Cassazione penale, sez. VI, 14 dicembre 1999, n. 3067 (Accesso abusivo a sistemi informatici e telematici - Art.615 ter c.p.)

 

Svolgimento del processo

 

Con l'ordinanza in epigrafe, il Tribunale di Lecce, in parziale accoglimento dell'istanza di riesame proposta da N. P., indagata per i reati di associazione per delinquere art. 416 c.p.), di frode informatica (art. 640 ter c.p.) e di accesso abusivo a sistema informatico (art. 615 ter c.p.), avverso il provvedimento di custodia cautelare emesso dal G.I.P. del Tribunale di Brindisi il 25 febbraio 1999, sostituiva la misura della custodia cautelare in carcere con quella degli arresti domiciliari.

La P. era stata colpita dalla ordinanza di custodia cautelare a seguito di indagini della Guardia di Finanza, promosse i esito a denuncia presentata dal responsabile della filiale di Brindisi della X S.p.a., dalle quali era emerso un consistente, anomalo traffico telefonico verso l'estero (Oceania e Isole Cook), proveniente da alcuni telefoni in uso presso la filiale stessa (non abilitati alle chiamate interurbane, salvo l'utilizzo dei cosiddetti "numeri brevi" associati a determinate frequenze esterne di ricorrente uso per esigenze di servizio della stessa "X").

Veniva, quindi, accertato che le destinazioni estere erano state raggiunte da C. D. L., dipendente della filiale (che ammetteva i fatti nell'interrogatorio davanti al G.I.P.), mediante la rapida digitazione di alcune cifre nel breve periodo intercorrente tra la selezione del "numero breve" e l'invio automatico delle cifre corrispondenti al numero stesso.

Ne era risultato un grave danno per la società telefonica (per un importo stimato di L. 120 milioni), tenuta a pagare per convenzione, agli enti gestori della telefonia nei paesi destinatari delle chiamate, l'importo derivante da tale illecito traffico telefonico, con conseguente ingiusto profitto delle persone (non identificate) che ricevevano le telefonate (in particolari i titolari di due utenze estere più frequentemente chiamate) alle quali veniva versata una parte delle somme inviate ai predetti enti gestori stranieri dalla "X" italiana.

Contemporaneamente a tali indagini, erano state attivate intercettazioni telefoniche sulle utenze di C. D. L. e della società A. S. a.r.l., con sede in Roma, dalle quali il tribunale di Lecce riteneva di poter desumere il coinvolgimento nella frode di N. P. (unitamente ai coindagati G. S. e F. D. V., oltre che il D. L.).

Peraltro, il Tribunale de libertate riconosceva la legittimità del provvedimento custodiale per i soli reati di associazione per delinquere e di frode informatica, con esclusione di quello di abusivo accesso a sistema informatico, in quanto, sulla premessa che la norma dell'art. 615 ter c.p. tuteli esclusivamente la riservatezza individuale dei soggetti che a tali sistemi possono legittimamente accedere, escludeva che una tale violazione si fosse verificata nel caso di specie, in quanto i coindagati si erano limitati a fare le telefonate incriminate, ma non aveva ottenuto, con tale azione, alcuna informazione riservata che potesse ledere la riservatezza di chicchessia.

 

Avverso il provvedimento del Tribunale di Lecce ricorrono sia la P., per mezzo del difensore, Avv. C. I., sia il Procuratore della Repubblica presso il Tribunale di Brindisi.

