Il delitto di accesso abusivo ad un sistema informatico o telematico risulta integrato dalla condotta di colui che – pur essendo abilitato – acceda o si mantenga in un sistema informatico protetto, violando le disposizioni ed i limiti risultanti dal complesso delle prescrizioni impartite dal titolare del sistema per delimitarne oggettivamente l’accesso. Tale fattispecie non si confonde o sovrappone a quella di frode informatica, tutelando, le due figure, beni giuridici differenti.
Il caso. Gli imputati venivano condannati, in primo grado, per i reati di cui agli artt. 615- ter e 640- ter c.p. ed, in secondo grado, anche per il reato di cui all’art. 617- quater c.p., per avere fatto accesso, illecitamente, al sistema informatico della società creditizia per la quale avevano operato in qualità di dipendenti utilizzando le password di accesso al sistema . Gli stessi, infatti, in questo modo procacciavano clienti, sviandoli dalla predetta società per indirizzarli a quella dagli stessi creata e concorrente. Nei PC in uso agli imputati presso la nuova società e presso l’abitazione di uno degli stessi, invero, erano stati rinvenuti documenti e dati inerenti l’attività commerciale svolta dalla società frodata. Nondimeno, proponevano tutti e tre ricorso per cassazione, eccependo violazione di legge e vizio di motivazione, in primo luogo, con riferimento all’art. 615- ter c.p., per avere i Giudici valutato erroneamente i canoni normativi in materia di prova. Secondo i ricorrenti, infatti, i dati indiziari utilizzati dalla Corte di merito per ritenere la loro responsabilità penale non rivestivano i caratteri della gravità, precisione e concordanza. In secondo luogo, con riguardo al delitto di frode informatica, avrebbe difettato l’elemento materiale costituito dalla condotta alterativa o manipolativa sul sistema informatico. Requisiti degli indizi, ai sensi dell’art. 192, comma 2, c.p.p La Corte, ritenuta l’inammissibilità del ricorso, per manifesta infondatezza di tutti i motivi ha, preliminarmente, affrontato il tema della valutazione indiziaria da parte del giudice. Ed invero, ha ricordato, innanzitutto, che la prova critica, fondata sull’utilizzo degli indizi, consiste nella deduzione di un fatto ignoto da un fatto noto attraverso un procedimento empirico basato sull’osservazione del normale svolgimento delle vicende umane e/o naturali. Il fatto noto è legato al fatto da provare in base ad un elevato grado di probabilità o frequenza statistica . Gli indizi, poi, che stanno alla base del giudizio logico-deduttivo suddetto, devono avere tre caratteristiche gravità, che si riferisce alla misura della loro capacità dimostrativa precisione, che attiene al quanto più ristretto numero di interpretazioni possibili concordanza, che riguarda la convergenza degli stessi verso un medesimo risultato, riscontrata da loro interazioni reciproche. Infine, secondo quanto precisato dalla giurisprudenza di legittimità, il procedimento logico di valutazione degli indizi è costituito da due momenti distinti. Il primo che tende ad una valutazione dell’indizio, inteso singolarmente, per verificarne la certezza e l’intrinseca valenza dimostrativa, ed il secondo, invece, diretto ad un’analisi globale, unitaria di tutto quanto il quadro indiziario. Tale valutazione, nondimeno, come affermano gli Ermellini con la sentenza in commento, non può essere effettuata in sede di legittimità, atteso che l’unico controllo è diretto alla compattezza e logicità del ragionamento effettuato dal giudice di merito e alla corretta applicazione dei principi previsti dall’art. 192, comma 2, c.p.p Il delitto di frode informatica. Interessante è, poi, l’analisi compiuta dalla Corte in relazione al delitto di frode informatica di cui all’art. 640- ter c.p La fattispecie prevista dalla norma suddetta, punisce Chiunque, alterando in qualsiasi modo il funzionamento di un sistema informatico o telematico o intervenendo senza diritto con qualsiasi modalità su