La giurisprudenza di legittimità ha fornito una definizione, in relazione a diverse fattispecie incriminatrici che fanno riferimento all’espressione sistema informatico, considerandolo, in senso ampio, una pluralità di apparecchiature destinate a compiere una qualsiasi funzione utile all’uomo, attraverso l’utilizzazione (anche in parte) di tecnologie informatiche.
Le Sezioni Unite della Cass. pen. n.17325/2015, in tema di competenza per territorio e di consumazione del delitto da accesso abusivo ad un sistema informatico o telematico, di cui all’art.615-ter, cod. pen., hanno ripercorso le vicende giurisprudenziali sul tema e, in particolare, hanno affermato il principio di diritto, per cui: “Il luogo di consumazione del delitto di accesso abusivo ad un sistema informatico o telematico, di cui all’art.615-ter cod. pen., è quello nel quale si trova il soggetto che effettua l’introduzione abusiva o vi si mantiene abusivamente”. …. “L’abusiva introduzione in un sistema informatico o telematico – o il trattenimento contro la volontà di chi ha diritto di esclusione – sono le uniche condotte incriminate, e, per quanto rilevato, le relative nozioni non sono collegate ad una dimensione spaziale in senso tradizionale, ma a quella elettronica, trattandosi di sistemi informatici o telematici che archiviano e gestiscono informazioni ossia entità immateriali.”
Pertanto, non è esatto ritenere che i dati si trovino solo nel server, poiché nel caso in specie, l’intera banca dati era “ubiquitaria”, “circolare” o “diffusa” sul territorio, nonché contestualmente compresente e consultabile in condizioni di parità presso tutte le postazioni remote autorizzate all’accesso. Tale unicità era dimostrata dalla traccia delle operazioni compiute all’interno della rete e le informazioni relative agli accessi sono reperibili, in tutto o in parte, sia presso il server che presso il client.
“Da un punto di vista tecnico-informatico, il sistema telematico deve considerarsi unitario, essendo coordinato da un software di gestione che presiede al funzionamento della rete, alla condivisione della banca dati, alla archiviazione delle informazioni, nonché alla distribuzione e all’invio dei dati ai singoli terminali interconnessi.” … “Alla luce di questa considerazione, va focalizzata la nozione di accesso in un sistema informatico, che non coincide con l’ingresso all’interno del server fisicamente collocato in un determinato luogo, ma con l’introduzione telematica o virtuale, che avviene instaurando un colloquio elettronico o circuitale con il sistema centrale e con tutti i terminali ad esso collegati.”
L’accesso al sistema inizia con la materiale condotta con la digitazione da remoto con le credenziali di autenticazione da parte dell’utente nel luogo in cui l’operatore materialmente digita e supera le misure di sicurezza, mentre tutti gli eventi successivi assumono i connotati di comportamenti comunicativi tra il client e il server.
Tra l’altro, dette attività coincidono con le operazioni di “trattamento”, compiute sul client, che l’allora art.4, lett. a), d.lgs. 30 giugno 2003, n.196 (codice della privacy) definitiva come «qualunque operazione o complesso di operazioni, effettuati anche senza l’ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l’organizzazione, la conservazione, la consultazione, l’elaborazione, la modificazione, la selezione, l’estrazione, il raffronto, l’utilizzo, l’interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati».
Pertanto, la condotta è già abusiva, proprio, nel momento in cui l’operatore non autorizzato accede al computer remoto e si fa riconoscere o autenticare con la volontà d’introdursi illecitamente nel sistema. E’ “..l’azione umana (e non altro) a determinare il “fatto” e con esso il suo riferimento spazio-temporale.”.