PENALE - Accesso abusivo alla banca dati ACI e rilevanza delle prescrizioni impartite dal titolare del sistema.
Uno degli aspetti più complessi e delicati della disciplina dei computer crimes è quello della protezione dei sistemi telematici da indebite intrusioni. L'accesso è abusivo se il sistema informatico violato sia effettivamente munito di idonee misure protezione, che il titolare del sistema abbia appositamente predisposto. Con la Sentenza a commento, la S.C. ha precisato che il concetto di accesso abusivo ad un sistema informatico impone di porre attenzione, anziché alle finalità soggettive che abbiano determinato l'ingresso nel sistema e ad eventuali disposizioni sull'impiego successivo dei dati, all'obiettiva violazione "delle condizioni e dei limiti" che il titolare del sistema abbia impartito, fissando - nell'ambito di disposizioni organizzative interne, di prassi aziendali o di clausole di contratti individuali di lavoro - tipologie d'attività e tempi di permanenza nella banca dati. Quel "complesso delle disposizioni" stabilite dal c.d. dominus loci segnano la linea di confine tra il lecito e l'illecito, tra la non punibilità e l'abusività dell'accesso operato. Con la pronuncia qui di seguito riportata si è statuito che l'eventuale violazione di quelle regole impartite dev'essere necessariamente valutata dal giudice, ancora di più se si tratti, come nel caso esaminato, di ascrivere una responsabilità penale - per concorso morale - a colui che chiese delle informazioni alla persona che poi effettuò l'accesso informatico.
Hacker è colui che, sfruttando le proprie competenze informatiche, si introduce - attraverso reti telematiche - in banche dati altrui, per vedere i programmi e le informazioni, per duplicarli, per danneggiarli o anche solo cederli a terzi. è il caso classico dell'introduzione illecita compiuta neutralizzando le misure di sicurezza da cui è protetto il sistema (cfr. Cass. Pen., Sez. V, 04.12.06 n° 6459). Ma accade sovente le barriere logiche e/o fisiche (nel software e, rispettivamente, nell'hardware) vengano oltrepassate da chi hacker non è: più esattamente, non essendo il delitto caratterizzato necessariamente dall'effrazione dei sistemi protettivi, risponde del reato anche colui che, pur essendo autorizzato all'accesso per una specifica finalità, utilizzi quella sua legittimazione per uno scopo diverso, così contravvenendo alle disposizioni del titolare del sistema, quindi a prescindere dalla manipolazione delle misure di sicurezza (cfr. Cass. Pen., Sez. V, 07.11.00 n° 1675; Trib. di Bologna 21.07.2005). Il reato si consuma nel tempo in cui il reo si trattiene all'interno del sistema in cui era lecitamente entrato, a dispetto del dissenso del titolare del diritto di esclusione, e nel luogo in cui materialmente si trova il server del sistema violato, atto a verificare le credenziali di autenticazione dell'utente (cfr. Cass. Pen., Sez. I, 27.05.13 n° 40303). La norma sanzionatoria è stata introdotta in Italia dalla legge sulla criminalità informatica (L. n° 547/93) e per essa è anche prevista un'aggravante se il delitto colpisca una persona portatrice di minorazione fisica, psichica o sensoriale (ex art. 36, co. 1, L. n° 104/92, come sostituito dall'art. 3, co. 1, L. n° 94/09). Questa la norma di cui all'art. 615-ter c.p.:
«Accesso abusivo ad un sistema informatico o telematico.
Chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo, è punito con la reclusione fino a tre anni.
La pena è della reclusione da uno a cinque anni: 1) se il fatto è commesso da un pubblico ufficiale o da un incaricato di un pubblico servizio, con abuso dei poteri o con violazione dei doveri inerenti alla funzione o al servizio, o da chi esercita anche abusivamente la professione di investigatore privato, o con abuso della qualità di operatore del sistema; 2) se il colpevole per commettere il fatto usa violenza sulle cose o alle persone, ovvero se è palesemente armato; 3) se dal fatto deriva la distruzione o il danneggiamento del sistema o l'interruzione totale o parziale del suo funzionamento, ovvero la distruzione o il danneggiamento dei dati, delle informazioni o dei programmi in esso contenuti.
Qualora i fatti di cui ai commi primo e secondo riguardino sistemi informatici o telematici di interesse militare o relativi all'ordine pubblico o alla sicurezza pubblica o alla sanità o alla protezione civile o comunque di interesse pubblico, la pena è, rispettivamente, della reclusione da uno a cinque anni e da tre a otto anni.
Nel caso previsto dal primo comma il delitto è punibile a querela della persona offesa; negli altri casi si procede d'ufficio».
La giurisprudenza, di merito e di legittimità, ha fornito nel tempo un'esegesi assai contrastante in ordine alla punibilità degli accessi a sistemi informatici pubblici per motivi differenti da quelli d'ufficio e, anche dopo le S.U. n° 4694/11, che hanno determinato un ampliamento dell'oggettiva punibilità, la fattispecie a tutt'oggi presenta dei margini d'incertezza applicativa.
Cass. Pen., Sez. V, 20.06/24.10.2014 n° 44390
REPUBBLICA ITALIANA
IN NOME DEL POPOLO ITALIANO
LA CORTE SUPREMA DI CASSAZIONE
SEZIONE QUINTA PENALE
Composta dagli Ill.mi Sigg.ri Magistrati:
Dott. Fumo Maurizio, Presidente
Dott. Sabeone Gerardo, Consigliere
Dott. Vessichelli Maria, Consigliere
Dott. Zaza Carlo, Consigliere
Dott. Settembre Antonio, Rel. Consigliere
ha pronunciato la seguente:
Sentenza
sul Ricorso proposto da: M.L., nato a (omissis);
avverso l'Ordinanza n° 68/2014 del Tribunale della libertà di Potenza, del 29.03.2014;
sentita la relazione fatta dal Consigliere Dott. Antonio Settembre;
udito il Procuratore Generale della Repubblica presso la Corte di Cassazione, Dott. Carmine Stabile, che ha concluso per l'inammissibilità del Ricorso.
Svolgimento del processo
1. Il Giudice delle indagini preliminari del Tribunale di Potenza, con Ordinanza confermata dal Tribunale del riesame, ha applicato a M.L. la misura cautelare dell'obbligo di presentazione alla polizia giudiziaria perchè ritenuto responsabile di concorso nel reato di accesso abusivo alla banca dati dell'ACI (art. 615-ter, co. 2, n° 1 e n° 3, c.p.). Secondo l'accusa M.L., sospettando di essere sottoposto ad indagine da parte di Forze di Polizia in relazione ad appalti e gare pubbliche indette dalla regione (omissis), istigò il suo conoscente Z.M., Capo di Stato Maggiore presso il Comando Regionale della Guardia di Finanza della regione (omissis), ad accedere abusivamente al Sistema di Indagine presso il Ministero dell'Interno affinchè gli rivelasse l'intestazione della [autovettura] (omissis) che lo aveva seguito ed i cui occupanti avevano scattato foto che lo riguardavano.
Il Tribunale ha ritenuto sussistente il quadro di gravità indiziaria sulla scorta degli accertamenti effettuati dalla stessa Guardia di Finanza, da cui è emerso che un accesso fu effettuato dal col. Z.M. alle ore 20:14 dell'11.01.2013 con le credenziali del suo profilo (l'interrogazione ebbe ad oggetto la targa (omissis), con risposta "nessun dato recuperato", trattandosi di autovettura intestata al Ministero dell'Interno e in uso alla Squadra Mobile di (omissis) e sulla scorta di intercettazioni telefoniche che hanno riguardato il prevenuto e il funzionario regionale (omissis).
2.0. Avverso tale provvedimento hanno proposto Ricorso per Cassazione, nell'interesse dell'indagato, gli Avv.ti D.P. e L.P., avvalendosi di due motivi.
2.1. Col primo censurano il percorso motivazionale del Tribunale del riesame relativo alla dimostrazione dell'istigazione.
Le intercettazioni riportate in motivazione non sono affatto dimostrative - deducono - di una richiesta o di una sollecitazione, rivolta al pubblico ufficiale, di procurarsi le informazioni di cui abbisognava attraverso la banca dati delle forze di polizia, tanto più che si trattava di dati reperibili - con le stesse modalità impiegate dal p.u. - ad opera di qualsiasi cittadino attraverso la consultazione dei registri dell'ACI.
2.2. Col secondo censurano per illogicità e violazione di legge l'Ordinanza impugnata, che ha ritenuto abusivo l'accesso al sistema informatico nonostante il col. Z.M. fosse titolare - per la sua qualità, anche se non direttamente impegnato in funzioni operative o investigative - di legittime credenziali di accesso alla rete protetta.
Contestano, in fatto, che Z.M. abbia operato un accesso allo SDI, essendosi limitato ad interrogare la banca dati dell'ACI, come avrebbe riconosciuto lo stesso Tribunale del riesame, a pag. 5 dell'Ordinanza; nonchè la consapevolezza del prevenuto di essere pedinato da forze di polizia, su cui il Tribunale non si è pronunciato: anzi, evidenziando che M.L. si era rivolto a Z.M. per conoscere l'intestatario dell'autovettura, implicitamente riconosce che M.L. non sapeva chi fosse a seguirlo.
Lamentano, infine, che il Tribunale non abbia valutato l'abusività dell'accesso sulla base delle prescrizioni impartite dal dominus loci.
