Accesso abusivo del direttore che utilizza le credenziali di un suo collaboratore senza specifica autorizzazione

Il delitto è integrato se il dipendente, violando le direttive del datore di lavoro, si faccia rivelare le credenziali di accesso ad un sistema informatico aziendale dal titolare anche se quest'ultimo si trova in una posizione gerarchicamente inferiore rispetto all'imputato. Per i giudici di legittimità, è sufficiente a rendere manifeste direttive del datore di lavoro la protezione dei dati mediante una password.

La fattispecie concreta Un uomo viene condannato in prime cure per il delitto punito dall'articolo 615-ter c.p. perché, quale impiegato di una struttura recettizia, acquisendo da una dipendente della società di un sistema informatico violato le credenziali di accesso al sistema informatico protetto aziendale, accedeva abusivamente al predetto per scopi estranei al mandato ricevuto c.d. accesso disfunzionale . Viene invece assolto dal delitto di frode informatica ex articolo 640-ter c.p La Corte di appello conferma la pronuncia di primo grado. Avverso tale ultima sentenza interpone ricorso per cassazione l'imputato deducendo, nel terzo motivo di gravame, la nullità della sentenza per difetto di correlazione tra imputazione e condanna perché l'imputazione individuava quale condotta illecita un accesso disfunzionale ossia da parte di un soggetto teoricamente autorizzato ma che lo compie per motivi e finalità diverse da quelle per cui potrebbe farlo . In altro motivo si assume la manifesta illogicità della motivazione, sul piano del travisamento della prova in quanto la Corte territoriale avrebbe fondato il suo errato giudizio di disfunzionalità nell'accesso esclusivamente sulla circostanza smentita dalle risultanze istruttorie e dall'assoluzione dell'altro reato contestato che l'imputato avesse effettuato l'esportazione dei dati su un computer diverso da quello aziendale. Se anche solo uno dei motivi su un ‘capo' di imputazione non è inammissibile scatta la prescrizione La Suprema Corte ritiene infondato il ricorso ciò impone la declaratoria di estinzione del reato per prescrizione maturata il 26 gennaio 2024, considerati i 300 giorni di sospensione e la conferma delle statuizioni civili non essendovi elementi tali da consentire un annullamento per valutare una pronuncia assolutoria . A salvare l'imputato dall'inammissibilità del ricorso è il terzo motivo che supera il terribile vaglio dell'ammissibilità e, consequentur, fa scattare la prescrizione, nelle more del giudizio di cassazione. I giudici di legittimità precisano subito che solo l'inammissibilità, mancando l'instaurazione di un valido rapporto processuale, preclude il rilievo dell'estinzione del reato per prescrizione maturata dopo la sentenza di appello da ultimo Sezioni Unite, numero 12602/2015 . Invece, l'ammissibilità anche solo di un motivo su un determinato capo di imputazione comporta la valida instaurazione di un valido rapporto processuale d'impugnazione su di esso comporta la declaratoria della prescrizione e, se c'è costituzione di parte civile, la verifica della fondatezza della domanda civile Sezioni Unite, numero 35490/2009 e 40109/2013 , come di recente confermato dalle Sezioni Unite numero 36208/2024. Per i giudici della quinta sezione di legittimità, le censure mosse alla sentenza impugnata, pur prossime all'inammissibilità sollecitando, in definitiva, una rivalutazione di merito non sono tutte e prima facie pretestuose e prive di qualsivoglia serietà, risultando tuttavia infondate. Capo di imputazione poco chiaro ma contestato nel modo più logico In particolare, è infondato il terzo motivo di ricorso. Non è vero, come sostiene il ricorrente, che l'imputato sia stato condannato per un fatto accesso non autorizzato tout court in realtà mai contestato in tali termini in quanto risulta pacifico quanto descritto nel capo di imputazione ovvero, l'ingresso nella banca dati, da parte dell'imputato, attraverso le credenziali dategli da una dipendente della società titolare del sistema informatico violato. Invece, è vero che, come lamenta l'imputato, nella medesima rubrica fosse anche indicato il c.d. accesso disfunzionale. Tuttavia, ciò non implica che l'accusa ritenuta non fosse anche contestata, bensì solo la scarsa chiarezza del capo di imputazione che potrebbe causare una nullità relativa dove ritualmente eccepita, a differenza del caso di specie . La poca chiarezza non toglie che, da un lato la Corte di appello abbia interpretato la contestazione nel modo più logico – per