Pugno duro della Cassazione contro l’utilizzo abusivo dell’altrui casella di posta elettronica.

Si segnala ai lettori del blog la sentenza n. 18284/2019 – depositata il 02.05.2019 con la quale la Suprema Corte ha definito il perimetro punitivo all’interno del quale iscrivere la condotta del soggetto che viola la segretezza della corrispondenza informatica.

L’imputazione e lo svolgimento del processo di merito.

La Corte di Appello di Messina confermava la condanna inflitta dal Tribunale in sede all’esito del giudizio abbreviato, nei confronti del giudicabile imputato dei reati a lui ascritti in rubrica relativi all’utilizzo abusivo dell’altrui password, alla lettura della corrispondenza privata ed la modifica apportata alle credenziali d’accesso: quest’ultimo segmento di condotta aveva comportato un ulteriore danno consistito  nell’inutilizzabilità  della casella di posta elettronica da parte del titolare.

Il ricorso per cassazione.

Avverso la sentenza pronunciata dalla Corte territoriale di Messina la difesa dell’imputato interponeva ricorso per cassazione deducendo violazione della legge penale  segnatamente riferita  alla assimilazione della casella di posta elettronica ad un  “sistema informatico protetto da misure di sicurezza”.

Il giudizio di legittimità e il principio di diritto.

La Corte di Cassazione ha dichiarato  inammissibile il ricorso perché  manifestamente infondato ed in relazione al profilo di doglianza di cui sopra ha statuito il seguente principio di diritto:

In riferimento al secondo aspetto, va osservato come le fattispecie richiamate – rispettivamente caratterizzate dalla tutela del contenuto della corrispondenza ex se la prima (art. 616 cod. pen.) e dalla protezione fisica degli apparati informatici la seconda (635-bis cod. pen.) – sanzionano condotte ultronee e successive rispetto alla abusiva introduzione in sistema informatico protetto. Invero, integra il reato di violazione, sottrazione e soppressione di corrispondenza (art. 616 cod. pen.) la condotta di colui che prende cognizione del contenuto della corrispondenza telematica conservata nell’archivio di posta elettronica (V. Sez. 5, n.12603 del 02/02/2017, Segagni, Rv. 269517); condotta logicamente e cronologicamente progressiva rispetto all’abusiva introduzione nel sistema. Allo stesso modo, il reato di danneggiamento di dati informatici, di cui agli artt. 635-bis e ss. cod. pen., si configura in presenza di una condotta finalizzata ad impedire che il sistema funzioni (Sez. 2, n.54715 del 01/12/2016, Pesce, Rv. 268871), in presenza del requisito dell’altruità (Sez. 2, n.38331 del 29/04/2016, Pagani, Rv. 268234). Di guisa che le predette fattispecie, che si pongono in rapporto di alterità rispetto al reato di cui art. 615-ter cod. pen. possono con il medesimo concorrere, ma non ne riassumono ed esauriscono il disvalore. Deve essere pertanto affermato il principio per cui, in ipotesi di accesso abusivo ad una casella di posta elettronica protetta da password, il reato di cui art. 615-ter cod. pen. concorre con il delitto di violazione di corrispondenza in relazione alla acquisizione del contenuto delle mail custodite nell’archivio e con il reato di danneggiamento di dati informatici, di cui agli artt. 635-bis e ss. cod. pen., nel caso in cui, all’abusiva modificazione delle credenziali d’accesso, consegue l’inutilizzabilità della casella di posta da parte del titolare.”

*****

Quadro normativo di riferimento relativo alle fattispecie di reato richiamate nella  sentenza in commento:

Art 615 ter c.p, Accesso abusivo ad un sistema informatico o telematico:

Chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza  ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo, è punito con la reclusione fino a tre anni.

