di Giuseppe Amato Il Sole 24 Ore, 7 ottobre 2015 Corte di cassazione - Sezioni unite - Sentenza 26 marzo 2015-24 aprile 2015 n. 17325 Si tratta del secondo intervento delle Sezioni sul reato di cui all'articolo 615 ter del Cp, che punisce l'accesso abusivo ad un sistema informatico (sentenza 26 marzo 2015-24 aprile 2015 n. 17325 ). Con la precedente decisione (sentenza 27 ottobre 2010, Casani), la Corte aveva già fornito alcune importanti puntualizzazioni sulla struttura materiale del reato. Stavolta, si affronta e risolve il tema controverso del momento consumativo del reato, con effetti rilevanti anche per l'individuazione dell'autorità giudiziaria competente. La norma incriminatrice - Per cogliere la portata concreta della decisione merita di essere soffermata l'attenzione sul quadro normativo di riferimento: l'articolo 615 ter del Cp, che appunto punisce l'accesso abusivo ad un sistema informatico o telematico, sanzionando la condotta di chi "abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo". La condotta incriminata - Per quanto riguarda le modalità della condotta incriminata, la norma prevede, alternativamente, la penale rilevanza sia dell'"ingresso" che del "trattenimento" contro la volontà espressa o tacita del titolare del diritto di esclusione (in generale, sull'indebito trattenimento, cfr. Sezione V, 7 novembre 2000, Zara). La contraria volontà dell'avente diritto, soprattutto nella forma tacita, è dimostrata dalla predisposizione delle "misure di protezione" del sistema. Ciò perché è fondamentale, ai fini della configurabilità del reato de quo, che il sistema "vulnerato" risulti protetto da "misure di sicurezza". Diversamente potranno semmai ravvisarsi altre ipotesi incriminatrici, ma non quella di cui all'articolo 615-ter del Cp (significativo, in proposito, è che nella frode informatica e nel danneggiamento informatico, rispettivamente previsti dagli artt. 640 ter e 635-bis del Cp, la tutela non è limitata ai sistemi protetti da misure di sicurezza). Sul punto, dovendo peraltro convenirsi con quell'orientamento di giurisprudenza che, con un'interpretazione estensiva, "svaluta" il significato "tecnico" attribuibile alla nozione di "misure di sicurezza", ritenendo a tal fine sufficienti anche misure genericamente di carattere organizzativo, che cioè disciplinino semplicemente le modalità di accesso ai locali in cui il sistema è ubicato e indichino le persone abilitate al suo utilizzo (Sezione V, 8 luglio 2008, parte civile Sala in proc. Bassani). Le modalità "materiali" - La condotta incriminata, all'evidenza, implica una "interazione" tra l'agente ed il sistema, realizzata attraverso l'utilizzo della tastiera ovvero attraverso una connessione informatica, che consente di accedere e/o di trattenersi "all'interno" del sistema. L'"abusività" dell'accesso - La norma prevede poi che l'ingresso o il trattenimento, per essere
penalmente rilevante, debba essere realizzato "abusivamente". Certamente abusivo è l'accesso di chi, pur formalmente legittimato ad accedere al sistema, nello specifico vi entri avvalendosi di una chiave di accesso e/o di uno strumento analogo falsificati (cfr. Sezione V, 14 ottobre 2003, Proc. Rep. Trib. Vibo Valentia in proc. Muscia, che ha appunto ravvisato il reato a carico del titolare di esercizio commerciale che aveva utilizzato consapevolmente sul terminale POS in dotazione una carta di credito contraffatta: secondo la Corte, doveva ritenersi indubbio che vi fosse stato un accesso illegittimo, perché se pure il titolare dell'esercizio era legittimato ad utilizzare il terminale POS, nella specie l'utilizzo era avvenuto utilizzando una chiave d'accesso contraffatta, sì che l'accesso assumeva carattere "abusivo"). Se il soggetto è "abilitato"- Ma è abusiva anche la condotta di accesso o di mantenimento nel sistema posta in essere da soggetto "abilitato" ad entrare nel sistema, ma realizzata per scopi o finalità estranei a quelli per i quali la facoltà di accesso è stata attribuita. In tal senso, risolvendo un contrasto di giurisprudenza, sono intervenute le Sezioni unite, proprio con la citata sentenza Casani. Questo il principio di diritto della sentenza Casani: "integra la fattispecie criminosa di accesso abusivo ad un sistema informatico o telematico protetto, prevista dall'articolo 615 ter del Cp, la condotta di accesso o di mantenimento nel sistema posta in essere da soggetto che, pure essendo abilitato, violi le condizioni ed i limiti risultanti dal complesso delle prescrizioni impartite dal titolare del sistema per delimitarne oggettivamente l'accesso. Non hanno rilievo, invece, per la configurazione del reato, gli scopi e le finalità che soggettivamente hanno motivato l'ingresso al sistema". Ciò che rileva, secondo la Corte, per fondare o escludere la sussistenza del reato, è il profilo oggettivo dell'accesso o del trattenimento nel sistema informatico, risultando comunque irrilevanti le finalità illecite che il