L’accesso abusivo a un sistema informatico o telematico (art. 615-ter c.p.) non è più, da tempo, una figura “da hacker”. È un reato che vive nelle aziende, nelle pubbliche amministrazioni, negli ospedali. E spesso esplode dove la tecnologia è quotidianità silenziosa: un gestionale, un fascicolo, un dossier sanitario, una casella e-mail.
La fattispecie incrimina due condotte alternative, da un lato l’introduzione abusiva in un sistema protetto, dall’altro il mantenimento al suo interno contro la volontà, anche tacita, di chi ha il potere di escludere.
Il punto non è “toccare” un computer, bensì oltrepassare le barriere che presidiano la memoria del sistema e porsi in condizione di richiamare dati e programmi. È qui che si materializza la soglia penalmente rilevante.
Questa impostazione ha una conseguenza pratica che risiede nel fatto che la contestazione non richiede necessariamente che l’agente abbia letto o copiato un file. L’accesso, in sé, è già la condotta tipica, perché considerata ex ante pericolosa per la riservatezza.
La tutela penale opera solo se il sistema è protetto da misure di sicurezza. Non è un dettaglio redazionale. È una scelta di politica criminale che delimita l’area del penalmente rilevante e, insieme, “responsabilizza” il titolare. La protezione, dunque, segnala un interesse concreto alla riservatezza.
È essenziale anche un altro passaggio: non è necessario che l’accesso avvenga mediante aggiramento delle misure. Se il sistema è protetto, l’accesso resta tipico anche quando la protezione sia temporaneamente disattivata e l’agente ne approfitti consapevolmente.
Quanto alle misure, rientrano sia quelle “logiche” (password, credenziali, autenticazioni), sia quelle fisiche che condizionano l’uso del sistema. Al contrario, non sempre assumono rilievo le misure riferite ai locali. Il baricentro resta il sistema, non la porta dell’ufficio.
Interessante notare come l’avverbio “abusivamente” lavori come una lama sottile. Taglia la fattispecie sul tema della legittimazione.
Un accesso può essere abusivo anche quando chi entra ha credenziali valide, se quelle credenziali sono usate oltre il perimetro oggettivo delle prescrizioni imposte dal titolare. È il terreno tipico dei contesti lavorativi: si è “dentro”, ma non si è “autorizzati a quel dentro”.
Autorevole Dottrina valorizza l’approccio secondo cui rileva l’oggettiva violazione delle prescrizioni sull’uso del sistema (disposizioni interne, prassi aziendali, clausole del contratto individuale). In questa prospettiva, le finalità soggettive non bastano, da sole, a costruire l’abusività: conta il titolo di accesso, e la sua violazione in concreto.
La giurisprudenza di legittimità ha conosciuto un confronto ruvido su un quesito che è tutto tranne che teorico: quando un soggetto “abilitato” diventa penalmente abusivo?
Com’è noto, le Sezioni Unite del 2011 hanno ancorato l’abusività al dato oggettivo della permanenza e alla violazione delle prescrizioni del dominus, escludendo che la rilevanza penale dipenda automaticamente dagli scopi personali. Il dissenso tacito non si presume dalle intenzioni, ma dalla frizione con le regole di accesso e permanenza. La successiva pronuncia delle Sezioni Unite del 2017 viene letta invece come un affinamento, ma anche come una svolta. In contesti pubblici, soprattutto, la permanenza diventa penalmente rilevante quando l’accesso avviene per ragioni ontologicamente estranee a quelle istituzionali che giustificano l’abilitazione. La regola non è meramente formalistica, e tende a “seguire” la funzione.
Il risultato è una zona ad alta densità di rischio: l’utente “autorizzato” non è al riparo, perché l’autorizzazione non è un lasciapassare assoluto. È un mandato delimitato.
Non è un caso che vi sia stato l’innalzamento delle pene e l’ampliamento di alcune aggravanti, a seguito delle modifiche operative dal 17 luglio 2024, con l’aumento della severità in ipotesi qualificate (pubblico ufficiale/incaricato di pubblico servizio; violenza/minaccia; eventi di danneggiamento o sottrazione/inaccessibilità dei dati), e l’irrigidimento del trattamento quando l’oggetto è un sistema di interesse pubblico (ordine pubblico, sicurezza, sanità, protezione civile).
