Avevamo parlato, tempo fa, di configurare il reato di accesso abusivo a sistema informatico. Oggi, andando ad analizzare la sentenza emessa dalle Sezioni Unite della Suprema Corte, la n. 17325/2015 cercheremo di chiarire una questione interpretativa molto dibattuta siain dottrina che in giurisprudenza e cioè quella della corretta individuazione del luogo di consumazionedel delitto di accesso abusivo ad un sistema informatico o telematico, di cui all’art. 615 ter c.p.
Il caso affrontato dalla Corte di Cassazione è rappresentato dall’introduzione abusiva e ripetuta nel sistema informatico del Ministero delle Infrastrutture e dei Trasporti da parte di un’impiegata della motorizzazione civile, in concorso con altri soggetti, al fine di effettuare visure elettroniche che esulavano dalle sue mansioni ed interessavano l’amministratore di una agenzia di pratiche automobilistiche.
La norma di riferimento è rappresentata dall’art. 615-ter del codice penale che descrive, in particolare, due condotte punite a titolo di dolo generico:
a) l’introdursi abusivamente in un sistema informatico o telematico protetto da misure di sicurezza – da intendere come l’accesso alla conoscenza dei dati o informazioni contenute nello stesso – effettuato sia da lontano (condotta tipica dello hacker), sia da vicino (cioè da persona che si trova a diretto contatto con lo elaboratore);
b) il mantenersi nel sistema contro la volontà, espressa o tacita, di chi ha il diritto di esclusione, da intendere come il persistere nella già avvenuta introduzione, inizialmente autorizzata o casuale, violando le disposizioni, i limiti e i divieti posti dal titolare del sistema.
Nel caso di specie, la dipendente, che disponeva di legittime chiavi di accesso, si è introdotta all’interno del sistema, in esecuzione di un previo accordo criminoso con il coimputato, al fine di consultare l’archivio per esigenze diverse da quelle di servizio. La condotta in questione va considerata di per sé illecita sin dal momento dell’accesso, essendo irrilevante la successiva condotta di mantenimento.
Con la previsione dell’art. 615 ter c.p. il legislatore ha assicurato la protezione del c.d. domicilio informatico, cioè di quello spazio virtuale in cui sono contenuti i dati informatici di pertinenza della persona, estendendo ad esso la tutela della riservatezza della sfera individuale, quale bene costituzionalmente protetto.
In realtà, la fattispecie offre a tali dati una tutela da qualsiasi tipo di intrusione che possa avere anche ricadute economico-patrimoniali.
È, comunque, condivisa in giurisprudenza l’opinione secondo la quale il delitto previsto dall’art. 615-ter c.p. è di mera condotta (ad eccezione per le ipotesi aggravate del comma secondo, n. 2 e 3) e si perfeziona con la violazione del domicilio informatico, con la introduzione nel relativo sistema, senza la necessità che si verifichi una effettiva lesione del diritto alla riservatezza dei dati (Cfr. Cass., sez. 5, n. 11689 del 06/02/2007).
La stessa giurisprudenza, nell’esaminare la nozione di sistema informatico, ha fornito una definizione tendenzialmente valida per tutti i reati, intendendo per sistema informatico un complesso di apparecchiature destinate a compiere una qualsiasi funzione utile all’uomo attraverso l’utilizzazione (anche parziale) di tecnologie informatiche che sono caratterizzate, per mezzo di una attività di “codificazione” e “decodificazione”, di “registrazione” o “memorizzazione”, di “dati” e dalla elaborazione automatica degli stessi, in modo da generare informazioni costituite da un insieme più o meno vasto di informazioni organizzate secondo una logica che consente loro di esprimere un particolare significato per l’utente (Cass., sez. 6, n. 3067 del 04/10/1999).
Inoltre nell’ambito della protezione offerta dall’art. 615-ter c.p. ricadono anche i client-server, nella quale un computer o terminale (il client) si connette tramite rete ad un elaboratore centrale (il server) per la condivisione di risorse o di informazioni, che possono essere rese disponibili a distanza anche ad altri utenti.
