Accesso abusivo ad un sistema informatico: sul luogo di consumazione del reato

Articolo scritto da Redazione Giurisprudenza Penale il 8 Novembre 2013

Cassazione Penale, Sez. I, 27 settembre 2013 (ud. 27 maggio 2013), n. 40303
Presidente Chieffi, Relatore La Posta

Depositata il 27 settembre scorso la pronuncia numero 40303 della prima sezione penale in tema di accesso abusivo ad un sistema informatico ex art. 615-ter c.p. con cui la Corte di Cassazione ha risolto un conflitto tra giudici ordinari in merito alla individuazione del luogo e del momento consumativo del reato.

Prima di illustrare la conclusione cui è giunto il Supremo Collegio, appare opportuno riepilogare brevemente i fatti e le diverse tesi sostenute dagli organi giurisdizionali intervenuti: nel giugno 2011 il Tribunale di Firenze dichiarava la propria incompetenza per territorio avuto riguardo al giudizio nei confronti degli imputati – accusati di aver effettuato accessi abusivi presso la banca dati riservata del Sistema d’informazione interforze del Ministero dell’Interno (SDI) al fine di acquisire di dati segreti per poi comunicarli ai committenti – disponendo la trasmissione degli atti al Procuratore della repubblica presso il Tribunale di Roma. Detta fattispecie, infatti, doveva ritenersi consumata proprio a Roma, luogo in cui ha sede la banca dati in esame. La procedura di accesso – si osservava – deve ritenersi un mero atto prodrominco alla reale introduzione nel sistema informatico che avviene solo nel momento in cui si entra effettivamente nello SDI, dopo avere lanciato l’accesso e completato la validazione delle credenziali dell’utente che viene fatta dal sistema centrale.

Il Gup del Tribunale di Roma, investito del procedimento con la richiesta di rinvio a giudizio del pubblico ministero, sollevava conflitto di competenza trasmettendo gli atti alla Corte di Cassazione: il giudice, in particolare, pur concordando sul fatto che ai fini della determinazione del luogo di consumazione del reato in oggetto non è rilevante il luogo dell’acquisizione dei dati, bensì, il luogo dell’accesso, osservava, tuttavia, che l’accesso punito dall’art. 615 ter c.p., si colloca in un contesto immateriale e delocalizzato che è la rete di comunicazione telematica ed è un reato di mera condotta che – come affermato dalla giurisprudenza di legittimità – si perfeziona con la violazione del domicilio informatico (Sez. 5, n. 11689 del 06/02/2007, Cerbone, rv. 236221). Per determinare la competenza, quindi, si deve avere riguardo all’ultima attività umana che si connota per fisicità, rappresentata dall’accesso dal terminale, ossia al luogo della collocazione del terminale attivato per l’accesso.

Nel maggio 2013, infine, il Ministero dell’Interno, il Ministero della Difesa ed il Ministero dell’Economia, a mezzo dell’Avvocatura della Stato affermavano la competenza del Tribunale di Firenze. Rilevavano, in particolare, che la diversa interpretazione sostenuta dai giudici di Firenze era fondata sulla netta separazione tra la fase di immissione delle credenziali e quella del vero e proprio accesso al sistema con una non condivisibile frammentazione della condotta, atteso che l’immissione all’interno della banca dati non appare logicamente scindibile dall’accesso effettuato dal terminale remoto.

La Suprema Corte, preso atto del conflitto tra due giudici ordinari che contemporaneamente ricusano la cognizione del medesimo fatto loro deferito – dando così luogo a quella situazione di stallo processuale prevista dall’art. 28 c.p.p.,- ha ritenuto di risolverlo dichiarando la competenza del Gup del Tribunale di Roma.

Entrambi i giudici – ricapitola la Corte – convengono che il delitto di accesso abusivo ad un sistema informatico è reato di mera condotta che si perfeziona con la violazione del domicilio informatico e, quindi, con l’introduzione in un sistema costituito da un complesso di apparecchiature che utilizzano tecnologie informatiche, senza che sia necessario che l’intrusione sia effettuata allo scopo di insidiare la riservatezza dei legittimi utenti e che si verifichi una effettiva lesione alla stessa; tuttavia, pervengono a conclusioni difformi quanto alla individuazione del momento e del luogo in cui si perfeziona detta violazione.

Con la decisione in esame si è affermato che l’accesso al sistema informatico deve considerarsi avvenuto nel luogo in cui viene effettivamente superata la protezione informatica e, quindi, là dove è materialmente situato il sistema informatico (server) violato: di conseguenza, il luogo in cui si consuma il reato non è quello nel quale vengono inseriti i dati idonei a entrare nel sistema, bensì, quello in cui “si entra” nel sistema, che non può che essere il luogo dove si trova lo stesso server.

Non possono prendersi in considerazione – prosegue la Corte – né le eventuali condotte successive di acquisizione ed uso dei dati, né il luogo in cui l’accesso al sistema è iniziato attraverso i terminali che costituiscono strumenti di accesso. La procedura di accesso, infatti, deve ritenersi atto prodrominco alla introduzione nel sistema che avviene solo nel momento in cui si entra effettivamente nel server dopo avere completato la validazione delle credenziali dell’utente che viene fatta dal sistema centrale; d’altro canto, il luogo in cui si forma la volontà dell’agente di commettere il reato, ovvero quello in cui l’agente predispone le attività prodromiche e preparatorie, finalizzate alla condotta illecita, ben può essere diverso da quello nel quale si pone in essere la condotta giuridicamente rilevante e in cui, per i reati di mera condotta come quello in esame, si consuma il reato. Anzi, non vi è dubbio che l’attività fisica dell’utente viene ad essere esercitata, nell’ipotesi di accesso da remoto, in un luogo differente da quello in cui si trova il sistema informatico protetto, ma è anche certo che l’utente invia le credenziali al server web il quale le riceve “processandole” nella fase di validazione che è eseguita solo ed unicamente all’interno del sistema protetto e non potrebbe essere diversamente proprio per motivi di sicurezza del sistema stesso.

In conclusione, deve essere dichiarata la competenza del Gup del Tribunale di Roma.

  • [wpdm_package id=66]

Parole chiave:

Categorie: ARTICOLI, Delitti contro la persona, DIRITTO PENALE, Parte speciale