La copia abusiva dei codici sorgente integra il reato di accesso abusivo a sistema informatico.
Con la recente sentenza n. 11075/2018, la II Sezione penale della Corte di Cassazione è tornata a pronunciarsi in materia di reati informatici, fornendo elementi ulteriori per la precisazione dei confini applicativi delle fattispecie di accesso abusivo a sistema informatico e frode informatica.
Il fatto e lo svolgimento del processo
Con sentenza del 2015, il GUP presso il Tribunale di Bologna ha dichiarato non luogo a proCEDERE dichiarando estinto per prescrizione il reato di cui agli articoli 81-110 c.p. e 171-bis della legge 633/1941 e ha dichiarato non doversi procedere in relazione al capo di cui all’articolo 640-ter e 615-ter c.p. perché il fatto non sussiste. La vicenda riguardava la copia dei codici sorgenti e del database operata da dipendenti poi fuoriusciti dalla società di un programma di proprietà della parte civile utilizzati al fine di realizzare un programma sostanzialmente identico e con le medesime finalità da parte di una società concorrente presso cui gli stessi dipendenti lavoravano. A fondamento della propria decisione, il Tribunale ha affermato che non poteva ritenersi sussistente alcun intervento senza diritto all’interno del sistema né alcuna manipolazione che potesse essere ritenuta immediatamente causa dell’evento di danno e del profitto, in particolare ritenendo non riconducibile la condotta di duplicazione del software al novero di quelle tipizzate dal delitto di frode, bensì esclusivamente in quella sanzionata dall’art. 171-bis l. 633/1941.
Avverso tale provvedimento propone ricorso in Cassazione il Procuratore della Repubblica presso il Tribunale di Bologna.
La decisione della Cassazione e il punto di diritto
La Cassazione giudica fondato il ricorso.
Relativamente all’addebito di accesso abusivo a sistema informatico (art. 615-ter c.p.) la sentenza di merito impugnata ha giudicato non sussistente il fatto di reato. L’intervento abusivo, come ricostruito nella predetta sentenza, è consistito nella introduzione nel sistema informatico e nella estrazione di copia nel database e dei codici sorgenti del programma protetto da copyright al fine di utilizzare lo stesso programma per gestire parti dell’attività di una società concorrente in cui coloro che avevano organizzato la copia erano confluiti. Ai sensi di una recente pronuncia delle Sezioni Unite (Sez. U., n. 41210 del 18/05/2017 Imp. Savarese), puntualmente richiamata dai giudici della legittimità, la condotta del soggetto abilitato all’accesso per ragioni di ufficio che, non violando le condizioni ed i limiti risultanti dalle prescrizioni impartite dal titolare di un sistema informatico o telematico protetto per delimitarne oggettivamente l’accesso, acceda o si mantenga nel sistema per scopi e finalità estranei o comunque diversi rispetto a quelli per i quali la facoltà di accesso gli è attribuita, integra il delitto previsto dall’art. 615-ter c.p.. “In particolare, deve – per effetto di tale pronuncia – ritenersi sussistente l’illiceità penale della condotta del soggetto che abbia effettuato – come nel caso di specie – un ingresso nel sistema telematico con fini palesemente contrari agli interessi – anche patrimoniali – del titolare del sistema informatico stesso”.
Per quanto concerne la sussistenza della condotta punita dall’art. 640-ter c.p. la sentenza oggetto di ricorso afferma che – in relazione alla copia di dati di un programma per elaboratore elettronico -non potrebbe ritenersi sussistente la violazione del disposto dell’art. 640 ter c.p. in tutti i casi in cui non vi sia una modificazione del sistema in cui i dati del programma si trovano. La Suprema Corte, tuttavia precisa che “la previsione incriminatrice prevede una pluralità di condotte alternative tutte parimenti illecite. Da una parte – infatti – il legislatore prevede la condotta di chi si procuri un ingiusto profitto con altrui danno alterando in qualsiasi modo il funzionamento di un sistema informatico o telematico. Dall’altra, risulta parimenti sanzionata la condotta di chi si procuri un ingiusto profitto con altrui danno intervenendo senza diritto con qualsiasi modalità su dati, informazioni o programmi contenuti in un sistema informatico o telematico o ad esso pertinenti. Si tratta di due condotte del tutto distinte”. Nel caso di specie, proseguono i Giudici del diritto, vi è stato un intervento senza diritto su dati contenuti in un sistema informatico, dovendosi valutare tale intervento senza diritto alla stregua del principio di diritto espresso da Corte stessa nella sentenza Savarese sopra richiamata.
