Accesso abusivo a sistema informatico: la qualifica di dirigente non legittima l’accesso non autorizzato ai files e ai know-how dell’azienda.

La Cassazione – Sezione V penale – con la sentenza n. 48895/2018, depositata il 25.10.2018, ha precisato l’ambito applicativo del reato di accesso abusivo a sistema informatico, in relazione alla condotta del dirigente d’azienda introdottosi nei sistemi aziendali per sottrarre filesriservati.

La sentenza di primo grado, confermata in sede di gravame, aveva ritenuto il giudicabile responsabile del reato di accesso abusivo a sistema informatico ex art. 615 ter cod. pen. per aver, al momento delle sue dimissioni dalla (omissis) s.r.l., senza preventivo permesso, copiato su DVD alcuni filescontenenti dati riservati del proprio datore di lavoro, procedendo altresì, in modo irreversibile alla cancellazione dei dati contenuti sul PC aziendale in uso e aveva ritenuto in esso assorbiti le ulteriori ipotesi di reato di furto dei filescontenenti i dati riservati e del reato di tentata rivelazione di segreti industriali ex artt. 56 e 623 cod. pen..

Tra i profili di diritto oggetti degli doglianze di legittimità, per quanto di interesse per il presente commento, rileva quello relativo alla posizione aziendale rivestita dall’imputato: il ricorrente, infatti, censura la decisione del giudice di merito nella parte in cui non ha tenuto in debito conto la qualifica dirigenziale dell’imputato, quale responsabile del personale, dell’ufficio tecnico e dell’intera produzione e che, pertanto, avrebbe operato quale alter egodell’imprenditore, con accesso ad ogni settore aziendale e disponibilità di ogni password di sistema.

La Suprema Corte, con articolata motivazione, ha rigettato il ricorso ritenendolo infondato.

Di seguito l’interrante passaggio motivazionale che ha affrontato il tema sopra indicato richiamando un orientamento giurisprudenziale della medesima Corte di Cassazione – Sezione lavoro:

l’accesso abusivo ad un sistema informatico consiste nella obiettiva violazione delle condizioni e dei limiti risultanti dalle prescrizioni impartite dal titolare del sistema per delimitarne l’accesso, compiuta nella consapevolezza di porre in essere una volontaria intromissione nel sistema in violazione delle regole imposte dal dominus loci, a nulla rilevando gli scopi e le finalità che abbiano soggettivamente motivato tale accesso(Sez. 5, n. 33311 del 13/06/2016, Salvatorelli, Rv. 267403; Sez. 5, n. 44403 del 26/06/2015, Morisco, Rv. 266088).

(…) La qualifica dirigenziale del (omissis), accertata dal Tribunale reggiano, per vero non riconducibile ad uno specifico motivo di appello, non contrasta affatto con le motivazioni addotte dalla Corte territoriale, che si riferisce alla posizione di «dipendente» del (omissis), comunque compatibile con la qualifica di dirigente, pur sempre lavoratore subordinato. La qualifica di dirigente spetta al prestatore di lavoro che, come alter ego dell’imprenditore, sia preposto alla direzione dell’intera organizzazione aziendale ovvero ad una branca o settore autonomo di essa, e sia investito di attribuzioni che, per la loro ampiezza e per i poteri di iniziativa e di discrezionalità che comportano, gli consentono, sia pure nell’osservanza delle direttive programmatiche del datore di lavoro, di imprimere un indirizzo ed un orientamento al governo complessivo dell’azienda, assumendo la corrispondente responsabilità ad alto livello (cd. dirigente apicale) (Sez. L., Sentenza n. 7295 del 23/03/2018, Rv. 647543 – 01). La preposizione ad una branca o un settore autonomo dell’impresa non implica però necessariamente l’accesso indiscriminato a tutte le informazioni in possesso dell’imprenditore preponente, perché una compartimentazione dell’accesso informativo è pienamente compatibile, sul piano logico e giuridico, con il carattere settoriale della preposizione”.

*****

Riferimenti normativi

Art. 615-ter c.p. Accesso abusivo ad un sistema informatico o telematico

Chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo, è punito con la reclusione fino a tre anni.

La pena è della reclusione da uno a cinque anni:

1) se il fatto è commesso da un pubblico ufficiale o da un incaricato di un pubblico servizio, con abuso dei poteri o con violazione dei doveri inerenti alla funzione o al servizio, o da chi esercita anche abusivamente la professione di investigatore privato, o con abuso della qualità di operatore del sistema;

2) se il colpevole per commettere il fatto usa violenza sulle cose o alle persone, ovvero se è palesemente armato;

3) se dal fatto deriva la distruzione o il danneggiamento del sistema o l’interruzione totale o parziale del suo funzionamento, ovvero la distruzione o il danneggiamento dei dati, delle informazioni o dei programmi in esso contenuti.

