privacy pc

Con la sentenza n. 48895/2018, la Cassazione ha ribadito che il reato di accesso abusivo a sistema informatico, di cui all’art. 615-ter c.p., si configura in capo al soggetto che, violando le prescrizioni impartite dal titolare disciplinanti le modalità di accesso o impiego, acceda o si mantenga illegittimamente in un database  o in un software gestionale.

In ambito lavorativo e aziendale, tali parametri si riferiscono ai limiti dell’autorizzazione di accesso ricavabili dalle competenze e funzioni del dipendente, così da rendere penalmente rilevante la condotta di accesso ad un sistema informatico avvenuta in violazione delle disposizioni o delle mansioni impartite attraverso l’incarico, anche ove l’accesso ad alcuni dati sia materialmente impedito da password o aree riservate.

Il caso oggetto della pronuncia

In data 12 dicembre 2017 il Tribunale di Reggio Emilia condannava il dipendente di un’azienda, il quale, all’atto delle sue dimissioni, aveva copiato su alcuni supporti informatici i dati ingegneristici e di progettazione appartenenti all’ex datore di lavoro e ciò al fine di avvantaggiare una diretta concorrente. Oltre alla materiale sottrazione di tali informazioni, l’imputato aveva cancellato i dati dal database aziendale.

A seguito del procedimento penale instauratosi nei suoi confronti, l’imputato veniva quindi condannato per il reato previsto e punito dall’art. 615-ter c.p.; la Corte d’Appello di Bologna, a seguito dell’impugnazione, confermava integralmente la sentenza.

La decisione di secondo grado veniva pertanto impugnata con ricorso in Cassazione, nel quale si deduceva la violazione e la falsa applicazione del reato in questione, poiché fondato sull’erroneo presupposto di ritenere che l’accesso al sistema informatico fosse avvenuto trasgredendo le disposizioni impartite dal titolare dei dati aziendali.

Il suo inquadramento dirigenziale infatti (quale responsabile della produzione e del personale) gli permetteva di estendere la propria legittimazione di accesso non solo ai dati dell’area tecnica, ancorché il sistema informatico non prevedesse delle aree riservate a lui interdette. Pertanto, qualsiasi responsabilità penale in capo all’imputato doveva ritenersi esclusa.

La Cassazione ha ovviamente rigettato il discorso e pertanto confermato la pronuncia di appello. Tuttavia, la sentenza ha avuto modo di ripercorrere gli orientamenti giurisprudenziali succedutisi negli anni con riferimento al reato di accesso abusivo a sistema informatico.

Il reato di accesso abusivo a sistema informatico nella giurisprudenza di legittimità

L’ambito di operatività del reato di cui all’art. 615-ter, introdotto dalla legge n. 547 del 1993 ha destato non poche perplessità ed è stato negli anni frutto di numerosi contrasti giurisprudenziali, che hanno più volte necessitato l’intervento della Cassazione a Sezioni Unite per poter essere risolti.

Un primo contrasto fu rimesso alla decisione del Supremo Collegio nel 2011 (la cosiddetta sentenza “Casani”) il quale superò l’orientamento fino ad allora vigente (ex Cass. Pen., Sez. V, Sent., 29/05/2008, n. 26797 e Cass. Pen., Sez. V, Sent., 20/12/2007, n. 2534) dalla giurisprudenza di merito secondo cui non poteva essere ritenuto penalmente responsabile il soggetto che, in virtù di una preesistente autorizzazione all’accesso al sistema informatico, se ne avvalesse per impossessarsi dei dati in esso contenuti per finalità estranee o addirittura illecite (Cass. Pen., Sez. Unite, Sent., 27/10/2011, n. 4694).

Le Sezioni Unite hanno in particolare sancito che, ai fini della configurazione del delitto previsto dall’art. 615-ter c.p., il soggetto che, pur essendovi abilitato, acceda o permanga in un sistema informatico o telematico protetto “violando le condizioni e i limiti risultanti dal complesso delle prescrizioni impartite dal titolare del sistema per delimitarne oggettivamente l’impiego” (ovvero disposizioni organizzative interne, prassi aziendali, clausole di contratti individuali ecc.), “dovendo ritenersi decisiva la prova del compimento sul sistema di operazioni di natura intrinsecamente diversa da quelle di cui il soggetto era incaricato e per cui aveva ricevuto la facoltà di utilizzo”.

