Accesso abusivo a sistema informatico

Facebook: il marito che accede al profilo della moglie senza permesso commette reato (Cass. penale, sez. V, sent. n. 2905 del 29/01/2019)

Tra moglie e marito non mettere il dito. Dicono! Ma quando il marito geloso (forse troppo!) accede al profilo Facebook della moglie, senza il permesso di quest’ultima, il dito ce lo mette la Corte di Cassazione. Con la sentenza del 29 Gennaio 2019 n. 2905 la Suprema Corte ha trattato la questione dell’accesso abusivo di un uomo nel profilo social della propria compagna. Il ricorrente, a seguito della fine della relazione con la moglie, si era introdotto nel suo profilo per ottenere informazioni riguardo ad un suo presunto rapporto extra coniugale. Aveva inoltre fotografato delle chat intrattenute dalla donna con un altro uomo al fine di produrle nel giudizio di separazione ancora pendente. Infine, per completare l’opera, mosso evidentemente da un impeto di rabbia e  vendetta, decideva arbitrariamente di modificare la credenziali della ex moglie per impedirle l’accesso al Social network. Il Tribunale di Palermo ed, in seconda battuta, anche la Corte di Appello avevano quindi condannato l’uomo per accesso abusivo a sistema informatico altrui, ai sensi dell’art. 615-ter c.p. Questi successivamente impugnava la sentenza sostenendo, a sua difesa, che le credenziali di accesso gli erano state fornite spontaneamente dalla moglie prima della rottura del matrimonio. La Corte di Cassazione dichiarava inammissibile il ricorso e precisava che sebbene la password fosse nota all’imputato prima della fine della relazione, tale circostanza non escluderebbe comunque il carattere abusivo dell’accesso finalizzato ad “un risultato certamente in contrasto con la volontà della persona offesa ed esorbitante rispetto a qualsiasi possibile ambito autorizzatorio del titolare dello ius excludendi alios, vale a dire la conoscenza di conversazioni riservate e finanche l’estromissione dall’account Facebook della titolare del profilo e l’impossibilità di accedervi”. Con questa decisione, in linea con quelle precedenti sulla materia, la Corte ribadisce che il permanere in un sistema informatico altrui per ragioni “ontologicamente” estranee rispetto a quelle per le quali è stato concesso l’ingresso configura a tutti gli effetti il reato di cui all’art.  615-ter c.p. (vedi Sentenza “Savarese”, Sez. Unite n. 41210 del 18 Maggio 2017). Su una vicenda analoga si era pronunciata la Cassazione con la sentenza n. 52572/2017, con la quale condannava una donna per essersi introdotta nella mail dell’ex marito per leggerne il contenuto, modificandone inoltre la password per impedire all’uomo la regolare fruizione del servizio mail. Anche in questo caso l’imputata, a sostegno delle proprie ragioni, dichiarava di conoscere la password di accesso alla casella di posta elettronica poiché fornitale dall’ex marito. Per gli Ermellini, anche in questo caso, sussisteva il reato di cui all’art. 615-ter c.p. La conoscenza delle credenziali di accesso non escludeva il carattere abusivo dell’ingresso nel sistema. Difatti il comportamento posto in essere dalla donna, una volta entrata nell’account dell’ex coniuge, volto ad inibire l’accesso di quest’ultimo al proprio indirizzo e-mail, lasciava poco spazio ad interpretazioni. Le finalità dell’accesso erano certamente illecite e contrarie alla volontà del titolare dell’account. Quanto detto contribuisce a delineare il diritto alla privacy nella vita di coppia anche nell’ambito digitale. Conoscere le credenziali del partner non autorizza l’altro ad interferire nella sua sfera privata. L’accesso ad un sistema informatico altrui, anche in un rapporto di coniugio, deve avvenire previo consenso e nei limiti (e nelle tempistiche) impartite dal titolare del sistema stesso. Leggi anche: Il concorso nel reato di accesso abusivo a sistema informatico (Cass. Pen., sent. n. 565/2019) VP

Il concorso nel reato di accesso abusivo a sistema informatico (Cass. Pen., sent. n. 565/2019)

