APRI PDF - Processo Penale e Giustizia

Transcript

Processo penale e giustizia n. 5 | 2015
85
LUIGI CUOMO
Magistrato – Ufficio del Massimario della Corte di Cassazione
Reti “client-server” ed accesso abusivo a sistema informatico:
le Sezioni Unite individuano i criteri per stabilire
la competenza territoriale
“Client server networks” and unauthorized access
to computer systems: the Great Chamber specifies
the rules to establish territorial competence
La Suprema Corte con la sentenza in rassegna, fornendo una nozione unitaria di sistema telematico, fissa i criteri
per determinare la competenza territoriale per gli accessi abusivi commessi nelle reti "client-server", stabilendo
che il reato di cui all’art. 615-ter c.p. si consuma non nel luogo in cui si trova il "server" all’interno del quale sono
archiviate le informazioni, ma in quello diverso in cui si trova l’utente che dalla postazione remota digita le credenziali di autenticazione e le invia al sistema centrale.
The Court of Cassation identifies the rules to determine territorial competence for the offences concerning unauthorized access to computer systems. With specific regard to the crime provided for in art. 615-ter of the Criminal
Code, the competent judge is that of the place where the remote user is located.
PREMESSA
Con la sentenza in rassegna le Sezioni Unite, risolvendo un conflitto di competenza, intervengono definitivamente per chiarire se, ai fini della determinazione della competenza territoriale, il luogo di consumazione del delitto di accesso abusivo ad un sistema informatico sia quello in cui si trova l’utente che
si introduce abusivamente nel sistema o, invece, quello nel quale è ubicato il “server” che elabora e controlla le credenziali di autenticazione fornite dall’agente.
La questione, particolarmente avvertita dai giudici di merito, aveva generato incertezze interpretative circa il luogo di consumazione del reato di cui all’art. 615-ter c.p., che poteva coincidere nelle reti
“client-server”, alternativamente, con il punto dal quale l’utente digita le credenziali di accesso o con
quello in cui si trova fisicamente il server all’interno del quale sono archiviate le informazioni oggetto di
trattamento.
Per pervenire alla soluzione, ritenuta in senso tecnico-giuridico maggiormente aderente alla realtà
informatica delle reti e ai meccanismi di funzionamento dei sistemi a circuitazione elettronica, le Sezioni Unite ricostruiscono l’istituto giuridico del «domicilio informatico» e offrono una convincente spiegazione delle ragioni per le quali optano per la prevalenza del luogo fisico (più facilmente individuabile) in cui si trova l’utente, rispetto a quello immateriale in cui sono archiviati i dati e vengono eseguite
le operazioni di autenticazione e di validazione dell’operatore.
L’analitica sentenza della Suprema Corte offre, nei suoi passaggi argomentativi essenziali, lo spunto
per una più ampia riflessione sul «domicilio informatico» e sulle «modalità di funzionamento delle reti
telematiche».
AVANGUARDIE IN GIURISPRUDENZA | RETI “CLIENT SERVER” ED ACCESSO ABUSIVO A SISTEMA INFORMATICO
86
IL QUADRO NORMATIVO DI RIFERIMENTO
Le tecnologie informatiche costituiscono uno strumento essenziale e irrinunciabile di comunicazione,
informazione, elaborazione e archiviazione dei dati: «la loro diffusione capillare, da un lato ha dato vita
a nuove forme di comunicazione, ma dall’altro ha creato molteplici problemi sul piano giuridico: a
fronte delle enormi possibilità di archiviazione e gestione di grandi quantità di dati, sussiste l’alto rischio di perdita o duplicazione abusiva dei dati immagazzinati» 1.
Per tutelare le informazioni e per prevenire illegittime intrusioni è stato inserito nel codice penale il
reato di cui all’art. 615-ter c.p., che protegge il cosiddetto «domicilio informatico», in tal modo colmando talune lacune strutturali dell’ordinamento penale in materia di “computer crimes”.
La norma intende regolamentare il cosiddetto “cyberspazio”, inteso come luogo di interazione tra
uomo e macchina, all’interno del quale vengono in rilievo «flussi di informazioni digitali, che, spostandosi attraverso reti tra loro collegate, sfuggono alla ordinaria qualificazione delle cose e a una netta distinzione tra una dimensione oggettiva e soggettiva» 2.
Le ragioni che hanno portato all’introduzione nel nostro ordinamento di tale disposizione normativa
vanno ricercate nella Raccomandazione del Consiglio d’Europa sulla criminalità informatica del 1989,
con la quale si chiedeva, tra l’altro, agli Stati membri di assicurare «una protezione, in via anticipata e
indiretta, contro i rischi di manipolazioni informatiche, di danneggiamento dei dati e di spionaggio informatico», che possono derivare dall’accesso non autorizzato a un sistema informatico.
Il ricorso alla sanzione penale era quindi apparso necessario in considerazione della particolare vulnerabilità delle informazioni conservate in formato elettronico, facilmente riproducibili, in gran numero
e in brevissimo tempo, su supporti informatici di piccole dimensioni 3.
L’ambiente informatico, contenendo informazioni e dati personali che devono rimanere riservati e
conservati al riparo da ingerenze e intrusioni provenienti da terzi, rappresenta un luogo inviolabile delimitato da confini virtuali, come uno spazio privato dove si proteggono le attività domestiche, che crea
una interdipendenza immediata con il soggetto che ne è titolare, il quale trascorre al suo interno una rilevante porzione della sua esistenza 4.
È evidente come il personal computer non può essere più considerato un semplice strumento di elaborazione e conservazione di documenti in formato elettronico, ma rappresenta un indispensabile mezzo di catalogazione, applicazione e ricerca attraverso il quale l’individuo esprime le sue capacità professionali, culturali e, più in generale, le proprie facoltà intellettive 5.
Nel sistema informatico è custodita e conservata «una estensione della stessa mente umana, poiché
l’utente, lavorando con la macchina e inserendovi le sue informazioni, affida ad essa le proprie strategie
professionali, i pensieri e i progetti personali, che costituiscono espressioni del vivere quotidiano e della
personalità dell’uomo» 6.
La fattispecie incriminatrice, proteggendo il bene giuridico dell’integrità e della riservatezza delle informazioni, non a caso è stata inserita nella sezione IV del codice penale dedicata ai delitti contro
l’inviolabilità del domicilio, penalmente inteso come luogo dove l’individuo esplica liberamente la personalità in tutte le sue manifestazioni 7.
1
N. Maiorano, Commento all’art. 615-ter c.p., in Lattanzi-Lupo (a cura di) Codice penale – Rassegna di giurisprudenza e di dottrina, XI, Milano, 2010, p. 1349 ss.
2
R. Scudieri, Un caso di hacking: luoghi reali e luoghi virtuali tra diritto e informatica, in Ciberspazio e diritto, 2006, 7, p. 414.
3
Meritevole di tutela penale appare il contenuto dei sistemi informatici, ossia i dati e i programmi che vi sono immagazzinati e che
l’intruso potrebbe manipolare fraudolentemente, danneggiare e, soprattutto, conoscere e riprodurre (C. Pecorella, L’attesa pronuncia
delle Sezioni Unite sull’accesso abusivo a un sistema informatico: un passo avanti non risolutivo, in Cass. pen., 2012, p. 3692 ss.).
4
È emblematico pensare come negli anni si è modificato il rapporto "uomo-computer", considerato che, se in origine era effettivamente un mezzo per svolgere un’attività professionale, attualmente è un vero e proprio ambito spaziale all’interno del
quale l’individuo proietta tutta la sua personalità, specie con la diffusione crescente dei “social network” e con il maggiore utilizzo del “cloud computing”, che proiettano l’individuo sempre più nel digitale (P. Galdieri, Il domicilio informatico:
l’interpretazione dell’art. 615-ter c.p. tra ragioni di carattere sistematico e forzature, in Dir. informaz. e informatica, 2013, 1, p. 88 ss.).
5
Così L. Cuomo, La tutela penale del domicilio informatico, in Cass. pen., 2000, p. 2990 ss.
