ARTICOLICONTRIBUTIDalle Sezioni UniteDIRITTO PENALEParte speciale

Accesso abusivo ad un sistema informatico e luogo di consumazione

in Giurisprudenza Penale Web, 2016, 7-8 – ISSN 2499-846X

Cassazione Penale, Sezioni Unite, 24 aprile 2015 (ud. 26 marzo 2015), n. 17325
Presidente Santacroce, Relatore Squassoni

Depositata il 24 aprile 2015, la pronuncia numero 17325 delle Sezioni Unite ha risolto il conflitto di competenza in tema di accesso abusivo ad un sistema informatico ex art. 615 ter c.p., dopo che la Cassazione Penale, sez. I, aveva, con ordinanza numero 52575 del 18 dicembre 2014, rimesso la questione alle Sezioni Unite a norma dell’art. 618 c.p.p., attesa la rilevanza della questione in ragione della potenziale frequenza dei casi di conflitto, ed al fine di prevenire l’insorgenza di un contrasto giurisprudenziale.

È necessario, prima di analizzare la soluzione fornita dalla S.C., ripercorrere rapidamente i fatti che hanno portato alla precedente pronuncia in tema di accesso abusivo ad un sistema informatico ex art. 615 ter c.p., con la quale la Sezione Prima optava, con sentenza del 27 settembre 2013 numero 40303, per una scelta ermeneutica divergente  – come si vedrà – rispetto a quanto massimizzato dalle Sezioni Unite.

Nel caso di specie affrontato dalla Sezione Prima, agli imputati del reato ut supra, veniva contestato di essersi introdotti abusivamente nella banca dati riservata del Sistema d’informazione interforze del Ministero dell’Interno (SDI) al fine di acquisire di dati segreti per poi comunicarli ai committenti. A tal proposito, il Tribunale di Firenze, nel giugno del 2011, dichiarava la propria incompetenza disponendo la trasmissione al Procuratore della repubblica del Tribunale di Roma. La tesi sostenuta dal Tribunale di Firenze, eccependo la propria incompetenza, si basava sulla ritenuta mera natura prodromica dell’atto di accesso al sistema informatico; la condotta, quindi , si configurerebbe rilevante penalmente solo al momento di ingresso nel sistema – nel caso in questione l’SDI – e, perciò, solo dopo aver inserito e validato le credenziali dell’utente di riferimento.

Il GUP del Tribunale di Roma, una volta ricevuta la richiesta di rinvio a giudizio da parte del Pubblico Ministero, decideva, però, di sollevare conflitto di competenza ex art. 28 c.p.p. e chiedeva alla Corte di Cassazione di risolvere la circostanza di stallo. Pur condividendo la tesi del Tribunale di Firenze – secondo cui, ai fini dell’individuazione del locus commissi delicti non si dovrebbe guardare al luogo di  acquisizione dei dati, bensì a quello di accesso, dove si validano le credenziali – il giudice romano, però, sottolineava che l’accesso abusivo punito dall’art. 615 ter c.p. si caratterizza per il contesto immateriale e sostanzialmente delocalizzato in cui si pone in essere la condotta – qual è la rete informatica. Secondo la giurisprudenza di legittimità, l’illecito in questione è reato di mera condotta (Sez. 5, n. 11689 del 06/02/2007, Cerbone, rv. 236221), e la fattispecie si configura con la violazione del sistema informatico; seguendo tale opzione interpretativa, quindi, l’unico modo per determinare la competenza è guardare all’ultimo momento in cui la condotta umana è stata individuabile dal punto di vista fisico e materiale, che sarebbe la circostanza di accesso dal terminale remoto.

Nel maggio del 2013, il Ministero dell’Interno, il Ministero della Difesa ed il Ministero dell’Economia, a mezzo dell’Avvocatura della Stato affermavano la competenza del Tribunale di Firenze. Invero, veniva notato come l’erronea eccezione di incompetenza, dichiarata dal Tribunale di Firenze,  fosse frutto di una inappropriata visione della condotta dell’autore; evidenziando l’illogicità di concepire la condotta scissa in due momenti, ossia quello dell’immissione all’interno della banca dati e quello dell’accesso dal terminale remoto.

