Locus Commissi Delicti: Frode e Giurisdizione

Un cittadino straniero era accusato di frode informatica e accesso abusivo contro aziende italiane. Un tribunale di primo grado aveva archiviato il caso per mancanza di giurisdizione, ritenendo il reato commesso all’estero dove era stato incassato il profitto. La Corte di Cassazione ha annullato tale decisione, stabilendo il principio del ‘locus commissi delicti’ per i reati informatici. Ha chiarito che la giurisdizione italiana sussiste se una qualsiasi parte dell’azione criminale, come l’inganno alle vittime o il danno patrimoniale, si verifica in Italia, a prescindere da dove venga ricevuto il guadagno illecito.

A cura di Carmine Paul Alexander TEDESCO - Avvocato

Prenota un appuntamento

Per una consulenza legale o per valutare una possibile strategia difensiva prenota un appuntamento.

La consultazione può avvenire in studio a Milano, Pesaro, Benevento, oppure in videoconferenza.

PRENOTA

02.37901052

8:00 – 20:00
(Lun - Sab)

Pubblicato il 3 gennaio 2026 in Diritto Penale, Giurisprudenza Penale, Procedura Penale

Locus Commissi Delicti e Frode Informatica: La Giurisdizione Italiana nei Cybercrime

La crescente digitalizzazione ha reso i confini geografici sempre più labili, specialmente nel contesto dei reati informatici. Una recente sentenza della Corte di Cassazione ha affrontato un tema cruciale: la determinazione del Locus Commissi Delicti per le frodi informatiche transnazionali, stabilendo criteri chiari per affermare la giurisdizione italiana. Questo articolo analizza la decisione e le sue importanti implicazioni.

I Fatti del Caso: Una Truffa “Man in the Middle”

Il caso riguarda un cittadino straniero accusato di aver commesso reati di accesso abusivo a sistema informatico e frode informatica ai danni di due aziende italiane. L’imputato, operando dall’estero, si era introdotto illegalmente nell’account di posta elettronica di un’impresa. Successivamente, utilizzando la tecnica del “man in the middle”, aveva intercettato le comunicazioni tra questa e altre aziende clienti, sostituendo l’IBAN corretto con quello di un conto a lui riconducibile. Le aziende vittime, indotte in errore, avevano così effettuato pagamenti per le loro transazioni commerciali sul conto del truffatore.

La Decisione Iniziale e il Ricorso in Cassazione

Inizialmente, il Tribunale di Firenze aveva dichiarato il non doversi procedere, ritenendo che il reato fosse stato commesso all’estero (in particolare, a Budapest, luogo di conseguimento del profitto) e che mancasse la condizione di procedibilità della presenza dell’imputato nel territorio dello Stato, come previsto dall’art. 10 del codice penale per i reati commessi all’estero.

Il Procuratore Generale presso la Corte d’Appello ha impugnato questa decisione, sostenendo che il Tribunale avesse erroneamente interpretato le norme sulla determinazione del Locus Commissi Delicti. Secondo il ricorrente, diversi elementi del reato si erano in realtà verificati in Italia, rendendo applicabile la legge e la giurisdizione italiana.

Le Motivazioni della Cassazione: Il Principio di Ubiquità nel Locus Commissi Delicti

La Corte di Cassazione ha accolto il ricorso, annullando la sentenza e rinviando il caso al Tribunale per un nuovo giudizio. La decisione si fonda su un’attenta analisi dell’art. 6, secondo comma, del codice penale, che sancisce il cosiddetto “principio di ubiquità”.

Questo principio stabilisce che un reato si considera commesso nel territorio dello Stato quando:
1. L’azione o l’omissione che lo costituisce è avvenuta, in tutto o in parte, in Italia.
2. L’evento, conseguenza dell’azione o omissione, si è verificato in Italia.

Il Tribunale di primo grado aveva commesso l’errore di concentrarsi unicamente sul luogo di consumazione del reato (l’accredito del profitto in Ungheria), trascurando la natura “frammentata” della condotta criminale.

L’Accesso Abusivo al Sistema Informatico

Per il reato di accesso abusivo (art. 615-ter c.p.), la Cassazione ha chiarito che l’azione non si esaurisce nell’attività materiale svolta sul computer dell’agente. Essa comprende anche l’introduzione nel sistema protetto. Poiché il sistema informatico violato (l’account di posta elettronica) si trovava in Italia, una parte essenziale dell’azione si è verificata nel nostro territorio.

