Accesso abusivo al sistema informatico: il locus commissi delicti è quello in cui si trova l’operatore

In tema di accesso abusivo ad un sistema informatico o telematico, il luogo di consumazione del delitto di cui all’art. 615 ter c.p. coincide con quello in cui si trova l’utente che, tramite elaboratore elettronico o altro dispositivo per il trattamento automatico dei dati, digitando la parola chiave” o altrimenti eseguendo la procedura di autenticazione, supera le misure di sicurezza apposte dal titolare per selezionare gli accessi e per tutelare la banca – dati memorizzata all’interno del sistema centrale ovvero vi si mantiene eccedendo i limiti dell’autorizzazione ricevuta.

Lo ha stabilito la Corte di Cassazione con la sentenza n. 36338/15, depositata l’8 settembre. Il caso. Il gup del Tribunale di Roma proponeva conflitto di competenza avverso la sentenza del gup del Tribunale di Venezia emessa nel procedimento instaurato nei confronti di un uomo imputato del delitto di cui all’art. 615 ter c.p. Accesso abusivo ad un sistema informatico . La sentenza del gup del Tribunale di Venezia, infatti, aveva individuato la competenza dell’autorità giudiziaria di Roma, luogo dove si trova il server a servizio del sistema. Il gup del Tribunale di Roma, invece, richiamava la giurisprudenza delle Sezioni Unite del Supremo Collegio che hanno stabilito che il luogo di consumazione del delitto di accesso abusivo ad un sistema informatico è quello del luogo in cui si trova il soggetto che effettua l’introduzione abusiva. Il luogo di consumazione del delitto è quello in cui si trova l’utente. Sul punto, gli Ermellini hanno preliminarmente ricordato che le Sezioni Unite del Supremo Collegio hanno recentemente stabilito che in tema di accesso abusivo ad un sistema informatico o telematico, il luogo di consumazione del delitto di cui all’art. 615 ter c.p. coincide con quello in cui si trova l’utente che, tramite elaboratore elettronico o altro dispositivo per il trattamento automatico dei dati, digitando la parola chiave” o altrimenti eseguendo la procedura di autenticazione, supera le misure di sicurezza apposte dal titolare per selezionare gli accessi e per tutelare la banca – dati memorizzata all’interno del sistema centrale ovvero vi si mantiene eccedendo i limiti dell’autorizzazione ricevuta . I terminali periferici non possono separati dal server centrale. Da un punto di vista tecnico, precisano i Giudici di Piazza Cavour, il sistema deve infatti considerarsi unitario, senza che sia possibile separare i terminali periferici dal server centrale. I terminali, infatti, secondo la modulazione dei profili di accesso e l’organizzazione della banca – dati, non si limitano soltanto ad accedere alle informazioni contenute nel database, ma sono abilitati a immettere nuove informazioni o a modificare quelle preesistenti, con potenziale beneficio per tutti gli utenti della rete, che possono fruire di dati più aggiornati e completi per effetto dell’interazione di un maggior numero di operatori. L’accesso non coincide con l’ingresso nel server fisicamente collocato in un certo luogo. Alla luce di questa considerazione, va precisato che la nozione di accesso in un sistema informatico non coincide con l’ingresso all’interno del server fisicamente collocato in un determinato luogo, ma con l’introduzione telematica o virtuale, che avviene instaurando un colloquio” elettronico con il sistema centrale e con tutti i terminali ad esso collegati. L’accesso inizia con l’unica condotta umana di natura materiale, consistente nella digitazione da remoto delle credenziali di autenticazione da parte dell’utente, mentre tutti gli eventi successivi sono sostanzialmente comportamenti comunicativi tra il client e il server . L’ingresso o l’introduzione abusiva, allora, devono considerarsi integrati nel luogo in cui l’operatore materialmente digita la password di accesso o esegue la procedura di login , superando delle misure di sicurezza apposte dal titolare del sistema ed in tal modo realizzando l’accesso alla banca dati. Ne deriva che il luogo del commesso reato si identifica con quello nel quale dalla postazione remota l’agente si interfaccia con l’intero sistema, digita le credenziali di autenticazione e preme il testo di avvio, ponendo così in essere l’unica azione materiale e volontaria che lo pone in condizione di entrare nel dominio delle informazioni che vengono visionate direttamente all’interno della postazione periferica . Per tutte le considerazioni sopra esposte, la Corte ha dichiarato la competenza del gup del Tribunale di Venezia.

