In tema di valutazione della prova indiziaria, il giudice di merito non può limitarsi ad una valutazione atomistica e parcellizzata degli indizi, né procedere ad una mera sommatoria di questi ultimi, ma deve valutare, anzitutto, i singoli elementi indiziari per verificarne la certezza (nel senso che deve trattarsi di fatti realmente esistenti e non solo verosimili o supposti), saggiarne l’intrinseca valenza dimostrativa (di norma solo possibilistica) e poi procedere ad un esame globale degli elementi certi, per accertare se la relativa ambiguità di ciascuno di essi, isolatamente considerato, possa in una visione unitaria dissolversi, consentendo di attribuire il reato all’imputato al di là di ogni ragionevole dubbio e, cioè, con un alto grado di credibilità razionale, sussistente anche qualora le ipotesi alternative, pur astrattamente formulabili, siano prive di qualsiasi concreto riscontro nelle risultanze processuali ed estranee all’ordine naturale delle cose e della normale razionalità umana.
Il sindacato sulla correttezza del procedimento indiziario non può consistere nella rivalutazione della gravità, della precisione e della concordanza degli indizi - dato che ciò comporterebbe inevitabilmente apprezzamenti riservati al giudice di merito - ma deve piuttosto tradursi nel controllo sulla tenuta logico-giuridica della motivazione, così da verificare se sia stata data esatta applicazione ai parametri normativi, dettati dall’art. 192 c.p.p., comma 2, e se siano state coerentemente applicate le regole della logica nell’interpretazione dei risultati probatori.
Il delitto di accesso abusivo ad un sistema informatico può concorrere con quello di frode informatica, diversi essendo i beni giuridici tutelati e le condotte sanzionate, in quanto il primo tutela il domicilio informatico sotto il profilo dello "ius excludendi alios", anche in relazione alle modalità che regolano l’accesso dei soggetti eventualmente abilitati, mentre il secondo contempla l’alterazione dei dati immagazzinati nel sistema al fine della percezione di ingiusto profitto.
Corte di Cassazione
sez. II Penale, sentenza 29 maggio – 17 giugno 2019, n. 26604
Presidente Diotallevi – Relatore Pacilli
Ritenuto in fatto
1. Con sentenza del 18/4/2018, la Corte d’appello di Roma ha confermato la responsabilità degli imputati F.S. , F.A. e P.M. in ordine ai reati di cui agli artt. 615 ter e 640 ter c.p. (capi b e d) della rubrica), nonché, in parziale riforma della sentenza del 6/7/2016, emessa dal Tribunale di Roma - appellata sia dagli imputati che dalla parte civile - ha riconosciuto gli stessi responsabili anche in ordine al reato di cui all’art. 617 quater c.p. (capo c). Per l’effetto, stante la revoca di costituzione di parte civile nei confronti di F.A. e S. , ha condannato il solo P. al risarcimento del danno in favore della parte civile anche in ordine al reato di cui all’art. 617 quater c.p., rimettendo le parti dinanzi al giudice civile per la liquidazione.
2. Hanno proposto ricorso per cassazione tutti gli imputati, a mezzo dello stesso difensore di fiducia, deducendo, quali motivi comuni:
2.1. violazione di legge e vizio di motivazione ex art. 606, lett. b) ed e), per inosservanza ed illogica valutazione dei canoni normativi in materia di prova indiziaria, con riferimento all’art. 615 ter c.p., commi 1 e 2, n. 1. Difatti, secondo la prospettazione difensiva, la Corte d’appello di Roma avrebbe confermato la responsabilità degli imputati in ordine al reato di accesso abusivo ad un sistema informatico o telematico sulla base di mere congetture e forzature dei dati indiziari, sprovvisti dei caratteri della gravità, precisione e concordanza. In particolare, la difesa ha rappresentato che il computer della Master Mediazione Creditizia, nel quale erano stati rinvenuti alcuni dati della Pitagora S.p.a., non era nella disponibilità dei fratelli F. e che il perito Dott. O. si era dichiarato impossibilitato a stabilire quando, come e chi fosse entrato effettivamente nel server della società P. S.p.a.;
2.2. violazione di legge e vizio di motivazione ex art. 606, lett. b) ed e), in ordine alla sussistenza del reato di frode informatica di cui all’art. 640 ter c.p., nonché in ordine all’art. 192 c.p.p., comma 2, in materia di prova indiziaria. Secondo la difesa, ai fini dell’integrazione dell’elemento materiale del reato in questione, sarebbe necessaria una condotta di alterazione ovvero di manipolazione sul sistema informatico, e non un semplice intervento invito domino su dati, informazioni o programmi informatici - come ritenuto erroneamente dalla Corte, con conseguente confusione tra la fattispecie di cui all’art. 640 ter c.p. e quella di cui all’art. 615 ter c.p..
