Home
Lo studio
Risorse
Contatti
Lo studio

sentenze

Commette reato il dipendente che accede a dati violando la policy interna (Cass. 565/19)

8 Gennaio 2019, Cassazione penale
legocomputer
I diritti delle immagini appartengono ai rispettivi proprietari (che saremo lieti di indicare in caso di richiesta).

Integra il delitto previsto dall'art. 615-ter c.p. colui che, pur essendo abilitato, acceda o si mantenga in un sistema informatico o telematico protetto violando le condizioni ed i limiti risultanti dal complesso delle prescrizioni impartite dal titolare del sistema per delimitarne oggettivamente l'accesso, rimanendo invece irrilevanti, ai fini della sussistenza del reato, gli scopi e le finalità che abbiano soggettivamente motivato l'ingresso nel sistema: ciò vale per il settore pubblico come per il settore privato, venendo in rilievo i doveri di fedeltà e lealtà del dipendente che connotano indubbiamente anche il rapporto di lavoro privatistico.

Sotto il profilo dell'elemento oggettivo, che integra il delitto previsto dall'art. 615-ter c.p. la condotta di colui che pur essendo abilitato e pur non violando le prescrizioni formali impartite dal titolare di un sistema informatico o telematico protetto per delimitarne l'accesso, acceda o si mantenga nel sistema per ragioni ontologicamente estranee rispetto a quelle per le quali la facoltà di accesso gli è attribuita.

Pertanto è illecito e abusivo qualsiasi comportamento del dipendente che si ponga in contrasto con i doveri di fedeltà e lealtà manifestandosi in tal modo la "ontologica incompatibilità" dell'accesso al sistema informatico, connaturata ad un utilizzo dello stesso estraneo alla ratio del conferimento del relativo potere.

CORTE SUPREMA DI CASSAZIONE

SEZIONE QUINTA PENALE

(ud. 29/11/2018) 08-01-2019, n. 565

Composta dagli Ill.mi Sigg.ri Magistrati:

Dott. ZAZA Carlo - Presidente -

Dott. DE GREGORIO Eduardo - Consigliere -

Dott. PEZZULLO Rosa - Consigliere -

Dott. SCARLINI Enrico V. S. - Consigliere -

Dott. MOROSINI Elisabetta M. - Consigliere -

ha pronunciato la seguente:

SENTENZA

sul ricorso proposto da:

L.D.C.U., nato a (OMISSIS);

avverso la sentenza del 10/07/2017 della CORTE APPELLO di MILANO;

visti gli atti, il provvedimento impugnato e il ricorso;

udita la relazione svolta dal Consigliere Elisabetta Maria Morosini;

udito il Pubblico Ministero, in persona del Sostituto Procuratore generale Dott. MIGNOLO Olga, che ha concluso chiedendo l'inammissibilità del ricorso;

udito il difensore della parte civile, avv. PP che si è riportato alle conclusioni depositate unitamente alla nota spese;

udito il difensore dell'imputato ricorrente, avv. AM, che ha concluso chiedendo l'accoglimento del ricorso.

Svolgimento del processo

1. Con la sentenza impugnata la Corte di appello di Milano, in riforma della sentenza di condanna di primo grado, ha prosciolto L.d.C.U. dal reato di cui all'art. 615-ter cod. pen. (capo B), perchè estinto per prescrizione, confermando le statuizioni civili in favore della U.B.S. Italia spa; ha mandato assolto lo stesso imputato dal reato di cui al D.Lgs. n. 196 del 2003, art. 167 (capo A) per insussistenza del fatto.

La responsabilità dell'imputato, ai soli effetti civili, per il reato di cui al capo B) derivava dall'avere concorso con D.S.P. nel trattenersi abusivamente all'interno del sistema informatico protetto della banca.

L'attività materiale era stata posta in essere da D.S. il quale, utilizzando l'account di posta elettronica attivato sul dominio della banca e a lui in uso, aveva inviato due e-mail alla casella di posta aziendale del L., dipendente della medesima banca, allegando un file excel contenente informazioni bancarie riservate, alle quali il L. non aveva accesso (nominativo del correntista e saldo di conto corrente), nonchè per aver inviato due ulteriori e-mail di analogo contenuto, che L. "girava" al proprio indirizzo di posta personale.

L'apporto concorsuale di L. era consistito nell'avere istigato D.S. a commettere il reato.

2. Avverso il provvedimento ricorre l'imputato, per il tramite del difensore, articolando cinque motivi di seguito enunciati nei limiti strettamente necessari per la motivazione ex art. 173 disp. att. c.p.p..

