Page 83 - Rassegna 2019-4
P. 83
SICUREZZA INFORMATICA E NUOVE FRONTIERE DEL DIRITTO PENALE
Molto più dibattuta, sotto il profilo giurisdizionale, è stata invece l’indivi-
duazione del locus commissi delicti, con tutto ciò che ne consegue sul piano della
competenza territoriale. Sul punto, la Corte di Cassazione ha avuto modo di
esprimersi in diverse occasioni; limitandoci ad una ricostruzione sintetica dei
vari orientamenti succedutisi, possiamo distinguere due casi principali:
- qualora il sistema informatico violato fosse strutturato su server centra-
lizzati raggiungibili da postazioni periferiche abilitate denominate client, il primo
orientamento è stato dettato da Cass. pen., sez. Prima, n. 40303/2013, secondo
cui l’accesso illecito sarebbe avvenuto “nel luogo in cui viene effettivamente
superata la protezione informatica e, quindi, là dove è materialmente situato il
sistema informatico (server) violato”, ossia “l’elaboratore che controlla le cre-
denziali di autenticazione del client” . Nel successivo orientamento di Cass.
(31)
Pen. Sez. Prima, n. 52575/2014 la Corte rilevava, tra le varie conseguenze della
precedente pronuncia, sulla base delle osservazioni dell’Avvocatura dello Stato,
che si sarebbe prodotto “l’anomala e disfunzionale concentrazione presso l’au-
torità giudiziaria romana di una competenza quasi universale per tutte le inda-
gini e tutti i giudizi concernenti le violazioni dei sistemi informatici nazionali”.
In contrasto, rispetto alla pronuncia del 2013, aggiungeva che “poiché il reato
si perfeziona con l’introduzione abusiva nel sistema, a prescindere dalla effetti-
va acquisizione dei dati riservati in esso contenuti, si deve ritenere che la con-
dotta materiale si perfeziona nel luogo fisico e nel momento in cui l’agente si
introduce abusivamente nella postazione locale”. Quest’ultima (client) non veni-
va considerata “un mero mezzo di accesso ma, al pari del computer denominato
server ubicato presso la sede centrale..[era]..un componente informatico essen-
ziale costituente articolazione territoriale del complessivo sistema informatico
nazionale”. Data la rilevanza della questione e al fine di evitare un conflitto giu-
risprudenziale, la decisione finale veniva rimessa alle Sezioni Unite. Queste, con
sentenza n. 17325 del 26 marzo 2015 (depositata il 24 aprile 2015), partivano
dalla constatazione che il legislatore, introducendo i cosiddetti computer’s crimes
con la legge 547/1993, non ha fornito una puntale definizione di sistema infor-
che sia protetto da un dispositivo costituito anche soltanto da una parola chiave, la cosiddetta
password”), oppure Cass. pen., sez. Quinta, 1° ottobre 2008, n. 37322 (“ai fini della configu-
rabilità del reato previsto dall’art. 615-ter c.p., la protezione del sistema può essere adottata
anche con misure di carattere organizzativo, che disciplinino le modalità di accesso ai locali
in cui il sistema è ubicato e indichino le persone abilitate al suo utilizzo”).
(31) La Corte, peraltro, ha precisato che “non vi è dubbio che l’attività fisica dell’utente viene ad essere
esercitata, nell’ipotesi di accesso da remoto, in un luogo differente da quello in cui si trova il sistema
informatico protetto, ma è anche certo che l’utente invia le credenziali al server web il quale le rice-
ve, processandole, nella fase di validazione che è eseguita solo e unicamente all’interno del sistema
protetto e non potrebbe essere diversamente proprio per motivi di sicurezza del sistema stesso”.
81