La sentenza impugnata ha ritenuto applicabile al caso di specie l’art. 171-bis R.D. n. 633/1941 (legge sul diritto d’autore). L’art. 171-bis R.D. 633/1941 infatti, prevede come condotta sanzionata quella di chi duplica, per trarne profitto, programmi per elaboratore tutelati dal diritto d’autore e non vi è dubbio, come confermato anche nella sentenza de quo, che possa ritenersi realizzata la fattispecie in questione nella misura in cui vi sia una ripetizione inalterata anche di “parte” del programma utilizzato.
La fattispecie di frode informatica, invece, “corrisponde all’intervento senza diritto su dati contenuti in un sistema informatico. Si tratta di una condotta che – rispetto a quanto previsto nell’art. 171 bis RD 633/1941 – riguarda quindi non solo un profilo di intervento sui dati, ma di una acquisizione effettuata su dati contenuti in un sistema informatico, limitando così in maniera qualificata l’ambito di applicazione dell’una e dell’altra norma. . Il riferimento al termine sistema infatti implica l’indicazione di uno o più elementi che interagiscano tra loro o con elementi esterni. In particolare, per sistema informatico, si intende la combinazione di hardware, quali personal computer, server, router, terminali, eventualmente tra loro interconnessi usualmente gestiti da un software al fine di fornire una o più funzionalità o servizi di elaborazione a favore degli utenti. Del resto, il fatto che l’intervento sui dati informatici sia – nella previsione dell’art. 640 ter cod pen – correlato all’accesso a un sistema informatico è reso palese dall’esistenza di una aggravante riguardante proprio il fatto che il soggetto che accede possa rivestire la qualifica di operatore del sistema, specificazione che non avrebbe altrimenti ragione di essere. Nemmeno casuale può essere inteso il fatto che le fattispecie in materia di tutela delle opere dell’ingegno faccia riferimento a situazioni – quale il reverse engineering e i limiti delle facoltà del licenziatario del software (cfr. artt. 64 ter e ss.) – che appaiono ricollegabili a profili connessi non alla acquisizione tramite ingresso nel sistema del titolare del diritto di esclusiva ma a patologie connesse alla commercializzazione e circolazione del software inteso come opera dell’ingegno. Ciò rende palese la sussistenza, nella previsione dell’art. 640 ter cod pen, di un elemento specializzante, dato dal fatto che l’intervento sui dati avviene all’interno di un sistema informatico su cui si intervenga indebitamente che – come visto – risulta essere presente nella descrizione del caso concreto fornita nel provvedimento impugnato.
Data, dunque, l’esistenza di elementi specializzanti tra le due fattispecie è da escludersi la possibilità che operi un qualsivoglia tipo di assorbimento o consunzione tra le due.
Quanto, poi, alla sussistenza dell’elemento ulteriore del profitto (sempre relativamente alla fattispecie dell’art. 640-ter c.p.), “i codici sorgenti e il contenuto del database di un programma hanno un valore intrinseco in quanto frutto di attività non meramente compilativa costituente opere dell’ingegno e quindi suscettibile di valutazione patrimoniale. Costituisce infatti profitto del reato non solo il vantaggio costituito dall’incremento positivo della consistenza del patrimonio del reo, ma anche qualsiasi utilità o vantaggio, suscettibile di valutazione patrimoniale o economica, che determina un aumento della capacità di arricchimento, godimento ed utilizzazione del patrimonio del soggetto (Sez. 5, Sentenza n. 20093 del 31/10/2014 – dep. 14/05/2015 – Rv. 263832; Sez. U, Sentenza n. 18374 del 31/01/2013 Rv. 255036).”