Qualora i fatti di cui ai commi primo e secondo riguardino sistemi informatici o telematici di interesse militare o relativi all’ordine pubblico o alla sicurezza pubblica o alla sanità o alla protezione civile o comunque di interesse pubblico, la pena è, rispettivamente, della reclusione da uno a cinque anni e da tre a otto anni.

Nel caso previsto dal primo comma il delitto è punibile a querela della persona offesa; negli altri casi si procede d’ufficio”.

*****

Quadro giurisprudenziale di riferimento delle più recenti pronunce in materia di accesso abusivo a sistema informatico:

Cassazione penale, sez. un., 18/05/2017, n. 41210.

Integra il delitto previsto dall’art. 615 ter, comma 2, n. 1, c.p. la condotta del pubblico ufficiale o dell’incaricato di un pubblico servizio che, pur essendo abilitato e pur non violando le prescrizioni formali impartite dal titolare di un sistema informatico o telematico protetto per delimitarne l’accesso, acceda o si mantenga nel sistema per ragioni ontologicamente estranee rispetto a quelle per le quali la facoltà di accesso gli è attribuita. (Nella specie, la S.C. ha ritenuto immune da censure la condanna di un funzionario di cancelleria, il quale, sebbene legittimato ad accedere al Registro informatizzato delle notizie di reato – c.d. Re.Ge. – conformemente alle disposizioni organizzative della Procura della Repubblica presso cui prestava servizio, aveva preso visione dei dati relativi ad un procedimento penale per ragioni estranee allo svolgimento delle proprie funzioni, in tal modo realizzando un’ipotesi di sviamento di potere).

Cassazione penale, sez. II, 09/02/2017, n. 10060.

Nel phishing (truffa informatica effettuata inviando una email con il logo contraffatto di un istituto di credito o di una società di commercio elettronico, in cui si invita il destinatario a fornire dati riservati quali numero di carta di credito, password di accesso al servizio di home banking, motivando tale richiesta con ragioni di ordine tecnico), accanto alla figura dell’hacker (esperto informatico) che si procura i dati, assume rilievo quella collaboratore prestaconto che mette a disposizione un conto corrente per accreditare le somme, ai fini della destinazione finale di tali somme. A tal riguardo, il comportamento di tale soggetto è punibile a titolo di riciclaggio ex art. 648 bis c.p., e non a titolo di concorso nei reati con cui si è sostanziato il phishing (art. 615 ter e 640 ter c.p.), giacché la relativa condotta interviene, successivamente, con il compimento di operazioni volte a ostacolare la provenienza delittuosa delle somme depositate sul conto corrente e successivamente utilizzate per prelievi di contanti, ricariche di carte di credito o ricariche telefoniche.

Cassazione penale, sez. V, 05/12/2016, n. 11994.

Integra il delitto previsto dall’art. 615 ter c.p., la condotta del collaboratore di uno studio legale — cui sia affidata esclusivamente la gestione di un numero circoscritto di clienti — il quale, pur essendo in possesso delle credenziali d’accesso, si introduca o rimanga all’interno di un sistema protetto violando le condizioni e i limiti impostigli dal titolare dello studio, provvedendo a copiare e a duplicare, trasferendoli su altri supporti informatici, i files riguardanti l’intera clientela dello studio professionale e, pertanto, esulanti dalla competenza attribuitagli.

Cassazione penale, sez. V, 26/10/2016, n. 14546.

Ai fini della configurabilità del delitto di cui all’art. 615 ter c.p., da parte colui che, pur essendo abilitato, acceda o si mantenga in un sistema informatico o telematico protetto, violando le condizioni e i limiti risultanti dal complesso delle prescrizioni impartite dal titolare del sistema per delimitarne oggettivamente l’accesso, è necessario verificare se il soggetto, ove normalmente abilitato ad accedere nel sistema, vi si sia introdotto o mantenuto appunto rispettando o meno le prescrizioni costituenti il presupposto legittimante la sua attività, giacché il dominus può apprestare le regole che ritenga più opportune per disciplinare l’accesso e le conseguenti modalità operative, potendo rientrare tra tali regole, ad esempio, anche il divieto di mantenersi all’interno del sistema copiando un file o inviandolo a mezzo di posta elettronica, incombenza questa che non si esaurisce nella mera pressione di un tasto ma è piuttosto caratterizzata da una apprezzabile dimensione cronologica.

Cassazione penale, sez. V, 28/10/2015, n. 13057.

Integra il reato di cui all’art. 615-ter c.p. la condotta di colui che accede abusivamente all’altrui casella di posta elettronica trattandosi di uno spazio di memoria, protetto da una password personalizzata, di un sistema informatico destinato alla memorizzazione di messaggi, o di informazioni di altra natura, nell’esclusiva disponibilità del suo titolare, identificato da un accountregistrato presso il provider del servizio. (In motivazione la Corte di cassazione ha precisato che anche nell’ambito del sistema informatico pubblico, la casella di posta elettronica del dipendente, purché protetta da una password personalizzata, rappresenta il suo domicilio informatico sicché è illecito l’accesso alla stessa da parte di chiunque, ivi compreso il superiore gerarchico).

