Backup non autorizzato dei dati aziendali: quali conseguenze penali?
Il socio che si introduce nel sistema informatico aziendale e si appropria di dati in esso contenuti in vista dell’avvio di un’attività professionale autonoma commette il reato di Accesso abusivo ad un sistema informatico o telematico previsto dall’art. 615 ter del Codice Penale.
Tale fattispecie punisce con la reclusione fino a tre anni chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo.
È quanto stabilito dalla V Sezione penale della Corte di Cassazione che, con sentenza n. 34296 depositata lo scorso 2 dicembre, ha enunciato il principio secondo cui risponde del reato informatico non solo il soggetto non autorizzato che si introduca o si mantenga in un sistema informatico o telematico protetto, ma anche colui che, pur essendo abilitato, “ponga in essere operazioni di natura ontologicamente diversa da quelle di cui sarebbe stato incaricato ed in relazione alle quali l’accesso è a lui consentito, con ciò venendo meno il titolo legittimante l’accesso e la permanenza nel sistema”.
Nel caso in esame, l’imputato era stato condannato in primo ed in secondo grado per essersi introdotto nel sistema informatico di alcune società di cui era socio ed aver effettuato il backup dei dati per ragioni non collegate alla propria carica. La difesa aveva proposto impugnazione ritenendo che comunque il socio fosse abilitato ad accedere al sistema, tanto più che legittimamente ne possedeva le chiavi di accesso.
La Cassazione, tuttavia, non condivide le argomentazioni difensive e ricorda che, ai fini della configurabilità dell’illecito, è decisiva la finalità perseguita dall’agente, dal momento che l’accesso “mai può essere esercitato in contrasto con gli scopi che sono a base dell’attribuzione del potere, nonché, com’è stato già rimarcato, in contrasto con le regole dettate dal titolare o dall’amministratore del sistema”.
Il diritto di accesso ai dati informatici, infatti, era stato riconosciuto all’imputato “per il perseguimento degli scopi propri dell’associazione e della società personale, per cui l’aver acceduto a quei sistemi per estrapolarne i dati in esso contenuti e servirsene per finalità esclusive concreta un accesso abusivo sanzionabile”.
Tali principi, precisa la Cassazione, trovano applicazione non solo ai soggetti privati, come nel caso di specie, allorché operino in un contesto da cui derivino obblighi e limiti strumentali alla comune fruizione dei dati contenuti nei sistemi informatici, ma anche ai pubblici dipendenti, obbligati ad agire nell’interesse del corretto funzionamento e dell’imparzialità della Pubblica Amministrazione.