IL REATO DI ACCESSO E TRATTENIMENTO ABUSIVI NEL SISTEMA INFORMATICO E LA RESPONSABILITA AMMINISTRATIVA DELLE PERSONE GIURIDICHE

Transcript

1 La responsabilità amministrativa delle società e degli enti 57 IL REATO DI ACCESSO E TRATTENIMENTO ABUSIVI NEL SISTEMA INFORMATICO E LA RESPONSABILITA AMMINISTRATIVA DELLE PERSONE GIURIDICHE Dr. Ciro Santoriello, Sostituto Procuratore della Repubblica presso il Tribunale di Pinerolo Dr. Giuseppe Dezzani, Consulente Informatico Forense 1. Come è noto, corrispondendo ad una puntuale indicazione contenuta nella Convenzione di Budapest, la legge 48/2008 ha esteso l ambito di applicazione del sistema normativo in tema di responsabilità da reato degli enti e delle società alle ipotesi in cui, nell interesse o a vantaggio della persona giuridica, sia stato commesso un delitto informatico ed in particolare uno fra i reati disciplinati dagli artt. 491-bis (falsità in documenti informatici), 615-ter (accesso abusivo ad un sistema informatico o telematico), 615-quater (detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici), 615-quinquies (diffusione di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico), 617-quater (intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche), 617-quinquies (installazione di apparecchiature atte ad intercettare, impedire od interrompere comunicazioni informatiche o telematiche), 635-bis (danneggiamento di informazioni, dati e programmi informatici), 635-ter (danneggiamento di informazioni, dati e programmi informatici utilizzati dallo Stato o da altro ente pubblico o comunque di pubblica utilità), 635-quater (danneggiamento di sistemi informatici o telematici), 635-quinquies (danneggiamento di sistemi informatici o telematici di pubblica utilità) e 640-quinquies (frode informatica del soggetto che presta servizi di certificazione di firma elettronica) c.p. (cfr. art. 24-bis, d.lgs. 231/2001). Con questa previsione viene colmata una grave lacuna, giacché in precedenza, solo per pochissimi reati informatici era configurabile la responsabilità amministrativa degli enti - in particolare il richiamo era operato al solo reato di frode informatica di cui all art. 640-ter c.p. se commesso a danno dello Stato o di altro ente pubblico (art. 24, d.lgs. 231/2001), nonché ai reati di commercio di materiale pedopornografico in rete e pedopornografia virtuale di cui agli artt. 600-ter, 600-quater e 600-quater..1 c.p. (art. 25-quinquies d.lgs. 231/2001) 1. 1 Per approfondimenti in proposito, cfr. SANTORIELLO, I reati informatici dopo le modifiche apportate dalla legge 48/2008 e la responsabilità degli enti, in questa Rivista, , p. 211.

2 58 La responsabilità amministrativa delle società e degli enti 2. Il reato di accesso abusivo ad un sistema informatico o telematico. Profili generali e tecnici Fra i diversi illeciti che possono determinare la responsabilità dell ente collettivo un ruolo centrale è rivestito dal delitto di accesso abusivo ad un sistema informatico o telematico disciplinato dall art. 615-ter c.p. - introdotto dalla legge 23 dicembre 1993 n. 547 e non modificato dalla legge di ratifica della Convenzione di Budapest -, che punisce chi abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo. Il bene giuridico tutelato dal reato è, secondo l opinione prevalente, la riservatezza informatica, ovvero, più precisamente, il domicilio informatico