Per quanto riguarda il danno correlativo, infine, concludono i giudici nel senso che “l’impossessamento anche di bene immateriale suscettibile di valutazione patrimoniale costituisce un danno la cui sussistenza deriva dallo stesso impossessamento anche quando la parte offesa non sia materialmente in grado, proprio per l’attività decettiva dell’imputato, di avere contezza dell’illecito impossessamento medesimo”.
Partendo da tali premesse la Suprema Corte avendo rilevato il decorso del termine massimo di prescrizione per i delitti ascritti agli imputati in esame ha dichiarato l’annullamento senza rinvio della sentenza impugnata, residuando, quindi, per le persone offese e danneggiate dal reato la tutela civilistica da esercitare nelle sedi competenti.
Quadro giurisprudenziale di riferimento in tema di accesso abusivo a sistema informatico.
Cassazione penale, sez. un., 18/05/2017, n. 41210
Integra il delitto previsto dall’art. 615 ter, comma 2, n. 1, c.p. la condotta del pubblico ufficiale o dell’incaricato di un pubblico servizio che, pur essendo abilitato e pur non violando le prescrizioni formali impartite dal titolare di un sistema informatico o telematico protetto per delimitarne l’accesso, acceda o si mantenga nel sistema per ragioni ontologicamente estranee rispetto a quelle per le quali la facoltà di accesso gli è attribuita. (Nella specie, la S.C. ha ritenuto immune da censure la condanna di un funzionario di cancelleria, il quale, sebbene legittimato ad accedere al Registro informatizzato delle notizie di reato – c.d. Re.Ge. – conformemente alle disposizioni organizzative della Procura della Repubblica presso cui prestava servizio, aveva preso visione dei dati relativi ad un procedimento penale per ragioni estranee allo svolgimento delle proprie funzioni, in tal modo realizzando un’ipotesi di sviamento di potere).
Cassazione penale, sez. II, 09/02/2017, n. 10060.
Nel phishing (truffa informatica effettuata inviando una email con il logo contraffatto di un istituto di credito o di una società di commercio elettronico, in cui si invita il destinatario a fornire dati riservati quali numero di carta di credito, password di accesso al servizio di home banking, motivando tale richiesta con ragioni di ordine tecnico), accanto alla figura dell’hacker (esperto informatico) che si procura i dati, assume rilievo quella collaboratore prestaconto che mette a disposizione un conto corrente per accreditare le somme, ai fini della destinazione finale di tali somme. A tal riguardo, il comportamento di tale soggetto è punibile a titolo di riciclaggio ex art. 648 bis c.p., e non a titolo di concorso nei reati con cui si è sostanziato il phishing (art. 615 ter e 640 ter c.p.), giacché la relativa condotta interviene, successivamente, con il compimento di operazioni volte a ostacolare la provenienza delittuosa delle somme depositate sul conto corrente e successivamente utilizzate per prelievi di contanti, ricariche di carte di credito o ricariche telefoniche.
Cassazione penale, sez. V, 05/12/2016, n. 11994.
Integra il delitto previsto dall’art. 615 ter c.p., la condotta del collaboratore di uno studio legale — cui sia affidata esclusivamente la gestione di un numero circoscritto di clienti — il quale, pur essendo in possesso delle credenziali d’accesso, si introduca o rimanga all’interno di un sistema protetto violando le condizioni e i limiti impostigli dal titolare dello studio, provvedendo a copiare e a duplicare, trasferendoli su altri supporti informatici, i files riguardanti l’intera clientela dello studio professionale e, pertanto, esulanti dalla competenza attribuitagli.
Cassazione penale, sez. V, 26/10/2016, n. 14546.