dati, informazioni o programmi contenuti in un sistema informatico o telematico o ad esso pertinenti, procura a sé o ad altri un ingiusto profitto con altrui danno . Se l’alterazione comporta certamente la manipolazione di dati ed incida sul regolare processo di elaborazione o trasmissione degli stessi, la condotta punita è, altresì, quella di intervento, senza alcuna causa giustificativa, sui dati contenuti in un sistema informatico altrui. In tale seconda ipotesi, non occorre una condotta alterativa del sistema informatico o telematico, essendo sufficiente una mera condotta insinuativa volta all’ottenimento di un ingiusto profitto con altrui danno. Accesso abusivo ad un sistema informatico o telematico. L’art. 615- ter c.p. invece, punisce la condotta di Chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo . La norma, come emerge chiaramente, vuole tutelare il titolare di un sistema informatico da ingerenze illecite altrui, essendo del tutto irrilevante la motivazione per la quale si sia fatto accesso al sistema. Tale fattispecie, precisa la Corte, non si sovrappone con quella di frode informatica prima descritta, ed anzi, con la stessa può sussistere concorso formale, ai sensi dell’art. 81 c.p Ed infatti, i beni giuridici tutelati sono differenti. Mentre l’art. 615- ter c.p. tutela il domicilio informatico sotto il profilo dello ius excludendi alios , l’art. 640- ter c.p. tutela, come si ricava dalla dottrina, la c.d. intangibilità informatica, e quindi il diritto del titolare dei dati informatici a non subirne un uso e/o alterazione da parte si soggetti terzi non autorizzati al fine di percepire un ingiusto profitto.
Corte di Cassazione, sez. II Penale, sentenza 29 maggio – 17 giugno 2019, n. 26604 Presidente Diotallevi – Relatore Pacilli Ritenuto in fatto 1. Con sentenza del 18/4/2018, la Corte d’appello di Roma ha confermato la responsabilità degli imputati F.S. , F.A. e P.M. in ordine ai reati di cui agli artt. 615 ter e 640 ter c.p. capi b e d della rubrica , nonché, in parziale riforma della sentenza del 6/7/2016, emessa dal Tribunale di Roma - appellata sia dagli imputati che dalla parte civile - ha riconosciuto gli stessi responsabili anche in ordine al reato di cui all’art. 617 quater c.p. capo c . Per l’effetto, stante la revoca di costituzione di parte civile nei confronti di F.A. e S. , ha condannato il solo P. al risarcimento del danno in favore della parte civile anche in ordine al reato di cui all’art. 617 quater c.p., rimettendo le parti dinanzi al giudice civile per la liquidazione. 2. Hanno proposto ricorso per cassazione tutti gli imputati, a mezzo dello stesso difensore di fiducia, deducendo, quali motivi comuni 2.1. violazione di legge e vizio di motivazione ex art. 606, lett. b ed e , per inosservanza ed illogica valutazione dei canoni normativi in materia di prova indiziaria, con riferimento all’art. 615 ter c.p., commi 1 e 2, n. 1. Difatti, secondo la prospettazione difensiva, la Corte d’appello di Roma avrebbe confermato la responsabilità degli imputati in ordine al reato di accesso abusivo ad un sistema informatico o telematico sulla base di mere congetture e forzature dei dati indiziari, sprovvisti dei caratteri della gravità, precisione e concordanza. In particolare, la difesa ha rappresentato che il computer della Master Mediazione Creditizia, nel quale erano stati rinvenuti alcuni dati della Pitagora S.p.a., non era nella disponibilità dei fratelli F. e che il perito Dott. O. si era dichiarato impossibilitato a stabilire quando, come e chi fosse entrato effettivamente nel server della società Pitagora S.p.a. 2.2. violazione di legge e vizio di motivazione ex art. 606, lett. b ed e , in ordine alla sussistenza del reato di frode informatica di cui all’art. 640 ter c.p., nonché in ordine all’art. 192 c.p.p., comma 2, in materia di prova indiziaria. Secondo la difesa, ai fini dell’integrazione dell’elemento materiale del reato in questione, sarebbe necessaria una condotta