Il cloud rappresenta un sistema di implementazione delle risorse basato su “nuvole virtuali”, realizzate e gestite da grossi providers, in grado di fornire ai clients finali servizi di storage e processing. Il cloud computing rappresenta, date le sue peculiari caratteristiche, la soluzione ideale per aziende grandi e piccole che hanno bisogno di una infrastruttura informatica, ma che non dispongono di spazi e non sono in grado di sostenere gli ingenti costi di gestione.
Con l’I Cloud è avvenuta grazie a due importanti conquiste tecnologiche: la virtualizzazione e l’utilizzo da remoto. Con la prima si sono realizzati software che hanno come scopo l’esecuzione di programmi al loro interno, come interi sistemi operativi, per realizzare delle vere e proprie “macchine virtuali”. Con tale modalità, è possibile che un sistema Windows operi all’interno di un Computer Apple Mac, utilizzando un unico hardware. Con la seconda conquista, la remotizzazione, si opera su un computer direttamente a distanza, utilizzando un altro computer. In questo modo, con una buona connessione internet, è possibile operare sull’elaboratore posto in remoto come se l’utente si trovasse fisicamente dinanzi al computer.
Tali caratteristiche, che di fatto hanno semplificato la vita di milioni di persone dando la possibilità di reperire i propri dati ovunque essi si trovino, hanno allo stesso tempo reso difficile l’intervento in caso di illeciti penali commessi attraverso l’uso di tali sistemi. La stessa Cloud Forensics, ossia la branca della Digital Forensics dedita ad indagini ed accertamenti tecnici su Cloud, soffre fortemente la mancanza di territorialità ed indentificabilità tipica di un sistema Cloud.
Tutto ciò comporta problemi a livello penalistico in quanto la rete e con essa il Cloud, proprio grazie alla sua dimensione virtuale, costituiscono un luogo parallelo rispetto a quello reale che infrange i tradizionali limiti temporali e territoriali del tempus e del locus commissi delicti e pone alcun problemi relativi all’accesso da remoto a dati collocati in altri Paesi.
Il carattere sovranazionale della rete pone concreti rischi di sovrapposizione tra diverse giurisdizioni nella persecuzione penale dei reati on line e delicati questioni in tema di conflitti di legge nello spazio.
In Italia, la L. 48/2008, legge di ratifica della Convenzione di Budapest, ha affrontato la questione della dispersione dei dati digitali unicamente dal punto di vista interno al nostro ordinamento. La scelta è stata quella di affidare le indagini relative ai reati informatici specificamente indicati dall’art. 51 comma 3 quinquies c.p.p. alle procure «presso il tribunale del capoluogo del distretto nel cui ambito ha sede il giudice competente». Si intendeva così, come si esprimono i compilatori della legge, «facilitare il coordinamento delle indagini e la formazione di gruppi di lavoro specializzati in materia». E` dubbio, però, che un tale obiettivo sia stato raggiunto.
La norma in esame non è in grado di creare una titolarità esclusiva della raccolta delle prove digitali a favore delle procure distrettuali. Le ben più numerose procure presso i tribunali possono continuare ad acquisire qualunque prova digitale relativa ai reati, informatici ed anche comuni, diversi da quelli ricompresi nell’elenco dell’art. 51 comma 3 quinquies, e non connessi con gli stessi. Esse, di conseguenza, non potrebbero astenersi dallo sviluppare per proprio conto le competenze tecniche che le indagini informatiche richiedono.
Non è raro che il luogo di consumazione di un reato informatico non risulti determinabile in modo univoco. In tali situazioni operano i criteri suppletivi di attribuzione della competenza stabiliti dall’art. 9 c.p.p., il cui comma 3 impone di riferirsi, qualora ogni altro criterio risulti inapplicabile, al luogo in cui l’iscrizione della notizia di reato è avvenuta per prima[2]. Una disciplina del genere, lungi dal favorire il coordinamento, stimola al più la rapidità della conduzione delle indagini, la via più sicura per ottenerne il monopolio.
Altrettanto censurabile è l’ottica dell’intervento della Legge n. 48 del 2008, interamente calibrato sulla disciplina interna senza tenere conto dei rapporti con gli altri Stati in tutte le ipotesi in cui le indagini informatiche assumono un carattere sovranazionale.
I criteri di attribuzione della giurisdizione tradizionalmente impiegati in questa materia, da tempo previsti dal nostro codice penale, ed in parte ripresi dalla stessa Convenzione di Budapest, sono inadatti alle indagini informatiche, o comunque hanno una natura autarchica: non impediscono agli altri Stati di adottare soluzioni analoghe, e quindi non eliminano il pericolo della sovrapposizione di procedimenti in rapporto ai medesimi fatti[3]. Si fa riferimento in particolare a:
a) Il criterio della commissione del reato nel proprio territorio[4] non sempre risulta utilizzabile, in quanto si impernia su un dato che, come si diceva, per i reati informatici spesso resta incerto.
b) I criteri della commissione del reato all’estero da parte di un proprio cittadino[5], o tale da ledere un proprio interesse[6], dal canto loro, non impediscono che un procedimento sia iniziato pure dalle autorità dello Stato estero, qualora il fatto sia penalmente rilevante anche nell’ambito di quest’ultimo.
