Cassazione penale, sez. VI, 14 dicembre 1999, n. 3067 (Accesso
abusivo a sistemi informatici e telematici - Art.615 ter c.p.)
Svolgimento
del processo
Con l'ordinanza in epigrafe, il Tribunale di Lecce, in parziale
accoglimento dell'istanza di riesame proposta da N. P., indagata per i reati di
associazione per delinquere art. 416 c.p.), di frode informatica (art. 640 ter
c.p.) e di accesso abusivo a sistema informatico (art. 615 ter c.p.), avverso
il provvedimento di custodia cautelare emesso dal G.I.P. del Tribunale di
Brindisi il 25 febbraio 1999, sostituiva la misura della custodia cautelare in
carcere con quella degli arresti domiciliari.
La P. era stata colpita dalla ordinanza di custodia cautelare a
seguito di indagini della Guardia di Finanza, promosse i esito a denuncia
presentata dal responsabile della filiale di Brindisi della X S.p.a., dalle
quali era emerso un consistente, anomalo traffico telefonico verso l'estero
(Oceania e Isole Cook), proveniente da alcuni telefoni in uso presso la filiale
stessa (non abilitati alle chiamate interurbane, salvo l'utilizzo dei
cosiddetti "numeri brevi" associati a determinate frequenze esterne
di ricorrente uso per esigenze di servizio della stessa "X").
Veniva, quindi, accertato che le destinazioni estere erano state
raggiunte da C. D. L., dipendente della filiale (che ammetteva i fatti
nell'interrogatorio davanti al G.I.P.), mediante la rapida digitazione di
alcune cifre nel breve periodo intercorrente tra la selezione del "numero
breve" e l'invio automatico delle cifre corrispondenti al numero stesso.
Ne era risultato un grave danno per la società telefonica (per
un importo stimato di L. 120 milioni), tenuta a pagare per convenzione, agli
enti gestori della telefonia nei paesi destinatari delle chiamate, l'importo
derivante da tale illecito traffico telefonico, con conseguente ingiusto
profitto delle persone (non identificate) che ricevevano le telefonate (in
particolari i titolari di due utenze estere più frequentemente chiamate) alle
quali veniva versata una parte delle somme inviate ai predetti enti gestori
stranieri dalla "X" italiana.
Contemporaneamente a tali indagini, erano state attivate
intercettazioni telefoniche sulle utenze di C. D. L. e della società A. S.
a.r.l., con sede in Roma, dalle quali il tribunale di Lecce riteneva di poter
desumere il coinvolgimento nella frode di N. P. (unitamente ai coindagati G. S.
e F. D. V., oltre che il D. L.).
Peraltro, il Tribunale de libertate riconosceva la legittimità
del provvedimento custodiale per i soli reati di associazione per delinquere e
di frode informatica, con esclusione di quello di abusivo accesso a sistema
informatico, in quanto, sulla premessa che la norma dell'art. 615 ter c.p.
tuteli esclusivamente la riservatezza individuale dei soggetti che a tali
sistemi possono legittimamente accedere, escludeva che una tale violazione si
fosse verificata nel caso di specie, in quanto i coindagati si erano limitati a
fare le telefonate incriminate, ma non aveva ottenuto, con tale azione, alcuna
informazione riservata che potesse ledere la riservatezza di chicchessia.
Avverso il provvedimento del Tribunale di Lecce ricorrono sia la
P., per mezzo del difensore, Avv. C. I., sia il Procuratore della Repubblica
presso il Tribunale di Brindisi.
