Accesso abusivo: credenziali valide non bastano

La Corte di Cassazione ha annullato con rinvio, ai soli effetti civili, una sentenza di assoluzione per il reato di accesso abusivo a sistema informatico. Il caso riguardava un ex collaboratore che aveva continuato ad accedere al server di un’azienda con credenziali valide ma dopo la scadenza dell’autorizzazione. La Suprema Corte ha ritenuto illogica e immotivata la decisione d’appello, sottolineando che l’autorizzazione all’accesso è legata a precisi limiti temporali e di scopo, la cui violazione integra il reato.

A cura di Carmine Paul Alexander TEDESCO - Avvocato

Prenota un appuntamento

Per una consulenza legale o per valutare una possibile strategia difensiva prenota un appuntamento.

La consultazione può avvenire in studio a Milano, Pesaro, Benevento, oppure in videoconferenza.

PRENOTA

02.37901052

8:00 – 20:00
(Lun - Sab)

Pubblicato il 27 novembre 2025 in Diritto Penale, Giurisprudenza Penale, Procedura Penale

Accesso Abusivo a Sistema Informatico: La Cassazione Chiarisce i Limiti dell’Autorizzazione

L’era digitale ha introdotto nuove sfide per il diritto, tra cui la protezione dei dati e dei sistemi informatici. Una delle questioni più dibattute riguarda l’accesso abusivo a sistema informatico, un reato che si configura non solo quando si violano le misure di sicurezza, ma anche quando si utilizzano credenziali legittime al di fuori degli scopi e dei limiti per cui sono state concesse. Una recente sentenza della Corte di Cassazione (Sent. n. 23571/2024) torna su questo tema cruciale, annullando una sentenza di assoluzione e riaffermando principi fondamentali sulla natura dell’autorizzazione all’accesso.

I Fatti del Caso: Accesso al Server Dopo la Fine del Contratto

La vicenda trae origine da una complessa operazione commerciale tra due società. Una società operante nel settore tecnologico aveva ceduto un proprio ramo d’azienda a un’altra impresa. Parallelamente, era stato stipulato un contratto di servizi (SLA – Service Level Agreement) per regolare la fase di transizione. In questo contesto, un collaboratore della società acquirente aveva ricevuto le credenziali per accedere al server della società venditrice, al fine di gestire la migrazione dei dati relativi al ramo d’azienda ceduto.

Il problema sorge quando, più di un anno dopo la risoluzione del contratto di servizi, si scopre che il collaboratore aveva continuato ad accedere ripetutamente al server. La società proprietaria del server, ritenendo tale condotta illecita, avviava un procedimento penale. Mentre il tribunale di primo grado condannava l’imputato, la Corte d’Appello ribaltava la decisione, assolvendolo. La parte civile, insoddisfatta, proponeva quindi ricorso in Cassazione.

La Decisione della Corte d’Appello: Un’Assoluzione Controversa

Secondo i giudici d’appello, l’accesso non era abusivo. Essi avevano ritenuto che l’autorizzazione a entrare nel server non fosse legata alla durata del contratto di servizi, ma alla necessità, potenzialmente illimitata nel tempo, di recuperare dati accessori relativi alla cessione del ramo d’azienda. In pratica, la Corte territoriale aveva scollegato le due operazioni contrattuali, considerando l’autorizzazione all’accesso come una concessione a tempo indeterminato, funzionale esclusivamente all’esecuzione del contratto di vendita.

Le Motivazioni della Cassazione: Quando l’accesso abusivo a sistema informatico sussiste

La Suprema Corte ha demolito la sentenza d’appello, definendo la sua motivazione ‘apodittica’, ‘lacunosa’ e ‘manifestamente illogica’. Il ragionamento dei giudici di Cassazione si è concentrato su alcuni punti chiave.

Correlazione tra Contratti Ignorata

Innanzitutto, la Cassazione ha criticato la netta separazione operata dalla Corte d’Appello tra il contratto di servizi e quello di cessione. Era invece evidente un’intima correlazione: le credenziali erano state fornite proprio in virtù del contratto di servizi per consentire la transizione dei dati. Di conseguenza, l’autorizzazione doveva considerarsi intrinsecamente legata alla durata e allo scopo di tale contratto. Una volta esaurito il suo scopo, l’autorizzazione veniva meno.

Onere della Motivazione Rafforzata

La Corte ha ribadito un principio fondamentale: quando un giudice d’appello intende riformare una sentenza di condanna in una di assoluzione, ha l’obbligo di fornire una ‘motivazione rafforzata’. Non basta cioè presentare una valutazione alternativa delle prove, ma è necessario dimostrare in modo puntuale e convincente l’erroneità del percorso logico seguito dal primo giudice. Nel caso di specie, la Corte d’Appello si era limitata a definire ‘autoevidente’ il diritto illimitato di accesso, senza supportare tale affermazione con elementi concreti, ignorando le testimonianze di segno contrario e il lungo lasso di tempo trascorso dalla fine del rapporto contrattuale.

La Natura del Reato di Accesso Abusivo

Implicitamente, la sentenza riafferma che il delitto di accesso abusivo a sistema informatico è un reato di pericolo. Ciò significa che il reato si perfeziona con il semplice ingresso nel sistema contro la volontà, espressa o tacita, del proprietario. Non è necessario dimostrare che l’agente abbia effettivamente visualizzato, alterato o sottratto dati specifici. Il superamento dei limiti temporali e funzionali dell’autorizzazione ricevuta è sufficiente a integrare la condotta criminosa.

Le Conclusioni: Implicazioni Pratiche della Sentenza

La decisione della Cassazione ha importanti implicazioni pratiche per aziende e professionisti. L’autorizzazione a accedere a un sistema informatico non può mai essere considerata un ‘assegno in bianco’. Essa è sempre vincolata allo scopo per cui è stata concessa e alla sua durata, che sia esplicita o desumibile dalla natura del rapporto. Continuare a utilizzare credenziali, seppur tecnicamente funzionanti, dopo che lo scopo del loro rilascio è venuto meno, costituisce una violazione della volontà del titolare del sistema e configura il reato di accesso abusivo. Per le aziende, ciò sottolinea l’importanza di una gestione rigorosa delle policy di accesso e di una tempestiva revoca delle credenziali non più necessarie.

Utilizzare credenziali ancora valide dopo la scadenza dell’autorizzazione costituisce reato?
Sì. Secondo la Corte di Cassazione, l’autorizzazione all’accesso è legata a specifici limiti temporali e di scopo. Accedere a un sistema informatico al di fuori di questi limiti, anche con credenziali tecnicamente attive, integra il reato di accesso abusivo a sistema informatico perché avviene contro la volontà del titolare del sistema.

Perché la Corte di Cassazione ha annullato l’assoluzione decisa in appello?
La Cassazione ha annullato l’assoluzione perché ha ritenuto la motivazione della Corte d’Appello illogica, priva di prove e contraddittoria (‘apodittica’). La corte territoriale non ha fornito una giustificazione razionale e adeguata per ribaltare la sentenza di condanna di primo grado, ignorando elementi chiave come la connessione tra i contratti e la durata temporale dell’autorizzazione.

È necessario dimostrare di aver consultato dati specifici e riservati per configurare il reato di accesso abusivo?
No. La sentenza riafferma che il reato di accesso abusivo a sistema informatico è un reato di pericolo. Si perfeziona con il semplice fatto di accedere o mantenersi nel sistema contro la volontà del titolare. Non è quindi necessario provare che l’autore dell’accesso abbia effettivamente danneggiato, sottratto o visualizzato dati specifici.

Testo del provvedimento

Sentenza di Cassazione Penale Sez. 5 Num. 23571 Anno 2024

Penale Sent. Sez. 5 Num. 23571 Anno 2024

Presidente: COGNOME

Relatore: COGNOME NOME

Data Udienza: 28/02/2024

SENTENZA

sul ricorso proposto da:

dalla parte civile RAGIONE_SOCIALE (RAGIONE_SOCIALE) nel procedimento a carico di:

NOME nato a SALERNO il DATA_NASCITA

RAGIONE_SOCIALE

NOME MEYER RAGIONE_SOCIALE

avverso la sentenza del 31/05/2023 della CORTE APPELLO di MILANO

visti gli atti, il provvedimento impugnato e il ricorso; udita la relazione svolta dal AVV_NOTAIO NOME COGNOME; udito il Pubblico Ministero in persona del AVV_NOTAIO, che ha concluso per l’annullamento della sentenza impugnata con rinvio al giudice civile competente in grado d’appello; udito per la parte civile l’AVV_NOTAIO, che ha concluso chiedendo l’accoglimento del ricorso; udito per l’imputato l’AVV_NOTAIO, che ha concluso chiedendo il rigetto del ricorso della parte civile.

RITENUTO IN FATTO

Con la sentenza impugnata la Corte d’appello di Milano, in riforma della pronunzia di primo grado, ha assolto NOME COGNOME per il reato di cui agli art. 81 comma 2 e 615ter c.p. ad oggetto il reiterato accesso abusivo al server in uso alla RAGIONE_SOCIALE mediante l’utilizzo di credenziali in precedenza fornite all’imputato dalla medesima società, ma al quale, secondo l’impostazione accusatoria disattesa dai giudici dell’appello, egli non aveva più diritto di accedere. A seguito della pronunzia assolutoria la Corte territoriale ha altresì disposto la revoca delle statuizioni civili adottate in pr grado.
Avverso la sentenza ricorre, ai soli effetti civili, la parte civile costituita RAGIONE_SOCIALE in persona del suo legale rappresentante NOME COGNOME articolando due motivi. Con il primo deduce erronea applicazione della legge penale. In tal senso il ricorrente lamenta che la Corte territoriale avrebbe escluso la realizzazione dell’elemento materiale del reato in assenza di prova dell’accesso dell’imputato a dati eccedenti i limiti posti alla sua utenza, presupponendo erroneamente che la fattispecie di cui all’art. 615-ter c.p. configuri un reato di danno anziché di pericolo, come invece costantemente ritenuto dalla giurisprudenza di legittimità, che si perfeziona con il mero accesso al sistema informatico contro la volontà espressa o tacita del suo titolare, come avvenuto nel caso di specie, atteso che il NOME avrebbe utilizzato le credenziali oltre i limiti temporali entro cui era stato legittimato a farlo, essendo il rapporto contrattua tra la ricorrente e la società dell’imputato stato risolto più di un anno prima dell’ini delle illecite intrusioni. Con il secondo motivo vengono dedotti vizi di motivazione in merito alla ritenuta insussistenza del requisito dell’abusività degli accessi incriminati. I particolare la Corte territoriale avrebbe illogicamente ritenuto che l’autorizzazione concessa all’imputato di accedere ai dati relativi ai prodotti oggetto del ramo d’azienda poi ceduto alla sua società avesse durata illimitata nel tempo, dimostrando al contrario le risultanze processuali come la stessa avesse validità circoscritta al periodo di esecuzione del contratto di servizi stipulato con la ricorrente e prodromico alla menzionata cessione. E sempre in contrasto con le suddette risultanze il giudice dell’appello avrebbe escluso che sia stata raggiunta la prova dei limiti frapposti al NOME di accedere indiscriminatamente ai contenuti del server RAGIONE_SOCIALE. La Corte avrebbe altresì travisato il contenuto della consulenza tecnica effettuata dalla difesa e della deposizione dibattimentale del consulente in merito all’accertamento della possibilità per l’imputato di accedere, una volta penetrato nel server, a cartelle
GLYPH

informatiche eccedenti l’oggetto per il quale era stato originariamente autorizzato ad entrare nel sistema.

Il difensore dell’imputato ha presentato memoria con la quale ha chiesto che il ricorso della parte civile venga dichiarato inammissibile.

CONSIDERATO IN DIRITTO

Il ricorso è fondato nei termini e nei limiti di seguito esposti.

E’ in particolare fondato il secondo motivo del ricorso della parte civile.

