Home
Lo studio
Risorse
Contatti
Lo studio

Decisioni

Reato fare backup dei dati dei clienti per mettere in proprio? (Cass. 34296/20)

2 dicembre 2020, Cassazione penale

Per giudicare della liceità dell'accesso effettuato da chi sia abilitato ad entrare in un sistema informatico, è la finalità perseguita dall'agente, che deve essere confacente alla ratio sottesa al potere di accesso, il quale mai può essere esercitato in contrasto con gli scopi che sono a base dell'attribuzione del potere, nonchè, com'è stato già rimarcato, in contrasto con le regole dettate dal titolare o dall'amministratore del sistema.

Configurabile il reato di accesso abusivo ad un sistema informatico in quei casi nei quali l’accesso abusivo si verifichi non già in ambito pubblico ma in ambito privato, soprattutto quando l’accesso avvenga utilizzando credenziali lecite, ma la finalità perseguita sia illecita: è reato effettuare il backup dei dati in esso inseriti, in vista dello svolgimento di una autonoma attività professionale, dato che il diritto di accesso ai sistemi informatici dello studio e della società serviva per il perseguimento degli scopi propri dell'associazione e della società personale, per cui l'aver acceduto a quei sistemi per estrapolarne i dati in esso contenuti e servirsene per finalità esclusive concretava un accesso abusivo, sanzionabile ai sensi della norma suddetta.

 

 

CORTE SUPREMA DI CASSAZIONE

SEZIONE QUINTA PENALE

(ud. 02/10/2020) 02-12-2020, n. 34296

Composta dagli Ill.mi Sigg.ri Magistrati:

Dott. BRUNO Paolo Antonio - Presidente -

Dott. SETTEMBRE Antonio - rel. Consigliere -

Dott. GUARDIANO Alfredo - Consigliere -

Dott. DE MARZO Giuseppe - Consigliere -

Dott. CAPUTO Angelo - Consigliere -

ha pronunciato la seguente:

SENTENZA

sul ricorso proposto da:

B.M. nato a (OMISSIS);

C.A.;

avverso la sentenza dei 04/07/2018 della CORTE APPELLO di VENEZIA;

visti gli atti, il provvedimento impugnato e il ricorso;

udita la relazione svolta dal Consigliere Dr. ANTONIO SETTEMBRE;

udito il Pubblico Ministero, in persona del Sostituto Procuratore Dr. MIGNOLO OLGA, che ha concluso per il rigetto del ricorso.

udito il difensore, avv. M, che si riporta al ricorso.

Svolgimento del processo

1. La Corte d'appello di Venezia ha confermato la decisione di primo grado, che aveva condannato B.M. per il reato di cui all'art. 615-ter c.p.. All'imputato è contestato di essersi introdotto abusivamente net sistema informatico dello "Studio Associati di *", a cui era associato, e della società "** di C.A. e B.M. s.n.c.", di cui era socio, per effettuare il backup dei dati in esso inseriti, in vista detto svolgimento di una autonoma attività professionale.

2. Contro la sentenza suddetta ha proposto ricorso per Cassazione il difensore dell'imputato, con due motivi.

2.1. Col primo si duole della erronea applicazione dell'art. 615-ter c.p., derivante dal fatto che l'ingresso nel sistema informatico sopradetto non era stato affatto abusivo, essendo B. socio dello Studio e dell'Associazione professionale e in possesso, come tale, delle chiavi di accesso al sistema, oltre che "titolare di tale sistema informatico". Rimarca il fatto che nessuna regola, nemmeno interna, vietava all'imputato di effettuare il backup dei dati in questione.

2.2. Col secondo motivo lamenta che l'imputato sia stato condannato al pagamento di una provvisionale significativa (50.000 Euro) senza adeguata motivazione e, soprattutto che, senza motivazione, la sospensione condizionale della pena - concessa per il comportamento e la personalità dell'imputato - sia stata subordinata al pagamento della provvisionale suddetta.

Motivi della decisione

Il ricorso è infondato.

1. L'art. 615-ter c.p. sanziona, al comma 1, il comportamento di chiunque "abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo". Il comma 2 prevede un aggravamento di pena se il fatto è commesso da un pubblico ufficiale o da un incaricato di un pubblico servizio, con abuso dei poteri o con violazione dei doveri inerenti alla funzione o al servizio, o da chi esercita anche abusivamente la professione di investigatore privato, o con abuso detta qualità di operatore del sistema. L'accesso è abusivo - per dettato normativo - qualora avvenga mediante superamento e violazione delle chiavi fisiche ed informatiche di accesso o delle altre esplicite disposizioni su accesso e mantenimento date dal titolare del sistema.

Le Sezioni Unite di questa Corte (sentenza n. 4694 del 27/10/2011, rv 251270-01) hanno affrontato la questione se integri la fattispecie criminosa di accesso abusivo ad un sistema informatico o telematico protetto la condotta di accesso o di mantenimento nel sistema da parte di soggetto abilitato all'accesso, perchè dotato di password, ma attuata per scopi o finalità estranei a quelli per i quali la facoltà di accesso gli era stata attribuita, ed hanno ritenuto che rilevante debba considerarsi il profilo oggettivo dell'accesso e del trattenimento nel sistema informatico da parte di un soggetto non autorizzato ad accedervi ed a permanervi, sia quando violi i limiti risultanti dal complesso delle prescrizioni impartite dal titolare del sistema (con riferimento alla violazione delle prescrizioni contenute in disposizioni organizzative interne, in prassi aziendali o in clausole di contratti individuali di lavoro), sia quando ponga in essere operazioni di natura "ontologicamente diversa" da quelle di cui sarebbe stato incaricato ed in relazione alle quali l'accesso è a lui consentito, con ciò venendo meno il titolo legittimante l'accesso e la permanenza nel sistema.

