Abusivo l’accesso del pubblico dipendente al sistema informatico per ragioni estranee all'ufficio
Commette accesso abusivo a sistema informatico il funzionario che entri nel Registro delle notizie di reato per ragioni estranee al proprio ufficio. Cassazione penale SS. UU. Sentenza n. 41210/2017

1. La massima
«Integra il delitto previsto dall'art. 615-ter c.p., comma 2, n. 1, la condotta del pubblico ufficiale o dell'incaricato di un pubblico servizio che, pur essendo abilitato e pur non violando le prescrizioni formali impartite dal titolare di un sistema informatico o telematico protetto per delimitarne l'accesso, acceda o si mantenga nel sistema per ragioni ontologicamente estranee e comunque diverse rispetto a quelle per le quali, soltanto, la facoltà di accesso gli è attribuita».
«Non esce dall'area di applicazione della norma la situazione nella quale l'accesso o il mantenimento nel sistema informatico dell'ufficio a cui è addetto il pubblico ufficiale o l'incaricato di pubblico servizio, seppur avvenuto a seguito di utilizzo di credenziali proprie dell'agente ed in assenza di ulteriori espressi divieti in ordine all'accesso ai dati, si connoti, tuttavia, dall'abuso delle proprie funzioni da parte dell'agente, rappresenti cioè uno sviamento di potere, un uso del potere in violazione dei doveri di fedeltà che ne devono indirizzare l'azione nell'assolvimento degli specifici compiti di natura pubblicistica a lui demandati».
Le Sezioni Unite, a distanza di sette anni, con la sentenza n. 41210 del 18/05/2017-08/09/2017 tornano nuovamente sul delitto di accesso abusivo ad un sistema informatico o telematico aggravato dall’essere stato commesso dal pubblico ufficiale o incaricato di pubblico servizio ex art. 615, co. 1 e 2, n. 1 c.p., nel caso in cui il soggetto agente disponga delle credenziali di accesso al sistema e acceda e si mantenga nel sistema per finalità altre rispetto a quelle per cui l’accesso è consentito e al contempo acquisisca notizie e dati, in violazione dei doveri insiti nello statuto del pubblico dipendente, nel complesso degli obblighi e dei doveri di lealtà a lui incombenti.
2. Il fatto
L’imputata veniva tratta in giudizio per rispondere del reato di accesso abusivo ad un sistema informatico o telematico aggravato dall’essere stato commesso da un pubblico ufficiale con abuso dei poteri e violazione dei doveri inerenti la funzione o il servizio di cui all’art. 615-ter c.p., co. 1 e 2, n. 1, perché, «con più atti esecutivi di un medesimo disegno criminoso, essendo autorizzata nella propria qualità di cancelliere in servizio presso la Procura della Repubblica di Busto Arsizio ad accedere al registro delle notizie di reato Re.Ge., vi si manteneva in violazione dei limiti e delle condizioni risultanti dal complesso delle prescrizioni impartite dal titolare del sistema, in particolare accedendo alle informazioni inerenti il procedimento penale a carico di C.C. (assegnato a sostituto procuratore diverso da quello presso cui l'indagata prestava servizio e relativo ad un suo conoscente)…». Atti avvinti dal vincolo della continuazione.
3. La quaestio iuris
Il tribunale riteneva non sussistente il delitto contestato sul rilievo che l’imputata, titolare delle credenziali per accedere alle informazioni contenute nell'intero sistema Re.Ge., godeva di un’autorizzazione di accesso indiscriminato, non ravvisandosi dunque né limitazioni di sorta né una contraria volontà del gestore, non emergendo in ogni modo violazioni dei limiti risultanti dal complesso delle prescrizioni impartite all'agente o operazioni di natura “ontologicamente diversa” da quelle cui l'operatore era incaricato ed in relazione alle quali l'accesso era consentito.
Secondo la Corte di appello, invece, l’imputata aveva commesso il reato a lei ascritto in quanto l'ingresso e l'utilizzazione del sistema informatico Re.Ge. può avvenire legittimamente soltanto in presenza di un interesse pubblico che giustifichi accesso e permanenza dell'operatore, da cui il fatto che l'imputata avesse visionato gli atti di un procedimento penale senza alcuna necessità di ufficio integra la fattispecie incriminatrice contestata in quanto riconducibile al concetto di operazione di accesso abusivo di natura "ontologicamente diversa" da quelle autorizzate. Il giudice di seconde cure considerava irrilevante l'autorizzazione di accesso indiscriminato al Re.Ge. concessa dal titolare del sistema a tutti i soggetti dotati di password, ritenendo piuttosto rilevanti le finalità ulteriori dell'accesso e del mantenimento nel sistema.
