Le massime
1. L’art. 167, d.lgs. 196/2003, è un reato di pericolo effettivo e non meramente presunto con il risultato che la illecita utilizzazione dei dati personali è punibile, non già in sé e per sé, ma in quanto suscettibile di produrre nocumento alla persona dell’interessato e/o al suo patrimonio.
2. La natura di condizione obiettiva di punibilità del “nocumento” di cui all’art. 167, d. lgs. 196/2003, fa sì che esso sia un fattore esterno alla fattispecie delittuosa che è integralmente realizzata dal verificarsi dei suoi elementi costitutivi (condotta, evento, nesso di causalità ed elemento psichico) ma che diviene punibile solo al verificarsi di questo quid pluris che il legislatore definisce “nocumento” e che deve “discendere dal fatto”.
3. Il nocumento che consegue all’illecito trattamento di dati personali è di vario genere non solo economico, ma anche più immediatamente personale, quale ad esempio, la perdita di tempo nel vagliare mail indesiderate e nelle procedure da seguire per evitare ulteriori invii. Non vi è alcun bisogno di identificare compiutamente ed interrogare decine (se non centinaia) di migliaia di utenti internautici, i dati personali dei quali siano stati utilizzati in violazione della normativa, perché, in fattispecie di tal fatta, per il numero delle persone e le caratteristiche non certo estemporanee dell’attività di propaganda – attuata e da attuare – il vulnus è di tale entità da potersi quasi definire in re ipsa.
SUPREMA CORTE DI CASSAZIONE
SEZIONE III PENALE
SENTENZA 15 giugno 2012, n. 23798
Ritenuto in fatto
1. Vicenda processuale e provvedimento impugnato – Si procede nei confronti di C.A. (in qualità di amministratore delegato della Buongiorno Vitaminic S.p.a.) e F.C. (responsabile del trattamento dei dati) per il reato di cui all’art. 167, comma 1, d.lgs. 196/93 perché, in concorso tra loro, con più azioni ed in tempi diversi, al fine di trame un profitto (rappresentato dagli introiti commerciali e pubblicitari derivanti dall’uso, su internet, dei dati informatici ivi gestiti) hanno effettuato un trattamento dei dati personali in violazione degli artt. 23, 129 e 130 del medesimo d.lgs..
In particolare, per comprendere l’accusa, occorre tener presente che tra la società facente Capo al C. (la Buongiorno Vitaminic – di seguito denominata semplicemente “Buongiorno”) e la Società facente Capo all’Odierna parte Civile Costamagna (la Clever Internet Company – di seguito denominata semplicemente “Clever”) era in essere un contratto di concessione di spazi pubblicitari da parte della Clever nei confronti della Buongiorno. Ciò grazie alla gestione di un sito, denominato (omissis) creato dalla Clever, al quale era abbinato un servizio di newsletter “(omissis) “, che conteneva un database di 457.058 iscrizioni.
Secondo la contestazione formulata nel capo A) (punto n), la Buongiorno, dopo aver proceduto ad una risoluzione unilaterale del contratto con la Clever (comunicata con lettera raccomandata del 29.3.04), aveva effettuato un trattamento dei dati personali degli iscritti alla newsletter “(omissis) “, promossa dal sito quasi omonimo, senza il consenso del Costamagna e senza informare gli iscritti della cessazione della lista (omissis) continuando, anzi, a recapitare a questi ultimi (quantomeno, nella accertata percentuale del 39% di essi) altre newsletter non richieste tra le quali, in particolare, quella denominata (omissis) che pubblicizzava dei servizi di Buongiorno Vitaminic. Il tutto, avveniva mediante il sito internet (omissis) allocato su un server della struttura “I.net”
La contestazione sub A), così sinteticamente riassunta, è integrata (punto III) anche dalla ulteriore analoga accusa contenuta in procedimento riunito (recante originariamente nn. 9123/05) secondo cui, con il medesimo modus operandi incentrato sul c.d. spamming, era stata inviata la newsletter (omissis) a soggetti che non l’avevano richiesta né si erano iscritti ad alcuno dei servizi di Buongiorno Vitaminic.
Infine, resta da dire per completezza che l’accusa di cui al capo A) riguarda anche (punto 1)l’assenza di documentazione circa le modalità con le quali veniva acquisito il consenso degli utenti, visto che nelle “opzioni” di iscrizione alla newsletter (omissis) non vi è traccia di tali modalità.
Originariamente, agli imputati, odierni ricorrenti, era stata contestata anche la commissione del reato di cui all’art. 640 ter c.p. (frode informatica) ma il Tribunale, nel condannare per il primo reato, ha ritenuto non sussistente quest’ulteriore fattispecie dalla quale ha assolto gli imputati.
La Corte d’appello, con la decisione qui impugnata, ha confermato la pronuncia di responsabilità ed anche l’assoluzione parziale (in tal modo, respingendo l’appello incidentale della parte civile sui punto) ed ha sostanzialmente ribadito la sentenza di primo grado, tranne che in punto di concessione della sospensione condizionale della pena perché ritenuta pretermessa in modo immotivato.
2. Motivi del ricorso – Avverso tale decisione, gli imputati hanno proposto ricorso, tramite i difensori deducendo:
1) violazione di legge (art. 606 lett. b) c.p.p.) per il mancato accoglimento della eccezione di incompetenza territoriale. Sin dall’inizio, infatti, i ricorrenti avevano sostenuto che la competenza si fosse radicata erroneamente a Milano invece che a Parma, dove ha sede la Buongiorno. Sostengono, infatti, che con riferimento al reato più grave, di cui all’art. 640 ter c.p., li profitto-evento del reato va identificato nel risparmio di spesa conseguito dalla Buongiorno in seguito alla risoluzione unilaterale del contratto con la Clever (risparmio consistente nei
mancato pagamento delle royalties pubblicitarie altrimenti dovute).
L’errore in cui è incorsa, secondo i ricorrenti, la Corte d’appello va ravvisato nel fatto di avere considerato la “condotta” e non revento”. Nella sentenza di secondo grado, si sostiene, infatti, che il reato contestato è costituito dall’autonoma condotta dell’abusiva diffusione pubblicitaria del sito propagandato attraverso il sito “I.net”.
È, però, da ritenersi pacifico che il reato di cui all’art. 640 ter c.p. sia di evento e non di pura condotta perché si differenzia dall’art. 640 solo perché l’attività fraudolenta investe, non, la persona del soggetto passivo, ma, il sistema informatico di pertinenza di quest’ultimo che viene, per l’appunto, manipolato (sez. V, n. 4576/03).
Non essendovi altre differenze tra le due fattispecie criminose, non si può che avere riguardo, ai fini della competenza, all’evento e non alla condotta. A (…) (più precisamente a settimo (…)), si trovano i server della Buongiorno, ma colà si è realizzata solo la condotta incriminata, mentre il vantaggio patrimoniale si è verificato a (…) dove, pacificamente, si trova la sede legale, amministrativa e finanziaria della Buongiorno.
Né a diverse conclusioni si perverrebbe ove si volesse considerare la deminutio patrimonii, vale a dire, il danno della Clever che, comunque, con Milano, non ha nulla a che vedere;
2) violazione di legge (art. 606 lett. c) c.p.p.) per indeterminatezza dell’accusa di cui punto III del capo A).
In esso, come già anticipato, sono state contestate illecite condotte di trattamento dei dati quali emerse – sulla base di una denuncia della Clever – nell’ambito di un altro procedimento penale riunito al presente. Si fa, infatti, notare che, a differenza di quanto avvenuto per il punto II del medesimo capo d’accusa, in questo caso, la condotta non è stata specificata e l’accusa è stata genericamente formulata con richiamo al “procedimento” nel cui ambito essa era sorta.
Il giudice di primo grado ha replicato alla eccezione circa la “Impossibilità di identificare con esattezza gii episodi criminosi” oggetto dell’accusa, precisando che i soggetti passivi sarebbero stati compiutamente individuabili in base alla perizia espletata con incidente probatorio.