6
G. Aronica, L’accesso abusivo ad un sistema informatico o telematico nella giurisprudenza, in Indice pen., 2010, p. 204.
7
La condotta incriminata, all’evidenza, «implica una “interazione” tra l’agente e il sistema attraverso la tastiera o una connessione telematica» (P. Piccialli, Accesso abusivo ad un sistema informatico, in Il corriere del merito, 2012, 4, p. 403).
87
Con la previsione dell’art. 615-ter c.p., introdotto con la l. 23 dicembre 1993, n. 547, «il legislatore ha
assicurato la protezione del "domicilio informatico" quale spazio ideale (ma anche fisico in cui sono
contenuti i dati informatici) di pertinenza della persona, ad esso estendendo la tutela della riservatezza
della sfera individuale, quale bene anche costituzionalmente protetto» 8.
Pertanto, colui che si inserisce abusivamente nell’altrui unità di elaborazione, contro la volontà del
titolare, commette un reato al pari di chi si introduce in un’abitazione senza il consenso dell’avente diritto: la violazione del domicilio informatico è punibile «anche se avviene senza intaccare l’ambito spaziale in cui sono materialmente collocate le apparecchiature, a causa della natura virtuale dei meccanismi di funzionamento delle reti e di trattamento delle informazioni, in quanto il concetto di intrusione
evoca qualunque attività che sia idonea a porre in comunicazione un computer chiamante con un computer risponditore» 9.
L’aggressione ai sistemi informatici e telematici è solitamente realizzata da soggetti con elevate conoscenze e capacità tecnico-informatiche, che vengono definiti “hacker” 10, che hanno la capacità di alterare il funzionamento di rilevanti settori di interesse collettivo in modo assolutamente imprevedibile,
come è del resto sottolineato dalla creazione e dal potenziamento in tutto il mondo di strutture governative deputate alla prevenzione ed al contrasto delle intrusioni informatiche.
LA NOZIONE DI SISTEMA INFORMATICO O TELEMATICO
Le Sezioni Unite, ben consapevoli delle ricadute pratiche della propria decisione, hanno dedicato una
particolare attenzione alla nozione di sistema informatico o telematico, il cui significato deve essere
adeguato al costante sviluppo tecnologico, che interessa dispositivi, reti, infrastrutture e impianti di
preminente rilievo strategico nell’organizzazione della società moderna.
L’art. 1 della Convenzione Europea di Budapest del 23 novembre 2001 fornisce la definizione di «sistema informatico», che viene individuato in «qualsiasi apparecchiatura o gruppo di apparecchiature
interconnesse o collegate, una o più delle quali, in base ad un programma, compiono l’elaborazione automatica dei dati».
La l. n. 547 del 1993, che ha introdotto nel codice penale i cosiddetti «computer’s crimes», non ha enunciato, quale oggetto di tutela, la definizione di «sistema informatico», ma ne ha presupposto il significato ed i profili tecnici.
Il riferimento a strumenti tecnologici impiegati a fini di automazione è inserito in varie disposizioni
di legge, che contengono espressioni come «elaboratore elettronico, «sistema informativo automatizzato», «centro di elaborazione dati», «impianto meccanografico» o altro.
Per evitare vuoti di tutela, il Supremo collegio ha assunto una nozione molto ampia di «computer»,
allo scopo di ricomprendervi tutti i sistemi automatizzati e, quindi, anche quelli a programma variabile,
gli elaboratori cosiddetti dedicati, nonché i calcolatori nei quali l’inserimento del software è precostituito
mediante «firmware» o circuitazione integralmente prestabilita e non mutabile 11.
8
L’art. 615-ter c.p. non si limita a tutelare solamente i contenuti personalissimi dei dati raccolti nei sistemi informatici protetti, ma offre una tutela più ampia che si concreta nello “jus excludendi alios”, quale che sia il contenuto dei dati racchiusi in esso,
purché attinente alla sfera di pensiero o all’attività, lavorativa o non, dell’utente, con la conseguenza che la tutela della legge si
estende anche agli aspetti economico-patrimoniali dei dati sia che titolare dello “jus excludendi” sia persona fisica, sia giuridica,
privata o pubblica, o altro ente» (Cass., sez. VI, 4 ottobre 1999, n. 3067, in CED Cass. n. 214946).
9
Non essendo possibile l’introduzione o il trattenimento fisico dell’intera persona nell’ambiente informatico, l’accesso cui fa
riferimento la norma non è quello materiale, previsto dal reato di violazione di domicilio, ma quello elettronico, telematico o
virtuale, mediante interazione sulla tastiera dell’elaboratore o connessione elettronica tra i computer, ovvero attraverso altre
apparecchiature specifiche, idonee ad entrare in comunicazione con la macchina» (L. Cuomo-R. Razzante, La nuova disciplina dei
reati informatici, Torino, 2009, p. 9 ss.).
10
Hacker è colui che tramite il proprio personal computer trova collegamenti o cerca accessi non autorizzati a informazioni o
banche dati: «si tratta in genere di soggetti caratterizzati da un elevato tasso di conoscenze tecniche e che talvolta sono animati
da motivazioni di carattere politico o ideologiche, muovendo dalla considerazione che l’accesso ai sistemi o ai dati deve essere
garantito a tutti» (R. Garofoli, Manuale di diritto penale – Parte speciale, Vol. II, Nel Diritto Editore, p. 350).
11
Per assecondare tale esigenza sono state, ad esempio, qualificate come sistema informatico «le carte di credito che sono
idonee a trasmettere dati elettronici nel momento in cui si connettono all’apparecchiatura POS” (Cass., sez. fer., 23 agosto 2012,
n. 43755, in CED Cass., n. 253583).
88
È comunque necessario che i singoli sistemi utilizzino, in tutto o in parte, tecnologie elettroniche che
trattano e rappresentano informazioni attraverso simboli numerici elementari denominati «bit», che,
organizzati in opportune combinazioni, vengono sottoposti ad elaborazione automatica 12.
Il termine è suscettibile di ricomprendere come possibile oggetto di attacco tanto la macchina nel suo
insieme, quanto i suoi singoli componenti, a condizione che il complesso delle apparecchiature, dei
programmi e delle informazioni sia unitariamente finalizzato all’espletamento di determinate funzioni
e al raggiungimento di specifiche utilità 13.
Con l’espressione «sistema telematico», invece, le disposizioni sui crimini informatici rinviano ad un
insieme combinato di apparecchiature idoneo alla trasmissione a distanza di dati e di informazioni, attraverso l’impiego di tecnologie dedicate alle telecomunicazioni 14.
Nell’ambito dei meccanismi di elaborazione delle informazioni rientrano i sistemi denominati
“client-server”, che indicano una architettura di rete nella quale genericamente un “client” o terminale si
connette ad un “server” per la fruizione di un certo servizio, quale ad esempio la condivisione di una
risorsa hardware o software, ovvero per la consultazione, l’immissione o la modifica di informazioni attraverso la sottostante architettura protocollare.
La Suprema Corte, prendendo posizione in argomento, ha affermato che il sistema telematico per “la
gestione e lo scambio dei dati” a distanza, formato da server, client, terminali e rete di trasporto delle informazioni, corrisponde in realtà ad una sola “unità di elaborazione”.
Il sistema telematico deve considerarsi unitario perché è coordinato da un software di gestione che
presiede al funzionamento della rete, alla condivisione della banca dati, alla archiviazione delle informazioni, nonché alla distribuzione e all’invio dei dati ai singoli terminali interconnessi.
In questa organizzazione logica dei dati rientra anche il sistema telematico in dotazione alla Motorizzazione Civile, che ha sede presso il Ministero delle Infrastrutture e dei Trasporti, utilizzato nel caso
in esame dal funzionario infedele per effettuare visure elettroniche nell’interesse di un privato titolare
di una agenzia di pratiche automobilistiche.
Questo schema è replicato anche da altre banche dati di interesse strategico, come “il sistema SDI”
(Sistema Informativo Interforze) in dotazione alle forze di polizia, i cui dati sono archiviati in un server
centrale (fisicamente allocato presso il Ministero dell’interno in Roma), che è consultabile tramite rete
da tutti gli operatori distribuiti sul territorio nazionale.
