Accesso abusivo alle e-mail dei dipendenti: amministratore IT condannato

---

Condividi l'articolo:

---

L'amministratore di sistema di una società spia la posta elettronica dei colleghi per finalità estranee a quelle aziendali? Confermata la condanna per accesso abusivo, con l’aggravante dell’abuso della sua qualità di operatore: chiariti, dalla Cassazione, i limiti dell'accesso lecito ai dati aziendali da parte di soggetti autorizzati.

Accesso abusivo ai sistemi aziendali da parte dell’amministratore IT

Con la sentenza n. 23158, depositata il 20 giugno 2025, la Quinta Sezione Penale della Corte di Cassazione è tornata a pronunciarsi su un tema di particolare rilievo per il diritto penale d'impresa e la tutela della privacy in ambito lavorativo: l’accesso abusivo al sistema informatico da parte di un soggetto formalmente autorizzato, ma che agisce per finalità estranee a quelle aziendali.

E-mail aziendali sotto controllo: quando l’accesso diventa reato

Il caso esaminato

L’imputato aveva ricoperto il ruolo di amministratore e operatore di sistema all’interno di una società privata. A seguito dell'istruttoria compiuta nei due gradi del giudizio di merito, era stato riconosciuto colpevole per una serie di condotte penalmente rilevanti. In particolare, gli veniva contestato di aver effettuato accessi non autorizzati al sistema informatico aziendale, condotta sanzionata dall’articolo 615-ter del Codice penale, con l’aggravante derivante dall’aver abusato della propria posizione qualificata di operatore tecnico.

Oltre a ciò, era stato accertato che l’imputato si era illecitamente introdotto nella corrispondenza telematica di altri soggetti, in violazione dell’articolo 616 del Codice penale. Tali comportamenti erano stati realizzati in modo reiterato, configurando l’ipotesi del reato continuato ai sensi dell’articolo 81 del Codice penale.

Infine, il giudizio si era concluso anche con la condanna dell’imputato all’obbligo di risarcire i danni patrimoniali arrecati, secondo quanto previsto dall’articolo 185 del Codice penale, in favore della parte civile lesa dalle sue azioni.

La Corte d’Appello di Milano aveva accertato che l’imputato, dopo la cessazione dell’incarico, aveva continuato ad accedere indebitamente al sistema informatico aziendale e alla posta elettronica riservata di vari dipendenti, scaricando oltre 1.500 messaggi, di cui 97 visualizzati, al fine di ottenere informazioni riservate relative alla propria revoca e a trattative societarie interne.

Motivi del ricorso in Cassazione  

La difesa dell’imputato aveva contestato la decisione impugnata sollevando varie censure, tra cui presunti vizi motivazionali relativi alla valutazione delle prove, l’insussistenza del reato di accesso abusivo per via dell’abilitazione tecnica posseduta, l’erronea applicazione dell’art. 185 c.p. sul danno patrimoniale e la mancata concessione della causa di non punibilità per tenuità del fatto ex art. 131-bis c.p.

Le motivazioni della Suprema Corte   

La Corte di Cassazione, nel rigettare il ricorso, ha esaminato in dettaglio le singole censure difensive, ritenendole tutte manifestamente infondate o inammissibili. La motivazione della sentenza si sofferma su alcuni punti giuridicamente significativi, in linea con l’orientamento consolidato in materia di reati informatici e tutela della corrispondenza telematica.

Reato di accesso abusivo commesso da soggetto autorizzato

Anzitutto, la Corte ha ribadito che l’accesso al sistema informatico da parte di un soggetto formalmente autorizzato può comunque integrare il reato di accesso abusivo (art. 615-ter c.p.) qualora venga effettuato per scopi personali o ritorsivi, dunque estranei alle finalità aziendali per cui l’autorizzazione era stata concessa.

Tale principio, affermato dalle Sezioni Unite con la sentenza n. 41201/2017, distingue chiaramente tra legittimazione tecnica all’accesso e legittimità giuridica della condotta, valorizzando il criterio finalistico. In altri termini, non rileva solo il possesso delle credenziali, ma soprattutto lo scopo per cui si accede al sistema.

