Acquisizione di dati informatici dai server aziendali da parte della Guardia di Finanza

Nel 2021 la Corte Suprema di Cassazione ha avuto modo di dirimere ogni dubbio, attraverso due separati arresti afferenti la medesima vicenda, in merito alla questione legata all’acquisizione di dati informatici dai server aziendali effettuata nel corso di un’attività ispettiva, specificando in tal senso un importante principio: l’ottenimento di dati informatici da parte della Guardia di Finanza a seguito del legittimo esercizio dei poteri conferiti dalla legge non può configurare il reato di accesso abusivo ad un sistema informatico ai sensi dell’art. 615-ter c.p., proprio perché rientra nei compiti del Corpo acquisire tutti gli elementi di prova utili e pertinenti all’accertamento delle violazioni tributarie.  

1) Le sentenze della Cassazione

Con le sentenze n. 11207 del 24/03/2021 e n. 24885 del 25/06/2021 i giudici di Piazza Cavour si sono espressi relativamente a due separati ricorsi, presentati da due soggetti giuridici differenti ed afferenti a una medesima vicenda.

Dalla lettura combinata delle due sentenze[1], si evince che durante una verifica fiscale ai fini delle imposte dirette, dell’IVA e degli altri tributi avviata nel mese di luglio 2019 dal Nucleo PEF della Guardia di Finanza di Lecco, i militari avevano proceduto all’acquisizione dei dati informatici riguardanti, nello specifico, alcuni indirizzi di posta elettronica aventi due separati domini, oltre alla copia del data base del sistema gestionale. Tutto il materiale informatico acquisito era stato archiviato in due hard disk e sottoposto a sequestro probatorio da parte del Pubblico Ministero nell’ambito di un procedimento penale (per il delitto “Omessa dichiarazione” di cui all’art. 5 del D.Lgs. 10 marzo 2000, n. 74).

Da quanto esposto dai ricorrenti, la verifica fiscale era stata avviata nei confronti di una società di capitali italiana, mentre la documentazione digitale acquisita dalla Guardia di Finanza ed oggetto di sequestro probatorio era riferita ad una società con sede in Olanda. I dati di quest’ultima erano stati ottenuti dai finanzieri accedendo da remoto al server estero in uso alla società olandese, previa consegna delle credenziali di accesso da parte del responsabile della sicurezza informatica.

Come si legge nei ricorsi per cassazione presentati da entrambe le società (quella italiana e quella olandese) contro le ordinanze del Tribunale del riesame di Lecco del 21/05/2020, con cui i giudici della città lombarda avevano respinto le istanze tese ad annullare il sequestro probatorio emesso dal Pubblico Ministero, le ricorrenti sostenevano che il sequestro era fondato su documenti acquisiti illegalmente, tanto da configurare il reato di cui all’art. 615 ter c.p. (“Accesso abusivo ad un sistema informatico e telematico”, che prevede la pena della reclusione fino a tre anni). 

In particolare la tesi delle due società verteva sul fatto che i dati informatici erano stati acquisiti nel corso di una verifica fiscale avviata nei confronti della società italiana, travalicando però i limiti previsti dal D.P.R. n. 633 del 1972, art. 52 e D.P.R. n. 600 del 1973, art. 33, i quali consentono l’ispezione documentale soltanto dei libri registri, documenti e delle scritture contabili che si trovano nei locali in cui viene eseguito l’accesso, oppure che siano accessibili mediante apparecchiature informatiche installate in questi locali, ma non prevedono l’acquisizione dei dati riconducibili ad una società terza esercitando, a detta delle società ricorrenti, un potere coercitivo o un vero e proprio abuso di potere nei confronti del responsabile della sicurezza informatica della società, che era stato quindi costretto a consegnare le credenziali utili per l’accesso da remoto al server in uso alla società olandese.

Da qui l’accusa, nei confronti dei militari della Guardia di Finanza, di aver perpetrato il reato di accesso abusivo a sistema informatico, punito dal citato art. 615 ter del codice penale.    

A ciò andava aggiunto (sempre secondo le società) che l’accesso informatico era stato effettuato su un server collocato fuori dai locali aziendali e dai confini nazionali e per di più di pertinenza di una società diversa da quella verificata. 

