C. app. Milano, Sent. 1360/08

art.615 ter c. III – computer appartenente alla PA – automatica configurabilità dell’aggravante – non sussiste
art.615 ter c. III – computer appartenente alla PA – configurabilità dell’aggravante – necessità di dimostrare l’interesse pubbico del sistema violato – sussiste

N. 1360/08 Sent.
N. 158/2008 del Reg. Gen. App.
N. R.G.N.R. 12424/2001
Udienza del giorno 01.04.2008
Depositata in cancelleria il 02 maggio 2008

REPUBBLICA ITALIANA
IN NOME DEL POPOLO ITALIANO
La Corte d’Appello di Milano
Sezione Seconda Penale

Composta dai Signori
1. Dott.ssa Erminia La Bruna Presidente
2. Dott. Paolo Negri della Torre Consigliere
3. Dott. Paolo Spina Consigliere
ha pronunciato la seguente

SENTENZA

nella causa del Pubblico Ministero

contro

1) XXXX nato a XXXX (XX) il XX-XX-XXXX – APPELLANTE – LIBERO CONTUMACE
residente a XXXX- VIA XXXX
domicilio eletto ROMA – C/O AVV. PAOLO GALDIERI
Imputato di : ARTT. 81 CPV. C.P., 110-615 TER C.P., 110-61 N.2-615 TER C.P., 110-61 N.2-615 TER C.P., 110-81 CPV.-615 TER C.P. commesso in MILANO, 7, 8 e 9/2/01 in data – – Difeso da: Avv. PAOLO GALDIERI Foro di ROMA

2) YYYY nato a YYYY (YY) il YY-YY-YYYY – APPELLANTE – LIBERO CONTUMACE
residente a YYYY – VIA YYYY domicilio eletto
Imputato di : ARTT. 81 CPV. C.P., 110-615 TER C.P., 110-61 N. 2-615 TER C.P., 110-61 N. 2-615 TER C.P. commesso in MILANO, 7, 8 e 9/02/01 in data – – Difeso da: Avv. ANDREA MONTI Foro di PESCARA

Parte Civile:
FIN.ECO S.P.A. . NON APPELLANTE Difensore Avv. GUIDO CALVI E PAOLA PARISE Foro di ROMA – PRESENTE

APPELLANTE

avverso la sentenza dei Tribunale Monocratico di MILANO N. Reg. Gen.. 12803/2003 del 07-06-2006
con la quale venivano condannati, alla pena di:
XXXX: MESI 4 DI RECLUSIONE; DOPPI BENEFICI;
XXXX: MESI 3 DI RECLUSIONE; DOPPI BENEFICI;
RISARCIMENTO DANNI E RIFUSIONE SPESE IN FAVORE DELLA PARTE CIVILE;
ENTRAMBI PER IL REATO DI ACCESSO ABUSIVO A SISTEMA INFORMATICO IN CONCORSO AGGR. E NON DI CUI AI CAPI A), B) E C).
XXXX , INOLTRE, PER LO STESSO REATO DI CUI AL CAPO E).
RITENUTA LA CONTINUAZIONE TRA I REATI A CIASCUNO RISPETTIVAMENTE ASCRITTI.
per i reati:
XXXX ARTT. 81 CPV. C.P., 110-615 TER C.P., 110-61 N. 2-615 TER C.P., 110-61 N. 2-615 TER C.P., 110-81 CPV.- 615 TER C.P. commesso in MILANO, 7, 8 e 9/2/01 in data
YYYY ARTT. 81 CPV. C.P., 110-615 TER C.P., 110-61 N. 2-615 TER C.P., 110-61 N. 2-615 TER C.P. commesso in MILANO, 7, 8 E 9/2/01 in data – – .

In esito all’odierno dibattimento celebratosi in contumacia degli imputati;

Sentita la relazione del Sig. Consigliere Dott. NEGRI DELLA TORRE

Sentita la P.C. av. Paola Parise, Foro Roma

il Pubblico Ministero Dott.ssa Barbasini

il Difensore Avv. Paolo Galdieri, Foro Roma, per XXXX; Avv. Andrea Monti, Foro Pescara, per YYYY, i quali concludono come da verbale d’udienza.

