Cassazione, il backup dei dati effettuato dall’ex socio è accesso abusivo a sistema informatico - Cyber Security 360

REATI INFORMATICI

Cassazione, il backup dei dati effettuato dall’ex socio è accesso abusivo a sistema informatico

Secondo la Cassazione effettuare il backup dei dati di uno studio professionale al fine di avviare una nuova attività integra il reato di accesso abusivo a sistema informatico: ecco i dettagli della sentenza e perché è importante che le aziende adottino policy di accesso ai sistemi per tutelarsi da dipendenti infedeli

15 Gen 2021
B
Massimo Borgobello

Avvocato, Vice presidente Assodata, DPO Certificato 11697:2017

La Cassazione, con una recente sentenza, ha affermato che effettuare il backup dei dati del sistema informatico di uno studio professionale, nell’ottica di sottrarli per avviare una nuova attività, integra il reato di accesso abusivo a sistema informatico (articolo 615 ter del Codice penale).

Il caso

La Corte d’appello di Venezia aveva condannato un professionista per aver effettuato il backup dei dati dello Studio di cui era socio per una finalità diversa da quella “istituzionale”, ossia la creazione di un archivio autonomo, finalizzata all’avviamento di una attività professionale propria ed evidentemente in concorrenza con quella di provenienza.

Il professionista ha fatto ricorso per cassazione, sostenendo che l’accesso non era abusivo perché in possesso delle relative password in qualità di titolare dell’archivio stesso.

Non vi era, peraltro, alcun patto o regolamento interno che escludesse la possibilità di effettuare il backup nelle modalità con cui era stato fatto.

La soluzione della Cassazione

La Sezione quinta penale della Cassazione ha respinto il ricorso, ripercorrendo i precedenti giurisprudenziali in materia e chiarendo quale sia il criterio distintivo tra accesso legittimo ed ipotesi di reato.

Il reato di accesso abusivo sistema informatico è previsto dall’art. 615 ter del Codice penale e sanziona con la reclusione fino a tre anni la condotta di chiunque “abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo”.

La pena è aggravata (da uno a cinque anni di reclusione) nelle ipotesi in cui chi commette il reto sia pubblico ufficiale, incaricato di pubblico servizio, soggetto che esercita abusivamente la professione di investigatore privato o che abusa della propria qualità di operatore di sistema.

La stessa pena si applica se chi effettua l’accesso abusivo è armato (“palesemente”) o se a causa del suo intervento i sistemi informativi vengono danneggiati.

La fattispecie di cui all’art. 615 ter del Codice penale è un reato comune, a forma libera, di mera condotta (quantomeno per le ipotesi alternative non aggravate), con dolo generico.

Viene considerata reato di ostacolo, con bene giuridico identificato nell’inviolabilità del domicilio informatico, inteso come espressione più ampia del valore costituzionale di cui all’art. 14 Cost.

Questo premesso, la Cassazione ha ripercorso i propri precedenti, per valutare se la condotta di chi è in possesso delle chiavi di accesso integri, o meno, accesso abusivo.

Le Sezioni unite, nel 2011, avevano ritenuto penalmente rilevante la condotta di chi, avendo la possibilità di accedere e rimanere nel sistema informativo, lo avesse fatto in violazione delle prescrizioni date dall’amministratore di sistema.

Nel 2017, con riferimento ad una Pubblica amministrazione, le Sezioni unite avevano confermato la condanna di un pubblico dipendente che aveva utilizzato le password in maniera non conforme al proprio contratto ed in violazione delle relative norme pubblicistiche.

La Quinta sezione penale, quindi, ha affermato che per essere legittimo, l’accesso al sistema informatico deve essere effettuato per le finalità proprie per cui il sistema è pensato.

Un accesso che vada contro gli scopi per cui sono attribuite le chiavi d’accesso è, al contrario, sempre illegittimo ed integra il reato di cui all’articolo 615 ter del Codice penale.

Questa affermazione, valida per i dipendenti pubblici, è certamente valida anche per i soggetti privati legati da rapporti societari o professionali, per i quali è vincolante lo scopo previsto dallo statuto della realtà di riferimento.

Ci può essere appropriazione indebita?

Nel maggio 2020 la Cassazione aveva affermato che l’ipotesi di “furto” di files poteva integrare il reato di appropriazione indebita previsto dall’articolo 646 del Codice penale, che punisce con la reclusione fino a tre anni chiunque, per procurare a sé o ad altri un ingiusto profitto, si appropria il denaro o la cosa mobile altrui di cui abbia, a qualsiasi titolo, il possesso.

La pena è aumentata se il fatto è commesso su cose possedute a titolo di deposito necessario.

L’ipotesi in ambiente digitale è quella del dipendente o del socio che copia dei dati per riutilizzarli a proprio vantaggio: nel caso che ha dato origine alla sentenza richiamata, un dipendente aveva effettuato il backup del portatile aziendale, formattandolo subito dopo.

La sentenza è stata oggetto di numerosi commenti tra gli specialisti perché per la prima volta affermava la natura di “cosa mobile” dei files, fino a quel momento ritenuti beni immateriali e quindi non rientranti nell’ambito applicativo dell’articolo 646 del Codice penale.

Conclusioni

La sottrazione di dati da sistema informatico per finalità di concorrenza ormai è una ipotesi tipica con molta casistica pratica.

Non è affatto agevole, sul piano pratico, la distinzione tra accesso abusivo a sistema informatico ed appropriazione indebita di files: si dovrà certamente distinguere caso per caso ma, va detto, nei casi in cui l’accesso al sistema sia effettuato contro policy chiare, sarà certamente l’articolo 615 ter del Codice penale la norma da invocare.

Le aziende dovrebbero, quindi, valutare con attenzione le policy di accesso ai propri sistemi informatici, per tutelarsi in maniera più agevole da eventuali dipendenti infedeli.

@RIPRODUZIONE RISERVATA