Il 26 marzo 2015 le Sezioni Unite si sono pronunciate sulla seguente questione di diritto: “se, ai fini della determinazione della competenza per territorio, il luogo di consumazione del delitto di accesso abusivo ad un sistema informatico sia quello in cui si trova il soggetto che si introduce abusivamente nel sistema o, invece, quello nel quale è collocato il server che elabora e controlla le credenziali di autenticazione fornite dall’agente”.
La rubrica #DigitalCrime, a cura di Paolo Galdieri, Avvocato e Docente di Informatica giuridica, alla LUISS di Roma, si occupa del cybercrime dal punto di vista normativo e legale.Clicca qui per leggere tutti i contributi.
Il quesito non sembrerebbe riguardare l’ipotesi di intrusione realizzata senza permesso alcuno – in qual caso luogo di consumazione del reato dovrebbe essere, infatti, quello dove si trova il sistema violato – quanto la condotta di chi, seppur autorizzato, si mantenga nel sistema in violazione dei regolamenti e direttive del titolare dello ius escludendi.
La questione riguarda in particolare quei server che, sebbene fisicamente collocati in un luogo, sono accessibili direttamente da computer situati in posti diversi.
Pensiamo all’ipotesi del dipendente del Ministero dei Trasporti, impiegato presso la Motorizzazione Civile di Napoli, che entra dal suo sistema nel server istituzionale che si trova fisicamente a Roma.
Orbene, in tali casi, secondo la giurisprudenza dominante, il reato si consumerebbe nel momento e nel luogo in cui l’agente si introduce abusivamente utilizzando il proprio computer locale che costituisce un’articolazione territoriale del sistema informatico violato.
A tali conclusioni si giunge partendo dalla riflessione che si tratta di reato di mera condotta, che si perfeziona con la violazione del domicilio informatico, ossia con l’introduzione in un sistema costituito da un complesso di apparecchiature che utilizzano tecnologie informatiche, senza la necessità che si verifichi un’effettiva lesione del diritto alla riservatezza dei legittimi utenti del sistema.
Secondo, invece, una recente decisione della Suprema Corte (Cass. Sez. I, 40303/013) locus commissi delicti sarebbe quello dove materialmente è collocato il server che elabora e controlla le credenziali di autenticazione del client.
Tornando all’esempio iniziale, seguendo la prima impostazione, in caso di accesso abusivo del dipendente della motorizzazione, il giudice competente sarebbe quello di Napoli, mentre seguendo l’altro orientamento quello di Roma.
Le Sezioni Unite, delle quali non si conoscono ancora le motivazioni, hanno invece risolto tale contrasto affermando che il delitto si consuma nel “…luogo in cui si trova il soggetto che effettua l’introduzione abusiva”, posto nel quale deve essere, quindi, radicata la competenza.
In attesa di apprendere il ragionamento seguito, è agevole rilevare come tale decisione eviti ripercussioni notevoli in termini di carico di lavoro su un’unica Procura, considerato che la maggior parte dei sistemi pubblici (Pubblica Amministrazione) e di interesse pubblico, sovente bersaglio di accessi abusivi, è allocata fisicamente a Roma.
Parimenti anticipa questioni che da qui a breve sarebbero sorte, considerato che molti server di importanti istituzioni potrebbero presto essere collocati in piattaforme situate all’estero. L’impostazione prescelta consente, infine, di evitare enormi problemi di competenza territoriale in ordine alle ipotesi, sempre più frequenti, di accesso ai dati contenuti in un cloud.
La decisione in commento potrebbe sortire conseguenze anche fuori dall’ambito del diritto penale e segnatamente in ambito processuale.
La stessa sembra, infatti, rafforzare l’idea di alcune procure, secondo cui il decreto di perquisizione informatica, espressamente riferito ad un client di un’azienda situata in Italia, possa di fatto estendersi – e, quindi, consentire all’agente operante di svolgere le conseguenti attività – al server dell’azienda stessa situato all’estero, essendo il client ed il server considerati come un’area unica indivisibile.
Tale soluzione, tuttavia, non pare, da un punto di vista giuridico, corretta perché creerebbe differenze notevoli tra la perquisizione informatica rispetto alla tradizionale.
In quest’ultimo caso, infatti, per perquisire e sequestrare beni non previsti nel decreto di perquisizione e che si trovano all’estero, sarebbe necessaria una rogatoria internazionale o una richiesta di collaborazione giudiziaria, nell’ipotesi in cui si tratti di paesi dell’area Schengen.
Sembrerebbe, quindi, che non venga data alcuna importanza alla distinzione tra client e server ed al fatto che il controllo delle credenziali di autenticazione avvenga da parte di quest’ultimo. Se questo fosse il ragionamento seguito rimarrebbero perplessità in quanto non si comprende come si possa considerare accesso in un sistema informatico altrui senza che ancora lo stesso si sia realizzato attraverso il necessario riconoscimento , ritenendosi fondamentale, ai fini della competenza, l’azione posta in essere attraverso un computer locale.
Se tali fossero, effettivamente, le conclusioni delle Sezioni Unite rimarrebbero dubbi considerato che sotto un profilo funzionale l’autenticazione viene comunque effettuata da un server, che si trova in un altro luogo, senza il quale non si potrebbe parlare di accesso e venga considerato quale momento di accesso non autorizzato che la condotta di accesso abusivo si realizzi nel momento in cui l’agente si muove dal suo computer, ritenendosi ininfluente il momento successivo dell’elaborazione e controllo delle credenziali.
È da ritenere, quindi, che sia stata considerata rilevante l’azione iniziale del soggetto agente. Tale impostazione sembra da condividere per un diverso ordine di ragioni. Sul piano strettamente giuridico rileva come il delitto di accesso abusivo, essendo, secondo giurisprudenza costante, un reato di mera condotta, si perfeziona con l’introduzione nel sistema altrui, essendo irrilevante l’eventuale apprensione dei dati ivi contenuti.
Esattamente come accade nella violazione di domicilio dove si viene puniti per essere entrati nell’abitazione di un altro, a prescindere dal fatto che una volta penetrati si sottraggano beni o si danneggino cose, in qual caso si risponderà di ulteriori reati. Nelle ipotesi prospettate è, quindi, evidente che l’intrusione si realizza già nel sistema di partenza in quanto lo stesso costituisce un‘articolazione territoriale del server che verifica le credenziali d’accesso. Discorso differente va fatto in relazione ai sistemi non client-server, rispetto ai quali sicuramente il delitto si consuma nel momento e nel luogo in cui si trova il computer attaccato.
Quali che saranno le conseguenze della decisione in commento è certo che la stessa offrirà interessanti spunti di riflessione, anche in ambito processuale, in ordine al significato stesso di luogo in ambito virtuale.