Cassazione, una e-sentenza in retromarcia

di Lamberto Assenti. Non convince la decisione sul caso dei tre che hanno copiato le informazione di una banca dati accessibile senza protezione. Un precedente con il quale l'hacking non ha davvero nulla a che spartire

Roma - Entrare in un sistema informatico altrui è violazione di domicilio? Lo sostiene la Corte di Cassazione che, come si sa, l'altro ieri ha paragonato gli autori di una incursione in un sistema informativo non protetto a individui che si introducono nella casa altrui senza autorizzazione.

La sentenza è sbagliata. E per la prima volta in Italia dà una "forma" ad una certa dottrina secondo cui la violazione di domicilio e l'ingresso in un sistema informativo altrui sono equiparabili. Anzi, non vi sono differenze.

Sarò testone, eppure di differenze tra il varcare fisicamente la soglia di una casa e il fare capolino in un sistema che, come nel caso giudicato dalla Cassazione, non ha nemmeno una porta di ingresso, la differenza la vedo e la sento.
Sì, perché nel caso affrontato dalla Cassazione gli autori dell'incursione non hanno dovuto compiere alcuna azione di cracking, al contrario di quanto è stato maldestramente scritto da alcuni giornali (che parlano di "hacking" addirittura), ma hanno semplicemente indirizzato i bit in uscita dalle proprie macchine sui binari di entrata di macchine altrui e hanno copiato i dati della macchina altrui sulla propria.

E dunque, sembra un assurdo per la sua enormità, la sentenza 12732 della Cassazione di fatto decide un precedente che può portare a nuovi rischi legali nel far interagire il proprio computer con quello di qualcun altro. Dove il discrimine tra il poterlo fare o meno, anche questo affrontato dalla Cassazione, rimane il sapere se il proprietario sia consenziente o meno. Un discrimine, come vedremo, che secondo la Cassazione va "intuito".

Se una casa ha la porta sbarrata il messaggio è chiaro: intrusi non ammessi. E lo stesso dicasi per un server difeso con evidenti procedure di sicurezza da incursioni di cracker e affini. Ma si può dire lo stesso per una banca dati che, come nel caso oggetto della sentenza della Cassazione, era accessibile senza necessità di valicare alcun portone, senza nessun segnale di avvertimento?

Secondo la Cassazione sì. Si può dire. E l'azione compiuta è reato perché va contro "la volontà espressa o tacita" del proprietario. Espressa o, e qui i dolori, "tacita".

L'articolo 615 ter del codice penale punisce chi entra in un domicilio altrui contro la volontà del proprietario e contro quella volontà "vi si mantiene". Come si vede il punto rimane ineludibile e verte sulla difficoltà di stabilire se chi lascia "aperta" una banca dati abbia o meno la volontà di non farci entrare nessuno. La Corte torna su quel "tacita" quando afferma: "la persona estranea all'organizzazione che acceda ai dati senza titolo o autorizzazione, essendo implicita, ma intuibile, la volontà dell'avente diritto di escludere gli estranei".

Ma se per un domicilio, casa o ufficio, questo principio appare consistente, per una banca dati resa accessibile lo sembra meno, al punto dal far cadere la validità del parallelo "banca dati" uguale "domicilio" su cui si basa l'intero impianto della sentenza.

La sentenza della Cassazione, così com'è, rischia di generare non poca confusione nel mondo dei servizi informativi, perché quel "tacita" e quella "implicita" sono opinabili. Alle loro spalle non c'è, come invece accade con la violazione di domicilio, un pregresso giurisprudenziale tale da mettere al riparo da fraintendimenti. Questa è la prima sentenza del genere in Italia e dunque rischia di decidere su quale binario le prossime sentenze in materia si muoveranno. Forse anche in questo caso, come sempre più spesso accade, i massimi magistrati italiani dovrebbero ricorrere a numerose e approfondite consulenze sul mondo informatico prima di procedere ad una sentenza che, come in questo caso, mette potenzialmente a rischio azioni compiute quotidianamente da migliaia di operatori.

Lamberto Assenti