Cass. pen., sez. V, sentenza 23/06/2021, n. 24576
Sintesi tramite sistema IA Doctrine
L'intelligenza artificiale può commettere errori. Verifica sempre i contenuti generati.
Segnala un errore nella sintesiSul provvedimento
Testo completo
la seguente SENTENZA sul ricorso proposto da: SPECCHIARELLO AGOSTINO nato a PALERMO il 16/02/1993 avverso la sentenza del 25/11/2019 della CORTE APPELLO di PALERMOvisti gli atti, il provvedimento impugnato e il ricorso;
udita la relazione svolta dal Consigliere G M;
udito il Pubblico Ministero, in persona del Sostituto Procuratore K T, che ha concluso chiedendo l'annullamento del ricorso con riferimento al quarto motivo. Rigetto nel resto. udito il difensore, avv. G F, che ha concluso chiedendo l'accoglimento del ricorso.
RITENUTO IN FATTO
1. Con sentenza del 25 novembre 2019 la Corte di appello di Palermo ha confermato la pronuncia di primo grado, emessa in data in data 28 marzo 2017, con la quale, all'esito di giudizio abbreviato, il Giudice dell'udienza preliminare del Tribunale di Palermo - per quel che qui rileva - aveva affermato la responsabilità di A S per due ipotesi aggravate di accesso abusivo a un sistema informatico o telematico (art. 615-ter, commi 1 e 3, cod. pen.), in un caso al sito http://www.asppalermo.org di pertinenza dell'AZIENDA SANITARIA PROVINCIALE di Palermo (capo A della rubrica);
nell'altro caso, al sito http://www.beppegrillo.it di pertinenza del "Movimento 5 Stelle" (capo E della rubrica).
2. Avverso la sentenza è stato proposto ricorso per cassazione nell'interesse dell'imputato, articolato nei quattro motivi di seguito enunciati, nei limiti di cui all'art. 173, comma 1, disp. att. cod. proc. pen.
2.1. Con il primo motivo sono state denunciate la contraddittorietà e la manifesta illogicità della motivazione (art. 606, comma 1, lett. e, cod. proc. pen.) con riguardo a entrambe le imputazioni. Quanto al capo A) il ricorrente ha sostenuto che la Corte territoriale: - avrebbe collocato la condotta - l'accesso al sito dell'ASP di Palermo - tra il 3 e il 4 marzo 2013, ritenendo erroneo il tempus individuato dal Giudice di primo grado, ossia il giorno 9 dicembre 2012;
- in tal modo, avrebbe travisato quanto si trae dagli allegati alla nota dei Carabinieri (in data 12 aprile 2013) acquisiti nel corso del giudizio nonché in altra nota dell'Arma (del 29 novembre 2013), atti sulla scorta dei quali - tenuto conto pure di quanto esposto nella relazione del consulente tecnico di parte prof. Roberto Cusani - può affermarsi che il fatto ha avuto luogo il 9 dicembre 2012. In relazione al capo E), il ricorrente ha assunto che le argomentazioni su cui si è fondata l'affermazione di responsabilità dell'imputato si discosterebbero dal «concetto di prova tecnica necessaria per giungere a un giudizio di colpevolezza al di là di ogni ragionevole dubbio»;
ed ha dedotto che non potrebbe ravvisarsi la correlazione tra contestazione e quadro probatorio, perché: - con l'imputazione in discorso sarebbe stata ascritta allo SPECCHIARELLO la commissione del delitto «scaricando l'intera banca dati» del sito www.beppegrillo.it di pertinenza del "Movimento 5 Stelle", «contenente nomi e iscritti al movimento, nonché quelli dei donatori, violando così un sistema protetto da misure di sicurezza»;
- la sentenza impugnata ha ritenuto la sussistenza del fatto sulla base delle comunicazioni in atti, «a prescindere dalla prova di un effettivo download di dati», che avrebbe integrato anche altre fattispecie di reato, affermando che lo SPECCHIARELLO avrebbe comunque fatto accesso all'interno del sito violandone i contenuti, come ammesso dallo stesso imputato nel proprio messaggio di posta elettronica diretto a B G;
- tuttavia, come anticipato, all'imputato è contestato di aver scaricato l'intera banca dati in discorso ed invece vi è prova che nessun dato sia stato sottratto e non vi è prova di alcun accesso abusivo.
