top of page
Cerca

La Corte di Cassazione definisce i confini della giurisdizione nei casi di cybercrime transnazionale

  • Immagine del redattore: Studio Legale Pede
    Studio Legale Pede
  • 26 feb
  • Tempo di lettura: 2 min

Con la sentenza n. 38244 del 25 novembre 2025, la Corte di Cassazione penale ha tracciato un perimetro chiaro sulla giurisdizione italiana in materia di reati informatici commessi dall'estero, offrendo una risposta concreta a una delle questioni più delicate del cybercrime: dove si considera commesso un reato informatico quando l'attaccante opera dall'estero e la vittima si trova in Italia?


Il caso. Un cittadino straniero, detenuto all'estero, era stato rinviato a giudizio in Italia per accesso abusivo a sistema informatico e frode informatica. L'imputato, operando da Budapest, si era introdotto nel sistema informatico di un provider italiano, aveva violato l'account di posta elettronica di un'impresa italiana e, utilizzando la tecnica "man in the middle", aveva indotto altre imprese italiane a effettuare bonifici su un conto corrente aperto in Italia.


La Corte di Cassazione ha affermato un principio fondamentale: nei reati informatici, il luogo di consumazione non coincide solo con quello in cui si trova fisicamente l'aggressore o il server attaccato, ma anche con quello in cui si verificano gli eventi dannosi.

In particolare, l'art. 6, comma 2, del codice penale configura una nozione "frammentata" di commissione del reato: è sufficiente che anche solo una parte dell'azione o dell'evento si verifichi in Italia per radicare la giurisdizione italiana.

Applicando tale principio ai reati informatici, la Suprema Corte di Cassazione ha precisato che «il luogo di consumazione del reato di accesso abusivo a sistema informatico e di frode informatica coincide non solo con quello in cui si trova il computer remoto nel quale è collocato il sistema informatico protetto, ma anche con quello in cui l'agente, tramite elaboratore elettronico o altro dispositivo, introduce per mezzo dell'agire automatizzato nel sistema informatico protetto le condotte illecite». La giurisdizione italiana sussiste pertanto quando in territorio nazionale si trova il sistema informatico violato, quando in Italia si verifica anche uno solo degli eventi costitutivi del danno patrimoniale altrui o dell'ingiusto profitto, oppure quando dal territorio italiano vengono compiute, attraverso l'agire automatizzato del sistema, anche solo alcune delle condotte che integrano la fattispecie criminosa. Come chiarito dalla sentenza, nei reati caratterizzati da pluralità di eventi «è sufficiente che anche uno solo di essi si sia verificato in Italia» per affermare la competenza della giustizia italiana.


Questo orientamento è particolarmente rilevante nell'era del cybercrime transnazionale, dove phishing, ransomware e frodi informatiche vengono spesso orchestrati da organizzazioni criminali che operano da giurisdizioni remote, proprio per sfruttare le difficoltà di coordinamento tra autorità giudiziarie di Paesi diversi.


 
 
bottom of page