di alterazione ovvero di manipolazione sul sistema informatico, e non un semplice intervento invito domino su dati, informazioni o programmi informatici - come ritenuto erroneamente dalla Corte, con conseguente confusione tra la fattispecie di cui all’art. 640 ter c.p. e quella di cui all’art. 615 ter c.p 2.3 violazione di legge e vizio di motivazione ex art. 606, lett. b ed e , in ordine alla sussistenza della fattispecie di cui all’art. 617 quater c.p., nonché all’art. 192 c.p.p., comma 2, in materia di prova indiziaria. Secondo la difesa, la condanna in ordine al suddetto reato si sarebbe fondata su un travisamento del dato probatorio, in particolare sul travisamento delle dichiarazioni del Dott. O. . All’odierna odierna udienza pubblica, verificata la regolarità degli avvisi di rito, le parti presenti hanno concluso come da epigrafe e questa Corte, riunita in camera di consiglio, ha deciso come da dispositivo in atti, pubblicato mediante lettura in pubblica udienza. Considerato in diritto 3. Il ricorso è inammissibile, essendo manifestamente infondati tutti i motivi di censura dedotti. 4. Con riguardo alla prima doglianza, occorre innanzitutto precisare che la prova critica o indiretta , fondata sull’utilizzazione degli indizi, consiste essenzialmente nella deduzione di un fatto ignoto da un fatto noto, attraverso un procedimento gnoseologico che poggia su massime di esperienza - ricavate cioè dall’osservazione del normale ordine di svolgimento delle vicende naturali ed umane - alla cui stregua è possibile affermare che il fatto noto è legato al fatto da provare da un elevato grado di probabilità ovvero di frequenza statistica, che rappresenta la base giustificativa della regola di inferenza, su cui poggia il metodo logico-deduttivo della valutazione degli indizi. La giurisprudenza di legittimità ha chiaramente enucleato i principi che regolano la prova indiziaria, sottolineando, in primo luogo, che il procedimento indiziario deve muovere da premesse certe, nel senso che devono corrispondere a circostanze fattuali non dubbie e, quindi, non consistere in mere ipotesi o congetture ovvero in giudizi di verosimiglianza Sez. 4, n. 2967 del 25/01/1993, Rv. 193407 Sez. 2, n. 43923 del 28/10/2009, Rv. 245606 . In secondo luogo, gli indizi devono essere gravi, precisi e concordanti. L’art. 192 c.p.p., comma 2, difatti, subordina alla presenza di questi tre concorrenti requisiti l’equiparazione della prova critica o indiretta alla prova rappresentativa o storica o diretta . Conseguentemente, in mancanza anche di uno solo dei suddetti requisiti, gli indizi non possono assurgere al rango di vera e propria prova, idonea a fondare la dichiarazione di responsabilità penale Sez. 4, n. 22391 del 2/4/2003, Rv. 224962 . In particolare, il carattere della gravità degli indizi attiene alla misura della capacità dimostrativa o grado di inferenza ed esprime l’elevata probabilità di derivazione dal fatto noto di quello ignoto, in cui si identifica il tema di prova Sez. 6, n. 3882 del 4/11/2011, Rv. 251527 . La precisione degli indizi designa, invece, la loro idoneità a fare desumere il fatto non conosciuto e varia in relazione inversa alla loro equivocità, nel senso che indizi precisi sono quelli che consentono un ristretto numero di interpretazioni, tra cui quella pertinente al fatto da provare. La concordanza degli indizi indica, infine, la loro convergenza verso un identico risultato ed è qualificata dalle interazioni reciproche riscontrabili tra una moltitudine di indizi gravi e precisi, che - pur essendo da soli insufficienti a giustificare una determinata conclusione - acquisiscono, tuttavia, il carattere dell’univocità in ragione del reciproco collegamento e della loro simultanea convergenza in una medesima direzione, assumendo, così, il crisma della prova e l’efficacia dimostrativa che a questa inerisce Sez. 6, n. 3882 del 4/11/2011, Rv. 251527 . In terzo luogo, la giurisprudenza di legittimità ha altresì chiarito