Accesso abusivo al sistema informatico se la password è del proprio collaboratore (Corte di Cassazione, Sezione V Penale, Sentenza 31 ottobre 2024, n. 40295).

REPUBBLICA ITALIANA

In nome del Popolo Italiano

LA CORTE SUPREMA DI CASSAZIONE

QUINTA SEZIONE PENALE

Composta da

Dott. ROSA PEZZULLO            – Presidente –

Dott. LUCIANO CAVALLONE  – Relatore –

Dott. MICHELE CUOCO          – Consigliere –

Dott. CARLO RENOLDI            – Consigliere –

Dott. ROSARIA GIORDANO    – Consigliere –

ha pronunciato la seguente

SENTENZA

sul ricorso proposto da:

(omissis) (omissis) nato a (omissis) (Svizzera) il xx/xx/19xx;

avverso la sentenza del 06/07/2023 della Corte d’appello di Firenze;

visti gli atti, il provvedimento impugnato e il ricorso;

udita la relazione svolta dal Consigliere Dott. LUCIANO CAVALLONE;

lette le conclusioni del Pubblico Ministero, in persona del Sostituto Procuratore generale, Dott. ALDO CENICCOLA A., che ha chiesto annullarsi con rinvio la sentenza impugnata;

lette le conclusioni del difensore della parte civile, avvocato (omissis) (omissis), che ha chiesto dichiararsi inammissibile il ricorso o, in subordine, il suo rigetto, con condanna del (omissis) al pagamento delle spese;

lette le conclusioni del difensore del ricorrente, avvocato (omissis) (omissis), che ha insistito per l’accoglimento integrale del ricorso.

RITENUTO IN FATTO

1. La Corte d’appello di Firenze ha confermato la condanna emessa nei riguardi di (omissis) (omissis) dal Tribunale di Siena per il “reato di cui all’articolo 615-ter cod. pen., perché quale impiegato presso la struttura ricettivo-alberghiera “(omissis) (omissis) (omissis) (omissis)” di (omissis) (omissis) (SI), acquisendo da altra impiegata le credenziali di accesso al sistema informatico protetto aziendale denominato “Titanka!” per l’archiviazione e la gestione a fini promozionali del parco clienti comprensivo di circa 90.000 schede individuali, faceva accesso abusivo al predetto sistema informatico per scopi estranei al mandato ricevuto (c.d. accesso disfunzionale). In (omissis) (omissis) (SI) il giorno 1.10.2015″.

L’imputato veniva invece assolto dal delitto ex art. 640-ter cod. pen. di cui al capo B) e, conseguentemente, era esclusa, per il delitto ritenuto sussistente, l’aggravante della connessione teleologica ex art. 61, n. 2, cod. pen.

2. L’imputato, col suo difensore, ha proposto ricorso in Cassazione.

2.1. Col primo motivo si censura la manifesta illogicità e la carenza di motivazione della pronuncia della Corte d’appello, laddove ha ritenuto contestata nel capo di imputazione l’assoluta carenza, a favore del (omissis), del potere di accedere al sistema informatico in questione, nonostante nello stesso capo si parlasse di accesso “per scopi estranei al mandato ricevuto (c.d. accesso disfunzionale)”.

Tale carenza, desumibile (secondo la Corte d’appello) dalla circostanza (contenuta nel capo d’imputazione) che l’imputato, per accedere al sistema, avesse chiesto le credenziali ad un’impiegata, in realtà non avrebbe potuto considerarsi insita nella rubrica, poiché la ricezione delle dette credenziali da una dipendente non implicava affatto che non vi fosse legittimazione all’accesso. L’espressa contestazione della disfunzionalità implicava, per contro, che un accesso “funzionale” e, dunque, lecito da parte del (omissis) fosse possibile.

2.2. Si assume, ancora, col secondo (correlato) motivo, che proprio perché in posizione apicale, l’imputato era, in effetti, legittimato a chiedere le credenziali alla lavoratrice subordinata, così come (si esemplifica) sarebbe stato certamente autorizzato a ottenere le chiavi di un magazzino da un magazziniere. Insomma, la carenza, in capo al (omissis), di credenziali personali di accesso non significava che egli, quale direttore della struttura, non avesse il potere di farlo. Si aggiunge, infine, che neppure fosse emerso quale sarebbe stato lo scopo perseguito dall’imputato, rispetto a quello per cui, nella stessa imputazione, si diceva fosse autorizzato all’accesso.