Preso atto del conflitto tra i due giudici ordinari, entrambi ricusanti la rispettiva competenza nel caso di specie, la Suprema Corte risolveva il contrasto enunciando la competenza del GUP del Tribunale di Roma. Tale scelta ermeneutica, sosteneva la Corte, deriva dalla considerazione che l’accesso – in quanto reato di mera condotta, e non rilevando l’eventuale lesione (prevista, al più, come aggravante) – si configura nel momento in cui vi è l’accesso al sistema informatico mediante il superamento della protezione informatica; il riferimento è, evidentemente, al luogo in cui è posizionato il server. A tal fine, il luogo ed il momento di consumazione non è quello in cui vengono inseriti i dati da validare, bensì quello in cui si “entra”nel sistema – ed il sistema, inteso come server, nel caso di specie, comportava una competenza del GUP del Tribunale di Roma. La procedura di accesso, infatti, deve ritenersi atto prodrominco alla introduzione nel sistema che avviene solo nel momento in cui si entra effettivamente nel server dopo avere completato la validazione delle credenziali dell’utente che viene fatta dal sistema centrale; d’altro canto, il luogo in cui si forma la volontà dell’agente di commettere il reato, ovvero quello in cui l’agente predispone le attività prodromiche e preparatorie, finalizzate alla condotta illecita, ben può essere diverso da quello nel quale si pone in essere la condotta giuridicamente rilevante e in cui, per i reati di mera condotta come quello in esame, si consuma il reato. Anzi, non vi è dubbio che l’attività fisica dell’utente viene ad essere esercitata, nell’ipotesi di accesso da remoto, in un luogo differente da quello in cui si trova il sistema informatico protetto, ma è anche certo che l’utente invia le credenziali al server web il quale le riceve “processandole” nella fase di validazione che è eseguita solo ed unicamente all’interno del sistema protetto e non potrebbe essere diversamente proprio per motivi di sicurezza del sistema stesso. La Sezione Prima della Corte di Cassazione, dunque, optava per un riconoscimento della competenza del Tribunale di Roma.

Procedendo verso l’analisi della pronuncia delle Sezioni Unite, nel caso di specie la procura della repubblica del Tribunale di Napoli esercitava azione penale nei confronti di soggetti accusati di introduzione abusiva e ripetuta nel sistema informatico del Ministero delle Infrastrutture e dei Trasporti. Nel dicembre  del 2013 il GUP del Tribunale di Napoli eccepiva la propria incompetenza territoriale, indicando il Tribunale di Roma come territorialmente competente, in ragione della ubicazione della banca-dati della Motorizzazione civile presso il Ministero delle Infrastrutture e dei Trasporti con sede in Roma. Il GUP del Tribunale di Roma, però, una volta ricevuta la richiesta di rinvio a giudizio da parte del procuratore, nel giugno del 2014 sollevava conflitto di competenza ex art. 28 c.p.p., ritenendo che il luogo di consumazione del reato di accesso abusivo ad un sistema informatico dovesse radicarsi ove agiva l’operatore remoto e, pertanto, a Napoli.

La Sezione prima della Corte di Cassazione, veniva investita con ordinanza numero 52575 del 28 ottobre 2014 della questione, ma, rilevato un potenziale contrasto di giurisprudenza, rimetteva gli atti alle Sezioni Unite ex art. 618 c.p.p.

La Corte – nella pronuncia in esame – sottolinea, sin da subito, la particolare rilevanza della questione, dal momento che il reato informatico, nella maggior parte dei casi, si realizza a distanza in presenza di un collegamento telematico tra più sistemi informatici con l’introduzione illecita, o non autorizzata, di un soggetto, all’interno di un elaboratore elettronico, che si trova in luogo diverso da quello in cui è situata la banca-dati. I giudici di legittimità, rilevano come, gli approdi ermeneutici, abbiano messo in luce due opposte soluzioni che si differenziano nel modo di intendere la spazialità nei reati informatici: per alcune, competente per territorio è il tribunale del luogo nel quale il soggetto si è connesso alla rete effettuando il collegamento abusivo, per altre, il tribunale del luogo ove è fisicamente allocata la banca-dati che costituisce l’oggetto della intrusione.

Orbene, la Corte, nel prosieguo, chiarisce quali siano i confini e gli elementi della fattispecie oggetto della questione di diritto, evidenziando che la materia è già stata passata al vaglio delle Sezioni Unite (sent. n. 4694 del 27/10/2011, Casani, Rv. 25129) che ha precisato come le condotte descritte dalla norma sono punite a titolo di dolo generico e consistono

a) nello introdursi abusivamente in un sistema informatico o telematico protetto da misure di sicurezza – da intendere come l’accesso alla conoscenza dei dati o informazioni contenute nello stesso – effettuato sia da lontano (condotta tipica dello hacker), sia da vicino (cioè da persona che si trova a diretto contatto con lo elaboratore)

b) nel mantenersi nel sistema contro la volontà, espressa o tacita, di chi ha il diritto di esclusione, da intendere come il persistere nella già avvenuta introduzione, inizialmente autorizzata o casuale, violando le disposizioni, i limiti e i divieti posti dal titolare del sistema.

In relazione al bene giuridico oggetto di tutela, poi, le Sezioni Unite rimarcano che con la previsione dell’art. 615-ter c.p., il  legislatore ha assicurato la protezione del domicilio informatico quale spazio ideale in cui sono contenuti i dati informatici di pertinenza della persona ad esso estendendo la tutela della riservatezza della sfera individuale, quale bene costituzionalmente protetto; pur evidenziando che la fattispecie offre una tutela anticipata ad una pluralità di beni giuridici e di interessi eterogenei. Viene inoltre riportata l’opinione condivisa secondo cui, la fattispecie in esame – ad eccezioni delle ipotesi aggravate del comma 2, nn. 2 e 3 – sia reato di mera condotta, che si configura, quindi, con la semplice intrusione nel sistema informatico (Sez. 5, n. 11689 del 06/02/2007, Cerbone, Rv. 236221). A tal proposito, si precisa che la tutela giuridica deve riservarsi ai sistemi muniti di misure di sicurezza perché, dovendosi proteggere il diritto di uno specifico soggetto, è necessario che questo abbia dimostrato di volere riservare l’accesso alle persone autorizzate e di inibire la condivisione del suo spazio informatico con i terzi.