che il procedimento logico di valutazione degli indizi si articola in due distinti momenti. Il primo è diretto ad accertare il maggiore o il minore livello di gravità e di precisione di ciascun indizio isolatamente considerato. Il secondo momento del giudizio di valutazione è costituito, invece, da un esame globale e unitario del quadro indiziario, tendente a dissolverne la relativa ambiguità quae singula non probant, simul unita probant , posto che nella valutazione complessiva ciascun indizio notoriamente si somma e, di più, si integra con gli altri, talché il limite della valenza di ognuno risulta superato e l’incidenza positiva probatoria viene esaltata nella composizione unitaria, sicché l’insieme può assumere il pregnante e univoco significato dimostrativo, per il quale può affermarsi conseguita la prova logica del fatto che - giova ricordare non costituisce uno strumento meno qualificato rispetto alla prova diretta o storica quando sia conseguita con la rigorosità metodologica che giustifica e sostanzia il principio del c.d. libero convincimento del giudice Sez. U, n. 6682 del 04/02/1992, Musumeci, Rv. 191230 . In sintesi, dunque, secondo l’orientamento ermeneutico oramai consolidato di questa Corte, in tema di valutazione della prova indiziaria, il giudice di merito non può limitarsi ad una valutazione atomistica e parcellizzata degli indizi, né procedere ad una mera sommatoria di questi ultimi, ma deve valutare, anzitutto, i singoli elementi indiziari per verificarne la certezza nel senso che deve trattarsi di fatti realmente esistenti e non solo verosimili o supposti , saggiarne l’intrinseca valenza dimostrativa di norma solo possibilistica e poi procedere ad un esame globale degli elementi certi, per accertare se la relativa ambiguità di ciascuno di essi, isolatamente considerato, possa in una visione unitaria dissolversi, consentendo di attribuire il reato all’imputato al di là di ogni ragionevole dubbio e, cioè, con un alto grado di credibilità razionale, sussistente anche qualora le ipotesi alternative, pur astrattamente formulabili, siano prive di qualsiasi concreto riscontro nelle risultanze processuali ed estranee all’ordine naturale delle cose e della normale razionalità umana cfr. Sez. 1, n. 44324 del 18/04/2013, Stasi, Rv. 258321 Sez. 1, n. 20461, del 12/04/2016, P.C. in proc. Graziadei, Rv. 266941 . 4.1. Infine, deve precisarsi che, nel giudizio di legittimità, il sindacato sulla correttezza del procedimento indiziario non può consistere nella rivalutazione della gravità, della precisione e della concordanza degli indizi - dato che ciò comporterebbe inevitabilmente apprezzamenti riservati al giudice di merito - ma deve piuttosto tradursi nel controllo sulla tenuta logico-giuridica della motivazione, così da verificare se sia stata data esatta applicazione ai parametri normativi, dettati dall’art. 192 c.p.p., comma 2, e se siano state coerentemente applicate le regole della logica nell’interpretazione dei risultati probatori Sez. 4, n. 48320 del 12/11/2009, Durante, Rv. 245880 Sez. 1, n. 1343 del 05/12/1994 - dep. 10/02/1995, Colonnetti, Rv. 200238 . Pertanto, l’esame della gravità, precisione e concordanza degli indizi da parte del giudice di legittimità si sostanzia nel mero controllo - eseguito con il ricorso ai consueti parametri della completezza, della correttezza e della logicità del discorso motivazionale - sul rispetto, da parte del giudice di merito, dei criteri dettati in materia di valutazione delle prove dall’art. 192 c.p.p. Sez. 6, n. 20474 del 15/11/2002, Caracciolo, Rv. 225245 Sez. 1, n. 42993 del 25/09/2008, Pipa, Rv. 241826 Sez. 5, n. 4663 del 19/12/2014, Larotondo e altri, Rv. 258721 . 