Sistema informatico e i limiti di accesso: senza non c’è tutela penale
La sentenza sull’accesso abusivo ai sistemi informatici
Con la sentenza 32666 del 24.07.2015 la 5° Sezione della Corte di Cassazione, torna nuovamente a delineare il profilo del reato di cui all’Art. 615 ter c.p. (“accesso abusivo ai sistemi informatici”).
Con questa Sentenza, la Suprema Corte consolida il proprio orientamento già espresso dalle Sezioni Unite nel 2012 (4694 del 27 Ottobre) dove, attraverso la propria funzione nomofilattica, componeva un contrasto giurisprudenziale circa la rilevanza o meno delle finalità o scopi illeciti dell’autore del Reato.
Di fatto viene ulteriormente ribadito che la finalità e lo scopo illecito voluto dall’autore dell’accesso informatico, se munito di autorizzazione al momento dell’accesso, non hanno alcun peso nella valutazione del reato.
Come è noto e pacifico in giurisprudenza, la norma posta a presidio del domicilio informatico, Art. 615 ter c.p., vede due distinte e alternative ipotesi di reato:
- la prima consistente nell’accesso a un sistema informatico protetto da misure di sicurezza da parte di chi in nessun modo abbia diritto a accedervi. In tale caso è pacifica la caratterizzazione della condotta costituente illecito penale come è pacifica la manifestazione della volontà del titolare del sistema informatico di escludere (ius excludendi) gli utenti non autorizzati mediante l’apposizione di misure di sicurezza (login e password solitamente)
- la seconda modalità di consumazione del reato si ha quando chi, autorizzato dal titolare del sistema informatico, vi acceda o vi si mantenga (quindi dopo aver acceduto legittimamente allo stesso) contro la volontà espressa e tacita dello stesso.
La seconda tipologia di condotta ha portato nel tempo a differenti interpretazioni spesso contrastanti tra di loro.
Le interpretazioni
Una prima interpretazione dava privilegio agli scopi e alle finalità perseguite dal soggetto che, anche se autorizzato formalmente all’accesso al sistema informatico, permaneva all’interno dello stesso per finalità e scopi diversi da quelli per cui era autorizzato e quindi contro la volontà (tacita) del titolare del sistema.
Di converso altro filone giurisprudenziale riteneva che nella valutazione della condotta dell’agente non poteva, e non doveva, aver rilievo la finalità e lo scopo dello stesso, ma ci si doveva attenere ad un profilo strettamente oggettivo basandosi sulle prescrizioni impartite dal titolare del sistema per limitarne oggettivamente l’accesso.
La sentenza in oggetto, sposando sostanzialmente quanto già affermato dalle Sezioni Unite ha ulteriormente confermato l’interpretazione circa l’irrilevanza ai fini della configurazione del reato delle finalità e degli scopi, ancorché illeciti, dell’autore dell’accesso abusivo al sistema informatico, privilegiando e dando rilevanza, ai fini dell’integrazione della fattispecie di reato, alla non conformità della condotta dell’utente sul piano oggettivo ai limiti individuati dal titolare del sistema informatico mediante il complesso delle prescrizioni impartite.
Come tutelarsi dal punto di vista penale: il Regolamento Informatico
Aderendo al prevalente indirizzo giurisprudenziale sopra detto, il titolare che vorrà tutelare il proprio sistema informatico e i dati ivi inclusi, sotto il profilo penale, dagli utenti che già hanno accesso allo stesso (quali ad esempio, dipendenti, soci o collaboratori), dovrà dotarsi di idonee prescrizioni delimitative delle facoltà e modalità di utilizzo dello stesso.
Le prescrizioni d’uso impartite quali ad esempio il regolamento informatico aziendale, il contratto di lavoro o di collaborazione, la prassi aziendale etc., dovranno essere ben dettagliate altrimenti vi è il rischio di lasciare il sistema informatico sguarnito della tutela penale.
Ad esempio la Sentenza n°10083/2015 in riferimento alla fattispecie concreta in cui un ex socio e collaboratore, dopo la comunicazione di cessazione del rapporto di lavoro, aveva copiato l’archivio informatico su supporto ottico e cancellato alcuni files all’interno del sistema aziendale, la Corte di Cassazione ha annullato la condanna per accesso abusivo a un sistema informatico anche se la condotta fattuale risultava pacifica.
Emergeva, infatti, nel processo di primo grado che l’imputato aveva sottoscritto un regolamento deontologico dove si faceva divieto assoluto di “copiare o duplicare files di dati di proprietà che esulano dal trattamento dei dati di propria competenza o dalla semplice copia di backup degli stessi” Tale regolamento, quindi, non escludeva categoricamente la possibilità per gli utenti abilitati al sistema di copiare o duplicare files, ma limitava tale facoltà agli usi professionali.
Orbene, la Corte di Cassazione, ancorché provato l’utilizzo di tali dati copiati per la successiva attività concorrenziale dell’imputato, ha cassato la sentenza di condanna poiché non vi era prova che l’accesso al sistema e la consequenziale attività di copia dei files funzionale alle finalità di trattamento dei dati di competenza dell’accusato. Lasciando pertanto esule da ogni giudizio il successivo utilizzo di tali files da parte dell’imputato.
Conclusioni
In conclusione la sentenza n° 32666 /15, consolidando l’interpretazione della fattispecie delineata dalle Sezioni Unite dove risulta irrilevante la finalità e lo scopo dell’accesso al sistema informatico, nonché l’eventuale successivo utilizzo illecito dei dati (anche se voluto dall’utente al momento dell’accesso abusivo), deve far riflettere i titolari di sistemi informatici sulle proprie policy di utilizzo del sistema da parte degli utenti che a vario titolo utilizzano il sistema informatico. Infatti se non vi è sufficiente chiarezza su ciò che è consentito (e con quali modalità) e ciò che non è consentito, l’unica tutela in caso di accesso abusivo al sistema informatico e delle relative informazioni ivi contenute sarà soltanto quella nei confronti dei soggetti totalmente privi di autorizzazione.