Violazione dell’account di posta elettronica del dipendente: quale reato?

Violazione dell’account di posta elettronica del dipendente: quale reato?

Corte di Cassazione, sez. V, sent. 31.03.2016 n. 13057.

La distorsione di internet ha permesso la proliferazione dei cd. cybercrimes, soprattutto nelle realtà aziendali, dove si osserva un aumento di tali fattispecie, subìte o imputabili al titolare dell’impresa.

A riguardo, non si può rimanere indifferenti di fronte ai dati acquisiti dall’interessante report “Pwc Global Crime Survey 2016”, indagine globale sul fenomeno delle frodi economico-finanziarie, dalla quale è emerso che i crimini informatici occupano il terzo posto (circa 20%) tra le tipologie di frodi subìte dalle imprese (1 azienda su 5 è stata vittima di crimini informatici), con un ammontare di danni superiore al milione di euro solo nel 2015.

Tra questi, un fenomeno che merita attenzione riguarda la violazione degli account di posta elettronica, specie se tale comportamento viene adottato dal datore di lavoro nei confronti dei dipendenti.

Sebbene questa particolare tipologia di condotta possa suscitare numerose problematiche di tipo giuridico, specie di tipo probatorio, è soprattutto la possibilità che la stessa possa configurare la fattispecie di accesso abusivo ad un sistema informatico o telematico (art. 615-ter c.p.) che ha reso necessaria una pronuncia della Corte di Cassazione, intervenuta, infatti, con la sentenza n. 13057/2016.

Prima di soffermarsi sul caso di specie e sulle osservazioni mosse su tale interessante tematica, si ricorda che la fattispecie di accesso abusivo ad un sistema informatico è stata oggetto, negli ultimi tempi, di numerosi approdi giurisprudenziali.

In questo senso vanno ricordate le SS.UU., sent. n. 17325/15, che ha statuito che il luogo di consumazione del delitto di cui all’art. 615-ter c.p. “è quello nel quale si trova il soggetto che effettua l’introduzione abusiva o vi si mantiene abusivamente”, soppiantando l’orientamento che individuava, invece, come tale, il luogo in cui è posto il server all’interno del quale sono archiviati i dati oggetto di trattamento abusivo; nonché la sent. n. 4694/2012, che ritiene configurabile la fattispecie anche da parte di colui che, sebbene abilitato all’accesso, “violi le condizioni e i limiti risultanti dal complesso delle prescrizioni impartite dal titolare del sistema per delimitarne oggettivamente l’accesso”, aggiungendo, inoltre, che rimangono irrilevanti le finalità per cui l’accesso viene effettuato.

Tutto ciò premesso veniamo alla pronuncia in esame, la quale deriva dalla condanna in appello del responsabile di un ufficio di Polizia provinciale per il delitto di cui all’art. 615-ter c.p. per aver violato la posta elettronica nonché preso visione e scaricato contenuti di alcuni messaggi di uno dei dipendenti.

Il primo problema posto dal caso di specie è proprio la possibilità di attribuire all’account di posta elettronica la qualifica di “sistema informatico” richiesta dalla fattispecie.

Secondo il ricorrente, infatti, la casella personale costituisce un’entità estranea che non solo non può essere fatta rientrare nella nozione di sistema informatico, ma non costituisce neanche il “domicilio informatico” che la legge intende tutelare con il delitto di accesso abusivo.

Per comprendere la soluzione adottata dalla corte di legittimità è utile ricordare, preliminarmente, la definizione di sistema informatico contenuta all’art. 1 della Convenzione di Budapest (Convenzione del Consiglio d’Europa sulla criminalità informatica, firmata il 23.11.2001 e ratificata in Italia con la Legge 48/2008), secondo cui per tale deve intendersi “qualsiasi apparecchiatura o gruppo di apparecchiature interconnesse o collegate, una o più delle quali, in base ad un programma, compiono l’elaborazione automatica di dati”.

È proprio sulla base di questo assunto che dapprima la Suprema Corte conferma quanto appena ricordato a livello normativo, osservando che “il sistema informatico recepito dal legislatore non può essere che il complesso organico di elementi fisici (hardware) ed astratti (software) che compongono un apparato di elaborazione dati”, per poi chiarire, rispetto alla casella di posta elettronica, che la stessa costituisce senza dubbio un sistema informatico perché “non è altro che uno spazio di memoria di un sistema informatico destinato alla memorizzazione di messaggi, o informazioni di altra natura (immagini, video, ecc), di un soggetto identificato da un account registrato presso un provider del servizio”.

Si ritiene, quindi, di conseguenza che la violazione di un account mail integra la fattispecie di accesso abusivo di cui all’art. 615-ter c.p., in quanto “la casella non è altro che una porzione della complessa apparecchiatura – fisica e astratta – destinata alla memorizzazione delle informazioni”.

Anche in questo caso la manifestazione dello ius excludendi alios viene attuato dal titolare mediante l’apposizione di protezioni al sistema (es. password).

Rispetto, invece, alla possibilità che la casella di posta elettronica costituisca un domicilio informatico, la Corte, riprendendo la relazione al disegno della L. 547/1993, ne convalida in tal senso l’essenza perché la stessa rappresenta “l’espansione ideale dell’area di rispetto pertinente al soggetto interessato” e non un semplice contenitore fisico di elementi.

Ultimo aspetto è il raccordo di tali conclusioni con la fattispecie di cui all’art. 616 c.p. (Violazione, sottrazione e soppressione di corrispondenza), la quale, senza difficoltà e sulla base dell’insegnamento della sentenza della Corte di Cassazione, sez. V, n. 47096/2007 (che ha esteso l’applicabilità di tale delitto anche al caso della posta elettronica), potrà concorrere insieme al delitto di accesso abusivo.

Infine, preme evidenziare l’attualità di tali condotte, soprattutto in ambito aziendale, come nel caso di specie.

Continuano, infatti, a registrarsi episodi di datori di lavoro che “spiano” gli account mail dei propri dipendenti, comportamento controverso che ripropone l’annoso problema dei limiti al potere di sorveglianza del datore di lavoro e del controllo a distanza del dipendente.

A riguardo, è di qualche giorno fa l’ultima decisione in merito del Garante della Privacy, il quale conferma che il datore di lavoro non può controllare indiscriminatamente la posta elettronica e la navigazione in rete dei propri lavoratori, costituendo tale modalità una violazione della privacy del dipendente, e i dati a loro volta raccolti, un trattamento illecito ai sensi del D.Lgs. 196/2003.


Salvis Juribus – Rivista di informazione giuridica
Direttore responsabile Avv. Giacomo Romano
Listed in ROAD, con patrocinio UNESCO
Copyrights © 2015 - ISSN 2464-9775
Ufficio Redazione: redazione@salvisjuribus.it
Ufficio Risorse Umane: recruitment@salvisjuribus.it
Ufficio Commerciale: info@salvisjuribus.it
The following two tabs change content below.

Articoli inerenti