La spiegazione è stata fatta propria anche dalla corte d’appello ma i ricorrenti obiettano che ciò non sarebbe possibile perché l’incidente probatorio ha avuto ad oggetto solo la gestione della newsletter (omissis) e comunque, il fatto – sottolineato dalla Corte – della obiettiva esistenza di indicazioni circa l’invio delle newsletter non è significativo perché da esse si desume solo una modalità di condotta ma non anche altre coordinate quali il volume, la frequenza, la data ed i destinatari degli invii indesiderati.
I ricorrenti evocano decisioni di questa S.C. in punto di indeterminatezza del capo di imputazione e sottolineano che, in ogni caso, l’incidente probatorio e gli accertamenti di P.G. sono relativi a fatti antecedenti quelli della contestazione di cui si tratta, che è del 7.3.05.
3) inosservanza di norme processuali (art. 606 lett. c) c.p.p.) per difetto di correlazione tra l’imputazione originaria e quella ritenuta in sentenza.
li capo di imputazione è formulato in termini tali da lasciare chiaramente comprendere che la condotta illecita contestata sia stata quella di un trattamento dei dati degli iscritti alla lista (omissis) successiva alla risoluzione del contratto. In tal modo, lasciando intendere che, in precedenza, invece, il trattamento dei dati da parte della Buongiorno fosse avvenuto legittimamente. Invece, nella sentenza di primo grado, si legge che le condotte antecedenti la risoluzione non sono state oggetto di condanna solo perché prescritte.
La Corte d’appello, di fronte ad un motivo analogo al presente, ha semplicemente sostenuto che si trattava di un obiter dictum non incidente sulle considerazioni conclusive ma si ribatte qui che, invece, quella considerazione è rilevante perché espressiva del pregiudizio con cui il Tribunale aveva affrontato l’intera questione.
Ciò ha inciso anche sulla intera gestione dell’istruttoria dibattimentale ed ha finito per vanificare gli sforzi difensivi tesi ad evidenziare, per contro, la correttezza dell’operato della Buongiorno nella raccolta del consenso da parte del titolare della lista (c.d. list owner);
4) erronea applicazione della legge penale e vizio di motivazione (art. 606 lett. b) ed e) c.p.p.) per difetto dell’elemento del “nocumento”: nonché, per totale carenza di motivazione sul punto.
La censura fonda sul fatto che, tutte le persone sentite come testimoni in udienza ed individuate dall’accusa come destinatane delle e-mail indesiderate della Buongiorno hanno affermato in modo inconfutabile di non avere patito alcun fastidio da tale ricezione indesiderata né alcun danno patrimoniale apprezzabile (doc. 4 att. ric.).
Sebbene né il primo giudice né la Corte d’appello abbiano mai messo in discussione la validità delle emergenze istruttorie dibattimentali, si è ugualmente affermata la equazione proposta dall’accusa secondo anche cui l’invio di una sola mail non autorizzata avrebbe configurato il reato ipotizzato.
Si obietta, però, che le stesse SS.UU. di questa S.C. hanno asserito (25.9.11, n. 37954) che, anche laddove risultino incontestate le connotazioni in fatto della fattispecie esaminate, la sua riconducibilità alla previsione normativa astratta è sempre passibile di verifica in sede di legittimità quale premessa concettualmente prioritaria rispetto al controllo sulla motivazione.
Orbene, considerato che, nella specie non è stata accertata la verificazione della condizione obiettiva di punibilità della condotta come descritta dall’art. 167 d.lgs. 196/03, la sentenza in esame dovrebbe essere annullata senza rinvio perché il fatto non sussiste così come, del resto chiaramente asserito anche da pronunzie di questa S.C. (sez. V, 25.6.09, Genchi, rv. 244749).
In ogni caso, si sottolinea che la sentenza andrebbe annullata per totale assenza di motivazione sul punto. Ed infatti, a dimostrazione di tate totale, la difesa aveva eccepito una serie di argomentazioni che sono state ignorate. Ci si riferisce, cioè ai seguenti rilievi:
– mancato espletamento di verifiche informatiche volte ad evidenziare quante e quali mails fossero state inviate e, soprattutto, quante, ne fossero state ricevute (con il risultato che la sussistenza del nocumento è solo presunta e dedotta sulla base del numero degli iscritti alla lista (omissis) ):
– il nocumento non si può identificare con il pregiudizio della Clever che, in ogni caso, è solo asserito e non dimostrato;
5) erronea applicazione della legge penale e vizio di motivazione (art. 606 lett. b) ed e) c.p.p.) per carenza ed illogicità della motivazione a proposito della sussistenza degli elementi costitutivi della fattispecie incriminatrice. Ed infatti, la sentenza qui impugnata si limita a meri rinvii a specifici gruppi di pagine della sentenza di primo grado ma la motivazione per relationem non può ritenersi legittima quando la sentenza di appello si sia limitata a riprodurre la decisione del giudice precedente, aggiungendo la propria adesione in termini apodittici e stereotipati senza dar conto degli specifici motivi di impugnazione e senza argomentare sull’inconsistenza o non pertinenza degli stessi (sez. VI, 30.9.09, n. 33982).
Nella specie, in particolare, si fa notare che sono rimaste senza replica le obiezioni mosse con l’appello circa:
a) la mancata dimostrazione dei destinatari che avrebbero effettivamente ricevuto la newsletter (omissis) . Si fa, infatti, notare che la stessa percentuale del 39% indicata in rubrica non risulta in alcun modo dimostrata da accertamenti peritali;
b) la mancata considerazione della procedura di gestione delle banche dati degli utenti iscritti alle newsletter della Buongiorno;
c) la mancata considerazione del fatto che, prima dell’invio delle mails “indesiderate”, la Buongiorno aveva inviato una mail di “benvenuto” (c.d. welcome) senza alcun contenuto pubblicitario nella quale venivano spiegate all’utente le modalità di utilizzo del pannello di controllo per la gestione delle proprie iscrizioni o cancellazioni e veniva preannunciato rinvio periodico di informazioni sulle principali offerte-novità della Buongiorno attraverso la newsletter (omissis) ;
d) l’erroneità dell’interpretazione data alle reciproche obbligazioni nascenti dagli accordi contrattuali tra la società Buongiorno ed i c.d. “list owner” come la Clever (con riferimento, cioè, alle modalità di raccolta del consenso all’invio della newsletter (omissis) ).
A tale ultimo riguardo, in particolare, si richiama l’attenzione sulla clausola contrattuale 8.3 che, contrariamente a quanto affermato nella sentenza d’appello, non costituiva solo la ragione socio-economica – ovverosia la causa in senso civilistico – del contratto concluso tra la Buongiorno e la Clever ma aveva, al contrario, la funzione specifica di disciplinare i rapporti contrattuali con il list owners. Nella specie, ciò significava che avrebbe dovuto essere compito della Clever – unica abilitata in prima battuta a contattare i propri utenti – di raccogliere il consenso all’invio, sia, della propria newsletter che di quelle della Buongiorno. In sostanza, la clausola in questione aveva lo scopo di prevedere in capo al titolare della lista (c.d. list owner), la Clever, l’obbligo i informare gli utenti, fin dal momento della manifestazione del loro consenso alla iscrizione alla lista (omissis) , della circostanza che i loro dati sarebbero stati trattati anche dalla Buongiorno;
6) violazione della legge sostanziale (art. 606 lett. b) c.p.p. in rel. all’art. 133 c.p.) dovendosi riscontrare un vizio totale di motivazione in punto di pena;
7) violazione di legge e vizio di motivazione (art. 606 lett. b) c.p.p. in rel. all’art. 185 c.p.) perché la sentenza avrebbe dovuto annullare anche le statuizioni civili non essendo stato dimostrato alcun danno nei confronti dei soggetti destinatari delle mails e non avendo la Clever dimostrato alcun danno conseguente allo sfruttamento commerciale sine titulo della banca dati di proprietà di un terzo. A tutto concedere, la cosa è distinta ed autonoma rispetto alla fattispecie di cui all’art. 167 e può astrattamente collocarsi nell’alveo delle infrazioni civili.
