Il luogo di consumazione del delitto di accesso abusivo a un sistema informatico o telematico.
di Paola Montone
L’accertamento del luogo di commissione di un delitto rileva con riferimento all’individuazione del giudice competente territorialmente ed, ancor prima, al fine di verificare se la fattispecie di reato è punibile secondo la legge italiana.
In tal senso, l’articolo 6 c.p. fornisce all’interprete dei criteri di individuazione del cosiddetto locus commissi delicti, che, poi, sono sostanzialmente i medesimi criteri mutuati dalla dottrina allo scopo di identificare il tempo di consumazione di un reato.
In particolare, il codice penale del regno d’Italia del 1889, pur statuendo la punibilità secondo la legge italiana in caso di commissione di reati “nel territorio del regno”, non forniva all’interprete delle regole iuris alle quali attenersi per identificare esattamente il luogo nel quale poteva considerarsi consumato il reato.
Ecco perché nel tempo la dottrina ha cercato di formulare alcuni criteri, prospettando, ad esempio, il criterio della condotta, alla stregua del quale il luogo di commissione del reato è quello in cui si è svolta l’azione, attiva od omissiva che sia, del soggetto attivo del reato.
Tale criterio ha trovato, poi, un correttivo in quella parte della dottrina che, rilevando come in realtà sia difficile stabilire se un reato è stato commesso o meno nello Stato italiano soprattutto a fronte di un frazionamento di condotte, di cui alcune avvenute in Italia e le altre all’estero, ha evidenziato l’utilità del ricorso al criterio della cosiddetta ampliata attività: bisogna, cioè, valutaredove è stata svolta la parte sostanziale dell’attività, lì identificandosi, più correttamente, il luogo di consumazione del reato.
Di poi, è stato ascritto rilievo al criterio dell’evento, ossia alla valutazione della conseguenza della condotta del reo ed agli effetti da quest’ultima sortita, sia da un punto di vista naturalistico, per i reati di evento, che in senso giuridico, ossia di lesione del bene giuridico protetto dalla norma per i reati di mera condotta.
Come anticipato, il nostro ordinamento disciplina espressamente la tematica in esame, recependo la cosiddetta teoria dell’ubiquità, che coniuga, alternativamente, il criterio della condotta e quello dell’evento.
In effetti, la norma è stato oggetto di approfondimento dalla parte della dottrina, soprattutto con riferimento alla scelta del legislatore di considerare commesso nel territorio dello Stato anche quei reati per i quali una sola “parte” della condotta attiva od omissiva sia avvenuta nel territorio dello Stato. In merito, ci si è chiesti se, ai fini del radicamento della giurisdizione italiana e della conseguente punibilità, la parte dell’azione avvenuta nel nostro ordinamento dovesse o meno attingere la soglia del tentativo.
Sul punto, la giurisprudenza ritiene che non occorre che la parte della condotta abbia i requisiti del tentativo, in termini di idoneità e direzione inequivoca della stessa alla commissione di un delitto, argomentando dall’interpretazione letterale dell’articolo 6 e dal rilievo che all’interprete s’impone piuttosto la verifica del collegamento esistente tra la frazione della condotta ed il proposito criminoso, per come realizzato dal soggetto agente.
Occorre, dunque, una valutazione ex post, che tenga conto dell’intera condotta realizzata dall’agente, di guisa che anche ove una frazione della stessa sia stata realizzata in Italia ciò consente di affermare la punibilità della stessa secondo la legge dello Stato.
Siffatto argomento ha consentito di risolvere alcune questioni problematiche concernenti l’individuazione del locus commissi delicti con riferimento soprattutto al concorso di persone nel reato ed ai reati associativi. In particolare, si è affermato come sia sufficiente che nel nostro Stato sia avvenuta qualsiasi forma di partecipazione al delitto, anche minimale e seppur non integrante un illecito penale, laddove considerata isolatamente, purché costituente una parte dell’azione tipizzata dal legislatore.
