1. Si deve preliminarmente dare atto che la notificazione all’imputato B.R., che è assistito da un difensore di ufficio, dell’avviso della data dell’udienza è stata eseguita mediante consegna al medesimo difensore (l’avv. Domenico Lombardo) ai sensi dell’art. 169 cod. proc. pen., dopo al B.R. è stata inviata, presso l’Istituto penitenziario e Prigione di (OMISSIS) dove egli si trova ristretto, raccomandata con avviso di ricevimento, tradotta in lingua ungherese, contenente, oltre all’indicazione dell’autorità procedente, del titolo del reato e del luogo in cui è stato commesso, l’invito a dichiarare o eleggere domicilio nel territorio dello Stato, senza che lo stesso B.R. abbia a ciò provveduto nel termine di trenta giorni dalla ricezione della medesima raccomandata.
2. Dato atto di ciò, il ricorso è fondato.
Col ritenere che i contestati reati di accesso abusivo a un sistema informatico e di frode informatica fossero stati commesso dal B.R. all’estero, con la conseguente applicabilità dell’art. 10 cod. pen., il Tribunale di Firenze è infatti incorso nella violazione dell’art. 6, secondo comma, cod. pen., che stabilisce – ai fini della sussistenza sia della potestà punitiva secondo la legge italiana, sia, dal punto di vista processuale, della giurisdizione italiana – quando «il reato si considera commesso nel territorio dello Stato».
In particolare, il Tribunale di Firenze è pervenuto ad affermare che i contestati reati di accesso abusivo a un sistema informatico e di frode informatica erano stati commessi dal B.R. all’estero facendo erroneamente riferimento al solo luogo di consumazione di tali reati (il quale è stato correttamente collocato in Ungheria, atteso che: come è stato chiarito da Sez. U, n. 17325 del 26/03/2015, Rocco, Rv. 263020-01, il luogo di consumazione del reato di accesso abusivo a un sistema informatico o telematico coincide con quello in cui si trova l’utente che, tramite elaboratore elettronico o altro dispositivo per il trattamento automatico dei dati, digitando la “parola chiave” o altrimenti eseguendo la procedura di autenticazione, supera le misure di sicurezza apposte dal titolare per selezionare gli accessi e per tutelare la banca-dati memorizzata all’Interno del sistema centrale ovvero vi si mantiene eccedendo i limiti dell’autorizzazione ricevuta; come è stato chiarito da Sez. 2, n. 10354 del 05/02/2020, Gerbino, cit., e da Sez. 1, n. 36359 del 20/05/2016, Vizcaino, Rv. 268252-01, il delitto di frode informatica si consuma, come la truffa, nel momento e nel luogo in cui l’agente consegue l’ingiusto profitto con correlativo danno patrimoniale altrui).
Così facendo, il Tribunale di Firenze ha però erroneamente trascurato di considerare che il secondo comma dell’art. 6 cod. pen. detta una nozione di commissione del reato che estende l’ampiezza del locus commissi delicti ben oltre il luogo di consumazione, stabilendo che il reato si considera commesso nel territorio dello Stato «quando l’azione o l’omissione, che lo costituisce, è ivi avvenuta in tutto o in parte, ovvero si è verificato l’evento che è la conseguenza dell’azione od omissione».
Da tale disposizione emerge una nozione “frammentata” di commissione del reato, la quale conferisce rilevanza, ai fini dell’individuazione del locus commissi delicti, anche a semplici parti dell’azione o omissione e anche alla mera verificazione dell’evento. Nozione con la quale il legislatore ha accolto la teoria cosiddetta dell’ubiquità, la quale implica, all’evidenza, la scelta di estendere al massimo la giurisdizione italiana.
Tanto chiarito, la risposta concreta al problema dell’individuazione, sulla base della nozione che si è appena indicata, del locus commissi delicti, dipende, ovviamente, dalle caratteristiche strutturali di ciascuna fattispecie criminosa.
Per quanto qui in particolare interessa, quanto al reato di accesso abusivo a un sistema informatico, ancorché l’unica condotta umana materiale di tale reato consista nell’agire sul computer remoto, nel luogo in cui esso si trova (il quale luogo, come si è detto, secondo le Sezioni unite della Corte di cassazione, costituisce il luogo di consumazione del reato), tuttavia, in considerazione della dimensione anche virtuale che è propria della fattispecie – e di cui la collocazione del reato di cui all’art. 615-ter cod. pen. tra i «delitti contro l’inviolabilità del domicilio» (corsivo aggiunto) costituisce un evidente riflesso -, si deve ritenere che «l’azione» che rileva ai fini di cui all’art. 6, secondo comma, cod. pen., sia costituita non solo dall’agire sul computer remoto ma anche dall’introduzione, per mezzo di tale agire e come effetto automatizzato dello stesso, nel sistema informatico protetto; il che avviene nel diverso luogo in cui tale sistema si trova.