soggetto abbia inteso perseguire, le quali, semmai, potranno integrare altre ipotesi di reato. Il reato di cui all'articolo 615 ter del Cp sussiste, quindi, se ed in quanto il soggetto, pur astrattamente autorizzato ad accedere o a permanere nel sistema, lo faccia violando i limiti risultanti dal complesso delle prescrizioni impartite dal titolare del sistema ovvero lo faccia ponendo in essere operazioni ontologicamente diverse da quelle autorizzate. Il reato non sussiste, invece, allorquando il soggetto acceda o permanga nel sistema rispettando i limiti dell'autorizzazione rilasciatagli dal titolare del sistema. Le conseguenze - In altri termini, ai fini della configurabilità dell'accesso abusivo, nel caso di soggetto munito di regolare password, è necessario accertare il superamento, su un piano oggettivo, dei limiti e, pertanto, la violazione delle prescrizioni relative all'accesso ed al trattenimento nel sistema informatico, contenute in disposizioni organizzative impartite dal titolare dello stesso, indipendentemente dalle finalità soggettivamente perseguite. Irrilevanti, invece, devono considerarsi gli eventuali fatti successivi relativi ai dati acquisiti: questi, se seguiranno, saranno frutto di nuovi atti volitivi e pertanto, se illeciti, saranno sanzionati con riguardo ad altro titolo di reato (rientrando, ad esempio, nelle previsioni di cui agli articoli 326, 618, 621 e 622 del Cp) (cfr., di recente, in linea con la decisione delle Sezioni unite, Sezione V, 31 ottobre 2014, Gorziglia, e Sezione V, 22 febbraio 2012, Crescenzi ed altro). L'ipotesi
sottoposta qui all'attenzione della Corte trova la propria disciplina proprio nei principi enucleati dalla sentenza Casani. L'imputata, secondo quanto risultava dagli atti del giudizio di merito, aveva titolo e formale abilitazione per accedere alle informazioni contenute nell'archivio informatico (qui, del Ministero delle Infrastrutture e dei Trasporti), in quanto dipendente della competente amministrazione e titolare di "legittime chiavi di accesso". Risultava, peraltro, essersi introdotta all'interno del sistema al fine di consultare l'archivio per esigenze diverse da quelle di servizio, con la conseguente configurabilità dell'illecito. La questione della competenza - Una volta ricostruito il proprium dell'addebito penale, la questione su cui qui sono intervenute le Sezioni unite concerne l'individuazione del momento consumativo dell'illecito, ai fini e per gli effetti dell'individuazione dell'autorità giudiziaria competente. L'orientamento prevalente - Finora, l'orientamento prevalente nella giurisprudenza di legittimità si è espresso nel senso che il reato di accesso abusivo ad un sistema informatico si consuma nel luogo ove si trova il "sistema" oggetto della condotta abusiva, vuoi che si tratti dell'introduzione abusiva nel sistema protetto, vuoi che si tratti del mantenersi abusivamente nel sistema, contro la volontà, espressa o tacita, di chi ha il diritto di esclusione: essendo irrilevante, invece, ai fini dell'individuazione del luogo di consumazione del reato, il luogo ove sia iniziata la procedura di accesso (cfr. Sezione I, 27 maggio 2013, Confl. comp. in proc. Russo ed altri). Questa interpretazione, con riferimento agli accessi abusivi negli archivi informatici delle Amministrazioni centrali dello Stato portava a radicare la competenza della autorità giudiziaria romana. Frequenti le ipotesi di accessi abusivi nella banca dati riservata del Sistema d'informazione Interforze del Ministero dell'interno - cosiddetto SDI - avente sede a Roma, effettuata da operatori delle forze dell'ordine, abilitati all'accesso dalla periferia, che "interrogavano" il sistema appunto utilizzando i terminali ad esso collegati: in tutti questi casi, è sempre stata ravvisata la competenza della autorità giudiziaria di Roma, evidenziando che il luogo di consumazione del reato doveva considerarsi quello nel quale si era entrati nel server del sistema, non potendo prendersi in considerazione né il luogo in cui l'accesso al sistema era iniziato con la digitazione delle credenziali e il successivo invio al sistema centrale, né il luogo in cui erano state poste in essere le eventuali condotte successive di acquisizione e di uso dei dati abusivamente acquisiti (cfr. la citata Sezione I, 27 maggio 2013, Confl. comp. in proc. Russo ed altri; ma anche Tribunale, Firenze, 29 giugno 2011). Secondo questa impostazione, la condotta illecita si realizza nel luogo ove viene superata la protezione informatica e si verifica l'introduzione nel sistema e, quindi, dove è materialmente situato il server violato, risultando irrilevante il luogo ove l'operatore inserisce le credenziali di autenticazione. L'inversione di rotta - Le Sezioni unite mutano radicalmente impostazione, recependo alcuni spunti argomentativi rinvenibili nell'ordinanza di rimessione (Sezione I, 28 ottobre - 18 dicembre
