Per l’aggravante dell’accesso accesso abusivo a sistema informatico è sufficiente che l’autore del reato sia stato incaricato di fatto allo svolgimento di mansioni istituzionali tali da consentire l’accesso al sistema protetto.

Si segnala ai lettori del blog la recente sentenza n. 37339/2019 – depositata il 6.09.2019, con la quale la Corte di Cassazione, chiamata a pronunciarsi in ordine al delitto di accesso abusivo a sistema informatico, ha confermato la punibilità del conducente di automezzi presso la Procura di Benevento preposto all’utilizzo del terminali per adempiere a servizi di cancelleria, ravvisando in tale incarico una pubblica funzione idonea a integrare la circostanza aggravante di cui all’art 615-ter comma 2, n.1, cod. pen.

L’imputazione provvisoria e il giudizio cautelare

Il Tribunale del riesame di Napoli confermava la misura cautelare degli arresti domiciliari disposta dal G.i.p. in sede nei confronti dell’indagato in ordine al reato di accesso abusivo al sistema informatico p. e p. dall’art 615-ter, comma 2, n.1 cod. pen., poiché in qualità di dipendente presso l’ufficio del Registro generale della Procura di Benevento, con funzione di conducente di autovetture, accedeva con le proprie credenziali al sistema informatico fuori dai limiti consentiti, al fine di fornire informazioni sui procedimenti pendenti innanzi la Procura a terzi soggetti.

Il giudizio di legittimità e il principio di diritto.

Avverso il provvedimento de quointerponeva ricorso per Cassazione la difesa del prevenuto imputato che censurava l’ordinanza emessa dal Tribunale di Napoli con plurimi motivi di impugnazione lamentando, per quanto di interesse per il presente commento, violazione di legge in ordine alla sussistenza della ritenuta qualifica di pubblico ufficiale in capo al giudicabile che aggravando il trattamento sanzionatorio aveva ingiustamente reso applicabile la misura custodiale personale degli arresti domiciliari.

La Suprema Corte ha rigettato il ricorso.

Di seguito si riportano i passaggi estratti del compendio motivazionale della sentenza in commento di maggiore interesse per gli operatori di diritto che si occupano dei reati informatici:

La ricostruzione del fatto e il principio di diritto in ordine alla qualifica soggettiva di incaricato dell’incaricato di pubblico servizio:

“La giurisprudenza di questa Corte è invero univocamente orientata nel dare rilevanza, ai fini dell’attribuzione della qualifica di incaricato di pubblico servizio contestata dal ricorrente, alle mansioni di fatto svolte dal soggetto, a prescindere da quelle in astratto ricollegate alla sua qualifica professionale ed addirittura dall’assenza di un’assegnazione formale all’incarico nell’ambito del quale egli pone in essere l’attività illecita, a condizione che non vi sia stata un’usurpazione di funzioni, che vi sia l’acquiescenza o la tolleranza o il consenso, anche tacito, della pubblica amministrazione e che lo svolgimento di mansioni ulteriori e diverse trovi la sua causa e la sua ragione nel concreto assetto dell’attività amministrativa(Sez. 6, n. 8070 del 02/02/2016, Autuori e altri, Rv. 266314 – 01; Sez. 6, n. 34086 del 26/6/2013, Bessone, rv. 257035-01; Sez. 6, n. 2745 del 9/12/2008, dep. 2009, De Riso, rv. 242423-01).

Tali principi sono stati affermati anche con riguardo alla figura del commesso di ufficio giudiziario, cui è stata riconosciuta la qualifica soggettiva almeno di incaricato di pubblico servizio in relazione all’affidamento di fatto di mansioni ulteriori che vengano concretamente svolte (Sez. 6, n. 39290 del 8/10/2008, Peparaio, sul punto non massimata; Sez. 6, n. 30152 del 6/4/2004, De Gregorio, rv. 229447-01).”

“Appare opportuno altresì richiamare un precedente attinente proprio ad un autista di un ufficio giudiziario adibito a mansioni di Cancelleria, ivi compreso l’accesso ai registri informatici, sia pure con la password di un altro dipendente amministrativo; ebbene, anche in relazione a tale figura, la Corte ha valorizzato il profilo funzionaleed ha statuito che la qualifica di incaricato di pubblico servizio va riconosciuta a colui che, di fatto, svolgendo attività diverse da quelle inerenti alle mansioni istituzionalmente affidategli, sia effettivamente investito di una pubblica funzione, purchè a tale esercizio di funzioni pubbliche si accompagni, quanto meno, l’acquiescenza o la tolleranza o il consenso, anche tacito, della pubblica amministrazione (Sez. 6, n. 2745 del 09/12/2008, dep. 2009, De Riso, Rv. 242423 – 01).