Corte di Cassazione, sez. I Penale, sentenza 23 luglio – 8 settembre 2015, n. 36338 Presidente Chieffi – Relatore Rocchi Ritenuto in fatto 1. Con l'ordinanza indicata in epigrafe, il Giudice dell'udienza preliminare dei Tribunale di Roma propone conflitto di competenza avverso la sentenza dei G.U.P. dei Tribunale di Venezia emessa nel procedimento instaurato nei confronti di D.N., imputato del delitto di cui all'art. 615 ter cod. pen. per essersi introdotto nel sistema informatico S.D.I. in concorso con un assistente della Polizia di Stato. La sentenza di incompetenza dei G.U.P. dei Tribunale di Venezia aveva individuato la competenza dell'A.G. di Roma, luogo dove si trova il server a servizio dei sistema. Il G.U.P. dei Tribunale di Roma richiama la sentenza delle Sezioni Unite di questa Corte dei 27/3/2015 che hanno statuito che il luogo di consumazione del delitto di accesso abusivo ad un sistema informatico è quello dei luogo in cui si trova il soggetto che effettua l'introduzione abusiva nel caso in esame, Chioggia. Considerato in diritto 1. La competenza sul procedimento in esame spetta al Tribunale di Venezia. Questa Corte a Sezioni Unite ha recentemente stabilito, in tema di accesso abusivo ad un sistema informatico o telematico, che il luogo di consumazione dei delitto di cui all'art. 615 ter cod. pen. coincide con quello in cui si trova l'utente che, tramite elaboratore elettronico o altro dispositivo per il trattamento automatico dei dati, digitando la parola chiave o altrimenti eseguendo la procedura di autenticazione, supera le misure di sicurezza apposte dal titolare per selezionare gli accessi e per tutelare la banca-dati memorizzata all'interno dei sistema centrale ovvero vi si mantiene eccedendo i limiti dell'autorizzazione ricevuta Sez. U, n. 17325 dei 26/03/2015 - dep. 24/04/2015, Confl. comp. in proc. Rocco, Rv. 263020 . La decisione osserva che, da un punto di vista tecnico-informatico, il sistema telematico deve considerarsi unitario, essendo coordinato da un software di gestione che presiede al funzionamento della rete, alla condivisione della banca dati, alla archiviazione delle informazioni, nonché alla distribuzione e all'invio dei dati ai singoli terminali interconnessi. Consegue che è arbitrario effettuare una irragionevole scomposizione tra i singoli componenti dell'architettura di rete, separando i terminali periferici dal server centrale, dovendo tutto il sistema essere inteso come un complesso inscindibile nel quale le postazioni remote non costituiscono soltanto strumenti passivi di accesso o di interrogazione, ma essi stessi formano parte integrante di un complesso meccanismo, che è strutturato in modo da esaltare la funzione di immissione e di estrazione dei dati da parte dei client. I terminali, secondo la modulazione di profili di accesso e l'organizzazione della banca-dati, non si limitano soltanto ad accedere alle informazioni contenute nel database, ma sono abilitati a immettere nuove informazioni o a modificare quelle preesistenti, con potenziale beneficio per tutti gli utenti della rete, che possono fruire di dati più aggiornati e completi per effetto dell'interazione di un maggior numero di operatori. Alla luce di questa considerazione, va focalizzata la nozione di accesso in un sistema informatico, che non coincide con l'ingresso all'interno del server fisicamente collocato in un determinato luogo, ma con l'introduzione telematica o virtuale, che avviene instaurando un colloquio elettronico o circuitale con il sistema centrale e con tutti i terminali ad esso collegati. L'accesso inizia con l'unica condotta umana di natura materiale, consistente nella digitazione da remoto delle credenziali di autenticazione da parte dell'utente, mentre tutti gli eventi successivi assumono i connotati di comportamenti comunicativi tra il client e il server. L'ingresso o l'introduzione abusiva, allora, vengono ad essere integrati nel luogo in cui l'operatore materialmente digita la password di accesso o esegue la procedura di login, che determina il superamento delle misure di sicurezza apposte dal titolare dei sistema, in tal modo realizzando l'accesso alla banca dati. Da tale impostazione, coerente con la realtà di una rete telematica, consegue che il luogo dei commesso reato si identifica con quello nel quale dalla postazione remota l'agente si interfaccia con l'intero sistema, digita le credenziali di autenticazione e preme il testo di avvio, ponendo così in essere l'unica azione materiale e volontaria che lo pone in condizione di entrare nel dominio delle informazioni che vengono visionate direttamente all'interno della postazione periferica. Nel caso di specie, tale condotta è stata posta in essere a Chioggia. P.Q.M. Dichiara la competenza del G.U.P. del Tribunale di Venezia cui dispone trasmettersi gli atti.