ISSN 2039-1676

logo università Bocconi
logo università degli studi di Milano
con la collaborazione scientifica di

ISSN 2039-1676


6 giugno 2017 |

Accesso abusivo ad un sistema informatico: una nuova actio finium regundorum per i pubblici dipendenti (in attesa delle motivazioni della sentenza Savarese delle Sezioni Unite)

Contributo pubblicato nel Fascicolo 6/2017

1. Nei giorni scorsi è stata pubblicata su questa Rivista l’informazione provvisoria diffusa dal servizio di novità della Suprema Corte di Cassazione, dalla quale si è appreso che le Sezioni Unite hanno dato risposta affermativa al seguente quesito: “se il delitto previsto dall’art. 615 ter, comma 2, n. 1 cod. pen., sia integrato anche dalla condotta del pubblico ufficiale o dell’incaricato di pubblico servizio che, pur formalmente autorizzato all’accesso ad un sistema informatico o telematico, ponga in essere una condotta che concreti uno sviamento di potere, in quanto mirante al raggiungimento di un fine non istituzionale, e se, quindi, detta condotta, pur in assenza di violazione di specifiche disposizioni regolamentari ed organizzative, possa integrare l’abuso dei poteri o la violazione dei doveri previsti dall’art. 615 ter, comma secondo, n. 1 cod. pen.

In attesa di leggere le motivazioni della sentenza delle S.U. (ric. Savarese), riteniamo opportuno, considerata la rilevanza della questione, dare qui conto dell’ordinanza di rimessione della Quinta Sezione della Corte di Cassazione (clicca qui per accedere al testo dell’ordinanza).

A qualche anno di distanza dalla sentenza Casani (S.U. 4694/2011)[1], la S.C. è tornata ad occuparsi dei confini dell’art. 615 ter c.p con particolare riguardo alla condotta del pubblico ufficiale che, abilitato per ragioni di servizio all’uso di un sistema informatico, sfrutti le proprie credenziali per finalità diverse da quelle previste dalla sua autorizzazione (c.d. sviamento di potere).

 

2. Anzitutto, uno sguardo ai fatti.

Nel caso sottoposto all’attenzione della S.C., l’imputata S., un cancelliere della Procura di Busto Arsizio, veniva condannata dalla Corte territoriale per avere fatto accesso al registro informatico delle notizie di reato (sistema RE.GE.) e avere preso visione dei dati relativi al procedimento penale di un suo conoscente, procedimento, tra l’altro, affidato ad un Pubblico Ministero diverso da quello presso cui prestava servizio. S. veniva invece assolta dall’accusa di avere rivelato all’interessato le informazioni (coperte da segreto) raccolte.

Contro tale decisione l’imputata ricorreva per cassazione, lamentando l’insussistenza del fatto tipico di cui all’art. 615 ter c.p. In particolare, l’atto di ricorso proposto dai difensori di S. sottolineava:

i) che l’imputata, in qualità di cancelliere presso l’Ufficio di Procura, era autorizzata ad accedere al sistema informatico;

ii) che non vi sarebbe la prova dell’esistenza del requisito di fattispecie della ‘volontà contraria da parte del gestore informatico’. Le disposizioni organizzative della Procura di Busto Arsizio consentivano, infatti, ai cancellieri in servizio di accedere indiscriminatamente a tutti i procedimenti iscritti nel registro informatico.

Prima di scendere nel merito della vicenda, i giudici della Quinta Sezione considerano opportuno ripercorrere l’evoluzione della giurisprudenza in relazione alla rilevanza penale del c.d. sviamento di potere.

 

3. Come già anticipato, la questione nel 2011 è stata affrontata in termini generali, senza cioè in quel caso uno specifico riferimento ai pubblici ufficiali, dalla sentenza Casani della Sezioni Unite. In tale occasione, i giudici della S.C. erano stati chiamati a decidere “se integri la fattispecie criminosa di accesso abusivo ad un sistema informatico o telematico protetto la condotta di accesso o di mantenimento nel sistema posta in essere da soggetto abilitato, ma per scopi o finalità estranei a quelli per i quali la facoltà di accesso gli è stata attribuita[2].

