Accesso abusivo a sistema informatico: non rilevano le finalità soggettivamente perseguite (Corte di Cassazione penale, sez. V, sentenza 24.07.2015, n. 32666).

Con la sentenza in esame la V sez. penale della Corte di Cassazione interviene in materia di accesso abusivo ad un sistema informatico, argomento che negli ultimi tempi sta più volte coinvolgendo la Suprema Corte in decisioni molto interessanti anche se non sempre conformi.

Il caso esaminato è quello di una dipendente dell’Agenzia delle Entrate che si introduce abusivamente con tre diversi accessi nel sistema informatico dell’Agenzia delle Entrate protetto da misure di sicurezza, al fine di effettuare un’arbitraria riduzione di imposta a favore di un contribuente.

La Corte di Appello decide per la condanna dell’imputata al risarcimento dei danni in favore della collega titolare delle credenziali di cui si era avvalsa nell’effettuare l’ultimo accesso decisivo al sistema informatico.

La Suprema Corte nell’esaminare il ricorso dell’imputata si riporta alla sua precedente giurisprudenza, dove chiarisce che ai fini della configurabilità del reato di accesso abusivo ad un sistema informatico (art. 615 ter cod. pen.), nel caso di soggetto munito di regolare password, è necessario accertare il superamento, su un piano oggettivo, dei limiti e, pertanto, la violazione delle prescrizioni relative all’accesso ed al trattenimento nel sistema informatico, contenute in disposizioni organizzative impartite dal titolare dello stesso, indipendentemente dalle finalità soggettivamente perseguite (Sez. 5, n. 15054 del 22/02/2012).

In realtà a seguito di un contrasto sorto per contrapposte interpretazioni sia di carattere giurisprudenziale che dottrinario sull’effettiva portata della norma, le Sezioni Unite della Suprema Corte (S.U., n. 4694 del 27 ottobre 2011) nel comporre lo stesso hanno sottolineato che la questione non può essere riguardata sotto il profilo delle finalità perseguite da colui che accede o si mantiene nel sistema, in quanto la volontà del titolare del diritto di escluderlo si connette soltanto al dato oggettivo della permanenza dell’agente nel sistema informatico.

Ciò che rileva è, quindi, il profilo oggettivo dell’accesso e del trattenimento nel sistema informatico da parte di un soggetto che non può ritenersi autorizzato ad accedervi ed a permanervi sia quando violi i limiti risultanti dal complesso delle prescrizioni impartite dal titolare del sistema, sia quando ponga in essere operazioni ontologicamente diverse da quelle di cui egli è incaricato ed in relazione alle quali l’accesso era a lui consentito. Il dissenso del dominus ioci, secondo la S.C., non viene, quindi, desunto dalla finalità che anima la condotta dell’agente, bensì dalla oggettiva violazione delle disposizioni del titolare in ordine all’uso del sistema.

In conclusione, quindi, le Sezioni Unite hanno stabilito il principio di diritto secondo il quale integra la fattispecie criminosa di accesso abusivo ad un sistema informatico o telematico protetto, prevista dall’art. 615 ter cod. pen., la condotta di accesso o di mantenimento nel sistema posta in essere da soggetto, che pur essendo abilitato, violi le condizioni ed i limiti risultanti dal complesso delle prescrizioni impartite dal titolare del sistema per delimitarne oggettivamente l’accesso.

Non hanno rilievo, invece, per la configurazione del reato, gli scopi e le finalità che soggettivamente hanno motivato l’ingresso nel sistema.

A seguito di quanto chiarito dalla Suprema Corte nel caso di specie bisogna rilevare che due dei tre fatti contestati in continuazione all’imputato non sono penalmente rilevanti, proprio tenuto conto di quanto sopra precisato in ordine alla necessità, per la sussistenza della fattispecie di cui all’art. 615 ter, che la condotta di accesso o di mantenimento nel sistema del soggetto abilitato deve violare le condizioni ed i limiti risultanti dal complesso delle prescrizioni impartite dal titolare dello stesso sistema.

Solo l’ultimo accesso è da considerarsi effettivamente illegittimo in quanto avvenuto con le credenziali della collega al fine di procedere all’eliminazione integrale del debito di imposta. Nonostante ciò, la Suprema Corte decide di annullare la sentenza della Corte di Appello, con rinvio per nuovo giudizio ad altra Sezione, poiché non risulta adeguatamente motivato l’interesse che avrebbe indotto l’imputata ad effettuare le visure dei primi due accessi, per poi – con il terzo illegittimo accesso – fraudolentemente azzerare il debito di imposta, utilizzando altrui credenziali.

