Accesso abusivo in un sistema informatico: vale il luogo da cui si è verificato l'accesso

Print Friendly, PDF & Email

imageDepositata pochi giorni fa un’interessante pronunzia della Suprema Corte, rinunita in Sezioni Unite, che specifica il locus commissi delicti e, per l’effetto, la competenza territoriale per il reato di accesso abusivo in un sistema informatico.

Il questione riguardava il caso di un’impiegata della Motorizzazione Civile “infedele” che aveva effettuato numerosi accessi la sistema informatico ministeriale, esulando dalle sue mansioni, per conto del titolare di un’agenzia di pratiche auto. I giudici di merito hanno correttamente contestato la fattispecie di cui all’art. 615 ter c.p. in concorso e con il vincolo della continuazione, che per maggiore comprensione è opportuno riportare:

Art. 615-ter – Accesso abusivo ad un sistema informatico o telematico.

Chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo, è punito con la reclusione fino a tre anni.
La pena è della reclusione da uno a cinque anni:
1) se il fatto è commesso da un pubblico ufficiale o da un incaricato di un pubblico servizio, con abuso dei poteri o con violazione dei doveri inerenti alla funzione o al servizio, o da chi esercita anche abusivamente la professione di investigatore privato, o con abuso della qualità di operatore del sistema;
2) se il colpevole per commettere il fatto usa violenza sulle cose o alle persone, ovvero se è palesamente armato;
3) se dal fatto deriva la distruzione o il danneggiamento del sistema o l’interruzione totale o parziale del suo funzionamento, ovvero la distruzione o il danneggiamento dei dati, delle informazioni o dei programmi in esso contenuti.
Qualora i fatti di cui ai commi primo e secondo riguardino sistemi informatici o telematici di interesse militare o relativi all’ordine pubblico o alla sicurezza pubblica o alla sanità o alla protezione civile o comunque di interesse pubblico, la pena è, rispettivamente, della reclusione da uno a cinque anni e da tre a otto anni.
Nel caso previsto dal primo comma il delitto è punibile a querela della persona offesa; negli altri casi si procede d’ufficio.

Il G.I.P presso il Tribunale di Napoli dichiarava la propria incompenteza in favore del Tribunale di Roma poichè lì si trovano i server del Ministero dei Trasporti, mentre, in sede di richiesta di rinvio a giudizio, il G.I.P. di Roma ha sollevato un conflitto negativo di competenza per territorio ritenendo che il momento consumativo del reato dovvesse radicarsi nel luogo in cui agiva l’operatore remoto, quindi Napoli.

Arrivata la questione in Cassazione, i giudici di legittimità hanno motivato, principalmente, la propria decisione su di una precedente pronunzia, secondo cui l’abusività della condotta si perfeziona quando (e dove) l’agente si introduce contro la volontà di chi ha diritto ad estromettere l’estraneo (Cass. Pen Sez. 1 n. 40303 del 27/05/2013). I Supremi Giudici citano anche una decisione della stessa Corte (Sez. 1 n. 34165 del 15/06/2014 non massimata) in cui, dopo l’analisi di aspetti tecnico – giuridici, si sostiene che l’accesso penalmente rilevante avviene dalla postazione remota e il perfezionamento del reato nel luogo in cui si trova l’utente.

Continuando sulla falsariga della Corte, due sono le teorie contrapposte: la prima si rifà al concetto classico di fisicità del luogo in cui è situato il server, l’altra sul funzionamento, delocalizzato all’interno della rete, di più sistemi interconnessi (scambio bidirezionale SERVER – CLIENT).

La questione non è di poco conto, atteso che il criterio di attribuzione della compenteza terrioriale dell’art. 8 c.p.p. evidenzia tutti i suoi limiti per i reati informatici anche perchè una restrizione fisica della condotta ex art. 615 ter c.p. non considera due importanti aspetti che caratterizzano un sistema informatico:

  • La immaterialità del dato;
  • La dispersione dello stesso fra più nodi (routing) che va poi a ricomporsi sul PC client;

Era necessario, peranto, stabilire un criterio oggettivo di individuazione della compenteza e la S.C. ha spostato la centralità della condotta dall’oggetto del reato (sistema informatico) alla abusività (diritto del titolare di escludere o limitare l’ingresso); parafrasando la sentenza, la banca dati è ubiquitaria, circolare e diffusa territorialmente, oltre a fatto che le tracce di ingresso si trovano sia sul server che sul client.

In più i computer client non sono meri strumenti di accesso, ma fanno parte attiva del sistema informativo ministeriale, facendo, quindi, decadere la teoria della spazialità, anche perchè gli applicativi in uso ai funzionari permettono di alimentare e modificare i dati del server.

Detto ciò, il momento consumativo del reato avviene quando l’agente digita, pur non possedendole, le credenziali di accesso ed effettua la login o, se titolare di credenziali, vi permane oltre il limite consentito o vi accede senza motivo: è una forma di antigiuridicità speciale che promana (soprattutto nell’ambito pubblico) da un travalicamento o aggiramento delle disposizioni dell’ufficio in tema di distribuzione dei compiti.

In caso di non funzionamento delle credenziali, la giurisprudenza citata ammette il perfezionamento del tentativo punibile e, solo qualora, non sia possibile individuare neppure la consolle d’accesso, si devono applicare i criteri residuali dell’art. 9 c.p.p. (luogo in cui è avvenuta parte dell’azione, dimora, residenza, domicilio dell’agente, prima iscrizione della notizia di reato).

Le predette considerazioni sono necessarie di modo che il dettato dell’art. 25 Cost., secondo cui nessuno può essere distolto dal giudice naturale stabilito per legge, non rimanga lettera morta.

La “naturalità” del giudice rappresenta, forse, forma più alta di riaffermazione del diritto e della giustizia proprio nel luogo in cui sono stati violati (Corte Cost. sent. n. 168/2006) nonchè garanzia nei confronti dell’imputato.

Anche le aggravanti di cui ai commi successivi (violenza su cose o persone, danneggiamento e distruzione dei dati) sono logicamente coorenti con la teoria della coincidenza fra luogo della consumazione del reato luogo in cui si ha accesso, anzichè in cui sono posti i server.

Di seguito la massima:

Il luogo di consumazione del delitto di accesso abusivo ad un sistema informatico o telematico di cui all’art. 615-ter cod. pen. coincide con quello nel quale si trova il soggetto che effettua l’introduzione abusiva o vi si mantiene abusivamente.

LA sentenza può essere scaricata da questo link.