Con la sentenza emessa all’udienza del 27 ottobre 2011 (depositata in data 7.2.2012), Le Sezioni Unite hanno risolto il contrasto giurisprudenziale sorto in relazione all’art. 615 ter c.p. ovvero alla configurabilità del reato di accesso abusivo a sistema informatico nel caso in cui il soggetto legittimato all’accesso per motivi di servizio o di ufficio si introduca per motivi diversi.
L’Ordinanza di rimessione (Cass. pen., sez. V, ordinanza del 23 marzo 2011, n. 11714), richiedeva, infatti: “Se costituisca il reato previsto dall’articolo 615 ter c.p. l’accesso di soggetto abilitato ad un sistema informatico protetto per scopi e finalita’ estranee a quelle per le quali la chiave di accesso gli era stata attribuita”.
Sul punto erano previsti due distinti orientamenti maturati in seno alla Suprema Corte.
Secondo un primo indirizzo giurisprudenziale, “Non commette il reato di accesso abusivo a un sistema informatico (art. 615 ter c.p.) il soggetto che, avendo titolo per accedere al sistema informatico, se ne sia avvalso sia pure per finalità illecite, fermo restando che egli dovrà comunque rispondere dei diversi reati che risultino eventualmente configurabili, ove le suddette finalità venissero poi effettivamente realizzate.” (sentenza sez VI, 13.10.2010 n. 38667).
Ad esempio, nel caso in esame nella sopracitata sentenza, un cancelliere presso la Corte di Assise di Foggia, consultando il Registro Generale informatizzato aveva rivelato a un avvocato notizie segrete relative allo stato del procedimento penale a carico di un assistito del legale: l’uomo, veniva assolto in sede di merito dall’accusa di accesso abusivo a sistema informatico e condannato per rivelazione di segreti d’ufficio.
La Suprema Corte, aderendo al più recente orientamento in tema di accesso abusivo, confermava la pronuncia della Corte di Bari motivando circa l’insussistenza del reato se l’agente è legittimamente autorizzato ad accedere con la propria password in quanto “la norma incriminatrice, tutelando il domicilio informatico presuppone lo ius escluderteli e la violazione delle misure di sicurezza volte ad inibire l’accesso a terzi estranei o diversi da quelli abilitati ad entrarvi”.(Cass. Corte di Cassazione, Sezione 5 penale Sentenza 3 luglio 2008, n. 26797).
Un altro indirizzo giurisprudenziale invece, che è stato poi accolto dalle Sezioni Unite con la Sentenza in parola, stabilisce che è configurabile il reato di intrusione abusiva in un sistema informatico o telematico anche quando il soggetto, abilitato per motivi di servizio o di ufficio ad accedere ad una banca dati e in possesso delle credenziali di autenticazione del sistema informatico o telematico, acceda al sistema per motivi diversi da quelli di ufficio.
In adesione con tale orientamento si consideri, ad esempio, la sentenza Corte di Cassazione Sezione 5 Penale Sentenza del 10 novembre 2010, n. 39620 che aveva confermato la condanna di un agente scelto della Polstrada che si era introdotto nel sistema informatico del Ministero per controllare una autovettura falsamente attestando che tale autovettura fosse stata controllata da una pattuglia durante un servizio.
Le Sezioni Unite con la recente sentenza hanno quindi posto un principio cardine importantissimo in tema di diritto penale dell’informatica stabilendo configura il reato di accesso abusivo non solo con la condotta di chi non abbia alcun titolo per accedere al sistema, ma anche quella di chi, pur avendone titolo, lo utilizzi per finalità diverse da quelle consentite.
La pronuncia, quindi, chiarisce che l’art. 615-ter c.p. sanziona diverse condotte ovvero l’accesso abusivo di soggetto che non è legittimato, la condotta di chi, entrato legittimamente nel sistema perché abilitato, si trattenga per ragioni differenti da quelle per il quale è abilitato ad accedere e quella di chi è entrato nel sistema legittimamente, ma abusando dei poteri o con violazione dei doveri inerenti la funzione o il servizio.
L’orientamento appare “privacy-oriented” quando si consideri che il comportamento dell’agente che va oltre i poteri a lui concessi in relazione alle mansioni svolte o alle credenziali che gli vengono concesse è illegittimo proprio perché le operazioni compiute esulano dall’autorizzazione ricevuta dal titolare del sistema.
La normativa in tema di trattamento dei dati personali prevede, infatti, che l’incaricato, debba effettuare i trattamenti di dati personali di competenza (con l’ausilio di mezzi elettronici) attenendosi scrupolosamente alle istruzioni fornite e, a tal fine, vengono fornite credenziali di autenticazione al sistema con diversi profili di autorizzazione.
Una riflessione si impone, a questo punto, sulle autorizzazioni fornite dal titolare del sistema ovvero alle c.d. policy che non hanno ancora trovato una positivizzazione a livello normativo (se non una astratta previsione nel TU privacy in relazione alle “istruzioni” fornite dal responsabile del trattamento): i limiti che definiscono l’illegittimità del trattamento devono, a parere di chi scrive, essere dettagliatamente indicati per ovviare al problema della facilità con la quale le informazioni possono essere reperite e per determinare i confini (impalpabili) dello “ius excludendi” in capo al titolare del sistema.