2.1 Con il primo deduce violazione di legge e vizio di motivazione in ordine alla ritenuta sussistenza del reato di cui all'art. 615-ter c.p..

Sostiene il ricorrente che il semplice invio di una e-mail da un collega all'altro, tramite la propria casella di posta aziendale, non possa integrare il profilo oggettivo del delitto in rassegna.

2.2 Con il secondo motivo il ricorrente denuncia l'illogicità della motivazione e il travisamento delle dichiarazioni testimoniali in punto di ritenuta sussistenza di policy aziendali in tema di condivisione di informazioni tra i vari desk della banca.

I giudici di merito avrebbero trascurato che, come sarebbe emerso dall'istruttoria, tutti i componenti di un gruppo di lavoro condividevano con gli altri le informazioni giunte al proprio desk.

Diversamente da quanto affermato dalla Corte di appello, dalle dichiarazioni del teste B. risulterebbe l'assenza in UBS di precise ed espresse policy aziendali escludenti la trasmissione di informazioni tra i dipendenti e la segretezza dei dati della clientela. La lista, trasmessa da D.S. a L., era stata inviata a tutti i capi desk, sicchè, data la condivisione delle informazioni all'interno di ciascun desk, era visibile alla totalità dei dipendenti e quindi anche del L..

2.3 Con il terzo motivo il ricorrente, deducendo violazione di legge, sostiene che la casella di posta elettronica in uso a D.S. costituirebbe domicilio informatico non della banca, ma del dipendente titolare della casella, con conseguente impossibilità di inquadrare la fattispecie nel reato di cui all'art. 615-ter c.p..

2.4 Con il quarto motivo il ricorrente lamenta violazione di legge e vizio di motivazione sul ritenuto concorso del L. nel reato commesso da D.S..

Innanzitutto non sarebbe dimostrato che L. avesse richiesto a D.S. di inviargli le e-mail con le informazioni riservate. La chiamata in correità di D.S. sarebbe priva di riscontri e, in mancanza di un vaglio sull'attendibilità intrinseca, le sue dichiarazioni varrebbero al più come mero indizio inidoneo, da solo, ad assurgere a prova logica ex art. 192 c.p.p., comma 2.

Inoltre non vi sarebbe prova nè che la richiesta del L. fosse volta ad istigare D.S. a compiere un accesso abusivo nè che detta richiesta avesse svolto influenza causale sulla commissione del reato ad opera di D.S..

2.5 Con il quinto motivo il ricorrente si duole della erronea interpretazione di legge processuale, carenza e contraddittorietà della motivazione per avere i giudici di merito utilizzato il materiale informatico, estratto, selezionato e consegnato da UBS, senza esercitare alcun controllo sulle modalità acquisitive della prova.

Motivi della decisione

1. Il ricorso è infondato.

2. L'ordine logico delle questioni impone di esaminare in limine il quinto motivo, che per un verso è inammissibile e per altro manifestamente infondato.

"L'erronea interpretazione della legge processuale" esula dal novero dei vizi denunciabili a mente dell'art. 606 c.p.p..

Quanto al profilo dell'affidabilità dei dati forniti da UBS, estratti dal sistema informatico della banca, i giudici di merito hanno ampiamente discettato, pervenendo alla conclusione di una piena affidabilità.

E' appena il caso di rammentare che i dati, anche se archiviati su supporto informatico, non perdono la loro natura di documenti, peraltro la rispondenza al vero degli stessi non è mai stata posta in discussione.

3. Il punto nevralgico del ricorso concerne la riconducibilità del fatto in contestazione all'alveo precettivo dell'art. 615-ter c.p..

Le censure, formulate al riguardo con il primo e il terzo motivo, sono infondate.

3.1 La fattispecie delittuosa in rassegna ha formato oggetto di due interventi delle Sezioni Unite.

3.1.1 Con la sentenza Casani è stato affermato che "integra il delitto previsto dall'art. 615-ter c.p. colui che, pur essendo abilitato, acceda o si mantenga in un sistema informatico o telematico protetto violando le condizioni ed i limiti risultanti dal complesso delle prescrizioni impartite dal titolare del sistema per delimitarne oggettivamente l'accesso, rimanendo invece irrilevanti, ai fini della sussistenza del reato, gli scopi e le finalità che abbiano soggettivamente motivato l'ingresso nel sistema" (Sez. U, n. 4694/2012 del 27/10/2011, Casani, Rv 251269).

