CASSAZIONE
SENTENZA N. 12732 DEL 6 DICEMBRE 2000

TESTO

REPUBBLICA ITALIANA
IN NOME DEL POPOLO ITALIANO
LA CORTE SUPREMA DI CASSAZIONE
SEZIONE V PENALE

Composta dai signori magistrati:
Presidente B.Foscarini
Relatore A.Nappi

MOTIVI DELLA DECISIONE

Con la sentenza impugnata la Corte d’appello di Torino confermò la dichiarazione di colpevolezza di A.Z. e di D. M. in ordine al delitto di accesso abusivo al sistema informatico della (omissis)., gestrice di contabilità per conto terzi, e dichiarò colpevole del massimo reato, quale autore materiale dei fatti, il programmatore V. B., che in primo grado ne era stato assolto per difetto di dolo.
Risulta dalle sentenze di merito che A. Z., già socio di F. V. nella (omissis), nel 1994 era uscito dalla società per intraprendere analoga attività con il commercialista D. M., già collaboratore esterno della (omissis), e, non avendo ottenuto di poter utilizzare come locatario l’impianto informatico della società, ne aveva copiato i dati su un analogo calcolatore con l’aiuto di V. B., facilitandosi così l’acquisizione di un gran numero di clienti della (omissis).

Ricorrono per cassazione gli imputati, che hanno proposto cinque motivi di impugnazione.

Con il primo motivo i ricorrenti lamentano mancanza di motivazione sul motivo d’appello con il quale era stato dedotto che V. B. e il suo datore di lavoro V. C., proprietario del programma concesso in uso sia alla (omissis) sia a A. Z. e D. M., avevano diritto di copiare e modificare il software. E con il connesso terzo motivo si lamenta che i giudici d’appello abbiano omesso di considerare il fatto, ben valorizzato invece dal tribunale, che V. B. agiva su disposizioni di V. C. e non aveva motivo di dubitare della legittimità di tali disposizioni anche con riferimento alle copie effettuate in favore di A. Z. e D.M..

Con il secondo motivo i ricorrenti deducono violazione dell’art.615 ter c.p., lamentando che i giudici del merito abbiano ritenuto configurabile il reato contestato anche in mancanza di protezioni di sicurezza interne al sistema, mentre la dottrina è concorde nell’escludere la rilevanza di protezioni esterne.

Con il quarto motivo i ricorrenti deducono mancanza di motivazione in ordine alla determinazione della pena, irrogata in misura identica a tutti gli imputati, senza alcuna considerazione per e diverse posizioni soggettive.

Con il quinto motivo infine i ricorrenti deducono violazione dell’art.538 comma 1 c.p.p., lamentando che i giudici del merito si siano pronunciati su una domanda in realtà non proposta dalla parte civile (omissis), che, costituitasi per il reato di cui all’art. 640 ter c.p.originariamente contestato, non aveva rinnovato la costituzione anche per il reato di cui all’art.615 ter c.p., contestato in udienza.

I motivi del ricorso sono stati successivamente illustrati con ampia memoria depositata il 10 maggio 2000.

Una memoria è stata altresì depositata dalla parte civile.

Il ricorso deve essere rigettato.

Il primo motivo del ricorso, come il motivo d’appello cui si riferisce per lamentarne l’immotivato Rigetto, non distingue tra il programma informatico, di cui si assume fosse proprietario V. C., e i dati informatici, non del software.Sicchè era manifestamente infondato il motivo d’appello con il quale si deduceva l’inesistenza del reato in relazione al diritto di C., del proprietario del programma, di copiarlo e aggiornarlo. E secondo una consolidata giurisprudenza di questa Corte, deve essere considerato privo di fondamento il motivo del ricorso per cassazione con il quale si deduce mancanza di motivazione in ordine ad un motivo d’appello inammissibile o manifestamente infondato ( Cass., sez 1, 23 marzo 1987, Imbimbo, m. 176707, Cass., sez1, 28 settembre 1987, Cisco, m. 177007, Cass., sez 4 , 26 settembre 1990, Pilloni, m. 185682, Cass., sez 1, 5 marzo 1991, Calò, m. 186972, Cass., sez 5, 18 febbraio 1992, Cremonini, m. 189818, Cass., sez 1, 28 marzo1996, Bruno, m. 204548).