Il terminale ha, appunto, la funzione di inviare le istruzioni (dalle chiavi logiche di autenticazione alle opzioni di ricerca) al sistema centralizzato, che restituisce all’utente il risultato della propria richiesta
di accesso e di consultazione delle informazioni.
Le banche dati organizzate secondo tale modello presentano la peculiarità che, generalmente, ciascun utente non si limita solo a consultare i dati, ma può modificarli o inserirli secondo regole e criteri
predeterminati.
La sentenza in commento, quindi, perviene alla logica e coerente conclusione che la rete “clientserver” costituisce un “complesso inscindibile” nel quale le postazioni remote non costituiscono soltanto
strumenti passivi di accesso o di interrogazione, ma essi stessi formano parte integrante di un complesso meccanismo, che è strutturato in modo da esaltare la funzione di immissione e di estrazione dei dati
da parte del “client”.
12
In assenza di una puntuale classificazione legislativa, è stata la giurisprudenza a fornire una definizione tendenzialmente
valida per tutte le fattispecie incriminatrici, che fanno riferimento all’espressione «sistema informatico», che esprime «un complesso di apparecchiature destinate a compiere una qualsiasi funzione utile all’uomo, attraverso l’utilizzazione (anche parziale)
di tecnologie informatiche, che sono caratterizzate – per mezzo di un’attività di “codificazione” e “decodificazione” – dalla “registrazione” o “memorizzazione”, per mezzo di impulsi elettronici, su supporti adeguati, di "dati", cioè di rappresentazioni
elementari di un fatto, effettuata attraverso simboli (bit), in combinazione diverse, e dalla elaborazione automatica di tali dati, in
modo da generare “informazioni”, costituite da un insieme più o meno vasto di dati organizzati secondo una logica che consenta loro di esprimere un particolare significato per l’utente» (Cass., sez. VI, 4 ottobre 1999, n. 3067, in CED Cass. n. 214945).
13
I sistemi informatici o telematici di “importanza collettiva” sono presidiati da una tutela rafforzata e «ai fini della configurabilità
della circostanza aggravante dell’essere il sistema di interesse pubblico non è sufficiente la qualità di concessionario di pubblico servizio rivestita dal titolare del sistema, dovendosi accertare se il sistema informatico o telematico si riferisca ad attività direttamente rivolta
al soddisfacimento di bisogni generali della collettività» (Cass., sez. V, 13 dicembre 2010, n. 1934, in CED Cass. n. 249049).
14
Secondo la dottrina, ”telematico” sta per metodo tecnologico di trasmissione e circolazione del pensiero e, quindi, dei dati
o delle informazioni a distanza, mediante l’impiego di un linguaggio computerizzato, che veicola informazioni automatizzate»
(A. Sorgato, Il reato informatico, in Il merito, 2008, 10, p. 42).
89
I terminali remoti, secondo la modulazione di profili di accesso e l’organizzazione logica dei dati,
non si limitano passivamente ad accedere alle informazioni contenute nel “data base”, ma svolgono una
funzione attiva e dinamica nel processo di gestione dei dati, essendo abilitati a immettere nuove informazioni o a modificare quelle preesistenti, con potenziale beneficio per tutti gli utenti della rete, che
possono fruire di dati più aggiornati e completi per effetto dell’interazione di un maggior numero di
operatori.
In base a queste considerazioni può affermarsi che, per il funzionamento di questa tipologia di rete,
il luogo dove sono archiviati i dati non si rivela decisivo e non esaurisce la complessità dei fenomeno
che coinvolge il trattamento e la trasmissione delle informazioni, dal momento che nel cyberspazio (la
rete internet) il flusso dei dati informatici si trova allo stesso tempo nella piena disponibilità di consultazione e di integrazione di un numero indefinito di utenti abilitati, che sono posti in condizione di accedervi ovunque.
Non si può, allora, sostenere che i dati si trovino solo nel server, perché, come ha chiarito la Corte di
cassazione, nella rete così organizzata l’intera banca dati è “ubiquitaria”, “circolare” o “diffusa” sul territorio, nonché compresente e consultabile in condizioni di parità presso tutte le postazioni remote autorizzate all’accesso.
La memorizzazione dei dati ai quali gli imputati hanno avuto indebitamente accesso impone di verificare, ai fini della competenza territoriale, se il reato debba ritenersi consumato al momento della digitazione delle credenziali di autenticazione dalla postazione remota, ovvero presso il server centrale allorquando viene portata a compimento con esito positivo la fase di validazione della password di accesso.
LE MISURE DI SICUREZZA
La difesa giuridica è limitata ai sistemi informatici o telematici «protetti da misure di sicurezza», perché, dovendosi tutelare il diritto di uno specifico soggetto, è necessario che quest’ultimo abbia dimostrato, con la predisposizione di appositi mezzi di protezione logici (o anche fisici), di voler riservare
l’accesso e la permanenza nel sistema alle sole persone espressamente autorizzate 15.
Le misure di sicurezza sono costituite dai meccanismi logici, tecnologici ed organizzativi che tendono ad impedire la commissione di reati informatici e a prevenire altri eventi dannosi per la macchina o
per i dati (più che mezzi di protezione del luogo ove è collocato il computer, si tratta di strumenti protettivi aventi ad oggetto direttamente il sistema informatico).
L’art. 4, comma 3, lett. a), d.lgs. 30 giugno 2003, n. 196 (codice della privacy) definisce “misure minime” «il complesso delle misure tecniche, informatiche, organizzative, logistiche e procedurali di sicurezza
che configurano il livello minimo di protezione richiesto in relazione ai rischi previsti nell’articolo 31» 16.
L’elusione delle barriere protettive può avvenire in qualsiasi modo, sia modificando i presupposti
conoscitivi del software che regola gli accessi, che individuando password con ripetuti tentativi o aggirando in ogni altro modo la protezione 17.
Gli accorgimenti predisposti dal titolare costituiscono una condizione per la verifica dell’abusività
dell’accesso e per semplificare l’accertamento dell’aspetto soggettivo del reato, avvertendo l’intrusore
dell’abuso che sta compiendo 18.
15
Per “misure di sicurezza” devono genericamente intendersi tutti quei «mezzi di protezione sia logica che fisica (materiale o
personale) che il “dominus” del sistema informatico o telematico abbia predisposto al fine di riservare l’accesso o la permanenza
alle sole persone da lui autorizzate» (G. Pestelli, Brevi note in tema di accesso abusivo ad un sistema informatico o telematico, in Cass. pen.,
2012, p. 2320 ss.); per approfondimenti v. anche C. Parodi-A. Calice, Responsabilità penali e Internet, in Sole 24 Ore, 2001, p. 65.
16
Suggestivo è il paragone tra le misure protettive contemplate dall’art. 615-ter c.p. e gli «offendicula»: può ben dirsi che si
tratti dell’evoluzione tecnologica di tale categoria di strumenti difensivi (C. Farina, Introduzione nel sistema informatico di uno studio professionale e appropriazione dell’archivio clienti, in Dir. pen. proc., 2009, p. 725).
17
Integra il delitto di introduzione abusiva in un sistema informatico o telematico l’accesso ad un sistema che sia protetto da
un dispositivo costituito anche soltanto da una parola chiave o "password"» (Cass., sez. II, 21 febbraio 2008, n. 36721, in CED
Cass. n. 242084).
18
Cfr. C. Pecorella, L’attesa pronuncia delle Sezioni Unite sull’accesso abusivo a un sistema informatico: un passo avanti non risolutivo, in Cass. pen., 2012, p. 3692 ss.; L. Cuomo, Misure di sicurezza e accesso abusivo ad un sistema informatico o telematico, in Cass. pen.,
2002, p. 1018 ss.
