Servizi cloud, quando scatta l’accesso abusivo a un sistema informatico. La Cassazione individua i soggetti legittimati (Corte di Cassazione, Sezione V Penale, Sentenza 27 giugno 2023, n. 27900).

REPUBBLICA ITALIANA

In nome del Popolo Italiano

LA CORTE SUPREMA DI CASSAZIONE

QUINTA SEZIONE PENALE

Composta da:

GRAZIA ROSA ANNA MICCOLI        – Presidente –

ALFREDO GUARDIANO                    – Relatore –

MICHELE ROMANO

MATILDE BRANCACCIO

GIOVANNI FRANCOLINI

ha pronunciato la seguente

SENTENZA

sui ricorsi proposti da:

(OMISSIS) (OMISSIS) nato a (OMISSIS) il xx/xx/19xx;

(OMISSIS) (OMISSIS) nato a (OMISSIS)il xx/xx/19xx;

(OMISSIS) (OMISSIS) nato a (OMISSIS) il xx/xx/19xx;

(OMISSIS) (OMISSIS) (OMISSIS) nato a (OMISSIS) il xx/xx/19xx;

(OMISSIS) (OMISSIS) SRL;

avverso la sentenza del 12/07/2021 della CORTE APPELLO di BRESCIA;

visti gli atti, il provvedimento impugnato” e il ricorso;

udita la relazione svolta dal Consigliere Dott. ALFREDO GUARDIANO;

udito il Pubblico Ministero, in persona del Sostituto Procuratore generale, Dott.ssa KATE TASSONE che ha concluso chiedendo

udito il difensore

IN FATTO E IN DIRITTO

1. Con la sentenza di cui in epigrafe la corte di appello di Brescia confermava la sentenza con cui il tribunale di Brescia, in data 7.12.2020, aveva condannato (omissis) (omissis) e (omissis) (omissis) ciascuno alla pena ritenuta di giustizia e al risarcimento dei danni derivanti da reato, in solido con la responsabile civile, la società (omissis) (omissis) s.r.l.”, costituita dai predetti (omissis) e (omissis) in favore delle costituite parti civili (omissis) (omissis) e (omissis) (omissis) in relazione al reato ex art. 615 ter, c.p., così riqualificata l’originaria ipotesi di reato ex art. 635-quater contestata nel capo n. 2) dell’imputazione, in qualità di dipendenti della società “(omissis) snc”.

I giudici di merito, in particolare, ritenevano dimostrata la violazione delle condizioni e dei limiti risultanti dal complesso delle prescrizioni impartite dal titolare del sistema informatico, individuato in tale ultima società.

Ciò in quanto, sulla base di accertamenti interni, che avevano avuto a oggetto i “persona! computers” in uso agli imputati, i responsabili della “(omissis) snc”. avevano scoperto che sull’indirizzo di posta elettronica aziendale (omissis) era pervenuta una “e-mail” dall’applicativo “(omissis) nella quale veniva comunicata l’avvenuta modifica dell’indirizzo associato all’account da (omissis) a (omissis) (omissis)”, con la conseguenza che la casella ‘creata originariamente da (omissis) e (omissis) era divenuta inaccessibile.

Secondo l’assunto accusatorio, condiviso dalla corte di appello, “la modifica da parte degli imputati dell’indirizzo e-mail collegato all’account integra indubbiamente una condotta di accesso abusivo a tale sistema”, in quanto, un’operazione idonea a vietare l’accesso al sistema proprio al titolare del sistema stesso – nel caso di specie, gli (omissis) – configura ex se una violazione dei limiti imposti a terzi in possesso delle password” (cfr. pp. 2-3 della sentenza oggetto di ricorso).

2. Avverso la sentenza della corte territoriale, di cui chiedono l’annullamento, hanno proposto ricorso per cassazione entrambi gli imputati e il responsabile civile articolando, con un unico atto di impugnazione, tre motivi di ricorso ad essi comuni.