La Frode Informatica

Per quanto riguarda la frode informatica (art. 640-ter c.p.), la Corte ha evidenziato che molteplici elementi costitutivi del reato si sono realizzati in Italia:
* L’induzione in errore: Le aziende vittime sono state ingannate mentre si trovavano nelle loro sedi in Italia.
* L’atto di disposizione patrimoniale: I bonifici bancari sono stati ordinati dalle sedi italiane delle aziende truffate.
* Il danno patrimoniale: La perdita economica si è verificata a carico di soggetti giuridici con sede in Italia.

Di conseguenza, anche se il profitto finale è stato conseguito all’estero, la presenza di questi elementi nel territorio nazionale è sufficiente a radicare la giurisdizione italiana, in piena applicazione del principio di ubiquità.

Conclusioni: Implicazioni Pratiche della Sentenza

Questa sentenza è di fondamentale importanza perché rafforza gli strumenti di contrasto ai cybercrime transnazionali. Stabilendo una nozione ampia di Locus Commissi Delicti, la Corte di Cassazione garantisce che i criminali informatici non possano sfuggire alla giustizia italiana solo perché operano fisicamente da un altro Paese o perché dirottano i proventi illeciti su conti esteri. La decisione conferma che la tutela delle vittime residenti in Italia e la repressione di condotte che colpiscono il sistema economico nazionale sono prioritarie, affermando la potestà punitiva dello Stato anche quando la catena criminale attraversa i confini nazionali.

Quando un reato informatico commesso dall’estero ricade sotto la giurisdizione italiana?
Secondo il principio di ubiquità (art. 6 c.p.), un reato informatico ricade sotto la giurisdizione italiana se anche solo una parte dell’azione (es. l’accesso a un server in Italia o l’inganno a una vittima sul territorio nazionale) o il suo evento (es. il danno patrimoniale subito da un soggetto residente in Italia) si verificano in Italia.

Nel reato di frode informatica, dove si considera commesso il reato ai fini della giurisdizione?
Il reato si considera commesso in Italia se uno qualsiasi dei suoi elementi costitutivi si è verificato sul territorio nazionale. Questi elementi includono l’induzione in errore della vittima, l’atto di disposizione patrimoniale (come un bonifico) effettuato dalla vittima e il danno patrimoniale che ne consegue. Il luogo in cui l’autore del reato consegue il profitto non è l’unico fattore determinante.

Perché il luogo dove si trova il server è rilevante nel reato di accesso abusivo?
Nel reato di accesso abusivo a un sistema informatico, l’azione criminosa non è solo l’atto fisico di agire da un computer remoto, ma include anche l’effettiva introduzione non autorizzata nel sistema protetto. Pertanto, il luogo in cui si trova il server o il sistema violato è considerato uno dei luoghi in cui si è verificata una parte dell’azione, contribuendo a stabilire il ‘Locus Commissi Delicti’ e, di conseguenza, la giurisdizione.

Testo del provvedimento

Sentenza di Cassazione Penale Sez. 2 Num. 38244 Anno 2025

Penale Sent. Sez. 2 Num. 38244 Anno 2025

Presidente: COGNOME NOME

Relatore: COGNOME NOME

Data Udienza: 30/10/2025

SENTENZA

sul ricorso proposto da:

PROCURATORE GENERALE PRESSO LA CORTE D’APPELLO DI FIRENZE nel procedimento a carico di: COGNOME NOME, nato in Ungheria il DATA_NASCITA

avverso la sentenza del 17/12/2024 del Tribunale di Firenze visti gli atti, il provvedimento impugnato e il ricorso;

letta la memoria dell’AVV_NOTAIO, difensore di COGNOME NOME, il quale, dopo avere argomentato in ordine all’inammissibilità o all’infondatezza dei motivi di ricorso, ha chiesto che lo stesso sia dichiarato inammissibile o sia rigettato;

udita la relazione svolta dal Consigliere NOME COGNOME;

udito il Pubblico Ministero, in persona del Sostituto Procuratore NOME AVV_NOTAIO, il quale ha chiesto che la sentenza impugnata venga annullata con rinviopJ2. 1-4;61e- f rilevato che nessuno è comparso in difesa di COGNOME NOME, in particolare, l’AVV_NOTAIO, difensore di ufficio del COGNOME, nonostante lo stesso Avvocato avesse formulato istanza di trattazione orale.