Motivi della decisione
Il Ricorso è fondato per i motivi di seguito esposti.
Il ragionamento del giudice della cautela si snoda attraverso il passaggi seguenti:
a) M.L. sapeva, o almeno sospettava, di essere controllato e anche seguito da Forze di polizia;
b) M.L. si rivolse al col. Z.M. per sapere a chi apparteneva l'auto di cui aveva rilevato il numero, per capire quale corpo di polizia stava indagando su di lui;
c) M.L. sollecitò il col. Z.M. a violare lo SDI per acquisire l'informazione che gli interessava;
d) il col Z.M. acquisì l'informazione illecitamente, in quanto violò le prescrizioni del dominus loci.
In realtà, nonostante il notevole sforzo profuso dal giudicante per accreditare la conclusione cui è pervenuto, non tutti i passaggi sopra specificati risultano congruamente motivati, per quanto verrà nel prosieguo specificato.
1. La consapevolezza, in capo a M.L., di essere seguito da Forze di polizia (e non, eventualmente, da malintenzionati) è stata data per presupposta a pag. 3 dell'Ordinanza, all'inizio del discorso riguardante il fatto per cui si procede, e poi desunta dalla acquisizione, nei giorni immediatamente precedenti il 27.02.2013, da parte della Guardia di Finanza, del Registro IVA delle Imprese facenti capo a M.L. e ad altri imprenditori che risultavano aver partecipato ad appalti e gare pubbliche gestite dalla Regione (omissis) (pag. 5 dell'Ordinanza). Ora, se l'acquisizione suddetta avvenne il 27.02.2013; mentre l'avvistamento, da parte di M.R. (figlio di M.L.), della [auto] (omissis) "sospetta" avvenne il 04.01.2013 (cui fece subito seguito la richiesta di informazioni al col. Z.M.), la deduzione del giudicante è priva di consequenzialità, giacchè non spiega per quale ragione M.L. sapeva, quando si rivolse a Z.M., di essere "investigato" da un Corpo di Polizia e perchè la richiesta, fatta a Z.M., fu quella di acquisire una notizia riservata al fine di attuare un "inquinamento probatorio".
2. L'Ordinanza da per presupposto che la richiesta di M.L. fu quella di acquisire la notizia attraverso il Sistema di Indagine posto a disposizione delle Forze di Polizia.
In realtà, gli indizi passati in rassegna (dal giudicante) non sono affatto indicativi di una simile richiesta, dal momento che vengono riportati stralci di intercettazione da cui si desume che una domanda fu fatta a Z.M., che una risposta era attesa, ma non che vi fu sollecitazione ad avvalersi del "Sistema" in uso alle forze di polizia.
Pertanto, ove ciò sia avvenuto, è onere del giudicante spiegare perchè l'accesso abusivo al sistema informatico sia da addebitare, a titolo di concorso morale, al M.L.
L'argomento non è di poco conto, perché, come correttamente rilevato dal difensore, le informazioni relative all'intestazione delle autovetture possono essere acquisite da chiunque mediante interrogazione del PRA, con la corresponsione di una modestissima somma.
Rimane da spiegare, pertanto, perché M.L. abbia sollecitato Z.M. a violare lo SDI, invece che avvalersi dei normali strumenti informatici (e della sua maggiore capacità investigativa) per effettuare l'accertamento che gli interessava.
3. Lo SDI (Sistema di Indagine, istituito dalla L. n° 121/1981, art. 8) è un sistema chiuso, accessibile solo da postazioni di lavoro certificate che consentono l'acquisizione delle informazioni in sede locale utilizzando una rete intranet, senza esporsi ad interazioni con la rete pubblica. L'accesso alla Banca Dati, quindi, è possibile solo a persone debitamente autorizzate in sede locale dal proprio Funzionario/Ufficiale Responsabile e previa abilitazione di un apposito profilo, diversificato a seconda delle informazioni che il personale deve conoscere, in ragione delle mansioni da svolgere, avuto riguardo anche all'incarico ricoperto in seno alla propria Forza di Polizia.
4. Questa Corte è stata chiamata ripetutamente a mettere a fuoco il concetto di "accesso abusivo" ad un sistema informatico, rilevante ai sensi dell'art. 615-ter c.p. (proprio in ordine alla configurabilità del reato nel caso in cui un soggetto, legittimamente ammesso ad un sistema informatico o telematico, vi operi per conseguire finalità illecite) ed ha messo l'accento, per qualificare l'abusività, non già sugli scopi e le finalità che abbiano soggettivamente motivato l'ingresso nel sistema, quanto sulla "obbiettiva violazione delle condizioni e dei limiti risultanti dal complesso delle prescrizioni impartite dal titolare del sistema per delimitarne oggettivamente l'accesso" (Cass., S.U., n° 4694 del 27.10.2011, richiamata nell'Ordinanza).