L’applicazione di tali principi nel caso di specie esalta la piena correttezza della scelta interpretativa del Tribunale del riesame, che ha riconosciuto la qualifica soggettiva necessaria per la configurazione della circostanza aggravante contestata, laddove l’odierno indagato non solo svolgeva mansioni che implicavano la possibilità di accedere al sistema informatico, ma lo faceva sulla scorta di una collocazione non già di mero fatto, ma addirittura ufficiale epluriennale in quell’ufficio, tanto da utilizzare proprie credenziali di accesso che gli erano state fornite dall’amministrazione.

Quanto alla doglianza secondo cui [omissis] fosse un mero esecutore delle direttive del funzionario preposto all’ufficio, si tratta di un’argomentazione generica e versata in fatto, non verificabile in sede di legittimità, e che comunque si scontra con la ricostruzione che si legge nell’ordinanza impugnata che, come già accennato, aveva valorizzato la mansione che gli era stata assegnata — tanto da implicare la dotazione con proprie credenziali — a prescindere da qualsiasi potere di direzione e vigilanza in capo al soggetto dotato di qualifica sovraordinata.”

*****

Riferimento normativo:

Art. 615 ter cod. pen. Accesso abusivo ad un sistema informatico o telematico:

Chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo, è punito con la reclusione fino a tre anni.

La pena è della reclusione da uno a cinque anni:

1) se il fatto è commesso da un pubblico ufficiale o da un incaricato di un pubblico servizio, con abuso dei poteri o con violazione dei doveri inerenti alla funzione o al servizio, o da chi esercita anche abusivamente la professione di investigatore privato, o con abuso della qualità di operatore del sistema;

2) se il colpevole per commettere il fatto usa violenza sulle cose o alle persone, ovvero se è palesemente armato;

3) se dal fatto deriva la distruzione o il danneggiamento del sistema o l’interruzione totale o parziale del suo funzionamento ovvero la distruzione o il danneggiamento dei dati, delle informazioni o dei programmi in esso contenuti.

Qualora i fatti di cui ai commi primo e secondo riguardino sistemi informatici o telematici di interesse militare o relativi all’ordine pubblico o alla sicurezza pubblica o alla sanità o alla protezione civile o comunque di interesse pubblico, la pena è, rispettivamente, della reclusione da uno a cinque anni e da tre a otto anni.

Nel caso previsto dal primo comma il delitto è punibile a querela della persona offesa; negli altri casi si procede d’ufficio.

*****

Giurisprudenza di legittimità.

Quadro giurisprudenziale di riferimento in materia di accesso abusivo a sistema informatico:

Cassazione penale sez. V, 25/03/2019, n.18284:

In ipotesi di accesso abusivo ad una casella di posta elettronica protetta da password, il reato di cui art. 615-ter c.p. concorre con il delitto di violazione di corrispondenza in relazione alla acquisizione del contenuto delle mail custodite nell’archivio e con il reato di danneggiamento di dati informatici, di cui agli artt. 635-bis e ss. c.p., nel caso in cui, all’abusiva modificazione delle credenziali d’accesso, consegue l’inutilizzabilità della casella di posta da parte del titolare.

Cassazione penale sez. V, 29/11/2018, n.565:

Configura il reato di cui all’art. 615-ter c.p. la condotta di un dipendente (nel caso di specie, di una banca) che abbia istigato un collega – autore materiale del reato – ad inviargli informazioni riservate relative ad alcuni clienti alle quali non aveva accesso, ed abbia successivamente girato le e-mail ricevute sul proprio indirizzo personale di posta elettronica, concorrendo in tal modo con il collega nel trattenersi abusivamente all’interno del sistema informatico della società per trasmettere dati riservati ad un soggetto non autorizzato a prenderne visione, violando in tal modo l’autorizzazione ad accedere e a permanere nel sistema informatico protetto che il datore di lavoro gli aveva attribuito.

Cassazione penale, sez. un., 18/05/2017,  n. 41210:

Integra il delitto previsto dall’art. 615 ter, comma 2, n. 1, c.p. la condotta del pubblico ufficiale o dell’incaricato di un pubblico servizio che, pur essendo abilitato e pur non violando le prescrizioni formali impartite dal titolare di un sistema informatico o telematico protetto per delimitarne l’accesso, acceda o si mantenga nel sistema per ragioni ontologicamente estranee rispetto a quelle per le quali la facoltà di accesso gli è attribuita. (Nella specie, la S.C. ha ritenuto immune da censure la condanna di un funzionario di cancelleria, il quale, sebbene legittimato ad accedere al Registro informatizzato delle notizie di reato – c.d. Re.Ge. – conformemente alle disposizioni organizzative della Procura della Repubblica presso cui prestava servizio, aveva preso visione dei dati relativi ad un procedimento penale per ragioni estranee allo svolgimento delle proprie funzioni, in tal modo realizzando un’ipotesi di sviamento di potere).

Cassazione penale, sez. II, 09/02/2017,  n. 10060:

Nel phishing (truffa informatica effettuata inviando una email con il logo contraffatto di un istituto di credito o di una società di commercio elettronico, in cui si invita il destinatario a fornire dati riservati quali numero di carta di credito, password di accesso al servizio di home banking, motivando tale richiesta con ragioni di ordine tecnico), accanto alla figura dell’hacker (esperto informatico) che si procura i dati, assume rilievo quella collaboratore prestaconto che mette a disposizione un conto corrente per accreditare le somme, ai fini della destinazione finale di tali somme. A tal riguardo, il comportamento di tale soggetto è punibile a titolo di riciclaggio ex art. 648 bis c.p., e non a titolo di concorso nei reati con cui si è sostanziato il phishing (art. 615 ter e 640 ter c.p.), giacché la relativa condotta interviene, successivamente, con il compimento di operazioni volte a ostacolare la provenienza delittuosa delle somme depositate sul conto corrente e successivamente utilizzate per prelievi di contanti, ricariche di carte di credito o ricariche telefoniche.

Cassazione penale, sez. V, 05/12/2016,  n. 11994:

Integra il delitto previsto dall’art. 615 ter c.p., la condotta del collaboratore di uno studio legale — cui sia affidata esclusivamente la gestione di un numero circoscritto di clienti — il quale, pur essendo in possesso delle credenziali d’accesso, si introduca o rimanga all’interno di un sistema protetto violando le condizioni e i limiti impostigli dal titolare dello studio, provvedendo a copiare e a duplicare, trasferendoli su altri supporti informatici, i files riguardanti l’intera clientela dello studio professionale e, pertanto, esulanti dalla competenza attribuitagli.

Cassazione penale, sez. V, 26/10/2016,  n. 14546:

Ai fini della configurabilità del delitto di cui all’art. 615 ter c.p., da parte colui che, pur essendo abilitato, acceda o si mantenga in un sistema informatico o telematico protetto, violando le condizioni e i limiti risultanti dal complesso delle prescrizioni impartite dal titolare del sistema per delimitarne oggettivamente l’accesso, è necessario verificare se il soggetto, ove normalmente abilitato ad accedere nel sistema, vi si sia introdotto o mantenuto appunto rispettando o meno le prescrizioni costituenti il presupposto legittimante la sua attività, giacché il dominus può apprestare le regole che ritenga più opportune per disciplinare l’accesso e le conseguenti modalità operative, potendo rientrare tra tali regole, ad esempio, anche il divieto di mantenersi all’interno del sistema copiando un file o inviandolo a mezzo di posta elettronica, incombenza questa che non si esaurisce nella mera pressione di un tasto ma è piuttosto caratterizzata da una apprezzabile dimensione cronologica.

Cassazione penale, sez. V, 28/10/2015,  n. 13057:

Integra il reato di cui all’art. 615-ter c.p. la condotta di colui che accede abusivamente all’altrui casella di posta elettronica trattandosi di uno spazio di memoria, protetto da una password personalizzata, di un sistema informatico destinato alla memorizzazione di messaggi, o di informazioni di altra natura, nell’esclusiva disponibilità del suo titolare, identificato da un account registrato presso il provider del servizio. (In motivazione la Corte di cassazione ha precisato che anche nell’ambito del sistema informatico pubblico, la casella di posta elettronica del dipendente, purché protetta da una password personalizzata, rappresenta il suo domicilio informatico sicché è illecito l’accesso alla stessa da parte di chiunque, ivi compreso il superiore gerarchico).

Cassazione penale, sez. I, 23/07/2015,  n. 36338:

In tema di accesso abusivo ad un sistema informatico o telematico, il luogo di consumazione del delitto di cui all’art. 615-ter c.p. coincide con quello in cui si trova l’utente che, tramite elaboratore elettronico o altro dispositivo per il trattamento automatico dei dati, digitando la « parola chiave » o altrimenti eseguendo la procedura di autenticazione, supera le misure di sicurezza apposte dal titolare per selezionare gli accessi e per tutelare la banca dati memorizzata all’interno del sistema centrale ovvero vi si mantiene eccedendo i limiti dell’autorizzazione ricevuta.

Cassazione penale, sez. V, 11/03/2015, n. 32666:

Integra la fattispecie criminosa di accesso abusivo ad un sistema informatico o telematico protetto, prevista dall’art. 615 ter, c.p. la condotta di accesso o mantenimento nel sistema posta in essere da un soggetto, che pur essendo abilitato, violi le condizioni ed i limiti risultanti dal complesso delle prescrizioni impartite dal titolare del sistema per delimitare oggettivamente l’accesso. Non hanno rilievo, invece, per la configurazione del reato, gli scopi e le finalità che soggettivamente hanno motivato l’ingresso nel sistema.

by Claudio Ramelli @RIPRODUZIONE RISERVATA