Accesso abusivo a sistema informatico e Assenza di delega ad operare

21

Corte di Cassazione, penale, Sentenza|6 luglio 2021| n. 25683.

Accesso abusivo a sistema informatico e Assenza di delega ad operare.

In tema di accesso abusivo a sistema informatico, il reato di cui all’articolo 615-ter del codice penale è integrato non soltanto quando non ricorre il requisito dell’autorizzazione ad accedere alle banche dati, in quanto l’autore, pur astrattamente abilitato all’accesso, non è autorizzato in concreto a consultare le banche dati del sistema informatico (ipotesi di “assenza del potere”), ma altresì quando l’accesso sia eseguito per ragioni estranee a quelle per le quali gli è attribuita la facoltà (ipotesi di ”sviamento del potere”, che presuppone la sussistenza del potere di accedere al sistema informatico).

Sentenza|6 luglio 2021| n. 25683. Accesso abusivo a sistema informatico e Assenza di delega ad operare

Data udienza 30 aprile 2021

Integrale

Tag – parola: Pubblico ufficiale – Accesso abusivo a sistema informatico – Assenza di delega a operare – Assenza di potere – Sussiste – Sviamento di potere – Esclusione

REPUBBLICA ITALIANA

IN NOME DEL POPOLO ITALIANO

LA CORTE SUPREMA DI CASSAZIONE

SEZIONE QUINTA PENALE

Composta dagli Ill.mi Sigg.ri Magistrati:

Dott. PEZZULLO Rosa – Presidente

Dott. TUDINO Alessandrina – Consigliere

Dott. SCORDAMAGLIA Irene – Consigliere

Dott. BRANCACCIO Matilde – Consigliere

Dott. RICCARDI Giusepp – rel. Consigliere

ha pronunciato la seguente:

SENTENZA
sul ricorso proposto da:
(OMISSIS), nato a (OMISSIS);
avverso la sentenza del 13/12/2019 della Corte di Appello di Torino;
visti gli atti, il provvedimento impugnato e il ricorso;
udita la relazione svolta dal Consigliere GIUSEPPE RICCARDI;
udito il Pubblico Ministero, in persona del Sostituto Procuratore Generale Dott. MIGNOLO Olga, che ha concluso chiedendo l’inammissibilita’ del ricorso;
udito il difensore delle parti civili, Avv. (OMISSIS), che ha concluso chiedendo la conferma della sentenza e depositando nota spese;
udito il difensore, Avv. (OMISSIS), che ha concluso chiedendo l’accoglimento del ricorso.

Accesso abusivo a sistema informatico e Assenza di delega ad operare

RITENUTO IN FATTO

1. Con sentenza emessa il 13/12/2019 la Corte di Appello di Torino ha confermato l’affermazione di responsabilita’ pronunciata dal Tribunale di Aosta il 03/10/2018 nei confronti di (OMISSIS) per i reati di cui all’articolo 615 ter c.p., commi 1, 2 nn. 1 e 3, (capo 1) e articolo 361 c.p., comma 2, per essersi introdotto, abusando della qualita’ di pubblico ufficiale appartenente alla Guardia di Finanza di Aosta, nei sistemi informatici della Anagrafe Tributaria e dell’ACI, impossessandosi di migliaia di notizie concernenti la sfera privata di superiori e colleghi di grado, e per avere redatto piu’ scritti anonimi indirizzati alla Procura Militare di (OMISSIS) con cui attribuiva ai colleghi – il Capitano (OMISSIS), il Mar. (OMISSIS) e il Mar. (OMISSIS) – reati di peculato e falso, omettendo di darne immediata comunicazione all’A.G..
2. Avverso tale sentenza ha proposto ricorso per cassazione il difensore di (OMISSIS), Avv. (OMISSIS), che ha dedotto i seguenti motivi, qui enunciati, ai sensi dell’articolo 173 disp. att. c.p.p., nei limiti strettamente necessari per la motivazione.
2.1. Con il primo motivo deduce la violazione di legge ed il vizio di motivazione in relazione al reato di cui all’articolo 615 ter c.p..
Sotto un primo profilo deduce che la Corte territoriale non abbia affrontato la questione dedotta con l’atto di appello concernente il mutamento sfavorevole della giurisprudenza in materia di accesso abusivo a sistema informatico: invero, i fatti contestati al (OMISSIS) riguardano un periodo che va dal 2013 al 16 giugno 2017, mentre la sentenza âEuroËœSavarese’ delle Sezioni Unite risale all’8 settembre 2017, allorquando le condotte abusive contestate all’imputato si erano ormai completamente definite; l’intera condotta contestata al Brig. (OMISSIS) riguarda, dunque, comportamenti che all’epoca non costituivano reato ai sensi dell’interpretazione giurisprudenziale affermata dalla Corte di Cassazione; infatti, (OMISSIS) non ha mai operato una forzatura del sistema per entrarvi, in quanto il brigadiere era accreditato, e pertanto autorizzato con specifiche abilitazioni concesse dai comandanti di reparto in relazione alle funzioni ricoperte ad accedere alla banca dati per effettuare aggiornamento schedari.
Il (OMISSIS), dunque, non ha mai carpito abusivamente password o credenziali da soggetti terzi e non ha mai utilizzato i dati acquisiti per altre finalita’, come del resto evidenziato dalla assoluzione dal reato di utilizzazione di segreti d’ufficio contestato al capo 2. L’imputato ha operato nel rispetto di quei parametri che la giurisprudenza costante non riconosceva all’epoca come reato; la condotta del (OMISSIS) e’ pacificamente da ricondurre interamente ad un orientamento giurisprudenziale consolidato e definito al momento della cessazione della condotta abusiva e non era ragionevolmente prevedibile che l’interpretazione della norma penale potesse mutare in senso sfavorevole. Deduce al riguardo una violazione dell’articolo 7 CEDU per l’applicazione del mutamento sfavorevole della giurisprudenza.