Reato di violazione di corrispondenza: tutela comunicazioni in azienda

Con riferimento al reato di violazione di corrispondenza, la Corte di Cassazione ha precisato che la tutela prevista dall’art. 616 del Codice penale si estende anche alle comunicazioni aziendali effettuate tramite posta elettronica. Tale protezione si applica quando l’accesso alla casella e-mail avviene in modo non autorizzato o fraudolento e ha per oggetto messaggi di contenuto riservato.

La circostanza che la posta elettronica sia gestita su server dell’azienda, o che l’autore dell’accesso rivesta una posizione apicale all’interno dell’organizzazione, non esclude in alcun modo la rilevanza penale della condotta. In sostanza, ciò che rileva è la natura privata delle comunicazioni e l’assenza di un titolo legittimo per prenderne visione.

Abuso di posizione: aggravante

In relazione all’aggravante prevista dall’art. 615-ter, comma 2, n. 3 c.p., la Corte ha ritenuto corretta la sua applicazione nel caso di alterazioni funzionali di componenti essenziali del sistema informatico, anche se reversibili, purché tali da comprometterne temporaneamente l’operatività. In tal senso, l’aggravante può trovare spazio anche nei casi in cui l’intervento tecnico causi interruzioni, rallentamenti o vulnerabilità nei sistemi aziendali.

Causa di non punibilità esclusa

Infine, è stata esclusa l’applicabilità della causa di non punibilità per particolare tenuità del fatto ex art. 131-bis c.p. La decisione si fonda su una valutazione complessiva della condotta, ritenuta grave per il numero degli accessi non autorizzati, la loro reiterazione nel tempo e l’evidente consapevolezza dell’imputato in merito all’illiceità del proprio operato. Tali elementi ostano alla qualificazione del fatto come episodico o marginale.

Applicazione dei principi al caso di specie

Per la Cassazione, in conclusione, la Corte d’Appello aveva motivato in modo logico ed esauriente che gli accessi effettuati dall’imputato non erano finalizzati al controllo dell’operato dei colleghi, ma perseguivano scopi esclusivamente personali, come dimostrato dal contenuto delle e-mail consultate, del tutto estraneo agli interessi della società.

Secondo quanto emerso, le attività informatiche compiute dall’imputato configuravano un vero e proprio "controllo difensivo in senso stretto".

Tali controlli difensivi sono ammessi, anche mediante strumenti tecnologici, solo se rispettano i principi di proporzionalità e ragionevolezza, e se avviati a seguito di un fondato sospetto di illecito. Devono inoltre tutelare la dignità e la riservatezza del lavoratore.

Sul punto, la Corte territoriale aveva correttamente applicato i principi di proporzionalità e ragionevolezza, evidenziando che gli accessi effettuati dall’imputato erano eccessivi e non giustificati, avendo coinvolto anche la casella e-mail di un ex dipendente e comportato la visualizzazione di 97 messaggi su 1.542 scaricati.

Era inoltre escluso che vi fosse una consapevolezza diffusa in azienda di utilizzo da parte dell'amministratore di sistema di tale strumento di controllo.

Effetti civili e oneri risarcitori  

La Cassazione, infine, ha confermato l’obbligo dell’imputato di rimborsare le spese sostenute dalla parte civile per l’attività di consulenza tecnica e investigativa, ritenute necessarie per accertare gli accessi indebiti e il danno subito.

Principi confermati  

La pronuncia ribadisce tre interessanti principi:

• la qualifica di amministratore di sistema non esonera dalla responsabilità penale, se l’accesso ai dati aziendali è finalizzato a scopi illeciti o estranei all’interesse sociale;
• la tutela della corrispondenza aziendale rientra nell’ambito applicativo dell’art. 616 c.p., anche se le e-mail sono accessibili da soggetti interni all’organizzazione;
• l’abuso della posizione tecnica privilegiata costituisce circostanza aggravante, se usata per eludere i controlli e compromettere il funzionamento ordinario dei sistemi informatici.

Principio di diritto

Di seguito il principio di diritto enunciato dalle Sezioni Unite e richiamato dalla Corte di Cassazione: