INTERNET

Accesso abusivo al sistema informatico: le Sezioni Unite sull’individuazione del Giudice territorialmente competente. Nota a Cass. Sez. Un., 24 aprile 2015, n. 17325.

16224974304_88bc4e1e1b_z
Scritto da Davide Cappa

La pronuncia in commento ha il pregio di risolvere un contrasto giurisprudenziale sorto recentemente, in seno alla delicata determinazione del Giudice territorialmente competente nei casi in cui si proceda per il reato di accesso abusivo ad un sistema informatico (art. 615 ter c.p.).
Le Sezioni Unite – condividendo le argomentazione del Giudice remittente – hanno enucleato il seguente principio di diritto: «Il luogo del commesso reato [di accesso abusivo al sistema informatico] si identifica con quello nel quale, dalla postazione remota, l’agente si interfaccia con l’intero sistema, digita le credenziali di autenticazione e preme il tasto avvio, ponendo così in essere l’unica azione materiale e volontaria che lo pone in condizione di entrare nel dominio delle informazioni che vengono visionate direttamente all’interno della postazione periferica».
Vediamo nello specifico le argomentazioni adottate dalle Sezioni Unite.

Foto Got Credit, Flickr

Il Fatto

La Procura di Napoli esercitava l’azione penale nei confronti di Tizia, quale impiegata della Motorizzazione civile di Napoli, e di Caio, quale titolare di un’agenzia di pratiche auto, per il reato di cui agli art. 81, 110 e 615 ter c.p.
L’Accusa contestava loro, in concorso, l’accesso abusivo al sistema informatico del Ministero delle Infrastrutture e dei Trasporti al fine di effettuare visure elettroniche estratte nell’interesse di Caio, il quale approfittava dell’amicizia di Tizia, che materialmente vi provvedeva esulando dalle proprie mansioni.
Sorgeva un conflitto negativo di competenza tra il Giudice per l’Udienza preliminare di Roma ed il Giudice per l’Udienza Preliminare di Napoli, e la questione veniva rimessa alla Prima Sezione Penale della Cassazione, che, ravvisato un contrasto giurisprudenziale, inviava gli atti alle Sezioni Unite.

Il Quesito

L’incipit della motivazione del provvedimento annotato, riporta il quesito la cui risoluzione è stata demandata alle Sezioni Unite.
«Se, ai fini della determinazione della competenza per territorio, il luogo di consumazione del reato del delitto di accesso abusivo ad un sistema informatico o telematico, di cui all’art. 615 ter c.p., sia quello in cui si trova il soggetto che si introduce nel sistema o, invece, quello nel quale è collocato il server che elabora e controlla le credenziali di autenticazione fornite dall’agente».
La rimessione di tale quesito alle Sezioni Unite, è stata evidentemente dettata dall’esigenza di offrire una soluzione univoca alle molteplici eccezioni di incompetenza territoriale sollevate dalle Difese, in punto di accertamento del reato di cui all’art. 615 ter c.p. commesso con l’ausilio di internet.
Del resto, è noto che alle eccezioni di incompetenza territoriale sollevate opportunamente dalle Difese allorquando non vi sia certezza sul locus commissi delicti, i Giudici di merito offrano spesso soluzioni differenti.

Il «domicilio informatico» quale bene giuridico, e la nozione di «sistema informatico o telematico»

Dopo aver evidenziato la delicatezza e la rilevanza della questione loro rimessa, ed aver dato conto di un contrasto giurisprudenziale sorto sul punto[^fn1], le Sezioni Unite hanno ritenuto che la soluzione al quesito loro assegnato dovesse necessariamente passare per l’analisi attenta della fattispecie di cui all’art. 615 ter c.p.
L’art. 615 ter c.p. punisce chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza, ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo.
Si tratta – dicono le Sezioni Unite – di un reato di mera condotta, finalizzato alla protezione del c.d. «domicilio informatico» inteso quale «spazio ideale in cui sono contenuti i dati informatici di pertinenza della persona, e diretto, altresì, alla tutela anticipata di altri plurimi beni giuridici anche non personalissimi.
E’ punita – continua la Suprema Corte – l’introduzione al «sistema informatico o telematico», da intendersi come «un complesso di apparecchiature destinate a compiere una qualsiasi funzione utile all’uomo attraverso l’utilizzazione di tecnologie informatiche che sono caratterizzate, per mezzo di una attività di codificazione e decodificazione, dalla registrazione o memorizzazione tramite impulsi elettronici […] di dati, e dalla elaborazione automatica di tali dati, in modo da generare informazioni costituite da un numero più o meno vasto di informazioni»[^fn2].
Se tale è la definizione di sistema telematico o informatico, allora – prosegue la Corte – nell’ambito dell’art. 615 ter c.p. ricadono anche i sistemi di trattamento delle informazioni che sfruttano l’architettura di rete denominata client-server, nella quale – come noto – un computer (il client) si connette tramite rete ad un elaboratore centrale (il server) per la condivisione di risorse o di informazioni.

La condotta illecita nel mondo telematico: l’input o impulso elettronico.