2.1. Con il primo motivo i ricorrenti deducono vizio di motivazione laddove la corte territoriale ha negato che lo spazio di archiviazione (omissis) ‘asse nella disponibilità degli imputati, che ne erano i proprietari, e non della ‘ (omissis) snc”, in quanto creato dal (omissis) per cui nessuna rivendicazione e inibizione dell’uso del suddetto spazio era ravvisabile ai danni della “(omissis) come si evince dalla pagina “centri di assistenza” del sito in cui si legge che il creatore di una cartella condivisa è automaticamente designato come proprietario.

A sostegno della loro tesi gli imputati evidenziano:

1) la circostanza che l’utenza  fosse stata aperta come “free” e non come “business”;

2) l’ulteriore circostanza che solo il (omissis) aveva il potere di gestire la cartella, tanto che la (omissis) non ne conosceva le credenziali di accesso e non poteva gestirne l’account, corrispondente a un indirizzo emali, ma solo accedere ai files condivisi, non corrispondendo al vero, inoltre, che il sistema di archiviazione fosse già in uso all’ufficio tecnico, come non corrisponde al vero che il datore di lavoro avesse approvato il sistema di archiviazione, che venne messo spontaneamente dal (omissis) a disposizione dell’azienda, dopo averlo creato per propria utilità e facilità di lavoro;

3) che gli imputati non avevano bisogno di alcuna autorizzazione a un  uso privato di tale spazio di archiviazione, trattandosi di decisione di loro competenza;

4) che il (omissis) in piena autonomia abbia potuto cambiare il dominio è la prova evidente che lo stesso non fosse legato alla società se non per il fatto che il suo creatore, e quindi titolare, intendeva utilizzarlo provvisoriamente per condividere materiale con la “(omissis) tanto che nel momento in cui cambiava la sua esigenza, il (omissis) modificava anche il dominio;

5) gli imputati erano titolari delle credenziali di accesso in quanto proprietari della cartella e non in quanto dipendenti della “(omissis) pertanto, nel momento in cui si erano licenziati, erano liberi di fare della loro cartella un diverso utilizzo.

Con il secondo motivo i ricorrenti lamentano vizio di motivazione con riferimento all’art. 43, c.p., non essendo stato dimostrato che essi abbiano agito con la volontà di sottrare la cartella di cui di discute ai legittimi proprietari, posto che gli imputati e, in particolare, il (omissis) ritenevano che l’archivio fosse loro personale (avendolo creato, gestito, ed avendone deciso le credenziali di accesso), per cui del tutto legittimamente, una volta licenziatisi dalla, (omissis) per avviare un’autonoma attività, avevano deciso di associare il proprio spazio (omissis) alla nuova realtà, la ‘(omissis) (omissis) s.r.l.”.

Rilevano al riguardo i ricorrenti, da un lato, che nessuna migrazione di dati attraverso il sistema (omissis) verso il (omissis) o la (omissis) (omissis) s.r.l.”, è stata riscontrata; dall’altro, che i files contenuti nella cartella non riguardavano tutti dati aziendali, ma erano solo quelli temporaneamente necessari alla condivisione, che venivano cancellati dalla casella dopo la condivisione stessa, pur rimanendo negli archivi aziendali, dove potevano essere recuperati dalla ” (omissis) senza nessun problema, senza tacere che lo spazio di condivisione non presentava nessuna utilità per gli imputati.

Con il terzo motivo di impugnazione i ricorrenti deduco vizio di motivazione con riferimento all’art. 110,  c.p., non essendo stata dimostrata la responsabilità a titolo di concorso del (omissis) essendo del tutto illogica la motivazione della corte territoriale, che ha fondato la sua decisione al riguardo sulla considerazione che, avendo il (omissis) condiviso l’uso dell’account “(omissis) quando lavorava alla “(omissis) egli doveva aver dato il suo benestare alla modifica delle credenziali di accesso, senza considerare che di tale benestare il (omissis) non aveva bisogno, essendo assolutamente libero di cambiare le credenziali.

