Privacy
e violazione di sito
Fonte: http://www.penale.it/
Corte di Cassazione, Sezione V Penale,
Sentenza 7 novembre - 6 dicembre 2000, n. 1675
REPUBBLICA
ITALIANA
In nome del popolo italiano
LA CORTE SUPREMA DI CASSAZIONE
Quinta Sezione Penale
Composta
dagli Ill.mi Sigg.ri Magistrati:
Dott. Bruno
Foscanini - Presidente
Dott. Carlo Casini - Consigliere
Dott. Francesco Providenti - Consigliere
Dott. Emilio Malpica - Consigliere
Dott. Aniello Nappi - Consigliere
Ha
pronunciato la seguente
Sentenza
Sul ricorso
proposto da
Z.A., nato a
***** di ***** il ******;
M.D., nato a
****** il *****;
B.V., nato a
***** il *****;
avverso
la sentenza
della Corte di Appello di Torino depositata il 2 luglio 1999.
Sentita la
relazione svolta dal Consigliere Dott. Aniello Nappi
Udite le
conclusioni del P.M. Dott. Ranieri che ha chiesto l'a. c. r. limitatamente alla
misura della pena, rigetto nel resto
Udito, per la
parte civile, l'avv. M.
Uditi i
difensori avv.ti L. e M.
Motivi
della decisione
1. Con la
sentenza impugnata la Corte di Appello di Torino confermò la dichiarazione di
colpevolezza di A. Z. e di D. M. in ordine al delitto di accesso abusivo
al sistema informatico della C. s.r.l., gestrice di contabilità per conto
terzi, e dichiarò colpevole del medesimo reato, quale autore materiale dei
fatti, il programmatore V. B., che in primo grado ne era stato assolto per
difetto di dolo.
Risulta dalle
sentenze di merito che A. Z., già socio di F. V. nella C., nel 1994 era uscito
dalla società per intraprendere analoga attività con il commercialista D. M.,
già collaboratore esterno della C., e, non avendo ottenuto di poter utilizzare
come locatario l'impianto informatico della società, ne aveva copiato i dati su
un analogo calcolatore con l'aiuto di V. B., facilitandosi così l'acquisizione
di un gran numero di clienti della C.
Ricorrono per
Cassazione gli imputati, che hanno proposto cinque motivi di impugnazione.
Con il primo
motivo i ricorrenti lamentano mancanza di motivazione sul motivo di appello con
il quale era stato dedotto che V. B. e il suo datore di lavoro V. C.,
proprietario del programma concesso in uso sia alla C. sia a A. Z. e D. M.,
avevano diritto di copiare e modificare il software. E con il connesso terzo
motivo si lamenta che i giudici d'appello abbiano omesso di considerare il
fatto, ben valorizzato invece dal tribunale, che V. B. agiva su disposizione di
V. C. e non aveva motivo di dubitare della legittimità di tali disposizioni
anche con riferimento alle copie effettuate in favore di A. Z. e D. M.
Con il
secondo motivo i ricorrenti deducono violazione dell'art. 615 ter c.p.,
lamentando che i giudici del merito abbiano ritenuto configurabile il reato
contestato anche in mancanza di protezioni di sicurezza interne al sistema,
mentre la dottrina è concorde nell'escludere la rilevanza di protezioni
esterne.
Con il quarto
motivo i ricorrenti deducono mancanza di motivazione in ordine alla
determinazione della pena, irrogata in misura identica a tutti gli imputati,
senza alcuna considerazione per le diverse posizioni soggettive.
Con il quinto
motivo infine i ricorrenti deducono violazione dell'art. 538 comma 1 c.p.p.,
lamentando che i giudici del merito si siano pronunciati su una domanda in
realtà non proposta dalla parte civile C., che, costituitasi per il reato di
cui all'art. 640 ter c.p. originariamente contestato, non aveva
rinnovato la costituzione anche per il reato di cui all'art. 615 ter
c.p., contestato in udienza.
I motivi del
ricorso sono stati successivamente illustrati con ampia memoria depositata il
10 giugno 2000.
Una memoria è
stata altresì depositata dalla parte civile.
2.
Il ricorso deve essere rigettato.