Dopo aver individuato il bene giuridico alla cui protezione è diretta l’art. 615 ter c.p., ed aver definito i concetti di sistema informatico e telematico, le Sezioni Unite si sono soffermate sulla nozione di condotta penalmente illecita nell’era digitale.
In un sistema informatico e/o telematico – sostengono giustamente le Sezioni Unite – il concetto di azione umana sfuma.
Il fatto penalmente rilevante deve chiaramente essere sempre umano, tipico ed antigiuridico in ossequio ai principi generali del diritto penale, ma nell’era di internet – dice la Corte – l’azione criminosa tende a risolversi in un «impulso elettronico».
Il soggetto agente, dal proprio computer, dialoga con il server tramite l’invio di input elettronici per codificare, trattare, trasmettere o memorizzare le informazioni in esso contenute; sicché – conclude la Corte – l’azione telematica penalmente rilevante si realizza attraverso una connessione tra sistemi informatici distanti tra loro.

L’accesso ad un sistema informatico: la nozione.

Inoltre – ritengono le Sezioni Unite – da un punto di visto tecnico-informatico, il sistema telematico deve considerarsi unitario; dunque, è irragionevole scomporlo nelle singole periferiche che lo compongono (ritenendo distinto, ad esempio, la periferica con la quale l’utente accede al server, ed il server stesso).
Tutto il sistema – sostiene la Corte – deve essere inteso come un complesso inscindibile nel quale le postazioni remote non costituiscono soltanto strumenti passivi di accesso o di interrogazione, ma essi stessi formano parte integrante di un complesso meccanismo, strutturato in modo da esaltare la funzione di immissione e di estrazione dei dati da parte del client.
Di qui, la definizione di accesso in un sistema informatico che – dicono le Sezioni Unite – non coincide con l’ingresso all’interno del server fisicamente collocato in un determinato luogo, ma con l’introduzione telematica o virtuale, che avviene instaurando un colloquio elettronico o circuitale con il sistema centrale e con tutti i terminali ad esso collegati.

Le conclusioni

Alla luce di tali premesse, le Sezioni Unite concludono che «l’accesso [al sistema informatico] inizia con l’unica condotta umana di natura materiale, consistente nella digitazione da remoto delle credenziali di autenticazione da parte dell’utente, mentre tutti gli eventi successivi assumono i connotati di comportamenti comunicativi tra client e il server. L’ingresso e l’introduzione abusiva, allora, vengono ad essere integrati nel luogo in cui l’operatore materialmente digita la password di accesso o esegue la procedura di login, che determina il superamento delle misure di sicurezza apposte dal titolare del sistema, in tal modo realizzando l’accesso alla banca dati».
Ergo – conclude la Corte – il «luogo del commesso reato si identifica con quello nel quale dalla postazione remota l’agente si interfaccia con l’intero sistema, digita le credenziali di autenticazione e preme il tasto avvio».
Di qui, la declaratoria di competenza territoriale a favore del Giudice per l’Udienza Preliminare di Napoli nel cui circondario v’era la postazione periferica da cui gli imputati avevano acceduto al server della Motorizzazione civile di Roma.

Alcune riflessioni, in pillole

Il ragionamento delle Sezioni Unite è ineccepibile.
Se il reato di accesso abusivo al sistema informatico è di mera condotta, non è necessario che vi sia la realizzazione di alcun evento, e il momento iniziale e finale di consumazione del reato si esaurisce nell’istante in cui l’azione è posta in essere dall’agente. Se, poi, il sistema telematico deve intendersi unitariamente, il luogo di consumazione di tale reato è, necessariamente, quello in cui inizia il “dialogo” tra la periferica ed il server, essendo questo il primo momento in cui l’agente vi accede raggirando le misure di protezione e pone la propria condotta in contrasto con l’ordinamento.
Inutile dire che la soluzione cui sono pervenute le Sezioni Unite costituisce un “pericoloso” precedente per le Difese che vogliano eccepire l’incompetenza territoriale del Giudicante. Le argomentazioni della Corte, però, paiono condivisibili e giuridicamente fondate.
A ben vedere, infatti, l’inserimento di username e password per accedere ad un sistema telematico ha rappresentato, nel caso di specie, l’unica condotta umana volontaria dell’agente.
Se, per assurdo, le Sezioni Unite avessero ritenuto il reato consumato nel luogo in cui era presente il server, e non avessero tenuto conto dell’unica condotta umana e materiale posta in essere dagli imputati, che ne sarebbe stato dei principi di materialità e responsabilità personale che informano il diritto penale?

Info sull'Autore

Davide Cappa

Dottore in giurisprudenza e praticante avvocato iscritto all'Ordine degli Avvocati di Padova, appassionato di diritto penale tributario, ambientale e digital crime.

Leggi articolo precedente:
Schermata-2015-05-22-alle-16.02.11
eMule & diffusione di materiale pedopornografico

5324748341_e692401013_z
La digitalizzazione dei documenti della P.A.: sanità e non solo

costeja_gonzalez_-_Cerca_con_Google
La pubblicazione di Sentenze e Provvedimenti: i problemi attuativi

Chiudi