inteso quale spazio fisico ed ideale che è di pertinenza della sfera individuale personale tutelata dalla Costituzione, con riferimento a dati di carattere sia personale che patrimoniale 2. In realtà ci pare possa più propriamente parlarsi di un reato plurioffensivo, posto che mediante la protezione del domicilio informatico vengono a tutelarsi un insieme di interessi eterogenei che possono fare capo al titolare del sistema e ricevere pregiudizio dalla condotta aggressiva: si pensi all interesse squisitamente personale di non subire intrusioni nella propria sfera di riservatezza, all interesse patrimoniale correlato alla apprensione dei dati riservati ovvero pregiudicato dall avvenuto danneggiamento del sistema (cfr. l aggravante di cui al comma 2, n. 3, dell art. 615-ter c.p.), agli interessi militari o sanitari correlati alle specifiche qualità del titolare del sistema (cfr. l aggravante di cui al comma 3 dell art. 615-ter c.p.), ecc.. Va detto peraltro che, ai fini della sussistenza del reato, non occorre che la condotta illecita leda effettivamente tali interessi ulteriori facenti capo alla predetta nozione di domicilio informatico posto che il legislatore ha posto la soglia di punibilità al livello della semplice condotta di abusiva introduzione ovvero di indebito trattenimento nel sistema informatico, derivandone la sussistenza del reato quando vi è stata l abusiva introduzione nel sistema ovvero si è realizzato l indebito trattenimento pur se queste attività non si siano risolte e neppure siano state finalizzate, all acquisizione e/o alla duplicazione di informazioni o dati riservati: dunque, a fronte di un accesso o di un trattenimento il reato è sicuramente ravvisabile, risultando irrilevante lo scopo particolare che pure possa avere mosso l agente 3. La condotta di accesso o di trattenimento deve insistere su un sistema informatico o telematico protetto da misure di sicurezza, ovvero su un complesso di apparecchiature destinate a compiere una qualsiasi funzione utile all uomo, attraverso l utilizzazione di tecnologie informatiche caratterizzate dalla registrazione o memorizzazione - per mezzo di impulsi elettronici, su supporti adeguati - di dati - in sostanza, rientra 2 Cfr., efficacemente, Cass., Sez. VI, 4 ottobre 1999, PM e Piersanti, in Foro it., 2000, II, 133; Cass., Sez. V, 30 settembre 2008, Romano, in Mass. Uff In dottrina, AMATO - DESTITO - DEZZANI - SANTORIELLO, Il diritto penale dell informatica, Padova 2010, p Cfr., Cass., Sez. V, 6 febbraio 2007, Cerbone, in Mass. Uff , per la quale il reato de quo si consuma con la violazione del domicilio informatico, senza che sia necessario che l intrusione sia effettuata allo scopo di insidiare la riservatezza dei legittimi utenti e che si verifichi una effettiva lesione alla stessa: proprio da queste premesse, pur non essendovi stata alcuna cognizione di dati riservati, il reato è stato ravvisato in una fattispecie in cui gli imputati si erano abusivamente introdotti in una centrale telefonica, non appunto per acquisire dati riservati, ma solo per fini strettamente patrimoniali, avendo provveduto abusivamente ad allacciarsi a numerose linee di utenti privati, dalle quali avevano effettuate delle telefonate ad utenze caratterizzate dal codice 899, con conseguente notevole addebito di denaro in danno degli inconsapevoli titolari di dette utenze.