90
LE CONDOTTE SANZIONATE
Le Sezioni Unite, per risolvere la questione oggetto della rimessione, sono state preliminarmente chiamate a verificare se il dipendente infedele, che aveva consultato ed estratto i dati elettronici per scopi
estranei a quelli di servizio, avesse posto in essere un accesso abusivo o un mantenimento illecito
all’interno del sistema telematico.
Al fine di ricostruire il percorso logico seguito dalla Suprema Corte è necessario chiarire come debbano interpretarsi i termini “accesso” (o meglio “introduzione”) e “mantenimento” all’interno di un sistema informatico o telematico.
L’art. 615-ter c.p. punisce “l’introduzione abusiva”, che consiste nella instaurazione di un “dialogo
comunicativo” con il sistema, che può avvenire con «l’utilizzo di password carpite da terzi, l’impiego di
appositi software per individuare parole chiave, l’ingresso in livelli di accesso diversi da quelli per cui si
è legittimati, o contravvenendo a specifici regolamenti che disciplinino tempi, modalità o qualifiche
dell’accesso» 19.
La condotta incriminata implica una interazione tra l’agente e il sistema, realizzata mediante
l’utilizzo di una tastiera o l’attivazione di una connessione telematica e concerne la «intrusione da parte
di colui che non sia in alcun modo abilitato» 20, che non si esaurisce nel solo uso dell’hardware, ma richiede un dialogo attivo con il software» 21: l’introduzione può avvenire “da lontano”, cioè per via elettronica, allorché venga utilizzato un altro elaboratore, ovvero “da vicino”, ad opera di chi si venga a
trovare a diretto contatto con il sistema informatico 22.
L’intrusione deve consistere, per superare la barriera di perimetrazione elettronica posta a protezione del sistema informatico, in un ingresso abusivo reso possibile «per l’uso di parole chiave, codici o altri strumenti duplicati, rubati, sottratti, ricevuti o comunque utilizzati in modo illecito» 23.
Per la giurisprudenza il termine “accesso” è riferito «non tanto al semplice collegamento fisico o
all’accensione dello schermo, quanto a quello logico, ovvero al superamento della barriera di protezione
che rende possibile il dialogo con il sistema, in modo che l’agente venga a trovarsi nella condizione di conoscere dati o informazioni», perché è solo in quel momento che può dirsi realizzata la situazione di pericolo per la riservatezza dei dati e dei programmi, che giustifica l’intervento della sanzione penale 24.
L’abuso in esame discende da una clausola di “antigiuridicità speciale”, che estende l’oggetto della
interpretazione della fattispecie alla normativa extrapenale, cui è demandato il compito di regolare
l’accesso lecito al sistema informatico, distinguendo le condotte di ingresso o mantenimento clandestine
e fraudolente.
Il semplice fatto che qualcuno riesca a superare le misure di sicurezza costituisce, in sé, un attentato
alla affidabilità dei sistemi di elaborazione, esponendo a pericolo il bene giuridico della integrità dei dati, che potrebbero essere stati danneggiati, copiati o contaminati da “virus informatici” 25.
19
S. Civardi, La distinzione fra accesso abusivo a sistema informatico e abuso dei dati acquisiti, in Dir. informaz. e informatica, 2009, 1, p. 60.
20
Cass., sez. V, 30 settembre 2008, n. 1727, in CED Cass. n. 242939. Non integra il reato di accesso abusivo ad un sistema informatico (art. 615-ter c.p.) – che ha per oggetto un sistema informatico protetto da misure di sicurezza e richiede che l’agente
abbia neutralizzato tali misure – colui che, senza avere concorso nell’accesso abusivo e conseguente indebito trasferimento (cosiddetto trascinamento) della cartella contenente dati riservati del proprio datore di lavoro dall’area protetta alla cosiddetta area
comune del sistema informatico, a cui possono accedere tutti i dipendenti, acceda all’area comune avvalendosi solo di dati e
strumenti di cui sia legittimamente in possesso e prenda visione della cartella riservata trasferendola su un dischetto (Cass., sez.
V, del 4 dicembre 2006, n. 6459, in CED Cass. n. 236049).
21
R. Garofoli, Manuale di diritto penale – Parte speciale, Tomo II, Nel Diritto Editore, p. 350; S. Civardi, La distinzione fra accesso
abusivo a sistema informatico e abuso dei dati acquisiti, in Dir. informaz. e informatica, 2009, 1, p. 62; C. Parodi-A. Calice, Responsabilità
penali e Internet, in Sole 24 Ore, p. 54.
22
L.D. Cerqua, Accesso abusivo e frode informatica: l’orientamento della Cassazione, in Diritto e prat. soc., 2000, 16, p. 53.
23
E. Mengoni, Accesso autorizzato al sistema informatico o telematico e finalità illecite: nuovo round alla configurabilità del reato, in
Cass. pen., 2011, p. 2200 ss.
24
Cass., sez. V, 8 luglio 2008, n. 37322, in Cass. pen., 2009, p. 3454; Cass., sez. II, 21 febbraio 2008, n. 36721, in Cass. pen., 2009,
p. 4363.
25
Sulla natura di pericolo del reato v. D. Foti, Accesso abusivo a sistema informatico o telematico. Un “pericoloso” reato di pericolo,
in Riv. it. dir. proc. pen., 2010, p. 456.
91
Oltre all’introduzione è punito, in via alternativa, anche il mantenimento all’interno del sistema, che
presuppone una legittima ammissione nell’ambiente informatico e una successiva volontà di espulsione
dell’avente diritto.
L’intrusione è prodromica al mantenimento e tale successiva condotta si realizza nei casi in cui a un
ingresso originariamente legittimo faccia seguito un trattenimento illegittimo, che perdura consapevolmente.
La condotta di mantenimento «va intesa come un continuare ad accedere o restare connesso con il
sistema, eccedendo i limiti dell’autorizzazione: in altre parole, il soggetto si trattiene “invito domino”
nel sistema informatico nel momento in cui non “esce” (log-out) dall’ambiente virtuale, interrompendo
il dialogo logico in precedenza instaurato» 26.
Sulla base di queste considerazioni deve ritenersi che l’agente, nel caso specifico, abbia commesso un
“accesso” abusivo e non un mantenimento illecito, essendo irrilevante l’utilizzo della password in dotazione al funzionario infedele, in quanto il colloquio circuitale con il sistema non era finalizzato al compimento di una attività di ufficio, ma ad assecondare fin dall’inizio interessi esclusivamente personali o
privati, in violazione delle prescrizioni e delle disposizioni impartite dall’ente di appartenenza 27.
La materia è già stata affrontata dalla giurisprudenza, che ha esaminato la possibilità di configurare
il reato anche nel caso in cui un soggetto, legittimamente abilitato con rilascio di legittime credenziali
informatiche e ammesso ad utilizzare il sistema elettronico, abbia invece agito per conseguire finalità
illecite.
Le Sezioni Unite hanno definitivamente chiarito che è penalmente rilevante «la condotta di colui che,
pur essendo abilitato, acceda o si mantenga in un sistema informatico o telematico protetto, violando le
condizioni e i limiti risultanti dal complesso delle prescrizioni impartite dal titolare per delimitarne oggettivamente l’accesso, rimanendo invece irrilevanti, ai fini della sussistenza del reato, gli scopi e le finalità che abbiano soggettivamente motivato l’ingresso nel sistema» 28.