 

Accesso abusivo a sistema informatico e Assenza di delega ad operare

Sotto altro profilo deduce la violazione di legge in relazione alla nozione di sistema protetto di cui all’articolo 615 ter c.p.: in particolare sostiene che i numerosi accessi contestati presso la banca dati dell’ACI non potessero essere ritenuti abusivi in quanto i dati degli intestatari dei veicoli sono pubblici ed e’ consentito a qualsivoglia soggetto terzo, previo il pagamento di una somma, poter accedere al registro ACI.
Il problema non e’ il fatto che il (OMISSIS) abbia fatto accesso al sistema dell’ACI evitando di pagare l’irrisoria somma che invece avrebbe dovuto versare qualora avesse fatto accesso da privato, ma che il sistema informatico ACI e’ un sistema aperto, e quindi non protetto, sicche’ non consente la possibilita’ di contestare il reato di cui all’articolo 615 ter, non essendo necessaria alcuna forzatura o particolari qualifiche per poter prendere visione del proprietario di un autoveicolo o motoveicolo, ed essendo sufficiente pagare un diritto di accesso.
Sotto un terzo profilo deduce il vizio di motivazione in relazione alla corretta individuazione del numero di accessi abusivi operati dall’imputato: sostiene che la sentenza di impugnata abbia individuato 1968 accessi abusivi, mentre il CD ROM acquisito contenente il numero preciso dell’elenco degli accessi abusivi al sistema informatico indica 770 accessi; il vizio logico avrebbe dispiegato effetti sul trattamento sanzionatorio, in quanto rapportato al numero degli accessi abusivi contestati.
2.2. Con un secondo motivo deduce la violazione di legge in relazione all’articolo 361 c.p., comma 2: sostiene che il reato sussista soltanto quando il pubblico ufficiale abbia appreso con certezza la sussistenza di un reato, ed ometta o ritardi denunciare tali circostanze alle competenti autorita’, incorrendo altrimenti nella contestazione di calunnia; nel caso di specie, il (OMISSIS) non poteva avere certezza assoluta sulla sussistenza di comportamenti delittuosi posti in essere da suoi superiori o colleghi della Guardia di finanza, trattandosi di meri sospetti non confermati dai dati certi; sicche’ il ricorrente si e’ limitato semplicemente a fare una segnalazione, ma non gli si puo’ contestare che in quel momento fosse giuridicamente obbligato a presentare una denuncia ai sensi dell’articolo 361 c.p..

 

Accesso abusivo a sistema informatico e Assenza di delega ad operare

CONSIDERATO IN DIRITTO

1. Il ricorso e’ inammissibile.
2. Il primo motivo e’ manifestamente infondato.
2.1. Con riferimento al primo profilo di doglianza, e’ assorbente rilevare che la condotta criminosa accertata, per le sue connotazioni abusive, sarebbe stata penalmente rilevante anche alla stregua dell’orientamento giurisprudenziale precedente alla sentenza âEuroËœSavarese’ delle Sezioni Unite.
Invero, le Sezioni Unite âEuroËœCasani’ avevano affermato il principio secondo cui integra il delitto previsto dall’articolo 615 ter c.p., colui che, pur essendo abilitato, acceda o si mantenga in un sistema informatico o telematico protetto violando le condizioni ed i limiti risultanti dal complesso delle prescrizioni impartite dal titolare del sistema per delimitarne oggettivamente l’accesso, rimanendo invece irrilevanti, ai fini della sussistenza del reato, gli scopi e le finalita’ che abbiano soggettivamente motivato l’ingresso nel sistema (Sez. U, n. 4694 del 27/10/2011, dep. 2012, Casani, Rv. 251269).
Nel caso in esame, e’ stato accertato che (OMISSIS), abusando della password e della matricola meccanografica a lui assegnate in qualita’ di militare della Guardia di Finanza, accedeva alle banche dati della Guardia di Finanza (Anagrafe Tributaria, ACI), ma senza alcuna autorizzazione, e senza che ricorresse alcuna ragione di servizio, in quanto, non essendo egli assegnato a funzioni operative, non era legittimato ad accedere ad alcuna banca dati.
L’assenza di autorizzazione ad accedere alle banche dati – requisito propedeutico alla stessa assenza di ragioni di servizio – preclude qualsivoglia rilevanza al “mutamento giurisprudenziale” affermatosi con la sentenza “Savarese” delle Sezioni Unite, secondo cui integra il delitto previsto dall’articolo 615 ter c.p., comma 2, n. 1, la condotta del pubblico ufficiale o dell’incaricato di un pubblico servizio che, pur essendo abilitato e pur non violando le prescrizioni formali impartite dal titolare di un sistema informatico o telematico protetto per delimitarne l’accesso, acceda o si mantenga nel sistema per ragioni ontologicamente estranee rispetto a quelle per le quali la facolta’ di accesso gli e’ attribuita (Sez. U, n. 41210 del 18/05/2017, Savarese, Rv. 271061, che ha ritenuto immune da censure la condanna di un funzionario di cancelleria, il quale, sebbene legittimato ad accedere al Registro informatizzato delle notizie di reato – c.d. Re.Ge. – conformemente alle disposizioni organizzative della Procura della Repubblica presso cui prestava servizio, aveva preso visione dei dati relativi ad un procedimento penale per ragioni estranee allo svolgimento delle proprie funzioni, in tal modo realizzando un’ipotesi di sviamento di potere).
Invero, la sentenza âEuroËœSavarese’ ha affermato la rilevanza penale della condotta abusiva ai casi di sviamento del potere, in cui l’accesso avvenga ad opera di chi, pur abilitato e pur non violando le prescrizioni formali, si introduca nel sistema informatico per ragioni estranee a quelle per le quali gli e’ attribuita la facolta’.
Nel caso in esame, invece, oltre alle ragioni estranee – alle quali ha attribuito rilevanza la sentenza “Savarese” -, non ricorre il requisito dell’autorizzazione ad accedere alle banche dati, in quanto l’imputato, pur astrattamente abilitato, in ragione del possesso della password e della matricola meccanografica, non era autorizzato a consultare le banche dati in dotazione della Guardia di Finanza, non essendo assegnato a compiti operativi (ipotesi di assenza del potere): invero, lo sviamento del potere presuppone la sussistenza del potere di accedere al sistema informatico; e tale potere di accesso non era riconosciuto all’imputato.
Va dunque affermato il seguente principio di diritto:
“In tema di accesso abusivo a sistema informatico, il reato di cui all’articolo 615 ter c.p., e’ integrato non soltanto quando non ricorre il requisito dell’autorizzazione ad accedere alle banche dati, in quanto l’autore, pur astrattamente abilitato all’accesso, non e’ autorizzato in concreto a consultare le banche dati del sistema informatico (ipotesi di assenza del potere), ma altresi’ quando l’accesso sia eseguito per ragioni estranee a quelle per le quali gli e’ attribuita la facolta’ (ipotesi di sviamento del potere, che presuppone la sussistenza del potere di accedere al sistema informatico)”.
