In tema di giurisdizione penale per reati informatici, la Cassazione applica l’articolo 6 c.p. (teoria dell’ubiquità) e annulla il proscioglimento per erronea qualificazione come reato commesso all’estero.
Con la pronuncia in oggetto, la Seconda Sezione penale della Cassazione annulla la decisione del Tribunale di Firenze che aveva dichiarato il non doversi procedere per difetto dei requisiti ex articolo 10 c.p. , ritenendo i reati commessi all'estero. Il Procuratore generale aveva dedotto violazione degli articolo 6 c.p. e 9 c.p.p. e dell'articolo 554- bis c.p.p. , sostenendo che, in un contesto di frode informatica attuata con tecnica man in the middle , plurimi segmenti della condotta e degli eventi si sono verificati in Italia (induzione in errore, atti dispositivi, danno), con conseguente radicamento della giurisdizione. La Corte ricostruisce il perimetro dell' articolo 6, comma 2, c.p. , valorizzando la nozione “frammentata” del locus commissi delicti e la teoria dell'ubiquità : il reato si considera commesso in Italia se qui si verifica anche solo parte dell'azione od omissione o l'evento. In particolare, per l'accesso abusivo ( articolo 615- ter c.p. ) l'azione rilevante include, oltre all'operare dall'estero su un computer remoto, l'introduzione nel sistema protetto collocato in Italia (es. account email presso ISP nazionale); per la frode informatica ( articolo 640- ter c.p. ), reato a condotta frazionata, è sufficiente che uno degli eventi tipici si realizzi in Italia. Richiamando la giurisprudenza di legittimità, il Collegio afferma la piena applicabilità del combinato disposto degli articolo 6 c.p. e 9, comma 1, c.p.p. , ritenendo erronea la sussunzione nel paradigma dell' articolo 10 c.p. operata dal giudice di merito, che aveva guardato al solo luogo della consumazione finale (conseguimento del profitto in Ungheria). Con ciò, viene riaffermato un orientamento funzionale a contrastare le frodi transfrontaliere digitali , evitando vuoti di tutela e garantendo l'effettività della giurisdizione nazionale quando l'offesa e gli atti dispositivi colpiscono soggetti ed attività economiche radicate nel territorio italiano, anche se le operazioni informatiche del reo sono materialmente gestite dall'estero. La decisione assume particolare rilievo pratico per indagini su schemi di cybercrime che sfruttano infrastrutture locali (ISP, caselle di posta, conti delle vittime) e per la corretta individuazione della competenza e della legge applicabile , imponendo di qualificare con precisione i luoghi di accadimento dei singoli frammenti di condotta ed evento tipico. In sintesi, la Corte chiarisce: a) il criterio dell'ubiquità radica la giurisdizione italiana; b) per l' articolo 615- ter c.p. rileva anche il luogo del sistema violato; c) per l' articolo 640- ter c.p. è sufficiente che induzione, atto dispositivo o danno si manifestino in Italia; d) non è corretto arrestarsi al luogo del profitto estero; e) occorre, se del caso, correggere la contestazione per allineare il capo d'imputazione ai luoghi effettivi dei frammenti di reato.
Presidente Pellegrino - Relatore Nicastro Ritenuto in fatto 1. Con sentenza del 17/12/2024, il Tribunale di Firenze, in composizione monocratica, in esito all'udienza di comparizione predibattimentale, dichiarava non doversi procedere nei confronti del cittadino straniero B.R. in ordine ai reati di accesso abusivo a un sistema informatico ( articolo 615-ter cod. pen. ) e di frode informatica ( articolo 640-ter cod. pen. ) a lui contestati perché l'azione penale non doveva essere iniziata per difetto dei requisiti di cui all' articolo 10 cod. pen. , in particolare, della condizione di procedibilità della presenza del B.R. nel territorio dello Stato. 