Il concetto di “abusività” penalmente rilevante dell’accesso del lavoratore abilitato al sistema informatico o telematico protetto dal titolare

Massima

In tema di ricostruzione del reato di accesso abusivo al sistema informatico o telematico, la Suprema Corte ha avallato il filone ermeneutico di legittimità che riconosce che «integra il delitto previsto dall'art. 615-ter c.p. l'accesso di colui che, pur essendo abilitato e pur non violando le prescrizioni formali impartite dal titolare di un sistema informatico o telematico protetto per delimitarne l'accesso, acceda o si mantenga nel sistema per ragioni ontologicamente estranee rispetto a quelle per le quali la facoltà di accesso gli è attribuita».

Il caso

La Corte di cassazione, rigettando il ricorso presentato dall’imputato avverso la sentenza della Corte di Appello di Milano, ha confermato la pronuncia di condanna emessa nei confronti dell’impiegato di una società per essersi introdotto abusivamente nel sistema informatico al fine di prendere cognizione del contenuto di corrispondenza telematica riservata dell’amministratore della società in relazione alle trattative per la revoca del precedente amministratore e la nomina di quest’ultimo, con l’aggravante del nesso teleologico e di aver commesso il fatto con abuso della qualità di operatore di sistema e dell’aver danneggiato il sistema informatico.

La questione

Nel caso di specie, la questione affrontata dalla Suprema Corte riguarda l'opportunità di riconoscere la responsabilità penale per il reato di cui all'art. 615-ter c.p.a carico del soggetto che fosse comunque abilitato all'accesso al sistema informatico o telematico violato e che non avesse violato le prescrizioni formali impartite dal titolare del sistema protetto.

Le soluzioni giuridiche

La Sezione Quinta della Corte di cassazione aderisce all'orientamento della giurisprudenza di legittimità delle Sezioni Unite in materia di accesso abusivo al sistema informatico o telematico da parte di chi fosse abilitato e non avesse violato le prescrizioni formali impartite dal titolare del sistema informatico o telematico protetto per delimitarne l'accesso.

Invero, il comportamento del soggetto, impiegato di una società e già incaricato di accedere al sistema informatico o telematico protetto, integra il reato di cui all'art. 615-ter c.p. quando l'autore abbia fatto accesso o si sia mantenuto nel sistema per ragioni ontologicamente estranee rispetto a quelle per le quali la facoltà di accesso gli era stata attribuita.

In particolare, le attività informatiche poste in essere dal dipendente non corrispondono a controlli generici finalizzati all'espletamento della propria attività lavorativa, ma consistono in un controllo stricto sensu difensivo dell'autore dell'accesso, ben oltre i principi di ragionevolezza e proporzionalità richiesti in materia di trattamento dei dati personali dei lavoratori per la ricorrenza della scriminante dell'esercizio di un diritto o adempimento di un dovere di cui all'art. 51 c.p.  

Infatti, la Suprema Corte, nel confermare la statuizione del giudice di secondo grado, ritiene che i controlli effettuati dall'impiegato sulla corrispondenza riservata dell'amministratore della società siano illegittimi poiché realizzati in violazione dei princìpi espressi dall'Autorità Garante per la Protezione dei dati personali, che non consentono il controllo massivo, prolungato e indiscriminato dell'attività del lavoratore.

Ne deriva, orbene, che integra il reato di accesso abusivo ad un sistema informatico o telematico di cui all'art. 615-ter c.p. la condotta di colui che, pur essendo abilitato e pur non violando le prescrizioni del titolare del sistema protetto, accede o si mantiene illecitamente nel predetto sistema quando persegue finalità strettamente personali e ontologicamente slegate dall'interesse societario.

Osservazioni

La pronuncia in commento risulta del tutto condivisibile poiché avalla la giurisprudenza di legittimità delle Sezioni Unite della Suprema Corte (Cass. pen., sez. Un., 18 maggio 2017, n. 41210) che, modificando il precedente filone ermeneutico, ha circoscritto e maggiormente definito il concetto di abusività del comportamento di chi sia già autorizzato all'accesso ad un sistema informatico o telematico.

In altri termini, se le attività informatiche poste in essere dall'impiegato esulano dalle ordinarie attività di controllo cui lo stesso è chiamato ad espletare, ma si traducono in un controllo ‘difensivo' in senso stretto, allora non possono ritenersi osservati i canoni della proporzionalità e della ragionevolezza del trattamento dei dati personali dei lavoratori in considerazione dell'art. 4 l. 20 maggio 1970, n. 300 (c.d. Statuto dei lavoratori).