Nella giurisprudenza precedente erano infatti presenti due orientamenti, che si contrapponevano per una diversa interpretazione dei concetti di abusività dell’accesso e di volontà contraria (anche tacita) del titolare dello ius excludendi:

- per una prima impostazione[3], tali nozioni avrebbero dovuto essere dilatate fino a ricomprendere anche le operazioni compiute da chi, munito delle password di accesso all’elaboratore, si introduce per fini diversi da quelli consentiti dalla sua autorizzazione. Secondo detta interpretazione, infatti, in tutti i casi in cui un agente persegue sul sistema informatico finalità illecite, incompatibili con le ragioni per cui gli è concessa l’autorizzazione, non può non considerarsi sussistente un dissenso tacito del gestore informatico. In definitiva, dovrebbero risultare punibili a mente dell’art. 615 ter c.p. anche le ipotesi di utilizzo del sistema informatico con modalità non consentite.

- in base ad una seconda lettura[4], invece, i concetti di abusività e di dissenso del dominus loci avrebbero dovuto essere intesi nel ristretto senso di “accesso non autorizzato”. Sicché, tutte le condotte compite da chi fosse abilitato all’uso dell’elaboratore – a prescindere dagli scopi perseguiti – avrebbero dovuto essere sempre escluse dall’ambito dell’art. 615 ter c.p.

Con la sentenza Casani, la S.C. dava al quesito sottoposto alla sua attenzione risposta negativa, senza tuttavia propendere nettamente per una delle tesi richiamate. La sentenza Casani poneva il seguente punto fermo:

“la questione di diritto controversa non [deve] essere riguardata sotto il profilo delle finalità perseguite da colui che accede o si mantiene nel sistema, in quanto la volontà del titolare del diritto di escluderlo si connette soltanto al dato oggettivo della permanenza (per così dire “fisica”) dell’agente in esso [...] Il giudizio circa l’esistenza del dissenso del dominus loci deve assumere come parametro la sussistenza o meno di un’obiettiva violazione, da parte dell’agente, delle prescrizioni impartite dal dominus stesso circa l’uso del sistema e non può essere formulato unicamente in base alla direzione finalistica della condotta soggettivamente intesa».

In sostanza, dunque, le Sezioni Unite non escludevano la possibilità di sanzionare le condotte commesse da chi, per ragioni di servizio, è abilitato all’utilizzo del sistema informatico, ma ancoravano la valutazione circa l’abusività della condotta o l’esistenza del dissenso (anche tacito) del gestore informatico al riscontro oggettivo della violazione da parte dell’agente di una disposizione organizzativa promanante dal gestore del sistema informatico, rimanendo del tutto irrilevante la finalità dallo stesso perseguite. In altri termini, la S.C. stabiliva che l’accesso dovrà ritenersi “non autorizzato”, ogni volta in cui vi sia la prova della violazione dei regolamenti impartiti dal titolare dello ius excludendi.

 

4. I giudici della Quinta Sezione hanno invitato le Sezioni Unite a rimeditare il loro approdo.

Rilevano i giudici di legittimità che, seguendo i principi fissati dalle sentenza Casani, il ricorso promosso dall’imputata meriterebbe di essere accolto. Nel caso in esame, infatti, l’imputata non ha utilizzato password sottratte/modificate per accedere al sistema informatico, né risultano esservi disposizioni interne della Procura di Busto Arsizio, da cui sia possibile desumere – in linea con i criteri oggettivi sopra enunciati – l’esistenza del dissenso del dominus loci.

Nondimeno, secondo l’ordinanza di rimessione, è evidente che la condotta tenuta dalla ricorrente, pure se non in contrasto con specifiche disposizioni regolamentari, deve considerarsi a tutti gli effetti una condotta abusiva, perché commessa in violazione dei principi e delle norme di livello legislativo che presiedono all’esercizio dell’attività amministrativa.

Il caso concreto ha offerto, dunque, alla Quinta Sezione lo spunto per sollecitare un approfondimento da parte delle Sezioni Unite circa il particolare tema delle condotte di sviamento di potere compite da un pubblico ufficiale o da un soggetto incaricato di pubblico servizio.

