Diritto e Fisco | Articoli

Utilizzo di credenziali altrui

31 Ottobre 2021
Utilizzo di credenziali altrui

Accesso abusivo a sistema informatico: la Cassazione chiarisce i requisiti per la sussistenza del reato.

L’articolo 615-ter del Codice penale prevede il reato di accesso abusivo a sistema informatico che è un po’ il comportamento di chi utilizza le credenziali altrui: siano esse quelle di una banca dati aziendale, di un’e-mail, di un account social o di qualsiasi altra piattaforma. 

Il reato in questione scatta indipendentemente dal fatto che al colpevole fossero state già comunicate le password di accesso: l’illecito penale infatti presuppone solo un uso distorto di tali dati, diverso cioè da quello per il quale sono stati forniti. 

Dunque, l’accesso abusivo a sistema informatico si configura non solo in caso di furto delle credenziali altrui ma anche quando l’accesso sia eseguito per ragioni estranee a quelle inizialmente indicate.

A fornire questa interessante interpretazione è la Cassazione [1]. La questione si presta a molteplici casi pratici. 

Ad esempio, l’utilizzo di credenziali altrui può avvenire quando:

  • il coniuge accede all’email dell’altro: si pensi al marito che, un giorno, riceva dalla moglie la password per controllare all’interno della propria posta elettronica il ricevimento di un messaggio ma che, avendo imparato a memoria tali dati o avendoli memorizzati nel proprio dispositivo, successivamente vi faccia un ulteriore accesso – questa volta non autorizzato – per spiarla;
  • il dipendente accede al database aziendale: si pensi al dipendente di una banca, in possesso dei dati di accesso all’archivio dei clienti, che tuttavia vi acceda per soddisfare curiosità personali o di terzi che nulla hanno a che vedere con i propri compiti lavorativi;
  • il consulente controlli la posta del cliente: si pensi al commercialista che, avendo avuto dal proprio cliente il mandato ad aprirgli un account di posta elettronica certificata e, pertanto, essendo a conoscenza della relativa password, successivamente vi acceda pur non essendo stato a ciò autorizzato dal legittimo titolare; si pensi anche al consulente social media marketing che, per soddisfare una curiosità personale, legga i messaggi in direct del proprio cliente;
  • il funzionario controlli gli archivi della Pubblica Amministrazione: si pensi ad una persona che, abusando della qualità di pubblico ufficiale appartenente alla Guardia di Finanza, acceda nei sistemi informatici dell’Anagrafe Tributaria e dell’Aci, impossessandosi di migliaia di notizie relative alla sfera privata e reddituale di superiori e colleghi di grado diverso ma anche del vicino di casa. 

Insomma, secondo l’orientamento della Cassazione, il reato di utilizzo di credenziali altrui (o, meglio detto, di «accesso abusivo a sistema informatico») è integrato in tre ipotesi:

  • quando c’è il furto delle credenziali di accesso altrui, anche acquisito attraverso l’ausilio di software spia; si pensi a chi apre il computer del collega di ufficio che ha l’abilitazione a banche dati a cui lui non potrebbe invece accedere;
  • quando l’autore del crimine, pur astrattamente abilitato all’accesso, non è autorizzato in concreto a consultare le banche dati del sistema informatico (ipotesi di assenza del potere); si pensi a colui che, pur potendo accedere a una sezione di una banca dati, verifica anche ulteriori dati che non potrebbe vedere o utilizzare; 
  • quando l’accesso sia eseguito per ragioni estranee a quelle per le quali è attribuita la facoltà (ipotesi di sviamento del potere, che presuppone la sussistenza del potere di accedere al sistema informatico)». 

Secondo l’interpretazione giurisprudenziale della Cassazione, integra il reato di accesso abusivo colui che – pur essendo abilitato – acceda o si mantenga in un sistema informatico protetto violando le condizioni ed i limiti risultanti dalle prescrizioni impartite dal titolare del sistema per delimitarne oggettivamente l’accesso. Rimangono invece irrilevanti, per la sussistenza del reato, gli scopi e le finalità che abbiano soggettivamente motivato l’ingresso nel sistema e restando irrilevante anche il fatto che l’imputato non abbia forzato il sistema, né carpito fraudolentemente password altrui.  


note

[1] Cass. pen., sez. V, ud. 30 aprile 2021 (dep. 6 luglio 2021), n. 19186.

