E’ integrata la fattispecie di accesso abusivo a sistema informatico tutte le volte in cui la condotta sia posta in essere in violazione delle condizioni e dei limiti imposti per delimitare l’accesso in senso oggettivo, senza che, invece, possano assumere rilievo le motivazioni soggettive che hanno determinato l’azione abusiva.
Così ha stabilito la Suprema Corte di Cassazione, Sezione Quinta Penale, con la sentenza n. 44403 depositata il 03 novembre 2015. Un cancelliere del Tribunale entra nel sistema informatico della Procura è reato. Il fatto storico alla base della decisione in commento – una conferma di responsabilità penale già asseverata dalla Corte di Appello capitolina – è abbastanza lineare un cancelliere di un Tribunale fa accesso al sistema informatico della locale Procura della Repubblica, prende cognizione di un procedimento penale a carico di un certo soggetto e glielo rende noto. Ne segue un processo per accesso abusivo a sistema informatico e rivelazione di segreti d’ufficio, deciso con una doppia, conforme sentenza di condanna. La Cassazione, nel chiudere la vicenda giudiziaria, conferma ancora una volta il proprio indirizzo ermeneutico in tema di abusività dell’accesso a sistemi informatici protetti da password. Il motivo soggettivo non importa, interessa semmai guardare alle condizioni di utilizzo. Poche battute, per lo più ripropositive di un orientamento che può dirsi ormai ben consolidato, per respingere le tesi difensive non importa che l’agente sia un soggetto già abilitato a fare accesso ad un certo sistema informatico, non importa nemmeno per quale ragione soggettiva si sia determinato ad agire, ciò che conta, semmai, è la violazione delle condizioni e dei limiti imposti dal titolare del sistema stesso per regolamentare gli accessi. Un precedente delle Sezioni Unite del 2011 ha elaborato questo principio, che trova, come dicevamo, nuova conferma. La valutazione di abusività è di natura oggettiva, non soggettiva. L’appartenenza ad un settore amministrativo diverso da quello normalmente servito da un certo sistema informatico, quindi, ha rappresentato un indice di abusività dell’ingresso, effettuato pertanto sine titulo anche se mediante una chiave d’accesso ottenuta precedentemente in modo lecito. Il domicilio informatico, quindi, è protetto simbolicamente anche contro gli ingressi di coloro che, sebbene in precedenza legittimati a farvi accesso, poi non lo sono più perché – ad esempio – mutano ruolo o funzione amministrativa. La rivelazione del segreto d’ufficio. Anche la comunicazione a terzi non autorizzati della notizia di un procedimento penale pendente, effettuata senza il rispetto delle modalità imposte dal codice di rito – che riserva al Pubblico Ministero la concessione del permesso alla comunicazione delle iscrizioni sul registro o, sarebbe meglio dire, sui registri delle notizie di reato – costituisce un illecito penale. Rilevano infatti i Supremi Giudici che la procedura imposta dal codice non può essere lecitamente bypassata, né la fuga di notizie” assume carattere lecito per la sua oggettiva innocuità. La ragione tecnico-giuridica sta nella natura stessa del reato di rivelazione di segreti di ufficio, che è un reato di pericolo e che risulta integrato per il solo fatto che la notizia destinata a rimanere segreta sia stata indebitamente divulgata. Non siamo d’accordo soltanto sulla qualificazione del tipo di pericolo che la norma mira a tutelare, dato che gli Ermellini lo definiscono concreto” e che, forse, sarebbe più esatto ritenere astratto, posto che, appunto, non rileva affatto – ai fini della sussistenza del reato – dimostrare che vi sia stato un effettivo pregiudizio per le indagini. Un orientamento che non lascia intravedere possibili ribaltamenti. La logicità delle conclusioni cui perviene la Suprema Corte, e la oggettiva valutazione delle funzioni cui sono preposti i vincoli informatici all’accesso ai relativi sistemi, ci consentono, oggi, di considerare poco probabile un significativo mutamento dell’indirizzo confermato con la sentenza in commento. Ed è meglio così, perché se si desse risalto – per fare da spartiacque tra liceità ed illiceità – ai motivi ed agli scopi soggettivi dell’azione, si rischierebbe di alimentare il germe sempre nocivo dell’incertezza interpretativa una oggettiva violazione del domicilio informatico, infatti, potrebbe essere resa lecita in funzione degli intenti perseguiti. La linea del rigore, sotto questo profilo, è in effetti la più sensata.