3.1.2 Con la sentenza Savarese le Sezioni Unite, pronunciandosi in un'ipotesi di fatto commesso da un pubblico ufficiale o da un incaricato di pubblico servizio (art. 615-ter, comma 2, n. 1), hanno avuto modo di precisare, sotto il profilo dell'elemento oggettivo, che integra il delitto previsto dall'art. 615-ter c.p. la condotta di colui che "pur essendo abilitato e pur non violando le prescrizioni formali impartite dal titolare di un sistema informatico o telematico protetto per delimitarne l'accesso, acceda o si mantenga nel sistema per ragioni ontologicamente estranee rispetto a quelle per le quali la facoltà di accesso gli è attribuita" (Sez. U, n. 41210 del 18/05/2017, Savarese, Rv. 271061 - 01).

I principi espressi per il pubblico funzionario possono essere trasfusi anche al settore privato, nella parte in cui vengono in rilievo i doveri di fedeltà e lealtà del dipendente che connotano indubbiamente anche il rapporto di lavoro privatistico.

Pertanto è illecito e abusivo qualsiasi comportamento del dipendente che si ponga in contrasto con i suddetti doveri "manifestandosi in tal modo la "ontologica incompatibilità" dell'accesso al sistema informatico, connaturata ad un utilizzo dello stesso estraneo alla ratio del conferimento del relativo potere" (Sez. U, n. 41210 del 18/05/2017, Savarese, in motivazione).

3.2 Nella specie, secondo la ricostruzione offerta dai giudici di merito sulla scorta di una motivazione immune da vizi, la condotta in rassegna è consistita nel fatto che D.S. "si fosse trattenuto (nel sistema informatico della Banca) per compiere un'attività vietata, ossia la trasmissione della lista a soggetto non autorizzato a prenderne cognizione, in ciò violando i limiti dell'autorizzazione che egli aveva ad accedere e a permanere in quel sistema informatico protetto" (pag. 9 sentenza impugnata).

"Dal complesso delle prassi e delle disposizioni vigenti all'interno di UBS, i dati segreti concernenti la clientela appartenenti a un certo desk fossero accessibili unicamente agli addetti al desk stesso e non ai componenti di altri desk, sicchè la trasmissione di dati medianti il mantenimento all'interno del sistema da parte di S. a L., che non era abilitato a prendere cognizione di essi, integra la fattispecie di reato contestato, trattandosi di operazioni che non erano consentite dal dominus loci e compiute quindi mediante un abusivo trattenimento all'interno del sistema stesso" (pag. 9).

I giudici di merito hanno dato conto che il teste A., soggetto particolarmente qualificato, ha riferito "come a determinati dati riguardanti la clientela potessero avere accesso esclusivamente gli addetti a quel particolare desk che gestiva quel tipo di clientela, gli appellanti richiamano altre deposizioni che peraltro hanno sostanzialmente confermato la circostanza seppure accennando a sporadiche deroghe (...) d'altronde D.S., dopo aver inviato la lista stessa, chiese al collega di distruggerla dopo averla letta, a comprova che la trasmissione di essa al collega fosse vietata e della di piena consapevolezza di ciò da parte sua e ragionevolmente anche da parte dell'altro" (pag. 8 sentenza Corte di appello).

E' evidente che, in tale situazione, ricorrono i presupposti del reato in rassegna come sopra tracciati al punto 3.1.2..

4. Il secondo motivo è inammissibile.

4.1 Il controllo di legittimità concerne il rapporto tra motivazione e decisione, non già il rapporto tra prova e decisione; sicchè il ricorso per cassazione che devolva il vizio di motivazione, per essere valutato ammissibile, deve rivolgere le censure nei confronti della motivazione posta a fondamento della decisione, non già nei confronti della valutazione probatoria sottesa, che, in quanto riservata al giudice di merito, è estranea al perimetro cognitivo e valutativo della Corte di cassazione.

A fronte degli elementi fattuali distillati dai giudici di merito e sopra ricordati (paragrafo 3.2), il ricorrente assume l'erroneità e/o parzialità della valutazione espressa dal giudice di merito e prospetta una lettura alternativa del compendio probatorio (in tema di policy aziendali, scambio di informazioni tra dipendenti, accessibilità alle informazioni) ribadendo, peraltro, doglianze già proposte e disattese, con diffusa motivazione, dal provvedimento impugnato.

Egli dunque nella sostanza non lamenta una motivazione mancante, contraddittoria o manifestamente illogica - unici vizi della motivazione proponibili ai sensi dell'art. 606 c.p.p., lett. e), -, ma una decisione asseritamente erronea.

Esula dai poteri della Corte di cassazione quello di una "rilettura" degli elementi di fatto posti a fondamento della decisione, la cui valutazione è, in via esclusiva, riservata al giudice di merito, senza che possa integrare il vizio di legittimità la mera prospettazione di un diverso, e per il ricorrente più adeguato, apprezzamento delle risultanze processuali (Sez. U, 30/4/1997, n. 6402, Dessimone, Rv. 207944).