3 La responsabilità amministrativa delle società e degli enti 59 nella nozione di sistema informatico qualsiasi apparato elettronico in grado di elaborare automaticamente dati attraverso l impiego di programmi, più o meno sofisticati, fornendo in tal modo una qualche utilità all utente 4 -, mentre per sistema telematico si deve intendere qualsiasi rete di telecomunicazione sia pubblica che privata, locale, nazionale o internazionale, operante da o per l Italia. Per la configurabilità del reato il sistema informatico o telematico deve essere protetto da misure di sicurezza 5, non essendo sufficiente che si sia verificata una qualsivoglia connessione fisica o logica on line tra computers ed operatore, laddove non si sia determinato il superamento di specifiche misure di protezione 6 - nel cui ambito, è bene precisare, rientrano anche mere misure di carattere organizzativo che si limitano a disciplinare le modalità di accesso ai locali in cui il sistema è ubicato e indichino le persone abilitate al suo utilizzo 7, come la sistemazione dell impianto all interno di un locale munito di serrature, la prescrizione di un codice di accesso e l esclusione al personale impiegatizio, attraverso la rete interna del sistema, dall accesso ai comandi centrali per intervenire sui dati, ed altri simili accorgimenti 8. In sostanza, per considerare il sistema come protetto ai fini dell applicazione della norma in parola, è sufficiente una qualsiasi forma di sbarramento atta ad impedire il libero accesso di terzi, rilevando a tal fine non solo le protezioni interne al sistema informatico ma anche le protezioni esterne (ad es., la custodia degli impianti), e ciò senza che si possa porre un problema di apprezzamento in concreto dell idoneità di tali cautele a garantire effettivamente la riservatezza del sistema, poiché la norma non fa alcun riferimento all idoneità al conseguimento dello scopo perseguito 9 e senza che sia neanche necessario che le misure di sicurezza siano attive, essendo sufficiente la sola predisposizione delle stesse, idonee a rendere chiaro l esercizio dello ius excludendi da parte dell avente diritto 10. In ogni caso, ai fini della configurabilità del reato di cui all art. 615-ter c.p. - e non di della generale fattispecie incriminatrice della violazione di domicilio di cui all art. 614 c.p. - si deve pur sempre trattare di misure fisiche che afferiscano alle modalità di utilizzazione del sistema, come, ad esempio, le misure organizzative all interno di un azienda che prevedano un badge per accedere nell area ove si trovano i computers, 4 PICA, Reati informatici e telematici (aggiornamento), in Digesto pen., Torino, 2000, p In proposito si veda anche l art. 1 della Convenzione di Budapest del 23 novembre 2001 sulla criminalità informatica, dove, per tale, si indica qualsiasi apparecchiatura o rete di apparecchiature interconnesse o collegate, una o più delle quali, attraverso l esecuzione di un programma per elaboratore, compiono l elaborazione automatica di dati. 5 Tanto è vero che la giurisprudenza esclude la configurabilità del reato de quo a carico di colui che, senza avere concorso nell accesso abusivo con la correlata neutralizzazione delle misure di protezione, si sia limitato a prendere visione dei dati ormai non più riservati perché trasferiti in un area del sistema ove poteva legittimamente accedere: Cass., Sez. V, 4 dicembre 2006, parte civile Bertolini in proc. Lo Tesoriere, in Cass. pen., 2008, p Sul punto, con particolare chiarezza, Cass., Sez. VI, 27 ottobre 2004 n , reperibile sul sito internet, www. penale.it, laddove, in una fattispecie relativa al contestato accesso abusivo nel sistema informatico/telematico di un Comune, avvenuta allo scopo di accedere ad un collegamento alla rete Internet per finalità personali e senza che vi fosse un abbonamento, si è esclusa la sussistenza del reato proprio sul rilievo assorbente che il sistema informatico non risultava obiettivamente protetto da misure di sicurezza; mentre non poteva condurre a diversa soluzione il fatto che l imputato avesse fatto un uso distorto del sistema informatico a fini illeciti e personali. 7 Così, Cass., Sez. V, 8 luglio 2008, parte civile Sala in proc. Bassani, in Mass. Uff., Nel senso che non sono necessarie specifiche misure di protezione informatica, cfr. Cass., Sez. V, 7 novembre 2000, Zara, in Riv. pen., 2001, 258 e del resto, a indiretta conferma della rilevanza di misure di protezione di carattere fisico, non direttamente operanti all interno del sistema, vi è la previsione della fattispecie aggravata di cui all art. 615, comma 2, n. 2, c.p. (fatto commesso con violenza sulle cose o alle persone o da colpevole palesemente armato). 9 In tal senso DESTITO - DEZZANI - SANTORIELLO, Il diritto penale delle nuove tecnologie, Padova 2007, p. 83; CUOMO -RAZZANTE, La nuova disciplina dei reati informatici, Torino 2009, p Cfr. PICA, Diritto penale delle tecnologie informatiche, Torino, 1997, p. 60.