Segnatamente, con riferimento ai cd. sistemi difensivi, sono consentiti controlli anche di natura tecnologica o informatica posti in essere dal datore di lavoro finalizzati alla tutela di beni estranei al rapporto di lavoro o ad evitare comportamenti illeciti, nei casi in cui vi sia il fondato sospetto in ordine alla commissione di un illecito, sempreché venga garantito un corretto bilanciamento tra le esigenze di protezione di interessi e i beni aziendali, correlate alla libertà di iniziativa economica, rispetto alle imprescindibili tutele della dignità e della riservatezza del lavoratore (Cass., sez. lav., 22 settembre 2021, n. 25732).

Ed infatti, a nulla può valere che il contenuto della corrispondenza contenuta nel sistema informatico protetto consista in messaggi scaricati che siano stati selezionati secondo un criterio temporale preciso e proporzionato, ovvero che molti di questi messaggi abbiano lo stesso destinatario e che nessun messaggio sia stato comunicato o diversamente diffuso a terzi oppure utilizzato in altro modo.

Segnatamente, l'ipotesi delittuosa in questione trova configurazione al ricorrere della condizione secondo cui il soggetto abbia fatto accesso o si sia mantenuto nel sistema per ragioni ontologicamente estranee rispetto a quelle per le quali gli fosse attribuita la facoltà di accedere, indipendentemente dal fatto che fosse stato dapprima abilitato e non avesse violato le prescrizioni formali impartite dal titolare del sistema informatico o telematico protetto in esercizio del proprio ius excludendi alios.

Peraltro, il trattamento sanzionatorio è aggravato quando all'autore del reato possa riconoscersi, come nel caso di specie, la qualità di amministratore e operatore del sistema informatico (art. 615, comma 2, n. 1 c.p.) e se dal fatto deriva la distruzione o il danneggiamento ovvero la sottrazione, anche mediante riproduzione o trasmissione, o l'inaccessibilità al titolare del sistema o l'interruzione totale o parziale del suo funzionamento, ovvero la distruzione o il danneggiamento dei dati, delle informazioni o dei programmi in esso contenuti (art. 615, comma 2°, n. 3 c.p.), poiché l'alterazione del sistema informatico si configura anche quando riguardi una componente essenziale dello stesso che lo rende temporaneamente inidoneo al suo funzionamento, come nel caso di modifica della password di accesso alla casella di posta elettronica e delle credenziali di recupero della medesima, con ciò determinandosi l'alterazione di una componente essenziale del sistema informatico che lo rende temporaneamente inidoneo al funzionamento (Cass. pen., sez. V, 15 novembre 2022, n. 46076).

Infatti, seppur l'alterazione consista nella modifica reversibile della password che non impedisce il recupero delle credenziali e il successivo accesso alla casella di posta elettronica, tale modifica è obiettivamente idonea ad impedire all'utente titolare della casella di farvi nuovamente accesso nell'immediatezza del reato e, comunque, per un lasso di tempo più o meno breve a seconda delle competenze informatiche di quest'ultimo.

Riferimenti

R. Bartoli, L’accesso abusivo a un sistema informatico (art. 615-ter c.p.) a un bivio ermeneutico teleologicamente orientato, in Dir. Pen. Cont., 23 febbraio 2012.

M. Bellingeri, Evoluzione giurisprudenziale del concetto di “abusività” nel caso di accesso ad un sistema informatico, in Il Sole 24 Ore, 12 maggio 2022.

R. Bertolesi, Accesso abusivo a un sistema informatico: è reato la condotta del pubblico ufficiale commessa con c.d. sviamento di potere, in Dir. Pen. Cont., 3 ottobre 2017.

R. Bertolesi, Accesso abusivo ad un sistema informatico: una nuova actio finium regundorum per i pubblici dipendenti (in attesa delle motivazioni della sentenza Savarese delle Sezioni Unite), in Dir. Pen. Cont., 6 giugno 2017.

M. Borgobello, Il reato di accesso abusivo a sistema informatico di cui all’art. 615-ter c.p. alla luce della giurisprudenza più recente, in Giur. Pen., 2021, 2.

F. Cajani, I reati informatici patrimoniali, in Diritto penale dell’impresa (a cura di C. Parodi), Milano, 2017.

R. Flor, Verso una rivalutazione dell’art. 615 ter c.p.?, Il reato di accesso abusivo a sistemi informatici o telematici fra la tutela di tradizionali e di nuovi diritti fondamentali nell’era di Internet Commento a Corte di Cassazione, SS. UU., ud. 27 ottobre 2011 (dep. 7 febbraio 2012), n. 4694, in Dir. Pen. Cont., 2 maggio 2012.

F. Marangolo, Accesso abusivo ad un sistema informatico e luogo di consumazione, in Giur. Pen., 14 luglio 2016.

C. Parodi, I reati patrimoniali, in Diritto penale dell’informatica (a cura di C. Parodi, V. Sellaroli), Milano, 2020.