STUDIO
LEGALE
Avv.
STEFANO COMELLINI
Via Bocca di Lupo, 19
- 40123 BOLOGNA
Home
Page | Reati ed illeciti
informatici
Sentenza
4 ottobre 1999 - 14 dicembre 1999 n. 3067
della
Corte di Cassazione
REPUBBLICA
ITALIANA
IN NOME DEL POPOLO ITALIANO
LA CORTE SUPREMA DI CASSAZIONE
SEZIONE VI PENALE
Composta
dai signori magistrati:
Dott. Pasquale Trojano Presidente
Dott. Ugo Scelfo Consigliere
Dott. Adalberto Albamonte Consigliere
Dott. Eugenio Amari Consigliere
Dott. Giorgio Colla Consigliere
Ha pronunciato la seguente
SENTENZA
sul ricorso proposto dal P.M. e da P. N., nata a **** il **********, avverso l'ordinanza
del Tribunale di Lecce in sede di riesame del 19 marzo 1999;
udita in camera di consiglio la relazione fatta dal Consigliere Dott. Giorgio
Colla;
udito il Pubblico Ministero nella persona del sostituto procuratore Generale
dott. Carmine Di Zenzo, che ha concluso per l'accoglimento del ricorso del P.M.
e l'annullamento con rinvio del provvedimento impugnato, limitatamente al reato
di cui all'art. 615 ter; rigetto del ricorso della P.;
udito il difensore, avv. C. I.
FATTO E DIRITTO
Con l'ordinanza in epigrafe, il Tribunale di Lecce, in parziale accoglimento
dell'istanza di riesame proposta da N. P., indagata per i reati di associazione
per delinquere art. 416 c.p.), di frode informatica (art. 640 ter c.p.) e di
accesso abusivo a sistema informatico (art. 615 ter c.p.), avverso il
provvedimento di custodia cautelare emesso dal G.I.P. del Tribunale di Brindisi
il 25 febbraio 1999, sostituiva la misura della custodia cautelare in carcere
con quella degli arresti domiciliari.
La P. era stata colpita dalla ordinanza di custodia cautelare a seguito di
indagini della Guardia di Finanza, promosse i esito a denuncia presentata dal
responsabile della filiale di Brindisi della X S.p.a., dalle quali era emerso
un consistente, anomalo traffico telefonico verso l'estero (Oceania e Isole
Cook), proveniente da alcuni telefoni in uso presso la filiale stessa (non
abilitati alle chiamate interurbane, salvo l'utilizzo dei cosiddetti
"numeri brevi" associati a determinate frequenze esterne di
ricorrente uso per esigenze di servizio della stessa "X").
Veniva, quindi, accertato che le destinazioni estere erano state raggiunte da
C. D. L., dipendente della filiale (che ammetteva i fatti nell'interrogatorio
davanti al G.I.P.), mediante la rapida digitazione di alcune cifre nel breve
periodo intercorrente tra la selezione del "numero breve" e l'invio
automatico delle cifre corrispondenti al numero stesso.
Ne era risultato un grave danno per la società telefonica (per un importo
stimato di L. 120 milioni), tenuta a pagare per convenzione, agli enti gestori
della telefonia nei paesi destinatari delle chiamate, l'importo derivante da
tale illecito traffico telefonico, con conseguente ingiusto profitto delle
persone (non identificate) che ricevevano le telefonate (in particolari i
titolari di due utenze estere più frequentemente chiamate) alle quali veniva
versata una parte delle somme inviate ai predetti enti gestori stranieri dalla
"X" italiana.
Contemporaneamente a tali indagini, erano state attivate intercettazioni
telefoniche sulle utenze di C. D. L. e della società A. S. a.r.l.,
con sede in Roma, dalle quali il tribunale di Lecce riteneva di poter desumere
il coinvolgimento nella frode di N. P. (unitamente ai coindagati
G. S. e F. D. V., oltre che il D. L.).
Peraltro, il Tribunale de libertate riconosceva la
legittimità del provvedimento custodiale per i soli
reati di associazione per delinquere e di frode informatica, con esclusione di
quello di abusivo accesso a sistema informatico, in quanto, sulla premessa che
la norma dell'art. 615 ter c.p. tuteli esclusivamente la riservatezza
individuale dei soggetti che a tali sistemi possono legittimamente accedere,
escludeva che una tale violazione si fosse verificata nel caso di specie, in
quanto i coindagati si erano limitati a fare le
telefonate incriminate, ma non aveva ottenuto, con tale azione, alcuna
informazione riservata che potesse ledere la riservatezza di chicchessia.
Avverso il provvedimento del Tribunale di Lecce ricorrono sia la P., per mezzo
del difensore, Avv. C. I., sia il Procuratore della Repubblica presso il
Tribunale di Brindisi.
La P. deduce: a) la nullità dell'ordinanza custodiale
emessa dal G.I,P. per mancanza di motivazione, essendosi limitato il magistrato
a recepire il contenuto delle richieste del Pubblico Ministero, senza una
valutazione propria; b) la nullità della medesima ordinanza per insussistenza
dei reati di cui agli artt. 416 c.p. e 640 ter c.p., non essendo emersi - ad
avviso della ricorrente - elementi da cui trarre il carattere stabile duraturo
dei rapporti con gli altri indagati, e non potendo attribuirsi a un centralino
telefonico la qualifica di sistema informatico o telematico; c) la mancanza di
gravi indizi di colpevolezza e, comunque, l'applicazione di una misura
eccessiva mente afflittiva, ai sensi dell'art. 275, comma 2 bis c.p.p., in
considerazione della sua incensuratezza; d)
l'incompetenza territoriale del Giudice pugliese in quanto sia la P. sia il D.
V. operavano in Roma presso la sede dell'A. S. s.r.l., ed essendo indicati come
i promotori dell'associazione, il reato più grave di cui all'art. 416 c.p.
doveva ritenersi commesso in Roma, luogo in cui la struttura associativa era
divenuta operante.
Il Procuratore della Repubblica, con unico motivo di ricorso, dolendosi per il
vizio di violazione di legge, chiede l'annullamento parziale dell'ordinanza
nella parte in cui esclude, in diritto, l'astratta configurabilità del reato di
cui all'art. 615 ter, osservando che la norma, tutelando i sistemi informatici
o telematici protetti, non mira solo a garantire il bene individuato dal
tribunale, cioè la riservatezza delle informazioni contenute nel sistema, ma
l'intera sfera della personalità del titolare, in tutte le sue possibili
esplicazioni, non esclusi i connessi profili riguardanti i diritti di carattere
economico - patrimoniale.
Va esaminato anzitutto il motivo sub d) della P., rivestendo la questione della
competenza carattere pregiudiziale.
Il reato di cui all'art. 416 c.p. (più grave ex art. 16 c.p.p.) ha natura di
reato permanente, con la conseguenza che deve trovare applicazione, secondo le
regole generali dettate dal codice processuale, l'art. 8, comma terzo c.p.p.,
in forza del quale la competenza spetta al giudice del luogo in cui ha avuto
inizio la consumazione del reato. Tuttavia, nel caso di specie, gli atti non
offrono elementi per l'individuazione di tale momento, non potendo neppure
attribuirsi rilievo al fatto dedotto dalla ricorrente, per il quale, essendo
indicati nell'ordinanza impugnata i promotori dell'associazione nelle persone
della P. e del D. V., e avendo la società A. S. s.r.l. (presso cui costoro
operavano) sede in Roma, dovrebbe ritenersi incompetente il giudice brindisino
e competente quello di Roma. La sede della società non ha, infatti, alcuna
rilevanza ai fini di individuare il luogo di inizio della consumazione.
Occorre, quindi, applicare le regole suppletive, che fissano criteri presuntivi
per la determinazione della competenza (art. 9 c.p.p.). Ora, ritiene la Corte
che ben possano assumere rilevanza elementi presuntivi che valgano a radicare
la competenza territoriale nel luogo in cui il sodalizio criminoso si manifesti
per la prima volta all'esterno, nel luogo cioè in cui si concretino i primi
segni della sua operatività, ragionevolmente sintomatici della genesi
dell'associazione nello spazio (Cass., sez. I, c.c.
26 ottobre 1994, rv 203609), e che, se ancora non sia
- come nel caso - sufficiente neppure tale criterio, possano essere utilizzati
criteri desumibili dai reati fine, particolarmente nel caso in cui essi siano
stati commessi tutti nello stesso luogo e siano tutti della stessa tipologia
(come contestato agli odierni indagati). Può, quindi, ritenersi operante il
criterio dell'ultimo reato fine (Cass.sez. VI, u.p. 21 maggio 1998, Caruana e
altri, rv 213573) consumato dai componenti
dell'associazione, che, nel caso, coincide con l'ultima manipolazione del
sistema informatico conseguente all'ultima telefonata eseguita (cioè Brindisi),
con l'effetto che il motivo di ricorso deve essere disatteso.
Anche il motivo di ricorso sub a) è infondato.
Oggetto del ricorso per Cassazione non è l'ordinanza impositiva, bensì
l'ordinanza pronunciata in sede di riesame. Ed è noto, al riguardo,
l'orientamento consolidato della giurisprudenza di questa Corte, la quale dopo
una sentenza delle Sezioni Unite sul punto (Cass.
Sez. un. C.c. 17 aprile 1996, Moni, rv 205257) si è stabilmente attestata (ex plurimis, v.Cass. sez. V, c.c. 6
maggio 1999, Lezzi, rv 213766; Cass.
sez. II, c.c. 23 gennaio 1998, trimboli, 212768, Cass. sez. I, c.c. 29 maggio 1997, Chiocchia
e altri, rv. 207981) nel ritenere l'integrazione
della motivazione dell'ordinanza custodiale conquella del provvedimento di riesame e viceversa, di modo
che non può dedursi nel giudizio di legittimità la carenza o la illogicità
della motivazione, ove dai due provvedimenti sia possibile desumere
compiutamente le ragioni che hanno indotto i giudici di merito ad applicare e a
mantenere il provedimento cautelare e poiché nella
specie l'ordinanza del Tribunale del riesame è ampiamente motivata in ordine ad
ogni questione attinente (come subito si vedrà) alla sussistenza dei
presupposti della misura, il motivo va disatteso.
E' ugualmente infondato il motivo di ricorso sub b).
Con il primo profilo della doglianza la ricorrente censura il provvedimento
impugnato nella parte in cui ritiene configurabile il reato di frode
informatica, non essendo - a suo avviso - il centralino telefonico della
"X" di Brindisi un sistema informatico.
Tale censura è priva di consistenza.
Va, infatti, osservato che, prima di ritenere "sistema informatico"
il centralino telefonico, l'ordinanza si dilunga nello spiegare che
"sistema informatico" è la stessa rete telefonica di cui si serve la
filiale "X" di Brindisi.
La legge 23 dicembre 1993, n. 547, che ha introdotto nel codice penale i
cosiddetti computer's crimes,
non definisce il sistema informatico, oggetto della sua tutela, dandone per
presupposta la nozione.
Sulla base del dato testuale pare comunque che si debba ritenere che
l'espressione "sistema informatico" contenga in sé il concetto di una
pluralità di apparecchiature destinate a compiere una qualsiasi funzione utile
all'uomo, attraverso l'utilizzazione (anche in parte) di tecnologie
informatiche. Queste ultime, come si è rilevato in dottrina, sono
caratterizzate dalla registrazione (o "memorizzazione"), per mezzo di
impulsi elettronici, su supporti adeguati, di dati, cioè di rappresentazioni
elementari di un fatto, effettuata attraverso simboli (bit) numerici
("codice"), in combinazioni diverse: tali "dati", elaborati
automaticamente dalla macchina, generano le informazioni costituite "da un
insieme più o meno vasto di dati organizzati secondo una logica che consenta
loro di attribuire un particolare significato per l'utente).
Ora, come ha correttamente evidenziato il Giudice a quo, le linee telefoniche
utilizzano, nel'epoca moderna, normalmente, tali
tecnologie. La funzione di trasmissione delle comunicazioni si attua, invero,
con la conversione (codificazione) dei segnali (nel caso fonici) in forma di
flusso continuo di cifre (bit) e nel loro trasporto in tale forma all'altro
estremo, dove il segnale di origine viene ricostruito (decodificazione) e
inoltrato, dopo essere stato registrato in apposite memorie. Si tratta, cioè,
del flusso di comunicazioni relativo a sistemi informatici di cui all'art. 266
bis c.p.p. introdotto dalla stessa l. 547/1993 nel codice di procedura penale,
al quale è stata estesa la disciplina delle intercettazioni telefoniche.