Cass. pen., sez. V, ud. 30 aprile 2021 (dep. 6 luglio 2021), n. 19186

Presidente Pezzullo – Relatore Riccardi

Ritenuto in fatto

1. Con sentenza emessa il 13/12/2019 la Corte di Appello di Torino ha confermato l’affermazione di responsabilità pronunciata dal Tribunale di Aosta il 03/10/2018 nei confronti di M.M. per i reati di cui all’art. 615 ter c.p., commi 1, 2 nn. 1 e 3, (capo 1) e art. 361 c.p., comma 2, per essersi introdotto, abusando della qualità di pubblico ufficiale appartenente alla Guardia di Finanza di Aosta, nei sistemi informatici della Anagrafe Tributaria e dell’ACI, impossessandosi di migliaia di notizie concernenti la sfera privata di superiori e colleghi di grado, e per avere redatto più scritti anonimi indirizzati alla Procura Militare di (…) con cui attribuiva ai colleghi – il Capitano R.O. , il Mar. V.C. e il Mar. D. – reati di peculato e falso, omettendo di darne immediata comunicazione all’A.G.. 2. Avverso tale sentenza ha proposto ricorso per cassazione il difensore di M.M. , Avv. Andrea Bertolino, che ha dedotto i seguenti motivi, qui enunciati, ai sensi dell’art. 173 disp. att. c.p.p., nei limiti strettamente necessari per la motivazione. 2.1. Con il primo motivo deduce la violazione di legge ed il vizio di motivazione in relazione al reato di cui all’art. 615 ter c.p.. Sotto un primo profilo deduce che la Corte territoriale non abbia affrontato la questione dedotta con l’atto di appello concernente il mutamento sfavorevole della giurisprudenza in materia di accesso abusivo a sistema informatico: invero, i fatti contestati al M. riguardano un periodo che va dal 2013 al 16 giugno 2017, mentre la sentenza ‘Savaresé delle Sezioni Unite risale all’8 settembre 2017, allorquando le condotte abusive contestate all’imputato si erano ormai completamente definite; l’intera condotta contestata al Brig. M. riguarda, dunque, comportamenti che all’epoca non costituivano reato ai sensi dell’interpretazione giurisprudenziale affermata dalla Corte di Cassazione; infatti, M. non ha mai operato una forzatura del sistema per entrarvi, in quanto il brigadiere era accreditato, e pertanto autorizzato con specifiche abilitazioni concesse dai comandanti di reparto in relazione alle funzioni ricoperte ad accedere alla banca dati per effettuare aggiornamento schedari. Il M. , dunque, non ha mai carpito abusivamente password o credenziali da soggetti terzi e non ha mai utilizzato i dati acquisiti per altre finalità, come del resto evidenziato dalla assoluzione dal reato di utilizzazione di segreti d’ufficio contestato al capo 2. L’imputato ha operato nel rispetto di quei parametri che la giurisprudenza costante non riconosceva all’epoca come reato; la condotta del M. è pacificamente da ricondurre interamente ad un orientamento giurisprudenziale consolidato e definito al momento della cessazione della condotta abusiva e non era ragionevolmente prevedibile che l’interpretazione della norma penale potesse mutare in senso sfavorevole. Deduce al riguardo una violazione dell’art. 7 CEDU per l’applicazione del mutamento sfavorevole della giurisprudenza. Sotto altro profilo deduce la violazione di legge in relazione alla nozione di sistema protetto di cui all’art. 615 ter c.p.: in particolare sostiene che i numerosi accessi contestati presso la banca dati dell’ACI non potessero essere ritenuti abusivi in quanto i dati degli intestatari dei veicoli sono pubblici ed è consentito a qualsivoglia soggetto terzo, previo il pagamento di una somma, poter accedere al registro ACI. Il problema non è il fatto che il M. abbia fatto accesso al sistema dell’ACI evitando di pagare l’irrisoria somma che invece avrebbe dovuto versare qualora avesse fatto accesso da privato, ma che il sistema informatico ACI è un sistema aperto, e quindi non protetto, sicché non consente la possibilità di contestare il reato di cui all’art. 615 ter, non essendo necessaria alcuna forzatura o particolari qualifiche per poter prendere visione del proprietario di un autoveicolo o motoveicolo, ed essendo sufficiente pagare un diritto di accesso. Sotto un terzo profilo deduce il vizio di motivazione in relazione alla corretta individuazione del numero di accessi abusivi operati dall’imputato: sostiene che la sentenza di impugnata abbia individuato 1968 accessi abusivi, mentre il CD ROM acquisito contenente il numero preciso dell’elenco degli accessi abusivi al sistema informatico indica 770 accessi; il vizio logico avrebbe dispiegato effetti sul trattamento sanzionatorio, in quanto rapportato al numero degli accessi abusivi contestati. 2.2. Con un secondo motivo deduce la violazione di legge in relazione all’art. 361 c.p., comma 2: sostiene che il reato sussista soltanto quando il pubblico ufficiale abbia appreso con certezza la sussistenza di un reato, ed ometta o ritardi denunciare tali circostanze alle competenti autorità, incorrendo altrimenti nella contestazione di calunnia; nel caso di specie, il M. non poteva avere certezza assoluta sulla sussistenza di comportamenti delittuosi posti in essere da suoi superiori o colleghi della Guardia di finanza, trattandosi di meri sospetti non confermati dai dati certi; sicché il ricorrente si è limitato semplicemente a fare una segnalazione, ma non gli si può contestare che in quel momento fosse giuridicamente obbligato a presentare una denuncia ai sensi dell’art. 361 c.p..