La S.C. si sofferma, successivamente, sulla natura della condotta penalmente rilevante, condotta che assume delle specifiche peculiarità per cui la tradizionale nozione – elaborata per una realtà fisica nella quale le conseguenze sono percepibili e verificabili con immediatezza – deve essere rivisitata e adeguata alla dimensione virtuale; nel c.d. cyberspace i criteri tradizionali per collocare le condotte umane nel tempo e nello spazio entrano in crisi, in quanto viene in considerazione una dimensione “smaterializzata” ed una complessiva “delocalizzazione” delle risorse e dei contenuti.

Orbene, in ordine alla soluzione del quesito di legittimità, la Corte rileva il fondamento delle contrapposte teorie in merito al locus commissi delicti, quella della Prima Sezione della Corte di Cassazione, basata sul concetto classico di fisicità del luogo ove è collocato il server e l’altra, quella del Giudice rimettente, sul funzionamento delocalizzato, all’interno della rete, di più sistemi informatici e telematici.

Sul punto – pur non sminuendo le difficoltà di trasferire al caso concreto il criterio attributivo della competenza territoriale dell’art. 8 cod. proc. pen. parametrato su spazi fisici e non virtuali – la Corte reputa sia preferibile la tesi del Giudice remittente, che privilegia le modalità di funzionamento dei sistemi informatici e telematici, piuttosto che il luogo ove è fisicamente collocato il server. In relazione alla prima opzione ermeneutica – ci dicono i giudici della Cassazione – la Prima Sezione ha scelto di articolare la competenza in termini di fisicità, secondo gli abituali schemi concettuali del mondo materiale, non tenendo conto del fatto che la nozione di collocazione spaziale o fisica è essenzialmente estranea alla circolazione dei dati in una rete di comunicazione telematica e alla loro contemporanea consultazione da più utenti spazialmente diffusi sul territorio.

Non è però condivisibile – prosegue la Corte – la tesi secondo la quale il reato di accesso abusivo si consumi nel luogo in cui è collocato il server che controlla le credenziali di autenticazione del client, in quanto, in ambito informatico, deve attribuirsi rilevanza, più che al luogo in cui materialmente si trova il sistema informatico, a quello da cui parte il dialogo elettronico tra i sistemi interconnessi e dove le informazioni vengono trattate dall’utente. Nel cyberspazio, difatti, il flusso dei dati informatici si trova allo stesso tempo nella piena disponibilità di consultazione (e, in certi casi, di integrazione) di un numero indefinito di utenti abilitati, che sono posti in condizione di accedervi ovunque. È inesatto – secondo la soluzione fornita delle Sezioni Unite – ritenere che i dati si trovino solo nel server, perché nel reato in oggetto l’intera banca dati è “ubiquitaria”, “circolare” o “diffusa” sul territorio, nonché contestualmente compresente e consultabile in condizioni di parità presso tutte le postazioni remote autorizzate all’accesso.

In una concezione assolutamente “unitaria” del sistema preso in considerazione, quindi, la Corte individua come arbitrario effettuare una irragionevole scomposizione tra i singoli componenti dell’architettura di rete, separando i terminali periferici dal server centrale, dovendo tutto il sistema essere inteso come un complesso inscindibile nel quale le postazioni remote non costituiscono soltanto strumenti passivi di accesso o di interrogazione, ma essi stessi formano parte integrante di un complesso meccanismo. In questo senso – evidenziano i Giudici – va focalizzata la nozione di accesso in un sistema informatico, che non coincide con l’ingresso all’interno del server fisicamente collocato in un determinato luogo, ma con l’introduzione telematica o virtuale; l’accesso, perciò, si produce con l’unica condotta umana di natura materiale, consistente nella digitazione da remoto delle credenziali di autenticazione da parte dell’utente.

Si configurerà il reato, pertanto, nel luogo in cui l’operatore materialmente digita la password di accesso o esegue la procedura di login, che determina il superamento delle misure di sicurezza apposte dal titolare del sistema, in tal modo realizzando l’accesso alla banca-dati.

Questo, in conclusione, il principio di diritto affermato:

Il luogo di consumazione del delitto di accesso abusivo ad un sistema informatico o telematico, di cui all’art. 615-ter cod. pen., è quello nel quale si trova il soggetto che effettua l’introduzione abusiva o vi si mantiene abusivamente”.

Come citare il contributo in una bibliografia:
F. Marangolo, Accesso abusivo ad un sistema informatico e luogo di consumazione, in Giurisprudenza Penale Web, 2016, 7-8