Corte di Cassazione, sez. V Penale, sentenza 26 giugno – 3 novembre 2015, n. 44403 Presidente Vessichelli – Relatore Guardiano Fatto e diritto 1. Con sentenza emessa il 13.10.2014 la corte di appello di Roma confermava la sentenza con cui il giudice per le indagini preliminari presso il tribunale di Roma, decidendo in sede di giudizio abbreviato, in data 17.11.2009, aveva condannato M.A.C. alla pena ritenuta di giustizia in relazione ai reati di cui agli artt. 81, cpv., 110, 615 ter, co. 1, co. 2, n. 1, e co. 3, c.p. capo a 110, 326, co. 1, c.p. capo b . Secondo la ricostruzione dei fatti operata dai giudici di merito sulla base delle risultanze processuali, la M., dipendente del Ministero della Giustizia, addetta agli uffici della cancelleria penale del tribunale di Frosinone, in data 30.3.2009, aveva compiuto due accessi alle ore 9.03 ed alle ore 10.36 al registro informatico della Procura della Repubblica del suddetto tribunale c.d. RE.GE. , attraverso la postazione a lei in uso, in tal modo visionando i dati del fascicolo relativo al procedimento penale a carico di F.G., sorto in seguito alle indagini, ancora in corso, sull'aggressione in danno di C.L., informando immediatamente della pendenza del suddetto procedimento l'indagato e sua sorella, F.A., collega dell'imputata cfr. p. 5 della sentenza oggetto di ricorso . 2. Avverso la decisione della corte territoriale, di cui chiede l'annullamento, ha proposto tempestivo ricorso per cassazione, personalmente, la M., lamentando 1 violazione di legge e vizio di motivazione in relazione al reato di cui all'art. 615 ter, c.p., in quanto la corte territoriale non ha fornito risposta alla doglianza volta a contestare la configurabilità del reato di cui si discute, fondata sul presupposto che l'imputata quando ha effettuato i due accessi incriminati era legittimata ad accedere al sistema RE.GE. della procura della Repubblica del tribunale di Frosinone, non essendole mai stata revocata la relativa password, di cui era stata dotata in precedenza, difettando, pertanto, nel caso di specie, l'essenziale requisito dell'abusività dell'accesso al sistema informatico, che, come affermato dal Supremo Collegio nella sua espressione più autorevole, va individuata non tanto con riferimento agli scopi e alle finalità che hanno soggettivamente motivato l'ingresso nel sistema, quanto all'obiettiva violazione delle condizioni e dei limiti risultanti dal complesso delle prescrizioni impartite dal titolare del sistema per delimitarne oggettivamente l'accesso 2 vizio di motivazione e violazione di legge in relazione all'art. 546, c.p.p., sotto un duplice profilo travisamento della prova in ordine al contenuto di due conversazioni telefoniche oggetto di intercettazione, dal quale non si evince che l'informazione sul procedimento a carico di F.G. sia stata fornita dalla M. travisamento del fatto, apparendo contraddittoria la motivazione della sentenza impugnata, laddove afferma che, pur essendo preclusa alla M. qualsiasi possibilità di accesso al RE.GE., quest'ultima vi aveva avuto accesso utilizzando un altro profilo in uso all'ufficio, non avendo trovato riscontro nell'attività di indagine la circostanza, pure affermata in motivazione, che la M. si è avvalsa di una password creata per un utilizzo a termine , scaduto il quale la password era rimasta nella disponibilità dell'imputata senza essere disattivata, in quanto se le credenziali fossero state consegnate ai dipendenti del tribunale con un termine di scadenza, alla data fissata esse si sarebbero disattivate automaticamente 3 violazione di legge e vizio di motivazione in relazione al reato di cui all'art. 326, c.p., in quanto il fascicolo visionato attraverso il terminale non era secretato e le informazioni rivelate al F. non hanno potuto turbare il buon andamento della pubblica amministrazione, posto che il procedimento penale ha seguito il suo iter e nessun intralcio all'attività degli inquirenti è derivato dalla fuga di notizie, di cui la M. non può essere chiamata a rispondere anche perché quest'ultima non ha fatto altro che confermare quanto già il F. conosceva sulla pendenza di un procedimento penale a suo carico, nascente dalla denuncia del C. 4 lamenta, infine, la M. la mancata considerazione da parte della corte territoriale delle doglianze relative alla personalità della ricorrente ed alla pressione su di lei esercitata dalla sorella del F., profilo rilevante ai fini della sussistenza dell'elemento psicologico del reato ex art. 326, c.p., anche al fine di un adeguamento della pena al caso concreto. 3. Il ricorso non può essere accolto perché fondato su motivi, in parte infondati, in parte inammissibili. 