2.2. Con il secondo motivo è stata dedotta l'inosservanza o l'erronea applicazione della legge penale (art. 606, comma 1, lett. b, cod. proc. pen.) con riferimento al capo A) della rubrica. In particolare, il ricorrente: - sulla scorta di quanto rassegnato nella relazione del proprio consulente nel giudizio di merito, ha distinto il processo di verifica della vulnerabilità di un sistema informatico (vulnerability assessment) dal processo di sfruttamento di tale vulnerabilità (exploiting), il solo che si sostanzierebbe in un accesso abusivo e che, nel caso di specie, avrebbe consentito in effetti di accedere al data base unicamente dopo aver effettuato numerose richieste per comprenderne la struttura;
- ha dedotto che nella specie avrebbe avuto luogo solo la verifica della vulnerabilità dei sistema - mettendo in guardia il gestore del sito perché prevenisse accessi abusivi -, senza sfruttarla in alcun modo;
ragion per cui difetterebbe l'offensività della condotta. Difatti, un'esegesi della norma incriminatrice conforme al principio di offensività dovrebbe condurre ad escludere il reato in imputazione quando oggetto della violazione sia un sistema protetto da misure di sicurezza che non contenga alcun dato o alcun programma ovvero contenga esclusivamente dati o programmi di pubblico dominio (facilmente reperibili da chiunque), perché in tal caso verrebbe meno ogni ragione di tutela rispetto a un fatto del tutto inoffensivo per il bene protetto. D'altra parte, occorrerebbe attribuire al requisito della protezione del sistema mediante misure di sicurezza un significato coerente che limiti la tutela penale ai dati e ai programmi alla cui riservatezza il titolare abbia mostrato interesse, predisponendo barriere di protezione contro le eventuali intrusioni, così responsabilizzando anche la vittima dell'illecito penale. Il ricorrente ha pure soggiunto che il Giudice di appello avrebbe confutato la prospettazione del consulente di parte con argomentazioni in contrasto con quanto rappresentato nell'elaborato tecnico offerto dalla difesa ed in particolare ne avrebbe assunto la genericità e avrebbe negato conducenza alle sue allegazioni relative all'esistenza di un organismo statale deputato a rilevare le segnalazioni sulla vulnerabilità dei sistemi informatici, osservando che tali segnalazioni attengono alle scoperte accidentali e non a un'attività di volontaria e sistematica elusione dei sistemi di protezione dei siti pubblici e privati.
2.3. Con il terzo motivo è stata dedotta l'inosservanza o l'erronea applicazione della legge penale o di altre norme giuridiche di cui si deve tener conto nell'applicazione della legge penale (art. 606, comma 1, lett. b, cod. proc. pen.), in relazione all'art. 220 cod. proc. pen. ed a cagione del mancato espletamento di una perizia tecnica. Con riferimento al capo A) della rubrica, si è dedotto che la Corte territoriale - in ragione di quanto esposto dal consulente tecnico della difesa e del conseguente «contrasto tecnico tra le parti» - avrebbe dovuto approfondire tramite una perizia il concetto di vulnerabilità alla luce delle innovazioni informatiche e non anche limitarsi ad estrapolare un'argomentazione dal complesso elaborato
udita la relazione svolta dal Consigliere G M;
udito il Pubblico Ministero, in persona del Sostituto Procuratore K T, che ha concluso chiedendo l'annullamento del ricorso con riferimento al quarto motivo. Rigetto nel resto. udito il difensore, avv. G F, che ha concluso chiedendo l'accoglimento del ricorso.
RITENUTO IN FATTO
1. Con sentenza del 25 novembre 2019 la Corte di appello di Palermo ha confermato la pronuncia di primo grado, emessa in data in data 28 marzo 2017, con la quale, all'esito di giudizio abbreviato, il Giudice dell'udienza preliminare del Tribunale di Palermo - per quel che qui rileva - aveva affermato la responsabilità di A S per due ipotesi aggravate di accesso abusivo a un sistema informatico o telematico (art. 615-ter, commi 1 e 3, cod. pen.), in un caso al sito http://www.asppalermo.org di pertinenza dell'AZIENDA SANITARIA PROVINCIALE di Palermo (capo A della rubrica);
nell'altro caso, al sito http://www.beppegrillo.it di pertinenza del "Movimento 5 Stelle" (capo E della rubrica).
2. Avverso la sentenza è stato proposto ricorso per cassazione nell'interesse dell'imputato, articolato nei quattro motivi di seguito enunciati, nei limiti di cui all'art. 173, comma 1, disp. att. cod. proc. pen.