La difesa dell'imputata, deducendo violazione di legge e vizio di motivazione, sosteneva che la condotta posta in essere non fosse sussumibile nella fattispecie prevista dall’art. 615 ter c.p., atteso il legittimo accesso al sistema informatico Re.Ge. nella sua totalità, a fronte di un’autorizzazione priva di limitazioni.
4. La rimessione alle Sezioni Unite
Le Sezioni Unite nel 2012, con la sentenza n. 4694, avevano avuto l’occasione di formulare il principio di diritto con riferimento all’accesso in un sistema informatico da parte del pubblico ufficiale o dell’incaricato di pubblico servizio che, avendo titolo per accedervi, se ne fosse avvalso per finalità estranee a quelle di ufficio, statuendo la non sussistenza del reato.
In quell’occasione, le Sezioni Unite affermarono il principio di diritto secondo cui «integra la fattispecie criminosa di accesso abusivo ad un sistema informatico o telematico protetto, prevista dall'art. 615-ter cod. pen., la condotta di accesso o di mantenimento nel sistema posta in essere da soggetto che, pure essendo abilitato, violi le condizioni ed i limiti risultanti dal complesso delle prescrizioni impartite dal titolare del sistema per delimitarne oggettivamente l'accesso. Non hanno rilievo, invece, per la configurazione del resto, gli scopi e te finalità che soggettivamente hanno motivato l'ingresso al sistema».
Tuttavia, la V Sezione della Suprema Corte ha ritenuto necessaria una rimeditazione della sentenza delle Sezioni Unite, sulla scorta delle diverse posizione antitetiche maturate dalla giurisprudenza successiva sulla configurazione del delitto de qua nella violazione dei principi che presiedono allo svolgimento dell'attività amministrativa, quali sinteticamente enunciate dall’art. 1 L. 7 agosto 1990 n. 241, ancorché fondate sulla espressa adesione all'identica premessa costituita dal decisum delle Sezioni Unite:
- Sez. V, n. 22024 del 24/04/2013: si configura il reato di accesso abusivo al sistema informatico se un impiegato del Fisco, pur essendo abilitato, viola le condizioni e i limiti risultanti dal complesso delle prescrizioni impartite dal titolare del sistema per delimitarne oggettivamente l'accesso, posto che quando l'agente è un pubblico dipendente «non può non trovare applicazione il principio di cui alla L. 7 agosto 1990, n. 241, art. 1, in base al quale l'attività amministrativa persegue fini determinati dalla legge ed è retta da criteri di economicità, efficacia, imparzialità, pubblicità, trasparenza, secondo le modalità previste dalla presente legge e dalle disposizioni che disciplinano singoli procedimenti, nonchè dai principi dell'ordinamento comunitario» e da cui deriverebbe la "ontologica incompatibilità" di un utilizzo del sistema informatico senza il rispetto di tali principi, in quanto «fuoriuscente dalla ratio del conferimento del relativo potere»;
- Sez. V, n. 44390 del 20/06/2014: il reato di accesso abusivo a sistema informatico sussiste non in caso di violazione dei criteri di economicità, efficacia, imparzialità, pubblicità e trasparenza previsti dalla l. n. 241 del 1990, bensì in caso di violazione delle regole fissate dal titolare del sistema, frustrandosi al contrario la ratio della stessa norma incriminatrice come interpretata dalle Sezioni Unite, dilatando inammissibilmente la nozione di "accesso abusivo" oltre i limiti imposti dalla necessità di tutelare i diritti del titolare del sistema.
In particolare, la questione di diritto sottoposta alle Sezioni Unite è la seguente:
«Se il delitto previsto dall'art. 615-ter c.p., comma 2, n. 1, sia integrato anche nella ipotesi in cui il pubblico ufficiale o l'incaricato di pubblico servizio, formalmente autorizzato all'accesso ad un sistema informatico o telematico, ponga in essere una condotta che concreti uno sviamento di potere, in quanto mirante al raggiungimento di un fine non istituzionale, pur in assenza di violazione di specifiche disposizioni regolamentari ed organizzative».
Il Primo Presidente, con decreto in data 21 marzo 2017, assegnava il ricorso alle Sezioni Unite.
5. Il decisum
È pacifico che ai sensi dell’art. 615 ter c.p. l'accesso è abusivo qualora avvenga mediante superamento e violazione delle chiavi fisiche ed informatiche di accesso o delle altre esplicite disposizioni su accesso e mantenimento date dal titolare del sistema.
