Accesso abusivo del dipendente autorizzato: condanna annullata
La Corte di Cassazione chiarisce che il reato di accesso abusivo ad un sistema informatico protetto, da parte di chi è oggettivamente autorizzato, è punibile solo ove egli si mantenga all’interno di tale sistema violando le condizioni ed i limiti risultanti dal complesso delle prescrizioni impartite dal titolare del sistema, essendo irrilevanti, per la configurabilità del reato di cui all’art. 615 ter c.p., gli scopi e le finalità soggettivamente perseguiti dall’agente così come l’impiego successivo dei dati eventualmente ottenuti. (Corte di Cassazione, Sezione V Penale, sentenza n. 10083/15 del 31.10.2014, depositata il 10.03.2015).
La sentenza, emessa alla fine dello scorso anno, potrebbe far discutere, poiché sostiene l’irrilevanza, ai fini dell’integrazione della fattispecie, di finalità ulteriori ed illecite in capo al dipendente: ciò che conta, per addebitare l’illecito in oggetto, è l’agente deve aver violato chiare norme regolamentari che ne delimitino l’attività sui sistemi aziendali. Tuttavia, la lettura delle motivazioni, depositate solo all’inizio di questo mese, aiuta a meglio comprendere la ratio dell’annullamento della sentenza di condanna e definisce, ulteriormente rispetto alle precedenti occasioni di intervento della Suprema Corte, l’importanza di una chiara politica di sicurezza informatica e aziendale.
L’imputato, ex-socio e consigliere di amministrazione di una società di broker assicurativi e in forza di tale qualità e quale operatore del sistema, era in possesso delle credenziali di accesso alle banche dati aziendali. A seguito della comunicazione dell’interruzione del rapporto di collaborazione, accedeva con le proprie credenziali e si manteneva nel sistema informatico, al fine di visualizzare files contenenti i dati riguardanti l’attività dell’azienda e, più nello specifico, i nominativi dei clienti che avevano contratto polizze con la società. Successivamente duplicava parte di tali files su supporto ottico – utilizzandoli, secondo l’accusa, per la sua nuova attività professionale – ed infine eliminava diversi documenti a carattere professionale, contenuti sulla memoria del computer in uso e di proprietà dell’azienda. Oltre alla condanna penale, l’imputato era stato condannato al risarcimento del danno in favore della società, costituitasi parte civile, e al pagamento di una provvisionale immediatamente esecutiva. Secondo il ricorrente tuttavia, la sentenza d’appello che lo aveva confermato colpevole di accesso abusivo a sistema informatico, ai sensi dell’art. 615 ter c.p., aveva ritenuto apoditticamente che il regolamento aziendale per l’utilizzo delle risorse informatiche vietasse le condotte asseritamente addebitate, mentre tale documento non escludeva specificamente né la copia né la duplicazione dei files, lasciando pertanto lecita la condotta in senso oggettivo.
E’ noto che la fattispecie in oggetto punisce le condotte che si caratterizzano per l’introduzione abusiva in un sistema informatico o telematico protetto da misure di sicurezza, effettuato sia a distanza, sia da persona che si trovi a diretto contatto con l’elaboratore elettronico, così come le condotte che si concretano nel mantenimento nel sistema contro la volontà, espressa o tacita, del titolare dello ius excludendi. Di regola, tale volontà si manifesta mediante l’apposizione di misure di sicurezza logiche che assolvono la funzione di manifestare l’intenzione di impedire la diffusione a persone non autorizzate, oppure richiedendo specifiche prescrizioni comportamentali per l’utente o per mezzo di qualsiasi altro meccanismo selettivo dei soggetti abilitati. Ma quando ad accedere è un dipendente o, come nel caso di specie, persino un dirigente – per lo più amministratore di sistema – il quale, benchè abbia da poco appreso del termine della collaborazione, è ancora oggettivamente autorizzato alla visione ed alla copia, ipoteticamente per finalità lecite quali il backup dei dati?