La P. deduce: a) la nullità dell'ordinanza custodiale emessa dal
G.I,P. per mancanza di motivazione, essendosi limitato il magistrato a recepire
il contenuto delle richieste del Pubblico Ministero, senza una valutazione
propria; b) la nullità della medesima ordinanza per insussistenza dei reati di
cui agli artt. 416 c.p. e 640 ter c.p., non essendo emersi - ad avviso della
ricorrente - elementi da cui trarre il carattere stabile duraturo dei rapporti
con gli altri indagati, e non potendo attribuirsi a un centralino telefonico la
qualifica di sistema informatico o telematico; c) la mancanza di gravi indizi
di colpevolezza e, comunque, l'applicazione di una misura eccessivamente
afflittiva, ai sensi dell'art. 275, comma 2 bis c.p.p., in considerazione della
sua incensuratezza; d) l'incompetenza territoriale del Giudice pugliese in
quanto sia la P. sia il D. V. operavano in Roma presso la sede dell'A. S.
s.r.l., ed essendo indicati come i promotori dell'associazione, il reato più
grave di cui all'art. 416 c.p. doveva ritenersi commesso in Roma, luogo in cui
la struttura associativa era divenuta operante.
Il Procuratore della Repubblica, con unico motivo di ricorso,
dolendosi per il vizio di violazione di legge, chiede l'annullamento parziale
dell'ordinanza nella parte in cui esclude, in diritto, l'astratta
configurabilità del reato di cui all'art. 615 ter, osservando che la norma,
tutelando i sistemi informatici o telematici protetti, non mira solo a
garantire il bene individuato dal tribunale, cioè la riservatezza delle
informazioni contenute nel sistema, ma l'intera sfera della personalità del
titolare, in tutte le sue possibili esplicazioni, non esclusi i connessi
profili riguardanti i diritti di carattere economico - patrimoniale.
Va esaminato anzitutto il motivo sub d) della P., rivestendo la
questione della competenza carattere pregiudiziale.
Il reato di cui all'art. 416 c.p. (più grave ex art. 16 c.p.p.)
ha natura di reato permanente, con la conseguenza che deve trovare
applicazione, secondo le regole generali dettate dal codice processuale, l'art.
8, comma terzo c.p.p., in forza del quale la competenza spetta al giudice del
luogo in cui ha avuto inizio la consumazione del reato. Tuttavia, nel caso di
specie, gli atti non offrono elementi per l'individuazione di tale momento, non
potendo neppure attribuirsi rilievo al fatto dedotto dalla ricorrente, per il
quale, essendo indicati nell'ordinanza impugnata i promotori dell'associazione
nelle persone della P. e del D. V., e avendo la società A. S. s.r.l. (presso
cui costoro operavano) sede in Roma, dovrebbe ritenersi incompetente il giudice
brindisino e competente quello di Roma. La sede della società non ha, infatti,
alcuna rilevanza ai fini di individuare il luogo di inizio della consumazione.
Occorre, quindi, applicare le regole suppletive, che fissano criteri presuntivi
per la determinazione della competenza (art. 9 c.p.p.). Ora, ritiene la Corte
che ben possano assumere rilevanza elementi presuntivi che valgano a radicare
la competenza territoriale nel luogo in cui il sodalizio criminoso si manifesti
per la prima volta all'esterno, nel luogo cioè in cui si concretino i primi
segni della sua operatività, ragionevolmente sintomatici della genesi
dell'associazione nello spazio (Cass., sez. I, c.c. 26 ottobre 1994, rv
203609), e che, se ancora non sia - come nel caso - sufficiente neppure tale
criterio, possano essere utilizzati criteri desumibili dai reati fine,
particolarmente nel caso in cui essi siano stati commessi tutti nello stesso
luogo e siano tutti della stessa tipologia (come contestato agli odierni
indagati). Può, quindi, ritenersi operante il criterio dell'ultimo reato fine
(Cass.sez. VI, u.p. 21 maggio 1998, Caruana e altri, rv 213573) consumato dai
componenti dell'associazione, che, nel caso, coincide con l'ultima manipolazione
del sistema informatico conseguente all'ultima telefonata eseguita (cioè
Brindisi), con l'effetto che il motivo di ricorso deve essere disatteso.
Anche il motivo di ricorso sub a) è infondato.
Oggetto del ricorso per Cassazione non è l'ordinanza impositiva,
bensì l'ordinanza pronunciata in sede di riesame. Ed è noto, al riguardo,
l'orientamento consolidato della giurisprudenza di questa Corte, la quale dopo
una sentenza delle Sezioni Unite sul punto (Cass. Sez. un. C.c. 17 aprile 1996,
Moni, rv 205257) si è stabilmente attestata (ex plurimis, v.Cass. sez. V, c.c.
