Risponde di accesso abusivo ad un sistema informatico l’agente di Polizia di Stato che acceda alla banca dati gestita dal Ministero dell’interno per ragioni diverse da quelle per le quali era autorizzato

Si segnala ai lettori del blog la sentenza 3694.2020, resa dalla V Sezione penale della Corte di Cassazione, con la quale il Collegio del diritto, esprimendosi in merito ad un caso di accesso abusivo ad un sistema informatico commesso da un pubblico ufficiale, si sofferma sul concetto di abuso ed enuncia il principio di diritto secondo il quale il reato informatico risulta integrato dalla condotta del pubblico ufficiale o incaricato di pubblico servizio che, pur essendo abilitato all’accesso al sistema informatico protetto, vi si introduca o vi si mantenga per ragioni ontologicamente estranee rispetto a quelle per le quali gli è stata attribuita l’abilitazione all’accesso.

Il reato contestato e la doppia conforme di merito

Nel caso di specie, all’imputato, nella qualità di agente della Polizia di Stato, era contestato il reato di accesso abusivo a sistema informatico, per aver, in concorso con altro soggetto, effettuato l’accesso alla banca dati SDI Web, gestita dal Ministero degli interni, utilizzando la password conferitagli per motivi istituzionali, per reperire informazioni riservate richieste dal concorrente nel reato.

La Corte di appello di L’Aquila confermava la sentenza con la quale il GUP del locale Tribunale condannava il giudicabile per il reato di cui all’art. 615 ter comma 2 n. 1) c.p.

Il ricorso per cassazione, il giudizio di legittimità e il principio di diritto

La difesa del prevenuto proponeva ricorso per cassazione avverso la decisione di secondo grado, articolando plurimi motivi di impugnazione.

Ai fini del presente commento riveste maggiore interesse la deduzione relativa alla violazione degli artt. 521, 522 c.p.p., per aver i Giudici di merito illegittimamente integrato la contestazione, fornendo la propria erronea interpretazione del concetto di abuso nel reato di accesso abusivo al sistema informatico.

I Giudici di legittimità rigettano il ricorso sulla dedotta violazione di rito e ratificano la correttezza della motivazione resa dalla Corte territoriale, qualificando la condotta di accesso al sistema informatico posta in essere dall’imputato come abusiva in quanto connotata dallo sviamento di potere conferito per ragioni dell’Ufficio.

Di seguito di riportano i passaggi più significativi tratti dal compendio motivazionale della pronuncia in commento:

<Il terzo motivo con cui si deduce la violazione del disposto normativo di cui agli artt. 521 e 522 codice di rito assumendo che la Corte abbia integrato illegittimamente la contestazione, dando una propria interpretazione, rectius riempiendolo di contenuto, dell’avverbio ‘abusivamente’ in essa contenuto, è infondato, non considerando che nel medesimo capo di imputazione viene altresì specificato che l’accesso abusivo al sistema informatico della banca dati del Ministero dell’Interno denominata SDI era avvenuto mediante la password in uso al [omissis]per motivi istituzionali, il cui utilizzo per le diverse finalità perseguite dal predetto non poteva che essere abusivo, avendo egli in definitiva compiuto un’operazione diversa da quella per la quale gli era stata rilasciata l’autorizzazione ad accedere al sistema.

La Corte lungi dall’aver proceduto al lamentato ‘riempimento’, ha piuttosto evidenziato — in aderenza ai principi affermati da questa Corte in materia — che nel caso di specie gli accessi del [omissis], che agì in violazione dei doveri insiti nello statuto del dipendente pubblico, come richiamati dall’art. 1 L. n. 241/90, devono essere qualificati abusivi in quanto connotati da sviamento di potere.