Ad avviso del Collegio «non esce dall'area di applicazione della norma la situazione nella quale l'accesso o il mantenimento nel sistema informatico dell'ufficio a cui è addetto il pubblico ufficiale o l'incaricato di pubblico servizio, seppur avvenuto a seguito di utilizzo di credenziali proprie dell'agente ed in assenza di ulteriori espressi divieti in ordine all'accesso ai dati, si connoti, tuttavia, dall'abuso delle proprie funzioni da parte dell'agente, rappresenti cioè uno sviamento di potere, un uso del potere in violazione dei doveri di fedeltà che ne devono indirizzare l'azione nell'assolvimento degli specifici compiti di natura pubblicistica a lui demandati».
Proprio lo sviamento di potere è una delle tipiche manifestazioni di un vizio dell'azione amministrativa, concretizzandosi quando nella sua attività concreta il pubblico funzionario persegue una finalità diversa da quella che gli assegna in astratto la legge sul procedimento amministrativo (art. 1, L. n. 241 del 1990). Di talché la Suprema Corte ha privilegiato l'interpretazione della prima delle due sentenze antitetiche (Sez. V, n. 22024 del 2013) che appunto guardava ai principi di cui all’art. 1 della L. 241/1990 quali riferimento per l’analisi di abusività della condotta tenuta dal pubblico dipendente.
La Corte non dimentica poi il "Codice di comportamento" dei dipendenti delle pubbliche amministrazioni di cui all’art. 54 D.Lgs. 165/2001, Testo unico sul pubblico impiego, come sostituito dalla L. 190/2012 e il successivo D.P.R. 62/2013 recante il Regolamento contenente il vigente Codice di comportamento dei dipendenti pubblici, estrinsecazione proprio dei principi di cui all’art. 1 della L. 241/1990.
Il Consesso non ha mancato poi di individuare negli artt. 54, 97 e 98 della Costituzione la genesi ti tali principi sull’attività amministrativa, «disposizioni, queste, che chiedono l'adesione del dipendente ai "principi dell'etica pubblica", intesa come locuzione di sintesi dei valori propri della deontologia dell'impiego pubblico, al fine di porre il funzionario nella condizione di servire gli amministrati imparzialmente e con "disciplina ed onore"».
La Suprema Corte ha poi proceduto alla rassegna della normativa di riferimento sui registri informatizzati, individuando quale responsabile della concreta gestione e del controllo dell'utilizzo dei registri informatizzati il capo dell'ufficio giudiziario che, con le sue strutture, ne garantisce la gestione specificamente tecnica di accesso, controllo e aggiornamento.
«Ai pubblici dipendenti che, nella loro qualità, debbono operare su registri informatizzati è imposta l'osservanza sia delle diposizioni di accesso, secondo i diversi profili per ciascuno di essi configurati, sia delle disposizioni del capo dell'ufficio sulla gestione dei registri, sia il rispetto del dovere loro imposto dallo statuto personale di eseguire sui sistemi attività che siano in diretta connessione con l'assolvimento della propria funzione. Con la conseguente illiceità ed abusività di qualsiasi comportamento che con tale obiettivo si ponga in contrasto, manifestandosi in tal modo la "ontologica incompatibilità" dell'accesso al sistema informatico, connaturata ad un utilizzo dello stesso estraneo alla ratio del conferimento del relativo potere».
Da tale conclusione, di converso, le Sezioni Unite ricavano l’ulteriore declinazione fenomenologica, per cui il pubblico dipendente addetto a mansioni d'ordine, perciò non qualificabile come pubblico ufficiale o incaricato di pubblico servizio, che violi le disposizioni del titolare del sistema ed abbia accesso al medesimo al di fuori delle sue mansioni, commette in ogni caso, a prescindere dalle finalità perseguite, il reato di cui all'art. 615-ter c.p., comma 1.
Le Sezioni Unite quindi formulavano il principio di diritto:
"Integra il delitto previsto dall'art. 615-ter c.p., comma 2, n. 1, la condotta del pubblico ufficiale o dell'incaricato di un pubblico servizio che, pur essendo abilitato e pur non violando le prescrizioni formali impartite dal titolare di un sistema informatico o telematico protetto per delimitarne l'accesso (nella specie, Registro delle notizie di reato: Re.Ge.), acceda o si mantenga nel sistema per ragioni ontologicamente estranee e comunque diverse rispetto a quelle per le quali, soltanto, la facoltà di accesso gli è attribuita".
Nel caso di specie, l’accesso operato dall’imputata era caratterizzato dall’abusività, una condotta "ontologicamente incompatibile" e diversa rispetto a quelle per le quali, soltanto, la facoltà di accesso le era attribuita.
Dott. Andrea Diamante
---------------------------------------
Di seguito il testo di
Corte di Cassazione penale SS. UU. Sentenza n. 41210 del08/09/2017:
RITENUTO IN FATTO
Se sei registrato esegui la procedura di Login, altrimenti procedi subito alla Registrazione. Non costa nulla!