Accesso abusivo a sistema informatico: Le Sezioni Unite sul tema


Il contrasto giurisprudenziale che le Sezioni unite hanno risolto, con la sentenza del 27.10.2011, riguardava la nozione di “abusività” nel reato previsto dall’art. 615-ter, comma primo, c.p. che punisce l’accesso abusivo a sistema informatico o telematico.

Nella specie un sottufficiale dei carabinieri che aveva titolo ad accedere a un sistema informatico in dotazione alle forze di polizia e contenente dati di indagine coperti da riservatezza, aveva acquisito notizie riguardanti la sfera privata e le vicende giudiziarie di svariate persone, pur non avendo motivo di svolgere tali accertamenti, e successivamente aveva rivelato le informazioni così apprese a una delle persone interessate e a un terzo.
La quinta sezione penale aveva rimesso la questione alle Sezioni Unite, data la persistenza del contrasto in ordine all’oggettività del delitto in argomento.

Le Sezioni Unite, dopo avere dato atto dell’attualità del contrasto, hanno passato in rassegna i diversi indirizzi presenti nella giurisprudenza delle sezioni semplici.

Innanzi tutto è opportuno chiarire che le condotte punite dall’art. 615-ter, comma primo, c.p., consistono:

a) nell’introdursi abusivamente in un sistema informatico o telematico protetto da misure di sicurezza (da intendere come accesso alla conoscenza di dati o informazioni contenuti nel sistema, effettuato sia da lontano, sia da vicino;

b) nel mantenersi nel sistema contro la volontà, espressa o tacita, di chi ha il diritto di esclusione (da intendere come il fatto di chi persista nella già avvenuta introduzione, inizialmente autorizzata o casuale, continuando ad accedere alla conoscenza dei dati nonostante il divieto, anche tacito, del titolare del sistema).

Secondo un primo orientamento il reato di accesso abusivo a sistema informatico non sarebbe configurabile allorché il soggetto che abbia titolo per accedere al sistema se ne avvalga per finalità estranee a quelle di ufficio, ferma restando la sua responsabilità per i diversi reati eventualmente ravvisabili, ove tali finalità vengano poi effettivamente realizzate.

Secondo un opposto orientamento, invece, perché sia configurabile il reato in questione, basta la semplice condotta del soggetto che, pur abilitato ad accedere al sistema informatico o telematico, vi si introduca con la password di servizio per raccogliere dati protetti per fini estranei alle ragioni di istituto e agli scopi insiti nella protezione dell’archivio informatico, utilizzando il sistema per obiettivi diversi da quelli consentiti.
Tale orientamento si fonda sul rilievo che la norma punisce non soltanto l’abusiva introduzione nel sistema (da escludere in caso di possesso del titolo di legittimazione), ma anche l’abusiva permanenza in esso contro la volontà di chi ha l’ius excludendi, da presumersi contraria in caso di perseguimento di una finalità illecita incompatibile con le ragioni per le quali l’autorizzazione all’accesso sia stata concessa.

A fronte del contrastante quadro interpretativo delineato, le Sezioni Unite hanno ritenuto che la questione non dovesse essere guardata sotto il profilo delle finalità perseguite da chi accede o si mantiene nel sistema, in quanto la volontà del titolare del diritto di escludere si connette soltanto al dato oggettivo della permanenza dell’agente in esso: il che significa che la volontà contraria dell’avente diritto deve essere verificata solo con riferimento al risultato immediato della condotta posta in essere, non già ai fatti successivi.
Conseguentemente, quel che rileva è solo il profilo oggettivo dell’accesso e del trattenimento nel sistema informatico da parte di un soggetto che non può considerarsi autorizzato ad accedervi e a permanervi sia quando violi i limiti risultanti dal complesso delle prescrizioni impartite dal titolare del sistema (prescrizioni contenute in disposizioni organizzative interne, in prassi aziendali o in clausole di contratti individuali di lavoro), sia quando ponga in essere operazioni di natura diversa da quelle di cui egli è incaricato e in relazione alle quali l’accesso gli è consentito.
Il giudizio sull’esistenza del dissenso del dominus non può essere, quindi, formulato in base alla direzione finalistica della condotta, ma deve assumere come parametro la sussistenza di un’obiettiva violazione, da parte dell’agente, delle prescrizioni impartite dal dominus stesso circa l’uso del sistema.
Ne consegue che, qualora l’agente compia sul sistema un’operazione pienamente assentita dall’autorizzazione ricevuta e agisca nei limiti di questa, il reato di cui all’art. 615-ter c.p. non è configurabile, indipendentemente dallo scopo eventualmente perseguito; sicché qualora l’attività autorizzata consista anche nella acquisizione di dati informatici e l’operatore la esegua nei limiti e nelle forme consentiti dal titolare del diritto di esclusione, il delitto in esame non ricorre, anche se degli stessi dati egli si dovesse poi servire per finalità illecite.
Irrilevanti, dunque, devono considerarsi gli eventuali fatti successivi: questi, se del caso, potranno essere ricondotti ad altro titolo di reato.