Più recentemente le Sezioni Unite (sentenza n. 41210 del 18/5/2017, rv 271061-01) sono tornate sul tema dell'accesso operato da chi sia munito di apposite chiavi e sia abilitato a farlo, ma lo faccia in violazione delle norme pubblicistiche che disciplinano l'operato dei pubblici dipendenti e che indirizzano verso finalità di pubblico interesse l'attività della pubblica amministrazione. Ebbene, richiamato il principio di cui alla L. n. 241 del 1990, art. 1, in base al quale "l'attività amministrativa persegue fini determinati dalla legge ed è retta da criteri di economicità, efficacia, imparzialità, pubblicità, trasparenza, secondo le modalità previste dalla presente legge e dalle disposizioni che disciplinano singoli procedimenti, nonchè dai principi dell'ordinamento comunitario", le Sezioni Unite sopra richiamate hanno ribadito l'illiceità ed abusività di qualsiasi comportamento che con tale obiettivo si ponga in contrasto, manifestandosi in tal modo la "ontologica incompatibilità" dell'accesso al sistema informatico, connaturata ad un utilizzo dello stesso estraneo alla ratio del conferimento del relativo potere.

Decisiva, quindi, per giudicare della liceità dell'accesso effettuato da chi sia abilitato ad entrare in un sistema informatico, è, per la giurisprudenza di legittimità, la finalità perseguita dall'agente, che deve essere confacente alla ratio sottesa al potere di accesso, il quale mai può essere esercitato in contrasto con gli scopi che sono a base dell'attribuzione del potere, nonchè, com'è stato già rimarcato, in contrasto con le regole dettate dal titolare o dall'amministratore del sistema. Tanto vale per i pubblici dipendenti ma, stante l'identità di ratio, anche per i privati, allorchè operino in un contesto associativo da cui derivino obblighi e limiti strumentali alla comune fruizione dei dati contenuti nei sistemi informatici. In tal caso la limitazione deriva non già da norme pubblicistiche, che non esistono, ma dai principi della collaborazione associativa, che hanno, come base necessaria, il conferimento di beni, utilità, diritti e quant'altro funzionali al perseguimento dello scopo comune e impongono l'utilizzo degli stessi in conformità allo scopo suddetto. Anche l'accesso ai sistemi informatici predisposti a servizio dell'attività comune deve avvenire, quindi, in conformità alla ratio attributiva del potere, configurandosi come abusivo, ai sensi dell'art. 615 ter, ogni accesso che risulti con esso incompatibile.

Nella specie, il diritto di accesso ai sistemi informatici dello "Studio C. Associati di **" e della società "** di C.A. e B.M. s.n.c." era stato riconosciuto a favore di B.M. per il perseguimento degli scopi propri dell'associazione e della società personale, per cui l'aver acceduto a quei sistemi per estrapolarne i dati in esso contenuti e servirsene per finalità esclusive concreta un accesso abusivo, sanzionabile ai sensi della norma suddetta.

2. Infondato è anche il secondo motivo di ricorso. La pronuncia circa l'assegnazione di una provvisionale in sede penale ha carattere meramente delibativo e non acquista efficacia di giudicato in sede civile, mentre la determinazione dell'ammontare della stessa è rimessa alla discrezionalità del giudice del merito che non è tenuto a dare una motivazione specifica sul punto. Ne consegue che il relativo provvedimento non è impugnabile per cassazione in quanto, per sua natura insuscettibile di passare in giudicato, è destinato ad essere travolto dall'effettiva liquidazione dell'integrale risarcimento (Cass., 40410 del 18/3/2004, Rv 230105. Cass., n. 36536 del 2003 Rv. 226454, N. 36760 del 2004 Rv. 230271, N. 40410 del 2004 Rv. 230105, N. 5001 del 2007 Rv. 236068, N. 34791 DEL 2010, Rv 248348). Tanto, a meno che l'ammontare della provvisionale non sia ictu oculi esorbitante in relazione al danno provvisoriamente accertato; il che è da escludere nella specie, stante l'importanza delle conseguenze - sulla posizione economica del socio e dell'associato - ricollegabili al comportamento illecito dell'imputato. Quanto alla sospensione condizionale della pena, nulla impediva al giudicante di subordinarla all'adempimento delle obbligazioni civili, giacchè l'art. 165 c.p. attribuisce al giudice di merito tale potere ove abbia proceduto direttamente alla quantificazione dell'obbligo risarcitorio del condannato ovvero abbia assegnato una provvisionale (ex multis, cass., n. 20502 del 14/1/2019).

Consegue a tanto che il ricorso, infondato sotto entrambi i profili esaminati, va rigettato e il ricorrente condannato al pagamento delle spese processuali.

P.Q.M.
Rigetta il ricorso e condanna la ricorrente al pagamento delle spese processuali.

Così deciso in Roma, il 2 ottobre 2020.

Depositato in Cancelleria il 2 dicembre 2020