Problematiche relative alla competenza territoriale
L'accesso abusivo può avvenire a distanza (tramite una rete informatica) o direttamente, quando l'agente sta a diretto contatto con il sistema violato (es. accedendo abusivamente a un terminale e visualizzando i dati contenuti al suo interno).
Le maggiori problematiche nello stabilire quale debba essere il luogo in cui viene consumato il delitto sorgono quando server e intruso sono in due posti diversi e lontani tra loro.
Per stabilire dove il delitto s'intende consumato si sono venute a scontrare, prima della decisione in questione, due correnti giurisprudenziali contrapposte:
* la prima indica quale luogo di consumazione del delitto quello dov'è collocato il server (poiché è proprio all'interno di quest'ultimo che si verifica effettivamente il superamento della protezione informatica);
* diametralmente opposta è la teoria secondo cui il delitto di accesso abusivo ad un sistema informatico s'intende consumato nel luogo in cui è fisicamente è situato l'intruso con il suo computer.
Il caso su cui la Cassazione si è pronunciata riguardava una dipendente della Motorizzazione civile di Napoli (legalmente in possesso delle chiavi d'accesso al sistema informatico) che assieme a dei complici si era più volte introdotta abusivamente nel sistema informatico del Ministero delle Infrastrutture e dei Trasporti al fine di effettuare operazioni non rientranti nelle proprie ordinarie mansioni, ma con il solo scopo di trarre un vantaggio per sé e per i coimputati.
Il G.U.P. di Napoli, investito del caso, si dichiarava tuttavia incompetente per territorio, e indicava come competente il G.U.P. di Roma poichè giudice del luogo in cui si trovava la banca dati violata.
Di differente avviso era però il giudice romano che, al contrario, riteneva che la competenza dovesse essere del tribunale del luogo in cui l'operatore aveva effettuato l'accesso al server e affidava, dunque, alla Suprema Corte il compito di stabilire se il delitto era da considerare consumato nel luogo in cui si trovava colui che si era introdotto abusivamente nel sistema (o vi si era mantenuto), oppure quello in cui era collocato il server (luogo in cui si verifica l'interazione elettronica tra i sistemi informatici connessi).
Le Sezioni Unite, soprattutto per motivi di praticità, (può essere di estrema difficoltà identificare e localizzare, in termini fisici, un evento strettamente virtuale) nel pronunciarsi hanno accolto la seconda delle teorie enunciate. A detta della Suprema Corte, dunque il delitto s'intende consumato quando viene posta in essere l'unica condotta umana di natura materiale ipotizzabile caratterizzata dal digitare, tramite una postazione remota, delle credenziali di autenticazione premendo successivamente invio, così da superare le misure di sicurezza ed accedere ai dati.
A sostegno della decisione la Cassazione ha affermato che il sito dove sono archiviati i dati non può in nessun caso essere decisivo per stabilire la competenza per territorio dato che il cyberspazio che contiene il flusso dei dati è contemporaneamente nella piena disponibilità di consultazione di un numero indefinito di utenti abilitati, che possono accedervi ovunque essi siano.
Dunque l'accesso a un sistema informatico non può in alcun caso coincidere con l'ingresso all'interno del server fisicamente collocato in un determinato luogo, ma sarà configurato esclusivamente quando avviene un'introduzione telematica o virtuale attraverso un diretto contatto elettronico o circuitale con il sistema centrale e con tutti i terminali ad esso collegati.
La decisione, oltre a porre rimedio ad una questiona di grande incertezza, porta a due importanti conseguenze: in primo luogo viene protetto il principio del giudice naturale (secondo il quale non deve poter esserci alcun margine di discrezionalità nella designazione del giudice), inoltre viene a crearsi un concetto di "sistema informatico" in un certo senso unificato poiché la Corte identifica un sistema informatico o telematico come un insieme di sistemi interconnessi e coordinati tramite da una postazione remota centrale da identificare come luogo di riferimento di tutte le operazioni che si verificano in seguito.