“E se un agente di polizia usasse le credenziali di servizio per spiare i fascicoli di un conoscente? È reato anche se non diffonde nulla?”

È una domanda che, detta così, sembra quasi una provocazione da corridoio. E invece è una di quelle crepe sottili che attraversano l’intero edificio della fiducia pubblica: la distanza, spesso microscopica, tra ciò che è tecnicamente possibile e ciò che è giuridicamente legittimo.

Il punto in cui l’accesso “con password valida” smette di essere un atto d’ufficio e diventa un gesto personale, curioso, magari perfino banale. Eppure, penalmente rilevante.

C’è un momento, in queste storie, in cui tutto si riduce a un gesto. Non un inseguimento, non un pedinamento, non una manovra complessa: un click. La tentazione di considerarlo innocuo è quasi automatica, perché la nostra cultura digitale ci ha abituati a pensare che “fare un accesso” sia un’azione neutra finché non produce conseguenze visibili. Ma l’articolo 615-ter del codice penale nasce proprio per smentire questa abitudine mentale: tutela il “domicilio informatico” prima ancora che qualcuno possa dire di aver subito un danno. La soglia si sposta indietro, dove il diritto penale di solito non ama stare. E ci resta.

Il caso che hai posto al centro, quello richiamato come Cassazione n. 33253/2025, gira attorno a questa logica essenziale: la credenziale non è un lasciapassare morale, è soltanto un mezzo tecnico. In un commento pubblico che ha ripreso la decisione, si racconta di un agente di polizia locale che accede al sistema informativo del Viminale per ragioni personali, senza legame con esigenze di servizio, sostenendo poi — quasi inevitabilmente — che non aveva “bucato” nulla, perché quelle credenziali erano state regolarmente assegnate. La risposta della Cassazione, per come viene riferita, è secca: l’accesso abusivo si consuma nel momento stesso in cui l’ingresso avviene per scopi diversi da quelli istituzionali, anche se non c’è alterazione o diffusione di dati.

È qui che conviene fermarsi un istante, perché la parola “abusivamente” è la vera protagonista della norma. Non è sinonimo di “senza password”. Non è neppure, necessariamente, sinonimo di “contro un firewall”. È un avverbio giuridico, prima che informatico. E in quell’avverbio c’è una domanda che, in aula, diventa spesso più tagliente di qualsiasi perizia: “Avevi titolo funzionale per entrare, in quel preciso momento, per quel preciso scopo?” Se la risposta è no, il fatto di avere la password diventa quasi un’aggravante psicologica: dimostra che l’autore conosceva le regole del gioco e ha scelto di piegarle.

Sul piano normativo, il quadro oggi è più “duro” di quanto molti ricordino, perché la fattispecie è stata oggetto di stratificazioni e irrigidimenti. Nella versione riportata da fonti giuridiche aggiornate, la pena base è la reclusione fino a tre anni, ma quando entra in scena il pubblico ufficiale (o l’incaricato di pubblico servizio) con abuso dei poteri o violazione dei doveri, il salto è netto: la cornice sale alla reclusione da due a dieci anni. Non è un dettaglio: è la traduzione sanzionatoria di un principio politico-criminale chiaro, cioè che l’accesso abusivo “dall’interno” è percepito come più grave, perché incrina la fiducia nella macchina pubblica proprio attraverso chi la macchina la manovra.

Ecco perché l’immagine del “click proibito” funziona così bene: è un gesto minimo con un’ombra lunga. Un agente che consulta una targa per curiosità, che “dà un’occhiata” a un fascicolo su un conoscente, che verifica se il vicino abbia precedenti: sono scene quotidiane, quasi da provincia. Ma proprio per questo sono pericolose. Non perché trasformino automaticamente chi le compie in un “hacker”, parola che nel dibattito pubblico resta sempre un po’ teatrale, ma perché spostano la funzione del sistema informativo. SDI, CED, Serpico e gli altri ecosistemi di banca dati non sono enciclopedie: sono strumenti finalizzati, e la finalità — più ancora dell’autorizzazione tecnica — è la chiave giuridica.