2.3 violazione di legge e vizio di motivazione ex art. 606, lett. b) ed e), in ordine alla sussistenza della fattispecie di cui all’art. 617 quater c.p., nonché all’art. 192 c.p.p., comma 2, in materia di prova indiziaria. Secondo la difesa, la condanna in ordine al suddetto reato si sarebbe fondata su un travisamento del dato probatorio, in particolare sul travisamento delle dichiarazioni del Dott. O. .
All’odierna odierna udienza pubblica, verificata la regolarità degli avvisi di rito, le parti presenti hanno concluso come da epigrafe e questa Corte, riunita in camera di consiglio, ha deciso come da dispositivo in atti, pubblicato mediante lettura in pubblica udienza.
Considerato in diritto
3. Il ricorso è inammissibile, essendo manifestamente infondati tutti i motivi di censura dedotti.
4. Con riguardo alla prima doglianza, occorre innanzitutto precisare che la prova critica (o indiretta), fondata sull’utilizzazione degli indizi, consiste essenzialmente nella deduzione di un fatto ignoto da un fatto noto, attraverso un procedimento gnoseologico che poggia su massime di esperienza - ricavate cioè dall’osservazione del normale ordine di svolgimento delle vicende naturali ed umane - alla cui stregua è possibile affermare che il fatto noto è legato al fatto da provare da un elevato grado di probabilità ovvero di frequenza statistica, che rappresenta la base giustificativa della regola di inferenza, su cui poggia il metodo logico-deduttivo della valutazione degli indizi.
La giurisprudenza di legittimità ha chiaramente enucleato i principi che regolano la prova indiziaria, sottolineando, in primo luogo, che il procedimento indiziario deve muovere da premesse certe, nel senso che devono corrispondere a circostanze fattuali non dubbie e, quindi, non consistere in mere ipotesi o congetture ovvero in giudizi di verosimiglianza (Sez. 4, n. 2967 del 25/01/1993, Rv. 193407; Sez. 2, n. 43923 del 28/10/2009, Rv. 245606).
In secondo luogo, gli indizi devono essere gravi, precisi e concordanti. L’art. 192 c.p.p., comma 2, difatti, subordina alla presenza di questi tre concorrenti requisiti l’equiparazione della prova critica (o indiretta) alla prova rappresentativa (o storica o diretta). Conseguentemente, in mancanza anche di uno solo dei suddetti requisiti, gli indizi non possono assurgere al rango di vera e propria prova, idonea a fondare la dichiarazione di responsabilità penale (Sez. 4, n. 22391 del 2/4/2003, Rv. 224962).
In particolare, il carattere della gravità degli indizi attiene alla misura della capacità dimostrativa o grado di inferenza ed esprime l’elevata probabilità di derivazione dal fatto noto di quello ignoto, in cui si identifica il tema di prova (Sez. 6, n. 3882 del 4/11/2011, Rv. 251527).
La precisione degli indizi designa, invece, la loro idoneità a fare desumere il fatto non conosciuto e varia in relazione inversa alla loro equivocità, nel senso che indizi precisi sono quelli che consentono un ristretto numero di interpretazioni, tra cui quella pertinente al fatto da provare.
La concordanza degli indizi indica, infine, la loro convergenza verso un identico risultato ed è qualificata dalle interazioni reciproche riscontrabili tra una moltitudine di indizi gravi e precisi, che - pur essendo da soli insufficienti a giustificare una determinata conclusione - acquisiscono, tuttavia, il carattere dell’univocità in ragione del reciproco collegamento e della loro simultanea convergenza in una medesima direzione, assumendo, così, il crisma della prova e l’efficacia dimostrativa che a questa inerisce (Sez. 6, n. 3882 del 4/11/2011, Rv. 251527).
