INFORMATICA FORENSE

di Giuseppe Vaciago e Marco Tullio Giordano, Avvocati in Milano

Accesso abusivo a sistema informatico del dipendente autorizzato: in assenza di chiare norme aziendali, la Cassazione annulla la condanna

La previsione di presidi di sicurezza informatica in ambito aziendale, siano essi afferenti soluzioni di carattere tecnologico, organizzative o procedurali, è ormai un elemento imprescindibile di una corretta programmazione dell’attività da parte degli amministratori e delle funzioni apicali di una società.

La protezione dei dati e delle informazioni che inevitabilmente si riversano oggi sui sistemi informatici delle società è richiesta al fine di garantire la conformità alle disposizioni di cui al d.lgs. 196/2003 in tema di corretto trattamento di dati o a scongiurare l’applicazione delle previsioni in tema di responsabilità amministrativa dell’ente in caso di reato, di cui al d.lgs. 231/01. Anche al fine di far valere un diritto, o dimostrare l’illiceità di un comportamento altrui, infatti, è di estrema importanza dare prova di aver implementato un organico assetto di misure di sicurezza e previsioni regolamentari interne, tali da limitare il perimetro di liceità delle condotte di dipendenti e collaboratori.

In tal senso, la Corte di Cassazione ha recentemente avuto modo di ribadire, con sentenza n. 10083/2015, emessa dalla Sezione V Penale il 31.10.2014 e depositata il 10.03.2015, che il reato di accesso abusivo a un sistema informatico, da parte di chi è oggettivamente autorizzato, è punibile solo ove l’agente si mantenga all'interno di tale sistema violando le condizioni e i limiti risultanti dal complesso delle prescrizioni impartite dal titolare, risultando difatti irrilevanti, per la configurabilità del reato di cui all’art. 615 ter c.p., gli scopi e le finalità soggettivamente perseguiti dall’agente, nonché l’eventuale successivo danneggiamento o utilizzo illecito dei dati trafugati.

La lettura delle motivazioni aiuta a meglio comprendere la ratio dell’annullamento della sentenza di condanna e definisce ulteriormente, rispetto alle precedenti occasioni di intervento della Suprema Corte, l’importanza di una chiara politica di sicurezza informatica ed aziendale.

Nel caso di specie, un dirigente aziendale, in possesso delle credenziali di accesso al sistema informatico, di cui risultava anche amministratore, a seguito della comunicazione dell’interruzione del rapporto di collaborazione, accedeva con le proprie credenziali, operando su file contenenti i dati riguardanti l'attività dell'azienda e, più nello specifico, i nominativi dei clienti che avevano contratto polizze con la società.

Successivamente, duplicava parte di tali file su supporto ottico - per fruirne illecitamente, secondo l’accusa, ai fini della sua nuova attività professionale - non senza aver precedentemente provveduto a eliminare diversi documenti a carattere professionale, contenuti sulla memoria del computer in uso e di proprietà dell'azienda.

Ora, è noto che la fattispecie in oggetto punisce le condotte che si caratterizzano per l’introduzione abusiva in un sistema informatico o telematico protetto da misure di sicurezza, effettuato sia a distanza, sia da persona che si trovi a diretto contatto con l’elaboratore elettronico, così come le condotte che si concretano nel mantenimento nel sistema contro la volontà, espressa o tacita, del titolare dello ius excludendi. Ma quando ad accedere è un dipendente o, come nel caso di specie, persino un dirigente - per lo più amministratore di sistema - il quale, benché abbia da poco appreso del termine della collaborazione, si può sostenere che sia ancora oggettivamente autorizzato alla visione e alla copia, astrattamente per finalità lecite, quali ad esempio operazioni di backup dei dati?

La Corte di Cassazione, sciogliendo un contrasto venutosi a creare sul punto a seguito del susseguirsi di decisioni difformi nel corso degli anni, ha da tempo chiarito, con sentenza n. 4694 emessa a Sezioni Unite il 27 ottobre 2011, che “sono indifferenti le finalità perseguite da colui che accede o si mantiene nel sistema, in quanto la volontà del titolare del diritto di esclusione si connette soltanto al dato oggettivo della permanenza dell'agente nel sistema informatico, rilevando il solo profilo oggettivo dell'accesso e del trattenimento nel sistema informatico da parte di un soggetto che non può ritenersi autorizzato ad accedervi e a permanervi sia quando violi i limiti risultanti dal complesso delle prescrizioni impartite dal titolare del sistema, sia quando ponga in essere operazioni ontologicamente diverse da quelle di cui egli è incaricato e in relazione alle quali l'accesso era a lui consentito”.

È dunque chiaro che si debba prescindere dalla circostanza inerente l’utilizzo che l’accusato possa fare dei dati acquisiti, anche se tale utilizzo possa sembrare illecito o comunque civilmente illegittimo. Ciò che occorre verificare è se l’accesso fosse o meno legittimo al momento dei fatti, “riscontrando la sussistenza di eventuali violazioni delle condizioni e dei limiti risultanti dal complesso delle prescrizioni impartite dal titolare del sistema per delimitarne oggettivamente l'accesso” ( come già statuito da Cass., sez. V, 18 dicembre 2012, n. 18497).

Nel caso oggetto della sentenza in commento, non era stato assolutamente esaminato, nei due gradi di giudizio di merito, il profilo attinente le ragioni per cui l’imputato avesse duplicato i files, né era stata fornita alcuna prova circa il fatto che tale condotta non rientrasse nelle finalità del trattamento dei dati di competenza dello stesso. Tale circostanza ha imposto l’annullamento della decisione impugnata con rinvio ad altro giudice per un nuovo esame del caso in relazione a quest’ultimo profilo.

Da queste considerazioni discende la necessità di prevedere, in seno alle aziende, un chiaro ed esaustivo regolamento per l’utilizzo degli strumenti e dei dispositivi informatici, in quanto, qualora l'attività autorizzata consista anche nella acquisizione di dati informatici e l'operatore la esegua nei limiti e nelle forme consentiti (rectius non espressamente chiariti) dal titolare dello ius excludendi, il delitto in esame non è sussistente, anche se degli stessi dati egli si dovesse poi servire per finalità illecite.

L’utilità del regolamento aziendale chiaro è duplice: da un lato consente di prevenire comportamenti illeciti e di consentire un maggior controllo da parte della società nel caso in cui si sospetti un’attività illecita, dall’altro lato garantisce una maggiore conformità al modello organizzativo nell’ottica di dimostrare un pieno rispetto del d.lgs. 231/01.