La Suprema Corte, nell’esaminare la norma, rileva però che il concetto di azione penalmente rilevante subisce nella realtà virtuale una accentuata modificazione fino a sfumare in impulsi elettronici: <<l’input, rivolto al computer da un atto umano consapevole e volontario, si traduce in un trasferimento sotto forma di energie o bit della volontà dall’operatore all’elaboratore elettronico, il quale procede automaticamente alle operazioni di codificazione, di decodificazione, di trattamento, di trasmissione o di memorizzazione di informazioni>>.
Pertanto non è sempre agevole individuare con certezza una sfera spaziale suscettibile di tutela in un sistema telematico, che opera e si connette ad altri terminali mediante reti e protocolli di comunicazione.
Proprio sulla scorta di tali osservazioni le Sezioni Unite risolvono la questione sottoposta alla loro attenzione.
Vi sono due teorie contrapposte sul luogo del commesso reato nel caso di specie: la prima si fonda sul concetto classico di fisicità del luogo dove è collocato il server e la seconda sul funzionamento delocalizzato, all’interno della rete, di più sistemi informatici e telematici.
La Suprema Corte reputa preferibile la tesi che privilegia le modalità di funzionamento dei sistemi informatici e telematici, piuttosto che il luogo in cui è fisicamente collocato il server, ricordando che l’abusiva introduzione in un sistema informatico o telematico – o il trattenimento contro la volontà di chi ha diritto di esclusione – sono le uniche condotte incriminate.
Il criterio di articolare la competenza in termini di fisicità (luogo in cui si trova il server), secondo la Corte, non tiene conto del fatto che la nozione di collocazione spaziale o fisica è essenzialmente estranea alla circolazione dei dati in una rete di comunicazione telematica e alla loro contemporanea consultazione da più utenti diffusi sul territorio.
Non può, quindi, essere condivisa la tesi secondo la quale il reato di accesso abusivo si consuma nel luogo in cui è collocato il server che controlla le credenziali di autenticazione del client, in quanto, in ambito informatico, deve attribuirsi rilevanza al luogo in cui materialmente si trova il sistema informatico, a quello da cui parte il dialogo elettronico tra i sistemi interconnessi e dove le informazioni vengono trattate dall’utente.
Va rilevato, infatti, come il sito dove sono archiviati i dati non sia decisivo e non esaurisca la complessità dei sistemi di trattamento e trasmissione delle informazioni, dal momento che nel cyberspazio il flusso dei dati informatici si trova allo stesso tempo nella piena disponibilità di consultazione di un numero indefinito di utenti abilitati, che sono posti in condizione di accedervi ovunque.
Secondo la Suprema Corte, quindi, non è esatto ritenere che i dati si trovino solo nel server, perché nel reato in oggetto l’intera banca dati è <<ubiquitaria>>, <<circolare>> o <<diffusa>> sul territorio, nonché <<consultabile in condizioni di parità presso tutte le postazioni remote autorizzate all’accesso>>.
A dimostrazione della unicità del sistema telematico per il trattamento dei dati, basti considerare che la traccia delle operazioni compiute all’interno della rete e le informazioni relative agli accessi sono reperibili, in tutto o in parte, sia presso il server che presso il client. Di conseguenza la stessa nozione di accesso in un sistema informatico non coincide con l’ingresso all’interno del server fisicamente collocato in un determinato luogo, ma con l’introduzione telematica o virtuale, che avviene instaurando un colloquio elettronico o circuitale con il sistema centrale e con tutti i terminali ad esso collegati.
In sostanza, statuisce la Corte di Cassazione, <<Il luogo di consumazione del delitto di accesso abusivo ad un sistema informatico o telematico, di cui all’art. 615-ter c.p., è quello nel quale si trova il soggetto che effettua l’introduzione abusiva o vi si mantiene abusivamente>>.
Per leggere l’intera sentenza, clicca qui.