gli ermellini, sarebbe francamente un non senso che l'imputato avesse diritto di accedere ad un sistema informatico di cui non aveva le credenziali di accesso, tanto da richiederle ad altro personale, peraltro a lui subordinato e, dall'altro, che l'imputato si è ben potuto difendere appieno dall'accusa come ritenuta nei suoi confronti. Il reato di accesso abusivo scatta se il sistema informatico è protetto da una password La Suprema Corte avalla il percorso logico-giuridico seguito nell'ordito motivazionale dalla Corte di Appello, laddove ritiene maggiormente credibile la tesi secondo cui l'indisponibilità delle credenziali in capo al ricorrente provasse la sua carenza di potere al riguardo e il divieto implicito ma chiaro impostogli dal datore di lavoro. Non è poi necessario scoprire le ragioni dell'accesso abusivo nel diritto penale, infatti, di regola, i motivi sono irrilevanti in quanto secondo la norma incriminatrice è sufficiente che avvenga l'accesso ad un sistema protetto da una password Sez. II, numero 36721/2008 ciò che, di per sé, viola i limiti in tal senso posti dal titolare di quei dati Sez. II, numero 52680/2014 . Le direttive del datore di lavoro ricavabili dalla protezione mediante credenziali di accesso I giudici della quinta sezione di cassazione, in definitiva, affermano, sul versante prettamente di diritto penale sostanziale, con riferimento alla figura criminosa ex articolo 615-ter c.p., che viola le direttive quand'anche implicite, ma chiare del datore di lavoro il dipendente che, pur in posizione gerarchicamente sovraordinata rispetto al titolare delle credenziali di accesso ad un sistema informatico aziendale, se le faccia rivelare per farvi ingresso senza averne specifica autorizzazione essendo sufficiente a rendere manifeste tali direttive la stessa protezione dei dati mediante credenziali di accesso.

 Presidente Pezzullo - Relatore Cavallone Ritenuto in fatto 1. La Corte d'appello di Firenze ha confermato la condanna emessa nei riguardi di Ca.Sa. dal Tribunale di Siena per il reato di cui all'articolo 615-ter cod. penumero , perché quale impiegato presso la struttura ricettivo-alberghiera Omissis di C, acquisendo da altra impiegata le credenziali di accesso al sistema informatico protetto aziendale denominato Omissis per l'archiviazione e la gestione a fini promozionali del parco clienti comprensivo di circa 90.000 schede individuali, faceva accesso abusivo al predetto sistema informatico per scopi estranei al mandato ricevuto c.d. accesso disfunzionale . In C il giorno 1.10.2015 . L'imputato veniva invece assolto dal delitto ex articolo 640-ter cod. penumero  di cui al capo B e, conseguentemente, era esclusa, per il delitto ritenuto sussistente, l'aggravante della connessione teleologica ex articolo 61, numero 2, cod. penumero 2. L'imputato, col suo difensore, ha proposto ricorso in Cassazione. 2.1. Col primo motivo si censura la manifesta illogicità e la carenza di motivazione della pronuncia della Corte d'appello, laddove ha ritenuto contestata nel capo di imputazione l'assoluta carenza, a favore del Ca.Sa., del potere di accedere al sistema informatico in questione, nonostante nello stesso capo si parlasse di accesso per scopi estranei al mandato ricevuto c.d. accesso disfunzionale . Tale carenza, desumibile secondo la Corte d'appello dalla circostanza contenuta nel capo d'imputazione che l'imputato, per accedere al sistema, avesse chiesto le credenziali ad un'impiegata, in realtà non avrebbe potuto considerarsi insita nella rubrica, poiché la ricezione delle dette credenziali da una dipendente non implicava affatto che non vi fosse legittimazione all'accesso. L'espressa contestazione della disfunzionalità implicava, per contro, che un accesso funzionale e, dunque, lecito da parte del Ca.Sa. fosse possibile. 2.2. Si assume, ancora, col secondo correlato motivo, che proprio perché in posizione apicale, l'imputato era, in effetti, legittimato a chiedere le credenziali alla lavoratrice subordinata, così come si esemplifica sarebbe stato certamente autorizzato a ottenere le chiavi di un magazzino da un magazziniere. Insomma, la carenza, in capo al Ca.Sa., di credenziali personali di accesso non significava che egli, quale direttore della struttura, non avesse il potere di farlo. Si aggiunge, infine, che neppure fosse emerso quale sarebbe stato lo scopo perseguito dall'imputato, rispetto a quello per cui, nella stessa imputazione, si diceva fosse autorizzato all'accesso. 