Considerato in diritto

1. Il ricorso è inammissibile. 2. Il primo motivo è manifestamente infondato. 2.1. Con riferimento al primo profilo di doglianza, è assorbente rilevare che la condotta criminosa accertata, per le sue connotazioni abusive, sarebbe stata penalmente rilevante anche alla stregua dell’orientamento giurisprudenziale precedente alla sentenza ‘Savaresé delle Sezioni Unite. Invero, le Sezioni Unite ‘Casanì avevano affermato il principio secondo cui integra il delitto previsto dall’art. 615 ter c.p., colui che, pur essendo abilitato, acceda o si mantenga in un sistema informatico o telematico protetto violando le condizioni ed i limiti risultanti dal complesso delle prescrizioni impartite dal titolare del sistema per delimitarne oggettivamente l’accesso, rimanendo invece irrilevanti, ai fini della sussistenza del reato, gli scopi e le finalità che abbiano soggettivamente motivato l’ingresso nel sistema (Sez. U, n. 4694 del 27/10/2011, dep. 2012, Casani, Rv. 251269). Nel caso in esame, è stato accertato che M. , abusando della password e della matricola meccanografica a lui assegnate in qualità di militare della Guardia di Finanza, accedeva alle banche dati della Guardia di Finanza (Anagrafe Tributaria, ACI), ma senza alcuna autorizzazione, e senza che ricorresse alcuna ragione di servizio, in quanto, non essendo egli assegnato a funzioni operative, non era legittimato ad accedere ad alcuna banca dati. L’assenza di autorizzazione ad accedere alle banche dati – requisito propedeutico alla stessa assenza di ragioni di servizio – preclude qualsivoglia rilevanza al “mutamento giurisprudenziale” affermatosi con la sentenza “Savarese” delle Sezioni Unite, secondo cui integra il delitto previsto dall’art. 615 ter c.p., comma 2, n. 1, la condotta del pubblico ufficiale o dell’incaricato di un pubblico servizio che, pur essendo abilitato e pur non violando le prescrizioni formali impartite dal titolare di un sistema informatico o telematico protetto per delimitarne l’accesso, acceda o si mantenga nel sistema per ragioni ontologicamente estranee rispetto a quelle per le quali la facoltà di accesso gli è attribuita (Sez. U, n. 41210 del 18/05/2017, Savarese, Rv. 271061, che ha ritenuto immune da censure la condanna di un funzionario di cancelleria, il quale, sebbene legittimato ad accedere al Registro informatizzato delle notizie di reato – c.d. Re.Ge. – conformemente alle disposizioni organizzative della Procura della Repubblica presso cui prestava servizio, aveva preso visione dei dati relativi ad un procedimento penale per ragioni estranee allo svolgimento delle proprie funzioni, in tal modo realizzando un’ipotesi di sviamento di potere). Invero, la sentenza ‘Savaresé ha affermato la rilevanza penale della condotta abusiva ai casi di sviamento del potere, in cui l’accesso avvenga ad opera di chi, pur abilitato e pur non violando le prescrizioni formali, si introduca nel sistema informatico per ragioni estranee a quelle per le quali gli è attribuita la facoltà. Nel caso in esame, invece, oltre alle ragioni estranee – alle quali ha attribuito rilevanza la sentenza “Savarese” -, non ricorre il requisito dell’autorizzazione ad accedere alle banche dati, in quanto l’imputato, pur astrattamente abilitato, in ragione del possesso della password e della matricola meccanografica, non era autorizzato a consultare le banche dati in dotazione della Guardia di Finanza, non essendo assegnato a compiti operativi (ipotesi di assenza del potere): invero, lo sviamento del potere presuppone la sussistenza del potere di accedere al sistema informatico; e tale potere di accesso non era riconosciuto all’imputato. Va dunque affermato il seguente principio di diritto: “In tema di accesso abusivo a sistema informatico, il reato di cui all’art. 615 ter c.p., è integrato non soltanto quando non ricorre il requisito dell’autorizzazione ad accedere alle banche dati, in quanto l’autore, pur astrattamente abilitato all’accesso, non è autorizzato in concreto a consultare le banche dati del sistema informatico (ipotesi di assenza del potere), ma altresì quando l’accesso sia eseguito per ragioni estranee a quelle per le quali gli è attribuita la facoltà (ipotesi di