Rapporti tra il delitto di Detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici e quello di Accesso abusivo ad un sistema informatico o telematico [Corte di Cassazione, 21 giugno 2021, n. 24211]

di Francesco Giuseppe Catullo -

La sentenza che si propone in lettura affronta la questione della possibilità di ravvisare il concorso tra il reato di Detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici ex art. 615 quater c.p. e quello di Accesso abusivo ad un sistema informatico o telematico di cui all’art. 615 ter c.p.

La decisione de qua, confrontandosi con altro precedente di legittimità (Cass. Sez. II, 14 gennaio 2019, n. 21987) che astrattamente aveva previsto l’assorbimento della prima fattispecie – come antefatto non punibile – nella seconda, contraddirebbe quest’ultimo sostenendo che nel caso analizzato non si fossero realizzate le medesime condizioni caratterizzanti la precedente statuizione.

Secondo la decisione della Corte di cassazione del 2019, il reato di cui all’art. 615 quater c.p. deve essere assorbito nel più grave delitto di cui all’art. 615 ter c.p., quando il primo risulti “integrato nel medesimo contesto spazio-temporale in cui sia stato perpetrato l’antefatto, ed in danno della medesima persona fisica (titolare del bene protetto)”.

Più precisamente, a parere del Collegio della decisione appena citata, “il reato di cui all’art. 615 quater costituisce necessario antefatto del reato di cui all’art. 615 ter, poiché le due fattispecie criminose si pongono in stretta connessione, tutelando entrambe il medesimo bene giuridico, ovvero il domicilio informatico, passando da condotte meno invasive a condotte più invasive, poiché indiscriminate, che, sotto un profilo naturalistico, necessariamente presuppongono le prime”.

Passando dal principio astratto elaborato dalla decisione n. 21987/2019, alla soluzione del caso concreto prospettato nella sentenza di cui sotto, viene ravvisata la possibilità del concorso tra le due fattispecie in quanto esse sarebbero state “poste in essere in momenti e nei confronti di persone offese diverse”.

Tuttavia, andando a confrontare i fatti oggetto di giudizio nella sentenza di legittimità del 2019 con questa del 2021 emergerebbero delle identità tali da non giustificare soluzioni differenti.

Nello specifico, nel caso del 2019 i ricorrenti avrebbero compiuto “due distinte condotte, poste in essere in pari data e con analoghe modalità, ovvero mediante l’utilizzo di codici di accesso a conti correnti bancari fraudolentemente carpiti mediante l’invio di e-mail che sollecitavano l’invio di dati riservati relativi ad un rapporto di c.c. bancario; in tal modo, gli imputati si procuravano fraudolentemente le parole chiave ed i dati riservati di accesso al sistema informatico della banca riferibili alle persone offese dei reati a ciascuno di esse separatamente contestati, vi accedevano abusivamente, intervenendo sui dati riservati inerenti al singolo rapporto bancario, e successivamente procedevano alla ricarica di carte di credito delle quali avevano rispettivamente disponibilità, ciascuno ottenendo in tal modo un ingiusto profitto”.

Nel caso trattato dalla sentenza annotata, parimenti, l’imputato tramite un’attività di phishingera riuscito ad ottenere dagli utenti dati sensibili, personali e bancari” e successivamente “compiva, anche ai danni delle tredici persone offese … i reati di cui agli artt. 615 ter, 615 quater e 640 ter cod. pen.. Questi, infatti, si procurava abusivamente i codici, le parole chiave e i mezzi idonei all’accesso al sistema informatico relativo ai conti correnti on line di diversi istituti di credito e società. Quindi, si introduceva nei sistemi informatici ed accedeva ai conti correnti on line delle persone offese, ponendo in essere l’ulteriore reato di frode informatica”.

Sempre nella sentenza annotata si precisa che “i reati di accesso abusivo ai sistemi informatici cui all’art. 615 ter cod. pen. … sono risultati perfezionati in momenti diversi (ndr rispetto ai reati di cui all’art. 615 quater c.p.), attraverso l’abusiva introduzione nel sistema informatico delle varie società (istituti di credito o anche delle società Paypal, Mastercard, Visa, Carta Sì) già protetto da misure di sicurezza, così accedendo attraverso la (diversa) condotta descritta, al conto corrente on line dei singoli clienti e contro la volontà di questi, con distinta attività posta in essere ai danni delle società titolari dei sistemi informatici violati.

Sicché, a fronte dell’esistenza di condotte poste in essere in momenti e nei confronti di persone offese diverse, non può concludersi per il prospettato assorbimento delle fattispecie …”.

A parere di chi scrive, le uniche differenze che emergerebbero nei due casi affrontati rispettivamente dal Giudice di legittimità del 2019 e da quello del 2021, sono che nel primo i due differenti reati sarebbero stati compiuti in pari data e ai danni delle medesime persone fisiche titolari dei rispettivi conti correnti, mentre nel secondo i due delitti sembrerebbero essere avvenuti in giorni diversi e ai danni sia delle persone fisiche intestatarie dei conti correnti violati, sia degli Istituti di credito o società presso cui i predetti conti erano accesi.

Considerando che nel caso del 2019, la condotta di Accesso abusivo dovrebbe essere avvenuta parimenti ai danni dei vari Istituti di credito e società titolari dei sistemi informatici violati, l’unica differenza che rileverebbe tra le due ipotesi a confronto è quella del contesto temporale in cui si sarebbero consumati le modalità lesive. Nel primo caso, nella medesima data; nel secondo in giorni differenti.

A parere di chi scrive, tale differenza non giustificherebbe un trattamento diverso delle due situazioni, in quanto:

  1. il soggetto agente, tramite un’azione illecita di phishing, si è procurato le password dei conti corrente on line delle vittime al solo fine di accedere abusivamente a questi ultimi;
  2. le predette password, di fatto, sono state utilizzate esclusivamente per il fine di cui sopra;
  3. il distacco temporale tra l’azione di phishing e quello di Accesso abusivo non risulterebbe tale da giustificare un’autonomina tra il delitto di cui all’art. 615 quater c.p. e quello di cui all’art. 615 ter c.p..