6 maggio 1999, Lezzi, rv 213766; Cass. sez. II, c.c. 23 gennaio 1998, trimboli,
212768, Cass. sez. I, c.c. 29 maggio 1997, Chiocchia e altri, rv. 207981) nel
ritenere l'integrazione della motivazione dell'ordinanza custodiale con quella
del provvedimento di riesame e viceversa, di modo che non può dedursi nel
giudizio di legittimità la carenza o la illogicità della motivazione, ove dai
due provvedimenti sia possibile desumere compiutamente le ragioni che hanno
indotto i giudici di merito ad applicare e a mantenere il provedimento
cautelare e poiché nella specie l'ordinanza del Tribunale del riesame è
ampiamente motivata in ordine ad ogni questione attinente (come subito si
vedrà) alla sussistenza dei presupposti della misura, il motivo va disatteso.
E' ugualmente infondato il motivo di ricorso sub b).
Con il primo profilo della doglianza la ricorrente censura il
provvedimento impugnato nella parte in cui ritiene configurabile il reato di
frode informatica, non essendo - a suo avviso - il centralino telefonico della
"X" di Brindisi un sistema informatico.
Tale censura è priva di consistenza.
Va, infatti, osservato che, prima di ritenere "sistema
informatico" il centralino telefonico, l'ordinanza si dilunga nello
spiegare che "sistema informatico" è la stessa rete telefonica di cui
si serve la filiale "X" di Brindisi.
La legge 23 dicembre 1993, n. 547, che ha introdotto nel codice
penale i cosiddetti computer's crimes, non definisce il sistema informatico,
oggetto della sua tutela, dandone per presupposta la nozione.
Sulla base del dato testuale pare comunque che si debba ritenere
che l'espressione "sistema informatico" contenga in sé il concetto di
una pluralità di apparecchiature destinate a compiere una qualsiasi funzione
utile all'uomo, attraverso l'utilizzazione (anche in parte) di tecnologie
informatiche. Queste ultime, come si è rilevato in dottrina, sono
caratterizzate dalla registrazione (o "memorizzazione"), per mezzo di
impulsi elettronici, su supporti adeguati, di dati, cioè di rappresentazioni
elementari di un fatto, effettuata attraverso simboli (bit) numerici
("codice"), in combinazioni diverse: tali "dati", elaborati
automaticamente dalla macchina, generano le informazioni costituite "da un
insieme più o meno vasto di dati organizzati secondo una logica che consenta
loro di attribuire un particolare significato per l'utente).
Ora, come ha correttamente evidenziato il Giudice a quo, le
linee telefoniche utilizzano, nel'epoca moderna, normalmente, tali tecnologie.
La funzione di trasmissione delle comunicazioni si attua, invero, con la
conversione (codificazione) dei segnali (nel caso fonici) in forma di flusso
continuo di cifre (bit) e nel loro trasporto in tale forma all'altro estremo,
dove il segnale di origine viene ricostruito (decodificazione) e inoltrato,
dopo essere stato registrato in apposite memorie. Si tratta, cioè, del flusso
di comunicazioni relativo a sistemi informatici di cui all'art. 266 bis c.p.p.
introdotto dalla stessa l. 547/1993 nel codice di procedura penale, al quale è
stata estesa la disciplina delle intercettazioni telefoniche.
Non solo. Secondo il corretto apprezzamento del Giudice di
merito, essendo le linee telefoniche utilizzate anche per il flusso dei
cosiddetti "dati esterni alle conversazioni" (numero dell'abbonato
chiamante, numero dell'abbonato chiamato, numero degli scatti, data e ora di
inizio della chiamata e durata della stessa), i quali vengono tutti memorizzati
e trattati (compresa la stampa dei tabulati) con tecnologie informatiche (si
veda, al riguardo. Cass. Sez. un. C.c. 13 luglio
1998, Gallieri, rv 211197, pur se pronunciata sull'affine sistema di telefonia
mobile), anche per altro verso si deve giungere a ritenere la sussistenza, in
concreto, dei presupposti per l'applicazione dell'art. 640 ter c.p.
