Consulenza e Formazione Sicurezza, Medicina Del Lavoro, Sistemi Di Gestione, Qualità, Privacy, Ambiente e Modelli Organizzativi

Accesso abusivo a un sistema informatico o telematico

L’accesso abusivo a un sistema informatico o telematico è uno dei reati più rilevanti nel campo della cybersecurity e della protezione dei dati personali.

Disciplinato dall’articolo 615-ter del Codice penale, tutela il diritto alla riservatezza e l’inviolabilità dei sistemi informatici, che oggi costituiscono il cuore delle attività economiche e istituzionali.

Cosa dice la legge in merito all’accesso abusivo a un sistema informatico o telematico

La norma – introdotta con la legge n. 547 del 23 dicembre 1993, che ha aggiornato il Codice penale per contrastare i reati informatici – recita: “Chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza, ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo”.

 

Con la previsione dell’articolo in commento il legislatore ha dunque inteso tutelare il c.d. “domicilio informatico” inteso quale spazio ideale (ma anche fisico in cui sono contenuti i dati informatici) di pertinenza della persona, a cui viene estesa la tutela della riservatezza della sfera individuale, quale bene anche costituzionalmente protetto.

Requisiti essenziali del reato

Perché il reato si configuri, devono sussistere tre elementi fondamentali:

  1. Un sistema informatico o telematico protetto da misure di sicurezza (password, credenziali, firewall, accessi controllati).
  2. Un accesso o mantenimento abusivo da parte di chi non è autorizzato o resta oltre i limiti del proprio permesso.
  3. La volontà del titolare di escludere l’accesso non consentito, anche tacita (ad esempio, tramite l’adozione di misure tecniche).

La condotta può quindi consistere nell’intrusione iniziale o nella permanenza indebita nel sistema.

L’accesso abusivo può essere esterno o interno:

  • Accesso esterno: tipico dei casi di hacking, in cui un soggetto si introduce nel sistema altrui senza alcuna autorizzazione (es. violazione di rete aziendale, furto di credenziali, accesso remoto non autorizzato).
  • Accesso interno: si verifica quando un utente legittimato (ad esempio un dipendente) supera i limiti del proprio profilo di accesso o utilizza i dati aziendali per finalità personali o illecite.

La giurisprudenza di legittimità ha avuto modo di chiarire che il reato in esame si configura sia quando “il soggetto, pur legittimato ad accedere per ragioni di servizio, utilizza il sistema per fini diversi da quelli consentiti” (cfr. Cassazione penale, Sez. V, sentenza n. 11959 del 2022), sia anche quando, “vi si trattiene contro la volontà – esplicita o tacita – di colui che ha il diritto di escluderlo” (cfr. Cass. Penale n.12732/2000)”

Ciò significa che un dipendente che accede al gestionale aziendale o alla posta elettronica di un collega per curiosità, o consulta archivi riservati per ragioni personali, commette accesso abusivo.

Esempi pratici di accesso abusivo ad un sistema informatico o telematico

Per comprendere meglio, ecco alcuni esempi reali o verosimili di accesso abusivo:

  • Un ex dipendente che, dopo la cessazione del rapporto, accede ancora con vecchie credenziali all’email aziendale o al gestionale cliente.
  • Un impiegato che, pur autorizzato ad accedere a determinati dati, entra in cartelle riservate alla direzione o esporta informazioni riservate.
  • Un tecnico informatico che sfrutta le sue credenziali per ottenere dati personali di clienti o fornitori senza motivo di servizio.
  • Un hacker esterno che penetra in un sistema tramite phishing o exploit di sicurezza per rubare dati o installare malware.

Tutte queste condotte rientrano nel campo dell’art. 615-ter, a prescindere dall’effettiva sottrazione o uso dei dati.

Quando l’accesso abusivo al sistema – sia esso interno o esterno– ha come oggetto dati personali si realizza di riflesso anche una grave violazione dei principi fondamentali del Regolamento UE 679/2016 (GDPR)

L’articolo 4, paragrafo 12 del GDPR definisce infatti la violazione dei dati personali (data breach) come:

La violazione di sicurezza che comporta, accidentalmente o in modo illecito, la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.”

Pertanto, un accesso abusivo può determinare una duplice responsabilità:

  • Penale, per violazione dell’art. 615-ter c.p.
  • Amministrativa, per violazione del GDPR (con sanzioni fino a 20 milioni di euro o al 4 % del fatturato globale).

Come le aziende possono prevenire l’accesso abusivo

La prevenzione è la chiave per evitare conseguenze penali, amministrative e reputazionali.
Le imprese devono implementare misure tecniche e organizzative adeguate ai sensi dell’art. 32 del GDPR e delle best practice di sicurezza informatica.

Misure tecniche

  • Gestione degli accessi (Access Control): limitare i permessi in base al principio del need to know, consentendo l’accesso solo ai dati necessari per la mansione.
  • Autenticazione multifattore (MFA) per account amministrativi o sensibili.
  • Password policy rigorose: lunghezza minima, scadenza periodica, divieto di riutilizzo.
  • Monitoraggio e log di accesso: conservazione delle tracce di login e alert per comportamenti anomali.
  • Cifratura dei dati sensibili e segmentazione delle reti aziendali.

Misure organizzative

  • Definizione di ruoli e responsabilità in materia di sicurezza informatica.
  • Formazione periodica del personale su cyber-risk, phishing e uso corretto dei sistemi.
  • Procedure di revoca immediata delle credenziali in caso di cessazione o cambio di ruolo.
  • Piani di risposta agli incidenti e simulazioni di violazioni (incident response plan).

Un’efficace combinazione di controlli tecnici e organizzativi riduce il rischio di accessi abusivi e consente di dimostrare la diligenza del titolare del trattamento in caso di indagini o ispezioni.

Sottolineiamo ancora che la fattispecie di cui all’art. 615 ter c.p. rappresenta anche un delitto dalla cui commissione possono nascere responsabilità dirette dell’ente ai sensi del d. lgs. n. 231/2000 (cd. Responsabilità amministrativa degli enti), con tutte le conseguenze di legge.

Per evitare sanzioni e interdizioni, è fondamentale adottare un Modello di organizzazione, gestione e controllo (MOGC 231) che includa:

  • Protocolli di sicurezza informatica.
  • Controlli sugli accessi e sull’uso dei dati.

L’accesso abusivo a sistemi informatici o telematici non è solo un crimine informatico, ma anche un grave rischio di compliance aziendale. Le imprese devono comprendere che la sicurezza non è un costo, ma un investimento nella tutela dei dati, della reputazione e della fiducia dei clienti.

Agire ora significa:

  • adottare politiche di accesso consapevoli,
  • formare i dipendenti,
  • e mantenere un sistema di sicurezza documentato e verificabile.

Solo così è possibile prevenire le violazioni, dimostrare la conformità alle norme (penali e GDPR) e proteggere davvero il patrimonio informativo dell’organizzazione.

Migliora ora la sicurezza della tua azienda per contrastare gli accessi abusivi al tuo sistema informatico

La fiducia dei clienti nasce dalla sicurezza dei dati.

Verifica ora se i tuoi sistemi rispettano le normative e se il tuo personale è realmente formato contro gli accessi abusivi.

Frareg ti supporta nella valutazione dei rischi, nell’adeguamento organizzativo e nella protezione del tuo patrimonio informativo.

Parla senza impegno con un esperto Frareg