Ai fini della configurabilità del reato di accesso abusivo ad un sistema informatico, risulta decisiva la finalità perseguita dall’agente che abbia effettuato l’accesso tramite password regolarmente posseduta. Il reato sussiste infatti laddove il potere di accesso sia esercitato in contrasto con gli scopi che sono a base dell’attribuzione del potere stesso oppure in contrasto con le regole dettate dal titolare o dall’amministratore del sistema.
Così la Corte di Cassazione con la sentenza n. 34296/20, depositata il 2 dicembre. La Corte d’Appello di Venezia confermava la decisione di primo grado con cui un imputato era stato condannato per il reato di accesso abusivo ad un sistema informatico art. 615 ter c.p. . L’imputato si era infatti introdotto abusivamente nel sistema informatico di uno studio professionale e di alcune società di cui era socio al fine di effettuare il backup dei dati inseriti in vista dello svolgimento di una autonoma attività professionale . La difesa ha proposto ricorso in Cassazione sostenendo l’impossibilità di configurare il reato in quanto l’imputato era in possesso delle chiavi di accesso ai sistemi informatici in qualità di socio. La Corte ritiene infondato il ricorso. Richiamando la pronuncia del Supremo Consesso n 4694/11, i Giudici ricordano che la fattispecie criminosa in parola risulta integrata dalla condotta di accesso o di mantenimento nel sistema da parte di soggetto abilitato all’accesso, perché dotato di password , ma attuata per scopi o finalità estranei a quelli per i quali la facoltà di accesso gli era stata attribuita . La pronuncia richiamata ha inoltre ritenuto che rilevante debba considerarsi il profilo oggettivo dell’accesso e del trattenimento nel sistema informatico da parte di un soggetto non autorizzato ad accedervi ed a permanervi, sia quando violi i limiti risultanti dal complesso delle prescrizioni impartite dal titolare del sistema con riferimento alla violazione delle prescrizioni contenute in disposizioni organizzative interne, in prassi aziendali o in clausole di contratti individuali di lavoro , sia quando ponga in essere operazioni di natura ontologicamente diversa da quelle di cui sarebbe stato incaricato ed in relazione alle quali l’accesso è a lui consentito, con ciò venendo meno il titolo legittimante l’accesso e la permanenza nel sistema . Facendo riferimento anche alla più recente sentenza n. 41210/17 delle medesime Sezioni Unite, la pronuncia in oggetto ribadisce che ciò che risulta decisivo ai fini della valutazione della liceità o meno dell’accesso è la finalità perseguita dall’agente , che deve essere confacente alla ratio sottesa al potere di accesso, il quale mai può essere esercitato in contrasto con gli scopi che sono a base dell’attribuzione del potere, nonché, com’è stato già rimarcato, in contrasto con le regole dettate dal titolare o dall’amministratore del sistema. Tanto vale per i pubblici dipendenti ma, stante l’identità di ratio , anche per i privati , allorché operino in un contesto associativo da cui derivino obblighi e limiti strumentali alla comune fruizione dei dati contenuti nei sistemi informatici . In conclusione, avendo la pronuncia impugnata correttamente applicato i suddetti insegnamenti giurisprudenziali, la Corte rigetta il ricorso.
Corte di Cassazione, sez. V Penale, sentenza 2 ottobre – 2 dicembre 2020, n. 34296 Presidente Bruno – Relatore Settembre Ritenuto in fatto 1. La Corte d’appello di Venezia ha confermato la decisione di primo grado, che aveva condannato B.M. per il reato di cui all’art. 615-ter c.p All’imputato è contestato di essersi introdotto abusivamente net sistema informatico dello Studio C. Associati di B. Rag. M. e C. Rag. A. , a cui era associato, e della società C.B. Due di C.A. e B.M. s.n.c. , di cui era socio, per effettuare il backup dei dati in esso inseriti, in vista detto svolgimento di una autonoma attività professionale. 2. Contro la sentenza suddetta ha proposto ricorso per Cassazione il difensore dell’imputato, con due motivi. 2.1. Col primo si duole della erronea applicazione dell’art. 615-ter c.p., derivante dal fatto che l’ingresso nel sistema informatico sopradetto non era stato affatto abusivo, essendo B. socio dello Studio e dell’Associazione professionale e in possesso, come tale, delle chiavi di accesso al sistema, oltre che titolare di tale sistema informatico . Rimarca il fatto che nessuna regola, nemmeno interna, vietava all’imputato di effettuare il backup dei dati in questione. 2.2. Col secondo motivo lamenta che l’imputato sia stato condannato al pagamento di una provvisionale significativa 50.000 Euro senza adeguata motivazione e, soprattutto che, senza motivazione, la sospensione condizionale della pena - concessa per il comportamento e la personalità dell’imputato - sia stata subordinata al pagamento della provvisionale suddetta. Considerato in diritto Il ricorso è infondato. 