I ricorrenti concludono invocando l’annullamento della sentenza impugnata.
Considerato in diritto
3. Motivi della decisione – il ricorso è infondato e deve essere respinto.
3.1. (quanto ai primo motivo). L’esame della eccezione procedurale afferente la competenza passa inevitabilmente attraverso taluni chiarimenti in ordine al luogo di consumazione del reato di cui all’art. 640 ter c.p. visto che – sia pure successivamente eliso dall’assoluzione pronunciata in primo grado – esso era oggetto di contestazione iniziale ed, in quanto reato più grave, indicativo ai fini del radicamento della competenza territoriale (ex art. 8 comma 1 c.p.p.).
Pertanto, detto in estrema sintesi, va innanzitutto ricordato che il capo B) – come contestato – consisteva nel fatto di – avere comunicato improvvisamente la risoluzione del contratto unilateralmente – utilizzato indebitamente l’elenco clienti;
– inserito ed inviato messaggi pubblicitari non autorizzati (peraltro senza aver chiesto il consenso ai destinatari – come meglio contestato al capo A));
– “in tal modo procurandosi l’ingiusto profitto dato dal mancato pagamento degli introiti al legittimo concedente del servizio e dall’abusiva diffusione pubblicitaria del sito propagandato, con pari danno della società concedente (la Clever)”.
3.1.1. Alla luce di quanto precede, si deve, innanzitutto, fare un cenno alle caratteristiche differenziali del reato di cui all’art. 640 ter c.p., rispetto alla generale figura della truffa, ricordando che è pacifico che il primo ha la medesima struttura e, quindi, i medesimi elementi costitutivi del reato previsto dall’art. 640 c.p. truffa dal quale “si differenzia solamente perché l’attività fraudolenta dell’agente investe, non la persona (soggetto passivo), di cui difetta l’induzione in errore, bensì il sistema informatico di pertinenza della medesima, attraverso la manipolazione di detto sistema” (sez. II, 11.11.09, Gabbriellini, rv. 245696; sez. VI, 4.10.99, De Vecchis, Rv. 214942).
Di conseguenza, “anche la frode informatica si consuma nel momento in cui l’agente consegue l’ingiusto profitto con correlativo danno patrimoniale altrui” (sez. 11, 11.11.09, cit. sez. VI, 4.10.99, cit.; conf. Sez. V, 24.11.03, Rv. 227459).
Come è, dunque, agevole comprendere, la disamina ruota attorno alla nozione di “profitto” sicché, prima di entrare nel dettaglio della sua identificazione nella fattispecie di cui all’art. 640 ter, qui in discussione, sembra appena il caso di rammentare come, in generale, essa sia sempre stata intesa, sia dalla dottrina che dalla giurisprudenza, nel senso più ampio ed aderente al contesto in cui viene evocata (es. misura di sicurezza o elemento costitutivo dei reato) ed alla tipologia di reato di cui trattasi.
Con seguentemente, non vi è dubbio che costituisce profitto, non solo, il vantaggio economico (e, più ingenerale, l’incremento del patrimonio) ma qualunque soddisfazione o piacere che l’agente si riprometta di conseguire dalla propria condotta criminosa.
A riprova di ciò, basti ricordare, pertanto (a titolo meramente esemplificativo), che, non a caso, di recente, queste S.U. – proprio in tema di truffa (art. 64o c.p.) – nello specificare ulteriormente il concetto di atto di disposizione patrimoniale (cui corrisponde di riflesso il profitto ingiusto dell’agente) hanno precisato che esso consiste in un “atto volontario, causativo di un ingiusto profitto altrui a proprio danno e determinato dall’errore indotto da una condotta artificiosa. Ne consegue che lo stesso non deve necessariamente qualificarsi in termini di atto negoziale, ovvero di atto giuridico in senso stretto, ma può essere integrato anche da un permesso o assenso, dalla mera tolleranza o da una “traditio”, da un atto materiale o da un fatto omissivo, dovendosi ritenere sufficiente la sua idoneità a produrre un danno” (s.u., 29.9.11, Rossi, Rv. 251499).
Analogamente, è stato affermato (sez. III, 16.10.05, Fradella, rv. 232351) che, per la configurabilità del reato di traffico illecito di rifiuti (di cui all’art. 53 bis d.lgs 22/97), il profitto ingiusto “non deve assumere necessariamente carattere patrimoniale, potendo essere costituito anche da vantaggi di altra natura”.
3.1.2. Ciò posto, non devono sorprendere le conclusioni raggiunte dalla giurisprudenza di questa S.C. sullo stesso tema, relativamente al reato di frode informatica (art. 640 ter c.p.).
A dire il vero, questi sono gli stessi principi giurisprudenziali evocati dai ricorrenti ma, come si illustrerà di seguito, il punto è che da essi sono state tratte conclusioni non condivisibili.
Ed infatti, per rendere più concreto il principio, è forse opportuno ricordare che la fattispecie, nel cui ambito è stato enunciato il principio sopra sottolineato – secondo cui anche la frode informatica si consuma nei momento in cui l’agente consegue l’ingiusto profitto con correlativo danno patrimoniale altrui (sez. 11, 11.11.09, cit.) – riguardava un caso in cui l’agente, utilizzando il sistema telefonico fisso installato in una filiale della società italiana per l’esercizio telefonico, con la veloce e ininterrotta digitazione di numeri telefonici (in parte corrispondenti a quelli per i quali il centralino era abilitato e in parte corrispondenti a utenze estere) riusciva ad ottenere collegamenti internazionali, eludendo il blocco predisposto per le chiamate internazionali per le quali il sistema non era abilitato.
In tal modo, esponendo debitoriamente la società italiana per l’esercizio telefonico nei confronti dei corrispondenti organismi esteri autorizzati all’esercizio del telefono.
In altro caso, questa S.C. ha ritenuto correttamente contestato il reato di cui all’art. 640 ter c.p. per una situazione in cui l’imputato, dopo essersi appropriato della password rilasciata al responsabile del centro liquidazioni di una compagnia assicurativa, aveva manipolato i dati del sistema predisponendo false attestazioni di risarcimento dei danni; così facendo erogare una considerevole somma di denaro.
In entrambe le ipotesi, è stato sottolineato che la circostanza che la manipolazione del sistema informatico (comunque avvenuta) possa determinare, alla fine, il compimento di un atto di disposizione patrimoniale da parte di una persona fisica o, comunque, determinarne una deminutio patrimoni, non vale a cambiare la natura del reato posto che “la differenza rispetto al reato di truffa consiste nel fatto che l’atto di disposizione patrimoniale consegue alle risultanze informatiche, anziché ad una diretta induzione in errore”.
3.1.3. Gli esempi che precedono risultano estremamente illuminati ai fini dell’inquadramento del caso che occupa e della risposta ai dubbi avanzati dai ricorrenti in ordine al momento consumativo della frode informatica loro contestata (con conseguente, eventuale, spostamento della competenza territoriale).
Per meglio comprendere la tesi che si sta sviluppando, occorre contestualizzare la vicenda ricordando che il contratto intercorrente tra la Clever e la Buongiorno si era reso necessario per il fatto che la Clever – titolare del sito (omissis) – non aveva l’hardware per gestirlo (diffusione e funzionamento del sito) e si era rivolta alla Buongiorno che disponeva della strumentazione e della tecnologia necessarie. La Buongiorno infatti, come si dice nella sentenza di primo grado (senza essere m ciò contestata da alcuno), nera un importante operatore del settore. Sui server di cui disponeva gestiva siti e newsletter di molti clienti come il Costamagna (definiti list owner) ma anche propri”.
Costamagna (così come altri clienti della Buongiorno che usavano i predetti server) poteva accedere al sito di sua proprietà attraverso opportune chiavi informatiche.
Pertanto, nel momento in cui la Buongiorno ha unilateralmente risolto il contratto con la Clever – e l’ha esclusa, quindi, dalla possibilità di continuare ad accedere al proprio sito – si è verificato un primo passaggio dell’attività artificiosa contestata cui ha fatto seguito l’impiego del database contenenti la lista ed i recapiti degli iscritti alla newsletter (omissis) , presso i quali, perciò, la Buongiorno ha potuto recapitare pubblicità relativa ai prodotti del proprio Sito (senza che, per incidens, i clienti predetti avessero mai espresso il consenso a tale trattamento dei dati).
In tal modo, perciò, – recitava bene la contestazione – la Buongiorno si era procurata “l’Ingiusto profitto” rappresentato dal mancato pagamento degli introiti al legittimo concedente del servizio (la Clever) e dall’abusiva diffusione pubblicitaria del sito propagandato con pari danno della società concedente (sempre la Clever).
Ribattono i ricorrenti che, però, questa sarebbe stata solo la “condotta” e non l’”evento”.
L’obiezione è suggestiva ma inesatta perché elude il dato di fatto incontestato della peculiarità della materia.
Così come già evidenziatosi nelle fattispecie esaminate da questa Corte in altre pronunzie, la truffa (emblematico è il caso prima ricordato della frode al danni della società Italiana per i servizi telefonici) si consuma nel momento in cui l’agente, manipolando il sistema informatico, consegue in simultanea il doppio risultato del proprio ingiusto profitto (nell’esempio prima citato: di fare la telefonata internazionale senza pagare) e della causazione del danno alla società titolare dei bene di cui si è approfittato.
Pertanto, così come – sempre per seguire l’esempio prima citato – il reato si doveva considerare consumato già nel momento in cui l’agente (con abile e rapida digitazione) era riuscito a fare la telefonata, analogamente, nella specie, il reato contestato si è consumato nel momento in cui la Buongiorno – risolto unilateralmente il contratto – ha continuato ad utilizzare il database della (omissis) , inviando le newsletter proprie, conseguendo, in tal modo – contemporaneamente – l’obiettivo lucroso di farsi pubblicità gratuitamente ed il pari danno per la Clever.
A ben vedere, pertanto, proprio in conseguenza del tipo particolare di condotta posta in essere, si assiste ad una sovrapposizione dei momenti della condotta e dell’evento (esattamente come – nell’esempio più chiaro dell’altra decisione più volte citata della 2^ sezione – il profitto viene raggiunto dall’agente immediatamente,nel momento stesso in cui riesce a fare la telefonata internazionale grazie alla rapida ed abile digitazione dei tasti ovvero come – nel caso in esame – l’operatore, con un semplice “click”, spedisce simultaneamente un numero imprecisato di missive elettroniche pubblicitarie ad indirizzi acquisiti illecitamente).
Coerentemente, già nella sentenza della 2A sezione di questa S.C. (più volte evocata) si osservava che anche in quel caso, sicuramente, vi sarà stato, in un momento successivo, chi ha pagato la fattura per quella conversazione telefonica ma ciò non toglie che il danno patrimoniale si era già verificato nel momento del profitto raggiunto sì che l’atto di disposizione patrimoniale (eventualmente) conseguente è successivo e non necessario, in quanto giuridicamente non rilevante, ad integrare un profitto (anche di altra natura) già conseguito dall’agente.
Richiamando, infatti, le enunciazioni iniziali in tema di profitto, non vi è dubbio che esso – a maggior ragione, in fattispecie come quella in esame – non possa (e non debba) essere fatta coincidere necessariamente con un vantaggio economico ma possa assumere altre caratteristiche (come, appunto, il fatto di potere immediatamente fare una telefonata internazionale ovvero – per tornare al caso che occupa – farsi pubblicità presso clienti i cui recapiti sono stati acquisiti artificiosamente).
È, quindi, erroneo e fuorviante, da parte dei ricorrenti, cercare di spostare l’attenzione sul momento in cui si sarebbe realizzato il vantaggio economico del mancato pagamento delle royalties e, quindi, fare riferimento alla sede amministrativa e contabile della Buongiorno.
A prescindere dal rilievo che non è neppure peregrina la obiezione del giudice di merito secondo cui trattandosi di un “non evento” (v. ord. Trib. all. 1 ricorso) “ad esso non può farsi riferimento nell’individuare il luogo di consumazione dei reato”, vi è da soggiungere che, a riguardo, è necessaria una ulteriore puntualizzazione.
Ed infatti, a ben vedere, sono solo i ricorrenti a sostenere che il profitto-evento del reato vada identificato nel risparmio di spesa conseguito dalla Buongiorno in seguito alla risoluzione unilaterale del contratto con la Clever affermando, cioè, (- v. f 3 ric. -) che tale risparmio sarebbe consistente nel “mancato pagamento delle royalties pubblicitarie altrimenti dovute”.
In realtà, anche ciò risulta tutto da dimostrare visto che, per converso, dalla sentenza di primo grado, è possibile addivenire a conclusioni differenti.
Giova, preliminarmente, puntualizzare che, a tale sentenza, si è potuto più che legittimamente accedere in questa sede, sia, per gli ampi richiami ad essa operati dalla decisione impugnata, sia, perché è principio pacifico che ciò possa avvenire in quanto – raggiungendo i medesimi risultati – la sentenza di primo e quella di secondo grado devono considerarsi come “saldate” (s.u. 4.2.92, Musumeci, rv. 191229; sez. 1, 20.6.97, Zuccaro, rv. 208257 sez. 1, 26.6.00, Sangiorgi, Rv. 216906).
Orbene, a f. 24 di detta sentenza, si dice espressamente che il fatto di non dover pagare le royalties alla Clever non costituiva il profitto perché “non erano contrattualmente previste” tanto è vero che, per tale ragione, anche il reato di cui all’art. 640 ter c.p. è stato escluso.
Anche sulla scorta di tale rilievo, pertanto, si manifesta la erroneità del discorso sviluppato dai ricorrenti in punto di momento consumativo del delitto di frode informatica.
3.1.4. Tirando le fila del discorso, se, dunque, è indubitabile che per un reato come quello in esame, attese le sue caratteristiche particolari, l’attività manipolatoria del Sistema può coincidere con il conseguimento del profitto (che non deve essere, necessariamente, di tipo economico), considerato che – senza alcun dubbio, nella specie, – l’impiego abusivo del database artificiosamente acquisito, ed il correlativo vantaggio di poter raggiungere gli iscritti della lista (omissis) con pubblicità della Buongiorno, (costituenti, rispettivamente, la condotta ed il profitto dell’attività truffaldina inizialmente ipotizzata), si sono verificati presso il server della Buongiorno, sito in (omissis) , non permane spazio a dubbio alcuno circa il corretto radicamento della competenza territoriale, per il presente processo, presso il Tribunale ambrosiano.
A definitiva conferma del ragionamento che precede, è appena il caso di ricordare che altra recente pronunzia di diversa sezione di questa S.C. (sez. n, 25.1.11, Giambertone, rv. 249660) ha, per l’appunto, asserito che “il reato di frode informatica aggravata, commesso in danno di un ente pubblico, si consuma nel momento in cui il soggetto agente (netta specie: u pubblico dipendente infedele) interviene, senza averne titolo, sui dati del sistema informatico, alterandone, quindi, il funzionamento”.
3.2. (quanto ai secondo motivo). La questione sollevata dai ricorrenti con il secondo motivo è solo speciosa ed ha già trovato puntuale ed appropriata replica da parte del giudice di primo grado nell’ordinanza prodotta dalla difesa dei ricorrenti (art. 1 cit.) quando, in essa, si osserva che nel punto III del capo A) “viene contestato l’invio di una ben specificata newsletter ad una serie di soggetti ai quali la Buongiorno non avrebbe, in ipotesi di accusa, avuto diritto di accedere. Con ciò, perseverando nell’azione di spamming”.
