Accesso abusivo a sistema informatico: risponde del reato informatico il sottufficiale della G.d.F. di Finanza che si introduce nel sistema SDI per reperire informazioni al di fuori dei limiti e delle finalità connesse all’autorizzazione

Si segnala ai lettori del blog la sentenza numero 25944.2020, resa dalla V Sezione penale della Corte di Cassazione, con la quale il Collegio del diritto, pronunciatosi su un caso di accesso abusivo ad un sistema informatico, pur dando conto della esistenza, all’epoca dei fatti in contestazione (e prima della pronuncia a Sezioni unite 2017) di due diversi orientamenti interpretativi, nel caso di specie ha ritenuto di dare continuità a quello espresso dalla Suprema Corte nella sua composizione più autorevole, secondo il quale risponde del delitto informatico il soggetto che, pur abilitato, effettui l’accesso al di fuori dei limiti e della finalità connessi alla relativa autorizzazione.

 

Il reato contestato e la doppia conforme di merito

Nel caso di specie all’imputato, sottufficiale della Guardia di Finanza, era contestato il delitto di accesso abusivo ad un sistema informatico ex art. 615 ter co. 1, 2, n. 1) c.p., per essersi introdotto in due occasioni nel sistema SDI in uso alle Forze dell’ordine, allo scopo di reperire informazioni su un soggetto (controparte contrattuale del cognato del soggetto agente).

La Corte di appello di Venezia confermava la sentenza con la quale il Tribunale di Vicenza aveva condannato l’imputato per il reato ascrittogli.

 

Il ricorso per cassazione, il giudizio di legittimità e il principio di diritto

La difesa del giudicabile proponeva ricorso per cassazione avverso la decisione della Corte territoriale, articolando due motivi di impugnazione.

In particolare, il ricorrente, lamentava la violazione dell’art. 615 ter c.p. e dell’art. 7 CEDU, in relazione alla mancata prevedibilità della disposizione, dal momento che, all’epoca del fatto, esisteva un contrasto giurisprudenziale, risolto solo nel 2017 dalle Sezioni unite, in ordine alla responsabilità penale a titolo di accesso abusivo al sistema informatico del soggetto a ciò abilitato.

La Suprema Corte, nel rigettare il ricorso, dopo aver riportato i due orientamenti giurisprudenziali formatisi in merito alla configurazione del reato informatico, nega che vi sia stata violazione dell’art. 7 CEDU, dal momento che l’interpretazione cui si aderisce (secondo la quale il delitto si configura anche nel caso di accesso al sistema informatico da parte del soggetto abilitato, ma al di fuori dei limiti e dei fini prescritti dall’autorizzazione) non può considerarsi imprevedibile, essendo già emersa all’epoca dei fatti.

Di seguito si riportano i passaggi più significativi tratti dalla parte motiva della pronuncia in commento:

<Sempre secondo le direttrici ermeneutiche evincibili dai precedenti sopra menzionati, non vi è overruling in contrasto con l’art. 7 CEDU quando l’interpretazione colpevolista sia già emersa precedentemente alla commissione del fatto nell’ambito della giurisprudenza di legittimità.

In particolare, quando vi sia un contrasto giurisprudenziale poi risolto dalla Sezioni Unite di questa Corte, non può dirsi imprevedibile l’interpretazione che, aderendo al dictum del supremo Consesso, fondi su uno dei due o più orientamenti interpretativi analizzati dalla decisione (Sez. U, n. 8544 del 24/10/2019; Sez. 6, n. 10659 del 20/02/2020; Sez. 5, N. 41846 Del 17/05/2018; Sez. 5, n. 37857 del 24/04/2018; Sez. 5, n. 31648 del 17/06/2016, non massimata.).

È proprio fondando su questo presupposto interpretativo che le pronunzie di questa Corte che si sono occupate dell’eventuale overruling in tema di accesso abusivo ad un sistema informatico o telematico hanno escluso che vi fosse violazione dell’art. 7 CEDU, a dispetto del fatto che vi siano stati due interventi delle Sezioni Unite a proposito dei confini precettivi del delitto di cui all’art. 615-ter cod. pen. Va infatti ricordato, a quest’ultimo proposito, che Sez. U, n. 4694 del 27/10/2011, dep. 2012, C., Rv. 251269, ha stabilito che integra il delitto previsto dall’art. 615-ter cod. pen. la condotta di colui che, pur essendo abilitato, acceda o si mantenga in un sistema informatico o telematico protetto violando le condizioni ed i limiti risultanti dal complesso delle prescrizioni impartite dal titolare del sistema per delimitarne oggettivamente l’accesso, rimanendo invece irrilevanti, ai fini della sussistenza del reato, gli scopi e le finalità che abbiano soggettivamente motivato l’ingresso nel sistema.