2.1. Con il primo motivo sono state denunciate la contraddittorietà e la manifesta illogicità della motivazione (art. 606, comma 1, lett. e, cod. proc. pen.) con riguardo a entrambe le imputazioni. Quanto al capo A) il ricorrente ha sostenuto che la Corte territoriale: - avrebbe collocato la condotta - l'accesso al sito dell'ASP di Palermo - tra il 3 e il 4 marzo 2013, ritenendo erroneo il tempus individuato dal Giudice di primo grado, ossia il giorno 9 dicembre 2012;
- in tal modo, avrebbe travisato quanto si trae dagli allegati alla nota dei Carabinieri (in data 12 aprile 2013) acquisiti nel corso del giudizio nonché in altra nota dell'Arma (del 29 novembre 2013), atti sulla scorta dei quali - tenuto conto pure di quanto esposto nella relazione del consulente tecnico di parte prof. Roberto Cusani - può affermarsi che il fatto ha avuto luogo il 9 dicembre 2012. In relazione al capo E), il ricorrente ha assunto che le argomentazioni su cui si è fondata l'affermazione di responsabilità dell'imputato si discosterebbero dal «concetto di prova tecnica necessaria per giungere a un giudizio di colpevolezza al di là di ogni ragionevole dubbio»;
ed ha dedotto che non potrebbe ravvisarsi la correlazione tra contestazione e quadro probatorio, perché: - con l'imputazione in discorso sarebbe stata ascritta allo SPECCHIARELLO la commissione del delitto «scaricando l'intera banca dati» del sito www.beppegrillo.it di pertinenza del "Movimento 5 Stelle", «contenente nomi e iscritti al movimento, nonché quelli dei donatori, violando così un sistema protetto da misure di sicurezza»;
- la sentenza impugnata ha ritenuto la sussistenza del fatto sulla base delle comunicazioni in atti, «a prescindere dalla prova di un effettivo download di dati», che avrebbe integrato anche altre fattispecie di reato, affermando che lo SPECCHIARELLO avrebbe comunque fatto accesso all'interno del sito violandone i contenuti, come ammesso dallo stesso imputato nel proprio messaggio di posta elettronica diretto a B G;
- tuttavia, come anticipato, all'imputato è contestato di aver scaricato l'intera banca dati in discorso ed invece vi è prova che nessun dato sia stato sottratto e non vi è prova di alcun accesso abusivo.
2.2. Con il secondo motivo è stata dedotta l'inosservanza o l'erronea applicazione della legge penale (art. 606, comma 1, lett. b, cod. proc. pen.) con riferimento al capo A) della rubrica. In particolare, il ricorrente: - sulla scorta di quanto rassegnato nella relazione del proprio consulente nel giudizio di merito, ha distinto il processo di verifica della vulnerabilità di un sistema informatico (vulnerability assessment) dal processo di sfruttamento di tale vulnerabilità (exploiting), il solo che si sostanzierebbe in un accesso abusivo e che, nel caso di specie, avrebbe consentito in effetti di accedere al data base unicamente dopo aver effettuato numerose richieste per comprenderne la struttura;
- ha dedotto che nella specie avrebbe avuto luogo solo la verifica della vulnerabilità dei sistema - mettendo in guardia il gestore del sito perché prevenisse accessi abusivi -, senza sfruttarla in alcun modo;
ragion per cui difetterebbe l'offensività della condotta. Difatti, un'esegesi della norma incriminatrice conforme al principio di offensività dovrebbe condurre ad escludere il reato in imputazione quando oggetto della violazione sia un sistema protetto da misure di sicurezza che non contenga alcun dato o alcun programma ovvero contenga esclusivamente dati o programmi di pubblico dominio (facilmente reperibili da chiunque), perché in tal caso verrebbe meno ogni ragione di tutela rispetto a un fatto del tutto inoffensivo per il bene protetto. D'altra parte, occorrerebbe attribuire al requisito della protezione del sistema mediante misure di sicurezza un significato coerente che limiti la tutela penale ai dati e ai programmi alla cui riservatezza il titolare abbia mostrato interesse, predisponendo barriere di protezione contro le eventuali intrusioni, così responsabilizzando anche la vittima dell'illecito penale. Il ricorrente ha pure soggiunto che il Giudice di appello avrebbe confutato la prospettazione del consulente di parte con argomentazioni in contrasto con quanto rappresentato nell'elaborato tecnico offerto dalla difesa ed in particolare ne avrebbe assunto la genericità e avrebbe negato conducenza alle sue allegazioni relative all'esistenza di un organismo statale deputato a rilevare le segnalazioni sulla vulnerabilità dei sistemi informatici, osservando che tali segnalazioni attengono alle scoperte accidentali e non a un'attività di volontaria e sistematica elusione dei sistemi di protezione dei siti pubblici e privati.
2.3. Con il terzo motivo è stata dedotta l'inosservanza o l'erronea applicazione della legge penale o di altre norme giuridiche di cui si deve tener conto nell'applicazione della legge penale (art. 606, comma 1, lett. b, cod. proc. pen.), in relazione all'art. 220 cod. proc. pen. ed a cagione del mancato espletamento di una perizia tecnica. Con riferimento al capo A) della rubrica, si è dedotto che la Corte territoriale - in ragione di quanto esposto dal consulente tecnico della difesa e del conseguente «contrasto tecnico tra le parti» - avrebbe dovuto approfondire tramite una perizia il concetto di vulnerabilità alla luce delle innovazioni informatiche e non anche limitarsi ad estrapolare un'argomentazione dal complesso elaborato
Iscriviti per avere accesso a tutti i nostri contenuti, è gratuito!
Hai già un account ? Accedi