2.3. Col terzo motivo si deduce (nuovamente) che, assolto dal reato fine di frode informatica, sarebbe spettato alla pubblica accusa dimostrare quale fosse il fine del (omissis) nell’accesso in questione.

Allo stesso tempo si sostiene esservi stata violazione degli artt. 522 e 521 cod. proc. pen., per il difetto di correlazione tra imputazione e condanna, proprio perché, come detto, l’imputazione individuava quale condotta illecita un accesso disfunzionale, motivato cioè da fini diversi da quello per il quale era consentito, derivandone la nullità della sentenza ex art. 522 cod. proc. pen.

2.4. Col quarto motivo parte ricorrente lamenta la mancanza di motivazione in relazione all’assunta insussistenza dell’autorizzazione all’accesso al sistema informatico da parte dell’imputato.

Si deduce che, quale quadro con funzioni direttive, l’imputato non potesse che essere autorizzato (anche per controllare il lavoro delle dipendenti a lui sottoposte, titolari delle credenziali di accesso: verificando se le stesse procedessero correttamente all’inserimento nella piattaforma “Titanka!” delle email dei clienti e all’invio delle newsletters) ad accedere al sistema informatico in questione.

Tale potere di controllo era (si dice) indiscutibile per la funzione propria del direttore, come da CCNL, come desumibile dall’assenza di documenti contrari e dalle dichiarazioni della (omissis) (secondo cui le era sembrato normale che il direttore le avesse chiesto le credenziali in oggetto): ciò che smentiva le dichiarazioni contraddittorie dei testi (omissis) e (omissis) (omissis) (secondo i quali vi sarebbero state specifiche istruzioni contrarie).

Non v’era, in ogni caso, prova che all’imputato fosse noto il supposto divieto della proprietà al riguardo, per la prima volta espresso solo il 30/9/2015, e cioè un giorno prima dei fatti oggetto di causa e non con riferimento all’accesso al sistema “Titanka!”, ma ai backup del data base (che fino ad allora erano periodicamente rinnovati su una cartella condivisa, senza alcun tipo di protezione): divieto (si assume ancora) che sarebbe stato opposto dal solo (omissis) (omissis), non da (omissis) (omissis) (proprietario dell’azienda).

(omissis) (omissis) non era, peraltro, credibile allorché aveva asserito di aver vietato al direttore di operare sulla piattaforma “Titanka!”, essendosi contraddetto sulla data in cui aveva dato l’ordine a (omissis) (omissis) di secretare i backup del data base, e venendo smentito dalla (omissis) sulla pregressa protezione della banca dati con password (avendo costei riferito che, fino alle perentorie istruzioni di (omissis) (omissis) del 30/09/2015, la cartella condivisa contenente il backup di tutti gli indirizzi caricati sul detto sistema era disponibile per chiunque).

(omissis) (omissis) e la (omissis), inoltre, avevano erroneamente affermato che il computer dell’imputato non fosse collegato alla rete aziendale, laddove, su precisazione chiesta alla (omissis), era emerso che anch’egli avesse una postazione informatica all’interno del proprio ufficio e fosse collegato alla rete aziendale e, in ogni caso, egli poteva accedervi da altri computer.

(omissis) (omissis), peraltro, secondo parte ricorrente sarebbe stato smentito dalla (omissis) circa la richiesta della password alla seconda, da parte dell’imputato: affermata dal (omissis), negata dalla (omissis).

Si sostiene, inoltre, che sarebbe stato strano che la gestione di una banca !‘i dati e lo svolgimento di compiti così delicati fossero affidati a due sole dipendenti di inquadramento non certo elevato, senza alcun controllo.

Altrettanto singolare, rispetto alla tesi accusatoria, era che fino all’eliminazione (il 30/09/2015, su disposizione di (omissis) (omissis)) della cartella condivisa di backup dalla rete, tutti i dipendenti connessi alla rete aziendale potessero tranquillamente consultare i dati in oggetto.

Si evidenzia che i rapporti dell’imputato con (omissis) (omissis) (che ne aveva poi preso il posto) fossero tesi al momento dei fatti, come traspariva da tutte le testimonianze, mentre quelli tra (omissis) e (omissis) (omissis) erano ottimali. Insomma, sarebbe stato pacifico che l’imputato avesse comunque pieno accesso a tutti i contenuti della banca dati, sia nella fase della loro raccolta, sia successivamente all’inserimento nel sistema “Titanka!”, in virtù dei periodici backup condivisi sulla rete aziendale.

La risposta della Corte d’appello (basata sull’acquisizione delle credenziali dalla Canapini, da parte dell’imputato: il che – secondo il giudice a quo – dimostrava che questi non fosse legittimato ad accedere al sistema), si limitava a sintetizzare la posizione del Tribunale, omettendo di misurarsi con le ragioni prospettate con l’appello.

Si sostiene, ancora, da parte ricorrente, che non fosse dato sapere da quali elementi la Corte di Appello avesse desunto che il (omissis) avesse creato una copia della banca dati su un suo computer personale, circostanza esclusa con l’assoluzione dal capo d’imputazione sub B).

Si rimarca come la stessa sentenza di secondo grado avesse evidenziato il mero trasferimento di quei dati sul computer del proprio ufficio, luogo sotto controllo del datore di lavoro: laddove, per giunta, non s’era considerato che egli avrebbe potuto copiare quegli stessi dati tramite internet da casa (secondo la (omissis) e la (omissis)).

La Corte di Appello avrebbe fondato, in definitiva, il suo errato giudizio di disfunzionalità nell’accesso esclusivamente sulla circostanza (smentita dalle risultanze istruttorie e dall’assoluzione dal reato di cui al capo B) che il (omissis) avesse effettuato l’esportazione dei dati su un computer diverso da quello aziendale, con grave travisamento delle risultanze istruttorie.

2.5. Col quinto motivo parte ricorrente lamenta la contraddittorietà della motivazione, perché, nonostante l’assoluzione dal delitto di cui al capo B (ovvero per aver copiato i dati su un supporto digitale personale), aveva affermato che avesse copiato i dati “nel suo computer”: mentre egli li aveva copiati sul computer aziendale a sua disposizione, connesso alla rete, all’interno di una cartella condivisa (come confermato da (omissis) (omissis) e (omissis) (omissis)). L’esportazione dei detti dati era avvenuta su domanda della polizia giudiziaria.

2.6. Col sesto motivo si censura la carenza di motivazione sulla ragione per cui l’imputato aveva copiato i dati in questione, ovvero ricreare una cartella da sempre esistita e improvvisamente scomparsa per motivi a lui ignoti, a doverosa tutela dei dati aziendali. Secondo parte ricorrente, la Corte d’appello (rimarcando come l’imputato non avesse mai chiesto spiegazioni sulla scomparsa della cartella condivisa, accedendo al sistema con una scusa per estrarne i dati, collocati, poi, sul suo computer, senza ricreare alcuna cartella condivisa) aveva omesso di rispondere concretamente ai rilievi suddetti.

Poco credibile sarebbe, poi, per parte ricorrente, la deposizione del dipendente (omissis) circa il suo rifiuto di dire al (omissis) dove si trovasse un’altra cartella (denominata “Jenny”) improvvisamente scomparsa e che, sino a poco tempo prima, era stata condivisa: ritenendo, il (omissis), tale richiesta anomala (nonostante lo stesso teste avesse ammesso che fosse nei poteri del direttore controllare il suo lavoro, che consisteva nell’operare anche sui dati contenuti in tale cartella). Si contrappone, alla detta deposizione del (omissis), quella della (omissis), a cui, per contro, come detto, non era invece parso strano che l’imputato le avesse chiesto le credenziali per l’accesso alla banca dati in oggetto.