Ai fini della configurabilità del delitto di cui all’art. 615 ter c.p., da parte colui che, pur essendo abilitato, acceda o si mantenga in un sistema informatico o telematico protetto, violando le condizioni e i limiti risultanti dal complesso delle prescrizioni impartite dal titolare del sistema per delimitarne oggettivamente l’accesso, è necessario verificare se il soggetto, ove normalmente abilitato ad accedere nel sistema, vi si sia introdotto o mantenuto appunto rispettando o meno le prescrizioni costituenti il presupposto legittimante la sua attività, giacché il dominus può apprestare le regole che ritenga più opportune per disciplinare l’accesso e le conseguenti modalità operative, potendo rientrare tra tali regole, ad esempio, anche il divieto di mantenersi all’interno del sistema copiando un file o inviandolo a mezzo di posta elettronica, incombenza questa che non si esaurisce nella mera pressione di un tasto ma è piuttosto caratterizzata da una apprezzabile dimensione cronologica.
Cassazione penale, sez. V, 28/10/2015, n. 13057.
Integra il reato di cui all’art. 615-ter c.p. la condotta di colui che accede abusivamente all’altrui casella di posta elettronica trattandosi di uno spazio di memoria, protetto da una password personalizzata, di un sistema informatico destinato alla memorizzazione di messaggi, o di informazioni di altra natura, nell’esclusiva disponibilità del suo titolare, identificato da un account registrato presso il provider del servizio. (In motivazione la Corte di cassazione ha precisato che anche nell’ambito del sistema informatico pubblico, la casella di posta elettronica del dipendente, purché protetta da una password personalizzata, rappresenta il suo domicilio informatico sicché è illecito l’accesso alla stessa da parte di chiunque, ivi compreso il superiore gerarchico).
Cassazione penale, sez. I, 23/07/2015, n. 36338.
In tema di accesso abusivo ad un sistema informatico o telematico, il luogo di consumazione del delitto di cui all’art. 615-ter c.p. coincide con quello in cui si trova l’utente che, tramite elaboratore elettronico o altro dispositivo per il trattamento automatico dei dati, digitando la « parola chiave » o altrimenti eseguendo la procedura di autenticazione, supera le misure di sicurezza apposte dal titolare per selezionare gli accessi e per tutelare la banca dati memorizzata all’interno del sistema centrale ovvero vi si mantiene eccedendo i limiti dell’autorizzazione ricevuta.
Cassazione penale, sez. V, 11/03/2015, n. 32666.
Integra la fattispecie criminosa di accesso abusivo ad un sistema informatico o telematico protetto, prevista dall’art. 615 ter, c.p. la condotta di accesso o mantenimento nel sistema posta in essere da un soggetto, che pur essendo abilitato, violi le condizioni ed i limiti risultanti dal complesso delle prescrizioni impartite dal titolare del sistema per delimitare oggettivamente l’accesso. Non hanno rilievo, invece, per la configurazione del reato, gli scopi e le finalità che soggettivamente hanno motivato l’ingresso nel sistema.
Cassazione penale, sez. V, 18/12/2014, n. 10121.
In tema di accesso abusivo ad un sistema informatico o telematico, la circostanza aggravante prevista dall’art. 615 ter, comma 3, c.p., per essere il sistema violato di interesse pubblico, è configurabile anche quando lo stesso appartiene ad un soggetto privato cui è riconosciuta la qualità di concessionario di pubblico servizio, seppur limitatamente all’attività di rilievo pubblicistico che il soggetto svolge, quale organo indiretto della p.a., per il soddisfacimento di bisogni generali della collettività, e non anche per l’attività imprenditoriale esercitata, per la quale, invece, il concessionario resta un soggetto privato. (Fattispecie in cui la Corte ha annullato con rinvio l’ordinanza cautelare che aveva ritenuto sussistente la circostanza aggravante in questione in relazione alla condotta di introduzione nella “rete” del sistema bancomat di un istituto di credito privato).
Cassazione penale, sez. V, 31/10/2014, n. 10083.
Nel caso in cui l’agente sia in possesso delle credenziali per accedere al sistema informatico, occorre verificare se la condotta sia agita in violazione delle condizioni e dei limiti risultanti dal complesso delle prescrizioni impartite dal titolare dello jus excludendi per delimitare oggettivamente l’accesso, essendo irrilevanti, per la configurabilità del reato di cui all’art. 615 ter c.p., gli scopi e le finalità soggettivamente perseguiti dall’agente così come l’impiego successivo dei dati eventualmente ottenuti.
