Il caso.

Tre dipendenti di una software house, avendo accesso al sistema informatico della stessa, e poco prima di andarsene dall'azienda, copiavano il codice sorgente di un programma e una banca dati di proprietà della datrice di lavoro e lo utilizzavano per realizzare un software uguale per la nuova società presso cui si impiegavano, concorrente della prima.

La prima società agiva contro la seconda ditta produttrice del nuovo software per violazione del diritto d'autore e concorrenza sleale avanti il Tribunale delle Imprese. Ivi una CTU accertava che il codice sorgente del nuovo software in sostanza era identico al primo. Il Tribunale accoglieva entrambe le domande.

Si radicava anche una azione penale contro i dipendenti fuorisciti dalla prima società, denunciante e costituitasi parte civile, con capi di imputazione riguardanti la frode informatica (640 ter c.p.), l'accesso abusivo ad un sistema informatico (615 ter c.p.) e per un reato connesso alla violazione del diritto d'autore (art. 171 bis del R.D. n. 633 del 1941).

La questione.

Il codice sorgente e il database era depositato nel "sistema informatico" della società presso cui lavoravano. Per estrarre copia di ciò necessariamente i dipendenti sono entrati nel sistema informatico ma è di tutta evidenza che gli stessi erano a ciò autorizzati (ad entrare, non a copiare) poiché costituiva parte del loro lavoro.

Ci si chiede se persone aventi l'autorizzazione ad entrare in un sistema informatico, o perché con esse vi lavorano o per motivi di sicurezza, possano essere ritenute colpevoli del reato di "accesso abusivo ad un sistema informatico" che ad una superficiale lettura della norma parrebbe diretto a colpire gli accessi non autorizzati.

615 ter - Accesso abusivo ad un sistema informatico o telematico
Chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo, è punito con la reclusione fino a tre anni.
La pena è della reclusione da uno a cinque anni:
1) se il fatto è commesso da un pubblico ufficiale o da un incaricato di un pubblico servizio, con abuso dei poteri, o con violazione dei doveri inerenti alla funzione o al servizio, o da chi esercita anche abusivamente la professione di investigatore privato, o con abuso della qualità di operatore del sistema;
2) se il colpevole per commettere il fatto usa violenza sulle cose o alle persone, ovvero se è palesemente armato;
3) se dal fatto deriva la distruzione o il danneggiamento del sistema o l'interruzione totale o parziale del suo funzionamento, ovvero la distruzione o il danneggiamento dei dati, delle informazioni o dei programmi in esso contenuti.
Qualora i fatti di cui ai commi primo e secondo riguardino sistemi informatici o telematici di interesse militare o relativi all'ordine pubblico o alla sicurezza pubblica o alla sanità o alla protezione civile o comunque di interesse pubblico, la pena è, rispettivamente, della reclusione da uno a cinque anni e da tre a otto anni.
Nel caso previsto dal primo comma il delitto è punibile a querela della persona offesa; negli altri casi si procede d'ufficio.

De resto se, oltre ad avere effettuato un accesso al sistema informatico queste persone hanno anche ricavato un ingiusto profitto si deve considerare la fattispecie della frode informatica, non tanto qui per l'alterazione dei dati ma per il secondo inciso del primo comma della norma che parla di "intervenento senza diritto  ... su dati, informazioni o programmi". Tuttavia la sentenza di primo grado aveva ritenuto non potersi ritenere sussistente una violazione del disposto dell'art. 640 ter c.p. qualora non vi fosse stata una modificazione del sistema in cui i dati si trovano.

640 ter - Frode informatica
Chiunque, alterando in qualsiasi modo il funzionamento di un sistema informatico o telematico o intervenendo senza diritto con qualsiasi modalità su dati, informazioni o programmi contenuti in un sistema informatico o telematico o ad esso pertinenti, procura a sé o ad altri un ingiusto profitto con altrui danno, è punito con la reclusione da sei mesi a tre anni e con la multa da cinquantuno euro a milletrentadue euro.
La pena è della reclusione da uno a cinque anni e della multa da trecentonove euro a millecinquecentoquarantanove euro se ricorre una delle circostanze previste dal numero 1) del secondo comma dell'articolo 640, ovvero se il fatto è commesso con abuso della qualità di operatore del sistema.
La pena è della reclusione da due a sei anni e della multa da euro 600 a euro 3.000 se il fatto è commesso con furto o indebito utilizzo dell'identità digitale in danno di uno o più soggetti.
Il delitto è punibile a querela della persona offesa, salvo che ricorra taluna delle circostanze di cui al secondo comma o un'altra circostanza aggravante.

Ancora più adattabile al caso di specie parrebbe l'art. 171 bis della Legge Dir. Autore che esplicitamente si riferisce alla copia (duplicazione) per trarne profitto di programmi per elaboratore.