2.7. Col settimo motivo si censura l’omessa motivazione circa la richiesta di applicazione dell’art. 131-bis cod. pen.

A fronte della motivazione del Tribunale di rigetto di tale istanza (perché il trasferimento dei dati di oltre 90.000 tra clienti e potenziali clienti, ad opera di un dirigente qualificato in procinto di transitare alle dipendenze di aziende concorrenti, in un settore estremamente competitivo, quello turistico-ricettivo, era idoneo a generare serie preoccupazioni) e dei motivi di appello (incentrati, in estrema sintesi, sulla scarsa intensità del dolo, avendo l’imputato agito in base a poteri che aveva, senza che vi fosse prova che si fosse appropriato dei detti dati, trasferiti su un computer aziendale e non in sua esclusiva disponibilità), la Corte territoriale aveva acriticamente confermato la decisione del primo giudice semplicemente per la quantità dei dati copiati.

2.8. Con l’ottavo motivo ci si lamenta della contraddittorietà della motivazione, laddove, nel negare che si trattasse di fatto di particolare tenuità, non aveva considerato l’assoluzione dal delitto di cui al capo B anzidetto, né la circostanza che l’imputato fosse accusato non per l’illecita esportazione di dati dal sistema informatico, bensì per il mero ingresso abusivo al suo interno.

2.9. Col nono motivo si lamenta, infine, violazione di legge, atteso che, la valorizzazione dell’esportazione di 90.000 schede era correlata all’accusa per il delitto di cui all’art. 640-ter cod. pen., da cui però l’imputato era stato assolto, e dunque era estranea al bene tutelato dall’art. 615-ter cod. pen., ovvero la riservatezza ed inviolabilità del domicilio digitale.

3. Il Sostituto Procuratore Generale presso questa Corte ha chiesto annullarsi con rinvio il provvedimento impugnato, mentre la parte civile la conferma della sentenza e l’imputato l’accoglimento del ricorso.

CONSIDERATO IN DIRITTO

1. Il ricorso è infondato: ciò impone la declaratoria di estinzione per prescrizione (maturata il 26/1/2024, considerando i 300 giorni dì sospensione) e la conferma delle statuizioni civili (non essendovi elementi tali da consentire un annullamento per valutare una pronuncia assolutoria, ove pure ex art. 530, comma 2, cod. proc. pen., e sussistendo l’illecito civile, per quanto oltre si dirà).

Solo l’inammissibilità del ricorso per cassazione (mancando l’instaurazione di un valido rapporto processuale) preclude il rilievo dell’estinzione del reato per prescrizione maturata dopo la sentenza di appello (così Sez. U, n. 21 del 22/11/2000, Rv. 217266-01; confronta, negli stessi termini, Sez. U, n. 12602 del 17/12/2015, dep. 2016, Rv. 266818-01, sull’impossibilità di rilevare la stessa anche se maturata prima della sentenza di appello, se non dedotta con un ricorso ammissibile).

Basta, al riguardo, che anche un solo motivo relativo ad un determinato capo d’imputazione sia ammissibile, posto che, alla luce della nota Sez. U, n. 1 del 19/01/2000, Rv. 216239-01, il giudicato si forma su ogni singolo “capo” della sentenza, quando sono divenute irretrattabili tutte le questioni correlate ad esso, e non sui suoi “punti” (che, invece, sono oggetto di preclusioni per effetto del principio devolutivo).

Ne consegue che l’ammissibilità anche solo di un motivo su un determinato capo d’imputazione (ove pure concernente, ad esempio, la pena accessoria) comporta la valida instaurazione del rapporto processuale d’impugnazione su di esso, con l’effetto che, se per il reato ivi indicato è maturato il termine estintivo di prescrizione dopo la sentenza di primo grado, a tale doverosa declaratoria consegue la compiuta valutazione, se v’è costituzione di parte civile, della verifica della fondatezza della domanda civile (Sez. U, n. 35490 del 28/05/2009, Tettamanti, Rv. 244273-01; Sez. 6, n. 18889 del 28/02/2017, Rv. 269890-01; Sez. 5, n. 3869 del 07/10/2014 dep. 2015, Rv. 262175-01; confronta, negli stessi termini, Sez. U, n. 40109 del 18/07/2013, Rv. 256087-01, secondo cui la declaratoria di prescrizione in appello, senza motivare alcunché a conferma delle statuizioni civili, impone, al fine di colmare tale lacuna, il rinvio al giudice civile).