Chi lavora in ambito forense lo vede bene quando il fascicolo arriva “freddo”, cioè dopo che qualcuno, internamente, ha già notato un’anomalia. I sistemi seri non sono soltanto protetti da misure di sicurezza; sono anche pieni di tracce. I log non sono un’opzione, sono la memoria dell’infrastruttura. Ed è quasi ironico: l’autore dell’accesso abusivo spesso agisce perché percepisce l’azione come invisibile, mentre in realtà sta lasciando una firma temporale, precisa e ripetibile. La scaletta che hai predisposto insiste su questo aspetto, e fa bene: l’analisi dei log, ( Log Audit Trail - metto l ‘accento su questo dato molto importante , che invece dalla mia esperienza la maggior parte delle volte non viene fornito o sottovalutato) la ricostruzione cronologica, la correlazione con turni e pratiche d’ufficio, l’integrità con hash, la catena di custodia… sono i mattoni tecnici che trasformano un sospetto in prova.

C’è poi una seconda illusione, più sottile: “Non ho fatto nulla ai dati, ho solo guardato.” Anche qui il diritto penale smentisce l’intuizione comune. L’accesso abusivo è un reato che si accontenta dell’intrusione o del mantenimento oltre il discutibile o lungimirante, dipende dai punti di vista — riflette un dato tecnico elementare: la semplice consultazione può essere già una lesione della riservatezza, perché l’informazione, una volta vista, non può essere “non vista”. In certi contesti, la conoscenza è già potere, e il potere non autorizzato è già danno potenziale.

Quando la Cassazione parla di scopi “diversi da quelli istituzionali”, il cuore della questione non è moralistico. Non è “curiosità cattiva” versus “curiosità buona”. È un criterio di delimitazione della funzione. Un sistema informatico pubblico esiste per un perimetro di attività tipiche; se l’operatore entra per ragioni estranee, non sta soltanto violando una regola interna: sta trasformando il sistema in un mezzo privato. E nel diritto penale italiano, quando un mezzo pubblico diventa strumento privato, l’ordinamento tende a reagire con decisione.

Per chi difende o accusa in questi procedimenti, la partita probatoria ruota spesso attorno a una domanda concreta: c’era, quel giorno, quel minuto, quell’ora, una pratica, un intervento, un’attività d’ufficio che giustificasse l’accesso? È un tema che sembra amministrativo, ma è penalissimo. Perché se la giustificazione non c’è, il click diventa “introduzione abusiva”, e la consumazione è istantanea. Il resto — l’eventuale condivisione, l’eventuale uso, perfino l’eventuale vantaggio — può alimentare altri reati o aggravare profili, ma non è necessario per far scattare il 615-ter.

Se nella prima sezione ho guardato al click come gesto individuale, qui voglio cambiare prospettiva e guardare al contesto: perché questi casi non sono soltanto storie di “mele marce”. Sono anche, e forse soprattutto, storie di architetture organizzative che permettono alla tentazione di diventare abitudine. Un sistema informativo pubblico funziona perché concede potere a molti, in modo distribuito, e pretende che quel potere venga usato con disciplina. È un patto fragile: richiede regole, controlli, cultura. E quando quel patto si incrina, la risposta non può essere soltanto repressiva.

Penso spesso a quanto sia rivelatore il modo in cui, nelle indagini, emergono le incongruenze. Non si tratta quasi mai di “accessi impossibili”. Si tratta di accessi perfettamente possibili, banalmente concessi. È il paradosso del privilegio: più un ruolo è operativo, più ha bisogno di accesso; e più ha accesso, più diventa pericoloso quando scivola fuori dal perimetro della funzione. In questo senso, l’accesso abusivo del pubblico ufficiale è un reato che nasce dentro il modello “zero trust” ante litteram: non presume che l’autorizzazione tecnica coincida con la legittimazione sostanziale.

Le Sezioni Unite, già nel 2015, hanno avuto occasione di misurarsi con l’accesso abusivo in un contesto ministeriale, richiamando una vicenda che coinvolgeva consultazioni ripetute del sistema informatico per visure che esulavano dalle mansioni. È un precedente che, pur muovendosi anche su questioni di competenza territoriale, racconta bene la dimensione “interna” del problema: l’abuso non è solo l’intrusione dell’esterno, è l’uso eccedente di chi è già dentro.

E poi ci sono i casi che toccano banche dati ad altissima sensibilità, dove l’accesso diventa quasi un’arma di influenza. In una sintesi disponibile su una banca dati editoriale, la Cassazione (sez. V, n. 12653/2025) viene richiamata in relazione ad accessi aggravati al sistema Serpico e ad altre banche dati, con verifiche su posizioni anagrafiche e fiscali e con un collegamento probatorio a messaggi di messaggistica presenti su un telefono di servizio. In quella stessa sintesi compaiono anche riferimenti all’art. 326 c.p. (rivelazione e utilizzazione di segreti d’ufficio), come a dire che il click, in certi contesti, non resta mai soltanto un click: tende a diventare comunicazione, relazione, scambio.

