Accesso abusivo ad un sistema informatico: l’aggravante dell’abuso della qualità di operatore del sistema non può essere ascritta al semplice utente abilitato ad accedervi

Si segnala ai lettori del sito la sentenza numero 7775/2022 – depositata il 03.03.2022, resa dalla Corte di Cassazione, sezione quinta penale, che, pronunciatasi su una incolpazione di accesso abusivo ad un sistema informatico, si è soffermata sul tema della qualità soggettiva che deve ricoprire l’autore del reato affinchè si possa configurare l’aggravante prevista dall’art. 615 ter, secondo comma n.1 cod. pen. vale a dire l’abuso della qualità di operatore di sistema.

Secondo l’interpretazione offerta dal Supremo Consesso che ha accolto uno dei motivi di ricorso, la superiore aggravante non può essere ascritta al semplice operatore che accede al sistema informatico tramite password, malgrado abbia operato illecitamente ben oltre il perimetro della sua autorizzazione, perché la ricorrenza dell’aggravante prevista dalla norma incriminatrice presuppone che il reo abbia anche l’autorizzazione ad operare sul sistema potendone modificare contenuti e struttura, a differenza del mero fruitore (come l’imputato nel caso oggetto dello scrutinio di legittimità) che poteva utilizzare solo i contenuti presenti sulla piattaforma.

I reati contestati ed il doppio giudizio di merito.

Nel caso di specie, l’imputato era stato tratto a giudizio per il reato di accesso abusivo ad un sistema informatico, commesso nella qualità di addetto alle vendite e alla commercializzazione dei tessuti di una società di capitali e di rivelazione di segreto professionale ai danni della medesima persona giuridica.

Il primo delitto era stato contestato nella forma aggravata, prevista e punita dall’art. 615 ter, secondo comma n.1 cod. pen. per avere abusato l’imputato della propria qualità di operatore del sistema.

In particolare, secondo quanto è dato riscostruire dalla lettura della sentenza commento, l’imputato si era introdotto abusivamente nel sistema informatico aziendale in epoca prossima al termine del suo rapporto di lavoro con la suddetta società attraverso un’utenza di amministratore di sistema, una volta venuto a conoscenza delle relative credenziali di accesso, destinate altrimenti a rimanere segrete per espressa direttiva aziendale.

Effettuato l’accesso al sistema informatico copiava quindi su supporti informatici esterni diversi dati salvati sul server aziendale, in violazione di espresso divieto in tal senso.

Successivamente, una volta cessato il rapporto di lavoro alle dipendenze della società, avendo in precedenza acquisito l’elenco dei clienti e delle relative offerte della predetta società, divulgava illecitamente tali informazioni ad una società concorrente presso cui era stato nel frattempo assunto.

La Corte d’Appello di Milano confermava la sentenza di condanna pronunciata in primo grado dal locale Tribunale.

Il ricorso per cassazione, il giudizio di legittimità e il principio di diritto.

La difesa del giudicabile proponeva ricorso per cassazione avverso la decisione della Corte territoriale articolando plurimi motivi di impugnazione, contestando, per quanto qui di interesse, la sussistenza dell’aggravante ritenuta provata, in fatto ed in diritto, nel doppio grado di merito.

La Suprema Corte ha annullato la sentenza impugnata limitatamente alla sussistenza dell’aggravante, rinviando alla Corte territoriale per la rideterminazione del trattamento sanzionatorio.

Di seguito si riportano i passaggi più significativi tratti dalla trama argomentativa della pronuncia in commento:

“Ciò considerato, l’operatore del sistema di cui tratta il secondo comma dell’art. 615-ter non può pertanto identificarsi semplicemente con colui che è legittimato ad accedere al sistema, in quanto tale figura soggettiva è già considerata nel comma precedente tra i potenziali autori del reato base, come aveva già osservato la sentenza Romano, traendone però conseguenze sul piano ricostruttivo e sistematico, come detto, non condivisibili.

In altri termini, l’adozione di una definizione estesa della nozione di “operatore” finirebbe per dissolvere la specificità della fattispecie aggravante – che non è legata ad una particolare connotazione accessoria del fatto materiale, ma per l’appunto alla peculiarità della qualifica soggettiva del suo autore — facendo perdere di significato la sua stessa previsione.

Ma la via segnata dalle citate pronunzie delle Sezioni Unite non porta necessariamente a concludere, come invece preteso dal ricorrente, che l’aggravante di specie si applichi al solo “amministratore del sistema”, ossia soltanto al soggetto che esercita la completa sovranità su di esso, posto che tale conclusione non trova alcun ancoraggio nella lettera della norma, né ha qualche giustificazione sul piano sistematico.

L’operatore del sistema non è dunque colui che semplicemente opera “nel” o “con” il sistema, come nel caso anche del mero utente abilitato ad accedere ad una banca dati, ma è colui che è autorizzato ad operare “sul” sistema.

L’operatore è, in definitiva, il soggetto che viene abilitato a modificare i contenuti o la struttura del sistema ovvero di una sua parte, con esclusione dunque di chi viene semplicemente autorizzato a fruire dei suddetti contenuti.

Al contempo l’attribuzione della qualifica non necessariamente comporta anche quella della titolarità di poteri decisori sulla gestione di tali contenuti o sulla configurazione del sistema, potendo invece essergli riconosciuti anche compiti meramente esecutivi.

In breve, anche colui che nel gergo informatico viene definito “amministratore di sistema” è ai fini dell’art. 615-ter comma 2 c.p. un “operatore del sistema”, ma, non necessariamente le due nozioni coincidono risultando quella contenuta nella legge penale più ampia.

Tale conclusione appare maggiormente aderente al significato letterale del termine dispiegato dal legislatore ed alla ratio della previsione di una aggravante dedicata alla figura dell’operatore del sistema, da rinvenirsi nella maggiore riprovevolezza e gravità della condotta di chi si trova in un rapporto privilegiato con il sistema che ne agevola l’abuso, violando al contempo l’obbligo di fedeltà nei confronto del soggetto che tali privilegi ha concesso (cfr. Sez. 2, Sentenza n. 17318 del 05/04/2019, Dumitrache, Rv. 276623, relativa all’analoga aggravante prevista dall’art. 640-ter c.p.).

Ciò detto, deve escludersi che il [omissis] avesse, all’epoca dei fatti, la qualifica di “operatore del sistema informatico” della [omissis s.p.a.].

Dalla ricostruzione accolta in entrambe le sentenze di merito, infatti, risulta che l’imputato era legittimato ad entrare nel sistema informatico utilizzando un profilo con accesso limitato ai suoi contenuti, all’esecuzione di determinati programmi installati sulla macchina e all’uso di periferiche di memoria esterne, senza alcun effettivo potere di intervenire sui contenuti e sulla struttura del sistema medesimo”