La validità di tali principi è stata ribadita dalla recente Sez. U, n. 36208 del 28/3/2024, secondo cui, in caso di prescrizione del reato maturata dopo la sentenza di primo grado e in presenza della domanda civile:

– resta, ex art. 578 cod. proc. pen., «impregiudicato il “diritto vivente” espresso dalla sentenza Tettamanti con riguardo al potere del giudice di appello di applicare l’art. 530, commi 1 e 2, cod. proc. pen. anche in assenza di rinuncia alla causa estintiva» (perché altrimenti si incorrerebbe «nel paradosso di negare, in virtù del principio di presunta innocenza, la possibilità per il giudice di valutare i presupposti dell’assoluzione nel merito»);

– una volta esclusa l’assoluzione, ove pure ex art. 530, comma 2, cod. proc. pen., «alla pronuncia di estinzione del reato ai sensi dell’art. 578 cod. proc. pen.» non può «accompagnarsi» (nella decisione sulla responsabilità civile) «l’affermazione, sia pur incidentale, della responsabilità penale dell’autore del danno»;

– «l’accertamento sulle statuizioni civili si svolge dinanzi a un giudice penale ed è condotto applicando le regole processuali e probatorie del processo penale (art. 573 cod. proc. pen.)» (sicché «sarà così ammissibile e utilizzabile, ad esempio, la testimonianza della persona offesa che nel processo civile sarebbe interdetta dall’art. 246 cod. proc. civ.»).

Tali principi (seppur non tutti di agevolissima coesistenza) vanno applicati nel caso di specie.

2. Le censure mosse, come detto, non possono dirsi inammissibili.

È noto che siano manifestamente infondati (e, dunque, inammissibili ex art. 606, comma 3, cod. proc. pen.) quei motivi che lamentano violazioni di legge caratterizzate da evidenti errori di diritto (pretendendo l’applicazione di una norma inesistente o la disapplicazione di altra esistente, in contrasto col suo dato letterale e/o la pacifica interpretazione della Suprema Corte) o deducano vizi di motivazione che, seppur specifici (in difetto, sarebbero inammissibili ex art. 581, comma 1, lett. c, cod. proc. pen.), muovano critiche palesemente contrastate dagli atti processuali, tanto da apparire ictu oculi pretestuose, attribuendo, ad esempio, alla motivazione impugnata un senso radicalmente diverso da quello suo proprio (Sez. 2, n. 19411 del 12/03/2019, Rv. 276062-01; Sez. 5, n.1811 del 05/12/2023, dep.2024, non nnassimata; Sez. 2, n. 9486 del 19/12/2017, dep. 2018, non massimata).

Così come sono da considerarsi inammissibili le censure che adducono violazioni di norme o si basino su prove chiaramente insussistenti o, ancora, prospettino argomenti del tutto privi di logica.

Nella specie, le censure mosse, pur prossime all’inammissibilità (sollecitando, in definitiva, una rivalutazione di merito), non sono tutte e prima facie pretestuose e prive di qualsivoglia serietà, risultando tuttavia infondate.

3. È infondato in diritto il terzo (e logicamente prioritario) motivo di ricorso (che implica – come del resto consente la menzionata Sez. U, n. 36208 del 28/3/2024 – l’applicazione di regole proprie del processo penale).

Non è vero, come sostiene parte ricorrente, che l’imputato sia stato condannato per un fatto (accesso non autorizzato tout court) in realtà mai contestato in tali termini. Nella specie è accaduto (dal punto di vista fattuale in modo del tutto pacifico) esattamente quanto descritto nel capo di imputazione: ovvero l’ingresso nella banca dati, da parte dell’imputato, attraverso le credenziali dategli da una dipendente della società titolare del sistema informatico violato. Tanto è stato certamente contestato nella rubrica e, poi, ritenuto dai giudici di merito: sicché non può assolutamente dirsi che nel capo di imputazione non fosse contenuta una tale accusa.

È vero, invece, come sostiene parte ricorrente, che nella medesima rubrica fosse anche indicato il cosiddetto “accesso disfunzionale” (ovvero da parte di soggetto teoricamente autorizzato, ma che lo compia per finalità diverse da quelle per cui potrebbe farlo). Tuttavia, ciò non implica che l’accusa ritenuta non fosse anche contestata, bensì solo la scarsa chiarezza del capo d’imputazione.