4 60 La responsabilità amministrativa delle società e degli enti mentre non potrebbe ritenersi sufficiente, quale misura di sicurezza rilevante ai fini della configurabilità del reato de quo, una generica chiusura dei locali ove si trova il sistema non assistito da altre specifiche misure protettive: in tale evenienza, l ingresso abusivo rileverebbe semmai solo a titolo di violazione di domicilio, ricorrendone le condizioni di legge 11. L elemento psicologico del reato è il dolo, da intendersi come consapevolezza ed intenzionalità dell ingresso o della permanenza in un sistema informatico protetto nonostante il soggetto agente fosse a conoscenza della contraria volontà, espressa o tacita, dell avente diritto 12. Il reato si perfeziona nel momento e nel luogo dell accesso o della permanenza clandestina. L eventuale persistenza della condotta incriminata (ergo, la durata dell introduzione e/o del trattenimento) può piuttosto incidere sulla determinazione della pena e del resto l accesso e il trattenimento sono condotte alternative, nel senso che in caso di accesso abusivo seguito poi dalla permanenza nel sistema non potrà esservi contestazione a titolo di concorso di reati, ma assorbimento della seconda condotta nella prima se realizzate nel medesimo contesto e senza soluzione di continuità. Da un punto di vista preventivo non ci sono misure tecniche che possono essere adottate per impedire con certezza l accesso abusivo al sistema telematico di terzi. L unica misura organizzativa che potrà essere adottata è un attività di monitoraggio (log) degli strumenti di connessione di rete (router, firewall, etc.) attraverso la cui analisi sarà possibile valutare e determinare chi ha effettuato una connessione verso una determinata rete e/o sistema. 3. segue: La condotta e l abusività dell accesso o del trattenimento. In particolare, il problema dell utilizzo illecito dei dati contenuti nel sistema informatico da parte del soggetto legittimato all ingresso nel sistema Per quanto riguarda le modalità della condotta, la norma prevede, alternativamente, la penale rilevanza sia dell ingresso che del trattenimento contro la volontà espressa o tacita del titolare del diritto di esclusione; la contraria volontà dell avente diritto, soprattutto nella forma tacita, è, come si è visto, dimostrata dalla predisposizione delle misure di protezione del sistema. La norma prevede poi che l ingresso o il trattenimento, per essere penalmente rilevante, debba essere realizzato abusivamente, riconoscendosi perciò rilevanza penale ai soli accessi o trattenimenti avvenuti in contrasto con norme imperative - anche del diritto civile o amministrativo. Su tale aspetto della fattispecie penale in parola si è acceso un aspro dibattito in giurisprudenza, giacché si discute se realizzi tale reato (non solo chi si introduca senza autorizzazione nel sistema informatico protetto, ma anche) chi si introduca legittimamente - perché in possesso della password o della chiave logica di accesso - nel sistema informatico ma realizzi tale introduzione (o si trattenga) per finalità contrarie ai compiti di istituto o comunque per l ottenimento di obiettivi diversi da quelli per il cui raggiungimento il soggetto è stato autorizzato all accesso. 11 AMATO - DESTITO - DEZZANI - SANTORIELLO, Il diritto penale cit., p Cass., Sez. V, 6 febbraio 2007, Cerbone, cit.