La Corte territoriale ha escluso la natura abusiva degli accessi compiuti dall’imputato al sistema informatico di pertinenza della parte lesa, assumendo che la configurazione in favore dell’imputato di una utenza che gli consentiva di accedere al server di RAGIONE_SOCIALE non rientrasse nell’ambito del contratto di Service Level Agreement stipulato con RAGIONE_SOCIALE (società per conto della quale NOME operava), ma fosse funzionale all’esecuzione del diverso contratto di cessione del ramo d’azienda denominato “RAGIONE_SOCIALE” concluso tra le due società.
2.1 Tale assunto è definito “autoevidente” dalla Corte territoriale, che esclude qualunque connessione tra l’apertura dell’utenza ed il contratto di SLA e, dunque, con la durata di quest’ultimo. La giustificazione che il giudice dell’appello fornisce sostegno di tale conclusione si esaurisce nell’osservazione per cui tale contratto prevedeva che fosse RAGIONE_SOCIALE a prestare servizi di assistenza a RAGIONE_SOCIALE–RAGIONE_SOCIALE e non viceversa, mentre il mantenimento della facoltà del NOME di accedere al server dopo il termine del contratto di servizi troverebbe razionale conferma nella necessità per quest’ultimo e la società per cui operava di reperire i dati accessori del ramo RAGIONE_SOCIALE non già consegnati all’atto della cessione.
La motivazione articolata dalla Corte si rivela non poco apodittica e dunque lacunosa, oltre a presentare profili di manifesta illogicità.

3.1 Va innanzi tutto ribadito che il giudice d’appello, quando riforma in senso assolutorio la sentenza di condanna di primo grado, non ha l’obbligo di rinnovare l’istruzione dibattimentale mediante l’esame dei soggetti che hanno reso dichiarazioni ritenute decisive, ma deve offrire una motivazione puntuale e adeguata, che fornisca una razionale giustificazione della difforme conclusione adottata, anche riassumendo, se necessario, la prova dichiarativa decisiva (Sez. U, n. 14800 del 21/12/2017, dep. 2018, Troise, Rv. 272430).
3.2 Anzitutto meramente assertiva è la confutazione della tesi sviluppata dal giudice di primo grado circa l’esaustività dei dati messi a disposizione di RAGIONE_SOCIALE–RAGIONE_SOCIALE con la cessione del ramo RAGIONE_SOCIALE. Tale confutazione si risolve nell’osservazione che in uno degli allegati al relativo contratto viene fatto riferimento anche alla cessione, oltre c dei dati specificamente indicati, anche di ogni altra informazione ad essi connessa. Da ciò il giudice dell’appello ha desunto che oggetto dell’accordo comprendesse la facoltà di attingere tali “informazioni” sul server di Printigraph (nel quale erano contenuti anche non attinenti a RAGIONE_SOCIALE) senza limiti di tempo. Al di là della singolarità di un accordo siffatto e del fatto che la Corte lo definisce, come ricordato, “autoevidente”, non avendo (evidentemente) rinvenuto nella piattaforma cognitiva alcun elemento idoneo a comprovarlo, ciò significherebbe che Printigraph sarebbe stata inadempiente nell’esecuzione del contratto, continuando a detenere, dopo il termine del contratto di RAGIONE_SOCIALE, “informazioni” oramai di proprietà esclusiva della cessionaria non si comprende a che titolo. Ed ancora più irragionevole appare tale interpretazione proprio alla luce del fatto che tale evenienza non sarebbe stata normata, se non attraverso la concessione per facta concludentia dell’indiscriminato accesso al server della cedente per un periodo illimitato.
In secondo luogo del tutto apoditticamente la Corte ha interpretato il diritto della cessionaria di ricevere “ogni altra informazione” connessa ai dati allegati al contratto e, a tutto concedere, a quelli fatti trasmigrare sul nuovo server dedicato in uso alla stessa come la concessione della facoltà di accedere a piacimento e, sostanzialmente, per sempre a quello di Printigraph. Ed infatti del tutto arbitraria è la identificazione de suddette “informazioni” con i dati contenuti in quest’ultimo, rivelando la clausola contrattuale eventualmente il diritto di RAGIONE_SOCIALE–RAGIONE_SOCIALE di ottenere dalla cedente tali informazioni e non già quello di prelevarli in autonomia. E la differenza si apprezza alla luce delle stesse dichiarazioni dell’imputato, che la Corte ha ritenuto attendibile, circa la natura dei dati oggetto degli accessi eseguiti dopo la risoluzione del contratto di SIA e che il giudice dell’appello ha ritenuto apoditticamente ritenuto riconnpresi nel contratto di cessione.
3.3 Sotto altro profilo la sentenza impugnata assume l’assoluta autonomia tra il contratto di SIA e quello di cessione del ramo d’azienda, trascurando di considerare l’intima correlazione esistente tra gli stessi evidenziata dalla sentenza di primo grado (e ribadita dalla ricorrente). In definitiva la Corte ha negato che l’originaria autorizzazion concessa all’imputato fosse in qualche modo legata all’esecuzione del contratto di SIA, ma non ha spiegato perché il NOME, nel corso di tale esecuzione, necessitasse di accedere al server Printigraph e dunque di interrogarsi, come invece ha fatto il giudice di primo grado in maniera tutt’altro che illogica, se il diritto di utilizzare l’account f
inscindibilmente legato alla durata del contratto di servizi, per consentirgli di accedere ai dati acquistati dalla sua società fino al momento in cui non fosse divenuto operativo il nuovo server dedicato.