La pena è della reclusione da uno a cinque anni:

1)se il fatto è commesso da un pubblico ufficiale o da un incaricato di un pubblico servizio, con abuso dei poteri, o con violazione dei doveri inerenti alla funzione o al servizio, o da chi esercita anche abusivamente la professione di investigatore privato, o con abuso della qualità di operatore del sistema;

2) se il colpevole per commettere il fatto usa violenza sulle cose o alle persone, ovvero se è palesemente armato;

3) se dal fatto deriva la distruzione o il danneggiamento del sistema o l’interruzione totale o parziale del suo funzionamento, ovvero la distruzione o il danneggiamento dei dati, delle informazioni o dei programmi in esso contenuti.

Qualora i fatti di cui ai commi primo e secondo riguardino sistemi informatici o telematici di interesse militare o relativi all’ordine pubblico o alla sicurezza pubblica o alla sanità o alla protezione civile o comunque di interesse pubblico, la pena è, rispettivamente, della reclusione da uno a cinque anni e da tre a otto anni.

Art 635 c.p., Danneggiamento:

Chiunque distruggedisperdedeteriora o rende, in tutto o in parte, inservibili cose mobili o immobili altrui  con violenza alla persona o con minaccia ovvero in occasione di manifestazioni che si svolgono in luogo pubblico o aperto al pubblico o del delitto previsto dall’articolo 331, è punito con la reclusione da sei mesi a tre anni.

Art 616 c.p., Violazione, sottrazione e soppressione di corrispondenza:

Chiunque prende cognizione (1)del contenuto di una corrispondenza chiusa, a lui non diretta, ovvero sottrae o distrae, al fine di prenderne o di farne da altri prender cognizione, una corrispondenza chiusa o aperta, a lui non diretta, ovvero, in tutto o in parte, la distrugge o sopprime (2), è punito, se il fatto non è preveduto come reato da altra disposizione di legge, con la reclusione fino a un anno o con la multa da trenta euro a cinquecentosedici euro.

Se il colpevole, senza giusta causa, rivela, in tutto o in parte, il contenuto della corrispondenza, è punito, se dal fatto deriva nocumento ed il fatto medesimo non costituisce un più grave reato, con la reclusione fino a tre anni [618].

Il delitto è punibile a querela della persona offesa.

Agli effetti delle disposizioni di questa sezione, per “corrispondenza” s’intende quella epistolare, telegrafica o telefonica, informatica o telematica ovvero effettuata con ogni altra forma di comunicazione a distanza.

*****

Quadro giurisprudenziale di riferimento in materia di accesso abusivo ad un sistema informatico e danneggiamento di dati informatici:

Cassazione penale sez. V, 21/05/2018, n.35792

L’articolo 54-bis del decreto legislativo 30 marzo 2001 n. 165, introdotto dall’articolo 1, comma 51, del decreto legislativo 6 novembre 2012 n. 190, nel testo aggiornato dall’articolo 1 della legge 30 novembre 2017 n. 179, recante disciplina della “segnalazione di illeciti da parte di dipendente pubblico” (whistleblowing), intende tutelare il soggetto, legato da un rapporto pubblicistico con l’amministrazione, che rappresenti fatti antigiuridici appresi nell’esercizio del pubblico ufficio o servizio, scongiurando, per promuovere forme più incisive di contrasto alla corruzione, conseguenze sfavorevoli, limitamento al rapporto di impiego, per il segnalante che acquisisca, nel contesto lavorativo, notizia di un’attività illecita, e ne riferisca al responsabile della prevenzione della corruzione e della trasparenza, al superiore gerarchico ovvero all’Autorità nazionale anticorruzione, all’autorità giudiziaria ordinaria o a quella contabile. La norma, peraltro, non fonda alcun obbligo di “attiva acquisizione di informazioni”, autorizzando improprie attività investigative, in violazione de limiti posti dalla legge (da queste premesse, la Corte ha escluso che potesse invocare la scriminante dell’adempimento del dovere, neppure sotto il profilo putativo, l’imputato del reato di cui all’articolo 615-ter del codice penale, che si era introdotto abusivamente nel sistema informatico dell’ufficio pubblico cui apparteneva, sostenendo che lo aveva fatto solo per l’asserita finalità di sperimentazione della vulnerabilità del sistema).

