Reati informatici – Accesso abusivo ai servizi di cloud computing – il caso Dropbox

La Quinta Sezione della Corte di Cassazione, con la sentenza n. 27900 depositata il 27.06.2023, affronta il tema dell’accesso abusivo ex art. 615 ter C.P. al servizio cloud Dropbox evidenziando la necessità di individuare i soggetti titolari dello spazio legittimati inizialmente ed in via esclusiva.

Il processo di merito

I due ricorrenti erano stati condannati per accesso abusivo a un sistema informatico per aver modificato l’indirizzo e-mail collegato all’account messo da loro a disposizione dell’azienda per cui lavoravano.

In particolare, sulla base di accertamenti interni, che avevano avuto a oggetto i “personal computers” in uso agli imputati, i responsabili della società Alfa avevano scoperto che sull’indirizzo di posta elettronica
aziendale era pervenuta una e-mail dall’applicativo Dropbox nella quale veniva comunicata l’avvenuta modifica dell’indirizzo associato all’account da “alfa@alfa.com ” a “tizio©beta.it “, con la conseguenza che la casella “Dropbox”, creata originariamente da Tizio e Caio, era divenuta inaccessibile.

Secondo l’assunto accusatorio, condiviso dai giudici di merito, “la modifica da parte degli imputati dell’indirizzo e-mail collegato all’account integra indubbiamente una condotta di accesso abusivo a tale sistema”, in quanto, un’operazione idonea a vietare l’accesso al sistema proprio al titolare del sistema stesso – nel caso di specie, Alfa – configura ex se una violazione dei limiti imposti a terzi in possesso delle password”.

Il giudizio di legittimità

La pronuncia dei giudici di merito, annullata con rinvio dalla Cassazione, risente con ogni evidenza di una non corretto approccio all’aspetto tecnico del sistema di cloud computing.

Dopo aver esposto gli orientamenti più consolidati in tema di accesso abusivo ai sensi dell’art. 615 ter C.P., la sentenza in commento argomenta diffusamente sul funzionamento dell’applicativo Dropbox: “Al riguardo si osserva che, da un punto di vista tecnico, Dropbox è un servizio di file hosting gestito dalla società californiana Dropbox Inc., che offre cloud storage, sincronizzazione automatica dei file, cloud personale, software client“.

Quello di Dropbox, secondo la Cassazione, è un servizio che, in quanto spazio virtuale, destinato a raccogliere files o cartelle contenenti files, allo scopo di facilitarne l’accesso, la consultazione e l’utilizzazione da parte del beneficiario del servizio, costituisce un sistema telematico e, al tempo stesso, informatico, in cui sono contenuti documenti informatici.

Non è quindi in contestazione il fatto che il servizio “Dropbox” costituisca un domicilio informatico,
alla cui tutela è preordinata la previsione dell’art. 615 ter 4 C.P.

Viene, inoltre, rammentato che nella scienza informatica il termine “account” “indica quell’insieme di funzionalità, strumenti e contenuti attribuiti ad un nome utente che, in determinati contesti operativi, il sistema mette a disposizione dell’utente: un ambiente con contenuti e funzionalità personalizzabili, oltre ad un conveniente grado di isolamento dalle altre utenze parallele. Infatti, il sistema informatico è in grado di riconoscere l’identità del titolare di un account, ne memorizza e conserva un insieme di dati ed informazioni attribuite ad esso, spesso da esso unicamente gestibili ed accessibili per un utilizzo futuro. In questo si differenzia da altre modalità di accesso a sistemi di servizio interattivi che non presuppongono la ripetizione del rapporto con l’utente. L’insieme di dati e informazioni che individuano il titolare dell’account, nonché le preferenze di utilizzo, rappresentano il profilo utente associato all’account.