 

5. Vediamo allora, in sintesi, i passaggi argomentativi svolti dalla S.C. per proporre una diversa interpretazione della norma:

- anzitutto, rileva la S.C. che, a differenza del privato cittadino, tutti i pubblici dipendenti sono tenuti per legge ad un vincolo di fedeltà e sono obbligati ad agire nell’interesse del corretto funzionamento e dell’imparzialità dell’amministrazione (art. 97 Cost., art. 1 l. 7 agosto 1990, n. 241);

- all’interno del predetti vincoli rientra anche quello di agire secondo determinati fini istituzionali. Il potere è, infatti, conferito ai pubblici ufficiali per il raggiungimento di obiettivi e finalità istituzionali. Cosicché gli stessi dovrebbero considerarsi fondamento e limite del potere dei pubblici ufficiali;

- ne deriva che la finalità per cui un soggetto dotato di veste pubblica agisce, a prescindere dalla violazione di specifiche diposizioni regolamentari, non può mai essere considerata irrilevante. Il pubblico dipendente che accede o si mantiene in un sistema informatico per ragioni diverse da quelle di servizio viola, infatti, i limiti co-essenziali all’esercizio della sua funzione (cristallizzati in norme di legge) e la sua condotta non può non considerarsi travalicatrice dell’autorizzazione a lui concessa e, dunque, abusiva a mente dell’art. 615 ter c.p. In questa prospettiva, precisano i giudici di legittimità, il fine perseguito dall’agente non va direttamente inteso come elemento costitutivo del reato (il che non sarebbe nemmeno accettabile), ma va apprezzato come indice o sintomo che la sua condotta fuoriesce dai limiti consentiti dalla sua autorizzazione;

- a favore di questa impostazione depone anche la circostanza aggravante[5] di cui al secondo comma dell’art. 615 ter c.p. (“se il fatto è commesso da un pubblico ufficiale o da un incaricato di un pubblico servizio, con abuso dei poteri, o con violazione dei doveri inerenti alla funzione o al servizio, o da chi esercita anche abusivamente la professione di investigatore privato, o con abuso della qualità di operatore del sistema”), che è caratterizzata non solo dalla qualità soggettiva dell’agente (pubblico ufficiale o incaricato di pubblico servizio), ma anche dall’abuso di poteri.  Non può, infatti, passare sotto traccia che il legislatore “nel delineare i caratteri salienti della condotta di accesso abusivo ad un sistema informatico o telematico, abbia inteso chiaramente perseguire sia le condotte che si traducano in una palese violazione di un dovere - ossia una condotta che si manifesta ex se illecita nel momento in cui viene posta in essere, la sua stessa attuazione costituendo la violazione di un preciso dovere comportamentale rispetto al quale essa si pone in aperta e diretta violazione - sia le condotte che, formalmente in linea con i poteri attribuiti all'agente, costituiscano, tuttavia, un eccesso o uno sviamento del potere stesso, in quanto la loro manifestazione non risulta coerente con l'interesse pubblico per il raggiungimento del quale l'accesso al sistema è stato autorizzato”.

 

6. La necessità di rivisitare il dictum della sentenza Casani sarebbe peraltro documentata, osserva la Quinta Sezione, dalle perduranti oscillazioni della giurisprudenza successiva all’arresto delle Sezioni Unite:

- da una parte, infatti, attraverso una “progressiva erosione[6] dei principi della sentenza Casani, si starebbe consolidando un filone giurisprudenziale secondo cui il “capoverso dell'art. 615 ter c.p. induce a ritenere censurabile, comunque, la condotta del pubblico ufficiale o dell'incaricato di pubblico servizio che si estrinsechi in un abuso dei poteri conferitigli, tra cui - evidentemente - quello di accessi non istituzionali, e quindi ponendo in essere una condotta formalmente corretta ma ontologicamente difforme  dalle finalità operative di cui egli è incaricato, ricordando che la volontà del titolare del diritto di esclusione può, per disposizione di legge, essere anche tacita”.