26
I. Salvadori, Quando un insider accede abusivamente ad un sistema informatico o telematico? Le Sezioni Unite precisano l’ambito di
applicazione dell’art. 615-ter, in Riv. trim. dir. pen. economia, 2012, 1-2, p. 376 ss.; S. Logroscino, Il delitto di accesso abusivo a un sistema
informatico o telematico da parte del soggetto abilitato all’accesso, in Riv. pen., 2012, p. 390; E. Mengoni, Accesso autorizzato al sistema
informatico o telematico e finalità illecite: nuovo round alla configurabilità del reato, in Cass. pen., 2011, p. 2200; nella giurisprudenza
numerosi sono i casi in cui è stata affermata la responsabilità di dipendenti infedeli, che, pur se abilitati, dopo essere legittimamente entrati nel sistema informatico dell’amministrazione o della società di appartenenza, hanno: 1) effettuato interrogazioni
sul sistema centrale dell’anagrafe tributaria sulla posizione di contribuenti non rientranti, in ragione del loro domicilio fiscale,
nella competenza del proprio ufficio (Cass., sez. V, 24 aprile 2013, n. 22024, in CED Cass. n. 255387); 2) manomesso la posizione
di un contribuente, effettuando sgravi fiscali non dovuti (Cass., sez. II, 6 marzo 2013, n. 13475, in CED Cass. n. 254911); 3) compiuto una interrogazione alla banca dati del Ministero dell’Interno – relativa ad una vettura, usando la propria “password” con
l’artifizio della richiesta di un organo di Polizia in realtà inesistente, necessario per accedere a tale informazione (Cass., sez. V,
22 settembre 2010, n. 39620, in CED Cass. n. 248653); 4) acquisito indebitamente notizie riservate tratte dalla banca dati del sistema telematico di informazione interforze del Ministero dell’Interno, per l’utilizzo in attività di investigazione privata (Cass.,
sez. V, 13 febbraio 2009, n. 18006, in CED Cass. n. 243602); 5) alterato i dati contenuti nel sistema in modo tale da fare apparire
insussistente il credito tributario dell’Erario nei confronti di numerosi contribuenti (Cass., sez. V, 30 settembre 2008, n. 1727, in
CED Cass. n. 242938).
27
Ed infatti, «commette il reato previsto dall’art. 615-ter c.p. il soggetto che, «avendo titolo per accedere al sistema, lo utilizzi
per finalità diverse da quelle consentite» (Cass., sez. V, 8 luglio 2008, n. 37322, in CED Cass., n. 241202), «contro la volontà
espressa o tacita del titolare» (Cass., sez. V, 18 gennaio 2011, n. 24583, in CED Cass., n. 249822), «per raccogliere dati protetti per
finalità estranee alle ragioni di istituto ed agli scopi sottostanti alla protezione dell’archivio informatico, in quanto la norma non
punisce soltanto l’accesso abusivo ma anche la condotta di chi vi si mantenga contro la volontà espressa o tacita di chi ha il diritto di escluderlo» (Cass., sez. V, 10 dicembre 2009, n. 2987, in CED Cass., n. 245842; Cass., sez. V, 13 febbraio 2009, n. 18006, in
CED Cass., n. 243602). In dottrina v. R. Flor, Permanenza non autorizzata in un sistema informatico o telematico, violazione del segreto
d’ufficio e concorso nel reato da parte dell’extraneus, in Cass. pen., 2009, p. 1509 ss.; G. Aronica, L’accesso abusivo ad un sistema informatico o telematico nella giurisprudenza, in Indice pen., 2010, 1, p. 209; F. D’arcangelo, L’accesso ad un sistema informatico operato mediante
abuso del proprio titolo di legittimazione, in Il corriere del merito, 2009, 6, p. 660.
28
Cfr. Cass., sez. un., 27 ottobre 2011, n. 4694, in CED Cass., n. 251269; è stato, così, superato l’orientamento che tendeva ad
escludere la configurabilità del reato a carico del soggetto che, avendo titolo per accedere al sistema, continuava ad utilizzarlo
per acquisire informazioni per finalità estranee a quelle di ufficio, ferma restando la sua responsabilità per i diversi reati eventualmente configurabili (cfr. Cass., sez. VI, 8 ottobre 2008, n. 39290, in CED Cass., n. 242684; Cass., sez. V, 29 maggio 2008, n.
26797, in CED Cass., n. 240497; Cass., sez. V, del 20 dicembre 2007, n. 2534, in CED Cass., n. 239105). In dottrina V. Spinosa, La
prima sentenza delle Sezioni Unite sui reati informatici: interpretazione estensiva della condotta di permanenza abusiva nel sistema, in Indice pen., 2013, 1, p. 121 ss.
92
IL LUOGO DI CONSUMAZIONE DEL REATO
Il reato si consuma al momento dell’intrusione, in quanto l’elusione o la manipolazione delle barriere
elettroniche è indice della volontà di penetrare all’interno del sistema, mentre non è necessario che il
responsabile abbia agito per fini di lucro o semplicemente per gioco, ovvero abbia effettivamente carpito informazioni o impedito il funzionamento dell’unità di elaborazione, sebbene, di regola, l’intrusione
è preordinata alla lettura o alla duplicazione dei dati.
La disposizione, per la natura generica del dolo, prescinde dalle concrete finalità dell’agente e dagli
effetti provocati all’interno dell’elaboratore: non si richiede che all’introduzione faccia seguito l’acquisizione di informazioni segrete o riservate, la duplicazione o l’alterazione di dati, il danneggiamento del
sistema o la consultazione degli archivi senza il pagamento di un canone 29.
Con le tecnologie di comunicazione, il concetto di condotta, teorizzato per una realtà fisica nella quale le conseguenze sono percepibili ed empiricamente verificabili nel luogo dove si trova l’agente, sfuma
nella dimensione virtuale.
Il comando trasferito mediante tastiera corrisponde ad una “condotta smaterializzata” e rappresenta
uno degli elementi costitutivi dei reati informatici, che si connota per l’estrinsecazione di un atto di volontà dall’operatore attraverso un impulso elettronico diretto al computer 30.
Tutte le azioni che avvengono in rete assumono l’aspetto di comportamenti comunicativi, che consistono nella trasmissione o nel trasferimento di dati elettronici, come le istruzioni che vengono scambiate tra i sistemi informatici per coordinarne il reciproco funzionamento o i contenuti multimediali che
sono trasmessi tra gli utenti che utilizzano la tecnologia.
Il soggetto attivo è in grado di agire contemporaneamente sia sul computer di partenza, che su quello di destinazione, producendo uno o più eventi, i cui esiti dipendono dal tipo di istruzioni inviate e dai
programmi in concreto utilizzati 31.
Il concetto di sistema informatico prescinde dal luogo fisico ove sono conservati i dati, per cui il riferimento al tradizionale concetto di “violazione di domicilio”, al quale si è ispirata la creazione del domicilio informatico, non pare più attuale e pertinente 32.
La dimensione “aterritoriale” del cyberspazio si è incrementata negli ultimi anni con la diffusione
del “cloud computing”, che permette di memorizzare, archiviare, elaborare e condividere files su piattaforme delocalizzate in rete, alle quali è possibile accedere da qualunque punto del globo.
Il termine indica un sistema deputato alla archiviazione, elaborazione e uso di dati su computer
“remoti”, ossia un procedimento di “virtualizzazione delle macchine”, per l’accesso decentralizzato a
un gruppo di risorse informatiche condivise e modulari, che possono essere rapidamente attivate con
minima interazione con il fornitore di servizi: in altre parole si tratta di una rete che assicura la disponibilità dei dati digitali ovunque (documenti, librerie, applicazioni, ecc.), essendo soltanto necessario
l’utilizzo di una connessione di rete e, se previste, delle credenziali di autenticazione alla piattaforma 33.
Alcuni profili problematici potrebbero porsi qualora i dati oggetto di intrusione o accesso abusivo
siano archiviati su “cloud computing” o su un server che sfrutta tali servizi, perché sarebbe oltremodo di
difficile individuazione il luogo nel quale le informazioni sono archiviate e, inoltre, dovrebbe stabilirsi
29
Il delitto di accesso abusivo a un sistema informatico, «è un reato di mera condotta, che si perfeziona con la violazione del
domicilio informatico e, quindi, con l’introduzione in un sistema costituito da un complesso di apparecchiature che utilizzano
tecnologie informatiche, senza che sia necessario che l’intrusione sia effettuata allo scopo di insidiare la riservatezza dei legittimi
utenti o che si verifichi una effettiva lesione alla stessa» (Cass., sez. V, 6 febbraio 2007, n. 11689, in CED Cass. n. 236221). In dottrina A. Trucano, Sull’irrilevanza dello scopo perseguito nell’accesso abusivo ad un sistema informatico, in Giur. it., 2012, p. 1877.
