1. Il  caso

Il Procuratore della Repubblica presso il Tribunale di Napoli esercitava l’azione penale nei confronti dei signori M. R. e G. S. in ordine al reato previsto dagli artt. 81, 110 e 615ter, secondo e terzo comma, del codice penale.

La Signora R., infatti, in esecuzione di un previo accordo criminoso con il coimputato, agendo in qualità di impiegata della Motorizzazione civile di Napoli, si introduceva abusivamente e ripetutamente nel sistema informatico del Ministero delle Infrastrutture e dei Trasporti per effettuare visure elettroniche per ragioni diverse da quelle del servizio.

Con sentenza del 2 dicembre 2013, il Giudice dell’udienza preliminare del Tribunale di Napoli dichiarava la propria incompetenza territoriale, ritenendo, invece, competente il Tribunale di Roma alla luce dell’ubicazione della banca-dati della Motorizzazione presso il Ministero delle Infrastrutture e dei Trasporti. A sua volta, il Tribunale di Roma, con ordinanza del giugno del 2014, sollevava conflitto negativo di competenza per territorio sostenendo che il luogo della consumazione dovesse radicarsi ove agiva l’operatore remoto e, pertanto, a Napoli.

Si veniva così a profilare un potenziale contrasto di giurisprudenza: di qui l’assegnazione del ricorso alle Sezioni Unite che, nella sentenza in commento, hanno definitivamente chiarito i termini della quaestio iuris venuta in rilievo.

2. Il principio di diritto enunciato

“Il luogo di consumazione del delitto di accesso abusivo ad un sistema informatico o telematico, di cui all’art. 615ter c.p., è quello nel quale si trova il soggetto che effettua l’introduzione abusiva o vi si mantiene abusivamente. Va rilevato, invero, che il sistema telematico, dovendo considerarsi unitario ed ubiquitario, si caratterizza per la contestuale compresenza e consultabilità dei dati ivi contenuti da parte di un numero indefinito di utenti abilitati, posti in condizione di accedervi dovunque ed in posizione di parità. Ne consegue che le postazioni remote non costituiscono soltanto strumenti passivi di accesso, essendo, al contrario, parte integrante di un complesso meccanismo, in cui si instaura un colloquio elettronico tra il sistema centrale (server)e tutti i terminali ad esso collegati (client). Alla luce di tale considerazione, pertanto, l’accesso ad un sistema informatico non coincide con l’ingresso all’interno del server fisicamente collocato in un determinato luogo bensì con l’introduzione telematica o virtuale, che avviene nel luogo in cui l’operatore digita la password di accesso o esegue la procedura di login. Da tale impostazione, coerente con la realtà del cyberspazio, discende che il luogo del commesso reato si identifica con quello nel quale dalla prestazione remota l’agente di interfaccia con l’intero sistema, digita le credenziali di accesso e preme il tasto avvio, in tal modo superando le misure di sicurezza apposte dal titolare del sistema”.

3. Il commento

La sentenza in commento ha fatto il punto sulla fattispecie di cui all’art. 615ter del codice penale in materia di reati informatici, in particolare con riguardo alla determinazione del locus commissi delicti.

Preliminarmente la disposizione in oggetto, inserita nella Sezione IV del Capo III del Titolo XII del Libro II del codice penale, dedicata ai delitti contro l’inviolabilità del domicilio, è rubricata «accesso abusivo ad un sistema informatico o telematico» ed è stata introdotta nel nostro ordinamento con legge n. 547 del 1993 recante norme in materia di computer’s crime.

Quanto alla struttura, le condotte descritte dalla norma sono punite a titolo di dolo generico e consistono nell’introdursi abusivamente in un sistema informatico o telematico protetto da misure di sicurezza ovvero nel mantenersi nello stesso contro la volontà, espressa o tacita, di chi ha il diritto di esclusione, violando le disposizioni, i limiti e i divieti posti dal titolare del sistema.

I commi secondo e terzo prevedono circostanze aggravanti che operano: laddove il fatto sia commesso da un pubblico ufficiale o da un incaricato di un pubblico servizio con abuso dei poteri o con violazione dei doveri inerenti la funzione o il servizio o da chi esercita anche abusivamente la professione di investigatore; qualora il fatto sia commesso usando violenza sulle cose; se dal fatto derivi la distruzione o il danneggiamento del sistema o l’interruzione totale o parziale del suo funzionamento (comma 2); infine, se i fatti di cui sopra riguardino sistemi informatici di interesse militare o relativi all’ordine pubblico o alla sicurezza pubblica o alla sanità o alla protezione civile (comma 3).

Per quanto concerne il bene giuridico oggetto di tutela, va ricordato che l’art. 615ter c.p. è stato introdotto nel nostro ordinamento in esito alla Raccomandazione del Consiglio d’Europa del 1989 per assicurare un’adeguata protezione all’ambiente informatico nel quale sono contenuti dati personali, che devono rimanere riservati al riparo da ingerenze ed intrusioni altrui. Di qui l’inserimento del reato de quo nel Capo dedicato ai delitti contro l’inviolabilità del domicilio, da intendersi come luogo, anche virtuale, in cui l’individuo, la cui riservatezza è meritevole di tutela, esplica la propria personalità in tutte le sue dimensioni.

E’, inoltre, condivisa l’opinione secondo cui il delitto in esame, fatta eccezione per le ipotesi aggravate, è di mera condotta e si perfeziona con la sola introduzione nel sistema informatico, senza la necessità che si verifichi un’effettiva lesione del diritto alla riservatezza dei dati.

