¿El delito de acceso abusivo a un sistema informático se puede aplicar también a los insider?

Revista Nº 43 Mayo-Jun. 2013

Ivan Salvadori 

Investigador postdoctoral en Derecho Penal y Derecho Penal Informático de la Universidad de Verona (Italia) y de la Universidad de Barcelona (España). 

(Italia) 

1. Introducción

El acceso abusivo a un sistema informático representa una de las principales amenazas a la seguridad informática(1). Esta conducta se puede llevar a cabo con diferentes finalidades. Muy a menudo se trata de intrusiones realizadas por parte de jóvenes hacker con el fin de averiguar el nivel de seguridad de los sistemas informáticos o para demonstrar sus habilidades para infringir las medidas de seguridad que los protegen(2). Sin embargo, el acceso abusivo a un sistema informático (intrusismo informático) puede constituir una peligrosa conducta instrumental a la comisión de delitos más graves contra la intimidad, la integridad y la disponibilidad de datos y de sistemas informáticos (CD cracking)(3).

El legislador italiano, de conformidad con la Recomendación R (89) 9 del Consejo de Europa sobre la lucha contra la criminalidad informática, ha sido uno de los primeros en Europa en castigar el simple acceso a un sistema informático. El artículo 615-ter del Código Penal, introducido con la Ley 23 de diciembre 1993, n.º 547, en la sección IV del capítulo III del título XII del Código Penal italiano, dedicado a los delitos contra la inviolabilidad del domicilio, castiga en su primer párrafo, con la pena de reclusión hasta de 3 años, el hecho de introducirse de manera abusiva en un sistema informático o telemático protegido por una medida de seguridad, o de mantenerse contra la voluntad expresa o tácita de quien tiene el derecho a excluirlo(4).

No hay duda de que este delito se puede aplicar respecto a las introducciones en un sistema informático realizadas por parte de personas no autorizadas a acceder a este (outsider). Sin embargo, en los últimos años ha aumentado de manera considerable el número de accesos realizados por parte de empleados (o insider) que utilizan el sistema informático, al que han accedido de manera legítima, para finalidades contrarias o diferentes a las autorizadas(5). Cada día son más frecuentes en la práctica los casos de empleados que aprovechan de la posibilidad de acceder a los sistemas informáticos de las empresas en las que trabajan para copiar o dañar datos o programas informáticos.

Han surgido dudas en la jurisprudencia y en la doctrina sobre la posibilidad de subsumir en el delito de acceso abusivo a un sistema informático o telemático del artículo 615-ter del Código Penal italiano, las conductas de los insider(6). Sobre esta cuestión, se han formado dos diferentes posturas.

Según la primera, que tiene en cuenta la conducta típica del “mantenerse” en un sistema informático o telemático contra la voluntad (expresa o tácita) del titular del jus excludendi alios, el delito de acceso abusivo a un sistema informático no sería aplicable solamente a los outsider, sino también a los insider que permanecen en un sistema informático para finalidades contrarias a su actividad laboral(7). En cambio, la otra toma de postura sostiene que el acceso abusivo a un sistema informático se aplicaría solamente a los outsiders, es decir, a los sujetos no autorizados a introducirse en un sistema informático (p. ej., hackers y crackers)(8). Este delito en contra no se aplicaría a los insiders que, al estar autorizados a acceder a un sistema informático, nunca se introducirían en este de manera abusiva. Ellos podrían por lo tanto responder solamente por las conductas autónomas cometidas después de haber accedido de manera legítima al sistema informático (p. ej., por revelar secretos, por la comunicación o utilización de informaciones reservadas, por los daños a datos y programas informáticos(9), etc.).

Para una correcta solución de esta cuestión hay que analizar preliminarmente el significado lingüístico de los términos empleados por el legislador italiano en el artículo 615-ter del Código Penal. En primer lugar habrá que establecer cuándo un sujeto se introduce o permanece en un sistema informático protegido por medidas de seguridad (párrs. 2 y 3). Sucesivamente, habrá que determinar cuándo la introducción o la permanencia en un sistema informático se realiza de manera abusiva (párr. 4). Entre los posibles significados de la abusividad habrá que seleccionar aquellos que sean compatibles con el sentido literal del delito. Se pasará luego a analizar el bien jurídico protegido por el delito de acceso abusivo a un sistema informático o telemático y se determinará si en el artículo 615-ter del Código Penal se pueden subsumir las conductas de introducción o permanencia realizadas por los empleados (o insider) autorizados a acceder al sistema informático (párr. 5). En vista de lo anterior, se formularán posteriormente ciertas consideraciones críticas sobre la estructura del artículo 615-ter del Código Penal, presentándose algunas propuestas de reforma del delito en conformidad con las fuentes internacionales más recientes (párr. 6).

2. La introducción en un sistema informático o telemático

En la formulación del artículo 615-ter del Código Penal, el legislador italiano ha tomado como modelo de referencia el delito de allanamiento de morada (“violazione di domicilio”) del artículo 614 del Código Penal(10). Esto explica porque, en lugar de castigar la conducta de “acceso” a un sistema informático, como ha sido previsto correctamente en otros países (p. ej., Estados Unidos, Reino Unido y Colombia, entre otros), el legislador italiano ha utilizado la discutible expresión “introducirse” en un sistema(11).

En el mundo real el término “introducirse” no plantea particulares problemas interpretativos. Pacífica es la individuación de los casos en que un sujeto se introduce físicamente en un espacio delimitado (p. ej., en un domicilio o sus dependencias). En contra, muchos más problemas pueden surgir cuando la misma conducta se realiza en el mundo virtual o ciberespacio(12).

La intrusión, que consiste en un diálogo lógico con el software de un sistema informático(13), se realiza digitando determinados comandos mediante los cuales se pide a un determinado sistema informático que realice una operación especifica que este ejecutará, permitiéndole al sujeto utilizar en todo o en parte los recursos del ordenador(14).

En la mayoría de los casos, el acceso coincide con la correcta introducción de las contraseñas, puesto que a partir de este momento será posible utilizar el sistema informático (p. ej., para copiar los datos que están almacenados en este o para utilizar una base de datos, etc.). Piénsese, por ejemplo, en el acceso a una cuenta de correo electrónico. En este caso habrá acceso después de realizar el login, pues empieza un diálogo lógico entre el sistema solicitante y el Mail Server que permite al usuario acceder a los correos de esa cuenta.

