Legislazione e Giurisprudenza, Generalità, varie -  Tonutti Stefania - 2015-03-31

ACCESSO ABUSIVO AD UN SISTEMA INFORMATICO : NON SEMPRE È REATO (Cass. Pen., sez. V, 10marzo2015, n. 10083)- S.Tonutti

art. 615ter c.p. "Accesso abusivo ad un sistema  informatico o telematico"

Cass. Pen., n. 10083/2015

Le Sezioni Unite hanno stabilito il principio di diritto secondo il quale integra la fattispecie criminosa di accesso abusivo ad un sistema informatico o telematico protetto, prevista dall'art. 615 ter c.p., la condotta di accesso o di mantenimento nel sistema posta in essere da soggetto, che pur essendo abilitato, violi le condizioni ed i limiti risultanti dal complesso delle prescrizioni impartite dal titolare del sistema per delimitarne oggettivamente l'accesso. Non hanno rilievo, invece, per la configurazione del reato, gli scopi e le finalità che soggettivamente hanno motivato l'ingresso nel sistema.

I FATTI:

L'imputato era socio e consigliere di amministrazione di una società e, in forza di tale qualità e quale operatore del sistema, era in possesso delle credenziali di accesso alle banche dati della predetta azienda; dopo la cessazione del rapporto di collaborazione con la società di appartenenza, essendo ancora in possesso delle credenziali personali, accedeva  abusivamente ALl sistema informatico della stessa, superando I sistemi di sicurezza, visualizzando files contenenti I dati riguardanti l'attività dell'azienda, anche duplicandone alcuni su supporto ottico (voleva infatti sfruttare le informazioni acquisite per far disdire ai clienti diverse polizze assicurative contratte presso l'Azienda) ; addirittura eliminava alcuni files del computer contenuti nell'hard disk aziendale, al fine di danneggiare economicamente la società.

Con sentenza di primo grado l'imputato veniva condannato in quanto ritenuto responsabile del reato di cui all'art. 615 ter c.p , comma 2, nn. 1 e 3; art. 81 cpv. cp; e art. 61 c.p. n. 7.

Art. 615 c.p. (Accesso abusivo ad un sistema informatico): «Chiunque abusivamente si introduce in un sistema informatico o telematico  protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo, è punito con la reclusione fino a tre anni.

La pena è della reclusione da uno a cinque anni:

1) se il fatto è commesso da un pubblico ufficiale o da un incaricato di un pubblico servizio, con abuso dei poteri, o con violazione dei doveri inerenti alla funzione o al servizio, o da chi esercita anche abusivamente la professione di investigatore privato, o con abuso della qualità di operatore del sistema;

2) se il colpevole per commettere il fatto usa violenza sulle cose o alle persone, ovvero se è palesemente armato;

3) se dal fatto deriva la distruzione o il danneggiamento del sistema o l'interruzione totale o parziale del suo funzionamento, ovvero la distruzione o il danneggiamento dei dati, delle informazioni o dei programmi in esso contenuti.»

La pronuncia veniva confermata anche dalla Corte d'Appello, in data 18 novembre 2013.

L'imputato ha quindi proposto ricorso per cassazione e rileva che la Corte territoriale è incorsa in un palese travisamento della prova, dando per certi fatti non dimostrati: il codice deontologico dei dipendenti aziendali «non esclude ex se nè la copia nè la duplicazione dei file, stabilendo invece un divieto solo a fronte di una copia "finalizzata a qualcosa di diverso dal consentito", lasciando pertanto lecita la condotta in senso oggettivo» Senza contare che I giudici non hanno dato importanza alle finalità per cui I files erano stati copiati, e soprattutto quando.

COSA DICE LA CASSAZIONE:

La Cassazione accoglie il ricorso.