Ma tale scarsa chiarezza e persino la contraddittorietà dell’accusa, giammai oggetto di rituale eccezione (come noto, l’eventuale indeterminatezza del capo d’imputazione dà luogo ad una nullità relativa, ai sensi dell’art. 181 cod. proc. pen., sanata se non eccepita entro il termine di cui all’art. 491 cod. proc. pen.: Sez. 5, n.4277 del 29/09/2015, dep. 2016, non massimata; confronta, negli stessi termini, Sez. U, n. 15983 del 11/04/2006, non massimata sul punto), non toglie, da un lato, che la Corte d’appello abbia interpretato la contestazione nel modo più logico (è francamente un “non senso” affermare che l’imputato avesse diritto ad accedere ad un sistema informatico di cui non aveva le credenziali di ingresso, tanto da avere necessità di chiederle ad altro personale, ove pure a lui subordinato) e, dall’altro lato, che il (omissis) si sia potuto difendere appieno (come, invero, neppure contesta) dall’accusa così come ritenuta nei suoi riguardi.

4. Gli altri motivi che censurano la condanna non possono essere accolti, neppure ex art. 530, comma 2, cod. proc. pen.: sicché per essi si statuirà ai soli fini della responsabilità civile.

Ed invero, le argomentazioni prospettate – miranti tutte, in estrema sintesi, a dimostrare che non si fosse trattato di un accesso abusivo (avendone il (omissis) il potere, nella veste di direttore e superiore della dipendente a cui aveva chiesto le credenziali, anche al fine di controllarne il lavoro), che si fosse in presenza di dati sino a poco tempo prima comunque a disposizione del medesimo, che non fosse provato il divieto di accedervi o che di tale divieto fosse a conoscenza il ricorrente, che quest’ultimo avesse comunque agito per tutelare l’azienda per cui lavorava, mettendoli al sicuro – non sono tali da scalfire le logiche e non contraddittorie argomentazioni formulate in sede di merito.

Correttamente la Corte d’appello ha ritenuto non convincente l’argomento che fa leva sul potere del direttore di accedere a qualsiasi luogo aziendale (come in un magazzino, si esemplifica) per controlli su chi gli era subordinato gerarchicamente.

Anzitutto, in un magazzino solitamente non vi sono ragioni di segretezza da tutelare e, pertanto, non è necessario che si lasci traccia di chi vi acceda. Per contro, nel caso di un sistema informatico protetto da credenziali, è evidente che non sia così: ogni soggetto abilitato ha la sua “chiave” personale (ovvero le credenziali d’accesso).

Ciò perché si tratta di dati che, semplicemente, il titolare reputa debbano essere protetti, sia limitando l’accesso a chi venga dotato delle dette credenziali, sia, nel contempo, facendo sì che sia lasciata, in tal modo, traccia digitale dei singoli accessi e di chi li esegua.

Ad ogni modo, e più in generale, è noto che spetti al datore di lavoro, ex artt. 2086 e 2104 cod. civ., l’organizzazione dell’impresa da lui gestita, essendo anche i suoi collaboratori apicali comunque tenuti a rispettarne le direttive (così la pacifica giurisprudenza lavoristica: confronta in tali termini Sez. L, n. 7295 del 23/03/2018, Rv. 647543-01 e Sez. L, n. 18165 del 16/09/2015, Rv. 636422-01).

Così come è altrettanto noto rientri nella piena discrezionalità del datore di lavoro, in base alle dette norme civilistiche, stabilire le modalità di controllo di eventuali mancanze dei dipendenti, direttamente o meno, non necessariamente mediante la propria organizzazione gerarchica (Sez. L, n. 21888 del 09/10/2020, Rv. 659052-01; Sez. L, n. 3039 del 02/03/2002, Rv. 552733-01), ma anche a mezzo di soggetti estranei all’organizzazione lavorativa (Sez. L, n. 15094 del 11/06/2018, Rv. 649245-01).

Dunque, è errato, in diritto, secondo le norme civili anzidette, prima che infondato in fatto, ritenere che, nella specie, il (omissis), sol per le sue mansioni, avesse automaticamente il potere di accedere a dati che, per contro, secondo la discrezionale valutazione del datore di lavoro (per quanto in fatto ricostruito dalla Corte d’appello), dovevano restare nella disponibilità di solo alcuni dipendenti (per quanto subordinati al ricorrente).

