I reati informatici costituiscono un'area in continua espansione del diritto penale, in costante evoluzione per far fronte alle sfide poste dalle nuove tecnologie. Il reato di riferimento è l'accesso abusivo a sistema informatico o telematico, disciplinato dall'art. 615-ter del Codice Penale, introdotto dalla L. 23 dicembre 1993 n. 547 (cd. legge sui crimini informatici) e profondamente modificato dalla recente L. 28 giugno 2024 n. 90 (Legge Cybersicurezza), che ha inasprito le pene e ampliato le aggravanti.
La condotta dell'art. 615-ter c.p.
L'art. 615-ter c.p. punisce chiunque abusivamente:
- si introduce in un sistema informatico o telematico protetto da misure di sicurezza;
- vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo.
La pena base è la reclusione fino a 3 anni. Si tratta di un reato che sanziona l'accesso virtuale, eseguito a distanza tramite reti telematiche, non comportante necessariamente alcuna intrusione fisica. Elementi caratterizzanti:
- il sistema deve essere protetto da misure di sicurezza (password, firewall, autenticazione): la protezione minima sufficiente è stata individuata dalla giurisprudenza in qualunque accorgimento idoneo a manifestare la volontà di esclusione da parte del titolare;
- l'accesso deve essere "abusivo": estraneo all'ambito autorizzativo conferito o in violazione della volontà del titolare;
- l'elemento soggettivo è il dolo generico.
Cass. pen. Sez. V 3025/2024: credenziali e abuso
Integra il delitto di accesso abusivo anche il caso in cui le credenziali di accesso siano state in precedenza comunicate all'autore dal titolare, qualora l'azione risulti in contrasto con la volontà del titolare medesimo ed ecceda l'ambito autorizzativo. La giurisprudenza si concentra dunque sull'excessus mandati: il limite non è il "come si entra", ma il "perché si rimane".
Le aggravanti del comma 2
Il c. 2 dell'art. 615-ter, dopo le modifiche della L. 90/2024, prevede la reclusione da 2 a 10 anni nei seguenti casi:
- Pubblico ufficiale o incaricato di pubblico servizio che agisce con abuso dei poteri o violazione dei doveri di funzione (anche per investigatori privati abusivi o operatori di sistema in abuso della qualità);
- Uso di minaccia o violenza sulle cose o alle persone, o se il colpevole è palesemente armato;
- Distruzione o danneggiamento del sistema o interruzione del funzionamento; sottrazione, riproduzione o trasmissione di dati con inaccessibilità al titolare (aggravante ampliata dalla L. 90/2024).
Le aggravanti per i sistemi di interesse pubblico (c. 3)
Il c. 3 prevede pene ulteriormente elevate quando il fatto riguarda sistemi informatici di:
- interesse militare;
- ordine pubblico o sicurezza pubblica;
- sanità o protezione civile;
- comunque di interesse pubblico.
Pene previste: reclusione da 3 a 10 anni (ipotesi base del c. 1 aggravata) e reclusione da 4 a 12 anni (per le ipotesi del c. 2 aggravate). La L. 90/2024 ha esteso il perimetro applicativo dell'aggravante, includendo anche i sistemi della giustizia.
Cass. pen. Sez. V 17820/2025: il SICP è sistema di interesse pubblico
La Cassazione ha qualificato come sistema di interesse pubblico ex c. 3 il SICP — Sistema Informatico della Cognizione Penale, in ragione: del contenuto degli atti che vi sono custoditi; del diretto riferimento all'amministrazione della giustizia; della gestione da parte di un'istituzione pubblica; delle modalità di accesso riservate a soggetti autorizzati in funzione delle mansioni svolte. L'integrazione della fattispecie aggravata si verifica anche se l'agente accede in violazione delle mansioni assegnate.
La procedibilità
Per le ipotesi del c. 1 il reato è procedibile a querela della persona offesa; negli altri casi (c. 2 e c. 3) si procede d'ufficio. La L. 90/2024 ha mantenuto questa impostazione, ritenendo che la querela costituisca strumento idoneo per le ipotesi di intrusione minore, mentre per le condotte aggravate l'interesse pubblico alla persecuzione giustifica la procedibilità d'ufficio.
