Corte di cassazione - Sezione V penale - Sentenza 7 novembre-6 dicembre 2000 n. 12732
(Presidente Foscarini; Relatore Nappi;
Pm - parzialmente difforme - Ranieri; Ricorrente Zara e altro)

Motivi della decisione
1. Con la sentenza impugnata la Corte d'appello di Torino confermò la dichiarazione di colpevolezza di Aristide Zara e di Domenico Minieri in ordine al delitto di accesso abusivo al sistema informatico della Cediva s.r.l., gestrice di contabilità per conto terzi, e dichiarò colpevole del medesimo reato, quale autore materiale dei fatti, il programmatore Vincenzo Badolato, che in primo grado ne era stato assolto per difetto di dolo. Risulta dalle sentenze di merito che Aristide Zara, già socio di Franco Vattasso nella Cediva, nel 1994 era uscito dalla società per intraprendere analoga attività con il commercialista Domenico Minieri, già collaboratore esterno della Cediva, e, non avendo ottenuto di poter utilizzare come locatario l'impianto informatico della società, ne aveva copiato i dati su un analogo calcolatore con l'aiuto di Vincenzo Badolato, facilitandosi così l'acquisizione di un gran numero di clienti della Cediva.
Ricorrono per cassazione gli imputati, che hanno proposto cinque motivi d'impugnazione.
Con il primo motivo i ricorrenti lamentano mancanza di motivazione sul motivo d'appello con il quale era stato dedotto che Vincenzo Badolato e il suo datore di lavoro Vittorio Congedo, proprietario del programma concesso in uso sia alla Cediva sia a Aristide Zara e Domenico Minieri, avevano diritto di copiare e modificare il software. E con il connesso terzo motivo si lamenta che i giudici d'appello abbiano omesso di considerare il fatto, ben valorizzato invece dal tribunale, che Vincenzo Badolato agiva su disposizioni di Vittorio Congedo e non aveva motivo di dubitare della legittimità di tali disposizioni anche con riferimento alle copie effettuate in favore di Aristide Zara e Domenico Minieri.
Con il secondo motivo i ricorrenti deducono violazione dell'art. 615-ter c.p., lamentando che i giudici del merito abbiano ritenuto configurabile il reato contestato anche in mancanza di protezione in materia di sicurezza interna al sistema, mentre la dottrina è concorde nell'escludere la rilevanza di protezioni esterne.
Con il quarto motivo i ricorrenti deducono mancanza di motivazione in ordine alla determinazione della pena, irrogata in misura identica a tutti gli imputati, senza alcuna considerazione per le diverse posizioni soggettive.
Con il quinto motivo infine i ricorrenti deducono violazione dell'art. 538 comma 1 c.p.p., lamentando che i giudici del merito si siano pronunciati su una domanda in realtà non proposta dalla parte civile Cediva, che, costituitasi per il reato di cui all'art. 640-ter c.p. originariamente contestato, non aveva rinnovato la costituzione anche per il reato chi cui all'art. 615-ter c.p., contestato in udienza.
I motivi del ricorso sono stati successivamente illustrati con ampia memoria depositata il 10 maggio 2000.
Una memoria è stata altresì depositata dalla parte civile.
