Nel 2021 la Corte Suprema di Cassazione ha avuto modo di dirimere ogni dubbio, attraverso due separati arresti afferenti la medesima vicenda, in merito alla questione legata all’acquisizione di dati informatici dai server aziendali effettuata nel corso di un’attività ispettiva, specificando in tal senso un importante principio: l’ottenimento di dati informatici da parte della Guardia di Finanza a seguito del legittimo esercizio dei poteri conferiti dalla legge non può configurare il reato di accesso abusivo ad un sistema informatico ai sensi dell’art. 615-ter c.p., proprio perché rientra nei compiti del Corpo acquisire tutti gli elementi di prova utili e pertinenti all’accertamento delle violazioni tributarie.
L'articolo continua dopo la pubblicità
Con le sentenze n. 11207 del 24/03/2021 e n. 24885 del 25/06/2021 i giudici di Piazza Cavour si sono espressi relativamente a due separati ricorsi, presentati da due soggetti giuridici differenti ed afferenti a una medesima vicenda.
Dalla lettura combinata delle due sentenze[1], si evince che durante una verifica fiscale ai fini delle imposte dirette, dell’IVA e degli altri tributi avviata nel mese di luglio 2019 dal Nucleo PEF della Guardia di Finanza di Lecco, i militari avevano proceduto all’acquisizione dei dati informatici riguardanti, nello specifico, alcuni indirizzi di posta elettronica aventi due separati domini, oltre alla copia del data base del sistema gestionale. Tutto il materiale informatico acquisito era stato archiviato in due hard disk e sottoposto a sequestro probatorio da parte del Pubblico Ministero nell’ambito di un procedimento penale (per il delitto “Omessa dichiarazione” di cui all’art. 5 del D.Lgs. 10 marzo 2000, n. 74).
Da quanto esposto dai ricorrenti, la verifica fiscale era stata avviata nei confronti di una società di capitali italiana, mentre la documentazione digitale acquisita dalla Guardia di Finanza ed oggetto di sequestro probatorio era riferita ad una società con sede in Olanda. I dati di quest’ultima erano stati ottenuti dai finanzieri accedendo da remoto al server estero in uso alla società olandese, previa consegna delle credenziali di accesso da parte del responsabile della sicurezza informatica.
Come si legge nei ricorsi per cassazione presentati da entrambe le società (quella italiana e quella olandese) contro le ordinanze del Tribunale del riesame di Lecco del 21/05/2020, con cui i giudici della città lombarda avevano respinto le istanze tese ad annullare il sequestro probatorio emesso dal Pubblico Ministero, le ricorrenti sostenevano che il sequestro era fondato su documenti acquisiti illegalmente, tanto da configurare il reato di cui all’art. 615 ter c.p. (“Accesso abusivo ad un sistema informatico e telematico”, che prevede la pena della reclusione fino a tre anni).
In particolare la tesi delle due società verteva sul fatto che i dati informatici erano stati acquisiti nel corso di una verifica fiscale avviata nei confronti della società italiana, travalicando però i limiti previsti dal D.P.R. n. 633 del 1972, art. 52 e D.P.R. n. 600 del 1973, art. 33, i quali consentono l’ispezione documentale soltanto dei libri registri, documenti e delle scritture contabili che si trovano nei locali in cui viene eseguito l’accesso, oppure che siano accessibili mediante apparecchiature informatiche installate in questi locali, ma non prevedono l’acquisizione dei dati riconducibili ad una società terza esercitando, a detta delle società ricorrenti, un potere coercitivo o un vero e proprio abuso di potere nei confronti del responsabile della sicurezza informatica della società, che era stato quindi costretto a consegnare le credenziali utili per l’accesso da remoto al server in uso alla società olandese.
Da qui l’accusa, nei confronti dei militari della Guardia di Finanza, di aver perpetrato il reato di accesso abusivo a sistema informatico, punito dal citato art. 615 ter del codice penale.
A ciò andava aggiunto (sempre secondo le società) che l’accesso informatico era stato effettuato su un server collocato fuori dai locali aziendali e dai confini nazionali e per di più di pertinenza di una società diversa da quella verificata.
Alla luce delle argomentazioni prodotte dalle due società, la Corte di Cassazione ha rigettato entrambi i ricorsi (ritenendo nel complesso infondato il ricorso presentato dalla società italiana e rigettando quello presentato dalla società olandese) e ha condannato i soggetti giuridici al pagamento delle spese processuali.
La bocciatura dei motivi dei ricorsi si è basato essenzialmente sulle seguenti conclusioni:
La Cassazione, in definitiva, ha ritenuto legittima l’attività di acquisizione dei dati informatici effettuata dai finanzieri presso i locali della società italiana sottoposta a verifica fiscale, benché riferiti alla società olandese, stabilendo quanto segue: “L’acquisizione dei dati informatici, ivi compresi quelli della società olandese, è avvenuta a seguito del legittimo esercizio dei poteri di polizia amministrativa loro conferiti dalla legge. Una volta estratti questi dati, i militari hanno trasmesso all’autorità giudiziaria l’informativa della notizia di reato per l’apertura del procedimento penale. Peraltro, mette conto rilevare che i militari della Guardia di Finanza svolgono, al contempo, funzioni di polizia amministrativa e di polizia giudiziaria nelle materie di loro competenza”.
[1] Alla lettura combinata degli arresti giurisprudenziali qui riportati va aggiunta l’analisi della sentenza n. 9076 del 06/03/2020, citata nella sentenza n. 11207 del 24/03/2021.