Accesso abusivo al sistema informatico della giustizia e sviamento di potere

Massima

In tema di accesso abusivo a sistema informatico (art. 615-ter c.p.), è configurabile il reato anche quando il soggetto, pur formalmente autorizzato, acceda o si mantenga nel sistema per finalità estranee ai compiti istituzionali o alle condizioni che legittimano l'uso, integrando così uno sviamento di potere idoneo a rendere l'accesso illecito.

Rientra tra i sistemi “di interesse pubblico”, ai sensi del comma 3 dell'art. 615-ter c.p., il Sistema Informativo della Cognizione Penale (SICP), quale articolazione del Ministero della giustizia destinata alla gestione dei dati riservati del procedimento penale.

Il caso

La vicenda trae origine da una serie di accessi non autorizzati al Sistema Informativo della Cognizione Penale (SICP) della Procura della Repubblica di Benevento, effettuati da personale amministrativo in servizio presso quell'ufficio, finalizzati all'acquisizione di informazioni riservate relative a procedimenti penali in corso.

Le attività di accesso e consultazione indebita del sistema informatico avvenivano su richiesta di soggetti terzi interessati, tra cui alcuni professionisti indagati o loro conoscenti, e venivano accompagnate da condotte di rivelazione e utilizzazione di segreti d'ufficio.

Il Tribunale di Benevento, con sentenza di primo grado, riconosceva la responsabilità di più imputati – tra i quali dipendenti di cancelleria e soggetti esterni – per i reati di accesso abusivo a sistema informatico o telematico (art. 615-ter c.p.) e di rivelazione e utilizzazione di segreti d'ufficio (art. 326 c.p.), dichiarando estinto per prescrizione uno dei capi contestati.

La Corte d'Appello di Napoli, parzialmente riformando la decisione di primo grado, confermava le condanne per le condotte di accesso abusivo e rivelazione di segreti, rideterminando le pene in mitius per alcuni imputati e dichiarando l'estinzione per prescrizione del reato di cui al capo B), relativo alla violazione di segreto d'ufficio.

Avverso la sentenza di secondo grado proponevano ricorso per Cassazione tre imputati, lamentando – con motivi in parte comuni – l'inutilizzabilità delle intercettazioni ambientali poste a fondamento dell'accusa, la mancanza dell'elemento soggettivo del dolo, la legittimità degli accessi al SICP in quanto rientranti nelle ordinarie mansioni di servizio, nonché l'insussistenza dell'aggravante prevista dall'art. 615-ter, comma 3, c.p., negando che il sistema informatico ministeriale potesse qualificarsi di interesse pubblico. Alcuni ricorrenti eccepivano, inoltre, la duplicazione delle condanne per fatti asseritamente coincidenti e il vizio di travisamento della prova in relazione alle conversazioni intercettate.

La Corte di cassazione, investita della questione, era chiamata a pronunciarsi sulla configurabilità del reato di accesso abusivo da parte di soggetti autorizzati, sulla nozione di “sistema informatico di interesse pubblico” e sui limiti del sindacato di legittimità in presenza di doppia conforme, nonché sulle eccezioni di inutilizzabilità delle intercettazioni e di prescrizione parziale dei reati contestati.

La questione

La pronuncia in esame pone al centro il tema dei limiti e dei presupposti del reato di accesso abusivo a un sistema informatico o telematico da parte di soggetti formalmente abilitati all'utilizzo dello stesso, nonché la qualificazione del Sistema Informativo della Cognizione Penale (SICP) come sistema di “interesse pubblico” ai sensi dell'art. 615-ter, comma 3, c.p.

Ci si interroga, in particolare, se possa integrare la condotta tipica dell'“accesso abusivo” anche l'attività di chi, pur legittimato all'uso del sistema, lo impieghi per finalità diverse da quelle istituzionali o comunque estranee ai compiti d'ufficio, realizzando uno sviamento di potere rispetto alle finalità per cui l'autorizzazione è stata concessa.

Ulteriore profilo oggetto di esame riguarda la portata dell'aggravante relativa ai sistemi informatici di interesse pubblico: può ritenersi tale il SICP, quale infrastruttura informatica del Ministero della giustizia, destinata alla gestione dei dati dei procedimenti penali, oppure la sua natura meramente amministrativa ne esclude la riconducibilità a un servizio di rilevanza collettiva?

Da ultimo, sul piano processuale, la Corte è chiamata a chiarire quali siano i limiti del controllo di legittimità in presenza di doppia conforme, se il vizio di travisamento della prova possa legittimare un sindacato sul merito della decisione e in che misura sia ammissibile, in sede di ricorso per Cassazione, la censura di illogicità motivazionale fondata su una diversa interpretazione del materiale probatorio e delle intercettazioni acquisite.

Le soluzioni giuridiche

La Corte di cassazione, con la sentenza in commento, ha confermato la responsabilità degli imputati per i reati di accesso abusivo a sistema informatico e rivelazione di segreti d'ufficio, ribadendo il principio secondo cui integra la condotta tipica di cui all'art. 615-ter c.p. non solo l'introduzione nel sistema da parte di chi sia privo di qualsiasi titolo legittimante, ma anche l'accesso o la permanenza compiuti da soggetti formalmente autorizzati che utilizzino il sistema per finalità estranee alle proprie funzioni istituzionali.