3.4 La Corte ha poi ritenuto attendibile la versione offerta dall’imputato sulla persistenza dell’autorizzazione originariamente concessa – e che pure necessiterebbe di riscontri non effettivamente individuati – senza spiegare perché non lo sarebbe quella di segno contrario dei testi COGNOME, COGNOME e COGNOME sul medesimo punto. In proposito la Corte si occupa esclusivamente della deposizione del COGNOME ed ai limitati fini di escludere che questi abbia certificato l’integralità della trasmigrazione dei dati su server dedicato, ma in maniera del tutto generica ed inidonea a rivelare l’eventuale travisamento della stessa operato dal giudice di primo grado e sostanzialmente eccepito dalla sentenza impugnata.
3.5 Infine i giudici dell’appello hanno del tutto trascurato di considerare il rilevante ar temporale nel corso del quale sono stati effettuati gli accessi di cui è contestata l’abusività e il loro numero ai fini di soppesare la credibilità delle giustificazioni off dall’imputato.

Alla luce delle lacune ed aporie motivazionali evidenziate la sentenza impugnata deve dunque essere annullata e deve conseguentemente disporsi rinvio al giudice civile competente per valore in grado d’appello, cui va rimessa altresì la liquidazione delle spese tra le parti per il presente grado di giudizio.

P.Q.M.

Annulla la sentenza impugnata limitatamente, agli effetti civili, con rinvio per nuovo giudizio al giudice civile competente per valore in grado di appello, cui rimette anche la liquidazione delle spese tra le parti per questo grado di legittimità.

Così deciso il 28/ /2024

La selezione delle sentenze e la raccolta delle massime di giurisprudenza è a cura di Carmine Paul Alexander TEDESCO, Avvocato a Milano, Pesaro e Benevento.

Desideri approfondire l'argomento ed avere una consulenza legale?

Prenota un appuntamento. La consultazione può avvenire in studio a Milano, Pesaro, Benevento, oppure in videoconferenza / conference call e si svolge in tre fasi.

Prima dell'appuntamento: analisi del caso prospettato. Si tratta della fase più delicata, perché dalla esatta comprensione del caso sottoposto dipendono il corretto inquadramento giuridico dello stesso, la ricerca del materiale e la soluzione finale.

Durante l’appuntamento: disponibilità all’ascolto e capacità a tenere distinti i dati essenziali del caso dalle componenti psicologiche ed emozionali.

Al termine dell’appuntamento: ti verranno forniti gli elementi di valutazione necessari e i suggerimenti opportuni al fine di porre in essere azioni consapevoli a seguito di un apprezzamento riflessivo di rischi e vantaggi. Il contenuto della prestazione di consulenza stragiudiziale comprende, difatti, il preciso dovere di informare compiutamente il cliente di ogni rischio di causa. A detto obbligo di informazione, si accompagnano specifici doveri di dissuasione e di sollecitazione.

Il costo della consulenza legale è di € 150,00.