REPUBBLICA ITALIANA
In nome del Popolo Italiano
LA CORTE SUPREMA DI CASSAZIONE
QUINTA SEZIONE PENALE
Composta da
ROSSELLA CATENA – Presidente –
MARIA TERESA BELMONTE – Consigliere –
EGLE PILLA – Relatore –
ANNA MARIA GLORIA MUSCARELLA – Consigliere –
PIERANGELO CIRILLO – Consigliere –
ha pronunciato la seguente
SENTENZA
sul ricorso proposto da:
(omissis) (omissis) (omissis) nato a (omissis) il xx/xx/19xx;
avverso la sentenza del 20/09/2024 della CORTE D’APPELLO DI MILANO.
Visti gli atti, il provvedimento impugnato e il ricorso;
udita la relazione svolta dal Consigliere Dott.ssa Egle Pilla;
letta la requisitoria del Sostituto Procuratore Generale della Corte di cassazione, Dott. GIUSEPPE STRURZO, che ha concluso chiedendo il rigetto del ricorso.
Lette le conclusioni scritte del difensore di fiducia e procuratore speciale, avv. (omissis) (omissis), per la costituita parte civile, che ha concluso per l’inammissibilità del ricorso, depositando altresì note spese.
RITENUTO IN FATTO
1. Con sentenza del 20 settembre 2024 la Corte di appello di Milano ha, in parziale riforma della pronuncia in data 7 giugno 2022 del Tribunale cittadino, assolto l’imputato (omissis) (omissis) (omissis) dal reato di cui all’art. 615 ter commi 1 e 2 n.1 cod. pen. di cui al capo C) con rideterminazione della pena, confermando nel resto.
Con la sentenza di primo grado l’imputato era stato condannato alla pena di giustizia oltre statuizioni civili per:
– il delitto di cui agli artt. 81 cpv. 615 ter commi primo, secondo n.1 e terzo cod. pen., 61 n. 2. cod. pen. (capo A), per essersi, con più azioni esecutive di un medesimo disegno criminoso, nella sua qualità di amministratore e operatore di sistema del sistema informatico (omissis) “(omissis).it”; – impiegato dalla società (omissis) s.r.l.
– introdotto abusivamente nel sistema al fine di prendere cognizione del contenuto della corrispondenza riservata di (omissis) (omissis) in relazione alle trattative delle società per la revoca del precedente amministratore e la nomina del suindicato (omissis) (omissis); con l’aggravante del nesso teleologico e di avere commesso il fatto con abuso della qualità di operatore di sistema e dell’avere danneggiato un sistema informatico;
– il delitto di cui agli artt. 81 cpv., 616 commi primo e quarto cod. pen. Perché in esecuzione di un medesimo disegno criminoso e nelle circostanze di cui al capo che precede, prendeva illecita cognizione del contenuto della corrispondenza telematica riservata di (omissis) (omissis) (anche intercorsa con i legali della società per valutare le azioni legali da intraprendere oltre all’avvicendamento della governance).
2. Avverso tale decisione ha proposto ricorso l’imputato, con atto sottoscritto dal difensore di fiducia, contenente i seguenti motivi.
2.1. Con il primo motivo è stato dedotto vizio di motivazione e travisamento della prova per omissione in relazione alla produzione difensiva del 31 luglio 2024 relativa al lodo arbitrale fra l’imputato e la società (omissis) s.r.l. con il quale veniva accertato che la revoca di (omissis) (omissis) dalla carica di amministratore della società (omissis) s.r.l. sia avvenuta in assenza di giusta causa.
Il lodo arbitrale era prodotto all’udienza del 31 luglio 2024 e ben prima dell’udienza di replica del 20 settembre 2024. Manca tuttavia in sentenza alcun riferimento a tale contributo documentale.
2.2. Con il secondo motivo è stato dedotto travisamento della prova dichiarativa in ordine alla consapevolezza fra i dipendenti di (omissis) s.r.l. dei poteri dell’amministratore di sistema, fra cui quello di operare controlli sul contenuto della posta aziendale.