2.3. Col terzo motivo si deduce nuovamente che, assolto dal reato fine di frode informatica, sarebbe spettato alla pubblica accusa dimostrare quale fosse il fine del Ca.Sa. nell'accesso in questione. Allo stesso tempo si sostiene esservi stata violazione degli articolo 522 e 521 cod. proc. penumero , per il difetto di correlazione tra imputazione e condanna, proprio perché, come detto, l'imputazione individuava quale condotta illecita un accesso disfunzionale, motivato cioè da fini diversi da quello per il quale era consentito, derivandone la nullità della sentenza ex articolo 522 cod. proc. penumero 2.4. Col quarto motivo parte ricorrente lamenta la mancanza di motivazione in relazione all'assunta insussistenza dell'autorizzazione all'accesso al sistema informatico da parte dell'imputato. Si deduce che, quale quadro con funzioni direttive, l'imputato non potesse che essere autorizzato anche per controllare il lavoro delle dipendenti a lui sottoposte, titolari delle credenziali di accesso verificando se le stesse procedessero correttamente all'inserimento nella piattaforma Omissis delle email dei clienti e all'invio delle newsletters ad accedere al sistema informatico in questione. Tale potere di controllo era si dice indiscutibile per la funzione propria del direttore, come da CCNL, come desumibile dall'assenza di documenti contrari e dalle dichiarazioni della Ca. secondo cui le era sembrato normale che il direttore le avesse chiesto le credenziali in oggetto ciò che smentiva le dichiarazioni contraddittorie dei testi Ca.Ra. e Ca.Vi. secondo i quali vi sarebbero state specifiche istruzioni contrarie . Non v'era, in ogni caso, prova che all'imputato fosse noto il supposto divieto della proprietà al riguardo, per la prima volta espresso solo il 30/9/2015, e cioè un giorno prima dei fatti oggetto di causa e non con riferimento all'accesso al sistema Omissis , ma ai backup del data base che fino ad allora erano periodicamente rinnovati su una cartella condivisa, senza alcun tipo di protezione divieto si assume ancora che sarebbe stato opposto dal solo Ca.Ra., non da Ca.Vi. proprietario dell'azienda . Ca.Ra. non era, peraltro, credibile allorché aveva asserito di aver vietato al direttore di operare sulla piattaforma Omissis , essendosi contraddetto sulla data in cui aveva dato l'ordine a Pe.Mo. di secretare il backup del data base, e venendo smentito dalla Pe.Mo. sulla pregressa protezione della banca dati con password avendo costei riferito che, fino alle perentorie istruzioni di Ca.Ra. del 30/09/2015, la cartella condivisa contenente il backup di tutti gli indirizzi caricati sul detto sistema era disponibile per chiunque . Ca.Ra. e la Pe.Mo., inoltre, avevano erroneamente affermato che il computer dell'imputato non fosse collegato alla rete aziendale, laddove, su precisazione chiesta alla Pe.Mo., era emerso che anch'egli avesse una postazione informatica all'interno del proprio ufficio e fosse collegato alla rete aziendale e, in ogni caso, egli poteva accedervi da altri computer. Ca.Ra., peraltro, secondo parte ricorrente sarebbe stato smentito dalla Pe.Mo. circa la richiesta della password alla seconda, da parte dell'imputato affermata dal Ca.Ra., negata dalla Pe.Mo. Si sostiene, inoltre, che sarebbe stato strano che la gestione di una banca dati e lo svolgimento di compiti così delicati fossero affidati a due sole dipendenti di inquadramento non certo elevato, senza alcun controllo. Altrettanto singolare, rispetto alla tesi accusatoria, era che fino all'eliminazione il 30/09/2015, su disposizione di Ca.Ra. della cartella condivisa di backup dalla rete, tutti i dipendenti connessi alla rete aziendale potessero tranquillamente consultare i dati in oggetto. Si evidenzia che i rapporti dell'imputato con Ca.Ra. che ne aveva poi preso il posto fossero tesi al momento dei fatti, come traspariva da tutte le testimonianze, mentre quelli tra Ca.Sa. e Ca.Vi. erano ottimali. Insomma, sarebbe stato pacifico che l'imputato avesse comunque pieno accesso a tutti i contenuti della banca dati, sia nella fase della loro raccolta, sia successivamente all'inserimento nel sistema Omissis , in virtù dei periodici backup condivisi sulla rete aziendale. La risposta della Corte d'appello basata sull'acquisizione delle credenziali dalla Ca., da parte dell'imputato il che - secondo il giudice a quo - dimostrava che questi non fosse legittimato ad accedere al sistema , si limitava a sintetizzare la posizione del Tribunale, omettendo di misurarsi con le ragioni prospettate con l'appello. Si sostiene, ancora, da parte ricorrente, che non fosse dato sapere da quali