Fatto e svolgimento del processo

Gli odierni appellanti, XXXX e YYYY, venivano rinviati a giudizio, avanti al Tribunale di Milano, per rispondere, entrambi:

  • a) del delitto di cui agli artt. 81 cpv., 110 e 615 ter, comma 1° e 2°, n. 1 perché, in concorso tra loro e con più azioni esecutive del medesimo disegno criminoso, mediante collegamento via rete Internet, effettuato tramite la linea telefonica n. 527 dello Star Hotel di Parma, abusivamente si introducevano nel sistema informatico della soc. FIN-ECO s,p.a., protetto da misure di sicurezza; in particolare, dopo aver proceduto alla scansione di due firewall di frontiera e della macchina denominata “extranet.fineco,it”, accedevano ad un computer denominato “chart.fineco.it”, avente funzioni dì Web Server per i clienti, FIN-ECO on line. Con l’aggravante di aver commesso il fatto con abuso della qualità di operatore di sistema, in quanto entrambi svolgenti, al momento dei fatti, la funzione di tecnici informatici della società SUN Microsystem.Commesso in Milano il 7, 1’8 e il 9 febbraio 2001;
  • b) del delitto di cui agli artt. 61 n. 2, 110 e 615 ter, commi 1° e 2°, n. 1 c.p. perché, in concorso tra loro, mediante collegamento via rete Internet, effettuato tramite la linea telefonica della stanza n. 527 dello Star Hotel di Parma, abusivamente si introducevano nel sistema informatico della soc. INFOSTRADA, protetto da misure di sicurezza; in particolare, dopo essersi abusivamente introdotti in un router di proprietà della società suddetta ed in uso ad un suo cliente, avente numero di IP 193.70.128.6, utilizzavano tale router per effettuare un collegamento con la rete informatica del Consiglio Nazionale delle Ricerche, dalla quale poi perpetravano attività di scansione ai danni della rete informatica della FIN-ECO s.p.a.. Con l’aggravante di aver commesso il fatto con abuso della qualità di operatore di sistema, in quanto entrambi svolgenti, al momento dei fatti, la funzione di tecnici informatici della società SUN Microsystem e con l’ulteriore aggravante di aver commesso il fatto per eseguire il reato di cui al capo a). Commesso in Milano il 7, l’8 e il 9 febbraio 2001;
  • c) del delitto di cui agli artt. 61 n. 2, 110 e 615 ter, commi 1°, 2° n. 1 e 3° c.p. perché, in concorso tra loro, mediante collegamento via rete Internet, effettuato tramite la linea telefonica della stanza n. 527 dello Star Hotel di Parma, abusivamente si introducevano nel sistema informatico del Consiglio Nazionale delle Ricerche, protetto da misure dì sicurezza; in particolare, dopo essersi introdotti nel router di proprietà della società INFOSTRADA ed in uso ad un suo cliente, avente numero IP 193.70,128.6, utilizzando lo stesso violavano la rete informatica dell’ente C.N.R. al fine di, utilizzare il computer avente come numero di IP 150.146.50.92, per effettuare diverse scansioni a danno dell’intera rete informatica della società FIN-ECO. Con l’aggravante di aver commesso il fatto con abuso della qualità di operatore di sistema, in quanto entrambi svolgenti, al momento dei fatti, la funzione di tecnici informatici della società SLTN Microsystem; l’aggravante di aver commesso il fatto su un sistema informatica e telematico di interesse pubblico; l’ulteriore aggravante di aver commesso il fatto per eseguire il reato di cui al capo a). Commesso il Milano 1’8 febbraio 2001;
  • d) del delitto di cui agli artt. 110 e 635 bis, comma 1° e 2° c.p. perché, in concorso tra loro, attraverso l’accesso abusivo descritto nel capo C) di imputazione, rendevano inservibile in parte il sistema informatico dell’ente C.N.R. nonché distruggevano i dati contenuti nel computer oggetto dell’intrusione; in particolare, dopo essersi introdotti nel sistema informatico in questione ed essersi collegati al computer avente come numero IF 150.146.50.92, installavano un programma per compiere le operazioni meglio descritte nel precedente capo c), che materialmente distruggeva il contenuto del disco fisso del computer violato, impedendone il successivo recupero ed obbligando gli operatori del C.N.R. a ripristinare il sistema operativo del computer, unitamente a tutti i software e dati di utenti presenti al momento della distruzione. Con l’aggravante di aver commesso îl fatto con abuso della qualità di operatore di sistema, in quanto entrambi svolgenti, al momento dei fatti, la funzione di tecnici informatici della società SUN Microsystem. Commesso in Milano 1’8 febbraio 2001;
  • il solo XXXX , per rispondere: e) del delitto di cui agli artt. 81 cpv., 110 e 615 ter, commi 1° e 2°, n, 1 c.p. perché, in concorso con persona allo stato non identificata e con più azioni esecutive del medesimo disegno criminoso, mediante collegamento via rete Internet da un Internet Cafè di Roma denominato “Excape Internet Cafè”, collegamento effettuato tramite il provider Internet Galactica e con computer aventi numeri di IP 212.41.204.156 e 21.41.204,157, abusivamente si introduceva nel sistema informatico della FIN-ECO s.p.a., protetto da misure di sicurezza, ai danni del quale perpetrava diverse scansioni delle porte di accesso e sul quale installava i file “c:\temp\n c.exe” e “c:\intepubs\scripts\sensepost.exe”, che poi venivano utilizzati nei corso dell’accesso abusivo descritto al capo a). Con l’aggravante di aver commesso il fatto con abuso della qualità di operatore di sistema, in quanto svolgente, al momento dei fatti, la funzione di tecnico informatico della società SUN Microsystem. Commesso il Milano l’1 febbraio 2001.

