Con la decisione in oggetto, la Corte di Cassazione ha chiarito in maniera adeguata l’ambito di applicazione dell’art. 640-ter c.p. nel caso in cui l’introduzione nel sistema informatico avvenga per fini estranei a quelli per cui si è ottenuta l’autorizzazione all’accesso.
Sussistenza del reato. La Suprema Corte sentenza n. 11075/18 depositata il 13 marzo ha innanzi tutto ribadito il principio recentemente espresso dalle Sezioni unite in merito all’art. 615- ter c.p. secondo cui è punibile la condotta del soggetto abilitato all’accesso per ragioni d’ufficio che, non violando le condizioni ed i limiti risultanti dalle prescrizioni impartite dal titolare di un sistema informatico o telematico protetto per delimitarne oggettivamente l’accesso, acceda o si mantenga nel sistema per scopi o finalità estranei o comunque diversi rispetto a quelli per i quali la facoltà di accesso gli è attribuita Cass. Pen., SS.UU., n. 41210/17 . Inoltre, si è osservato che l’introduzione abusiva per estrarre copia del database e dei codici sorgenti del programma coperto da copyright al fine di utilizzarlo per una impresa concorrente costituisce violazione anche l’art. 171- bis l. n. 633/1941, in quanto l’oggetto di tutela è diverso così come l’oggetto dell’azione, che infatti ricade su dati coperti dal copyright. Conseguentemente non solo è possibile un concorso fra le due fattispecie di truffa informatica e di duplicazione indebita dei programmi, ma è anche evidente che il danno patrimoniale attiene al valore patrimoniale del bene oggetto di intervento e all’azione in cui si esplica l’intervento senza diritto , che nella specie è consistito in un indebito impossessamento di un bene immateriale suscettibile di valutazione economica, impossessamento che costituisce un danno la cui sussistenza deriva dallo stesso impossessamento anche quando la parte offesa non sia materialmente in grado, proprio per l’attività decettiva dell’imputato, di avere contezza dell’illecito impossessamento medesimo . Da qui il pratica corollario secondo cui la consumazione del reato di frode informatica si consumerebbe sull’autonoma disponibilità del programma stesso e della base dati dello stesso , atteso che la successiva registrazione del software generato dalla pedissequa riproduzione di quanto trafugato non attiene alla realizzazione di un profitto e di un danno quanto piuttosto all’impiego in successive attività imprenditoriali e finanziarie delle utilità provenienti dalla commissione di tale delitto presupposto . Tale corollario, all’apparenza più favorevole al reo, in realtà costituisce un pesantissimo grimaldello. Infatti, in questa logica, chi impiega” un software acquisito indebitamente, id est a seguito della commissione di un delitto, si trova – ove ne sia consapevole – esposto a rischio di imputazione di reati ben più gravi della truffa informatica. Tale conseguenza può essere in effetti ragionevolmente prospettata, alla luce dell’ordinamento penale vigente. Se non che si domanda se in una materia così delicata, dove la giurisprudenza della Corte di Cassazione è assai ondivaga e nello stesso tempo imprevedibile” con riferimento a elementi essenziali della fattispecie, non sia necessario un intervento del legislatore, in modo da evitare che la fortuna processuale di un imputato e quella della persona offesa dipendano da cicli imponderabili. Nulla poena sine lege et sine iudicio Così un tempo si diceva per esprimere una massima del garantismo penale ma forse nessuno seriamente pensava che, adottata la legalità del sistema penale e la sottoposizione del giudice alla legge, col tempo inesorabilmente iudicium facit legem .
