Accesso abusivo a sistema informatico e violazione della corrispondenza per l’operatore di sistema che accede illecitamente ai contenuti della corrispondenza elettronica riservata.

Questo è  il principio di diritto fissato con la sentenza numero 23158/2025, depositata il 20 giugno 2025 (udienza 29.04.2025), resa dalla Corte di cassazione, Sezione V Penale, che è tornata a pronunciarsi sul perimetro punitivo dei delitti di accesso abusivo a sistema informatico e violazione della corrispondenza esaminando un caso, tutt’altro che infrequente in ambito aziendale, di illecita intromissione nel sistema di posta elettronica altrui per finalità del tutto estranee agli interessi fisiologici dell’attività di impresa.

La sentenza è interessante perché, ancora una volta, ribadisce il principio secondo il quale la riservatezza delle comunicazioni tra dipendenti dell’impresa, oltre alla tutela giuslavoristica che presiede al fisiologico svolgimento dei rapporti di lavoro, è presidiata anche da un apparato sanzionatorio di carattere penale, che punisce la condotta di illecita intromissione nella sfera privata del lavoratore.

Ricade quindi sulla difesa l’onere processuale di allegazione ed articolazione della prova testimoniale, documentale, o di natura tecnica con nomina di un consulente informatico,  del fatto liberatorio che configura una scriminante, sotto il profilo dell’esercizio di un diritto superiore, rispetto al fatto astrattamente illecito.

Il fatto addebitato, le imputazioni e l’esito dei giudizi di merito

Nel caso esaminato dalla Cassazione, i giudici del primo e del secondo grado del giudizio avevano, con giudizio concorde, condannato l’imputato, rinviato a giudizio per il reato di accesso abusivo a sistema informatico, per essersi, con più azioni esecutive di un medesimo disegno criminoso, introdotto abusivamente nel sistema al fine di prendere cognizione del contenuto della corrispondenza riservata riferita alle trattative delle società per la revoca del precedente amministratore.

Il reato informatico previsto e punito dall’art. 615 ter cod. pen. nelle sentenze del doppio grado di merito era stato qualificato come aggravato sia perché commesso dall’imputato nella sua qualità di operatore del sistema, sia in relazione al danneggiamento del sistema informatico dovuto a un cambio password che aveva impedito la normale consultazione della posta elettronica da parte dei titolari dei singoli account.

La medesima condotta illecita, secondo l’editto accusatorio recepito dai giudici di merito, aveva determinato, altresì, la consumazione del delitto di violazione della corrispondenza (art. 616, commi primo e quarto cod. pen.) per avere l’imputato illecitamente preso cognizione del contenuto della corrispondenza telematica riservata.

La linea difensiva ed il ricorso per cassazione

La difesa dell’imputato, con il ricorso per cassazione, per quanto di interesse ai fini della presente nota, aveva dedotto, tra i vari motivi di doglianza, vizio di legge e di motivazione della sentenza di appello sotto i seguenti profili:

  • Insussistenza del reato di accesso abusivo a sistema informatico perché i messaggi scaricati erano stati selezionati secondo un criterio temporale preciso e proporzionato, propedeutico a un legittimo controllo; molti di questi messaggi vedevano come destinatario lo stesso imputato e comunque nessun messaggio è stato diffuso a terzi o utilizzato altrimenti.
  • In relazione al reato di violazione della corrispondenza non sarebbero stati violati i canoni della proporzionalità e dell’adeguatezza nell’acquisizione della corrispondenza telematica.
  • Infine, con riferimento alla circostanza aggravante del danneggiamento al sistema contestata di cui all’art. 615 ter comma secondo n. 3 cod. pen., la difesa ha lamentato la mancata corretta applicazione da parte della Corte territoriale dei principi di legittimità espressi con la sentenza Sez. V n. 460 del 15/11/2022, Rv.283814, secondo cui l’alterazione del sistema informatico deve riguardare una componente essenziale dello stesso che lo rende temporaneamente inidoneo al funzionamento.

 

La decisione della Suprema Corte ed i principi di diritto

La Suprema Corte ha ritenuto infondate le superiori doglianze rigettando il ricorso.

Di seguito si riportano i segmenti di motivazione di interesse ai fini della presente nota contenenti i relativi riferimenti giurisprudenziali.

  • Gli elementi costitutivi del reato di accesso abusivo a sistema informatico e la punibilità anche dell’operatore autorizzato a gestirlo.

La giurisprudenza di questa Corte a Sezioni Unite, in una pronuncia anteriore rispetto all’accadimento dei fatti in contestazione, modificando il precedente orientamento, ha stabilito che integra il delitto previsto dall’art. 615- ter cod. pen. l’accesso di colui che, pur essendo abilitato e pur non violando le prescrizioni formali impartite dal titolare di un sistema informatico o telematico protetto per delimitarne l’accesso, acceda o si mantenga nel sistema per ragioni ontologicamente estranee rispetto a quelle per le quali la facoltà di accesso gli è attribuita. (Sez. U, n. 41210 del 18/05/2017, Savarese, Rv. 271061 – 01).

Nel caso di specie la Corte territoriale (p.32) con motivazione immune da vizi ha chiarito che le attività informatiche poste in essere dall’imputato non costituivano generici controlli volti a verificare la diligenza nell’espletamento della sua attività lavorativa, ma costituivano un “controllo difensivo in senso stretto”.

Tale peculiare tipologia di controlli – avuto riguardo all’art. 4 dello Statuto dei lavoratori – può essere svolta solo a condizione che siano rispettati i principi di proporzionalità e ragionevolezza del trattamento dei dati personali dei lavoratori.

Il rigoroso limite all’utilizzo delle forme di controllo telematiche sui lavoratori.

La giurisprudenza di questa Corte, espressamente richiamata dalla sentenza impugnata, ha affermato che in tema di cd. sistemi difensivi, sono consentiti controlli anche tecnologici posti in essere dal datore di lavoro finalizzati alla tutela di beni estranei al rapporto di lavoro o ad evitare comportamenti illeciti, in presenza di un fondato sospetto circa la commissione di un illecito, purché sia assicurato un corretto bilanciamento tra le esigenze di protezione di interessi e beni aziendali, correlate alla libertà di iniziativa economica, rispetto alle imprescindibili tutele della dignità e della riservatezza del lavoratore, sempre che il controllo riguardi dati acquisiti successivamente all’insorgere del sospetto (Cass. Sez. L., n. 25732 del 22/09/2021, Rv. 662328 – 01).

La sentenza impugnata, contrariamente a quanto indicato nel ricorso, ha operato buon governo di detti principi, dal momento che ha indicato le circostanze di fatto che permettevano di ritenere l’accesso privo dei requisiti di ragionevolezza e proporzionalità (p.31) e precisamente: L’accesso alla posta elettronica aziendale ha riguardato anche un ex dipendente della società, per visualizzare la corrispondenza tra quest’ultimo e [parte mancante, verificare fonte]. L’accesso alla casella di [parte mancante, verificare fonte], visualizzandone 97, è avvenuto scaricando 1542 messaggi e le ulteriori doglianze sullo specifico punto appaiono versate in fatto, a fronte di una motivazione che in quanto non manifestamente illogica, né contraddittoria è insindacabile in sede di legittimità”.

  • Il reato di violazione della corrispondenza concorre e non è assorbito dall’accesso abusivo a sistema informatico.

Quanto alla sussistenza della fattispecie di cui all’art. 616 cod. pen. (capo B), secondo questa Corte, nel caso di accesso abusivo ad una casella di posta elettronica protetta da “password”, è configurabile il delitto di accesso abusivo ad un sistema informatico che concorre con quello di violazione di corrispondenza, in relazione all’acquisizione del contenuto delle “mail” custodite nell’archivio (Sez. 5, n. 18284 del 25/03/2019, Zumbo, Rv. 275914- 01).

Le indicazioni della giurisprudenza di legittimità consentono anche nel caso di specie, di riconoscere il concorso formale delle due fattispecie incriminatrici con la conseguenza che non può ritenersi motivazione apparente quella della Corte territoriale che, dopo avere accertato la sussistenza della condotta materiale di cui al capo A, ha ravvisato la sussistenza anche della fattispecie di cui al capo B)”.

  • La modifica della password configura l’aggravante del danneggiamento al sistema informatico.

Infondata risulta l’ulteriore censura relativa alla sussistenza della circostanza aggravante di cui all’art. 615 ter comma secondo n. 3 cod. pen.

Sullo specifico punto, infatti, la sentenza impugnata correttamente richiama le indicazioni di questa Corte secondo cui in tema di accesso abusivo a un sistema informatico o telematico, è configurabile l’aggravante di cui all’art. 615-ter, comma secondo, n. 3 cod. pen., nel caso di modifica della “password” d’accesso alla casella di posta elettronica e delle credenziali di recupero della medesima, determinandosi l’alterazione di una componente essenziale del sistema informatico che lo rende temporaneamente inidoneo al funzionamento. (Sez. V, n. 46076 del 15/11/2022, Perna, Rv. 283814).