Un giudizio di valutazione ex post porta ad affermare la competenza giurisdizionale italiana anche nell’ipotesi dei reati associativi, in grado di operare in diversi Stati, come accade per il crimine organizzato transnazionale. In tali ipotesi, bisogna prioritariamente considerare dove si trova la sede operativa dell’organizzazione per poi verificare, in un secondo momento ed in assenza del suddetto riscontro, il luogo di commissione dei delitti scopo.
Anche per altre tipologie di reati si è ritenuta necessaria la citata valutazione complessiva della condotta o dell’evento, come nel caso del reato permanente o di quello continuato. Per il primo, che si caratterizza per un’offesa al bene giuridico protratta nel tempo e causata da una condotta volontaria del soggetto agente, che in ogni momento può porne fine, non può considerarsi solo quella parte di condotta avvenuta nello Stato italiano ma anche quella avvenuta all’Estero. In realtà, nell’ipotesi del reato permanente, a differenza di quanto accade nei reati istantanei, si deve distinguere il momento della perfezione da quella della consumazione del reato. Il primo si identifica in presenza di tutti gli elementicostitutivi del reato, in quello che viene comunemente definito il loro contenuto minimo, al fine di dirsi integrata la fattispecie di reato. La consumazione, invece, attiene alla fase della cessazione della permanenza, indicando, piuttosto, il momento della massima lesività che in concreto quella condotta può raggiungere, di guisa che la permanenza può cessare sia ad opera del soggetto attivo del reato (ad esempio con la liberazione del sequestrato), sia per opera di terzi (come nel caso dell’intervento delle forze di polizia che riescono a liberare il sequestrato) ovvero per fatto del soggetto passivo del reato di sequestro (come nel caso della morte di quest’ultimo).
Con riferimento alla categoria dei reati permanenti, l’applicazione dell’articolo 6 c.p. comporta la possibilità di ritenere il reato commesso nel territorio dello Stato quando anche una parte dell’azione sia avvenuta in Italia, purché si tratti di una parte della condotta tipica. Ed al fine di valutare se gli atti posti in essere dal soggetto agente integrino un reato permanente, occorre valutarli nel loro complesso e quindi tenere in considerazione anche quella parte di condotta compiuta all’estero.
Se, poi, la condotta di reato si è realizzata interamente nel nostro territorio, sarà necessario individuare il luogo in cui ha avuto inizio la consumazione che, ai sensi dell’articolo 8 c.p.p., consente di radicare la competenza giurisdizionale per territorio.
Per quanto concerne, poi, il reato continuato, anch’esso annoverabile all’interno della categoria dei reati di durata, al pari del reato permanente ed abituale, si assiste alla ripetizione di violazioni di disposizioni di legge, anche diverse, che vengono trattate, agli effetti del trattamento sanzionatorio, alla stregua di un singolo reato. La giustificazione del regime del cumulo giuridico previsto dall’articolo 81 c.p. si rinviene nella circostanza che la condotte criminose vengono legate tra loro dal vincolo della continuazione, poiché caratterizzate dalla presenza di un medesimo disegno criminoso a monte, che consente al reo di usufruire di un trattamento sanzionatorio più favorevole rispetto al concorso formale di reati.
Ciò posto, secondo autorevole dottrina, questa tipologia di reatidev’essere considerata come un reato unico o come una pluralità di reati a seconda dell’esito favorevole che ne deriva al reo.
E così, si potrà considerare come un reato unico se le fattispecie criminose, punite all’estero, sono punibili anche secondo la legge italiana, pervenendo, dunque, ad un trattamento più favorevole rispetto al concorso formale di reati; in caso contrario, laddove la punibilità è prevista solo alla stregua dello Stato estero, sembrerà opportuno scindere il vincolo di continuazione e considerare i reati a sé stanti.