 

La P. deduce: a) la nullità dell'ordinanza custodiale emessa dal G.I,P. per mancanza di motivazione, essendosi limitato il magistrato a recepire il contenuto delle richieste del Pubblico Ministero, senza una valutazione propria; b) la nullità della medesima ordinanza per insussistenza dei reati di cui agli artt. 416 c.p. e 640 ter c.p., non essendo emersi - ad avviso della ricorrente - elementi da cui trarre il carattere stabile duraturo dei rapporti con gli altri indagati, e non potendo attribuirsi a un centralino telefonico la qualifica di sistema informatico o telematico; c) la mancanza di gravi indizi di colpevolezza e, comunque, l'applicazione di una misura eccessivamente afflittiva, ai sensi dell'art. 275, comma 2 bis c.p.p., in considerazione della sua incensuratezza; d) l'incompetenza territoriale del Giudice pugliese in quanto sia la P. sia il D. V. operavano in Roma presso la sede dell'A. S. s.r.l., ed essendo indicati come i promotori dell'associazione, il reato più grave di cui all'art. 416 c.p. doveva ritenersi commesso in Roma, luogo in cui la struttura associativa era divenuta operante.

 

Il Procuratore della Repubblica, con unico motivo di ricorso, dolendosi per il vizio di violazione di legge, chiede l'annullamento parziale dell'ordinanza nella parte in cui esclude, in diritto, l'astratta configurabilità del reato di cui all'art. 615 ter, osservando che la norma, tutelando i sistemi informatici o telematici protetti, non mira solo a garantire il bene individuato dal tribunale, cioè la riservatezza delle informazioni contenute nel sistema, ma l'intera sfera della personalità del titolare, in tutte le sue possibili esplicazioni, non esclusi i connessi profili riguardanti i diritti di carattere economico - patrimoniale.

 

Va esaminato anzitutto il motivo sub d) della P., rivestendo la questione della competenza carattere pregiudiziale.

Il reato di cui all'art. 416 c.p. (più grave ex art. 16 c.p.p.) ha natura di reato permanente, con la conseguenza che deve trovare applicazione, secondo le regole generali dettate dal codice processuale, l'art. 8, comma terzo c.p.p., in forza del quale la competenza spetta al giudice del luogo in cui ha avuto inizio la consumazione del reato. Tuttavia, nel caso di specie, gli atti non offrono elementi per l'individuazione di tale momento, non potendo neppure attribuirsi rilievo al fatto dedotto dalla ricorrente, per il quale, essendo indicati nell'ordinanza impugnata i promotori dell'associazione nelle persone della P. e del D. V., e avendo la società A. S. s.r.l. (presso cui costoro operavano) sede in Roma, dovrebbe ritenersi incompetente il giudice brindisino e competente quello di Roma. La sede della società non ha, infatti, alcuna rilevanza ai fini di individuare il luogo di inizio della consumazione. Occorre, quindi, applicare le regole suppletive, che fissano criteri presuntivi per la determinazione della competenza (art. 9 c.p.p.). Ora, ritiene la Corte che ben possano assumere rilevanza elementi presuntivi che valgano a radicare la competenza territoriale nel luogo in cui il sodalizio criminoso si manifesti per la prima volta all'esterno, nel luogo cioè in cui si concretino i primi segni della sua operatività, ragionevolmente sintomatici della genesi dell'associazione nello spazio (Cass., sez. I, c.c. 26 ottobre 1994, rv 203609), e che, se ancora non sia - come nel caso - sufficiente neppure tale criterio, possano essere utilizzati criteri desumibili dai reati fine, particolarmente nel caso in cui essi siano stati commessi tutti nello stesso luogo e siano tutti della stessa tipologia (come contestato agli odierni indagati). Può, quindi, ritenersi operante il criterio dell'ultimo reato fine (Cass.sez. VI, u.p. 21 maggio 1998, Caruana e altri, rv 213573) consumato dai componenti dell'associazione, che, nel caso, coincide con l'ultima manipolazione del sistema informatico conseguente all'ultima telefonata eseguita (cioè Brindisi), con l'effetto che il motivo di ricorso deve essere disatteso.

 

Anche il motivo di ricorso sub a) è infondato.