Cassazione penale sez. VI, 11/01/2018, n.17770

La ricezione di un Cd contenente dati illegittimamente carpiti, costituente provento del reato di cui all’articolo 615-ter del Cp, pur se finalizzata ad acquisire prove per presentare una denuncia a propria tutela, non può scriminare il reato di cui all’articolo 648 del Cp, così commesso, invocando l’esimente della legittima difesa, giusta i presupposti in forza dei quali tale esimente è ammessa dal codice penale. L’articolo 52 del Cp, infatti, configura la legittima difesa solo quando il soggetto si trovi nell’alternativa tra subire o reagire, quando l’aggredito non ha altra possibilità di sottrarsi al pericolo di un’offesa ingiusta, se non offendendo, a sua volta l’aggressore, secondo la logica del vim vi repellere licet, e quando, comunque, la reazione difensiva cada sull’aggressore e sia anche, oltre che proporzionata all’offesa, idonea a neutralizzare il pericolo attuale. Ciò che non può configurarsi nella condotta incriminata, perché la condotta di ricettazione non è comunque rivolta, in via diretta e immediata, nei confronti dell’aggressore e non è, in ogni caso, idonea a interrompere l’offesa altrui, perché la ricezione del Cd di provenienza delittuosa, pur se finalizzata alla presentazione della denuncia difensiva, non risulta strutturalmente in grado di interrompere l’offesa asseritamente minacciata o posta in essere dalla controparte, né a elidere la disponibilità da parte di questa dei dati e dei documenti asseritamente carpiti in modo illegittimo e da fare oggetto della denuncia a fini difensivi.

Cassazione penale, sez. un., 18/05/2017, n. 41210.

Integra il delitto previsto dall’art. 615 ter, comma 2, n. 1, c.p. la condotta del pubblico ufficiale o dell’incaricato di un pubblico servizio che, pur essendo abilitato e pur non violando le prescrizioni formali impartite dal titolare di un sistema informatico o telematico protetto per delimitarne l’accesso, acceda o si mantenga nel sistema per ragioni ontologicamente estranee rispetto a quelle per le quali la facoltà di accesso gli è attribuita. (Nella specie, la S.C. ha ritenuto immune da censure la condanna di un funzionario di cancelleria, il quale, sebbene legittimato ad accedere al Registro informatizzato delle notizie di reato – c.d. Re.Ge. – conformemente alle disposizioni organizzative della Procura della Repubblica presso cui prestava servizio, aveva preso visione dei dati relativi ad un procedimento penale per ragioni estranee allo svolgimento delle proprie funzioni, in tal modo realizzando un’ipotesi di sviamento di potere).

Cassazione penale, sez. II, 09/02/2017, n. 10060.

Nel phishing (truffa informatica effettuata inviando una email con il logo contraffatto di un istituto di credito o di una società di commercio elettronico, in cui si invita il destinatario a fornire dati riservati quali numero di carta di credito, password di accesso al servizio di home banking, motivando tale richiesta con ragioni di ordine tecnico), accanto alla figura dell’hacker (esperto informatico) che si procura i dati, assume rilievo quella collaboratore prestaconto che mette a disposizione un conto corrente per accreditare le somme, ai fini della destinazione finale di tali somme. A tal riguardo, il comportamento di tale soggetto è punibile a titolo di riciclaggio ex art. 648 bis c.p., e non a titolo di concorso nei reati con cui si è sostanziato il phishing (art. 615 ter e 640 ter c.p.), giacché la relativa condotta interviene, successivamente, con il compimento di operazioni volte a ostacolare la provenienza delittuosa delle somme depositate sul conto corrente e successivamente utilizzate per prelievi di contanti, ricariche di carte di credito o ricariche telefoniche.

