di Fulvio Graziotto - I sistemi informatici aziendali sono sempre pi� soggetti ad attacchi e tentativi di intrusioni con modalit� remote: sotto il profilo penale, l'accesso abusivo a un sistema informatico � un delitto previsto dall'art. 615-ter del codice penale, punito con la reclusione fino a tre anni, e fino a otto anni nei casi pi� gravi: al tentativo � applicabile una pena diminuita ai sensi dell'art. 56 c.p.

Anche le aziende si trovano esposte sempre di pi� a potenziali rischi, con risvolti anche sanzionabili sia in termini di credibilit� sul mercato, sia in termini di protezione dei dati personali trattati.

In caso di tentativi di accesso abusivo in remoto (caso pi� frequente in assoluto), si � posto il problema di stabilire il luogo in cui � commesso il reato (consumato o tentato), e su questo punto si sono pronunciate le Sezioni Unite della Cassazione Penale (cfr. sentenza n. 17325/2015), che hanno affrontato il seguente quesito: "Se, ai fini della determinazione della competenza per territorio, il luogo di consumazione del delitto di accesso abusivo ad un sistema informatico o telematico, di cui all'art. 615 ter c.p., sia quello in cui si trova il soggetto che si introduce nel sistema o, invece, quello nel quale � collocato il server che elabora e controlla le credenziali di autenticazione fornite dall'agente".

Precedentemente, la Cassazione (cfr. sentenza n. 40303/2013) aveva ritenuto che la competenza territoriale fosse nel luogo in cui � ubicato il server, ma le Sezioni Unite Penali, successivamente investite della questione, hanno invece affermato il seguente principio di diritto: �Il luogo di consumazione del delitto di accesso abusivo ad un sistema informatico o telematico, di cui all'art. 615 ter c.p., � quello nel quale si trova il soggetto che effettua l'introduzione abusiva o vi si mantiene abusivamente�.

La decisione, evidentemente, ha cercato di dare una risposta alla problematica del "cloud computing", che di fatto ha introdotto un elemento di novit� nelle architetture di rete informatiche, rendendo difficilmente conoscibile il luogo in cui sono memorizzati i dati, spesso frazionati in grandi server farms in diversi paesi.

Sotto il profilo dei rischi legali, le aziende potenzialmente suscettibili di responsabilit� (a titolo contrattuale o extra-contrattuale) nei confronti di utenti e soggetti in relazione con essa, dovrebbero valutare seriamente non solo l'adozione di misure tecniche di maggiore protezione, ma anche l'opportunit� di segnalare i tentativi di accesso alla polizia postale e proporre denuncia-querela, in modo da ridurre una loro eventuale responsabilit� per colpa a fronte di richieste risarcitorie e, nei casi in cui la notizia di reato porti all'identificazione dei colpevoli, alla riduzione del fenomeno.