Accesso abusivo: condanna per uso improprio dati

La Corte di Cassazione ha confermato la responsabilità penale di un dipendente pubblico per il reato di **accesso abusivo** a un sistema informatico. Nonostante l’imputato disponesse di credenziali legittime, l’ingresso nel sistema Ser.pi.co. è stato ritenuto illecito poiché finalizzato a scopi personali o di cortesia verso terzi, estranei alle mansioni d’ufficio. La sentenza ribadisce che l’abuso delle funzioni e lo sviamento di potere configurano la violazione dell’art. 615-ter c.p., in quanto il bene giuridico protetto è la riservatezza informatica del titolare del sistema, indipendentemente dalla natura segreta dei dati estratti.

A cura di Carmine Paul Alexander TEDESCO - Avvocato

Prenota un appuntamento

Per una consulenza legale o per valutare una possibile strategia difensiva prenota un appuntamento.

La consultazione può avvenire in studio a Milano, Pesaro, Benevento, oppure in videoconferenza.

PRENOTA

02.37901052

8:00 – 20:00
(Lun - Sab)

Pubblicato il 29 marzo 2026 in Diritto Penale, Giurisprudenza Penale

Accesso abusivo: quando entrare nel sistema è reato

L’accesso abusivo a un sistema informatico rappresenta una delle fattispecie più rilevanti nel panorama dei reati informatici moderni. Spesso si tende a pensare che tale reato riguardi esclusivamente gli attacchi hacker esterni, ma la giurisprudenza chiarisce che anche un dipendente autorizzato può incorrere in sanzioni penali se utilizza le proprie credenziali per scopi non istituzionali.

Il caso in esame

La vicenda riguarda un dipendente pubblico che ha effettuato molteplici ingressi nel sistema informatico dell’amministrazione finanziaria. Tali accessi erano finalizzati a consultare dati relativi a se stesso o a compiere favori per superiori gerarchici, agendo quindi al di fuori delle strette necessità lavorative. Mentre alcuni episodi sono stati dichiarati estinti per prescrizione, per altri è stata confermata la condanna in sede di merito.

La decisione della Cassazione sull’accesso abusivo

La Suprema Corte ha rigettato il ricorso dell’imputato, consolidando un orientamento ormai rigoroso. Il punto centrale della discussione riguardava la legittimità dell’accesso effettuato con password proprie. Secondo la difesa, non essendovi stata violazione di barriere informatiche o divieti espliciti, la condotta non avrebbe dovuto integrare il reato. Tuttavia, i giudici hanno ribadito che la violazione avviene nel momento in cui il pubblico ufficiale o l’incaricato di pubblico servizio agisce con uno sviamento di potere, ovvero per finalità ontologicamente incompatibili con le ragioni d’ufficio.

Il bene giuridico protetto

Un aspetto fondamentale della sentenza riguarda l’oggetto della tutela penale. Il reato di accesso abusivo non protegge solo la segretezza dei dati, ma la “riservatezza informatica” intesa come il diritto del titolare del sistema (in questo caso l’amministrazione pubblica) di decidere chi, come e soprattutto per quali scopi può accedere alla piattaforma. Anche se i dati estratti non sono segreti, l’ingresso non autorizzato per fini privati lede la sicurezza del sistema.

Le motivazioni

Le motivazioni della Corte si fondano sul principio espresso dalle Sezioni Unite, secondo cui l’illiceità dell’accesso deriva dall’abuso delle funzioni. Il dipendente pubblico ha il dovere di fedeltà e deve operare sui registri informatizzati solo in diretta connessione con l’assolvimento dei propri compiti. Qualsiasi comportamento che persegua un interesse privato, anziché pubblico, configura un’incompatibilità ontologica con l’accesso stesso. La Corte ha inoltre escluso che vi sia stato un mutamento giurisprudenziale imprevedibile (overruling), confermando che la prevedibilità della sanzione era chiara al momento dei fatti.

Le conclusioni

In conclusione, la sentenza riafferma che la titolarità di credenziali d’accesso non costituisce una “licenza in bianco” per consultare archivi digitali. Ogni accesso deve essere giustificato da una finalità di servizio. Per i professionisti e i dipendenti pubblici, questo significa che l’uso improprio degli strumenti informatici aziendali o istituzionali può portare a gravi conseguenze penali, indipendentemente dal fatto che i dati siano facilmente reperibili altrove o che l’azione sia stata compiuta per mera cortesia.