E il (omissis) ha certamente violato le menzionate disposizioni civili (in particolare quella secondo cui il prestatore di lavoro deve «osservare le disposizioni per l’esecuzione e per la disciplina del lavoro impartite dall’imprenditore», di cui all’art. 2104 cod. civ.), laddove, non autorizzato, ha fatto accesso ad una banca dati di cui non aveva le credenziali (perché nella detta sua discrezionalità il datore di lavoro aveva ritenuto di non fornirgliele), facendo, per giunta, risultare falsamente che l’accesso fosse stato operato dalla dipendente che, incautamente, gli aveva rivelato le sue credenziali.

È evidente, poi, che una simile mistificazione non sarebbe neppure ipotizzabile nell’esempio fatto dalla difesa del ricorrente (accesso ad un magazzino di un soggetto a nome di un altro): che, pertanto, rivela in tal modo la sua non pertinenza.

Com’è pure chiaro, per quanto detto, che, laddove lo avesse ritenuto, il datore di lavoro ben potrebbe stabilire che al magazzino dell’esemplificazione fatta da parte ricorrente (magari perché in esso custoditi dati o beni la cui segretezza è da preservare) abbiano accesso solo alcuni dipendenti, ove pure gerarchicamente sotto-ordinati ad altri.

In maniera niente affatto illogica, men che meno in violazione delle norme civili disciplinanti la materia, la Corte d’appello ha ritenuto, dunque, di non aderire ad una simile impostazione e di desumere come maggiormente credibile la tesi secondo cui l’indisponibilità delle credenziali (in capo al ricorrente) provasse la sua carenza di potere al riguardo e il divieto (ove pure implicito, ma chiaro) impostogli dal datore di lavoro.

Né le norme civili, né quelle penali (il cui esame la difesa sollecita evidenziando la mancata prova del “movente”) impongono, poi, di scoprire le ragioni dell’accesso abusivo (come infondatamente reputa l’imputato allorché richiama l’assoluzione dall’accusa della copiatura dei dati su un suo supporto personale).

Infatti, come detto, le norme civili dispongono semplicemente che il dipendente si attenga alle direttive ricevute, mentre, secondo la norma incriminatrice (il cui esame è limitato – come detto – alla doverosa verifica dell’impossibilità di giungere ad una assoluzione ex art. 530, comma 2, cod. proc. pen.), è sufficiente che avvenga l’accesso ad un sistema protetto da una “password” (Sez. 2, n. 36721 del 21/02/2008, Rv. 242084-01): ciò che, di per sé, viola i limiti in tal senso posti dal titolare di quei dati (Sez. 2, n. 52680 del 20/11/2014, Rv. 261548-01; Sez. 5, n. 25683 del 30/04/2021, non massimata).

Tanto senza trascurare come la Corte territoriale abbia, al riguardo, correttamente rimarcato che fosse stata proprio la dipendente ritenuta credibile dalla difesa del ricorrente ((omissis)) ad evidenziare che l’imputato le avesse detto che volesse accedere alla banca dati per impratichirsi e non certo per (come qui continua a sostenere) salvaguardare i dati in questione e crearne un “backup” (a tutela della proprietà): ciò che logicamente è stata ritenuta, per quanto detto, una pretestuosa motivazione addotta in questa sede a mero scopo difensivo.

Correttamente, ancora, la Corte d’appello ha ritenuto irrilevante che sino a poco prima, secondo le pregresse disposizioni datoriali, il (omissis) potesse accedere ai dati in esame, e che, a suo dire, egli non sapesse del divieto formulato dal datore di lavoro (e, anzi, neppure vi fosse certezza di un simile divieto).

Si tratta di argomenti che cedono il passo a fronte della banale considerazione che egli, pacificamente, ha dovuto chiedere le credenziali ad altra dipendente per poter entrare nella banca dati in questione sino a quel momento liberamente accessibile: il che, com’è logico che sia, è stato ritenuto rendesse di per sé manifesto il mutato volere del datore di lavoro (essendo evidente che proprio un siffatto radicale cambiamento doveva far ritenere che l’imputato fosse edotto che quanto faceva violava le direttive del datore di lavoro, il diritto di questi di tener secretati quei dati, dal momento della loro protezione con le credenziali, e le menzionate disposizioni civilistiche).

