Datore di lavoro e dipendente

Digital Crime. Nei computer aziendali, chi è il titolare del domicilio informatico?

Si tratta di problema di rilevante importanza in ordine a quei sistemi di proprietà dell’azienda, ma assegnati con tanto di password personale al singolo dipendente. In caso di un accesso all’interno di uno di questi sistemi, chi ha diritto a sporgere querela?

di Paolo Galdieri, Avvocato, Docente di Informatica giuridica, LUISS di Roma |

La rubrica Digital Crime, a cura di Paolo Galdieri, Avvocato e Docente di Informatica giuridica, alla LUISS di Roma, si occupa del cybercrime dal punto di vista normativo e legale. Clicca qui per leggere tutti i contributi.

La norma che punisce l’accesso abusivo all’interno di un sistema informatico e telematico, art.615 ter c.p., è sicuramente quella che ha subito più interpretazioni da parte della giurisprudenza di merito e di legittimità.

 

E’ stato, in primo luogo, chiarito che il delitto si consuma nel luogo ove si trova il soggetto che effettua l’introduzione abusiva o vi si mantiene abusivamente ( Cass., Sezioni Unite, sent. n.17325/15), a differenza dell’orientamento sino a quel momento seguito, che individuava la consumazione del reato, e quindi la relativa competenza del Giudice, nel luogo ove è collocato il server violato (Cass. Sez. I, sent.40303/2013).

 

Quanto a cosa debba intendersi per sistema informatico o telematico, la giurisprudenza ha fornito una definizione tendenzialmente valida per tutti i reati facenti riferimento all’espressione “sistema informatico”, che deve intendersi come complesso di apparecchiature destinate a compiere una qualsiasi funzione utile all’uomo attraverso l’utilizzazione(anche parziale) di tecnologie informatiche che sono caratterizzate, per mezzo di una attività di codificazione e decodificazione, dalla registrazione o memorizzazione tramite impulsi elettronici, su supporti adeguati, di dati, cioè, di rappresentazioni elementari di un fatto, effettuata attraverso simboli (bit) in combinazioni diverse, e dalla elaborazione automatica di tali dati,in modo da generare informazioni costituite da un insieme più o meno vasto di informazioni organizzate secondo una logica che consente loro di esprimere un particolare significato per l’utente (Cass., Sez. VI, sent. n.3067/99).

 

Rientrerebbero, pertanto, nell’accezione di sistema, richiesta dalla norma, le carte di pagamento(Cass., Sez. F, sent. 43755/2012), la telefonia digitale ( Cass., Sez. VI, sent. n. 3067/99), la televisione satellitare (Cass., Sez. V, sent. n.4389/98), la casella di posta elettronica (Cass., Sez. V , sent.13057/2016), i sistemi di trattamento delle informazioni che sfruttano l’architettura di rete denominata client –server ( Cass.,Sezioni Unite , sent. n.17325/15)

 

Poiché la norma tutela solo i sistemi protetti da misure di sicurezza la giurisprudenza ha anche tentato di chiarire quali essa siano.

 

A tal riguardo si è precisato come, ai fini della configurabilità del reato , assumono rilevanza non solo le protezioni interne al sistema informatico, come le chiavi d’accesso, ma anche le protezioni esterne, quali la custodia degli impianti (Cass., Sez. V , sent. n.1675/2000) e ciò a differenza di quanto sostenuto da altro orientamento, secondo il quale le stesse dovrebbero essere solo quelle logiche e tali da risultare effettivamente efficaci (Tribunale di Roma, Gip Landi, sentenza del 4 aprile 2000).

 

Su tale tema è stato altresì precisato come non abbia rilevanza penale la condotta di chi ,successivamente alla neutralizzazione delle misure posta in essere da altri al di fuori anche di ipotesi di concorso,ne approfitti avvalendosi soltanto degli strumenti e dei dati di cui sia legittimamente in possesso (Cass., Sez.V, sent. n.6459/2007).

 

In relazione all’ipotesi di colui che si trova già nel sistema, ma compie azioni per le quali non è autorizzato, tema che da pochi giorni è stato nuovamente proposto alle Sezioni Unite, è stato affermato che integra la fattispecie criminosa di accesso abusivo ad un sistema informatico o telematico la condotta di accesso o mantenimento nel sistema posta in essere da soggetto che, pur essendo abilitato, violi le condizioni ed i limiti risultanti dal complesso delle prescrizioni impartite dal titolare del sistema per delimitarne oggettivamente l’accesso.

 

Non hanno rilievo, invece, per la configurazione del reato gli scopi e le finalità che soggettivamente hanno motivato l’ingresso al sistema (Cass., Sezioni Unite, sent. n.4694/2012).

 

Tanti chiarimenti e numerose specificazioni, tranne una, forse la più importante. Ma chi è il titolare dello ius escludendi ovvero colui che ha diritto a sporgere querela e la cui volontà contraria all’accesso fa sussistere il delitto?

 

Si tratta di problema di rilevante importanza in ordine ai computer aziendali ovvero a quei sistemi di proprietà dell’azienda, ma assegnati con tanto di password personale al singolo dipendente.  In caso di un accesso all’interno di uno di questi sistemi, chi ha diritto a sporgere querela? L’azienda, in quanto proprietaria, o il dipendente, in quanto assegnatario di quello specifico spazio informatico? Dalla risposta a tale quesito ne dipende un’altra ancora più rilevante da un punto di vista pratico relativa alla responsabilità o meno del datore di lavoro che accede senza autorizzazione nel computer assegnato al proprio lavoratore.

 

La soluzione di tale problema dipende inevitabilmente dall’idea che si ha del bene giuridico protetto dalla norma. Se, infatti, si ritiene che la stessa protegga il domicilio informatico, da intendere al pari del domicilio comune, titolare dello ius escludendi dovrebbe essere il lavoratore, mentre verrebbe individuato nel lavoratore qualora si ritenga che la stessa tuteli interessi anche di natura economica correlati all’utilizzo del computer.

 

La mancanza di chiarezza sul punto è dimostrata, in assenza di pronunce sull’art.615 ter, dalle decisioni prese in materia di violazione di corrispondenza informatica.

 

In tale ambito, infatti,  se in alcuni casi si è sostenuto che non integra il reato di cui all’art.616 c.p. la condotta del superiore gerarchico che prenda cognizione della posta elettronica contenuta nel computer del dipendente, assente dal lavoro(Cass., sent. n. 47096/2007), perché l’email aziendale è personale ma non privata e quindi, specie nell’ipotesi di adeguata policy aziendale, può essere letta dal dato di lavoro( Cass., Sez. V , sent. n. 47096/ 2007; Tribunale di Torino, Sezione distaccata di Chivasso, sentenza n.143/2006; Tribunale di Milano, ordinanza di archiviazione del 10 maggio 2002), altre volte si è affermato che la casella di posta elettronica concessa in uso al dipendente pubblico, ove protetta da password, costituisce “domicilio informatico” e come tale non è accessibile neanche  dal superiore gerarchico(Cass., Sez. II, sent. n.38331/2016).

 

In attesa di delucidazioni da parte della giurisprudenza, non resta che registrare come la causa di tali incertezze sia da addebitare alla scelta del legislatore di equiparare i sistemi informatici alle abitazioni o private dimore,  pur essendo evidenti i diversi interessi suscettibili di tutela nei due ambiti spaziali.

© 2002-2018 Key4biz

Instant SSL