Non solo. Secondo il corretto apprezzamento del Giudice di merito, essendo le
linee telefoniche utilizzate anche per il flusso dei cosiddetti "dati
esterni alle conversazioni" (numero dell'abbonato chiamante, numero
dell'abbonato chiamato, numero degli scatti, data e ora di inizio della chiamata
e durata della stessa), i quali vengono tutti memorizzati e trattati (compresa
la stampa dei tabulati) con tecnologie informatiche (si veda, al riguardo. Cass. Sez.
un. C.c.
13 luglio 1998, Gallieri, rv
211197, pur se pronunciata sull'affine sistema di telefonia mobile), anche per
altro verso si deve giungere a ritenere la sussistenza, in concreto, dei
presupposti per l'applicazione dell'art. 640 ter c.p.
Infine, il Giudice di merito, ha messo in evidenza come anche il centralino
della sede "X" di Brindisi (che la ricorrente ritiene una semplice
"agenda" e come tale non rientrante nei sistemi informatici) abbia la
natura, a sua volta, di sistema informatico, rilevando che la selezione delle
telefonate extraurbane, attraverso i cosiddetti numeri brevi, avviene per mezzo
di tecnologie informatiche, di memorizzazione, cioè, di dati che permettono
l'utilizzazione delle linee solo per la chiamata di determinate utenze e non di
altre.
Alla luce di tali caratteristiche di fatto in ordine alle tecnologie utilizzate
dai sistemi in discussione, la cui verifica compete al Giudice di merito e non
è sindacabile davanti al Giudice di legittimità se sorretta - come nel caso -
da motivazione adeguata, il primo profilo della censura deve essere disatteso.
Quanto al secondo aspetto della doglianza, con il quale la P. sostiene la non
configurabilità del reato di associazione per delinquere nei suoi riguardi,
correttamente nell'ordinanza impugnata si afferma che risulta dalle
intercettazioni telefoniche lo stabile rapporto dell'indagata con tutti i
componenti dell'organizzazione finalizzata alla commissione dei reati di frode
informatica, con il ruolo di "tenere i contatti con il D. L., al quale
fornisce i numeri da chiamare, dà istruzioni sull'attività da compiere (ad
esempio sui tempi delle telefonate, in modo da evitare sospetti e controlli,
comunica i risultati del suo lavoro"; la P., a sua volta, riceve dallo Scognmamiglio i numeri telefonici e i compensi per
l'attività fraudolenta in questione": v. il contenuto delle
intercettazioni nn. 42, 62, 75, 97, 100, 281, 304 e
333 alla pag. 7 dell'ordinanza alla quale si rimanda. Anche se l'ordinanza
rileva che, allo stato delle indagini, non risultano chiari i rapporti D. V. -
P. - S., ricorrono, comunque, a carico della P. indizi significativi e tali da
poter costituire la base giuridica per l'emissione del provvedimento cautelare,
anche per quanto attiene al reato di cui all'art. 416 c.p., non occorrendo,
com'è noto, in sede cautelare, una prova pena del fatto, ma semplicemente gravi
indizi di colpevolezza.
E', infine, infondato, il motivo sub c).
Il Giudice di merito mostra, infatti ,di aver tenuto conto non solo delle
peculiari modalità delle condotte ("in considerazione della struttura e
dei caratteri dell'associazione, che, allo stato, non appare territorialmente
circoscritta, né limitata ai soli oggetti sinora individuati"),
particolarmente gravi anche per l'entità dei profitti già conseguiti e del
danno arrecato, ma anche della personalità dell'indagata (senza che abbia
rilievo decisivo l'insussistenza di precedenti penali, peraltro già valutati in
occasione della sostituzione della misura), denotante una notevole capacità
criminale, e dello stato delle indagini, che non hanno ancora completamente
chiarito l'assetto associativo (pur avendone evidenziato - come già detto -
chiari segnali di presenza e di organizzazione), per cui appaiono tutt'altro
che carenti e illogiche le argomentazioni del provvedimento impugnato
riguardanti sia il pericolo per la genuinità delle fonti di prova, sia il
pericolo di reiterazione dei reati (con i medesimi - o altri - meccanismi e con
l'utilizzazione di utenze telefoniche diverse), sia l'indispensabilità della
custodia in atto, già sostituita con la meno afflittiva misura degli arresti
domiciliari, a scopo cautelare.
