Accesso a sistema informatico da parte del pubblico ufficiale: è abusivo se attuato per finalità non "istituzionali", pur in presenza di una formale autorizzazione all'accesso da parte del titolare del sistema. Qualche spunto di riflessione 

(Già pubblicato su "Altalex") Nota a Cassazione Penale, SS. UU., sentenza 18.05.2017 (ud.) - 08.09.2017 (dep.), n. 41210.

«Integra il delitto previsto dall'art. 615-ter, secondo comma, n. 1, cod. pen. la condotta del pubblico ufficiale o dell'incaricato di un pubblico servizio che, pur essendo abilitato e pur non violando le prescrizioni formali impartite dal titolare di un sistema informatico o telematico protetto per delimitarne l'accesso (nella specie, Registro delle notizie di reato: Re. Ge.), acceda o si mantenga nel sistema per ragioni ontologicamente estranee e comunque diverse rispetto a quelle per le quali, soltanto, la facoltà di accesso gli è attribuita».

Le Sezioni Unite penali della Suprema Corte hanno, da ultimo, sancito un revirement giurisprudenziale in tema di accesso abusivo a sistema informatico o telematico da parte del pubblico ufficiale o dell'incaricato di pubblico servizio, affermando che non è tanto l'esistenza di una formale autorizzazione da parte del titolare del sistema, quanto le finalità - "istituzionali" o "private" - dell'accesso a determinare l'integrazione o meno della condotta criminosa di cui all'art. 615-ter, comma 2, n. 1)c.p.

La questione interpretativa de qua era stata già esaminata dalle Sezioni Unite penali con la sentenza c.d. Casani n. 4694/2011 la quale, risolvendo un precedente contrasto giurisprudenziale originatosi sul punto ed ancorandosi ad un'interpretazione letterale della locuzione normativa "abusivamente si introduce" (al fine di impedire un'eccessiva dilatazione concettuale della fattispecie criminosa), stabiliva che «integra la fattispecie criminosa di accesso abusivo ad un sistema informatico o telematico protetto, prevista dall'art. 615-ter c.p., la condotta di accesso o di mantenimento nel sistema posta in essere da soggetto che, pure essendo abilitato, violi le condizioni e i limiti risultanti dal complesso delle prescrizioni impartite dal titolare del sistema per delimitarne oggettivamente l'accesso. Non hanno rilievo, invece, per la configurazione del reato, gli scopi e le finalità che soggettivamente hanno motivato l'ingresso al sistema»[1].

Con la decisione in parola, pertanto, il giudice di legittimità evidenziava come, ai fini della configurabilità del reato ex art. 615-ter, fosse necessaria la mera autorizzazione del titolare del sistema informatico o telematico riferita al momento dell'accesso al sistema, a nulla rilevando il momento successivo della permanenza, né le finalità - anche private - che avessero spinto il pubblico ufficiale o l'incaricato di pubblico servizio all'introduzione, ferma restando in ogni caso la responsabilità penale dell'agente per reati diversi eventualmente ravvisabili nella sua condotta (es. rivelazione di segreti d'ufficio)[2].

La giurisprudenza successiva alla sentenza Casani, però, non fu del tutto pacifica sull'argomento e, addirittura, in seno alla stessa sezione della Suprema Corte - la Quinta - si svilupparono diverse posizioni, alcune delle quali tendenti ad attribuire una portata estensiva alla norma incriminatrice di cui all'art. 615-ter, comma 2, n. 1), c.p. al fine di ricomprendervi, altresì, la violazione dei principi che presiedono allo svolgimento dell'attività amministrativa quali sinteticamente enunciati nell'art. 1 della Legge n. 241/1990.

