La competenza territoriale del reato di accesso abusivo al sistema informatico
Competenza territoriale del reato di accesso abusivo al sistema informatico ex art. 615 ter, c.p.: la questione all’attenzione delle Sezioni Unite – Corte di Cassazione Sez. I pen., ordinanza del 28 ottobre 2014 (depositata il 18 dicembre 2014), n. 52575, Presidente Siotto, Relatore Locatelli
La sezione I della Cassazione, con l’ordinanza in commento, ha rimesso alla decisione delle Sezioni Unite una questione sulla quale ha rilevato il rischio di potenziali contrasti giurisprudenziali.
La vicenda riguarda il reato di “accesso abusivo al sistema informatico” previsto all’art. 615 ter, c.p. – che punisce “chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo” – e, in particolare, i dubbi concernenti la individuazione della competenza territoriale di tale fattispecie. .
Come noto la competenza territoriale non è affatto una questione marginale nell’ambito del processo penale: instaurare un procedimento innanzi ad un giudice territorialmente incompetente fornisce al difensore dell’imputato la possibilità di chiedere la trasmissione degli atti al tribunale correttamente individuato con tutte le conseguenze del caso, anche e soprattutto in tema di prescrizione; e ciò a maggior ragione se la questione, come nel caso in esame, non è affatto pacifica, ma si presta a diverse interpretazioni.
Al fine di comprendere al meglio il problema merita di essere citato il caso concreto che ha generato l’ordinanza in commento.
Il PM di Napoli formulava l’imputazione di “accesso abusivo al sistema informatico” ex art 615 ter, c.p. nei confronti di una dipendente del Ministero dei Trasporti impiegata presso la Motorizzazione Civile di Napoli e dell’amministratore di fatto di una agenzia automobilistica, per essersi introdotti, in modo abusivo ed utilizzando un computer sito in Napoli, nel sistema informatico del predetto Ente pubblico; ebbene, con sentenza del dicembre 2013, il Giudice dell’udienza preliminare presso il Tribunale di Napoli dichiarava la propria incompetenza territoriale in quanto i server del Ministero dei Trasporti di Napoli erano fisicamente ubicati in Roma.
In buona sostanza, secondo il giudice napoletano il luogo di consumazione del reato era da individuarsi ove risultava effettivamente superata la protezione informatica e si verificava l’introduzione nel sistema e, in conclusione, dove era materialmente situato il sistema violato e l’elaboratore che controlla le credenziali di autocertificazione del client (ovvero Roma); tale scelta del magistrato napoletano trovava conforto anche in una recente sentenza della Cassazione (Cass. pen., sez. I, 27/5/2013, n. 40303) che, ai fini della competenza territoriale, prediligeva, per l’appunto, la materiale localizzazione dei server “colpiti” dall’accesso abusivo.
Il processo, quindi, veniva trasmesso presso il Tribunale di Roma.
Il Giudice romano, però, non condivideva affatto l’impostazione del suo collega tant’è che sollevava un conflitto negativo di competenza investendo della questione la Suprema Corte: a suo avviso, la competenza non si sarebbe dovuta radicare presso di lui, ma sarebbe dovuta restare a Napoli in quanto in tale luogo gli imputati avevano agito collegandosi abusivamente ai server; secondo tale giudice, quindi, il luogo di consumazione andrebbe individuato ove l’accesso è iniziato attraverso l’utilizzo, da parte del reo, dei computer “locali”.
Ebbene, la Corte di Cassazione con l’ordinanza in commento ha rilevato la delicatezza del tema ed il rischio di insorgenza di conflitti giurisprudenziali e, pertanto, ha richiesto l’intervento delle Sezioni Unite.
Vediamo brevemente perché.
Il Supremo Collegio ritiene le impostazioni proposte dal Giudice di Napoli e dalla sentenza della Cassazione del 2013, da cui il GUP ha preso spunto, del tutto errate.
Il reato, si legge nell’ordinanza in commento, si perfeziona al momento della introduzione abusiva nel sistema e ciò – ed ecco il punto saliente del ragionamento – a prescindere dall’acquisizione dei dati in esso contenuto; da tale osservazione, quindi, non può che derivare una sola conclusione e cioè che la condotta del reato si perfeziona nel momento – e nel luogo – in cui l’agente si introduce abusivamente utilizzando il proprio computer locale (a Napoli, nel caso in esame) il quale, al pari del server, costituisce un’“articolazione territoriale” del complessivo sistema informatico nazionale nella disponibilità del Ministero dei Trasporti.
Invero entrambe le soluzioni proposte appaiono, per diverse ragioni, condivisibili anche se, in ultima analisi, qualora fosse accolta l’interpretazione fornita nell’ordinanza commentata (che, come detto, radica la competenza nel luogo ove si trova il pc usato per l’accesso abusivo) verrebbe dato all’ “hacker” un “vantaggio” (forse inutile, ma meritevole di essere citato) e cioè la possibilità di “scegliere” il luogo ed il Tribunale ove potrebbe essere celebrato il processo a suo carico.
Non ci resta quindi che attendere la decisione delle Sezioni Unite e la risoluzione della querelle.