2. Il ricorso deve essere rigettato.
Il primo motivo del ricorso, come il motivo d'appello cui si riferisce per lamentarne l'immotivato rigetto, non distingue tra il programma informatico, di cui si assume fosse proprietario Vincenzo Congedo, e i dati informatici, che erano certamente nell'esclusiva disponibilità della Cediva. Ma l'ipotesi d'accusa di cui si discute presuppone proprio quella distinzione, perché la parte civile si lamenta d'un accesso abusivo finalizzato alla riproduzione dei dati informatici, non del software, sicché era manifestamente infondato il motivo d'appello con il quale si deduceva inesistenza del reato in relazione al diritto di Congedo, del proprietario del programma, di copiarlo e aggiornarlo. E secondo una consolidata giurisprudenza di questa Corte, deve essere considerato privo di fondamento il motivo del ricorso per cassazione con il quale si deduca mancanza di motivazione in ordine a un motivo d'appello inammissibile o manifestamente infondato (Cass., sez. 1, 23 marzo 1987, Imbimbo, m. 176707; Cass., sez. 1, 28 settembre 1987, Cisco, m. 177007; Cass., sez. 4, 26 settembre 1990, Pilloni, m. 185682; Cass., sez. 1, 5 marzo 1991, Calò, m. 186972; Cass., sez. 5, 18 febbraio 1992, Cremonini, m. 189818; Cass., sez. 1, 28 marzo 1996, Bruno, m. 204548).
Ne consegue anche l'inammissibilità, per violazione dell'art. 606 comma 3 c.p.p., del terzo motivo del ricorso, con il quale si lamenta l'erronea affermazione della responsabilità di Vincenzo Badolato, perché, una volta chiarita la distinzione tra i dati informatici e il programma destinato a elaborarli, la censura rimane riferibile a una mera valutazione di merito circa la consapevolezza da parte dell'imputato di una tale distinzione e della conseguente illeciti della copia dei dati.
Il secondo motivo del ricorso pone il problema della natura della protezione di sicurezza rilevante ai fini della configurabilità del delitto previsto dall'art. 615-ter c.p.
La corte d'appello ha ritenuto che, ai fini della configurabilità del reato, assumano rilevanza non solo le protezioni interne al sistema informatico, come le chiavi d'accesso, ma anche le protezioni esterne, come la custodia degli impianti, in particolare quando, come nel caso in esame, si tratti di banche dati private, per definizione interdette a coloro che sono estranei all'impresa che la gestisce.
I ricorrenti sostengono, invece, che soltanto la protezione interna al sistema è idonea a manifestare la volontà del proprietario di escludere terzi, come dimostrerebbe il fatto che il D.P.R. n. 318 del 1999 richiede come necessaria una chiave d'accesso nel trattamento dei dati personali.
Il motivo di ricorso è infondato.
L'art. 615-ter comma 1 c.p. punisce non solo chi s'introduce abusivamente in un sistema informatico o telematico, ma anche chi "vi si mantiene contro la volontà esplicita o tacita di chi ha il diritto di escluderlo". Ne consegue che la violazione dei dispositivi di protezione del sistema informatico non assume rilevanza di per sé, bensì solo come manifestazione di una volontà contraria a quella di chi del sistema legittimamente dispone.
Non si tratta perciò di un illecito caratterizzato dall'effrazione dei sistemi protettivi, perché altrimenti non avrebbe rilevanza la condotta di chi, dopo essere legittimamente entrato nel sistema informatico, vi si mantenga contro la volontà del titolare. Ma si tratta di un illecito caratterizzato appunto dalla contravvenzione alle disposizioni del titolare, come avviene nel delitto di violazione di domicilio, che è stato notoriamente il modello di questa nuova fattispecie penale, tanto da indurre molti a individuarvi, talora anche criticamente, la tutela di un "domicilio informatico".
Certo è necessario che l'accesso al sistema informatico non sia aperto a tutti, come talora avviene soprattutto quando si tratti di sistemi telematici. Ma deve ritenersi che, ai fini della configurabilità del delitto, assuma rilevanza qualsiasi meccanismo di selezione dei soggetti abilitati all'accesso al sistema informatico, anche quando si tratti di strumenti esterni al sistema e meramente organizzativi, in quanto destinati a regolare l'ingresso stesso nei locali in cui gli impianti sono custoditi. Ed è certamente corretta, in questa prospettiva, la distinzione operata dalla Corte d'appello tra le banche dati offerte al pubblico a determinate condizioni e le banche dati destinate a un'utilizzazione privata esclusiva, come i dati contabili, di un'azienda. In questo secondo caso è evidente, infatti, che, anche in mancanza di meccanismi di protezione informatica, commette il reato la persona estranea all'organizzazione che acceda ai dati senza titolo o autorizzazione, essendo implicita, ma intuibile, la volontà dell'avente diritto di escludere gli estranei.