Corte di Cassazione, sez. II Penale, sentenza 19 ottobre 2017 – 13 marzo 2018, n. 11075 Presidente Diotallevi – Relatore Tutinelli Ritenuto in fatto 1. Con la sentenza 13 dicembre 2015, il GIP presso il Tribunale di Bologna ha dichiarato non luogo a provvedere ai sensi dell’articolo 425 cod. proc. pen. in ordine alle imputazioni sollevate a carico di L.C. , P.S. e B.D.L. . In particolare, ha dichiarato estinto per prescrizione il reato di cui agli articoli 81-110 cod. pen. e 171 bis della legge 633/1941 e ha dichiarato non doversi procedere in relazione al capo di cui all’articolo 643 ter e 615 ter cod. pen. perché il fatto non sussiste. La vicenda riguardava la copia dei codici sorgenti e del database operata da dipendenti poi fuoriusciti dalla società di un programma di proprietà della parte civile utilizzati al fine di realizzare un programma sostanzialmente identico e con le medesime finalità da parte di una società concorrente presso cui gli stessi dipendenti lavoravano. A fondamento della propria decisione, il Tribunale ha affermato che non poteva ritenersi sussistente alcun intervento senza diritto all’interno del sistema né alcuna manipolazione che potesse essere ritenuta immediatamente causa dell’evento di danno e del profitto. 2.1. Propone ricorso per cassazione il procuratore della Repubblica presso il Tribunale di Bologna articolando i seguenti motivi 2.1.1. Erronea applicazione dell’articolo 640 ter e motivazione insufficiente. Afferma il procuratore ricorrente che l’articolo 643 cod. pen. individua le condotte sanzionate anche nell’intervento senza diritto e con qualsiasi modalità su dati, informazioni o programmi contenuti in un sistema informatico o telematico che la duplicazione di un programma rispetto a cui sussiste un diritto di privativa costituirebbe di per sé un intervento senza diritto e che la medesima duplicazione rientra nella formula aperta dell’intervento con qualsiasi modalità previsto dalla norma stessa, in ciò richiamandosi a precedente sentenza di questa Corte Cass. 13475/2013 . Evidenzia come la stessa lettera della legge che contrappone l’alterazione del sistema all’intervento senza diritto su dati, informazioni o programmi determinerebbe la rilevanza della copia dei dati per come nel caso di specie contestati. Afferma in particolare che non potrebbe esservi sovrapposizione tra la violazione del diritto d’autore e la frode informatica in quanto si tratterebbe di condotte precedente e distinta. Evidenzia come la duplicazione dei dati e dei codici sorgenti avrebbe effetti patrimoniali diretti, tanto nei confronti della persona offesa, quanto nei confronti dell’autore in termini, rispettivamente, di danno e di profitto posto che, al fine di ritenere sussistente un profitto, non è fondamentale un aumento esteriore della ricchezza del soggetto attivo potendo questo ricomprendere in sé qualsiasi utilità, incremento vantaggio patrimoniale anche a carattere non strettamente economico e che, per altro verso risulterebbero di immediata evidenza le ricadute patrimoniali ravvisabili a fronte della perdita dell’esclusività in termini di deprezzamento del valore del software su cui è avvenuto l’intervento. 2.2. Propone ricorso inoltre la parte civile evidenziando, in premessa, che la sentenza 26 giugno 2014 del Tribunale di Bologna-sezione specializzata in materia di impresa aveva dichiarato che realizzazione, registrazione, commercializzazione i pubblicizzazione del programma ottenuto con la copia dei codici sorgenti del database costituivano violazione dei diritti d’autore dell’odierna parte civile nonché atti di concorrenza sleale a danno di quest’ultima e che la consulenza tecnica d’ufficio svolta nella causa civile ha evidenziato che il programma prodotto, nella prospettiva accusatoria, grazie all’opera degli odierni imputati non presenta alcun aspetto di novità e originalità rispetto al programma da cui lo stesso è stato tratto. La parte civile articola inoltre i seguenti motivi di ricorso. 2.2.1. Violazione degli articoli 643 e 615 ter nonché manifesta illogicità e contraddittorietà della motivazione. La ricorrente afferma una palese contraddittorietà tra le premesse, riguardanti gli esiti della causa civile, e le conclusioni cui giunge il giudice nel provvedimento impugnato in ordine alla legittimità dell’accesso ai dati che, di per sé, dovrebbe essere esclusa in quanto la copia dei dati doveva ritenersi a priori non autorizzata dalla società datrice di lavoro. Tale considerazione dovrebbe ritenersi imposta per effetto della valutazione della sentenza in sede civile. Contesta inoltre la pertinenza dei riferimenti del provvedimento impugnato. Evidenzia come il reato di cui all’articolo 640 ter sia, per affermazione di questa stessa Corte, reato a forma libera che, realizzato pur sempre l’ottenimento di un ingiusto profitto con altrui danno, si concretizza in una illecita condotta volontaria ma non alterativa del sistema informatico telematico Sez. II, Sent. 6 marzo 2013 numero 13475 , dovendosi ritenere lecito anche l’uso di dati captati abusivamente al solo fine di farsi pubblicità presso clienti il cui indirizzo sarebbe stato acquisito artificiosamente Sez. III, 24 maggio 2012, n. 23978 . 