sviamento del potere, che presuppone la sussistenza del potere di accedere al sistema informatico)”. Pertanto, la fattispecie rientra nell’ambito dell’interpretazione, precedente alla sentenza ‘Savaresé, che attribuiva rilevanza alla sola assenza del potere, secondo cui integra il reato colui che, pur essendo abilitato, acceda o si mantenga in un sistema informatico o telematico protetto violando le condizioni ed i limiti risultanti dal complesso delle prescrizioni impartite dal titolare del sistema per delimitarne oggettivamente l’accesso, rimanendo invece irrilevanti, ai fini della sussistenza del reato, gli scopi e le finalità che abbiano soggettivamente motivato l’ingresso nel sistema (Sez. U, n. 4694 del 27/10/2011, dep. 2012, Casani, Rv. 251269), restando irrilevante che l’imputato non abbia forzato il sistema, nè carpito fraudolentemente password altrui, trattandosi di condotta che avrebbe integrato l’ulteriore reato di cui all’art. 615 quater c.p.. 2.1.1. Peraltro, anche la doglianza con cui si sostiene la irretroattività del mutamento sfavorevole di giurisprudenza è manifestamente infondata. Nel rammentare che la Corte Costituzionale, con la sentenza n. 230 del 2012, sia pur con riferimento al mutamento giurisprudenziale (c.d. overruling) favorevole, nell’affermare la refrattarietà del principio dell’intangibilità del giudicato, ha evidenziato i caratteri propri della ‘legalità costituzionalè e le sue differenze rispetto alla c.d. ‘legalità convenzionalè, va osservato che questa Corte, proprio con riferimento ad una fattispecie in tema di accesso abusivo ad un sistema informatico, ha escluso la sussistenza di un “overruling” ad opera della sentenza delle Sezioni unite “Savarese” e la conseguente violazione dell’art. 7 CEDU, chiarendo che non sussiste la violazione dell’art. 7 CEDU – così come conformemente interpretato dalla giurisprudenza della Corte EDU – qualora l’interpretazione della norma incriminatrice applicata al caso concreto sia ragionevolmente prevedibile nel momento in cui la violazione è stata commessa, atteso che l’irretroattività del mutamento giurisprudenziale sfavorevole presuppone il ribaltamento imprevedibile di un quadro giurisprudenziale consolidato (c.d. “overruling”) (Sez. 5, n. 47510 del 09/07/2018, Dilaghi, Rv. 274406); invero, in tema di successione di leggi penali nel tempo, l’art. 7 della Convenzione Europea dei Diritti dell’Uomo – così come interpretato dalla giurisprudenza della Corte EDU – non consente l’applicazione retroattiva dell’interpretazione giurisprudenziale più sfavorevole di una norma penale solo quando il risultato interpretativo non era ragionevolmente prevedibile nel momento in cui la violazione è stata commessa (Sez. 5, n. 37857 del 24/04/2018, Fabbrizzi, Rv. 273876, con riferimento ad una fattispecie di accesso abusivo ad un sistema informatico, nella quale la Corte ha ritenuto insussistente la violazione dei principi convenzionali in relazione all’overruling operato dalle Sezioni Unite in epoca successiva alla condotta). 2.2. La seconda doglianza, con cui si sostiene il carattere aperto della banca dati ACI, è manifestamente infondata. Giova premettere che integra il delitto di introduzione abusiva in un sistema informatico o telematico l’accesso ad un sistema che sia protetto da un dispositivo costituito anche soltanto da una parola chiave (cosiddetta “password”) (Sez. 2, n. 36721 del 21/02/2008, Buraschi, Rv. 242084), rilevando la condotta di colui che acceda o si mantenga in un sistema informatico o telematico protetto, violando le condizioni ed i limiti risultanti dal complesso delle prescrizioni impartite dal titolare dell’elaboratore per delimitarne oggettivamente l’accesso (Sez. 2, n. 52680 del 20/11/2014, Morleo, Rv. 261548). Nel caso in esame, il servizio di consultazione della banca dati ACI è rilasciato alle pubbliche amministrazioni, ai concessionari di pubblici servizi, agli enti e/o soggetti in possesso di specifici requisiti (enti territoriali, enti pubblici, forze di polizia, ecc.); la banca dati ACI è sì consultabile da un privato, ma, per delimitarne oggettivamente l’accesso, il servizio è condizionato al pagamento di una tariffa; l’accesso dell’imputato alla banca dati ACI non è tuttavia avvenuto in qualità di privato, previo pagamento della tariffa – che ne delimita oggettivamente l’accesso – alla quale è condizionata la fruizione del servizio di consultazione, bensì quale pubblico ufficiale, che ha consultato abusivamente la banca dati dalla postazione di servizio della Guardia di Finanza, sfruttando la gratuità del servizio riconosciuto al Corpo militare, in assenza di autorizzazione, e violando le condizioni e i limiti risultanti dal complesso delle prescrizioni impartite dal titolare dell’elaboratore per delimitarne oggettivamente l’accesso. 