Accesso abusivo al sistema informatico: basta violare le disposizioni del titolare, non serve essere un hacker

By Dario Di Maria Posted in Anticorruzione, Ius, Management Tagged , , , ,

Corte di Cassazione Penale, sentenza n. 934 del 12 gennaio 2018

Un primo orientamento della giurisprudenza riteneva che l’ipotesi di reato prevista dall’art. 615 ter, comma 2, n. 1 sanzionasse anche la condotta del pubblico ufficiale che, pure essendo specificamente abilitato a consultare il sistema informatico, vi abbia però fatto accesso “con abuso dei poteri o con violazione dei doveri inerenti la funzione o il servizio […] o con abuso della qualità di operatore del sistema”. In tale prospettiva ermeneutica, la norma posta dall’art. 615 ter c.p., nel configurare il reato di “accesso abusivo’ sanziona non solo la condotta del cosiddetto hacker o “pirata informatico”, ma anche quella del soggetto abilitato all’accesso, e perciò titolare di un codice d’ingresso, che s’introduca legittimamente nel sistema, per finalità però diverse da quelle delimitate specificamente dalla sua funzione e dagli scopi per i quali la password gli è stata assegnata (cfr. Cass., Sez. V,sent.n.12732/2000, Zara, rv. 217743; Sez. V, sent. n.37322/2008, Bassani, rv.241202; Sez. V.,sent.n.1727/2008, deposito 16.1.2009, Romano, rv.242939; Sez. V, sent. n. 18006/2009, Russo, rv. 243602; Sez. V, sent.n. 2987/2009, Matassich,rv,245842; Sez. v, sent.n. 19463/2010, 3ovanovic,rv.247144; Sez. V : sent.n. 39620/2010, Lesce,rv.248653). Nello specifico, nelle sentenze Bassani e Lesce, è stato espressamente enunciato che il primo comma dell’art. 615 ter c.p. sanziona non soltanto l’introduzione abusiva in un sistema informatico protetto, ma anche il mantenersi al suo interno contro la volontà espressa o tacita di chi abbia il diritto di escluderlo da parte di soggetto abilitato, il cui accesso, di per sé legittimo, diviene abusivo, e perciò illecito, per il suo protrarsi all’interno del sistema per fini e ragioni estranee a quelle dell’istituto. Un diverso orientamento (cfr. Cass., Sez. V, sent. n. 2534/2007, Migliazzo, rv.239105; Sez.V, sent. n. 26797/2008, Scimia, rv.240497; Sez. VI, sent. n. 3290/2008, Peparaio, rv. 242684; Sez. V, sent. n. 40078/2009, Genchi, rv.244749) valorizzava il dettato della prima parte del primo comma dell’art. 615 ter c.p., ritenendo illecito il solo accesso abusivo, ovvero quello effettuato da soggetto non abilitato, mentre sempre e comunque lecito consideravano l’accesso del soggetto abilitato, ancorché effettuato per finalità estranee a quelle d’ufficio. In tale prospettiva, si escludeva che il reato di cui all’art. 615 ter c.p. fosse integrato dalla condotta del soggetto il quale, avendo titolo per accedere al sistema, se ne fosse avvalso per finalità estranee a quelle di ufficio, ferma restando la sua responsabilità per i diversi reati eventualmente configurabili, ove le suddette finalità fossero state effettivamente realizzate. Il contrasto originatosi sul punto è stato ricomposto dalle Sezioni Unite di questa Suprema Corte che„ con sentenza n.4694/2011 (dep. 7.2.2012), Casani, rv. 251269, hanno aderito all’orientamento restrittivo da ultimo illustrato, ritenendo che la questione non debba essere riguardata sotto il profilo delle finalità perseguite da colui che accede o si mantiene nel sistema, in quanto la volonta del titolare del diritto di escluderlo si connette soltanto al dato oggettivo della permanenza (per così dire ‘fisica”) dell’agente in esso. La volontà contraria dell’avente diritto, in quest’ottica, deve essere verificata solo con riferimento al risultato immediato della condotta posta in essere, non già ai fatti successivi. Rilevante deve ritenersi, perciò, il profilo oggettivo dell’accesso e del trattenimento nel sistema informatico da parte di un soggetto che sostanzialmente non può ritenersi autorizzato ad accedervi ed a permanervi sia allorquando violi i limiti risultanti dal complesso delle prescrizioni impartite dal titolare del sistema sia allorquando ponga in essere operazioni di natura ontologicamente diversa da quelle di cui egli è incaricato ed in relazione alle quali l’accesso era a lui consentito. Le Sezioni Unite hanno affermato, in conclusione, il principio di diritto secondo cui “integra la fattispecie criminosa di accesso abusivo ad un sistema informatico o telematico protetto, prevista dall’art. 615 ter c.p. la condotta di accesso o di mantenimento nel sistema posta in essere da soggetto che, pure essendo abilitato, violi le condizioni ed i limiti risultanti dal complesso delle prescrizioni impartite dal titolare del sistema per delimitare oggettivamente l’accesso. Non hanno rilievo, invece, per la configurazione del reato, gli scopi e le finalità che soggettivamente hanno motivato l’ingresso al sistema”. 1.3 Le conclusioni raggiunte dalle Sezioni Unite Casani del 2011 sono state, peraltro, oggetto di un percorso di progressiva “erosione” (cfr. Cass., Sez. V, sent.n.15054/2012, Crescenzi, rv. 252479; Sez. V, sent.n.10083/2014, dep. 10/03/2015, Gorziglia, rv. 263454; Sez. V, sent. n.6176/2015, dep. 15/02/2016, Russo, n.m.; Sez. V, sent. n. 35127/2016, Papa, n.m.; Sez. V, sent. n. 27883/2016, Leo, n.m.; Sez. V, sent. n. 3818/2016, dep. 25/01/2017, Provenzano, n.m.) che ha tentato di ampliare la portata delle sentenza delle Sezioni Unite richiamate, ritenendo che il capoverso dell’art. 615 ter c.p. induca a ritenere censurabile, comunque, ia condotta del pubblico ufficiale o dell’incaricato di pubblico servizio che si estrinsechi in un abuso dei poteri conferitigli, tra cui – evidentemente – quello di accessi non istituzionali, e quindi ponendo in essere una condotta formalmente corretta ma ontologicamente difforme dalle finalità operative di cui egli è incaricato, ricordando che la volontà del titolare del diritto di esclusione può, per disposizione di legge, essere anche tacita.

Comments are closed.