Con sentenza del 7 giugno 2006 il Tribunale di Milano dichiarava gli imputati colpevoli dei reati loro rispettivamente ascritti, escluso peraltro il reato di cui al capo d), dal quale lì assolveva entrambi per non aver commesso il fatto; e li condannava – esclusa l’aggravante ex art. 615 ter comma 2°, n. 1; concesse le attenuanti generiche dichiarate equivalenti alle residue aggravanti contestate; ritenuta la continuazione fra i reati. – XXXX alla pena di mesi quattro di reclusione e YYYY a quella di mesi tre di reclusione, con i doppi benefici in favore dì entrambi, oltre al pagamento in solido delle spese processuali. Il Tribunale condannava inoltre gli imputati al risarcimento dei danni subiti dalla costituita parte civile Banca Fineco s.p.a., da liquidarsi in separata sede, oltre alla rifusione delle spese di costituzione e difesa da questa sostenute e liquidate nella somma omnicomprensiva di euro 9.587,52.
A fondamento della pronuncia di colpevolezza, quanto ai reati di cui ai capi a), b) e c), il Tribunale poneva, in primo luogo, le stesse dichiarazioni rese dagli imputati nell’ambito dell’indagine interna svolta dalla soc. Sun Microsystem e acquisita, con il consenso delle parti, al fascicolo per il dibattimento: dichiarazioni che trovavano riscontro nelle univoche risultanze delle verifiche effettuate, nelle deposizioni assunte (fra cui particolare rilievo, per la ricostruzione della vicenda, assumeva la testimonianza del responsabile del sistema informatico della Fineco s.p.a., Agostino Di Salle) e nella stessa situazione venutasi a creare poco tempo dopo i fatti, allorquando gli imputati, mentre si trovavano nella sede di detta società, intenti ad operare proprio con il Di Salle, avevano tradito una precedente conoscenza di informazioni riservate, chiedendo se erano stati apportati cambiamenti alle strutture di accesso al sistema.
Quanto, poi, al reato di cui al capo e), attribuito al solo XXXX, il Tribunale richiamava, oltre alle dichiarazioni del Di Salle, le indagini svolte dalla Polizia Postale e le dichiarazioni rese da uno dei proprietari dell’Internet Cafè di Roma, Dario Cingolani, che aveva confermato il riconoscimento fotografico dell’imputato come una delle due persone che 1’1/2/01 avevano utilizzato le due uniche postazioni rimaste libere nel locale, collegandovi i propri computer portatili con sistema Linux.