elementi la Corte di Appello avesse desunto che il Ca.Sa. avesse creato una copia della banca dati su un suo computer personale, circostanza esclusa con l'assoluzione dal capo d'imputazione sub B . Si rimarca come la stessa sentenza di secondo grado avesse evidenziato il mero trasferimento di quei dati sul computer del proprio ufficio, luogo sotto controllo del datore di lavoro laddove, per giunta, non s'era considerato che egli avrebbe potuto copiare quegli stessi dati tramite internet da casa secondo la Ca. e la Pe.Mo. . La Corte di Appello avrebbe fondato, in definitiva, il suo errato giudizio di disfunzionalità nell'accesso esclusivamente sulla circostanza smentita dalle risultanze istruttorie e dall'assoluzione dal reato di cui al capo B che il Ca.Sa. avesse effettuato l'esportazione dei dati su un computer diverso da quello aziendale, con grave travisamento delle risultanze istruttorie. 2.5. Col quinto motivo parte ricorrente lamenta la contraddittorietà della motivazione, perché, nonostante l'assoluzione dal delitto di cui al capo B ovvero per aver copiato i dati su un supporto digitale personale , aveva affermato che avesse copiato i dati nel suo computer mentre egli li aveva copiati sul computer aziendale a sua disposizione, connesso alla rete, all'interno di una cartella condivisa come confermato da Ga.Pa. e Pe.Mo. . L'esportazione dei detti dati era avvenuta su domanda della polizia giudiziaria. 2.6. Col sesto motivo si censura la carenza di motivazione sulla ragione per cui l'imputato aveva copiato i dati in questione, ovvero ricreare una cartella da sempre esistita e improvvisamente scomparsa per motivi a lui ignoti, a doverosa tutela dei dati aziendali. Secondo parte ricorrente, la Corte d'appello rimarcando come l'imputato non avesse mai chiesto spiegazioni sulla scomparsa della cartella condivisa, accedendo al sistema con una scusa per estrarne i dati, collocati, poi, sul suo computer, senza ricreare alcuna cartella condivisa aveva omesso di rispondere concretamente ai rilievi suddetti. Poco credibile sarebbe, poi, per parte ricorrente, la deposizione del dipendente Ma. circa il suo rifiuto di dire al Ca.Sa. dove si trovasse un'altra cartella denominata Omissis improvvisamente scomparsa e che, sino a poco tempo prima, era stata condivisa ritenendo, il Ma., tale richiesta anomala nonostante lo stesso teste avesse ammesso che fosse nei poteri del direttore controllare il suo lavoro, che consisteva nell'operare anche sui dati contenuti in tale cartella . Si contrappone, alla detta deposizione del Ma., quella della Ca., a cui, per contro, come detto, non era invece parso strano che l'imputato le avesse chiesto le credenziali per l'accesso alla banca dati in oggetto. 2.7. Col settimo motivo si censura l'omessa motivazione circa la richiesta di applicazione dell'articolo 131-bis cod. penumero A fronte della motivazione del Tribunale di rigetto di tale istanza perché il trasferimento dei dati di oltre 90.000 tra clienti e potenziali clienti, ad opera di un dirigente qualificato in procinto di transitare alle dipendenze di aziende concorrenti, in un settore estremamente competitivo, quello turistico-ricettivo, era idoneo a generare serie preoccupazioni e dei motivi di appello incentrati, in estrema sintesi, sulla scarsa intensità del dolo, avendo l'imputato agito in base a poteri che aveva, senza che vi fosse prova che si fosse appropriato dei detti dati, trasferiti su un computer aziendale e non in sua esclusiva disponibilità , la Corte territoriale aveva acriticamente confermato la decisione del primo giudice semplicemente per la quantità dei dati copiati. 2.8. Con l'ottavo motivo ci si lamenta della contraddittorietà della motivazione, laddove, nel negare che si trattasse di fatto di particolare tenuità, non aveva considerato l'assoluzione dal delitto di cui al capo B anzidetto, né la circostanza che l'imputato fosse accusato non per l'illecita esportazione di dati dal sistema informatico, bensì per il mero ingresso abusivo al suo interno. 2.9. Col nono motivo si lamenta, infine, violazione di legge, atteso che, la valorizzazione dell'esportazione di 90.000 schede era correlata all'accusa per il delitto di cui all'articolo 640-ter cod. penumero , da cui però l'imputato era stato assolto, e dunque era estranea al bene tutelato dall'articolo 615-ter cod. penumero , ovvero la riservatezza ed inviolabilità del domicilio digitale. 