Al igual que el artículo 269-A del Código Penal colombiano, el artículo 615-ter del Código Penal no requiere, para su consumación, la vulneración de medidas de seguridad(15). La consumación del delito, que se caracteriza por la violación de la voluntad del titular del jus excludendi alios, se realiza con la mera introducción abusiva en el sistema informático o telemático protegido por medidas de seguridad. Por lo tanto, será irrelevante el hecho de que el sujeto agente, después de haber accedido al sistema, haya tomado conocimiento de los datos y de los programas contenidos en este(16).

3. La permanencia en un sistema informático o telemático

Además de la conducta activa de introducción abusiva, el artículo 615-ter del Código Penal, al igual que el artículo 269-A del Código Penal colombiano, castiga también la conducta omisiva de “permanecer” (o mantenerse) en un sistema informático contra la voluntad expresa o tácita de su titular(17). A través de la permanencia sería posible castigar aquellas hipótesis excepcionales en las que, después de una introducción fortuita o inicialmente autorizada, el sujeto agente permanece en el sistema contra la voluntad del titular del derecho de excluirlo.

La permanencia en el sistema no se interpreta en sentido físico sino en la forma de seguir accediendo o permanecer conectado con el sistema, excediendo los límites de la autorización. El sujeto permanece en el sistema informático en contra de la voluntad de quien tiene el legítimo derecho a excluirlo en el momento en que no salga (logout) del sistema, interrumpiendo el diálogo lógico empezado de manera fortuita o inicialmente autorizada por parte del titular del sistema, para mantenerse conectado a este.

Paradigmático es el caso del técnico informático autorizado a acceder a un sistema informático para verificar su correcto funcionamiento, quien, al acabar su tarea, no “sale” del sistema, manteniéndose de manera consciente conectado con este, pues existe el riesgo concreto de que pueda realizar actividades (p. ej., consultar o copiar datos, causar daños a estos o a programas informáticos, etc.) contrarias a las que estaba legitimado a realizar mediante el acceso al sistema(18).

Piénsese también en el abogado que, no pudiendo conectarse a internet, proporcione a la secretaria de su bufete las contraseñas para acceder a su propia cuenta de correo electrónico para verificar el horario de una cita que tiene con algunos clientes. En el caso en que la secretaria, después de haber controlado los e-mails de su jefe de trabajo, no cierre la conexión y no salga de su buzón de correo, estará incurriendo en una conducta que equivale a una permanencia abusiva en un sistema informático(19).

En ambos casos se castigan las conductas de sujetos que de manera excepcional están legitimados por el titular del sistema a acceder a un sistema informático para realizar determinadas operaciones. En el momento en que estos sujetos no cierran la conexión con el sistema, de hecho permanecen en este más allá de lo autorizado.

El artículo 615-ter del Código Penal italiano no castiga, a diferencia, por ejemplo del delito de espionaje de datos (“Ausspähen von Daten”) del § 202a del Código Penal alemán(20) o del delito de acceso no autorizado a datos o programas informáticos del artículo 197.3 del Código Penal español(21), el acceso abusivo a datos o programas informáticos. El tipo delictivo del Código Penal italiano se integra con la mera introducción o permanencia no autorizada en un sistema informático(22).

En la hipótesis omisiva de la permanencia abusiva en un sistema, el delito se consuma cuando caduca el plazo fijado por el titular del jus excludendi para interrumpir el diálogo lógico con el sistema informático o telemático protegido por medidas de seguridad(23). Este plazo, que fija el momento a partir del cual el sujeto inicialmente autorizado a acceder al sistema tiene que cerrar la conexión y salir (logout) del sistema, se establecerá según las normas extrapenales (p. ej. contrato de trabajo, disposiciones organizativas, etc.) que disciplinan la actividad del sujeto que opera con el sistema informático o sobre la base de la autorización, expresa o tácita, del titular del derecho a excluirlo.

4. La abusividad de la introducción y de la permanencia en un sistema informático o telemático

Según el artículo 615-ter del Código Penal, la conducta de introducción, para ser típica, tiene que haberse realizado de manera abusiva. En contra, la conducta (omisiva) de permanencia en el sistema debe realizarse contra la voluntad expresa o tácita de quien tiene el derecho de excluir a terceros del sistema. Pese a que en este último caso el legislador italiano haya empleado, por meras exigencias de estilo(24), una expresión diferente, no hay dudas de que la permanencia, al igual que la introducción, se castiga cuando se lleva a cabo de manera abusiva.

El artículo 615-ter del Código Penal se caracteriza por ser un delito a ilicitud expresa, donde la abusividad, como elemento constitutivo del hecho típico, delimita el ámbito de aplicación de la norma(25). Dicha cláusula de ilicitud expresa constituye un requisito normativo de la conducta típica y consiste en la falta o en la violación de la autorización al acceso a un sistema. En otras palabras, el artículo 615-ter del Código Penal podría ser reformulado de la siguiente manera: “el que sin estar autorizado o excediendo los límites de la autorización se introduzca o permanezca en un sistema informático o telemático protegido por medidas de seguridad, será castigado con una pena de reclusión de hasta 3 años”.

El ámbito de aplicación del artículo 615-ter del Código Penal dependerá por lo tanto de la interpretación de dicha cláusula de ilicitud expresa, que puede abarcar, además de las conductas de los sujetos no autorizados a acceder al sistema (outsider), también las de aquellos que exceden los límites de la autorización a acceder (insider). Sin embargo, tanto en la doctrina como en la jurisprudencia no hay un acuerdo respecto a la interpretación del carácter abusivo de la introducción o de la permanencia en un sistema informático o telemático. Por lo tanto, es necesario individuar los criterios interpretativos que permitan establecer cuándo un sujeto accede sin autorización o excediendo los límites de esta a un sistema informático o telemático.

4.1. La abusividad como vulneración de medidas de seguridad

No hay duda de que un sujeto accede sin autorización a un sistema informático o telemático cuando burla de manera fraudulenta o vulnera las medidas de seguridad que lo protegen. Esta interpretación restrictiva de la abusividad, presenta notables ventajas desde un punto de vista procesal. No sería particularmente difícil probar si un sujeto ha conseguido de manera ilícita una contraseña para acceder invito domino a un sistema informático o se ha introducido en este vulnerando las medidas (técnicas u organizativas) de protección. Al mismo tiempo, sería posible delimitar objetivamente el ámbito de aplicación del tipo: la libertad de acceso a un sistema informático acabaría frente a las medidas de seguridad (físicas, lógicas u organizativas) adoptadas por parte del titular del sistema informático.