Infine, il Giudice di merito, ha messo in evidenza come anche il
centralino della sede "X" di Brindisi (che la ricorrente ritiene una
semplice "agenda" e come tale non rientrante nei sistemi informatici)
abbia la natura, a sua volta, di sistema informatico, rilevando che la
selezione delle telefonate extraurbane, attraverso i cosiddetti numeri brevi,
avviene per mezzo di tecnologie informatiche, di memorizzazione, cioè, di dati
che permettono l'utilizzazione delle linee solo per la chiamata di determinate
utenze e non di altre.
Alla luce di tali caratteristiche di fatto in ordine alle
tecnologie utilizzate dai sistemi in discussione, la cui verifica compete al
Giudice di merito e non è sindacabile davanti al Giudice di legittimità se
sorretta - come nel caso - da motivazione adeguata, il primo profilo della
censura deve essere disatteso.
Quanto al secondo aspetto della doglianza, con il quale la P.
sostiene la non configurabilità del reato di associazione per delinquere nei
suoi riguardi, correttamente nell'ordinanza impugnata si afferma che risulta
dalle intercettazioni telefoniche lo stabile rapporto dell'indagata con tutti i
componenti dell'organizzazione finalizzata alla commissione dei reati di frode
informatica, con il ruolo di "tenere i contatti con il D. L., al quale
fornisce i numeri da chiamare, dà istruzioni sull'attività da compiere (ad
esempio sui tempi delle telefonate, in modo da evitare sospetti e controlli,
comunica i risultati del suo lavoro"; la P., a sua volta, riceve dallo
Scognmamiglio i numeri telefonici e i compensi per l'attività fraudolenta in
questione": v. il contenuto delle intercettazioni nn. 42, 62, 75, 97, 100,
281, 304 e 333 alla pag. 7 dell'ordinanza alla quale si rimanda. Anche se
l'ordinanza rileva che, allo stato delle indagini, non risultano chiari i
rapporti D. V. - P. - S., ricorrono, comunque, a carico della P. indizi
significativi e tali da poter costituire la base giuridica per l'emissione del
provvedimento cautelare, anche per quanto attiene al reato di cui all'art. 416
c.p., non occorrendo, com'è noto, in sede cautelare, una prova pena del fatto,
ma semplicemente gravi indizi di colpevolezza.
E', infine, infondato, il motivo sub c).
Il Giudice di merito mostra, infatti ,di aver tenuto conto non
solo delle peculiari modalità delle condotte ("in considerazione della
struttura e dei caratteri dell'associazione, che, allo stato, non appare
territorialmente circoscritta, né limitata ai soli oggetti sinora individuati"),
particolarmente gravi anche per l'entità dei profitti già conseguiti e del
danno arrecato, ma anche della personalità dell'indagata (senza che abbia
rilievo decisivo l'insussistenza di precedenti penali, peraltro già valutati in
occasione della sostituzione della misura), denotante una notevole capacità
criminale, e dello stato delle indagini, che non hanno ancora completamente
chiarito l'assetto associativo (pur avendone evidenziato - come già detto -
chiari segnali di presenza e di organizzazione), per cui appaiono tutt'altro
che carenti e illogiche le argomentazioni del provvedimento impugnato
riguardanti sia il pericolo per la genuinità delle fonti di prova, sia il
pericolo di reiterazione dei reati (con i medesimi - o altri - meccanismi e con
l'utilizzazione di utenze telefoniche diverse), sia l'indispensabilità della
custodia in atto, già sostituita con la meno afflittiva misura degli arresti
domiciliari, a scopo cautelare.
Il ricorso del Procuratore della Repubblica è, invece, fondato.
Non risulta che questa Corte abbia avuto occasione di esprimersi
in ordine all'oggetto giuridico della tutela approntata dall'art. 615 ter c.p.