In tale prospettiva, l'uso improprio del potere di accesso configura uno sviamento di potere penalmente rilevante, poiché tradisce le condizioni e i limiti dell'autorizzazione concessa.

La Corte richiama e conferma così l'orientamento consolidato delle Sezioni Unite (sent. n. 41210/2017; già anticipato dalla sent. n. 4694/2011), secondo cui il reato di accesso abusivo si configura anche quando il soggetto agente, pur investito di poteri di accesso, ne faccia uso per fini non istituzionali, in contrasto con la ratio del conferimento dell'autorizzazione. Tale impostazione, ormai prevalente nella giurisprudenza di legittimità, valorizza il profilo funzionale dell'illiceità più che quello strutturale, evidenziando come l'abuso del potere equivalga, sotto il profilo offensivo, a un accesso non autorizzato.

Quanto alla circostanza aggravante del sistema di interesse pubblico, la Cassazione ribadisce che il SICP rientra in tale nozione, trattandosi di un sistema informatico ministeriale destinato alla gestione di dati sensibili attinenti all'amministrazione della giustizia penale, di evidente rilievo collettivo. La decisione si pone così nel solco di un orientamento maggioritario, secondo cui l'interesse pubblico non si misura in base alla platea dei destinatari, ma alla funzione dell'archivio informatico in quanto strumento di esercizio di potestà pubbliche.

La Corte esclude, pertanto, l'impostazione minoritaria emersa in alcune decisioni di merito, che tendevano a circoscrivere la nozione di “interesse pubblico” ai soli sistemi destinati a servizi di pubblica utilità in senso stretto (sicurezza, sanità, ordine pubblico), ritenendo che i sistemi interni alla giustizia avessero rilievo meramente amministrativo. Tale orientamento restrittivo è stato espressamente superato, anche alla luce delle esigenze di tutela del domicilio informatico pubblico e della riservatezza dei dati processuali.

Sul piano processuale, la Corte ribadisce i limiti del sindacato di legittimità, richiamando il principio della “doppia conforme” e l'inammissibilità dei ricorsi che si risolvano in una rivalutazione del merito o nella mera reiterazione dei motivi di appello. Il vizio di travisamento della prova, osserva la Corte, è deducibile solo se l'errore risulti evidente dal testo della motivazione e sia di natura percettiva, non potendo il Giudice di legittimità sostituirsi nella valutazione dei fatti o nel giudizio di attendibilità.

La sentenza, nel complesso, si colloca nel solco dell'orientamento maggioritario e consolidato, che attribuisce rilievo penale all'abuso del potere di accesso informatico, confermando la linea di tendenza della giurisprudenza più recente in materia di tutela dei sistemi informatici pubblici e di controllo dell'uso improprio delle informazioni riservate da parte dei pubblici dipendenti.

Osservazioni

La decisione in commento si inserisce nel solco ormai stabile della giurisprudenza che amplia la portata applicativa dell'art. 615-ter c.p., ricomprendendo nella nozione di “accesso abusivo” anche l'uso distorto o extra-funzionale del sistema informatico da parte di soggetti formalmente autorizzati. Si tratta di un orientamento coerente con l'evoluzione normativa e con le esigenze di tutela della sicurezza digitale della pubblica amministrazione, ma che pone questioni rilevanti sul piano pratico, soprattutto per gli operatori interni agli uffici giudiziari e per la gestione dei sistemi ministeriali.

La scelta della Corte di qualificare il SICP come sistema di interesse pubblico è, sul piano sistematico, condivisibile: la natura ministeriale del database e la delicatezza dei dati trattati giustificano la maggiore protezione penale. Tuttavia, l'applicazione dell'aggravante comporta effetti sanzionatori rilevanti anche per condotte che, nella prassi, possono derivare da comportamenti non sempre connotati da dolo intenzionale, ma piuttosto da superficialità, scarsa formazione informatica o prassi d'ufficio non allineate agli standard di sicurezza.

In questa prospettiva, la pronuncia ribadisce una linea di rigore sanzionatorio che – pur coerente con l'esigenza di garantire la riservatezza dei dati giudiziari – rischia di trasformare in illecito penale anche la violazione formale di regole organizzative interne. Ciò impone un forte investimento in formazione del personale e in chiarezza delle direttive di servizio, affinché la delimitazione delle “finalità istituzionali” non resti affidata a valutazioni ex post del giudice penale.

Sul piano processuale, la sentenza conferma un approccio altrettanto rigoroso: l'inammissibilità di censure meramente reiterative o rivalutative restringe notevolmente il margine di difesa in Cassazione. È una scelta coerente con la funzione nomofilattica della Suprema Corte, ma che accentua la responsabilità dei giudici di merito nella ricostruzione del fatto e nella valutazione delle prove tecniche (intercettazioni, tracciati informatici, log di accesso), oggi decisive in materia di reati digitali.

In conclusione, la pronuncia valorizza l'aspetto pubblicistico della tutela del “domicilio informatico” e consolida la responsabilità penale dei pubblici dipendenti per l'uso improprio dei sistemi ministeriali. Resta, tuttavia, aperto il tema – eminentemente pratico – del bilanciamento tra esigenze di tutela dei dati e riconoscimento di un margine di errore operativo o di uso in buona fede, che, in assenza di criteri oggettivi chiari, rischia di restare affidato alla sensibilità del giudice di merito.