Questo passaggio non è solo punitivo. È simbolico. La “sanità digitale”, in particolare, viene trattata come infrastruttura sensibile.
Fatta questa doverosa premessa, possiamo ora venire al commento della recente sentenza della Corte di Cassazione Sezione lavoro, n. 28887 dello scorso 1° novembre (premere qui per leggere), con la quale è intervenuto in un caso di un’operatrice URP che avrebbe effettuato trenta accessi illeciti al Dossier Sanitario Elettronico, consultando per ragioni personali i fascicoli sanitari di vicini di casa, senza giustificazione di servizio.
Non vi è contestazione sulla titolarità formale delle credenziali. Il punto decisivo è un altro, ossia l’uso del sistema per fini personali, del tutto avulsi dalle mansioni assegnate.
Su tale base, l’azienda ha irrogato il licenziamento per giusta causa, ritenendo definitivamente compromesso il rapporto fiduciario.
Il cuore del giudizio di legittimità risiede nella qualificazione giuridica della condotta. La lavoratrice ha sostenuto che l’accesso non potesse dirsi abusivo, poiché effettuato tramite credenziali legittimamente attribuite.
La Corte ha respinto tale impostazione con nettezza. E lo fa richiamando un principio ormai consolidato: l’abilitazione tecnica non equivale a una autorizzazione incondizionata.
L’accesso è abusivo quando avviene in violazione delle prescrizioni che ne delimitano l’uso, soprattutto se le finalità perseguite risultano radicalmente estranee a quelle istituzionali. È una nozione funzionale, non meramente formale.
Uno degli snodi più significativi della decisione è il richiamo espresso alla rilevanza penale della condotta, sussumibile nell’art. 615-ter c.p
La Cassazione non afferma che il giudice del lavoro debba accertare il reato. Né trasforma il procedimento disciplinare in un surrogato del processo penale. Ma utilizza la tipicità penale come parametro di gravità oggettiva del comportamento.
È un passaggio delicato ma coerente. Quando una condotta integra, almeno in astratto, una fattispecie criminosa posta a tutela della riservatezza informatica, essa difficilmente può essere considerata di scarsa rilevanza disciplinare.
E il contesto sanitario incide in modo decisivo sulla valutazione del vincolo fiduciario. La Corte sottolinea come il dato sanitario rappresenti una delle massime espressioni della sfera privata dell’individuo.
Chi opera in una struttura sanitaria riceve un affidamento qualificato. Non solo competenza tecnica, ma lealtà informativa. L’accesso indebito a cartelle cliniche, anche senza diffusione o utilizzo esterno, costituisce una violazione intrinseca della fiducia, perché incrina la ragione stessa per cui l’accesso è consentito.
In questa prospettiva, la pluralità degli accessi non è un’aggravante aritmetica. È la prova di una condotta consapevole e reiterata, incompatibile con l’idea di errore episodico.
La Corte conferma la valutazione di proporzionalità operata dai giudici di merito, è ritiene legittimo il licenziamento per giusta causa perché la condotta è intenzionale, le finalità sono esclusivamente personali, l’oggetto dell’accesso è costituito da dati altamente sensibili, il comportamento è reiterato nel tempo.
In tale quadro, non residua spazio per sanzioni conservative. La prosecuzione del rapporto, anche provvisoria, risulterebbe incompatibile con il grado di affidabilità richiesto.
Il portato sistematico della sentenza può essere sintetizzato in un principio chiaro:
l’accesso a un sistema informatico aziendale o pubblico, se utilizzato per finalità estranee alle mansioni, soprattutto in presenza di dati sensibili, integra una violazione grave del vincolo fiduciario, idonea a giustificare il licenziamento in tronco.
Insomma, tale decisione rafforza un orientamento che tende a salvare la funzione del sistema informatico, non il mero dato tecnico dell’abilitazione.
Sul piano disciplinare, la Corte valorizza un dato decisivo. L’azienda non può riporre fiducia in chi “approfitta” del profilo di autorizzazione per acquisire dati sensibili a fini personali, comportamento indicato come sanzionato penalmente dall’art. 615-ter c.p. e vietato dalle regole interne e dal codice di comportamento.