Come è stato già precisato da questa S.C. (sez. v, 16.12.04, Capozzi, rv. 231414), il principio in base al quale non deve esservi incertezza sui fatti che determinano la contestazione è stato posto a tutela del diritto di difesa, con la conseguenza che, al fine di stabilire la determinatezza dell’imputazione, occorre avere riguardo alla contestazione sostanziale e deve essere escluso ogni dubbio di potenziale nullità “ogniqualvolta il prevenuto abbia avuto modo di individuare agevolmente gli specifici fatti con riferimento ai quali l’accusa è stata formulata”.
A tale stregua, non vi è dubbio che, nella specie, i ricorrenti – con riferimento alla imputazione sub a) (III) non potevano sostenere di non avere compreso i fatti dai quali erano chiamati a difendersi visto che, in buona sostanza, si trattava, all’evidenza, delle medesime condotte già descritte nel punto II.
È solo suggestivo sottolineare la mancanza di puntuali indicazioni circa il volume, la frequenza, la data degli invii indesiderati ed i destinatari degli stessi.
È questo un tema ricorrente nel ricorso in esame ma è tanto infondato quanto sorprendente visto che è espressione del pensiero di soggetti che, essendo operatori del settore, non possono ignorare le “peculiarità” dell’attività di cui si sta trattando.
Nel mondo internautico, infatti, la circolazione dei dati avviene con modalità del tutto proprie caratterizzate da singolarità nella identificazione della clientela (sia nominativamente che come recapiti) e dalla estrema rapidità della diffusione (l’apposizione di un indirizzo di posta elettronica nella “lista” consente – con un semplice “click” – la simultanea trasmissione di una serie imprecisata di dati ad un numero illimitato di soggetti la cui identificazione – per nome e cognome e recapito postale tradizionali – sarebbe – diversamente – oltremodo lunga e complessa).
A fronte di tali indiscutibili “peculiarità”, cercare di applicare al traffico telematico gli stessi parametri di quello ordinario è fuorviante.
A parte il fatto che – come si riconosce dagli stessi ricorrenti – le “modalità” della condotta contestata anche al punto III erano chiare e che, quindi, tanto era sufficiente perché essi potessero difendersi, se si dovesse, invece, sostenere che, per rendere l’accusa precisa, sarebbe stato necessario indicare i nomi dei destinatari degli invii indesiderati ovvero descrivere in dettaglio il volume e la frequenza di questi ultimi, si finirebbe per rendere il reato di cui trattasi di “impossibile” contestazione, non essendo nemmeno ipotizzabile la complessità dello sforzo investigativo per identificare, uno per uno, i soggetti fisici corrispondenti ad “identificativi” o “indirizzi mail” e, magari, (ciò vale, in particolar modo, per quello che si dirà meglio trattando il 5 motivo) contattarli, tramite p.g., per accertare il gradimento o meno della ricezione.
Del resto, a ben vedere, nella presente imputazione la situazione non è di molto diversa da quei casi nei quali, in materia di sostanze stupefacenti – quando l’accusa discenda solo da intercettazioni telefoniche – si finisce per contestare “più cessioni” – delle quali, però, si ha “certezza” dalle conversazioni telefoniche – a “soggetti non potuti identificare” e per “quantitativi non meglio precisati” (che vengono indicati al massimo nell’ordine dei grammi, etti o chili).
Sono quindi, del tutto ultronee, nel caso in esame, le puntualizzazioni invocate dalla difesa che, per altro, come giustamente si precisa nella contestazione, sono state fornite ai ricorrenti grazie ai risultati dell’incidente probatorio espletato.
Attraverso quest’ultimo, infatti, come è nella fisiologia del processo – è stata specificata una contestazione che era chiara dall’inizio.
Né vale osservare che la perizia e gli accertamenti di P.G. sarebbero relativi a fatti antecedenti quelli della contestazione di cui si tratta visto che essa è stata rivolta con riferimento ai fatti commessi “fino al 7.3.05”; in tal modo, comprendendo anche le condotte antecedenti, e, così, risultando del tutto coerente con la sostanza dell’accusa sub III che riguardava null’altro che la perpetrazione delle condotte di spamming già contestate al punto II del medesimo capo.
3.3. (quanto al terzo motivo). Il pregevole sforzo difensivo sviluppato nel trattare anche questo terzo motivo è ugualmente destinato ad insuccesso perché introduce un tema irrilevante che, al contempo, insinua solo una suggestione infondata.
Ha, infatti, ragione la Corte quando obietta – all’analoga questione – che l’asserzione del giudice di primo grado (di non avere considerato le condotte antecedenti la risoluzione del contratto solo perché prescritte) costituisce solo un obiter dictum improduttivo di qualsivoglia effetto.
Né è possibile cercare di inferire da questa imprecisa affermazione del Tribunale una sorta di atteggiamento mentale di pregiudizio da parte del giudice di primo grado che avrebbe condizionato anche la obiettività della conduzione del giudizio e l’acquisizione delle prove.
A prescindere dal rilievo che – qualora un tale dubbio avesse avuto ragione di esistere-esso avrebbe dovuto essere rimosso con l’altro strumento della ricusazione (ammesso e non concesso che se ne fossero potuti ravvisare i presupposti, visto che l’eventuale convincimento di “maggior responsabilità” degli imputati è stato espresso solo in sentenza) è poi evidente – dalla stessa contorsione del ragionamento qui sviluppato – che i difensori, nella specie, hanno tentato di effettuare una sorta di “processo alle intenzioni del giudice” che, non solo, è in sé inammissibile ma, per di più, sottende il malcelato sforzo di aggirare il divieto di introdurre argomenti di merito in questa sede (insinuando l’idea che l’intero processo di formazione della prova sia stato, per così dire, falsato dal pregiudizio del giudicante di primo grado che, di conseguenza, avrebbe ignorato o sottovalutato le prove a discolpa suggerite o portate dalla difesa degli imputati).
Nulla di più inesatto, come si avrà modo di puntualizzare meglio trattando il quinto motivo.
3.4. (quanto al quarto motivo). Con il quarto motivo, i ricorrenti si dolgono di asserita assenza dell’elemento del “nocumento” richiesto dalla norma e di mancanza di motivazione sul punto.
Muovendo proprio da tale ultimo rilievo, è di tutta evidenza la sua infondatezza considerato quanto già affermato in precedenza a proposito della reciproca integrazione esistente – quando, come nella specie, siano concordanti tra loro – tra la sentenza di secondo grado e quella di primo grado.
Mentre, infatti, la sentenza di secondo grado si contraddistingue per la estrema sintesi nell’affrontare l’argomento, la decisione del Tribunale tratta l’argomento con ampiezza di argomenti. Non ricorre, quindi, alcuna violazione di legge derivante da asserita mancanza di motivazione ed il controllo, sul punto, da parte di questa S.C., deve essere circoscritto alla verifica della logica degli argomenti svolti, oltre che della loro corrispondenza ai principi di diritto e di interpretazione giurisprudenziale.
Prima, però, di affrontare l’esame della congruità o meno delle argomentazioni svolte dai giudici di merito a riguardo del “nocumento”, giova premettere qualche puntualizzazione sulla natura giuridica e sul significato da annettere a tale fattore.
3.4.1. Contrariamente a quanto accadeva nella vigenza della pregressa normativa (legge n. 675 del 1996) – quando il trattamento di dati sensibili senza il consenso dell’interessato integrava il reato anche se non ne derivava un nocumento alla persona offesa ed il suo verificarsi dava luogo ad un’ipotesi aggravata – secondo la normativa vigente, invece, questo elemento costituisce una condizione obiettiva di punibilità, la cui assenza impedisce, appunto, la sottoposizione a sanzione di un reato in sé strutturalmente completo (sez. III, n. 26680, Modera, in Cass. pen. 2006, n. 1067).