5 La responsabilità amministrativa delle società e degli enti 61 Parte della giurisprudenza si pone in senso negativo rispetto a tale questione, asserendo che non integra il reato in discorso la condotta di coloro che, legittimamente autorizzati all accesso e, in virtù del medesimo titolo, a prendere cognizione dei dati riservati contenuti nel sistema informatico, una volta ivi introdottisi ed acquisiti i dati raccolti, facciano di tali dati un utilizzo illecito - ad esempio, trasmettendoli a terzi o dando loro illegittima diffusione 13. Secondo questa tesi, la circostanza che l agente, in possesso legittimo della relativa chiave di accesso, penetri nel sistema informatico protetto già con l intenzione di acquisire i dati ivi custoditi onde fare degli stessi un illecito utilizzo sarebbe irrilevante in quanto la sussistenza della volontà contraria dell avente diritto, cui fa riferimento l art. 615-ter c.p. ai fini della configurabilità del reato, deve essere verificata solo ed esclusivamente con riguardo al risultato immediato della condotta posta in essere dall agente con l accesso al sistema informatico e con il mantenersi al suo interno e non con riferimento a fatti successivi che, anche se già previsti dall agente al momento dell ingresso, potranno di fatto realizzarsi solo in conseguenza di nuovi e diversi atti di volizione 14. In base a questa ricostruzione, dunque, l espressione abusivamente si introduce andrebbe intesa - onde arginare imprevedibili e pericolose dilatazioni della fattispecie penale - nel senso di accesso non autorizzato ovvero di accesso senza diritto, per cui la qualificazione di abusività andrebbe intesa in senso oggettivo, con riferimento al momento dell accesso ed alle modalità utilizzate dall autore per neutralizzare e superare le misure di sicurezza apprestate dal titolare dello ius exludendi, al fine di selezionare gli ammessi al sistema ed impedire accessi indiscriminati; di conseguenza, il reato in discorso sarebbe integrato dall accesso non autorizzato nel sistema informatico - circostanza che di per sé mette a rischio la riservatezza del domicilio informatico -, indipendentemente dallo scopo che si propone l autore dell accesso abusivo, mentre la finalità dell accesso, se illecita, integrerà eventualmente un diverso titolo di reato. Di contro, andrebbe invece respinta l interpretazione della norma che individua l abusività della condotta nel fatto del singolo che, abilitato ad accedere al sistema informatico, utilizzi il titolo di legittimazione per una finalità diversa e, quindi, non rispetti le condizioni alle quali era subordinato l accesso: tale ricostruzione finirebbe con l intrecciare le due condotte descritte dall art. 615-ter c.p. - di introduzione e trattenimento nel sistema protetto -, che sono invece differenti e alternative, disgiuntamente considerate dal legislatore, essendo pleonastica la descrizione della seconda condotta se la prima fosse integrata anche da chi usa la legittimazione all accesso per fini diversi da quelli a cui è stato legittimato dal titolare del sistema. A fronte di questa posizione, l opinione giurisprudenziale prevalente sostiene una posizione più severa, giusta la quale commette il reato in parola non solo chi si introduca abusivamente nel sistema informatico protetto, ma anche chi ivi si trattenga, contro la volontà espressa o tacita di chi abbia diritto di escluderlo, per finalità diverse da quelle per le quali l abilitazione era stata concessa 15. Questa posizione origina dalla 13 Cass., sez. V, 20 dicembre 2007, Migliazzo, in Mass.Uff., ; Cass., sez. V, 29 maggio 2008, Scimia, in Mass.Uff., ; Cass., sez. VI, 8 ottobre 2009, Peperaio, in Mass.Uff., In dottrina, CIVARDI, La distinzione fra accesso abusivo a sistema informatico e abuso dei dati acquisiti, in Dir. Inform. Inf., 2009, p Cfr. Cass., Sez. V, 13 febbraio 2009, Russo ed altri, in Mass. Uff., ; Cass., Sez. V, 8 luglio 2008, parte civile Sala in proc. Bassani, in Mass. Uff., ; Cass., sez. V, 7 novembre 2000, Zara, in Mass. Uff., ; Cass., sez. V, 30