Aplicando este criterio hermenéutico, accedería de manera abusiva a un sistema informático o telemático no solamente el outsider que se introduce en un sistema informático vulnerando las medidas de seguridad, sino también el insider que se apodere de manera indebida de las contraseñas de autenticación de un compañero de trabajo, que constituyen medidas de seguridad, para acceder a un espacio virtual protegido (p. ej., al buzón de correo o a un área reservada de una base de datos, etc.).

El legislador italiano, a diferencia, por ejemplo, del español o del alemán, no ha previsto, expresamente, como elemento típico del delito, la vulneración (“Überwindung”) de las medidas de seguridad (“Zugangssicherung”). Se ha limitado, acto contrario, a establecer que los sistemas informáticos estén protegidos por medidas de seguridad. Por lo tanto, el artículo 615-ter del Código Penal se aplicará también en los casos en que el acceso se realice cuando las medidas de seguridad estén momentáneamente desactivadas, siempre que el sujeto activo tenga conocimiento de la existencia de estas(26).

El requisito de la presencia de medidas de seguridad, previsto por el artículo 615-ter del Código Penal, para seleccionar los sistemas informáticos o telemáticos merecedores de protección penal, podría sin embargo restringir de manera excesiva el ámbito de aplicación del delito si se empleara como criterio para determinar el carácter abusivo del acceso.

El outsider que accede a un sistema informático no siempre tiene conocimiento de la presencia de medidas de seguridad (sobre todo si son de tipo físico) puestas a protección del sistema. En este caso su conducta sería penalmente irrelevante, puesto que actuaría sin tener conocimiento de la protección del sistema informático al que ha accedido y por lo tanto sin dolo.

Esta interpretación restrictiva de la abusividad lleva además a excluir la relevancia penal de las conductas de aquellos insider que acceden a un sistema informático excediendo los límites de la autorización, es decir, utilizando el acceso al sistema para consultar o copiar datos a los que no están autorizados a acceder(27). En estos casos, la introducción se realiza sin la objetiva vulneración de medidas de seguridad, que, como hemos dicho, no es idónea para calificarla como conducta abusiva.

Para subsumir estos casos en el artículo 615-ter del Código Penal, en los últimos años la jurisprudencia ha empezado a interpretar de manera más amplia el elemento típico de la abusividad según dos criterios diferentes: uno “subjetivo”, que tiene en cuenta las finalidades personales que llevan el insider a acceder a un sistema informático (párr. 4.2), y otro objetivo, que interpreta la abusividad como la violación de las prescripciones establecidas por el titular del sistema para delimitar el ámbito de acceso a este por parte de los sujetos autorizados (párr. 4.3).

4.2. La abusividad como contrariedad a los intereses del titular del jus excludendi

Según una interpretación diferente, que tiene en cuenta las finalidades personales que han llevado el insider a realizar su conducta, el acceso o la permanencia en un sistema informático o telemático serian abusivos cuando se llevan a cabo para conseguir finalidades ilícitas o de todos modos contrarias a los intereses del titular del jus excludendi alios. Para un sector de la jurisprudencia realizaría el delito de acceso abusivo del artículo 615-ter del Código Penal el empleado que, si bien está legitimado a acceder a un sistema, se introduzca en este con finalidades contrarias a las de sus tareas de trabajo(28). El acceso o la permanencia del insider en un sistema informático debería cualificarse como abusivo sobre la base de las finalidades perseguidas.

Aceptando este criterio hermenéutico, que amplía el concepto de abusividad más allá de su significado literal, la autorización al acceso faltaría en todos aquellos casos en que el empleado infringe la relación de confianza con su jefe de trabajo, persiguiendo finalidades personales ilícitas o contrarias a las de la empresa para la que trabaja. Paradigmático es el caso del empleado que poco después de haber sido despedido acceda al sistema informático a través de las contraseñas que le había proporcionado su jefe por razones de trabajo, para dañar algunos ficheros. Piénsese también en el joven abogado que, antes de dejar el bufete para el que trabaja, accede al sistema informático para copiar archivos electrónicos que contienen los expedientes del despacho y los envía al nuevo socio con el que ha abierto un nuevo despacho(29).

No hay duda de que a través de una interpretación de la abusividad sobre la base de las finalidades personales que han motivado la conducta del insider se aseguraría una protección más amplia al titular del sistema informático respecto a los abusos realizados por los empelados infieles. Sin embargo, esta interpretación de la abusividad no puede ser aceptada por tres razones principales.

En primer lugar la abusividad no se determinaría sobre la base del resultado inmediato de la conducta (de acceso o de permanencia) llevada a cabo por el sujeto activo, sino por los hechos ilícitos subsecuentes que, si bien estaban previstos ya en el momento del acceso, pueden producirse solamente después de la realización de nuevos y diferentes actos voluntarios por parte del mismo sujeto(30). Esta equivocada interpretación de abusividad se centraría en la subsecuente utilización (ilícita) de los datos obtenidos a través del acceso por parte del sujeto activo y no, como requiere el artículo 615-ter del Código Penal, sobre la base de la falta de autorización para acceder a los datos.

En segundo lugar, esta interpretación tan amplia de la abusividad del acceso o de la permanencia en un sistema conllevaría además el riesgo de extender de manera notable el ámbito de aplicación del artículo 615-ter del Código Penal incluyendo en el tipo conductas que, si bien pueden ser contrarias a los intereses del jefe de trabajo, no lesionan ni ponen en peligro el bien jurídico protegido (véase infra párr. 5). Piénsese, por ejemplo, en la hipótesis del insider que accede o permanece en el sistema informático de la empresa para la que trabaja con finalidades exclusivamente personales o que no están estrictamente relacionadas con sus tareas de trabajo (p. ej., para revisar su correo electrónico personal, para actualizar su perfil en una red social, para imprimir documentos privados, etc.).

Finalmente, apreciar la abusividad del acceso de un insider sobre la base de las finalidades subjetivas (que no están previstas en el tipo) que han motivado su conducta, significaría ir más allá de una legítima interpretación extensiva del texto legal e integraría una aplicación analógica que crea una nueva norma antes inexistente. Evidente seria así su contraste con el fundamental principio de taxatividad y la prohibición de analogía en ámbito penal(31).