2.3. Il terzo profilo di doglianza, concernente il numero degli accessi abusivi, oltre ad essere privo di concreto rilievo ai fini della qualificazione della fattispecie concreta, è del tutto generico, in quanto si limita a sostenere che il CD ROM acquisito agli atti indicherebbe soltanto 770 accessi, anziché 1968, come affermato nella sentenza impugnata; tuttavia, omette di assolvere all’onere di specificità del motivo, non allegando neppure (quanto meno) un estratto del documento rilevante, e non si confronta con la sentenza impugnata, che, nel motivare sulla medesima censura proposta in appello, ha chiarito che il riferimento a 844 persone oggetto di accessi abusivi era contenuto, secondo l’allegazione difensiva, nella CNR, atto estraneo al fascicolo dibattimentale, e dunque inutilizzabile, e che, al contrario, erano stati accertati ben 1968 accessi al sistema informatico dell’Anagrafe Tributaria nel periodo dal 1.1.2012 al 20.7.2017 oggetto di monitoraggio, esclusi, dunque, gli accessi eseguiti nel breve periodo (circa 8 mesi) in cui M. era stato autorizzato, in quanto assegnato allo schedario del Comando Regionale. 3. Il secondo motivo, concernente il delitto di omessa denuncia, è manifestamente infondato, oltre che generico. È infatti consolidato l’insegnamento di questa Corte secondo cui integra il delitto di omessa denuncia di reato di cui all’art. 361 c.p., la condotta del pubblico ufficiale che ometta, ovvero ritardi, la denuncia di un reato perseguibile d’ufficio, quando egli è in grado di individuarne gli elementi ed acquisire ogni altro dato utile per la formazione della denuncia stessa (Sez. 6, n. 49833 del 03/07/2018, Pesci, Rv. 274310; Sez. 6, n. 27508 del 07/05/2009, Rizzo, Rv. 244528); l’omissione o il ritardo del pubblico ufficiale nel denunciare i fatti di reato idonei ad integrare il delitto di cui all’art. 361 c.p., si verifica solo quando il p.u. sia in grado di individuare, con sicurezza, gli elementi di un reato, mentre, qualora egli abbia il semplice sospetto di una possibile futura attività illecita, deve, ricorrendone le condizioni, semplicemente adoperarsi per impedire l’eventuale commissione del reato ma non è tenuto a presentare denuncia (Sez. 5, n. 26081 del 04/04/2008, Martinelli, Rv. 241165). Ciò posto, l’esposto anonimo inviato dal M. alla Procura Militare competente, lungi dall’esporre un “mero sospetto” che un suo superiore e altri colleghi della Guardia di Finanza realizzassero condotte illecite o scorrette, aveva descritto in modo preciso e dettagliato i comportamenti illeciti di V. , R. e D. , denunciando che il V. , in orario di servizio e con autovetture militari, aveva accompagnato il Cap. R. e il Mar. D. a Torino per sostenere esami universitari, aveva indebitamente usufruito di ore di straordinario, si era indebitamente assentato dal servizio, indicando dettagliatamente i giorni, i luoghi e le condotte poste in essere, nonché le fonti di prova; pertanto, il contenuto dell’esposto anonimo era perfettamente sovrapponibile a quello di una denuncia ex art. 331 c.p.p., che il M. , pur essendovi obbligato, non aveva mai inviato, nè al proprio superiore, nè all’A.G. competente. 4. Alla declaratoria di inammissibilità del ricorso consegue la condanna al pagamento delle spese processuali e la corresponsione di una somma di denaro in favore della Cassa delle Ammende, somma che si ritiene equo determinare in Euro 3.000,00, nonché alla rifusione delle spese di rappresentanza e difesa sostenute nel presente giudizio dalle parti civili costituite che vanno liquidate in complessivi Euro 5000,00, oltre accessori di legge.