RITENUTO IN FATTO

Con sentenza del 17/12/2024, il Tribunale di Firenze, in composizione monocratica, in esito all’udienza di comparizione predibattimentale, dichiarava non doversi procedere nei confronti del cittadino straniero NOME COGNOME in ordine ai

reati di accesso abusivo a un sistema informatico (art. 615-ter cod. pen.) e di frode informatica (art. 640-ter cod. pen.) a lui contestati perché l’azione penale non doveva essere iniziata per difetto dei requisiti di cui all’art. 10 cod. pen., i particolare, della condizione di procedibilità della presenza del COGNOME nel territorio dello Stato.

2. Avverso tale sentenza del 17/12/2024 del Tribunale di Firenze, ha proposto ricorso per cassazione il Procuratore generale presso la Corte d’appello di Firenze, affidato a due motivi, illustrati con un’argomentazione unitaria, con i quali deduce l’inosservanza o l’erronea applicazione degli artt. 6 e 9, primo comma, cod. pen., e dell’art. 554-bis, comma 6, cod. proc. pen. (primo motivo), e la contraddittorietà della motivazione (secondo motivo).

Il ricorrente deduce che il Tribunale di Firenze, nonostante il capo d’imputazione, là dove indica, quale luogo di commissione dei reati, Budapest, si dovesse ritenere «mal formulato», avrebbe dovuto fare corretta applicazione dell’art. 6 cod. pen. e, eventualmente, invitare il pubblico ministero a correggere lo stesso capo d’imputazione con riguardo al luogo di commissione dei reati.

Dopo avere trascritto il testo dell’art. 6, secondo comma, cod. pen., e dell’art. 9, comma 1, cod. proc. pen., il Procuratore generale presso la Corte d’appello di Firenze espone che il delitto di truffa, come quello di frode informatica – che, come affermato dalla Corte di cassazione, ha la medesima struttura e i medesimi elementi costitutivi della truffa (è citata, in tale senso: Sez. 2, n. 10354 de 05/02/2020, COGNOME, Rv. 278518-01) – si configurerebbe come a consumazione prolungata o a condotta frazionata (come argomentato da Sez. 2, n. 13916 del 11/12/2013, dep. 2014, COGNOME, non massimata).
Ciò posto, il ricorrente deduce che « reati per i quali si procede, quantomeno quello più grave di cui all’art. 640 ter c.p. infatti, risultano commessi non a Budapest dove l’imputato avrebbe conseguito il profitto, ma in territorio italiano e precisamente in Poggibonsi (SI) e in Terranuova Bracciolini (AR) laddove, come emerge chiaramente dalla motivazione della sentenza e dal contenuto delle denunce sporte, le persone offese COGNOME e COGNOME si trovavano quando sono state indotte in errore e persuase, tramite la tecnica denominata “man in the middle”, di comunicare tra di loro relativamente alle ordinarie transazioni commerciali in corso e ad effettuare gli atti di disposizione patrimoniale consistiti nel pagamento di ordini effettuati tramite l’agente di commercio COGNOME su quello che ritenevano erroneamente essere l’IBAN dei fornitori».
Il Procuratore generale presso la Corte d’appello di Firenze riporta poi la massima di Sez. 2, n. 14744 del 01/02/2017, COGNOME, secondo cui, «ai fini della determinazione della competenza territoriale per il reato di truffa consumata all’estero, nell’ipotesi in cui anche uno solo degli eventi (artifici e raggiri, induzio

in errore, atti di disposizione patrimoniale, ingiusto profitto) si sia realizzato n territorio dello Stato, è competente il giudice dell’ultimo luogo in cui si è verificat uno dei suddetti fatti, in applicazione degli artt. 6 e 9, comma primo, cod. proc. pen.» (Rv. 269681-01).

Il ricorrente sottolinea come, con tale sentenza – che afferma essere relativa a una vicenda del tutto analoga a quella in questione – la Corte di cassazione abbia ritenuto immune da censure la decisione che aveva ravvisato la competenza del tribunale del luogo in cui la parte offesa aveva effettuato il bonifico, destinato a un conto corrente aperto su una banca estera.

