REATI INFORMATICI
Corte di Cassazione penale: Dropbox, quando scatta il reato di accesso abusivo a un sistema informatico.
Chi è l'effettivo titolare dello spazio "Dropbox", il servizio cloud che permette la condivisione dei file, all'interno di un rapporto di lavoro o commerciale?
A questa domanda cerca di dare risposta la Corte di cassazione, con la sentenza n. 27900/2023, accogliendo, con rinvio, il ricorso di due persone condannate per accesso abusivo a un sistema informatico per aver modificato l'indirizzo e-mail collegato all'accountmesso da loro a disposizione dell'azienda per cui lavoravano.
Per l'accusa tale comportamento integra indubbiamente una condotta di accesso abusivo al sistema, in quanto "l'operazione è idonea a vietare l'accesso al sistema proprio al titolare del sistema stesso configurando ex se una violazione dei limiti imposti a terzi in possesso delle password".
Di diverso avviso la Quinta sezione penale secondo la quale la Corte territoriale dovrà individuare quali erano i soggetti effettivamente legittimati ad accedere in via esclusiva allo spazio "Dropbox".
Appare incontestato, prosegue il ragionamento della Cassazione, che lo spazio "Dropbox" venne creato dagli imputati per facilitare la loro attività lavorativa in favore della società e, in tale prospettiva, da loro messo a disposizione della stessa, che consentì a collegarvi, per l'accesso, un account, contraddistinto da un indirizzo telematico riconducibile all'azienda. Allo stesso modo risulta evidente che i ricorrenti erano legittimati ad accedere allo spazio virtuale e a immettervi dati o informazioni relativi ai progetti elaborati nell'interesse dell'azienda.
Se ciò è vero, prosegue la decisione, siccome la condotta incriminata è consistita nel cambiamento dell'indirizzo telematico, che non consentiva alla "società" di utilizzare lo spazio "Dropbox" creato dagli imputati, "diventa decisivo accertare quale fosse la disciplina di utilizzazione dello spazio "Dropbox" applicabile in concreto quando venne operata la suddetta modifica".
Si tratta, in altri termini, di verificare se lo spazio di archiviazione "Dropbox":
1) fosse di pertinenza esclusiva degli imputati, dovendo a essi farsene risalire la creazione, ed essendo da essi concesso momentaneamente in uso alla "società", in pendenza del loro rapporto di lavoro, senza che tale disponibilità facesse venir meno il loro potere di modificare le condizioni di accesso allo spazio in questione, proprio in quanto di loro esclusiva pertinenza;
2) se, invece, una volta creato, sia pure per iniziativa degli imputati, tale spazio fosse divenuto di pertinenza esclusiva della "società", sicché l'accesso dei ricorrenti al sistema per modificarne l'account attraverso il cambiamento dell'indirizzo telematico, in modo da non consentirne oggettivamente l'utilizzazione da parte della "società" deve considerarsi effettuato per ragioni ontologicamente estranee rispetto a quelle per le quali la facoltà di accesso e di mantenimento nel sistema era stata loro attribuita;
3) se, infine, lo spazio "Dropbox" fosse oggetto di una condivisione tra i prevenuti e la "società", in virtù della quale ciascuno di essi poteva ritenersi titolare di uno ius excludendi alios, condivisione, tuttavia, che, a causa della risoluzione del rapporto di lavoro e di creazione della nuova società da parte dei ricorrenti, doveva ritenersi venuta meno.
Tutti profili che non risultano sufficientemente affrontanti dalla sentenza di condanna della Corte di appello.
(Fonte: sito web Federprivacy, tratto da Il Sole 24 Ore - Autore: Francesco Machina Grifeo)
A questa domanda cerca di dare risposta la Corte di cassazione, con la sentenza n. 27900/2023, accogliendo, con rinvio, il ricorso di due persone condannate per accesso abusivo a un sistema informatico per aver modificato l'indirizzo e-mail collegato all'accountmesso da loro a disposizione dell'azienda per cui lavoravano.
Per l'accusa tale comportamento integra indubbiamente una condotta di accesso abusivo al sistema, in quanto "l'operazione è idonea a vietare l'accesso al sistema proprio al titolare del sistema stesso configurando ex se una violazione dei limiti imposti a terzi in possesso delle password".
Di diverso avviso la Quinta sezione penale secondo la quale la Corte territoriale dovrà individuare quali erano i soggetti effettivamente legittimati ad accedere in via esclusiva allo spazio "Dropbox".
Appare incontestato, prosegue il ragionamento della Cassazione, che lo spazio "Dropbox" venne creato dagli imputati per facilitare la loro attività lavorativa in favore della società e, in tale prospettiva, da loro messo a disposizione della stessa, che consentì a collegarvi, per l'accesso, un account, contraddistinto da un indirizzo telematico riconducibile all'azienda. Allo stesso modo risulta evidente che i ricorrenti erano legittimati ad accedere allo spazio virtuale e a immettervi dati o informazioni relativi ai progetti elaborati nell'interesse dell'azienda.
Se ciò è vero, prosegue la decisione, siccome la condotta incriminata è consistita nel cambiamento dell'indirizzo telematico, che non consentiva alla "società" di utilizzare lo spazio "Dropbox" creato dagli imputati, "diventa decisivo accertare quale fosse la disciplina di utilizzazione dello spazio "Dropbox" applicabile in concreto quando venne operata la suddetta modifica".
Si tratta, in altri termini, di verificare se lo spazio di archiviazione "Dropbox":
1) fosse di pertinenza esclusiva degli imputati, dovendo a essi farsene risalire la creazione, ed essendo da essi concesso momentaneamente in uso alla "società", in pendenza del loro rapporto di lavoro, senza che tale disponibilità facesse venir meno il loro potere di modificare le condizioni di accesso allo spazio in questione, proprio in quanto di loro esclusiva pertinenza;
2) se, invece, una volta creato, sia pure per iniziativa degli imputati, tale spazio fosse divenuto di pertinenza esclusiva della "società", sicché l'accesso dei ricorrenti al sistema per modificarne l'account attraverso il cambiamento dell'indirizzo telematico, in modo da non consentirne oggettivamente l'utilizzazione da parte della "società" deve considerarsi effettuato per ragioni ontologicamente estranee rispetto a quelle per le quali la facoltà di accesso e di mantenimento nel sistema era stata loro attribuita;
3) se, infine, lo spazio "Dropbox" fosse oggetto di una condivisione tra i prevenuti e la "società", in virtù della quale ciascuno di essi poteva ritenersi titolare di uno ius excludendi alios, condivisione, tuttavia, che, a causa della risoluzione del rapporto di lavoro e di creazione della nuova società da parte dei ricorrenti, doveva ritenersi venuta meno.
Tutti profili che non risultano sufficientemente affrontanti dalla sentenza di condanna della Corte di appello.
(Fonte: sito web Federprivacy, tratto da Il Sole 24 Ore - Autore: Francesco Machina Grifeo)