2014 n. 52575). Viene in proposito valorizzata la circostanza che il "sistema telematico" oggetto della condotta incriminata (costituito dal server centrale, ma anche dai terminali periferici) costituisce un unicum, assumendo quindi rilevanza anche il terminale periferico mediante il quale l'operatore materialmente inserisce le proprie credenziali. Cosicché riveste importanza decisiva non tanto il luogo "fisico" ove si trova il server, quanto quello in cui si trova il terminale dal quale l'agente si intromette o si trattiene abusivamente, perché, avendo riguardo alle specificità del sistema telematico, il sito dove sono archiviati materialmente i dati non è dirimente, dal momento che nel cyberspazio (la rete internet) il flusso dei dati informatici si trova, allo stesso tempo, nella piena disponibilità di consultazione di un numero indefinito di utenti abilitati, che possono accedervi ovunque. L'unicità del sistema informatico, in definitiva, conferisce rilievo al segmento della condotta posta in essere interagendo con il terminale periferico messo in rete. Da tale ricostruzione fattuale, le Sezioni unite fanno discendere, come conseguenza "coerente con la realtà di una rete telematica", quella secondo cui il luogo del commesso reato si identifica con quello nel quale dalla postazione remota l'agente si interfaccia con l'intero sistema, digita le credenziali di autenticazione e preme il tasto di avvio: così ponendo in essere una azione materiale e volontaria che gli consente di entrare nel dominio delle informazioni che vengono visionate direttamente all'interno della postazione periferica. Una tale conclusione viene giustificata e corroborata, dalla Corte di legittimità, con l'assunto che è quella che meglio corrisponde al principio del giudice naturale, radicato al luogo di commissione del fatto di cui all'articolo 25 della Costituzione Le conclusioni operative - Le conseguenze della decisione sono evidenti: cessa il radicamento della competenza dell'autorità giudiziaria romana, che si basava sul luogo di allocazione del server centrale, nei casi di accessi abusivi nelle banche dati dell'amministrazione dello Stato (le ipotesi più frequenti sono state oltre agli accessi nel Sistema d'informazione interforze del Ministero dell'interno - SDI al Sistema informatico dell'agenzia delle Entrate); mentre si attribuisce rilievo ai fini della competenza ai luoghi ove il soggetto accede e/o si trattiene nel sistema interrogandolo da un terminale periferico. La massima Riservatezza - Accesso abusivo ad un sistema informatico - Consumazione - Luogo ove si trova l'autore della condotta - Rilevanza anche ai fini della competenza (Cp, articolo 615 ter; cpp, articolo 8 e segg.). Il luogo di consumazione del reato di accesso abusivo ad un sistema informatico (articolo 615 ter del Cp), rilevante anche ai fini della individuazione dell'autorità giudiziaria competente, è
Powered by TCPDF (www.tcpdf.org) Ristretti Orizzonti - www.ristretti.org quello nel quale si trova il soggetto che effettua l'introduzione abusiva o vi si mantiene abusivamente, essendo irrilevante, invece, il luogo nel quale è collocato il server che elabora e controlla le credenziali di autenticazione fornite dall'agente. Il precedente contrario Accesso abusivo ad un sistema informatico - Consumazione - Rilevanza del luogo ove si trova il sistema informatico - Fattispecie in tema di conflitto di competenza (Cp, articolo 615 ter; Cpp, articolo 8 e segg.). Il reato di accesso abusivo ad un sistema informatico (articolo 615 ter del Cp) si consuma nel luogo ove si trova il "sistema" oggetto della condotta abusiva, vuoi che si tratti dell'introduzione abusiva nel sistema protetto, vuoi che si tratti del mantenersi abusivamente nel sistema, contro la volontà, espressa o tacita, di chi ha il diritto di esclusione: è irrilevante, invece, ai fini dell'individuazione del luogo di consumazione del reato, il luogo ove sia iniziata la procedura di accesso. Nel caso di specie, agli imputati era contestato il fatto di essersi abusivamente inseriti nella banca dati riservata del Sistema d'informazione Interforze del Ministero dell'interno - cosiddetto SDI - avente sede a Roma, utilizzando i terminali ad esso collegati, che si trovavano peraltro - nel caso concreto - a Firenze: la Corte, risolvendo un conflitto di competenza, ha ritenuto la competenza della autorità giudiziaria di Roma, evidenziando che il luogo di consumazione del reato doveva considerarsi quello nel quale si era entrati nel server del sistema, non potendo prendersi in considerazione né il luogo in cui l'accesso al sistema era iniziato con la digitazione delle credenziali e il successivo invio al sistema centrale, né il luogo in cui erano state poste in essere le eventuali condotte successive di acquisizione e di uso dei dati abusivamente acquisiti. (Cassazione, Sezione I, 27 maggio 2013-27 settembre 2013 n. 40303; Pres. Chieffi; Rel. La Posta; Pm (diff.) Fraticelli; Confl. comp. in proc. Russo ed altri).