Composta dagli Ill.mi Sigg.ri Magistrati: Udienza pubblica
Dott. BRUNO FOSCARINI Presidente del 07/11/2000
Dott. CARLO CASINI Consigliere SENTENZA
Dott. FRANCESCO PROVIDENTI Consigliere N. 1475
Dott. EMILIO MALPICA Consigliere REGISTRO GENERALE
Dott. ANIELLO NAPPI Consigliere N. 39979/1999
ha pronunciato la seguente

SENTENZA
sul ricorso proposto da
AR ID, n. a Castellammare di Stabia il 13 febbraio 1935 ER CO, n. a Caraffa di Catanzaro il 22 aprile 1960 LA NC, n. a Torino il 12 novembre 1963
avverso la sentenza della Corte d'appello di Torino depositata il 2 luglio Sentita la relazione svolta dal Consigliere Dott. Aniello Nappi
Udite le conclusioni del P.M. Dott. B. Ranieri che ha chiesto l'a.c.r. limitatamente alla misura della pena, rigetto nel resto Udito, per la parte civile, l'avv. C. Mussa
Uditi i difensori, avv.ti C. Zaccone e S. Menicacci
Motivi della decisione

1. Con la sentenza impugnata la Corte d'appello di Torino confermò la dichiarazione di colpevolezza di ID AR e di CO ER in ordine al delitto di accesso abusivo al sistema informatico della Cediva s.r.l., gestrice di contabilità per conto terzi, e dichiarò colpevole del medesimo reato, quale autore materiale dei fatti, il programmatore NC LA, che in primo grado ne era stato assolto per difetto di dolo.
Risulta dalle sentenze di merito che ID AR, già socio di CO SO nella Cediva, nel 1994 era uscito dalla società per intraprendere analoga attività con il commercialista CO ER, già collaboratore esterno della Cediva, e, non avendo ottenuto di poter utilizzare come locatario l'impianto informatico della società, ne aveva copiato i dati su un analogo calcolatore con l'aiuto di NC LA, facilitandosi così l'acquisizione di un gran numero di clienti della Cediva.
Ricorrono per cassazione gli imputati, che hanno proposto cinque motivi d'impugnazione.
Con il primo motivo i ricorrenti lamentano mancanza di motivazione sul motivo d'appello con il quale era stato dedotto che NC LA e il suo datore di lavoro IO DO, proprietario del programma concesso in uso sia alla Cediva sia a ID AR e CO ER, avevano diritto di copiare e modificare il software. E con il connesso terzo motivo si lamenta che i giudici d'appello abbiano omesso di considerare il fatto, ben valorizzato invece dal tribunale, che NC LA agiva su disposizioni di IO DO e non aveva motivo di dubitare della legittimità di tali disposizioni anche con riferimento alle copie effettuate in favore di ID AR e CO ER.
Con il secondo motivo i ricorrenti deducono violazione dell'art. 615 ter c.p., lamentando che i giudici del merito abbiano ritenuto configurabile il reato contestato anche in mancanza di protezioni di sicurezza interne al sistema, mentre la dottrina è concorde nell'escludere la rilevanza di protezioni esterne. Con il quarto motivo i ricorrenti deducono mancanza di motivazione in ordine alla determinazione della pena, irrogata in misura identica a tutti gli imputati, senza alcuna considerazione per le diverse posizioni soggettive.
Con il quinto motivo infine i ricorrenti deducono violazione dell'art. 538 comma 1 c.p.p., lamentando che i giudici del merito si siano pronunciati su una domanda in realtà non proposta dalla parte civile Cediva, che, costituitasi per il reato di cui all'art. 640 ter c.p. originariamente contestato, non aveva rinnovato la costituzione anche per il reato di cui all'art. 615 ter c.p., contestato in udienza.
I motivi del ricorso sono stati successivamente illustrati con ampia memoria depositata il 10 maggio 2000.
Una memoria è stata altresì depositata dalla parte civile.