En conclusión, habrá que considerar irrelevantes las finalidades personales que han motivado el acceso al sistema informático por parte del insider. Teniendo en cuenta la formulación del delito de acceso abusivo del artículo 615-ter del Código Penal, que no tiene la estructura de delito de dolo específico, hay que afirmar que las finalidades perseguidas por el sujeto activo no tienen ninguna relevancia jurídica(32).

4.3. La abusividad como infracción de las prescripciones establecidas por el titular del sistema informático

Según una interpretación extensiva, aceptada recientemente por el pleno del Tribunal Supremo italiano (“Corte di Cassazione”)(33), la abusividad del acceso a un sistema informático por parte de un insider habría que determinarse sobre la base de las disposiciones organizativas internas con las que el titular del sistema delimita el ámbito “espacial” y “temporal” del acceso y permanencia legítimos por parte de los sujetos habilitados. Dicho de otra manera, el jefe de trabajo tendría no solamente el derecho de excluir los outsider de sus sistemas informáticos, mediante la introducción de medidas de seguridad, sino también a través de la delimitación, mediante prescripciones de tipo organizativo o comportamental del empleo legítimo de los sistemas informáticos empresariales por parte de sus empleados (insider). La introducción y la permanencia en un sistema informático o telemático por parte de un insider se consideraría así abusiva cuando se lleve a cabo infringiendo las condiciones establecidas por el titular del jus excludendi alios para acceder o permanecer de manera legítima en un sistema informático.

Sin embargo, para establecer objetivamente las hipótesis en las que el sujeto se ha introducido o ha permanecido en el sistema sin autorización o excediendo sus límites, la autoridad no podrá tener en cuenta las disposiciones organizativas o las cláusulas contractuales demasiado genéricas que se limiten, por ejemplo, a establecer que el empleado tiene que mantener las informaciones reservadas o pueda utilizarlas solamente para finalidades conforme a las que son sus tareas de trabajo. En contra, las prescripciones internas que delimitan los perfiles de autorización (contrato de trabajo, praxis empresariales, etc.) tendrán que prever de manera clara los presupuestos y los límites (espacio-temporales) del acceso y de la permanencia legítimos.

Por lo tanto, si un empleado se introduce en un sistema informático empresarial para consultar datos a los que, en base a las disposiciones organizativas internas establecidas por la empresa, no estaba autorizado a acceder, excederá los límites de la autorización y su conducta habrá que considerarse abusiva y por lo tanto penalmente relevante.

5. El bien jurídico protegido por el delito de acceso abusivo a un sistema informático

Teniendo en cuenta la colocación sistemática del delito de acceso abusivo a un sistema informático o telemático, entre los delitos contra la inviolabilidad del domicilio, la jurisprudencia mayoritaria y parte de la doctrina han individuado en el domicilio informático el bien jurídico protegido por el artículo 615-ter del Código Penal(34).

Sin embargo, como ha subrayado correctamente la mejor doctrina, si fuese el domicilio informático el interés protegido por la norma, quedarían excluidos del ámbito de protección penal del artículo 615-ter del Código Penal todos aquellos sistemas informáticos o telemáticos que no tienen ningún contenido confidencial o reservado(35). Piénsese, por ejemplo, en los sistemas de interés militar o en los sistemas que gestionan catálogos bibliográficos o informaciones para el público y cuyos datos se procesan solamente para finalidades de naturaleza científica o cultural o para ofrecer determinados servicios a la colectividad.

Según una interpretación diferente, el artículo 615-ter del Código Penal protegería la confidencialidad de los datos y de los programas contenidos en un sistema informático(36). En este caso, la existencia del delito habría que excluirse respecto de los accesos a un sistema que, pese a estar protegido por medidas de seguridad, no está almacenando ningún dato confidencial o reservado(37). Esta toma de postura no puede compartirse, puesto que hace depender el ámbito de protección penal de un elemento que ni siquiera está previsto en la norma, es decir, del carácter confidencial de los datos almacenados en el sistema.

Más correcta aparece por lo tanto aquella opinión defendida por un importante sector doctrinal que individua el interés jurídico protegido por el delito de acceso abusivo a un sistema informático en la confidencialidad informática(38), como espacio virtual respecto al cual sus titulares pueden ejercer un control y un poder exclusivo (Herrschaftverhältnis), y de manera indirecta la integridad y la disponibilidad de los datos y de los programas informáticos procesados por los sistemas o seguridad informática(39).

En los sistemas informáticos y telemáticos, los usuarios pueden almacenar, organizar y elaborar en diferentes espacios virtuales datos de carácter no solamente personal, reservado o confidencial, sino también datos que de por sí ya son conocidos o están disponibles, y que a través de programas y medios de procesamiento automatizado pueden adquirir un valor y una utilidad del todo nueva y cuya integridad, disponibilidad y seguridad hay que proteger, independientemente de su carácter reservado o confidencial. No se trata por lo tanto de proteger el lugar o el espacio, en sentido material, en los que estos datos se procesan, así como consideran los que individúan en el domicilio informático el bien jurídico protegido por el artículo 615-ter del Código Penal, ni tampoco la confidencialidad de los datos y de las informaciones contenidas en ellos. A través del delito de acceso abusivo a un sistema informático se protege más bien el interés del titular a utilizar de manera segura, tranquila y exclusiva su sistema informático o telemático, y también (de manera indirecta) la integridad, la disponibilidad y seguridad de los datos y programas informáticos contenidos en su sistemas informático.

No hay duda de que el nuevo interés jurídico de la confidencialidad informática e indirectamente de la integridad y la disponibilidad (o seguridad informática) de los datos y sistemas, está amenazado sobre todo por las conductas de los outsider (p. ej., hacker o cracker) que acceden sin autorización a un sistema informático, vulnerando las medidas de seguridad que lo protegen. Lo mismo vale respecto a las conductas de los insider que acceden o permanecen en un sistema protegido excediendo los límites de la autorización, es decir, en violación a las disposiciones internas de naturaleza organizativa que delimitan el ámbito de acceso o permanencia legítimos. Cuando el empleado se introduce en el sistema empresarial mediante las contraseñas proporcionadas por su empresa, pero emplea este acceso para conseguir, copiar o alterar datos o programas a los que no estaba autorizado a acceder según las prescripciones establecidas en los contratos, reglamentos internos o cláusulas contractuales, se va más allá del ámbito de acceso permitido, introduciéndose o permaneciendo de manera abusiva en un espacio de la memoria del sistema de exclusivo control de su titular.