Il primo Giudice considerava, inoltre, non attendibile la tesi degli imputati, che sostenevano di aver agito in buona fede, ritenendo di avere operato nell’ambito di un contratto già di fatto in corso fra le parti e a seguito di un accordo informale che sollecitava ad iniziare il più velocemente possibile il controllo della capacità di resistenza del sistema informatico della Fineco ad attacchi esterni: ed infatti, secondo il Tribunale, che pure dava atto di un primo incontro, avvenuto il 5/2/01 e volto alla definizione degli accordi tra le due società, e di come gli imputati fossero già al corrente, fin dal gennaio 2001, del lavoro che avrebbero dovuto svolgere in Fineco, l’avvio dei test doveva essere preceduto da un avviso alla società interessata e ciò alla stregua sia delle pattuizioni effettivamente intercorse, sia della prassi comunemente seguita dalla stessa Sun Microsystem in casi analoghi.

Con riferimento alle aggravanti contestate, il Tribunale escludeva quella di cui all’art. 615 ter, comma 2°, n. 1 c.p., posto che all’epoca dei fatti gli imputati in nessun caso rivestivano la qualità di operatori del sistema informatico violato; riteneva invece sussistente l’aggravante del danneggiamento del sistema (art. 615 ter, c. 2°, n. 3), anche se, in relazione al capo c), era stata contestata non già tale aggravante, ma quella di cui al comma 3° del medesimo articolo, sotto il profilo dell’accesso abusivo ad un sistema informatico (quello del C.N.I.) “di interesse pubblico”.
Contro la sentenza proponevano appello entrambi gli imputati.
Il XXXX deduceva, con riferimento a tutti i capi, il difetto della condizione di procedibilità: – perché il Di Salle, che aveva presentato la querela per conto di Fineco, era privo di legittimazione; – perché una querela per l’accesso abusivo al sistema Infostrada, persona offesa del reato sub b), non era stata mai presentata; – perché, infine, la ragione giustificatrice dell’aggravante contestata in relazione al capo c) è da ritenersi quella di sanzionare più gravemente le intrusioni in danno di sistemi che hanno un interesse pubblico e non già quella di sanzionare qualunque attacco informatico, anche se avente ad oggetto – come nella specie – una macchina che, pur di proprietà di un soggetto che persegue finalità di interesse pubblico, risulta tuttavia estranea alla rete protetta di quest’ultimo.
Nel merito, l’appellante chiedeva di essere assolto dai reati di cui ai capi a) ed e) perché il fatto non sussiste ovvero perché il fatto non costituisce reato, sulla base di diversi rilievi: alla riunione del 5/2/01 tutti i rappresentanti della Sun Microsystem avevano inteso che gli attacchi di prova al sistema Fineco dovevano essere realizzati prima del firma del contratto e senza preavviso; tale convincimento era coerente con il fatto che la Fineco aveva una necessità impellente che tali intrusioni fossero effettuate al più presto; era, del resto, una prassi commerciale di Sun quella di agire anche prima della firma del contratto; l’imputato non aveva partecipato ad alcuna riunione in cui erano state stabilite le modalità di agire e la relativa tempistica, ma aveva avuto contatti solo con i partecipanti della riunione del 5/2 e di conseguenza non poteva avere informazioni diverse da quelle che i partecipanti alla riunione gli avevano comunicato, né essersi formato un diverso convincimento; il lavoro che la Fineco intendeva commissionare alla Sun consisteva in attività intrusive dello stesso contenuto di quelle poste in essere dal XXXX ; questi, poi, lo stesso giorno delle intrusioni contestate, aveva avvertito dell’effettuazione dei test il responsabile Sun, che a sua volta aveva informato il responsabile Fineco; il XXXX aveva infine spontaneamente ammesso ai vertici delle due società di avere effettuato le intrusioni e questi gli avevano creduto, tanto che la Sun non soltanto non lo aveva licenziato, come sarebbe stato possibile attendersi, ma gli aveva affidato incarichi di ancor maggiore responsabilità; con specifico riguardo al capo e), oltre agli elementi di cui già il Tribunale aveva preso atto, ma che avrebbero dovuto indurre ad una diversa conclusione, erano da considerare anche le dichiarazioni testimoniali del gestore dell’Internet Point, il quale aveva precisato come l’imputato e la persona che era con lui non dessero assolutamente l’impressione di voler nascondere qualcosa. Quanto ai reati di cui ai capi b) e c), l’appellante chiedeva di essere assolto perché il fatto non sussiste, non essendovi prova di un accesso da parte sua al sistema Infostrada ed inoltre risultando che il sistema del C.N.R. era un semplice computer, non collegato alla rete protetta e avente mera funzione strumentale, e cioè qualcosa di ben diverso dall’oggetto materiale di cui all’art. 615 ter c.p..
In estremo subordine, l’appellante chiedeva che venisse applicato il minimo della pena con prevalenza delle attenuanti generiche sulle contestate aggravanti; chiedeva, infine, che fossero annullate le disposizioni concernenti il capo civile della sentenza.