Cassazione penale, sez. V, 05/12/2016, n. 11994.

Integra il delitto previsto dall’art. 615 ter c.p., la condotta del collaboratore di uno studio legale — cui sia affidata esclusivamente la gestione di un numero circoscritto di clienti — il quale, pur essendo in possesso delle credenziali d’accesso, si introduca o rimanga all’interno di un sistema protetto violando le condizioni e i limiti impostigli dal titolare dello studio, provvedendo a copiare e a duplicare, trasferendoli su altri supporti informatici, i files riguardanti l’intera clientela dello studio professionale e, pertanto, esulanti dalla competenza attribuitagli.

Cassazione penale, sez. V, 26/10/2016, n. 14546.

Ai fini della configurabilità del delitto di cui all’art. 615 ter c.p., da parte colui che, pur essendo abilitato, acceda o si mantenga in un sistema informatico o telematico protetto, violando le condizioni e i limiti risultanti dal complesso delle prescrizioni impartite dal titolare del sistema per delimitarne oggettivamente l’accesso, è necessario verificare se il soggetto, ove normalmente abilitato ad accedere nel sistema, vi si sia introdotto o mantenuto appunto rispettando o meno le prescrizioni costituenti il presupposto legittimante la sua attività, giacché il dominus può apprestare le regole che ritenga più opportune per disciplinare l’accesso e le conseguenti modalità operative, potendo rientrare tra tali regole, ad esempio, anche il divieto di mantenersi all’interno del sistema copiando un file o inviandolo a mezzo di posta elettronica, incombenza questa che non si esaurisce nella mera pressione di un tasto ma è piuttosto caratterizzata da una apprezzabile dimensione cronologica.

Cassazione penale, sez. V, 28/10/2015, n. 13057.

Integra il reato di cui all’art. 615-ter c.p. la condotta di colui che accede abusivamente all’altrui casella di posta elettronica trattandosi di uno spazio di memoria, protetto da una password personalizzata, di un sistema informatico destinato alla memorizzazione di messaggi, o di informazioni di altra natura, nell’esclusiva disponibilità del suo titolare, identificato da un account registrato presso il provider del servizio. (In motivazione la Corte di cassazione ha precisato che anche nell’ambito del sistema informatico pubblico, la casella di posta elettronica del dipendente, purché protetta da una password personalizzata, rappresenta il suo domicilio informatico sicché è illecito l’accesso alla stessa da parte di chiunque, ivi compreso il superiore gerarchico).

Cassazione penale, sez. I, 23/07/2015, n. 36338.

In tema di accesso abusivo ad un sistema informatico o telematico, il luogo di consumazione del delitto di cui all’art. 615-ter c.p. coincide con quello in cui si trova l’utente che, tramite elaboratore elettronico o altro dispositivo per il trattamento automatico dei dati, digitando la « parola chiave » o altrimenti eseguendo la procedura di autenticazione, supera le misure di sicurezza apposte dal titolare per selezionare gli accessi e per tutelare la banca dati memorizzata all’interno del sistema centrale ovvero vi si mantiene eccedendo i limiti dell’autorizzazione ricevuta.

Cassazione penale, sez. V, 11/03/2015, n. 32666.

Integra la fattispecie criminosa di accesso abusivo ad un sistema informatico o telematico protetto, prevista dall’art. 615 ter, c.p. la condotta di accesso o mantenimento nel sistema posta in essere da un soggetto, che pur essendo abilitato, violi le condizioni ed i limiti risultanti dal complesso delle prescrizioni impartite dal titolare del sistema per delimitare oggettivamente l’accesso. Non hanno rilievo, invece, per la configurazione del reato, gli scopi e le finalità che soggettivamente hanno motivato l’ingresso nel sistema.

