17 mag 2008

Caso Vierika: la sentenza della Corte d'Appello di Bologna

Corte di Appello di Bologna, Sez. II Pen., Sentenza 30 gennaio 2008
Di seguito si riportano i punti principali della motivazione della Corte d'Appello di Bologna.

" [omissis] In primo luogo si pongono indubbie la materialità dell’accesso attraverso il worm “Vierika” e la diffusione indiscriminata del medesimo.Esse sono state provate dalle deposizioni citate Broi, Rasetti e Forte, in merito alle segnalazioni sulla diffusione del virus effettuate da alcune società di informatica (F-Secure Corporation, Symbolic SpA), alle lamentele pervenute al provider Tiscali poiché il programma era annidato sugli spazi web da esso gestiti, nonché dal counter del sito http://web.tiscalinet.it/krivojrog/vierika/Vindex.html dal quale risultavano829 accessi (vedi annotazione GdF 13.3.01); agli accessi corrispondono necessariamente altrettante ricezioni della mnail “Vierika is here”, altrettante installazioni automatiche, immediate ed occulte degli script contenuti nell’attachment alla mail, altrettante occulte riconfigurazioni di registro di Windows, altrettante involontarie ed indesiderate “navigazioni” al sito suddetto, scaricando il secondo script di programma.Tale meccanismo ha indubbiamente il carattere dell’abusività richiesto dalla norma incriminatrice, ravvisabile prima nella fraudolenta induzione in errore dell’utente che riceveva la mail “Vierika is here”, ingannato dall’estensione “.jpg” dell’attachment, che indicava un file immagine, il quale conteneva invece la prima stringa di comandi, e poi nel sistema occulto di scarico del secondo script, realizzato attraverso la riconfigurazione occulta della protezione, e la reimpostazione della home page del browser, il tutto sempre all’ insaputa dell’utente.Sempre all’insaputa dell’utente, e contro la sua volontà, il programma “clandestino” insediato nel sistema informatico provvedeva ad inviare a tutti gli indirizzi della rubrica della posta elettronica (se gestita con l’applicativo “Outlook”, peraltro di larga diffusione) l’email con l’allegato vitale Vierika.jps.vbs, con il cosiddetto effetto autoreplicante.

