Accesso abusivo, la sede della banca dati radica la competenza.

La competenza per la violazione di una banca dati informatica si radica nel luogo in cui si trova il database e non in quello dove è avvenuto l’accesso abusivo. Lo ha chiarito la Corte di cassazione, con la sentenza 40303/2013, al termine di un rimpallo di competenze tra il tribunale di Firenze (dove è avvenuta la violazione) e quello di Roma dove si trovava, presso il ministero dell’Interno, l’archivio informativo violato.
 

La vicenda
La vicenda riguardava sette imputati che in associazione fra di loro avvalendosi anche della complicità di tre agenti - un finanziere, un carabiniere ed un poliziotto - avrebbero compiuto una serie di reati fra cui: corruzione di pubblici ufficiali, per le informazioni segrete tratte dalla banche dati del ministero dell’Interno, delle Finanze e della Giustizia, ma anche presso società telefoniche, la società autostrade e altri enti pubblici e privati. Nonché rivelazione del segreto d’ufficio per aver fornito tali informazioni riservate ad una società di investigazioni.

La navetta tra Firenze e Roma
Il tribunale di Firenze con sentenza 29 giugno 2011 aveva dichiarato la propria incompetenza per territorio e disponeva la trasmissione degli atti al Procuratore della repubblica presso il Tribunale di Roma. Con riguardo al reato accesso abusivo ad un sistema informativo o telematico (previsto dall’articolo 615-ter, comma 2 e 3 del codice  penale), affermava che la fattispecie deve ritenersi consumata in Roma, luogo in cui ha sede la banca dati riservata del Sistema d’informazione interforze del ministero dell’Interno (SDI) nel quale, secondo la contestazione, è avvenuto l’accesso abusivo con l’acquisizione di dati segreti, successivamente comunicati dagli imputati ai committenti.

A questo punto però ricevuto il fascicolo il Gup di Roma rilevava che l’accesso punito dall’articolo 615-ter del codice penale “si colloca in un contesto immateriale e delocalizzato che è la rete di comunicazione telematica ed è un reato di mera condotta che si perfeziona con la violazione del domicilio informatico. Per determinare la competenza, quindi, si deve avere riguardo all’ultima attività umana che si connota per fisicità, rappresentata dall’accesso dal terminale, ossia al luogo della collocazione del terminale attivato per l’accesso”.

Secondo questa ricostruzione la tesi sostenuta dal Tribunale di Firenze “sovrappone arbitrariamente le regole che dominano il sistema fisico, nel quale si commette il reato mediante accesso al terminale, a quelle del sistema informatico nel quale si verifica l’ingresso nella banca dati, mentre il concetto di collocazione spaziale è concetto fisico che non ha diritto di cittadinanza in una rete telematica fondata sulla coesistenza dei flussi informatici”.

Il chiarimento della Cassazione
La Suprema corte comincia col ricordare la “centralità dello jus excludendi ai fini della configurabilità del reato”, la fattispecie infatti si perfeziona “nel momento in cui il soggetto agente entra nel sistema informatico altrui, o vi permane, in violazione del domicilio informatico, sia se vi si introduca invito domino, sia se vi si trattenga in trasgressione delle specifiche regole di condotta imposte”.

Per cui “il delitto può ritenersi, conseguentemente, consumato solo se il soggetto agente, colloquiando con il sistema altrui, ne abbia oltrepassato le barriere protettive o, introdottosi con un titolo abilitativo valido, vi permanga oltre i limiti di validità ditale titolo; solo con l’aggiramento del dissenso del dominus loci è leso l’interesse protetto dalla norma”.

Per quel che si è detto, l’accesso avviene “nel luogo in cui viene effettivamente superata la protezione informatica e vi è l’introduzione nel sistema e, quindi, là dove è materialmente situato il sistema informatico (server) violato, l’elaboratore che controlla le credenziali di autenticazione del client”.

Il luogo di consumazione del reato
Operativamente, l’utente invia le credenziali al server web il quale le riceve “processandole” nella fase di validazione che è eseguita solo ed unicamente all’interno del sistema protetto. Quindi, nel momento in cui l’utente dà l’invio all’esito alla digitazione delle credenziali “non fa cessare la propria condotta, ma la fa strumentalmente proseguire, ancorché smaterializzata, sino alla verifica all’ingresso delle misure di sicurezza logiche presenti sul server web, essendo queste che manifestano lo jus excludendi del dominus loci”.

Per cui: “Il luogo in cui si consuma il reato, quindi, non è quello nel quale vengono inseriti i dati idonei a entrare nel sistema, bensì, quello in cui si entra nel sistema che, nella specie, è e non può che essere il server che si trova a Roma”.

(Fonte: Sito web del Il Sole 24 Ore - Titolarità dei contenuti: Il Sole 24 Ore).