Evoluzione giurisprudenziale del concetto di "abusività" nel caso di accesso ad un sistema informatico
Il bene giuridico protetto è il c.d. "domicilio informatico", inteso quale spazio ideale e fisico, in cui sono contenuti i dati informatici concernenti la persona e le sue attività
L'art. 615 ter c.p., punisce chi, abusivamente, si introduca in un sistema informatico o telematico protetto da misure di sicurezza, ovvero vi si mantenga contro la volontà espressa o tacita di chi ha il diritto di escluderlo.
Il bene giuridico protetto è il c.d. "domicilio informatico", inteso quale spazio ideale e fisico, in cui sono contenuti i dati informatici concernenti la persona e le sue attività (v. Cass. pen., n. 42021/2012).
La condotta punita dall'art. 615 ter c.p. è duplice:
- introduzione abusiva in un sistema informatico o telematico protetto da misure di sicurezza; -
permanenza nel sistema contro la volontà, espressa o tacita, di chi ha il diritto di esclusione, intesa come permanenza nel sistema (seppur a seguito di introduzione autorizzata), per compiere attività estranee alle proprie mansioni, violando le prescrizioni del dominus.
Se, da un lato, è pacifico che l'introduzione nel sistema informatico del soggetto privo di autorizzazione da parte del titolare, rientri negli estremi dell'abusività, a lungo si è discusso circa il caso in cui l'agente, autorizzato ad accedere al sistema, lo utilizzi al di fuori dei casi per i quali l'autorizzazione gli era stata concessa.
Nei primi anni di vigenza della fattispecie in esame, un primo orientamento giurisprudenziale ha attribuito rilevanza penale al solo accesso commesso dal soggetto privo di autorizzazioni .
Successivamente, un secondo orientamento, attribuendo rilevanza penale anche alle condotte di mantenimento nel sistema informatico contro la volontà del titolare, ha ritenuto configurato il reato di cui all'art. 615 ter c.p. anche nei confronti di coloro i quali realizzavano atti esorbitanti le finalità per le quali erano stati autorizzati all'accesso.
Questo contrasto è stato risolto da una prima pronuncia della Corte di Cassazione a Sezioni Unite c.d. Casani , con la quale è stata attribuita rilevanza penale al solo profilo oggettivo dell'accesso e del trattenimento nel sistema.
Secondo tale pronuncia il reato di cui all'art. 615 ter c.p. si configurerebbe esclusivamente in presenza di: accesso non autorizzato; accesso autorizzato ma posto in essere in violazione dei limiti risultanti dal complesso delle prescrizioni impartite dal titolare del sistema; accesso autorizzato, quando l'autore realizzi operazioni di natura ontologicamente diversa da quelle rispetto alle quali egli è incaricato ed in relazione alle quali l'accesso era a lui consentito.
Successivamente, altre pronunce hanno incluso nell'alveo della punibilità ex art. 615 ter c.p. ogni forma di abuso del titolo di legittimazione all'accesso, anche meramente soggettivo .
Questo orientamento è stato cristallizzato in un'ulteriore pronuncia delle Sezioni Unite della Corte di Cassazione c.d. Savarese , attraverso la quale, seppur parzialmente, è stato compiuto un overruling della sentenza Casani.
Tale pronuncia, infatti, seppur riferita esclusivamente all'ipotesi di cui al comma 2, n. 1 dell'art. 615 ter c.p, ha affermato che il reato in esame si configura quando "il fatto è commesso da un pubblico ufficiale o da un incaricato di pubblico servizio, con abuso di poteri o con violazione dei doveri inerenti alla funzione o servizio", ivi ricomprendendo qualunque condotta di accesso non correlata all'assolvimento della propria funzione di pubblico rilievo.
Recentemente, la sentenza n. 15629, depositata il 21 aprile 2022, la Corte di Cassazione ha accolto il principio di diritto sancito dalle Sezioni Unite Casani (n. 4694/2011) secondo il quale: "integra il delitto previsto dall'art. 615-ter c.p. la condotta di colui che, pur essendo abilitato, acceda o si mantenga in un sistema informatico o telematico protetto violando le condizioni ed i limiti risultanti dal complesso delle prescrizioni impartite dal titolare del sistema per delimitarne oggettivamente l'accesso, rimanendo invece irrilevanti, ai fini della sussistenza del reato, gli scopi e le finalità che abbiano soggettivamente motivato l'ingresso nel sistema".
Allo stato, quindi, sembrerebbe esistere un duplice stato dell'abusività per cui, con riferimento agli insider privati, assumerebbe rilievo il solo abuso oggettivo dell'accesso o della permanenza nel sistema informatico; mentre per i pubblici funzionari, l'alveo del delitto di accesso abusivo a sistema informatico parrebbe più ampio, ricomprendendo ogni abuso del titolo, anche soggettivo.
Peraltro, con riferimento agli insider privati, il dissenso tacito del dominus può essere unicamente desunto dalle disposizioni impartite dal titolare in ordine all'uso del sistema (e non dalle finalità che hanno animato la condotta dell'agente), derivanti da regolamenti (o disciplinari) interni, da prassi, da policy o best practices organizzative, da contratti (individuali o collettivi) di lavoro, da specifici mansionari.
Del tutto irrilevanti sono gli eventuali fatti successivi, frutto di nuovi e ulteriori atti volitivi che, se illeciti, andranno sanzionati con riguardo ad altro titolo di reato (es. violazione di corrispondenza o di segreti documentali, professionali o d'ufficio).
* a cura di Matilde Bellingeri