Cassazione penale, sez. I, 23/07/2015, n. 36338.

In tema di accesso abusivo ad un sistema informatico o telematico, il luogo di consumazione del delitto di cui all’art. 615-ter c.p. coincide con quello in cui si trova l’utente che, tramite elaboratore elettronico o altro dispositivo per il trattamento automatico dei dati, digitando la « parola chiave » o altrimenti eseguendo la procedura di autenticazione, supera le misure di sicurezza apposte dal titolare per selezionare gli accessi e per tutelare la banca dati memorizzata all’interno del sistema centrale ovvero vi si mantiene eccedendo i limiti dell’autorizzazione ricevuta.

Cassazione penale, sez. V, 11/03/2015, n. 32666.

Integra la fattispecie criminosa di accesso abusivo ad un sistema informatico o telematico protetto, prevista dall’art. 615 ter, c.p. la condotta di accesso o mantenimento nel sistema posta in essere da un soggetto, che pur essendo abilitato, violi le condizioni ed i limiti risultanti dal complesso delle prescrizioni impartite dal titolare del sistema per delimitare oggettivamente l’accesso. Non hanno rilievo, invece, per la configurazione del reato, gli scopi e le finalità che soggettivamente hanno motivato l’ingresso nel sistema.

Cassazione penale, sez. V, 18/12/2014, n. 10121.

In tema di accesso abusivo ad un sistema informatico o telematico, la circostanza aggravante prevista dall’art. 615 ter, comma 3, c.p., per essere il sistema violato di interesse pubblico, è configurabile anche quando lo stesso appartiene ad un soggetto privato cui è riconosciuta la qualità di concessionario di pubblico servizio, seppur limitatamente all’attività di rilievo pubblicistico che il soggetto svolge, quale organo indiretto della p.a., per il soddisfacimento di bisogni generali della collettività, e non anche per l’attività imprenditoriale esercitata, per la quale, invece, il concessionario resta un soggetto privato. (Fattispecie in cui la Corte ha annullato con rinvio l’ordinanza cautelare che aveva ritenuto sussistente la circostanza aggravante in questione in relazione alla condotta di introduzione nella “rete” del sistema bancomat di un istituto di credito privato).

Cassazione penale, sez. V, 31/10/2014, n. 10083.

Nel caso in cui l’agente sia in possesso delle credenziali per accedere al sistema informatico, occorre verificare se la condotta sia agita in violazione delle condizioni e dei limiti risultanti dal complesso delle prescrizioni impartite dal titolare dello jus excludendi per delimitare oggettivamente l’accesso, essendo irrilevanti, per la configurabilità del reato di cui all’art. 615 ter c.p., gli scopi e le finalità soggettivamente perseguiti dall’agente così come l’impiego successivo dei dati eventualmente ottenuti.

 

 

 

Cassazione penale, sez. V, 30/09/2014, n. 47105.

In tema di accesso abusivo ad un sistema informatico o telematica (art. 615 ter c.p.), dovendosi ritenere realizzato il reato pur quando l’accesso avvenga ad opera di soggetto legittimato, il quale però agisca in violazione delle condizioni e dei limiti risultanti dal complesso delle prescrizioni impartite dal titolare del sistema (come, in particolare, nel caso in cui vengano poste in essere operazioni di natura antologicamente diversa da quelle di cui il soggetto è incaricato ed in relazione alle quali l’accesso gli è stato consentito), deve ritenersi che sussista tale condizione qualora risulti che l’agente sia entrato e si sia trattenuto nel sistema informatico per duplicare indebitamente informazioni commerciali riservate; e ciò a prescindere dall’ulteriore scopo costituito dalla successiva cessione di tali informazioni ad una ditta concorrente.

Cassazione penale, sez. VI, 11/07/2014, n. 37240

Integra il reato di accesso abusivo ad un sistema informatico o telematico (ex art. 615-ter c.p.) il pubblico ufficiale che, pur avendo titolo e formale legittimazione per accedere al sistema, vi si introduca su altrui istigazione criminosa nel contesto di un accordo di corruzione propria; in tal caso, l’accesso del pubblico ufficiale – che, in seno ad un reato plurisoggettivo finalizzato alla commissione di atti contrari ai doveri d’ufficio (ex art. 319 c.p.), diventi la “longa manus” del promotore del disegno delittuoso – è in sé “abusivo” e integrativo della fattispecie incriminatrice sopra indicata, in quanto effettuato al di fuori dei compiti d’ufficio e preordinato all’adempimento dell’illecito accordo con il terzo, indipendentemente dalla permanenza nel sistema contro la volontà di chi ha il diritto di escluderlo (nella specie, l’imputato, addetto alla segreteria di una facoltà universitaria, dietro il pagamento di un corrispettivo in denaro, aveva registrato 19 materie in favore di uno studente, senza che questo ne avesse mai sostenuto gli esami).

© RIPRODUZIONE RISERVATA