Altri reati informatici rilevanti
L'art. 615-ter è collocato nel Capo III del Titolo XII (delitti contro la persona, sezione IV: delitti contro l'inviolabilità del domicilio). La L. 547/1993, integrata dalla L. 48/2008 (Convenzione di Budapest sul cybercrime) e dalla L. 90/2024, ha introdotto un'articolata disciplina dei reati informatici. Le principali fattispecie sono:
| Articolo | Fattispecie | Pena base |
|---|---|---|
| art. 615-ter c.p. | Accesso abusivo a sistema informatico | Reclusione fino a 3 anni |
| art. 615-quater c.p. | Detenzione di codici di accesso (mod. L. 90/2024) | Reclusione fino a 2 anni |
| art. 615-quinquies c.p. | Abrogato dalla L. 90/2024 (confluito in art. 635-quater.1) | — |
| art. 617-quater c.p. | Intercettazione illecita di comunicazioni telematiche | Reclusione 1-6 anni |
| art. 635-bis c.p. | Danneggiamento di informazioni e dati informatici | Reclusione 6 mesi-3 anni |
| art. 635-quater c.p. | Danneggiamento di sistemi informatici | Reclusione 1-5 anni |
| art. 635-quater.1 c.p. | Detenzione/diffusione di programmi diretti a danneggiare | Reclusione 1-5 anni (L. 90/2024) |
| art. 640-ter c.p. | Frode informatica | Reclusione 6 mesi-3 anni |
La frode informatica (art. 640-ter c.p.)
L'art. 640-ter c.p., introdotto dalla L. 547/1993, punisce chiunque, alterando in qualsiasi modo il funzionamento di un sistema informatico o telematico o intervenendo senza diritto sui dati, informazioni o programmi, procura a sé o ad altri un ingiusto profitto con altrui danno. La pena è la reclusione da 6 mesi a 3 anni e multa fino a 1.032 €; le aggravanti elevano la pena fino a 6 anni.
La frode informatica è oggi una delle fattispecie più diffuse, tipicamente realizzata mediante phishing, man-in-the-middle attacks, manipolazione di home banking, falsi accrediti, manipolazione di sistemi di pagamento elettronico.
Le novità della Legge Cybersicurezza 90/2024
La Legge 90/2024 ha modificato sistematicamente il quadro dei reati informatici per rafforzare la tutela dei sistemi di interesse pubblico e nazionale. Le novità più rilevanti:
- Pene raddoppiate per le ipotesi aggravate dell'art. 615-ter c.p.;
- Estensione dell'aggravante alla sottrazione, riproduzione, trasmissione di dati;
- Abrogazione dell'art. 615-quinquies con ricollocazione nell'art. 635-quater.1 c.p.;
- Nuova circostanza attenuante per chi collabora con l'autorità;
- Rafforzamento delle pene per i reati di detenzione e diffusione abusiva di apparecchiature e programmi.
Il captatore informatico (trojan di Stato)
L'art. 266 c.p.p. e ss. disciplinano l'uso del captatore informatico (trojan) come strumento di intercettazione di comunicazioni tra presenti, dopo la sentenza Cass. SU 26889/2016 e la riforma Orlando (D.Lgs. 216/2017). Il trojan può essere installato sui dispositivi elettronici portatili: rinviamo alla nostra guida sulle intercettazioni per l'approfondimento.
Operatività della Polizia Giudiziaria
L'accertamento dei reati informatici richiede competenze tecniche specifiche e ricorso alla polizia postale e ai reparti specializzati. Le indagini si avvalgono di:
- perquisizioni informatiche ex art. 247 c.p.p.;
- sequestri di dati ex art. 254-bis c.p.p.;
- analisi forense dei dispositivi (image acquisition, hash MD5/SHA, chain of custody);
- cooperazione internazionale ex Convenzione Budapest (richieste MLA).
Domanda tipica all'orale di un concorso
"Il candidato illustri il delitto di accesso abusivo a un sistema informatico ex art. 615-ter c.p., evidenziando le aggravanti, le novità della L. 90/2024 (Legge Cybersicurezza) e citando la più recente giurisprudenza di legittimità".
Risposta strutturata: (i) condotta tipica (introduzione e mantenimento abusivi, art. 615-ter); (ii) bene giuridico (inviolabilità del domicilio informatico); (iii) protezione minima del sistema; (iv) pena base 3 anni (c. 1); (v) aggravanti del c. 2 (pub. uff., armi, danneggiamento/sottrazione dati post L. 90/2024) con pena 2-10 anni; (vi) aggravanti del c. 3 (sistemi di interesse pubblico) con pena 3-10/4-12 anni; (vii) procedibilità (querela c. 1, ufficio c. 2-3); (viii) Cass. 3025/2024 (excessus mandati delle credenziali); (ix) Cass. Sez. V 17820/2025 sul SICP; (x) coordinamento con frode informatica (art. 640-ter) e altri reati.
Riassunto di Procedura Penale 2026
Aggiornato alla Riforma Cartabia per concorsi pubblici e operatori di Polizia Giudiziaria. 12 capitoli operativi.
Vedi su Amazon ↗ Audiolibro