La Cassazione penale sezione 5 con la sentenza 29497/2025 si è soffermata sulla configurabilità dell’articolo 615 ter c.p. nel caso di accesso ad e-mail aziendale da parte di dipendente o amministratore della società.
La Suprema Corte ha ricordato che la fattispecie in esame è stata introdotta dalla legge n. 547 del 23 dicembre 1993, come “computer’s crime”, nella sezione concernente i delitti contro la inviolabilità del domicilio, a tutela della privacy della persona da ogni illecita interferenza attuata attraverso l’abusiva introduzione o permanenza nel collegamento con i sistemi informatici o telematici, contro la volontà espressa o tacita dell’avente diritto, essendo i suddetti sistemi configurati alla stregua di «un’espansione ideale dell’area di rispetto pertinente al soggetto interessato, garantito dall’art. 14 della Costituzione e penalmente tutelata nei suoi aspetti più essenziali e tradizionali dagli artt. 614 e 615 del codice penale», come indicato nella relazione di accompagnamento al relativo disegno di legge.
Il bene giuridico tutelato dalla norma in commento è stato individuato dalla giurisprudenza di legittimità, con orientamento costante, nella difesa del domicilio informatico sotto il profilo dello ius excludendi alios, la cui violazione va accertata anche alla stregua delle modalità che regolano l’accesso dei soggetti eventualmente abilitati (Sez. 2, n. 26604 del 29/05/2019, Rv. 276427).
Nella ricostruzione della fattispecie sottoposta al suo esame, in particolare, il giudice di merito deve porsi nella prospettiva indicata, al fine di verificare se l’introduzione o il mantenimento nel sistema informatico, anche da parte di chi aveva titolo per accedervi, sia avvenuto in contrasto o meno con la volontà del titolare del sistema stesso, che può manifestarsi, sia in forma esplicita, che tacita (Sez. 5, n. 12732 del 7.11.2000, Rv. 217743; Sez.5, n. 2987 del 10.12.2009, Rv. 245842; Sez. 5, n. 11994 del 05/12/2016, Rv. 269478).
La fattispecie delittuosa in rassegna ha formato oggetto di due interventi delle Sezioni Unite.
Con la sentenza Casani, è stato affermato che «integra il delitto previsto dall’art. 615-ter cod. pen. colui che, pur essendo abilitato, acceda o si mantenga in un sistema informatico o telematico protetto violando le condizioni ed i limiti risultanti dal complesso delle prescrizioni impartite dal titolare del sistema per delimitarne oggettivamente l’accesso, rimanendo invece irrilevanti, ai fini della sussistenza del reato, gli scopi e le finalità che abbiano soggettivamente motivato l’ingresso nel sistema» (Sez. U, n. 4694/2012 del 27/10/2011, Casani, Rv 251269).
Con la successiva sentenza Savarese, le Sezioni Unite, pronunciandosi con riferimento ad ipotesi di fatto commesso da un pubblico ufficiale o da un incaricato di pubblico servizio (615-ter, comma 2, n. 1), hanno avuto modo di precisare, sotto il profilo dell’elemento oggettivo, che integra il delitto previsto dall’art. 615-ter cod. pen. la condotta di colui che «pur essendo abilitato e pur non violando le prescrizioni formali impartite dal titolare di un sistema informatico o telematico protetto per delimitarne l’accesso, acceda o si mantenga nel sistema per ragioni ontologicamente estranee rispetto a quelle per le quali la facoltà di accesso gli è attribuita» (Sez. U, n. 41210 del 18/05/2017, Savarese, Rv. 271061 – 01).
I principi espressi per il pubblico funzionario sono stati, inoltre, ritenuti applicabili anche al settore privato, in base al rilievo che i medesimi doveri di fedeltà e lealtà connotano indubbiamente anche il rapporto di lavoro privatistico (Sez. 5, n. 565 del 29/11/2018, dep. 2019, Rv. 274392 – 01).
In definitiva, sia la sentenza Casani che la sentenza Savarese hanno precisato come la connotazione di abusività non riguardi soltanto l’accesso compiuto dal soggetto in alcun modo legittimato ad introdursi nel sistema aggirando le sue protezioni, ma anche quello effettuato dal soggetto autorizzato ad accedervi e che però lo faccia per finalità diverse da quelle per cui l’autorizzazione gli è stata concessa.
Pertanto, è da ritenere illecito e abusivo qualsiasi comportamento del dipendente che si ponga in contrasto con i suddetti doveri «manifestandosi in tal modo la “ontologica incompatibilità” dell’accesso al sistema informatico, connaturata ad un utilizzo dello stesso estraneo alla ratio del conferimento del relativo potere» (Sez. U, n. 41210 del 18/05/2017, Savarese, in motivazione).