- dall’altra, si rinvengono (almeno) due sentenze che, pur richiamandosi al decisum delle Sezioni Unite, pervengono – proprio con riferimento alle condotte dei pubblici dipendenti – a due conclusioni diametralmente opposte:

La prima (sentenza Carnevale[7]) riguarda un pubblico dipendente, impiegato presso l’agenzia delle entrate, che aveva effettuato sul registro informatico ricerche relative alla posizione fiscali di soggetti non rientranti nella competenza del proprio ufficio. In tale caso, la Corte aveva giudicato che la condotta dell’imputato doveva essere ritenuta “abusiva” perché commessa in violazione del disposto di cui all’art. 1, l. 7 agosto 1990, n. 241 e, segnatamente, del principio di legalità che deve informare lo svolgimento dell’attività amministrativa.

La seconda (sentenza Mecca[8]) è relativa ad un colonello dei Carabinieri che, in possesso delle chiavi di accesso al Sistema di Indagine (S.D.I.) del Ministero dell’interno, aveva utilizzato le proprie credenziali per svolgere alcune ricerche illecite all’interno del sistema informatico. In tale occasione, in via diametralmente opposta, la S.C. aveva affermato che l’abusività della condotta dell’agente non può essere fatta discendere da disposizioni – come quella di cui all’art. 7, l. 7 agosto 1990, n. 241 – che presiedono allo svolgimento dell’attività amministrativa, il parametro di giudizio potendo consistere unicamente nel complesso delle disposizioni impartite dal dominus loci.  

 

***

 

7. In attesa di leggere le motivazioni della pronuncia delle Sezioni Unite, siano consentite alcune brevi considerazioni sull’ordinanza di rimessione della Quinta Sezione.

Anzitutto, va dato atto che la questione trattata presenta notevolissimi risvolti di carattere applicativo. La prassi dimostra, infatti, come non siano infrequenti i casi di pubblici ufficiali o incaricati di pubblico servizio che, profittando della veste che ricoprono, utilizzano i servizi informatici di cui dispongono per effettuare ricerche estranee alle finalità del loro ufficio.

Si pensi al pubblico ufficiale che – per semplice curiosità – prende visione dei dati sensibili (posizione tributaria, carichi giudiziari) di una persona nota, oppure alle ben più gravi ipotesi in cui la raccolta di informazioni è funzionale alla commissione del reato di rivelazione dei segreti ufficio. Di fronte a queste situazioni, meritevoli di una presa di posizione decisa da parte dell’ordinamento, i criteri fissati dalla sentenza Casani per valutare l’abusività della condotta sono apparsi troppo restrittivi, soprattutto ove si consideri che – come acutamente messo in luce da parte della dottrina – sarebbe compatibile con il tenore letterale della norma anche un’interpretazione più ampia del termine “abusivamente” inclusiva delle ipotesi di c.d. sviamento di potere[9].

Degna di nota è poi la scelta della Quinta Sezione di non trattare la nozione di abusività in termini generali, ma di focalizzare l’attenzione esclusivamente sulle condotte commesse dai pubblici ufficiali o dagli incaricati di pubblico servizio. Una chiara indicazione per individuare la nozione di abusività per questi ultimi è, a ben vedere, già presente all’interno del codice penale. Tra gli argomenti spesi dall’ordinanza di rimessione, ci pare infatti particolarmente persuasivo il richiamo alla circostanza aggravante di cui all’art. 615 ter co. 2 n. 1 c.p. Detta circostanza ritaglia all’interno della fattispecie-base di reato il fatto commesso dal pubblico ufficiale “con abuso dei poteri, o con violazione dei doveri inerenti alla funzione o al servizio”. Ora, tale disposizione – costituendo un elemento circostanziale di reato – si pone necessariamente in rapporto di specialità con la fattispecie di cui al primo comma dell’art. 615 ter c.p. Cosicché, se il legislatore non avesse previsto tale circostanza aggravante, le ipotesi da essa disciplinate risulterebbero senz’altro punibili a mente della fattispecie generale di accesso abusivo ad un sistema informatico[10]. Non può allora passare inosservato, come correttamente sottolineato dalla Quinta Sezione, che la circostanza aggravante in esame consideri in modo distinto il caso in cui il soggetto dotato di veste pubblica commetta il fatto con abuso di poteri (concetto che evoca anche le condotte di sviamento di potere), da quella in cui la condotta sia compita con violazione dei doveri inerenti alla funzione o al servizio. Così facendo, infatti, il legislatore ha voluto selezionare all’interno dei comportamenti “abusivi” di cui al primo comma due specifiche modalità della condotta che – per il ruolo rivestito dall’agente e per la sua possibilità di accedere per ragioni di ufficio a dati molto sensibili – fossero meritevoli di una sanzione più grave.

