Temi penalistici generali del CybercrimeRiconoscendo l’attributo della fisicità al dato informatico (per essere un’entitià che occupa fisicamente una porzione di memoria quantificabile), e consdierando la capacità dei files di essere trasferiti tra dispositivi o sistemi nonché di essere “custoditi” in ambienti “virtuali”, la Corte di Cassazione ha affermato il seguente principio di diritto: «i dati informatici (files) sono qualificabili cose mobili ai sensi della legge penale e, pertanto, costituisce condotta di appropriazione indebita la sottrazione da un personal computer aziendale, affidato per motivi di lavoro, dei dati informatici ivi collocati, provvedendo successivamente alla cancellazione dei medesimi dati e alla restituzione del computer “formattato”».
Recognising the attribute of physicality to computer data (entity that physically occupies a quantifiable portion of memory), and considering the capacity of files to be transferred between devices or systems and to be “stored” in “virtual” environments, the Court of Cassation affirmed the following principle of law: «computer data (files) can be qualified as movable property under Criminal Law and, therefore, constitutes misappropriation conduct the removal from a company personal computer, entrusted for work purposes, of computer data placed there, subsequently providing for the deletion of the same data and the return of the “formatted” computer».
In senso conforme: Corte di Cassazione, sez. V penale, sentenza 23 luglio 2015 (ud. 19 febbraio 2015), n. 32383/2015 – Pres. Maurizio Fumo, Rel. Micheli Paolo.
In senso difforme: Corte di Cassazione, sez. IV penale, sentenza 29 gennaio 2004 (ud. 13 novembre 2003), n. 3449/2003 – Pres. Giovanni D’Urso, Rel. Ettore Palmieri; Corte di Cassazione, sez. IV penale, sentenza 21 dicembre 2010 (ud. 26 ottobre 2010), n. 44840/2010; Corte di Cassazione, sez. II penale, sentenza 24 maggio 2016 (ud. 18 febbraio 2016), n. 21596/2016 – Pres. Matilde Cammino, Rel. Sergio Beltrani.
Nota redazionale
Nella sentenza in commento la Corte di Cassazione qualifica il dato informatico quale “cosa mobile” agli effetti della legge penale affermandone la fisicità in quanto i dati informatici sono misurati in bit e byte e possono costituire oggetto di operazioni di trasferimento o custodia, elementi che rappresenterebbeo i presupposti logici della possibilità che il dato informatico sia oggetto di condotte di stottrazione e appropriazione.
Pur avendo riscontrato quale limite di tale assunto la mancanza del requisito dell’apprensione materialmente percepibile del file in sé considerato, esso viene tuttavia superato dai giudici della Corte ritenendo che il difetto del requisito della “fisicità” della detenzione non costituisca elemento in grado di ostacolare la riconducibilità del dato informatico alla categoria della “cosa mobile”.
Infine, l’effetto di definitiva sottrazione del bene patrimoniale (quale è il dato informatico) al titolare del diritto di godimento ed utilizzo dello stesso – elemento che si è sempre ritenuto mancante nelle ipotesi di “furto di informazioni”, poiché il dato informatico resta comunque nella disponibilità materiale e giuridica del titolare, ragione in base alla quale il legislatore del 1993, in sintonia con la dottrina e la giurisprudenza dell’epoca, aveva escluso che la condotta di sottrazione di dati, programmi e informazioni fosse riconducibile alla fattispecie di furto – viene oggi ritenuto sussistente nel caso in cui l’appropriazione venga realizzata dal soggetto agente mediante condotte che mirano non solo all’interversione del possesso legittimamente acquisito dei dati informatici, ma altresì alla sottrazione definitiva dei dati informatici mediante la loro cancellazione, dopo averli duplicati e acquisiti autonomamente su un proprio dispositivo.
La pronuncia della Corte di Cassazione qui riportata solleva alcune osservazioni critiche, in particolare sotto due profili.