Accedere senza autorizzazione ad un sistema informatico altrui integra un reato. Risponde dello stesso reato colui che induce un collega ad introdursi nella banca dati aziendale per accedere ad informazioni riservate. E’ di questo avviso la quinta sezione penale della Corte di Cassazione che, con la sentenza n. 565 dell’8 Gennaio 2019, ha condannato un impiegato di banca per aver ottenuto a mezzo mail da un collega dei dati di alcuni correntisti, pur non avendone l’autorizzazione da policy aziendale. La vicenda Nella fattispecie un dipendente di un istituto bancario chiedeva ad un collega di accedere al database aziendale per raccogliere delle informazioni su alcuni clienti e, una volta ottenute, di inoltrargliele via mail. Si precisano alcuni dettagli necessari alla trattazione del caso: Tali operazioni avvenivano in ambito lavorativo tra colleghi appartenenti ad  aree aziendali diverse. Le mail, mediante le quali avveniva il trasferimento dei dati riservati dei correntisti, avevano il dominio della banca. Le policy aziendali erano diverse per ciascuna area societaria, in luogo delle diverse funzioni esercitate dagli impiegati. Per policy aziendale il bancario non poteva accedere alle informazioni trasmesse, pertanto il ruolo del collega era necessario per perfezionare il reato contestato. Dalla ricostruzione della vicenda si evince che il soggetto che ha impugnato la sentenza della Corte di Appello di Milano è il dipendente bancario che aveva ottenuto le informazioni dal collega che si era introdotto “di fatto” (essendone abilitato) nel sistema informatico dell’azienda. L’attività materiale era stata posta in essere dal collega il quale, utilizzando l’account di posta elettronica attivato sul dominio della banca e a lui in uso, aveva inviato dapprima una mail alla casella di posta aziendale del ricorrente, dipendente della medesima banca, allegando un file excel contenente informazioni bancarie riservate – quali nominativo dei correntisti e relativo saldo di conto corrente – alle quali quest’ultimo non aveva accesso, e successivamente ne aveva inoltrata una seconda con analogo contenuto al suo indirizzo di posta personale. La Suprema Corte invero, con questa importante pronuncia, ritiene che sebbene l’autore materiale del reato contestato sia il collega, il ricorrente sia corresponsabile per aver indotto quest’ultimo ad accedere al sistema informatico. L’apporto concorsuale dell’imputato era consistito nell’avere istigato il collega. Nel caso di specie il reato contestato era caduto in prescrizione nel corso dell’iter giudiziario, pertanto la Cassazione ne confermava unicamente le statuizioni civili in favore della Banca. Il reato di accesso abusivo a sistema informatico Ai sensi dell’art. 615-ter c.p., 1° comma, “Chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo, è punito con la reclusione fino a tre anni.” La Cassazione, nel caso di cui si tratta, ha riconosciuto la sussistenza degli elementi di fatto di tale reato e, a fondamento della riconducibilità degli stessi all’alveo precettivo di cui all’art. 615-ter c.p., ha richiamato due interventi delle Sezioni Unite sulla materia. La sentenza “Casani”, infatti, afferma che: ”integra il delitto previsto dall’art. 615-ter cod. pen. colui che, pur essendo abilitato, acceda o si mantenga in un sistema informatico o telematico protetto violando le condizioni ed i limiti risultanti dal complesso delle prescrizioni impartite dal titolare del sistema per delimitarne oggettivamente l’accesso, rimanendo invece irrilevanti, ai fini della sussistenza del reato, gli scopi e le finalità che abbiano soggettivamente motivato l’ingresso nel sistema”. (Sez. Unite, n. 4694 del 27/10/2011). Qualche anno dopo, la sentenza “Savarese” precisa che, sotto il profilo dell’elemento oggettivo, il reato sussiste anche quando il soggetto, pur essendo “titolato” all’accesso, si introduca o permanga nel sistema “per ragioni ontologicamente estranee rispetto a quelle per le quali la facoltà di accesso gli è attribuita”. (Sez. Unite, n. 41210 del 18/05/2017). Sebbene quest’ultima pronuncia riguardasse un fatto commesso da un pubblico funzionario, la Suprema Corte ritiene sia applicabile anche al settore privato, nella parte in cui vengono in rilievo i doveri di fedeltà e lealtà del dipendente. In altri termini, il bancario avrebbe operato oltre il mandato conferitogli per il regolare svolgimento delle sue mansioni, ponendo in essere una condotta illecita ed in contrasto con i predetti principi. Quanto al ricorrente, secondo i giudici, è la sua condotta che ha fatto effettivamente  sorgere il proposito criminoso nell’autore materiale. A riscontro di tale conclusione vi è la prova che il collega “autorizzato”, in un secondo momento e su richiesta del ricorrente, gli trasmette nuovamente la mail (corredata del file con i dati della clientela) anche sul suo indirizzo privato. I rispettivi ruoli giocati dai bancari non lasciano spazio ad interpretazioni, configurandosi quindi un rapporto di causalità efficiente nelle attività poste in essere da entrambi. Conclusioni Quando un dipendente (pubblico o privato) accede ad informazioni personali che esulano da quelle consentite dal titolare del trattamento, è passibile di sanzioni disciplinari, azioni civili ma può anche essere perseguito penalmente. Dalla vicenda trattata è emerso che risponde del reato di accesso abusivo a sistema informatico anche  l’impiegato di banca che chiede al collega l’invio di dati a cui non ha accesso per policy aziendale, in concorso con quest’ultimo, ed a nulla rilevano gli scopi e le finalità che motivano l’introduzione nel sistema. I soggetti autorizzati al trattamento di dati personali possono accedere unicamente alle informazioni per le quali hanno ricevuto un’autorizzazione, nei limiti dell’espletamento delle mansioni assegnategli. Il GDPR, a tal fine, introduce il “principio di minimizzazione dei dati personali” secondo il quale il titolare del trattamento deve utilizzare i dati raccolti solo nei limiti del raggiungimento dello scopo per i quali sono stati richiesti.   VP

Scroll to Top