11 maggio 2015 |
Le Sezioni Unite sul luogo di consumazione dell'accesso abusivo a sistema informatico
Cass., Sez. Un., sent. 26 marzo 2015 (dep. 24 aprile 2015) n. 17325, Pres. Santacroce, Rel. Squassoni
1. Come già segnalato in questa Rivista, con ordinanza 28 ottobre 2014 (dep. 18 dicembre 2014), la Prima Sezione della Corte di Cassazione aveva rimesso alle Sezioni unite il seguente quesito: "se, ai fini della determinazione della competenza per territorio, il luogo di consumazione del delitto di accesso abusivo ad un sistema informatico o telematico, di cui all'art. 615-ter, cod. pen., sia quello in cui si trova il soggetto che si introduce nel sistema o, invece, quello nel quale è collocato il server che elabora e controlla le credenziali di autenticazione fornite dall'agente".
Si anticipa, sin da ora, che la Suprema Corte, con la sentenza qui commentata, ha risolto il contrasto secondo questi termini: "il luogo di consumazione del delitto di accesso abusivo del delitto di accesso abusivo ad un sistema informatico o telematico, di cui all'art. 615-ter cod. pen., è quello nel quale si trova il soggetto che effettua l'introduzione abusiva o vi si mantiene abusivamente".
2. Al fine di meglio comprendere le ragioni poste a fondamento di tale decisione, corre d'uopo ripercorrere il caso di specie che ha generato l'ordinanza di rimessione.
Nel caso in esame, la Pubblica Accusa presso il Tribunale di Napoli formulava l'imputazione ai sensi degli artt. 81, 110, 615-ter, commi 2 e 3, cod. pen. nei confronti di una dipendente del Ministero dei Trasporti impiegata presso la Motorizzazione Civile di Napoli e dell'amministratore di fatto di una agenzia automobilistica, per essersi introdotti, in modo abusivo, nel sistema informatico del succitato ente pubblico, avvalendosi delle credenziali d'accesso dell'imputata e delle postazioni informatiche di altri suoi colleghi.
Con sentenza del 2 dicembre 2013, il Giudice dell'udienza preliminare presso il Tribunale di Napoli dichiarava la propria incompetenza territoriale in favore del g.i.p. di Roma, in ragione del fatto che i server del Ministero dei Trasporti - Motorizzazione Civile di Napoli - sono fisicamente ubicati in Roma.
Dopodiché, il Pubblico Ministero di Roma richiedeva il rinvio a giudizio dei due imputati. Nell'ambito della correlata udienza preliminare, il giudice procedente capitolino sollevava conflitto negativo di competenza, ritenendo che il giudice naturale fosse quello partenopeo, essendo Napoli il luogo ove si era effettuato l'accesso materiale al server da parte dei due imputati.
Chiamato a dirimere il conflitto negativo di competenza territoriale, il giudice nomofilattico, prevedendo che in fattispecie non dissimili da quella in esame possano sorgere questioni di competenza territoriale, postulava l'intervento esegetico delle Sezioni Unite.
3. Le Sezioni Unite, prima di trattare i principi generali desumibili dal sistema, rilevano come siano sempre più frequenti i casi di introduzione abusiva (o abusivo mantenimento) nel sistema informatico da una piattaforma dislocata rispetto all'ubicazione del server.
Segue, poi, una attenta disamina dogmatica del delitto di accesso abusivo ad un sistema informatico cui ci si riporta per dovere di sintesi. Ai fini in esame, si ritiene, però, opportuno richiamare la definizione di sistema informatico elaborata in seno alla Convenzione Europea di Budapest del 23 novembre 2001 a cui hanno fatto riferimento le Sezioni Unite. In particolare, l'art. 1 della Convenzione ne tratteggia i confini in questi termini: "qualsiasi apparecchiature o gruppi di apparecchiature interconnesse o collegate, una o più delle quali, in base ad un programma, compiono l'elaborazione dei dati".
Per evitare deficit nel perseguimento dell'obiettivo di protezione del sistema informatico e telematico, risulta conveniente delineare una nozione ampia di computer, così come, del resto, il giudice di legittimità ha già fatto in punto di carte di pagamento, constando in mezzi capaci di trasmettere dati elettronici dal luogo ove si connettono mediante le apparecchiature denominate POS[1].
Anche le Sezioni Unite - così come l'ordinanza di rimessione - valorizzano come precedente in materia un arresto (n. 40303 del 2013)[2] inerente una fattispecie di accesso abusivo al server del Ministero dell'Interno (SDI), nel cui ambito è stata radicata la competenza territoriale nel luogo di collocazione della banca dati centralizzata dove viene addebitato l'accesso abusivo al sistema informatico.