Al contempo però, le Sezioni Unite sottolineavano la non rilevanza penale, ai fini della sussistenza del reato, delle intenzioni che avessero mosso l’agente ad introdursi nel sistema informatico, escludendo pertanto che l’abusività della condotta potesse essere desunta dalle finalità realmente perseguite dal soggetto, stante la necessità dell’adozione di criteri meramente oggettivi.

Tuttavia, nonostante tale fondamentale arresto, le successive pronunce hanno ancora una volta dimostrato una notevole incertezza nell’applicazione di detti indici, soprattutto con riferimento alle figure dei dipendenti pubblici o degli incaricati di pubblico servizio,

La recentissima sentenza “Savarese” pronunciata ancora una volta dalle Sezioni Unite (Sentenza n. 41210 del 2017) ha ritenuto che il momento essenziale della condotta illecita dovesse invece ravvisarsi nello sviamento di potere dell’attività posta in essere dal pubblico ufficiale o dall’incaricato di pubblico servizio.

In altre parole, i dipendenti pubblici, i quali, per ragioni connesse al ruolo o all’ufficio pubblico ricoperto, si trovino a dover operare su registri informatizzati, hanno l’obbligo di osservare le disposizioni loro impartite, in termini di accesso e di utilizzo, dal superiore gerarchico, ma anche con i doveri propri della funzione pubblica svolta. Conseguentemente, argomentano i Supremi giudici, qualsiasi comportamento che si ponga in diretto contrasto con tali doveri dovrà essere considerato illecito e abusivo, con ciò manifestando una “ontologica incompatibilità” dell’accesso al sistema informatico.

Pertanto, con riferimento al rapporto privatistico, gli specifici limiti che devono essere osservati dal dipendente al fine di non ravvisare l’abusività della condotta riguardano i compiti propri del lavoratore, così come impartiti dal datore di lavoro, sicché dovrà essere considerato illecito qualsiasi utilizzo del sistema estraneo rispetto all’incarico assegnato, indipendentemente dalla circostanza che la possibilità di accedere sia limitata solo ad una parte dei dati (così Cass n. 33311/2018).

Dott. Ercole Dalmanzio

Ultimi aggiornamenti

spid cns azienda
La pandemia da Covid-19 è stata un fattore propulsivo di un processo che era già in progressivo e rapido avanzamento: l’avanzamento digitale dei servizi delle Pubbliche Amministrazioni è infatti un obiettivo a lungo perseguito dal legislatore, europeo ed italiano. L’auspicio è quello, fra tutti, di snellire […]
cookie policy generator iubenda privacy
Navigando in rete, è diventata sempre più alta la probabilità di imbattersi in siti web del tutto diversi fra loro – sia perché i gestori dei siti sono diversi, sia perché diversi sono i contenuti all’interno della pagina stessa – ma che hanno una Privacy & […]
e-commerce sanzioni direttiva omnibus
Il già ampio novero di strumenti legislativi previsti a tutela dei diritti dei consumatori (ed imposti agli eCommerce) è stato recentemente arricchito dall’entrata in vigore della Direttiva Omnibus (direttiva (UE) 2019/2161 che modifica la direttiva 93/13/CEE del Consiglio e le direttive 98/6/CE, 2005/29/CE e 2011/83/UE del […]

Iscriviti alla nostra newsletter

i nostri social

Guarda i nostri video e rimani aggiornato con notizie e guide

Lo sapevi che per continuare a fare Smart Working in azienda bisognerà adottare degli accorgimenti entro il 30 giugno?

Le modalità per fare marketing si sono evolute di pari passo alle norme in tema di privacy, questo porta ad un binomio complesso: lead generation e privacy. Come fare contatti rispettando però il GDPR?

Il marchio oggi non rappresenta meramente un simbolo identificativo, ma diviene uno degli elementi fondanti della brand identity di un’impresa. La registrazione è fondamentale per tutela e VALORE del tuo business.