Accesso abusivo sistema informatico: la Cassazione

La Corte di Cassazione conferma la condanna per accesso abusivo a sistema informatico a carico di un dipendente pubblico. Nonostante avesse le credenziali, ha interrogato la banca dati per scopi estranei alle sue funzioni. La Corte ha stabilito che l’autorizzazione all’accesso non è sufficiente se le finalità sono ontologicamente diverse da quelle per cui l’abilitazione è stata concessa. Il motivo dell’azione e l’assenza di un danno economico sono irrilevanti per la configurazione del reato.

A cura di Carmine Paul Alexander TEDESCO - Avvocato

Prenota un appuntamento

Per una consulenza legale o per valutare una possibile strategia difensiva prenota un appuntamento.

La consultazione può avvenire in studio a Milano, Pesaro, Benevento, oppure in videoconferenza.

PRENOTA

02.37901052

8:00 – 20:00
(Lun - Sab)

Pubblicato il 12 gennaio 2026 in Diritto Penale, Giurisprudenza Penale, Procedura Penale

Accesso abusivo sistema informatico: quando le credenziali non bastano

Il reato di accesso abusivo a un sistema informatico, previsto dall’articolo 615-ter del codice penale, continua a essere al centro di importanti pronunce giurisprudenziali. Una recente sentenza della Corte di Cassazione (n. 37344/2024) ha ribadito un principio fondamentale: possedere le credenziali per accedere a un sistema non rende lecita qualsiasi operazione, specialmente per un pubblico ufficiale. Se l’accesso avviene per finalità estranee ai compiti d’ufficio, il reato si configura pienamente. Analizziamo insieme i dettagli di questa decisione.

I fatti del caso

Un dipendente dell’Agenzia delle Entrate è stato accusato e condannato per aver effettuato 257 accessi abusivi al sistema informatico dell’Anagrafe Tributaria in un arco temporale di circa sette anni. Le indagini hanno rivelato che gli accessi riguardavano contribuenti il cui domicilio fiscale si trovava al di fuori della competenza territoriale del suo ufficio. Inoltre, le interrogazioni alla banca dati avvenivano spesso in orari di chiusura al pubblico e concernevano soggetti legati a specifici studi professionali esterni.

L’imputato ha presentato ricorso in Cassazione, lamentando principalmente due aspetti: l’inutilizzabilità delle dichiarazioni da lui rese durante un’ispezione interna, in quanto raccolte senza le garanzie difensive, e un presunto difetto di motivazione delle sentenze di merito che non avrebbero considerato la legittimità dei suoi accessi e l’assenza di un danno per l’amministrazione.

La disciplina dell’accesso abusivo a sistema informatico

La Corte di Cassazione ha dichiarato il ricorso inammissibile, cogliendo l’occasione per consolidare l’interpretazione del reato di accesso abusivo a un sistema informatico. I giudici hanno chiarito che, anche quando un soggetto è abilitato ad accedere, il delitto si perfeziona se viola le condizioni e i limiti imposti dal titolare del sistema. Questo avviene quando l’accesso è effettuato per ragioni ‘ontologicamente estranee’ a quelle per cui la facoltà di accesso è stata attribuita.

In sostanza, non conta solo ‘se’ si può entrare, ma anche ‘perché’ si entra. La finalità dell’azione diventa l’elemento dirimente per distinguere un uso legittimo da uno illecito.

Le motivazioni della Corte

La Corte ha smontato le argomentazioni difensive punto per punto. Innanzitutto, ha ritenuto irrilevante la questione sull’utilizzabilità delle dichiarazioni rese all’audit interno. La condanna, infatti, non si basava su quelle ammissioni, ma su prove acquisite aliunde (da altra fonte), ovvero i dati oggettivi estratti dal sistema informatico: il numero anomalo di accessi, la competenza territoriale esterna, gli orari sospetti e il collegamento dei soggetti interrogati a specifici professionisti. Questi elementi erano di per sé sufficienti a provare la colpevolezza.

