Accesso abusivo a sistema informatico: il dipendente commette reato solo se viola le condizioni d’utilizzo. Irrilevanti le finalità di uso dei dati

26 Marzo 2015
DIMT

Nello stabilire se si configura il reato di accesso abusivo a sistema informatico da parte di un dipendente “rilevano solo quelle disposizioni che regolano l’accesso al sistema e che stabiliscono per quali attività e per quanto tempo la permanenza si può protrarre, mentre sono del tutto irrilevanti, ai fini della configurazione della fattispecie di cui all’art. 615 ter cod. pen., eventuali disposizioni sull’impiego successivo dei dati”. È quanto ribadito dalla V sezione penale della Corte di Cassazione con la sentenza n. 10083/2015. La Suprema Corte era chiamata a pronunciarsi sulla sentenza con la quale il 18 novembre 2013 la Corte d’appello di Milano aveva confermato la pronuncia di primo grado del Tribunale meneghino nei confronti di un professionista ritenuto responsabile del reato perché, in qualità di socio e consigliere di amministrazione di una s.r.l., “in possesso delle credenziali di accesso alle banche dati aziendali, da qualificarsi quale operatore del sistema, in tempi diversi ed in esecuzione del medesimo disegno criminoso”, “accedeva e si manteneva abusivamente sul sistema informatico” della società, “protetto da sistemi di sicurezza, visualizzando file contenenti i dati riguardanti l’attività dell’azienda”, anche in seguito alla alla comunicazione dell’interruzione del rapporto di collaborazione ricevuta nel marzo del 2008, e “duplicava su supporto ottico numerosi file contenuti nella banca dati aziendale e riguardanti clienti dell’azienda, sfruttando le informazioni acquisite per fare disdire ai clienti diverse polizze assicurative” e causando un danno economico che la stessa società ha quantificato in quasi 800mila euro; inoltre, risultavano eliminati “file a carattere professionale contenuti nell’hard disk del computer in uso e di proprietà dell’azienda”. “In punto di diritto – afferma la Corte – si deve premettere che ai fini della configurabilità del reato di accesso abusivo ad un sistema informatico (art. 615 ter cod. pen.), nel caso di soggetto munito di regolare password, è necessario accertare il superamento, su un piano oggettivo, dei limiti e, pertanto, la violazione delle prescrizioni relative all’accesso ed al trattenimento nel sistema informatico, contenute in disposizioni organizzative impartite dal titolare dello stesso, indipendentemente dalle finalità soggettivamente perseguite (Sez. 5, n. 15054 del 22/02/2012 – dep. 18/04/2012, Crescenzi e altro, Rv. 252479)”. “Le Sezioni Unite della Suprema Corte (S.U., n. 4694/12 del 27 ottobre 2011, Casani) nel comporre il contrasto – prosegue la sentenza – hanno sottolineato che la questione non può essere riguardata sotto il profilo delle finalità perseguite da colui che accede o si mantiene nel sistema, in quanto la volontà del titolare del diritto di escluderlo si connette soltanto al dato oggettivo della permanenza dell’agente nel sistema informatico. Ciò che rileva è, quindi, il profilo oggettivo dell’accesso e del trattenimento nel sistema informatico da parte di un soggetto che non può ritenersi autorizzato ad accedervi ed a permanervi sia quando violi i limiti risultanti dal complesso delle prescrizioni impartite dal titolare del sistema, sia quando ponga in essere operazioni ontologicamente diverse da quelle di cui egli è incaricato ed in relazione alle quali l’accesso era a lui consentito. Il dissenso del dominus ioci non viene, quindi, desunto dalla finalità che anima la condotta dell’agente, bensì dalla oggettiva violazione delle disposizioni del titolare in ordine all’uso del sistema”. “Irrilevanti devono considerarsi gli eventuali fatti successivi: questi, se seguiranno, saranno frutto di nuovi atti volitivi e pertanto, se illeciti, saranno sanzionati con riguardo ad altro titolo di reato (rientrando, ad esempio, nelle previsioni di cui agli artt. 326, 618, 621 e 622 c.p.). Ne deriva che, nei casi in cui l’agente compia sul sistema un’operazione pienamente assentita dall’autorizzazione ricevuta, ed agisca nei limiti di questa, il reato di cui all’art. 615 ter cod.pen. non è configurabile, a prescindere dallo scopo eventualmente perseguito; sicché qualora l’attività autorizzata consista anche nella acquisizione di dati informatici, e l’operatore la esegua nei limiti e nelle forme consentiti dal titolare dello ius excludendi, il delitto in esame non può essere individuato anche se degli stessi dati egli si dovesse poi servire per finalità illecite”. Nel caso specifico, la norma del codice adottato dalla società stabilisce che “è fatto assoluto divieto di copiare o duplicare files di dati di proprietà della società per finalità che esulano dal trattamento dei dati di propria competenza o dalla semplice copia di backup degli stessi. In nessun caso tali dati potranno essere portati all’esterno della società su qualunque tipo di supporto di memorizzazione, ivi compreso l’invio per posta elettronica ad eccezione di specifiche autorizzazioni del Responsabile EDP“. Per la Suprema Corte “è evidente che la norma riportata non escluda tout court né la copia né la duplicazione dei file; fa divieto, invece, solo di copia o duplicazione per finalità che esulano dal trattamento dei dati di propria competenza o dalla semplice copia di backup degli stessi, lasciando pertanto lecita la condotta in senso oggettivo. In effetti, né la Corte territoriale né il giudice di primo grado si sono preoccupati nella loro motivazione di dare giustificazione del percorso logico seguito in primo luogo per dare atto specificamente della condotta di copiatura o duplicazione di file da parte dell’imputato e, soprattutto, della prova che tale condotta non rientrasse nelle finalità del trattamento dei dati di competenza dello stesso in quel momento preciso, essendo pacifico che egli all’epoca svolgesse ancora attività lavorativa per la società”. Va inoltre rilevato “che non si comprende da quali dati la Corte deduca che le copie dei file siano state portate all’esterno della società, non essendo stati indicati specificamente gli elementi di prova in base ai quali sono stati delineati i dati temporali e modali di tale condotta. In effetti la Corte ha ritenuto sussistente la circostanza in conseguenza della perdita di clienti da parte della società e dell’acquisizione di tali clienti da parte della nuova società per la quale l’imputato era andato poi a lavorare. Tale deduzione, però, non è supportata dalla indicazione di elementi di prova riferiti allo specifico fatto che i dati copiati dall’imputato siano stati poi da questi utilizzati per la sua nuova attività”. “Fondatamente – si conclude la pronuncia – il ricorrente ha rilevato che i giudici di merito hanno compiuto una deduzione logica palesemente forzata. Sulla base delle suesposte considerazioni l’impugnata sentenza deve essere annullata con rinvio per nuovo giudizio ad altra Sezione della Corte d’appello di Milano, che nella piena libertà delle valutazioni di merito di sua competenza dovrà porre rimedio alle rilevate carenze motivazionali, uniformandosi al quadro dei principi di diritto in questa sede stabiliti”.