Pertanto, la fattispecie rientra nell’ambito dell’interpretazione, precedente alla sentenza âEuroËœSavarese’, che attribuiva rilevanza alla sola assenza del potere, secondo cui integra il reato colui che, pur essendo abilitato, acceda o si mantenga in un sistema informatico o telematico protetto violando le condizioni ed i limiti risultanti dal complesso delle prescrizioni impartite dal titolare del sistema per delimitarne oggettivamente l’accesso, rimanendo invece irrilevanti, ai fini della sussistenza del reato, gli scopi e le finalita’ che abbiano soggettivamente motivato l’ingresso nel sistema (Sez. U, n. 4694 del 27/10/2011, dep. 2012, Casani, Rv. 251269), restando irrilevante che l’imputato non abbia forzato il sistema, ne’ carpito fraudolentemente password altrui, trattandosi di condotta che avrebbe integrato l’ulteriore reato di cui all’articolo 615 quater c.p..
2.1.1. Peraltro, anche la doglianza con cui si sostiene la irretroattivita’ del mutamento sfavorevole di giurisprudenza e’ manifestamente infondata.
Nel rammentare che la Corte Costituzionale, con la sentenza n. 230 del 2012, sia pur con riferimento al mutamento giurisprudenziale (c.d. overruling) favorevole, nell’affermare la refrattarieta’ del principio dell’intangibilita’ del giudicato, ha evidenziato i caratteri propri della âEuroËœlegalita’ costituzionale’ e le sue differenze rispetto alla c.d. âEuroËœlegalita’ convenzionale’, va osservato che questa Corte, proprio con riferimento ad una fattispecie in tema di accesso abusivo ad un sistema informatico, ha escluso la sussistenza di un “overruling” ad opera della sentenza delle Sezioni unite “Savarese” e la conseguente violazione dell’articolo 7 CEDU, chiarendo che non sussiste la violazione dell’articolo 7 CEDU – cosi’ come conformemente interpretato dalla giurisprudenza della Corte EDU – qualora l’interpretazione della norma incriminatrice applicata al caso concreto sia ragionevolmente prevedibile nel momento in cui la violazione e’ stata commessa, atteso che l’irretroattivita’ del mutamento giurisprudenziale sfavorevole presuppone il ribaltamento imprevedibile di un quadro giurisprudenziale consolidato (c.d. “overruling”) (Sez. 5, n. 47510 del 09/07/2018, Dilaghi, Rv. 274406); invero, in tema di successione di leggi penali nel tempo, l’articolo 7 della Convenzione Europea dei Diritti dell’Uomo – cosi’ come interpretato dalla giurisprudenza della Corte EDU – non consente l’applicazione retroattiva dell’interpretazione giurisprudenziale piu’ sfavorevole di una norma penale solo quando il risultato interpretativo non era ragionevolmente prevedibile nel momento in cui la violazione e’ stata commessa (Sez. 5, n. 37857 del 24/04/2018, Fabbrizzi, Rv. 273876, con riferimento ad una fattispecie di accesso abusivo ad un sistema informatico, nella quale la Corte ha ritenuto insussistente la violazione dei principi convenzionali in relazione all’overruling operato dalle Sezioni Unite in epoca successiva alla condotta).
2.2. La seconda doglianza, con cui si sostiene il carattere aperto della banca dati ACI, e’ manifestamente infondata.
Giova premettere che integra il delitto di introduzione abusiva in un sistema informatico o telematico l’accesso ad un sistema che sia protetto da un dispositivo costituito anche soltanto da una parola chiave (cosiddetta “password”) (Sez. 2, n. 36721 del 21/02/2008, Buraschi, Rv. 242084), rilevando la condotta di colui che acceda o si mantenga in un sistema informatico o telematico protetto, violando le condizioni ed i limiti risultanti dal complesso delle prescrizioni impartite dal titolare dell’elaboratore per delimitarne oggettivamente l’accesso (Sez. 2, n. 52680 del 20/11/2014, Morleo, Rv. 261548).
Nel caso in esame, il servizio di consultazione della banca dati ACI e’ rilasciato alle pubbliche amministrazioni, ai concessionari di pubblici servizi, agli enti e/o soggetti in possesso di specifici requisiti (enti territoriali, enti pubblici, forze di polizia, ecc.); la banca dati ACI e’ si’ consultabile da un privato, ma, per delimitarne oggettivamente l’accesso, il servizio e’ condizionato al pagamento di una tariffa; l’accesso dell’imputato alla banca dati ACI non e’ tuttavia avvenuto in qualita’ di privato, previo pagamento della tariffa – che ne delimita oggettivamente l’accesso – alla quale e’ condizionata la fruizione del servizio di consultazione, bensi’ quale pubblico ufficiale, che ha consultato abusivamente la banca dati dalla postazione di servizio della Guardia di Finanza, sfruttando la gratuita’ del servizio riconosciuto al Corpo militare, in assenza di autorizzazione, e violando le condizioni e i limiti risultanti dal complesso delle prescrizioni impartite dal titolare dell’elaboratore per delimitarne oggettivamente l’accesso.
