Il nostro codice penale dedica una parte ai delitti contro la persona (Libro Secondo – Titolo XII) e tra questi vi rientrano quelli contro l’inviolabilità del domicilio (Capo III).
Questo tipo di delitti si articola in due categorie: una all’interno della quale rientrano i delitti contro la libertà domiciliare (come ad es. l’art 614 sulla violazione del domicilio) e una nella quale rientrano i delitti contro la riservatezza domiciliare.
Questa seconda categoria ha il fine di far fronte alle aggressioni alla riservatezza che vengono rese possibili dal progresso tecnologico: un esempio di queste aggressioni è rappresentato dalla criminalità informatica.
Con l’imponente affermazione di internet,infatti, la criminalità informatica sì è evoluta da semplice criminalità “dalla postazione computer” a criminalità nel “cyberspazio”, in cui diventano penalmente rilevanti nuove tipologie di condotte.
Il legislatore ha sempre più l’esigenza di disciplinare e punire, mediante un’appropriata regolamentazione, la criminalità informatica per evitare che i soggetti che usufruiscono dei servizi messi a disposizione dal mondo telematico restino privi di tutela, tuttavia, la regolamentazione giuridica di un mondo complesso e sfaccettato come quello dell’informatica e di internet può, in molti casi, caricare il legislatore di enormi difficoltà.
Non infrequenti, viste le difficoltà suddette, sono stati gli interventi della Corte di Cassazione mirati ad evitare che determinate questioni restassero incerte o prive di regolamentazione giuridica: un esempio lampante di questi interventi può rinvenirsi nella sentenza n. 17325/2015 delle Sezioni Unite che, mettendo fine ad accesi dibattiti, ha stabilito quale deve essere il luogo in cui il delitto di accesso abusivo ad un sistema informatico (art. 615 ter c.p.) si intende consumato.
Definizione
L’art 615 ter c.p. citato, presenta dei confini molto vasti, sia per quanto riguarda l’estensione dell’oggetto giuridico tutelato (il domicilio informatico), che per quanto riguarda l’elemento soggettivo del reato, consistente nel dolo generico, dunque privo di una finalità specifica della condotta delittuosa.
Proprio grazie a questi elementi, il delitto di accesso abusivo ad un sistema informatico è considerato quale rilevante strumento tramite cui proteggere la sicurezza della rete contro indebite intrusioni poste in essere dagli hackers (che possono avere le più svariate finalità come ad esempio lo spionaggio o l’emulazione).
Affinchè vi siano gli estremi per integrare una responsabilità di carattere penale è necessario che un soggetto s’introduca in un sistema informatico o telematico protetto da misure di sicurezza (la cui definizione è da rinvenire nell’allegato B del codice della privacy denominato “disciplinare tecnico in materia di misure di sicurezza”) oppure che si trattenga all’interno di quest’ultimo contro la volontà espressa o tacita di chi ha il diritto di escluderlo.
E’ evidente come la disciplina sia modellata sulle basi dell’articolo 614 del codice penale, avente ad oggetto la violazione di domicilio, per poi svilupparsi con modalità peculiari: nel caso contemplato dall’art 615 ter è configurabile il cosiddetto “domicilio informatico” da intendersi come un luogo virtuale all’interno del quale sono racchiusi tutti i dati informatici di un determinato soggetto e dei quali ne viene tutelata la riservatezza.
Come anticipato non è richiesta una finalità specifica dell’azione (dolo generico) e neppure, secondo quanto stabilito dalla giurisprudenza prevalente (Cassazione n. 11689/2007) che si verifichi un’effettiva lesione alla riservatezza dei dati contenuti all’interno del sistema informatico: una volta che quest’ultimo viene violato la condotta richiesta dall’art 615 ter si ritiene integrata (eccetto per le ipotesi aggravate indicate ai commi nn. 2 e 3 dello stesso).
Problematiche relative alla competenza territoriale
L’accesso abusivo può essere effettuato o a distanza (tramite una rete informatica collegata al sistema come ad esempio fanno gli hacker) o direttamente, quando l’agente sta a diretto contatto con il sistema violato (es. accedendo abusivamente ad un terminale e visualizzando i dati contenuti al suo interno).