2.1. Con requisitoria scritta del 21.1.2023, depositata sulla base della previsione dell’art. 23, co. 8, d.l. 28 ottobre 2020, n. 137, che consente la trattazione orale in udienza pubblica solo dei ricorsi per i quali tale modalità di celebrazione è stata specificamente richiesta da una delle parti, i cui effetti sono stati prorogati fino al 31 dicembre 2022, per effetto dell’art. 16, comma  1, del d.l. 30 dicembre  2021, n. 228, convertito con modificazioni dalla legge n. 15 del 25 febbraio 2022, il sostituto procuratore generale della Repubblica presso la Corte di cassazione, chiede che, in accoglimento del primo motivo di ricorso, la sentenza impugnata sia annullata con rinvio.

Con conclusioni scritte del 30.1.2023 il difensore di fiducia degli imputati e del responsabile civile, insiste per l’accoglimento dei motivi di ricorso.

Con conclusioni scritte del 31.1.2023 il difensore di fiducia e procuratore speciale delle parti civili costituite chiedeva la conferma della sentenza impugnata, con condanna degli imputati e del responsabile civile al pagamento delle spese sostenute nel grado, come da allegata nota spese.

3. Il ricorso va accolto, essendo fondato il primo motivo di ricorso, in esso assorbita ogni ulteriore doglianza.

3.1. Come è stato osservato in dottrina e giurisprudenza il delitto previsto dall’art. 615-ter, c.p., rientra nel novero dei reati informatici, volti a reprimere le condotte illecite aventi a oggetto o strumento i sistemi di archiviazione o elaborazione di dati e informazioni oppure la trasmissione automatica degli stessi.

Nella prospettiva di assicurare una sempre maggiore attenzione al bene della riservatezza, oggetto di tradizionale tutela penale, con la I. n. 547 del 23 dicembre 1993 è stata introdotta la nuova fattispecie di cui all’art. 615-ter, c.p., che contempla la moderna forma di aggressione ovvero l’illecita interferenza nella privacy attuata attraverso l’abusiva introduzione o permanenza nel collegamento con i sistemi informatici o telematici, contro la volontà espressa o tacita dell’avente diritto, con eventuale acquisizione di dati registrati nell’archivio elettronico.

La collocazione del reato in questione nella sezione relativa ai delitti contro la inviolabilità del domicilio dipende, come si evince dalla relazione di accompagnamento al relativo disegno di legge, dalla considerazione dei sistemi informatici alla stregua di “un’espansione ideale dell’area di rispetto pertinente al soggetto interessato, garantito dall’art. 14 della Costituzione e penalmente tutelata nei suoi aspetti più essenziali e tradizionali dagli artt. 614 e 615 del codice penale”.

Appare opportuno, al riguardo, soffermarsi, sia pure sinteticamente, sui principi affermati nella giurisprudenza di legittimità in sede di interpretazione del disposto dell’art. 615 ter, c.p.

Da subito la giurisprudenza della Suprema Corte ha chiarito che deve ritenersi “sistema informatico”, secondo la ricorrente espressione utilizzata nella legge 23 dicembre 1993, n. 547, che ha introdotto nel codice penale i cosiddetti “computer’s crimes”, un complesso di apparecchiature destinate a compiere una qualsiasi funzione utile all’uomo, attraverso l’utilizzazione (anche parziale) di tecnologie informatiche, che sono caratterizzate – per mezzo di un’attività di “codificazione” e “decodificazione” dalla “registrazione” o “memorizzazione”, per mezzo di impulsi elettronici, su supporti adeguati, di “dati”, cioè di rappresentazioni elementari di un fatto, effettuata attraverso simboli (bit), in combinazione diverse, e dalla elaborazione automatica di tali dati, in modo da generare “informazioni”, costituite da un insieme più o meno vasto di dati organizzati secondo una logica che consenta loro di esprimere un particolare significato per l’utente. La valutazione circa il funzionamento di apparecchiature a mezzo di tali tecnologie costituisce giudizio di fatto insindacabile in cassazione ove sorretto da motivazione adeguata e immune da errori logici (cfr. Sez. 6, n. 3067 del 04/10/1999, Rv. 214945).