2.3. Il terzo profilo di doglianza, concernente il numero degli accessi abusivi, oltre ad essere privo di concreto rilievo ai fini della qualificazione della fattispecie concreta, e’ del tutto generico, in quanto si limita a sostenere che il CD ROM acquisito agli atti indicherebbe soltanto 770 accessi, anziche’ 1968, come affermato nella sentenza impugnata; tuttavia, omette di assolvere all’onere di specificita’ del motivo, non allegando neppure (quanto meno) un estratto del documento rilevante, e non si confronta con la sentenza impugnata, che, nel motivare sulla medesima censura proposta in appello, ha chiarito che il riferimento a 844 persone oggetto di accessi abusivi era contenuto, secondo l’allegazione difensiva, nella CNR, atto estraneo al fascicolo dibattimentale, e dunque inutilizzabile, e che, al contrario, erano stati accertati ben 1968 accessi al sistema informatico dell’Anagrafe Tributaria nel periodo dal 1.1.2012 al 20.7.2017 oggetto di monitoraggio, esclusi, dunque, gli accessi eseguiti nel breve periodo (circa 8 mesi) in cui (OMISSIS) era stato autorizzato, in quanto assegnato allo schedario del Comando Regionale.
3. Il secondo motivo, concernente il delitto di omessa denuncia, e’ manifestamente infondato, oltre che generico.
E’ infatti consolidato l’insegnamento di questa Corte secondo cui integra il delitto di omessa denuncia di reato di cui all’articolo 361 c.p., la condotta del pubblico ufficiale che ometta, ovvero ritardi, la denuncia di un reato perseguibile d’ufficio, quando egli e’ in grado di individuarne gli elementi ed acquisire ogni altro dato utile per la formazione della denuncia stessa (Sez. 6, n. 49833 del 03/07/2018, Pesci, Rv. 274310; Sez. 6, n. 27508 del 07/05/2009, Rizzo, Rv. 244528); l’omissione o il ritardo del pubblico ufficiale nel denunciare i fatti di reato idonei ad integrare il delitto di cui all’articolo 361 c.p., si verifica solo quando il p.u. sia in grado di individuare, con sicurezza, gli elementi di un reato, mentre, qualora egli abbia il semplice sospetto di una possibile futura attivita’ illecita, deve, ricorrendone le condizioni, semplicemente adoperarsi per impedire l’eventuale commissione del reato ma non e’ tenuto a presentare denuncia (Sez. 5, n. 26081 del 04/04/2008, Martinelli, Rv. 241165).
Cio’ posto, l’esposto anonimo inviato dal (OMISSIS) alla Procura Militare competente, lungi dall’esporre un “mero sospetto” che un suo superiore e altri colleghi della Guardia di Finanza realizzassero condotte illecite o scorrette, aveva descritto in modo preciso e dettagliato i comportamenti illeciti di (OMISSIS), (OMISSIS) e (OMISSIS), denunciando che il (OMISSIS), in orario di servizio e con autovetture militari, aveva accompagnato il Cap. (OMISSIS) e il Mar. (OMISSIS) a Torino per sostenere esami universitari, aveva indebitamente usufruito di ore di straordinario, si era indebitamente assentato dal servizio, indicando dettagliatamente i giorni, i luoghi e le condotte poste in essere, nonche’ le fonti di prova; pertanto, il contenuto dell’esposto anonimo era perfettamente sovrapponibile a quello di una denuncia ex articolo 331 c.p.p., che il (OMISSIS), pur essendovi obbligato, non aveva mai inviato, ne’ al proprio superiore, ne’ all’A.G. competente.
4. Alla declaratoria di inammissibilita’ del ricorso consegue la condanna al pagamento delle spese processuali e la corresponsione di una somma di denaro in favore della Cassa delle Ammende, somma che si ritiene equo determinare in Euro 3.000,00, nonche’ alla rifusione delle spese di rappresentanza e difesa sostenute nel presente giudizio dalle parti civili costituite che vanno liquidate in complessivi Euro 5000,00, oltre accessori di legge.

P.Q.M.

Dichiara inammissibile il ricorso e condanna il ricorrente al pagamento delle spese del procedimento e della somma di Euro 3.000,00 in favore della Cassa delle Ammende. Condanna, inoltre, l’imputato alla rifusione delle spese di rappresentanza e difesa sostenute nel presente giudizio dalle parti civili costituite che liquida in complessivi Euro 5000,00 oltre accessori di legge.

 

In caso di diffusione omettere le generalità e gli altri dati identificativi dei soggetti interessati nei termini indicati.

Per aprire la pagina facebook @avvrenatodisa
Cliccare qui