In motivazione è spiegato che l'accesso è abusivo sia allorquando l'agente "violi i limiti risultanti dal complesso delle prescrizioni impartite dal titolare del sistema (nozione specificata, da parte della dottrina, con riferimento alla violazione delle prescrizioni contenute in disposizioni organizzative interne, in prassi aziendali o in clausole di contratti individuali di lavoro) sia allorquando ponga in essere operazioni di natura ontologicamente diversa da quelle di cui egli è incaricato ed in relazione alle quali l'accesso era a lui consentito". Pertanto, il giudizio circa l'esistenza del dissenso del dominus loci deve assumere come parametro la sussistenza o meno di un'obiettiva violazione, da parte dell'agente, delle prescrizioni impartite dal dominus stesso circa l'uso del sistema e non può essere formulato unicamente in base alla direzione finalistica della condotta, soggettivamente intesa. Ad ulteriore precisazione, le S.U. hanno chiarito che "vengono in rilievo, al riguardo, quelle disposizioni che regolano l'accesso al sistema e che stabiliscono per quali attività e per quanto tempo la permanenza si può protrarre, da prendere necessariamente in considerazione, mentre devono ritenersi irrilevanti, ai fini della configurazione della fattispecie, eventuali disposizioni sull'impiego successivo dei dati".
5. Di tale insegnamento - che questo Collegio condivide e che è stato recepito dalla giurisprudenza successiva: Cass. Pen., Sez. II, 06.03.2013 n° 13475; Cass. Pen., Sez. V, 08.05.2012 n° 42021 - il giudice dell'Ordinanza impugnata non ha fatto puntuale applicazione (pur mostrando di conoscerlo), giacchè ha ravvisato l'abusività dell'accesso nella violazione delle regole che presiedono allo svolgimento dell'attività amministrativa, quali sinteticamente enunciate dalla L. 07.08.90 n° 241, art. 7, secondo cui "l'attività amministrativa persegue fini determinati dalla legge ed è retta da criteri di economicità, efficacia, imparzialità, pubblicità, trasparenza, secondo le modalità previste dalla presente legge e dalle disposizioni che disciplinano singoli procedimenti, nonchè dai principi dell'ordinamento comunitario".
E' evidente che il parametro di riferimento è divenuto, per il giudice della cautela, non già il complesso delle disposizioni impartite dal dominus loci, ma il complesso delle disposizioni che regolano e indirizzano l'attività amministrativa verso i fini determinati dalla legge, finendo con l'identificare "l'abusività" - com'era inevitabile, data la premessa - nella violazione della regola di imparzialità e trasparenza che regge l'azione amministrativa e col frustrare la ratio dell'orientamento a cui - formalmente - ha inteso dare applicazione (evitare una dilatazione del concetto di "accesso abusivo" oltre i limiti imposti dalla necessità di tutelare i diritti del proprietario del "sistema").
Nè diverso significato ha il riferimento all'art. 9 della legge istitutiva dello SDI, che individua i soggetti abilitati ad accedere al sistema informatico, ma non detta prescrizioni in ordine alle modalità dell'accesso e alle operazioni consentite all'utente abilitato e, nel vietare "ogni utilizzazione delle informazioni e dei dati predetti per finalità diverse da quelle previste dall'art. 6, lett. a)", pone un obbligo successivo e ulteriore rispetto a quello che grava sull'utente suddetto.
Rilevante, in definitiva, diventa accertare - attraverso l'esame degli prescrizioni formalmente impartite dal dominus loci (nella specie, il Ministero della Difesa) - a quali condizioni sia stato consentito l'accesso ai soggetti appartenenti alle Forze di polizia - in particolare, ai soggetti aventi il profilo di Z.M. - e se vi sia stata violazione di quelle prescrizioni da parte dell'ufficiale suddetto (trattasi, come dianzi precisato, delle disposizioni che regolano l'accesso al sistema e che stabiliscono per quali attività e per quanto tempo la permanenza si può protrarre).
L'Ordinanza va pertanto annullata con rinvio al Tribunale di Potenza che, nel riesaminare la posizione del M.L., dovrà valutare - sotto il profilo oggettivo e alla luce dei principi esposti - l'abusività, o meno, dell'accesso operato da Z.M. al Sistema di Indagine e, sotto il profilo soggettivo, il tipo di informazioni possedute da M.L. allorché si rivolgeva - per informazioni - a Z.M., nonchè il tipo di richiesta indirizzata a quest'ultimo.
P.Q.M.
Annulla il provvedimento impugnato, con rinvio per nuovo esame al Tribunale di Potenza.
Così deciso in Roma, il 20 giugno 2014.
Depositato in Cancelleria il 24 ottobre 2014