Accesso abusivo a sistema informatico: nuova sentenza chiarificatrice della Cassazione

La Legge. n. 547/1993 ha introdotto nel nostro ordinamento l’articolo 615 ter c.p., con cui ha introdotto l’accesso abusivo a sistema informatico.

Consapevole della necessità di adeguare il diritto penale alle evoluzioni tecnologiche, la legge è dunque intervenuta sanzionando nuove forme di aggressione e, in particolare, quelle legate alla riservatezza dei dati e delle comunicazioni informatiche, dell’integrità  dei dati e dei sistemi informatici, delle condotte di falso in relazione ai documenti informatici e di frode informatica.

In particolare, l’articolo succitato prevede due diversi tipi di comportamenti:

• l’introduzione abusiva in un sistema informatico o telematico protetto da misure di sicurezza,
• il mantenimento nello stesso sistema contro la volontà espressa o tacita di chi ha il diritto di escluderlo.

Le ipotesi di aggravamento

In aggiunta a ciò, l’art. 615 ter c.p. prevede diverse ipotesi di aggravamento della pena nel caso in cui il fatto sia commesso da pubblico ufficiale o da incaricato di un pubblico servizio, con abuso dei poteri o con violazione dei doveri inerenti alla funzione o al servizio, o ancora da chi esercita anche abusivamente la professione di investigatore privato, o con abuso della qualità di operatore del sistema.

Altre ipotesi di aggravamento della pena sono legati al caso in cui il colpevole per commettere il fatto utilizzi violenza sulle cose o alle persone, ovvero se sia palesemente armato, e ancora se dal fatto deriva la distruzione o il danneggiamento del sistema o l’interruzione totale o parziale del suo funzionamento, o ancora la distruzione o il danneggiamento dei dati, delle informazioni o dei programmi in esso contenuti.

Vi è poi un ulteriore inasprimento della pena se i fatti riguardano sistemi informatici o telematici di interesse militare o relativi all’ordine pubblico o alla sicurezza pubblica o alla sanità o alla protezione civile o comunque di interesse pubblico. In tali ipotesi la pena è rispettivamente pari alla reclusione da uno a cinque anni e da tre a otto anni.

I fatti all’esame della Cassazione

Premesso quanto sopra, cerchiamo di riassumere brevemente cosa sia accaduto nella fattispecie ora in esame.

Il 5 dicembre 2022 la Corte d’appello di Napoli pronunciava sentenza di condanna, a conferma della pronuncia di primo grado, a carico di due imputati che sono stati ritenuti colpevoli in concorso tra loro: il primo per aver istigato, il secondo per aver dato materiale esecuzione nella sua qualità di pubblico ufficiale in servizio presso la sezione di polizia giudiziaria della Procura della Repubblica di Avellino, del reato di accesso abusivo a sistema informatico – nel caso di specie la banca dati del Pubblico Registro Automobilistico – aggravato ai sensi del comma 3 dell’art. 615 ter c.p..

I due imputati ricorrevano però in Cassazione per due motivi.

Con il primo sostenevano l’insussistenza del reato sotto il profilo oggettivo: mancava infatti la prova del concorso. Inoltre, l’insussistenza poteva essere verificata anche sotto il profilo soggettivo, a causa della mancanza della consapevolezza del carattere abusivo dell’accesso.

Con il secondo motivo i ricorrenti contestatavano invece la sussistenza dell’aggravante perché, secondo i legali della difesa,

essendo finalizzata a rafforzare la protezione di quegli archivi che contengono informazioni riservate e, quindi, non ostensibili a terzi, sarebbe ontologicamente incompatibile con la funzione di pubblicità propria del registro automobilistico, contenente solo informazioni inerenti alla proprietà e alle vicende circolatorie relative ai veicoli in esso iscritti.

La ricostruzione della Cassazione sull’accesso abusivo a sistema informatico

Tutto ciò premesso, la Corte di Cassazione ha chiarito come non sia in discussione che la condotta criminosa sia stata effettivamente commessa da un soggetto che possa essere qualificato come pubblico ufficiale, il quale ha realizzato la condotta di accesso abusivo a sistema informatico all’interno del P.R.A. per fare ricerche nell’interesse del suo investigatore.

La Corte ha poi qualificato il P.R.A. come servizio d’interesse pubblico: si tratta infatti di un registro nazionale gestito dall’ACI, in cui registrare tutte le operazioni che riguardano le vicende della circolazione stradale (si pensi alle immatricolazioni e ai fermi amministrativi), oltre agli elementi identificativi di un veicolo.

I dati riportati all’interno del P.R.A. sono dunque pubblici, ma l’accesso e la relativa gestione sono affidati a soggetti qualificati titolari del potere di accesso, in ragione della funzione pubblicistica svolta dal registro.

Per quanto poi riguarda il carattere abusivo dell’accesso, la Corte ha affermato lo stesso può manifestarsi anche quando, pur formalmente corretto, l’accesso risulti effettuato per finalità estranee a quelle proprie della funzione esercitata. Nel caso, l’autore materiale ha offerto l’accesso al P.R.A. al proprio informatore, evitandogli così il pagamento della somma necessaria per l’accesso pubblico. L’accesso proprio per questo motivo deve ritenersi abusivo, proprio perché, è avvenuto per finalità estranee a quelle proprie dell’ufficio.

Alla luce di quanto sopra, la Corte ha ritenuto integrato il reato di accesso abusivo ad un sistema informatico: per quanto abbia usato le proprie credenziali, l’autore ha fatto accesso al P.R.A. per finalità estranee all’ufficio, per ragioni che sono contrastanti con quelle che avevano giustificato il possesso delle suddette credenziali.