Nel caso di specie, dal capo d’imputazione e dalla lettura della stessa sentenza impugnata risulta che il contestato reato di accesso abusivo a un sistema informatico sarebbe stato commesso dall’imputato introducendosi abusivamente nel sistema informatico dell’ISP (Internet Service Provider) di (OMISSIS), in particolare, violando l’account di posta elettronica dell’impresa individuale di A. F. (OMISSIS). Azione, questa, che, pertanto, per quanto si è detto, si deve ritenere avvenuta nel territorio italiano.
Quanto al reato di frode informatica, si deve ritenere che, nel caso di reati che siano caratterizzati da una pluralità di eventi, a rendere applicabile la legge italiana e a radicare la giurisdizione italiana sia sufficiente che anche uno solo di essi si sia verificato in Italia.
Nel caso di specie, posto che il reato di truffa informatica presenta il duplice evento del danno patrimoniale altrui e dell’ingiusto profitto per sé o per altri, dal capo d’imputazione e dalla lettura della stessa sentenza impugnata risulta che sia l’induzione in errore (anch’essa qui ricorrente) delle persone offese titolari delle imprese, rispettivamente, “(OMISSIS) di F. M.” con sede in (OMISSIS) e “(OMISSIS) di U. M.” con sede in (OMISSIS), per effetto della tecnica meri in thè middle che le aveva convinte di comunicare tra loro (invece che con l’imputato), sia gli atti di disposizione patrimoniale (anch’essi qui ricorrenti) consistiti nei bonifici effettuati dalle persone offese sul conto corrente del B.R., sia, infine, il conseguente evento del correlativo danno patrimoniale per le stesse persone offese si verificarono in Italia.
Ne discende che, ai sensi dell’art. 6, secondo comma, cod. pen. – disposizione che, come si è detto, il Tribunale di Firenze ha evidentemente trascurato di considerare -, i contestati reati di accesso abusivo a un sistema informatico e di frode informatica si dovevano ritenere commessi in Italia, con le conseguenti punibilità di essi secondo la legge italiana e sussistenza della giurisdizione italiana. Ciò diversamente da quanto è stato reputato dal Tribunale di Firenze ai sensi dell’art. 10 cod. pen., che lo stesso Tribunale ha ritenuto applicabile sull’erroneo presupposto della commissione all’estero del reato.
Con riguardo al reato di frode informatica, tale conclusione risulta in linea, mutatis mutandis, con quanto è stato affermato dall’invocata (dal ricorrente) sentenza Turcato della Seconda sezione penale a proposito del reato di truffa. Con tale sentenza, la Corte di cassazione – dopo avere osservato che «vi sono quattro elementi costitutivi del reato [di truffa], da individuarsi negli artifici e raggiri, nell’induzione in errore del soggetto passivo, nell’atto di disposizione patrimoniale da parte di quest’ultimo e nell’ingiusto profitto conseguito dal soggetto attivo», sicché «la truffa è pertanto un reato a condotta frazionata, nel senso che è caratterizzata da eventi che continuano a prodursi nel tempo, sorretti da una iniziale ideazione» -, aveva rilevato «come i tre primi eventi sopra indicati si siano sicuramente verificati nel territorio dello Stato», con la conseguenza che «trovano quindi applicazione sia l’art. 6 c.p., sopra richiamato, in quanto parte dell’azione è avvenuta in Italia, sia l’art. 9 c.p.p., comma 1, con conseguente competenza del giudice dell’ultimo luogo in cui è avvenuta parte dell’azione».
4. La sentenza impugnata deve, pertanto, essere annullata.
Poiché si tratta di ricorso per cassazione proposto dal pubblico ministero contro una sentenza di proscioglimento inappellabile, a norma dell’art. 593, comma 2, primo periodo, cod. proc. pen., in quanto relativa a due reati per i quali è prevista la citazione diretta a giudizio, gli atti devono essere trasmessi, per un nuovo giudizio, al medesimo Tribunale di Firenze, in diversa composizione, ai sensi dell’art. 623, comma 1, lett. d), cod. proc. pen.
Cass. pen., II, ud. dep. 25.11.2025, n.38244