Come chiarito da un consolidato orientamento, che ormai può definirsi in termini di “diritto vivente”, integra la fattispecie criminosa di accesso abusivo a un sistema informatico o telematico protetto, prevista dall’art. 615 ter c.p., la condotta di accesso o di mantenimento nel sistema posta in essere non solo (come è ovvio) da un soggetto non abilitato ad accedervi, ma anche da chi, pure essendo abilitato, violi le condizioni ed i limiti risultanti dal complesso delle prescrizioni impartite dal titolare del sistema per delimitarne oggettivamente l’accesso, ovvero ponga in essere operazioni di natura ontologicamente diversa da quelle per le quali l’accesso è consentito. Non hanno rilievo, invece, per la configurazione del resto, gli scopi e le finalità che soggettivamente hanno motivato l’ingresso al sistema (cfr. Cass., sez. un., 27/10/2011, 4694; Cass., sez. V, 26/06/2015, n. 44403, rv. 266088; Cass., sez. V, 15/01/2015, n. 15950; Cass., sez. V, 20/06/2014, n. 44390, rv. 260763; Cass., sez. V, 30/09/2014, n. 47105).

Il bene giuridico tutelato dalla norma in commento viene individuato dalla giurisprudenza di legittimità, del pari con orientamento costante, nel domicilio informatico sotto il profilo dello ius excludendi alias, anche in relazione alle modalità che regolano l’accesso dei soggetti eventualmente abilitati (cfr., ex plurimis, Sez. 2, n. 26604 del 29/05/2019, Rv. 276427).

Nella ricostruzione della fattispecie sottoposta al suo esame, in particolare, il giudice di merito deve porsi nella prospettiva indicata, al fine di verificare se l’introduzione o il mantenimento nel sistema informatico, anche da parte di chi aveva titolo per accedervi, sia avvenuto in contrasto o meno con la volontà del titolare del sistema stesso, che può manifestarsi, sia in forma esplicita, che tacita (cfr. Cass., sez. V. 7.11.2000, n. 12732, rv. 217743; Cass., sez. V, 10.12.2009, n. 2987, rv. 245842; Sez. 5, n. 11994 del 05/12/2016, Rv. 269478).

In questa prospettiva si collocano alcuni condivisibili arresti della Suprema Corte, nei quali si è sottolineato come ai fini della configurabilità del delitto di cui si discute, ove si tratti di prelievo di informazioni da una banca dati riservata, nel caso di soggetto dotato delle credenziali per accedervi, sia necessario accertare se la condotta di copiatura/duplicazione dei files addebitata all’imputato rientri o meno nel perimetro dei suoi poteri, in relazione alle funzioni svolte all’interno della struttura cui fa capo il sistema informatico, vale a dire se la copia e la duplicazione esulino o meno dalle competenze dell’operatore, ponendosi in contrasto con le prescrizioni relative all’accesso e al trattenimento nel sistema informatico, contenute in disposizioni organizzative impartite dal titolare dello stesso (cfr. Cassazione penale, sez. V, 31/10/2014, n. 10083; Cass., sez. V, 31/10/2014, n. 10083, rv. 263454).