Il YYYY deduceva innanzi tutto l’insussistenza dell’aggravante dell’accesso abusivo ad un sistema di interesse pubblico, con conseguente perseguibilità a querela di tutti i reati ascrittigli: condizione di procedibilità peraltro assente per i capi b) e c) e nulla per il capo a), per carenza in capo al Di Salle dei necessari poteri.
L’appellante lamentava, inoltre, che non fosse stato incluso nel fascicolo per il dibattimento il corpo di reato (vale a dire i diversi server indicati nei capi di imputazione e il router Infostrada), con violazione del diritto di difesa, e che il giudizio si fosse basato su testimonianze “di parte”, senza alcun accertamento peritale (era, in proposito, impugnata l’ordinanza 2/3/06, che aveva respinto la relativa istanza della difesa): testimonianze che, in ogni caso, non avevano fornito elementi decisivi ai fini della verifica sull’esistenza di tutti gli elementi del fatto tipico.

L’appellante deduceva, poi, la carenza di prova circa la sussistenza dell’elemento psicologico, sicché anche sotto tale profilo egli avrebbe dovuto essere assolto con la formula più ampia.

Lamentava infine la mancata conversione della pena detentiva nella corrispondente pena pecuniaria.

Motivi della decisione.
1. Deve, in primo luogo, rilevarsi – con riferimento ai delitti di cui ai capi b) e c) – la mancanza della condizione di procedibilità, non avendo Infostrada, per i fatti sub b), né il Consiglio Nazionale delle Ricerche, per quelli sub c), proposto la querela richiesta dalla disposizione di cui all’ultimo comma dell’art. 615 ter c.p.
L’aggravante, che avrebbe determinato la procedibilità d’ufficio, dell’aver commesso il fatto con abuso della qualità di operatore di sistema (art. 615 ter, co. 2°, n. 1 c.p.), aggravante originariamente contestata in relazione ad entrambi i delitti, è già stata, infatti, esattamente esclusa dal Giudice di primo grado, sul rilievo che gli imputati non ricoprivano al momento dei fatti la qualità, da cui dipende la sussistenza dell’aggravante, di operatori del sistema informatico oggetto della contestata violazione.

D’altra parte, con particolare riferimento al capo c) – a proposito del quale non risulta contestata l’aggravante di cui al n. 3, come erroneamente ritenuto dal primo Giudice sulla base di un evidente errore materiale, ma di cui al comma 3° dell’art. 615 ter (sotto il profilo dell’accesso abusivo ad un sistema informatico “di interesse pubblico”) – giova preliminarmente sottolineare, in fatto, che “la macchina interessata era una work station da scrivania che si trovava nella stanza degli sviluppatori, perché appunto era una macchina infotest, una macchina di sviluppo, e non era nella rete protetta, quindi era come un personal computer di qualsiasi giorno” (teste Astolfi, ud. 21/11/05, trascrizione, pag. 122).