Nell’ottica di una precisazione del principio già sancito, Sez. U, n. 41210 del 18/05/2017, S., Rv. 271061 ha poi statuito che integra il delitto previsto dall’art. 615-ter, secondo comma, n. 1, cod. pen. la condotta del pubblico ufficiale o dell’incaricato di un pubblico servizio che, pur essendo abilitato e pur non violando le prescrizioni formali impartite dal titolare di un sistema informatico o telematico protetto per delimitarne l’accesso, acceda o si mantenga nel sistema per ragioni ontologicamente estranee rispetto a quelle per le quali la facoltà di accesso gli è attribuita.

Il Collegio ritiene che, nel caso di specie, venga in particolare rilievo il primo dei due precedenti citati, tenuto conto delle epoche dei due accessi abusivi, entrambi collocati prima della citata decisione (6 maggio 2010 e 13 ottobre 2011). Ebbene, come sostenuto da questa Corte, l’interpretazione fatta propria dalle Sezioni Unite era già accreditata nella giurisprudenza di questa Corte prima della sentenza C., donde non poteva ritenersi imprevedibile che rientrasse nello statuto punitivo anche l’accesso abusivo del soggetto autorizzato che deviasse rispetto ai limiti ed ai fini connessi alla sua autorizzazione. In altri termini, le Sezioni unite, lungi dall’avere introdotto un’innovazione giurisprudenziale eccentrica rispetto alle precedenti riflessioni svolte nell’ambito delle Sezioni semplici, una volta effettuata la ricognizione dei due indirizzi giurisprudenziali contrapposti, hanno optato poi per l’interpretazione più estensiva già oggetto di numerose pronunce, secondo la quale è penalmente rilevante anche la condotta del soggetto che, pur essendo abilitato ad accedere al sistema informatico o telematico, vi si introduca con la password di servizio per raccogliere dati protetti per finalità estranee alle ragioni di istituto ed agli scopi sottostanti alla protezione dell’archivio informatico, utilizzando sostanzialmente il sistema per finalità diverse da quelle consentite. L’autorevole precedente è giunto a questa conclusione opinando che la norma in esame punisce non soltanto l’abusiva introduzione nel sistema (da escludersi nel caso di possesso del titolo di legittimazione), ma anche l’abusiva permanenza in esso contro la volontà di chi ha il diritto di escluderla e che, se il titolo di legittimazione all’accesso viene utilizzato dall’agente per finalità diverse da quelle consentite, dovrebbe ritenersi che la permanenza nel sistema informatico avvenga contro la volontà del titolare del diritto di esclusione>.

A dispetto del particolare rilievo che pare attribuirvi il ricorrente, la successiva sentenza delle Sezioni Unite (imputato S.), invece, non ha fatto altro che precisare, rispetto ad alcune incertezze interpretative (in effetti legate ad un contrasto tra due sole pronunzie di questa Sezione), la direzione esegetica di Sezioni Unite C. quanto, in particolare, alla rilevanza o meno della violazione di norme specifiche che disciplinassero l’accesso al sistema>.

 

La norma incriminatrice:

Art. 615 ter c.p. – Accesso abusivo ad un sistema informatico o telematico

Chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo, è punito con la reclusione fino a tre anni.

 La pena è della reclusione da uno a cinque anni:

1) se il fatto è commesso da un pubblico ufficiale o da un incaricato di un pubblico servizio, con abuso dei poteri o con violazione dei doveri inerenti alla funzione o al servizio, o da chi esercita anche abusivamente la professione di investigatore privato, o con abuso della qualità di operatore del sistema;

2) se il colpevole per commettere il fatto usa violenza sulle cose o alle persone, ovvero se è palesemente armato;

3) se dal fatto deriva la distruzione o il danneggiamento del sistema o l’interruzione totale o parziale del suo funzionamento, ovvero la distruzione o il danneggiamento dei dati, delle informazioni o dei programmi in esso contenuti.

