SUPREMA CORTE DI CASSAZIONE
SEZIONE V PENALE
Sentenza 8 luglio – 1° ottobre 2008, n. 37322
…omissis…
S. R., P. B. ed A. M., unitamente a F. R., avevano costituito una associazione professionale denominata Studio associato S. dottor ragionier R., della quale il S. era il socio di maggioranza relativa e l’amministratore; M., B. e R., presumibilmente a causa di contrasti con il S., decisero di dare vita ad una nuova associazione professionale denominata Studio B. – M. ed associati.
Nei giorni del passaggio dalla vecchia alla nuova associazione accaddero alcuni fatti che hanno originato il presente procedimento penale.
B. e M. si recarono presso la sede dello Studio S., associazione della quale facevano ancora parte non essendo stata sciolta, e si introdussero nel sistema informatico dello studio prelevandone l’archivio.
Negli stessi giorni il S., parlando con alcuni clienti, disse che i tre soci stavano sviando la clientela; inoltre il S. fece bloccare i suoi colleghi da una guardia giurata impedendo loro di entrare nello studio.
Per tali fatti il S. era tratto a giudizio per rispondere dei reati di cui agli articoli 595 e 393 c.p. in danno di B., M. e R., che si costituivano parti civili; B. e M. erano chiamati a rispondere della violazione degli articoli 61 n. 11, 615 ter, 646 c.p. e 35 della legge 675 del 1996 in danno di S., che si costituiva parte civile.
Con sentenza del 4 maggio 2004 il Tribunale di Bergamo dichiarava B. P. e M. A. colpevoli dei reati loro ascritti e li condannava alla pena ritenuta di giustizia oltre al risarcimento dei danni ed al pagamento di una provvisionale, mentre assolveva il S. dal delitto di diffamazione perché il fatto non sussiste e da quello di cui all’articolo 610 c.p., così modificata la originaria imputazione, perché il fatto non costituisce reato.
Investita dagli appelli dei due imputati, anche nella loro qualità di parti civili insieme al R., la Corte di Appello di Brescia, con sentenza emessa in data 27 febbraio 2007, dichiarava inammissibile l’appello ex articolo 577 c.p.p. delle parti civili, non accoglieva l’appello agli effetti civili ed, in accoglimento dell’appello degli imputati, assolveva B. P. e M. A. dal reato continuato loro ascritto perché il fatto non sussiste.
In particolare la Corte di merito precisava che il reato di appropriazione indebita non era stato nemmeno correttamente contestato perché in imputazione non si parlava della appropriazione di computer e comunque non sussisteva perché la copiatura di dati informatici non costituisce appropriazione indebita di una cosa mobile altrui, che, con riferimento al reato di cui all’articolo 615 ter c.p., non risultava che il sistema informatico fosse protetto da misure di sicurezza e, comunque, B. e M. in qualità di soci avevano il diritto di accedere ai dati informatici, e che per quel che concerne il reato di cui all’articolo 35 della legge 675 del 1996, norma abrogata dall’articolo 183 del decreto legislativo n. 196 del 2003, mancava il nocumento.
Avverso la decisione di secondo grado proponeva ricorso, evidentemente agli effetti civili ai sensi dell’articolo 576 c.p.p., soltanto la parte civile R. S., che deduceva:
1) la manifesta illogicità della sentenza nella parte in cui la Corte di merito non ha ritenuto che fosse stata contestata l’appropriazione dei personal computers in dotazione dello studio e sui quali erano stati trasmessi i dati dei due servers dello studio, computers restituiti soltanto su richiesta del liquidatore;
2) la inosservanza ed erronea applicazione dell’articolo 646 c.p. nella parte in cui la sentenza impugnata ha ritenuto insussistente il fatto di appropriazione per essersi trattato di una attività di copia, sia perché l’appropriazione concerneva i due personal computers, sia perché la copia di documenti riservati per fini estranei a quelli della società costituiva appropriazione. A conforto della tesi il ricorrente citava due precedenti della Suprema Corte;
3) la manifesta illogicità della motivazione della sentenza impugnata nella parte in cui la Corte di merito aveva affermato che il sistema informatico non fosse protetto e nella parte in cui aveva affermato che i due imputati avessero titolo per introdursi e permanere nel sistema informatico stesso; il ricorrente ha ricordato che illogicamente la Corte di merito aveva fatto riferimento ai personal computers mentre la introduzione era avvenuta nei servers, che erano protetti e, comunque, il dato rilevante non sarebbe tanto la introduzione quanto la permanenza nel sistema al fine di estrarne copia e l’utilizzazione dei dati per fini estranei alla associazione;
4) la manifesta illogicità della motivazione nella parte in cui la Corte di merito asseriva l’insussistenza del delitto di cui all’articolo 167 del decreto legislativo n. 196 del 2003 per difetto di nocumento, nonostante avesse precedentemente riconosciuto il fatto che la condotta potesse essere posta a fondamento di pretesa risarcitoria a seguito di illecito civile.
