La recente Cass., V sez. pen., sent. 52572/2017 è intervenuta sul non raro caso di accesso all’email altrui, chiarendo che tale comportamento è sempre in grado di configurare reato, anche se si conosce la password di accesso alla casella di posta elettronica. È dunque accesso abusivo se l’abilitato a entrare nella casella di posta elettronica viola le prescrizioni che ne regolano l’ingresso, accedendo al contenuto dell’email contro la volontà del titolare dell’email, rischiando così di integrare il reato di cui all’art. 615-ter del codice penale al di là dell’effettiva conoscenza o meno della “parola segreta”.
Accesso abusivo all’email
Le conclusioni di cui sopra sono quelle cui è giunta la Corte di Cassazione, quinta sezione penale, nella propria sentenza n. 52572/2017, laddove ha avuto modo di pronunciarsi sul ricorso di una donna condannata alla pena di giustizia e al risarcimento dei danni nei confronti dell’ex marito, parte civile costituitasi, per il reato di cui all’art. 615-ter, rubricato “Accesso abusivo ad un sistema informatico o telematico”, che sancisce che:
Chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo, è punito con la reclusione fino a tre anni.
La pena è della reclusione da uno a cinque anni:
1) se il fatto è commesso da un pubblico ufficiale o da un incaricato di un pubblico servizio, con abuso dei poteri, o con violazione dei doveri inerenti alla funzione o al servizio, o da chi esercita anche abusivamente la professione di investigatore privato, o con abuso della qualità di operatore del sistema;
2) se il colpevole per commettere il fatto usa violenza sulle cose o alle persone, ovvero se è palesemente armato;
3) se dal fatto deriva la distruzione o il danneggiamento del sistema o l’interruzione totale o parziale del suo funzionamento, ovvero la distruzione o il danneggiamento dei dati, delle informazioni o dei programmi in esso contenuti.
Qualora i fatti di cui ai commi primo e secondo riguardino sistemi informatici o telematici di interesse militare o relativi all’ordine pubblico o alla sicurezza pubblica o alla sanità o alla protezione civile o comunque di interesse pubblico, la pena è, rispettivamente, della reclusione da uno a cinque anni e da tre a otto anni.
Nel caso previsto dal primo comma il delitto è punibile a querela della persona offesa; negli altri casi si procede d’ufficio.
Difendendo la propria posizione, la donna chiedeva l’annullamento della sentenza del giudice d’appello, che già configurava integrata l’ipotesi di reato ex art. 615-ter c.p., ritenendo – tra gli altri motivi addotti a sua difesa – che il reato non potesse sussistere, visto e considerato che la fattispecie in questione, a suo modo di vedere, richiederebbe che il soggetto agente sia consapevole di aggirare le misure di sicurezza finalizzate a proteggere il sistema informatico, mentre, nel caso di cui si è occupata la Suprema Corte, le password le erano state fornite proprio dalla parte civile.
Secondo l’imputata, pertanto, essendo a conoscenza della password di accesso alla casella di posta elettronica, con conoscenza permessa proprio dalla parte civile costituitasi, mancherebbe il carattere abusivo dell’accesso, non essendovi in altri termini compiuto alcun espediente finalizzato ad aggirare la protezione del sistema.
In aggiunta a ciò, la donna sostiene che in realtà l’account di posta elettronica conteneva dei dati anagrafici che non avrebbero fatto capo alla parte offesa, non ritenendo pertanto corretta la posizione del giudice d’appello, che ha individuato nella parte civile l’esclusivo proprietario e creatore della casella di posta elettronica, e pertanto l’unico detentore del diritto di escluderne l’accesso.
La decisione degli Ermellini
Nella fattispecie in esame, i giudici della Suprema Corte accolgono parzialmente il ricorso, considerato che apparirebbe fondata la lamentela della donna sull’intervenuta estinzione del reato di cui è causa, per perenzione del relativo termine massimo di prescrizione, consumatosi nelle more del deposito della motivazione della sentenza impugnata. Sulla base di ciò, la Cassazione dispone l’annullamento senza rinvio della sentenza impugnata per estinzione per prescrizione.
Risulta però di maggiore interesse soffermarsi sulle valutazioni compiute dal Collegio sulle statuizioni civili. In tal caso, infatti, la Corte ritiene infondati gli altri motivi di impugnazione proposti dall’imputata, dichiarando per esempio che non è affatto dimostrato l’assunto difensivo sulla titolarità in capo a soggetto diverso dalla parte civile della casella di posta elettronica oggetto di violazione da parte della donna.
Ancora più interessante è leggere, nelle motivazioni della sentenza in Cassazione, che la conoscenza della password di accesso alla casella di posta elettronica non escluderebbe la sussistenza del reato di cui all’art. 615-ter c.p.
Per la Cassazione, infatti, l’account di posta elettronica è pur sempre uno spazio di memoria protetto da una password personalizzata, di un sistema informatico destinato alla memorizzazione di messaggi o di informazioni di altra natura nell’esclusiva disponibilità del suo titolare, così come identificato da un account registrato presso il provider del servizio.
Pertanto, anche se l’imputata era a conoscenza delle credenziali di accesso poiché gli erano state comunicate dalla parte civile costituita, ciò non escluderebbe comunque il carattere abusivo dei due accessi effettuati dalla donna, soprattutto tenendo conto che tale accesso era ben contrario alla volontà del titolare della casella elettronica, e si era poi concretizzato nella modifica della password, e nell’impostazione di una nuova domanda di recupero contenente una frase ingiuriosa.
Anche per questo motivo, e nella valutazione che gli accessi abusivi compiuti dalla donna abbiano avuto come effetto anche quello di escludere temporaneamente il titolare della casella dalla regolare fruizione del servizio di posta elettronica, i giudici della Corte territoriale hanno ritenuto pienamente provato il superamento da parte dell’imputata dei limiti intrinseci connessi con la conoscenza della password.
Viene pertanto ribadito, in conclusione delle motivazioni, il principio secondo il quale la fattispecie criminosa di accesso abusivo a un sistema informatico e telematico protetto, ex art. 615-ter c.p., viene integrata dalla condotta di accesso o di mantenimento nel sistema posta in essere da soggetto che, pure essendo abilitato, violi le condizioni e di limiti risultanti dal complesso delle prescrizioni impartite dal titolare del sistema per delimitarne oggettivamente l’accesso.