Principi, quelli ora enunciati, ribaditi anche in più recenti arresti, in cui si è evidenziato come il delitto previsto dall’art. 615-ter, sia integrato dalla condotta del soggetto che, pur essendo abilitato e pur non violando le prescrizioni formali impartite dal titolare di un sistema informatico o telematico protetto per delimitarne l’accesso, acceda o si mantenga nel sistema per ragioni ontologicamente estranee rispetto a quelle per le quali la facoltà di accesso gli è attribuita (cfr. Sez. U, n. 41210 del 18/05/2017, Rv. 27106).

Si è, pertanto, ravvisata la responsabilità penale per tale reato nella trasmissione, tramite “e-mail”, da parte di un dipendente di istituto bancario ad altro dipendente non abilitato a prenderne cognizione, di dati riservati concernenti la clientela (cfr. Sez. 5, n. 565 del 29/11/2018, Rv. 274392) ovvero nella condotta del collaboratore di uno studio legale – cui sia affidata esclusivamente la gestione di un numero circoscritto di clienti – che acceda all’archivio informatico dello studio provvedendo a copiare e a duplicare, trasferendoli su altri supporti informatici, i files riguardanti l’intera clientela dello studio professionale e, pertanto, esulanti dalla competenza che gli era stata attribuita (cfr. la citata Sez. 5, n. 11994 del 05/12/2016, Rv. 269478).

E ancora, nel caso di intervento “invito domino”, attuato grazie all’utilizzo delle “password” di accesso conosciute dagli imputati in virtù del loro pregresso rapporto lavorativo, su dati, informazioni e programmi contenuti nel sistema informatico della società della quale erano dipendenti, al fine di sviarne la clientela ed ottenere, così, un ingiusto profitto in danno della parte offesa (cfr. la citata Sez. 2, n. 26604 del 29/05/2019, Rv. 276427).

Con riferimento all’elemento psicologico del reato, infine, esso va individuato nella coscienza e volontà di accedere o mantenersi nel sistema informatico o telematico di altri contro la volontà del titolare del diritto di esclusione.

3.2. Tanto premesso occorre sottoporre a verifica il caso portato all’attenzione del Collegio alla luce dei principi ora enunciati.

Al riguardo si osserva che, da un punto di vista tecnico, “servizio di “file hosting” gestito dalla società californiana “(omissis) è un Inc.”, che offre “cloud storage”, sincronizzazione automatica dei file, “cloud personale”, “software client”.

Si tratta di un servizio che rimanda alle nozioni di telematica e di informatica, sviluppate dalla letteratura scientifica in materia.

Come si è sottolineato “l’unificazione di informatica e telecomunicazioni può essere realizzata seguendo due strade distinte, ma complementari. Le telecomunicazioni al servizio dell’informatica: in questo primo percorso i mezzi di trasmissione, le reti ed i servizi di comunicazione permettono e facilitano il dialogo e la condivisione delle risorse tra i computer connessi (si migliora lo scambio di file tra computer).

L’informatica al servizio delle telecomunicazioni: in questo secondo percorso la tecnologia informatica è indirizzata al miglioramento dei metodi di scambio delle informazioni intervenendo nel potenziamento dei servizi offerti dalle reti di comunicazione attraverso l’uso di software e di hardware adeguati (si migliora la comunicazione a distanza)”.

Può, pertanto, sostenersi, a ragion veduta, che “(omissis)” in quanto spazio virtuale, destinato a raccogliere “files” o cartelle contenenti “files”, allo scopo di facilitarne l’accesso, la consultazione e l’utilizzazione da parte del beneficiario del servizio, costituisca un sistema telematico e, al tempo stesso, informatico, in cui sono contenuti documenti informatici.

In questo senso si è espressa la giurisprudenza di legittimità, nell’affermare che i messaggi di posta elettronica non inviati dall’utente, ma salvati nella cartella “bozze” del proprio “account” o in apposito spazio virtuale (come (omissis) o (omissis), accessibili solo digitando nome utente e password, costituiscono dei documenti informatici (cfr. Sez. 4, n. 40903 del 28/06/2016, Rv. 268227; Sez. 6, n. 12975 del 06/02/2020, Rv. 278808).

Sicché non appare revocabile in dubbio (ed è, peraltro, incontestato dai ricorrenti) che il servizio, (omissis) costituisca un domicilio informatico, alla cui tutela è preordinata la previsione dell’art. 615-ter, c.p.

Va, inoltre, rammentato che nella scienza informatica il termine “account” “indica quell’insieme di funzionalità, strumenti e contenuti attribuiti ad un nome utente che, in determinati contesti operativi, il sistema mette a disposizione dell’utente: un ambiente con contenuti e funzionalità personalizzabili, oltre ad un conveniente grado di isolamento dalle altre utenze parallele.

Infatti, il sistema informatico è in grado di riconoscere l’identità del titolare di un account, ne memorizza e conserva un insieme di dati ed informazioni attribuite ad esso, spesso da esso unicamente gestibili ed accessibili per un utilizzo futuro.

In questo si differenzia da altre modalità di accesso a sistemi di servizio interattivi che non presuppongono la ripetizione del rapporto con l’utente. L’insieme di dati e informazioni che individuano il titolare dell’account, nonché le preferenze di utilizzo, rappresentano il profilo utente associato all’account”.

Incontestata, al riguardo, è la modifica, da (omissis) (omissis) a “(omissis) “(omissis) (omissis) it”, dell’indirizzo associato all’account dell’applicativo che consentiva l’accesso al suddetto spazio virtuale, in particolare a un “cloud personale”, la cui creazione gli stessi giudici di merito attribuiscono pacificamente al (omissis) e al (omissis).

Questi ultimi, infatti, una volta creato lo spazio (omissis) avevano la possibilità, da dipendenti, di “accedere ai progetti, ai disegni e ai dati dei clienti (omissis) che i ricorrenti vi inserivano di volta in volta, “anche durante i loro viaggi all’estero”.

Al tempo stesso, pur avendo gli imputati, attraverso la società da loro costituita, offerto ad alcuni clienti abituali della (omissis) le medesime prestazioni prima rese loro da quest’ultima, non risulta dimostrato che essi avessero impiegato elaborati progettuali già realizzati in ” (omissis) ovvero trasferito a terzi files o cartelle contenuti in “(omissis)” (cfr. p. 2 della sentenza impugnata).

Appare, pertanto, evidente che il principale quesito da risolvere, al fine di accertare se l’affermata sussistenza della fattispecie delittuosa di cui si discute sia o meno sorretta da idonea motivazione, attiene all’individuazione dei soggetti che erano legittimati ad accedere in via esclusiva allo spazio “(omissis) creato dal (omissis) e dal (omissis) ovvero a chi appartenesse tale spazio virtuale.

Appare incontestato, infatti, che lo spazio ‘(omissis) venne creato dagli imputati per facilitare la loro attività lavorativa in favore della ” (omissis) e, in tale prospettiva, da loro messo a disposizione della società, che consentì a collegarvi, per l’accesso, un account, contraddistinto da un indirizzo telematico riconducibile all’azienda.

Allo stesso modo risulta evidente che i ricorrenti erano legittimati ad accedere allo spazio virtuale di cui di discute e a immettervi dati o informazioni relativi ai progetti elaborati nell’interesse dell’azienda, senza che, tuttavia, sia stato dimostrato, come si è detto, che il (omissis) e il (omissis) si siano appropriati di dati, informazioni e programmi di pertinenza della società per cui lavoravano, contenuti nell’anzidetto domicilio informatico, allo scopo di sviare in favore della nuova società da loro costituita i clienti della (omissis) utilizzando il “know-how” sviluppato nell’esecuzione del rapporto di lavoro con quest’ultima.