Con riferimento al profilo delle prescrizioni, ha precisato come a seguito della pronuncia di questa Corte a Sezioni Unite n. 41210/17 Sezioni Unite del 18/05/2017, Savarese, Rv. 271061 – che, del tutto inequivocabilmente, non ha affatto realizzato alcun ribaltamento o sostanziale modificazione del precedente arresto giurisprudenziale delle Sezioni Unite Casani, n. 4694 del 27/10/2011, dep. 07/02/2012, Casani ed altri, Rv. 251269, ma ne ha solo puntualizzato ed approfondito l’analisi, come espressamente affermato nella medesima sentenza del massimo consesso di questa Corte – si deve ritenere e ribadire che integra il delitto previsto dall’art. 615-ter, secondo comma, n. 1, cod. pen., la condotta del pubblico ufficiale o dell’incaricato di un pubblico servizio che, pur essendo abilitato e pur non violando le prescrizioni formali impartite dal titolare di un sistema informatico o telematico protetto per delimitarne l’accesso, acceda o si mantenga nel sistema per ragioni ontologicamente estranee rispetto a quelle per le quali la facoltà di accesso gli è attribuita.

In particolare, con la sentenza Savarese è stato approfondito e specificato il concetto di “operazioni ontologicamente estranee” a quelle consentite, qualora la condotta criminosa sia posta in essere da un pubblico ufficiale o da un incaricato di pubblico servizio.

In tal senso è stato spiegato che l’abuso delle proprie funzioni da parte dell’agente, rappresenti cioè uno sviamento di potere, un uso del potere in violazione dei doveri di fedeltà che ne devono indirizzare l’azione nell’assolvimento degli specifici compiti di natura pubblicistica a lui demandati. Si è autorevolmente chiarito da parte della dottrina che «sotto lo schema dell’eccesso di potere si raggruppano tutte le violazioni di quei limiti interni alla discrezionalità amministrativa, che, pur non essendo consacrati in norme positive, sono inerenti alla natura stessa del potere esercitato».

Lo sviamento di potere è una delle tipiche manifestazioni di un tale vizio dell’azione amministrativa e ricorre quando l’atto non persegue un interesse pubblico, ma un interesse diverso (di un privato, del funzionario responsabile, ecc.). Si ha quindi “sviamento di potere” quando nella sua attività concreta il pubblico funzionario persegue una finalità diversa da quella che gli assegna in astratto la legge sul procedimento amministrativo (art. 1, legge n. 241 del 1990).” Indi la Corte territoriale ha del tutto condivisibilmente, facendo corretta applicazione dei principi sopra citati, reso risposta adeguata ed esauriente al motivo specularmente già formulato in appello, senza cadere in alcuna contraddizione né in inammissibili integrazioni dell’imputazione>.

La norma incriminatrice:

Art. 615 ter c.p. – Accesso abusivo ad un sistema informatico o telematico

Chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo, è punito con la reclusione fino a tre anni.

La pena è della reclusione da uno a cinque anni:

1) se il fatto è commesso da un pubblico ufficiale o da un incaricato di un pubblico servizio, con abuso dei poteri o con violazione dei doveri inerenti alla funzione o al servizio, o da chi esercita anche abusivamente la professione di investigatore privato, o con abuso della qualità di operatore del sistema;

2) se il colpevole per commettere il fatto usa violenza sulle cose o alle persone, ovvero se è palesemente armato;

3) se dal fatto deriva la distruzione o il danneggiamento del sistema o l’interruzione totale o parziale del suo funzionamento ovvero la distruzione o il danneggiamento dei dati, delle informazioni o dei programmi in esso contenuti.

Qualora i fatti di cui ai commi primo e secondo riguardino sistemi informatici o telematici di interesse militare o relativi all’ordine pubblico o alla sicurezza pubblica o alla sanità o alla protezione civile o comunque di interesse pubblico, la pena è, rispettivamente, della reclusione da uno a cinque anni e da tre a otto anni.

Nel caso previsto dal primo comma il delitto è punibile a querela della persona offesa; negli altri casi si procede d’ufficio.

Quadro giurisprudenziale di riferimento:

Cassazione penale sez. V, 15/07/2019, n.37339

Integra il reato di abusiva introduzione in un sistema informatico, aggravato ai sensi dell’art. 615-ter, comma 2, n. 1, c.p., per la qualità di incaricato di pubblico servizio, la condotta del conducente di automezzi e commesso, formalmente assegnato all’ufficio del registro generale della procura della repubblica, che con le proprie credenziali si introduca nel S.I.C.P. (Sistema Informativo della Cognizione Penale) dell’ufficio inquirente al fine di fornire informazioni relative a procedimenti in fase di indagini – non ostensibili a terzi.