Cassazione penale, sez. V, 18/12/2014, n. 10121.

In tema di accesso abusivo ad un sistema informatico o telematico, la circostanza aggravante prevista dall’art. 615 ter, comma 3, c.p., per essere il sistema violato di interesse pubblico, è configurabile anche quando lo stesso appartiene ad un soggetto privato cui è riconosciuta la qualità di concessionario di pubblico servizio, seppur limitatamente all’attività di rilievo pubblicistico che il soggetto svolge, quale organo indiretto della p.a., per il soddisfacimento di bisogni generali della collettività, e non anche per l’attività imprenditoriale esercitata, per la quale, invece, il concessionario resta un soggetto privato. (Fattispecie in cui la Corte ha annullato con rinvio l’ordinanza cautelare che aveva ritenuto sussistente la circostanza aggravante in questione in relazione alla condotta di introduzione nella “rete” del sistema bancomat di un istituto di credito privato).

Cassazione penale, sez. V, 31/10/2014, n. 10083.

Nel caso in cui l’agente sia in possesso delle credenziali per accedere al sistema informatico, occorre verificare se la condotta sia agita in violazione delle condizioni e dei limiti risultanti dal complesso delle prescrizioni impartite dal titolare dello jus excludendi per delimitare oggettivamente l’accesso, essendo irrilevanti, per la configurabilità del reato di cui all’art. 615 ter c.p., gli scopi e le finalità soggettivamente perseguiti dall’agente così come l’impiego successivo dei dati eventualmente ottenuti.

Cassazione penale, sez. V, 30/09/2014, n. 47105.

In tema di accesso abusivo ad un sistema informatico o telematica (art. 615 ter c.p.), dovendosi ritenere realizzato il reato pur quando l’accesso avvenga ad opera di soggetto legittimato, il quale però agisca in violazione delle condizioni e dei limiti risultanti dal complesso delle prescrizioni impartite dal titolare del sistema (come, in particolare, nel caso in cui vengano poste in essere operazioni di natura antologicamente diversa da quelle di cui il soggetto è incaricato ed in relazione alle quali l’accesso gli è stato consentito), deve ritenersi che sussista tale condizione qualora risulti che l’agente sia entrato e si sia trattenuto nel sistema informatico per duplicare indebitamente informazioni commerciali riservate; e ciò a prescindere dall’ulteriore scopo costituito dalla successiva cessione di tali informazioni ad una ditta concorrente.

Cassazione penale, sez. VI, 11/07/2014, n. 37240

Integra il reato di accesso abusivo ad un sistema informatico o telematico (ex art. 615-ter c.p.) il pubblico ufficiale che, pur avendo titolo e formale legittimazione per accedere al sistema, vi si introduca su altrui istigazione criminosa nel contesto di un accordo di corruzione propria; in tal caso, l’accesso del pubblico ufficiale – che, in seno ad un reato plurisoggettivo finalizzato alla commissione di atti contrari ai doveri d’ufficio (ex art. 319 c.p.), diventi la “longa manus” del promotore del disegno delittuoso – è in sé “abusivo” e integrativo della fattispecie incriminatrice sopra indicata, in quanto effettuato al di fuori dei compiti d’ufficio e preordinato all’adempimento dell’illecito accordo con il terzo, indipendentemente dalla permanenza nel sistema contro la volontà di chi ha il diritto di escluderlo (nella specie, l’imputato, addetto alla segreteria di una facoltà universitaria, dietro il pagamento di un corrispettivo in denaro, aveva registrato 19 materie in favore di uno studente, senza che questo ne avesse mai sostenuto gli esami).

Cassazione penale, sez. II, 01/12/2016,  n. 54715

Il reato di frode informatica si differenzia da quello di danneggiamento di dati informatici, di cui agli artt. 635 bis e ss. cod. pen., perché, nel primo, il sistema informatico continua a funzionare, benché in modo alterato rispetto a quello programmato, mentre nel secondo l’elemento materiale è costituito dal mero danneggiamento del sistema informatico o telematico, e, quindi, da una condotta finalizzata ad impedire che il sistema funzioni.