Con memoria difensiva depositata il 23 giugno 2008 il ricorrente adduceva a sostegno dei motivi secondo e terzo del ricorso nuovi argomenti tratti dalla sentenza della IV Sezione della Corte di Cassazione 4 maggio 2006 – 14 settembre 2006 che aveva deciso su un caso analogo e che aveva qualificato il fatto della copiatura dei dati come truffa piuttosto che come appropriazione indebita.
I motivi posti a sostegno del ricorso proposto dalla parte civile S. R. sono fondati nei limiti di cui si dirà.
Deve essere in primo luogo esaminato il terzo motivo di impugnazione.
In effetti la decisione impugnata sul punto appare erronea e la motivazione che la sorregge illogica in più punti.
A B. e M. è stata contestata la violazione dell’articolo 615 ter c.p. perché, introdottisi nel sistema informatico dello Studio S., si appropriavano dell’archivio informatico e procedevano al trattamento dei dati.
Il fatto storico nella sua materialità, ben ricostruito dai giudici di merito, non è in realtà contestato.
I due professionisti, che erano ancora soci dello Studio associato S. non ancora sciolto, effettivamente si introdussero nel sistema informatico dello studio costituito da due servers e da due computers portatili, sui quali trasfusero i dati contenuti nei servers; i due portatili furono poi portati in altro luogo ove i dati vennero copiati ed, infine, i computers furono restituiti allo studio a richiesta del liquidatore.
Orbene il fatto contestato costituisce violazione dell’articolo 615 ter c.p. perché si tratta di un accesso abusivo ad un sistema informatico.
È necessario ricordare che la norma in esame tutela, secondo la più accreditata dottrina, molti beni giuridici ed interessi eterogenei, quali il diritto alla riservatezza, diritti di carattere patrimoniale, come il diritto all’uso indisturbato dell’elaboratore per perseguire fini di carattere economico e produttivo, interessi pubblici rilevanti, come quelli di carattere militare, sanitario nonché quelli inerenti all’ordine pubblico ed alla sicurezza, che potrebbero essere compromessi da intrusioni o manomissioni non autorizzate.
Tra i beni e gli interessi tutelati non vi è alcun dubbio, come già osservato dalla Suprema Corte (Cass., Sez. VI penale, 4 ottobre 1999-14 dicembre 1999, n. 3067, CED 3067), che particolare rilievo assume la tutela del diritto alla riservatezza e, quindi, la protezione del domicilio informatico, visto quale estensione del domicilio materiale.
Tanto si desume dalla lettera della norma che non si limita soltanto a tutelare i contenuti personalissimi dei dati raccolti nei sistemi informatici, ma prevede uno ius excludendi alios quale che sia il contenuto dei dati, purché attinenti alla sfera di pensiero o alla attività lavorativa dell’utente; è, quindi, evidente che da tale norma vengono tutelati anche gli aspetti economici e patrimoniali, come si è dinanzi anticipato.
D’altro canto il reato di accesso abusivo ai sistemi informatici è stato collocato dalla legge 23 dicembre 1993 n. 547, che ha introdotto nel codice penale i cosiddetti computer’s crimes, nella sezione concernente i delitti contro la inviolabilità del domicilio e nella relazione al disegno di legge i sistemi informatici sono stati definiti un’espansione ideale dell’area di rispetto pertinente al soggetto interessato, garantita dall’articolo 14 della Costituzione e penalmente tutelata nei suoi aspetti più essenziali e tradizionali dagli articoli 614 e 615 c.p..
Tanto premesso, la discussione che si è sviluppata nei gradi di merito in ordine alla sussistenza o meno di una protezione del sistema informatico violato appare fuori luogo, dal momento che agli imputati non è stato contestato soltanto la introduzione, ma il permanere nel sistema informatico al fine di copiare i dati ivi contenuti.