Indubbiamente la collocazione sistematica della norma nella
sezione IV (concernente i delitti contro l'inviolabilità del domicilio) del
capo III del titolo XIII del libro II, riguardante i delitti in particolare, dà
ragione dell'intenzione del legislatore - il quale ha preso a parametro il
"domicilio fisico" dell'individuo - di assicurare la protezione del
"domicilio informatico", quale spazio ideale (ma anche fisico in cui
sono contenuti i dati informatici), di pertinenza della persona, al quale
estendere la tutela della riservatezza della sfera individuale, quale bene
anche costituzionalmente protetto (art. 14 Cost.), come non manca di notare,
del resto, la Relazione al disegno di legge 23 dicembre 1993, n. 547.
La dottrina che si è occupata del problema è, però, divisa
sull'estensione da attribuire alla garanzia offerta dal legislatore del 1993
con la norma in argomento, sostenendosi da parte di alcuni (proprio per la
collocazione sistematica della norma) che lo scopo avuto di mira dal
legislatore sia stato quello di tutelare soltanto i contenuti personalissimi
(cioè attinenti al diritto alla riservatezza della vita privata) dei sistemi informatici
(teoria alla quale ha evidentemente ritenuto di aderire il tribunale di Lecce,
il quale ha ritenuto che, pur essendosi il D. L. introdotto nel sistema
informatico "X", non sia stato violato l'ambito di riservatezza
individuale di alcuno), mentre v'è chi riconosce che la norma in parola debba
estendersi nel senso che essa abbia ad oggetto lo jus excludendi del titolare
del sistema informatico, quale che sia il contenuto dei dati racchiusi in esso,
purchè attinente alla propria sfera di pensiero o alla propria attività
(lavorativa e non).
Ora, sembra alla Corte che debba preferirsi quest'ultimo
indirizzo, per la ragione che esso meglio si attaglia alla lettera e allo scopo
della legge: alla lettera, perché la norma non opera distinzioni tra sistemi a
seconda dei contenuti (esclusivamente limitandosi ad accordare tutela ai
sistemi protetti da misure di sicurezza); alla ratio legis soprattutto, perché
la prima interpretazione implicherebbe l'esclusione dalla tutela -
irragionevolmente e verosimilmente in senso contrario all'intenzione del
legislatore - di aspetti non secondari, quali per esempio, quelli connessi ai
profili economico - patrimoniali dei dati (si pensi al diritto dei titolari di
banche dati protette da misure di sicurezza di permettere l'eccesso alle
informazioni dietro pagamento di un canone), lasciando quindi sforniti di
protezione i diritti di enti e persone giuridiche, non tanto per essere incerta
l'estensione a tali categorie soggettive della tutela della riservatezza e in
genere dei diritti della personalità (per l'estensione delle norme sulla
violazione di domicilio alle persone giuridiche, v. per esempio, Cass. sez. II,
6 maggio 1983, Saraceno, rv 161358; Cass. sez. I, 2 febbraio 1979, Passalacqua,
rv 142131) ma piuttosto perché principalmente fra dette categorie si rinvengono
soggetti titolari di sistemi informatici protetti da misure di sicurezza (enti,
anche pubblici, grandi società commerciali) per i quali lo jus excludendi è
correlato prevalentemente, se non esclusivamente, a diritti di natura economico
patrimoniale.
D'altra parte, con il riferimento al "domicilio
informatico", sembra che il legislatore abbia voluto individuare il luogo
fisico - come sito in cui si può estrinsecarsi la personalità umana nel quale è
contenuto l'oggetto della tutela (qualsiasi tipo di dato e non i dati aventi ad
oggetto particolari contenuti), per salvaguardarlo da qualsiasi tipo di
intrusione (ius exludendi alios), indipendentemente dallo scopo che si propone
l'autore dell'abuso. Pare, infatti, che una volta individuato nell'accesso
abusivo a sistema informatico un reato contro la libertà individuale, il
legislatore sia stato quasi "costretto" dalla sistematica del codice
a quel tipo di collocazione, senza però che con la collocazione stessa si sia voluto
anche individuare, in via esclusiva, il bene protetto con riferimento alle
norme sulla violazione di domicilio, cioè la pax domestica ovvero la quiete e
la riservatezza della vita familiare.