2. Avverso tale sentenza del 17/12/2024 del Tribunale di Firenze, ha proposto ricorso per cassazione il Procuratore generale presso la Corte d'appello di Firenze, affidato a due motivi, illustrati con un'argomentazione unitaria, con i quali deduce l'inosservanza o l'erronea applicazione degli articolo 6 e 9, primo comma, cod. pen. , e dell'articolo 554-bis, comma 6, cod. proc. pen. (primo motivo), e la contraddittorietà della motivazione (secondo motivo). Il ricorrente deduce che il Tribunale di Firenze, nonostante il capo d'imputazione, là dove indica, quale luogo di commissione dei reati, (OMISSIS), si dovesse ritenere «mal formulato», avrebbe dovuto fare corretta applicazione dell' articolo 6 cod. pen. e, eventualmente, invitare il pubblico ministero a correggere lo stesso capo d'imputazione con riguardo al luogo di commissione dei reati. Dopo avere trascritto il testo dell' articolo 6, secondo comma, cod. pen. , e dell'articolo 9, comma 1, cod. proc. pen., il Procuratore generale presso la Corte d'appello di Firenze espone che il delitto di truffa, come quello di frode informatica - che, come affermato dalla Corte di cassazione, ha la medesima struttura e i medesimi elementi costitutivi della truffa (è citata, in tale senso: Sez. 2, n. 10354 del 05/02/2020, Gerbino, Rv. 278518-01) - si configurerebbe come a consumazione prolungata o a condotta frazionata (come argomentato da Sez. 2, n. 13916 del 11/12/2013, dep. 2014, Bignami, non massimata). Ciò posto, il ricorrente deduce che «[i] reati per i quali si procede, quantomeno quello più grave di cui all' articolo 640 ter c.p. infatti, risultano commessi non a (OMISSIS) dove l'imputato avrebbe conseguito il profitto, ma in territorio italiano e precisamente in (OMISSIS) (SI) e in (OMISSIS) (AR) laddove, come emerge chiaramente dalla motivazione della sentenza e dal contenuto delle denunce sporte, le persone offese F. e F. si trovavano quando sono state indotte in errore e persuase, tramite la tecnica denominata man in thè middle , di comunicare tra di loro relativamente alle ordinarie transazioni commerciali in corso e ad effettuare gli atti di disposizione patrimoniale consistiti nel pagamento di ordini effettuati tramite l'agente di commercio F. su quello che ritenevano erroneamente essere l'IBAN dei fornitori». Il Procuratore generale presso la Corte d'appello di Firenze riporta poi la massima di Sez. 2, n. 14744 del 01/02/2017, Turcato, secondo cui, «ai fini della determinazione della competenza territoriale per il reato di truffa consumata all'estero, nell'ipotesi in cui anche uno solo degli eventi (artifici e raggiri, induzione in errore, atti di disposizione patrimoniale, ingiusto profitto) si sia realizzato nel territorio dello Stato, è competente il giudice dell'ultimo luogo in cui si è verificato uno dei suddetti fatti, in applicazione degli articolo 6 e 9, comma primo, cod. proc. pen. » (Rv. 269681-01). Il ricorrente sottolinea come, con tale sentenza - che afferma essere relativa a una vicenda del tutto analoga a quella in questione - la Corte di cassazione abbia ritenuto immune da censure la decisione che aveva ravvisato la competenza del tribunale del luogo in cui la parte offesa aveva effettuato il bonifico, destinato a un conto corrente aperto su una banca estera. Considerato in diritto 1. Si deve preliminarmente dare atto che la notificazione all'imputato B.R., che è assistito da un difensore di ufficio, dell'avviso della data dell'udienza è stata eseguita mediante consegna al medesimo difensore (l'avv. Domenico Lombardo) ai sensi dell' articolo 169 cod. proc. pen. , dopo al B.R. è stata inviata, presso l'Istituto penitenziario e Prigione di (OMISSIS) dove egli si trova ristretto, raccomandata con avviso di ricevimento, tradotta in lingua ungherese, contenente, oltre all'indicazione dell'autorità procedente, del titolo del reato e del luogo in cui è stato commesso, l'invito a dichiarare o eleggere domicilio nel territorio dello Stato, senza che lo stesso B.R. abbia a ciò provveduto nel termine di trenta giorni dalla ricezione della medesima raccomandata. 