Cassazione penale, sez. V, 30/09/2014, n. 47105.
In tema di accesso abusivo ad un sistema informatico o telematica (art. 615 ter c.p.), dovendosi ritenere realizzato il reato pur quando l’accesso avvenga ad opera di soggetto legittimato, il quale però agisca in violazione delle condizioni e dei limiti risultanti dal complesso delle prescrizioni impartite dal titolare del sistema (come, in particolare, nel caso in cui vengano poste in essere operazioni di natura antologicamente diversa da quelle di cui il soggetto è incaricato ed in relazione alle quali l’accesso gli è stato consentito), deve ritenersi che sussista tale condizione qualora risulti che l’agente sia entrato e si sia trattenuto nel sistema informatico per duplicare indebitamente informazioni commerciali riservate; e ciò a prescindere dall’ulteriore scopo costituito dalla successiva cessione di tali informazioni ad una ditta concorrente.
Cassazione penale, sez. VI, 11/07/2014, n. 37240
Integra il reato di accesso abusivo ad un sistema informatico o telematico (ex art. 615-ter c.p.) il pubblico ufficiale che, pur avendo titolo e formale legittimazione per accedere al sistema, vi si introduca su altrui istigazione criminosa nel contesto di un accordo di corruzione propria; in tal caso, l’accesso del pubblico ufficiale – che, in seno ad un reato plurisoggettivo finalizzato alla commissione di atti contrari ai doveri d’ufficio (ex art. 319 c.p.), diventi la “longa manus” del promotore del disegno delittuoso – è in sé “abusivo” e integrativo della fattispecie incriminatrice sopra indicata, in quanto effettuato al di fuori dei compiti d’ufficio e preordinato all’adempimento dell’illecito accordo con il terzo, indipendentemente dalla permanenza nel sistema contro la volontà di chi ha il diritto di escluderlo (nella specie, l’imputato, addetto alla segreteria di una facoltà universitaria, dietro il pagamento di un corrispettivo in denaro, aveva registrato 19 materie in favore di uno studente, senza che questo ne avesse mai sostenuto gli esami).
Quadro giurisprudenziale di riferimento in tema di frode informatica.
Cassazione penale sez. VI 20 giugno 2017 n. 41767.
Integra il reato di frode informatica l’utilizzazione di sistemi di blocco od alterazione della comunicazione telematica tra apparecchi da gioco del tipo “slot-machine” e l’amministrazione finanziaria, trattandosi di alterazione dell’altrui sistema telematico, finalizzato all’indebito trattenimento della quota di imposta sulle giocate.
Cassazione penale, sez. II, 09/05/2017, n. 26229.
Integra il delitto di frode informatica, e non quello di indebita utilizzazione di carte di credito, la condotta di colui che, servendosi di una carta di credito falsificata e di un codice di accesso fraudolentemente captato in precedenza, penetri abusivamente nel sistema informatico bancario ed effettui illecite operazioni di trasferimento fondi.
Cassazione penale, sez. II, 09/02/2017, n. 10060.
In relazione alle operazione di phishing, è configurabile il reato di riciclaggio, non potendo la condotta posta in essere ritenuta assorbita nel reato di frode informatica. Lo sostiene la Cassazione che respinge la tesi difensiva e conferma l’autonomia dei due reati. Per la Corte il phishing consiste in una truffa informatica effettuata inviando una mail con il logo contraffatto di una banca o di una società di commercio online, in cui si invita il destinatario a fornire dati riservati come il numero della carta di credito o la password di accesso al servizio di home banking, spiegando la richiesta con ragioni di ordine tecnico. Ebbene tali condotte si collocano in una fase successiva alla consumazione del reato presupposto di frode informatica.
Cassazione penale, sez. II, 02/02/2017, n. 9191.
La frode informatica si caratterizza rispetto alla truffa per la specificazione delle condotte fraudolente da tenere che investono non un determinato soggetto passivo, bensì il sistema informatico, attraverso la manipolazione. Si tratta di un reato a forma libera finalizzato sempre all’ottenimento di un ingiusto profitto con altrui danno ma che si concretizza in una condotta illecita intrusiva o alterativa del sistema informatico o telematico.