È reato usare le proprie password per fini personali in ufficio?
Sì, se l’accesso al sistema informatico avviene per scopi estranei ai doveri d’ufficio, si configura il reato di accesso abusivo, anche se le credenziali utilizzate sono legittime e personali.

Cosa si intende per sviamento di potere in ambito informatico?
Si verifica quando un pubblico dipendente utilizza i propri poteri di accesso per finalità diverse dall’interesse pubblico, violando i doveri di fedeltà e le finalità istituzionali del sistema.

La riservatezza dei dati non riservati è protetta dalla legge?
Sì, la legge tutela il sistema informatico in sé e il diritto del titolare di controllarne l’uso. L’accesso non autorizzato è punibile anche se i dati estratti non sono coperti da segreto.

Testo del provvedimento

Sentenza di Cassazione Penale Sez. 5 Num. 43385 Anno 2023

Penale Sent. Sez. 5 Num. 43385 Anno 2023

Presidente: COGNOME NOME COGNOME NOME

Relatore: COGNOME NOME

Data Udienza: 16/10/2023

SENTENZA

sul ricorso proposto da: COGNOME NOME NOME a COLLEFERRO il DATA_NASCITA

avverso la sentenza del 14/02/2023 della CORTE APPELLO di ROMA

visti gli atti, il provvedimento impugNOME e il ricorso; udita la relazione svolta dal Consigliere NOME COGNOME; udito il Sostituto Procuratore generale, dott.ssa COGNOME, che ha concluso chiedendo il rigetto del ricorso uditi i difensori: l’avvocato NOME COGNOME insiste per l’accoglimento dei motivi di ricorso; l’avvocato NOME COGNOME insiste per l’accoglimento dei motivi di ricorso.

Ritenuto in fatto

Con sentenza del 14 febbraio 2023 la Corte d’appello di Roma, in riforma della decisione di primo grado, ha dichiarato non doversi procedere nei confronti di NOME COGNOME in relazione ai reati di cui all’art. 615-ter cod. proc. pen. contestati come commessi, mediante l’accesso al sistema RAGIONE_SOCIALEpi.co ., in data 6 giugno 2012 e 11 luglio 2012, perché estinti per prescrizione; ha confermato nel resto la decisione di primo grado, con riguardo ai restanti reati di cui all’art. 615ter cod. pen., contestati come commessi, sempre mediante l’accesso al sistema RAGIONE_SOCIALE, in data 14 marzo 2014, 18 marzo 2015 e 26 novembre 2015; ha provveduto a rideterminare la pena inflitta.
Nell’interesse del COGNOME sono stati proposti distinti ricorsi da parte dei due difensori, AVV_NOTAIO e AVV_NOTAIO.

3. Ricorso dell’AVV_NOTAIO

3.1. Con il primo motivo si lamentano vizi motivazionali e violazione di legge, per non avere i giudici di merito colto che la condotta dell’imputato, in parte, autorizzata dal suo superiore e in relazione a dati che lo riguardavano direttamente, in altra parte, concernente beni propri, non aveva comportato la messa in pericolo del bene giuridico protetto dalla norma incriminatrice e comunque non era sorretta dal necessario coefficiente soggettivo doloso. Tale conclusione è confermata dal fatto che si trattava dell’acquisizione di dati agevolmente reperibili per il tramite di altri enti o servizi. Si lamenta, altresì, che la sentenza non abbia colto le censure che erano state sviluppate nell’atto di appello a proposito del divieto di applicazione retroattiva di un’interpretazione giurisprudenziale più sfavorevole della fattispecie incriminatrice, quale espressa da Sez. U, n. 41210 del 18/05/2017, COGNOME, Rv. 271061 – 01, rispetto ai risultati raggiunti da Sez. U, n. 4694 del 27/10/2011, dep. 2012, COGNOME, Rv. 251270 – 01. In ogni caso, i giudici di merito non avevano indicato la norma organizzativa asseritamente violata che avrebbe realizzato lo sviamento di potere nell’accesso al sistema informatico.
3.2. Con il secondo motivo si lamentano vizi motivazionali in relazione alla dosimetria della pena, alla luce delle peculiarità della condotta e del fatto che l’ultima condotta risaliva all’inizio del 2016.