2. Dato atto di ciò, il ricorso è fondato. Col ritenere che i contestati reati di accesso abusivo a un sistema informatico e di frode informatica fossero stati commesso dal B.R. all'estero, con la conseguente applicabilità dell' articolo 10 cod. pen. , il Tribunale di Firenze è infatti incorso nella violazione dell' articolo 6, secondo comma, cod. pen. , che stabilisce - ai fini della sussistenza sia della potestà punitiva secondo la legge italiana, sia, dal punto di vista processuale, della giurisdizione italiana - quando «il reato si considera commesso nel territorio dello Stato». In particolare, il Tribunale di Firenze è pervenuto ad affermare che i contestati reati di accesso abusivo a un sistema informatico e di frode informatica erano stati commessi dal B.R. all'estero facendo erroneamente riferimento al solo luogo di consumazione di tali reati (il quale è stato correttamente collocato in Ungheria, atteso che: come è stato chiarito da Sez. U, n. 17325 del 26/03/2015, Rocco, Rv. 263020-01, il luogo di consumazione del reato di accesso abusivo a un sistema informatico o telematico coincide con quello in cui si trova l'utente che, tramite elaboratore elettronico o altro dispositivo per il trattamento automatico dei dati, digitando la parola chiave o altrimenti eseguendo la procedura di autenticazione, supera le misure di sicurezza apposte dal titolare per selezionare gli accessi e per tutelare la banca-dati memorizzata all'Interno del sistema centrale ovvero vi si mantiene eccedendo i limiti dell'autorizzazione ricevuta; come è stato chiarito da Sez. 2, n. 10354 del 05/02/2020, Gerbino, cit., e da Sez. 1, n. 36359 del 20/05/2016, Vizcaino, Rv. 268252-01, il delitto di frode informatica si consuma, come la truffa, nel momento e nel luogo in cui l'agente consegue l'ingiusto profitto con correlativo danno patrimoniale altrui). Così facendo, il Tribunale di Firenze ha però erroneamente trascurato di considerare che il secondo comma dell' articolo 6 cod. pen. detta una nozione di commissione del reato che estende l'ampiezza del locus commissi delicti ben oltre il luogo di consumazione, stabilendo che il reato si considera commesso nel territorio dello Stato «quando l'azione o l'omissione, che lo costituisce, è ivi avvenuta in tutto o in parte, ovvero si è verificato l'evento che è la conseguenza dell'azione od omissione». Da tale disposizione emerge una nozione frammentata di commissione del reato, la quale conferisce rilevanza, ai fini dell'individuazione del locus commissi delicti, anche a semplici parti dell'azione o omissione e anche alla mera verificazione dell'evento. Nozione con la quale il legislatore ha accolto la teoria cosiddetta dell'ubiquità, la quale implica, all'evidenza, la scelta di estendere al massimo la giurisdizione italiana. Tanto chiarito, la risposta concreta al problema dell'individuazione, sulla base della nozione che si è appena indicata, del locus commissi delicti, dipende, ovviamente, dalle caratteristiche strutturali di ciascuna fattispecie criminosa. Per quanto qui in particolare interessa, quanto al reato di accesso abusivo a un sistema informatico, ancorché l'unica condotta umana materiale di tale reato consista nell'agire sul computer remoto, nel luogo in cui esso si trova (il quale luogo, come si è detto, secondo le Sezioni unite della Corte di cassazione, costituisce il luogo di consumazione del reato), tuttavia, in considerazione della dimensione anche virtuale che è propria della fattispecie - e di cui la collocazione del reato di cui all' articolo 615-ter cod. pen. tra i «delitti contro l'inviolabilità del domicilio» (corsivo aggiunto) costituisce un evidente riflesso -, si deve ritenere che «l'azione» che rileva ai fini di cui all' articolo 6, secondo comma, cod. pen. , sia costituita non solo dall'agire sul computer remoto ma anche dall'introduzione, per mezzo di tale agire e come effetto automatizzato dello stesso, nel sistema informatico protetto; il che avviene nel diverso luogo in cui tale sistema si trova. Nel caso di specie, dal capo d'imputazione e dalla lettura della stessa