Accesso abusivo a sistema informatico: anche le misure organizzative sono “protezione del sistema”

Cass. pen., Sez. V, 23 gennaio 2025, sentenza n. 2905

LA MASSIMA
“Ai fini della configurabilità del reato di accesso abusivo ad un sistema informatico o telematico, la protezione del sistema può essere adottata anche con misure di carattere organizzativo che disciplinino le modalità di accesso, consentito esclusivamente dal titolare per determinate finalità ovvero per il raggiungimento degli scopi aziendali.”

IL CASO
Ad un militare, dirigente di un ufficio con compiti investigativi di rilevanza nazionale, era stato ascritto il delitto di cui all’art. 615-ter, comma 2, n. 1 c.p. per avere determinato un collega ad effettuare interrogazioni tramite un sistema informatico con finalità estranee a quelle inerenti alla funzione dello stesso.
Il G.u.p., ritenuta sussistente la penale responsabilità del prevenuto per il delitto aggravato di accesso abusivo ad un sistema informatico o telematico, e concesse le attenuanti generiche con giudizio di prevalenza, all’esito di giudizio abbreviato lo aveva condannato alla pena di giustizia, concesso il beneficio della sospensione condizionale.
La Corte di appello, a seguito del gravame interposto dall’imputato, confermava la pronuncia del giudice di prime cure.
La difesa, dunque, spiegava tempestivo ricorso per Cassazione avverso la prefata sentenza, articolando diversi motivi.
Limitandone l’esame a quanto strettamente d’interesse in questa sede, con il primo motivo di gravame si denunciava la violazione degli artt. 615-ter c.p., 14 Prel., 25, comma 2, Cost., in ragione dell’erronea interpretazione della locuzione “sistema informatico o telematico protetto da misure di sicurezza”, entro la quale sarebbe stato fatto rientrare il sistema informatico di cui all’imputazione.
Si eccepiva altresì un vizio di motivazione rispetto agli argomenti esposti con l’atto di appello, in ordine alle caratteristiche e alla disciplina del ridetto sistema informatico. In dettaglio, tale sistema sarebbe stato incluso nella sfera di applicazione della norma incriminatrice in contestazione in forza di un’applicazione analogica, poiché il precetto, come si evince dal dato letterale, opera in relazione a sistemi protetti da misure di sicurezza, pur non specificate dal legislatore. In altri termini, la predisposizione di misure di sicurezza sarebbe un presupposto della fattispecie in imputazione. Ciò nonostante, sosteneva il ricorrente, la Corte di merito si sarebbe limitata a negare rilievo al fatto che il sistema non fosse protetto da chiavi d’accesso e ad annoverarlo tra quelli per cui sia applicabile la norma incriminatrice poiché non assimilabile a motori di ricerca, bensì a strumenti di indagine riservati ai soli appartenenti alle agenzie investigative e dai medesimi utilizzabili per finalità proprie dell’ufficio.

LA QUESTIONE
Con la pronuncia in esame, la Corte di Cassazione aggiorna il novero delle misure di sicurezza idonee a disciplinare le modalità di accesso ad un sistema informatico, esprimendosi sulla dibattuta possibilità di includere nella controversa nozione anche quegli accorgimenti di natura organizzativa esterni al sistema informatico in senso stretto