Oggetto del ricorso per Cassazione non è l'ordinanza impositiva, bensì l'ordinanza pronunciata in sede di riesame. Ed è noto, al riguardo, l'orientamento consolidato della giurisprudenza di questa Corte, la quale dopo una sentenza delle Sezioni Unite sul punto (Cass. Sez. un. C.c. 17 aprile 1996, Moni, rv 205257) si è stabilmente attestata (ex plurimis, v.Cass. sez. V, c.c. 6 maggio 1999, Lezzi, rv 213766; Cass. sez. II, c.c. 23 gennaio 1998, trimboli, 212768, Cass. sez. I, c.c. 29 maggio 1997, Chiocchia e altri, rv. 207981) nel ritenere l'integrazione della motivazione dell'ordinanza custodiale con quella del provvedimento di riesame e viceversa, di modo che non può dedursi nel giudizio di legittimità la carenza o la illogicità della motivazione, ove dai due provvedimenti sia possibile desumere compiutamente le ragioni che hanno indotto i giudici di merito ad applicare e a mantenere il provedimento cautelare e poiché nella specie l'ordinanza del Tribunale del riesame è ampiamente motivata in ordine ad ogni questione attinente (come subito si vedrà) alla sussistenza dei presupposti della misura, il motivo va disatteso.

 

E' ugualmente infondato il motivo di ricorso sub b).

Con il primo profilo della doglianza la ricorrente censura il provvedimento impugnato nella parte in cui ritiene configurabile il reato di frode informatica, non essendo - a suo avviso - il centralino telefonico della "X" di Brindisi un sistema informatico.

Tale censura è priva di consistenza.

Va, infatti, osservato che, prima di ritenere "sistema informatico" il centralino telefonico, l'ordinanza si dilunga nello spiegare che "sistema informatico" è la stessa rete telefonica di cui si serve la filiale "X" di Brindisi.

La legge 23 dicembre 1993, n. 547, che ha introdotto nel codice penale i cosiddetti computer's crimes, non definisce il sistema informatico, oggetto della sua tutela, dandone per presupposta la nozione.

Sulla base del dato testuale pare comunque che si debba ritenere che l'espressione "sistema informatico" contenga in sé il concetto di una pluralità di apparecchiature destinate a compiere una qualsiasi funzione utile all'uomo, attraverso l'utilizzazione (anche in parte) di tecnologie informatiche. Queste ultime, come si è rilevato in dottrina, sono caratterizzate dalla registrazione (o "memorizzazione"), per mezzo di impulsi elettronici, su supporti adeguati, di dati, cioè di rappresentazioni elementari di un fatto, effettuata attraverso simboli (bit) numerici ("codice"), in combinazioni diverse: tali "dati", elaborati automaticamente dalla macchina, generano le informazioni costituite "da un insieme più o meno vasto di dati organizzati secondo una logica che consenta loro di attribuire un particolare significato per l'utente).

Ora, come ha correttamente evidenziato il Giudice a quo, le linee telefoniche utilizzano, nel'epoca moderna, normalmente, tali tecnologie. La funzione di trasmissione delle comunicazioni si attua, invero, con la conversione (codificazione) dei segnali (nel caso fonici) in forma di flusso continuo di cifre (bit) e nel loro trasporto in tale forma all'altro estremo, dove il segnale di origine viene ricostruito (decodificazione) e inoltrato, dopo essere stato registrato in apposite memorie. Si tratta, cioè, del flusso di comunicazioni relativo a sistemi informatici di cui all'art. 266 bis c.p.p. introdotto dalla stessa l. 547/1993 nel codice di procedura penale, al quale è stata estesa la disciplina delle intercettazioni telefoniche.

Non solo. Secondo il corretto apprezzamento del Giudice di merito, essendo le linee telefoniche utilizzate anche per il flusso dei cosiddetti "dati esterni alle conversazioni" (numero dell'abbonato chiamante, numero dell'abbonato chiamato, numero degli scatti, data e ora di inizio della chiamata e durata della stessa), i quali vengono tutti memorizzati e trattati (compresa la stampa dei tabulati) con tecnologie informatiche (si veda, al riguardo. Cass. Sez. un. C.c. 13 luglio 1998, Gallieri, rv 211197, pur se pronunciata sull'affine sistema di telefonia mobile), anche per altro verso si deve giungere a ritenere la sussistenza, in concreto, dei presupposti per l'applicazione dell'art. 640 ter c.p.

