L’ex Direttore commerciale di una società veniva tratto a giudizio con l’accusa di aver superato i limiti di utilizzo del personal computer aziendale, in prossimità delle dimissioni e quindi prima di divenire amministratore di altra azienda con la prima concorrente, servendosi dell’accesso per copiare abusivamente, a fini personali, i dati riservati delle società per la quale lavorava e poi cancellarli, con particolare riferimento a file aziendali e a una rubrica contenente numerosi biglietti di visita corrispondenti a “contatti aziendali”. La Corte di Cassazione, Sez. V Penale, con sentenza dello scorso 25/1/2021 si è pronunciata sulle condizioni per ritenere sussistente sia il delitto di “rivelazione di segreti scientifici o commerciali” (art. 623 del Codice penale), sia quello di “appropriazione indebita” (art. 646 C.p.). La vicenda offre altresì spunto per un’analisi sul delitto di “accesso abusivo a sistema informatico” (art. 615 ter C.p.), configurabile in situazioni affini a quella oggetto della sentenza commentata.

Responsabilità del dipendente infedele

L’art. 623 del Codice penale recita: “chiunque, venuto a cognizione per ragione del suo stato o ufficio, o della sua professione o arte, di segreti commerciali o di notizie destinate a rimanere segrete, sopra scoperte o invenzioni scientifiche, li rivela o li impiega a proprio o altrui profitto, è punito con la reclusione fino a due anni. La stessa pena si applica a chiunque, avendo acquisito in modo abusivo segreti commerciali, li rivela o li impiega ad altrui profitto. Se il fatto relativo ai segreti commerciali è commesso tramite qualsiasi strumento informatico la pena è aumentata”.

Con la recentissima sentenza citata, la Cassazione ha affermato che l’art. 623 protegge il “diritto personale dell’imprenditore all’organizzazione dell’attività economica”, al quale corrisponde “l’obbligo di fedeltà e correttezza” dei collaboratori. È centrale, nella prospettiva della Corte, “la libertà dell’imprenditore a non vedere scompaginato l’assetto organizzativo dell’impresa dall’infedeltà dei propri dipendenti” (Cass. Pen. Sez. V, dep. 25/1/2021 n. 3000/21 fonte CED Cass. Pen.).

È quindi tutelato il patrimonio di conoscenze dell’impresa, frutto di ricerca ed esperienze accumulatesi negli anni, tale da assicurare alla stessa un vantaggio sul mercato.

La responsabilità del dipendente infedele può non limitarsi a questo: infatti, tale fattispecie coesiste con il delitto di appropriazione indebita (art. 646 C.p.) ogniqualvolta la condotta abbia a oggetto supporti informatici (tipico il caso del dipendente che si appropria della chiavetta aziendale sulla quale trasfonde le informazioni che intende utilizzare successivamente) o cartacei contenenti i dati aziendali riservati sopra commentati. Non solo.

Recentemente la Suprema Corte di legittimità ha affermato un principio innovativo che estende le ipotesi di concorso tra i due reati: “i dati informatici (files) sono qualificabili “cose mobili” ai sensi della legge penale e, pertanto, costituisce condotta di appropriazione indebita la sottrazione da un personal computer aziendale, affidato per motivi di lavoro, dei dati informatici ivi collocati, provvedendo successivamente alla cancellazione dei medesimi e alla restituzione del computer “formattato” … il file, pur non potendo essere materialmente percepito dal punto di vista sensoriale, possiede una dimensione fisica costituita dalla grandezza dei dati che lo compongono, come dimostrano l’esistenza di unità di misurazione della capacità di un file di contenere dati e la differente grandezza dei supporti fisici in cui i files possono essere conservati e elaborati … va considerata la capacità del file di essere trasferito da un supporto informatico ad un altro … così come la possibilità che lo stesso dato viaggi attraverso la rete Internet per essere inviato da un sistema o dispositivo ad un altro sistema … oppure per essere “custodito” in ambienti “virtuali” … in conclusione, pur se difetta il requisito della apprensione materialmente percepibile del file in sé considerato (se non quando esso sia fissato su un supporto digitale che lo contenga), di certo il file rappresenta una cosa mobile suscettibile di esser trasferita da un luogo a un altro, anche senza l’intervento di strutture fisiche direttamente apprensibili dall’uomo” (Cass. Pen. Sez. II, dep. 10/04/2020 n. 11959 – fonte Sistema Penale).