6. Consideraciones finales y perspectivas de lege ferenda

La delimitación del ámbito de aplicación del artículo 615-ter del Código Penal depende en definitiva de la correcta interpretación del requisito de la abusividad de la conducta, que concurre a describir el elemento objetivo del tipo.

Mediante el recurso a la violación de las medidas de seguridad, como criterio (objetivo) para delimitar el carácter abusivo del acceso, la relación conflictual intersubjetiva, que constituye un requisito estructural del tipo llega a ser, también en un contexto virtual, más fácilmente perceptible y reconocible por parte del sujeto activo(40). El acceso a un sistema, conseguido a través de la vulneración de una medida de seguridad va más allá de su carácter técnico-informático, para adquirir una concreta proyección lesiva exterior, que hace social y jurídicamente relevante su desvalor para los intereses contrapuestos del titular del jus excludendi alios.

Sin embargo, una interpretación restrictiva de la abusividad tiene la desventaja de limitar excesivamente el ámbito de aplicación del artículo 615-ter del Código Penal, excluyendo de la protección penal las conductas peligrosas de los insider que, aprovechándose de su legitimación al introducirse en un sistema, acceden a datos o programas informáticos a los que no están autorizados sin vulnerar las medidas de seguridad.

Respecto a estas hipótesis, el elemento típico de la abusividad tendrá que ser interpretado, de conformidad con el sentido literal de la norma, según el conjunto de prescripciones (cláusulas de contratos individuales de trabajo, disposiciones y reglamentos internos, etc.) establecidas por el titular del sistema para delimitar los límites “espacio-temporales” del acceso consentido. La previsión, dentro de la empresa, de estas disposiciones organizativas y comportamentales no solamente permite establecer de manera objetiva cuándo un insider accede de manera abusiva al sistema excediendo los límites de la autorización, sino que tiene un importante efecto preventivo. Los insider pueden y tienen que saber a priori cuándo el empleo ilegítimo del título que los habilita al acceso constituye un abuso que integra los elementos típicos del artículo 615-ter del Código Penal.

La adopción de estas prescripciones produce al mismo tiempo importantes beneficios para la seguridad informática y la protección de los datos personales. Paradigmáticas, en este sentido, son las normas del código de la protección de los datos personales que exigen al titular del tratamiento de los datos, la obligación de establecer por escrito quiénes son los sujetos responsables del tratamiento de datos personales, individuando además para cada uno de ellos el ámbito del tratamiento permitido (art. 4.º, párr. 1, letra f), art. 30, d.lgs., jun. 30/2003, n.º 196)(41).

Para poder establecer cuándo un sujeto autorizado a acceder a un sistema excede los límites de la autorización, será necesario que las prescripciones establecidas por el titular del sistema delimiten de manera clara los límites del acceso y la permanencia legítima. En los casos en que falten disposiciones o estas sean demasiado genéricas o equívocas, tanto así que el mismo sujeto autorizado no pueda establecer si su conducta contrasta con los intereses del titular del sistema, el juez tendrá que excluir, por razones objetivas, la aplicación del artículo 615-ter del Código Penal.

Sin embargo, frente a una legítima interpretación extensiva de la abusividad, algunas perplejidades podrían surgir con respecto a la posibilidad de reconducir al delito de acceso abusivo la hipótesis del insider que, aprovechándose de la legitimación para acceder al sistema para el procesamiento de determinados datos, se introduce o permanece en una parte del sistema más allá de los límites de la autorización(42).

En perspectiva de lege ferenda, sería oportuno que el legislador italiano reformulase el delito de acceso abusivo a un sistema informático, de conformidad con las indicaciones de los organismos internacionales. En este sentido, tomando como modelo el artículo 2.º, párrafo 1, del Convenio cibercrimen del Consejo de Europa, podría castigarse el hecho de quien accede a un sistema informático o a una parte de este sin autorización o excediendo los límites de autorización(43).

La decisión de eliminar la dicotomía (en términos de introducción y permanencia) de la conducta típica del artículo 615-ter del Código Penal, que ha sido la causa de muchos equívocos interpretativos en jurisprudencia y doctrina, permitiría castigar no solamente los accesos no autorizados realizados por parte de outsider e insider, sino también la “permanencia” invito domino en un sistema. El hecho de “mantenerse” en un ordenador, consiste en seguir accediendo o permanecer conectado al sistema, más allá de los límites y los términos de la autorización, dejando “abierto” el diálogo lógico con el software.

Más discutible sería prever, como ulterior requisito típico del delito, la vulneración de las medidas de seguridad puestas para protección del sistema, como establece por ejemplo el artículo 3.º de la reciente propuesta de directiva del Parlamento Europeo y del Consejo relativa a los ataques contra los sistemas de información, por la que se deroga la Decisión marco 2005/222/JAI del Consejo(44), o si bien de manera facultativa el mismo artículo 2.º, párrafo 2, del Convenio cibercrimen del Consejo de Europa.

La vulneración de medidas de seguridad siempre se realizaría sin autorización por parte de los outsider o de los insider y por lo tanto quedaría incluida en el mencionado requisito de ilicitud expresa.

(1) Cfr. Council Of Europe. Convention on Cybercrime. Explanatory Report, 44: “the need for protection reflects the interests of organizations and individuals to manage, operate and control their systems in an undisturbed and uninhibited manner”. Sobre el nuevo bien jurídico de la seguridad informática, véase Picotti, Lorenzo. Sistematica dei reati informatici, tecniche di formu­­lazione legislativa e beni giuridici tutelati. En: ID. (dir.), Il diritto penale dell’informatica nell’epoca di Internet. Editorial Cedam, Padova: 2004, p. 74; ID, Sicurezza, informatica e diritto penale. En: Donini, Massimo; Pavarini, Massimo (dir.). Sicurezza e Diritto penale. Editorial Bononia University Press. Bologna: 2011, pp. 217 y ss., 230-235; Salvadori, Ivan. L’esperienza giuridica degli Stati Uniti in materia di hacking e cracking. En: Rivista italiana di diritto e procedura penale, n.º 3 (2008), pp. 1281-1285; ID., L’accesso abusivo ad un sistema informatico o telematico. Una fattispecie paradigmatica dei nuovi beni giuridici emergenti nel diritto penale dell’informatica. En: Picotti, Lorenzo (dir.). Tutela della persona e nuove tecnologie. Editorial Cedam, Padova: 2012 (en prensa).