Il primo
motivo del ricorso, come il motivo d'appello cui si riferisce per lamentarne
l'immotivato rigetto, non distingue tra il programma informatico, di cui si
assume fosse proprietario V. C., e i dati informatici, che erano certamente
nell'esclusiva disponibilità della C.. Ma l'ipotesi di d'accusa di cui si
discute presuppone proprio quella distinzione, perché la parte civile si
lamenta di un accesso abusivo finalizzato alla riproduzione dei dati
informatici, non del software. Sicché era manifestamente infondato il motivo
d'appello con il quale si deduceva l'inesistenza del reato in relazione al
diritto di C., del proprietario del programma, di copiarlo e aggiornarlo. E
secondo una consolidata giurisprudenza di questa Corte, deve essere considerato
privo di fondamento il motivo del ricorso per cassazione con il quale si deduca
mancanza di motivazione in ordine a un motivo d'appello inammissibile o manifestamente
infondato (Cass. Sez. I, 23/3/87, Imbimbo, n. 176707; Sez. I, 28/9/87, Ciusco,
m. 177007; Cass. Sez. IV, 26/9/90, Pilloni, m. 185682; Cass. Sez. I, 5/3/91,
Calò, m. 186972; Cass. Sez. V, 18/2/92, Cremonini, m. 189818; Cass. Sez. I,
28/3/96, Bruno, m. 204548).
Ne consegue
anche l'inammissibilità, per violazione dell'art. 606 comma 3 c.p.p., del terzo
motivo del ricorso, con il quale si lamenta l'erronea affermazione della
responsabilità di V. B., perché una volta chiarita la distinzione tra i dati
informatici e il programma destinato a elaborarli, la censura rimane riferibile
a una mera valutazione di merito circa la consapevolezza da parte dell'imputato
di una tale distinzione e della conseguente illiceità della copia dei dati.
Il secondo
motivo del ricorso pone il problema della natura della protezione di sicurezza
rilevante ai fini della configurabilità del delitto previsto dall'art. 615 ter
c.p.
La corte di
appello ha ritenuto che, ai fini della configurabilità del reato, assumano
rilevanza non solo le protezioni interne al sistema informatico, come le chiavi
d'accesso, ma anche le protezioni esterne, come la custodia degli impianti, in
particolare quando, come nel caso in esame, si tratti di banche dati private,
per definizione interdette a coloro che sono estranei all'impresa che le
gestisce.
I ricorrenti
sostengono, invece, che soltanto la protezione interna al sistema è idonea a
manifestare la volontà del proprietario di escludere terzi, come dimostrerebbe
il fatto che il D.P.R. n. 318 del 1999 richiede come necessaria una chiave
d'accesso nel trattamento dei dati personali.
Il motivo di
ricorse è infondato.
L'art. 615 ter
comma 1 c.p. punisce non solo chi s'introduce abusivamente in un sistema informatico
o telematico ma anche chi "vi si mantiene contro la volontà esplicita o
tacita di chi ha il diritto di escluderlo". Ne consegue che la violazione
dei dispositivi di protezione del sistema informatico non assume rilevanza di
per sé, bensì solo come manifestazione di una volontà contraria a quella di chi
del sistema legittimamente dispone.
Non si tratta
perciò di un illecito caratterizzato dall'effrazione dei sistemi protettivi,
perché altrimenti non avrebbe rilevanza la condotta di chi, dopo essere legittimamente
entrato nel sistema informatico, vi si mantenga contro la volontà del titolare.
Ma si tratta di un illecito caratterizzato appunto dalla contravvenzione alle
disposizioni del titolare, come avviene nel delitto di violazione di domicilio,
che è stato notoriamente il modello di questa nuova fattispecie penale, tanto
da indurre molti a individuarvi, talora anche criticamente, la tutela di un
"domicilio informatico".
Certo è
necessario che l'accesso al sistema informatico non sia aperto a tutti, come
talora avviene soprattutto quando si tratti di sistemi telematici. Ma deve
ritenersi che, ai fini della configurabilità del delitto, assuma rilevanza
qualsiasi meccanismo di selezione dei soggetti abilitati all'accesso al sistema
informatico, anche quando si tratti di strumenti esterni al sistema e meramente
organizzativi, in quanto destinati a regolare l'ingresso stesso nei locali in
cui gli impianti sono custoditi. Ed è certamente corretta, in questa
prospettiva, la distinzione operata dalla corte d'appello tra le banche dati
offerte al pubblico a determinate condizioni e le banche dati destinate a
un'utilizzazione privata esclusiva, come i dati contabili di un'azienda. In
questo secondo caso è evidente, infatti, che, anche in mancanza di meccanismi
di protezione informatica, commette il reato la persona estranea
all'organizzazione che acceda ai dati senza titolo o autorizzazione, essendo
implicita, ma intuibile, la volontà dell'avente diritto di escludere gli
estranei.