30
In argomento v. M. Luberto-G. Zanetti, Il diritto penale dell’era digitale: caratteri, concetti e metafore, in Indice pen., 2008, 1, p. 500.
31
L. Cuomo-R. Razzante, La nuova disciplina dei reati informatici, Torino, 2009, p. 9 ss.; G. Pica, Internet, in Dig. pen., Agg., Torino, p. 426 ss.
32
C. De Robbio, Giurisdizione e competenza in materia penale, in Giur. di Merito, 2003, 12, p. 2610: il concetto cui fa riferimento
l’art. 615-ter c.p. (ma il discorso può essere esteso a buona parte dei reati informatici) nasce attraverso l’inserimento di informazioni (si pensi al software applicativo e operativo) e si separa all’esterno grazie ad altre informazioni (si pensi alle chiavi logiche
che delimitano l’accesso nel sistema)»
33
La tecnologia in parola è in costante crescita, come dimostra il proliferare di programmi come “Dropbox”, “Google Drive”,
“iCloud” e “SkyDrive” (D. La Muscatella, La ricerca delle fonti di prova sulle reti di cloud computing: le nuove frontiere delle investigazioni digitali tra profili giuridici e questioni operative, in Ciberspazio e diritto, 2013, 14, p. 477 ss.; A. Del Soldato, Attività di analisi forense su sistemi di cloud computing, in Ciberspazio e diritto, 2013, 14, p. 449 ss.).
93
quale sia la legge applicabile (ossia quella di appartenenza del soggetto che ha subito l’accesso illecito o,
in alternativa, quella del luogo straniero ove sono memorizzati i dati).
In relazione allo sfruttamento di queste tecnologie è importante stabilire se l’abusiva consultazione o
l’illecito accesso a informazioni, anche da dispositivi portatili o mobili, deve intendersi consumato nel
luogo ove si trovi l’utente o, alternativamente, in quello nel quale è collocato il server che contiene i dati.
Gli scenari futuri avranno sviluppi non ancora pienamente immaginabili, se si pensa alle opportunità offerte dalla diffusione dei cosiddetti “wearable devices”, che «sono dispositivi miniaturizzati “indossabili”, che si integrano con il corpo del fruitore, essendo concepiti per interagire costantemente con colui che li indossa, per agevolare l’utente nelle sue azioni e per consentirgli di accedere alle informazioni
raccolte in qualsiasi momento (es. sistemi per impiego biomedicale che monitorano parametri vitali o
per interagire con l’ambiente esterno al fine di accedere a luoghi, beni, servizi, conti correnti, ecc.)» 34.
Le Sezioni Unite, consapevoli delle ricadute della loro decisione sulle nuove modalità di comunicazione e di archiviazione a distanza dei dati, partendo dalla considerazione che il sistema di gestione dei dati
è unitario, hanno cercato di comporre definitivamente il conflitto, fornendo una soluzione semplificata
per individuare il giudice competente in grado di ampliare la sfera della giurisdizione nazionale e di ridurre le possibilità di contrasti tra diverse autorità giudiziarie o di ricorso a rogatorie internazionali.
I PRECEDENTI GIURISPRUDENZIALI
In considerazione della natura ubiquitaria dei reati informatici, che fa assumere rilevanza tanto al punto da cui fisicamente l’intrusore digita le credenziali di autenticazione per interrogare il server centrale,
quanto all’area ove è ubicato il sistema presidiato dalle misure di sicurezza, la giurisprudenza di legittimità ha in precedenza optato per la rilevanza esclusiva del luogo in cui si trova il domicilio informatico che racchiude i dati oggetto di protezione.
La Suprema Corte, risolvendo un conflitto di competenza analogo a quello in esame, ha attribuito
preminenza al luogo dove è fisicamente collocato il server contenente i dati, che elabora e controlla le
credenziali di autenticazione del client, a nulla rilevando la diversa ubicazione del terminale remoto dal
quale è partita l’interrogazione dell’elaboratore centrale 35.
Per giungere a tali conclusioni, è stato valorizzato non solo lo “ius excludendi” del titolare, ma soprattutto
la funzione di verifica e controllo della genuinità delle credenziali di autenticazione inserite dall’utente, attraverso una procedura informatica di validazione di conformità che è eseguita presso il server.
Più precisamente, l’accesso avviene nel luogo in cui è effettivamente superata la protezione informatica e si verifica l’introduzione nel sistema e, quindi, là dove è materialmente situato il server violato,
ossia l’elaboratore che controlla le credenziali elettroniche del client.
Il luogo in cui si consuma il reato, quindi, non è quello nel quale vengono inseriti i dati idonei a entrare nel sistema, bensì quello in cui si verifica l’accesso che, per i server che distribuiscono informazioni diffuse sul territorio, coincide con la sede dell’Amministrazione centrale ove è allocato il sistema telematico.
A tale scopo non possono prendersi in considerazione né le successive condotte di acquisizione e
uso dei dati, né il luogo in cui l’accesso al sistema è iniziato attraverso i terminali che costituiscono meri
strumenti passivi di consultazione.
La procedura di accesso deve ritenersi un atto prodromico alla introduzione con strumenti virtuali
che avviene solo nel momento in cui si entra effettivamente nel server dopo avere completato la validazione o la verifica delle credenziali dell’utente che, appunto, è eseguita dal sistema centrale.
Nel momento in cui l’utente digita le credenziali non fa cessare la propria condotta, ma la fa strumentalmente proseguire, ancorché smaterializzata, sino al compimento della verifica all’ingresso delle
misure di sicurezza logiche presenti sul “server web”, essendo queste che manifestano lo jus excludendi
del “dominus loci”.
D’altro canto, è sempre il server web violato che conserva le informazioni dell’accesso o della permanenza del client, mantenendo traccia all’interno dei “file-log” di tutte le attività compiute a partire dall’accesso
sino all’uscita dal sistema (tra cui indirizzo IP del client, login, data di accesso e pagine visitate).
34
E. Germani-L. Ferola, Il wearable computing e gli orizzonti futuri della privacy, in Dir. informaz. e informatica, 2014, I, p. 75 ss.
35
Cass., sez. I, 27 maggio 2013, n. 40303, in CED Cass., n. 257252.
94
In realtà, il criterio attributivo della competenza territoriale sulla base del luogo in cui è allocato il
server non è isolato e non è stato affermato solo per il reato di cui all’art. 615-ter c.p., ma trova riscontro
anche in altro indirizzo giurisprudenziale riguardante il reato di frode informatica, in relazione al quale
è stata ritenuta decisiva la sede aziendale che ospita l’elaboratore elettronico le cui informazioni siano
state illecitamente manipolate 36.
L’opzione ermeneutica che ha fissato presso il server il luogo di consumazione del reato fa leva sulla
considerazione che l’ingresso attraverso un dispositivo di immissione dei dati a distanza si verifica nel
momento in cui il sistema telematico controlla in modo univoco la dichiarazione di identità della persona o individua con certezza l’utente legittimo 37, al quale viene così consentito di superare i meccanismi di difesa contro le intrusioni indesiderate 38.
Questa soluzione, però, determina come conseguenza il radicamento della competenza territoriale
sempre nel luogo dove è ubicato il server, senza tacere che se l’unità di elaborazione centrale è ubicata
all’estero (ad esempio sfruttando piattaforme su “cloud”) potrebbero porsi anche profili di giurisdizione
e la necessità di ricorrere a rogatorie internazionali per la raccolta delle tracce informatiche e delle impronte telematiche 39.
La dottrina ha evidenziato in senso critico le ricadute del radicamento della competenza territoriale
nel luogo di ubicazione del server per la anomala «concentrazione in Roma della gran parte delle banche dati pubbliche (ministeri, centri di comando delle forze di polizia, ecc.), che rischierebbe di diventare il foro competente per gran parte dei reati di accesso abusivo a sistema informatico o telematico» 40.