(2) En este sentido, véase Salvadori, Ivan. Hacking, cracking e nuove forme di attacco ai sistemi di informazione. Profili di diritto penale e prospettive de jure condendo. En: Ciberspazio e diritto, n.º 3 (2008), pp. 329 y ss.

(3) Cfr. Council Of Europe, cit., 44. En doctrina, véase Sieber, Ulrich. Council of Europe, Organised Crime Report. Editorial Council of Europe, Strasbourg: 2004, pp. 65 y ss.; Gercke, Marco. Understanding Cybercrime: a Guide for developing Countries, II ed., 2011: pp. 244 y ss. En: http://www.itu.int/ITU-D/cyb/cybersecurity/projects/ crimeguide.html.

(4) Artículo 615-ter, párrafo primero, del Código Penal: “chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo, è punito con la reclusione fino a tre anni”. Muy similar es el artículo 269-A del Código Penal colombiano que castiga con la pena de prisión de cuarenta y ocho a noventa y seis meses y multa de cien a mil salarios mínimos legales mensuales “el que, sin autorización o por fuera de lo acordado, acceda en todo o en parte a un sistema informático protegido o no con una medida de seguridad, o se mantenga dentro del mismo en contra de la voluntad de quien tenga el legítimo derecho a excluirlo”.

(5) En la doctrina estadounidense, véase Kerr, Orin. Cybercrime’s Scope: Interpreting ‘Access’ and ‘Authorization’ in Computer Misuse Statues. En: N.Y.U. L. Rev., n.º 75 (2003), pp. 1596 y ss.; más recientemente I.D., Vagueness Challenges to the Computer Fraud and Abuse Act. En: Minn. L. Rev. n.º 94 (2010), pp. 1572 y ss.; Mesenbring Field, Katherine. Agency, Code, or Contract: determining Employees’ authorization under the Computer Fraud and Abusse Act. En: Mich. L. Rev. n.º 107 (2009), pp. 819 y ss.; Kapitanyan, Matthew. Beyond Wargames: How the Computer Fraud and Abuse Act should be interpreted in the Employment Context. En: J. L. & Pol’y for Info Soc’y, n.º 7 (2011), pp. 405 y ss.

(6) En doctrina, véase Pecorella, Claudia. Diritto penale dell’informatica. Editorial Cedam, Padova: 2006, pp. 339 y ss.

(7) En este sentido, véase en la jurisprudencia Cass., sez. V, 7 novembre 2000, n.º 12732, Zara. En: Giur. Mer. (1998), 708 y ss.; más recientemente, Cass., sez. II, 4 maggio 2006, n.º 30663, Grimoldi; Cass., sez. V, 8 luglio 2008 n.º 37322, Bassani. En: Dir. pen. Proc., n.º 6 (2009), 722 y ss., con un comentario de Farina, C.; Cass., sez. V, 13 febbraio 2009, n.º 18006, Russo; Cass., sez. V, 10 dicembre 2009, n.º 2987, Matiassich, en C.E.D. Cass., n.º 245842; Cass., sez. V, 16 febbraio 2010, Jovanovic. En: Cass. Pen. n.º 6 (2011), 2198 y ss., con un comentario de Mengoni, E. Accesso autorizzato al sistema informatico o telematico e finalità illecite: nuovo round alla configurabilità del reato.

(8) En este sentido, véase Cass., sez. V, 20 dicembre 2007, n.º 2534, Migliazzo. En: Dir. inf. inf., 2009, n.º 1, 42 y ss., con comentario de Civardi, S. La distinzione fra accesso abusivo a sistema informatico e abuso dei dati acquisiti; Cass., sez. V., 29 maggio 2008, n.º 26797, Scimia. En: Cass. pen., 2009, 1502 y ss., con comentario de Flor, R. Permanenza non autorizzata in un sistema informatico o telematico, violazione del segreto d’ufficio e concorso nel reato da parte dell’extraneus; Cass. sez. VI, 8 ottobre 2010, n.º 3290, Peparaio. En: Cass. pen. n.º 7-8, 2009, 2828 y ss.; Cass., sez. V, 25 giugno 2009, n.º 40078, Genchi. En: Guida dir., 2009, pp. 50, 67, con comentario de Amato, G. La decisione di dissequestrare l’archivio di Genchi riduce la tutela penale contro gli abusi informatici.

(9) Sobre la discutible técnica de formulación de los nuevos delitos de daños informáticos introducidos en el Código Penal italiano con la Ley 18 de marzo de 2008, n.º 48, véase Pecorella, Claudia. La riforma dei reati di danneggiamento informatico ad opera della legge n.º 48 del 2008. En: Ruggieri, Francesca; Picotti, Lorenzo (dir.). Nuove tendenze della giustizia penale di fronte alla criminalità informatica. Aspetti sostanziali e processuali. Editorial Giappichelli, Torino: 2011, pp. 140 y ss.; Salvadori, Ivan. Il ‘microsistema’ normativo concernente i danneggiamenti informatici. Un bilancio molto poco esaltante. En: Rivista italiana di diritto e procedura penale, n.º 1 (2012), pp. 204 y ss.

(10) Artículo 614 del Código Penal: “chiunque s’introduce nell’abitazione altrui, o in un altro luogo di privata dimora, o nelle appartenenze di essi, contro la volontà espressa o tacita di chi ha il diritto di escluderlo, ovvero vi s’introduce clandestinamente o con inganno, è punito con la reclusione fino a tre anni. Alla stessa pena soggiace chi si trattiene nei detti luoghi contro l’espressa volontà di chi ha il diritto di escluderlo, ovvero vi si trattiene clandestinamente o con inganno”.

(11) Cfr. Pazienza, Francesco. In tema di criminalità informatica: l’art. 4 della legge 23 dicembre 1993, n.º 547. En: Riv. it. dir. proc. pen., n.º 3 (1995), p. 755; Salvadori, Ivan. L’accesso abusivo, cit., nota 2.

(12) Véase Kerr, Orin. Cybercrime’s scope, cit., nota n.º 6, p. 1622. Sobre la controvertida interpretación del término “acceso” en la jurisprudencia estadounidense, véase Salvadori, Ivan. L’esperienza giuridica, cit. nota 2, pp. 1270-1272 y la bibliografía aquí citada.