Con riferimento alla nozione di sistema informatico, inoltre, da tempo la giurisprudenza ha chiarito che deve ritenersi “sistema informatico” un complesso di apparecchiature destinate a compiere una qualsiasi funzione utile all’uomo, attraverso l’utilizzazione (anche parziale) di tecnologie informatiche, caratterizzate – per mezzo di un’attività di “codificazione” e “decodificazione” – dalla “registrazione” o “memorizzazione”, per mezzo di impulsi elettronici, di “dati”, cioè di rappresentazioni elementari di un fatto, effettuate attraverso simboli (bit), in combinazioni diverse, e dalla elaborazione automatica di tali dati, in modo da generare “informazioni”, costituite da un insieme più o meno vasto di dati organizzati secondo una logica che consenta loro di esprimere un particolare significato per l’utente.
La valutazione circa il funzionamento di apparecchiature a mezzo di tali tecnologie costituisce giudizio di fatto insindacabile in cassazione ove sorretto da motivazione adeguata e immune da errori logici (cfr. Sez. 6, n. 3067 del 04/10/1999, Rv. 214945).
Nell’introdurre tale nozione nell’ordinamento il legislatore ha fatto evidentemente riferimento a concetti già diffusi ed elaborati nel mondo dell’economia, della tecnica e della comunicazione, essendo stato mosso dalla necessità di tutelare nuove forme di aggressione alla sfera personale, rese possibili dallo sviluppo della scienza.
Con riferimento a fattispecie analoga alla presente, in cui era in contestazione l’estrazione di dati da una mail, è stato ritenuto che « il “sistema informatico” recepito dal legislatore non può essere che il complesso organico di elementi fisici (hardware) ed astratti (software) che compongono un apparato di elaborazione dati (…)» dovendo essere identificato in «qualsiasi apparecchiatura o gruppo di apparecchiature interconnesse o collegate, una o più delle quali, in base ad un programma, compiono l’elaborazione automatica dei dati» e che, in particolare, «la “casella di posta” non è altro che uno spazio di memoria di un sistema informatico destinato alla memorizzazione di messaggi, o informazioni di altra natura (immagini, video, ecc.), di un soggetto identificato da un account registrato presso un provider del servizio» (Sez. 5, n. 13057 del 28/10/2015 Ud. (dep. 31/03/2016 ) Rv. 266182 – 01).
L’accesso a questo “spazio di memoria” concreta, chiaramente, un accesso al sistema informatico, giacché la casella non è altro che una porzione della complessa apparecchiatura – fisica e astratta – destinata alla memorizzazione delle informazioni, venendo attribuito rilievo preminente alla circostanza che tale porzione di memoria sia protetta, come nella specie, mediante l’apposizione di una password – in modo tale da rivelare la chiara volontà dell’utente di farne uno spazio a sé riservato con la conseguenza di ritenere che «ogni accesso abusivo allo stesso concreta l’elemento materiale del reato di cui all’art. 615 ter cod. pen.» (Sez. 5, n. 13057 del 28/10/2015, cit.; anche Sez. 5, n. 565 del 29/11/2018, Rv. 274392; nel medesimo senso anche Sez. 5, n. 18284 del 25/03/2019, Rv. 275914 – 01).
La sentenza impugnata ha fornito una motivazione logica e aderente alle superiori indicazioni ermeneutiche ritenendo che la condotta posta in essere dall’imputato, nel periodo contestato, compreso fra la fine di gennaio e metà febbraio del 2019, dopo che già il medesimo aveva accettato la proposta di acquisto delle sue quote della società … s.p.a. formulata dal socio P.R., abbia integrato l’ipotesi di reato contestata, in quanto consistita nell’entrare nella casella di posta elettronica aziendale, trasferendo al proprio account personale numerose schede tecniche relative ai prodotti e clienti della società nella quale aveva svolto il ruolo di amministratore, attraverso un accesso al sistema informatico attuato per scopi e finalità estranei a quelli per i quali gli era stata consentita la facoltà di accesso, ed attribuita una personale password.
Sul punto è stato, dunque, congruamente sottolineato il carattere di abusività della condotta proprio in ragione della finalità perseguita dal soggetto agente essendosi considerato che l’imputato, avendo agito a seguito dell’accettazione della proposta di acquisto delle sue quote sociali da parte del P., abbia agito non per perseguire un interesse della società ma per una finalità extra sociale, per soddisfare un suo interesse personale ad entrare in possesso di una serie di notizie riservate che avrebbe potuto in seguito sfruttare per il prosieguo della sua attività professionale.
Sotto tale profilo è stato, peraltro, dato rilievo alla circostanza che dalla consulenza tecnica effettuata sia stato accertato che anche successivamente il ricorrente abbia continuato ad operare nello stesso settore della società.
TERZULTIMA FERMATA 