4. Ed invero, come chiarito dalla Suprema Corte nella sua espressione più autorevole, integra la fattispecie criminosa di accesso abusivo ad un sistema informatico quale incontestabilmente è il RE.GE o telematico protetto di interesse pubblico, prevista dall'art. 615 ter c.p. di cui, a differenza di quanto affermato dalla corte territoriale, l'ipotesi dell'abuso delle qualità specificate dall'art. 615 ter, comma 2, n. 1, c.p., costituisce una circostanza aggravante e non un'ipotesi autonoma di reato , la condotta di accesso o di mantenimento nel sistema posta in essere da soggetto che, pure essendo abilitato, violi le condizioni ed i limiti risultanti dal complesso delle prescrizioni impartite dal titolare del sistema per delimitarne oggettivamente l'accesso. Non hanno rilievo, invece, per la configurazione del resto, gli scopi e le finalità che soggettivamente hanno motivato l'ingresso al sistema cfr. Cass., sez. un., 27/10/2011, n. 4694, rv. 251269 . Ai fini della configurabilità del reato di accesso abusivo a un sistema informatico, pertanto, da un lato la qualificazione di abusività va intesa in senso oggettivo, con riferimento al momento dell'accesso e alle modalità utilizzate dall'autore per neutralizzare e superare le misure di sicurezza apprestate dal titolare dello ius excludendi , al fine di impedire accessi indiscriminati, a nulla rilevando le finalità che si propone l'autore e l'uso successivo dei dati, che, se illeciti, possono integrare un diverso titolo di reato cfr. Cass., sez. V, 25/06/2009, n. 40078, rv. 244749 . Dall'altro, l'accesso di soggetto abilitato ad un sistema informatico è abusivo solo quando l'agente viola i limiti risultanti dal complesso delle prescrizioni impartite dal titolare del sistema ovvero pone in essere operazioni di natura ontologicamente diversa da quelle di cui egli è incaricato ed in relazione alle quali l'accesso è a lui consentito cfr. Cass., sez. V, 20/06/2014, n. 44390, rv. 260763 Cass., sez. V, 31/10/2014, n. 10083 Cass., sez. V, 28/11/2013, n. 7465 . Orbene non appare revocabile in dubbio che, come correttamente ritenuto dalla corte territoriale, la condotta della M. sia riconducibile al menzionato paradigma normativo, in quanto l'accesso al RE.GE della procura della repubblica del tribunale di Frosinone, con la conseguente possibilità di consultare i dati in esso contenuti, non le era consentito. La M., infatti, in qualità di cancelliere in servizio non presso la procura della Repubblica, ma presso il tribunale di Frosinone non era abilitata ad accedere al sistema informatico riservato al personale dell'ufficio del pubblico ministero. Né la circostanza che l'imputata, per accedere al sistema informatico, abbia utilizzato non le proprie credenziali, ma un codice di accesso, in uso all'ufficio, creato per un utilizzo assolutamente limitato nel tempo, nel 2005, in occasione di un'ispezione ministeriale, al solo fine di gestire la trasmigrazione informatica di procedimenti di risalente iscrizione, sistema rimasto nella disponibilità del personale in quanto mai disattivato verosimilmente per mera dimenticanza , rende legittimo il suo ingresso nel sistema informatico della procura della Repubblica di Frosinone. Sul punto la ricorrente ha osservato che l'efficacia limitata nel tempo del suddetto codice di accesso non ha trovato riscontro negli atti di indagine si tratta, tuttavia, di un'affermazione apodittica, fondata non su dati oggettivi, ma sulla semplice supposizione che, ove le credenziali fornite al personale nel 2005 avessero avuto un termine di scadenza, alla data fissata sarebbero state disattivate automaticamente. La ricorrente non contesta, in ogni caso, che, come sottolineato dalla corte territoriale, il codice di accesso ad efficacia limitata nel tempo era stato fornito al personale giudiziario al solo fine di gestire la trasmigrazione informatica di procedimenti di risalente iscrizione cfr. p. 6 della sentenza impugnata , dunque per lo svolgimento di un'operazione ontologicamente diversa da quella realizzata dalla M. attraverso la visione del fascicolo relativo al procedimento penale a carico del F La motivazione della corte territoriale appare, pertanto, del tutto immune dai vizi denunciati la M., infatti, non era abilitata ad accedere al sistema informatico della procura della Repubblica di Frosinone con le credenziali in suo possesso, tanto da essere costretta ad utilizzare un diverso codice di accesso, di cui aveva ricevuto la disponibilità in via eccezionale, per un periodo limitato nel tempo ovviamente scaduto quando si verificarono a distanza di quattro anni gli accessi incriminati . Ma ove anche la si volesse ritenere ancora abilitata ad utilizzare la menzionata credenziale rilasciata nel 2005, in ogni caso gli accessi effettuati nel 2009 resterebbero abusivi, avendo con essi l'imputata compiuto nel sistema informatico un'operazione ontologicamente diversa da quella per cui l'accesso le era stato eccezionalmente consentito in occasione dell'ispezione ministeriale del 2005. Inammissibile, invece, perché