…, omissis …

1. Con sentenza del 7 aprile 2014 la Corte di Appello di Milano ha confermato la pronunzia di primo grado emessa dal Tribunale di Como, con la quale T.L. era stata condannata per il reato previsto dagli artt. 81, comma secondo, e 615 ter commi 1 e 2 cod. pen. perché, con più azioni esecutive di un disegno criminoso, nella sua qualità di assistente tributario dell’Agenzia delle Entrate presso l’ufficio di Como, abusivamente si introduceva con tre diversi accessi nel sistema informatico dell’Agenzia delle Entrate protetto da misure di sicurezza, al fine di effettuare un’arbitraria riduzione di imposta a favore del contribuente R.A. (fatto commesso dal (omissis) ).Con la stessa pronunzia l’imputata veniva condannata al risarcimento dei danni in favore della parte civile M.G. , collega della T. e delle cui credenziali si era avvalso chi aveva effettuato l’ultimo accesso al sistema informativo.

2. Propone ricorso l’imputata, con atto sottoscritto dal suo difensore, denunziando violazione di legge e vizi motivazionali.

La ricorrente si duole del fatto che la Corte territoriale non abbia tenuto adeguatamente conto delle censure mosse con l’atto di appello in ordine alla insussistenza di prove sufficienti per affermare che gli accessi al sistema informativo siano stati da lei effettuati, tenuto conto che era emerso che il suo computer era stato in più occasioni utilizzato anche da altri soggetti. Peraltro, secondo la ricorrente non era stato considerato che non v’era prova che ella conoscesse le credenziali del collega M. e che il teste P. era stato assolto dal reato di falsa testimonianza, del quale era stato imputato per aver reso in dibattimento dichiarazioni favorevoli all’imputata e ritenute dal giudice di primo grado non veritiere.

Considerato in diritto

Il ricorso è fondato nei termini qui di seguito indicati.

1. Va in primo luogo evidenziato che non può essere dichiarata l’estinzione del reato per prescrizione perché l’imputata vi ha rinunziato ai sensi dell’art. 157, comma 7, cod. pen..

2. In punto di diritto si deve premettere che ai fini della configurabilità del reato di accesso abusivo ad un sistema informatico (art. 615 ter cod. pen.), nel caso di soggetto munito di regolare password, è necessario accertare il superamento, su un piano oggettivo, dei limiti e, pertanto, la violazione delle prescrizioni relative all’accesso ed al trattenimento nel sistema informatico, contenute in disposizioni organizzative impartite dal titolare dello stesso, indipendentemente dalle finalità soggettivamente perseguite (Sez. 5, n. 15054 del 22/02/2012 – dep. 18/04/2012, Crescenzi e altro, Rv. 252479).

È noto che in ordine all’interpretazione di tale norma vi è stato un contrasto della giurisprudenza di legittimità e di merito.