Secondo la giurisprudenza di questa Corte se il controllo è stato effettuato con l’intenzione di ottenere informazioni circa possibili azioni fraudolente o in danno della società, la facoltà di accesso al sistema è da considerarsi lecita sempre che non sia inutilmente pervasiva.
La sentenza impugnata arriva ad affermare che l’abusività risiederebbe anche e già nella circostanza che i dipendenti della (omissis):
– non conoscessero il funzionamento di Google Vault, strumento utilizzato per i controlli informatici;
– non sapessero dell’attribuzione di tale potere di controllo in capo all’amministratore di sistema.
Quanto alla prima circostanza secondo la difesa è irrilevante che i dipendenti sapessero quale fosse o come funzionasse l’applicativo tecnico attraverso il quale l’amministratore di sistema esercitava il potere di controllo sul dato informatico.
Quanto alla seconda delle circostanze, la stessa è frutto di un travisamento delle dichiarazioni testimoniali dei testi escussi sul punto, (omissis) e (omissis) che in realtà hanno dichiarato esattamente l’opposto.
2.3. Con il terzo motivo è stato dedotto travisamento della prova dichiarativa in ordine alla consapevole ammissione dell’interesse personale in capo a (omissis) alla base del suo agire, nonché vizio della motivazione in punto di illogicità nella parte in cui la Corte di appello ritiene di dedurre la consapevolezza in capo all’imputato del suo agire dall’operazione di disattivazione della funzione Google Vault.
La Corte territoriale ha ritenuto sussistente l’elemento psicologico in capo a (omissis) sulla base di due elementi:
– (omissis) avrebbe ammesso di agire per un proprio tornaconto e dunque per ragioni ontologicamente estranee alla società;
– (omissis), disattivando la funzione di controllo dell’applicativo Vault al fine di nascondere il proprio agire a terzi, era ben consapevole di avere commesso un illecito.
Quanto al primo profilo, contrariamente a quanto affermato nella sentenza impugnata, nel corso del suo esame (omissis) non ha mai dichiarato di avere agito per un interesse diverso da quello societario. Ha sempre affermato di avere agito per il bene della società temendo che i comportamenti del (omissis) potessero danneggiarla.
Quanto al secondo profilo, la sentenza impugnata afferma che l’unico esperto informatico sarebbe stato (omissis) e che tutti gli altri dipendenti non avrebbero avuto alcuna competenza in materia, circostanza di cui l’imputato era consapevole.
In realtà è illogico affermare che l’imputato avrebbe disattivato per sé e per gli altri la funzione di Vault con l’obiettivo di nascondere agli altri i suoi accessi. Inoltre, la disabilitazione non ha carattere irreversibile; non consente di cancellare o eliminare le tracce di precedenti accessi; è un’attività molto semplice che non richiede alcuna competenza specifica.
2.4. Con il quarto motivo è stata dedotta violazione di legge e vizio di motivazione in relazione alla sussistenza dei reati come contestati.
2.4.1. In relazione all’art.615 ter cod. pen di cui al capo A), secondo la difesa non vi è alcun dubbio che l’imputato fosse legittimato all’accesso sino alla sua uscita dalla società; il nodo è piuttosto relativo alle finalità della condotta risultando penalmente rilevante che ci si introduca nel sistema informatico per ragioni estranee a quelle per le quali se ne ha facoltà (SU. n.41201/2017, Savarese).
Secondo la Corte territoriale i controlli sarebbero stati illegittimi in quanto posti in essere in violazione dei principi espressi dall’Autorità Garante per la Protezione dei dati personali in concomitanza con l’introduzione del d.lgs. 151/2015: la disciplina sul punto non consente il controllo massivo, prolungato e indiscriminato dell’attività del lavoratore. Da qui la esclusione della invocata scriminante di cui all’art. 51 cod. pen.