Il ricorso del Procuratore della Repubblica è, invece, fondato.
Non risulta che questa Corte abbia avuto occasione di esprimersi in ordine
all'oggetto giuridico della tutela approntata dall'art. 615 ter c.p.
Indubbiamente la collocazione sistematica della norma nella sezione IV
(concernente i delitti contro l'inviolabilità del domicilio) del capo III del
titolo XIII del libro II, riguardante i delitti in particolare, dà ragione
dell'intenzione del legislatore - il quale ha preso a parametro il "domicilio
fisico" dell'individuo - di assicurare la protezione del "domicilio
informatico", quale spazio ideale (ma anche fisico in cui sono contenuti i
dati informatici), di pertinenza della persona, al quale estendere la tutela
della riservatezza della sfera individuale, quale bene anche costituzionalmente
protetto (art. 14 Cost.), come non manca di notare,
del resto, la Relazione al disegno di legge 23 dicembre 1993, n. 547.
La dottrina che si è occupata del problema è, però, divisa sull'estensione da attribuire
alla garanzia offerta dal legislatore del 1993 con la norma in argomento,
sostenendosi da parte di alcuni (proprio per la collocazione sistematica della
norma) che lo scopo avuto di mira dal legislatore sia stato quello di tutelare
soltanto i contenuti personalissimi (cioè attinenti al diritto alla
riservatezza della vita privata) dei sistemi informatici (teoria alla quale ha
evidentemente ritenuto di aderire il tribunale di Lecce, il quale ha ritenuto
che, pur essendosi il D. L. introdotto nel sistema informatico "X",
non sia stato violato l'ambito di riservatezza individuale di alcuno), mentre
v'è chi riconosce che la norma in parola debba estendersi nel senso che essa
abbia ad oggetto lo jus excludendi
del titolare del sistema informatico, quale che sia il contenuto dei dati
racchiusi in esso, purchè attinente alla propria
sfera di pensiero o alla propria attività (lavorativa e non).
Ora,
sembra alla Corte che debba preferirsi quest'ultimo indirizzo, per la ragione
che esso meglio si attaglia alla lettera e allo scopo della legge: alla
lettera, perché la norma non opera distinzioni tra sistemi a seconda dei
contenuti (esclusivamente limitandosi ad accordare tutela ai sistemi protetti
da misure di sicurezza); alla ratio legis
soprattutto, perché la prima interpretazione implicherebbe l'esclusione dalla
tutela - irragionevolmente e verosimilmente in senso contrario all'intenzione
del legislatore - di aspetti non secondari, quali per esempio, quelli connessi
ai profili economico - patrimoniali dei dati (si pensi al diritto dei titolari
di banche dati protette da misure di sicurezza di permettere l'eccesso alle
informazioni dietro pagamento di un canone), lasciando quindi sforniti di
protezione i diritti di enti e persone giuridiche, non tanto per essere incerta
l'estensione a tali categorie soggettive della tutela della riservatezza e in
genere dei diritti della personalità (per l'estensione delle norme sulla
violazione di domicilio alle persone giuridiche, v. per esempio, Cass. sez. II, 6 maggio 1983, Saraceno, rv
161358; Cass. sez. I, 2 febbraio 1979, Passalacqua, rv 142131) ma piuttosto perché principalmente fra dette
categorie si rinvengono soggetti titolari di sistemi informatici protetti da
misure di sicurezza (enti, anche pubblici, grandi società commerciali) per i
quali lo jus excludendi è
correlato prevalentemente, se non esclusivamente, a diritti di natura economico
patrimoniale.
D'altra parte, con il riferimento al "domicilio informatico", sembra
che il legislatore abbia voluto individuare il luogo fisico - come sito in cui
si può estrinsecarsi la personalità umana nel quale è contenuto l'oggetto della
tutela (qualsiasi tipo di dato e non i dati aventi ad oggetto particolari
contenuti), per salvaguardarlo da qualsiasi tipo di intrusione (ius exludendi alios),
indipendentemente dallo scopo che si propone l'autore dell'abuso. Pare,
infatti, che una volta individuato nell'accesso abusivo a sistema informatico
un reato contro la libertà individuale, il legislatore sia stato quasi
"costretto" dalla sistematica del codice a quel tipo di collocazione,
senza però che con la collocazione stessa si sia voluto anche individuare, in
via esclusiva, il bene protetto con riferimento alle norme sulla violazione di
domicilio, cioè la pax domestica ovvero la quiete e la riservatezza della vita
familiare.