1. L’art. 615-ter c.p. sanziona, al comma 1, il comportamento di chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo . Il comma 2 prevede un aggravamento di pena se il fatto è commesso da un pubblico ufficiale o da un incaricato di un pubblico servizio, con abuso dei poteri o con violazione dei doveri inerenti alla funzione o al servizio, o da chi esercita anche abusivamente la professione di investigatore privato, o con abuso detta qualità di operatore del sistema. L’accesso è abusivo - per dettato normativo - qualora avvenga mediante superamento e violazione delle chiavi fisiche ed informatiche di accesso o delle altre esplicite disposizioni su accesso e mantenimento date dal titolare del sistema. Le Sezioni Unite di questa Corte sentenza n. 4694 del 27/10/2011, rv 251270-01 hanno affrontato la questione se integri la fattispecie criminosa di accesso abusivo ad un sistema informatico o telematico protetto la condotta di accesso o di mantenimento nel sistema da parte di soggetto abilitato all’accesso, perché dotato di password, ma attuata per scopi o finalità estranei a quelli per i quali la facoltà di accesso gli era stata attribuita, ed hanno ritenuto che rilevante debba considerarsi il profilo oggettivo dell’accesso e del trattenimento nel sistema informatico da parte di un soggetto non autorizzato ad accedervi ed a permanervi, sia quando violi i limiti risultanti dal complesso delle prescrizioni impartite dal titolare del sistema con riferimento alla violazione delle prescrizioni contenute in disposizioni organizzative interne, in prassi aziendali o in clausole di contratti individuali di lavoro , sia quando ponga in essere operazioni di natura ontologicamente diversa da quelle di cui sarebbe stato incaricato ed in relazione alle quali l’accesso è a lui consentito, con ciò venendo meno il titolo legittimante l’accesso e la permanenza nel sistema. Più recentemente le Sezioni Unite sentenza n. 41210 del 18/5/2017, rv 271061-01 sono tornate sul tema dell’accesso operato da chi sia munito di apposite chiavi e sia abilitato a farlo, ma lo faccia in violazione delle norme pubblicistiche che disciplinano l’operato dei pubblici dipendenti e che indirizzano verso finalità di pubblico interesse l’attività della pubblica amministrazione. Ebbene, richiamato il principio di cui alla L. n. 241 del 1990, art. 1, in base al quale l’attività amministrativa persegue fini determinati dalla legge ed è retta da criteri di economicità, efficacia, imparzialità, pubblicità, trasparenza, secondo le modalità previste dalla presente legge e dalle disposizioni che disciplinano singoli procedimenti, nonché dai principi dell’ordinamento comunitario , le Sezioni Unite sopra richiamate hanno ribadito l’illiceità ed abusività di qualsiasi comportamento che con tale obiettivo si ponga in contrasto, manifestandosi in tal modo la ontologica incompatibilità dell’accesso al sistema informatico, connaturata ad un utilizzo dello stesso estraneo alla ratio del conferimento del relativo potere. Decisiva, quindi, per giudicare della liceità dell’accesso effettuato da chi sia abilitato ad entrare in un sistema informatico, è, per la giurisprudenza di legittimità, la finalità perseguita dall’agente, che deve essere confacente alla ratio sottesa al potere di accesso, il quale mai può essere esercitato in contrasto con gli scopi che sono a base dell’attribuzione del potere, nonché, com’è stato già rimarcato, in contrasto con le regole dettate dal titolare o dall’amministratore del sistema. Tanto vale per i pubblici dipendenti ma, stante l’identità di ratio, anche per i privati, allorché operino in un contesto associativo da cui derivino obblighi e limiti strumentali alla comune fruizione dei dati contenuti nei sistemi informatici. In tal caso la limitazione deriva non già da norme pubblicistiche, che non esistono, ma dai principi della collaborazione associativa, che hanno, come base necessaria, il conferimento di beni, utilità, diritti e quant’altro funzionali al perseguimento dello scopo comune e impongono l’utilizzo degli stessi in conformità allo scopo suddetto. Anche l’accesso ai sistemi informatici predisposti a servizio dell’attività comune deve avvenire, quindi, in conformità alla ratio attributiva del potere, configurandosi come abusivo, ai sensi dell’art. 615 ter, ogni accesso che risulti con esso incompatibile. Nella specie, il diritto di accesso ai sistemi informatici dello Studio C. Associati di B. Rag. M. e C. Rag. A. e della società C.B. Due di C.A. e B.M. s.n.c. era stato riconosciuto a favore di B.M. per il perseguimento degli scopi propri dell’associazione e della società personale, per cui l’aver acceduto a quei sistemi per estrapolarne i dati in esso contenuti e servirsene per finalità esclusive concreta un accesso abusivo, sanzionabile ai sensi della norma suddetta. 2. Infondato è anche il secondo motivo di ricorso. La pronuncia circa l’assegnazione di una provvisionale in sede penale ha carattere meramente delibativo e non acquista efficacia di giudicato in sede civile, mentre la determinazione dell’ammontare della stessa è rimessa alla discrezionalità del giudice del merito che non è tenuto a dare una motivazione specifica sul punto. Ne consegue che il relativo provvedimento non è impugnabile per cassazione in quanto, per sua natura insuscettibile di passare in giudicato, è destinato ad essere travolto dall’effettiva liquidazione dell’integrale risarcimento Cass., 40410 del 18/3/2004, Rv 230105. Cass., n. 36536 del 2003 Rv. 226454, N. 36760 del 2004 Rv. 230271, N. 40410 del 2004 Rv. 230105, N. 5001 del 2007 Rv. 236068, N. 34791 DEL 2010, Rv 248348 . Tanto, a meno che l’ammontare della provvisionale non sia ictu oculi esorbitante in relazione al danno provvisoriamente accertato il che è da escludere nella specie, stante l’importanza delle conseguenze - sulla posizione economica del socio e dell’associato - ricollegabili al comportamento illecito dell’imputato. Quanto alla sospensione condizionale della pena, nulla impediva al giudicante di subordinarla all’adempimento delle obbligazioni civili, giacché l’art. 165 c.p. attribuisce al giudice di merito tale potere ove abbia proceduto direttamente alla quantificazione dell’obbligo risarcitorio del condannato ovvero abbia assegnato una provvisionale ex multis, cass., n. 20502 del 14/1/2019 . Consegue a tanto che il ricorso, infondato sotto entrambi i profili esaminati, va rigettato e il ricorrente condannato al pagamento delle spese processuali. P.Q.M. Rigetta il ricorso e condanna la ricorrente al pagamento delle spese processuali.