La difesa, tuttavia, ritiene che la sentenza impugnata non abbia tenuto conto di alcune decisive e rilevanti circostanze: i messaggi scaricati sono stati selezionati secondo un criterio temporale preciso e proporzionato, propedeutico ad un legittimo controllo; molti di questi messaggi vedevano come destinatario lo stesso (omissis) con conseguente irrilevanza degli stessi dal punto di vista penale; – nessun messaggio è stato diffuso a terzi o utilizzato altrimenti.
2.4.2. In relazione all’art. 616 cod. pen di cui al capo B), secondo la difesa non vi è se non una motivazione apparente che non si confronta con le risultanze dibattimentali e non indica in quale modo sarebbero stati violati i canoni della proporzionalità e dell’adeguatezza nel prendere cognizione della corrispondenza telematica di (omissis).
2.4.3. In relazione alla circostanza aggravante contestata al capo A) di cuiall’art.615 ter comma secondo n. 3 cod. pen., la difesa lamenta la mancata corretta applicazione da parte della Corte territoriale delle indicazioni di questa Corte (Sez.5 n.460 del 15/11/2022, Rv.283814) pur richiamate, secondo cui l’alterazione del sistema informatico deve riguardare una componente essenziale dello stesso che lo rende temporaneamente inidoneo al funzionamento.
Nel caso di specie, la disattivazione di Google Vault non avrebbe avuto alcun impatto sul sistema informatico e non ne avrebbe intaccato la sua funzionalità. Google Vault non è un componente essenziale di Google Suite: è un servizio accessorio utilizzato dagli amministratori di sistema che, se disattivato, non altera in alcun modo il funzionamento del sistema informatico.
2.5. Con il quinto motivo è stata dedotta violazione di legge in relazione all’art.185 cod. pen. per il ristoro dei costi sostenuti dalla parte civile in relazione all’attività di consulenza della società (omissis).
La società (omissis) ha fornito una consulenza alla parte civile e la sentenza impugnata ha condannato l’imputato al pagamento delle spese sostenute ritenendo che tale spesa costituisca ex art.185 cod. pen. un danno patrimoniale direttamente scaturente dalla condotta di (omissis) avendo avuto l’attività descritta nel report ad oggetto la riattivazione della funzione Google Vault.
Siffatta interpretazione risulta errata dal momento che l’attività di consulenza era finalizzata alla ricerca di asseriti accessi indebiti e alla ricerca di prove ma non alla riparazione del sistema danneggiato.
2.6. Con il sesto motivo è stata dedotta violazione di legge e vizio di motivazione quanto alla mancata applicazione della condizione di non punibilità di cui all’art.131 bis cod. pen. Assertiva la motivazione sullo specifico punto. La Corte ha apoditticamente valutato la gravità della condotta e la asserita capacità a delinquere dell’imputato.
CONSIDERATO IN DIRITTO
Il ricorso è nel suo complesso infondato.
1. Il primo motivo di ricorso è generico.
La doglianza è priva dei requisiti prescritti dall’art. 581, comma 1, lett. c) cod. proc. pen. in quanto, a fronte di una motivazione della sentenza impugnata logicamente corretta, richiama in modo aspecifico la produzione documentale relativa al lodo arbitrale fra l’imputato e la società con il quale si è accertato che la revoca è avvenuta in assenza di giusta causa.
La censura omette di esplicitare il ragionamento sulla cui base muove censure alla decisione impugnata: la produzione documentale richiamata risulta “neutra” rispetto alla imputazione per cui si procede; né il motivo ne chiarisce la rilevanza e la decisività ai fini dell’accertamento della penale responsabilità dell’imputato.
