14 Gennaio 2019

Hackeraggio del dipendente

La Cassazione con la sentenza del 25 ottobre 2018, n. 48895/2018, ha ribadito che l’accesso abusivo a sistema informatico, integrativo del reato di cui all’art. 615-ter c.p., è configurabile in capo a colui che, pur essendo abilitato, acceda o si mantenga nel sistema protetto, violando le condizioni risultanti dal complesso delle prescrizioni impartite dal titolare del sistema per delimitarne oggettivamente l’ingresso e l’impiego.
Anche in ambito lavorativo e aziendale, i parametri ai quali bisogna far riferimento sono i limiti dell’autorizzazione di accesso, quali derivanti e ricavabili dalle competenze e funzioni proprie del dipendente, ed è penalmente rilevante l’utilizzo del sistema ogni volta in cui risulti estraneo alla ragione dell’incarico assegnato e del conferimento del relativo potere al lavoratore, indipendentemente dalla sussistenza o meno di un’area riservata e a lui interdetta o di password, e quindi a prescindere dalla materiale possibilità di accedere a tutti i dati.
Già la Cassazione penale, sez. un., 18 maggio 2017, n. 41210 aveva affermato che integra il delitto previsto dall’art. 615 ter, comma 2, n. 1, c.p. la condotta del pubblico ufficiale o dell’incaricato di un pubblico servizio che, pur essendo abilitato e pur non violando le prescrizioni formali impartite dal titolare di un sistema informatico o telematico protetto per delimitarne l’accesso, acceda o si mantenga nel sistema per ragioni ontologicamente estranee rispetto a quelle per le quali la facoltà di accesso gli è attribuita (si trattava di un funzionario di cancelleria, che, legittimato ad accedere al Registro informatizzato delle notizie di reato in conformità alle disposizioni organizzative della Procura della Repubblica presso cui prestava servizio, aveva preso visione dei dati relativi ad un procedimento penale per ragioni estranee allo svolgimento delle proprie funzioni, in tal modo realizzando un’ipotesi di sviamento di potere).
Anche Cassazione penale, sez. V, 26 ottobre 2016, n. 14546 ha ritenuto ai fini della configurabilità del delitto di cui all’art. 615 ter c.p., da parte colui che, pur essendo abilitato, acceda o si mantenga in un sistema informatico o telematico protetto, violando le condizioni e i limiti risultanti dal complesso delle prescrizioni impartite dal titolare del sistema per delimitarne oggettivamente l’accesso, è necessario verificare se il soggetto, ove normalmente abilitato ad accedere nel sistema, vi si sia introdotto o mantenuto appunto rispettando o meno le prescrizioni costituenti il presupposto legittimante la sua attività, giacché il dominus può apprestare le regole che ritenga più opportune per disciplinare l’accesso e le conseguenti modalità operative, potendo rientrare tra tali regole, ad esempio, anche il divieto di mantenersi all’interno del sistema copiando un file o inviandolo a mezzo di posta elettronica, incombenza questa che non si esaurisce nella mera pressione di un tasto ma è piuttosto caratterizzata da una apprezzabile dimensione cronologica.
Sono molte le pronunzie che sul tema hanno sempre espresso la coerenza dei principi all’applicazione delle funzioni, come è stato in materia di accesso abusivo all’altrui casella di posta elettronica; l’accesso realizzato usando la «parola chiave» o altrimenti eseguendo la procedura di autenticazione, abbia a superare le misure di sicurezza apposte dal titolare per selezionare gli accessi e per tutelare la banca dati memorizzata all’interno del sistema centrale ovvero vi si mantiene eccedendo i limiti dell’autorizzazione ricevuta; un soggetto, che pur essendo abilitato, violi le condizioni ed i limiti risultanti dal complesso delle prescrizioni impartite dal titolare del sistema per delimitare oggettivamente l’accesso. Non hanno rilievo, invece, per la configurazione del reato, gli scopi e le finalità che soggettivamente hanno motivato l’ingresso nel sistema; o ancora il fatto che il sistema violato sia di interesse pubblico, è configurabile anche quando lo stesso appartiene ad un soggetto privato cui è riconosciuta la qualità di concessionario di pubblico servizio, seppur limitatamente all’attività di rilievo pubblicistico che il soggetto svolge, quale organo indiretto della p.a., per il soddisfacimento di bisogni generali della collettività, e non anche per l’attività imprenditoriale esercitata, per la quale, invece, il concessionario resta un soggetto privato; ancora deve ritenersi che sussista la condizione qualora risulti che l’agente sia entrato e si sia trattenuto nel sistema informatico per duplicare indebitamente informazioni commerciali riservate; e ciò a prescindere dall’ulteriore scopo costituito dalla successiva cessione di tali informazioni ad una ditta concorrente.

(Visited 1 times, 5 visits today)