Accesso abusivo - Cassazione Penale: il comportamento del soggetto abilitato che viola le norme di sicurezza del sistema protetto integra il reato di accesso abusivo a sistema informatico

Ribadendo il proprio orientamento la Corte di Cassazione ha stabilito che integra il reato di accesso abusivo a sistema informatico, ai sensi dell’articolo 615-ter Codice Penale, il comportamento del soggetto adeguatamente abilitato che acceda all’interno del sistema violando le norme di sicurezza predisposte dal titolare per limitarne e precluderne l’accesso e l’utilizzo.

 

Il caso in esame

L’imputato, ex dipendente accusato di aver copiato, al momento delle dimissioni, file contenenti dati riservati del proprio datore di lavoro, ha proposto ricorso avverso la sentenza di primo grado emessa dal Tribunale di Bologna, che configurava in capo allo stesso, in continuazione tra loro, i reati di accesso abusivo a sistemi informatici, ai sensi dell’articolo 615-ter Codice Penale, di furto di file contenenti dati riservati e di tentata rivelazione di segreti industriali secondo gli articoli 56 e 623 Codice Penale.

 

La decisione

La Corte, riferendosi all’orientamento espresso in una sua precedente pronuncia, ha affermato che: “integra il delitto previsto dall’art. 615-ter, secondo comma, n. 1, cod. pen. la condotta del pubblico ufficiale o dell’incaricato di un pubblico servizio che, pur essendo abilitato e pur non violando le prescrizioni formali impartite dal titolare di un sistema informatico o telematico protetto per delimitarne l’accesso, acceda o si mantenga nel sistema per ragioni ontologicamente estranee rispetto a quelle per le quali la facoltà di accesso gli è attribuita”.

Le Sezioni Unite, in un precedente orientamento, hanno stabilito che: “ai dipendenti che, nella loro qualità, debbono operare su registri informatizzati è imposta l’osservanza sia delle disposizioni di accesso, secondo i diversi profili per ciascuno di essi configurati, sia delle disposizioni del capo dell’ufficio sulla gestione dei registri, sia del rispetto del dovere loro imposto dallo statuto personale di eseguire sui sistemi attività che siano in diretta connessione con l’assolvimento della propria funzione”.

Deve, dunque, manifestarsi «l’ontologica incompatibilità» dell’accesso al sistema informatico.

Basandosi su queste premesse, la giurisprudenza della Corte ritiene che occorre far riferimento ai limiti di autorizzazione di accesso caratterizzanti la competenza del soggetto agente, dato che: “l’accesso abusivo ad un sistema informatico consiste nella obiettiva violazione delle condizioni e dei limiti risultanti dalle prescrizioni impartite dal titolare del sistema per delimitarne l’accesso”.

Quanto, dunque, alla posizione aziendale dell’imputato, riconosciuto dal Tribunale di primo grado come alter ego dell’imprenditore con mansioni dirigenziali e contestata, la Corte ha specificato che, successivamente all’analisi dei teste era emersa la gamma di mansioni di cui era titolare l’imputato. Si rileva anche che “il pacifico possesso delle password per il settore tecnico dimostrava la possibilità indiscriminata del (omissis) di accedere a tutte le informazioni”.

Con riguardo al fatto che “il ricorrente lamenta contraddittorietà e manifesta illogicità della motivazione, in relazione alla conservazione e manipolazione dei dati presenti sul personal computer”, la valutazione della Corte si è basata sulla considerazione che un teste aveva dichiarato di aver copiato tutti i dati contenuti nel personal computer dell’imputato, il quale si era opposto alla sua restituzione. Si è, così, dato un forte valore al comportamento dell’imputato configurandosi il “tentativo di opporsi alla restituzione del computer aziendale, alla mascheratura decettiva dei dati caricati nella cartella «foto», alla cancellazione di tutti i dati eseguiti dall’imputato, nell’evidente tentativo di cancellare le tracce della sua condotta, tuttavia tardivamente, e cioè quando (omissis) aveva già copiato il contenuto dell’hard disk”.

 

Le informazioni segrete

Relativamente alla configurazione dell’art. 615-ter Codice di Procedura Penale, le informazioni sarebbero state classificate come dati relativi al segreto industriale. L’imputato contesta questa qualificazione, sostenendo “che non era stata neppure dimostrata l’esistenza di segreti industriali nella nozione delineata dall’art. 98 del Codice della proprietà industriale” in quanto tale articolo “tutela come diritto di proprietà industriale le informazioni aziendali e le esperienze tecnico-industriali, comprese quelle commerciali, soggette al legittimo controllo del detentore”. Queste informazioni devono essere:

• segrete;
• con valore economico derivante dalla segretezza;
• sottoposte a misure adeguate a mantenerle segrete.

In riferimento all’articolo 623 Codice penale, in tema di rivelazione di segreti scientifici e industriali, oggetto della tutela penale “deve ritenersi il segreto industriale in senso lato, intendendosi per tale quell’insieme di conoscenze riservate e di particolari modus operandi in grado di garantire la riduzione al minimo degli errori di progettazione e realizzazione e dunque la compressione dei mezzi di produzione”. La Corte ha stabilito che non sia necessaria un’identità di oggetto tra l’articolo 98 Codice della proprietà industriale e l’articolo 623 Codice Penale.

La Corte di Cassazione ha, dunque, rigettato il ricorso.

(Corte di Cassazione - Sezione Quinta Penale, Sentenza (ud. 20-09-2018) 25-10-2018, n. 48895)

 

Sul medesimo argomento si veda anche:

• “IT- Cassazione Penale: commette il reato il Carabiniere che accede al sistema informatico per ragioni di natura privata” di Lorenzo Pispero.
• “IT- Cassazione Penale: può configurarsi l’accesso abusivo ad un sistema informatico attraverso lo sviamento di potere” di Lorenzo Pispero.
• “IT- Cassazione Penale: rimessa alle Sezioni Unite la questione di configurabilità del reato di accesso abusivo attraverso lo sviamento di potere” di Lorenzo  Pispero.