In terzo luogo, la giurisprudenza di legittimità ha altresì chiarito che il procedimento logico di valutazione degli indizi si articola in due distinti momenti.
Il primo è diretto ad accertare il maggiore o il minore livello di gravità e di precisione di ciascun indizio isolatamente considerato.
Il secondo momento del giudizio di valutazione è costituito, invece, da un esame globale e unitario del quadro indiziario, tendente a dissolverne la relativa ambiguità (quae singula non probant, simul unita probant), posto che "nella valutazione complessiva ciascun indizio (notoriamente) si somma e, di più, si integra con gli altri, talché il limite della valenza di ognuno risulta superato e l’incidenza positiva probatoria viene esaltata nella composizione unitaria, sicché l’insieme può assumere il pregnante e univoco significato dimostrativo, per il quale può affermarsi conseguita la prova logica del fatto che - giova ricordare non costituisce uno strumento meno qualificato rispetto alla prova diretta (o storica) quando sia conseguita con la rigorosità metodologica che giustifica e sostanzia il principio del c.d. libero convincimento del giudice" (Sez. U, n. 6682 del 04/02/1992, Musumeci, Rv. 191230).
In sintesi, dunque, secondo l’orientamento ermeneutico oramai consolidato di questa Corte, "in tema di valutazione della prova indiziaria, il giudice di merito non può limitarsi ad una valutazione atomistica e parcellizzata degli indizi, né procedere ad una mera sommatoria di questi ultimi, ma deve valutare, anzitutto, i singoli elementi indiziari per verificarne la certezza (nel senso che deve trattarsi di fatti realmente esistenti e non solo verosimili o supposti), saggiarne l’intrinseca valenza dimostrativa (di norma solo possibilistica) e poi procedere ad un esame globale degli elementi certi, per accertare se la relativa ambiguità di ciascuno di essi, isolatamente considerato, possa in una visione unitaria dissolversi, consentendo di attribuire il reato all’imputato al di là di ogni ragionevole dubbio e, cioè, con un alto grado di credibilità razionale, sussistente anche qualora le ipotesi alternative, pur astrattamente formulabili, siano prive di qualsiasi concreto riscontro nelle risultanze processuali ed estranee all’ordine naturale delle cose e della normale razionalità umana" (cfr. Sez. 1, n. 44324 del 18/04/2013, Stasi, Rv. 258321; Sez. 1, n. 20461, del 12/04/2016, P.C. in proc. Graziadei, Rv. 266941).
4.1. Infine, deve precisarsi che, nel giudizio di legittimità, il sindacato sulla correttezza del procedimento indiziario non può consistere nella rivalutazione della gravità, della precisione e della concordanza degli indizi - dato che ciò comporterebbe inevitabilmente apprezzamenti riservati al giudice di merito - ma deve piuttosto tradursi nel controllo sulla tenuta logico-giuridica della motivazione, così da verificare se sia stata data esatta applicazione ai parametri normativi, dettati dall’art. 192 c.p.p., comma 2, e se siano state coerentemente applicate le regole della logica nell’interpretazione dei risultati probatori (Sez. 4, n. 48320 del 12/11/2009, Durante, Rv. 245880; Sez. 1, n. 1343 del 05/12/1994 - dep. 10/02/1995, Colonnetti, Rv. 200238).
Pertanto, l’esame della gravità, precisione e concordanza degli indizi da parte del giudice di legittimità si sostanzia nel mero controllo - eseguito con il ricorso ai consueti parametri della completezza, della correttezza e della logicità del discorso motivazionale - sul rispetto, da parte del giudice di merito, dei criteri dettati in materia di valutazione delle prove dall’art. 192 c.p.p. (Sez. 6, n. 20474 del 15/11/2002, Caracciolo, Rv. 225245; Sez. 1, n. 42993 del 25/09/2008, Pipa, Rv. 241826; Sez. 5, n. 4663 del 19/12/2014, Larotondo e altri, Rv. 258721).
