Accesso abusivo e controllo della posta aziendale: quando l'accesso al sistema aziendale diventa reato

La Corte di Cassazione, Sezione V penale, con la sentenza n. 542 del 20 giugno 2025, ha affrontato un caso molto interessante che ruota attorno all’uso improprio degli strumenti informatici da parte di un ex amministratore di una società. La vicenda nasce dal comportamento di quest’ultimo, che, pur avendo i permessi tecnici per accedere ai sistemi informatici aziendali, ha utilizzato queste autorizzazioni per entrare nella posta elettronica di colleghi e collaboratori, leggendo email riservate, anche con contenuti confidenziali. I giudici hanno confermato che, anche se si dispone delle credenziali per effettuare l’accesso ad un sistema, l’uso che se ne fa conta molto: se si entra per motivi personali e non per lavoro, può scattare il reato.

Questa idea è stata affermata già nel 2017 dalla Corte stessa, nella sentenza nota come "Savarese" (Cass., SSUU, sent. 18 maggio 2017), dove si è stabilito che l’accesso a un sistema informatico aziendale è reato anche quando la persona ha l’autorizzazione formale, se lo fa per scopi che nulla hanno a che vedere con la sua attività lavorativa (articolo 615-ter del Codice Penale).

Nel caso esaminato, l’ex amministratore aveva scaricato oltre 1500 messaggi email e letto direttamente quasi un centinaio, molti dei quali contenenti discussioni tra altri dipendenti della società e i loro avvocati.

Non c’era, secondo i giudici, alcun motivo concreto per sospettare che ci fossero comportamenti illeciti da parte dei mittenti o destinatari di quelle email tali da giustificare, anche solo potenzialmente, l’accesso e la lettura sistematica dei messaggi in questione. Per questo, l’attività dell’imputato è stata considerata una violazione della privacy e non un controllo legittimo svolto nell’interesse dell’azienda. 

In via generale, infatti, in determinate circostanze la normativa privacy può ritenere ammissibili i cd. sistemi difensivi, ossia i controlli - anche tramite strumenti tecnologici - posti in essere dal datore di Iavoro finalizzati alla tutela di beni o informazioni aziendali o ad evitare comportamenti illeciti, in presenza di un fondato sospetto circa la commissione di un illecito, purché sia assicurato un corretto bilanciamento tra le esigenze di protezione di interessi e beni aziendali, correlate alla libertà di iniziativa economica, rispetto alle imprescindibili tutele della dignità e della riservatezza del lavoratore, sempre che il controllo riguardi dati acquisiti successivamente all’insorgere del sospetto.

In Italia, la legge consente al datore di lavoro di controllare gli strumenti aziendali, ma solo a certe condizioni. Questi controlli devono essere giustificati, proporzionati e mai troppo invasivi. Inoltre, devono essere comunicati ai lavoratori, almeno in forma generale. In particolare, secondo la Corte territoriale i controlli sarebbero stati illegittimi in quanto posti in essere in violazione dei principi di proporzionalità e ragionevolezza del trattamento dei dati personali dei lavoratori, espressi daII’Autorità Garante per la Protezione dei dati personali già nel lontano 2007 nonché in concomitanza con l'introduzione del d.lgs. 151/2015. La disciplina e consolidata giurisprudenza sul punto non consentono il controllo massivo, prolungato e indiscriminato dell'attività del lavoratore.

Nel caso specifico, la Cassazione ha ritenuto che le azioni dell’ex amministratore abbiano violato non solo queste regole, ma anche il diritto alla segretezza della corrispondenza, previsto dall’articolo 616 del Codice Penale. È stato chiarito che leggere le email altrui, anche se si ha possibilità di accesso tecnico, può costituire un reato quando manca un reale motivo legato al lavoro.

Un altro aspetto discusso riguarda una modifica fatta dall’imputato a un programma aziendale che tracciava le attività informatiche, con lo scopo – secondo i giudici – di non lasciare tracce del proprio operato. Anche se questa modifica era tecnicamente reversibile, ha di fatto impedito per diversi mesi il normale funzionamento del sistema, rendendolo inaccessibile ad altri. La Cassazione ha stabilito che un’alterazione temporanea ma significativa del sistema può aggravare il reato, come previsto dal secondo comma dell’articolo 615-ter.

L’imputato era stato condannato anche a rimborsare alla società i costi sostenuti per l’indagine tecnica che aveva portato alla scoperta delle sue attività. Il suo avvocato ha sostenuto che quei costi erano legati a un’indagine difensiva, e non a un danno reale. La Corte ha però ribadito che quando l’azienda è costretta a incaricare esperti per capire se è intercorsa una condotta illegittima, e queste indagini confermano il reato, i costi sono da considerarsi un danno diretto, risarcibile secondo l’articolo 185 del Codice Penale.

Infine, l’ex amministratore aveva chiesto di non essere punito perché, a suo dire, il fatto era di lieve entità. Esiste infatti una norma – l’articolo 131-bis del Codice Penale – che permette di evitare la condanna quando il reato è particolarmente lieve. Ma la Corte ha respinto anche questa richiesta: ha sottolineato la gravità della violazione della privacy, il numero di messaggi letti, la durata della disattivazione del sistema di controllo, e l’assenza di segni di pentimento o collaborazione dopo i fatti. ​Per questi motivi, la Cassazione ha confermato la condanna, respingendo tutti i motivi del ricorso e condannando l’imputato anche al pagamento delle spese processuali.

La pronuncia in commento ci insegna, pertanto, che: