Sistema informatico e i limiti di accesso: senza non c’è tutela penale

30/10/2015
di Leonardo

La sentenza sull’accesso abusivo ai sistemi informatici

Accesso abusivo a sistema informaticoCon la sentenza 32666 del 24.07.2015 la 5° Sezione della Corte di Cassazione, torna nuovamente a delineare il profilo del reato di cui all’Art. 615 ter c.p. (“accesso abusivo ai sistemi informatici”).

Con questa Sentenza, la Suprema Corte consolida il proprio orientamento già espresso dalle Sezioni Unite nel 2012 (4694 del 27 Ottobre) dove, attraverso la propria funzione nomofilattica, componeva un contrasto giurisprudenziale circa la rilevanza o meno delle finalità o scopi illeciti dell’autore del Reato.

Di fatto viene ulteriormente ribadito che la finalità e lo scopo illecito voluto dall’autore dell’accesso informatico, se munito di autorizzazione al momento dell’accesso, non hanno alcun peso nella valutazione del reato.

Come è noto e pacifico in giurisprudenza, la norma posta a presidio del domicilio informatico, Art. 615 ter c.p., vede due distinte e alternative ipotesi di reato:

  • la prima consistente nell’accesso a un sistema informatico protetto da misure di sicurezza da parte di chi in nessun modo abbia diritto a accedervi. In tale caso è pacifica la caratterizzazione della condotta costituente illecito penale come è pacifica la manifestazione della volontà del titolare del sistema informatico di escludere (ius excludendi) gli utenti non autorizzati mediante l’apposizione di misure di sicurezza (login e password solitamente)
  • la seconda modalità di consumazione del reato si ha quando chi, autorizzato dal titolare del sistema informatico, vi acceda o vi si mantenga (quindi dopo aver acceduto legittimamente allo stesso) contro la volontà espressa e tacita dello stesso.

La seconda tipologia di condotta ha portato nel tempo a differenti interpretazioni spesso contrastanti tra di loro.

Le interpretazioni

Una prima interpretazione dava privilegio agli scopi e alle finalità perseguite dal soggetto che, anche se autorizzato formalmente all’accesso al sistema informatico, permaneva all’interno dello stesso per finalità e scopi diversi da quelli per cui era autorizzato e quindi contro la volontà (tacita) del titolare del sistema.

Di converso altro filone giurisprudenziale riteneva che nella valutazione della condotta dell’agente non poteva, e non doveva, aver rilievo la finalità e lo scopo dello stesso, ma ci si doveva attenere ad un profilo strettamente oggettivo basandosi sulle prescrizioni impartite dal titolare del sistema per limitarne oggettivamente l’accesso.

La sentenza in oggetto, sposando sostanzialmente quanto già affermato dalle Sezioni Unite ha ulteriormente confermato l’interpretazione circa l’irrilevanza ai fini della configurazione del reato delle finalità e degli scopi, ancorché illeciti, dell’autore dell’accesso abusivo al sistema informatico, privilegiando e dando rilevanza, ai fini dell’integrazione della fattispecie di reato, alla non conformità della condotta dell’utente sul piano oggettivo ai limiti individuati dal titolare del sistema informatico mediante il complesso delle prescrizioni impartite.

Come tutelarsi dal punto di vista penale: il Regolamento Informatico

Regolamento informatico e accesso abusivoAderendo al prevalente indirizzo giurisprudenziale sopra detto, il titolare che vorrà tutelare il proprio sistema informatico e i dati ivi inclusi, sotto il profilo penale, dagli utenti che già hanno accesso allo stesso (quali ad esempio, dipendenti, soci o collaboratori), dovrà dotarsi di idonee prescrizioni delimitative delle facoltà e modalità di utilizzo dello stesso.

Le prescrizioni d’uso impartite quali ad esempio il regolamento informatico aziendale, il contratto di lavoro o di collaborazione, la prassi aziendale etc., dovranno essere ben dettagliate altrimenti vi è il rischio di lasciare il sistema informatico sguarnito della tutela penale.

Ad esempio la Sentenza n°10083/2015 in riferimento alla fattispecie concreta in cui un ex socio e collaboratore, dopo la comunicazione di cessazione del rapporto di lavoro, aveva copiato l’archivio informatico su supporto ottico e cancellato alcuni files all’interno del sistema aziendale, la Corte di Cassazione ha annullato la condanna per accesso abusivo a un sistema informatico anche se la condotta fattuale risultava pacifica.

Emergeva, infatti, nel processo di primo grado che l’imputato aveva sottoscritto un regolamento deontologico dove si faceva divieto assoluto di “copiare o duplicare files di dati di proprietà che esulano dal trattamento dei dati di propria competenza o dalla semplice copia di backup degli stessi” Tale regolamento, quindi, non escludeva categoricamente la possibilità per gli utenti abilitati al sistema di copiare o duplicare files, ma limitava tale facoltà agli usi professionali.

Orbene, la Corte di Cassazione, ancorché provato l’utilizzo di tali dati copiati per la successiva attività concorrenziale dell’imputato, ha cassato la sentenza di condanna poiché non vi era prova che l’accesso al sistema e la consequenziale attività di copia dei files funzionale alle finalità di trattamento dei dati di competenza dell’accusato. Lasciando pertanto esule da ogni giudizio il successivo utilizzo di tali files da parte dell’imputato.

Conclusioni

In conclusione la sentenza n° 32666 /15, consolidando l’interpretazione della fattispecie delineata dalle Sezioni Unite dove risulta irrilevante la finalità e lo scopo dell’accesso al sistema informatico, nonché l’eventuale successivo utilizzo illecito dei dati (anche se voluto dall’utente al momento dell’accesso abusivo), deve far riflettere i titolari di sistemi informatici sulle proprie policy di utilizzo del sistema da parte degli utenti che a vario titolo utilizzano il sistema informatico. Infatti se non vi è sufficiente chiarezza su ciò che è consentito (e con quali modalità) e ciò che non è consentito, l’unica tutela in caso di accesso abusivo al sistema informatico e delle relative informazioni ivi contenute sarà soltanto quella nei confronti dei soggetti totalmente privi di autorizzazione.

Riproduzione riservata ©

ALTRE NEWS

La “lunga gestazione” della fatturazione elettronica nei rapporti con la PA

La polemica sarebbe lo scontato avvio di questo articolo e invece la chiave di “scrittura” prescelta, molto più eloquente di ogni critica, è quella di… Leggi Tutto

Jobs Act: controllo a distanza e verifiche aziendali

Articolo pubblicato su Punto Informatico Dopo l’approvazione del Consiglio dei Ministri lo scorso 4 Settembre, sono stati finalmente pubblicati in Gazzetta Ufficiale, i decreti attuativi… Leggi Tutto

Piano ispettivo del Garante: cosa ci aspetta nel prossimo semestre

Scarsa informazione e poca attenzione alla sicurezza dei dati personali. E’ quanto emerge dal resoconto relativo all’attività ispettiva e sanzionatoria condotta dal Garante nel corso… Leggi Tutto

AziendaSpeech & Eventi

COLIN & PARTNERS

CHI SIAMO

Consulenza legale specializzata sul diritto delle nuove tecnologie

CONOSCIAMOCI
CHI SIAMO

Cultura e innovazione

SPEECH & EVENTI

Le nostre competenze a disposizione della vostra azienda

I prossimi appuntamenti

Siamo felici di dare il nostro contributo in numerosi eventi che trattano di nuove tecnologie e business digitale sotto vari aspetti. Il nostro apporto si ispira ai temi di interesse legale che, sempre più spesso, coinvolgono l’intera organizzazione.

Inoltre, a cadenza mensile, organizziamo il Colin Focus Day, un incontro di approfondimento gratuito sempre molto apprezzato. A Milano, o in videoconferenza, il Colin Focus Day è occasione di confronto e networking su temi legali-informatici e business.

CONTATTACI

OPERIAMO
A LIVELLO
GLOBALE

Tel. +39 0572 78166

Tel. +39 02 87198390

info@consulentelegaleinformatico.it

Compila il form






    * Informativa Privacy Autorizzo il trattamento dei miei dati personali secondo quanto stabilito dal regolamento europeo per la protezione dei dati personali n. 679/2016, GDPR.

    * (campo obbligatorio)
    Questo sito è protetto da reCAPTCHA e vengono applicate l' Informativa sulla Privacy e i Termini e Condizioni di Google.