Infine, il Giudice di merito, ha messo in evidenza come anche il centralino della sede "X" di Brindisi (che la ricorrente ritiene una semplice "agenda" e come tale non rientrante nei sistemi informatici) abbia la natura, a sua volta, di sistema informatico, rilevando che la selezione delle telefonate extraurbane, attraverso i cosiddetti numeri brevi, avviene per mezzo di tecnologie informatiche, di memorizzazione, cioè, di dati che permettono l'utilizzazione delle linee solo per la chiamata di determinate utenze e non di altre.

Alla luce di tali caratteristiche di fatto in ordine alle tecnologie utilizzate dai sistemi in discussione, la cui verifica compete al Giudice di merito e non è sindacabile davanti al Giudice di legittimità se sorretta - come nel caso - da motivazione adeguata, il primo profilo della censura deve essere disatteso.

Quanto al secondo aspetto della doglianza, con il quale la P. sostiene la non configurabilità del reato di associazione per delinquere nei suoi riguardi, correttamente nell'ordinanza impugnata si afferma che risulta dalle intercettazioni telefoniche lo stabile rapporto dell'indagata con tutti i componenti dell'organizzazione finalizzata alla commissione dei reati di frode informatica, con il ruolo di "tenere i contatti con il D. L., al quale fornisce i numeri da chiamare, dà istruzioni sull'attività da compiere (ad esempio sui tempi delle telefonate, in modo da evitare sospetti e controlli, comunica i risultati del suo lavoro"; la P., a sua volta, riceve dallo Scognmamiglio i numeri telefonici e i compensi per l'attività fraudolenta in questione": v. il contenuto delle intercettazioni nn. 42, 62, 75, 97, 100, 281, 304 e 333 alla pag. 7 dell'ordinanza alla quale si rimanda. Anche se l'ordinanza rileva che, allo stato delle indagini, non risultano chiari i rapporti D. V. - P. - S., ricorrono, comunque, a carico della P. indizi significativi e tali da poter costituire la base giuridica per l'emissione del provvedimento cautelare, anche per quanto attiene al reato di cui all'art. 416 c.p., non occorrendo, com'è noto, in sede cautelare, una prova pena del fatto, ma semplicemente gravi indizi di colpevolezza.

 

E', infine, infondato, il motivo sub c).

Il Giudice di merito mostra, infatti ,di aver tenuto conto non solo delle peculiari modalità delle condotte ("in considerazione della struttura e dei caratteri dell'associazione, che, allo stato, non appare territorialmente circoscritta, né limitata ai soli oggetti sinora individuati"), particolarmente gravi anche per l'entità dei profitti già conseguiti e del danno arrecato, ma anche della personalità dell'indagata (senza che abbia rilievo decisivo l'insussistenza di precedenti penali, peraltro già valutati in occasione della sostituzione della misura), denotante una notevole capacità criminale, e dello stato delle indagini, che non hanno ancora completamente chiarito l'assetto associativo (pur avendone evidenziato - come già detto - chiari segnali di presenza e di organizzazione), per cui appaiono tutt'altro che carenti e illogiche le argomentazioni del provvedimento impugnato riguardanti sia il pericolo per la genuinità delle fonti di prova, sia il pericolo di reiterazione dei reati (con i medesimi - o altri - meccanismi e con l'utilizzazione di utenze telefoniche diverse), sia l'indispensabilità della custodia in atto, già sostituita con la meno afflittiva misura degli arresti domiciliari, a scopo cautelare.

 

Il ricorso del Procuratore della Repubblica è, invece, fondato.

Non risulta che questa Corte abbia avuto occasione di esprimersi in ordine all'oggetto giuridico della tutela approntata dall'art. 615 ter c.p.

Indubbiamente la collocazione sistematica della norma nella sezione IV (concernente i delitti contro l'inviolabilità del domicilio) del capo III del titolo XIII del libro II, riguardante i delitti in particolare, dà ragione dell'intenzione del legislatore - il quale ha preso a parametro il "domicilio fisico" dell'individuo - di assicurare la protezione del "domicilio informatico", quale spazio ideale (ma anche fisico in cui sono contenuti i dati informatici), di pertinenza della persona, al quale estendere la tutela della riservatezza della sfera individuale, quale bene anche costituzionalmente protetto (art. 14 Cost.), come non manca di notare, del resto, la Relazione al disegno di legge 23 dicembre 1993, n. 547.

La dottrina che si è occupata del problema è, però, divisa sull'estensione da attribuire alla garanzia offerta dal legislatore del 1993 con la norma in argomento, sostenendosi da parte di alcuni (proprio per la collocazione sistematica della norma) che lo scopo avuto di mira dal legislatore sia stato quello di tutelare soltanto i contenuti personalissimi (cioè attinenti al diritto alla riservatezza della vita privata) dei sistemi informatici (teoria alla quale ha evidentemente ritenuto di aderire il tribunale di Lecce, il quale ha ritenuto che, pur essendosi il D. L. introdotto nel sistema informatico "X", non sia stato violato l'ambito di riservatezza individuale di alcuno), mentre v'è chi riconosce che la norma in parola debba estendersi nel senso che essa abbia ad oggetto lo jus excludendi del titolare del sistema informatico, quale che sia il contenuto dei dati racchiusi in esso, purchè attinente alla propria sfera di pensiero o alla propria attività (lavorativa e non).

Ora, sembra alla Corte che debba preferirsi quest'ultimo indirizzo, per la ragione che esso meglio si attaglia alla lettera e allo scopo della legge: alla lettera, perché la norma non opera distinzioni tra sistemi a seconda dei contenuti (esclusivamente limitandosi ad accordare tutela ai sistemi protetti da misure di sicurezza); alla ratio legis soprattutto, perché la prima interpretazione implicherebbe l'esclusione dalla tutela - irragionevolmente e verosimilmente in senso contrario all'intenzione del legislatore - di aspetti non secondari, quali per esempio, quelli connessi ai profili economico - patrimoniali dei dati (si pensi al diritto dei titolari di banche dati protette da misure di sicurezza di permettere l'eccesso alle informazioni dietro pagamento di un canone), lasciando quindi sforniti di protezione i diritti di enti e persone giuridiche, non tanto per essere incerta l'estensione a tali categorie soggettive della tutela della riservatezza e in genere dei diritti della personalità (per l'estensione delle norme sulla violazione di domicilio alle persone giuridiche, v. per esempio, Cass. sez. II, 6 maggio 1983, Saraceno, rv 161358; Cass. sez. I, 2 febbraio 1979, Passalacqua, rv 142131) ma piuttosto perché principalmente fra dette categorie si rinvengono soggetti titolari di sistemi informatici protetti da misure di sicurezza (enti, anche pubblici, grandi società commerciali) per i quali lo jus excludendi è correlato prevalentemente, se non esclusivamente, a diritti di natura economico patrimoniale.

D'altra parte, con il riferimento al "domicilio informatico", sembra che il legislatore abbia voluto individuare il luogo fisico - come sito in cui si può estrinsecarsi la personalità umana nel quale è contenuto l'oggetto della tutela (qualsiasi tipo di dato e non i dati aventi ad oggetto particolari contenuti), per salvaguardarlo da qualsiasi tipo di intrusione (ius exludendi alios), indipendentemente dallo scopo che si propone l'autore dell'abuso. Pare, infatti, che una volta individuato nell'accesso abusivo a sistema informatico un reato contro la libertà individuale, il legislatore sia stato quasi "costretto" dalla sistematica del codice a quel tipo di collocazione, senza però che con la collocazione stessa si sia voluto anche individuare, in via esclusiva, il bene protetto con riferimento alle norme sulla violazione di domicilio, cioè la pax domestica ovvero la quiete e la riservatezza della vita familiare.

Va, inoltre, considerato che ove il legislatore ha avuto l'intento di tutelare la privacy vi ha espressamente fatto riferimento in modo inequivocabile, sia nella legislazione meno recente (v. la l. 8 aprile 1974, n. 98, il cui art. 1 ha introdotto nel codice penale, sotto la rubrica "interferenze illecite nella vita privata" l'art. 615 bis, sia in quella più vicina (v. la l. 31 dicembre 1996, n. 675, sulla "Tutela delle persone o di altri soggetti rispetto al trattamento dei dati personali").

Per altro verso, sembra a questa Corte che non possa dubitarsi della possibilità di un concorso di reati fra l'accesso abusivo a un sistema informatico e la frode informatica: la condotta di accesso non ha a che vedere con il reato di frode informatica, il quale ultimo è necessariamente caratterizzato dalla manipolazione del sistema ("alterando in qualsiasi modo il funzionamento" oppure "intervenendo senza diritto con qualsiasi modalità su dati, informazioni o programmi", secondo le formule utilizzate dalla norma), che non è prevista né richiesta per il reato di accesso abusivo (senza considerare la diversità di beni giuridici tutelati, la diversità dell'elemento soggettivo e la non completa sovrapponibilità delle due figure, anche per prevedere l'art. 615 ter la sola tutela dei sistemi protetti da misure di sicureza, caratteristica che non si rinviene nel reato di frode informatica).

Nel caso di specie la contemporanea violazione delle due norme si è realizzata secondo lo schema tipico del concorso formale, in quanto già indagati, con una sola azione (digitazione del numero telefonico), si sono introdotti abusivamente nel sistema informatico e, nello steso tempo, lo hanno manipolato in modo da eludere il blocco delle telefonate extraurbane, contestualmente procurandosi l'ingiusto profitto con altrui danno.

Conclusivamente può affermarsi che, con giudizio di merito congruamente e logicamente motivato e, pertanto insindacabile in questa sede di legittimità, è rimasto accertato che, nella specie, sia la rete telefonica di cui si serve la "X" di Brindisi, sia il centralino telefonico della filiale costituiscono un sistema che si avvale di tecnologie informatiche secondo quanto descritto nelle pagine 4 e 5 dell'ordinanza impugnata, nelle quali si precisa che: 1) la trasmissione delle conversazioni in rete avviene con sistema elettronico che consente il trasporto dei segnali (bit) in forma numerica (sistema digitale) mediante automatica codificazione e decodificazione (registrando tali dati in memorie su supporti adeguati); 2) il centralino è protetto da misure di sicurezza costituite dal blocco della selezione internazionale; 3) la "X" opera un trattamento automatico delle informazioni afferenti ai cosiddetti "dati esterni" al flusso delle conversazioni, che vengono registrati e (all'occorrenza) stampati su tabulati da cui è dato desumere il nome dell'abbonato chiamante, il numero dell'abbonato chiamato, il numero degli scatti, la data, l'ora e l'inizio della chiamata). E poiché in base alle suesposte considerazioni si è verificato un abusivo accesso - rilevante penalmente ex art. 615 ter c.p. - nei sistemi informatici di pertinenza della "X" da parte degli indagati, allo scopo di commettere l'ulteriore reato di frode informatica, l'ordinanza impugnata va annullata con rinvio al Tribunale di Lecce per nuovo giudizio sulla base dei principi sopra detti, limitatamente alla parte in cui esclude l'applicabilità della norma da ultimo citata.

La ricorrente va condannata - ex lege - al pagamento delle spese processuali.

 

P.Q.M.

 

In accoglimento del ricorso del P.M. annulla l'impugnata ordinanza per quanto riguarda il reato di cui all'art. 615 ter c.p. e rinvia per nuovo esame al Tribunale di Lecce.

Rigetta il ricorso di N. P. che condanna al pagamento delle spese processuali.

Roma, 4 ottobre 1999