del tutto generico ed incentrato su di un profilo meramente fattuale, relativo al contenuto delle conversazioni intercettate, deve ritenersi il preteso travisamento della prova denunciato dal ricorrente. Infondato appare anche il motivo di ricorso sub n. 3. Al riguardo è sufficiente osservare che, come affermato dal costante insegnamento della giurisprudenza di legittimità, le notizie desumibili dall'accesso al RE.GE. sono segrete ai fini e per gli effetti dell'art. 326 c.p., potendo essere rivelate soltanto a chi ne abbia il diritto e nel rispetto delle norme che regolano il diritto di accesso alle predette notizie, cfr. Cass., sez. V, 18/01/2011, n. 24583, rv. 249821 Cass., sez. V, 5/10/2004, n. 46174 . Proprio in applicazione di tali principi, secondo l'orientamento dominante in sede di legittimità, integra pacificamente il delitto di rivelazione di segreti d'ufficio la condotta del collaboratore di cancelleria che fornisca a terzi non autorizzati a riceverla, e senza rispettare la procedura prevista dall'art. 110 bis disp. att. c.p.p., in relazione all'art. 335, c.p.p. - secondo la quale la segreteria della procura può rispondere alla richiesta di comunicazione delle iscrizioni contenute nel registro delle notizie di reato, solo dopo che il pubblico ministero vi abbia dato espressa risposta e nel senso derivante dalla risposta stessa, competendo al pubblico ministero di verificare se ricorra la preclusione connessa a uno dei delitti di cui all'art. 407 co. 2, lett. a , c.p.p., ovvero se sussistano specifiche esigenze che giustifichino la temporanea segretazione sulle iscrizioni - la notizia dell'iscrizione nel registro degli indagati di una determinata persona cfr. Cass., sez. VI, 05/04/2012, n. 22276, rv. 252871 , in una fase di assoluta delicatezza, quale quella delle indagini preliminari, a persona non autorizzata a riceverle. Si è, inoltre, opportunamente precisato che ai fini della configurabilità del reato non è necessaria la prova dell'esistenza di un effettivo pregiudizio per le indagini, posto che si tratta di un reato di pericolo concreto che tutela il buon andamento della amministrazione, che si intende leso allorché la divulgazione della notizia sia anche soltanto suscettibile di arrecare pregiudizio a quest'ultima o ad un terzo cfr. Cass. sez. V, 5/10/2004, n. 46174, rv. 231166 . Nessun dubbio, dunque, residua sulla responsabilità della M. per il reato ex art. 326 c.p., avendo l'imputata comunicato alla sua collega, affinché lo riferisse al fratello, ed allo stesso F.G., notizie su iscrizioni a lui relative prima della pronuncia in merito da parte del pubblico ministero. Appare del tutto evidente, peraltro, come sia un elemento del tutto inidoneo a mettere in discussione la configurabilità del delitto di cui si discute, l'assunto difensivo secondo cui il F. fosse già a conoscenza dell'esistenza di un procedimento penale a suo carico per l'aggressione in danno del C. e si fosse limitato, utilizzando la sorella come tramite, a chiederne conferma alla M., in quanto la fattispecie di cui si discute si consuma nel momento stesso della rivelazione della notizia al terzo non autorizzato a riceverla, rivelazione che, nel caso in esame, come ammesso dalla stessa ricorrente, corrispondeva ad un preciso interesse del F Inammissibili, infine, sono tutte le doglianze relative alla configurabilità dell'elemento psicologico del reato di cui all'art. 326, c.p., in quanto assolutamente generiche nella parte in cui contestano alla corte territoriale di non avere ricondotto la condotta dell'imputata all'ipotesi colposa di cui all'art. 326, co. 2, c.p. di tipo fattuale, laddove lamentano la mancata considerazione da parte della corte di appello della buona fede della M. e della pressione esercitata su di lei dalla F.A. manifestamente infondate con riferimento alla pretesa mancanza di motivazione in ordine all'elemento soggettivo del reato, sul quale, invece, la corte territoriale si sofferma specificamente, con argomentare approfondito ed immune da vizi, evidenziando come indicativa del dolo con cui ha agito la M. sia la sua condotta complessivamente considerata ed, in particolare, l'accortezza utilizzata dall'imputata per accedere al sistema informatico, in modo da rendere più difficoltoso l'accertamento della sua responsabilità, e la decisione di assecondare le pressioni dei F., nella piena consapevolezza che così facendo avrebbe violato i suoi doveri di ufficio. 5. Sulla base delle svolte considerazioni il ricorso di cui in premessa va, dunque, rigettato, con condanna della ricorrente, ai sensi dell'art. 616, c.p.p., al pagamento delle spese del procedimento. P.Q.M. Rigetta il ricorso e condanna la ricorrente al pagamento delle spese del procedimento.