Sul punto centrale, la Corte ha ribadito l’insegnamento delle Sezioni Unite: il bene giuridico protetto dall’art. 615-ter è il ‘domicilio informatico’, inteso come uno spazio riservato la cui inviolabilità è garantita dallo ius excludendi alios (il diritto di escludere gli altri) del titolare. Un pubblico ufficiale che utilizza le proprie credenziali per scopi personali o comunque non istituzionali viola questo domicilio, abusando della sua posizione. I motivi che lo spingono, come la percezione di un compenso o altre finalità personali, sono irrilevanti per l’esistenza del reato, che si consuma con il semplice accesso effettuato per scopi diversi da quelli di servizio.

Conclusioni

La sentenza in esame rafforza un principio di grande attualità nell’era digitale: l’autorizzazione all’accesso a un sistema informatico è sempre funzionale a uno scopo. Qualsiasi deviazione da tale scopo trasforma un’azione apparentemente lecita in un reato. Per i pubblici dipendenti, questo significa che le credenziali di servizio possono essere utilizzate esclusivamente per le finalità istituzionali previste. Agire per curiosità, per fare un favore a un amico o per qualsiasi altra ragione personale integra il delitto di accesso abusivo, a prescindere dal fatto che si causi o meno un danno economico o di altra natura all’amministrazione. La decisione conferma la massima tutela per la riservatezza e l’integrità dei dati contenuti nei sistemi informatici pubblici e privati.

Commette reato il dipendente pubblico che accede a una banca dati per scopi personali, pur avendo le credenziali valide?
Sì. Secondo la Corte di Cassazione, il reato di accesso abusivo a un sistema informatico si configura anche se si è abilitati all’accesso, qualora questo avvenga per ragioni ‘ontologicamente estranee’ a quelle per cui è stata concessa l’autorizzazione. La finalità dell’accesso è determinante.

Le dichiarazioni rese a un servizio di audit interno senza la presenza di un avvocato sono sempre inutilizzabili nel processo penale?
Non necessariamente. Nel caso di specie, la Corte ha ritenuto la questione irrilevante perché la condanna si fondava su altre prove oggettive (i log degli accessi). In generale, l’inutilizzabilità deve essere specificamente prevista da una norma del codice di rito, e la sua violazione deve essere dedotta in modo preciso.

Per configurare il reato di accesso abusivo è necessario che l’autore abbia agito per ottenere un guadagno economico?
No. La Corte ha chiarito che gli scopi e le finalità che motivano l’accesso illecito, come la percezione di un compenso, sono irrilevanti per l’esistenza del reato. Il delitto si perfeziona con la semplice violazione del ‘domicilio informatico’ per scopi non autorizzati.

Testo del provvedimento

Sentenza di Cassazione Penale Sez. 5 Num. 37344 Anno 2024

Penale Sent. Sez. 5 Num. 37344 Anno 2024

Presidente: COGNOME

Relatore: COGNOME NOME

Data Udienza: 10/09/2024

SENTENZA

sul ricorso proposto da:

NOME nato a TRICARICO il DATA_NASCITA

avverso la sentenza del 12/01/2024 della CORTE APPELLO di MILANO

visti gli atti, il provvedimento impugnato e il ricorso; udita la relazione svolta dal Consigliere NOME COGNOME; udito il Pubblico Ministero, in persona del Sostituto Procuratore COGNOME pena per i restanti episodi.

che ha concluso chiedendo l’annullamento senza rinvio limitatamente agli episodi per i quali è intervenuta la prescrizione; annullamento con rinvio per rideterminazione della udito il difensore difensore di fiducia dell’imputato NOME, avvocato COGNOME

COGNOME, che si è riportato ai motivi di ricorso insistendo per l’accoglimento dello stesso.

RITENUTO IN FATTO

Con la sentenza impugnata, emessa in data 12 gennaio 2024, la Corte di Appello di Milano ha confermato la sentenza pronunciata dal Tribunale di Pavia in data 31 marzo 2022 che ha ritenuto NOME responsabile del reato di cui all’art. 615 ter, commi 1,2 e 3, cod. pen. in relazione a 257 accessi abusivi al sistema informatico dell’Anagrafe Tributaria, effettuati quale dipendente dell’RAGIONE_SOCIALE ( dal 03/01/2011 al 16/10/2017), condannandolo alla pena di mesi sei di reclusione, con i doppi benefici.
Avverso la sentenza indicata ha proposto ricorso l’imputato per mezzo del suo difensore, AVV_NOTAIO, affidando le sue censure ad un unico motivo articolato in più punti.

