La Corte di Cassazione afferma che il backup dei dati effettuato dall’ex socio integra il reato di accesso abusivo a sistema informatico.

Con sentenza 2 dicembre 2020, n. 34296, la Corte di Cassazione penale sez. V si è pronunciata in tema di accesso abusivo a sistema informatico.

La Cassazione ha ritenuto detta fattispecie di reato integrata dalla condotta del soggetto che, in qualità di socio di uno studio professionale e/o di una società di persone, effettua il backup dei dati inseriti presso il sistema informatico dello studio.

Ad esempio, il caso si verifica quando l’ex socio infedele intende avviare un’autonoma attività professionale.

Il professionista ha sostenuto che l’accesso non era da considerare abusivo poiché in possesso delle relative password di accesso in qualità di titolare dell’archivio stesso.

Peraltro, non vi era alcun patto o regolamento interno (policy) che escludesse la possibilità di effettuare il backup nelle modalità con cui era stato fatto.

Acceso abusivo a un sistema informatico (art. 615 ter Codice penale): quando si verifica

L’accesso abusivo ad un sistema informatico o telematico è un delitto punito dall’art. 615-ter del Codice penale.

Al primo comma, si prevede che “chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo, è punito con la reclusione fino a tre anni”.

La pena per l’autore di accesso abusivo a sistema informatico è aggravata, da uno a cinque anni di reclusione, se

• il fatto è commesso da un pubblico ufficiale o da un incaricato di un pubblico servizio, con abuso dei poteri o con violazione dei doveri inerenti alla funzione o al servizio, o da chi esercita anche abusivamente la professione di investigatore privato, o con abuso della qualità di operatore del sistema
• il colpevole per commettere il fatto usa violenza sulle cose o alle persone, ovvero se è palesemente armato; se dal fatto deriva la distruzione o il danneggiamento del sistema o l’interruzione totale o parziale del suo funzionamento, ovvero la distruzione o il danneggiamento dei dati, delle informazioni o dei programmi in esso contenuti

La ratio della norma risiede nel prestare tutela alla vita privata degli individui contro le ingerenze di estranei.

Tale fattispecie viene considerata reato di ostacolo, con bene giuridico da tutelare identificato nell’inviolabilità del domicilio informatico, inteso come più ampia manifestazione del valore costituzionale sancito all’art. 14 Cost.

La questione sollevata dinanzi alla Corte Suprema era volta a valutare se la condotta di chi è in possesso delle credenziali di accesso al sistema integri, o meno, accesso abusivo a sistema informatico.

In particolare, la Cassazione ha affermato che “per essere legittimo, l’accesso al sistema informatico deve essere effettuato per le finalità proprie per cui il sistema è pensato”.

Cassazione 11959/2020 sull’appropriazione indebita (art. 646 c.p.)

La sentenza di Cassazione 11959/2020 afferma che integra il delitto di appropriazione indebita di dati informatici la sottrazione definitiva di “file” o “dati informatici” mediante duplicazione e successiva cancellazione da un PC aziendale, affidato all’agente per motivi di lavoro e restituito “formattato”.

Idati informatici, per struttura fisica, misurabilità delle dimensioni e trasferibilità, sono qualificabili come cose mobili ai sensi della legge penale.

Pur non potendo essere materialmente recepito dal punto di vista sensoriale, un file possiede una dimensione fisica.

Tale dimensione è costruita dalla grandezza dei dati che lo compongono.

Un esempio è rappresentato dall’esistenza di unità di misurazione della capacità di un file e la differente grandezza dei supporti fisici in cui i file possono essere conservati e elaborati.

Secondo la Cassazione, il furto di file integra il reato di appropriazione indebita previsto dall’art. 646 del Codice penale.

L’appropriazione indebita è punita con la reclusione fino a tre anni chiunque.

Il fine è procurare a sé o ad altri un ingiusto profitto, appropriandosi del denaro o della cosa mobile altrui di cui abbia disponibilità a qualsiasi titolo.

Il caso è proprio quello di un ex socio infedele di uno studio professionale o di una società di persone che effettui un backup al fine di avviare un’attività professionale in proprio con modalità tipiche di concorrenza sleale.

Questa sentenza è stata oggetto di numerose osservazioni tra i professionisti del settore.

Per la prima volta, la Cassazione riconosce la natura di “cosa mobile” dei file, fino a quel momento ritenuti beni immateriali e quindi non rientranti nell’ambito applicativo dell’art. 646 del Codice penale.

Come comportarsi in caso di sospetta sottrazione dei dati dal socio infedele e accesso abusivo a sistema informatico?

La sottrazione di dati da sistema informatico per finalità di concorrenza sleale è, oggigiorno, un’ipotesi diffusa e che conosce molta casistica pratica.

La distinzione tra le due fattispecie di reato (“accesso abusivo a sistema informatico” ed “appropriazione indebita di files”) non è affatto agevole.

Va detto che nei casi in cui l’accesso abusivo al sistema sia effettuato contro policy chiare, sarà sicuramente l’articolo 615 ter del Codice penale la norma da applicare.

È per questo motivo che le aziende dovrebbero prestare particolare attenzione nella predisposizione di precise policy di accesso e mantenimento dei propri sistemi informatici.

Solo attraverso rigorose policy è possibile tutelarsi da dipendenti infedeli o soci infedeli che intendano copiare illecitamente file dal sistema informatico.

In ogni caso, quando vi è il sospetto di un’azione di questo genere è importante non alterare la scena informatica, coinvolgendo appena possibile un perito informatico per svolgere le opportune consulenze tecniche informatiche.