Secondo, invece, un differente orientamento, poiché la categoria del reato continuato si basa sulla fictio giuridica per cui i reaticommessi vengono considerati un solo reato soltanto quoad poenam, allora il tempo ed il luogo della consumazione dev’essere valutato alla stregua della singola fattispecie criminosa.
Evidenziato come al fine di determinare il locus commissi delicti occorre preliminarmente individuare il momento consumativo del reato, perché è solo in relazione ad esso che è possibile verificare se l’azione o l’evento del reato è stato commesso nel territorio italiano ed individuare qual è il giudice competente per territorio, s’impone una riflessione sul luogo di consumazione di una specifica fattispecie di reato rappresentata dall’accesso abusivo ad un sistema informatico o telematicodisciplinata dall’articolo 615 ter c.p.
Il reato in esame è stato aggiunto ad opera della legge 547 del 1993 all’interno della sezione IV del libro secondo del codice penale, significativamente dedicata ai delitti contro la inviolabilità del domicilio. Dalla lettura della disposizione di legge emerge come il reato sia strutturato in termini di mera condotta, essendo punita sia l’introduzione abusiva “in un sistema informatico o telematico protetto da misure di sicurezza” ovvero il fatto di rimanere all’interno del sistema “contro la volontà espressa o tacita di chi ha il diritto di escluderlo”, rinvenendosi nel superamento dei limiti imposti dal titolare o gestore del sistema comunque una forma di abuso del diritto meritevole di sanzione penale.
La formulazione della norma ha suscitato alcuni contrasti interpretativi che afferiscono tanto alla corretta individuazione delle condotte tipizzate dal legislatore, quanto, a monte, all’individuazione del bene-interesse realmente protetto dall’ordinamento.
Proprio in relazione a quest’ultimo aspetto, secondo una parte della dottrina il bene giuridico tutelato andrebbe ravvisato nel cosiddetto domicilio informatico, ossia quel luogo virtuale in cui sono racchiusi gli interessi della persona e sono contenuti frammenti della propria vita quotidiana, sia di stampo personale, che lavorativo o sociale. Secondo una differente impostazione, l’interesse tutelato andrebbe più correttamente ravvisato nella riservatezza delle informazioni contenute all’interno di un sistema informatico ovvero di trasmissione e gestione dei dati, come accade per il sistema telematico.
Dall’accoglimento dell’una o dell’altra impostazione ne deriva l’importante conseguenza in termini di individuazione della condotta di accesso abusivo. Di fatti, alla stregua della prima tesi sarà punibile quell’accesso abusivo che si sarà sostanziato nell’introduzione in un sistema informatico protetto da sole misure di sicurezza intese in senso logico: il riferimento è alla protezione dell’apparecchiatura attraverso il ricorso alla password.
Al contrario, se si ritiene che il bene protetto è più propriamente quello della riservatezza delle informazioni contenute nel sistema, anche le misure di sicurezza di carattere organizzativo potranno considerarsi sufficienti al fine di ritenere integrato l’accesso ad un sistema protetto, così come richiesto dalla legge.
Questa interpretazione troverebbe, poi, un’implicita conferma nella circostanza per cui il secondo comma dell’articolo 615 ter considera tra le circostanze aggravanti del reato l’ipotesi in cui il colpevole abbia utilizzato “violenza sulle cose o persone”, con ciò avvalorando la tesi che l’accesso abusivo si può configurare anche con riferimento alla violazione di misure di sicurezza di tipo organizzativo-strutturale, sempre che lo stesso si sostanzi nell’introduzione non autorizzata in un sistema informatico.
Ne consegue, poi, che il reato di violazione di domicilio, di cui all’articolo 614 c.p., che potrebbe concorrere con la fattispecie di reato di cui al 615 ter, laddove si ritenesse, in tesi, protetto il solo domicilio informatico, non potrà considerarsi punibile, proprio perché si tratterebbe di una modalità di condotta già contemplata dalla norma in esame.
