Con la sentenza n. 48895/2018, la Cassazione ha ribadito che il reato di accesso abusivo a sistema informatico, di cui all’art. 615-ter c.p., si configura in capo al soggetto che, violando le prescrizioni impartite dal titolare disciplinanti le modalità di accesso o impiego, acceda o si mantenga illegittimamente in un database o in un software gestionale.
In ambito lavorativo e aziendale, tali parametri si riferiscono ai limiti dell’autorizzazione di accesso ricavabili dalle competenze e funzioni del dipendente, così da rendere penalmente rilevante la condotta di acc89098u76esso ad un sistema informatico avvenuta in violazione delle disposizioni o delle mansioni impartite attraverso l’incarico, anche ove l’accesso ad alcuni dati sia materialmente impedito da password o aree riservate.
Il caso oggetto della pronuncia
In data 12 dicembre 2017 il Tribunale di Reggio Emilia condannava il dipendente di un’azienda, il quale, all’atto delle sue dimissioni, aveva copiato su alcuni supporti informatici i dati ingegneristici e di progettazione appartenenti all’ex datore di lavoro e ciò al fine di avvantaggiare una diretta concorrente. Oltre alla materiale sottrazione di tali informazioni, l’imputato aveva cancellato i dati dal database aziendale.
A seguito del procedimento penale instauratosi nei suoi confronti, l’imputato veniva quindi condannato per il reato previsto e punito dall’art. 615-ter c.p.; la Corte d’Appello di Bologna, a seguito dell’impugnazione, confermava integralmente la sentenza.
La decisione di secondo grado veniva pertanto impugnata con ricorso in Cassazione, nel quale si deduceva la violazione e la falsa applicazione del reato in questione, poiché fondato sull’erroneo presupposto di ritenere che l’accesso al sistema informatico fosse avvenuto trasgredendo le disposizioni impartite dal titolare dei dati aziendali.
Il suo inquadramento dirigenziale infatti (quale responsabile della produzione e del personale) gli permetteva di estendere la propria legittimazione di accesso non solo ai dati dell’area tecnica, ancorché il sistema informatico non prevedesse delle aree riservate a lui interdette. Pertanto, qualsiasi responsabilità penale in capo all’imputato doveva dirsi esclusa.
La Cassazione ha ovviamente rigettato il discorso e pertanto confermato la pronuncia di appello. Tuttavia, la sentenza ha avuto modo di ripercorrere gli orientamenti giurisprudenziali succedutisi negli anni con riferimento al reato di accesso abusivo a sistema informatico.
Il reato di accesso abusivo a sistema informatico nella giurisprudenza di legittimità
L’ambito di operatività del reato di cui all’art. 615-ter, introdotto dalla legge n. 547 del 1993 ha destato non poche perplessità ed è stato negli anni frutto di numerosi contrasti giurisprudenziali, che hanno più volte necessitato l’intervento della Cassazione a Sezioni Unite per poter essere risolti.
Un primo contrasto fu rimesso alla decisione del Supremo Collegio nel 2011 (la cosiddetta sentenza “Casani”) il quale superò l’orientamento fino ad allora vigente (ex Cass. Pen., Sez. V, Sent., 29/05/2008, n. 26797 e Cass. Pen., Sez. V, Sent., 20/12/2007, n. 2534) dalla giurisprudenza di merito secondo cui non poteva essere ritenuto penalmente responsabile il soggetto che, in virtù di una preesistente autorizzazione all’accesso al sistema informatico, se ne avvalesse per impossessarsi dei dati in esso contenuti per finalità estranee o addirittura illecite (Cass. Pen., Sez. Unite, Sent., 27/10/2011, n. 4694).
Le Sezioni Unite hanno in particolare sancito che, ai fini della configurazione del delitto previsto dall’art. 615-ter c.p., il soggetto agente, pur essendovi abilitato acceda o permanga in un sistema informatico o telematico protetto “violando le condizioni e i limiti risultanti dal complesso delle prescrizioni impartite dal titolare del sistema per delimitarne oggettivamente l’impiego” (ovvero disposizioni organizzative interne, prassi aziendali, clausole di contratti individuali ecc.), “dovendo ritenersi decisiva la prova del compimento sul sistema di operazioni di natura intrinsecamente diversa da quelle di cui il soggetto era incaricato e per cui aveva ricevuto la facoltà di utilizzo”.
Al contempo però, le Sezioni Unite sottolineavano la non rilevanza penale, ai fini della sussistenza del reato, delle intenzioni che avessero mosso l’agente ad introdursi nel sistema informatico, escludendo pertanto che l’abusività della condotta potesse essere desunta dalle finalità realmente perseguite dal soggetto, stante la necessità dell’adozione di criteri meramente oggettivi.
Tuttavia, nonostante tale fondamentale arresto, le successive pronunce hanno ancora una volta dimostrato una notevole incertezza nell’applicazione di detti indici, soprattutto con riferimento alle figure dei dipendenti pubblici o degli incaricati di pubblico servizio.
La recentissima sentenza “Savarese” pronunciata ancora una volta dalle Sezioni Unite (Sentenza n. 41210 del 2017) ha ritenuto che il momento essenziale della condotta illecita dovesse invece ravvisarsi nello sviamento di potere dell’attività posta in essere dal pubblico ufficiale o dall’incaricato di pubblico servizio.
In altre parole, i dipendenti pubblici, i quali, per ragioni connesse al ruolo o all’ufficio pubblico ricoperto si trovino a dover operare su registri informatizzati, hanno l’obbligo di osservare le disposizioni loro impartite, in termini di accesso e di utilizzo, dal superiore gerarchico, ma anche con i doveri propri della funzione pubblica svolta. Conseguentemente, argomentano i Supremi giudici, qualsiasi comportamento che si ponga in diretto contrasto con tali doveri dovrà essere considerato illecito e abusivo, con ciò manifestando una “ontologica incompatibilità” dell’accesso al sistema informatico.
Pertanto, con riferimento al rapporto privatistico, gli specifici limiti che devono essere osservati dal dipendente al fine di non ravvisare l’abusività della condotta riguardano i compiti propri del lavoratore, così come impartiti dal datore di lavoro, sicché dovrà essere considerato illecito qualsiasi utilizzo del sistema estraneo rispetto all’incarico assegnato, indipendentemente dalla circostanza che la possibilità di accedere sia limitata solo ad una parte dei dati (così Cass n. 33311/2018).