3. Il Sostituto Procuratore Generale presso questa Corte ha chiesto annullarsi con rinvio il provvedimento impugnato, mentre la parte civile la conferma della sentenza e l'imputato l'accoglimento del ricorso. Considerato in diritto 1. Il ricorso è infondato ciò impone la declaratoria di estinzione per prescrizione maturata il 26/1/2024, considerando i 300 giorni di sospensione e la conferma delle statuizioni civili non essendovi elementi tali da consentire un annullamento per valutare una pronuncia assolutoria, ove pure ex articolo 530, comma 2, cod. proc. penumero , e sussistendo l'illecito civile, per quanto oltre si dirà . Solo l'inammissibilità del ricorso per cassazione mancando l'instaurazione di un valido rapporto processuale preclude il rilievo dell'estinzione del reato per prescrizione maturata dopo la sentenza di appello così Sez. U, numero 21 del 22/11/2000, Rv. 217266-01 confronta, negli stessi termini, Sez. U, numero 12602 del 17/12/2015, dep. 2016, Rv. 266818-01, sull'impossibilità di rilevare la stessa anche se maturata prima della sentenza di appello, se non dedotta con un ricorso ammissibile . Basta, al riguardo, che anche un solo motivo relativo ad un determinato capo d'imputazione sia ammissibile, posto che, alla luce della nota Sez. U, numero 1 del 19/01/2000, Rv. 216239-01, il giudicato si forma su ogni singolo capo della sentenza, quando sono divenute irretrattabili tutte le questioni correlate ad esso, e non sui suoi punti che, invece, sono oggetto di preclusioni per effetto del principio devolutivo . Ne consegue che l'ammissibilità anche solo di un motivo su un determinato capo d'imputazione ove pure concernente, ad esempio, la pena accessoria comporta la valida instaurazione del rapporto processuale d'impugnazione su di esso, con l'effetto che, se per il reato ivi indicato è maturato il termine estintivo di prescrizione dopo la sentenza di primo grado, a tale doverosa declaratoria consegue la compiuta valutazione, se v'è costituzione di parte civile, della verifica della fondatezza della domanda civile Sez. U, numero 35490 del 28/05/2009, Tettamanti, Rv. 244273-01 Sez. 6, numero 18889 del 28/02/2017, Rv. 269890-01 Sez. 5, numero 3869 del 07/10/2014 dep. 2015, Rv. 262175-01 confronta, negli stessi termini, Sez. U, numero 40109 del 18/07/2013, Rv. 256087-01, secondo cui la declaratoria di prescrizione in appello, senza motivare alcunché a conferma delle statuizioni civili, impone, al fine di colmare tale lacuna, il rinvio al giudice civile . La validità di tali principi è stata ribadita dalla recente Sez. U, numero 36208 del 28/3/2024, secondo cui, in caso di prescrizione del reato maturata dopo la sentenza di primo grado e in presenza della domanda civile - resta, ex articolo 578 cod. proc. penumero , impregiudicato il diritto vivente espresso dalla sentenza Tettamanti con riguardo al potere del giudice di appello di applicare l'articolo 530, commi 1 e 2, cod. proc. penumero  anche in assenza di rinuncia alla causa estintiva perché altrimenti si incorrerebbe nel paradosso di negare, in virtù del principio di presunta innocenza, la possibilità per il giudice di valutare i presupposti dell'assoluzione nel merito una volta esclusa l'assoluzione, ove pure ex articolo 530, comma 2, cod. proc. penumero , alla pronuncia di estinzione del reato ai sensi dell'articolo 578 cod. proc. penumero non può accompagnarsi nella decisione sulla responsabilità civile l'affermazione, sia pur incidentale, della responsabilità penale dell'autore del danno - l'accertamento sulle statuizioni civili si svolge dinanzi a un giudice penale ed è condotto applicando le regole processuali e probatorie del processo penale articolo 573 cod. proc. penumero sicché sarà così ammissibile e utilizzabile, ad esempio, la testimonianza della persona offesa che nel processo civile sarebbe interdetta dall'articolo 246 cod. proc. civ. . Tali principi seppur non tutti di agevolissima coesistenza vanno applicati nel caso di specie. 2. Le censure mosse, come detto, non possono dirsi inammissibili. È noto che siano manifestamente infondati e, dunque, inammissibili ex articolo 606, comma 3, cod. proc. penumero quei motivi che lamentano violazioni di legge caratterizzate da evidenti errori di diritto pretendendo l'applicazione di una norma inesistente o la disapplicazione di altra esistente, in contrasto col suo dato letterale e/o la pacifica interpretazione della Suprema Corte o deducano vizi di motivazione che, seppur specifici in difetto, sarebbero inammissibili ex articolo 581, comma 1, lett. c, cod. proc. penumero , muovano critiche palesemente contrastate dagli atti processuali, tanto da apparire ictu oculi