Va, inoltre, considerato che ove il legislatore ha avuto l'intento
di tutelare la privacy vi ha espressamente fatto riferimento in modo
inequivocabile, sia nella legislazione meno recente (v. la l. 8 aprile 1974, n.
98, il cui art. 1 ha introdotto nel codice penale, sotto la rubrica
"interferenze illecite nella vita privata" l'art. 615 bis, sia in
quella più vicina (v. la l. 31 dicembre 1996, n. 675, sulla "Tutela delle
persone o di altri soggetti rispetto al trattamento dei dati personali").
Per altro verso, sembra a questa Corte che non possa dubitarsi
della possibilità di un concorso di reati fra l'accesso abusivo a un sistema
informatico e la frode informatica: la condotta di accesso non ha a che vedere
con il reato di frode informatica, il quale ultimo è necessariamente
caratterizzato dalla manipolazione del sistema ("alterando in qualsiasi
modo il funzionamento" oppure "intervenendo senza diritto con
qualsiasi modalità su dati, informazioni o programmi", secondo le formule
utilizzate dalla norma), che non è prevista né richiesta per il reato di
accesso abusivo (senza considerare la diversità di beni giuridici tutelati, la
diversità dell'elemento soggettivo e la non completa sovrapponibilità delle due
figure, anche per prevedere l'art. 615 ter la sola tutela dei sistemi protetti
da misure di sicureza, caratteristica che non si rinviene nel reato di frode
informatica).
Nel caso di specie la contemporanea violazione delle due norme
si è realizzata secondo lo schema tipico del concorso formale, in quanto già
indagati, con una sola azione (digitazione del numero telefonico), si sono
introdotti abusivamente nel sistema informatico e, nello steso tempo, lo hanno
manipolato in modo da eludere il blocco delle telefonate extraurbane,
contestualmente procurandosi l'ingiusto profitto con altrui danno.
Conclusivamente può affermarsi che, con giudizio di merito
congruamente e logicamente motivato e, pertanto insindacabile in questa sede di
legittimità, è rimasto accertato che, nella specie, sia la rete telefonica di
cui si serve la "X" di Brindisi, sia il centralino telefonico della
filiale costituiscono un sistema che si avvale di tecnologie informatiche
secondo quanto descritto nelle pagine 4 e 5 dell'ordinanza impugnata, nelle
quali si precisa che: 1) la trasmissione delle conversazioni in rete avviene
con sistema elettronico che consente il trasporto dei segnali (bit) in forma
numerica (sistema digitale) mediante automatica codificazione e decodificazione
(registrando tali dati in memorie su supporti adeguati); 2) il centralino è
protetto da misure di sicurezza costituite dal blocco della selezione
internazionale; 3) la "X" opera un trattamento automatico delle
informazioni afferenti ai cosiddetti "dati esterni" al flusso delle
conversazioni, che vengono registrati e (all'occorrenza) stampati su tabulati da
cui è dato desumere il nome dell'abbonato chiamante, il numero dell'abbonato
chiamato, il numero degli scatti, la data, l'ora e l'inizio della chiamata). E
poiché in base alle suesposte considerazioni si è verificato un abusivo accesso
- rilevante penalmente ex art. 615 ter c.p. - nei sistemi informatici di
pertinenza della "X" da parte degli indagati, allo scopo di
commettere l'ulteriore reato di frode informatica, l'ordinanza impugnata va
annullata con rinvio al Tribunale di Lecce per nuovo giudizio sulla base dei
principi sopra detti, limitatamente alla parte in cui esclude l'applicabilità
della norma da ultimo citata.
La ricorrente va condannata - ex lege - al pagamento delle spese
processuali.
P.Q.M.
In accoglimento del ricorso del P.M. annulla l'impugnata
ordinanza per quanto riguarda il reato di cui all'art. 615 ter c.p. e rinvia
per nuovo esame al Tribunale di Lecce.
Rigetta il ricorso di N. P. che condanna al pagamento delle
spese processuali.
Roma, 4 ottobre 1999