3. Depositano memorie le difese degli imputati. 3.1 In particolare, la difesa di P.S. rileva come il provvedimento impugnato non si è pronunciato in ordine ai fatti storici ma unicamente alla qualificazione giuridica della contestazione avanzata dal Pubblico Ministero che i dati non possono in questa sede considerarsi acquisiti illecitamente o sottratti indebitamente. Per altro verso, lo stesso provvedimento impugnato non esclude la rilevanza penale dei fatti ma la farebbe rientrare esclusivamente nella previsione di cui all’articolo 171 bis del regio decreto 633 del 1941. In radice, la difesa dell’imputato evidenzia come, per la fattispecie descritta dalla norma di cui all’articolo 615 ter cod. pen., non avrebbero rilievo scopi e finalità che soggettivamente abbiano motivato l’ingresso nel sistema, con la conseguenza che, qualora l’attività autorizzata consiste anche nell’acquisizione di dati e qualora l’operatore la esegua nei limiti e nelle forme consentite dal titolare dello ius excludendi, il diritto in esame non può essere individuato anche se degli stessi dati l’autore si dovesse poi servire per finalità illecita. Ciò premesso, posto che, nei confronti dell’imputato, non esisteva alcun divieto ad accedere al software, il delitto non può ritenersi sussistente. Contesta ancora che non sussisterebbe interesse per il ricorso della parte civile posto che i vizi di motivazione lamentati, quand’anche fondati, non potrebbero determinare l’annullamento con rinvio dell’impugnata sentenza stante l’obbligo di immediata declaratoria di proscioglimento stabilito dall’articolo 129 cod. proc. pen. e che, non essendo contemplata la pronuncia in esame tra quelle di cui all’articolo 652 cod. proc. pen., questa non di spiegherebbe effetti preclusivi pregiudizialmente vincolanti nel giudizio civile amministrativo di danno perdendo ogni significato la formula di assoluzione. 3.2 La difesa L. B. deposita ulteriore memoria, affermando, sulla scorta di quanto già evidenziato nel provvedimento impugnato, sia l’impossibilità di ricondurre la condotta di duplicazione del software al novero di quelle tipizzate dal delitto di frode informatica difettando la manipolazione dei risultati prodotti dal sistema sia la mancanza della diretta ed immediata correlazione tra l’intervento asseritamente abusivo e l’aggressione all’altrui patrimonio, in ciò richiamandosi alla giurisprudenza di questa Corte in materia di diritto autore sezione terza, 25 gennaio 2012, numero 8011 sezione terza, 24 aprile 2002, numero 15509 . Afferma inoltre la mancanza di una correlazione tra la duplicazione del software e il vantaggio ingiusto con altrui danno posto che, dalla mera disponibilità del programma che si suppone abusivamente duplicato da parte di terzi, non deriverebbe alcun effettivo e sostanziale vantaggio né tantomeno un concreto e reale pregiudizio di natura patrimoniale, in quanto il verificarsi di un danno presupporrebbe comunque un successivo impiego o sfruttamento economico del software medesimo. In quest’ottica, non risulterebbe rilevante il successivo impiego in quanto non immediato e diretto non potrebbe prendersi in considerazione alcun profilo di danno che non abbia natura economico patrimoniale richiamando sul punto Sez.1, 20 maggio 2016 n. 36359 Sez. 5, 24 novembre 2003, n. 4576 Sez. 6 4 ottobre 1999 n. 3065 , risultando necessaria una lesione concreta e non soltanto potenziale che abbia l’effetto di produrre la perdita definitiva del bene Sez. 1 sent. 5 giugno 2017 numero 31684 Sez. 2 sent. 4 novembre 2016 numero 49382 , non potendosi peraltro sovrapporre i concetti di danno e profitto. Considerato in diritto 1. I ricorsi risultano fondati. 