4. Ricorso dell’AVV_NOTAIO

4.1. Con l’unico motivo, chiarito che le censure si riferiscono agli ultimi tre episodi per i quali è intervenuta condanna, si lamentano vizi motivazionali e

violazione di legge, per non avere la Corte d’appello considerato che le condotte avevano consentito di accedere a dati personali non riservati riconducibili all’imputato.

All’udienza del 16 ottobre 2023 si è svolta la discussione orale.

Considerato in diritto

Il primo motivo di entrambi i ricorsi è, nelle sue varie articolazioni, infondato.

Va premesso che, secondo il condiviso orientamento espresso da questa Corte, non sussiste la violazione dell’art. 7 CEDU – così come conformemente interpretato dalla giurisprudenza della Corte EDU – qualora l’interpretazione della norma incriminatrice applicata al caso concreto sia ragionevolmente prevedibile nel momento in cui la violazione è stata commessa, atteso che l’irretroattività del mutamento giurisprudenziale sfavorevole presuppone il ribaltamento imprevedibile di un quadro giurisprudenziale consolidato (Sez. 5, n. 47510 del 09/07/2018, Dilaghi, Rv. 274406 – 01, proprio con riguardo ad una ipotesi di accesso abusivo ad un sistema informatico in cui la Corte ha escluso la sussistenza di un overruling ad opera della sentenza delle Sezioni unite COGNOME, della quale si dirà subito infra; per l’affermazione dello stesso principio, sia pure riferito all’applicazione di una diversa fattispecie incriminatrice, v. anche Sez. 3, n. 46184 del 23/11/2021, M., Rv. 282238 – 0).
Ciò posto, si osserva che, secondo Sez. U, n. 41210 del 18/05/2017, COGNOME, Rv. 271061 – 01, in motivazione, non esce dall’area di applicazione dell’art. 615-ter cod. pen. la situazione nella quale l’accesso o il mantenimento nel sistema informatico dell’ufficio a cui è addetto il pubblico ufficiale o l’incaricato di pubblico servizio, seppur avvenuto a seguito di utilizzo di credenziali proprie dell’agente ed in assenza di ulteriori espressi divieti in ordine all’accesso ai dati, si connoti, tuttavia, per l’abuso delle proprie funzioni da parte dell’agente, ossia rappresenti uno sviamento di potere, un uso del potere in violazione dei doveri di fedeltà che ne devono indirizzare l’azione nell’assolvimento degli specifici compiti di natura pubblicistica a lui demandati.
Sez. U COGNOME aggiungono che, secondo l’autorevole avviso della dottrina, «sotto lo schema dell’eccesso di potere si raggruppano tutte le violazioni di quei limiti interni alla discrezionalità amministrativa, che, pur non essendo consacrati in norme positive, sono inerenti alla natura stessa del potere esercitato». Lo sviamento di potere è una delle tipiche manifestazioni di un tale vizio dell’azione

amministrativa e ricorre quando l’atto non persegue un interesse pubblico, ma un interesse diverso (di un privato, del funzionario responsabile, ecc.). Si ha quindi “sviamento di potere” quando nella sua attività concreta il pubblico funzionario persegue una finalità diversa da quella che gli assegna in astratto la legge sul procedimento amministrativo (art. 1, legge n. 241 del 1990). Ai pubblici dipendenti che, nella loro qualità, debbono operare su registri informatizzati è imposta l’osservanza sia delle disposizioni di accesso, secondo i diversi profili per ciascuno di essi configurati, sia delle disposizioni del capo dell’ufficio sulla gestione dei registri, sia il rispetto del dovere loro imposto dallo statuto personale di eseguire sui sistemi attività che siano in diretta connessione con l’assolvinnento della propria funzione. Ne discende la illiceità ed abusività di qualsiasi comportamento che con tale obiettivo si ponga in contrasto, manifestandosi in tal modo la “ontologica incompatibilità” dell’accesso al sistema informatico, connaturata ad un utilizzo dello stesso estraneo alla ratio del conferimento del relativo potere.
Rilevato che tutti gli accessi dei quali si discute sono avvenuti al di fuori dell’esercizio delle funzioni attribuite all’imputato, si osserva, innanzi tutto, che il diritto alla riservatezza informatica, avente ad oggetto i dati contenuti nel sistema e che costituisce il bene giuridico protetto dalla norma incriminatrice, riguarda il titolare del sistema stesso, ossia, nel caso di specie, l’amministrazione fiscale.