6 62 La responsabilità amministrativa delle società e degli enti considerazione che il reato di accesso abusivo è collocato nel codice penale nell ambito dei delitti contro la inviolabilità del domicilio, essendo i sistemi informatici una sorta di ideale espansione virtuale del domicilio fisico inviolabile riconosciuto dalla Costituzione a ciascun individuo; ciò significa che per la definizione del reato in discorso si deve seguire una interpretazione analoga a quella accolta per il delitto di violazione di domicilio, di modo che integra la fattispecie criminosa di cui all art. 615-ter c.p. anche chi, autorizzato all accesso per una determinata finalità, utilizzi il titolo di legittimazione per il raggiungimento di obiettivi diversi non rispettando così le condizioni alle quali era subordinato l accesso - così come, pacificamente, realizza il reato di violazione di domicilio il soggetto che in possesso della chiave dell abitazione altrui per realizzare, ad esempio, interventi di manutenzione o pulizia penetri nell appartamento per altre ragioni. In sostanza, secondo questo orientamento, l illecito in discorso è caratterizzato dalla contravvenzione alle disposizioni del titolare, contravvenzione che può consistere o nell abusivo accesso nel sistema ovvero nel trattenersi all interno dello stesso contro la volontà espressa o tacita di chi ha il diritto di escluderlo; la previsione di tale duplice modalità di violazione del precetto penale ha tuttavia senso solo se si riconosce che il delitto in esame si realizza non solo in caso di mancanza di qualsiasi autorizzazione all ingresso, ma anche, nel caso in cui il responsabile sia legittimato all accesso nel sistema senza però essere autorizzato a permanere ivi per il raggiungimento di finalità diverse da quelle al cui raggiungimento è finalizzato l abilitazione all ingresso - come peraltro dimostrato anche dalla previsione del capoverso n. 1 dell art. 615-ter c.p., laddove si regola l ipotesi in cui l accesso al sistema informatico venga commesso da un pubblico ufficiale o da un incaricato di pubblico servizio, con abuso dei poteri o con violazione dei doveri inerenti la funzioni o il servizio... o con abuso della qualità di operatore del sistema, riferendosi evidentemente tale previsione a soggetti ordinariamente abilitati ad entrare nel sistema, il cui accesso sarebbe pertanto di regola legittimo, ma diviene penalmente rilevante quando i predetti abbiano fatto abuso di tale loro abilitazione. La seconda delle ricostruzioni evidenziate sembra decisamente più convincente, anche perché la tesi secondo cui il reato non sarebbe ravvisabile nel caso in cui il soggetto, avendo titolo per accedere al sistema, se ne avvalga per acquisire informazioni per finalità estranee a quelle consentite, finisce con lo svuotare di reale significato operativo la condotta di trattenimento abusivo. Semmai tale ultima prospettazione può essere accolta con riferimento ad una particolare, specifica situazione in cui effettivamente lo svolgersi della condotta incriminata può non consentire di configurare (anche) l accesso abusivo nella forma dell indebito trattenimento: è l ipotesi in cui l utilizzo delle informazioni per finalità diverse si colloca in cui contesto temporale diverso e non collegato neppure finalisticamente rispetto a quello dell intervenuto accesso; in tale ipotesi l accesso, formalmente e sostanzialmente legittimo, presenta una totale autonomia fenomenica rispetto al successivo utilizzo delle informazioni, il quale riceverà, laddove riconosciuto come abusivo, una risposta sanzionatoria in altre e diverse fattispecie incriminatrici 16. settembre 2008, Romano, in Mass. Uff., e da ultimo Cass., sez. V, 18 gennaio 2011, Tosinvest, in Mass. Uff., In dottrina, in questo senso, AMATO - DESTITO - DEZZANI - SANTORIELLO, Il diritto penale cit., p AMATO - DESTITO - DEZZANI - SANTORIELLO, Il diritto penale cit., p. 52, secondo cui l ipotesi fatta nel testo si verifica nel caso di accesso appunto legittimo, allorquando l indebito utilizzo delle informazioni legittimamente apprese