2. Quanto al carattere illecito dell’accesso al sistema informatico da cui è stata tratta la copia, che costituisce principale presupposto dell’esclusione della penale responsabilità degli imputati, deve rilevarsi che le Sezioni unite di questa Corte Sez. U, n. 41210 del 18/05/2017 Rv. 271061 Imp. Savarese hanno dato risposta affermativa al quesito se integri o meno il delitto previsto dall’art. 615-ter, comma 2, n. 1, c.p. la condotta del soggetto abilitato all’accesso per ragioni di ufficio che, non violando le condizioni ed i limiti risultanti dalle prescrizioni impartite dal titolare di un sistema informatico o telematico protetto per delimitarne oggettivamente l’accesso, acceda o si mantenga nel sistema per scopi e finalità estranei o comunque diversi rispetto a quelli per i quali la facoltà di accesso gli è attribuita. Si tratta di rimeditazione di precedente pronuncia delle stesse Sezioni Unite Sez. U, Sentenza n. 4694 del 27/10/2011 dep. 07/02/2012 Rv. 251269 , che aveva risolto un contrasto di giurisprudenza ritenendo che non integrasse il reato la condotta di chi, avendo titolo per accedere al sistema, se ne fosse avvalso per finalità estranee a quelle di ufficio. In particolare, deve per effetto di tale pronuncia ritenersi sussistente l’illiceità penale della condotta del soggetto che abbia effettuato come nel caso di specie un ingresso nel sistema telematico con fini palesemente contrari agli interessi anche patrimoniali del titolare del sistema informatico stesso. Pertanto, deve rilevarsi la erronea interpretazione in diritto che il giudice del merito ha offerto nella valutazione dei profili di illiceità della condotta. 2. La sentenza oggetto dell’odierno ricorso afferma che in relazione alla copia di dati di un programma per elaboratore elettronico non potrebbe ritenersi sussistente la violazione del disposto dell’art. 640 ter cod pen in tutti i casi in cui non vi sia una modificazione del sistema in cui i dati del programma si trovano. Tuttavia, deve rilevarsi che la previsione incriminatrice prevede una pluralità di condotte alternative tutte parimenti illecite. Da una parte infatti il legislatore prevede la condotta di chi si procuri un ingiusto profitto con altrui danno alterando in qualsiasi modo il funzionamento di un sistema informatico o telematico . Dall’altra, risulta parimenti sanzionata la condotta di chi si procuri un ingiusto profitto con altrui danno intervenendo senza diritto con qualsiasi modalità su dati, informazioni o programmi contenuti in un sistema informatico o telematico o ad esso pertinenti . Si tratta di due condotte del tutto distinte. Se nel caso di specie non sussiste alcun dubbio in ordine al fatto che la prima non sia stata realizzata, la descrizione della condotta oggetto dell’imputazione, per come ricostruita nel provvedimento impugnato corrisponde al secondo ordine di condotte sanzionate dal legislatore. Nel caso di specie, infatti, secondo la ricostruzione offerta nella sentenza impugnata, vi è stato un intervento senza diritto su dati contenuti in un sistema informatico, dovendosi valutare tale intervento senza diritto alla stregua del principio di diritto espresso da questa Corte nella sentenza 18/05/2017, imp. Savarese sopra richiamata. Tale intervento è consistito nella introduzione nel sistema informatico e nella estrazione di copia del database e dei codici sorgenti del programma protetto da copyright al fine di utilizzare lo stesso programma per gestire parti dell’attività di una società concorrente in cui coloro che avevano organizzato la copia erano confluiti. 3. Il provvedimento impugnato afferma che nel caso di specie dovrebbe applicarsi il disposto dell’art. 171 bis RD 633/1941 richiamandosi ai principi di diritto espressi da questa Corte Sez. 3, Sentenza n. 8011 del 25/01/2012 Rv. 252757 conf. Conformi Sent. n. 15509 del 2002 Rv. 222550 , in quanto nella formulazione di entrambi i capi di imputazione per frode informatica e per la lesione del diritto di autore si fa riferimento a duplicazione del software di cui la ricorrente privata aveva l’esclusiva disponibilità. L’art. 171 bis RD 633/1941 preveda come condotta sanzionata quella di chi duplica, per trarne profitto, programmi per elaboratore e non vi è dubbio che possa ritenersi realizzata la fattispecie tipica dell’art. 171 bis RD 633/1941 nella misura in cui vi sia una ripetizione inalterata anche di parte del programma utilizzato sul punto cfr. in motivazione Sez. 5, Sentenza n. 38325 