Accesso abusivo a un sistema informatico: non esclude il reato l’utilizzo legittimo della password se l’agente con la propria condotta viola le prescrizioni o i limiti imposti dal titolare del sistema circa l’uso dello stesso.

Lo hanno affermato le Sezioni unite penali della Corte di cassazione, con la sentenza n. 4694, depositata il 7 febbraio 2012, con la quale hanno posto fine ad un acceso dibattito giurisprudenziale sviluppatosi negli ultimi anni.

Secondo un primo orientamento (più restrittivo) si era ritenuto che integrasse il reato de quo anche la condotta di chi si introducesse nel sistema attraverso l’utilizzo della password (legittimamente posseduta) ma per finalità estranee a quelle per le quali era stato abilitato all’accesso (cfr. ex plurimis C. 12732/2000; C. 37322/2008; C. 1727/2008; C. 18006/2009; C. 2987/2009; C. 19463/2010; C. 39620/2010).

Sulla base di un diverso (e meno restrittivo) filone interpretativo, si era, invece, ritenuto che il delitto de quo potesse configurarsi esclusivamente con riferimento ad un accesso abusivo tout court: in altre parole, si è affermato che fosse illecito il solo accesso compiuto dal non abilitato, con esclusione, pertanto, della punibilità per l’accesso compiuto dall’abilitato (anche se per finalità estranee), ferma restando la sua responsabilità per i reati eventualmente commessi (cfr. C. 2534/2007; C. 26797/2008; C. 3290/2008)

Le Sezioni Unite Penali, quindi, hanno risolto il predetto conflitto giurisprudenziale, sostanzialmente aderendo al primo orientamento (quello più restrittivo), confermando la condanna emessa dalla Corte d’Appello di Roma nei confronti di un membro delle forze dell’ordine che aveva effettuato un accesso ad un database investigativo, tramite la password a lui conferita, non per condurre un’indagine, bensì al fine di rivelare a terzi informazioni riservate.

Gli Ermellini, al riguardo, hanno, però, precisato che il punto controverso non concernesse tanto le finalità perseguite (che potranno, infatti, ben concretare altre ipotesi criminose) quanto il dato oggettivo costituito dalle prescrizioni del titolare del sistema (i.e. regolamenti interni, contratto di lavoro etc.).

Si è, infatti, affermato che acquista rilevanza penale la condotta di accesso o di mantenimento nel sistema posta in essere da  un soggetto che, pure essendo abilitato, violi le condizioni ed i limiti risultanti dal complesso delle prescrizioni impartite dal titolare del sistema per delimitarne oggettivamente l’accesso.

Da un lato, quindi, occorrerà necessariamente verificare se siano state violate le prescrizioni impartite dal dominus circa l’uso del sistema e, dall’altro, saranno irrilevanti le finalità dell’accesso. Non ricorrerebbe, ad esempio, l’ipotesi del 615-ter c.p., secondo la Corte, con riferimento all’acquisizione di dati riservati per scopi illeciti, qualora tale acquisizione sia avvenuta nel rispetto delle prescrizioni del titolare del sistema.

Assumerà, pertanto, importanza decisiva una attenta e puntuale redazione delle condizioni generali di accesso/utilizzo del sistema informatico (pubblico e privato) al fine di delineare con maggiore precisione l’ambito delle condotte vietate.


This post is also available in: Inglese