Integra il reato di accesso abusivo ad un sistema informatico «la condotta di chi si introduce nel sistema POS predisposto per il pagamento a mezzo carte di credito e bancomat, installando un "microchip" idoneo ad intercettare le comunicazioni informatiche di detto apparato e a scaricarne i dati, per poi successivamente utilizzarli al fine di clonare altre carte».
Svolgimento del processo
1. Con sentenza del 9 giugno 2022, la Corte d'Appello di Roma ha dichiarato non doversi procedere per i reati previsti dagli art. 617 quinquies cod. pen. (capo a) e 615 quater cod. pen. (capo c) perché estinti per prescrizione e confermato la pronuncia di condanna di T.B. per il reato di cui all'art. 615 ter, comma 3, cod. pen. (capo b).
2. Avverso tale sentenza ha proposto ricorso per cassazione l'imputato con atto sottoscritto dal difensore di fiducia ed articolato nei motivi di seguito sintetizzati a norma dell'art. 173, comma primo, disp. att. cod. proc. pen..
2.1. Con il primo motivo di ricorso si denunziano violazione di legge penale e vizi motivazionali in relazione all'affermazione di responsabilità per il reato di accesso abusivo a sistema informatico.
In particolare, ci si duole dell'omessa valutazione da parte della Corte territoriale delle doglianze sollevate con i motivi d'appello afferenti alla mancanza di qualsiasi accertamento in merito all'idoneità dell'apparecchiatura, istallata abusivamente agli sportelli bancari, di intercettare, impedire o interrompere le comunicazioni informatiche. Nel caso di specie era stato utilizzato lo skimmer, apparecchio volto a copiare all'insaputa dei clienti i dati contenuti nella banda magnetica di schede bancomat e carte di credito ma non i codici pin dei clienti e, pertanto, non può dirsi configurato il reato contestato in quanto non sussiste alcuna introduzione nel sistema informatico dell'istituto di credito.
A parere della difesa, dunque, i fatti dovrebbero essere ricondotti nell'alveo dell'ipotesi tentata con conseguente dichiarazione dell'avvenuto decorso del termine prescrizionale.
2.2. Con il secondo motivo è censurata la rideterminazione del trattamento sanzionatorio a seguito delle pronunce di estinzione dei reati di cui al capo a e al capo c.
La difesa si duole di una reformatio in peius della sentenza in quanto la Corte territoriale giunge a confermare la pena di un anno, precedentemente irrogata dal giudice di primo grado per i tre reati in continuazione, per il solo reato di cui all'art. 615 ter cod. pen. adducendo un errore di calcolo nella precedente quantificazione della pena e l'impossibilità di un'ulteriore riduzione essendo già sotto il minimo edittale.
2.3. Con il terzo motivo di ricorso è denunciata la mancata applicazione dell'art. 131 bis cod. pen..
Motivi della decisione
1. Il ricorso è infondato, ma va rilevata l'insussistenza dell'aggravante di cui al comma 3 dell'art. 615 ter cod. pen. e, di conseguenza, va dichiarata l'estinzione del reato per decorrenza del termine prescrizionale alla data del 9 maggio 2022.
2. Infondato è il primo motivo di ricorso.
Il reato di accesso abusivo al sistema informatico protetto da misure di sicurezza dell'istituto di credito "Unicredit" di via (omissis) è stato ascritto all'imputato che aveva applicato un dispositivo per la lettura delle bande magnetiche ed un congegno con microcamera per la lettura del pin in una delle casse automatiche bancomat.
Da tempo questa Corte ha avuto modo di affermare che integra il reato di accesso abusivo ad un sistema informatico la condotta di chi si introduce nel sistema POS predisposto per il pagamento a mezzo carte di credito e bancomat, installando un "microchip" idoneo ad intercettare le comunicazioni informatiche di detto apparato e a scaricarne i dati, per poi successivamente utilizzarli al fine di clonare altre carte. Si è precisato, infatti, richiamando le definizioni contenute nella Convenzione di Budapest del 23 novembre 2001, che le carte di credito, essendo idonee a trasmettere dati informatici, costituiscono un vero e proprio sistema informatico nel momento in cui si connettono all'apparecchiatura POS (Sez. F, n. 43755 del 23/08/2012, Rv. 253583; si vedano sulla nozione di sistema informatico anche Sez. 5, sentenza n. 28214 del 2015 e Sez. 5 n. 4470 del 2020, non massimate; si veda pure Sez. 6, n. 3067 del 04/10/1999, Rv. 214945).