(13) Salvadori, Ivan. L’esperienza giuridica, cit. nota 2, pp. 1279-1280. En sentido similar, Pica, Giorgio. Il diritto penale delle nuove tecnologie”. Editorial UTET, Torino: 1999, 56; Kerr, Orin. Cybercrime’s scope, cit. nota 6, p. 1619.

(14) Cfr. Bellia, Patricia. Defending Cyberproperty. En: N.Y.U. L. Rev. n.º 79 (2004), p. 2234.

(15) En jurisprudencia, véase Cass., sez. V, 7 novembre 2000. En: Guida al dir. (2001), 78 y ss., con comentario de P. Galdieri, L’introduzione contro la volontà del titolare fa scattare la responsabilità dell’hacker. En doctrina, véase Pecorella, Claudia. Diritto penale, cit. nota 7, p. 334; ID., Sub art. 615-ter c.p. En Dolcini, Emilio; Marinucci, Giorgio, Codice penale commentato. Editorial Ipsoa, III ed., Milano: 2011, 5983.

(16) Contra: Nunziata, Massimo. La prima applicazione giurisprudenziale del delitto di ‘accesso abusivo ad un sistema informatico’ ex. Art. 615-ter c.p. En: Giur. Mer. n.º 2 (1998), p. 715; en sentido similar Pazienza, Francesco. In tema di criminalità, cit. nota 12, p. 1092, según el cual el delito se consuma con el apoderamiento de los datos.

(17) Respecto al carácter omisivo de la “permanencia” en un sistema informático véase Mucciarelli, Francesco. Commento agli art. 1,2,4 e 10, della Legge 23 dicembre 1993 n.º 547. En: Legislazione Penale, n.º 4 (1996), p. 100; Picotti, Lorenzo. Voce “I reati informatici”. En: Enciclopedia giuridica Treccani, Aggiorn. VIII, (2000), Roma: p. 22. Contra, considerando que la permanencia en un sistema es una conducta activa Pica, Giorgio. Diritto penale, cit. nota 14, p. 42.

(18) Véase entre otros, Pecorella, Claudia. Diritto penale, cit. nota 7, p. 351; Pica, Giorgio. Diritto penale, cit. nota 14, p. 42.

(19) Cfr. Salvadori, Ivan. Los nuevos delitos informáticos introducidos en el Código Penal español con la Ley orgánica 5/2010. En: Anuario de Derecho Penal y ciencias penales, n.º 1 (2012) (en prensa).

(20) Il § 202a del Código Penal alemán (STGB) castiga con la pena de prisión de hasta 2 años o la multa, el hecho de quien “unbefugt sich oder einem anderen Zugang zu Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, unter Überwindung der Zugangssicherung verschafft”. Para un comentario del § 202a StGB, véase ERNST Stefan, Das neue Computerstrafrecht. En: NJW, n.º 37 (2007), pp. 2661 y ss.; Hilgendorf, Eric. § 202a StGB. En: Leipziger Kommentar. Editorial De Gruyter. Berlin: 2011, pp. 1441 y ss.; Sieber, Ulrich. Computerkriminalität. En: Sieber, Ulrich; Brüner, Franz-Hermann; Satzger, Helmut; Von Heintschel Heinegg, Bernd. Europäisches Strafrecht. Editorial Nomos. Baden-Baden: 2011, pp. 418 y ss.

(21) El artículo 197.3 del Código Penal español castiga con la pena de prisión de 6 meses a 2 años “el que por cualquier medio o procedimiento y vulnerando las medidas de seguridad establecidas para impedirlo, acceda sin autorización a datos o programas informáticos contenidos en un sistema informático o en parte del mismo o se mantenga dentro del mismo en contra de la voluntad de quien tenga el legítimo derecho a excluirlo”. Para un primer comentario del artículo 197.3 del Código Penal, véase Salvadori, Ivan. Los nuevos delitos, cit. nota 20; ID, Delincuencia informática. En: Corcoy Bidasolo, Mirentxu (dir.). Derecho Penal, Parte especial. Editorial Tirant Lo Blanch, tomo I, Valencia: 2011, pp. 487 y ss.

(22) En este sentido, véase Parodi, Cesare. Accesso abusivo, frode informatica, rivelazione di documenti informatici segreti: rapporti da interpretare. En: Dir. pen. proc., n.º 8 (1998), p. 1040.

(23) Véase también Pica, Giorgio. Diritto penale, cit. nota 14, pp. 56-60; Mucciarelli, Francesco, Commento agli art. 1, 2, 4 e 10, cit. nota 18, p. 101. Con respecto a la consumación de los delitos de omisión propria, véase Cadoppi, Alberto. Il reato omissivo proprio. Editorial Cedam, vol. III, Padova: 1988, pp. 865 y ss., con amplias referencias bibliográficas.

(24) En este sentido véase Pecorella, Claudia. Diritto penale, cit., nota 7, p. 334. Considera que tanto la intrusión como la permanencia tienen que realizarse no solamente de manera abusiva sino también en contra de la voluntad del titular del jus excludendi alios. Pica, Giorgio. Diritto penale. Cit. nota 14, p. 49, nota 79.

(25) Contra, considerando que la abusividad sirva para llamar la atención del intérprete sobre la antijuridicidad de la conducta, Pecorella, Claudia. Sub artículo 615-ter del Código Penal, cit. nota 16, p. 5986; Mantovani, Ferrando. Diritto penale, Parte speciale, Delitti contro la persona. Editorial Cedam, vol. I, Padova: 2008, p. 520. Sobre la función de las cláusulas de ilicitud expresa, véase Pulitanó, Domenico. Illiceità espressa ed illiceità speciale. En: Riv. it. dir. proc. pen., (1967), pp. 64 y ss.

(26) En este sentido, véase también Pecorella, Claudia. Sub artículo 615-ter del Código Penal, cit., nota 16, p. 5983. Contra Pica, Giorgio. Diritto penale, cit., nota 14, p. 60, según el cual la norma requiere la actualidad de la protección del sistema.

(27) Para una interesante definición del acceso a un sistema informático llevado a cabo excediendo los límites de la autorización (exceeding authorized access), véase en la legislación federal estadounidense, 18 USC § 1030(e)(6): “the term “exceeds authorized access” means to access a computer with authorization and to use such access to obtain or alter information in the computer that the accesser is not entitled so to obtain or alter”.

