Accesso abusivo a sistema informatico e competenza territoriale

Il luogo di consumazione del delitto di cui all'art. 615-ter c.p. coincide con quello in cui si trova l'utente che, tramite elaboratore elettronico o altro dispositivo per il trattamento automatico dei dati, digitando la parola chiave o altrimenti eseguendo la procedura di autenticazione, supera le misure di sicurezza apposte dal titolare per selezionare gli accessi e per tutelare la banca-dati memorizzata all'interno del sistema centrale ovvero vi si mantiene eccedendo i limiti dell'autorizzazione ricevuta. (In motivazione la Corte ha specificato che il sistema telematico per il trattamento dei dati condivisi tra più postazioni è unitario e, per la sua capacità di rendere disponibili le informazioni in condizioni di parità a tutti gli utenti abilitati, assume rilevanza il luogo di ubicazione della postazione remota dalla quale avviene l'accesso e non invece il luogo in cui si trova l'elaboratore centrale).

Il procuratore della Repubblica presso il tribunale di Napoli aveva esercitato l'azione penale per il reato di accesso abusivo a sistema informatico (art. 615-ter c.p.) nei confronti di una impiegata della motorizzazione civile e dell'amministratore di fatto di una agenzia di pratiche automobilistiche per essersi introdotti abusivamente nella banca dati del ministero dei trasporti per effettuare visure elettroniche relative ad immatricolazioni di veicoli.

Con sentenza in data 2 dicembre 2013, il giudice dell'udienza preliminare del tribunale di Napoli dichiarava la propria incompetenza per territorio, ritenendo invece competente il giudice delle indagini preliminari del tribunale di Roma, in ragione dell'ubicazione della banca-dati della motorizzazione civile presso il ministero dei trasporti con sede in Roma.

Successivamente, il giudice dell'udienza preliminare del tribunale di Roma, con ordinanza del 16 giugno 2014, sollevava conflitto negativo di competenza per territorio, ritenendo che il luogo di consumazione del reato di accesso abusivo ad un sistema informatico doveva, invece, essere individuato in Napoli.

La prima Sezione penale della Corte di cassazione, con ordinanza 52575 del 28 ottobre 2014, dep. il 18 dicembre 2014, per la speciale importanza della materia e per prevenire l'insorgenza di ulteriori contrasti giurisprudenziali, rimetteva gli atti alle Sezioni unite, richiamando il più recente orientamento di legittimità, secondo il quale “il luogo di consumazione del delitto di accesso abusivo ad un sistema informatico non è quello in cui vengono inseriti i dati idonei ad entrare nel sistema bensì quello dove materialmente è collocato il server che elabora e controlla le credenziali di autenticazione del client” (Cass. pen., Sez. I, 27 maggio 2013, n. 40303, dep. 27 settembre 2013).

Per la speciale importanza della questione, il ricorso veniva assegnato alle Sezioni unite per la trattazione all'udienza del 26 marzo 2015.

Le Sezioni unite penali sono state chiamate a decidere se, ai fini della determinazione della competenza per territorio, il luogo di consumazione del delitto di accesso abusivo ad un sistema informatico sia quello in cui si trova il soggetto che si introduce abusivamente nel sistema o, invece, quello nel quale è collocato il server che elabora e controlla le credenziali di autenticazione fornite dall'agente.

La questione, particolarmente avvertita dai giudici di merito, aveva generato incertezze interpretative circa il luogo di consumazione del reato di cui all'art. 615-ter c.p., che poteva coincidere, nelle reti client-server, alternativamente con il punto dal quale l'utente digita le credenziali di accesso o con quello in cui si trova fisicamente il server all'interno del quale sono archiviate le informazioni oggetto di trattamento.

La condotta informatica:

Il reato di accesso abusivo si consuma al momento dell'intrusione, in quanto l'elusione o la manipolazione delle barriere elettroniche è indice della volontà di penetrare all'interno del sistema, mentre non è necessario che il responsabile abbia agito per fini di lucro o semplicemente per gioco, ovvero abbia effettivamente carpito informazioni o impedito il funzionamento dell'unità di elaborazione, sebbene, di regola, l'intrusione è preordinata alla lettura o alla duplicazione dei dati.

