NEWS

Il ruolo di dirigente non esclude la punibilità per accesso abusivo a sistema informatico

La recente Sentenza della Cass. Pen. n. 48895/18, che si è occupata della fattispecie criminosa dell’“accesso abusivo a un sistema informatico” di cui all’art. 615 ter cp, offre l’occasione per alcune riflessioni sulla figura del “dirigente aziendale” e sulle “modalità di conferimento del potere di acceso all’interno di un sistema informatico”.

Il caso sottoposto all’esame della Corte era il seguente. In primo grado Tizio era stato ritenuto responsabile del reato di accesso abusivo a un sistema informatico ex art. 615 ter c.p., di cui al capo A) della rubrica, per aver, al momento delle sue dimissioni dalla (Omissis) senza preventivo permesso, copiato su DVD alcuni files contenenti dati riservati del proprio datore di lavoro, procedendo altresì, in modo irreversibile alla cancellazione dei dati contenuti sul PC aziendale in uso, ritenuti in esso assorbiti il fatto di cui al capo B) (furto dei files contenenti i dati riservati) e del reato di tentata rivelazione di segreti industriali ex artt. 56 e 623 c.p. di cui al capo C), in continuazione fra loro e, ritenuto più grave il reato di cui al capo A), l'aveva perciò condannato alla pena, sospesa, di mesi otto di reclusione e al risarcimento dei danni, da liquidarsi in separato giudizio e alla refusione delle spese, in favore della parte civile.

La decisione veniva confermata dalla Corte dì Appello e l’imputato decideva di ricorrere in Cassazione formulando diversi motivi di ricorso.

Ai nostri fini rileva il primo motivo di impugnazione, con il quale si lamentava il fatto che non fosse stato considerato che l’imputato avesse un ruolo dirigenziale ed operava quale alter ego dell’imprenditore, che disponesse delle chiavi dello stabilimento a cui accedeva anche fuori dai normali orari di lavoro, nonché di ogni password del sistema e che non esistevano aree aziendali a lui interdette.

La Corte, nel rigettare il ricorso, premette che l’assunzione di un ruolo dirigenziale non implica necessariamente l’accesso indiscriminato a tutte le informazioni in possesso dell’imprenditore preponente, in quanto è compatibile con tale figura un suo confinamento solo ad alcuni settori dell’organizzazione, confinamenti che, nel caso di specie, erano stati accertati.

E’ inoltre utile osservare come la sentenza in esame non presenti alcuna tensione interpretativa rispetto al principio espresso dalla Sentenza Corte Cass sez. un. 41210/17 secondo il quale sussiste la responsabilità penale anche in capo a colui che, munito del potere di accesso, lo impieghi per finalità diverse a quelle per le quali la facoltà gli è attribuita.

Come noto, intorno alla fattispecie criminosa in oggetto, si era registrato un duplice orientamento giurisprudenziale.

Da una parte vi era chi riteneva che il reato fosse integrato anche qualora il soggetto autorizzato all'accesso per una determinata finalità, utilizzasse il titolo di legittimazione per una finalità diversa e dall’altra coloro che, valorizzando il dettato della prima parte del primo comma dell'art. 615-ter cod. pen., avevano ritenuto illecito il solo accesso abusivo, e cioè quello effettuato da soggetto non abilitato, mentre sempre e comunque lecito consideravano l'accesso del soggetto abilitato, ancorché effettuato per finalità estranee a quelle d'ufficio e perfino illecite. Il contrasto in parola è stato oggetto di due pronunce della Corte di Cassazione a sez. unite a distanza di breve tempo l’una dall’altra, la n. 4694/11 e la n. 41210/17 sopra richiamata, a riprova della problematicità applicativa dell’art. 615 ter c.p.

Si osserva tuttavia che, eventuali ambiguità interpretative della norma, potranno essere “contenute” se, al momento del conferimento dei poteri abilitanti l’accesso, si farà ricorso a una particolare chiarezza e esatta individuazione dei confini delle competenze assegnate anche con riferimento alle finalità dell’accesso collocando le stesse tra i presupposti abilitanti. Un siffatto approccio, oltre ad essere compliance rispetto al GDPR 679/16, potrà spiegare i suoi effetti anche in sede penale nel senso di una più facile individuazione della “consapevolezza”, in capo al soggetto autorizzato, della contrarietà alle disposizioni ricevute e, quindi, del carattere abusivo dell'accesso e della permanenza fisica nel sistema.

Note Autore

Nicola Maria Viscanti Nicola Maria Viscanti

Avvocato esperto di privacy e protezione dei dati personali, Delegato Federprivacy provincia di Prato - Email: [email protected]

Prev Licenziabile chi cede la password a terzi per far passare in modo fittizio la revisione auto
Next Dlgs 101/2018, per trattare i dati personali le p.a. si devono basare sempre su leggi o regolamenti

Il presidente di Federprivacy al TG1 Rai

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy