L’accesso abusivo ad un sistema informatico è sanzionato dall’articolo 615-ter c.p. il quale punisce chiunque “abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo”. Un aggravamento di pena è previsto nell’ipotesi in cui si tratti di un pubblico ufficiale o un incaricato di un pubblico servizio e la condotta sia posta in essere con abuso dei poteri o violazioni dei doveri inerenti alla funzione o al servizio.
Recentemente la Corte di Cassazione è intervenuta con due sentenze molto interessanti sul tema: Cass. n. 34296/2020 e Cass. n. 72/2021 le quali hanno affrontato un quesito centrale in materia: è integrato il reato quando il soggetto è dotato delle password e si trattiene nel sistema per svolgere attività diverse a quelle per le quali gli è stato concesso l’accesso?
Già nel 2011 le SS.UU. (Sentenza Casani, Cass. 4964/2011) avevano affrontato tale questione ed avevano risposto affermativamente.
In particolare, secondo la Cassazione tale fattispecie si applicherebbe sia quando vengono violati i limiti complessivi contenuti in prescrizioni impartite dal titolare del sistema (ad esempio tramite disposizioni organizzative interne o nel contratto), sia quando il soggetto pone in essere operazioni “ontologicamente diverse” da quelle per le quali gli è stato concesso l’accesso. In questa sentenza, però, poca o nessuna attenzione veniva data alla finalità dell’agente.
Sempre le SS.UU. nel 2017 (Sent. 41210/2017) avevano ribadito l’illiceità dell’accesso effettuato da chi è munito di apposita chiave, ed è abilitato a farlo, ma lo fa violando le norme che disciplinano il pubblico impiego (in questo caso l’imputato era infatti un pubblico dipendente).
Con la sentenza n. 34296/2020, la Suprema Corte (nell’affrontare un caso riguardante un socio di uno studio professionale associato che, volendo avviare attività autonoma in proprio, aveva copiato dai computer dello studio file contenenti i dati relativi al patrimonio clienti) ha affermato che ciò che rileva è il fine perseguito dall’agente:
Decisiva, per giudicare della liceità dell’accesso effettuato da chi sia abilitato ad entrare in un sistema informatico, è, per la giurisprudenza di legittimità, la finalità perseguita dall’agente, che deve essere confacente alla ratio sottesa al potere di accesso, il quale mai può essere esercitato in contrasto con gli scopi che sono a base dell’attribuzione del potere, nonché in contrasto con le regole dettate dal titolare o dall’amministratore del sistema.
Anche la sentenza n. 72/2021 conferma l’orientamento predominante, concentrandosi in particolare sul valore delle “password”:
[…] in tema di accesso abusivo ad un sistema informatico o telematico ex art. 615-ter c.p., non rileva la circostanza che le chiavi di accesso al sistema informatico protetto siano state comunicate all’autore del reato, in epoca antecedente rispetto all’accesso abusivo, dallo stesso titolare delle credenziali, qualora la condotta incriminata abbia portato ad un risultato certamente in contrasto con la volontà della persona offesa ed esorbitante l’eventuale ambito autorizzatori.
Questo perché l’elemento centrale della fattispecie è la violazione obiettiva delle condizioni e dei limiti risultanti dalle prescrizioni impartite dal titolare del sistema per delimitarne l’accesso, compiuta nella consapevolezza di porre in essere una volontaria intromissione nel sistema in violazione delle regole imposte dal “dominus soci“.
In che modo questa sentenza rileva per la responsabilità degli enti ex d.lgs 231/2001?
Ai sensi dell’art. 24 bis (vi abbiamo parlato di reati privacy e reati 231 qui), una società potrà essere ritenuta responsabile ex 231 anche nel caso in cui venga commesso un accesso abusivo a sistema informatico.
L’art. 615-ter c.p. rientra, infatti, tra i reati presupposto previsti dal d.lgs 231/2001, ragione per la quale per una efficace prevenzione dei c.d. cybercrimes dovrà essere svolta una attività di attenta formazione del personale.
Per questo motivo, è di massima importanza che nell’attività di prevenzione dei reati e di formazione del personale venga prestata particolare attenzione da parte del titolare a tutte quelle azioni che potrebbero rientrare nella categoria dei cd. cybercrimes.
Particolare importanza avrà, in ultima battuta, la formazione dei dipendenti.