Qualora i fatti di cui ai commi primo e secondo riguardino sistemi informatici o telematici di interesse militare o relativi all’ordine pubblico o alla sicurezza pubblica o alla sanità o alla protezione civile o comunque di interesse pubblico, la pena è, rispettivamente, della reclusione da uno a cinque anni e da tre a otto anni.

Nel caso previsto dal primo comma il delitto è punibile a querela della persona offesa; negli altri casi si procede d’ufficio.

 

Quadro giurisprudenziale di riferimento:

Cassazione penale sez. un., 24/10/2019, n.8544

Il mutamento giurisprudenziale determina una interpretazione retroattiva sfavorevole della norma penale solo qualora consista in una radicale innovazione della soluzione giurisprudenziale pregressa, inconciliabile con le precedenti decisioni, mentre non determina alcuna lesione dei diritti dell’imputato ove il mutamento si collochi nel solco di interventi già noti e risalenti, di cui costituisca uno sviluppo prefigurabile che di per sé rende l’esito conseguito comunque possibile, anche se non accolto dall’indirizzo maggioritario.

 

Cassazione penale sez. un., 18/05/2017, n.41210

Integra il delitto previsto dall’art. 615-ter, comma 2, n. 1, c.p. la condotta del pubblico ufficiale o dell’incaricato di un pubblico servizio che, pur essendo abilitato e pur non violando le prescrizioni formali impartite dal titolare di un sistema informatico o telematico protetto per delimitarne l’accesso (nella specie il Registro informatizzato delle notizie di reato, c.d. Re.Ge.), acceda o si mantenga nel sistema per ragioni ontologicamente estranee e comunque diverse rispetto a quelle per le quali, soltanto, la facoltà di accesso gli è attribuita. (Nella specie, la S.C. ha ritenuto immune da censure la condanna ad un funzionario di cancelleria, il quale, sebbene legittimato ad accedere al Registro informatizzato delle notizie di reato, conformemente alle disposizioni organizzative della Procura della Repubblica presso cui prestava servizio, aveva preso visione dei dati relativi ad un procedimento penale per ragioni estranee allo svolgimento delle proprie funzioni, in tal modo realizzando un’ipotesi di sviamento di potere) .

 

Cassazione penale sez. un., 27/10/2011, n.4694

Integra il delitto previsto dall’art. 615 ter c.p. colui che, pur essendo abilitato, acceda o si mantenga in un sistema informatico o telematico protetto violando le condizioni ed i limiti risultanti dal complesso delle prescrizioni impartite dal titolare del sistema per delimitarne oggettivamente l’accesso, rimanendo invece irrilevanti, ai fini della sussistenza del reato, gli scopi e le finalità che abbiano soggettivamente motivato l’ingresso nel sistema.

 

Cassazione penale sez. V, 22/09/2010, n.39620

Non sussiste il reato di falso ideologico in atti pubblici ma piuttosto quello di cui all’art. 615 ter c.p. (accesso abusivo ad un sistema informatico o telematico), nel caso di un soggetto il quale, avvalendosi della “password” di cui era legittimamente in possesso, nella sua qualità di agente della polizia stradale addetto al terminale del centro operativo sezionale, abbia effettuato un’interrogazione simulando (senza tuttavia farne annotazione nell’apposito registro) l’esistenza della relativa richiesta da parte di un organo di polizia giudiziaria, in mancanza della quale l’accesso al sistema sarebbe stato comunque precluso.

 

Cassazione penale sez. V, 16/02/2010, n.19463

Integra il reato di accesso abusivo ad un sistema informatico o telematico (art. 615 ter c.p.) il pubblico ufficiale che, pur avendo titolo e formale legittimazione per accedere al sistema, vi si introduca su altrui istigazione criminosa nel contesto di un accordo di corruzione propria; in tal caso l’accesso del pubblico ufficiale – che, in seno ad un reato plurisoggettivo finalizzato alla commissione di atti contrari ai doveri d’ufficio (art. 319 c.p., diventi la “longa manus” del promotore del disegno delittuoso – è in sé abusivo e integrativo della fattispecie incriminatrice di cui all’art. 615 ter c.p., in quanto effettuato al di fuori dei compiti d’ufficio e preordinato all’adempimento dell’illecito accordo con il terzo, indipendentemente dalla permanenza nel sistema contro la volontà di chi ha il diritto di escluderlo.

By Claudio Ramelli© RIPRODUZIONE RISERVATA