Il soggetto attivo è in grado di agire contemporaneamente sia sul computer di partenza che su quello di destinazione, producendo uno o più eventi, i cui esiti dipendono dal tipo di istruzioni inviate e dai programmi in concreto utilizzati.

Alcuni profili problematici potrebbero porsi qualora i dati oggetto di intrusione o accesso abusivo siano archiviati su cloud computing o su un server che sfrutta tali servizi, perché sarebbe oltremodo di difficile individuazione il luogo nel quale le informazioni sono archiviate e, inoltre, dovrebbe stabilirsi quale sia la legge applicabile (ossia quella di appartenenza del soggetto che ha subito l'accesso illecito o, in alternativa, quella del luogo straniero ove sono memorizzati i dati).

I precedenti giurisprudenziali:

In argomento, abbiamo già sopra riportato la decisione della Suprema Corte (Cass. pen., Sez. I, 27 maggio 2013, n. 40303) che, nell'esaminare il caso di accesso abusivo allo S.D.I. da terminale ad esso collegato situato in Firenze, ha ritenuto di individuare il locus commissi delicti in Roma, dove ha sede il server.

Per giungere a tali conclusioni è stato valorizzato non solo lo ius excludendi del titolare ma soprattutto la funzione di verifica e controllo della genuinità delle credenziali di autenticazione inserite dall'utente, attraverso una procedura informatica di validazione di conformità che è eseguita presso il server.

Il luogo in cui si consuma il reato, quindi, non è quello nel quale viene digitata la password idonea a entrare nel sistema bensì quello in cui si verifica l'accesso che, per i server che distribuiscono informazioni su tutto il territorio nazionale, coincide con la sede dell'amministrazione centrale ove è ubicato il sistema telematico.

Questa soluzione però determina come conseguenza il radicamento della competenza territoriale sempre nel luogo dove è ubicato il server (che nella maggior parte dei casi coincide con Roma dove sono concentrate le più importanti banche dati pubbliche), senza tacere che se l'unità di elaborazione centrale si trova all'estero (ad esempio sfruttando piattaforme su cloud) potrebbero porsi anche profili di giurisdizione e la necessità di ricorrere a rogatorie internazionali per la raccolta delle tracce informatiche.

In realtà, il criterio attributivo della competenza territoriale sulla base del luogo in cui è collocato il server non è isolato e non è stato affermato solo per il reato di cui all'art. 615-ter c.p. ma trova riscontro anche in altro indirizzo giurisprudenziale riguardante il reato di frode informatica, in relazione al quale è stata ritenuta decisiva la sede aziendale che ospita l'elaboratore elettronico le cui informazioni siano state illecitamente manipolate (Cass. pen., Sez. III, 24 maggio 2012, n. 23789).

È stato conclusivamente enunciato il seguente principio di diritto:

Il luogo di consumazione del delitto di accesso abusivo ad un sistema informatico o telematico, di cui all'art. 615-terc.p., è quello nel quale si trova il soggetto che effettua l'introduzione abusiva o vi si mantiene abusivamente.

Le Sezioni unite si sono orientate per una soluzione che tende a ritenere violata la riservatezza dei dati o il domicilio informatico nel luogo in cui materialmente avviene la digitazione delle credenziali di accesso e il loro invio al sistema telematico.

Per giungere a questa conclusione, che radica la competenza territoriale nel luogo in cui si trova la postazione remota (c.d. client), la Suprema Corte ha considerato l'intera architettura di sistema (server, terminali e rete di trasporto delle informazioni) come un unico elaboratore elettronico, altrimenti definito “sistema telematico”.