Alla luce delle argomentazioni prodotte dalle due società, la Corte di Cassazione ha rigettato entrambi i ricorsi (ritenendo nel complesso infondato il ricorso presentato dalla società italiana e rigettando quello presentato dalla società olandese) e ha condannato i soggetti giuridici al pagamento delle spese processuali.

La bocciatura dei motivi dei ricorsi si è basato essenzialmente sulle seguenti conclusioni:

• atteso che il sequestro probatorio dei documenti (cartacei e informatici) è stato disposto dal Pubblico Ministero in relazione al reato di “Omessa dichiarazione”, di cui all’art. 5 del D.Lgs. n. 74/2000, a seguito di verifica fiscale effettuata nei confronti di altra società, gli organi verificatori possono procedere ad ispezioni documentali, verificazioni e ricerche ed ogni altra rilevazione ritenuta utile e i risultati possono sempre essere utilizzati quale “notitia criminis” ed essere utilizzati per l’accertamento dell’IVA e delle II.DD. a prescindere dalla regolarità formale della loro acquisizione, in quanto a tali attività non è applicabile la disciplina prevista dal codice di rito per l’operato della polizia giudiziaria,
• con riguardo al decreto di sequestro probatorio, oltre all’indicazione della violazione di cui all’art. 5 del D.Lgs. n. 74/2000 l’atto risultava sorretto da congrua motivazione della necessità di sottoporre a sequestro il materiale informatico, selezionato dalla Guardia di Finanza e indicato nel relativo decreto, perché utile a verificare l’ipotesi accusatoria formulata, in quanto idoneo ad accertare i legami tra la società italiana e quella olandese e le relative modalità per l’accertamento del reato ipotizzato di omessa presentazione delle dichiarazioni fiscali,
• in linea con quanto stabilito dal Tribunale del riesame di Lecco, non potevano ritenersi commessi abusi di potere da parte dei finanzieri in quanto gli stessi avevano ottenuto i dati informatici, ivi compresi quelli della società olandese, a seguito del legittimo esercizio dei poteri di polizia amministrativa loro conferiti dalla legge e cioè richiedendo i dati all’incaricato aziendale della sicurezza informatica, il quale non poteva lecitamente rifiutarsi di consentire l’accesso da parte dei militari proprio perché questi li avevano richiesti nell’esercizio legittimo delle predette attribuzioni di legge, cosicché non risultava esservi stata alcun a coartazione strumentale all’accesso a tali dati (ricostruzione che non rende quindi configurabile l’ipotesi di reato di accesso abusivo ad un sistema informatico o telematico di cui all’art. 615 ter c.p.),
• l’ipotesi di reato a carico dei finanzieri ventilata dalle società ricorrenti non si poteva considerare comunque configurabile in quanto rientra nei compiti della Guardia di Finanza acquisire tutti gli elementi di prova utili e pertinenti all’accertamento delle violazioni tributarie, motivo per cui il Tribunale del riesame aveva motivatamente escluso l’abuso,
• con riguardo alla prospettata violazione dell’art. 615 ter c.p. a carico dei militari operanti, la norma in questione reca tra gli elementi costitutivi del reato l’elemento di illiceità specifica costituito dall’abusività della condotta (“Chiunque abusivamente si introduce in un sistema informatico o telematico…”) che non appare configurabile nei confronti dei finanzieri operanti in forza dei poteri ispettivi e di controllo previsti dalla legge.

La Cassazione, in definitiva, ha ritenuto legittima l’attività di acquisizione dei dati informatici effettuata dai finanzieri presso i locali della società italiana sottoposta a verifica fiscale, benché riferiti alla società olandese, stabilendo quanto segue: “L’acquisizione dei dati informatici, ivi compresi quelli della società olandese, è avvenuta a seguito del legittimo esercizio dei poteri di polizia amministrativa loro conferiti dalla legge. Una volta estratti questi dati, i militari hanno trasmesso all’autorità giudiziaria l’informativa della notizia di reato per l’apertura del procedimento penale. Peraltro, mette conto rilevare che i militari della Guardia di Finanza svolgono, al contempo, funzioni di polizia amministrativa e di polizia giudiziaria nelle materie di loro competenza”.