 

Cassazione penale sez. V, 29/11/2018, n.565

Configura il reato di cui all’art. 615-ter c.p. la condotta di un dipendente (nel caso di specie, di una banca) che abbia istigato un collega – autore materiale del reato – ad inviargli informazioni riservate relative ad alcuni clienti alle quali non aveva accesso, ed abbia successivamente girato le e-mail ricevute sul proprio indirizzo personale di posta elettronica, concorrendo in tal modo con il collega nel trattenersi abusivamente all’interno del sistema informatico della società per trasmettere dati riservati ad un soggetto non autorizzato a prenderne visione, violando in tal modo l’autorizzazione ad accedere e a permanere nel sistema informatico protetto che il datore di lavoro gli aveva attribuito.

 

Cassazione penale sez. un., 18/05/2017, n.41210

Integra il delitto previsto dall’art. 615-ter, comma 2, n. 1, c.p. la condotta del pubblico ufficiale o dell’incaricato di un pubblico servizio che, pur essendo abilitato e pur non violando le prescrizioni formali impartite dal titolare di un sistema informatico o telematico protetto per delimitarne l’accesso (nella specie il Registro informatizzato delle notizie di reato, c.d. Re.Ge.), acceda o si mantenga nel sistema per ragioni ontologicamente estranee e comunque diverse rispetto a quelle per le quali, soltanto, la facoltà di accesso gli è attribuita. (Nella specie, la S.C. ha ritenuto immune da censure la condanna ad un funzionario di cancelleria, il quale, sebbene legittimato ad accedere al Registro informatizzato delle notizie di reato, conformemente alle disposizioni organizzative della Procura della Repubblica presso cui prestava servizio, aveva preso visione dei dati relativi ad un procedimento penale per ragioni estranee allo svolgimento delle proprie funzioni, in tal modo realizzando un’ipotesi di sviamento di potere).

Cassazione penale, sez. V, 26/10/2016, n. 14546

Ai fini della configurabilità del delitto di cui all’art. 615 ter c.p., da parte colui che, pur essendo abilitato, acceda o si mantenga in un sistema informatico o telematico protetto, violando le condizioni e i limiti risultanti dal complesso delle prescrizioni impartite dal titolare del sistema per delimitarne oggettivamente l’accesso, è necessario verificare se il soggetto, ove normalmente abilitato ad accedere nel sistema, vi si sia introdotto o mantenuto appunto rispettando o meno le prescrizioni costituenti il presupposto legittimante la sua attività, giacché il dominus può apprestare le regole che ritenga più opportune per disciplinare l’accesso e le conseguenti modalità operative, potendo rientrare tra tali regole, ad esempio, anche il divieto di mantenersi all’interno del sistema copiando un file o inviandolo a mezzo di posta elettronica, incombenza questa che non si esaurisce nella mera pressione di un tasto ma è piuttosto caratterizzata da una apprezzabile dimensione cronologica.

 

Cassazione penale, sez. V, 11/03/2015, n. 32666

Integra la fattispecie criminosa di accesso abusivo ad un sistema informatico o telematico protetto, prevista dall’art. 615 ter, c.p. la condotta di accesso o mantenimento nel sistema posta in essere da un soggetto, che pur essendo abilitato, violi le condizioni ed i limiti risultanti dal complesso delle prescrizioni impartite dal titolare del sistema per delimitare oggettivamente l’accesso. Non hanno rilievo, invece, per la configurazione del reato, gli scopi e le finalità che soggettivamente hanno motivato l’ingresso nel sistema.

Cassazione penale sez. un., 27/10/2011, n.4694

Integra il delitto previsto dall’art. 615 ter c.p. colui che, pur essendo abilitato, acceda o si mantenga in un sistema informatico o telematico protetto violando le condizioni ed i limiti risultanti dal complesso delle prescrizioni impartite dal titolare del sistema per delimitarne oggettivamente l’accesso, rimanendo invece irrilevanti, ai fini della sussistenza del reato, gli scopi e le finalità che abbiano soggettivamente motivato l’ingresso nel sistema.

By ClaudioRamelli© RIPRODUZIONE RISERVATA