La norma tutela il c.d. domicilio informatico, concepito come una espansione ideale dell'area di rispetto pertinente al soggetto interessato e volto a garantire il diritto di esplicare liberamente qualsiasi attività lecita all'interno del luogo informatico.
Lo sviluppo delle tecnologie informatiche e telematiche rende di estrema attualità il problema della tutela dei sistemi informatici dalle altrui intrusioni, che rappresenta uno degli aspetti più complessi e delicati della disciplina dei computer crimes. In particolare, con la diffusione delle comunicazioni telematiche e la conseguente possibilità di accedere attraverso le normali linee telefoniche ai sistemi informatici, sia di soggetti privati che di enti pubblici, si impone all'attenzione del giurista il fenomeno degli hackers, termine anglo-americano con il quale si designa colui che, dotato di particolari conoscenze informatiche, si introduce attraverso le reti telematiche nelle banche dati contenute nei sistemi informatici, superando le eventuali misure di protezione predisposte dal titolare del sistema, con danni che possono assumere proporzioni incalcolabili. Non è tuttavia solo il super esperto a poter incorrere nel reato di cui all’art. 615-ter del codice penale, introdotto dal legislatore nel 1993.La fattispecie punisce la condotta di chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo.
Secondo l'impostazione legislativa, i sistemi informatici rappresentano un'espansione ideale dell'area di rispetto pertinente al soggetto interessato, garantita dall'art. 14 Cost. e penalmente tutelata nei suoi aspetti più essenziali e tradizionali dagli artt. 614 e 615 (Relazione al disegno di legge n. 2773, tradottosi poi nella L. 23.12.1993, n. 547). Con la conseguenza che l'accesso abusivo attuato attraverso l'intrusione nei sistemi informatici altrui viene contemplato come una moderna forma di aggressione alla libertà individuale e, pertanto, collocato nella sezione IV ("Dei delitti contro la inviolabilità del domicilio"), del capo III, dedicato ai Delitti contro la libertà individuale, del titolo XII intitolato "Dei delitti contro la persona", del libro II del codice penale.L’orientamento prevalente della dottrina ha avuto modo di sottolineare che la collocazione della norma tra i delitti contro l'inviolabilità del domicilio debba indurre a ritenere che essa tuteli il c.d. domicilio informatico, concepito come una espansione ideale dell'area di rispetto pertinente al soggetto interessato e volto a garantire il diritto di esplicare liberamente qualsiasi attività lecita all'interno del luogo informatico. In sostanza il legislatore estende al domicilio informatico lo jus excludendi del titolare che caratterizza il domicilio fisico, con la conseguenza che il limite di operatività della tutela penale va individuato esclusivamente nella ampiezza della voluntas excludendi, oltre che nei limiti imposti da altre specifiche norme di legge che autorizzino l'accesso indipendentemente dal fatto che il contenuto del sistema abbia o meno carattere personale. A tale orientamento si è conformata la giurisprudenza che sin dal 1999 (Cass. Pen, Sez. VI, 4.10.1999) aveva osservato che la norma in esame tutela non soltanto il diritto di riservatezza del legittimo titolare del detto sistema in ordine ai dati di natura personalissima ivi contenuti, ma anche, genericamente, lo jus excludendi che gli compete con riguardo a quello che il legislatore delinea come il suo «domicilio informatico», e ciò indipendentemente anche dallo scopo che l'autore dell'abuso si propone di conseguire.
La norma circoscrive la tutela ai soli sistemi protetti da misure di sicurezza. Secondo la prevalente dottrina le misure di sicurezza in questione consistono in dispositivi idonei ad impedire l'accesso al sistema a chi non sia autorizzato. In particolare, la dottrina prevalente ritiene sufficiente qualsiasi misura di protezione, anche banale e facilmente aggirabile, in quanto la pretesa esistenza della misura di sicurezza, è esclusivamente preordinata a rendere esplicita e non equivoca la volontà di riservare l'accesso solo a determinate persone, ovvero di porre un generale divieto di accesso, ne consegue che anche l'adozione di una protezione costituita da una semplice parola-chiave (password), facilmente accessibile o ricostruibile, rappresenta una esplicitazione del divieto di accesso al sistema e legittima la tutela in sede penale.La posizione della giurisprudenza (recentemente ribadita con la sentenza della V sez. penale della Corte di Cassazione n. 15899 del 27 aprile 2021) è sostanzialmente conforme. È stato infatti ripetutamente sottolineato che affinchè si configuri il reato previsto dall'art. 615-ter c.p., occorre che l’accesso abusivo ad un sistema informatico consista nell’obiettiva violazione delle condizioni fissate dal titolare del sistema per circoscriverne l’accesso, compiuta nella consapevolezza di porre in essere una volontaria intromissione nel sistema in violazione delle regole imposte dal “dominus loci”, a nulla rilevando gli scopi che abbiano determinato tale accesso. In altre parole, il reato reprime qualsiasi introduzione in un sistema informatico che avvenga contro la precisa volontà dell'avente diritto, che per essere resa opponibile e penalmente rilevante richiede la presenza di un qualsiasi mezzo protettivo del sistema concretamente considerato, ancorché facilmente superabile da persona mediamente esperta, a condizione che esso sia idoneo ad evidenziare che sussiste la volontà contraria del titolare del sistema all'introduzione e alla permanenza nello stesso.
Configura tale reato, ad esempio, la condotta del collaboratore di uno studio legale cui sia affidata esclusivamente la gestione di un numero circoscritto di clienti, il quale acceda all’archivio informatico dello studio provvedendo a copiare e a duplicare, trasferendoli su altri supporti informatici, i file riguardanti l'intera clientela dello studio professionale (Cass. Pen., n. 11994 del 2016); la condotta del cancelliere di un tribunale che si è introdotto nel sistema del casellario giudiziale e che ha preso visione dei precedenti di un soggetto ricorrendo all'artificio consistente nell'indicazione di un procedimento inesistente o relativo a soggetto diverso (Cass. n. 33311 del 2016). Come pure, commette il reato il marito che acceda al conto corrente online intestato alla coniuge e compia operazioni qualora la moglie abbia revocato al consorte la delega per le suddette operazioni (Cass. Pen., Sez. V, 30 marzo 2018, n. 14627). L'accesso abusivo a un sistema informatico protetto non può essere scriminato dall'esigenza dell'agente di carpire dati utili alla sua difesa in giudizio (Cass. Pen., Sez. V, 29 ottobre 2014, n. 52075). Al fine della sussistenza della condotta penalmente rilevante, non rileva la circostanza che le chiavi di accesso al sistema informatico protetto siano state comunicate all'autore del reato o siano comunque state acquisite legittimamente (C., Sez. V, 12.7-20.11.2019, n. 47049). Ben si comprende, pertanto, il fatto che incorre in responsabilità penale l'ex-dipendente che, dopo aver rassegnato le dimissioni, s'introduce nel sistema informatico della società con le chiavi d’accesso in suo possesso, al fine di copiare in un hard disk tutte le cartelle del server dell'azienda ( C., Sez. V, 21.9.2015-2.3.2016, n. 8631). Tale condotta, quando posta in essere nell’interesse o a vantaggio del nuovo datore di lavoro, integra per quest’ultimo (inteso come società e non come legale rappresentante della stessa) l’illecito amministrativo dipendente da reato previsto dall’art. 24-bis del D.Lgs. 231/01. Tale rischio per la società può essere scongiurato dotandosi di un Modello Organizzativo e gestionale che preveda specifiche procedure volte ad impedire l’illegittimo accesso da parte dei dipendenti ai sistemi informatici di società concorrenti.