D'altro canto, l'analogia con la fattispecie della violazione di domicilio deve indurre a concludere che integri la fattispecie criminosa anche chi, autorizzato all'accesso per una determinata finalità, utilizzi il titolo di legittimazione per una finalità diversa e, quindi, non rispetti, le condizioni alle quali era subordinato l'accesso. Infatti, se l'accesso richiede un'autorizzazione e questa è destinata a un determinato scopo, l'utilizzazione dell'autorizzazione per uno scopo diverso non può non considerarsi abusiva. Sicché correttamente i giudici del merito hanno ritenuto configurabile il reato nella condotta di Vincenzo Badolato, che, autorizzato all'accesso per controllare la funzionalità del programma informatico, si avvalse dell'autorizzazione per copiare i dati da quel programma gestiti.
Privo di qualsiasi pertinenza al caso in esame è, infine, il "regolamento recante norme per l'individuazione delle misure minime di sicurezza per il trattamento dei dati personali, a norma dell'art. 15 comma 2 della legge 31 dicembre 1996, n. 675". Infatti la mancata adozione delle misure minime di sicurezza nel trattamento di dati personali è prevista come reato dall'art. 36 della legge n. 675 del 1996; ma evidentemente la consumazione di questo reato non esime, comunque, da responsabilità chi violi i pur insufficienti meccanismi di protezione esistenti.
Il quarto motivo del ricorso è inammissibile per violazione dell'art. 606 comma 3 c.p.p., perché propone censure attinenti al merito della decisione impugnata, congruamente giustificata con riferimento alla ritenuta gravità della violazione del rapporto fiduciario con la parte lesa, comune a tutti gli imputati.
Come s'è detto, con il quinto motivo i ricorrenti deducono violazione dell'art. 538 c.p.p., lamentando che i giudici del merito si siano pronunciati su una domanda di risarcimento danni non proposta dalla parte civile per il reato di cui all'art. 615-ter c.p., contestato in udienza. Tuttavia gli stessi ricorrenti riconoscono che, sin dal primo grado del Giudizio, la parte civile concluse chiedendo la condanna degli imputati al risarcimento anche dei danni derivanti dal reato previsto dall'art. 615-ter c.p. sicché non si può dire che i giudici del merito si siano pronunciati su una domanda non proposta.
In realtà i ricorrenti pongono una questione diversa da quella formalmente enunciata, perché essi lamentano che per il nuovo reato contestato in udienza non v'era stata costituzione di parte civile; e sostengono che una tale rinnovata costituzione sarebbe stata invece necessaria, secondo quanto previsto anche dalla sentenza n. 98 del 1996 della Corte costituzionale. Sennonché la giurisprudenza di questa Corte, richiamata anche dalla Corte costituzionale, ha ben chiarito che occorre distinguere tra la posizione della persona offesa non costituita, che in caso di nuove contestazioni ha diritto alla sospensione del dibattimento onde potersi eventualmente costituire parte civile per la nuova udienza, e il caso della persona offesa già costituita parte civile, che ha un analogo diritto, ma solo "in vista della possibile modifica, sotto il profilo tanto della causa petendi quanto del petitum, del già costituito rapporto processuale" (Cass., sez. III, 27 settembre 1995, Roncati). Sicché, per la parte civile già costituita non occorre rinnovare la costituzione in relazione al nuovo reato contestato in udienza all'imputato, ma è sufficiente modificare la domanda già proposta. E nel caso in esame deve ritenersi che un idoneo aggiornamento della domanda si ebbe appunto con la formulazione delle conclusioni in chiusura del dibattimento di primo grado.
Il ricorso va pertanto, rigettato.

La Corte rigetta il ricorso