7 La responsabilità amministrativa delle società e degli enti 63 Ancora diverso, poi, è il caso dell operatore che abbia accesso solo ad alcuni dati del sistema 17, qualora costui acceda a dati appartenenti a livelli diversi. In tale ipotesi infatti occorrerà verificare se il sistema in oggetto fosse strutturato in modo da evitare il diretto ed immediato accesso a tali dati (ad es. mediante l utilizzo di una seconda password non a disposizione del soggetto agente): solo in tale caso può ritenersi integrato il reato in oggetto, poiché nella diversa ipotesi in cui, nonostante la mancanza di autorizzazione all accesso ai dati, non fosse stata adottata alcuna misura per escludere il soggetto dalla disponibilità degli stessi finirebbe per mancare l elemento costitutivo delle misure di sicurezza atte ad escluderlo dai dati in oggetto e ciò anche se l accesso a dati di un livello superiore fosse avvenuto per finalità non consentite. 4. Il reato di accesso abusivo ad un sistema informatico o telematico e la responsabilità degli enti collettivi Come accennato in precedenza, il reato di accesso o trattenimento abusivo in un sistema informatico e telematico può dar luogo a responsabilità dell ente collettivo, quando commesso da uno dei soggetti indicati negli artt. 5 e 6, d.lgs. 231/2001 e sempre che la condotta delittuosa sia stata assunta nell interesse o a vantaggio della persona giuridica coinvolta. La sanzione prevista è quella pecuniaria da cento a cinquecento quote ed è inoltre prevista anche l applicazione - in ricorrenza delle condizioni di cui agli artt. 9, 12 e 13, d.lgs. 231/231 - delle sanzioni interdittive dell interdizione dall esercizio dell attività, della sospensione o revoca delle autorizzazioni, licenze o concessioni funzionali alla commissione dell illecito e del divieto di pubblicizzare beni o servizi. Evidentemente, per il fondamento della responsabilità dell ente collettivo varranno le regole generali dettagliate nell art. 5 ss. del d.lgs. 231/2001: in particolare, tra le altre, quella in forza del quale l ente può essere chiamato a rispondere solo dei fatti criminosi commessi nel suo interesse o vantaggio e non invece quando il reo li abbia posti in essere nell interesse esclusivo proprio o di terzi, nonché la circostanza che il delitto sia stato commesso da soggetti apicali o da soggetti sottoposti alla direzione e sorveglianza di quest ultima - ovvero da uno dei soggetti che rientrano nelle categorie indicate negli artt. 6 e 7, d.lgs. 231/2001. sia frutto di un nuovo, autonomo atto di volizione dell agente, che appunto integrerà autonome violazioni, diversamente sanzionabili a seconda degli specifici connotati delle ulteriori condotte (abusive o di infedeltà) realizzate. In giurisprudenza, Cass., Sez. V, 29 maggio 2008, Scimia ed altri, in Cass. pen., 2009, p. 1502, con nota di R. FLOR: nella specie, ad un cancelliere in servizio presso un ufficio giudiziario era stato contestato, tra gli altri, il reato di cui all art. 615-ter c.p., in concorso con quello di rivelazione di segreti di ufficio, in relazione ad un accesso contestato come abusivo al sistema informatico dell ufficio, che gli aveva consentito di apprendere notizie riservate relative ad un fascicolo processuale penale, poi indebitamente rivelate, secondo la prospettazione accusatoria, ad un avvocato; la Corte, nel rigettare il ricorso avverso la condanna, tra gli altri, per il reato di rivelazione di segreti di ufficio, l ha annullata limitatamente al reato di accesso abusivo ad un sistema informatico, sul rilievo che l operatore giudiziario era in effetti autorizzato ad accedere senza limiti, mediante la propria password, sul registro informatico dell ufficio, di guisa che non poteva ritenersi fosse stato effettuato un accesso abusivo; mentre un profilo di rilevanza penale poteva porsi solo limitatamente all uso dei dati così acquisiti, nella specie autonomamente sanzionabile ex art. 326 c.p. L affermazione, per quanto già detto nel testo, merita condivisione, laddove pone in evidenza l autonomia dell atto di volizione che ha portato alla rivelazione del segreto di ufficio: volizione, quindi, del tutto autonoma e non collegata rispetto all attività di accesso, realizzata in condizioni di formale e sostanziale legittimità. 17 Ad esempio l amministratore di sistema, che dispone di una password utile ad accedere a qualsiasi area del sistema, per motivi sistemistici di manutenzione, ma non è autorizzato al trattamento dei dati.