4.2. Orbene, sulla base delle argomentazioni svolte, appare coerente e logico l’apparato motivazionale della sentenza impugnata, laddove la Corte romana ha affermato la sussistenza del reato di cui all’art. 615 ter c.p., sulla base di un quadro indiziario che, globalmente considerato, risulta sintomatico della responsabilità degli imputati. Difatti, essi, avendo lavorato fino al 2009 per la Pitagora S.p.a. come agenti e responsabili della filiale, conoscevano perfettamente le modalità operative dell’azienda e soprattutto, conoscendone le credenziali e le password, potevano accedere al sistema informatico in uso alla predetta società. Conseguentemente, sapevano come procurarsi i dati sensibili per lo svolgimento di attività di impresa in modo concorrenziale con l’ex società con cui avevano lavorato, avendone conservato le password di accesso - cambiate solo nel febbraio 2011, momento questo a partire dal quale, come precisato dal teste Pa. , lo sviamento della clientela era cessato cfr. p. 3 . Inoltre, gli imputati avevano creato una società - la Master Mediazione Creditizia S.r.l. - che procacciava clienti cfr. p. 5 , sviandoli dalla Pitagora in favore della concorrente IBL, e che svolgeva nel Lazio attività finanziaria sempre in concorrenza con l’ex azienda datrice di lavoro. Infine, con l’ausilio dell’esperto Dott. O. , nei pc in uso agli imputati presso la Master Mediazione Creditizia S.r.l. e presso l’abitazione del P. erano stati rinvenuti dati e documenti inerenti l’attività commerciale svolta dalla Pitagora S.p.a. cfr. p. 3 e 4 . Ad ulteriore conferma, poi, della riferibilità dei fatti in oggetto agli imputati, si rilevava che, all’epoca dei fatti, il P. era amministratore della Master, mentre i fratelli F. erano i responsabili di fatto della predetta società. Pertanto, alla luce di un tale grave compendio istruttorio, rispetto al quale, peraltro, non veniva allegata né dagli imputati né dalla corrispondente difesa alcuna verosimile ricostruzione alternativa, la Corte d’appello di Roma considerato che solo gli imputati, in quanto ex dipendenti, potevano accedere abusivamente al sistema informatico della Pitagora S.p.a., conoscendone le relative password, e considerato altresì il loro presumibile interesse a sviare a proprio vantaggio i dati sensibili così carpiti - ha ragionevolmente concluso, con motivazione logica ed adeguata, nel senso dell’affermazione di responsabilità per il reato di cui all’art. 615 ter c.p 5. Anche il secondo motivo è manifestamente infondato. 5.1. Quanto alla struttura del reato di cui all’art. 640 ter c.p., va osservato che la norma in questione incrimina due condotte. La prima consiste nell’alterazione, in qualsiasi modo, del funzionamento di un sistema informatico o telematico. Per alterazione deve intendersi ogni attività o omissione che, attraverso la manipolazione dei dati informatici, incida sul regolare svolgimento del processo di elaborazione e/o trasmissione dei suddetti dati e, quindi, sia sull’hardware che sul software. In altri termini, il sistema continua a funzionare ma, appunto, in modo alterato rispetto a quello originariamente programmato. Per sistema informatico o telematico deve intendersi un complesso di apparecchiature destinate a compiere una qualsiasi funzione utile all’uomo, attraverso l’utilizzazione anche parziale di tecnologie informatiche, che sono caratterizzate - per mezzo di un’attività di codificazione e decodificazione - dalla registrazione o memorizzazione, per mezzo di impulsi elettronici, su supporti adeguati, di dati, ossia di rappresentazioni elementari di un fatto, effettuata attraverso simboli bit , in combinazione diverse, e dall’elaborazione automatica di tali dati, in modo da generare informazioni, costituite da un insieme più o meno vasto di dati organizzati secondo una logica che consenta loro di esprimere un particolare significato per l’utente. La seconda condotta, prevista dall’art. 640 ter c.p., è costituita dall’intervento senza diritto con qualsiasi modalità su dati, informazioni o programmi contenuti in un sistema informatico o telematico ad esso pertinenti. È questo un reato a forma libera che, finalizzato pur sempre all’ottenimento di un ingiusto profitto con altrui danno, si concretizza in un’illecita condotta intensiva, ma non alterativa del sistema informatico o telematico Sez. 2, n. 13475 del 06/03/2013, Scialoia, Rv. 254911 . 