4.2 Più specificatamente, il vizio di travisamento della prova ricorre quando il giudice del merito abbia fondato il proprio convincimento su di una prova inesistente ovvero su di un risultato probatorio incontestabilmente diverso da quello reale.

Nel caso di specie, in punto di responsabilità dell'imputato per il fatto di cui al capo B), ci si trova dinanzi ad una "doppia conforme" e cioè a una doppia pronuncia di eguale segno, per cui il vizio di travisamento della prova può essere rilevato in sede di legittimità solo nel caso in cui il ricorrente rappresenti (con specifica deduzione) che l'argomento probatorio asseritamente travisato è stato per la prima volta introdotto come oggetto di valutazione nella motivazione del provvedimento di secondo grado (tra le ultime Sez. 2, n. 7986 del 18/11/2016, La Gumina, Rv. 269217).

Il ricorso non contiene alcuna specifica deduzione sul punto.

In ogni caso il controllo di legittimità consiste nel verificare che la motivazione non risulti logicamente "incompatibile" con "altri atti del processo" in termini tali da risultarne vanificata o radicalmente inficiata sotto il profilo logico.

Alla Corte di Cassazione, infatti, non è consentito di procedere ad una rinnovata valutazione dei fatti magari finalizzata, nella prospettiva dei ricorrenti, ad una ricostruzione dei medesimi in termini diversi da quelli fatti propri dal giudice del merito. Così come non è consentito che, attraverso il richiamo agli "atti del processo", si lasci spazio a una rivalutazione del contenuto delle prove acquisite, trattandosi di apprezzamento riservato in via esclusiva al giudice del merito.

4. Il quarto motivo è manifestamente infondato.

I giudici di merito ricostruiscono la responsabilità concorsuale del L. in termini di partecipazione psichica a mezzo istigazione.

Diversamente da quanto affermato dal ricorrente, la Corte di appello non si sottrae affatto all'obbligo di motivare sulla prova dell'esistenza di una reale partecipazione del ricorrente nella fase ideativa e preparatoria del reato e di precisare sotto quale forma essa si sia manifestata, in rapporto di causalità efficiente con le attività poste in essere dall'altro concorrente.

La dimostrazione del fatto che il comportamento tenuto dal ricorrente abbia effettivamente fatto sorgere il proposito criminoso nell'autore materiale viene tratta dalla chiamata di correo di D.S., congruamente apprezzata sotto il profilo intrinseco ed estrinseco nel rispetto dei parametri valutativi dettati dall'art. 192 c.p.p., comma 3, come enucleati dalla giurisprudenza di legittimità (cfr. per tutte Sez. U, n. 1653 del 21/10/1992, dep. 1993, Marino, Rv. 192465; Sez. U., n. 20804 del 29 novembre 2012, dep. 2013, Aquilina, Rv. 255145).

" D.S. ha espressamente ammesso di avere trasmesso quelle mail incriminate al collega L. e su richiesta di questi" (pag. 8 sentenza impugnata). Si tratta di "dichiarazioni credibili e logiche" (ibidem).

Il riscontro esterno "individualizzante" viene ravvisato nel contenuto della e-mail con la quale L. chiede a D.S. "di ritrasmettergli la mail sul proprio indirizzo di posta privato" il che fornisce riscontro logico al fatto che anche il primo invio era stato effettuato su richiesta del L. (pag. 8).

Si tratta di argomentazione logica ancorata all'apprezzamento dei vari elementi di prova, in sè stessi e nel loro reciproco collegamento. Qui deve necessariamente arrestarsi la verifica di legittimità che non può occuparsi del controllo sul significato concreto della dichiarazione e dell' elemento di riscontro, perchè un tale esame invaderebbe inevitabilmente la competenza esclusiva del giudice di merito (Sez. 6, Sentenza n. 33875 del 12/05/2015, Beruschi, Rv. 264577).

5. Discende il rigetto del ricorso e la condanna del ricorrente al pagamento delle spese processuali nonchè alla rifusione delle spese sostenute nel grado dalla parte civile, che, tenuto conto di natura e caratteri dell'opera prestata, si liquidano in Euro 2.000,00 oltre accessori di legge.

P.Q.M.
Rigetta il ricorso e condanna il ricorrente al pagamento delle spese processuali, nonchè alla rifusione delle spese sostenute nel grado dalla parte civile, che liquida in Euro 2.000 oltre accessori di legge.

Così deciso in Roma, il 29 novembre 2018.

Depositato in Cancelleria il 8 gennaio 2019