La Corte non ritiene che la norma incriminatrice, posta come premesso a tutela del domicilio informatico, possa essere interpretata con tale effetto riduttivo di tutela; la lettera dell’art. 615 ter infatti richiede unicamente l’abusività dell’accesso al sistema, ovvero la permanenza contro lo jus prohibendi del titolare, ma non pretende l’effettiva conoscenza, da parte dell’agente, dei dati protetti.Avuto riguardo alle specificità dei sistemi informatici e delle trasmissioni telematiche, che consentono la manipolazione e l’uso di un enorme numero di dati senza la diretta interlocuzione con ognuno di essi da parte dell’agente, introdurre in via interpretativa l’ulteriore requisito della conoscenza effettiva dei dati manipolati, a corredo esplicativo della nozione di “accesso abusivo”, equivarrebbe ad una sostanziale vanificazione della ratio incriminante.Nella fattispecie le modalità dell’azione (ovvero la creazione del programma autoreplicante ed il suo “lancio” nel web) erano univocamente dirette ad inviare ed installare occultamente e fraudolentemente il programma, di cui XXXXX ha ammesso la paternità, ad una comunità indiscriminata ed inconsapevole di utenti, usandone i dati personali della rubrica di posta.Ciò appare sufficiente per integrare la nozione di “accesso abusivo” penalmente rilevante, giacché è nel prelievo indesiderato dei dati personali dal domicilio informatico che va individuato il vero bene personalissimo protetto dalla norma, e non tanto nella conoscenza o conoscibilità di quelli da parte del soggetto agente.In altri termini alla specificità dei sistemi informatici, che consentono l’uso di dati senza la “conoscenza” di essi, come tradizionalmente intesa, da parte dell’operatore, va correlata l’interpretazione della nozione di accesso posta dalla norma incriminante.Nella prospettazione difensiva dell’appellante altro elemento caratterizzante la fattispecie incriminatrice, e non integrato, è costituito dall’assenza di elusione di misure di sicurezza informatiche, tali non potendo definirsi semplici opzioni di configurazione di un applicativo. In proposito si presentano totalmente condivisibili, ad avviso della Corte, le valutazioni svolte dal giudice di prime cure (pag. 18 della sentenza impugnata), da richiamarsi integralmente.Come detto il programma Vierika, per potersi installare, modificava occultamente (con il primo script di comandi) le impostazioni di protezione di Internet Explorer; ciò non è posto in discussione dalla difesa, che le qualifica piuttosto come opzioni di configurazione del sistema.Nella sostanza le “impostazioni di protezione” regolano l’esecuzione automatica di download e contenuti attivi durante la navigazione Internet, permettendo di configurare diversi livelli di protezione, con richiesta o meno di conferma da parte dell’utente e con eventuali barriere automatiche per determinati programmi o contenuti attivi.Esse quindi non possono che rientrare nella nozione di “misure di sicurezza” a protezione del sistema; misure elementari, facilmente aggirabili, già predisposte nell’applicativo, ma comunque qualificabili misure di protezione, giacché esse attinenti esclusivamente non alla configurazione di Explorer (modalità di fruizione) ma alla maggiore o minore interazione passiva del sistema informatico, connesso al web, dall’esterno verso il suo interno.Va pertanto confermato il giudizio di sussistenza del reato in esame, condotto nella sentenza impugnata.
La Corte ritiene peraltro fondati i motivi gradati di appello, relativi alla insussistenza delle aggravanti ritenute – in motivazione, giacché l’imputazione è priva di espressa contestazione ed il dispositivo fa riferimento ad una sola aggravante - dal giudice monocratico del Tribunale. Queste, pur non richiamate attraverso specifica indicazione delle norme di legge violate, sono state valutate contestate in fatto nel riferimento espresso, contenuto nella descrizione della condotta incriminata, “danneggiamento di programmi” ed al “pregiudizio per il corretto funzionamento” degli stessi (integranti le previsioni poste ai nn. 2 e 3 del comma 2 dell’art. 615 ter CP).
Invero non è ravvisabile, nelle modalità di installazione e di funzionamento del worm Vierika, in primo luogo alcun “danneggiamento” dei programmi del sistema dell’utente, né alcuna “modificazione” in senso informatico [omissis]. Per conseguenza ne deriva compiutamente integrata la fattispecie delineata e punita dall’art. 615 quinquies CP, e per tale parte va confermata la sentenza di condanna di primo grado.
Per effetto della parziale riforma del giudizio di condanna va rideterminata la pena da infliggersi all’appellante.
Tenuti fermi il riconoscimento delle attenuanti generiche, la sostituzione della pena detentiva ex art. 53 L. 689\81 e la concessione del beneficio della non menzione della condanna, si reputa equo ed adeguato determinare la pena in mesi due di reclusione ed euro 2000 di multa (pena base di mesi tre ed euro 3.000), con pena detentiva sostituita con la pena pecuniaria corrispondente di Euro 2.280 di multa.
Titolo di reato e data di commissione consentono di condonare la pena ex L. 241\06.Nel resto va confermata la sentenza appellata.
[omissis] in parziale riforma della sentenza del Tribunale Monocratico di Bologna in data 21.7.05, dichiara l’appellante responsabile del reato di cui all’art. 615 quinquies CP e con le già concesse attenuanti generiche determina la pena in mesi due di reclusione ed euro 2.000 di multa, sostituendo la pena detentiva con la corrispondente pena pecuniaria di euro 2.280 di multa, e così complessivamente euro 4.280 di multa, che dichiara interamente condonata ex L. 241\06.
Dichiara non doversi procedere nei confronti dell’ appellante XXXXX in ordine al reato di cui all’ art. 615 ter CP, perché, esclusa l’aggravante, lo stesso è improcedibile per difetto di querela.
Conferma nel resto."

Fonti:

Nessun commento:

Chi legge il mio blog - Blog Visitors