C’è un ulteriore snodo, particolarmente utile per chi gestisce risorse umane e per chi si occupa di compliance. La Cassazione richiama un orientamento secondo cui l’accesso al sistema informatico aziendale non può essere considerato lieve quando realizzato per finalità personali o comunque non riconducibili a esigenze di servizio.
Qui la dimensione penale non sostituisce la valutazione disciplinare, ma la illumina. E rafforza la prognosi di lesione del vincolo fiduciario, soprattutto quando l’oggetto dell’accesso è “dato sanitario”, cioè informazione intrinsecamente ipersensibile.
Chi governa sistemi informativi in ambito aziendale o pubblico dovrebbe leggere l’art. 615-ter c.p. come una norma che premia la chiarezza e punisce l’ambiguità organizzativa.
Se la categoria del dissenso tacito si alimenta delle “prescrizioni del dominus”, allora diventa strategico disporre di policy interne realmente intellegibili. Chi può accedere, a cosa, per quale finalità, per quanto tempo. Non bastano formule ornamentali. Servono confini verificabili.
E serve coerenza tecnologica. Profilazioni, log, alert, segregazione dei ruoli. Perché la prova, in questi casi, nasce quasi sempre dai tracciamenti. Nel mondo digitale la condotta lascia impronte, e spesso le impronte sono più “credibili” delle dichiarazioni.
Nel diritto del lavoro digitale, la fiducia non si consuma solo con la sottrazione di beni materiali. Si consuma, sempre più spesso, con l’uso distorto dell’informazione.
E quando l’informazione è sanitaria, la soglia di tolleranza è, come dimostra la sentenza in commento, prossima allo zero.
Per approfondire:
- ALESSANDRI, Criminalità informatica, in RTDPE 1990, p. 653;
- ALMA-PERRONI, Riflessioni sull’attuazione delle norme a tutela dei sistemi informatici, in DPP 1997, p. 504;
- BELLACOSA, Il luogo di consumazione del delitto di accesso abusivo a un sistema informatico o telematico: in attesa delle Sezioni Unite, in DirPenCont 2/2/2015;
- BERGHELLA-BLAIOTTA, Diritto penale dell’informatica e beni giuridici, in CP 1995, p. 2329;
- BORRUSO, La tutela del documento e dei dati, in Aa.Vv., Profili penali dell’informatica, 1994;
- CATULLO, Reati via Internet: prassi e logica della prova, in RTDPE 2004, p. 375;
- CERQUA, Accesso abusivo e frode informatica: l’orientamento della Cassazione, in DPS 2000, p. 51;
- CIVARDI, La distinzione fra accesso abusivo a sistema informatico e abuso dei dati acquisiti, in Il diritto dell'informazione e dell'informatica, 2009, 1, p. 60;
- CORBUCCI, Condotte di accesso abusivo e di uso non autorizzato del computer, in GM 1988, p. 930;
- CORRIAS - LUCENTE, Informatica e diritto penale: elementi per una comparazione con il diritto statunitense (I parte), in Dinf 1987, p. 167;
- CORRIAS - LUCENTE, Brevi note in tema di accesso abusivo e frode informatica: uno strumento per la tutela penale dei servizi, in Dinf 2001, p. 492;
- D'AIETTI, La tutela dei programmi e dei sistemi informatici, in Aa.Vv., Profili penali dell’informatica, 1994, p. 39;
- D'AIETTI, Profili penali dell'informatica, Milano, 1994, p. 28;
- D'ARCANGELO, L'accesso ad un sistema informatico operato mediante abuso del proprio titolo di legittimazione, in Corr. Mer., 2009, 6, p. 660;
- FLOR, Art. 615 ter c.p.: natura e funzioni delle misure di sicurezza, consumazione del reato e bene giuridico protetto, in DPP 2008, p. 106;
- FLOR, I limiti del principio di territorialità nel cyberspace. Rilievi critici alla luce del recente orientamento delle Sezioni Unite, in DPP 2015, p. 1296;
- FONDAROLI, La tutela penale dei “beni informatici”, in Dinf 1996, p. 291;