Premessa: ai fini della configurabilità del reato di accesso abusivo ad un sistema informatico (art. 615 ter c.p.), nel caso di soggetto munito di regolare password, è necessario accertare il superamento, su un piano oggettivo, dei limiti e, pertanto, la violazione delle prescrizioni relative all'accesso ed al trattenimento nel sistema informatico, contenute in disposizioni organizzative impartite dal titolare dello stesso, indipendentemente dalle finalità soggettivamente perseguite (cfr. Sez. 5, n. 15054 del 22/02/2012 - dep. 18/04/2012, Crescenzi e altro, Rv. 252479). A riguardo di ciò, si legge nella sentenza, vi è stato un contrasto giurisprudenziale: secondo un orientamento (cfr. Cass. Sez. V, 7 novembre 2000, n. 12732; Cass. Sez. V, 8 luglio 2008, n. 37322), ad integrare la fattispecie di accesso abusivo ad un sistema informatico è non solo la condotta di chi vi si introduce senza le password,  ma anche quella di chi, pur munito di autorizzazione, utilizzi tale strumento per finalità diverse per le quali era stato autorizzato; secondo un altro orientamento, invece, (Cass., sez. VI, 8 ottobre 2008, n. 3290) sarebbe illecito solo il comportamento di chi accede abusivamente (senza le credenziali), ciò che conta è che il soggetto si autorizzato, indipendentemente dalle finalità.

Sono perciò intervenute le Sezioni Unite a dirimere tale contrasto: secondo il loro orientamento «la questione non può essere riguardata sotto il profilo delle finalità perseguite da colui che accede o si mantiene nel sistema, in quanto la volontà del titolare del diritto di escluderlo si connette soltanto al dato oggettivo della permanenza dell'agente nel sistema informatico. Ciò che rileva è, quindi, il profilo oggettivo dell'accesso e del trattenimento nel sistema informatico da parte di un soggetto che non può ritenersi autorizzato ad accedervi ed a permanervi sia quando violi I limiti risultanti dal complesso delle prescrizioni impartite dal titolare del sistema, sia quando ponga in essere operazioni ontologicamente diverse da quelle di cui egli è incaricato ed in relazione alle quali l'accesso era a lui consentito.»

Rilevante deve quindi ritenersi il profilo oggettivo dell'accesso da parte di un soggetto non autorizzato, «sia allorquando violi i limiti risultanti dal complesso delle prescrizioni impartite dal titolare del sistema, [...] sia allorquando ponga in essere operazioni di natura ontologicamente diversa da quelle di cui è incaricato ed in relazione alle quali l'accesso era a lui consentito».

Dunque, secondo la Corte, il reato di accesso abusivo (a sistema informatico) si configura quando il spggetto (legittimato ad accedere ad un sistema informatico) penetra illecitamente vietando le condizioni alle quali era subordinato tale accesso, condizioni che sono dettate, nel caso di specie, dal titolare della banca dati dell'azienda medesima. Ne deriva che , nei casi in cui l'agente compia un accesso dietro autorizzazione ricevuta, ed agisce nei limiti di questa, il reato ex art. 615 c.p. non sussiste, a prescindere dallo scopo conseguito (anche se egli poi si dovesse servire dei dati per finalità illecite).

Il ricorrente qui ha sostenuto la legittimità del suo accesso al sistema informatico della sua ex società  essendo in possesso delle credenziali in quanto nel periodo contemplato dalla contestazione egli esercitava ancora attività lavorativa per la suddetta Azienda, sottolineando anche che il codice aziendale statuisce che è vietato copiare o duplicare I files di proprietà dell'Azienda «per finalità che esulano dal trattamento dei dati di propria competenza o dalla semplice copia di backup degli stessi. In nessun caso tali dati potranno essere portati all'esterno della società su qualunque tipo di supporto di memorizzazione, ivi compreso l'invio per posta elettronica ad eccezione di specifiche autorizzazioni del Responsabile EDP". Ora: è evidente che la norma riportata non escluda tout court nè la copia nè la duplicazione dei file; fa divieto, invece, solo di copia o duplicazione "per finalità che esulano dal trattamento dei dati di propria competenza o dalla semplice copia di backup degli stessi", lasciando pertanto lecita la condotta in senso oggettivo.

Nelle considerazioni su cui si basa la condanna dell'imputato, prosegue la Corte, non vi sono prove certe del periodo in cui egli avrebbe scaricato e copiato I files dall'archivio, e soprattutto di che tipo: nel caso in esame sono perciò state date delle motivazioni insufficienti e disarticolate

La Corte annulla la sentenza impugnata con rinvio ad altra sezione della Corte di Appello di Milano per nuovo esame



Autore

immagine A3M

Visite, contatti P&D

Nel mese di agosto 2020 Persona & Danno ha registrato oltre 241.000 visite.

Articoli correlati