A fronte di questi possibili conflitti di giurisdizione, l’art. 22 comma 5 della Convenzione di Budapest prescrive la consultazione tra gli Stati interessati, «al fine di stabilire la competenza più appropriata per esercitare l’azione penale»: un rimedio preventivo di cui la l. n. 48 del 2008 si è disinteressata.
Né è stato ascoltato il richiamo della Convenzione all’adozione di misure di cooperazione specificamente calibrate sulle indagini informatiche (artt. 23 ss.). La cooperazione, in questa materia, nel nostro sistema continua ad essere affidata al metodo tradizionale della rogatoria: uno strumento che, a causa dei suoi tempi e delle sue viscosità, non sempre risponde alle esigenze di celerità imposte dalla raccolta delle prove digitali, la quale richiede in molti casi ingressi in tempo reale nei sistemi informatici[7].
Alla lacuna prevista dal nostro ordinamento, la Suprema Corte di Cassazione con sentenza a SS.UU. n. 17325/2015, ha cercato di mettere un punto fermo sulla questione interpretativa molto dibattuta, sia in dottrina che in giurisprudenza, relativa alla corretta individuazione del luogo di consumazione del delitto di accesso abusivo ad un sistema informatico o telematico, ci cui all’art. 615 ter c.p.
La Suprema Corte nell’esaminare la norma rileva che la condotta illecita commessa in un ambiente informatico o telematico assume delle specifiche peculiarità per cui la tradizionale nozione, elaborata per una realtà fisica nella quale le conseguenze sono percepibili e verificabili con immediatezza, deve essere rivisitata e adeguata alla dimensione virtuale.
Pertanto non è sempre agevole individuare con certezza una sfera spaziale suscettibile di tutela in un sistema telematico, che opera e si connette ad altri terminali mediante reti e protocolli di comunicazione.
Difatti, come è noto, vi sono due teorie contrapposte sul luogo del commesso reato nel caso di specie: una si fonda sul concetto classico di fisicità del luogo ove è collocato il server e l'altra sul funzionamento delocalizzato, all'interno della rete, di più sistemi informatici e telematici.
Ora la Corte reputa sia preferibile la tesi che privilegia le modalità di funzionamento dei sistemi informatici e telematici, piuttosto che il luogo ove è fisicamente collocato il server ricordando come l'abusiva introduzione in un sistema informatico o telematico - o il trattenimento contro la volontà di chi ha diritto di esclusione - sono le uniche condotte incriminate, e, per quanto rilevato, le relative nozioni non sono collegate ad una dimensione spaziale in senso tradizionale, ma a quella elettronica, trattandosi di sistemi informatici o telematici che archiviano e gestiscono informazioni ossia entità immateriali.
Il criterio di articolare la competenza in termini di fisicità (luogo ove è collocato il server) secondo gli abituali schemi concettuali del mondo materiale, secondo la Corte, non tiene conto del fatto che la nozione di collocazione spaziale o fisica è essenzialmente estranea alla circolazione dei dati in una rete di comunicazione telematica e alla loro contemporanea consultazione da più utenti spazialmente diffusi sul territorio.
Non può, quindi, essere condivisa, allora, la tesi secondo la quale il reato di accesso abusivo si consuma nel luogo in cui è collocato il server che controlla le credenziali di autenticazione del client, in quanto, in ambito informatico, deve attribuirsi rilevanza, più che al luogo in cui materialmente si trova il sistema informatico, a quello da cui parte il dialogo elettronico tra i sistemi interconnessi e dove le informazioni vengono trattate dall'utente.
Va rilevato, infatti, come il sito ove sono archiviati i dati non sia decisivo e non esaurisca la complessità dei sistemi di trattamento e trasmissione delle informazioni, dal momento che nel cyberspazio (la rete internet) il flusso dei dati informatici si trova allo stesso tempo nella piena disponibilità di consultazione di un numero indefinito di utenti abilitati, che sono posti in condizione di accedervi ovunque.
Sempre secondo la Suprema Corte non è allora esatto ritenere che i dati si trovino solo nel server, perché nel reato in oggetto l'intera banca dati è "ubiquitaria", "circolare" o "diffusa" sul territorio, nonché contestualmente compresente e consultabile in condizioni di parità presso tutte le postazioni remote autorizzate all'accesso.
A dimostrazione della unicità del sistema telematico per il trattamento dei dati, basti considerare che la traccia delle operazioni compiute all'interno della rete e le informazioni relative agli accessi sono reperibili, in tutto o in parte, sia presso il server che presso il client.
Di conseguenza la stessa nozione di accesso in un sistema informatico non coincide con l'ingresso all'interno del server fisicamente collocato in un determinato luogo, ma con l'introduzione telematica o virtuale, che avviene instaurando un colloquio elettronico o circuitale con il sistema centrale e con tutti i terminali ad esso collegati.
L'accesso inizia con l'unica condotta umana di natura materiale, consistente nella digitazione da remoto delle credenziali di autenticazione da parte dell'utente, mentre tutti gli eventi successivi assumono i connotati di comportamenti comunicativi tra il client e il server.
Avv. Marco Mariscoli