Secondo un orientamento (ex multis, Sez. 5, n. 12732 del 7 novembre 2000, Zara; Sez. 5, n. 37322 in data 8 luglio 2008, Bassani; Sez. 5, n. 1727 del 30 settembre 2008, Romano) integra la fattispecie di accesso abusivo ad un sistema informatico non solo la condotta di chi vi si introduca essendo privo di codice di accesso, ma anche quella di chi, autorizzato all’accesso per una determinata finalità, utilizzi il titolo di legittimazione per una finalità diversa e, quindi, non rispetti le condizioni alle quali era subordinato l’accesso; insomma l’utilizzazione dell’autorizzazione per uno scopo diverso non potrebbe non considerarsi abusiva.
Un diverso orientamento (Sez. 5, n. 2534 dei 20 dicembre 2007, Migliazzo; Sez. 5, n. 26797 del 29 maggio 2008, Scimmia; Sez. 6, n. 3290 in data 8 ottobre 2008, Peparaio) aveva, invece, valorizzato il dettato della prima parte dell’art. 615 ter ed aveva ritenuto illecito il solo accesso abusivo, mentre sempre e comunque lecito considerava l’accesso del soggetto abilitato, ancorché effettuato per finalità estranee a quelle dell’ufficio e perfino illecite.
Le Sezioni Unite della Suprema Corte (S.U., n. 4694/12 del 27 ottobre 2011, Casani) nel comporre il contrasto hanno sottolineato che la questione non può essere riguardata sotto il profilo delle finalità perseguite da colui che accede o si mantiene nel sistema, in quanto la volontà del titolare del diritto di escluderlo si connette soltanto al dato oggettivo della permanenza dell’agente nel sistema informatico.
Ciò che rileva è, quindi, il profilo oggettivo dell’accesso e del trattenimento nel sistema informatico da parte di un soggetto che non può ritenersi autorizzato ad accedervi ed a permanervi sia quando violi i limiti risultanti dal complesso delle prescrizioni impartite dal titolare del sistema, sia quando ponga in essere operazioni ontologicamente diverse da quelle di cui egli è incaricato ed in relazione alle quali l’accesso era a lui consentito.
Il dissenso del dominus ioci non viene, quindi, desunto dalla finalità che anima la condotta dell’agente, bensì dalla oggettiva violazione delle disposizioni del titolare in ordine all’uso del sistema.
Non appare a questo punto superfluo richiamare il passaggio saliente della motivazione di tale pronunzia e verificare l’applicazione che in concreto del principio affermato hanno fatto le Sezioni Unite.
La sentenza evidenzia che rilevante deve ritenersi il profilo oggettivo dell’accesso e del trattenimento nel sistema informatico da parte di un soggetto che sostanzialmente non può ritenersi autorizzato ad accedervi ed a permanervi, sia allorquando violi i limiti risultanti dal complesso delle prescrizioni impartite dal titolare del sistema (nozione specificata, da parte della dottrina, con riferimento alla violazione delle prescrizioni contenute in disposizioni organizzative interne, in prassi aziendali o in clausole di contratti individuali di lavoro), sia allorquando ponga in essere operazioni di natura ontologicamente diversa da quelle di cui egli è incaricato ed in relazione alle quali l’accesso era a lui consentito.

In questi casi è proprio il titolo legittimante l’accesso e la permanenza nel sistema che risulta violato: il soggetto agente opera illegittimamente, in quanto il titolare del sistema medesimo lo ha ammesso solo a ben determinate condizioni, in assenza o attraverso la violazione delle quali le operazioni compiute non possono ritenersi assentite dall’autorizzazione ricevuta.

Il dissenso tacito del dominus loci non viene desunto dalla finalità (quale che sia) che anima la condotta dell’agente, bensì dall’oggettiva violazione delle disposizioni del titolare in ordine all’uso del sistema. Irrilevanti devono considerarsi gli eventuali fatti successivi: questi, se seguiranno, saranno frutto di nuovi atti volitivi e pertanto, se illeciti, saranno sanzionati con riguardo ad altro titolo di reato (rientrando, ad esempio, nelle previsioni di cui agli artt. 326, 618, 621 e 622 c.p.).

Ne deriva che, nei casi in cui l’agente compia sul sistema un’operazione pienamente assentita dall’autorizzazione ricevuta, ed agisca nei limiti di questa, il reato di cui all’art. 615 ter cod.pen. non è configurabile, a prescindere dallo scopo eventualmente perseguito; sicché qualora l’attività autorizzata consista anche nella acquisizione di dati informatici, e l’operatore la esegua nei limiti e nelle forme consentiti dal titolare dello ius excludendi, il delitto in esame non può essere individuato anche se degli stessi dati egli si dovesse poi servire per finalità illecite.
Il giudizio circa l’esistenza del dissenso del dominus loci deve assumere come parametro la sussistenza o meno di un’obiettiva violazione, da parte dell’agente, delle prescrizioni impartite dal dominus stesso circa l’uso del sistema e non può essere formulato unicamente in base alla direzione finalistica della condotta, soggettivamente intesa.
Vengono in rilievo, al riguardo, quelle disposizioni che regolano l’accesso al sistema e che stabiliscono per quali attività e per quanto tempo la permanenza si può protrarre, da prendere necessariamente in considerazione, mentre devono ritenersi irrilevanti, ai fini della configurazione della fattispecie, eventuali disposizioni sull’impiego successivo dei dati.
Soprattutto da quest’ultimo passaggio della motivazione emerge chiaramente l’effettiva estensione del principio affermato dalle Sezioni Unite, che, infatti, nell’applicarlo hanno ritenuto configurabile il reato ex art. 615 ter cod. pen. in una fattispecie in cui un carabiniere aveva consultato lo SDI per esigenze diverse da quelle di tutela dell’ordine e della sicurezza pubblica e di prevenzione e repressione dei reati per cui era stato legittimato ad operare sul sistema.
Nell’occasione la Corte non ha coerentemente preso in considerazione le finalità per cui il militare aveva agito e la loro radicale estraneità ai compiti di istituto (procurare informazioni riservate sul conto di un soggetto al coniuge separato del medesimo), ma ha ritenuto abusivo l’accesso in quanto oggettivamente contrastante con la prescrizione di cui si è detto, nonostante lo stesso militare avesse utilizzato le proprie credenziali e le informazioni raccolte rientrassero per tipologia tra quelle per cui egli era legittimato, sussistendone i presupposti, a consultare la banca dati.