Ne consegue anche l’inammissibilità, per violazione dell’art.606 comma 3 c.p.p., del terzo motivo del ricorso, con il quale si lamenta l’erronea affermazione della responsabilità di V. B., perché, una volta chiarita la distinzione tra i dati informatici e il programma destinato a elaborarli, la censura rimane riferibile a una mera valutazione di merito circa la consapevolezza da parte dell’imputato di una tale distinzione e della conseguente illiceità della copia dei dati.

Il secondo motivo del ricorso pone il problema della natura della protezione di sicurezza rilevante ai fini della configurabilità del delitto previsto dall’art.615 ter c.p..

La corte d’appello ha ritenuto che, ai fini della configurabilità del reato, assumano rilevanza non solo le protezioni interne al sistema informatico, come le chiavi d’accesso, ma anche le protezioni esterne, come la custodia degli impianti, in particolare quando, come nel caso in esame, si tratti di banche dati private, per definizione interdette a coloro che sono estranei all'impresa che le gestisce.

I ricorrenti sostengono, invece, che soltanto la protezione interna al sistema è idonea a manifestare la volontà del proprietario di escludere terzi, come dimostrerebbe il fatto che il D.P.R. n. 318 del 1999 richiede come necessaria una chiave d'accesso nel trattamento dei dati personali.

Il motivo di ricorso è infondato.

L'art. 615 ter comma 1 c.p. punisce non solo chi s'introduce abusivamente in un sistema informatico o telematico, ma anche chi vi si mantiene contro la volontà esplicita o tacita di chi ha il diritto di escluderlo.

Ne consegue che la violazione dei dispositivi di protezione del sistema informatico non assume rilevanza di per se, bensì solo come manifestazione di una volontà contraria a quella di chi del sistema legittimamente dispone.

Non si tratta perciò di un illecito caratterizzato dall'effrazione dei sistemi protettivi, perchè altrimenti non avrebbe rilevanza la condotta di chi, dopo essere legittimamente entrato nel sistema informatico, vi si mantenga contro la volontà del titolare. Ma si tratta di un illecito caratterizzato appunto dalla contravvenzione alle disposizioni del titolare, come avviene nel delitto di violazione di domicilio, che è stato notoriamente il modello di questa nuova fattispecie penale, tanto da indurre molti a individuarvi, talora anche criticamente, la tutela di un domicilio informatico.

Certo è necessario che l'accesso al sistema informatico non sia aperto a tutti, come talora avviene soprattutto quando si tratti di sistemi telematici. Ma deve ritenersi che, ai fini della configurabilità del delitto, assuma rilevanza qualsiasi meccanismo di selezione dei soggetti abilitati all'accesso al sistema informatico, anche quando si tratti di strumenti esterni al sistema e meramente organizzativi, in quanto destinati a regolare l'ingresso stesso nei locali in cui gli impianti sono custoditi. Ed è certamente corretta, in questa prospettiva, la distinzione operata dalla corte d'appello tra le banche dati offerte al pubblico a determinate condizioni e le banche dati destinate a un'utilizzazione privata esclusiva, come i dati contabili di un'azienda.

In questo secondo caso è evidente, infatti, che, anche in mancanza di meccanismi di protezione informatica, commette il reato la persona estranea all'organizzazione che acceda ai dati senza titolo o autorizzazione, essendo implicita, ma intuibile, la volontà dell'avente diritto di escludere gli estranei.