D'altro
canto, l'analogia con la fattispecie della violazione di domicilio deve indurre
a concludere che integri la fattispecie criminosa anche chi, autorizzato
all'accesso per una determinata finalità, utilizzi il titolo di legittimazione
per una finalità diversa, e, quindi, non rispetti le condizioni alle quali era
subordinato l'accesso. Infatti, se l'acceso richiede un'autorizzazione e
questa è destinata a un determinato scopo, l'utilizzazione dell'autorizzazione
per uno scopo diverso non può non considerarsi abusiva. Sicché correttamente i
giudici del merito hanno ritenuto configurabile il reato nella condotta di
B.V., che, autorizzato all'accesso per controllare la funzionalità del
programma informatico, si avvalse dell'autorizzazione per copiare i dati da
quel programma gestiti.
Privo di
qualsiasi pertinenza al caso in esame è, infine, il "regolamento recante
norme per l'individuazione delle misure minime di sicurezza per il trattamento
dei dati personali, a norma dell'art. 15 comma 3 della L. 31/12/96, n.
675". Infatti la mancata adozione delle misure minime di sicurezza nel
trattamento di dati personali è prevista come reato dall'art. 36 della L.
675/96; ma evidentemente la consumazione di questo reato non esime, comunque,
da responsabilità chi violi i pur insufficienti meccanismi di protezione
esistenti.
Il quarto
motivo del ricorso è inammissibile per violazione dell'art. 606 comma 3 c.p.p.,
perché propone censure attinenti al merito della decisione impugnata,
congruamente giustificata con riferimento alla ritenuta gravità della violazione
del rapporto fiduciario con la parte lesa, comune a tutti gli imputati.
Come s'è
detto, con il quinto motivo i ricorrenti deducono violazione dell'art. 538
c.p.p., lamentando che i giudici del merito si siano pronunciati su una domanda
di risarcimento danni non proposta dalla parte civile per il reato di cui
all'art. 615 ter c.p., contestato in udienza. Tuttavia gli stessi
ricorrenti riconoscono che, sin dal primo grado del giudizio, la parte
civile concluse chiedendo la condanna degli imputati al risarcimento anche dei
danni derivanti dal reato previsto dall'art. 615 ter c.p. ; sicché non
si può dire che i giudici del merito si siano pronunciati su una domanda non
proposta.
In realtà i
ricorrenti pongono una questione diversa da quella formalmente enunciata,
perché essi lamentano che per il nuovo reato contestato in udienza non vi era
stata costituzione di parte civile; e sostengono che una tale rinnovata
costituzione sarebbe stata invece necessaria, secondo quanto previsto anche
dalla sentenza n. 98 del 1996 della Corte Costituzionale. Sennonché la
giurisprudenza di questa Corte, richiamata anche dalla Corte Costituzionale, ha
ben chiarito che occorre distinguere tra la posizione della persona offesa non
costituita, che in caso di nuove contestazioni ha diritto alla sospensione del
dibattimento onde potersi eventualmente costituire parte civile per la nuova
udienza, e il caso della persona offesa già costituita parte civile, che ha un
analogo diritto, ma solo "in vista della possibile modifica, sotto il
profilo tanto della causa petendi quanto del petitum, del già
costituito rapporto processuale" (Cass. Sez. III, 23/9/95, Roncati).
Sicché, per la parte civile già costituita non occorre rinnovare la
costituzione in relazione al nuovo reato contestato in udienza all'imputato, ma
è sufficiente modificare la domanda già proposta. E nel caso in esame deve
ritenersi che un idoneo aggiornamento della domanda si ebbe appunto con la
formulazione delle conclusioni in chiusura del dibattimento di primo grado.
Il ricorso va
pertanto rigettato.
P.Q.M.
La Corte
rigetta il ricorso e condanna i ricorrenti in solido al pagamento delle spese
di procedimento e inoltre al rimborso delle spese in favore della parte civile,
liquidate in complessive L. 2.306.000, di cui L. 2.000.000 per onorari.