L’articolo 615 ter c.p.. infatti punisce non solo chi si introduca abusivamente in un sistema informatico, ma anche chi nello stesso si trattenga contro la volontà dell’avente diritto.
Ciò a prescindere dal fatto che nel caso di specie i sistemi di protezione dei servers, che erano quelli che custodivano i dati raccolti, esistevano, dal momento che essi non debbono consistere in strumenti tecnologici particolari, essendo sufficiente anche una semplice password, come era previsto nel caso di specie, che renda evidente la volontà dell’avente diritto di non fare accedere chiunque al sistema informatico.
Come è stato acutamente osservato (Cass., Sez. V penale, 16 giugno 2000 – 10 agosto 2000, n. 9002, CED 217734 e Cass., Sez. V penale 7 novembre 2000, Zara e da ultimo Cass., Sez. II penale, 4 maggio 2006 – 14 settembre 2006), la violazione dei dispositivi di protezione del sistema informatico non assume rilevanza di per sé, perché non si tratta di un illecito caratterizzato dalla effrazione dei sistemi protettivi, bensì solo come manifestazione di una volontà contraria a quella di chi del sistema legittimamente dispone.
In effetti l’illecito è caratterizzato dalla contravvenzione alle disposizioni del titolare, come avviene nel delitto di violazione di domicilio e come è testimoniato dalla seconda parte del primo comma dell’articolo 615 ter c.p., già dinanzi richiamato.
Conseguenza di tale impostazione è che la protezione del sistema può essere adottata anche con misure di carattere organizzativo che disciplinino le modalità di accesso ai locali ove il sistema è ubicato ed indichino le persone abilitate all’utilizzo dello stesso.
Naturalmente l’accesso al sistema è consentito dal titolare per determinate finalità, ovvero il raggiungimento degli scopi aziendali, cosicché se il titolo di legittimazione all’accesso viene dall’agente utilizzato per finalità diverse da quelle consentite non vi è dubbio che si configuri il delitto in discussione, dovendosi ritenere che il permanere nel sistema per scopi diversi da quelli previsti avvenga contro la volontà, che può, per disposizione di legge, anche essere tacita, del titolare del diritto di esclusione.
Sul punto appare opportuno precisare che l’introdursi in un sistema informatico al fine di duplicare i dati ivi esistenti costituisce (come si chiarirà anche meglio in seguito) condotta tipica del delitto di cui all’articolo 615 ter c.p., perché la intrusione informatica può sostanziarsi sia in una semplice lettura dei dati contenuti nel sistema, sia nella copiatura degli stessi.
Orbene nel caso di specie è rimasto accertato, per come è lecito desumere dalla motivazione delle due sentenze di merito, che nei servers in questione erano custoditi i dati relativi ai clienti dello Studio S., del quale il S. era non solo socio di maggioranza relativa, ma anche amministratore ed in quanto tale garante del corretto utilizzo degli strumenti esistenti nello studio, e, quindi, anche del sistema informatico, per le finalità tipiche dello studio associato.
È del tutto evidente che la copiatura dei dati, necessaria per fare funzionare lo studio concorrente creato dai due imputati, non era affatto compiuta nell’interesse dello Studio S., ma al fine di avvantaggiare uno studio concorrente; da ciò è lecito desumere che detta copiatura sia avvenuta con il dissenso, in verità anche espresso perché mediante una guardia giurata il S. impedì, anche se successivamente alla consumazione dei fatti contestati, l’accesso ai locali dello studio al B. ed al M., quanto meno tacito dell’amministratore dello studio che aveva il dovere di garantire il raggiungimento dei fini dello studio associato.
Cosicché appare priva di pregio la considerazione che i due imputati, in quanto ancora formalmente associati, avevano il diritto di accesso al sistema, perché il problema e, quindi, la violazione della norma consiste nel fatto che i due non avevano il diritto di accesso al fine di sottrarre dati importanti per lo studio associato, con i quali fare concorrenza allo stesso; tale attività costituisce certamente una indebita intrusione nel sistema informatico.
In dottrina, invero, è stato efficacemente rilevato che commette reato anche chi, dopo essere entrato legittimamente in un sistema, continui ad operare o a servirsi di esso oltre i limiti prefissati dal titolare e, quindi, in siffatta ipotesi ciò che si punisce è l’uso dell’elaboratore avvenuto con modalità non consentite più che l’accesso ad esso.