Su tali premesse, l’aggravante deve essere esclusa e, con essa, la procedibilità d’ufficio.

Ed invero, sotto un primo profilo, è da rilevare che la stessa formulazione letterale della norma (comma 3°) indica chiaramente che il fatto (di accesso abusivo), per dare luogo all’aggravante, deve riferirsi ad un sistema informatico che sia “… comunque di interesse pubblico” e cioè richiede con evidenza che l’interesse pubblico debba essere del sistema violato, nel senso che è quest’ultimo, e non già il soggetto che lo possiede o utilizza, a dover presentare tale requisito.
Inoltre, l’inasprimento di pena, che si riconnette all’aggravante, ben si giustifica a fronte dell’aggressione portata ad un sistema informatico “di interesse pubblico” e ciò in considerazione della rilevanza dei dati, che vi sono contenuti, e dell’interesse generale al regolare funzionamento dello stesso; mentre non pare giustificato in presenza di un’aggressione rivolta ad un qualsiasi sistema, che, pur appartenente ad un soggetto pubblico, o che svolge attività avente interesse pubblico, non abbia (come nella specie) relazione diretta e funzionale con tale interesse.

Risultano, invece, procedibili d’ufficio i delitti di cui ai capi a) ed e), pur dopo l’esclusione, già operata dal Giudice di primo grado, dell’aggravante inizialmente contestata.
All’udienza del 10/10/2005 il P.M. ha infatti contestato, ai sensi dell’art. 517 c.p.p., le aggravanti seguenti, entrambe riconducibili alle previsioni di cui all’art. 615 ter, comma 2°, n. 3 c.p.: quanto al capo a), “l’aggravante dell’essere dal fatto derivata un’interruzione parziale (del funzionamento) del sistema informatico”; e, quanto al capo e), contestato al solo XXXX , “l’aggravante dell’essere dal fatto derivato un danneggiamento dei dati contenuti nel sistema informatico”.

2. Nel merito, ritiene la Corte che gli imputati debbano essere assolti dai delitti loro rispettivamente ascritti ai capi a) ed e), perché il fatto non costituisce reato, non essendovi prova, e comunque una prova sufficiente, che i medesimi avessero, nel momento in cui ponevano in essere le condotte loro contestate, coscienza e volontà di agire “abusivamente” e cioè senza l’autorizzazione della società Fineco.

Al riguardo – si deve premettere – non è rilevante il contenuto preciso delle pattuizioni intercorse tra Fineco e Sun Microsystem, alle cui dipendenze operavano gli imputati, e in particolare delle pattuizioni relative alle modalità di esecuzione delle prove di vulnerabilità, anche perché – come è pacifico – tali pattuizioni risultano formalizzate in accordi contrattuali successivi all’intero svolgersi dei fatti; è, a1 contrario, rilevante delineare l’effettiva situazione di fatto dei rapporti tra le due società e degli incontri tra esponenti delle stesse, durante la fase delle trattative che hanno preceduto la formalizzazione degli accordi, perché è sulla base di tale situazione di fatto che si è formata negli imputati la percezione di quanto sarebbe stato loro possibile e lecito realizzare.

In tale prospettiva, é innanzi tutto da considerare come i rapporti tra Fineco e Sun Microsystem fossero assai articolati e risalenti nel tempo (a prima del 1997, secondo quanto precisato dal teste Binaghi: cfr. udienza 10/10/2005, trascrizione, pagg. 171-172) e come, all’epoca dei fatti, vi fossero, in particolare, ancora “molte giornate a disposizione” a fronte di un “ordine grosso precedente”, che rimaneva “aperto”: così che, tenuto anche conto del timore espresso dal cliente Fineco a seguito delle minacce ricevute, “il fatto comunque di partire preventivamente con delle attività era da un lato anche consolidato, se volete, dal fatto che c’era questo ordine aperto” (teste Crepaldi, ud. 31/5/2005, trascrizione, pag. 87-88).

