L’accesso abusivo a un sistema informatico si verifica quando una persona accede o si mantiene in un sistema informatico (come il Centro di Elaborazione Dati del Dipartimento della Pubblica Sicurezza) senza l'autorizzazione o superando i limiti del permesso, anche possedendo le credenziali, ma utilizzandole per finalità non consentite dal titolare del sistema. Questo comportamento costituisce un reato previsto e punito dall'articolo 615-ter del Codice penale, che sanziona chiunque vi si introduca o vi si mantenga contro la volontà espressa o tacita di chi ha il diritto di escluderlo.
L’orientamento della Giurisprudenza di legittimità si è da tempo stabilizzato sulla rilevanza penale anche se effettuato per fini strettamente personali e senza un vantaggio economico. Recentemente su un caso che ha visto come protagonista un appartenente alle forze di Polizia che aveva utilizzato le proprie credenziali per accedere al sistema SDI del Ministero dell'Interno e consultare informazioni sulla ex compagna e sul figlio, la Corte di Cassazione (sentenza n. 30516/2025) ha accolto l’appello del Procuratore Generale cassando la sentenza della Corte di merito che aveva assolto l’imputato ritenendo che la sua condotta potesse essere ricondotta a un quadro giurisprudenziale non univoco.
Nella decisione menzionata la Suprema Corte ha, altresì richiamato la propria precedente giurisprudenza (n. 16153/2024; n. 28594/2024; n. 27515/2025). Ancora più recentemente, con la Sentenza n. 23158/2025, la Cassazione Penale Sez. 5 aveva definito il caso di un amministratore di sistema di una società, condannato in primo e secondo grado per aver effettuato un accesso abusivo al sistema informatico aziendale. Nello specifico, introdottosi nella casella di posta elettronica di un dirigente, prendendo visione della sua corrispondenza riservata, si era difeso sostenendo di aver agito per tutelare l’azienda da presunti comportamenti dannosi del dirigente, configurando la sua azione come un legittimo ‘controllo difensivo’ e richiamando la giurisprudenza delle Sezioni Unite (sentenza ‘Savarese’), secondo cui il reato si configura quando l’accesso avviene per ‘ragioni ontologicamente estranee’ a quelle per cui la facoltà è stata attribuita, mentre il suo fine era la tutela aziendale, quindi un motivo non estraneo.
La Corte di Cassazione ha respinto la tesi difensiva, ritenendola infondata. Gli Ermellini hanno chiarito, in linea con le Sezioni Unite, che integra il delitto di accesso abusivo a sistema informatico la condotta di chi, pur essendo abilitato, si mantenga nel sistema per ragioni estranee a quelle che legittimano la sua presenza. Nel caso specifico, le finalità perseguite dall’imputato sono state giudicate ‘strettamente personali’ e ‘ontologicamente slegate dall’interesse societario’. La Corte ha stabilito che i cosiddetti ‘controlli difensivi’ sono ammessi solo se rispettano rigorosi principi di proporzionalità e ragionevolezza. L’accesso alla casella e-mail di un altro dipendente, scaricando oltre 1500 messaggi per leggerne quasi 100, è stato considerato sproporzionato e non giustificato.
La sentenza ribadisce un principio fondamentale: il possesso delle chiavi di accesso a un sistema informatico non conferisce un potere illimitato. L’autorizzazione è sempre legata a specifiche finalità lavorative. Qualsiasi deviazione da tali finalità, specialmente se invade la sfera di riservatezza altrui, configura il grave reato di accesso abusivo. Per le aziende, questa decisione rafforza la necessità di definire policy chiare sull’uso degli strumenti informatici e sui poteri degli amministratori di sistema. Per questi ultimi, è un monito a esercitare le proprie funzioni nel rigoroso rispetto della legge e dei diritti dei colleghi, poiché agire per scopi personali, anche se mascherati da un presunto interesse aziendale, può avere serie conseguenze penali.