Ed infatti, in base ai principi generali di diritto, la natura di condizione obiettiva di punibilità del “nocumento” fa sì che esso sia un fattore esterno alla fattispecie delittuosa che è integralmente realizzata dal verificarsi dei suoi elementi costitutivi (condotta, evento, nesso di causalità ed elemento psichico) ma che diviene punibile solo al verificarsi di questo quid pluris che il legislatore definisce “nocumento” e che deve “discendere dal fatto”.
In tal senso, si registrano anche diverse pronunzie di questa S.C. che hanno enunciato il principio anche al fine di evidenziare la continuità normativa esistente fra la disposizione
attuale e quella precedente (Sez. III, 3.5.08, P.C. in proc. Amorosi, Rv. 239898; Sez. III 9.7.08, Fallarli, Rv. 241381).
3.4.2. Il punto è ora di intendersi sul significato di “nocumento”. Considerato che, per “danno” (anche in senso lessicale) si deve intendere ogni fatto circostanza o azione che “nuoce”, sia materialmente che moralmente, e che la parola “nocumento” altro non Significa (nella lingua Italiana, con chiara derivazione latina) Che “atto, o effetto, del nuocere”, la quasi sovrapponibilità dei significati di tali parole deve indurre a cercare il senso retrostante della parola in esame nella ratio posta alla base del suo inserimento nella fattispecie criminosa di cui si discute.
In tale prospettiva, la soluzione è agevolmente rinvenibile una volta che si rifletta sul fatto che – come si accennava – la introduzione del “nocumento” nella novella legislativa che ha interessato l’art. 167 d.lgs 196/93 sembra finalizzata ad evitare che la disposizione trovi un’applicazione eccessivamente formale e, quindi, anche a dare “effettività” alla tutela della riservatezza dei dati personali.
In latri termini, non appare inesatto ritenere che il legislatore, con la valorizzazione del fattore “nocumento” abbia inteso richiamare l’attenzione sulla concreta offensività della condotta.
A ben vedere, non vi è molta differenza con quanto avviene in altre disposizioni normative nelle quali si usa, analogamente, la stessa parola, come ad esempio, nel l’art. 380 C.p. (che sanziona il patrocinio infedele).
Anche in quel caso, come questa S.C. ha avuto modo di affermare (sez. VI, 26.5.11, Boari, rv. 250551), pur quando sia accertata la dolosa astensione del difensore dall’attività processuale per la quale aveva ricevuto il mandato, non si può ritenere raggiunta la prova della colpevolezza, se non vi è anche quella del nocumento, per gli interessi della parte, che da quella condotta sia derivato.
Coglie nel segno, pertanto, la pronuncia del primo giudice – confermata anche sul punto dalla Corte d’appello, quando richiama l’attenzione sul fatto che il “nocumento” non coincide con il “danno”, bensì con la effettività ed incidenza dell’evento lesivo causato da quest’ultimo.
In altri termini, si può dire che, ai fini della disposizione del l’art. 167 in esame, il richiamo al nocumento, evoca ed istituzionalizza il principio di offensività.
Il concetto, del resto, è stato già espresso da questa stessa S.C. (sez. III, 28.5.04, Barone, rv. 229472) con decisione che, molto opportunamente, il giudice di primo grado ricorda (f. 8).
In quel caso, infatti, si era sostenuto che la tipizzazione del “nocumento” comportava la non punibilità di violazione alla tutela dei dati personali colà contestata perché aveva prodotto “un vulnus minimo all’identità personale del soggetto passivo ed alla sua privacy”. In quella decisione, si soggiungeva come ulteriore connotazione del vulnus, che esso dovesse essere tale da determinare un danno patrimoniale apprezzabile ma, a ben vedere, si tratta di puntualizzazione eccessivamente restrittiva e dissonante con il concetto – pacifico – che il danno (ed, a fortori, il nocumento) possa essere anche diverso da quello patrimoniale.
Ciò è tanto vero che, in altra recente pronuncia (sez. III, 17.2.11, I, rv. 249991), questa S.C. ha ravvisato la tutelabilità degli interessi, sicuramente non strettamente economici, dei familiari di una persona, deceduta, la cui immagine in stato morente era stata illecitamente diffusa.
A tale stregua, considerata la molteplicità di forme di manifestazione del “nocumento” che può conseguire ad un illecito trattamento dei dati personali, sembra possibile concludere che, con l’inserimento della condizione obiettiva di punibilità di cui trattasi, il legislatore abbia inteso, in qualche modo, arretrare la soglia dell’intervento penale anche alla semplice esposizione al pericolo di una lesione dell’unico bene protetto dal d.lgs. 196/93 (vale a dire il diritto dell’interessato al controllo sulla circolazione delle sue informazioni personali) formulando la norma come se si fosse al cospetto di un reato di pericolo concreto con dolo di danno.
In altri termini, il reato è perfetto quando la condotta si sostanzia in un trattamento dei dati personali, in violazione di precise disposizioni di legge, effettuato con il fine precipuo di trame un profitto per sé o per altri o di recare ad altri un danno ma la sua punibilità discende dalla ricorrenza di un effettivo “nocumento” (nel senso, cioè, che il profitto conseguito o il danno causato siano apprezzabili sotto più punti di vista).
Si è, in altri termini, al cospetto di un reato di pericolo effettivo e non meramente presunto (cosi come detto da questa S.C. anche in tema di rivelazione di segreti d’ufficio – S.U. 27.10.11, Casani, rv. 251271) con il risultato che la illecita utilizzazione dei dati personali è punibile, non già in sé e per sé, ma in quanto suscettibile di produrre nocumento (cosa che, ovviamente, deve essere valutata caso per caso) alla persona dell’interessato e/o al suo patrimonio.
Ciò vuoi dire che, per un verso, rimane tutelato l’imputato perché l’oggettiva inidoneità della condotta a ledere il bene giuridico protetto lo salvaguarda anche nel caso in cui la sua azione sia stata animata da un chiaro intento di profitto, al contempo, però, garantisce la persona offesa con un raggio di azione più ampio, viste e considerate le peculiarità della fattispecie di cui si sta trattando.
Come bene ricorda il giudice di primo grado (f. 8), il nocumento che consegue all’illecito trattamento di dati personali è di vario genere “non solo economico, ma anche più immediatamente personale, quale ad esempio, la perdita di tempo nel vagliare mail indesiderate e nelle procedure da seguire per evitare ulteriori invii”.
Ma la condotta descritte nell’art. 167 può causare un nocumento anche maggiore e più subdolo, vale a dire la esposizione al pericolo dell’interesse tutelato stante il rischio di finire nelle c.d. list.
3.4.3. Tutto ciò non è di poco momento quando, in fattispecie come quella in esame, si stia trattando di acquisizione di un database contenente gli indirizzi di un numero sicuramente cospicuo di iscritti alla newsletter (omissis) (457.058) ed, in sede di perizia, sia stato accertato (v. punto 4 a f 10 sent. trib.) che “gli utenti comuni alle due liste (omissis) e (omissis) erano risultati 177.090″. Di qui il dato obiettivo – giustamente contestato – di utilizzo per lo meno del 39% dei dati acquisiti illecitamente dalla Buongiorno (e conseguente nocumento in pari misura) sì da giustificare la presente contestazione proprio perché non si è trattato né di un dato quantitativamente irrilevante né di un fatto episodico (come nei caso della decisione prima ricordata di Sez. III 28.5.04, Rv. 229472 – citata anche dai ricorrenti – ove questa S.C. aveva ritenuto non realizzato il nocumento richiesto dalla fattispecie perché la trattazione dei dati personali di appartenenti ad un’associazione umanitaria era avvenuta, da parte di uno dei componenti della predetta associazione, per l’invio di materiale di propaganda elettorale per la propria candidatura a consigliere comunale).
Esattamente i ricorrenti ricordano quelle pronunzie di questa S.C. (f. 12 ric.) nelle quali si afferma che la violazione della normativa sulla tutela dei dati personali comporta una sanzione solo quando abbia prodotto un vulnus significativo alla persona offesa” ma, a maggior ragione, cadono in errore quando concludono che esso nella specie non si sarebbe verificato solo perché le persone sentite sul punto hanno escluso di aver ricevuto un fastidio di qualsivoglia natura dalla percezione di mails della Buongiorno da essi non previamente assentite.
A prescindere dal duplice rilievo che si tratta di un campione minimo (rispetto ai 177.090 indirizzi che si è accertato essere stati raggiunti dalla pubblicità della (omissis) ) e che, in ogni caso, esistono anche le Opposte parole del Costa magna (secondo cui alla Clever pervennero non poche proteste di iscritti alla newsletter (omissis) per il fatto di aver constatato che i loro dati personali erano stati acquisiti senza il loro consenso da altra newsletter), deve dirsi che il ragionamento dei ricorrenti è viziato dall’idea di poter trattare la fattispecie in esame come una qualsiasi forma di frode materiale ordinaria nella quale devono essere identificate e sentite le persone offese.
Come, invece, si era rilevato in precedenza, è del tutto erronea la pretesa di considerare questa fattispecie al pari di altre meno peculiari.
Se, infatti, si dovesse provare il nocumento in questo tipo di reati identificando ed escutendo tutte (o gran parte) delle persone offese raggiunte da mails indesiderate, si renderebbe la disposizione pressoché Inapplicabile relegandola al pari di una norma-manifesto.
Il rischio, del resto, è in agguato visto che gli operatori del settore telematico mostrano sempre più spesso la tendenza a ribaltare i piani delle responsabilità.
Ciò è emblematico, ad esempio, nell’utilizzo – anche da parte degli odierni ricorrenti – dell’argomento rappresentato dalle c.d. mail “wellcome”, vale a dire, quelle missive telematiche, senza alcun contenuto pubblicitario nelle quali sono spiegate all’utente le modalità di utilizzo del pannello di controllo per la gestione delle proprie iscrizioni o cancellazioni e viene preannunciato l’invio periodico di informazioni pubblicitarie.
Si tratta, all’evidenza, di argomento suggestivo e fuorviante perché finisce per trasferire sull’utente – destinatario della mail indesiderata – l’onere di precisare (con procedure che, magari a chi non è tanto esperto possono anche risultare complicate) che non intende più ricevere altre mails da quel mittente.
Il vero è che la ed mail di wellcome ha un senso solo se rivolta a chi abbia già dato il proprio assenso a ricevere corrispondenza da quel certo mittente e non deve rappresentare l’abile escamotage per chi – come nel caso della Buongiorno – si rivolga a soggetti dei cui dati si era impossessata abusivamente.
È stato accertato che, nella specie, la newsletter (omissis) della Buongiorno, veniva inviata ai destinatari individuati estrapolandoli dalla lista (omissis) , senza averne ottenuto il previo assenso ma semplicemente dando loro la possibilità di chiedere la cancellazione dalla lista stessa.
All’evidenza, però, il problema non deve ricadere su chi riceve la newsletter indesiderata (che, se non gradisce, si vede costretto a cancellarsi) ma solo su chi invia la mail (che ha il dovere di accertarsi previamente della disponibilità del destinatario a riceverla acquisendone, come prescritto dalla norma, il consenso).
Non vi è – e non vi deve essere – quindi (come sembra, invece, adombrare anche il PG nelle proprie conclusioni in udienza) alcun bisogno di identificare compiutamente ed interrogare decine (se non centinaia) di migliaia di utenti internautici, i dati personali dei quali siano stati utilizzati in violazione della normativa, perché, in fattispecie di tal fatta, per il numero delle persone e le caratteristiche non certo estemporanee dell’attività di propaganda – attuata e da attuare – il vulnus è di tale entità da potersi quasi definire in re ipsa.
Del resto, un concetto del genere è stato già espresso da questa S.C. (sez. III, 26.3.04, III, n. 26680) per Una fattispecie all’apparenza meno invasiva (almeno in termini quantitativi, visto che concerneva un caso In cui II soggetto agente, che aveva avuto In precedenza una relazione sentimentale con la vittima, dopo la fine del rapporto, al fine di danneggiarla, ne aveva pubblicato le Immagini di uno spogliarello, che la medesima aveva effettuato in costanza di rapporto, nonché il recapito telefonico). In quel caso, infatti, questa S.C. aveva asserito che doveva considerarsi “incontestabile” che la p.o. avesse ricevuto un nocumento “sotto forma di lesione alla sua tranquillità ed alla sua immagine”.
Del pari, nel caso in esame, è innegabile che l’utilizzo in rete, da parte della Buongiorno dei dati personali di almeno 177.090 persone (che a ciò avevano facoltizzato solo la Clever), ha rappresentato una indubbia e massiccia invasione della libertà personale sotto il profilo del diritto alla riservatezza di un più che significativo numero di persone (con potenziale rischio di ampliamento visto che il database “sottratto dalla Buongiorno conteneva più di 400.000 nominativi), un indubbio fastidio, per la necessità di cancellare la posta indesiderata ed anche la messa in pericolo della privacy, attesa la circolazione non autorizzata di dati personali (diversamente “catturagli” per scopi illeciti).
Non è quindi fondata la doglianza dei ricorrenti nel negare, nella fattispecie loro contestata, la ricorrenza del “nocumento” richiesto dalla norma.
Di certo, il rischio di una interpretazione formalistica della disposizione di cui all’art. 167 d.lgs. 196/93 era insito nella pregressa formulazione quando anche una semplice irregolarità nel trattamento dei dati avrebbe dato vita al reato. In tal senso, sarebbe stata, quindi, senz’altro giusta l’obiezione dei ricorrenti (f. 11 rico.) se – nell’ipotesi in esame – la condanna fosse stata effettivamente pronunciata sulla base dell’assioma secondo il quale anche l’invio di una singola mail non autorizzata equivale a nocumento e, quindi, rende punibile il reato.
Ciò però non è esatto e la motivazione del giudice di primo grado, sul punto, da pienamente conto dell’ampiezza delle conseguenze nocive scaturite dal comportamento dei rappresentanti della Buongiorno quando valorizza il fatto che il nocumento, nella specie, “si é verificato in più modi ed in più direzioni. Ha toccato i destinatari che hanno dovuto subire l’invio della newsletter, aggravato, nei caso di coloro che a tale invio hanno deciso di reagire con la richiesta di cancellazione (… ed ha, altresì, prodotto ndr: un nocumento, cagionato dalla Buongiorno anche all’incolpevole partner nel trattamento dei dati personali, la Clever del Costamagna, che si era vista destinataria di lamentele da parte di alcuni dei suoi clienti (p. 47 ss. dep. costamagna, ud 11.2.10) per essersi trovati iscritti, senza averne dato il consenso ad una diversa newsletter” (ff. 17 e 18).
Si era, quindi, al cospetto di un nocumento tutt’altro eh emarginale o minimale.
D’altro canto, deve ribadirsi, questo appare essere l’unico modo di interpretare la disposizione in esame (segnatamente il dato del “nocumento”) se si vuole dare effettività alla tutela che la norma intende apprestare specie per coloro che decidano di inserire i propri dati personali in un circuito, come quello telematico, nel quale il rischio della diffusione indiscriminata ed abusiva (altrimenti detto “spamming”) è costantemente in agguato.
3.5. (quanto al quinto motivo). Nel trattare i motivi che precedono, sono state, in parte, anticipate talune conclusioni che afferiscono te doglianze contenute nel presente quinto motivo.
E così, deve darsi per pacifico che il dato numerico riportato in contestazione (del 39%) ha una sua ragion d’essere obiettiva così come costituisce un fuor d’opera cercare di evocare il fatto che non siano stati fatti maggiori accertamenti circa le modalità di approccio nella gestione delle banche dati da parte della Buongiorno. È poi, del tutto irrealistico auspicare una identificazione nominativa degli iscritti alla newsletter (omissis) , ma raggiunti anche da quella (omissis) , per sondarne il grado di disturbo ad essi derivato.
Anche le questioni sviluppate dai ricorrenti in tema di interpretazione della clausola contrattuale 8.3, oltre a rappresentare una questione di merito, è da respingere perché posta impropriamente.
Ed, infatti, anche ammesso – ma non concesso – che (come si sostiene) competesse alla Clever acquisire il consenso degli iscritti alla propria newsletter, è abbastanza evidente che ciò sarebbe dovuto valere per le newsletter concordate non anche per quelle che, teoricamente, in un secondo momento la Buongiorno avesse deciso di aggiungere unilateralmente (come appunto avvenuto per la (omissis) , e, per di più, dopo la risoluzione – anch’essa unilaterale – del contratto).
Ad ogni buon conto, giova rammentare che la questione della “clausola 8.3″ viene compiutamente trattata e risolta in modo chiaro e tutt’altro che illogico nella sentenza del Tribunale (f. 12 e 13) quando afferma che “ottenere il previo consenso dei destinatari era preciso obbligo del suo mittente. Mittente che era la Buongiorno. Nessun onere incombeva, infatti, alla Clever del Costamagna. Sia, perché tale obbligo non era stabilito contrattualmente (e comunque, una statuizione pattizia non avrebbe mai potuto esentare da un obbligo discendente dalla legge) posto che al punto 8.4 del contratto, il Costamagna si limitava a prendere atto che la Buongiorno avrebbe potuto spedire ai suoi abbonati una qualche propria newsletter. Senza che fosse specificata quale fosse e senza che a lui incombesse alcun obbligo in relazione a tale invio”.
La inappuntabilità dell’argomentare trova definitiva conferma nell’osservazione logica secondo la quale, peraltro, “la newsletter era di proprietà della Buongiorno, ne pubblicizzava le novità, non era di alcun interesse commerciale per la Clever (che non ne ricavava nemmeno alcun compenso).
In ogni caso, il giudice di primo grado non ha mancato di sottolineare che si è al cospetto di una clausola oscura “tanto che la stessa difesa degli imputati ha ritenuto utile sottopome il contenuto al vaglio di alcuni dei testi dalla stessa indotti per chiarirne i contorni”.
Per il resto, tutte le censure del quinto motivo trovano esaustiva replica nella parte della sentenza di primo grado (richiamata da quella qui impugnata) laddove riepiloga i profili della condotta illecita ascritta così come accertati inconfutabilmente dalla perizia.
Premesso, infatti, che l’art. 23 d.lgs. 196/93 impone che il trattamento dei dati personali di un privato avvenga solo acquisendone previamente il “consenso espresso” e che se i dati sono “sensibili” il consenso deve essere rilasciato “in forma scritta”, la decisione di primo grado, passa in rassegna diligentemente i contenuti precettivi delle disposizioni violate e ricorda, e conclude, che, non solo, a seguito di risoluzione del contratto con la Clever, la Buongiorno non provvide a cancellare i nominativi degli iscritti alla lista (omissis) ma, al contrario, li trattenne e li utilizzò abusivamente senza che sia risultata in alcun modo documentata una previa acquisizione del consenso degli iscritti da parte della Buongiorno (come giustamente contestato nel punto I del capo a)).
Del resto, gli stessi consulenti della Buongiorno – sia pure sostenendo che ciò non fosse dovuto – hanno dato per pacifico che gli utenti della (omissis) , provenienti da (omissis) “non erano richiesti di prestare un consenso preventivo all’invio della newsletter” (f. n sent. trib.).
La fattispecie, quindi, risulta pacificamente integrata in tutti i suoi elementi (anche alla luce di tutto quanto detto in precedenza a proposito del nocumento causato ai destinatari privati).
3.6. (quanto al sesto motivo). Le critiche dei ricorrenti alla decisione impugnata in punto di pena sono destinate ad una reiezione per più ragioni.
Pur essendo, infatti, innegabili – a riguardo – una particolare stringatezza e sinteticità della decisione impugnata, non si può neppure tralasciare di osservare che il vaglio vi è stato al punto che, correttamente, è stata riformata la prima decisione nella parte in cui essa aveva im motivata mente ignorato il profilo della concedibilità della sospensione condizionale.
Si è trattato, per il resto, anche in questo caso, di una spiegazione basata sul richiamo a quanto già deciso e detto dal primo giudice con tecnica che, come già ribadito, non è qui censurabile.
Per altro verso, analogamente, si deve (e può) considerare la pena qui irrogata correttamente motivata attraverso le parole del Tribunale che, con quella della corte d’appello, viene a formare un unico complesso corpo argomentativo.
In ogni caso, si deve anche avere presente che, essendo la pena irrogata (nove mesi) di poco superiore al minimo edittale (che è di sei mesi di reclusione) non era neppure richiesta una motivazione particolare (Sez. II, 26.6.09, Denaro, Rv. 245596; Sez. VI, 12.6.08, Bonarrigo, Rv. 241189; Sez. II, 19.3.08, Gasparri, Rv. 239754).
3.7. (quanto al settimo motivo). Richiamato quanto detto a proposito del quarto motivo e della nozione di nocumento, risulta infondata anche la doglianza di cui al presente motivo perché muove dall’erroneo presupposto che il nocumento vada circoscritto alla sola persona fisica o giuridica cui si riferiscono i dati.
In realtà, proprio perché il “nocumento” è condizione obiettiva di punibilità il suo intrinseco significato di danno in senso letterale non deve portare a confonderlo con il danno in senso giuridico vale a dire come lesione del bene giuridico protetto.
Come detto, esso sicuramente deve esistere ai fini della integrazione della punibilità della fattispecie e di certo – nel caso che occupa – esso si è verificato nel momento in cui un considerevole numero di iscritti alla newsletter (omissis) si è visto recapitare le newsletter pubblicitarie della Buongiorno da essi mai previamente autorizzate.
Come, però, giustamente valorizzato in altra decisione di questa stessa sezione (sez. m., 17.2.11, I, rv. 249991 – sopra già ricordata), il vulnus – ovverosia il nocumento – derivante dal fatto dell’illecito trattamento dei dati può andare oltre e colpire anche soggetti terzi che, sebbene non titolari del bene giuridico protetto dalla norma, hanno – appunto – ricevuto “nocumento” dalla condotta illecita.
Per l’effetto, è sicuramente pertinente l’osservazione del Tribunale che il nocumento, nel caso che qui occupa, si è realizzato, sia, direttamente nei confronti dei soggetti i cui dati personali sono stati illecitamente utilizzati per scopi pubblicitari dalla Buongiorno, sia nei confronti della Clever, odierna parte civile, giustamente definita “incolpevole partner del trattamento dei dati personali” che ha sicuramente tratto anche un danno alla propria immagine e che ha dovuto fronteggiare le proteste degli iscritti alla propria newsletter (f. 18 sent trib.) i quali avevano autorizzato solo la Clever al trattamento dei propri dati personali ma si erano, invece, visti raggiungere da newsletter pubblicitarie di altro operatore.
Nessuna censura merita, quindi, la decisione impugnata nella misura in cui avalla l assunto che ci si trova al cospetto di un danno/nocumento certo e valutabile in termini economici sia pure da rimettere, per la determinazione del quantum, al giudice civile competente.
Nel respingere il ricorso, segue, per legge, la condanna dei ricorrenti al pagamento delle spese processuali nonché di quelle sostenute nel grado dalla parte civile, che qui vengono liquidate in complessivi 3000 Euro oltre accessori di legge.
P.Q.M.
Visti gli artt. 615 e ss. c.p.p..
Rigetta il ricorso e condanna i ricorrenti al pagamento delle spese processuali oltre alle spese sostenute nel grado dalla parte civile, liquidate in complessivi 3000 Euro oltre accessori di legge.
Leave a Reply