LA SOLUZIONE
La Suprema Corte, premessa la rilevazione dell’intervenuta estinzione del reato ascritto all’imputato, procede, nei limiti di cui all’art. 129, comma 2, c.p.p., alla disamina del motivo di impugnazione in argomento.
La Cassazione chiarisce sin da subito che, ai fini della configurabilità del delitto di cui all’art. 615-ter c.p., la protezione del sistema informatico può essere adottata anche mediante misure di carattere organizzativo. Perviene a tale assunto in virtù di diverse considerazioni di carattere preliminari.
Anzitutto, la lettera della norma incriminatrice, che punisce sia chi si introduce abusivamente in un sistema, sia chi vi si mantiene contro la volontà di chi ha il diritto di escluderlo. Di seguito, la collocazione dell’art. 615-ter c.p. nella sezione concernente i delitti contro la inviolabilità del domicilio, che tutela molti beni giuridici ed interessi eterogenei che potrebbero essere compromessi da intrusioni o manomissioni non autorizzate, tra cui particolare rilievo assume la tutela alla riservatezza e, per tanto, la protezione del domicilio informatico.
Ancora, osserva che la violazione dei dispositivi di protezione del sistema informatico o telematico non assume rilevanza di per sé, perché non si tratta di un illecito caratterizzato dalla effrazione dei sistemi protettivi, bensì solo come manifestazione di una volontà contraria a quella di chi dispone legittimamente del sistema e che l’illecito è caratterizzato dalla contravvenzione alle disposizioni del titolare, del pari a quanto accade nel citato delitto di violazione di domicilio.
Da tali premesse la Corte trae che, pur essendo necessario che l’accesso al sistema informatico non sia aperto a tutti, ai fini della configurabilità del reato de quo, assume rilevanza qualsiasi meccanismo di selezione dei soggetti abilitati all’accesso al sistema informatico, anche quando si tratti di strumenti esterni al sistema e di carattere meramente organizzativo.
D’altro canto, si osserva in sentenza, l’analogia con la richiamata fattispecie di violazione di domicilio deve indurre a concludere che integri il delitto di cui all’art. 615-ter c.p. anche chi, autorizzato all’accesso per una determinata finalità, utilizzi il titolo legittimante per scopi diversi e, quindi, non rispetti le reali condizioni alle quali era subordinato l’accesso.
Orbene, tale prospettiva ermeneutica risulta pienamente aderente al solco tracciato dalle più recenti pronunce delle Sezioni Unite che, pronunciandosi a proposito dell’incriminazione in parola hanno ritenuto che il delitto ricorra sia allorquando l’agente violi i limiti risultanti dal complesso delle prescrizioni impartite dal titolare del sistema, sia allorquando ponga in essere azioni di natura diversa da quelle di cui egli è incaricato, ovvero in relazione alle quali l’accesso gli era consentito.
Pertanto, a parere della Corte di Cassazione, al fine di individuare il quid del reato rileva il profilo oggettivo dell’accesso e del trattenimento nel sistema informatico da parte di un soggetto che non può ritenersi autorizzato ad accedervi e a permanervi. Vieppiù, il dissenso tacito del dominus loci non viene desunto dalla finalità – quale essa sia – che anima la condotta dell’agente, bensì dall’oggettiva violazione delle disposizioni del titolare in ordine all’uso del sistema.
A tal riguardo vengono in rilievo tutte le disposizioni che regolano l’accesso al sistema e stabiliscono per quali attività e per quanto tempo la permanenza si può protrarre. Devono, per altro verso, ritenersi irrilevanti, ai fini della configurazione della fattispecie, eventuali disposizioni sull’utilizzo successivo dei dati estratti abusivamente.
Così tratteggiata la nozione di sistema informatico telematico protetto da misure di sicurezza, dunque, la Suprema Corte ritiene infondata la prospettazione difensiva, sottolineando che il sistema informatico di cui al caso di specie è riservato ai soli appartenenti all’agenzia investigativa per le finalità proprie dell’agenzia stessa, ossia nei limiti di esse. Per tale ragione, il relativo accesso è tracciato e permette di identificare il soggetto che ha eseguito la ricerca, quantunque non occorra alcuna chiave d’accesso.
Di conseguenza, non potrebbe deporre, al fine di negare che il sistema è protetto, la circostanza che esso contempli anche ricerche su fonti aperte, non riconducibili ex se al profilo delle prescrizioni impartite per delimitarne oggettivamente l’accesso.
Tutto ciò osservato e considerato, definitivamente pronunciandosi sul proposto ricorso, la Suprema Corte rigetta il motivo di gravame in commento ed annulla senza rinvio la sentenza impugnata, essendo il reato in contestazione estinto per intervenuta prescrizione.