Gli argomenti esposti rendono evidente la erroneità della decisione impugnata, che non può, ovviamente, essere modificata per gli aspetti penali, mancando una impugnazione del Pubblico Ministero, ma che deve essere annullata agli effetti civili.
Per quanto concerne i motivi di ricorso primo e secondo, che riguardano il contestato delitto di appropriazione indebita, va detto che i pur pregevoli argomenti spesi dal ricorrente non possono essere accolti.
Ciò non tanto per le considerazioni dei giudici di appello sulla impossibilità di configurare il reato di cui all’articolo 646 c.p. quando l’appropriazione concerna beni immateriali, perché in tal caso l’appropriazione riguarderebbe, come correttamente osservato dal ricorrente, i due computers portatili, fatto che, contrariamente a quanto sostenuto dai giudici di appello, era stato debitamente contestato, ma per la semplice ragione che quelle indicate nel capo di imputazione non sono altro che le modalità attraverso le quali si è realizzata la intrusione nel sistema informatico punibile ai sensi dell’articolo 615 ter c.p..
Come si è già rilevato, infatti, la duplicazione dei dati contenuti in un sistema informatico costituisce condotta tipica del reato di cui all’articolo 615 ter c.p., potendo l’intrusione informatica punibile sostanziarsi sia in una semplice lettura dei dati contenuti nel sistema, sia nella copiatura degli stessi.
Ciò perché per accesso – così la rubrica dell’articolo 615 ter c.p. – deve ritenersi, come chiarito da autorevole dottrina, non tanto il semplice collegamento fisico, ovvero l’accensione dello schermo ecc., ma quello logico, ovvero il superamento della barriera di protezione del sistema che renda possibile il dialogo con il medesimo in modo che l’agente venga a trovarsi nella condizione di conoscere dati, informazioni e programmi; la conoscenza dei dati, evidentemente, può avvenire sia con la semplice lettura, sia con la copiatura degli stessi.
Se quanto detto è vero deve ritenersi che quelle contestate non siano altro che semplici modalità per consumare il delitto di abusivo accesso informatico, cosicché la condotta del presunto delitto di appropriazione indebita si esaurisce in quella del delitto di cui all’articolo 615 ter c.p..
Deve, pertanto, ritenersi che la condotta rubricata come ipotesi di violazione dell’articolo 646 c.p. rimanga assorbita dal reato di cui all’articolo 615 ter c.p. e non sia autonomamente punibile, trattandosi di modalità di consumazione di quest’ultimo delitto.
L’ultimo motivo di impugnazione è fondato.
In effetti l’unica ragione della esclusione del reato di cui all’articolo 167 del decreto legislativo n. 196 del 2003 – trattamento illecito dei dati – indicata dalla Corte di merito consiste nella ritenuta assenza del nocumento, dal momento che lo Studio S. continuò a funzionare anche dopo la illecita intrusione nel sistema informatico ed il trattamento dei dati illecitamente acquisiti.
In altra parte della motivazione, però, la Corte di merito aveva segnalato che non sussistevano i reati contestati, ma che non vi era dubbio che lo storno di clientela attuato tramite la acquisizione dei dati ed il trattamento degli stessi avesse prodotto dei danni che avrebbero potuto essere posti a fondamento di una pretesa risarcitoria a seguito di illecito civile.
Appare difficile conciliare una tale affermazione con la ritenuta assenza di nocumento, apparendo, peraltro, del tutto fuorviante l’argomento che lo studio aveva continuato a funzionare.
Il problema, infatti, non è questo perché nella specie potrebbe, a cagione delle condotte costituenti reato poste in essere da B. e M., esservi stata una riduzione della attività e di ciò i giudici avrebbero dovuto tenere conto.
Insomma la motivazione posta a sostegno della assoluzione dal reato di cui all’articolo 167 del decreto legislativo 196 del 2003 è affetta da manifeste illogicità che impongono l’annullamento della sentenza impugnata anche se, come già detto, limitatamente agli effetti civili.
In conclusione per tutte le ragioni indicate la sentenza impugnata deve essere annullata agli effetti civili con rinvio al giudice civile competente per valore in grado di appello.
Le spese della parte civile vanno liquidate con la sentenza definitiva.
P.Q.M.
La Corte annulla agli effetti civili la sentenza impugnata con rinvio al giudice civile competente per valore in grado di appello.