Con il Decreto n. 63/2018 il Legislatore ha inoltre introdotto un ulteriore, efficace strumento di tutela a favore dell’imprenditore, disciplinando la responsabilità penale di chi, essendo obbligato alla riservatezza per espresso provvedimento adottato dal Giudice civile, trasgredisce al relativo ordine (art. 388 del Codice Penale). È questo il caso che si verifica quando l’azienda si rivolge al Tribunale civile ottenendo un provvedimento cautelare urgente (talvolta concesso nell’arco di pochi giorni o settimane) nei confronti dell’ex collaboratore infedele e questi, malgrado ciò, persista nell’utilizzo indebito delle informazioni aziendali abusivamente acquisite.

Una considerazione ulteriore: nella realtà concreta può accadere che il collaboratore pianifichi la propria fuoriuscita dall’azienda prendendo accordi preventivi con la concorrente presso la quale si recherà a prestare servizio. Ove quest’ultima sia a conoscenza della “dote di informazioni” riservate che il nuovo collaboratore porterà con sé, potrà configurarsi un’ipotesi di concorso di persone nel reato: ad esempio per aver il nuovo datore di lavoro fatto nascere o rafforzato nel collaboratore infedele il proposito criminoso di sottrazione o utilizzo dei dati riservati del concorrente (cfr. Cass. Pen. Sez. V, dep. 12/7/2016 n. 29205 – fonte CED Cass. Pen.).

L’accesso abusivo al sistema informatico dell’azienda

Ove non ricorrano nel caso concreto estremi di appropriazione indebita né elementi per dare luogo all’applicazione dell’art. 623 C.p., ad esempio perché il collaboratore dimissionario non si è impossessato di informazioni rientranti nella nozione di “segreti commerciali o di notizie destinate a rimanere segrete”, la condotta da lui realizzata duplicando senza autorizzazione file aziendali, può comunque essere punita ai sensi dell’art. 615 ter C.p.

Tale disposizione prevede che “chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo, è punito con la reclusione fino a tre anni”.

Con la recente sentenza Cass. Pen. Sez. V (dep. 02/12/2020) n. 34296 (fonte De Jure), la Suprema Corte di legittimità ha affermato che l’accesso al sistema informatico deve considerarsi abusivo “qualora avvenga mediante superamento e violazione delle chiavi fisiche ed informatiche di accesso o delle altre esplicite disposizioni su accesso e mantenimento date dal titolare del sistema”. Viene quindi considerato illecito e abusivo qualsiasi comportamento ‘ontologicamente incompatibile’ con i presupposti e le condizioni legittimanti l’accesso al sistema informatico, con conseguente utilizzo del sistema stesso in modo estraneo alla ratio del conferimento del relativo potere (Cass. Pen. Sez. V, 20/09/2018 n. 48895 – fonte Rivista di Diritto Industriale 2019, 4-05, II, 437).

La norma è volta a tutelare il cosiddetto domicilio informatico sotto il profilo del diritto di escludere da esso i terzi, anche con riferimento alle modalità che regolano l’accesso di soggetti eventualmente abilitati entro certi limiti e per specifiche finalità. Ne deriva che può rispondere del reato in questione anche un collaboratore che, seppure formalmente abilitato ad accedere al sistema informatico per ragioni legate al proprio incarico, vi si trattenga contravvenendo alle prescrizioni impartitegli dal datore di lavoro o comunque compiendo azioni per loro natura difformi da quelle per le quali era stato abilitato all’accesso.

Precedentemente anche le Sezioni Unite (sent. n. 41210 del 18/5/2017 – fonte Cassazione penale 2018, 2, 509) avevano affermato la rilevanza della “finalità perseguita dall’agente, che deve essere confacente alla ratio sottesa al potere di accesso, il quale mai può essere esercitato in contrasto con gli scopi che sono a base dell’attribuzione del potere, nonché in contrasto con le regole dettate dal titolare o dall’amministratore del sistema”.

In tale cornice la Cassazione ha affermato che commette il reato di accesso abusivo a sistema informatico anche il dipendente che giri sulla propria mail personale file aziendali riservati (Cass. Pen. Sez. V, 8/1/2019, n. 565 – Fonte Guida al diritto 2019, 12, 87).

Conclusivamente è utile ricordare che il delitto di cui all’art. 615 ter C.p. può essere punito anche nella forma tentata allorché la condotta si concretizzi in atti idonei e diretti in modo non equivoco ad accedere abusivamente al sistema informatico.

di Avv. Gian Maria Mosca; Avvocato del Foro di Torino