8 64 La responsabilità amministrativa delle società e degli enti Nel caso di specie la società che voglia predisporre un modello organizzativo per la prevenzione del reato in commento ha innanzi a sé due distinte esigenze confliggenti fra loro: da un lato, infatti, sta la necessità di predisporre una rete informatica aziendale dotata di un sistema di auditing che preveda la registrazione di un files di log 18 delle attività svolte dagli utenti e dall altro il divieto di oltrepassare il livello di controllo oltre il quale si viene a violare la sfera di riservatezza giuridicamente garantita ad ogni singolo individuo 19. Tale compito organizzativo si presenta ancora più complesso qualora si affermasse la tesi sopra esposta secondo cui il reato in parola si realizza anche in caso in cui il singolo sia legittimato all accesso nel sistema senza però essere autorizzato a permanere ivi per il raggiungimento di finalità diverse da quelle al cui raggiungimento è finalizzato l abilitazione all ingresso: adottandosi questa impostazione ermeneutica, infatti, il Modello Organizzativo di una società che svolga attività di assistenza informatica o raccolta di dati dovrà curare non solo che accedano a sistemi informatici esterni solo i soggetti abilitati, ma anche che costoro facciano il dovuto e legittimo uso dei dati così raccolti e che non approfittino della disponibilità delle chiavi di accesso per l ottenimento di risultati diversi da quelli legittimi. In proposito, a delimitare almeno in pare la rilevanza del problema va ricordato che la Corte di legittimità ha escluso la ravvisabilità del reato di cui all art. 616 c.p. nella condotta del superiore gerarchico che prenda cognizione della posta elettronica contenuta nel computer del dipendente, assente dal lavoro, dopo avere a tal fine utilizzato la password in precedenza comunicatagli in conformità al protocollo aziendale; infatti, ha argomentato la Corte, tale corrispondenza può essere qualificata come chiusa solo nei confronti dei soggetti che non siano legittimati all accesso ai sistemi informatici di invio o di ricezione dei singoli messaggi e ciò perché, diversamente da quanto avviene per la corrispondenza cartacea, di regola accessibile solo al destinatario, è appunto la legittimazione all uso del sistema informatico o telematico che abilita alla conoscenza delle informazioni in esso custodite sicché tale legittimazione può dipendere non solo dalla proprietà, ma soprattutto dalle norme che regolano l uso degli impianti Sul punto ricordiamo l obbligo delle aziende di archiviare in modalità immodificabile i log di accesso a livello amministrativo per un periodo non inferiore a 180 giorni (disposizione Garante Privacy doc. web n www. garanteprivacy.it). 19 DEZZANI, La prevenzione dei reati informatici nel rispetto dei diritti del lavoratore, in questa Rivista, , p Cass., Sez. V, 11 dicembre 2007, Proc. Rep. Trib. Torino in proc. Tramalloni, in Cass. pen. 2008, 4669, secondo cui quando il sistema telematico sia protetto da una password, deve ritenersi che la corrispondenza in esso custodita sia lecitamente conoscibile da parte di tutti coloro che legittimamente dispongano della chiave informatica di accesso ed anche quando la legittimazione all accesso sia condizionata, l eventuale violazione di tali condizioni può rilevare sotto altri profili, ma non può valere a qualificare la corrispondenza come chiusa anche nei confronti di chi sin dall origine abbia un ordinario titolo di accesso - nel caso di specie, era emerso in fatto che le passwords poste a protezione dei computers e della corrispondenza di ciascun dipendente dovevano essere a conoscenza anche dell organizzazione aziendale, essendone prescritta la comunicazione, sia pure in busta chiusa, al superiore gerarchico, legittimato a utilizzarla per accedere al computer anche per la mera assenza dell utilizzatore abituale: per l effetto, doveva ritenersi che l imputato del tutto lecitamente aveva preso cognizione della corrispondenza informatica aziendale del dipendente, utilizzando la chiave di accesso di cui legittimamente disponeva, come noto allo stesso dipendente. Nello stesso senso possono richiamarsi le prescrizioni del Garante per la protezione dei dati personali, provv. n. 13 del 1 marzo 2007, secondo il quale i dirigenti dell azienda possono accedere legittimamente ai computers in dotazione ai propri dipendenti, quando delle condizioni di tale accesso sia stata loro data piena informazione.