Risponde del reato di accesso abusivo a sistema informatico ex art. 615-ter c.p. il socio di studio che fa il backup dei dati dal pc d’ufficio per scopi personali. Questo è quanto stabilito dalla sezione V penale della Corte di Cassazione con la sentenza n. 34296/2020.
Sommario
Il caso
La vicenda riguarda un professionista che accede al computer di studio, impiegato anche dai suoi colleghi con cui opera in associazione, e fa il backup di alcuni dati aziendali in esso contenuti per lo svolgimento di una propria ed autonoma attività professionale.
A seguito della condanna per il reato di accesso abusivo ad un sistema informatico e telematico ex art. 615-ter c.p., confermata in secondo grado dalla Corte di Appello di Venezia, l’imputato propone ricorso per Cassazione.
Secondo la difesa dell’imputato il reato contestato non sussiste. Il professionista infatti, in qualità di socio dello studio e dell’Associazione professionale oltre che “titolare di tale sistema informatico”, era in possesso delle chiavi di accesso al sistema e pertanto sarebbe entrato nel sistema informatico in maniera del tutto lecita.
Non vi era neppure nessun divieto in tal senso – nemmeno interno – che impedisse all’imputato di effettuare il backup dei dati in questione.
La decisione della Suprema Corte
Con la sentenza n. 34296/2020 depositata il 2 dicembre scorso, la Suprema Corte rigetta il ricorso perché infondato.
L’art. 615-ter c.p. sanziona, al comma 1, il comportamento di
Chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo, è punito con la reclusione fino a tre anni.
Il comma 2 prevede inoltre un aggravamento di pena se il fatto é commesso da un pubblico ufficiale o da un incaricato di un pubblico servizio, con abuso dei poteri o con violazione dei doveri inerenti alla funzione o al servizio, o da chi esercita anche abusivamente la professione di investigatore privato, o con abuso detta qualità di operatore del sistema.
Per dettato normativo l’accesso si configura come abusivo qualora avvenga mediante superamento e violazione delle chiavi fisiche ed informatiche di accesso o delle altre esplicite disposizioni su accesso e mantenimento date dal titolare del sistema.
A tal proposito, la Corte richiama due importanti pronunce sulla materia.
In particolare, con la sentenza n. 4694 del 2011 in Sezioni Unite, gli ermellini hanno ritenuto che la condotta di accesso o di mantenimento nel sistema da parte di soggetto abilitato all’accesso, perché dotato di password, ma attuata per scopi o finalità estranei a quelli per i quali la facoltà di accesso gli era stata attribuita integra la fattispecie criminosa ex art. 615-ter c.p.
A tal fine hanno ritenuto che:
…rilevante debba considerarsi il profilo oggettivo dell’accesso e del trattenimento nel sistema informatico da parte di un soggetto non autorizzato ad accedervi ed a permanervi, sia quando violi i limiti risultanti dal complesso delle prescrizioni impartite dal titolare del sistema (con riferimento alla violazione delle prescrizioni contenute in disposizioni organizzative interne, in prassi aziendali o in clausole di contratti individuali di lavoro), sia quando ponga in essere operazioni di natura “ontologicamente diversa” da quelle di cui sarebbe stato incaricato ed in relazione alle quali l’accesso é a lui consentito, con ciò venendo meno il titolo legittimante l’accesso e la permanenza nel sistema.
Successivamente, nel 2017 le Sezioni Unite sono tornate sul tema con la sentenza n. 41210. La questione riguardava l’accesso operato da un soggetto che si era munito di apposite chiavi ed era abilitato a farlo, ma aveva agito in violazione delle norme pubblicistiche che disciplinano l’operato dei pubblici dipendenti e che indirizzano verso finalità di pubblico interesse l’attività della pubblica amministrazione.
Nello specifico l’art.1 della L. 241 del 1990 prevede che:
l’attività amministrativa persegue fini determinati dalla legge ed é retta da criteri di economicità, efficacia, imparzialità, pubblicità, trasparenza, secondo le modalità previste dalla presente legge e dalle disposizioni che disciplinano singoli procedimenti, nonché dai principi dell’ordinamento comunitario.
La condotta posta in essere dal dipendente pubblico era quindi da considerarsi illecita ed abusiva poiché in contrasto con gli obiettivi individuati nella suddetta norma.
Difatti l’agente, sebbene abilitato all’ingresso nel sistema informatico, lo effettuava per finalità non confacenti alla ratio sottesa al potere di accesso, il quale non può essere esercitato in contrasto con gli scopi che sono a base dell’attribuzione del potere, nonché in contrasto con le regole dettate dal titolare o dall’amministratore del sistema.
Alla stregua del ragionamento alla base di queste pronunce la Corte estende tale principio anche nel settore privato e statuisce:
Tanto vale per i pubblici dipendenti ma, stante l’identità di ratio, anche per i privati, allorché operino in un contesto associativo da cui derivino obblighi e limiti strumentali alla comune fruizione dei dati contenuti nei sistemi informatici. In tal caso la limitazione deriva non già da norme pubblicistiche, che non esistono, ma dai principi della collaborazione associativa, che hanno, come base necessaria, il conferimento di beni, utilità, diritti e quant’altro funzionali al perseguimento dello scopo comune e impongono l’utilizzo degli stessi in conformità allo scopo suddetto. Anche l’accesso ai sistemi informatici predisposti a servizio dell’attività comune deve avvenire, quindi, in conformità alla ratio attributiva del potere, configurandosi come abusivo, ai sensi dell’art. 615 ter, ogni accesso che risulti con esso incompatibile.
Conclusione
In conclusione, nel caso di specie il diritto di accesso ai sistemi informatici dello studio associato era stato riconosciuto a favore dell’imputato per il perseguimento degli scopi propri dello studio, per cui l’aver acceduto a quei sistemi per estrapolarne i dati in esso contenuti e servirsene per finalità esclusive integra un accesso abusivo, sanzionabile ai sensi dell’art. 615-ter c.p.
VP