Se ciò è vero, come è vero, consistendo la condotta incriminata nel cambiamento dell’indicato indirizzo telematico, che non consentiva alla “(omissis) di utilizzare lo spazio, (omissis) creato dagli imputati, in quanto il relativo “account” era stato modificato attraverso la sostituzione del precedente con un nuovo indirizzo telematico riconducibile alla nuova società fondata dal (omissis) e dal (omissis) sicché, solo attraverso il nuovo indirizzo era possibile accedere all’applicativo “(omissis) diventa decisivo accertare quale fosse la disciplina di utilizzazione dello spazio “(omissis) applicabile in concreto quando venne operata la suddetta modifica.

Si tratta, in altri termini, di verificare, ai fini del giudizio sulla sussistenza dell’elemento oggettivo e dell’elemento psicologico del reato per cui si procede, se lo spazio di archiviazione (omissis) fosse di pertinenza esclusiva degli imputati, dovendo ad essi farsene risalire la creazione, e da essi concesso momentaneamente in uso alla “(omissis) in pendenza del loro rapporto di lavoro, senza che tale disponibilità facesse venir meno il potere del (omissis) e del (omissis) di modificare le condizioni di accesso allo spazio in questione, proprio in quanto di loro esclusiva pertinenza; se, invece, una volta creato, sia pure per iniziativa degli imputati, tale spazio fosse divenuto di pertinenza esclusiva della “(omissis) sicché l’accesso dei ricorrenti al sistema per modificarne l’account attraverso il cambiamento dell’indirizzo telematico, in modo da non consentirne oggettivamente l’utilizzazione da parte della “(omissis) deve considerarsi effettuato per ragioni ontologicamente estranee rispetto a quelle per le quali la facoltà di accesso e di mantenimento nel sistema era stata loro attribuita; se, infine, lo spazio (omissis) fosse oggetto di una condivisione tra i prevenuti e la ” (omissis) in virtù della quale ciascuno di essi poteva ritenersi titolare di uno ius excludendi alias, condivisione, tuttavia, che, a causa della risoluzione del rapporto di lavoro e di creazione della nuova società da parte del (omissis) doveva ritenersi venuta meno.

Tali profili non risultano sufficientemente meditati dalla corte territoriale, che, con motivazione a tratti anche contraddittoria, evidenziava come lo spazio di archiviazione di cui si discute fosse oggetto di un “uso riservato” da parte degli imputati, gli unici a essere a conoscenza delle credenziali d’accesso, pur affermando, al tempo stesso, che “il sistema di archiviazione era in uso all’ufficio tecnico”.

Nella indicata prospettiva vanno riconsiderati due aspetti su cui soffermano i giudici di secondo grado.

Da un lato, la mancata conoscenza delle credenziali di accesso allo spazio di archiviazione, da parte dei datori di lavoro, gli  (omissis) i quali si sarebbero limitati ad approvare espressamente “il sistema di condivisione di documenti tramite l’utenza cloud”, consentendo agli imputati di operare con una certa autonomia” in ragione della “radicata fiducia riposta su di loro dai fratelli (omissis) che non si erano preoccupati nemmeno di conoscere il tipo di so ware installato dai prevenuti.

Dall’altro, l’affermazione, che, peraltro, si fonda sulle semplici “deduzioni logiche” del teste (omissis) (omissis), secondo cui la disponibilità dello spazio di archiviazione rimaneva in capo all’ufficio tecnico della ” le credenziali erano in esclusivo possesso degli imputati.

4. Sul punto, pertanto, la sentenza impugnata va annullata con rinvio per nuovo giudizio ad altra sezione della Corte di appello di Brescia, che provvederà, ove possibile, a colmare l’evidenziata lacuna motivazionale e a risolvere le indicate aporie, conformandosi ai principi di diritto in precedenza

P.Q.M.

Annulla la sentenza impugnata con rinvio per nuovo esame ad altra sezione della Corte di appello di Brescia.

Così deciso in Roma il 22.2.2023.

Depositato in Cancelleria il 27 giugno 2023.

SENTENZA