Backup dei dati aziendali, anche se effettuato dal socio può integrare accesso abusivo a sistema informatico
Integra il reato di accesso abusivo a sistema informatico la condotta di chi si introduca nel sistema informatico aziendale, avendo a disposizione le necessarie password, e copi i dati in esso contenuti per finalità estranee agli scopi sociali o associativi.
Lo ha di recente affermato la Corte di Cassazione, Sez. V Penale, con sentenza del 2 dicembre 2020, n. 34296.
Il caso
Nel caso all’esame della Corte, l’imputato, socio di uno studio e una società, era stato condannato in primo e in secondo grado ai sensi dell’art. 615 ter cod. pen. per aver effettuato copie di backup dei dati contenuti nei sistemi informatici di tali enti. Ciò perché tale condotta risultava posta in essere per ragioni estranee alla propria carica e, in particolare, per l’apertura di una nuova ed autonoma attività professionale.
Secondo il ricorso per cassazione, l’accesso al sistema non poteva considerarsi abusivo, essendo egli socio e, come tale, in possesso delle relative credenziali d’accesso; parallelamente, non esisteva alcuna regola, neppure interna, che vietasse di effettuare copie di backup o ne limitasse in qualche modo la possibilità.
La Corte ha ritenuto il motivo non fondato e rigettato il ricorso.
L’accesso abusivo a sistema informatico
L’art. 615 ter cod. pen. sanziona con la reclusione fino a tre anni il comportamento di chiunque «abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo». La pena è aggravata se il fatto è commesso da un pubblico ufficiale o un incaricato di un pubblico servizio con abuso dei poteri o violazione dei doveri inerenti alla funzione o al servizio o, ancora, se è commesso da chi esercita la professione di investigatore privato o con abuso della qualità di operatore del sistema.
Particolarmente interessante è la questione relativa alla condotta posta in essere da un soggetto che sia autorizzato ad accedere ad un sistema e sia dotato, quindi, delle relative credenziali d’accesso, ma vi si introduca per scopi o finalità estranei a quelli per cui la facoltà di accesso gli era stata attribuita
Le Sezioni Unite della Corte di Cassazione hanno affrontato la questione già nel 2011[1], affermando la rilevanza ai sensi dell’art. 615 ter cod. pen. sia quando l’agente violi i limiti di accesso impartiti dal titolare del sistema (ad esempio, con regolamenti interni, prassi e policy aziendali o clausole di contratti individuali di lavoro), sia quando ponga in essere operazioni di natura “ontologicamente diversa” da quelle per le quali l’accesso è a lui consentito[2].
Si ha accesso abusivo, in sintesi, sia quando l’accesso sia espressamente vietato, sia quando ci si introduca per finalità diverse da quelle consentite e autorizzate.
Più di recente, le Sezioni Unite sono tornate sul tema[3], con specifico riferimento all’operato dei pubblici dipendenti, ribadendo l’illiceità ed abusività di qualsiasi comportamento che si ponga in contrasto con i principi generali dell’amministrazione pubblica. Ci si riferisce, in particolare, all’art. 1 della legge n. 241 del 1990, per il quale «l’attività amministrativa persegue fini determinati dalla legge ed è retta da criteri di economicità, efficacia, imparzialità, pubblicità, trasparenza, secondo le modalità previste dalla presente legge e dalle disposizioni che disciplinano singoli procedimenti, nonché dai principi dell’ordinamento comunitario». L’accesso a sistema informatico per uno scopo estraneo alle finalità per cui è permesso manifesta, perciò, una “ontologica incompatibilità” con i principi fondanti l’attività amministrativa stessa.
Conclusioni
Decisiva per giudicare la liceità dell’accesso a sistema informatico di chi sia abilitato ad entrarvi è, per la giurisprudenza, la finalità perseguita dall’agente, che deve corrispondere alla ratio per la quale il potere è stato attribuito e, dunque, alle regole interne dettate dal titolare o dall’amministratore del sistema.
Principio, questo, che vale tanto per i pubblici dipendenti quanto per i privati, laddove in questo secondo caso la limitazione deriva, ovviamente, non da norme pubblicistiche, che non esistono, ma dal rapporto privatistico (sociale o associativo) volto al perseguimento dello scopo comune, che impone l’utilizzo di tutto gli strumenti e le utilità in conformità a tale scopo.
Anche l’accesso ai sistemi informatici posti a servizio dell’attività comune deve avvenire, quindi, in conformità alla ratio attributiva del potere e alle finalità concretamente perseguite, configurandosi come abusivo, ex art. 615 ter cod. pen., ogni accesso che risulti incompatibile con tali dette finalità.
Note
[1] Sentenza n. 4694 del 27/10/2011, rv 251270-01.
[2] Conforme a tale orientamento anche la successiva Cass. Pen., Sez. V, sentenza n. 565 dell’8 gennaio 2019.
[3] Sentenza n. 41210 del 18/5/2017, rv 271061-01.
Articolo a cura di Maria Elena Iafolla
Avvocato del Foro di Milano e titolare dello Studio Legale Iafolla, si occupa di diritto dell’informatica e delle nuove tecnologie, innovazione, trattamento dei dati e cyber-security.
Laureata presso l’Università Cattolica del Sacro Cuore di Milano, autrice e formatrice sui temi del diritto dell’informatica e privacy/GDPR.
Vice Presidente dell’associazione DFA – Digital Forensics Alumni.