3. Sempre in ordine alla configurabilità del reato e alla qualificazione giuridica del fatto come contestato, va ritenuta l'insussistenza dell'aggravante della violazione di un sistema di interesse pubblico, giacché tale non può ritenersi il sistema bancomat di un istituto di credito privato.
Sulla citata circostanza aggravante la giurisprudenza di questa Corte ha aderito a una interpretazione restrittiva, in ragione del principio di tassatività delle norme penali.
La norma prevede un significativo aumento di pena (rispettivamente da uno a cinque anni e da tre a otto anni) qualora l'ipotesi base di accesso abusivo di cui al comma 1 ovvero le circostanze di cui al comma 2 abbiano ad oggetto sistemi informatici o telematici «di interesse militare o relativi all'ordine pubblico o alla sicurezza pubblica o alla sanità o alla protezione civile o comunque di interesse pubblico».
Questa Sezione, con la sentenza n. 1934 del 13/12/2010 (Rv. 249049) ha rilevato come debba accedersi ad una concezione oggettiva sui criteri identificativi della natura pubblica di un servizio, per cui essa deve emergere dall'interesse dell'attività, indipendentemente dal soggetto che la espleta o al quale l'attività stessa è istituzionalmente collegata.
Invero, l'applicazione di regole e principi pubblicistici (e quindi la rafforzata tutela penalistica), connessi alla cura del pubblico interesse, si giustifica solo per quella parte di attività che si concreta nello svolgimento di una pubblica funzione, che il privato svolge quale "organo indiretto" della Pubblica Amministrazione.
Negli stessi termini si è espressa Sez. 5, n. 10121 del 18/12/2014 (Rv. 262610), che ha precisato come l'interpretazione letterale, logica e sistematica dell'art. 615 ter cod.pen., non consenta altra soluzione interpretativa, atteso che il comma terzo prevede la sussistenza dell'aggravante nel caso in cui l'accesso avvenga in un sistema di interesse militare, ovvero funzionale alla sicurezza o all'ordine pubblici, alla sanità, alla protezione civile. < <Con locuzione che vuole - evidentemente - essere di chiusura, il legislatore aggiunge il riferimento ad un sistema "comunque di interesse pubblico", che certamente non può essere riduttivamente identificato con la possibilità "per il pubblico" (vale a dire, nel caso in scrutinio, per qualsiasi cliente del servizio bancario) di operare un prelievo automatico di contante (ovvero di compiere, grazie a un sistema automatizzato, altre operazioni bancarie)>> (così in motivazione la citata sentenza n. 10121 del 18/12/2014).
Con la sentenza Sez. 5, n. 6906 del 13/01/2016, Rv. 266261, si è affermato che integra il reato di accesso abusivo ad un sistema informatico o telematico, aggravato, ex art. 615 ter, comma terzo, cod. pen., dall'essere il sistema di interesse pubblico, la condotta di colui che, essendosi procurato le credenziali relative alla carta Postepay della persona offesa, acceda all'area riservata alla gestione della carta della persona offesa, la quale costituisce una componente del sistema informatico Poste Italiane, ente conferente le credenziali per l'accesso alle diverse aree personali e gestore delle stesse.
Questo Collegio non ritiene di discostarsi dall'orientamento interpretativo di cui alle sentenze n. 1934 del 13/12/2010 e n. 10121 del 18/12/2014, giacché il tenore della norma in esame consente di escludere la fondatezza della tesi ermeneutica che aderisce alla cd. concezione soggettiva, per cui è "pubblico" il servizio assunto da un soggetto qualificabile come ente pubblico, quando - ovviamente - le finalità del servizio rispondano a esigenze della collettività.
Si ritiene invece che la natura e il regime del servizio pubblico debbano emergere dall'interesse all'attività, indipendentemente dal soggetto che la espleta o al quale l'attività stessa è istituzionalmente collegata (si veda in tal senso anche Sez. 5, n. 24576 del 16/03/2021, Rv. 281320).
4. La declaratoria di estinzione del reato per prescrizione comporta l'annullamento senza rinvio della sentenza impugnata, rimanendo assorbiti i motivi di ricorso sul trattamento sanzionatorio e sull'applicabilità dell'art. 131 bis cod. pen.
P.Q.M.
annulla senza rinvio la sentenza impugnata, esclusa l'aggravante di cui all'art. 615-ter comma 3 cod. proc. pen., perchè il reato è estinto per prescrizione.