2. Il secondo motivo è manifestamente infondato.
Quanto al vizio di travisamento della prova va richiamata la giurisprudenza di questa Corte secondo cui:
– nel caso di cosiddetta “doppia conforme”, il vizio del travisamento della prova, per utilizzazione di un’informazione inesistente nel materiale processuale o per omessa valutazione di una prova decisiva, può essere dedotto con il ricorso per cassazione ai sensi dell’art. 606, comma 1, lett. e), cod. proc. pen. solo nel caso in cui il ricorrente rappresenti, con specifica deduzione, che il dato probatorio asseritamente travisato è stato per la prima volta introdotto come oggetto di valutazione nella motivazione del provvedimento di secondo grado. (Sez. 3, n. 45537 del 28/09/2022, M., Rv. 283777).
– il vizio di “travisamento della prova” ricorre nel caso in cui il giudice di merito abbia fondato il proprio convincimento su una prova che non esiste o su un risultato di prova incontestabilmente diverso da quello reale, considerato che, in tal caso, non si tratta di reinterpretare gli elementi di prova valutati dal giudice di merito ai fini della decisione, ma di verificare se detti elementi sussistano. (Sez. 5, n. 39048 del 25/09/2007, Casavola, Rv. 238215).
2.1. Nel caso in esame la censura riguarda le prove dichiarative dei testi (omissis) e (omissis), già oggetto di valutazione della prima sentenza, rispetto alle quali la difesa richiede una rivalutazione senza peraltro chiarire l’essenzialità del supposto travisamento ai fini della decisione. Inoltre la sentenza impugnata, contrariamente a quanto affermato nel ricorso, con motivazione in fatto immune da vizi, (p.25) ha valutato come “irrilevanti poiché generiche e inconferenti” le dichiarazioni rese dai testi (omissis) e (omissis) i quali hanno riferito di essere a conoscenza del fatto che tra le facoltà attribuite all’amministratore di sistema vi era quella di controllare la posta elettronica aziendale degli altri utenti e che era fatto noto che l’imputato ricoprisse il ruolo di amministratore di sistema insieme a (omissis).
Ha però aggiunto che siffatte circostanze non testimoniano affatto che vi fosse generale consapevolezza o accettazione del fatto che tali controlli avvenivano effettivamente e che avvenissero all’insaputa dei dipendenti.
Inoltre, la Corte territoriale ha espressamente indicato che (omissis) ha escluso che vi fosse una consapevolezza diffusa in azienda di utilizzo da parte dell’amministratore di sistema di tale strumento di controllo.
3. Il terzo motivo è manifestamente infondato.
Richiamando anche in tal caso la giurisprudenza di questa Corte in relazione al vizio del travisamento della prova, la censura – questa volta relativa al travisamento delle dichiarazioni dell’imputato – è manifestamente infondata non confrontandosi con le principali argomentazioni poste a fondamento della sentenza impugnata, sollecitando una rivalutazione di merito preclusa in sede di legittimità, sulla base di una “rilettura” degli elementi di fatto posti a fondamento della decisione, la cui valutazione è, in via esclusiva, riservata al giudice di merito, senza che possa integrare il vizio di legittimità la mera prospettazione di una diversa, e per il ricorrente più adeguata, valutazione delle risultanze processuali (Sez. U, n. 6402 del 30/04/1997, Dessimone, Rv. 207944).
Al riguardo la Corte territoriale ha in maniera esaustiva, con motivazione immune da vizi logici, argomentato in proposito chiarendo (p.30 e ss.) che la principale finalità degli accessi da parte dell’imputato non era quella di controllare l’operato di (omissis) e ciò risulta provato non solo dalle dichiarazioni dallo stesso rese quanto piuttosto dalla lettura del contenuto dei messaggi di posta elettronica visualizzati, contenuto che prova che le finalità perseguite erano strettamente personali e “[..] ontologicamente slegate dall’interesse societario [..]”.
