|
Francesco Machina Grifeo
Con una importante sentenza il
tribunale di Firenze stabilisce i criteri per valutare
la competenza giurisdizionale nel caso di accesso
abusivo ad un sistema informatico. Secondo il collegio,
che ha dichiarato la propria incompetenza e inviato il
fascicolo a Roma, non conta il luogo dal quale si è
acceduto ma unicamente quello dove fisicamente si trova
il sistema informatico violato. Il caso è quello di una
società di investigazioni private che utilizzando alcune
“talpe” accedeva ai dati contenuti nel Sistema
informazione interforze del ministero dell’Interno
(Sdi), per poi rivenderli ai propri clienti.
Il fatto
In particolare, i sette imputati,
in associazione fra di loro, avvalendosi anche della
complicità di tre agenti - un finanziare, un carabiniere
ed un poliziotto - compivano una serie di reati fra cui:
corruzione di pubblici ufficiali, per le informazioni
segrete tratte dalla banche dati del ministero
dell’Interno, delle Finanze e della Giustizia, ma anche
presso società telefoniche, la società autostrade e
altri enti pubblici e privati. Nonché rivelazione del
segreto d’ufficio per aver fornito tali informazioni
riservate ad una società di investigazioni.
L'eccezione di incompetenza
Ai fini dell’individuazione della
competenza, il reato contestato più grave risultava
essere l’accesso abusivo ad un sistema informatico,
aggravato dal fatto che si trattava di banche dati
relative all’ordine ed alla sicurezza pubbliche, con una
pena, dunque, oscillante tra i tre e gli otto anni di
reclusione. Ed è sulla base di questo che la difesa ha
sollevato l’eccezione di incompetenza territoriale poi
accolta dal tribunale di Firenze.
La fattispecie
L’articolo 615-ter del codice
penale punisce infatti colui che abusivamente si
introduce in un sistema informatico o telematico
protetto da misure di sicurezza ovvero vi si mantiene
contro la volontà espressa o tacita di chi ha diritto ad
escluderlo. Una formulazione che ricalca quella della
violazione di domicilio e che centra dunque la condotta
criminosa sul diritto del titolare del sistema ad
escludere qualsiasi soggetto non autorizzato
dall’introduzione in esso. Ora, siccome la banca dati
degli Interni si trova a Roma, presso gli uffici del
ministero - ed è ad essa che si accede ogni qual volta
viene fatta una interrogazione dai terminali di altri
uffici ministeriali sparsi sul territorio nazionale,
dopo una procedura di autenticazione tramite user e
password - la competenza è del tribunale capitolino.
La condotta rilevante
Secondo il tribunale di Firenze,
dunque, la condotta rilevante ai fini della
determinazione del luogo della consumazione del reato, e
dunque della competenza, non è l’acquisizione abusiva
delle informazioni, ma l’abusiva introduzione o
l’abusivo mantenimento nel sistema. Ragion per cui non
contano le condotte successive, quali la lettura dei
documenti o l’uso che si fa dell’informazione, che
ovunque avvengano sono irrilevanti ai fini della
consumazione del reato.
I terminali che si trovano negli
uffici di Firenze dunque sono dei meri strumenti di
accesso privi di ogni dato proprio, mentre è nel sistema
informatico sito a Roma che ci si deve necessariamente
introdurre per estrarre le informazioni.
Bocciata la ricostruzione di Gup e
Pm
Bocciata, dunque, la ricostruzione
del Gup secondo cui la legge considererebbe consumato il
reato con l’introduzione nel sistema informatico dalla
postazione in cui avviene l’accesso. Infatti, la norma
punisce esclusivamente l’“introduzione” nella banca
dati, unico luogo in cui si trovano le informazioni poi
accessibili anche dalla sedi periferiche.
Del resto, una simile lettura
permetta anche di combattere in modo efficace eventuali
hackers situati, per esempio, al di fuori del territorio
nazionale che viceversa, se si dovesse sostenere che il
luogo di consumazione è quello da dove avviene
l’accesso, o comunque dove la banca dati è messa a
disposizione dell’utente, in molti casi rimarrebbero
privi di qualsiasi sanzione da parte del nostro
ordinamento.
Invece, “il luogo di consumazione
del reato è sempre quello in cui avviene il superamento
delle barriere informatiche e l’introduzione nel
sistema”.
I recenti indirizzi della
Cassazione
Una tesi questa, conclude il
tribunale, che non risulta superata neppure dai due
indirizzi giurisprudenziali dalla Cassazione. Il primo
ritiene il reato consumato solo quando l’introduzione è
in sé abusiva, l’altro anche quando l’introduzione non è
abusiva ma lo è la fruizione dei dati estratti. Infatti,
in tutti e due i casi si fa riferimento “alla abusiva
(in entrambi i significati) introduzione nel sistema o
comunque nell’abusivo mantenimento in esso”. |