Nel caso in esame, veniva modificato da “alfa@alfa.com ” a “tizio©beta.it” l’indirizzo associato all’account Dropbox, che consentiva l’accesso al suddetto spazio virtuale, in particolare a un “cloud personale”, la cui creazione gli stessi giudici di merito attribuiscono pacificamente agli imputati Tizio e Caio. Questi ultimi, infatti, una volta creato lo spazio “Dropbox”, avevano la possibilità, da dipendenti, di “accedere ai progetti, ai disegni e ai dati dei clienti Alfa”, che i ricorrenti vi inserivano di volta in volta, “anche durante i loro viaggi all’estero”.

Appare, pertanto, evidente che il principale quesito da risolvere, al fine di accertare se l’affermata sussistenza della fattispecie delittuosa di cui si discute sia o meno sorretta da idonea motivazione, riguardasse l’individuazione dei soggetti che erano legittimati ad accedere in via esclusiva allo spazio “Dropbox” creato da Tizio e Caio ovvero a chi appartenesse tale spazio virtuale.

Ed infatti, risulta che lo spazio Dropbox venne creato dagli imputati per facilitare la loro attività lavorativa in favore della società Alfa e, in tale prospettiva, da loro messo a disposizione della società, che consentì a collegarvi, per l’accesso, un account, contraddistinto da un indirizzo telematico riconducibile all’azienda. Allo stesso modo risulta evidente che i ricorrenti erano legittimati ad accedere allo spazio virtuale di cui di discute e a immettervi dati o informazioni relativi ai progetti elaborati nell’interesse dell’azienda, senza che, tuttavia, sia stato dimostrato, come si è detto, che Tizio e Caio si siano appropriati di dati, informazioni e programmi di pertinenza della società per cui lavoravano, contenuti nell’anzidetto domicilio informatico, allo scopo di sviare in favore della nuova società da loro costituita i clienti di Alfa, utilizzando il “know-how” sviluppato nell’esecuzione del rapporto di lavoro con quest’ultima.

Ciò posto, consistendo la condotta incriminata nel cambiamento dell’indicato indirizzo telematico, che non consentiva ad Alfa di utilizzare lo spazio Dropbox creato dagli imputati, in quanto il relativo “account” era stato modificato attraverso la sostituzione del precedente con un nuovo indirizzo telematico riconducibile alla nuova società Beta fondata da Tizio e Caio, sicché, solo attraverso il nuovo indirizzo era possibile accedere all’applicativo Dropbox, diventa decisivo accertare quale fosse la disciplina di utilizzazione dello spazio Dropbox applicabile in concreto quando venne operata la suddetta modifica.

In altri termini si tratta di verificare, ai fini del giudizio sulla sussistenza dell’elemento oggettivo e dell’elemento psicologico del reato contestato:

1) se lo spazio di archiviazione “Dropbox” fosse di pertinenza esclusiva degli imputati, dovendo ad essi farsene risalire la creazione, e da essi concesso momentaneamente in uso ad Alfa, in pendenza del loro rapporto di lavoro, senza che tale disponibilità facesse venir meno il potere di Tizio e Caio di modificare le condizioni di accesso allo spazio in questione, proprio in quanto di loro esclusiva pertinenza;

2) se, invece, una volta creato, sia pure per iniziativa degli imputati, tale spazio fosse divenuto di pertinenza esclusiva di Alfa, sicché l’accesso dei ricorrenti al sistema per modificarne l’account attraverso il cambiamento dell’indirizzo telematico, in modo da non consentirne oggettivamente l’utilizzazione da parte di Alfa, deve considerarsi effettuato per ragioni ontologicamente estranee rispetto a quelle per le quali la facoltà di accesso e di mantenimento nel sistema era stata loro attribuita;

3) se, infino, lo spazio “Dropbox” fosse oggetto di una condivisione tra i ricorrenti e Alfa”, in virtù della quale ciascuno di essi poteva ritenersi titolare di uno ius excludendi alios, condivisione, tuttavia, che, a causa della risoluzione del rapporto di lavoro e di creazione della nuova società Beta da parte di Tizio e Caio, doveva ritenersi venuta meno.