- GALDIERI, La tutela penale del domicilio informatico, in GALDIERI (a cura di), Problemi giuridici dell’informatica nel MEC, 1996, p. 189;
- GALDIERI, Teoria e pratica dell'interpretazione del reato informatico, Milano, 1997;
- GALDIERI, Teoria e pratica dell'interpretazione del reato informatico, Milano, 1997;
- M. MANTOVANI, Brevi note a proposito della nuova legge sulla criminalità informatica, in CrD 1994, IV, p. 12;
- MANTOVANI, Brevi note a proposito della nuova legge sulla criminalità informatica, in Crit. dir., 1994, IV, p. 18;
- MENGONI, Accesso autorizzato al sistema informatico o telematico e finalità illecite: nuovo round alla configurabilità del reato, in CP 2011, p. 2220;
- MERLI, Il diritto penale dell’informatica: legislazione vigente e prospettive di riforma, in Gpen 1993, II, p. 117;
- MONACO, sub art. 615-ter, in Comm. Crespi, Forti, Zuccalà;
- MUCCIARELLI, Commento all’art. 4 della l. n. 547 del 1993, in LPen 1996, p. 57;
- NUNZIATA, La prima applicazione giurisprudenziale del delitto di “accesso abusivo ad un sistema informatico” ex art. 615 ter c.p., in GM 1998, p. 711;
- NUNZIATA, Il delitto di «accesso abusivo ad un sistema informatico o telematico», Bologna, 1996, p. 44
- PAZIENZA, In tema di criminalità informatica: l’art. 4 della l. 23.12.1993, n. 547, in RIDPP 1995, p. 750;
- C. PECORELLA, Dieci anni di giurisprudenza sui reati informatici: i principali problemi interpretativi sollevati dalle nuove disposizioni, in COCCO(a cura di), Interpretazione e precedente giudiziale in diritto penale, 2005, p. 241;
- C. PECORELLA, Il diritto penale dell’informatica. Ristampa con aggiornamento, 2006;
- C. PECORELLA, Truffe on-line: momento consumativo e competenza territoriale, in RIDPP 2012, p. 132;
- C. PECORELLA, L’accesso abusivo a sistemi informatici o telematici, in TLAD 2013, p. 172;
- PERRI, Analisi informatico-giuridica dei reati di frode informatica e accesso abusivo a un sistema informatico o telematico con l'aggravante dell'abuso della qualità di operatore di sistema, in Giur. mer., 2008, 6, p. 1657;
- PESTELLI, Brevi note in tema di accesso abusivo ad un sistema informatico o telematico, in Cass. pen., 2012, 6, p. 2320 ss.);
- PICA, Diritto penale delle tecnologie informatiche, 1999;
- PICOTTI, Reati informatici, in EGT, XXVI, 1999;
- PICOTTI, Sistematica dei reati informatici, tecniche di formulazione legislativa e beni giuridici tutelati, in PICOTTI (a cura di) Il diritto penale dell’informatica nell’epoca di Internet, 2004, p. 21;
- POMANTE, Internet e criminalità, Torino, 1999, p. 25;
- ROSSI VANNINI, La criminalità informatica: le tipologie di computer crimes di cui alla l. n. 547/1993 dirette alla tutela della riservatezza e del segreto, in RTDPE 1994, p. 427;
- SCOPINARO, Furto di dati e frode informatica, in DPP 2007, p. 364;
- SCUDIERI, Un caso di hacking: luoghi reali e luoghi virtuali tra diritto e informatica, in Ciberspazio e diritto, 2006, 7, p. 414;
- SORGATO, Il reato informatico, in Il merito, 2008, n. 10, p. 42;
- TARLAO, Accesso abusivo a sistema informatico: natura delle misure di protezione, in RP 2003, p. 900;
- TRENTACAPILLI, Accesso abusivo ad un sistema informatico e adeguatezza delle misure di protezione, in DPP 2002, p. 1280.
Nicola Nappi
Ultimi post di Nicola Nappi (vedi tutti)
- E-commerce: gli obblighi legali decisivi - 30 Marzo 2026
- Videosorveglianza sul lavoro: gli errori che costano caro - 23 Marzo 2026
- Il DPO esterno nelle PMI - 16 Marzo 2026
- Data breach: cosa fare nelle prime 72 ore - 9 Marzo 2026
- Privacy e imprese: il problema non è il regolamento - 2 Marzo 2026