Cassazione penale, sez. II, 29/04/2016,  n. 38331

Non commette il reato di danneggiamento di informazioni, dati e programmi informatici il lavoratore dipendente che sopprime messaggi di carattere professionale destinati al datore di lavoro, i quali siano stati ricevuti sulla casella di posta elettronica che gli è riservata nell’ambito del sistema informatico aziendale.

Cassazione penale, sez. II, 14/12/2011,  n. 9870

L’oggetto materiale del delitto di danneggiamento di sistema informatico è costituito dal complesso di apparecchiature interconnesse o collegate tra loro, in cui una o più di esse effettui il trattamento automatico di dati mediante un programma (nella specie, è stato qualificato sistema informatico il sistema di videosorveglianza di un ufficio giudiziario, composto da apparati di videoregistrazione e da un componente dedicato al trattamento delle immagini e alla loro memorizzazione).

Cassazione penale, sez. II, 14/12/2011,  n. 9870

Ai fini dell’integrazione del reato di danneggiamento di sistemi informatici ex art. 635 quater c.p., per sistema informatico deve intendersi qualsiasi apparecchiatura o gruppo di apparecchi interconnessi o collegati, uno o più dei quali, secondo un programma, svolga un trattamento automatico dei dati, sicché vi rientra un sistema di videosorveglianza che, composto di alcune videocamere che registrano le immagini e le trasformano in dati, si avvalga anche di un hard disk che riceve e memorizza immagini, rendendole estraibili e riproducibili per fotogrammi.

Cassazione penale, sez. V, 18/11/2011,  n. 8555

È ravvisabile il reato di cui all’art. 635 bis c.p., in caso di cancellazione di file da un sistema informatico sia quando la cancellazione sia stata provvisoria, mediante lo spostamento dei files nel cestino, sia quando la cancellazione sia stata definitiva, con il successivo svuotamento del cestino, essendo comunque irrilevante che anche in tale ultima evenienza i files cancellati possano essere recuperati, attraverso una complessa procedura tecnica che richiede l’uso di particolari sistemi applicativi e presuppone specifiche conoscenze nel campo dell’informatica. Il reato di danneggiamento informatico, infatti, deve ritenersi integrato dalla manomissione e alterazione dello stato del computer, rimediabili solo con postumo intervento recuperatorio, che, comunque, non sarebbe reintegrativo dell’originaria configurazione dell’ambiente di lavoro.

Cassazione penale sez. V, 02/02/2017, n.12603:

La presa di cognizione di posta elettronica presso il destinatario riguarda il profilo “statico” della comunicazione, dunque è sanzionabile ai sensi dell’art. 616 c.p. e non con l’art. 617 c.p. che, invece, attiene il profilo “dinamico” della comunicazione stessa.

Cassazione penale sez. V, 13/03/2015, n.29832:

Le disposizioni di cui all’art. 616 c.p., che sanziona penalmente la violazione, la sottrazione o la soppressione di corrispondenza, trovano applicazione anche nel caso di stampe o di qualsiasi altra corrispondenza “aperta” che abbia uno specifico destinatario.

Cassazione penale sez. V, 25/03/2019, n.18284:

In ipotesi di accesso abusivo ad una casella di posta elettronica protetta da password, il reato di cui art. 615-ter c.p. concorre con il delitto di violazione di corrispondenza in relazione alla acquisizione del contenuto delle mail custodite nell’archivio e con il reato di danneggiamento di dati informatici, di cui agli artt. 635-bis e ss. c.p., nel caso in cui, all’abusiva modificazione delle credenziali d’accesso, consegue l’inutilizzabilità della casella di posta da parte del titolare.

© RIPRODUZIONE RISERVATA