Furto di dati e concorrenza sleale: anche il reverse engineering è reato

Nota a Cass. pen, Sez. V, 20 ottobre 2023, n. 3211

Dalla lettura della sentenza in commento, purtroppo priva del capo di imputazione, pare potersi evincere che la vicenda ha riguardato due dipendenti, l’uno direttore commerciale e l’altro responsabile tecnico della ICOS, che nell’arco di pochi mesi hanno estratto massivamente copie di file dai sistemi informatici della società per poi andare a lavorare per la concorrente LAST Technology, nell’interesse della quale avrebbero sfruttato le informazioni sottratte alla precedente datrice di lavoro per realizzare prodotti analoghi e formulare offerte commerciali più convenienti, tra cui, in particolare, l’offerta da parte della LAST alla società ACTION Technology di una nuova macchina lavatappi replicata da quelle di ICOS già in possesso di tale cliente, salvo poche differenze marginali, ad un prezzo più vantaggioso.

Venivano tratti a giudizio per accesso abusivo a sistema informatico (art. 615-ter c.p.) e violazione di segreti industriali e commerciali (art. 623 c.p.) i due dipendenti infedeli della ICOS, colui che veicolò l’offerta commerciale della lavatappi di LAST ad ACTION TECNOLOGY e la stessa LAST ai sensi del d.lgs. 231/2001. Dopo una doppia condanna conforme, il caso giungeva avanti alla Corte di Cassazione, la cui sentenza affronta diverse questioni di notevole interesse, qui solo sintetizzate.

1. Accesso abusivo a sistema informatico

La Corte non ha ritenuto anzitutto condivisibile la tesi difensiva secondo cui gli imputati non avrebbero commesso alcun reato in quanto la loro condotta si sarebbe in realtà concretizzata nell’utilizzo di pc e di supporti di hardware contenenti back-up personali, essendo loro autorizzati a lavorare anche al di fuori dell’ufficio. Gli accertamenti tecnici compiuti sui dispositivi informatici, infatti, avevano consentito di appurare che, proprio in occasione degli ultimi giorni di servizio antecedenti alla fuoriuscita dall’azienda, era avvenuta una copiatura massiva di file destinati ad essere utilizzati nella società concorrente, sicché gli accessi compiuti ai sistemi informatici aziendali erano stati compiuti non già allo scopo di svolgere attività in favore della ICOS, bensì per operare sul server della medesima su progetti riferibili alla LAST presso la quale gli imputati sarebbero andati di lì a poco a lavorare.

2. Violazione di segreti commerciali

Rispetto al contestato impiego di segreti commerciali, gli imputati hanno sostenuto di non aver commesso alcun illecito in quanto i file rinvenuti sui propri dispostivi sarebbero stati file cancellati, desueti e comunque riguardanti dati marginali della ICOS, che ne costituivano solo l’0,01% della banca dati complessiva, in quanto tali non integranti il suo know-how.

Sennonché, secondo la Corte, pur avendo la stessa denominazione, la nozione di “segreti commerciali” adottata dal codice penale (art. 623 c.p.) non è assimilabile a quella del codice della proprietà intellettuale (d.lgs. 30/2005), che richiede, ai fini della tutela, che le informazioni aziendali e commerciali ed esperienze sulle applicazioni tecnico industriali debbano avere i requisiti di segretezza e rilevanza economica ed essere soggette, da parte del legittimo detentore, a misure di protezione ragionevolmente adeguate, in quanto la definizione penalistica «comprende, estendendo l’ambito di tutela penale, anche tutte quelle ulteriori informazioni su produzioni industriali e programmi commerciali, pur non rispondenti ai suddetti requisiti normativi, per le quali sia individuabile un interesse giuridicamente apprezzabile al mantenimento del segreto».

Sebbene, dunque, i file rinvenuti sui PC di LAST non rappresentassero una parte numericamente rilevante rispetto a quelli totali di ICOS e in alcuni casi si fosse trattato di documenti risalenti nel tempo, a giudizio della Corte, l’utilizzo che ne è stato fatto dagli imputati, uno dei quali era peraltro il direttore commerciale, dimostra che essi erano quelli aventi uno specifico valore strategico per veicolare in favore della nuova società il know-how commerciale della ICOS.

3. Violazione di segreti industriali

Con riferimento, poi, alla contestazione di violazione di segreti industriali per aver utilizzato le informazioni progettuali necessarie alla realizzazione del modello di macchina lavatappi offerto dalla LAST alla ACTION TECNOLOGY da analoga macchina della ICOS, gli imputati avevano provato a difendersi sostenendo che si fosse trattato di un caso di “reverse engineering” (o ingegneria inversa), intendendosi per tale, secondo la Corte, un «processo che trasforma oggetti reali in modelli informatici per mezzo di sistemi di acquisizione di forme che sono in grado di riprodurre la geometria di un oggetto complesso con grande precisione. Questo comporta, con riferimento alle applicazioni nella materia industriale, che partendo dai rilievi e dalla digitalizzazione del prototipo fisico di un prodotto si possa risalire alle singole componenti per la realizzazione dello stesso».

Tuttavia, secondo i giudici di legittimità, premesso che l’illecito si configura anche quando venga indebitamente rilevata anche solo una parte del processo produttivo, non essendo necessario che la rivelazione attenga a tutte le componenti del prodotto, la tecnica del “reverse engineering” che, mediante l’esame di un macchinario o di un prototipo di esso lo ricostituisce, è un’attività rientrante nel novero dell’impiego di segreti industriali penalmente sanzionato, «in quanto sarebbe altrimenti facilmente elusa la tutela del segreto industriale riproducendo, anche ripetutamente, il prodotto di un’impresa che ha sviluppato per l’ideazione dello stesso complessi progetti di ricerca. Invero – osservano i giudici di legittimità – la tecnica in questione non è che una sofisticata modalità di copia di un prodotto». Pertanto, anche se fosse stato dimostrato in giudizio che la macchina lavatappi era stata costruita dalla LAST attraverso un processo di ingegneria inversa, non ne sarebbe venuto meno il disvalore penale.

4. La responsabilità dell’ente ex d.lgs. 231/2001

Tratta, infine, a giudizio ai sensi del d.lgs. 231/2001, LAST Technology riteneva di non poter essere considerata responsabile per gli illeciti ascritti perché i fatti sarebbero stati commessi dagli imputati quando ancora erano alle dipendenze della ICOS e, in quel periodo, non potevano essere considerati soggetti addetti contemporaneamente alla gestione e al controllo della LAST, onde giustificarne la responsabilità amministrativa da reato.

Ritendendo fondato tale motivo di ricorso, la Corte di Cassazione ha annullato la sentenza di condanna dell’ente con rinvio alla Corte d’appello di Trieste affinché accerti, posto che non vi era un rapporto formale tra gli imputati e la LAST al momento della commissione degli illeciti, se ricorresse un’ipotesi di gestione o controllo di fatto della società, facendo rispettivamente ricorso agli indici presuntivi enucleati dall’art. 2639 c.c. ovvero a un’interpretazione ampia del concetto di “controllo di fatto”, intendendosi per tale non solo la figura del “socio tiranno”, ossia dei soci di minoranza in grado comunque di esercitare un’influenza dominante sull’assemblea, ma ricomprendente anche quelle attività di controllo, vigilanza o di verifica ed incidenza nella realtà economico patrimoniale della società, sovrapponibile a quella dei sindaci o degli altri soggetti formalmente deputati a tali attività.

G. Bertaiola