pretestuose, attribuendo, ad esempio, alla motivazione impugnata un senso radicalmente diverso da quello suo proprio Sez. 2, numero 19411 del 12/03/2019, Rv. 276062-01 Sez. 5, numero 1811 del 05/12/2023, dep. 2024, non massimata Sez. 2, numero 9486 del 19/12/2017, dep. 2018, non massimata . Così come sono da considerarsi inammissibili le censure che adducono violazioni di norme o si basino su prove chiaramente insussistenti o, ancora, prospettino argomenti del tutto privi di logica. Nella specie, le censure mosse, pur prossime all'inammissibilità sollecitando, in definitiva, una rivalutazione di merito , non sono tutte e prima facie pretestuose e prive di qualsivoglia serietà, risultando tuttavia infondate. 3. È infondato in diritto il terzo e logicamente prioritario motivo di ricorso che implica - come del resto consente la menzionata Sez. U, numero 36208 del 28/3/2024 - l'applicazione di regole proprie del processo penale . Non è vero, come sostiene parte ricorrente, che l'imputato sia stato condannato per un fatto accesso non autorizzato tout court in realtà mai contestato in tali termini. Nella specie è accaduto dal punto di vista fattuale in modo del tutto pacifico esattamente quanto descritto nel capo di imputazione ovvero l'ingresso nella banca dati, da parte dell'imputato, attraverso le credenziali dategli da una dipendente della società titolare del sistema informatico violato. Tanto è stato certamente contestato nella rubrica e, poi, ritenuto dai giudici di merito sicché non può assolutamente dirsi che nel capo di imputazione non fosse contenuta una tale accusa. È vero, invece, come sostiene parte ricorrente, che nella medesima rubrica fosse anche indicato il cosiddetto accesso disfunzionale ovvero da parte di soggetto teoricamente autorizzato, ma che lo compia per finalità diverse da quelle per cui potrebbe farlo . Tuttavia, ciò non implica che l'accusa ritenuta non fosse anche contestata, bensì solo la scarsa chiarezza del capo d'imputazione. Ma tale scarsa chiarezza e persino la contraddittorietà dell'accusa, giammai oggetto di rituale eccezione come noto, l'eventuale indeterminatezza del capo d'imputazione dà luogo ad una nullità relativa, ai sensi dell'articolo 181 cod. proc. penumero , sanata se non eccepita entro il termine di cui all'articolo 491 cod. proc. penumero Sez. 5, numero 4277 del 29/09/2015, dep. 2016, non massimata confronta, negli stessi termini, Sez. U, numero 15983 del 11/04/2006, non massimata sul punto , non toglie, da un lato, che la Corte d'appello abbia interpretato la contestazione nel modo più logico è francamente un non senso affermare che l'imputato avesse diritto ad accedere ad un sistema informatico di cui non aveva le credenziali di ingresso, tanto da avere necessità di chiederle ad altro personale, ove pure a lui subordinato e, dall'altro lato, che il Ca.Sa. si sia potuto difendere appieno come, invero, neppure contesta dall'accusa così come ritenuta nei suoi riguardi. 4. Gli altri motivi che censurano la condanna non possono essere accolti, neppure ex articolo 530, comma 2, cod. proc. penumero sicché per essi si statuirà ai soli fini della responsabilità civile. Ed invero, le argomentazioni prospettate - miranti tutte, in estrema sintesi, a dimostrare che non si fosse trattato di un accesso abusivo avendone il Ca.Sa. il potere, nella veste di direttore e superiore della dipendente a cui aveva chiesto le credenziali, anche al fine di controllarne il lavoro , che si fosse in presenza di dati sino a poco tempo prima comunque a disposizione del medesimo, che non fosse provato il divieto di accedervi o che di tale divieto fosse a conoscenza il ricorrente, che quest'ultimo avesse comunque agito per tutelare l'azienda per cui lavorava, mettendoli al sicuro - non sono tali da scalfire le logiche e non contraddittorie argomentazioni formulate in sede di merito. Correttamente la Corte d'appello ha ritenuto non convincente l'argomento che fa leva sul potere del direttore di accedere a qualsiasi luogo aziendale come in un magazzino, si esemplifica per controlli su chi gli era subordinato gerarchicamente. Anzitutto, in un magazzino solitamente non vi sono ragioni di segretezza da tutelare e, pertanto, non è necessario che si lasci traccia di chi vi acceda. Per contro, nel caso di un sistema informatico protetto da credenziali, è evidente che non sia così ogni soggetto abilitato ha la sua chiave personale ovvero le credenziali d'accesso . Ciò perché si tratta di dati che, semplicemente, il titolare reputa debbano essere protetti, sia