D’altra parte, il tema della sicurezza del sistema informatico Fineco rispetto ad intrusioni esterne risulta già esplicitamente affrontato in un incontro avvenuto nel gennaio 2001 (verosimilmente nella seconda metà di tale mese e comunque in epoca anteriore all’episodio di cui al capo e) fra Cinzia Crepaldi, funzionario commerciale di Sun Microsystem, ed esponenti della banca cliente (Bonacina e Binaghi), come in altri contatti telefonici, anch’essi da collocarsi anteriormente 0’1/2/2001 (teste Crepaldi, ud. cit., pagg. 103-105).

La circostanza (vale a dire l’esistenza, anteriormente alla riunione del 5/2/2001, di contatti e incontri telefonici o di persona con la Crepaldi sulle problematiche della intrusion detection) ha trovato sicuro riscontro nella deposizione Binaghi, che ha dichiarato di ricordarla con sicurezza (pagg. 211-212).

E’, poi, del tutto verosimile che da parte della cliente Fineco sia stata esposta e sottolineata fin da subito l’esigenza che il problema della tutela del sistema informatico da attacchi esterni venisse risolto con urgenza, potendo la minaccia alla rete, di cui la banca aveva avuto notizia, venire attuata già nel mese successivo, e ciò spiega perché la riunione fra esponenti commerciali e tecnici di entrambe le società sia stata tenuta (il 5/2/2001) a pochi giorni di distanza dai quei primi contatti e incontri.
In tale contesto, è altresì del tutto verosimile che la Crepaldi abbia riferito in azienda con sollecitudine della ulteriore e interessante opportunità commerciale, che si apriva nei (peraltro già articolati e consolidati) rapporti tra Sun Microsystem e Fineco, investendo, in particolare, degli aspetti tecnici il YYYY, che, infatti, risulta essere stato presente alla riunione del 5/2/2001 e che, inoltre, ha operato nella vicenda in esame come responsabile di progetto (secondo 1o schema organizzativo di Sun: Crepaldi, pagg. 86-87), coinvolgendo nel proprio gruppo di lavoro tecnico il XXXX .

Quanto ai contenuti della riunione del 5/ 2/ 2001 (intervenuta fra esponenti “commerciali” e “tecnici” delle due società), non pare dubbio che da parte di Sun Microsystem (quindi, di YYYY , che – come detto – era presente, e, di riflesso, di XXXX ) doveva, all’esito della medesima, essere stata acquisita la convinzione che le prove di vulnerabilità sul sistema informatico Fineco erano da effettuarsi, per volontà stessa della cliente, prima della stipula del contratto e senza preavviso e che, in ogni caso, l’esecuzione immediata e senza preavviso delle suddette prove non era esclusa, né avrebbe potuto determinare opposizioni o reazioni da parte della cliente stessa, la cui principale, se non unica, preoccupazione era quella che si operasse efficacemente e senza indugio a fronte di una situazione di pericolo ritenuto imminente.
In tal senso sono le concordi deposizioni di Cinzia Crepaldi, di Giuseppe Russo e di Fabio Longo (questi ultimi rispettivamente responsabile della sicurezza e responsabile del personale di Sun).

In particolare, la teste Crepaldi ha dichiarato che “sul fatto di essere avvisati o meno” (in Fineco) circa l’esecuzione dei test “ci fu un pò una discussione”, ma che dopo l’arrivo, nel corso della riunione, del “consulente” Di Salle emerse la linea “di usare questi test senza preavvisarli, perché altrimenti se ne sarebbero accorti” (pagg. 89-90).

Per il teste Russo, che sottolinea come la riunione fosse dominata dal “concetto di urgenza”, “la sensazione era che, alla fine” (della stessa), “fosse prevalsa” la linea del “non voler essere avvisati in qualche modo per verificare la bontà di questi strumenti” (ud. 10/10/2005, pagg. 15-16).

