Penale.it  
 Corte di Cassazione, Sezione V Penale, sentenza 25 giugno 2009 (dep. 14 ottobre 2009), n. 40078

Accesso abusivo a sistema informatico o telematico: la qualificazione di abusività va intesa in senso oggettivo, con riferimento al momento dell'accesso e alle modalità utilizzate dall'autore per neutralizzare e superare le misure di sicurezza, apprestate dal titolare dello ius excludendi, al fine di impedire accessi indiscriminati. Non hanno quindi rilevanza la finalità che si propone l'autore e l'uso successivo dei dati che, se illeciti, integrano eventualmente un diverso titolo di reato. Il nocumento di cui all'art. 167 d.lgs. 196/2003 costituisce condizione obiettiva di punibilità in mancanza del quale il trattamento di dai non è penalmente sanzionabile.

REPUBBLICA ITALIANA

IN NOME DEL POPOLO ITALIANO

LA CORTE SUPREMA DI CASSAZIONE

SEZIONE QUINTA PENALE

Composta dagli Ill.mi Sigg.ri Magistrati:

Dott. FERRUA Giuliana - Presidente

Dott. FEDERICO Raffaello - Consigliere

Dott. BEVERE Antonio - Consigliere

Dott. ROTELLA Mario - Consigliere

Dott. OLDI Paolo - Consigliere

ha pronunciato la seguente:

SENTENZA/ORDINANZA

sul ricorso proposto da:

PUBBLICO MINISTERO PRESSO TRIBUNALE di;

nei confronti di:

1) G.G., N. IL (OMISSIS);

avverso ORDINANZA del 08/04/2009 TRIB. LIBERTA' di ROMA;

sentita la relazione fatta dal Consigliere BEVERE ANTONIO;

sentite le conclusioni del P.G. Dr. SALZANO Francesco che ha chiesto l'inammissibilità per carenze di interesse;

udito il difensore Avv. CICERO Maria Rita.
INFORMATICA GIURIDICA E DIRITTO DELL'INFORMATICA - SEQUESTRO PENALE

Svolgimento del processo

Con ordinanza emessa l'8.4.2009, il tribunale di Roma, sezione del riesame, ha annullato il decreto con cui il p.m. presso il tribunale di Roma, l'11.3.2009, aveva disposto il sequestro probatorio- effettuato il (OMISSIS) - di materiale informatico in possesso di G.G., indagato per il delitto di cui all'art. 615 ter c.p., commi 1, 2 e 3, e per il delitto di cui al D.Lgs. n. 196 del 2003, art. 167, in quanto dall'esame del tabulato afferente le circa 2600 interrogazioni all'anagrafe tributaria effettuate da G. G., utilizzando l'abilitazione del comune di (OMISSIS), l'indagato avrebbe fatto accesso a tale sistema informatico, acquisendo, elaborando e trattando dati ben oltre i termini e le finalità per i quali aveva conseguito l'abilitazione; questa ipotesi derivava da interrogazioni, anche reiterate, riguardanti soggetti residenti in località diverse e non prossime a (OMISSIS), quali ad esempio (OMISSIS) (13 soggetti), (OMISSIS) (16 soggetti) e (OMISSIS) (14 soggetti). L'organo di accusa riteneva "sussistere gravi indizi dei reati di cui sopra, per avere l'indagato, pur avendo titolo per accedere al sistema, agito per finalità diverse da quelle consentite". Il tribunale ha ritenuto la difformità tra il quadro di legalità sostanziale evocato dall'accusa e la situazione fattuale oggetto di indagine in quanto:

a) non può ritenersi la qualificabilità come abusiva della condotta del G. nel sistema informatico, data l'abilitazione ricevuta dal comune di (OMISSIS), richiamata nella provvisoria imputazione;

b) la fattispecie di cui al D.Lgs. n. 196 del 2003, art. 167, art. 167, ha come condizione di punibilità il nocumento, da intendersi riferito sia alla identità personale sia al patrimonio del soggetto i cui dati sono stati illecitamente trattati. La norma ha introdotto anche il dolo specifico del fine di profitto. Pertanto il reato non sussiste in caso di violazione della normativa sulla tutela di dati personali, che produca un "vulnus" non significativo all'identità personale del soggetto passivo, idoneo a determinare un danno patrimoniale apprezzabile.

Di qui l'annullamento del decreto e la restituzione, da parte della procura, dei supporti e degli oggetti sequestrati, previa estrazione di copia, ad opera di consulente tecnico, dei dati informatici contenuti nei supporti stessi.

La procura presso il tribunale di Roma ha presentato ricorso per i seguenti motivi: 1. inosservanza ed erronea applicazione degli artt. 253 e 257 c.p.p., nonchè degli artt. 247 e 252 c.p.p.: il giudice del riesame, esorbitando dal compito demandatogli dal codice di rito, ha ritenuto di poter compiere un accertamento di merito e non di verifica della qualificazione giuridica data dal p.m. al fatto ipotizzato e si è arrogato il potere di escludere ogni responsabilità del G., prima ed a prescindere da un'effettiva e compiuta analisi dei dati informatici sequestrati, proprio al fine di verificare la fondatezza o meno dell'ipotesi accusatoria.

Secondo l'indirizzo interpretativo richiamato dal ricorrente, questo modo di procedere non si addice alla fase iniziale e fluida delle indagini, nella quale vengono attivati i mezzi di ricerca della prova e rischia di condurre a una sorta di circolo vizioso, in forza del quale la fisiologica incompletezza iniziale delle indagini si traduce in ostacolo all'acquisizione di atti, documenti o altri elementi di prova e tale ostacolo a sua volta perpetua l'incompletezza delle indagini (sez. 6^, n. 23147 del 16.4.2007, Proc. Catanzaro c/ Chuaravallotti).

2. Violazione dell'art. 615 ter c.p. e del D.Lgs. n. 196 del 2003, art. 167, in relazione all'art. 257 c.p.p. e all'art. 112 Cost..

Nella contestazione provvisoria, al G. è addebitato di aver posto in essere un accesso abusivo al sistema informatico, utilizzando l'abilitazione fornitagli dal comune di (OMISSIS) oltre i termini e le finalità per i quali aveva conseguito l'abilitazione ed agendo quindi per finalità diverse da quelle consentite. Questa contestazione è conforme all'indirizzo interpretativo, secondo cui la norma incriminatrice punisce non solo chi si introduce abusivamente in un sistema informatico ma anche chi si trattenga contro la volontà dell'avente diritto (sez. 5^, n. 37322 dell'8.7.2008; sez. 5^ n. 11689 del 6.2.2007). Inoltre il delitto di accesso abusivo è reato di mera condotta che si perfeziona con la violazione di domicilio informatico, senza che sia necessario che l'intrusione sia affettuata allo scopo di insidiare la riservatezza dei legittimi utenti e che si verifichi una lesione della riservatezza medesima (sez. 5^ n. 11689 del 6.2.2007).

Pertanto il nocumento non rientra nella fattispecie del reato ex art. 615 ter c.p., nè come elemento costitutivo nè come condizione di punibilità. Il giudice del riesame ha violato la legge, accomunando le due fattispecie e ha negato così la sussistenza del fumus commissi delicti in ordine al reato suindicato.

Nella norma D.Lgs. n. 196 del 2003, ex art. 167, è previsto il nocumento come condizione di punibilità, ma c'è da considerare che nella fase iniziale delle indagini, il nocumento derivante dal trattamento dei dati illegittimamente acquisiti non può essere rappresentato in termini compiuti ed è da ritenere implicito e intrinsecamente connesso alla violazione della norma incriminatrice.

Quanto al fine di profitto, il ricorrente osserva che esso deriva per il consulente dal maggiore compenso conseguente alla acquisizione e trattamento dei dati che non dovrebbero essere acquisiti e analizzati.

La difesa del G. ha prodotto una memoria in cui aderisce alle valutazioni e alle conclusioni dell'ordinanza impugnata, aggiungendo l'argomento del venir meno dell'interesse all'impugnazione da parte delle procura, che, nel restituire i beni sequestrati, ha estratto copia del contenuto informatico dei reperti.

Motivi della decisione

I motivi del ricorso sono manifestamente infondati.

Secondo un condivisibile orientamento interpretativo, in tema di sequestro conservativo, il sindacato del giudice del riesame, se non può investire la concreta fondatezza dell'accusa, deve verificare l'astratta possibilità di sussumere il fatto attribuito in una determinata ipotesi di reato. (Sez. un. n. 20 dell'11.11.1994, Ceolin, in Cass. pen. 1995, 356; conf. sez. 1^, n. 4274 del 23.6.1997, Kistenpfennig, ivi 1999, n. 922; Sez. un. 20.11.1996, Bassi, ivi, 1997, n. 978) In tali limiti si è mantenuto l'accertamento svolto dal tribunale del riesame di Roma e sono inoltre da condividere le conclusioni negative sulla sussumibilità dei fatti contestati nelle ipotesi richiamate dall'accusa.

Quanto all'ipotesi ex art. 615 ter c.p., va esclusa la qualifica di abusività attribuita all'attività svolta dal G., avendo questi effettuato l'accesso, a seguito dell'autorizzazione ricevuta dal comune di (OMISSIS) nel sistema informatico dell'Agenzia delle Entrate. Nel caso in esame, essendo G. abilitato a consultare i dati presenti nel sistema informatico dell'Agenzia delle entrate, non è ipotizzabile una volontà contraria del titolare dello ius excludendi. Il G. era stato nominato consulente tecnico dal P.M. di Marsala nel procedimento relativo al sequestro della piccola P.D. e che per lo svolgimento di tale attività ricevette l'abilitazione all'accesso al sistema Siatel, dietro richiesta della procura al comune di (OMISSIS). Secondo un condivisibile orientamento giurisprudenziale, la qualificazione di abusività va intesa in senso oggettivo, con riferimento al momento dell'accesso e alle modalità utilizzate dall'autore per neutralizzare e superare le misure di sicurezza, apprestate dal titolare dello ius excludendi, al fine di impedire accessi indiscriminati. Non hanno quindi rilevanza la finalità che si propone l'autore e l'uso successivo dei dati che, se illeciti, integrano eventualmente un diverso titolo di reato (Cass. sez. 6^, n. 39290 dell'8.10.2008, Peparaio, in Cass. pen. 2009, n. 863; conf. N. 2534/2007 e sez. 5^ 26797 del 29.5.2008, Scimia). Quest'ultima decisione, correttamente rileva come la formula "abusivamente si introduce" sia ambigua e foriera di pericolose dilatazioni della fattispecie penale, se non intesa in senso restrittivo di "accesso non autorizzato", secondo la più corretta espressione di cui alla cosiddetta lista minima della Raccomandazione del Consiglio d'Europa, attuata in Italia con la L. n. 547 del 1993, e di "accesso senza diritto", impiegata nell'art. 2 della Convenzione sul "cyber crime", a cui la L. n. 48 del 2008, non ha ritenuto di dare attuazione, trattandosi di ipotesi già disciplinata dall'art. 615 ter c.p..

Secondo sez. 5^, 20.12.2007, Migliazzo, la sussistenza o meno della contraria volontà dell'avente diritto, necessaria alla configurabilità del reato, va verificata solo ed esclusivamente con riferimento al risultato immediato della condotta posta in essere dall'agente e non con riferimento a fatti successivi.

Non può pertanto condividersi la lettura della norma sottesa alla contestazione qui in esame, che individua l'abusività della condotta nel fatto di chi, abilitato ad accedere al sistema informatico, usi tale facoltà per finalità estranee al compito ricevuto. Oltre ad essere contrastante con l'indicato testo della Raccomandazione del Consiglio d'Europa, tale interpretazione porta alla creazione di una nuova fattispecie, frutto dell'intreccio delle due ipotesi descritte nell'art. 615 ter c.p., che il legislatore ha previsto disgiuntamente, come differenti e alternative. Sarebbe stata pleonastica la descrizione della seconda condotta, se la prima fosse realizzata anche da chi usa la legittimazione dell'accesso per fini diversi da quelli previsti (Cass. sez. 6^, Peparaio cit.).

Quanto al reato del D.Lgs. n. 196 del 2003, ex art. 167, ugualmente corretta è la conclusione del tribunale del riesame, laddove afferma che il nocumento delle persona offesa costituisce nella disposizione in vigore una condizione obiettiva di punibilità.

Nei motivi del ricorso si afferma, da un lato, che è erroneo il rilievo attribuito, nell'ordinanza impugnata, al nocumento, per negarne la astratta configurabilità; dall'altro che tale fattore "è da ritenere implicito e intrinsecamente connesso alle violazioni delle disposizioni menzionate dalla norma".

Si osserva che unanimamente dottrina e giurisprudenza ritengono che,secondo la normativa abrogata (L. n. 675 del 1996), il trattamento di dati sensibili senza il consenso dell'interessato integrava il reato, anche se non ne derivava un nocumento alla persona offesa; se causava questo nocumento, il trattamento illecito integrava un'ipotesi aggravata. Secondo la normativa vigente, invece, questo elemento costituisce una condizione obiettiva di punibilità, la cui assenza impedisce la configurabilità del reato, mancando una componente strutturale. (sez. 3^, n. 26680, Modena, in Cass. pen. 2006, n. 1067). Dalla presenza del "nocumento" quindi dipende la punibilità della fattispecie concreta altrimenti giuridicamente irrilevante, anche se conforme al fatto legale, quanto a tipicità oggettiva e soggettiva. Pertanto il reato non sussiste in caso di mancata dimostrazione che la violazione della normativa sulla tutela di dati personali, abbia prodotto un "vulnus" significativo alla persona offesa.

Sostenere che questa condizione di punibilità sia implicita e intrinsecamente connessa equivale ad asserire un capovolgimento dei principi in tema dell'onere della prova, assolutamente non giustificata dalla fase iniziale delle indagini.

Gli argomenti sin qui espressi sono ampiamente sufficienti per affermare l'inammissibilità del ricorso proposto dalla procura della Repubblica presso il tribunale di Roma.


P.Q.M.

Dichiara inammissibile il ricorso Roma.

Così deciso in Roma, il 25 giugno 2009.

Depositato in Cancelleria il 14 ottobre 2009

 
© Copyright Penale.it - SLM 1999-2012. Tutti i diritti riservati salva diversa licenza. Note legali  Privacy policy