In conclusione le Sezioni Unite hanno stabilito il principio di diritto secondo il quale integra la fattispecie criminosa di accesso abusivo ad un sistema informatico o telematico protetto, prevista dall’art. 615 ter cod. pen., la condotta di accesso o di mantenimento nel sistema posta in essere da soggetto, che pur essendo abilitato, violi le condizioni ed i limiti risultanti dal complesso delle prescrizioni impartite dal titolare del sistema per delimitarne oggettivamente l’accesso.

Non hanno rilievo, invece, per la configurazione del reato, gli scopi e le finalità che soggettivamente hanno motivato l’ingresso nel sistema.

3. In primo luogo va rilevato che due dei tre fatti contestati in continuazione alla T. non sono penalmente rilevanti, proprio tenuto conto di quanto sopra precisato in ordine alla necessità, per la sussistenza della fattispecie di cui all’art. 615 ter, che la condotta di accesso o di mantenimento nel sistema del soggetto abilitato deve violare le condizioni ed i limiti risultanti dal complesso delle prescrizioni impartite dal titolare dello stesso sistema.
È pacifico, sulla base della ricostruzione dei fatti operata dai giudici di primo grado, che i due suddetti accessi (della durata di 29 secondi il primo e di circa 7 minuti il secondo) furono fatti con le credenziali della T. ed “ebbero funzione esclusivamente consultiva in quanto volti all’accertamento di dati anagrafici, del conto fiscale e dell’emissione di cartelle nei confronti del R. (accesso del 15 ottobre) nonché di dati inerenti la dichiarazione di imposta per l’anno 2001 (accesso del 25 ottobre)” (pag. 6 della sentenza di primo grado; si veda anche pag. 3 della sentenza della Corte di Appello).
Gli accessi, quindi, furono effettuati nello svolgimento di una ordinaria attività di “visura” alla quale sono certamente legittimati gli assistenti tributari delle Agenzie delle entrate e che quindi non può ritenersi violatrice delle condizioni e dei limiti risultanti dal complesso delle prescrizioni impartite dal titolare del sistema informatico.

Si evince dalla ricostruzione dei fatti che la T. aveva ammesso di aver effettuato i primi due accessi a seguito di una richiesta del collega P.S. , il quale doveva procedere alla stipulazione con il R. di una polizza fideiussoria da allegarsi alla richiesta di rateizzazione dei suoi debiti erariali.

4. Con il terzo accesso, avvenuto in data 2 novembre 2004 (e protrattosi per 18 minuti) sempre dal computer della T. ma con le credenziali del collega M.G. , si procedeva all’eliminazione integrale del debito di imposta del R. relativo all’anno del 2001, pari a Euro 39.798,01 (pag. 6 della sentenza di primo grado – pag. 3 di quella di appello).
È evidente che tale accesso è stato effettuato illegittimamente.
In relazione ad esso, però, l’imputata con l’atto di appello ha sostenuto l’insufficienza degli elementi di prova a suo carico e, in particolare, il fatto che il suo computer era utilizzato anche da terzi e dallo stesso M. , con l’uso delle sue credenziali, il quale spesso aveva fatto ricorso all’ausilio della T. per effettuare operazioni nel sistema informatico.
Nei motivi di appello, inoltre, l’imputata ha specificamente rappresentato che l’unico soggetto che aveva riferito di essersi interessato ad una pratica di rateizzazione del debito del R. nei confronti della Agenzia delle Entrate e che aveva reso dichiarazioni a favore della T. , era stato assolto dal reato di falsa testimonianza che gli era stato ascritto perché il giudice di primo grado aveva ritenuto non veritiere tali dichiarazioni.
La Corte territoriale ha rilevato che “la circostanza che P. Sergio sia stato assolto dal reato di falsa testimonianza non può in alcun modo incidere sulla condivisibilità del giudizio espresso dalla sentenza di primo grado. Ed infatti l’asserita falsità delle dichiarazioni del P. , sebbene abbia costituito uno degli elementi sui quali il giudice di primo grado ha basato la propria decisione, non può senz’altro definirsi l’unico argomento posto a fondamento della condanna” (pag. 5 della sentenza).
Sennonché, dopo tale affermazione nella motivazione della Corte territoriale non si rinviene alcuna argomentazione specifica in ordine a risultanze processuali a fondamento dell’ipotesi accusatoria.
Il fatto che sia stata la T. ad effettuare l’accesso abusivo con il quale è stato eliminato il debito di imposta del R. è ipotizzato dai giudici di merito sulla base di elementi che però risultano all’evidenza insufficienti, non essendo stata data adeguata motivazione in ordine agli eventuali rapporti dell’imputata con il R. e all’interesse che la stessa abbia potuto avere nell’aiutare quest’ultimo in relazione al debito maturato.
Trascurando le dichiarazioni del P. e, quindi, gli unici elementi acquisiti in ordine ai contatti avuti dal R. , tramite il suo commercialista S. , con impiegati della Agenzia delle entrate, risulta del tutto carente la motivazione sull’interesse che avrebbe indotto la T. ad effettuare le visure dei primi due accessi, per poi – con il terzo illegittimo accesso – fraudolentemente azzerare il debito di imposta del suddetto R. utilizzando le credenziali di M. .
La motivazione della Corte territoriale sulle specifiche deduzioni della T. in ordine alla sua estraneità alla condotta del 2 novembre 2004 non appare supportata da criteri di logicità e coerenza, controllo che compete a questa Corte e che in caso di esito negativo impone l’annullamento per nuovo esame.
Da tempo le Sezioni Unite di questa Corte hanno chiarito che, in tema di sindacato del vizio della motivazione, il compito del giudice di legittimità non è quello di sovrapporre la propria valutazione a quella compiuta dai giudici di merito in ordine all’affidabilità delle fonti di prova, bensì di stabilire se questi ultimi abbiano esaminato tutti gli elementi a loro disposizione, se abbiano fornito una corretta interpretazione di essi, dando esaustiva e convincente risposta alle deduzioni delle parti, e se abbiano esattamente applicato le regole della logica nello sviluppo delle argomentazioni che hanno giustificato la scelta di determinate conclusioni a preferenza di altre (Sez. U, n. 930 del 13/12/1995, Clarke, Rv. 203428)

È pur vero che, secondo consolidato orientamento giurisprudenziale, il giudice di merito non ha l’obbligo di soffermarsi a dare conto di ogni singolo elemento indiziario o probatorio acquisito in atti, potendo egli invece limitarsi a porre in luce quelli che, in base al giudizio effettuato, risultano gli elementi essenziali ai fini del decidere, purché tale valutazione risulti logicamente coerente. (Sez. 5, n. 2459 del 17/04/2000, PM in proc. Garasto L, Rv. 216367).

È anche incontroverso, però, che il dovere di motivazione della sentenza è adempiuto, ad opera del giudice del merito, solo attraverso la valutazione globale delle deduzioni delle parti e delle risultanze processuali e devono essere spiegate le ragioni che hanno determinato il convincimento, dimostrando di aver tenuto presente ogni fatto decisivo (Sez. 6, n. 20092 del 04/05/2011, Schowick, Rv. 250105; Sez. 4, n. 1149 del 24/10/2005, Mirabilia, Rv. 233187; Sez. 4, n. 36757 del 04/06/2004, Perino, Rv. 229688).

5. Sulla base delle suesposte considerazioni, l’impugnata sentenza deve essere annullata con rinvio per nuovo giudizio ad altra Sezione della Corte d’appello di Milano, che nella piena libertà delle valutazioni di merito di sua competenza dovrà porre rimedio alle rilevate carenze motivazionali, uniformandosi al quadro dei principi di diritto in questa sede stabiliti.

P.Q.M.

La Corte annulla la sentenza impugnata con rinvio per nuovo esame ad altra sezione della Corte di appello di Milano.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Time limit is exhausted. Please reload CAPTCHA.