 

[1] Cass. SS. UU., 27 ottobre 2011, n. 4694, Casani, in questa Rivista. Per una prima nota di commento v. G. Romeo, Le Sezioni Unite sull’accesso abusivo a un sistema informatico o telematico, in questa Rivista, 10 febbraio 2012; per una riflessione v. R. Bartoli, L’accesso abusivo a un sistema informatico (art. 615 ter c.p.) a un bivio ermeneutico teleologicamente orientato, in questa Rivista, 23 febbraio 2012.

[2] Cass. pen., Sez. V, ord. 11 febbraio 2011, n. 11714. Per una nota di commento all’ordinanza, v. A. Scirè, Abuso del titolo di legittimazione all’accesso ad un sistema informatico: alle SS. UU. la questione della configurabilità del delitto di cui all’art. 615 ter c.p., in questa Rivista, 21 settembre 2011.

[3] Cfr. ex multis: Cass. pen., Sez. V, 7 novembre 2000, n. 12732, Zara; Cass. pen., Sez. V, 8 luglio 2008, n. 37322, Bassani CED 241203. Cass. pen., Sez. V, 30 settembre 2008, n. 1727, Romano.

[4] Cfr. tra altre: Cass. pen., Sez. V, 20 dicembre 2007, n. 2534, Migliazzo, CED 239105; Cass. pen., Sez. V, 29 maggio 2008, n. 26797, Scimia CED 240497.

[5] A favore della natura di circostanza aggravante si era espressa la sentenza Casani “[nella citata disposizione] non vi è immutazione degli elementi essenziali delle condotte illecite descritte dal primo comma, in quanto il riferimento è pur sempre a quei fatti reato, i quali vengono soltanto integrati da qualità peculiari dei soggetti attivi delle condotte, con specificazioni meramente dipendenti dalle fattispecie di base. La configurata aggravante si riferisce a soggetti che possono legittimamente contattare il sistema informatico (secondo le prescrizioni e le limitazioni imposte dal dominus loci), stante il collegamento funzionale con lo stesso per ragioni inerenti i propri compiti professionali, ma che accedono ad esso e vi si trattengono in violazione dei doveri inerenti allo loro funzione nonché dei limiti dell’uso legittimo loro riconosciuti.

[6] La Corte cita nell’ordine: Cass. pen., Sez. V, 22 febbraio 2012, n. 15054, Crescenzi; Cass. pen., Sez. V, 31 ottobre 2014, n. 10083, Gorziglia; Cass. pen., Sez. V, 6 novembre 2015, n. 6176, Russo; Cass. pen., Sez. V, 19 aprile 2016, n. 35127, Papa; Cass. pen., Sez. V, 9 febbraio 2016, n. 27883 Leo e a.; Cass. pen., Sez. V, 29 settembre 2016, n. 3818, Provenzano.

[7] Cass. pen., Sez. V, 24 aprile 2013, n. 22024, Carnevale CED 255387.

[8] Cass. pen., Sez. V, 20 giugno 2014, n. 44390, Mecca CED 260763.

[9] Così R. Bartoli, L’accesso abusivo a un sistema informatico (art. 615 ter c.p.) a un bivio ermeneutico teleologicamente orientato, cit., p. 125.

[10] Cfr. Marinucci – Dolcini, Manuale di diritto penale. Parte generale., p. 487 ove si precisa che anche nel caso di c.d. specialità per aggiunta “l’elemento specializzante è tacitamente ricompreso nella norma generale”.