Di recente, l’accesso abusivo a sistema informatico è stato nuovamente oggetto di attenzione giuridica. In generale, le norme che regolano gli aspetti connessi all’utilizzo delle nuove tecnologie sono relativamente giovani. Esse sono infatti state progressivamente introdotte per regolamentare le situazioni frutto del progresso tecnologico che è andato via via intensificandosi dalla seconda metà del Ventesimo secolo in poi. Sotto questo punto di vista, il reato di accesso abusivo a sistema informatico non fa eccezione, essendo stato introdotto solo nel 1993, dall’art.4 della L. 23 dicembre nr. 547.
Disciplinato dall’art. 615 ter cp., esso torna spesso al centro del dibattito per via dell’attualità della sua fattispecie e di alcune problematiche applicative. Risale a poco tempo fa l’intervento della Suprema Corte di Cassazione, che si è espressa per circoscrivere le condotte penalmente rilevanti in tema di accesso abusivo a sistema informatico. La Corte è intervenuta con particolare riferimento al rapporto lavorativo, sia nel settore pubblico che in quello privato. Prima di addentrarsi nella comprensione delle implicazioni per i due settori, è bene ricordare cosa dice la legge sul reato di accesso abusivo a sistema informatico. La norma punisce due condotte: l'accesso non autorizzato in un sistema informatico o telematico protetto e il mantenimento in esso contro la volontà del gestore. Giocoforza, quando si parla di accesso ad un sistema informatico, vengono subito in mente il possesso e l’utilizzo di una password da parte del dipendente.
I dipendenti e l'uso illecito della password
Come accennato sopra, fin dalla sua introduzione nel Codice Penale, la disposizione normativa sull’accesso abusivo a sistema informatico ha generato notevoli problematiche applicative. Tali problematiche non riguardano soltanto l’accesso da parte di una persona sprovvista di credenziali legittime. Esse concernono proprio anche i dipendenti che a tutti gli effetti dispongono di password e la utilizzano ai fini di accessi illeciti. Da qui, la necessità di fare chiarezza anche a livello giuridico sulla questione.
Considerato il numero notevole delle denunce sporte da parte di imprese, società ed enti pubblici, i giudici di legittimità sono dovuti intervenire su come applicare correttamente la norma. In particolare, la Corte ha risposto alla domanda: “L’utilizzo della password personale per accedere ad un sistema informatico pubblico o privato per finalità illecite o non correlate alla mansione svolta configura il reato di cui all’art. 615 ter cp?” La Suprema Corte di Cassazione ha dato una risposta molto chiara, suddividendo le implicazioni sulla base delle differenze tra dipendenti del settore pubblico e dipendenti del settore privato.
L’accesso abusivo a sistema informatico nel settore pubblico
Primariamente, la Suprema Corte di Cassazione è intervenuta con riferimento al rapporto di lavoro pubblico (Cassazione Penale, Sezioni Unite, 8 settembre 2017 (ud. 18 maggio 2017), n. 41210), rilevando che:
Integra il delitto di accesso abusivo a sistema informatico la condotta del pubblico ufficiale o dell’incaricato di pubblico servizio che, pur essendo abilitato e pur non violando le prescrizioni formali impartite dal titolare di un servizio informatico o telematico protetto per delimitarne l’accesso, acceda o si mantenga nel sistema per ragioni ontologicamente estranee e comunque diverse rispetto a quelle per le quali, soltanto, la facoltà di accesso gli è attribuita.
Pertanto si può ritenere che, con riferimento al rapporto di lavoro pubblico, la condotta del dipendente sia penalmente rilevante quando le finalità di accesso siano contrarie alle ragioni per le quali il gestore del sistema informatico abbia attribuito al sottoposto la facoltà di accesso. Nel caso di specie, i giudici avevano censurato la condotta del dipendente del Ministero della Giustizia che, sprovvisto di formale provvedimento autorizzativo, aveva rivelato ad un privato informazioni concernenti il proprio status di iscritto nel registro delle notizie di reato. Non è quindi solo penalmente rilevante l’accesso o il mantenimento del soggetto sprovvisto di password, ma anche del dipendente pubblico provvisto di password che vi accede eccedendo i limiti del conferimento della chiave di sicurezza.
L'accesso abusivo a sistema informatico nel settore privato
Ad analoga conclusione è pervenuta sempre la Corte di Cassazione Sezione V, con sentenza emessa in data 17/05/2021 n.26530, estendendo il principio di diritto riportato sopra anche ai rapporti di lavoro privato o associativo. Pertanto, l’illecito penale si configura anche quando:
- il dipendente sia fornito di chiave di accesso/password al sistema informatico aziendale;
- contestualmente violi le condizioni e i limiti risultanti dal complesso delle prescrizioni impartite dal titolare del sistema – il datore di lavoro – per delimitarne oggettivamente l'accesso.
Interpretando quanto indicato sopra, il dipendente si rende responsabile del reato di accesso abusivo a sistema informatico quando, ad esempio, accede al sistema informatico aziendale compiendo operazioni del tutto illecite o concretamente contrarie a quanto impartito dal datore di lavoro. A fronte di tali condotte, il datore di lavoro può tutelarsi formulando denuncia-querela nel termine di 3 mesi dalla conoscenza del fatto penalmente rilevante.
Cosa fare in caso di accesso abusivo a sistema informatico
La formulazione della denuncia-querela è sicuramente importante, ma potrebbe non bastare per tutelare l’interesse della parte lesa. Si tenga infatti presente che, nella stragrande maggioranza dei casi, il reato di accesso abusivo a sistema informatico costituisce solo la premessa ad ulteriori condotte appropriative o furtive di know-how o di identità digitale. L’impresa o la società, per non perdere l’esclusiva disponibilità su questa tipologia di dati ed informazioni riservate, può quindi prendere in considerazione un ulteriore passaggio. Contestualmente all’atto di denuncia-querela, essa può infatti formulare richiesta all’autorità procedente di perquisizione personale e domiciliare del presunto autore del reato, ai fini del successivo sequestro probatorio di quanto rinvenuto nella disponibilità del medesimo.
È doveroso evidenziare che, oltre alla formalizzazione dell’atto di denuncia-querela, il codice di rito consente al difensore della persona offesa dal reato di svolgere investigazioni difensive e di nominare eventualmente un consulente tecnico informatico affinché questo, mediante apposita strumentazione, possa accertare le modalità di accesso al sistema informatico. In molti casi risulta infatti importante individuare anche quale tipo di attività specifica sia stata compiuta dal dipendente, nonché le eventuali memorie esterne inserite nel computer aziendale al fine di acquisirne know-how e informazioni sensibili o di carattere tecnico.
Per concludere, a partire dal 2017 e sino alla recente pronuncia del maggio del 2021, i giudici di legittimità hanno profondamente innovato il contenuto dell’art. 615 ter cp, fornendo un’interpretazione via via più favorevole al datore di lavoro. Sia che si tratti del settore pubblico, sia che si operi nel privato, il dipendente compie reato nel momento in cui effettua accesso informatico con le proprie credenziali per finalità totalmente estranee alla mansione o alle direttive impartite. Gli avvocati dello Studio Legale Maffi restano a disposizione per eventuali chiarimenti in merito all’interpretazione della normativa.