Accesso abusivo al sistema informatico

14 gennaio 2019

Accesso abusivo al sistema informatico:

il reato si configura anche in caso di scambio di corrispondenza tra colleghi di cui uno non abilitato

Il 2019 si apre con un interessante dictum della Corte di Cassazione (8 gennaio 2019 n. 565) sulla fattispecie di accesso abusivo al sistema informatico previsto dall’art. 615 ter del codice penale, il quale si appalesa in uno scenario composito ove entrano, contemporaneamente, diversi interessi in gioco: l’ambito oggettivo della fattispecie penale, il concorso nel reato altrui e le violazioni in materia di privacy e riservatezza dei dati personali trattati.

Il caso concreto riguarda uno scambio di email tra due dipendenti di un gruppo bancario, con allegato un file in formato excel avente al suo interno dati riservati pertinenti ad un cliente importante.

Analizzando nello specifico le attività materiali oggetto di contestazione, il dipendente – responsabile di un’area aziendale e legittimato all’accesso e alla visione di informazioni di natura bancaria – aveva trasmesso con l’account aziendale di posta elettronica il contenuto di tali dati (qualificati come sensibili – il nome del correntista e il saldo del conto corrente) a un altro dipendente, non titolato in quanto funzionario del team e non abilitato a prenderne conoscenza. Nel corso dell’istruttoria dei precedenti gradi di giudizio è emerso, inoltre, che il dipendente non titolato aveva richiesto due separati invii della documentazione: uno all’account aziendale di posta elettronica, l’altro all’ account personale di posta elettronica.

Nel giudizio di appello, il ricorrente veniva condannato per le sole statuizioni civili pronunciate nell’ambito di condanna di primo grado, mentre veniva prosciolto in punto di responsabilità penale perché il reato era estinto per prescrizione.

Impugnata la sentenza per i soli aspetti civili, il ricorrente ha censurato la contestazione ritenendo non configurabile il reato sotto il profilo oggettivo ed evidenziando che non vi erano precise disposizioni di privacy policy che limitassero la condivisione di dati sensibili, tant’è che – rilevava sempre il ricorrente – non si poteva assumere violato alcun obbligo di segretezza in ordine ai dati: quel file era stato trasmesso a tutti i responsabili di Area che avevano condiviso, di fatto, le informazioni riservate con gli appartenenti al team.

La Suprema Corte ha richiamato, in questa sede, due precedenti delle Sezioni Unite (sentenza Casani, n. 4694/2012; sentenza Savarese, n. 41210/2017) che avevano stabilito i seguenti principi di diritto sulla fattispecie di accesso abusivo di cui all’art. 615 ter c.p. :“la violazione sussiste anche se l’operatore – pur abilitato – “accede o si mantiene in un sistema informatico o telematico protetto violando le condizioni e i limiti delle prescrizioni impartite dal titolare del sistema” e che sono del tutto “irrilevanti gli scopi e le finalità che abbiano soggettivamente motivato l’ingresso nel sistema“.

Seppur espressi in relazione a posizioni di dipendenti pubblici, i giudici di legittimità li hanno ritenuti validamente applicabili alla posizione di lavoro privatistico nel momento in cui vengono in rilievo “i doveri di fedeltà e di lealtà del dipendente che connotano anche il rapporto di lavoro privatistico“.

Sicché, la Corte ha ritenuto sussistente l’elemento oggettivo del reato configurando la condotta in questione quale modalità di mantenimento nel sistema informatico della banca per “ragioni ontologicamente estranee a quelle per le quali le facoltà di accesso gli è attribuita”: ciò che, difatti, si è verificato nel caso del collega non abilitato che, nel suo ruolo di concorrente/istigatore del collega “abilitato”, aveva chiesto due volte l’invio di tali documenti informatici anche all’indirizzo di posta personale non avendo accesso per policy aziendale a quei dati sensibili visibili al collega abilitato nel server dell’area di appartenenza.

La pronuncia invita a diverse riflessioni sui temi dell’esistenza di una privacy policy aziendale e della sua concreta attuazione, delle responsabilità in caso di trattamento dei dati personali sensibili (ma anche comuni) e della rilevanza penale che tali violazioni possono assumere anche alla luce della mancata adozione di una ripartizione chiara e puntuale dei ruoli del personale all’interno di una qualunque azienda. Senza dubbio, gli accorgimenti che potranno contribuire ad un’efficace autotutela delle aziende sono: l’implementazione e l’aggiornamento di una privacy policy interna e la predisposizione di nomine di incaricati al trattamento dei dati personali, ove si specificano le operazioni consentite e le tipologie di dati trattati per ogni funzionario/risorsa/collaboratore.

I commenti sono chiusi.