In argomento, appare fondamentale chiarire la definizione di sistema informatico, concetto intorno al quale ruota la fattispecie di cui all’art. 615ter e di cui manca una nozione legislativa.

Anzitutto, l’art. 1 della Convenzione Europea di Budapest del novembre del 2001 definisce sistema informatico “qualsiasi apparecchiatura  o gruppi di apparecchiature interconnesse o collegate, una o più delle quali, in base ad un programma, compiono l’elaborazione automatica dei dati”.

In generale, un dispositivo elettronico assurge al rango di sistema informatico se si caratterizza per l’installazione di un software che ne sovraintende il funzionamento e che procede automaticamente alle operazioni di codificazione, decodificazione, trattamento, trasmissione o memorizzazione di informazioni. Nel sistema di trattamento delle informazioni, a ben vedere, sono da ricomprendersi anche i sistemi che utilizzano l’architettura di rete denominata client-server, in cui un computer o terminale(client) si connette tramite rete ad un elaboratore centrale (server) per la condivisione di risorse o informazioni.

La condotta illecita commessa in un ambiente informatico o telematico, in realtà, assume delle specifiche peculiarità in virtù della dimensione “smaterializzata” in cui si inserisce e della complessiva “delocalizzazione” delle risorse e dei contenuti, specie in seguito al recente incremento di fenomeni quali, la diffusione dei dispositivi mobili e del cloud computing.

Id est,non risulta sempre agevole individuare con certezza una sfera spaziale suscettibile di tutela, nonché il luogo nel quale le informazioni sono collocate in un sistema informatico che opera e si connette ad una molteplicità di terminali.

Le esposte osservazioni appaiono funzionali alla risoluzione della spinosa questione sottoposta alle Sezioni Unite concernente l’individuazione del luogo di consumazione del delitto ex art. 615ter c.p.

In estrema sintesi, la consumazione del reato coincide con il momento in cui si esaurisce l’iter criminis ed è normalmente riconoscibile per la corrispondenza tra fatto concreto ed il tipo astratto descritto dalla norma incriminatrice speciale. Si ha consumazione, quindi, quando l’offesa al bene giuridico viene effettivamente realizzata nella completa estensione voluta dall’agente.

E’, dunque, alla consumazione che è necessario far riferimento per individuare il tempus commissi delicti ai fini della determinazione della competenza territoriale. Difatti, l’art. 8 del c.p.p. statuisce che «la competenza per territorio è determinata dal luogo in cui il reato è stato consumato».

Sulla problematica, due le tesi sul tappeto.

Secondo una prima impostazione, maturata nella sentenza della Cassazione n. 40303/2013 relativa al caso Martini, ciò che rileva per l’integrazione del delitto è il momento in cui viene posta in essere la condotta abusiva, che si perfeziona quando l’agente si introduce nel sistema informatico contro la volontà di chi ha il diritto di estrometterlo ovvero, utilizzando un valido titolo abilitativo, vi permane oltre i limiti di validità dello stesso. Ne discende che la competenza territoriale è da individuarsi nel luogo ove è allocato il server.

Per differente ricostruzione, invece, espressa nella pronuncia della Cassazione del 2014 n. 34165 nel caso De Bo, l’accesso penalmente rilevante inizia dalla postazione remota ed il perfezionamento del reato avviene nel luogo in cui si trova l’utente, che è diverso da quello in cui è ubicato il server.

La seconda delle due illustrate linee interpretative è stata accolta nella pronuncia in commento dalle Sezioni Unite del Supremo Consesso che, ripudiando il concetto classico di fisicità del luogo in cui è collocato il server e privilegiando, invece, quello di funzionamento delocalizzato, hanno fornito importanti precisazioni in merito.

Giova in primis sottolineare come i giudici di legittimità, nel ribadire la natura circolare e diffusa del sistema informatico, ritengono debba attribuirsi rilevanza, non già al luogo in cui materialmente si trova il sistema informatico bensì a quello da cui parte il dialogo elettronico, ossia il luogo in cui l’operatore materialmente digita la password di accesso ponendosi così in condizioni di entrare nel dominio delle informazioni, che vengono visionate direttamente dall’interno della postazione periferica.

Il fatto che, in ordine alla determinazione del locus commissi delicti, occorre aver riguardo al luogo in cui si trova ad operare l’autore del delitto, è elemento desumibile anche dal modo in cui risultano strutturate le circostanze aggravanti previste dal secondo comma dell’art. 615ter, in cui è sempre il luogo in cui si trova ed opera l’agente ad essere quello che meglio individua il “fatto” e con esso il suo riferimento spazio-temporale.

Nel dictum del Cassazione, peraltro, si puntualizza come il percorso argomentativo seguito è consono al concetto del giudice naturale, di cui all’art. 25 della Costituzione che, in materia penale, assume un carattere del tutto peculiare.

Invero, la celebrazione del processo in un determinato contesto spaziale, come la Consulta nella pronuncia n. 168/2006 ha opportunamente puntualizzato, risponde ad esigenze di indubbio rilievo, fra le quali quella per cui il diritto e la giustizia devono affermarsi proprio nel luogo in cui sono stati violati.

In conclusione, la soluzione fatta propria dalla Suprema Corte appare apprezzabile in un settore, quale quello del diritto penale dell’informatica, caratterizzato da continue evoluzioni tecnologiche e da costanti difficoltà del legislatore di “tenere il passo” con i tempi, esposto a numerosi contrasti ed incertezze interpretative, foriere di forti ripercussioni applicative.