2. Il ricorso deve essere rigettato.
Il primo motivo del ricorso, come il motivo d'appello cui si riferisce per lamentarne l'immotivato rigetto, non distingue tra il programma informatico, di cui si assume fosse proprietario NC DO, e i dati informatici, che erano certamente nell'esclusiva disponibilità della Cediva. Ma l'ipotesi d'accusa di cui si discute presuppone proprio quella distintizione, perché la parte civile si lamenta d'un accesso abusivo finalizzato alla riproduzione dei dati informatici, non del software. Sicché era manifestamente infondato il motivo d'appello con il quale si deduceva l'inesistenza del reato in relazione al diritto di DO, del proprietario del programma, di copiarlo e aggiornarlo. E secondo una consolidata giurisprudenza di questa Corte, deve essere considerato privo di fondamento il motivo del ricorso per cassazione con il quale si deduca mancanza di motivazione in ordine a un motivo d'appello inammissibile o manifestamente infondato (Cass., sez. 1, 23 marzo 1987, Imbimbo, m. 176707, Cass., sez. 1, 28 settembre 1987, Cisco, m. 177007, Cass., sez. 4, 26 settembre 1990, Pilloni, m. 185682, Cass., sez. 1, 5 marzo 1991, Calò, m. 186972, Cass., sez. 5, 18 febbraio 1992, Cremonini, m. 189818, Cass., sez. 1, 28 marzo 1996, Bruno, m. 204548). Ne consegue anche l'inammissibilità, per violazione dell'art. 606 comma 3 c.p.p., del terzo motivo del ricorso, con il quale si lamenta l'erronea affermazione della responsabilità di NC LA, perché, una volta chiarita la distinzione tra i dati informatici e il programma destinato a elaborarli, la censura rimane riferibile a una mera valutazione di merito circa la consapevolezza da parte dell'imputato di una tale distinzione e della conseguente illiceità della copia dei dati.
Il secondo motivo del ricorso pone il problema della natura della protezione di sicurezza rilevante ai fini della configurabilità del delitto previsto dall'art. 615 ter c.p. La corte d'appello ha ritenuto che, ai fini della configurabilità del reato, assumano rilevanza non solo le protezioni interne al sistema informatico, come le chiavi d'accesso, ma anche le protezioni esterne, come la custodia degli impianti, in particolare quando, come nel caso in esame, si tratti di banche dati private, per definizione interdette a coloro che sono estranei all'impresa che le gestisce. I ricorrenti sostengono, invece, che soltanto la protezione interna al sistema è idonea a manifestare la volontà del proprietario di escludere terzi, come dimostrerebbe il fatto che il D.P.R. n. 318 del 1999 richiede come necessaria una chiave d'accesso nel trattamento dei dati personali.
Il motivo di ricorso è infondato.
L'art. 615 ter comma 1 c.p. punisce non solo chi s'introduce abusivamente in un sistema informatico o telematico, ma anche chi "vi si mantiene contro la volontà esplicita o tacita di chi ha il diritto di escluderlo". Ne consegue che la violazione dei dispositivi di protezione del sistema informatico non assume rilevanza di per sè, bensì solo come manifestazione di una volontà contraria a quella di chi del sistema legittimamente dispone.
Non si tratta perciò di un illecito caratterizzato dall'effrazione dei sistemi protettivi, perché altrimenti non avrebbe rilevanza la condotta di chi, dopo essere legittimamente entrato nel sistema informatico, vi si mantenga contro la volontà del titolare. Ma si tratta di un illecito caratterizzato appunto dalla contravvenzione alle disposizioni del titolare, come avviene nel delitto di violazione di domicilio, che è stato notoriamente il modello di questa nuova fattispecie penale, tanto da indurre molti a individuarvi, talora anche criticamente, la tutela, di un "domicilio informatico".
Certo è necessario che l'accesso al sistema informatico non sia aperto a tutti, come talora avviene soprattutto quando si tratti di sistemi telematici.
Ma deve ritenersi che, ai fini della configurabilità del delitto, assuma rilevanza qualsiasi meccanismo di selezione dei soggetti abilitati all'accesso al sistema informatico, anche quando si tratti di strumenti esterni al sistema e meramente organizzativi, in quanto destinati a regolare l'ingresso stesso nei locali in cui gli impianti sono custoditi. Ed è certamente corretta, in questa prospettiva, la distinzione operata dalla corte d'appello tra le banche dati offerte al pubblico a determinate condizioni e le banche dati destinate a un'utilizzazione privata esclusiva, come i dati contabili di un'azienda. In questo secondo caso è evidente, infatti, che, anche in mancanza di meccanismi di protezione informatica, commette il reato la persona "estranea all'organizzazione che acceda ai dati senza titolo o autorizzazione, essendo implicita, ma intuibile, la volontà dell'avente diritto di escludere gli estranei. D'altro canto, l'analogia con la fattispecie della violazione di domicilio deve indurre a concludere che integri la fattispecie criminosa anche chi, autorizzato all'accesso per una determinata finalità, utilizzi il titolo di legittimazione per una finalità diversa e, quindi, non rispetti le condizioni alle quali era subordinato l'accesso. Infatti, se l'accesso richiede un'autorizzazione e questa è destinata a un determinato scopo, l'utilizzazione dell'autorizzazione per uno scopo diverso non può non considerarsi abusiva. Sicché correttamente i giudici del merito hanno ritenuto configurabile il reato nella condotta di NC LA, che, autorizzato all'accesso per controllare la funzionalità del programma informatico, si avvalse dell'autorizzazione per copiare i dati da quel programma gestiti. Privo di qualsiasi pertinenza al caso in esame è, infine, il "regolamento recante norme per l'individuazione delle misure minime di sicurezza per il trattamento dei dati personali, a norma dell'art.15 comma 2 della legge 31 dicembre 1996, n. 675". Infatti la mancata adozione delle misure minime di sicurezza nel trattamento di dati personali è prevista come reato dall'art. 36 della legge n. 675 del 1996; ma evidentemente la consumazione di questo reato non esime,
comunque, da responsabilità chi violi i pur insufficienti meccanismi di protezione esistenti.
Il quarto motivo del ricorso è inammissibile per il violazione dell'art. 606 comma 3 c.p.p., perché propone censure attinenti al merito della decisione impugnata, congruamente giustificata con riferimento alla ritenuta gravità della violazione del rapporto fiduciario con la parte lesa, comune a tutti gli imputati. Come s'è detto, con il quinto motivo i ricorrenti deducono violazione dell'art. 538 c.p.p., lamentando che i giudici del merito si siano pronunciati su una domanda di risarcimento danni non proposta dalla parte civile per il reato di cui all'art. 615 ter c.p., contestato in udienza. Tuttavia gli stessi ricorrenti riconoscono che, sin dal primo grado del giudizio, la parte civile concluse chiedendo la condanna degli imputati al risarcimento anche dei danni derivanti dal reato previsto dall'art. 615 ter c.p.;
sicché non si può dire che i giudici del merito si siano pronunciati su una domanda non proposta.
In realtà i ricorrenti pongono una questione diversa da quella formalmente enunciata, perché essi lamentano che per il nuovo reato contestato in udienza non v era stata costituzione di parte civile;
e sostengono che una tale rinnovata costituzione sarebbe stata invece necessaria, secondo quanto previsto anche dalla sentenza n. 98 del 1996 della Corte costituzionale. Sennonché la giurisprudenza di questa Corte, richiamata anche dalla Corte costituzionale, ha ben chiarito che occorre distinguere tra la posizione della persona offesa non costituita, che in caso di nuove contestazioni ha diritto alla sospensione del dibattimento onde potersi eventualmente costituire parte civile per la nuova udienza, e il caso della persona offesa già costituita parte civile, che ha un analogo diritto, ma solo "in vista della possibile modifica, sotto il profilo tanto della 'causa petendì quanto del 'petitum', del già costituito rapporto processuale" (Cass., sez. III, 27 settembre 1995, Roncati). Sicché, per la parte civile già costituita non occorre rinnovare la costituzione in relazione al nuovo reato contestato in udienza all'imputato, ma è sufficiente modificare la domanda già proposta. E nel caso in esame deve ritenersi che un idoneo aggiornamento della domanda si ebbe appunto con la formulazione delle conclusioni in chiusura del dibattimento di primo grado.
Il ricorso va pertanto, rigettato.

P.Q.M.

La Corte rigetta il ricorso e condanna i ricorrenti in solido al pagamento delle spese del procedimento e inoltre al rimborso delle spese in favore della parte civile, liquidate in complessive L. 2.306.000, di cui L.

2.000.000 per onorari.
Così deciso in Roma, il 7 novembre 2000.
Depositato in Cancelleria il 6 dicembre 2000