In primo luogo, risulta quantomeno arduo qualificare il dato informatico quale “cosa mobile”, come affermato dalla Suprema Corte, tant’è che in passato aveva sempre ritenuto che le condotte di furto, danneggiamento, ricettazione e appropriazione indebita potessero aver ad oggetto non i dati in quanto tali, ma i supporti materiali nei quali gli stessi erano contenuti.
Infatti, se da una parte non si nega che anche i dati informatici posseggano una loro fisicità, per le ragioni riportate nella sentenza in commento, dall’altra essi possiedono una materialità molto diversa da quella che caratterizza la cosa mobile tradizionalmente intesa.
Quest’ultima trova la propria dimensione nella realtà materiale o tuttalpiù meccanica (laddove si tratti di “energia”, che è stata ad essa assimilata con espressa ed estensiva previsione di legge ex art. 624, comma 2, c.p.), mentre il “dato” appartiene al mondo dell’informatica e dell’informazione, la cui sostanza sfugge alle categorie della «sottrazione» o dell’«appropriazione», vale a dire di uno spossessamento o spostamento patrimoniale. Non è infatti possibile “sottrarre un file” o comunque appropriarsene, facendone venir meno con ciò stesso la disponibilità al precedente possessore o titolare: si potrà eventualmente con ulteriori azioni trasferirlo, cancellarlo, o comunque impedire all’interessato di visionarlo bloccandone l’accesso.
Come si può notare anche nel caso in esame, la condotta dell’agente non si manifesta in una unitaria sottrazione, ma piuttosto nei due diversi momenti del trasferimento (duplicazione delle informazioni) e della cancellazione dei dati contenuti sul portatile aziendale. Difetta, perciò, la condotta tipica di appropriazione, perchè la copiatura dei files consiste in una mera duplicazione degli stessi, che rimangono memorizzati sul medesimo supporto sul quale si trovavano, mentre la successiva cancellazione degli originali è condotta che non rientra nella nozione di impossessamento ed è, semmai, riconducibile al diverso reato di danneggiamento.
Sovrapporre o confondere due entità così differenti tra loro, come sono appunto la “cosa mobile” e il “dato informatico”, rischia di oscurare le diverse e specifiche esigenze di tutela e di regolamentazione di cui lo stesso legislatore, in conformità a molteplici fonti sovranazionali, si è da tempo opportunamente fatto carico, ed apre ad una applicazione analogica in malam partem, espressamente vietata in materia penale.
L’impressione è che per risolvere uno specifico caso concreto nei termini ritenuti opportuni, i Supremi giudici abbiano finito per giungere ad un’affermazione di principio in realtà insostenibile, che si auspica venga al più presto superata, a garanzia di un correttto esercizio dell’essenziale funzione nomofilattica e del sovraordinato principio di stretta legalità in materia penale.
Riferimenti: L. Picotti, Sistematica dei reati informatici, tecniche di formulazione legislativa e beni giuridic tutelati, in L. Picotti (a cura di), Il diritto penale dell’informatica nell’epoca di Internet, 2004, Padova, pp. 60 ss.; I. Salvadori, L’accesso abusivo ad un sistema informatico o telematico. Una fattispecie paradigmatica dei nuovi beni giuridici emergenti nel diritto penale dell’informatica, in L. Picotti (a cura di), Tutela penale della persona e nuove tecnologie, 2013, Padova, pp. 125-161; R. Flor, Riservatezza informatica e sicurezza informatica quali nuovi beni giuridici penalmente protetti, in V. Militello, A. Spena (a cura di), Mobilità, sicurezza e nuove frontiere tecnologiche, 2018, Torino, pp. 463-482; ID., Cybersecurity ed il contrasto ai cyber-attacks a livello europeo: dalla CIA-Triad Protection ai più recenti sviluppi, in Diritto di Internet, 2019, n. 3, pp. 453-467; L. Picotti, Cybersecurity: Quid Novi?, in Diritto di Internet, 2020, n. 1, pp. 11-15.
Si rimanda inoltre ai materiali presenti all’interno dei topic dedicati all’accesso abusivo e ai danneggiamenti informatici.