limitando l'accesso a chi venga dotato delle dette credenziali, sia, nel contempo, facendo sì che sia lasciata, in tal modo, traccia digitale dei singoli accessi e di chi li esegua. Ad ogni modo, e più in generale, è noto che spetti al datore di lavoro, ex articolo 2086 e 2104 cod. civ., l'organizzazione dell'impresa da lui gestita, essendo anche i suoi collaboratori apicali comunque tenuti a rispettarne le direttive così la pacifica giurisprudenza lavoristica confronta in tali termini Sez. L, numero 7295 del 23/03/2018, Rv. 647543-01 e Sez. L, numero 18165 del 16/09/2015, Rv. 636422-01 . Così come è altrettanto noto rientri nella piena discrezionalità del datore di lavoro, in base alle dette norme civilistiche, stabilire le modalità di controllo di eventuali mancanze dei dipendenti, direttamente o meno, non necessariamente mediante la propria organizzazione gerarchica Sez. L, numero 21888 del 09/10/2020, Rv. 659052-01 Sez. L, numero 3039 del 02/03/2002, Rv. 552733-01 , ma anche a mezzo di soggetti estranei all'organizzazione lavorativa Sez. L, numero 15094 del 11/06/2018, Rv. 649245-01 . Dunque, è errato, in diritto, secondo le norme civili anzidette, prima che infondato in fatto, ritenere che, nella specie, il Ca.Sa., sol per le sue mansioni, avesse automaticamente il potere di accedere a dati che, per contro, secondo la discrezionale valutazione del datore di lavoro per quanto in fatto ricostruito dalla Corte d'appello , dovevano restare nella disponibilità di solo alcuni dipendenti per quanto subordinati al ricorrente . E il Ca.Sa. ha certamente violato le menzionate disposizioni civili in particolare quella secondo cui il prestatore di lavoro deve osservare le disposizioni per l'esecuzione e per la disciplina del lavoro impartite dall'imprenditore , di cui all'articolo 2104 cod. civ. , laddove, non autorizzato, ha fatto accesso ad una banca dati di cui non aveva le credenziali perché nella detta sua discrezionalità il datore di lavoro aveva ritenuto di non fornirgliele , facendo, per giunta, risultare falsamente che l'accesso fosse stato operato dalla dipendente che, incautamente, gli aveva rivelato le sue credenziali. È evidente, poi, che una simile mistificazione non sarebbe neppure ipotizzabile nell'esempio fatto dalla difesa del ricorrente accesso ad un magazzino di un soggetto a nome di un altro che, pertanto, rivela in tal modo la sua non pertinenza. Com'è pure chiaro, per quanto detto, che, laddove lo avesse ritenuto, il datore di lavoro ben potrebbe stabilire che al magazzino dell'esemplificazione fatta da parte ricorrente magari perché in esso custoditi dati o beni la cui segretezza è da preservare abbiano accesso solo alcuni dipendenti, ove pure gerarchicamente sotto-ordinati ad altri. In maniera niente affatto illogica, men che meno in violazione delle norme civili disciplinanti la materia, la Corte d'appello ha ritenuto, dunque, di non aderire ad una simile impostazione e di desumere come maggiormente credibile la tesi secondo cui l'indisponibilità delle credenziali in capo al ricorrente provasse la sua carenza di potere al riguardo e il divieto ove pure implicito, ma chiaro impostogli dal datore di lavoro. Né le norme civili, né quelle penali il cui esame la difesa sollecita evidenziando la mancata prova del movente impongono, poi, di scoprire le ragioni dell'accesso abusivo come infondatamente reputa l'imputato allorché richiama l'assoluzione dall'accusa della copiatura dei dati su un suo supporto personale . Infatti, come detto, le norme civili dispongono semplicemente che il dipendente si attenga alle direttive ricevute, mentre, secondo la norma incriminatrice il cui esame è limitato - come detto - alla doverosa verifica dell'impossibilità di giungere ad una assoluzione ex articolo 530, comma 2, cod. proc. penumero , è sufficiente che avvenga l'accesso ad un sistema protetto da una password Sez. 2, numero 36721 del 21/02/2008, Rv. 242084-01 ciò che, di per sé, viola i limiti in tal senso posti dal titolare di quei dati Sez. 2, numero 52680 del 20/11/2014, Rv. 261548-01 Sez. 5, numero 25683 del 30/04/2021, non massimata . Tanto senza trascurare come la Corte territoriale abbia, al riguardo, correttamente rimarcato che fosse stata proprio la dipendente ritenuta credibile dalla difesa del ricorrente Ca. ad evidenziare che l'imputato le avesse detto che volesse accedere alla banca dati per impratichirsi e non certo per come qui continua a sostenere salvaguardare i dati in questione e crearne un backup a tutela della proprietà ciò che logicamente è stata