Roma, 7
novembre 2000
Il Presidente
Il
consigliere relatore
(dr. Aniello Nappi)
Depositato in
cancelleria
Addì 6 dicembre 2000
************************************************************
L’interessante NOTA di Lamberto Assenti (fonte: http://www.punto-informatico.it/p.asp?i=34240)
Cassazione,
una e-sentenza in retromarcia
di Lamberto
Assenti. Non convince la decisione sul caso dei tre che hanno copiato le
informazione di una banca dati accessibile senza protezione. Un precedente con
il quale l'hacking non ha davvero nulla a che spartire
09/12/00 - Stand By - Roma - Entrare
in un sistema informatico altrui è violazione di domicilio? Lo sostiene la
Corte di Cassazione che, come si sa, l'altro ieri ha paragonato gli autori di
una incursione in un sistema informativo non protetto a individui che si
introducono nella casa altrui senza autorizzazione.La sentenza è sbagliata. E
per la prima volta in Italia dà una "forma" ad una certa dottrina
secondo cui la violazione di domicilio e l'ingresso in un sistema informativo
altrui sono equiparabili. Anzi, non vi sono differenze.
Sarò testone, eppure di differenze tra il varcare fisicamente la soglia di una
casa e il fare capolino in un sistema che, come nel caso giudicato dalla
Cassazione, non ha nemmeno una porta di ingresso, la differenza la vedo e la
sento.
Sì, perché nel caso affrontato dalla Cassazione gli autori dell'incursione non
hanno dovuto compiere alcuna azione di cracking, al contrario di quanto è stato
maldestramente scritto da alcuni giornali (che parlano di "hacking"
addirittura), ma hanno semplicemente indirizzato i bit in uscita dalle proprie
macchine sui binari di entrata di macchine altrui e hanno copiato i dati della
macchina altrui sulla propria.
E dunque, sembra un assurdo per la sua enormità, la sentenza 12732 della
Cassazione di fatto decide un precedente che può portare a nuovi rischi legali
nel far interagire il proprio computer con quello di qualcun altro. Dove il
discrimine tra il poterlo fare o meno, anche questo affrontato dalla Cassazione,
rimane il sapere se il proprietario sia consenziente o meno. Un discrimine,
come vedremo, che secondo la Cassazione va "intuito".
Se una casa ha la porta sbarrata il messaggio è chiaro: intrusi non ammessi. E
lo stesso dicasi per un server difeso con evidenti procedure di sicurezza da
incursioni di cracker e affini. Ma si può dire lo stesso per una banca dati
che, come nel caso oggetto della sentenza della Cassazione, era accessibile
senza necessità di valicare alcun portone, senza nessun segnale di
avvertimento?
Secondo la Cassazione sì. Si può dire. E l'azione compiuta è reato perché va
contro "la volontà espressa o tacita" del proprietario. Espressa o, e
qui i dolori, "tacita".
L'articolo 615 ter del codice penale punisce chi entra in un domicilio altrui
contro la volontà del proprietario e contro quella volontà "vi si
mantiene". Come si vede il punto rimane ineludibile e verte sulla
difficoltà di stabilire se chi lascia "aperta" una banca dati abbia o
meno la volontà di non farci entrare nessuno. La Corte torna su quel
"tacita" quando afferma: "la persona estranea all'organizzazione
che acceda ai dati senza titolo o autorizzazione, essendo implicita, ma
intuibile, la volontà dell'avente diritto di escludere gli estranei".
Ma se per un domicilio, casa o ufficio, questo principio appare consistente,
per una banca dati resa accessibile lo sembra meno, al punto dal far cadere la
validità del parallelo "banca dati" uguale "domicilio" su
cui si basa l'intero impianto della sentenza.
La sentenza della Cassazione, così com'è, rischia di generare non poca
confusione nel mondo dei servizi informativi, perché quel "tacita" e
quella "implicita" sono opinabili. Alle loro spalle non c'è, come
invece accade con la violazione di domicilio, un pregresso giurisprudenziale
tale da mettere al riparo da fraintendimenti. Questa è la prima sentenza del
genere in Italia e dunque rischia di decidere su quale binario le prossime
sentenze in materia si muoveranno. Forse anche in questo caso, come sempre più
spesso accade, i massimi magistrati italiani dovrebbero ricorrere a numerose e
approfondite consulenze sul mondo informatico prima di procedere ad una
sentenza che, come in questo caso, mette potenzialmente a rischio azioni
compiute quotidianamente da migliaia di operatori.