La competenza radicata nel luogo in cui si trova il client valorizza l'unica condotta materiale qualificabile come “azione informatica” e riconducibile alla volontà del soggetto agente, che consiste nella digitazione dal terminale periferico di username e password, oltre che nella pressione del tasto di invio.

Il sistema telematico per “la gestione e lo scambio dei dati” a distanza, formato da server, client, terminali e rete di trasporto delle informazioni, corrisponde in realtà ad una sola “unità di elaborazione”: il sistema telematico deve considerarsi unitario perché è coordinato da un software di gestione che presiede al funzionamento della rete, alla condivisione della banca dati, alla archiviazione delle informazioni, nonché alla distribuzione e all'invio dei dati ai singoli terminali interconnessi.

In questa organizzazione logica dei dati rientra anche il sistema telematico in dotazione alla motorizzazione civile, che ha sede presso il ministero delle infrastrutture e dei trasporti, utilizzato nel caso in esame dal funzionario infedele per effettuare visure elettroniche nell'interesse di un privato titolare di una agenzia di pratiche automobilistiche.

Il terminale ha, appunto, la funzione di inviare le istruzioni (dalle chiavi logiche di autenticazione alle opzioni di ricerca) al sistema centralizzato, che restituisce all'utente il risultato della propria richiesta di accesso e di consultazione delle informazioni.

Le banche dati organizzate secondo tale modello presentano la peculiarità che, generalmente, ciascun utente non si limita solo a consultare i dati ma può modificarli o inserirli secondo regole e criteri predeterminati.

Non si può, allora, sostenere che i dati si trovino solo nel server, perché nella rete così organizzata l'intera banca dati è "ubiquitaria", "circolare" o "diffusa" sul territorio, nonchè compresente e consultabile in condizioni di parità presso tutte le postazioni remote autorizzate all'accesso.

Le singole postazioni remote non sono meri “strumenti di accesso” al sistema ma costituiscono esse stesse il sistema, in quanto partecipano in modo interattivo alla acquisizione e alla integrazione dei dati e hanno in ogni momento, e contestualmente, la disponibilità delle informazioni raccolte nel data-base.

L'accesso dopo l'inserimento delle chiavi logiche non coincide con l'ingresso all'interno del server fisicamente collocato in un determinato luogo ma con l'introduzione telematica o virtuale, che avviene instaurando un colloquio elettronico o circuitale con il sistema centrale e, al contempo, con tutti i terminali ad esso collegati.

La conclusione descritta è idonea a orientare l'interprete anche nei casi in cui il collegamento al sistema centrale sia realizzato da un dispositivo mobile (del tipo tablet o smartphone) o in movimento sul territorio.

In tali evenienze, qualora non sia possibile ricostruire con precisione il luogo attraversato al momento dell'accesso abusivo, la competenza per territorio sarebbe comunque determinabile attraverso le regole suppletive di cui all'art. 9 c.p.p.

La rilevanza dell'ubicazione della postazione remota, infine, soddisfa anche l'esigenza di rendere più agevole e rapido lo svolgimento delle indagini e di affermare il diritto e la giustizia proprio nel luogo in cui è stato commesso l'illecito, in quanto le prove di un accesso abusivo sono certamente nel server ma anche nel terminale (client) per mezzo del quale è stata commessa l'intrusione.

S. Aterno, Osservazioni a Cass. Pen., Sez. I, 27 maggio 2013, n. 40303, in Cass. pen., fasc. 5, 2014, pag. 1706;

M. Bellacosa, Il luogo di consumazione del delitto di accesso abusivo a un sistema informatico o telematico: in attesa delle Sezioni Unite, in www.penalecontemporaneo.it;

C. F. Grosso, Su di un'interessante controversia interpretativa in tema di luogo del commesso reato e di giudice competente per territorio in materia di accesso abusivo in un sistema informatico, in Rivista italiana di diritto e procedura penale, 2014, n. 3, pag. 1522;

C. Pecorella, La Cassazione sulla competenza territoriale per il delitto di accesso abusivo a un sistema informatico o telematico, in www.penalecontemporaneo.it.