La Corte territoriale chiarisce come nel caso di specie sia applicabile la medesima ratio sottesa alla decisione richiamata: la modifica della password non impedisce, tramite un procedimento di recupero delle credenziali, di accedere nuovamente alla casella di posta elettronica bloccata da tale modifica, ma è oggettivamente idonea per un lasso di tempo più o meno breve a seconda delle competenze informatiche della persona offesa ad impedire all’utente titolare della casella di farvi nuovamente accesso nell’immediatezza del reato (p.34 sent. impugnata).

Nel caso di specie la modifica apportata al sistema, pur se reversibile, ha egualmente impedito l’utilizzo dell’applicativo agli altri utenti attivi sulla piattaforma aziendale per un lungo periodo e precisamente dal 13 dicembre 2018 al 16 aprile 2019, data in cui la disabilitazione è stata scoperta e invertita ad opera dei tecnici della società”.

*****

Per eventuali approfondimenti sul reato di accesso abusivo al sistema informatico:

(I) https://studiolegaleramelli.it/2024/05/23/nel-reato-di-accesso-abusivo-al-sistema-informatico-il-diritto-di-querela-spetta-alla-societa-proprietaria-del-sistema-ed-alla-persona-titolare-della-posizione-informatica-violata/

(II) https://studiolegaleramelli.it/2025/02/03/condanna-per-accesso-abusivo-a-sistema-informatico-e-violazione-della-corrispondenza-per-lex-convivente-che-produce-in-giudizio-messaggi-privati-presenti-sul-telefono-della-controparte/

(III) https://studiolegaleramelli.it/2024/11/05/accesso-abusivo-a-sistema-informatico-per-il-superiore-gerarchico-che-utilizza-le-credenziali-di-un-suo-sottoposto/

(IV) https://studiolegaleramelli.it/2023/04/28/accesso-abusivo-al-sistema-informatico-per-il-maresciallo-dei-carabinieri-che-accede-alla-banca-dati-interforze-senza-ragioni-investigative/

(V) https://studiolegaleramelli.it/2022/12/15/la-sostituzione-delle-credenziali-della-mail-contro-la-volonta-dellavente-diritto-configura-la-forma-aggravata-del-reato-di-accesso-abusivo-ad-un-sistema-informatico/

(VI) https://studiolegaleramelli.it/2022/05/16/condanna-per-accesso-abusivo-a-sistema-informatico-e-frode-informatica-anche-per-limputato-che-materialmente-interviene-solo-la-fase-della-truffa-se-risulta-consapevole-della-pregressa-illeci/

(VII) https://studiolegaleramelli.it/2021/05/04/accesso-abusivo-a-sistema-informatico-per-chi-si-introduce-nel-cassetto-fiscale-altrui-nonostante-la-contraria-volonta-del-titolare-del-diritto-dimostrata-dalla-modifica-della-password-precedentemente/

(VIII) https://studiolegaleramelli.it/2021/01/03/accesso-abusivo-a-sistema-informatico-o-telematico-integra-la-fattispecie-penale-anche-la-condotta-del-commercialista-che-si-introduca-nel-sistema-home-banking-della-societa-cliente-per-ragioni-estra/

(IX) https://studiolegaleramelli.it/2020/12/06/risponde-di-accesso-abusivo-a-sistema-informatico-lassociato-che-si-introduca-nel-sistema-informatico-dello-studio-professionale-effettuando-il-back-up-dei-dati-da-utilizzare-per-trarne-una-u/

(X) https://studiolegaleramelli.it/2020/09/24/accesso-abusivo-a-sistema-informatico-risponde-del-reato-informatico-il-sottufficiale-della-g-d-f-di-finanza-che-si-introduce-nel-sistema-sdi-per-reperire-informazioni-al-di-fuori-dei-limiti-e-delle/

(XI) https://studiolegaleramelli.it/2020/06/16/configura-concorso-nel-reato-di-accesso-abusivo-la-condotta-di-chi-apra-conti-correnti-postali-sui-quali-affluiscono-somme-prelevate-da-conti-correnti-o-da-carte-poste-pay-di-soggetti-terzi-vittime-di/

(XII) https://studiolegaleramelli.it/2019/09/24/commette-il-reato-di-accesso-abusivo-lagente-abilitato-allaccesso-nel-sistema-informatico-che-abusi-delle-proprie-funzioni-per-perseguire-scopi-personali/

(XIII) https://studiolegaleramelli.it/2018/08/01/accesso-abusivo-al-sistema-informatico-per-la-cassazione-e-sufficiente-la-prova-dellip-per-individuare-lautore-del-reato/

*****

Hai un caso simile o desideri approfondire le implicazioni di questa sentenza per la tua situazione?

Contatta lo Studio Ramelli per una consulenza personalizzata in materia di reati informatici.