ritenuta, per quanto detto, una pretestuosa motivazione addotta in questa sede a mero scopo difensivo. Correttamente, ancora, la Corte d'appello ha ritenuto irrilevante che sino a poco prima, secondo le pregresse disposizioni datoriali, il Ca.Sa. potesse accedere ai dati in esame, e che, a suo dire, egli non sapesse del divieto formulato dal datore di lavoro e, anzi, neppure vi fosse certezza di un simile divieto . Si tratta di argomenti che cedono il passo a fronte della banale considerazione che egli, pacificamente, ha dovuto chiedere le credenziali ad altra dipendente per poter entrare nella banca dati in questione sino a quel momento liberamente accessibile il che, com'è logico che sia, è stato ritenuto rendesse di per sé manifesto il mutato volere del datore di lavoro essendo evidente che proprio un siffatto radicale cambiamento doveva far ritenere che l'imputato fosse edotto che quanto faceva violava le direttive del datore di lavoro, il diritto di questi di tener secretati quei dati, dal momento della loro protezione con le credenziali, e le menzionate disposizioni civilistiche . 5. In definitiva, nessuna lacuna o illogicità, men che meno manifesta, può cogliersi nei passaggi motivazionali oggetto di gravame, né sussiste l'addotto travisamento sul fatto da parte della Corte d'appello laddove ha ritenuto che il Ca.Sa. avesse effettuato l'esportazione dei dati sul suo computer avendo essa semplicemente preso atto del fatto che il ricorrente, contro il volere del suo datore di lavoro e per quanto qui rileva ai fini civili in violazione delle menzionate disposizioni del codice civile, fosse entrato in una banca dati a lui inibita. Aver rimarcato che detti dati fossero, poi, rimasti a sua disposizione seppure - come si precisa nel ricorso - su un supporto digitale aziendale ma evidentemente e pur sempre in uso al Ca.Sa. , cosa peraltro affermata pure da parte ricorrente, non elide, certo, e semmai aggrava la detta violazione delle direttive datoriali di per sé sufficiente a ritenerlo responsabile civilmente, in questa sede . Al riguardo, dunque, tutti gli argomenti sopra evidenziati sono stati correttamente ritenuti infondati dalla Corte d'appello sulla base dell'unica logica spiegazione desumibile dalla protezione di una banca dati con delle credenziali, da parte del datore di lavoro ovvero l'intenzione di non farvi accedere chicchessia, ove pure gerarchicamente sovraordinato a chi sia autorizzato a farlo. 6. Deve, in definitiva, affermarsi che viola le direttive quand'anche implicite, ma chiare del datore di lavoro il dipendente che, pur in posizione gerarchicamente sovraordinata rispetto al titolare delle credenziali di accesso ad un sistema informatico aziendale, se le faccia rivelare per farvi ingresso senza averne specifica autorizzazione essendo sufficiente a rendere manifeste tali direttive la stessa protezione dei dati mediante credenziali di accesso su tale ultima parte, vedasi Sez. 2, numero 36721 del 21/02/2008, Rv. 242084-01 . Avendo ciò fatto, il ricorrente, tanto comporta, pur nella declaratoria di prescrizione del reato, la conferma del diritto della parte civile di vedersi risarcire i danni patiti per le correlate violazioni di indubbia natura anche civilistica. 7. La prescrizione del reato assorbe ogni ulteriore questione, trattandosi di pronuncia certamente più favorevole per il ricorrente, atteso che il chiesto proscioglimento per particolare tenuità del fatto lascerebbe comunque inalterato l'illecito penale nella sua materialità storica e giuridica Sez. 6, numero 11040 del 27/01/2016, Calabrese, Rv. 266505 - 01 Sez. 4, numero 44404 del 15/10/2019, non massimata Sez. 3, Sentenza numero 49799 del 26/9/2019, non massimata . 8. Consegue, a quanto detto, l'esito in dispositivo, con condanna dell'imputato a rifondere le spese del presente giudizio di legittimità alla parte civile, dovute pure in caso di parziale accoglimento dell'impugnazione, decisiva essendo la mancata esclusione del suo diritto risarcitorio Sez. U, numero 6402 del 30/04/1997, Rv. 207946 Sez. 4, numero 2637 del 04/12/2006, dep. 2007, Rv. 235894-01 spese che sono liquidate in dispositivo, considerato l'impegno profuso in giudizio. P.Q.M. Annulla senza rinvio la sentenza impugnata agli effetti penali, perché il reato è estinto per prescrizione. Rigetta il ricorso agli effetti civili. Condanna, inoltre, l'imputato alla rifusione delle spese di rappresentanza e difesa sostenute nel presente giudizio dalla parte civile che liquida in complessivi euro 2300,00, oltre accessori di legge.