Dal punto di vista tecnico, tutto questo rende centrale la qualità della prova digitale. Non basta dire “ci sono i log”. Occorre dimostrare che quei log sono autentici, integri, contestualizzati. È qui che gli standard diventano meno accademici di quanto sembrino. ISO/IEC 27037, per esempio, nasce proprio per dare linee guida su identificazione, raccolta, acquisizione e preservazione della digital evidence: quattro parole che, in dibattimento, equivalgono a una sola cosa — affidabilità.

Ma la cosa interessante, almeno per me, è che questi casi costringono il giurista a fare un passo dentro la tecnologia senza mitizzarla. Perché la tecnologia, da sola, non decide nulla. Registra. Traccia. Conserva. E spesso lo fa in modo implacabile. Però non interpreta. L’interpretazione è umana, e passa da domande che sono insieme tecniche e giuridiche: quell’utente era in servizio? quell’accesso è coerente con una pratica assegnata? ci sono state query seriali su soggetti privi di collegamento investigativo? l’IP di origine è quello della postazione istituzionale o di un contesto anomalo? Sono dettagli che, presi singolarmente, possono sembrare rumore; messi in sequenza diventano racconto.

E qui si apre un altro tema, che su LinkedIn spesso resta sullo sfondo ma merita di entrare in primo piano: la prevenzione organizzativa. Un ente che gestisce banche dati sensibili non può limitarsi a “vietare gli accessi personali”. Deve costruire un ambiente in cui l’accesso personale sia difficile, rischioso, immediatamente percepibile. La differenza tra controllo “formale” e controllo “vivo” è tutta nella reazione: alert, audit periodici, correlazioni automatiche, revisione dei profili di autorizzazione, log retention coerente con esigenze disciplinari e processuali. Non sono tecnicismi: sono strumenti di tutela del lavoratore corretto e dell’istituzione insieme.

E infatti, quando si parla di accesso abusivo del pubblico ufficiale, la conseguenza non è quasi mai solo penale. C’è il profilo disciplinare, spesso devastante. C’è il profilo reputazionale, che in certe amministrazioni pesa come una pena accessoria implicita. E c’è, inevitabilmente, il dialogo con la normativa privacy: perché una consultazione non autorizzata di dati personali, specie se sensibili o giudiziari, è anche un trattamento illecito. È un punto che i penalisti conoscono bene, ma che oggi interessa sempre di più anche chi si occupa di compliance e data governance: il confine tra “reato informatico” e “data breach” non è una linea, è una zona grigia in cui il click può attivare più responsabilità contemporaneamente.

Il diritto penale, qui, sta facendo una cosa precisa: sta chiedendo all’operatore pubblico di ricordarsi, ogni volta, per chi sta cliccando. E perché.

Il punto, in fondo, non è demonizzare l’accesso. È ricordare che, nei sistemi pubblici, l’accesso è potere e il potere ha un perimetro. La Cassazione, per come viene richiamata nella traccia e nei commenti pubblici, ribadisce che il reato può consumarsi nel gesto stesso dell’ingresso non funzionale, indipendentemente da danni ulteriori. E la prova, quasi sempre, passa da ciò che la tecnologia registra: log, timeline, coerenza tra attività e compiti d’ufficio.

Spunti di discussione

Mi interessa molto capire come, nelle vostre esperienze professionali, venga gestito il confine tra accesso “possibile” e accesso “legittimo”, soprattutto nelle amministrazioni e nelle organizzazioni complesse dove i profili autorizzativi sono necessariamente ampi.

Vi è mai capitato di discutere in giudizio (o in fase disciplinare) un accesso motivato come “curiosità” o “favore”, e di vedere quanto sia difficile, a posteriori, ricostruire la reale finalità? E ancora: quanto pesa, nella pratica, la qualità dei log e delle policy interne nel rendere credibile — o fragile — una contestazione ex art. 615-ter?

Yuri Lucarini Informatico Forense – Criminologo

#InformaticaForense #DirittoPenaleInformatico #DigitalEvidence #PubblicaAmministrazione #Cybersecurity