Le maggiori problematiche nello stabilire quale debba essere il luogo in cui viene consumato il delitto sorgono quando vi è una differente ubicazione della zona in cui si trova il server (o quella in cui sono collocati i dati) rispetto al luogo in cui si trova colui che effettivamente pone in essere la condotta illecita.
Per stabilire dove il delitto s’intende consumato si sono venute a scontrare, prima della decisione in questione, due correnti giurisprudenziali contrapposte:
– la prima indica quale luogo di consumazione del delitto quello dov’è collocato il server (poiché è proprio all’interno di quest’ultimo che si verifica effettivamente il superamento della protezione informatica);
– diametralmente opposta è la teoria secondo cui il delitto di accesso abusivo ad un sistema informatico s’intende consumato nel luogo in cui è fisicamente è situato l’elaboratore tramite il quale l’agente accede al sistema informatico.
Il caso su cui la Cassazione si è pronunciata riguardava una dipendente della Motorizzazione civile di Napoli (legalmente in possesso delle chiavi d’accesso al sistema informatico in virtù l’attività che svolgeva) che assieme a dei complici si era più volte introdotta abusivamente nel sistema informatico del Ministero delle Infrastrutture e dei Trasporti al fine di effettuare operazioni non rientranti nelle proprie ordinarie mansioni, ma con il solo scopo di trarre un vantaggio per sé e per i coimputati.
Il G.U.P. di Napoli, investito del caso, si dichiarava tuttavia incompetente per territorio, e indicava come competente il G.U.P. di Roma poichè giudice del luogo in cui si trovava la banca dati violata.
Di differente avviso era però il giudice romano che, al contrario, riteneva che la competenza dovesse essere del tribunale del luogo in cui l’operatore aveva effettuato l’accesso al server e affidava, dunque, alla Suprema Corte il compito di stabilire se il delitto era da considerare consumato nel luogo in cui si trovava colui che si era introdotto abusivamente nel sistema (o vi si era mantenuto), ovvero quello in cui era collocato il server (luogo in cui si verifica l’interazione elettronica tra i sistemi informatici connessi).
Le Sezioni Unite, soprattutto per motivi di praticità, (può essere di estrema difficoltà identificare e localizzare, in termini fisici, un evento strettamente virtuale) nel pronunciarsi hanno accolto la seconda delle teorie enunciate. A detta della Suprema Corte, dunque il delitto s’intende consumato quando viene posta in essere l’unica condotta umana di natura materiale ipotizzabile caratterizzata dal digitare, tramite una postazione remota, delle credenziali di autenticazione premendo successivamente invio, così da superare le misure di sicurezza ed accedere ai dati.
A sostegno della decisione la Cassazione ha affermato che il sito dove sono archiviati i dati non può in nessun caso essere decisivo per stabilire la competenza per territorio dato che il cyberspazio che contiene il flusso dei dati è contemporaneamente nella piena disponibilità di consultazione di un numero indefinito di utenti abilitati, che possono accedervi ovunque essi siano.
Dunque l’accesso ad un sistema informatico non può in alcun caso coincidere con l’ingresso all’interno del server fisicamente collocato in un determinato luogo, ma sarà configurato esclusivamente quando avviene un’introduzione telematica o virtuale attraverso un diretto contatto elettronico o circuitale con il sistema centrale e con tutti i terminali ad esso collegati.
La decisione, oltre a porre rimedio ad una questiona di grande incertezza, porta a due importanti conseguenze: in primo luogo viene protetto il principio del giudice naturale (secondo il quale non deve poter esserci alcun margine di discrezionalità nella designazione del giudice), inoltre viene a crearsi un concetto di “sistema informatico” in un certo senso unificato poiché la Corte identifica un sistema informatico o telematico come un insieme di sistemi interconnessi e coordinati tramite da una postazione remota centrale da identificare come luogo di riferimento di tutte le operazioni che si verificano in seguito.
Dott. Luigi Dinella