Premesso che, ai fini della configurabilità del reato di accesso abusivo ad un sistema informatico nel caso di soggetto munito di credenziali aziendali, è necessario accertare “il superamento e la violazione, su un piano oggettivo, delle prescrizioni relative all’accesso ed al trattenimento nel sistema informatico, contenute in disposizioni organizzative impartite dal titolare dello stesso, indipendentemente dalle finalità soggettivamente perseguite” (così Cass., sez. V, 22 febbraio 2012, n. 15054), era sorto in passato un contrasto giurisprudenziale: secondo un primo orientamento si considerava integrata la fattispecie non solo in presenza della condotta di chi vi si introduca essendo privo di codice di accesso, ma anche quella di chi, autorizzato all’accesso per una determinata finalità, utilizzasse il titolo di legittimazione per una finalità diversa e, quindi non rispettasse le condizioni alle quali era subordinato l’accesso (Cass., sez. V, 7 novembre 2000, n. 12732; Cass., sez. V, 8 luglio 2008, n. 37322), mentre differenti pronunce, in aderenza ad un opposto e forse più riduttivo principio interpretativo, avevano ritenuto illecito il solo accesso oggettivamente abusivo, mentre sempre e comunque lecito veniva considerato l’accesso del soggetto abilitato, ancorché effettuato per finalità estranee a quelle dell’ufficio, persino quando illecite (Cass., sez. V, 20 dicembre 2007, n. 2534; Cass., sez. , 29 maggio 2008, n. 26797; Cass., sez. VI; 8 ottobre 2008, n. 3290). Il contrasto in parola, tuttavia, è stato successivamente affrontato e risolto dalle Sezioni Unite della Suprema Corte (Cass., sez. un., 27 ottobre 2011, n. 4694), secondo cui “sono indifferenti le finalità perseguite da colui che accede o si mantiene nel sistema, in quanto la volontà del titolare del diritto di esclusione si connette soltanto al dato oggettivo della permanenza dell’agente nel sistema informatico, rilevando il solo profilo oggettivo dell’accesso e del trattenimento nel sistema informatico da parte di un soggetto che non può ritenersi autorizzato ad accedervi ed a permanervi sia quando violi i limiti risultanti dal complesso delle prescrizioni impartite dal titolare del sistema, sia quando ponga in essere operazioni ontologicamente diverse da quelle di cui egli è incaricato ed in relazione alle quali l’accesso era a lui consentito”. Secondo le Sezioni Unite, dunque, rilevante per la sussistenza del reato deve ritenersi il profilo oggettivo dell’accesso e del trattenimento nel sistema informatico da parte di un soggetto che sostanzialmente non può ritenersi autorizzato ad accedervi ed a permanervi, sia allorquando violi i limiti risultanti dal complesso delle prescrizioni impartite dal titolare del sistema (nozione specificata, da parte della dottrina, con riferimento alla violazione delle prescrizioni contenute in disposizioni organizzative interne, in prassi aziendali o in clausole di contratti individuali di lavoro), sia allorquando ponga in essere operazioni di natura ontologicamente diversa da quelle di cui egli è incaricato ed in relazione alle quali l’accesso era a lui consentito.
Queste considerazioni, dunque, impongono che quando si contesta ad un soggetto, di per sé abilitato all’accesso da un sistema informatico protetto – ad esempio, perché, come nel caso di specie, in possesso delle necessarie credenziali di accesso – bisogna prescindere dalla circostanza inerente l’utilizzo che l’accusato possa fare dei dati acquisiti, anche se tale utilizzo possa sembrare illecito o comunque civilmente illegittimo. Ciò che occorre verificare è se l’accesso fosse o meno legittimo al momento dei fatti, “riscontrando la sussistenza di eventuali violazioni delle condizioni e dei limiti risultanti dal complesso delle prescrizioni impartite dal titolare del sistema per delimitarne oggettivamente l’accesso” (come già statuito da Cass., sez. V, 18 dicembre 2012, n. 18497). Nel caso oggetto della sentenza in commento, tale accertamento, nel corso dei giudizi di merito, è risultato completamente omesso, pur essendo invece assolutamente necessario. Infatti, il regolamento aziendale della persona giuridica parte lesa, per quanto dimostrato dalla stessa parte civile con produzione documentale nel corso del dibattimento di primo grado, statuiva che era assolutamente vietato “copiare o duplicare files di dati di proprietà per finalità che esulano dal trattamento dei dati di propria competenza o dalla semplice copia di backup degli stessi” ed in nessun caso tali dati potevano essere portati all’esterno della società su qualunque tipo di supporto di memorizzazione, con il che non essendo esclusa tout court né la copia né la duplicazione dei file, ma solo la copia o duplicazione per finalità che esulassero dal trattamento dei dati di propria competenza o dalla semplice copia di backup degli stessi. Nonostante ciò, nelle decisioni di condanna non era stato assolutamente esaminato il profilo attinente le ragioni per cui l’imputato avesse duplicato i files, né era stata fornita alcuna prova circa il fatto che tale condotta non rientrasse nelle finalità del trattamento dei dati di competenza dello stesso accusato. Tale circostanza ha imposto l’annullamento della decisione impugnata con rinvio ad altro giudice per un esame relativamente al suddetto profilo.
Dirimente, pertanto, sembra diventare la previsione, in seno alle aziende, di un chiaro ed esaustivo regolamento per l’utilizzo degli strumenti e dei dispositivi informatici: il soggetto che sia, infatti, in astratto legittimato ad accedere ad un sistema informatico, penetra illecitamente nello stesso solo ed esclusivamente se viola le specifiche condizioni alla cui sussistenza è subordinato il suo (consentito) accesso nel sistema medesimo. Ne deriva che, nei casi in cui l’agente compia sul sistema un’operazione pienamente assentita dall’autorizzazione ricevuta, ed agisca nei limiti di questa, il reato di cui all’art. 615-ter c.p. non è configurabile, a prescindere dallo scopo eventualmente perseguito, sicché qualora l’attività autorizzata consista anche nella acquisizione di dati informatici e l’operatore la esegua nei limiti e nelle forme consentiti dal titolare dello ius excludendi, il delitto in esame non è sussistente anche se degli stessi dati egli si dovesse poi servire per finalità illecite.