sentenza impugnata risulta che il contestato reato di accesso abusivo a un sistema informatico sarebbe stato commesso dall'imputato introducendosi abusivamente nel sistema informatico dell'ISP (Internet Service Provider) di (OMISSIS), in particolare, violando l'account di posta elettronica dell'impresa individuale di A. F. (OMISSIS). Azione, questa, che, pertanto, per quanto si è detto, si deve ritenere avvenuta nel territorio italiano. Quanto al reato di frode informatica, si deve ritenere che, nel caso di reati che siano caratterizzati da una pluralità di eventi, a rendere applicabile la legge italiana e a radicare la giurisdizione italiana sia sufficiente che anche uno solo di essi si sia verificato in Italia. Nel caso di specie, posto che il reato di truffa informatica presenta il duplice evento del danno patrimoniale altrui e dell'ingiusto profitto per sé o per altri, dal capo d'imputazione e dalla lettura della stessa sentenza impugnata risulta che sia l'induzione in errore (anch'essa qui ricorrente) delle persone offese titolari delle imprese, rispettivamente, (OMISSIS) di F. M. con sede in (OMISSIS) e (OMISSIS) di U. M. con sede in (OMISSIS), per effetto della tecnica meri in thè middle che le aveva convinte di comunicare tra loro (invece che con l'imputato), sia gli atti di disposizione patrimoniale (anch'essi qui ricorrenti) consistiti nei bonifici effettuati dalle persone offese sul conto corrente del B.R., sia, infine, il conseguente evento del correlativo danno patrimoniale per le stesse persone offese si verificarono in Italia. Ne discende che, ai sensi dell' articolo 6, secondo comma, cod. pen. - disposizione che, come si è detto, il Tribunale di Firenze ha evidentemente trascurato di considerare -, i contestati reati di accesso abusivo a un sistema informatico e di frode informatica si dovevano ritenere commessi in Italia, con le conseguenti punibilità di essi secondo la legge italiana e sussistenza della giurisdizione italiana. Ciò diversamente da quanto è stato reputato dal Tribunale di Firenze ai sensi dell' articolo 10 cod. pen. , che lo stesso Tribunale ha ritenuto applicabile sull'erroneo presupposto della commissione all'estero del reato. Con riguardo al reato di frode informatica, tale conclusione risulta in linea, mutatis mutandis, con quanto è stato affermato dall'invocata (dal ricorrente) sentenza Turcato della Seconda sezione penale a proposito del reato di truffa. Con tale sentenza, la Corte di cassazione - dopo avere osservato che «vi sono quattro elementi costitutivi del reato [di truffa], da individuarsi negli artifici e raggiri, nell'induzione in errore del soggetto passivo, nell'atto di disposizione patrimoniale da parte di quest'ultimo e nell'ingiusto profitto conseguito dal soggetto attivo», sicché «la truffa è pertanto un reato a condotta frazionata, nel senso che è caratterizzata da eventi che continuano a prodursi nel tempo, sorretti da una iniziale ideazione» -, aveva rilevato «come i tre primi eventi sopra indicati si siano sicuramente verificati nel territorio dello Stato», con la conseguenza che «trovano quindi applicazione sia l' articolo 6 c.p. , sopra richiamato, in quanto parte dell'azione è avvenuta in Italia, sia l' articolo 9 c.p.p. , comma 1, con conseguente competenza del giudice dell'ultimo luogo in cui è avvenuta parte dell'azione». 4. La sentenza impugnata deve, pertanto, essere annullata. Poiché si tratta di ricorso per cassazione proposto dal pubblico ministero contro una sentenza di proscioglimento inappellabile, a norma dell' articolo 593, comma 2, primo periodo, cod. proc. pen. , in quanto relativa a due reati per i quali è prevista la citazione diretta a giudizio, gli atti devono essere trasmessi, per un nuovo giudizio, al medesimo Tribunale di Firenze, in diversa composizione, ai sensi dell'articolo 623, comma 1, lett. d), cod. proc. pen. P.Q.M. Annulla la sentenza impugnata e rinvia per nuovo giudizio al Tribunale di Firenze in diversa composizione.