nota di Antonino Di Maio

La Corte di Cassazione, con sentenza del 12.7.2021 n. 26530 ha delimitato l’ambito di adozione della fattispecie penale di accesso abusivo aggravato ex art. 615-ter, secondo comma, n. 1, c.p., che ricorre qualora il fatto sia commesso da un pubblico ufficiale, da un soggetto incaricato dello svolgimento di una pubblica funzione, da un investigatore privato o un operatore di sistema i quali si introducano in maniera abusiva in un dispositivo informatico protetto da misure di sicurezza o ivi permangano in assenza del consenso del titolare del diritto.
Nel caso di specie, la Corte di appello di Lecce aveva parzialmente confermato la sentenza di condanna emessa dal Tribunale di Brindisi nei riguardi di un dipendente pubblico, assegnato ad uno specifico Ufficio, che si era introdotto mediante le proprie credenziali presso una differente sezione informatica, ove aveva visionato una serie di documenti per motivazioni ontologicamente estranee a quelle di servizio.

Sul punto, i giudici di merito avevano ravvisato la responsabilità penale dell’agente che, pur essendo in possesso di idonea abilitazione, si era introdotto in un sistema digitale per finalità o scopi diversi rispetto a quelli desunti dalla sua funzione.
A tal riguardo, una parte della dottrina ha affermato che l’interesse protetto dalla disposizione penale coinciderebbe con la violazione del domicilio informatico, mentre una distinta posizione ha precisato che acquisirebbe rilievo la salvaguardia della riservatezza e della sicurezza informatica.
L’elemento oggettivo del reato è integrato dall’attività di introduzione, che consiste nel superamento dei dispositivi di protezione del sistema informatico e nella contestuale acquisizione e conoscenza dei dati da parte del soggetto attivo, mentre il concetto di mantenimento è raffigurabile quale attività di permanenza contro la volontà, diretta o indiretta, del titolare dello ius excludendi alios.
Quanto all’avverbio “abusivamente”, tale clausola di illiceità speciale delimita e valorizza le predette condotte criminose che debbono collidere con la possibilità del titolare di escludere l’accesso di terzi dal sistema informatico o nel caso in cui l’autore, nonostante sia stato antecedentemente autorizzato, persegua finalità estranee e non coincidenti rispetto a quelle che gli siano state attribuite.

In proposito, il c.d. sviamento di potere rientra nell’alveo dell’eccesso di potere, ovvero quel vizio di legittimità dell’atto amministrativo che si esplica nella deviazione da parte del dipendente pubblico della funzione e dei compiti attribuitigli dall’amministrazione e nel contestuale soddisfacimento di interessi di natura privata, distinti dalla sfera pubblica.
Com’è noto, lo scopo della circostanza aggravante descritta dall’art. 615-ter, secondo comma, n. 1, c.p. è quello di fornire piena attuazione ai principi di buon andamento e imparzialità dell’azione amministrava svolta da soggetti aventi una data qualifica soggettiva che possono accedere in maniera più agevole ai sistemi informatici e telematici contenenti dati sensibili.
Sulla base delle suddette argomentazioni, i giudici di merito avevano rilevato la responsabilità dell’agente che, nonostante il rilascio di un titolo abilitativo, si era introdotto e permaneva nello spazio digitale, così determinando una deviazione dai poteri conferiti dalla legge e perseguendo fini non istituzionali.
Ai fini della configurabilità del reato, occorre che il soggetto attivo oltrepassi i limiti derivanti dall’autorizzazione concessa dal titolare dello ius excludendi alios, e tale eventualità può verificarsi non soltanto nell’ipotesi dell’attività di introduzione abusiva ma anche nel caso di illecita permanenza nell’area informatica, la cui sussistenza potrebbe ravvisarsi anche qualora il reo possieda un titolo di accesso legittimo ma lo sfrutti per scopi estranei rispetto a quelli per cui era stato incaricato. (Cass. S.U., 27.10.2011 n. 4694; Cass. S.U. 18.5.2017 n. 41210).

Quest’ultimo orientamento ermeneutico è stato criticato dalla sentenza annotata, poiché l’inosservanza dello statuto della pubblica amministrazione inciderebbe soltanto su questioni di stampo etico-teleologico e determinerebbe, in concreto, l’attuazione in malam partem della norma incriminatrice.
Nel caso de quo, la condotta del prevenuto si è articolata nell’accesso legittimo e nel contestuale inserimento di dati pacificamente acquisiti dallo stesso che non risulterebbero qualificabili come atti riservati, in quanto l’attività di introduzione e di mantenimento nel contesto informatico non sarebbe abusiva e quindi non soggiacerebbe a scopi alieni rispetto al conferimento dell’incarico.
Nemmeno l’offesa al bene protetto risulterebbe integrabile giacché quest’ultima situazione si verificherebbe nel caso in cui i comportamenti criminosi dell’agente siano incompatibili con il titolo di accesso, potendo al massimo rilevare sotto il profilo deontologico.
Sotto tale profilo, i giudici di legittimità hanno dichiarato l’annullamento della decisione impugnata per carenza di motivazione con rinvio al giudice di merito giacché la Corte di appello di Lecce non ha precedentemente chiarito per quali motivi il ricorrente aveva utilizzato il dispositivo informatico per fini differenti da quelli consentiti dalla legge e quindi nel nuovo esame del caso bisognerà approfondire portata e limiti dello sviamento di potere, previa sussistenza di due requisiti fondamentali ai fini dell’integrazione della fattispecie penale di cui all’art. 615-ter, secondo comma, n. 1, c.p.: l’oggettiva inosservanza delle prescrizioni delineate dal titolare dello ius excludendi alios e la natura chiaramente abusiva delle condotte che devono essere funzionalmente estranee all’incarico attribuito al dipendente.