Quanto alla natura del reato, la dottrina maggioritaria lo considera un reato di pericolo, visto che non è necessaria la produzione di un danno inteso in senso naturalistico, in quanto la modalità della condotta, per come descritta dal legislatore, è astrattamente idonea a mettere in pericolo l’inviolabilità del domicilio informatico, prescindendo anche dall’accertamento delle finalità del soggetto agente.
D’altronde, la mancanza di un evento di danno in senso naturalistico vale anche a distinguere la fattispecie in esame da quella di frode informatica di cui all’articolo 640 ter c.p., che si caratterizza proprio per l’alterazione del funzionamento del sistema informatico o telematico, nonchè dall’ottenimento di un ingiusto profitto con altrui danno, che, al contrario, nell’articolo 615 ter non sono elementi costitutivi del reato.
Piuttosto, l’interruzione totale o parziale del funzionamento del sistema, assieme alla distruzione ovvero al danneggiamento, costituiscono circostanza aggravante, ai sensi del secondo comma dell’articolo 615 ter c.p..
Secondo un’altra parte della dottrina, invece, siamo in presenza di un reato di danno, in cui è necessario accertare la lesione della riservatezza dei dati e delle informazioni, laddove si assume la stessa quale bene-interesse protetto. Si tratterebbe, in realtà, di un’interpretazione maggiormente conforme al canone di offensività ma contrastante con la ratio legis, sia in considerazione della collocazione topografica dell’articolo e sia della tecnica di formulazione legislativa, mediante la quale si è tipizzata una condotta che, per le sue modalità, già implicitamente si ritiene possa costituire un pericolo per l’inviolabilità del domicilio informatico.
Dunque, il reato si consuma nel momento in cui viene posta in essere la condotta descritta dal legislatore, che si sostanzia nell’accesso abusivo in un sistema informatico o telematico protetto, essendo ai fini della consumazione indifferente se per protezione si debba intendere solo quella di natura logica od anche quella organizzativa.
In particolare, si tratta di un reato avente natura istantanea in cui, cioè, la realizzazione della condotta in esame racchiude già in sé il disvalore penale del fatto, in quanto mette in pericolo il bene giuridico protetto dall’ordinamento.
Ed è proprio al momento della condotta che l’interprete deve guardare per individuare il luogo di consumazione del reato, ai fini dell’individuazione del giudice competente territorialmente. A tal proposito, non vi è unanimità di vedute in quanto emerge chiaramente una problematica: l’accesso abusivo, soprattutto con riferimento al sistema informatico, può avvenire, oltre che accedendo materialmente al sistema informatico che racchiude le informazioni protette, anche mediante l’utilizzo di un sistema informatico proprio, attraverso cui ci si introduce all’interno di un differente sistema operativo o programma, al quale non si ha l’autorizzazione ad accedere o comunque si dispone di un accesso limitato. Un’estrinsecazione pratica del fenomeno è rappresentata dalla figura degli hacker, i quali riescono ad inserirsi nella memoria di un altro computer e lo fanno attraverso la propria postazione, ossia utilizzando un qualsiasi computer dotato di una connessione internet.
In questa ipotesi, occorre chiedersi se il luogo di consumazione del delitto in esame è quello dove si trova il sistema informatico violato ovvero quello utilizzato per accedere abusivamente al sistema e col quale tale accesso si è in concreto realizzato.
La questione non è di poco momento, perché incide sul profilo della competenza giurisdizionale, e non è di facile soluzione, in quanto all’interno dei riferimenti normativi sovra citati non sembra rinvenirsi una soluzione al quesito.
