Accesso abusivo ad un sistema informatico e telematico. Le Sezioni Unite della Cassazione sciolgono i dubbi sul luogo di consumazione del reato

consulenza legale crimini informatici

Lo scorso 24 Aprile 2015, le Sezioni Unite della Corte di Cassazione hanno depositato in cancelleria la loro pronuncia (n. 17325) in merito ad una questione controversa avente ad oggetto la corretta identificazione del luogo di consumazione del reato di accesso abusivo ad un sistema informatico e telematico (art. 615 – ter c.p.), ai fini dell’individuazione del giudice competente per territorio.

Il fatto verteva sull’abusivo e ripetuto accesso da parte di un’impiegata della motorizzazione civile di Napoli, nel sistema informatico del Ministero delle Infrastrutture e dei Trasporti, al fine di effettuare visure elettroniche per scopi non collegati alle sue mansioni.

Il caso è stato rimesso davanti alle Sezioni Unite della Cassazione dalla prima sezione penale, a seguito di un conflitto negativo di giurisdizione sorto tra i Giudici del Tribunale di Napoli che avevano dichiarato la propria incompetenza per territorio, in ragione del fatto che la sede della banca dati del ministero si trova a Roma e il giudice romano, il quale si dichiarava, a sua volta, incompetente, in quanto, riteneva che il luogo di consumazione del reato di accesso abusivo ad un sistema informatico, dovesse radicarsi nel luogo di azione dell’operatore remoto e, quindi, presso il Tribunale di Napoli.

L’esegesi della Corte parte dall’analisi della fattispecie. I giudici, infatti, ricordano che il reato di accesso abusivo ad un sistema informatico si configura a distanza, attraverso l’introduzione illecita o non autorizzata di un soggetto, che sfruttando una connessione telematica tra diversi sistemi, entra in una banca dati situata in un luogo diverso da quello da cui parte l’accesso.

Le soluzioni interpretative che la Cassazione ha sinora assunto in merito alla materia risultano essere contrapposte. Da un lato, gli ermellini hanno individuato la competenza territoriale nel giudice del luogo in cui è situato fisicamente il server (sez. 1, n. 40303 del 27/05/2013; Sez. 3, n. 23798 del 24/05/2012). Un’ interpretazione che resta ancorata alla fisicità dei sistemi informatici, in quanto con essa si stabilisce che la condotta di accesso abusivo si configura solo quando chi agisce, superando la protezione informatica, entra di fatto nel sistema. Di conseguenza, ai fini dell’individuazione del giudice competente, rileverebbe il luogo in cui è situato il server profanato che verifica le credenziali di autenticazione del client: il reato, pertanto, si consumerebbe nel luogo di ingresso al server, dove cioè vengono superate le barriere di protezione e validate le credenziali di accesso.

Soluzione questa criticata dalla dottrina e dal giudice rimettente, i quali sottolineano che la struttura (server, client, trasporto telematico di dati e informazioni) fa parte di un’unico impianto di elaborazione dati definito “sistema telematico”. Pertanto, l’elaboratore da cui concretamente ha inizio la condotta illecita fa parte dell’intera rete di trattamento ed elaborazione dei dati, quindi, anche il luogo di ubicazione della postazione dell’utente che accede abusivamente da remoto ad un archivio informatico, assume rilevanza.

I giudici delle SSUU colgono l’occasione per ricordare che il bene giuridico protetto dall’art. 615 – ter c.p. è il domicilio informatico, non a caso la fattispecie è stata inserita tra i delitti contro l’inviolabilità del domicilio (Sez. IV del Capo III del Titolo XII del Libro II Codice Penale), precisando quali condotte l’art. 615-ter c.p. punisce.

Precisamente, si configura introduzione e trattenimento in un sistema informatico quando un soggetto:

  • si introduce abusivamente in un sistema informatico o telematico protetto da misure di sicurezza effettuato sia da lontano (hacker), che da vicino (diretto contatto con l’elaboratore);
  • rimane nel sistema contro la volontà, espressa o tacita, di chi ha il diritto di esclusione, violando le disposizioni e i divieti posti dal titolare del sistema, anche se l’introduzione nel sistema è avvenuta in modo autorizzato.

Nella loro pronuncia i giudici si rendono conto che la condotta commessa in un ambiente informatico e telematico deve essere rivisitata, spogliata delle caratteristiche proprie della realtà materiale e adeguata alla dimensione virtuale: l’input rivolto al computer da un’azione umana si traduce in energia sottoforma di bit e automaticamente effettua le operazioni di codificazione, decodificazione, trattamento, trasmissione o memorizzazione di dati e informazioni. L’agente, sfruttando le reti di trasporto dei dati, può simultaneamente interagire sia sul proprio computer che su quello di destinazione. Nel mondo virtuale, ogni cosa, dicono i giudici, si “smaterializza” e “delocalizza”, pertanto è necessario in questi casi abbandonare i tentativi di scandire la competenza seguendo concetti legati al mondo fisico, infatti, gli schemi concettuali appartenenti al mondo materiale, non considerano che una rete di comunicazione telematica consente la consultazione simultanea delle informazioni da parte di un indefinito numero di utenti posizionati in luoghi diversi anche tra loro distanti.

Quindi, è sbagliato affermare che i dati sono localizzati solo nel server, perché l’intera banca dati è “ubiquitaria”, “circolare”, diffusa” sul territorio e consultabile da tutte le postazioni remote autorizzate all’accesso. Il sistema telematico che tratta i dati è unico, perché l’architettura di rete è unica, a prova di ciò anche lo storico degli accessi effettuati, dicono i giudici, è reperibile sia da client che da server.

Di conseguenza, la digitazione delle password di accesso dalla postazione remota dell’agente pone in essere l’unica condotta che permette l’ingresso illecito alle informazioni (o la permanenza non autorizzata), consultabili dalla propria postazione, per cui il luogo in cui è localizzato il server resta irrilevante.

Concludendo: “Il luogo di consumazione del delitto di accesso abusivo ad un sistema informatico o telematico, di cui all’art. 615- ter c.p., è quello nel quale si trova il soggetto che effettua l’introduzione abusiva o vi si mantiene abusivamente”.

Autore Annalisa Spedicato

Avvocato Esperto in IP ICT e Privacy