Articoli

Cassazione penale: lo spamming è reato?

Avv. Vincenzo Colarocco

Di recente la sentenza n. 41604 del 10.10.2019 della Corte di Cassazione, terza penale ha definito ulteriormente il profilo del nocumento, nello specifico per quel che riguarda le attività di spam, alla luce delle modifiche normative del D.lgs. 101/2018, di attuazione del GDPR.

Nel caso di specie, la Corte ha ritenuto che debba escludersi il nocumento –inteso come concreta lesione della sfera personale o patrimoniale riconducibile a un’operazione di illecito trattamento dei dati protetti– quando si tratta della ricezione di un numero molto contenuto di messaggi (non più di tre o quattro) e quindi non assimilabile ad una significativa invasione dello spazio informatico.

Il ricorso all’ultimo grado di giudizio è stato proposto avverso una sentenza emessa dalla Corte d’Appello di Torino la quale ha convalidato la sentenza di primo grado, ritenendo confermati i profili di colpevolezza addebitati all’imputato per il reato di cui all’art. 167 del Codice Privacy e violazione dell’art. 130.

Il giudizio trae origine dalla circostanza che vedeva l’imputato – un avvocato – che al fine di procurarsi un profitto promuoveva la partecipazione ai propri corsi di aggiornamento e convegni da lui patrocinati o organizzati nel settore dell’igiene dentale. In particolare, l’imputato, inviava delle comunicazioni via e-mail agli iscritti all’Associazione Igienisti Dentali italiani (con la quale aveva collaborato) senza il loro consenso.

Avverso la sentenza emessa all’esisto del gravame, l’imputato proponeva ricorso per Cassazione in cui lamentava l’illogicità e l’apparenza della motivazione, la non rilevanza esigua e occasionale del comportamento contestato.

I Giudici della Suprema Corte, pronunciandosi sui motivi di ricorso annullano senza rinvio la sentenza di condanna perché il fatto non sussiste precisando che “non siamo in presenza di un effettivo “nocumento” sia da parte dell’associazione “A.I.D.I.”, sia da parte dei suoi singoli iscritti” e che il “reato contestato di illecito trattamento di dati personali non può ritenersi configurabile, a prescindere dalla qualificazione del nocumento in termini di elemento costitutivo del reato o di condizione di obiettiva di punibilità”.

Gli Ordini degli Avvocati nel mirino di Anonymous

Avv. Vincenzo Colarocco

Già dall’inizio del mese si era diffusa sul web la notizia di un imminente attacco “multiplo” organizzato da parte di Anonymous Italia nei confronti degli Ordini degli avvocati: cinque giorni di progressivi attacchi aventi ad oggetto credenziali di autenticazione che hanno colpito gli Ordini di Matera, Piacenza, Caltagirone e Roma in data 7 maggio 2019, gli hacker di Anonymous hanno reso noto sul loro blog di aver  violato la posta elettronica certificata (PEC) di 30.000 avvocati iscritti all’Ordine di Roma: trattasi di un attacco organizzato per celebrare l’anniversario della cattura di alcuni di loro, avvenuta nel maggio 2015.

La vicenda ha suscitato particolare preoccupazione tra i professionisti dal momento che l’accesso è avvenuto su caselle di posta certificata (mediante inserimento del nome utente e della password assegnata in fase di prima registrazione) con una conseguente violazione del segreto professionale (artt. 13 e 28 del Codice deontologico forense). Difatti, l’avvocato –in qualità di titolare del trattamento- deve prevedere tutte le misure necessarie per garantire la confidenzialità, integrità e disponibilità dei dati personali. Ancor di più, se la stragrande maggioranza dei trasferimenti di dati (anche personali) avviene, proprio attraverso l’utilizzo della posta elettronica. Per tale motivo, occorre che gli utilizzatori assicurino un livello di sicurezza adeguato al rischio (art. 32 del GDPR) in un’ottica di accountability, verificando la sicurezza del sistema informatico sul quale i file sono memorizzati in formato digitale. A mero titolo esemplificativo, con la previsione di una password minima di 8 caratteri contenenti maiuscole, lettere minuscole, numeri e caratteri speciale; non condividerla; non scriverla chiaramente su un foglio; evitare la pre-registrazione; cambiarla regolarmente, etc. Ciò significa, ad esempio, che anche l’adozione di criteri e procedure di trattamento certe e di una formazione adeguata allo studio legale o sul singolo professionista, può precostituire una prova della conformità del trattamento al fine di evitare pesanti sanzioni e/o violazione dei dati personali (art. 33 e 34 del GDPR).

Nel caso di specie, al momento non si ha notizia dell’apertura di un fascicolo di indagine da parte della Procura della Repubblica. Sulla vicenda si è già espresso il vice presidente del Consiglio dell’Ordine degli Avvocati di Roma Antonino Galletti: “L’attacco informatico subito dall’Ordine degli Avvocati di Roma rappresenta una gravissima violazione non solo della privacy degli iscritti e dell’integrità dell’Istituzione forense, ma anche una violazione penalmente rilevante di un diritto costituzionalmente garantito, quale quello dell’inviolabilità della corrispondenza. In questo momento, i tecnici della azienda di software che fornisce l’infrastruttura tecnologica all’Ordine forense romano sono al lavoro insieme ai funzionari della polizia postale per verificare l’entità del danno e chiudere la falla. Secondo le verifiche dell’azienda, le caselle di posta violate sono quelle i cui titolari non hanno cambiato la password iniziale assegnata dal fornitore. Tutti i responsabili saranno naturalmente denunciati all’autorità giudiziaria”.

Di certo, la vicenda mette in allerta gli avvocati del foro romano -titolari del trattamento di dati personali- tra i quali in pochi ad oggi possono affermare di aver portato a termine compiutamente l’adeguamento al GDPR, e mette sotto il riflettore il delicato tema della cybersecurity: come dichiara Anonymous “nessuno è invulnerabile a questo mondo”.

Il Garante privacy ha avviato l’istruttoria, necessaria ad accertare le relative responsabilità e a prescrivere le misure opportune per limitare i danni suscettibili di derivarne agli interessati.