Da un lato, la tesi per cui il locus commissi delicti è quello del sistema informatico violato o meglio del luogo in cui si trova il server che effettua l’operazione di riconoscimento dell’utente per il tramite dell’operazione di login in, sembrerebbe trovare conferma nella circostanza per cui ciò che rileva ai fini della punibilità è l’avvenuta introduzione abusiva nel sistema, rimanendo indifferente, per questo aspetto, il modo con cui tale accesso avviene, se attraverso il medesimo computer che contiene i documenti o le informazioni violate ovvero attraverso un computer in uso del reo.
Dall’altro lato, è proprio la piana applicazione dell’articolo 6 c.p. che dovrebbe indurre a confermare siffatta impostazione.
La spiegazione dell’assunto deve essere ravvisata nella considerazione, fatta propria da autorevole dottrina con riferimento al tempus commissi delicti ma estendibile anche all’ipotesi in esame (non essendovi ragioni di incompatibilità), che il criterio della condotta è in realtà l’unico criterio che si raccorda pienamente con la funzione general-preventiva della pena.
Si intende, alludere, cioè al fatto che siffatta funzione puòestrinsecarsi solo fin tanto che non si è perfezionata la condotta del reato, perché è solo con l’attuazione della stessa che il soggetto si pone formalmente in contrasto col sistema penalistico, rimanendo la mera intenzione criminosa confinata sul piano dell’irrilevanza penale.
Se, dunque, è solo con la realizzazione della condotta che il soggetto percepisce il disvalore penale del fatto e decide arbitrariamente di violare la legge penale, allora deve ritenersi che è nel luogo in cui si accede ad un sistema informatico protetto ovvero si entra in un sistema informatico in maniera legittima ma si oltrepassano le limitazioni di utilizzo cui si è autorizzati che si deve ritenere consumato il reato.
Viceversa, il luogo dove si trova il sistema informatico utilizzato per violarne un altro può costituire il locus commissi delicti se si ritiene che è proprio nel luogo in cui si trova il computer utilizzato dal soggetto agente che si è realizzata tutta la condotta. Da un punto di vista naturalistico, l’azione dell’agente avviene nel luogo dove è situato il proprio computer e non quello al quale si accede abusivamente: è nel primo, infatti, che avviene il collegamento ad un sito o l’apertura del programma, cui segue la digitazione di una password di autenticazione (passaggio che può mancare in caso di cosiddetto accesso da vicino) ed il materiale accesso abusivo, che, dunque, avviene nel tempo e nel luogo in cui si trova il proprio computer.
Queste considerazioni possono essere estese anche all’ipotesi in cui si accede abusivamente dall’estero ad un sistema informatico situato in Italia.
In questo caso, secondo parte della dottrina, se il luogo di consumazione del reato viene identificato in quello in cui si trova il computer utilizzato dal soggetto agente, e dunque, all’estero, dovrà escludersi, alla stregua dell’articolo 6 c.p., la punibilità secondo la legge italiana della fattispecie di reato di cui all’articolo 615- ter. Si potrebbe derogare al principio di territorialità soltanto se risultano applicabili gli articoli 7 e seguenti c.p., come avverrebbe se, ad esempio, la commissione del 615 ter fosse “determinat(a), in tutto o in parte, da motivi politici”.
Al contrario, se il locus commissi delicti fosse individuato nel luogo in cui si trova il server che effettua l’operazione di riconoscimento dell’utente, consentendo, di fatto, l’accesso al sistema, allora l’ipotesi in esame si dovrebbe considerare commessa in Italia e risulterebbe penalmente perseguibile.
Dunque, l’individuazione della competenza giurisdizionale per territorio dipende dal modo con cui si interpreta il luogo di consumazione del reato e cioè se per esso debba intendersi il luogo del sistema informatico violato ovvero il luogo in cui si trova il computer utilizzato materialmente per realizzare l’accesso abusivo; soluzione questa che appare maggiormente conforme alla ratio legis di cui all’articolo 6 c.p. ed alla preferenza accordabile al criterio della condotta nonché alla natura istantanea del reato in esame.