Accedere senza autorizzazione ad un sistema informatico altrui integra un reato. Risponde dello stesso reato colui che induce un collega ad introdursi nella banca dati aziendale per accedere ad informazioni riservate.
E’ di questo avviso la quinta sezione penale della Corte di Cassazione che, con la sentenza n. 565 dell’8 Gennaio 2019, ha condannato un impiegato di banca per aver ottenuto a mezzo mail da un collega dei dati di alcuni correntisti, pur non avendone l’autorizzazione da policy aziendale.
La vicenda
Nella fattispecie un dipendente di un istituto bancario chiedeva ad un collega di accedere al database aziendale per raccogliere delle informazioni su alcuni clienti e, una volta ottenute, di inoltrargliele via mail.
Si precisano alcuni dettagli necessari alla trattazione del caso:
- Tali operazioni avvenivano in ambito lavorativo tra colleghi appartenenti ad aree aziendali diverse.
- Le mail, mediante le quali avveniva il trasferimento dei dati riservati dei correntisti, avevano il dominio della banca.
- Le policy aziendali erano diverse per ciascuna area societaria, in luogo delle diverse funzioni esercitate dagli impiegati.
- Per policy aziendale il bancario non poteva accedere alle informazioni trasmesse, pertanto il ruolo del collega era necessario per perfezionare il reato contestato.
Dalla ricostruzione della vicenda si evince che il soggetto che ha impugnato la sentenza della Corte di Appello di Milano è il dipendente bancario che aveva ottenuto le informazioni dal collega che si era introdotto “di fatto” (essendone abilitato) nel sistema informatico dell’azienda.
L’attività materiale era stata posta in essere dal collega il quale, utilizzando l’account di posta elettronica attivato sul dominio della banca e a lui in uso, aveva inviato dapprima una mail alla casella di posta aziendale del ricorrente, dipendente della medesima banca, allegando un file excel contenente informazioni bancarie riservate – quali nominativo dei correntisti e relativo saldo di conto corrente – alle quali quest’ultimo non aveva accesso, e successivamente ne aveva inoltrata una seconda con analogo contenuto al suo indirizzo di posta personale.
La Suprema Corte invero, con questa importante pronuncia, ritiene che sebbene l’autore materiale del reato contestato sia il collega, il ricorrente sia corresponsabile per aver indotto quest’ultimo ad accedere al sistema informatico. L’apporto concorsuale dell’imputato era consistito nell’avere istigato il collega.
Nel caso di specie il reato contestato era caduto in prescrizione nel corso dell’iter giudiziario, pertanto la Cassazione ne confermava unicamente le statuizioni civili in favore della Banca.
Il reato di accesso abusivo a sistema informatico
Ai sensi dell’art. 615-ter c.p., 1° comma, “Chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo, è punito con la reclusione fino a tre anni.”
La Cassazione, nel caso di cui si tratta, ha riconosciuto la sussistenza degli elementi di fatto di tale reato e, a fondamento della riconducibilità degli stessi all’alveo precettivo di cui all’art. 615-ter c.p., ha richiamato due interventi delle Sezioni Unite sulla materia.
La sentenza “Casani”, infatti, afferma che: ”integra il delitto previsto dall’art. 615-ter cod. pen. colui che, pur essendo abilitato, acceda o si mantenga in un sistema informatico o telematico protetto violando le condizioni ed i limiti risultanti dal complesso delle prescrizioni impartite dal titolare del sistema per delimitarne oggettivamente l’accesso, rimanendo invece irrilevanti, ai fini della sussistenza del reato, gli scopi e le finalità che abbiano soggettivamente motivato l’ingresso nel sistema”. (Sez. Unite, n. 4694 del 27/10/2011).
Qualche anno dopo, la sentenza “Savarese” precisa che, sotto il profilo dell’elemento oggettivo, il reato sussiste anche quando il soggetto, pur essendo “titolato” all’accesso, si introduca o permanga nel sistema “per ragioni ontologicamente estranee rispetto a quelle per le quali la facoltà di accesso gli è attribuita”. (Sez. Unite, n. 41210 del 18/05/2017).
Sebbene quest’ultima pronuncia riguardasse un fatto commesso da un pubblico funzionario, la Suprema Corte ritiene sia applicabile anche al settore privato, nella parte in cui vengono in rilievo i doveri di fedeltà e lealtà del dipendente. In altri termini, il bancario avrebbe operato oltre il mandato conferitogli per il regolare svolgimento delle sue mansioni, ponendo in essere una condotta illecita ed in contrasto con i predetti principi.
Quanto al ricorrente, secondo i giudici, è la sua condotta che ha fatto effettivamente sorgere il proposito criminoso nell’autore materiale. A riscontro di tale conclusione vi è la prova che il collega “autorizzato”, in un secondo momento e su richiesta del ricorrente, gli trasmette nuovamente la mail (corredata del file con i dati della clientela) anche sul suo indirizzo privato.
I rispettivi ruoli giocati dai bancari non lasciano spazio ad interpretazioni, configurandosi quindi un rapporto di causalità efficiente nelle attività poste in essere da entrambi.
Conclusioni
Quando un dipendente (pubblico o privato) accede ad informazioni personali che esulano da quelle consentite dal titolare del trattamento, è passibile di sanzioni disciplinari, azioni civili ma può anche essere perseguito penalmente.
Dalla vicenda trattata è emerso che risponde del reato di accesso abusivo a sistema informatico anche l’impiegato di banca che chiede al collega l’invio di dati a cui non ha accesso per policy aziendale, in concorso con quest’ultimo, ed a nulla rilevano gli scopi e le finalità che motivano l’introduzione nel sistema.
I soggetti autorizzati al trattamento di dati personali possono accedere unicamente alle informazioni per le quali hanno ricevuto un’autorizzazione, nei limiti dell’espletamento delle mansioni assegnategli.
Il GDPR, a tal fine, introduce il “principio di minimizzazione dei dati personali” secondo il quale il titolare del trattamento deve utilizzare i dati raccolti solo nei limiti del raggiungimento dello scopo per i quali sono stati richiesti.
VP
[…] Leggi anche: Il concorso nel reato di accesso abusivo a sistema informatico (Cass. Pen., sent. n. 565/2019) […]