5. In definitiva, nessuna lacuna o illogicità, men che meno manifesta, può cogliersi nei passaggi motivazionali oggetto di gravame, né sussiste l’addotto travisamento sul fatto da parte della Corte d’appello (laddove ha ritenuto che il (omissis) avesse effettuato l’esportazione dei dati sul suo computer): avendo essa semplicemente preso atto del fatto che il ricorrente, contro il volere del suo datore di lavoro e (per quanto qui rileva ai fini civili) in violazione delle menzionate disposizioni del codice civile, fosse entrato in una banca dati a lui inibita.

Aver rimarcato che detti dati fossero, poi, rimasti a sua disposizione (seppure — come si precisa nel ricorso — su un supporto digitale aziendale: ma evidentemente e pur sempre in uso al (omissis)), cosa peraltro affermata pure da parte ricorrente, non elide, certo, e semmai aggrava la detta violazione delle direttive datoriali (di per sé sufficiente a ritenerlo responsabile civilmente, in questa sede).

Al riguardo, dunque, tutti gli argomenti sopra evidenziati sono stati correttamente ritenuti infondati dalla Corte d’appello sulla base dell’unica logica spiegazione desumibile dalla protezione di una banca dati con delle credenziali, da parte del datore di lavoro: ovvero l’intenzione di non farvi accedere chicchessia, ove pure gerarchicamente sovraordinato a chi sia autorizzato a farlo.

6. Deve, in definitiva, affermarsi che viola le direttive (quand’anche implicite, ma chiare) del datore di lavoro il dipendente che, pur in posizione gerarchicamente sovraordinata rispetto al titolare delle credenziali di accesso ad un sistema informatico aziendale, se le faccia rivelare per farvi ingresso senza averne specifica autorizzazione: essendo sufficiente a rendere manifeste tali direttive la stessa protezione dei dati mediante credenziali di accesso (su tale ultima parte, vedasi Sez. 2, n. 36721 del 21/02/2008, Rv. 242084-01).

Avendo ciò fatto, il ricorrente, tanto comporta, pur nella declaratoria di prescrizione del reato, la conferma del diritto della parte civile di vedersi risarcire i danni patiti per le correlate violazioni di indubbia natura (anche) civilistica.

7. La prescrizione del reato assorbe ogni ulteriore questione, trattandosi di pronuncia certamente più favorevole per il ricorrente, atteso che il chiesto proscioglimento per particolare tenuità del fatto lascerebbe comunque inalterato l’illecito penale nella sua materialità storica e giuridica (Sez. 6, n. 11040 del 27/01/2016, Calabrese, Rv. 266505 – 01; Sez. 4, n. 44404 del 15/10/2019, non massimata; Sez. 3, Sentenza n. 49799 del 26/9/2019, non massimata).

8. Consegue, a quanto detto, l’esito in dispositivo, con condanna dell’imputato a rifondere le spese del presente giudizio di legittimità alla parte civile, dovute pure in caso di parziale accoglimento dell’impugnazione, decisiva essendo la mancata esclusione del suo diritto risarcitorio (Sez. U, n. 6402 del 30/04/1997, Rv. 207946; Sez. 4, n. 2637 del 04/12/2006, dep. 2007, Rv. 235894-01): spese che sono liquidate in dispositivo, considerato l’impegno profuso in giudizio.

P.Q.M.

Annulla senza rinvio la sentenza impugnata agli effetti penali, perché il reato é estinto per prescrizione. Rigetta il ricorso agli effetti civili.

Condanna, inoltre, l’imputato alla rifusione delle spese di rappresentanza e difesa sostenute nel presente giudizio dalla parte civile che liquida in complessivi euro 2300,00 oltre accessori di legge.

Così deciso l’8/5/24

Il Consigliere estensore                                                                                                     Il Presidente

Luciano Cavallone                                                                                                             Rosa  Pezzullo

Depositato in Cancelleria, oggi 31 ottobre 2024.

SENTENZA