Accesso abusivo a sistemi informatici e tutela del domicilio digitale: il confine tra legittimità formale e infedeltà sostanziale (Cass. Pen. n. 29497/2025)

1. Il fatto

La vicenda trae origine da un contesto societario caratterizzato dalla cessione di quote sociali e dal conseguente allontanamento di un socio-amministratore dalla gestione aziendale.

In tale frangente, l’imputato, pur ancora formalmente titolare di una casella di posta elettronica aziendale, accedeva al sistema informatico della società, trasferendo sul proprio account personale numerosi file contenenti schede tecniche relative a prodotti e clienti.

Secondo i giudici di merito, l’operazione non si esauriva in un semplice utilizzo delle credenziali a lui attribuite, ma rappresentava un vero e proprio travaso massivo di informazioni riservate, avvenuto in un arco temporale ben preciso e funzionale a interessi estranei alla vita societaria.

La circostanza che l’imputato continuasse a operare nel medesimo settore commerciale rafforzava il sospetto di una finalità concorrenziale.

Il tribunale aveva riconosciuto la responsabilità per il reato di accesso abusivo a sistema informatico (art. 615-ter c.p.), con l’aggravante prevista per l’operatore di sistema. La Corte d’appello confermava l’impianto accusatorio, rideterminando la pena in sei mesi di reclusione, sostituiti con multa pecuniaria.

2. Le questioni giuridiche

La pronuncia della Cassazione si è soffermata innanzitutto sulla nozione di abusività dell’accesso.

La difesa aveva sostenuto che l’imputato fosse ancora legittimato ad accedere alla posta elettronica aziendale, essendo a tutti gli effetti amministratore nel periodo considerato.

La Corte, tuttavia, ha richiamato il consolidato orientamento inaugurato dalle Sezioni Unite Casani (2012) e Savarese (2017): l’abusività non riguarda soltanto l’intrusione di chi non è autorizzato, ma anche l’utilizzo “infedele” del sistema da parte di chi, pur munito di credenziali, lo sfrutti per fini ontologicamente estranei rispetto alle ragioni dell’abilitazione.

In questa prospettiva, ciò che rileva non è la formale titolarità dell’account, bensì la finalità perseguita: nel caso concreto, l’estrazione di dati aziendali non per scopi societari, ma per un interesse individuale, estraneo e potenzialmente lesivo. La Corte ha dunque ritenuto corretta la qualificazione di condotta abusiva.

Un secondo profilo ha riguardato la qualificazione dell’imputato come “operatore di sistema”.

Non si tratta solo della figura tecnica che amministra la rete informatica, ma di chiunque abbia la possibilità di modificare la struttura o i contenuti del sistema stesso. Nel caso di specie, la prova che l’imputato avesse commissionato modifiche al sistema operativo aziendale per agevolare il trasferimento dei dati dimostrava un potere effettivo di intervento, sufficiente a integrare l’aggravante.

La terza questione, e l’unica accolta, ha riguardato il ragguaglio della pena pecuniaria sostitutiva.

La Corte d’appello aveva applicato il parametro di 250 euro per giorno di reclusione, senza motivazione.

La Cassazione ha ricordato che la Corte costituzionale, con sentenza n. 28 del 2022, ha dichiarato l’illegittimità dell’automatismo dei 250 euro, imponendo un criterio di proporzionalità che tenga conto delle condizioni economiche del condannato.

Successivamente, il d.lgs. n. 150/2022 ha introdotto l’art. 56-quater l. 689/1981, che consente al giudice di stabilire un valore giornaliero tra 5 e 2.500 euro, sulla base delle complessive condizioni economiche e personali.

La Corte ha così ribadito la necessità di una personalizzazione della pena pecuniaria, che non può essere fissata in modo astratto ma deve rispecchiare la reale situazione del reo, in linea con i principi di uguaglianza sostanziale (art. 3 Cost.) e di funzione rieducativa della pena (art. 27 Cost.).

3. La decisione

La Cassazione ha quindi annullato la sentenza limitatamente al trattamento sanzionatorio, rinviando alla Corte d’appello per una nuova determinazione della multa sostitutiva, e rigettato nel resto il ricorso.

4. Considerazioni conclusive

La pronuncia attribuisce all’art. 615-ter c.p. un ruolo essenziale di tutela del domicilio informatico, inteso come estensione digitale dello spazio personale protetto dall’art. 14 Cost. e dall’art. 8 CEDU.

Essa conferma che la nozione di abusività non dipende dalla formale titolarità di credenziali, ma dalla lealtà funzionale dell’accesso rispetto agli scopi legittimi.

Di rilievo è anche la lettura estensiva della figura dell’operatore di sistema, che si fonda non sulla qualifica formale ma sull’effettiva capacità di incidere sulla struttura informatica, valorizzando così la dimensione fiduciaria e i doveri di fedeltà nei rapporti societari e lavorativi.

Per leggere la sentenza integrale vai qui