del 21/06/2011 Rv. 250849, che affrontava proprio una fattispecie in cui vi era una riconoscibile identità di parte del programma informatico utilizzato caratterizzata da una riduzione del database di utilizzo . In tali termini si è del resto già ampiamente espressa questa Corte nelle stesse pronunce richiamate nel provvedimento impugnato, nella misura in cui ha affermato che la locuzione in qualsiasi forma espressi correlata ai programmi per elaboratori contenuta nella previsione dell’art. 2 RD 633/1941, richiama la distinzione fra codici sorgenti e programmi – oggetto e dimostrerebbe come debba essere protetta in sede penale pure la duplicazione parziale, purché dotata di propria autonomia e costituente il nucleo fondamentale del programma, dovendosi apprestare la tutela penale più al programma sorgente ed al code line invece che al programma oggetto, come confermato dagli artt. 64 ter e 64 quater l. n. 633 del 1941. Proprio tali ultime previsioni, nell’ambito delle quali vengono trattati, rispettivamente, i diritti esclusivi di cui è titolare l’autore del software, i diritti dell’utente e la c.d. decompilazione cioè il reverse engineering , contengono una serie di interessanti precisazioni utili anche nella valutazione del caso in esame. La prima disposizione, attraverso l’indicazione dei diritti riservati dimostra in particolare che i diritti riconosciuti al legittimo acquirente del programma sono correlati alla facoltà di uso dello stesso e, quindi, sono limitati ed escludono la parziale duplicazione del programma per differenti utilizzazioni. Infine l’art. 64 quater l. cit., nel disciplinare il c.d. reserve engineering, considera in modo eminente gli interessi del titolare del programma, vietando che le informazioni siano utilizzate per ogni altra attività che violi il diritto d’autore . 4. La certa sussistenza di profili di condotta sovrapponibili nell’una e nell’altra previsione normativa non elide però la presenza in ciascuna delle due fattispecie di profili specializzanti di diversa natura. Infatti, la fattispecie di frode informatica, corrisponde all’intervento senza diritto su dati contenuti in un sistema informatico. Si tratta di una condotta che rispetto a quanto previsto nell’art. 171 bis RD 633/1941 riguarda quindi non solo un profilo di intervento sui dati, ma di una acquisizione effettuata su dati contenuti in un sistema informatico, limitando così in maniera qualificata l’ambito di applicazione dell’una e dell’altra norma Il riferimento al termine sistema infatti implica l’indicazione di uno o più elementi che interagiscano tra loro o con elementi esterni. In particolare, per sistema informatico, si intende la combinazione di hardware, quali personal computer, server, router, terminali, eventualmente tra loro interconnessi usualmente gestiti da un software al fine di fornire una o più funzionalità o servizi di elaborazione a favore degli utenti. Del resto, il fatto che l’intervento sui dati informatici sia nella previsione dell’art. 640 ter cod pen correlato all’accesso a un sistema informatico è reso palese dall’esistenza di una aggravante riguardante proprio il fatto che il soggetto che accede possa rivestire la qualifica di operatore del sistema, specificazione che non avrebbe altrimenti ragione di essere. Nemmeno casuale può essere inteso il fatto che le fattispecie in materia di tutela delle opere dell’ingegno faccia riferimento a situazioni quale il reverse engeneering e i limiti delle facoltà del licenziatario del software cgr artt. 64 ter e ss. che appaiono ricollegabili a profili connessi non alla acquisizione tramite ingresso nel sistema del titolare del diritto di esclusiva ma a patologie connesse alla commercializzazione e circolazione del software inteso come opera dell’ingegno. Ciò rende palese la sussistenza, nella previsione dell’art. 640 ter cod. pen., di un elemento specializzante, dato dal fatto che l’intervento sui dati avviene all’interno di un sistema informatico su cui si intervenga indebitamente che come visto risulta essere presente nella descrizione del caso concreto fornita nel provvedimento impugnato. 