Con la Sentenza n. 17325/2015 le Sezioni Unite penali della Corte di Cassazione si sono pronunciate sul reato di accesso abusivo al sistema informatico esaminando la condotta di un’impiegata della Motorizzazione civile di Napoli, che, in concorso con altri soggetti, si era introdotta abusivamente e ripetutamente nel sistema informatico del Ministero delle Infrastrutture e dei Trasporti per effettuare visure elettroniche – che esulavano dalle sue mansioni – per conto dell’amministratore di un’agenzia di pratiche automobilistiche. La Suprema Corte, con questa sentenza, ha chiarito una questione interpretativa molto dibattuta, relativa al corretto criterio per l’individuazione del luogo di consumazione del delitto di accesso abusivo a un sistema informatico o telematico (di cui all’art. 615ter c.p.).
“Chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo, è punito con la reclusione fino a tre anni”: questo è quanto stabilisce, appunto, l’art. 615 ter, comma 1, del Codice Penale italiano, norma simbolo della lotta contro i crimini informatici, introdotta a seguito della raccomandazione del Consiglio d’Europa (n. 9/1989), con la quale veniva suggerito ai singoli Paesi di adottare delle misure adeguate per la repressione del crimine informatico (cybercrime).
Le condotte descritte dalla norma del nostro codice penale – punite a titolo di dolo generico – consistono nell’introduzione abusiva in un sistema informatico o telematico protetto da misure di sicurezza, ma anche nella permanenza nel sistema contro la volontà, espressa o tacita, del titolare dello stesso [1]. Il nostro legislatore, con l’art. 615ter c.p., ha quindi voluto assicurare la protezione del domicilio informatico, inteso come luogo dove l’individuo esplica liberamente la sua personalità in tutte le sue dimensioni e manifestazioni. Tuttavia, negli ambienti informatici o telematici non è sempre agevole individuare la sfera spaziale suscettibile di tutela.
Proprio alla luce di tale carattere di “aterritorialità” dei sistemi informatici, è stata sottoposta al vaglio delle Sezioni Unite la problematica relativa al criterio di individuazione del luogo di commissione del reato (e della relativa competenza territoriale). Nello specifico, infatti, secondo la Corte, le condotte descritte nell’art. 615 ter c.p. “non sono collegate a una nozione spaziale in senso tradizionale, ma a quella elettronica, trattandosi di sistemi informatici o telematici che archiviano e gestiscono informazioni ossia entità immateriali”.
Nella vicenda oggetto delle pronuncia, in effetti, l’imputata, pur avendo titolo e formale abilitazione per accedere alle informazioni in ragione della sua qualità di dipendente e di titolare di legittime chiavi di accesso, si era introdotta nel sistema, in concorso con un altro soggetto, al fine di consultare l’archivio della Motorizzazione per esigenze diverse da quelle di servizio. Sul punto, il Tribunale di Napoli aveva dichiarato la propria incompetenza per territorio ritenendo invece competente il Giudice del Tribunale di Roma, ossia il luogo dove è ubicata la banca-dati della Motorizzazione civile (presso il Ministero delle Infrastrutture e dei Trasporti), peraltro in conformità a una precedente pronuncia della Cassazione (Sent., Sez. I, n.403030 del 27 maggio 2013). A sua volta, tuttavia, il Giudice del Tribunale di Roma aveva sollevato conflitto negativo di competenza per territorio, ritenendo che il luogo di consumazione del reato di accesso abusivo a un sistema informatico fosse invece da individuarsi nel luogo in cui l’agente aveva agito da remoto per compiere l’accesso.
Su queste due tesi contrapposte – la prima basata sulla fisicità del luogo dove è collocato il server, la seconda sul funzionamento delocalizzato dei sistemi informatici e telematici – le Sezioni Unite della Cassazione hanno innanzitutto osservato che “in ambito informatico, deve attribuirsi rilevanza, più che al luogo in cui si trova il sistema informatico, a quello da cui parte il dialogo elettronico tra i sistemi interconnessi e dove le informazioni vengono trattate dall’utente”.
In effetti, come rilevato dalla Corte, nella fattispecie di reato in oggetto, l’intera banca dati è “ubiquitaria” o “diffusa”, in quanto contestualmente compresente e consultabile in condizioni di parità presso tutte le postazioni remote autorizzate all’accesso, che non rappresentano meri strumenti passivi, ma una parte integrante del sistema telematico, il quale deve necessariamente considerarsi come “unitario”.
Alla luce di tali considerazioni, il luogo di commissione del reato deve identificarsi con quello nel quale, dalla postazione remota, l’agente si interfaccia con l’intero sistema ed effettua il login digitando le credenziali di autenticazione, determinando così il superamento delle misure di sicurezza apposte dal titolare del sistema e ponendo in essere l’unica azione materiale e volontaria che gli permette di entrare nel dominio delle informazioni presenti nel sistema o nella banca dati.
Pertanto, la Suprema Corte ha concluso affermando un importantissimo principio di diritto in tema di condotte di accesso abusivo a un sistema informatico, in base al quale il luogo di consumazione del delitto ex art. 615ter c.p. è quello nel quale si trova il soggetto agente che effettua l’accesso al sistema (o che nel sistema si trattiene abusivamente) contro la volontà – espressa o tacita – del titolare
[1] In argomento, appare utile riportare quanto statuito dalla costante giurisprudenza di legittimità. Tra le pronunce di maggior rilievo, si annovera la sentenza delle Sezioni Unite della Cassazione, n. 4694/2012, in cui la Suprema Corte – sulla configurabilità del reato di cui all’art. 615-ter nel caso in cui un soggetto, legittimamente ammesso a un sistema informatico o telematico, vi operi per conseguire finalità estranee a quelle per cui aveva ricevuto le credenziali di accesso – ha evidenziato che ciò che ha rilevanza è il profilo oggettivo dell’accesso e del trattenimento nel sistema informatico da parte di un soggetto che sostanzialmente non può ritenersi autorizzato ad accedervi o a permanervi sia quando violi i limiti risultanti dal complesso delle prescrizioni impartite dal titolare del sistema, sia quando ponga in essere operazioni di natura sostanzialmente diversa da quelle di cui lo stesso è incaricato e in relazione alle quali l’accesso era al medesimo consentito.