(28) En este sentido, véase Cass., sez. V, 16 febbraio 2010, n.º 19463, Javanovic. En: Cass. pen. nº. 6 (2011) 2198 y ss., con comentario de Mengoni E.; Cass., sez. V, 13 febbraio 2009, Russo. En: Cass. Pen, n.º 1 (2010) 224 y ss.; Cass. sez. V, 20 dicembre 2007, Migliazzo. En: Dir. inf. Inf., n.º 1 (2009) 42 y ss., con comentario de Civardi S.

(29) Para un amplio análisis de la casuística, véase en la doctrina estadounidense, Mesenbring Field, Katherine. Agency, Code, or Contract, cit. nota 6, pp. 819 y ss.; Kapitanyan, Matthew. Beyond Wargames, cit. nota 6, pp. 405 y ss.

(30) En este sentido, véase Cass., sez. V, 29 maggio 2008. En: Cass. pen., n.º 4 (2009) 1502 y ss.

(31) Sobre el principio de taxatividad como límite y fundamento de la prohibición de analogía en materia penal, véase Marinucci, Giorgio; Dolcini, Emilio. Corso di diritto penale. Editorial Giuffré. Milano: 2001, pp. 167 y ss.; Vassalli, Giuliano. Voce Analogia (nel diritto penale). En: Dig. Disc. Pen., Editorial UTET, vol. I, Torino: 1987, pp. 158 y ss.; Palazzo, Francesco. Il principio di determinatezza. Editorial Cedam. Padova: 1979; Mantovani, Ferrando. Diritto penale, cit. nota 26, p. 71.

(32) Sobre la peculiar estructura de los delitos de dolo especifico, véase, entre todos, Picotti, Lorenzo. Il dolo specifico. Un’indagine sugli ´elementi finalistici´ delle fattispecie penali. Editorial Giuffré. Milano: 1993.

(33) S.U. - Ud. 27 ottobre 2011 (Dep. 7 febbraio 2012), n.º 4694, con comentario de Salvadori, Ivan. Quando un insider accede abusivamente ad un sistema informatico o telematico? Le sezioni unite precisano l’ambito di applicazione dell’art. 615-ter c.p. En: Rev. trim. dir. pen. econ., n.º 1-2 (2012), pp. 369 y ss.

(34) En jurisprudencia, véase, por ejemplo, Cass., sez. V, 16 giugno 2000, n.º 9002; Cass., sez. V, 7 novembre 2000, Zara; Cass., sez. V, 8 luglio 2008, n.º 37322; Corte App. Bologna, cit. (caso “Vierika”). En doctrina, véase Alma, Marco; Perroni, Cinzia. Riflessioni sull’attuazione delle norme a tutela dei sistemi informatici. En: Dir. pen. proc., n.º 4 (1997), p. 505; Galdieri, Paolo. La tutela penale del domicilio informatico. En: ID (Dir.), Problemi giuridici dell’informatica nel MEC. Editorial Giuffré, Milano: 1996, pp. 189 y ss.; ID. Teoria e pratica nell’interpretazione del reato informatico. Editorial Giuffrè, Milano: 1997, pp. 138 y ss.; Borruso, Renato. La tutela del documento e dei dati. En: VV.AA., Profili penali dell’informatica. Editorial Giuffré, Milano: 1994, pp. 28 y ss.; Cuomo, Luigi. La tutela penale del sistema informatico. En: Cass. pen. (2000), pp. 2998 y ss.

(35) En este sentido véase. Pecorella, Claudia. Diritto penale, cit. nota 7, p. 316; Pazienza, Francesco. In tema di criminalità, cit. nota 12, pp. 750 y ss.; Picotti, Lorenzo. Sistematica dei reati, cit. nota 2, p. 80; Mantovani, Ferrando. Diritto penale, cit. nota 26, pp. 500-501.

(36) Pecorella, Claudia. Diritto penale, cit. nota 7, pp. 322 y ss.; en sentido similar Trentacapilli, Daniela. Accesso abusivo ad un sistema informatico e adeguatezza delle misure di protezione. En: Dir. pen. proc., n.º 10 (2002), p. 1283; Cerqua, Luigi. Accesso abusivo e frode informatica: l’orientamento della Cassazione. En: DPS, n.º 16 (2000), p. 53.

(37) Pecorella, Claudia. Diritto penale, cit. nota 7, p. 323.

(38) En este sentido véase ya Picotti, Lorenzo. I reati informatici, cit. nota 18, p. 22; ID. Internet e diritto penale: il quadro attuale alla luce dell’armonizzazione internazionale. En: Diritto dell’Internet, n.º 2 (2005), p. 193; ID, Sistematica dei reati, cit. nota 2, pp. 80 y ss.; Mantovani, Ferrando. Diritto penale, cit. nota 26, p. 502; Salvadori, Ivan. L’esperienza giuridica, cit. nota 2, pp. 1280 y ss. En jurisprudencia, véase Cass., sez. V pen., 20 marzo 2007, n.º 11689.

(39) Individua en la “relacción de señoria” (Herrschafverhältnis) sobre los datos almacenados en un sistema informático el interés jurídico protegido por el § 202a StGB: Hilgendorf, Eric. “§ 202a StGB”, cit. nota 21, p. 1441.

(40) Sobre el hecho típico, como expresión de un conflicto intersubjetivo de intereses contrapuestos, véase ya Picotti, Lorenzo. Il dolo specifico, cit. nota 34, pp. 505 y ss.; en sentido similar: Palazzo, Francesco. I confini della tutela penale, selezione dei beni e criteri di criminalizzazione. En: Riv. it. dir. proc. pen, n.º 2 (1992), p. 469.

(41) Artículo 4.º, letra f, d.lgs. 196/2003: “titolare é la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza”; artículo 30, d.lgs., 196/2003: “Le operazioni di trattamento possono essere effettuate solo da incaricati che operano sotto la diretta autorità del titolare o del responsabile, attenendosi alle istruzioni impartite. 2. La designazione è effettuata per iscritto e individua puntualmente l’ambito del trattamento consentito. Si considera tale anche la documentata preposizione della persona fisica ad una unità per la quale è individuato, per iscritto, l’ambito del trattamento consentito agli addetti all’unità medesima”.

(42) En este sentido, véase Pecorella, Claudia. Diritto penale, cit. nota 7, pp. 340-341.

(43) Gercke, Marco. Understanding, cit. nota 4.

(44) El artículo 3.º de la propuesta de directiva prevee la obligación para los Estados miembros de castigar “the access without right to the whole or any part of an information system, at least when the offence is committed by infringing a security measure and for cases which are not minor”.