L’originario criterio attributivo della competenza è stato successivamente confutato e contraddetto
dalla ordinanza di rimessione della questione alle Sezioni Unite, fino al punto di spingersi a sostenere
che il client e il server sono i componenti e gli elementi costitutivi (hardware) di un unico sistema telematico, per cui l’accesso penalmente sanzionato inizierebbe dalla postazione remota e, quindi, il perfezionamento del reato avverrebbe nel luogo ove si trova l’utente 41.
La ricostruzione alternativa proposta dalla giurisprudenza sarebbe in grado di soddisfare anche l’esigenza – cui è ispirato il criterio della competenza territoriale – di rendere più agevole e rapida la raccolta degli elementi di prova, così da «assicurare un maggior controllo sociale nel luogo in cui è avvenuta la attività illecita» 42.
36
La Terza Sezione, con sentenza del 24 maggio 2012, n. 23798, in CED Cass., n. 253633, ha affermato che «ai fini della determinazione della competenza territoriale, nel reato di frode informatica il momento consumativo va individuato nel luogo di
esecuzione della attività manipolatoria del sistema di elaborazione dei dati, che può coincidere con il conseguimento del profitto anche non economico. (Fattispecie nella quale il luogo di commissione del reato è stato individuato nella sede della società
gestita dagli imputati, presso la quale si trovavano i server contenenti i dati oggetto di abusivo trattamento)».
37
A. Gasparre, Palleggio di fascicoli da un Foro all’altro per determinare la competenza territoriale, in Dir. e giustizia, 2013, p. 1133.
38
La «consumazione» del reato va individuata nel momento in cui il soggetto sia riuscito ad eludere le “misure di protezione” e a conquistare la possibilità di accedere ai dati contenuti nel sistema» (G. Aronica, L’accesso abusivo ad un sistema informatico
o telematico nella giurisprudenza, in Indice pen., 2010, 1, p. 204): e, cioè, quando l’agente, avendo avuto accesso abusivamente al
sistema, abbia preso cognizione dei dati, delle informazioni e dei programmi ivi rinvenibili (R. Flor, Art. 615-ter c.p.: natura e funzioni delle misure di sicurezza, consumazione del reato e bene giuridico protetto, in Dir. pen. proc., 2008, p. 109).
39
Per superare tali inconvenienti, i segnali di un possibile mutamento di indirizzo all’interno della giurisprudenza della Prima Sezione potevano già cogliersi nella sentenza 15 luglio 2014, n. 34165, in Riv. it. dir. proc. pen., 2014, p. 1503: in tale vicenda processuale,
concernente una ipotesi di accesso al sistema SDI del Ministero dell’Interno, il giudice dell’udienza preliminare presso il tribunale di
Roma aveva sollevato il conflitto ex art. 28 c.p.p. con il tribunale di Firenze, che aveva precedentemente dichiarato la propria incompetenza per ragioni territoriali. In motivazione, la Suprema Corte ha messo in luce la problematicità del tema, con affermazioni che preludevano a una nuova presa di posizione sull’argomento, osservando che «le argomentazioni del pubblico ministero che ha sollecitato
il conflitto e del giudice che l’ha sollevato, così come quelle delle parti intervenute, hanno il pregio di sviscerare con maestria argomenti
scientifici e giuridici, dibattuti sia in giurisprudenza sia in dottrina, meritevoli di attento vaglio critico, attesa la rilevanza delle questioni
agitate e la ricordata incidenza su procedimenti che risultano svolti in ambiti territoriali diversi».
40
Così C. F. Grosso, Su di un’interessante controversia interpretativa in tema di luogo del commesso reato e di giudice competente per
territorio in materia di accesso abusivo in un sistema informatico, in Riv. it. dir. proc. pen., 2014, p. 1522; M. Bellacosa, Il luogo di consumazione del delitto di accesso abusivo a un sistema informatico o telematico: in attesa delle Sezioni Unite, in www.penalecontemporaneo.it;
G. Amato, Sanzionato l’ingresso e il trattenimento illecito: irrilevanti i collegamenti dal terminale periferico, in Guida dir., 2011, 45, p. 80.
41
Cass., sez. I, 28 ottobre 2014, n. 52575, in www.cortedicassazione.it.
42
C. Pecorella, La Cassazione sulla competenza territoriale per il delitto di accesso abusivo a un sistema informatico o telematico, in
www.penalecontemporaneo.it
95
La problematica dianzi esposta evidenzia come in materia si contrappongano due modi profondamente diversi di intendere la spazialità dei reati informatici, uno ancorato al concetto classico di fisicità
e di materialità del luogo dove è collocato il server, l’altro più attento alle modalità di funzionamento
delocalizzato (all’interno della rete) dei sistemi informatici e telematici.
LA SOLUZIONE DELLE SEZIONI UNITE
Le Sezioni Unite si sono orientate per una soluzione diversa, che tende a ritenere violata la riservatezza dei dati o il “domicilio informatico” nel luogo in cui materialmente avviene la digitazione delle
credenziali di accesso ed il loro invio al sistema telematico.
Per giungere a questa conclusione, che radica la competenza territoriale nel luogo in cui si trova la
postazione remota (c.d. “client”), la Suprema Corte ha considerato l’intera architettura di sistema (server, terminali e rete di trasporto delle informazioni) come un unico elaboratore elettronico, altrimenti
definito “sistema telematico”.
A fondamento di questa ricostruzione si pone un diverso modo di concepire il funzionamento delle reti e di intendere il concetto di “sistema informatico”, che deve essere considerato nel suo complesso, comprensivo del server contenente la banca dati così come dei terminali ad esso collegati o interconnessi.
In questa prospettiva, il terminale, ancorato ad una specifica localizzazione fisica, opererebbe in un
contesto immateriale e delocalizzato, in grado di coinvolgere contemporaneamente tutti gli ambiti attraverso i quali esso opera: un dato immesso o modificato da una sede periferica si inserisce contestualmente nel sistema informatico centrale ed è contestualmente presente in tutta la rete.
La competenza radicata nel luogo in cui si trova il client valorizza l’unica condotta materiale qualificabile come “azione informatica” e riconducibile alla volontà del soggetto agente, che consiste nella digitazione dal terminale periferico di “username” e “password”, oltre che nella pressione del tasto di invio.
La sola condotta criminosa fisicamente percepibile, nel senso di “movimento muscolare” dell’agente,
è proprio l’attivazione del terminale periferico da parte dell’operatore, perché l’impulso (sotto forma di
energie o bit) parte, non può più essere bloccato, determina automaticamente il superamento delle barriere informatiche di accesso e pone automaticamente il soggetto agente nella condizione di consultare
le informazioni contenute nella banca dati 43.
Anche in tal senso rileva non il luogo in cui si trova il server, ma quello decentrato da cui l’operatore,
a mezzo del client, interroga il sistema centrale che gli restituisce le informazioni richieste, che entrano
nella sua disponibilità mediante un processo di visualizzazione sullo schermo, stampa o archiviazione
su disco o altri supporti materiali.
Le descritte attività coincidono con le operazioni di “trattamento” compiute sul client, che l’art. 4,
lett. a), d.lgs. 30 giugno 2003, n. 196 (codice della privacy) definisce come «qualunque operazione o complesso di operazioni, effettuati anche senza l’ausilio di strumenti elettronici, concernenti la raccolta, la
registrazione, l’organizzazione, la conservazione, la consultazione, l’elaborazione, la modificazione, la
selezione, l’estrazione, il raffronto, l’utilizzo, l’interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati».
In effetti, la concezione della architettura di rete come un “unico sistema telematico” consente di sostenere
che il reato, nella sua versione commissiva (l’intrusione) si consuma nel luogo ove si trova il terminale utilizzato dall’operatore perché quella, a prescindere dalla presenza o meno di dati, è una delle porte di accesso 44.
La soluzione ricostruttiva delle Sezioni Unite aderisce all’impostazione dell’ordinanza di rimessione,
che, abbandonando il criterio della collocazione spaziale del server, opta per quello della localizzazione
del “client”, che «non costituisce soltanto un mezzo di accesso ma, al pari del computer denominato server ubicato presso la sede centrale, corrisponde ad un componente informatico essenziale» 45.