5. Per altro verso, la tutela del RD 633/1941 a differenza della truffa informatica non ha ad oggetto qualsiasi dato o codice sorgente che possa trovarsi all’interno di un sistema informatico ma si riconnette alla presenza dei caratteri di originalità e creatività, intendendo tale creatività in senso soggettivo, tanto da ritenersi creativa l’opera che presenti l’impronta personale del suo autore Sez. 3, Sentenza n. 8011 del 25/01/2012 Rv. 252757 , nella forma particolare che assume a prescindere dalla sua novità e dal valore intrinseco del suo contenuto cfr Cass. civ. sez. 1^ 11 agosto 2004 n. 15496 . Tale orientamento è confermato dalla disposizione di cui alla L. n. 633 del 1941, art. 4 in forza del quale sono tutelate, purché abbiano carattere creativo, anche le elaborazioni dell’opera stessa, quali ad esempio, le trasformazioni in altra forma artistica, le aggiunte, le modificazioni. Deve quindi concludersi che in via generale e astratta le due fattispecie presentino ciascuna degli elementi specializzanti di diversa natura che non permettono di ritenere che vi sia alcun tipo di assorbimento o consunzione tra le due e quindi determinano salva la valutazione della sussistenza dei detti presupposti l’applicazione in concorso. 6. Nemmeno può ritenersi che nel caso di specie manchi l’acquisizione di un ingiusto profitto con altrui danno. Quanto alla presenza di un profitto, deve rilevarsi infatti che i codici sorgenti e il contenuto del database di un programma hanno un valore intrinseco in quanto frutto di attività non meramente compilativa costituente opere dell’ingegno e quindi suscettibile di valutazione patrimoniale. Costituisce infatti profitto del reato non solo il vantaggio costituito dall’incremento positivo della consistenza del patrimonio del reo, ma anche qualsiasi utilità o vantaggio, suscettibile di valutazione patrimoniale o economica, che determina un aumento della capacità di arricchimento, godimento ed utilizzazione del patrimonio del soggetto Sez. 5, Sentenza n. 20093 del 31/10/2014 dep. 14/05/2015 Rv. 263832 Sez. U, Sentenza n. 18374 del 31/01/2013 Rv. 255036 . Quanto alla presenza di un danno correlativo, deve ribadirsi che il danno patrimoniale attiene al valore patrimoniale del bene oggetto di intervento e all’azione in cui si esplica l’intervento senza diritto che in questo caso è consistito in un indebito impossessamento. Resta fuori di dubbio che l’impossessamento anche di bene immateriale suscettibile di valutazione patrimoniale costituisce un danno la cui sussistenza deriva dallo stesso impossessamento anche quando la parte offesa non sia materialmente in grado, proprio per l’attività decettiva dell’imputato, di avere contezza dell’illecito impossessamento medesimo. 7. Fatte queste premesse, deve tuttavia rilevarsi come sia ad oggi decorso il termine di prescrizione anche del delitto di cui all’art. 640 ter cod. pen. Non può infatti condividersi il presupposto della formulazione del capo b dell’imputazione per cui la consumazione del delitto di truffa informatica si possa estendere nell’arco di sei anni. Si tratta infatti di reato istantaneo che si consuma allorché si realizzi il conseguimento di un ingiusto profitto con altrui danno. Nel caso di specie proprio in relazione alla presenza di un valore intrinseco del software trafugato ingiusto profitto e altrui danno si incentrano proprio sulla autonoma disponibilità del programma stesso e della base dati dello stesso. Sotto questo aspetto, infatti, la successiva registrazione del software generato dalla pedissequa riproduzione di quanto trafugato non attiene alla realizzazione di un profitto e di un danno quanto piuttosto all’impiego in successive attività imprenditoriali e finanziarie delle utilità provenienti dalla commissione di tale delitto presupposto. Ne consegue che debba farsi retroagire la data di commissione del delitto al 26 giugno 2008. Risulta dunque che il termine di prescrizione di sei anni a norma dell’art. 157 cod pen fosse interamente trascorso prima del decreto che disponeva il giudizio. Alla data della presente pronuncia, risulta comunque trascorso anche il termine massimo di prescrizione di anni sette e mesi sei, il che impone l’annullamento senza rinvio della sentenza impugnata perché il reato è estinto per prescrizione. P.Q.M. Annulla senza rinvio la sentenza impugnata perché il reato è estinto per prescrizione.