "accesso abusivo" a "circonvenzione di incapace" ... d'altra parte c'è chi chiama il computer "lo stupido veloce" Occhiolino

    Ciao
    Alessandro

    > ciao
    > Emanuele
    non+autenticato
  • - Scritto da: Anonimo
    > Una riflessione, magari molto superficiale:
    >
    > Questo funziona finchè si parla di entrare,
    > di accesso. Ma le cose, in realtà sono
    > diverse.
    > Io non entro in un server: semplicemente
    > chiedo al server delle cose e lui fa il
    > lavoro per cui è programmato e mi risponde.

    io non prendo possesso dell'auto, semplicemente uso
    quell'auto con la porta aperta e le chiavi su e vado a farci
    un giretto .

    Ora il punto e' che in internet ci sono "auto" fatte a posta per andare a farci un giretto e altre no .
    Su quasi tutte "il giretto" e' concesso ma con limitazioni,
    (e con scritte generiche del tipo: attenzione ogni accesso
    non autorizzato sara' punito) e il problema a volte e' capire quali sono le limitazioni.
    Chiaramente (discorsi legali a parte) il caso della rai era un accesso illegale, ma la difesa e' stata brava.
    Vi sono viceversa altri casi magari piu' "innocenti" dal punto di vista tecnico informatico, che vengono invece puniti dalla legge .
    Un esempio puo' essere un D.O.S. non voluto verso un sito: io sto su una 100 Mbit e mi metto a scaricare tutto il contenuto web del sito che sta su un ISDN 128Kbit.
    Il server e' mal configurato e regge i 57 thread di downlad del mio programmello di mirroring, per 3 secondi e poi muore piantando anche la macchina .
    La ditta mi fa causa, accusandomi di attacco, io in realta' non volevo assolutamente fare alcun danno ..
    Eppure per la legge il reato c'e' ... stara' alla mia difesa
    spiegare che non e' colpa mia (sta anche all'intelligenza dell'azienda nel mettere su un web server decente, ma si sa come vanno ste' cose alle volte..)

    Morale della favola ? sposatevi un avvocato Sorride

    ciao
    samu
    506
  • > io non prendo possesso dell'auto,
    > semplicemente uso
    > quell'auto con la porta aperta e le chiavi
    > su e vado a farci
    > un giretto .
    >

    Non credo sia semplicemente così:
    da una parte c'è un oggetto di proprietà, dall'altra c'è un sistema programmato (altrimenti non farebbe nulla) per rispondere.
    Io non salgo da nessuna parte, scambio informazioni con un computer che per volontà o negligenza di qualcuno risponde alle mie richieste.

    Su una rivista era stato pubblicato un hack simpatico: era un sistema per sfruttare il calcolo del checksum nei sistemi di rete per fare dei calcoli in maniera distribuita e gratis.
    Ovviamente il tutto è rudimentale e assolutamente inutile dal punto di vista pratico, eppure solleva un interessante interrogativo: in quel modo io sfrutto risorse di calcolo di altre macchine, risorse messe a disposizione per altri scopi (far funzionare la rete...) che reato cometto?

    ciao
    Emauele

    > Morale della favola ? sposatevi un avvocato


    > Sorride
    >
    > ciao
    non+autenticato
  • In definitiva è come se uno fosse autorizzato a porre a un server solo quelle richieste che appartengono a un certo insieme. Se si pone una richiesta che non appartiene all'insieme autorizzato, scatta il reato.
    Pensiamo a uno che va in banca e chiede all'impiegato allo sportello: "Senta, io non ho un conto in questa banca, ma le sarei estremamente riconoscente se mi desse tutti i soldi contenuti nell'apposito cassetto... per favore...", senza armi, né minacce né violenza... si tratterebbe di una rapina?
    Se sì allora il meccanismo secondo me sarebbe plausibile anche per l'accesso a server informatici.
    Naturalmente l'insieme di richieste autorizzate si raccoglierebbe in un protocollo e tutti noi sappiamo che esistono bachi di sicurezza anche nei protocolli e non solo nelle loro implementazioni. Quindi sarebbe possibile porre una richiesta legale ma non legittima....

    Cordialmente
    Ingenuo 2001
    non+autenticato
  • ....e spero di non divorziare mai, sennò son rovinato.....Sorride)
    SymoPd
    1581
  • bla bla bla bla bla..

    non esiste sistema sicuro.


    NoBoDy
    non+autenticato
  • ....chi non protegge adeguatamente il sistema, avrà poco da lamentarsi.....

    Ma chi sfrutta una falla nota di un software commette reato o no? Se non è stata installata la patch adeguata, dato che "...partendo dalla premessa che l'esistenza di mezzi efficaci di protezione è elemento costitutivo della fattispecie di cui ..." potrebbe anche passarla liscia o basta il tentativo?
    non+autenticato
  • "L'accesso può dirsi abusivo qualora sia attuato in contrasto con la normale fruizione dei diritti o con l'esercizio di facoltà da parte dell'agente"

    Sfruttare una falla di sicurezza di un servizio, non è "normale fruizione dei diritti", soprattutto se di diritti di accedere a quel servizio non se ne hanno-