La Suprema Corte, seguendo un’opzione interpretativa che asseconda il reale funzionamento delle
reti telematiche, ha superato ogni sovrapposizione tra realtà virtuale e dimensione materiale, prendendo atto che «quando si parla di introduzione in un sistema informatico non viene in rilievo l’ingresso
43
C. F. Grosso, Su di un’interessante controversia interpretativa, cit., p. 1524 ss.
44
D. Minotti, Per la cassazione l’oggetto della tutela concreta coincide con il luogo dove sono conservati i dati, in Guida dir., 2013, 43, p. 76.
45
P. De Martino, Rimessa alle Sezioni Unite una questione in tema di competenza territoriale del delitto di accesso abusivo ad un sistema informatico, in www.penalecontemporaneo.it
96
all’interno dell’apparecchio fisicamente collocato presso una piuttosto che un’altra sede (il server), ma
l’accesso nel suo complesso, di cui fanno parte non soltanto l’hardware centrale ma tutti i terminali collegati.
In tal senso acquista importanza il punto di accesso alla rete, inteso come luogo fisico attraverso il
quale l’utente fa ingresso in una realtà immateriale e delocalizzata più complessa, nella quale confluiscono e vengono trattate le informazioni, fisicamente raccolte nella banca dati, che sono state inserite
dai terminali periferici, contemporaneamente presenti in ogni punto interconnesso.
Qualora il sistema telematico in questione fosse osservato secondo le tradizionali, ma insufficienti
categorie fisico-spaziali, si potrebbe essere indotti a scomporre e suddividere la rete e i singoli elementi
costitutivi tra loro, separando i terminali periferici dal server centrale.
Al contrario, l’intero sistema telematico si caratterizza proprio per un processo costante di continua
interazione tra il server e i client: da una parte, le postazioni periferiche consentono l’immissione di nuove informazioni e la consultazione dei dati già raccolti, dall’altra il patrimonio comune di dati acquisiti
ed elaborati è contestualmente compresente e consultabile presso tutte le postazioni remote abilitate.
Le singole postazioni remote non sono meri “strumenti di accesso” al sistema, ma costituiscono esse
stesse il sistema, in quanto partecipano in modo interattivo alla acquisizione e alla integrazione dei dati e
hanno in ogni momento, e contestualmente, la disponibilità delle informazioni raccolte nel “data-base”.
L’accesso dopo l’inserimento delle chiavi logiche non coincide con l’ingresso all’interno del server fisicamente collocato in un determinato luogo, ma con l’introduzione telematica o virtuale, che avviene
instaurando un colloquio elettronico o circuitale con il sistema centrale e, al contempo, con tutti i terminali ad esso collegati.
L’utilizzo delle credenziali di autenticazione e la pressione del tasto di invio presso i terminali locali
determina l’istantaneo perfezionamento della fattispecie delittuosa, in quanto trasmette la stringa di
comandi che provoca l’immediato accesso alle informazioni presenti nella banca dati.
L’intrusione nel sistema informatico o telematico è integrata già con la digitazione alla tastiera dei
comandi con cui si richiede a un elaboratore di fornire determinati dati o di eseguire una operazione,
instaurando un dialogo logico e automatizzato con il terminale richiedente.
Se si condivide questa ricostruzione, coerente con la realtà di una rete telematica, l’identificazione
del luogo del commesso reato coincide con quello in cui, dalla postazione remota, è inserita la password
(procedura di “login”), viene premuto il tasto di invio e, di conseguenza, il soggetto si pone nella condizione di acquisire, leggendole, le informazioni 46.
Il luogo dal quale l’utente si è immesso nella rete – che nella maggior parte dei casi è quello in cui si
reperiscono le prove del reato e la violazione è stata percepita dalla collettività – è consono al concetto
di giudice naturale, radicato al “locus commissi delicti” di cui all’art. 25 Cost.
La rilevanza dell’ubicazione della postazione remota, peraltro, soddisfa anche l’esigenza di rendere
più agevole e rapido lo svolgimento delle indagini e di affermare il diritto e la giustizia proprio nel luogo in cui è stato commesso l’illecito, in quanto le prove di un accesso abusivo sono certamente nel “server”, ma anche nel terminale (“client”) per mezzo del quale è stata commessa l’intrusione 47.
Se l’azione dell’uomo si è realizzata in un certo luogo – sia pure attraverso l’uso di uno strumento
informatico e, dunque, per sua natura destinato a produrre flussi di dati privi di una loro "consistenza
territoriale" – non v’è ragione alcuna per ritenere che quella condotta, qualificata dalla legge come reato, non si sia verificata proprio in quel contesto territoriale.
Per sostenere la esclusiva rilevanza del luogo di utilizzo del dispositivo “mobile” o “remoto” le Sezioni Unite ricorrono anche ad un altro indice di localizzazione della condotta, rappresentato dalle modalità di configurazione delle circostanze aggravanti, che rinviano ad una azione umana fisicamente
ben determinata e al luogo spazialmente circoscritto in cui si trova l’agente, come nel caso della commissione del fatto con violenza sulle cose o alle persone e del danneggiamento o interruzione del sistema per effetto di attività manipolatorie (ad esempio con introduzione di virus).
La conclusione descritta è idonea a orientare l’interprete anche nei casi in cui il collegamento al sistema centrale sia realizzato da un dispositivo mobile (del tipo “tablet” o “smartphone”) o in movimento
sul territorio.
46
C.F. Grosso, Su di un’interessante controversia interpretativa, cit., p. 1524 ss.
47
S. Aterno, Osservazioni a Cass. pen., sez. I, 27 maggio 2013, n. 40303, in Cass. pen., 2014, p. 1706.
97
In tali evenienze, qualora non sia possibile ricostruire con precisione il luogo attraversato al momento dell’accesso abusivo, la competenza per territorio sarebbe comunque determinabile attraverso le regole suppletive di cui all’art. 9 c.p.p. 48.
La tecnologia è in continua evoluzione e i sistemi informatici o telematici stanno diventando dispositivi sempre più versatili e complessi: il legislatore deve fissare al più presto regole certe per stabilire la
competenza territoriale, armonizzando tra loro alcuni parametri come il luogo in cui si trova il sistema
telematico, il server, la banca dati o l’autore del reato.
Al momento, le modalità di risoluzione del contrasto proposte dalle Sezioni Unite rappresentano
l’unica spiegazione tecnica al passo con la più avanzata tecnologia, caratterizzata da un progressivo fenomeno di accesso “virtualizzato” e “remotizzato” alle informazioni, specie rispetto ai casi in cui la
banca dati violata non si trovi in un luogo fisicamente individuabile, ma sia delocalizzata attraverso
servizi di “cloud computing”.
Nell’era del “cloud-computing”, che viene considerato per definizione un luogo o un ambiente virtuale nel quale l’uomo conserva i propri dati e i documenti informatici, è necessario elaborare nuove regole
giuridiche per governare l’accesso ad informazioni, a “risorse-web” o a dati, destinati ad essere fruiti
contemporaneamente da una moltitudine di soggetti residenti in più luoghi.
La fissazione di criteri innovativi per stabilire la competenza territoriale dell’autorità giudiziaria nei
reati commessi nella rete informatica globale potrà certamente contribuire a tracciare un nuovo percorso ermeneutico in grado di adeguare il diritto penale alla evoluzione delle tecnologie.
48
M. Bellacosa, Il luogo di consumazione del delitto di accesso abusivo a un sistema informatico o telematico: in attesa delle Sezioni
Unite, in www.penalecontemporaneo.it

APRI PDF - Processo Penale e Giustizia

Transcript

Documenti analoghi

Zucchetti S.p.A. - Informagiovani

Gian Pietro Camisa

Il contratto di outsourcing in ambito informatico

Avaloq Career – Apprendista Informatico

IT Euro Consulting offre a Neolaureati in materie di tipo Informatico

accesso abusivo a sistema informatico

L`ORGANIZZAZIONE E LA GESTIONE DEL SISTEMA

Programma-del-corso-documenti-informatici-tab