2.1. Con il primo punto denuncia vizi di violazione di norme processuali ( art.. 55, 57, 62 e 63 cod.proc.pen, e 220 disp att. cod. proc. pen.) per avere la Corte di appello ritenuto utilizzabili le dichiarazioni rese dall’imputato in sede di attività ispettiv vigilanza. Quest’ultimo era stato interrogato da ispettori del Servizio Audit senza alcuna formalità difensiva, nonostante fossero già emersi a suo carico indizi di reità. Erroneamente la Corte di appello ha ritenuto che gli impiegati dell’Audit non potessero essere considerati come ufficiali o agenti di polizia giudiziaria: le dichiarazioni r dall’imputato avrebbero dovuto essere espunte e la teste COGNOME non avrebbe potuto riferire su quanto dichiarato dall’imputato.
2.2. Denuncia, inoltre, vizio di violazione di legge e di motivazione: la sentenza di primo grado è priva di motivazione, se non apparente, e la Corte di appello, omettendo di considerare quanto dedotto attraverso i motivi di appello e violando l’art. 1 della legg 241/1990, non ha considerato che gli accessi effettuati dall’imputato erano legittimi e che non avevano causato alcun danno all’amministrazione.

3.11 Sostituto Procuratore generale ha chiesto l’annullamento senza rinvio della sentenza impugnata limitatamente alle condotte prescritte e l’annullamento con rinvio alla Corte di appello per le condotte non prescritte per la rideterminazione della pena.

4.11 difensore di fiducia dell’imputato, AVV_NOTAIO, che ha insistito nell’accoglimento del ricorso.

CONSIDERATO IN DIRITTO

Il ricorso è inammissibile.

GLYPH Il primo motivo di ricorso è manifestamente infondato in quanto non si confronta con le motivazioni della sentenza impugnata ed è infruttuoso il tentativo di scardinare il ragionamento probatorio sulla base dell’eccezione di inutilizzabilità dell dichiarazioni rese dall’imputato, ai responsabili del servizio Audit interno all’RAGIONE_SOCIALE, violazione, si assume, dell’art. 220 disp. Att. cod. proc. pen. , in assenza di garanzi difensive pur essendo già emersi indizi di reità a suo carico. Invero, dalla lettura del due sentenze si desume che le dichiarazioni rese in quel contesto dall’odierno imputato hanno avuto un peso sostanzialmente irrilevante nella piattaforma probatoria del procedimento, essendo stato il giudizio di colpevolezza fondato su elementi acquisiti aliunde, ovvero sui dati anomali emersi dal sistema informatico, sui quali ha riferito in dibattimento la teste COGNOME del servizio Audit Manager dell’RAGIONE_SOCIALE e che hanno evidenziato un numero anomalo di interrogazioni eseguite, in anagrafe tributaria, da parte dell’imputato nei confronti di numerosi clienti seguiti dall’intermediario NOME COGNOME COGNOME dal rag. NOME COGNOME, oltre che per 94 nominativi collegati in passato al CAF. Inoltre, gli accessi in questione sono stati eseguiti nella stessa fascia oraria, in orar di chiusura al pubblico dell’ufficio, e molti di essi sono risultati effettuati nei confr
soggetti aventi domicilio fiscale al di fuori della competenza dell’ufficio territoria Vigevano, presso il quale l’imputato prestava servizio all’epoca dei fatti contestat è stato ritenuto sufficiente a rendere provata la fattispecie di reato contesta all’imputato, tanto più considerandosi che il medesimo, in sede di esame dibattimentale, non ha negato la veridicità del fatto storico contestato e la riconducibilità al suo persona agire, essendosi, piuttosto, limitato a precisare di avere agito non a scopo di lucro dietro compenso, e tendendo ad escludere un rapporto di collaborazione con i suddetti studi professionali.
1.1.Chiarita la limitata incidenza che hanno assunto le dichiarazioni rese dall’imputato, in sede di attività amministrativa di vigilanza svolta dal responsabile d sopraindicato servizio Audit interno all’RAGIONE_SOCIALE, deve rilevarsi che la doglianza d inutilizzabilità RAGIONE_SOCIALE relative dichiarazioni, veicolata attraverso il primo motivo di ri oltre che irrilevante, appare comunque infondata dal momento che, secondo gli insegnamenti di questa Corte «la violazione dell’articolo 220 RAGIONE_SOCIALE disposizioni di attuazione al codice di procedura penale non comporta automaticamente l’inutilizzabilità dei risultati probatori acquisiti nell’ambito di attività ispettive o di vigilanza necessario che l’inutilizzabilità o la nullità dell’atto sia autonomamente prevista da norme del codice di rito a cui l’articolo 220 rimanda (Sez. 3, 6594 del 26/10/2016, dep. 2017, Pelini, Rv. 269299 – 01), con la conseguenza che è inammissibile, perché generico, il motivo di ricorso con il quale non vengono indicate, né dedotte le violazioni codicistich che avrebbero prodotto l’eccepita invalidità. Non, dunque, la generica violazione dell’articolo 220 RAGIONE_SOCIALE disposizioni di attuazione al codice di procedura penale può essere dedotta, occorrendo la specifica indicazione della violazione codicistica che avrebbe determinato la nullità o l’inutilizzabilità con riguardo ai singoli atti compiuti dalla p giudiziaria» ( Sez. 3, n. 9977 del 21/11/2019, dep. 2020, Rv. 278423 – 01).
Nella fattispecie in esame, si ribadisce, non risultando comunque utilizzate le dichiarazioni rese dall’imputato in sede di audizione da parte del funzionario dell’Audit ma essendo stato il giudizio di condanna fondato su altre autonome evidenze probatorie, anche documentali, deve escludersi che vi sia stato un vulnus RAGIONE_SOCIALE prerogative difensive.