Va, inoltre, considerato che ove il legislatore ha avuto l'intento di tutelare
la privacy vi ha espressamente fatto riferimento in modo inequivocabile, sia
nella legislazione meno recente (v. la l. 8 aprile 1974, n. 98, il cui art. 1
ha introdotto nel codice penale, sotto la rubrica "interferenze illecite
nella vita privata" l'art. 615 bis, sia in quella più vicina (v. la l. 31
dicembre 1996, n. 675, sulla "Tutela delle persone o di altri soggetti rispetto
al trattamento dei dati personali").
Per altro verso, sembra a questa Corte che non possa dubitarsi della
possibilità di un concorso di reati fra l'accesso abusivo a un sistema
informatico e la frode informatica: la condotta di accesso non ha a che vedere
con il reato di frode informatica, il quale ultimo è necessariamente
caratterizzato dalla manipolazione del sistema ("alterando in qualsiasi
modo il funzionamento" oppure "intervenendo senza diritto con
qualsiasi modalità su dati, informazioni o programmi", secondo le formule
utilizzate dalla norma), che non è prevista né richiesta per il reato di
accesso abusivo (senza considerare la diversità di beni giuridici tutelati, la
diversità dell'elemento soggettivo e la non completa sovrapponibilità delle due
figure, anche per prevedere l'art. 615 ter la sola tutela dei sistemi protetti
da misure di sicureza, caratteristica che non si
rinviene nel reato di frode informatica).
Nel caso di specie la contemporanea violazione delle due norme si è realizzata
secondo lo schema tipico del concorso formale, in quanto già indagati, con una
sola azione (digitazione del numero telefonico), si sono introdotti
abusivamente nel sistema informatico e, nello steso tempo, lo hanno manipolato
in modo da eludere il blocco delle telefonate extraurbane, contestualmente
procurandosi l'ingiusto profitto con altrui danno.
Conclusivamente può affermarsi che, con giudizio di merito congruamente e
logicamente motivato e, pertanto insindacabile in questa sede di legittimità, è
rimasto accertato che, nella specie, sia la rete telefonica di cui si serve la
"X" di Brindisi, sia il centralino telefonico della filiale
costituiscono un sistema che si avvale di tecnologie informatiche secondo
quanto descritto nelle pagine 4 e 5 dell'ordinanza impugnata, nelle quali si
precisa che: 1) la trasmissione delle conversazioni in rete avviene con sistema
elettronico che consente il trasporto dei segnali (bit) in forma numerica
(sistema digitale) mediante automatica codificazione e decodificazione
(registrando tali dati in memorie su supporti adeguati); 2) il centralino è
protetto da misure di sicurezza costituite dal blocco della selezione
internazionale; 3) la "X" opera un trattamento automatico delle
informazioni afferenti ai cosiddetti "dati esterni" al flusso delle
conversazioni, che vengono registrati e (all'occorrenza) stampati su tabulati
da cui è dato desumere il nome dell'abbonato chiamante, il numero dell'abbonato
chiamato, il numero degli scatti, la data, l'ora e l'inizio della chiamata). E
poiché in base alle suesposte considerazioni si è verificato un abusivo accesso
- rilevante penalmente ex art. 615 ter c.p. - nei sistemi informatici di
pertinenza della "X" da parte degli indagati, allo scopo di
commettere l'ulteriore reato di frode informatica, l'ordinanza impugnata va
annullata con rinvio al Tribunale di Lecce per nuovo giudizio sulla base dei
principi sopra detti, limitatamente alla parte in cui esclude l'applicabilità
della norma da ultimo citata.
La ricorrente va condannata - ex lege - al pagamento
delle spese processuali.
P.Q.M.
In accoglimento del ricorso del P.M. annulla l'impugnata ordinanza per quanto
riguarda il reato di cui all'art. 615 ter c.p. e rinvia per nuovo esame al
Tribunale di Lecce.
Rigetta il ricorso di N. P. che condanna al pagamento delle spese processuali.
Roma, 4 ottobre 1999