P.Q.M.

Dichiara inammissibile il ricorso e condanna il ricorrente al pagamento delle spese del procedimento e della somma di Euro 3.000,00 in favore della Cassa delle Ammende. Condanna, inoltre, l’imputato alla rifusione delle spese di rappresentanza e difesa sostenute nel presente giudizio dalle parti civili costituite che liquida in complessivi Euro 5000,00 oltre accessori di legge.


Sostieni LaLeggepertutti.it

La pandemia ha colpito duramente anche il settore giornalistico. La pubblicità, di cui si nutre l’informazione online, è in forte calo, con perdite di oltre il 70%. Ma, a differenza degli altri comparti, i giornali online non hanno ricevuto alcun sostegno da parte dello Stato. Per salvare l'informazione libera e gratuita, ti chiediamo un sostegno, una piccola donazione che ci consenta di mantenere in vita il nostro giornale. Questo ci permetterà di esistere anche dopo la pandemia, per offrirti un servizio sempre aggiornato e professionale. Diventa sostenitore clicca qui

Lascia un commento

Usa il form per discutere sul tema (max 1000 caratteri). Per richiedere una consulenza vai all’apposito modulo.

 


NEWSLETTER

Iscriviti per rimanere sempre informato e aggiornato.

CERCA CODICI ANNOTATI

CERCA SENTENZA

Canale video Questa è La Legge

Segui il nostro direttore su Youtube