Sulla competenza territoriale del reato di accesso abusivo al sistema informatico

È finalmente disponibile la motivazione delle Sezioni Unite con cui è stato finalmente chiarito “se, ai fini della determinazione della competenza per territorio, il luogo di consumazione del delitto di accesso abusivo ad un sistema informatico o telematico, di cui all’art. 615-ter, cod. pen., sia quello in cui si trova il soggetto che si introduce nel sistema o, invece, quello nel quale è collocato il server che elabora e controlla le credenziali di autenticazione fornite dall’agente“.

Rimandando agli articoli precedenti e disponibili su questa rivista per l’esame del caso pratico da cui è scaturito tale quesito, ivi si intende riassumere brevemente il ragionamento giuridico e le conclusioni a cui sono giunte le Sezioni Unite.

Innanzitutto vediamo le due diverse e confliggenti soluzioni giurisprudenziali che in passato si erano occupate della questione:

1) un primo orientamento prediligeva il luogo ove viene effettivamente superata la protezione informatica e si verifica la introduzione del sistema e quindi, in definitiva, ove è materialmente collocato il server violato (tale interpretazione era stata proposta da Cass., Sez. I, n. 40303 del 27/5/2013, Martini, Rv. 2572);

2) un secondo orientamento, invece, proposto nell’ordinanza di remissione alla Sezioni Unite e parzialmente affrontato in altra pronuncia (Sez. I, n. 34165 del 15/6/2014, Dal Bo, non massimata) individuava il locus commissi delicti ove si trovava l’utente al momento della digitazione della password dalla propria postazione remota (e quindi, va da sé, in un luogo potenzialmente diverso da quello del server).

Le Sezioni Unite, prima di proporre la loro, definitiva, soluzione, hanno inizialmente rappresentato alcuni “punti fermi” da cui far partire il loro articolato ragionamento, in particolare:

* il delitto in esame è di mera condotta e quindi si perfeziona al momento della introduzione nel sistema informatico senza che si verifichi né una effettiva violazione della riservatezza, né un uso illecito dei dati carpiti che, infatti, ben può integrare un diverso reato;

* il legislatore non ha dato alcuna specificazione al concetto di “sistema informatico” o “telematico” e ciò, si immagina, per lasciare aperta tale nozione in vista dei possibili e futuri sviluppi tecnologici;

* una definizione è rinvenibile all’art. 1 della Convenzione Europea di Budapest del 23 novembre 2001 ove si stabilisce che il “sistema informatico” è “qualsiasi apparecchiatura o gruppi di apparecchiature interconnesse o collegate, una o più delle quali, in base ad un programma, compiono l’elaborazione dei dati”;

* nell’ambito della protezione offerta dall’art. 615 ter, c.p. ricadono anche i sistemi di trattamento delle informazioni che sfruttano l’architettura di rete denominata server-client nella quale un computer o terminale (il client) si connette tramite rete ad un elaboratore centrale (il server) per la condivisione di risorse o informazioni che possono essere rese disponibili a distanza anche ad altri utenti.

Ora, sulla base di tali premesse le Sezioni Unite hanno poi tratto le seguenti considerazioni:

* con il reato in questione il legislatore ha assicurato la protezione del domicilio informatico quale spazio ideale in cui sono contenuti i dati informatici di pertinenza della persona estendendo la tutela della riservatezza della sfera individuale, quale bene costituzionalmente protetto; il parallelo con il domicilio reale – sulla cui falsariga è stata impostata la norma – è imperfetto;

* le condotte di abusiva introduzione in un sistema informatico/telematico o di trattenimento contro la volontà di chi può esercitare lo jus excludendi sono collegate ad una dimensione elettronica dello spazio che, non a caso, è correttamente definita “virtuale”;

* tale realtà virtuale, così come il cyberspace, è dotata di specifiche caratteristiche per cui la tradizionale nozione  – elaborata per una realtà fisica nella quale le conseguenze sono immediatamente rilevabili e percepibili – deve essere invece rielaborata e rivisitata;

* sotto un profilo tecnico, il sistema informatico o telematico va quindi inteso in senso unitario e complessivo;

* in accordo a quanto sopra e per evitare deficit nel perseguimento dell’obiettivo di protezione del sistema informatico e telematico, risulta conveniente delineare una nozione ampia di computer, così come, del resto, ha già fatto il giudice di legittimità in punto di carte di pagamento, trattandosi di strumenti idonei a trasmettere dati elettronici nel momento in cui si connettono mediante le apparecchiature denominate POS;

* il luogo in cui l’utente opera sul computer combacia quasi sempre con quello ove si possono acquisire le prove e dove la collettività percepisce il disvalore del delitto posto in essere;

Una volta premesso quanto sopra, quindi, la soluzione proposta dalle Sezioni Unite appare ormai facile da immaginare: non potrà che essere abbandonata la prima interpretazione proposta, ancorata al concetto classico di fisicità del luogo ove è collocato il server, e ciò a favore del secondo orientamento, parametrato ad una dimensione virtuale, non più fisica e quindi “aterritoriale”.

Ed infatti proprio da tale impostazione “aterritoriale” consegue la soluzione del quesito: il luogo di consumazione del reato sarà quello in cui dalla postazione remota l’agente si interfaccia con l’intero sistema, digita le credenziali di autenticazione e preme il tasto di avvio, ponendo così in essere l’unica azione materiale e volontaria che lo pone in condizione di entrare nel dominio delle informazioni che vengono visionate direttamente all’interno della postazione periferica.