4. Il quarto motivo, articolato in plurime censure, è nel suo complesso infondato.
4.1. La giurisprudenza di questa Corte a Sezioni Unite, in una pronuncia anteriore rispetto all’accadimento dei fatti in contestazione, modificando il precedente orientamento, ha stabilito che integra il delitto previsto dall’art. 615- ter cod. pen. l’accesso di colui che, pur essendo abilitato e pur non violando le prescrizioni formali impartite dal titolare di un sistema informatico o telematico protetto per delimitarne l’accesso, acceda o si mantenga nel sistema per ragioni ontologicamente estranee rispetto a quelle per le quali la facoltà di accesso gli è attribuita. (Sez. U, n. 41210 del 18/05/2017, Savarese, Rv. 271061 – 01).
Nel caso di specie la Corte territoriale (p.32) con motivazione immune da vizi ha chiarito che le attività informatiche poste in essere dall’imputato non costituivano generici controlli volti a verificare la diligenza di (omissis) nell’espletamento della sua attività lavorativa, ma costituivano un “controllo difensivo in senso stretto”.
Tale peculiare tipologia di controlli- avuto riguardo all’art. 4 dello Statuto dei lavoratori – intanto può essere svolta in quanto siano rispettati i principi di proporzionalità e ragionevolezza del trattamento dei dati personali dei lavoratori.
La giurisprudenza di questa Corte, espressamente richiamata dalla sentenza impugnata, ha affermato che in tema di cd. sistemi difensivi, sono consentiti i controlli anche tecnologici posti in essere dal datore di lavoro finalizzati alla tutela di beni estranei al rapporto di lavoro o ad evitare comportamenti illeciti, in presenza di un fondato sospetto circa la commissione di un illecito, purché sia assicurato un corretto bilanciamento tra le esigenze di protezione di interessi e beni aziendali, correlate alla libertà di iniziativa economica, rispetto alle imprescindibili tutele della dignità e della riservatezza del lavoratore, sempre che il controllo riguardi dati acquisiti successivamente all’insorgere del sospetto (Cass. Sez. L., 22/09/2021, n. 25732, Rv. 662328 – 01).
4.1.1. La sentenza impugnata, contrariamente a quanto indicato nel ricorso, ha operato buon governo di detti principi, dal momento che ha indicato le circostanze di fatto che permettevano di ritenere l’accesso privo dei requisiti di ragionevolezza e proporzionalità (p.31) e precisamente:
– L’accesso alla posta elettronica aziendale ha riguardato anche (omissis), ex dipendente della società, per visualizzare la corrispondenza tra quest’ultimo e (omissis);
– L’accesso alla casella di (omissis) è avvenuto scaricando 1542 messaggi e visualizzandone 97.
Le ulteriori doglianze sullo specifico punto appaiono versate in fatto, a fronte di una motivazione che in quanto non manifestamente illogica, né contraddittoria è insindacabile in sede di legittimità.
4.1.2. Quanto alla sussistenza della fattispecie di cui all’art. 616 cod. pen. (capo B) secondo questa Corte nel caso di accesso abusivo ad una casella di posta elettronica protetta da “password”, è configurabile il delitto di accesso abusivo ad un sistema informatico che concorre con quello di violazione di corrispondenza, in relazione all’acquisizione del contenuto delle “mail” custodite nell’archivio (Sez. 5, n. 18284 del 25/03/2019, Zumbo, Rv. 275914 – 01).
Le indicazioni della giurisprudenza di legittimità consentono anche nel caso di specie, di riconoscere il concorso formale delle due fattispecie incriminatrici con la conseguenza che non può ritenersi motivazione apparente quella della Corte territoriale che, dopo avere accertato la sussistenza della condotta materiale di cui al capo A, ha ravvisato la sussistenza anche della fattispecie di cui al capo B).
4.1.3. Infondata risulta l’ulteriore censura relativa alla sussistenza della circostanza aggravante di cui all’art. 615 ter comma secondo n. 3 cod. pen.
Sullo specifico punto, infatti, la sentenza impugnata correttamente richiama le indicazioni di questa Corte secondo cui in tema di accesso abusivo a un sistema informatico o telematico, è configurabile l’aggravante di cui all’art. 615-ter, comma secondo, n. 3, cod. pen. nel caso di modifica della “password” d’accesso alla casella di posta elettronica e delle credenziali di recupero della medesima, determinandosi l’alterazione di una componente essenziale del sistema informatico che lo rende temporaneamente inidoneo al funzionamento. (Sez. 5, n. 46076 del 15/11/2022, Perna, Rv. 283814).