D’altro canto, l’analogia con la fattispecie della violazione di domicilio deve indurre a concludere integri la fattispecie criminosa anche chi, autorizzato all’accesso per una determinata finalità, utilizzi il titolo di legittimazione per una finalità diversa e, quindi, non rispetti le condizioni alle quali era subordinato l’accesso. Infatti, se l’accesso richiede un’autorizzazione e questa e questa è destinata a un determinato scopo, l’utilizzazione dell’autorizzazione per uno scopo diverso non può non considerarsi abusiva. Sicchè correttamente i giudici del merito hanno ritenuto configurabile il reato nella condotta di V. B.,che, autorizzato all’accesso per controllare la funzionalità del programma informatico, si avvalse dell’autorizzazione per copiare i dati dal quel programma gestiti.

Privo di qualsiasi pertinenza al caso in esame è, infine, il regolamento recante norme per l’individuazione delle misure minime di sicurezza per il trattamento dei dati personali, a norma dell’art. 15 comma 2 della legge 31 dicembre 1996, n. 675. Infatti la mancata adozione delle misure minime di sicurezza nel trattamento dei dati personali è prevista come reato dall’art.36 della legge n. 675 del 1996; ma evidentemente la consumazione di questo reato non esime, comunque, da responsabilità chi violi i pur insufficienti meccanismi di protezione esistenti.

Il quarto motivo del ricorso è inammissibile per violazione dell’art. 606 comma 3 c.p.p., perché propone censure attinenti al merito della decisione impugnata, congruamente giustificata con riferimento alla ritenuta gravità della violazione del rapporto fiduciario con la parte lesa, comune a tutti gli imputati.

Come s’è detto, con il quinto motivo i ricorrenti deducono violazione dell’art.538 c.p.p., lamentando che i giudici del merito si siano pronunciati su una domanda di risarcimento danni non proposta dalla parte civile per il reato di cui all’art. 615 ter c.p., contestato in udienza.

Tuttavia gli stessi ricorrenti riconoscono che, sin dal primo grado del giudizio, la parte civile concluse chiedendo la condanna degli imputati al risarcimento anche dei danni derivanti dal reato previsto dall’art.615 ter c.p.; sicchè non si può dire che i giudici del merito si siano pronunciati su una domanda non proposta.

In realtà i ricorrenti pongono una questione diversa da quella formalmente enunciata, perché essi lamentano che per il nuovo reato contestato in udienza non v’era stata costituzione di parte civile; e sostengono che una tale rinnovata costituzione sarebbe stata invece necessaria, secondo quanto previsto anche dalla sentenza n. 98 del 1996 della Corte Costituzionale.

Sennonchè la giurisprudenza di questa Corte, richiamata anche dalla Corte Costituzionale, ha ben chiarito che occorre distinguere tra la posizione della persona offesa non costituita, che in caso di nuove contestazioni ha diritto alla sospensione del dibattimento onde poter eventualmente costituire parte civile per la nuova udienza, e il caso della persona offesa già ma solo in vista della possibile modifica, sotto il profilo tanto della causa petendi quanto del petitum, del già costituito rapporto processuale (Cass., sez III, 27 settembre 1995, Roncati). Sicchè, per la parte civile già costituita non occorre rinnovare la costituzione in relazione al nuovo reato contestato in udienza all’imputato, ma è sufficiente modificare la domanda già proposta. E nel caso in esame deve ritenersi che un idoneo aggiornamento della domanda si ebbe appunto con la formulazione delle conclusioni in chiusura del dibattito di primo grado.

Il ricorso va pertanto, rigettato.

P.Q.M.

La Corte rigetta il ricorso e condanna i ricorrenti in solido al pagamento delle spese del procedimento e inoltre al rimborso delle spese in favore della parte civile, liquidate in complessive £ 2.306.000, di cui £ 2.000.000 per onorari.

Roma, 7 novembre 2000.

Depositata in Cancelleria il 6 dicembre 2000.