4.2. Orbene, sulla base delle argomentazioni svolte, appare coerente e logico l’apparato motivazionale della sentenza impugnata, laddove la Corte romana ha affermato la sussistenza del reato di cui all’art. 615 ter c.p., sulla base di un quadro indiziario che, globalmente considerato, risulta sintomatico della responsabilità degli imputati. Difatti, essi, avendo lavorato fino al 2009 per la P. S.p.a. come agenti e responsabili della filiale, conoscevano perfettamente le modalità operative dell’azienda e soprattutto, conoscendone le credenziali e le password, potevano accedere al sistema informatico in uso alla predetta società. Conseguentemente, sapevano come procurarsi i dati sensibili per lo svolgimento di attività di impresa in modo concorrenziale con l’ex società con cui avevano lavorato, avendone conservato le password di accesso - cambiate solo nel febbraio 2011, momento questo a partire dal quale, come precisato dal teste Pa. , lo sviamento della clientela era cessato (cfr. p. 3). Inoltre, gli imputati avevano creato una società - la MMC S.r.l. - che procacciava clienti (cfr. p. 5), sviandoli dalla Pitagora in favore della concorrente IBL, e che svolgeva nel Lazio attività finanziaria sempre in concorrenza con l’ex azienda datrice di lavoro. Infine, con l’ausilio dell’esperto Dott. O. , nei pc in uso agli imputati presso la MMC S.r.l. e presso l’abitazione del P. erano stati rinvenuti dati e documenti inerenti l’attività commerciale svolta dalla P. S.p.a. (cfr. p. 3 e 4). Ad ulteriore conferma, poi, della riferibilità dei fatti in oggetto agli imputati, si rilevava che, all’epoca dei fatti, il P. era amministratore della M, mentre i fratelli F. erano i responsabili di fatto della predetta società.
Pertanto, alla luce di un tale grave compendio istruttorio, rispetto al quale, peraltro, non veniva allegata né dagli imputati né dalla corrispondente difesa alcuna verosimile ricostruzione alternativa, la Corte d’appello di Roma considerato che solo gli imputati, in quanto ex dipendenti, potevano accedere abusivamente al sistema informatico della P. S.p.a., conoscendone le relative password, e considerato altresì il loro presumibile interesse a sviare a proprio vantaggio i dati sensibili così carpiti - ha ragionevolmente concluso, con motivazione logica ed adeguata, nel senso dell’affermazione di responsabilità per il reato di cui all’art. 615 ter c.p..
5. Anche il secondo motivo è manifestamente infondato.
5.1. Quanto alla struttura del reato di cui all’art. 640 ter c.p., va osservato che la norma in questione incrimina due condotte.
La prima consiste nell’alterazione, in qualsiasi modo, del funzionamento di un sistema informatico o telematico. Per alterazione deve intendersi ogni attività o omissione che, attraverso la manipolazione dei dati informatici, incida sul regolare svolgimento del processo di elaborazione e/o trasmissione dei suddetti dati e, quindi, sia sull’hardware che sul software. In altri termini, il sistema continua a funzionare ma, appunto, in modo alterato rispetto a quello originariamente programmato. Per sistema informatico o telematico deve intendersi un complesso di apparecchiature destinate a compiere una qualsiasi funzione utile all’uomo, attraverso l’utilizzazione (anche parziale) di tecnologie informatiche, che sono caratterizzate - per mezzo di un’attività di codificazione e decodificazione - dalla registrazione o memorizzazione, per mezzo di impulsi elettronici, su supporti adeguati, di dati, ossia di rappresentazioni elementari di un fatto, effettuata attraverso simboli (bit), in combinazione diverse, e dall’elaborazione automatica di tali dati, in modo da generare informazioni, costituite da un insieme più o meno vasto di dati organizzati secondo una logica che consenta loro di esprimere un particolare significato per l’utente.
La seconda condotta, prevista dall’art. 640 ter c.p., è costituita dall’intervento senza diritto con qualsiasi modalità su dati, informazioni o programmi contenuti in un sistema informatico o telematico ad esso pertinenti. È questo un reato a forma libera che, finalizzato pur sempre all’ottenimento di un ingiusto profitto con altrui danno, si concretizza in un’illecita condotta intensiva, ma non alterativa del sistema informatico o telematico (Sez. 2, n. 13475 del 06/03/2013, Scialoia, Rv. 254911).
5.2. Con riguardo, invece, all’art. 615 ter c.p., il reato de quo risulta integrato dalla condotta di colui che - pur essendo abilitato - acceda o si mantenga in un sistema informatico o telematico protetto, violando le condizioni ed i limiti risultanti dal complesso delle prescrizioni impartite dal titolare del sistema per delimitarne oggettivamente l’accesso, rimanendo invece irrilevanti, ai fini della sussistenza del reato, gli scopi e le finalità che abbiano soggettivamente motivato l’ingresso nel sistema (SS.UU., n. 4694 del 27/10/2014, Rv. 251269).
5.3. Sulla base di queste premesse, appare corretto e coerente il tessuto motivazionale logico-giuridico, posto a sostegno della riconosciuta responsabilità degli imputati anche in ordine al reato di cui all’art. 640 ter c.p., senza che ciò comporti la sovrapposizione di quest’ultima fattispecie a quella prevista dall’art. 615 ter c.p., trattandosi difatti di fattispecie incriminatrici diverse, suscettibili di concorso formale.
Questa Corte (Sez. 5, n. 1727 del 30/09/2008, Romano, Rv. 242938) ha difatti affermato che il delitto di accesso abusivo ad un sistema informatico può concorrere con quello di frode informatica, diversi essendo i beni giuridici tutelati e le condotte sanzionate, in quanto il primo tutela il domicilio informatico sotto il profilo dello "ius excludendi alios", anche in relazione alle modalità che regolano l’accesso dei soggetti eventualmente abilitati, mentre il secondo contempla l’alterazione dei dati immagazzinati nel sistema al fine della percezione di ingiusto profitto.
Come correttamente evidenziato dalla Corte territoriale, la condotta materiale del reato di frode informatica si è sostanziata, nel caso di specie, nell’intervento invito domino - attuato tramite l’utilizzo delle password di accesso, conosciute dagli imputati in virtù del pregresso rapporto lavorativo con la P. S.p.a. - su dati, informazioni o programmi contenuti nel sistema informatico in uso alla predetta società, il tutto con il conseguimento di un ingiusto profitto (cfr. p. 5) con altrui danno, consistente nello sviamento della clientela dalla P. S.p.a..
6. Anche il terzo motivo è manifestamente infondato.
Richiamate le argomentazioni già svolte in ordine alla valutazione della prova indiziaria, appaiono coerenti e corrette le argomentazioni svolte dalla Corte d’appello per affermare la responsabilità degli imputati anche per il reato di cui all’art. 617 quater c.p.. Difatti, la Corte ha ragionevolmente ritenuto dimostrate le intercettazioni delle comunicazioni trasmesse a mezzo posta elettronica all’interno della Pitagora S.p.a., sulla base delle dichiarazioni rese dal Dott. O. , il quale, in particolare, aveva rilevato che nei pc in uso agli imputati erano presenti e-mail indirizzate alla sede centrale della Pitagora o alle filiali della stessa e che queste erano state aperte, scaricate e copiate fraudolentemente, ossia tramite l’indebito uso delle password di accesso al sistema informatico in uso all’odierna parte civile.
7. Il ricorso va, pertanto, dichiarato inammissibile e a tale declaratoria consegue la condanna dei ricorrenti al pagamento delle spese processuali nonché al versamento di una somma che, valutati i profili di colpa, si determina equitativamente in Euro 2.000,00 ciascuno a favore della Cassa delle ammende.
P.M. va anche condannato alla refusione delle spese del grado in favore della parte civile P. S.p.a., liquidate come da dispositivo.
P.Q.M.
Dichiara inammissibili i ricorsi e condanna i ricorrenti al pagamento delle spese processuali e della somma di Euro 2.000,00 ciascuno a favore della Cassa delle ammende, nonché il P.M. alla refusione delle spese del grado in favore della parte civile PITAGORA S.p.a. liquidate in Euro 3.510,00, oltre spese generali nella misura del 15%, CPA ed IVA.