La Corte territoriale chiarisce come nel caso di specie sia applicabile la medesima ratio sottesa alla decisione richiamata: la modifica della password non impedisce tramite un procedimento di recupero delle credenziali di accedere nuovamente alla casella di posta elettronica bloccata da tale modifica, ma è oggettivamente idonea per un lasso di tempo più o meno breve a seconda delle competenze informatiche della persona offesa ad impedire all’utente titolare della casella di farvi nuovamente accesso nella immediatezza del reato (p.34 sent. impugnata).
Nel caso di specie la modifica apportata al sistema, pur se reversibile, ha egualmente impedito l’utilizzo dell’applicativo agli altri utenti attivi sulla piattaforma aziendale per un lungo periodo e precisamente dal 13 dicembre 2018 al 16 aprile 2019, data in cui la disabilitazione è stata scoperta ed invertita ad opera dei tecnici della (omissis).
5. Il quinto motivo è generico.
La censura si limita genericamente ad evidenziare che l’attività svolta dalla società Deloitte non è stata solo quella di “riparare il danno”, ma anche quella di svolgimento di attività investigativa. A fronte di tale generica censura, la sentenza impugnata ha viceversa qualificato il danno patrimoniale individuandolo “[..] negli ingenti costi che la società ha dovuto sostenere incaricando consulenti esperti al fine di appurare la sussistenza di eventuali atti di intrusione [..]”, chiarendo la derivazione del danno stesso dall’illecito contestato.
6. Manifestamente infondato il sesto motivo non confrontandosi con la motivazione della sentenza impugnata immune da vizi logici in punto di esclusione della causa di non punibilità di cui all’art.131 bis cod. pen. che ha adeguatamente valorizzato:
– il dato qualitativo e quantitativo delle informazioni riservate cui il ricorrente ha avuto accesso;
– le modalità con cui è stata realizzata la massiva invasione della privacy;
– la specifica offesa alla tutela alla riservatezza;
– l’assenza di ulteriori rilievi favorevoli ricavabili dal comportamento successivo al reato, oltre a quanto già valutato ai fini della concessione delle circostanze attenuanti generiche.
6. AI rigetto del ricorso, consegue la condanna del ricorrente al pagamento delle spese processuali.
7. Quanto, infine, alla richiesta di liquidazione delle spese di parte civile, del presente giudizio, va evidenziato che le Sezioni unite di questa Corte (S.U. n. 877 del 14/07/2022, (2023), Sacchettino, Rv. 283886) hanno affermato che, nell’ipotesi in cui il giudizio in cassazione si celebri nelle forme del rito camerale c.d. “non partecipato” e il ricorso dell’imputato sia dichiarato, per qualsiasi causa, inammissibile, va disposto il pagamento delle spese processuali in favore della parte civile solo nella ipotesi in cui la stessa “[..], abbia effettivamente esplicato, nei modi e nei limiti consentiti, un’attività diretta a contrastare la pretesa dell’imputato per la tutela dei propri interessi (..) anche solo attraverso memorie scritte (..) fornendo un utile contributo alla decisione [..]”.
Nel caso di specie la memoria pervenuta nell’interesse delle parti civili si è limitata a chiedere il rigetto del ricorso, non offrendo un contributo utile alla decisione.
P.Q.M.
Rigetta il ricorso e condanna il ricorrente al pagamento delle spese processuali.
Nulla per le spese di parte civile.
Così deciso in Roma in data 29 aprile 2025
Il Consigliere estensore Il Presidente
Egle Pilla Rossella Catena
Depositato in Cancelleria, oggi 20 giugno 2023.
Il Cancelliere Esperto
Dott.ssa Sabrina Belmonte