1.2. Analogamente deve respingersi l’ulteriore rilievo in ordine alla presunta inutilizzabilità RAGIONE_SOCIALE dichiarazioni testimoniali rese dalla teste COGNOME, per violaz degli artt. 62 e 63 cod. proc. pen. sul presupposto che alla suddetta, a norma dell’art. 57 comma 3, cod. pen. debba essere attribuito la qualità di ufficiale di polizia giudiziari Secondo questa Corte, «Il divieto di testimonianza previsto dall’art. 62 c.p.p. opera solo in relazione alle dichiarazioni rese nel corso del procedimento all’autorità giudiziaria, a polizia giudiziaria e al difensore nell’ambito dell’attività investigativa e, pertanto, re escluse da tale divieto le dichiarazioni, anche se a contenuto confessorio, rese dall’imputato o dall’indagato ad un soggetto non rivestente alcuna di tali qualifiche » Sez. 5, n. 30895 del 09/03/2016, Rv. 267699 – 01), non potendo tale qualifica estendersi alla teste. In ogni caso, l’eccezione di inutilizzabilità è infondata anche da una prospetti concreta avendo i giudici di merito valorizzato le dichiarazioni rese dalla teste come veicolo di trasmigrazione nel dibattimento RAGIONE_SOCIALE evidenze documentali autonomamente acquisite nel corso dell’attività di vigilanza compiuta.
Appaiono manifestamente infondati anche gli ulteriori rilievi difensivi con i quali si deduce la nullità della sentenza di primo grado, per difetto di motivazione, che si sarebbe trasmessa alla sentenza di appello per non avere la Corte territoriale motivato in ordine alla sostenuta legittimità degli accessi eseguiti dall’imputato e alla mancanza d danno per l’amministrazione. I Giudici di merito risultano essersi mossi sul solco degli insegnamenti espressi da questa Corte secondo cui « Integra il delitto previsto dall’art. 615-ter, secondo comma, n. 1, cod. pen. la condotta del pubblico ufficiale o dell’incaricato di un pubblico servizio che, pur essendo abilitato e pur non violando le prescrizioni formal impartite dal titolare di un sistema informatico o telematico protetto per delimitarne l’accesso, acceda o si mantenga nel sistema per ragioni ontologicamente estranee rispetto GLYPH a GLYPH quelle GLYPH per GLYPH le GLYPH quali GLYPH la GLYPH facoltà GLYPH di GLYPH accesso GLYPH gli è attribuita».(Sez. U, n. 41210 de/ 18/05/2017, Rv. 271061 – 01). Integra, altresì, la fattispecie criminosa di accesso abusivo a un sistema informatico o telematico protetto, prevista dall’art. 615 ter c.p., la condotta di accesso o di mantenimento nel sistema posta in essere non solo (come è ovvio) da un soggetto non abilitato ad accedervi, ma anche da chi, pure essendo abilitato, violi le condizioni ed i limiti risultanti dal complesso prescrizioni impartite dal titolare del sistema per delimitarne oggettivamente l’accesso, ovvero ponga in essere operazioni di natura ontologicamente diversa da quelle per le quali l’accesso è consentito. Non hanno rilievo, invece, per la configurazione del resto, gl scopi e le finalità che soggettivamente hanno motivato l’ingresso al sistema (cfr. Cass., sez. un., 27/10/2011, 5 n. 4694; Cass., sez. V, 26/06/2015, n. 44403, rv. 266088; Cass., sez. V, 15/01/2015, n. 15950; Cass., sez. V, 20/06/2014, n. 44390, rv. 260763; Cass., sez. V, 30/09/2014, n. 47105). Il bene giuridico tutelato dalla norma in commento viene individuato dalla giurisprudenza di legittimità, del pari con orientamento costante, nell tutela del domicilio informatico sotto il profilo dello ius excludendi alios, anche in relazione alle modalità che regolano l’accesso dei soggetti eventualmente abilitati (cfr., ex plurimis Sez. 2, n. 26604 del 29/05/2019, Rv. 276427). Nella fattispecie in esame, la configurabilità del reato di cui all’art. 615-ter cod. pen. si rivela pacificamente desumibile dalle pronunce di merito, essendo stato evidenziato che i numerosi accessi all’Anagrafe Tributaria da parte dell’imputato hanno riguardato soggetti con domicilio fiscale al di fuor della competenza dell’Ufficio Territoriale presso il quale prestava servizio l’imputato, peraltro in fascia oraria di chiusura dell’Ufficio. Inoltre, con motivazione congrua immune da censure, è stata sottolineata l’irrilevanza della circostanza (negata dall’imputato) della percezione di compensi in quanto la percezione di un’utilità economica, a fondamente dell’agire (comunque) illecito del soggetto, non rientra nella struttura del reato, essendo, irrilevanti i motivi e le finalità che possano spingere il s a violare il domicilio informatico altrui. Corte di Cassazione – copia non ufficiale
L’inammissibilità del ricorso impedisce di dichiarare la prescrizione per quelle condotte i cui termini risultino maturati.

Conclusivamente il ricorso deve essere dichiarato inammissibile con condanna del ricorrente al pagamento RAGIONE_SOCIALE spese del giudizio ed al pagamento della somma di euro 3.000,00 in favore della Cassa RAGIONE_SOCIALE ammende.

Dichiara inammissibile il ricorso e condanna il ricorrente al pagamento RAGIONE_SOCIALE spese del giudizio ed al pagamento della somma di euro 3.000,00 in favore della Cassa RAGIONE_SOCIALE ammende.

Così deciso il 10/09/2024.

La selezione delle sentenze e la raccolta delle massime di giurisprudenza è a cura di Carmine Paul Alexander TEDESCO, Avvocato a Milano, Pesaro e Benevento.

Desideri approfondire l'argomento ed avere una consulenza legale?

Prenota un appuntamento. La consultazione può avvenire in studio a Milano, Pesaro, Benevento, oppure in videoconferenza / conerence call e si svolge in tre fasi.

Prima dell'appuntamento: analisi del caso prospettato. Si tratta della fase più delicata, perché dalla esatta comprensione del caso sottoposto dipendono il corretto inquadramento giuridico dello stesso, la ricerca del materiale e la soluzione finale.

Durante l’appuntamento: disponibilità all’ascolto e capacità a tenere distinti i dati essenziali del caso dalle componenti psicologiche ed emozionali.

Al termine dell’appuntamento: ti verranno forniti gli elementi di valutazione necessari e i suggerimenti opportuni al fine di porre in essere azioni consapevoli a seguito di un apprezzamento riflessivo di rischi e vantaggi. Il contenuto della prestazione di consulenza stragiudiziale comprende, difatti, il preciso dovere di informare compiutamente il cliente di ogni rischio di causa. A detto obbligo di informazione, si accompagnano specifici doveri di dissuasione e di sollecitazione.

Il costo della consulenza legale è di € 150,00.