Corte di Cassazione, Sezione V Penale, sentenza n. 565 del 29 novembre 2018 e depositata l’8 gennaio 2019
L’attività materiale era stata posta in essere dall’imputato il quale, utilizzando l’account di posta elettronica attivato sul dominio della banca e a lui in uso, aveva inviato due e-mail alla casella di posta aziendale del Collega, anch’esso imputato e dipendente della medesima banca, allegando un file excel contenente informazioni bancarie riservate, alle quali il Landi non aveva accesso (nominativo del correntista e saldo di conto corrente), nonché per aver inviato due ulteriori e-mail di analogo contenuto, che il Collega “girava” al proprio indirizzo di posta personale. L’apporto concorsuale del Collega era consistito nell’avere istigato l’imputato a commettere il reato. L’imputato, dopo aver inviato la lista stessa, chiese al collega di distruggerla dopo averla letta, a comprova che la trasmissione di essa al Collega fosse vietata e della di piena consapevolezza di ciò da parte sua e ragionevolmente anche da parte dell’altro.
Sulla punibilità di chi, entrato in un sistema informatico utilizzando il codice di accesso di cui è titolare per la sua funzione, acquisisce notizie riservate per altri scopi, si sta cimentando da alcuni anni la giurisprudenza.
Si pensi alla condotta di colui che effettui un’interrogazione – relativa ad un veicolo – ad una banca dati (o altro sistema informativo di tipo “chiuso”) in dotazione alle Forze di Polizia usando la sua password e l’artifizio della richiesta/esigenza di un organo di Polizia (in realtà inesistente) necessaria per accedere a tale informazione.
Per rispondere al quesito iniziale è necessario qualificare giuridicamente tale condotta e verificarne la riconducibilità o meno alla fattispecie di cui all’art. 615-ter c.p. (Accesso abusivo ad un sistema informatico o telematico).
Oggetto giuridico della tutela prevista dei sistemi informatici e telematici protetti è sia il domicilio informatico quale espressione del diritto alla riservatezza delle informazioni contenute nel sistema che lo jus excludendi del titolare del sistema informatico, quale che sia il contenuto dei dati racchiusi in esso, purché attinente alla propria attività.
La norma citata circoscrive la tutela ai soli ‘sistemi protetti da misure di sicurezza’ che consistono in dispositivi idonei ad impedire l’accesso al sistema a chi non sia autorizzato.
Nel merito, la dottrina prevalente ritiene sufficiente qualsiasi misura di protezione in quanto la pretesa esistenza della misura di sicurezza, è esclusivamente preordinata a rendere esplicita e non equivoca la volontà di riservare l’accesso solo a determinate persone, ovvero di porre un generale divieto di accesso.
Ne consegue che anche l’adozione di una protezione costituita da una semplice parola-chiave (password), anche facilmente accessibile o ricostruibile, rappresenta una esplicitazione del divieto di accesso al sistema e legittima la tutela in sede penale.
Sul concetto di introduzione abusiva sussistevano due diversi e contrapposti orientamenti:
per il primo, si applicava l’art. 615-ter c.p. anche a chi, autorizzato all’accesso per una determinata finalità, avesse utilizzato il titolo di legittimazione per una finalità diversa e, quindi, non avesse rispettato le condizioni alle quali era subordinato l’accesso;
il secondo valorizzava il dato letterale della norma, ritenendo illecito il solo accesso abusivo ovvero quello effettuato da soggetto non abilitato, rimanendo sempre e comunque lecito l’accesso del soggetto abilitato, ancorché effettuato per finalità estranee a quelle d’ufficio (e perfino illecite).
Tale contrasto interpretativo delle Sezioni semplici della Cassazione è stato risolto con la sentenza del 27.10.2011, n. 4694 in cui le Sezioni Unite hanno ritenuto che la volontà contraria dell’avente diritto deve essere verificata solo con riferimento al risultato immediato della condotta posta in essere, non già ai fatti successivi ovvero delle finalità perseguite da colui che accede/si mantiene nel sistema.
Pertanto, è rilevante il profilo oggettivo dell’accesso/trattenimento nel sistema informatico da parte di un soggetto che sostanzialmente non può ritenersi autorizzato ad accedervi/permanervi sia quando violi i limiti risultanti dal complesso delle prescrizioni impartite dal titolare del sistema, sia quando ponga in essere operazioni di natura diversa da quelle di cui egli è incaricato ed in relazione alle quali l’accesso è a lui consentito.
In questi casi è proprio il titolo legittimante l’accesso (e la permanenza) nel sistema che risulta violato: il soggetto agente opera illegittimamente, in quanto il titolare del sistema medesimo lo ha ammesso solo a ben determinate condizioni, in assenza o attraverso la violazione delle quali le operazioni compiute non possono ritenersi approvate dall’autorizzazione ricevuta.
Il dissenso tacito del dominus loci viene, quindi, desunto dall’oggettiva violazione delle disposizioni del titolare in ordine all’uso del sistema.
Ne deriva che, nei casi in cui l’agente compia sul sistema un’operazione pienamente consentita dall’autorizzazione ricevuta (ed agisca nei limiti di questa) il reato di cui all’art. 615-ter c.p. non è configurabile anche se degli stessi dati egli si dovesse poi servire per finalità illecite. Tuttavia, gli eventuali successivi comportamenti illeciti sono sanzionabili con riguardo al proprio titolo di reato (ad esempio, ex artt. 326 [rivelazione e utilizzazione segreti d’ufficio], 621 [rivelazione del contenuto di documenti segreti] e 622 [rivelazione di segreto professionale] c.p.).
..continua su EDICOLeA