Cassazione penale, sez. II, 01/12/2016, n. 54715.
Integra il reato di frode informatica, previsto dall’art. 640 -ter c.p., l’introduzione, in apparecchi elettronici per il gioco di intrattenimento senza vincite, di una seconda scheda, attivabile a distanza, che li abilita all’esercizio del gioco d’azzardo (cosiddette “slot machine”), trattandosi della attivazione di un diverso programma con alterazione del funzionamento di un sistema informatico.
Cassazione penale, sez. II, 09/06/2016, n. 41435.
Il reato di frode informatica si differenzia dal reato di truffa perché l’attività fraudolenta dell’agente investe non la persona (soggetto passivo), di cui difetta l’induzione in errore, bensì il sistema informatico di pertinenza della medesima, attraverso la manipolazione di detto sistema. (In applicazione di tale principio, la S.C. ha ritenuto sussistente la penale responsabilità dell’imputato in ordine ad una fattispecie di truffa, originariamente qualificata in termini di frode informatica, avvenuta mettendo in vendita tramite la piattaforma web eBay materiale di cui l’imputato non aveva l’effettiva disponibilità, ed utilizzando per le comunicazioni un account e-mail per la cui acquisizione l’imputato aveva sfruttato generalità di fantasia e per i pagamenti una carta prepagata che riportava le sue effettive generalità).
Cassazione penale, sez. I, 20/05/2016, n. 36359.
Il reato di frode informatica si consuma nel momento in cui il soggetto agente ottiene il profitto ingiusto, generando contestualmente un danno patrimoniale alla persona offesa. L’art. 9 c.p.p. indica dei parametri suppletivi per la corretta individuazione del foro competente e deve essere applicato in ossequio ad un principio di residualità.
Cassazione penale, sez. II, 13/10/2015, n. 50140.
Integra il delitto di frode informatica, e non quello di cui all’art. 55 n. 9 del D.Lgs. n. 231 del 2007, la condotta di colui che, servendosi di un codice di accesso fraudolentemente captato, penetri abusivamente nel sistema informatico bancario ed effettui illecite operazioni di trasferimento fondi, al fine di trarne profitto per sé o per altri. (In motivazione, la S.C. ha ritenuto decisiva la sussistenza dell’elemento specializzante, costituito dall’utilizzo “fraudolento” del sistema informatico).
Cassazione penale, sez. II, 06/03/2013, n. 13475.
Integra il reato di frode informatica, nelle forme dell’intervento senza diritto su dati e informazioni contenuti in un sistema informatico, oltre che quello di accesso abusivo ad un sistema informatico, la condotta del dipendente dell’Agenzia delle entrate che, utilizzando la password in dotazione, manomette la posizione di un contribuente, effettuando sgravi non dovuti e non giustificati dalle evidenze in possesso dell’ufficio.
Cassazione penale, sez. III, 24/05/2012, n. 23798.
Ai fini della determinazione della competenza territoriale, nel reato di frode informatica il momento consumativo va individuato nel luogo di esecuzione della attività manipolatoria del sistema di elaborazione dei dati, che può coincidere con il conseguimento del profitto anche non economico.
Cassazione penale, sez. III, 24/05/2012, n. 23798.
Il reato di frode informatica si differenzia dal reato di truffa perché l’attività fraudolenta dell’agente investe non la persona (soggetto passivo), di cui difetta l’induzione in errore, bensì il sistema informatico di pertinenza della medesima, attraverso la manipolazione di detto sistema. Di conseguenza, anche la frode informatica si consuma nel momento in cui l’agente consegue l’ingiusto profitto con correlativo danno patrimoniale altrui; con la particolarità, peraltro, in conseguenza del tipo particolare di condotta posta in essere con la truffa informatica, che con la manipolazione del sistema informatico l’agente consegue in simultanea il doppio risultato del proprio profitto ingiusto e della causazione del danno per il titolare del sistema.