Le circostanze riferite dai testi Crepaldi e Russo trovano riscontro nelle dichiarazioni del teste Longo, che, pur non presente alla riunione, ha avuto modo di raccogliere le dichiarazioni di coloro che per conto di Sun Microsystem ebbero a parteciparvi (cfr. ud. 14/1/05, trascrizione, pagg. 158 e 192).
La buona fede degli imputati traspare dal comportamento tenuto successivamente alla riunione del 5/2/2001.

Infatti, “pochi giorni dopo la riunione” e più precisamente la mattina dell’8/2/2001, la teste Crepaldi riceveva una telefonata, con la quale YYYY le comunicava di aver fatto nella notte alcune prove e di essere riuscito, insieme con il collega, a “bucare” la rete informatica di Fineco.

La telefonata, anche per l’aperto tenore della comunicazione data e per la stessa tempestività della comunicazione, avvenuta a poche ore di distanza dal test, dimostra come YYYY (e anche XXXX, che collaborava con lui nel progetto) ritenesse di non avere nulla da nascondere e anzi di avere operato in conformità di quanto stabilito nella riunione (o almeno di quanto percepito come oggetto di sostanziale accordo tra gli esponenti delle due società nella suddetta riunione); ed é altresì significativo, ai fini della prova della buona fede degli imputati, che YYYY non solo non si sia opposto, ma non abbia neppure manifestato apprensione o perplessità, allorquando la Crepaldi, nel contesto della telefonata, ebbe a fargli presente che occorreva avvisare immediatamente del fatto il cliente (ciò a cui la Crepaldi ha poi effettivamente e con immediatezza provveduto, chiamando Binaghi, la cui reazione – si deve notare – fu, in quel momento, soltanto di stupore per la riuscita del test e non di protesta o disappunto per la mancanza di un preventivo avviso: teste Crepaldi, pagg. 92-94).

Anche il teste Russo riceveva “il 9 o il 10 di febbraio” (2001) una telefonata, nella quale YYYY e XXXX gli “dicevano che avevano cominciato ad indagare su Fineco” e che avevano anche individuato “vulnerabilità” nella rete del cliente (pagg. 53-54): la telefonata – come emerge dalla deposizione del teste – fa seguito a quella effettuata da YYYY a Crepaldi la mattina dell’8/2/2001 e indica come nessun rilievo, circa le modalità di esecuzione dei test, fosse fino a quale momento pervenuto ai due tecnici, né da parte di Sun Microsystem, né da parte della Fineco.

La buona fede di entrambi gli imputati è ulteriormente dimostrata dall’episodio avvenuto in Fineco il 3/3/2001, allorquando uno di loro, nel testare la rete dall’interno, “chiedeva se ultimamente fossero state cambiate le configurazioni dei firewall”: informazione, questa, che poteva essere “conosciuta solo da personale interno di Fineco e poteva essere dedotta da chi aveva effettuato l’intrusione la prima volta” (cfr. verbale di sommare informazioni rese da Agostino Di Salle).

Anche tale episodio converge a dimostrare come gli imputati fossero nella convinzione di avere agito in maniera assolutamente lecita, tanto da rivelare, per così dire naturalmente, nel corso di un’attività di lavoro, un particolare che li indicava senza alcun dubbio come autori materiali della prima intrusione nella rete.

Ne consegue, per tutti i rilievi svolti, che gli imputati debbono essere assolti dai reati loro rispettivamente ascritti ai capi a) ed e) con la formula perché il fatto non costituisce reato.

p.q.m.

visto l’art. 605 C.P.P., in riforma della sentenza del Tribunale di Milano in data 7/6/06, appellata dagli imputati XXXX e YYYY

dichiara

non doversi procedere nei confronti dei predetti in ordine ai reati loro ascritti ai capi B) e C) perché l’azione penale non poteva essere esercitata per difetto di querela;

assolve
gli appellanti dai reati loro rispettivamente ascritti ai capi A) ed E) perché il fatto non costituisce reato;

fissa

il termine di giorni 45 per la stesura della motivazione.

Milano, 1 aprile 2008

Il Presidente
Il Consigliere estensore

Il cancelliere

Possibly Related Posts: