In via generale, l’art. 615-ter del codice penale punisce chiunque si introduca abusivamente in un sistema informatico o telematico[1] protetto da misure di sicurezza nonché colui che vi si mantenga contro la volontà, espressa o tacita, di chi ha il diritto di escluderlo.
In particolare, la legge prevede per l’autore del reato la pena della reclusione non inferiore nel minimo ad un anno e non superiore nel massimo a cinque anni.
Il delitto, come anticipato, si perfeziona, in due distinte ipotesi, ovvero quando il soggetto, abusivamente, si introduce in un sistema informatico (o telematico) protetto da misure di sicurezza, nonché nel caso in cui il soggetto, seppur astrattamente autorizzato all’accesso al sistema, vi si mantenga nonostante del soggetto cui i diritti sul sistema sono riconducibili.
In via generale, è noto che ad oggi i cd. computer crimes rappresentano una delle modalità di “aggressione” più frequenti nell’attuale sistema sociale, caratterizzato da una sempre maggiore diffusione, a tutti i livelli, della tecnologia, nonché da un’esponenziale crescita della centralità per l’attività di impresa delle reti informatiche.
Proprio per colmare i vuoti normativi esistenti nel diritto positivo, con la l. n. 547/1993 – sulla base delle raccomandazioni in materia di criminalità informatica dettate dal Consiglio d’Europa – sono state introdotte nuove figure tipiche di reato.
La fattispecie in oggetto è collocata nel codice penale nella sezione relativa ai delitti contro la libertà personale, e, nello specifico, contro l’inviolabilità del domicilio, ed è caratterizzata dal fatto che il sistema informatico, o telematico, costituisce l’oggetto materiale della condotta, ovvero la “cosa” materiale su cui ricade concretamente l’azione del soggetto agente.
La prassi insegna che tale fattispecie spesso si perfeziona nell’ambito di un rapporto di lavoro, e, in particolare, nel momento dell’interruzione del rapporto professionale, occasione in cui sovente accade che i dipendenti “svuotino gli hard disk” – talvolta anche soltanto per ripicca, dei propri ex datori.
*
Ciò premesso, si affronterà ora l’esame di una recente pronuncia della Corte di Cassazione[2] avente ad oggetto l’abusivo accesso a dati riservati successivamente all’interruzione di un rapporto di lavoro, sentenza, che, peraltro, si contraddistingue per ripercorre i più significativi precedenti di legittimità in materia, che si riportano di seguito nei loro punti essenziali.
La pronuncia in questione, infatti, premette che le Sezioni Unite si erano in precedenza pronunciate nei seguenti termini:
- quanto all’elemento soggettivo, ai fini della sussistenza del reato devono essere considerati irrilevanti gli scopi e le finalità che abbiano soggettivamente motivato l’ingresso nel sistema[3].
- quanto all’elemento oggettivo, il delitto previsto dall’art. 615 ter c.p. è integrato dalla condotta di colui che – pur essendo abilitato – acceda o si mantenga – per ragioni ontologicamente estranee rispetto a quelle per le quali la facoltà di accesso gli è attribuita – in un sistema informatico (o telematico) protetto, violando le condizioni e i limiti poste dal titolare del sistema al fine di delimitarne l’accesso[4].
Poste tali “premesse”, la pronuncia in esame precisa che, in tema di abusivo accesso ad un sistema informatico, è necessario far precipuo riferimento ai limiti posti all’accesso del soggetto agente, con la conseguenza che, la loro violazione, da parte del medesimo, determina la coscienza e volontà di perpetrare un’illecita intromissione nel sistema informatico o telematico[5].
Nello specifico, la fattispecie in esame riguardava il caso del dirigente di un’impresa che, all’atto delle dimissioni, procedeva, naturalmente senza alcun preventivo permesso, a copiare alcuni files contenenti dati riservati del proprio datore di lavoro, provvedendo peraltro alla loro cancellazione dai supporti di archiviazione aziendale.
Sul punto, la Corte di Cassazione specificava che la qualifica dirigenziale di un dipendente non “implica necessariamente l’accesso indiscriminato a tutte le informazioni in possesso dell’imprenditore preponente, perché una compartimentazione dell’accesso informativo è pienamente compatibile, sul piano logico e giuridico, con il carattere settoriale della preposizione”[6].
I limiti di accesso ai dati informatici cui sono sottoposti i dipendenti derivano, infatti, dal complesso delle prescrizioni impartite dal titolare del sistema, nonché dalla natura e dall’oggetto degli incarichi a ciascuno affidati.
*
La sentenza in commento si pone nel contesto delle pronunce in tema di cybersecurity, ovvero, brevemente, l’insieme di presidi volti alla tutela dell’integrità e della confidenzialità delle informazioni riservate trattate mediante sistemi informatici.
Assume fondamentale importanza la predisposizione, da parte degli imprenditori, non soltanto di un assetto – che trovi formale esteriorizzazione in un regolamento aziendale – che preveda non soltanto una rigida determinazione delle informazioni cui ciascun dipendente può accedere nell’ambito delle proprie funzioni, bensì, inoltre, di un sistema che permetta di “monitorare” gli accessi compiuti e l’eventuale copia, salvataggio su dispositivi esterni o cancellazione di files aziendali.
Ciò assume rilevanza fondamentale nelle ipotesi in cui gli ex dipendenti (i) assumano successivamente analoghi incarichi presso un diretto concorrente, (i) vengano assunti da un’impresa al fine di creare una nuova unità organizzativa dedita all’attività cui erano precedentemente occupati, nonché (iii) intendano esercitare autonomamente l’attività cui erano precedentemente dediti nel contesto aziendale, utilizzando, in tutti e tre i casi, modelli e procedure appartenenti al know how dell’impresa presso cui erano assunti.
Inoltre, deve porsi l’attenzione sul fatto che la fattispecie di cui all’art. 615 ter c.p. rappresenta un delitto dalla cui commissione possono nascere responsabilità dirette dell’ente ai sensi del d. lgs. n. 231/2000 (cd. Responsabilità amministrativa degli enti), con tutte le conseguenze di legge.
[1] Secondo l’art. 1 della Convenzione Europea di Budapest, per sistema informatico deve intendersi “qualsiasi apparecchiatura o gruppi di apparecchiature interconnesse o collegate, una o più delle quali, in base ad un programma, compiono l’elaborazione automatica dei dati”.
[2] Cfr. Cass. Pen. n. 48895/2018.
[3] Cfr. Cass. SS. UU. n. 4694/2011.
[4] Cfr. Cass. SS. UU. n. 41210/2017.
[5] Cfr. Cass. Pen. n. 33311/2016.
[6] Viceversa, la difesa dell’agente aveva sostenuto che la sua qualifica dirigenziale gli permettesse di estendere il proprio accesso all’intero patrimonio “informatico” dell’imprenditore.