In questo solco interpretativo, in particolare, la sentenza c.d. Carnevale n. 2204/2013[3] sancì che «quando l'agente è un pubblico dipendente [...] non può non trovare applicazione il principio di cui alla L. 7 agosto 1990, n. 241, art. 1, in base al quale "l'attività amministrativa persegue fini determinati dalla legge ed è retta da criteri di economicità, efficacia, imparzialità, pubblicità, trasparenza, secondo le modalità previste dalla presente legge e dalle disposizioni che disciplinano singoli procedimenti, nonchè dai principi dell'ordinamento comunitario"». Secondo gli Ermellini, nel caso di specie, il dipendente dell'Agenzia delle Entrate - che aveva esplorato la posizione tributaria di contribuenti aventi un domicilio fiscale diverso - non si era attenuto al perseguimento dell'interesse pubblico ispirato ai criteri sopra enunciati e, al contrario, aveva esercitato il potere per finalità fuoriuscenti dalla ratio del conferimento del relativo potere. Nessuna norma di legge o di regolamento, nessuna circolare interna o organizzativa autorizzava il prevenuto ad eseguire controlli su contribuenti aventi altro domicilio fiscale.

Di avviso completamente opposto la sentenza c.d. Mecca n. 44390/2014[4], secondo la quale «il concetto di accesso abusivo ad un sistema informatico, rilevante ai sensi dell'art. 615 ter c.p., deve essere definito avendo riguardo non agli scopi ed alle finalità che abbiano soggettivamente motivato l'ingresso nel sistema, ma alla obiettiva violazione delle condizioni e dei limiti risultanti dal complesso delle prescrizioni impartite dal titolare del sistema per delimitarne oggettivamente l'accesso. Vengono, dunque, in rilievo quelle disposizioni che regolano l'accesso al sistema e che stabiliscono per quali attività e per quanto tempo la permanenza si può protrarre, mentre devono ritenersi irrilevanti, ai fini della configurazione della fattispecie, eventuali disposizioni sull'impiego successivo dei dati». I Giudici di Piazza Cavour ebbero modo di precisare in motivazione che la violazione dei principi del buon andamento e dell'imparzialità amministrativa non può assurgere a indicatore dell'abusività della condotta richiesta dall'art. 615-ter, comma 2, n. 1, c.p., altrimenti si finirebbe col frustrare la ratio della stessa norma incriminatrice dilatando la nozione di "accesso abusivo" oltre i limiti imposti dalla necessità di tutelare i diritti del titolare del sistema.

Alla luce del rinnovato contrasto giurisprudenziale sopra evidenziato, veniva nuovamente sottoposta alle Sezioni Unite della Suprema Corte la questione, con il seguente quesito: «se il delitto previsto dall'art. 615-ter, secondo comma, cod. pen., sia integrato anche nella ipotesi in cui il pubblico ufficiale o l'incaricato di pubblico servizio, formalmente autorizzato all'accesso a un sistema informatico o telematico, ponga in essere una condotta che concreti uno sviamento di potere, in quanto mirante al raggiungimento di un fine non istituzionale, pur in assenza di violazione di specifiche disposizioni regolamentari ed organizzative».

Il caso concreto era quello di una dipendente di cancelleria in servizio presso la locale Procura della Repubblica che, regolarmente munita di password d'accesso, accedeva al Registro Generale delle notizie di reato e, in particolar modo, esplorava le informazioni inerenti un procedimento penale a carico di un suo conoscente, assegnato ad un sostituto Procuratore diverso da quello presso cui l'imputata prestava servizio.

Dopo un excursus sugli indirizzi giurisprudenziali formatisi sull'argomento e sopra già analizzati, i giudici di legittimità ritengono di dover privilegiare l'interpretazione proposta dalla sentenza "Carnevale" n. 22024/2013 laddove viene enfatizzato il ruolo dell'art. 1 della L. n. 241/1990 nello svolgimento dei poteri attribuiti ai pubblici ufficiali e gli incaricati di pubblico servizio.

I principi enunciati dall'art. 1 succitato - spiegano gli Ermellini - unitamente ai criteri etici stabiliti nel Codice di comportamento del pubblico impiego (D.lgs. 30 marzo 2011, n. 165), trovano la loro genesi nelle norme di cui agli artt. 54, 97 e 98 della Costituzione che richiedono l'adesione del dipendente pubblico ai "principi dell'etica pubblica" al fine di porre il funzionario nella condizione di servire gli amministrati imparzialmente e con «disciplina ed onore».

Partendo da queste premesse di ordine generale ed analizzando le specifiche regole dettate in materia di accesso al sistema informatico relativo al Registro Generale delle notizie di reato, i giudici di legittimità ne deducono uno status particolareggiato della persona dotata di funzioni pubbliche, il cui agire deve essere indirizzato solo ed esclusivamente alle finalità istituzionali in vista delle quali il rapporto funzionale è stato instaurato. Pertanto, per la Suprema Corte, ogni condotta che si ponga in contrasto con le predette finalità deve qualificarsi alla stregua di abuso, eccesso e sviamento di potere e diventa "ontologicamente incompatibile" con l'accesso al sistema informatico.

Alla luce di tutto quanto finora considerato, conclusivamente, le Sezioni Unite enunciano il seguente principio di diritto: «Integra il delitto previsto dall'art. 615-ter, secondo comma, n. 1, cod. pen. la condotta del pubblico ufficiale o dell'incaricato di un pubblico servizio che, pur essendo abilitato e pur non violando le prescrizioni formali impartite dal titolare di un sistema informatico o telematico protetto per delimitarne l'accesso (nella specie, Registro delle notizie di reato: Re. Ge.), acceda o si mantenga nel sistema per ragioni ontologicamente estranee e comunque diverse rispetto a quelle per le quali, soltanto, la facoltà di accesso gli è attribuita».

QUALCHE RIFLESSIONE

È davvero in linea con i principi base dell'ordinamento giuridico-penale l'operazione ermeneutica messa in atto dalla Suprema Corte volta a ricomprendere nel concetto di "accesso abusivo" le ipotesi di sviamento, eccesso o abuso di potere da parte del pubblico impiegato, di derivazione amministrativa?

Per rispondere all'interrogativo è opportuno, innanzitutto, chiarire qual è l'interesse che il legislatore ha inteso tutelare con l'art. 615-ter c.p.: si tratta del c.d. "domicilio informatico" quale spazio ideale (ma anche fisico in cui sono contenuti i dati informatici) di pertinenza della sfera intellettuale, inteso come proiezione spaziale della persona indicante un nuovo bene protetto, la "riservatezza informatica", che in concreto si risolve nell'indisturbata fruizione del sistema informatico o telematico.

Ogni persona, dunque, è titolare di uno jus excludendi alios con riferimento a tutti i dati e le informazioni racchiuse in un sistema informatico o telematico, purchè - beninteso - attinenti alla sfera personale, di pensiero o all'attività lavorativa o non, dell'utente.

Partendo da siffatta natura del bene giuridico protetto, il legislatore penale ha individuato nell'art. 615-ter c.p. due tipi di condotta criminosa: da un lato l'introduzione "illegittima" nel sistema informatico o telematico altrui, dall'altro la permanenza contro la volontà - espressa o tacita - del titolare.

Il secondo comma dell'articolo in parola, al n. 1) prevede, poi, una circostanza aggravante che si configura quando «il fatto è commesso da un pubblico ufficiale o da un incaricato di pubblico servizio, con abuso dei poteri o con violazione dei doveri inerenti alla funzione o al servizio [...]».

È ictu oculi evidente come, alla luce del quadro normativo sopra evidenziato, l'interpretazione estensiva operata dalla Suprema Corte, secondo la quale è punibile ai sensi dell'art. 615-ter, comma 2, n. 1, c.p., la condotta del pubblico ufficiale o dell'incaricato di un pubblico servizio che, pur essendo abilitato e pur non violando le prescrizioni formali impartite dal titolare di un sistema informatico o telematico protetto, acceda o si mantenga nel sistema per ragioni ontologicamente estranee e comunque diverse rispetto a quelle per le quali, soltanto, la facoltà di accesso gli è attribuita, appaia, a parere di chi scrive, una notevole forzatura.