Ora, rispetto ai fatti per i quali già la sentenza di secondo grado ha rilevato l’intervenuta prescrizione, non emerge l’evidente sussistenza di una delle cause di non punibilità di cui all’art. 129, comma 2, cod. proc. pen. e ciò per l’assorbente ragione che i dati riguardavano, per la maggior parte, persone diverse dal superiore gerarchico, il quale, secondo l’accertamento dei giudici di merito, non oggetto di specifica contestazione, si era limitato a chiedere – e trattasi di rilievo assorbente -una “cortesia” all’imputato.
Quanto agli accessi ulteriori e che riguardano dati dell’imputato, la dedotta inoffensività della condotta non considera che l’estrazione di notizie non riservate nulla toglie all’accesso non autorizzato ad un sistema che, in quanto protetto da misure di sicurezza, è destiNOME a conservare dati che l’amministrazione ritiene non liberamente comunicabili se non alle condizioni previste dalla disciplina che regolamenta l’utilizzo del sistema. Ne discende la non assimilabilità alla specie decisa da Sez. 5, n. 26530 del 17/05/2021, Preite, n.m., nella quale l’unico accesso era avvenuto da parte dell’autore a distanza di sei anni circa dall’adozione dell’atto, in coincidenza temporale con l’instaurazione di un procedimento penale per falso nel quale era stato prodotto proprio quel documento, a firma del ricorrente. E, infatti, la sentenza da ultimo citata
chiarisce che quest’ultimo profilo non è privo di ricadute, poiché solleva la questione di un accesso non finalizzato, come normalmente avviene, ad acquisire conoscenza di atti di altro ufficio o di informazioni riservate (nel senso, va aggiunto, che siano tali nella stessa prospettiva della p.a. e in relazione al caso concreto). Al giudice del rinvio è stato pertanto demandato di chiarire perché si sarebbe trattato di un accesso ontologicamente inibito nel caso di specie, nel senso di attività svolta per finalità estranee alle ragioni di istituto e agli scopi sottostanti alla protezione dell’archivio informatico.
Il secondo motivo del ricorso proposto dall’AVV_NOTAIO è inammissibile per genericità e manifesta infondatezza, dal momento che la graduazione della pena, anche in relazione agli aumenti ed alle diminuzioni previsti per le circostanze aggravanti ed attenuanti, rientra nella discrezionalità del giudice di merito, che la esercita, così come per fissare la pena base, in aderenza ai principi enunciati negli artt. 132 e 133 cod. pen.; ne discende che è inammissibile la censura che, nel giudizio di cassazione, miri ad una nuova valutazione della congruità della pena la cui determinazione non sia frutto di mero arbitrio o di ragionamento illogico (Sez. 5, n. 5582 del 30/09/2013 – 04/02/2014, Ferrario, Rv. 259142), ciò che – nel caso di specie – non ricorre.
Alla pronuncia di rigetto consegue, ex art. 616 cod. proc. pen., la condanna del ricorrente al pagamento delle spese processuali.

P.Q.M.

Rigetta il ricorso e condanna il ricorrente al pagamento delle spese processuali.

Così deciso il 16/10/2023.

La selezione delle sentenze e la raccolta delle massime di giurisprudenza è a cura di Carmine Paul Alexander TEDESCO, Avvocato a Milano, Pesaro e Benevento.

Desideri approfondire l'argomento ed avere una consulenza legale?

Prenota un appuntamento. La consultazione può avvenire in studio a Milano, Pesaro, Benevento, oppure in videoconferenza / conerence call e si svolge in tre fasi.

Prima dell'appuntamento: analisi del caso prospettato. Si tratta della fase più delicata, perché dalla esatta comprensione del caso sottoposto dipendono il corretto inquadramento giuridico dello stesso, la ricerca del materiale e la soluzione finale.

Durante l’appuntamento: disponibilità all’ascolto e capacità a tenere distinti i dati essenziali del caso dalle componenti psicologiche ed emozionali.

Al termine dell’appuntamento: ti verranno forniti gli elementi di valutazione necessari e i suggerimenti opportuni al fine di porre in essere azioni consapevoli a seguito di un apprezzamento riflessivo di rischi e vantaggi. Il contenuto della prestazione di consulenza stragiudiziale comprende, difatti, il preciso dovere di informare compiutamente il cliente di ogni rischio di causa. A detto obbligo di informazione, si accompagnano specifici doveri di dissuasione e di sollecitazione.

Il costo della consulenza legale è di € 150,00.