Tale indirizzo poggia sul fatto che l'effettivo ingresso nel sistema informatico centralizzato da remoto mediante l'autentificazione delle credenziali è come se avvenisse direttamente presso il sistema centrale.
Altra pronuncia di legittimità è addivenuta alle suddette conclusioni con riguardo ad una fattispecie di frode informatica, senza però riflettere a fondo sulle ragioni che hanno portato il giudice nomofilattico ad individuare il locus commissi delicti ove è ubicato il sistema centralizzato[3].
Invece, stando all'ordinanza di rimessione, il luogo di perfezionamento del reato previsto dall'art. 615-ter cod. pen. nella forma decentralizzata coincide con lo spazio di ubicazione di una articolazione territoriale. Tale postazione periferica di accesso non costituirebbe un mezzo accessorio, bensì una componente informatica essenziale alla stregua del server centralizzato.
4. L'inquadramento normativo e giurisprudenziale del delitto di accesso abusivo ad un sistema informatico ex art. 615-ter cod. pen. porta le Sezioni Unite a privilegiare la tesi avallata dall'ordinanza di remissione che privilegia lo spazio informatico come virtuale, seppur l'art. 8 del codice di rito sia parametrato su una idea fisica della dimensione spaziale.
Dunque, le condotte di abusiva introduzione in un sistema informatico/ telematico o di trattenimento contro la volontà di chi può esercitare lo jus excludendi sono collegate ad una dimensione ultimamente elettronica dello spazio che, non a caso, si chiama "virtuale".
Sotto un profilo tecnico, il sistema informatico o telematico va inteso in senso unitario tramite un software che governa il funzionamento della rete.
Invece, in modo errato, la citata pronuncia n. 40303 del 2013 fa sua una definizione di sistema informatico che poggia su una dimensione materiale, con l'effetto di frammentare gli elementi sistemici dando una irragionevole priorità al server fisicamente inteso e, quindi, alla sua ubicazione.
L'introduzione nel sistema informatico si perfeziona nel luogo in cui è ubicata la postazione informatica dalla quale l'operatore digita le credenziali di accesso.
Si badi che il luogo in cui l'utente opera sul computer combacia quasi sempre con quello ove si possono acquisire le prove e dove la collettività percepisce il disvalore del delitto posto in essere. Anche per queste ragioni, le Sezione Unite ritengono che la propria impostazione meglio si addica al canone del giudice naturale sancito all'art. 25, comma 1, della Carta costituzionale.
Viene altresì chiarito come la regola della competenza radicata nel luogo dove si trova il client non trovi eccezioni per le forme aggravate del reato di introduzione abusiva ad un sistema informatico. Si consideri che il luogo dove si esercita la violenza prevista dal comma 2 e ove viene danneggiato il sistema informatico (comma 3) coincide con quello in cui è avvenuto l'accesso decentralizzato.
Analogamente, i principi testé citati trovano applicazione anche per le condotte di mantenimento nel sistema informatico contro la volontà di chi ha diritto di escluderlo. Qui la condotta omissiva rilevante ai fini del delitto previsto dall'art. 615-ter cod. pen. è quella che coincide con "uso illecito dello elaboratore, con o senza captazione di dati" (pag. 12). Di contro, nelle ipotesi meramente residuali in cui non risulta rintracciabile la piattaforma su cui ha operato il client, trovano ambito applicativo i criteri tracciati dall'art. 9 c.p.p.
5. In definitiva, le Sezioni Unite confermano la strada partenopea quale luogo di ubicazione della Motorizzazione civile di Napoli, impostazione correttamente suggerita dal giudice rimettente che era stato chiamato a risolvere il conflitto negativo di competenza ratione territori. Irrilevante è il fatto che il giudice capitolino coincida con il luogo ove si trova il server in quanto, considerando il sistema informatico nella sua unitarietà e immaterialità, non v'è ragione alcuna per centralizzare la competenza
[1] Cfr. Cass. pen., sez. fer., sent. 23 agosto 2012, n. 43755.
[2] Cfr. Cass. pen., sez. I, sent. 27 maggio 2013, n. 40303, in questa Rivista, 11 ottobre 2013, con nota di Pecorella, La Cassazione sulla competenza territoriale per il delitto di accesso abusivo a un sistema informatico o telematico.
[3] Cfr. Cass. Pen., sez. III, sent. 24 maggio 2012, n. 23798.