Art. 171-bis
1. Chiunque abusivamente duplica, per trarne profitto, programmi per elaboratore o ai medesimi fini importa, distribuisce, vende, detiene a scopo commerciale o imprenditoriale o concede in locazione programmi contenuti in supporti non contrassegnati dalla Società italiana degli autori ed editori (SIAE), è soggetto alla pena della reclusione da sei mesi a tre anni e della multa da euro 2.582  a euro 15.493. La stessa pena si applica se il fatto concerne qualsiasi mezzo inteso unicamente a consentire o facilitare la rimozione arbitraria o l'elusione funzionale di dispositivi applicati a protezione di un programma per elaboratori. La pena non è inferiore nel minimo a due anni di reclusione e la multa a euro 15.493 se il fatto è di rilevante gravità.
2. Chiunque, al fine di trarne profitto, su supporti non contrassegnati SIAE riproduce, trasferisce su altro supporto, distribuisce, comunica, presenta o dimostra in pubblico il contenuto di una banca di dati in violazione delle disposizioni di cui agli articoli 64-quinquies e 64-sexies, ovvero esegue l'estrazione o il reimpiego della banca di dati in violazione delle disposizioni di cui agli articoli 102-bis e 102-ter, ovvero distribuisce, vende o concede in locazione una banca di dati, è soggetto alla pena della reclusione da sei mesi a tre anni e della multa da euro 2.582 a euro 15.493. La pena non è inferiore nel minimo a due anni di reclusione e la multa a euro 15.493 se il fatto è di rilevante gravità.

La decisione.

La Corte di Cassazione penale si pronuncia sul caso con Sentenza n° 11075 depositata il 13 marzo 2018.

Quanto al primo quesito, se possa integrare un accesso illecito a sistema informatico colui che per ragioni di lavoro (o altro) abbia l'accesso allo stesso, la Corte ricorda come " ... le Sezioni unite di questa Corte (Sez. U, n. 41210 del 18/05/2017 Rv. 271061 Imp. Savarese) hanno dato risposta affermativa al quesito se integri o meno il delitto previsto dall'art. 615-ter c.p., comma 2, n. 1, la condotta del soggetto abilitato all'accesso per ragioni di ufficio che, non violando le condizioni ed i limiti risultanti dalle prescrizioni impartite dal titolare di un sistema informatico o telematico protetto per delimitarne oggettivamente l'accesso, acceda o si mantenga nel sistema per scopi e finalità estranei o comunque diversi rispetto a quelli per i quali la facoltà di accesso gli è attribuita". E aggiunge: "In particolare, deve - per effetto di tale pronuncia - ritenersi sussistente l'illiceità penale della condotta del soggetto che abbia effettuato - come nel caso di specie - un ingresso nel sistema telematico con fini palesemente contrari agli interessi - anche patrimoniali - del titolare del sistema informatico stesso".

La fattispecie di cui all'art. 615 ter c.p., pertanto, deve ritenersi integrata.

Quanto alla frode informatica, correttamente, la S.C. richiama il secondo inciso del primo comma affermando che se è vero che la prima parte considera una condotta dell'agente che abbia acquisito un ingiusto profitto "alterando" il sistema informatico, da altro canto, la seconda parte sanziona "la condotta di chi si procuri un ingiusto profitto con altrui danno intervenendo senza diritto con qualsiasi modalità su dati, informazioni o programmi contenuti in un sistema informatico o telematico o ad esso pertinenti".

Nel caso che ci interessa, l' "intervento" senza diritto, secondo la S.C., si è senz'altro verificato, poiché intervento è anche la condotta che non danneggi il sistema. Tale intervento secondo la Corte "è consistito nella introduzione nel sistema informatico e nella estrazione di copia del database e dei codici sorgenti del programma protetto da copyright al fine di utilizzare lo stesso programma per gestire parti dell'attività di una società concorrente in cui coloro che avevano organizzato la copia erano confluiti".

Quindi deve ritenersi commessa anche la condotta di frode informatica (640 tec c.p.).

Infine, si era visto come il Tribunale sezione specializzata in materia d'impresa avesse già accertata la violazione del diritto d'autore e quindi va valutata la condotta prevista dall'art. 171 bis del R.D. n. 633 del 1941. La corte si interroga sulla sovrapponibilità di questa fattispecie con quella appena vista della fronde informatica. Ritiene, infatti, che l'atto del copiare, la duplicazione, sia un comportamento a se stante che non necessariamente coincide con l' "intervento" in un sistema informatico e che, anzi, lo scopo primario della legge, è diretto a punire la duplicazione e la divulgazione di opere a partire dal supporto che le contengono.

Altra sostanziale differenziazione, afferma la Corte, rispetto alla frode informatica è che l'art. 171 bis protegge dalla duplicazione non tutte le opere d'ingegno ma solamente quelle dotate di originalità e creatività.

Nel raffronto fra le due norme, quindi, (640 ter c.p. e 171 bis L. dir. Autore) afferma la Corte di Cassazione, deve " ... concludersi che - in via generale e astratta - le due fattispecie presentino ciascuna degli elementi specializzanti di diversa natura che non permettono di ritenere che vi sia alcun tipo di assorbimento o consunzione tra le due e quindi determinano - salva la valutazione della sussistenza dei detti presupposti - l'applicazione in concorso".

La condotta incrimitata può realizzare la commissione delle fattispecie criminose sopra indicate, in concorso formale fra di loro.

---------------------------------------

Di seguito il testo di
Corte di Cassazione penale Sentenza n° 11075 depositata il 13/03/2018