Innanzitutto, tale indirizzo non pare totalmente in linea con il principio di offensività, che subordina la sanzione penale all'effettivo nocumento (nella forma della lesione o della messa in pericolo) del bene giuridico protetto dalla norma violata. Nei casi come quello di specie, ove l'accesso e/o la permanenza non siano propriamente abusivi - in quanto avvenuti in presenza dell'autorizzazione del titolare - mancherebbe, totalmente, l'offesa all'interesse giuridico tutelato per come sopra individuato e descritto.

Di poi, è evidente che anche l'elemento oggettivo del reato de quo non sussisterebbe nei casi come quello indicato nella sentenza in commento. L'art. 615 ter c.p. individua una condotta specifica: "Chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo [...]». Il comportamento incriminato è, quindi, quello dell'accesso non autorizzato e/o della permanenza contro la volontà del titolare: in nessun caso è fatto specifico riferimento alle finalità, anche estranee a quelle "istituzionali", dell'agente. Attribuire rilievo penale alle stesse, delle quali non è fatta assolutamente menzione alcuna nella norma incriminatrice, significherebbe, a parere di chi scrive, disattendere il presidio di cui all'art. 1 c.p. (principio di legalità).

In ultimo, con riguardo all'elemento psicologico richiesto ai fini dell'integrazione del delitto ex art. 615 ter c.p., non v'è dubbio che sia richiesto il dolo generico, consistente nella coscienza e volontà dell'agente di tenere la condotta tipica, con la consapevolezza che il titolare del sistema ha predisposto delle misure di protezione per i dati che vi sono memorizzati. L'accesso o la permanenza autorizzati nel sistema informatico, ma per finalità ontologicamente diverse, evidentemente, non configurano il dolo generico richiesto dal delitto de quo e pertanto, il fatto non costituirebbe reato.

[1] Cfr. Cass. pen. , SS. UU., 27.10.2011-07.02.2012, n. 4694 in Corr. Mer., 2012, 4, 402 con nota di PICCIALLI. La sentenza in parola aveva risolto un contrasto giurisprudenziale; a titolo esemplificativo, si vedano sul punto Cass. Pen., Sez. VI, 25.06.2009, n. 40078 in Corr. Mer., 2012, 4, 402: «Ai fini della configurabilità del reato di accesso abusivo ad un sistema informatico (art. 615-ter c.p.), l'abusività della condotta va verificata avendo riguardo al momento dell'accesso e non all'eventuale uso successivo dei dati acquisiti che, se illecito, potrà integrare un diverso titolo di reato. Pertanto, non commette il reato de quo chi, abilitato ad accedere al sistema informatico, usi tale facoltà per finalità estranee al compito ricevuto». Diversamente, Cass. Pen., Sez. V, 08.07.2008, n. 37322 in Riv. Pol., 2009, 8-9, 589: «Commette il reato previsto dall'art. 615 ter cod. pen. (accesso abusivo ad un sistema informatico o telematico) il soggetto che, avendo titolo per accedere al sistema, lo utilizzi per finalità diverse da quelle consentite».

[2] Si legge nella motivazione della sentenza in parola: «la questione di diritto controversa non deve essere riguardata sotto il profilo delle finalità perseguite da colui che accede o si mantiene nel sistema, in quanto la volontà del titolare del diritto di escluderlo si connette soltanto al dato oggettivo della permanenza (per così dire "fisica") dell'agente in esso. Ciò significa che la volontà contraria dell'avente diritto deve essere verificata solo con riferimento al risultato immediato della condotta posta in essere, non già ai fatti successivi [...] Il dissenso tacito del dominus loci non viene desunto dalla finalità (quale che sia) che anima la condotta dell'agente, bensì dall'oggettiva violazione delle disposizioni del titolare in ordine all'uso del sistema. Irrilevanti devono considerarsi gli eventuali fatti successivi: questi, se seguiranno, saranno frutto di nuovi atti volitivi e pertanto, se illeciti, saranno sanzionati con riguardo ad altro titolo di reato».

[3] Cass. Pen., Sez. V, 24.04.2013, n. 22024 in CED Cassazione 2013.

[4] Cass. Pen., Sez. V, 20.06.2014, n. 44390, Massima Redazionale 2014.