5.2. Con riguardo, invece, all’art. 615 ter c.p., il reato de quo risulta integrato dalla condotta di colui che - pur essendo abilitato - acceda o si mantenga in un sistema informatico o telematico protetto, violando le condizioni ed i limiti risultanti dal complesso delle prescrizioni impartite dal titolare del sistema per delimitarne oggettivamente l’accesso, rimanendo invece irrilevanti, ai fini della sussistenza del reato, gli scopi e le finalità che abbiano soggettivamente motivato l’ingresso nel sistema SS.UU., n. 4694 del 27/10/2014, Rv. 251269 . 5.3. Sulla base di queste premesse, appare corretto e coerente il tessuto motivazionale logico-giuridico, posto a sostegno della riconosciuta responsabilità degli imputati anche in ordine al reato di cui all’art. 640 ter c.p., senza che ciò comporti la sovrapposizione di quest’ultima fattispecie a quella prevista dall’art. 615 ter c.p., trattandosi difatti di fattispecie incriminatrici diverse, suscettibili di concorso formale. Questa Corte Sez. 5, n. 1727 del 30/09/2008, Romano, Rv. 242938 ha difatti affermato che il delitto di accesso abusivo ad un sistema informatico può concorrere con quello di frode informatica, diversi essendo i beni giuridici tutelati e le condotte sanzionate, in quanto il primo tutela il domicilio informatico sotto il profilo dello ius excludendi alios , anche in relazione alle modalità che regolano l’accesso dei soggetti eventualmente abilitati, mentre il secondo contempla l’alterazione dei dati immagazzinati nel sistema al fine della percezione di ingiusto profitto. Come correttamente evidenziato dalla Corte territoriale, la condotta materiale del reato di frode informatica si è sostanziata, nel caso di specie, nell’intervento invito domino - attuato tramite l’utilizzo delle password di accesso, conosciute dagli imputati in virtù del pregresso rapporto lavorativo con la Pitagora S.p.a. - su dati, informazioni o programmi contenuti nel sistema informatico in uso alla predetta società, il tutto con il conseguimento di un ingiusto profitto cfr. p. 5 con altrui danno, consistente nello sviamento della clientela dalla Pitagora S.p.a 6. Anche il terzo motivo è manifestamente infondato. Richiamate le argomentazioni già svolte in ordine alla valutazione della prova indiziaria, appaiono coerenti e corrette le argomentazioni svolte dalla Corte d’appello per affermare la responsabilità degli imputati anche per il reato di cui all’art. 617 quater c.p Difatti, la Corte ha ragionevolmente ritenuto dimostrate le intercettazioni delle comunicazioni trasmesse a mezzo posta elettronica all’interno della Pitagora S.p.a., sulla base delle dichiarazioni rese dal Dott. O. , il quale, in particolare, aveva rilevato che nei pc in uso agli imputati erano presenti e-mail indirizzate alla sede centrale della Pitagora o alle filiali della stessa e che queste erano state aperte, scaricate e copiate fraudolentemente, ossia tramite l’indebito uso delle password di accesso al sistema informatico in uso all’odierna parte civile. 7. Il ricorso va, pertanto, dichiarato inammissibile e a tale declaratoria consegue la condanna dei ricorrenti al pagamento delle spese processuali nonché al versamento di una somma che, valutati i profili di colpa, si determina equitativamente in Euro 2.000,00 ciascuno a favore della Cassa delle ammende. P.M. va anche condannato alla refusione delle spese del grado in favore della parte civile PITAGORA S.p.a., liquidate come da dispositivo. P.Q.M. Dichiara inammissibili i ricorsi e condanna i ricorrenti al pagamento delle spese processuali e della somma di Euro 2.000,00 ciascuno a favore della Cassa delle ammende, nonché il P.M. alla refusione delle spese del grado in favore della parte civile PITAGORA S.p.a. liquidate in Euro 3.510,00, oltre spese generali nella misura del 15%, CPA ed IVA.