CONSIDERATO IN DIRITTO

1. Si deve preliminarmente dare atto che la notificazione all’imputato NOME COGNOME, che è assistito da un difensore di ufficio, dell’avviso della data dell’udienza è stata eseguita mediante consegna al medesimo difensore (l’AVV_NOTAIO) ai sensi dell’art. 169 cod. proc. pen., dopo al COGNOME è stata inviata, presso l’Istituto penitenziario e Prigione di Budapest dove egli si trova ristretto, raccomandata con avviso di ricevimento, tradotta in lingua ungherese, contenente, oltre all’indicazione dell’autorità procedente, del titolo del reato e del luogo in cui è stato commesso, l’invito a dichiarare o eleggere domicilio nel territorio dello Stato, senza che lo stesso COGNOME abbia a ciò provveduto nel termine di trenta giorni dalla ricezione della medesima raccomandata.
Dato atto di ciò, il ricorso è fondato.

Col ritenere che i contestati reati di accesso abusivo a un sistema informatico e di frode informatica fossero stati commesso dal COGNOME all’estero, con la conseguente applicabilità dell’art. 10 cod. pen., il Tribunale di Firenze è infatti incorso nella violazione dell’art. 6, secondo comma, cod. pen., che stabilisce – ai fini della sussistenza sia della potestà punitiva secondo la legge italiana, sia, dal punto di vista processuale, della giurisdizione italiana – quando «il reato si considera commesso nel territorio dello Stato».
In particolare, il Tribunale di Firenze è pervenuto ad affermare che i contestati reati di accesso abusivo a un sistema informatico e di frode informatica erano stati commessi dal COGNOME all’estero facendo erroneamente riferimento al solo luogo di consumazione di tali reati (il quale è stato correttamente collocato in Ungheria, atteso che: come è stato chiarito da Sez. U, n. 17325 del 26/03/2015, Rocco, Rv. 263020-01, il luogo di consumazione del reato di accesso abusivo a un sistema informatico o telematico coincide con quello in cui si trova l’utente che, tramite elaboratore elettronico o altro dispositivo per il trattamento automatico dei dati, digitando la “parola chiave” o altrimenti eseguendo la procedura di autenticazione, supera le misure di sicurezza apposte dal titolare per selezionare gli accessi e per
tutelare la banca-dati memorizzata all’interno del sistema centrale ovvero vi si mantiene eccedendo i limiti dell’autorizzazione ricevuta; come è stato chiarito da Sez. 2, n. 10354 del 05/02/2020, COGNOME, cit., e da Sez. 1, n. 36359 del 20/05/2016, Vizcaino, Rv. 268252-01, il delitto di frode informatica si consuma, come la truffa, nel momento e nel luogo in cui l’agente consegue l’ingiusto profitto con correlativo danno patrimoniale altrui).

Così facendo, il Tribunale di Firenze ha però erroneamente trascurato di considerare che il secondo comma dell’art. 6 cod. pen. detta una nozione di commissione del reato che estende l’ampiezza del /ocus commissi delicti ben oltre il luogo di consumazione, stabilendo che il reato si considera commesso nel territorio dello Stato «quando l’azione o l’omissione, che lo costituisce, è ivi avvenuta in tutto o in parte, ovvero si è verificato l’evento che è la conseguenza dell’azione od omissione».

Da tale disposizione emerge una nozione “frammentata” di commissione del reato, la quale conferisce rilevanza, ai fini dell’individuazione del /ocus commissi delicti, anche a semplici parti dell’azione o omissione e anche alla mera verificazione dell’evento. Nozione con la quale il legislatore ha accolto la teoria cosiddetta dell’ubiquità, la quale implica, all’evidenza, la scelta di estendere al massimo la giurisdizione italiana.

Tanto chiarito, la risposta concreta al problema dell’individuazione, sulla base della nozione che si è appena indicata, del /ocus commissi delicti, dipende, ovviamente, dalle caratteristiche strutturali di ciascuna fattispecie criminosa.

Per quanto qui in particolare interessa, quanto al reato di accesso abusivo a un sistema informatico, ancorché l’unica condotta umana materiale di tale reato consista nell’agire sul computer remoto, nel luogo in cui esso si trova (il quale luogo, come si è detto, secondo le Sezioni unite della Corte di cassazione, costituisce il luogo di consumazione del reato), tuttavia, in considerazione della dimensione anche virtuale che è propria della fattispecie – e di cui la collocazione del reato di cui all’art. 615-ter cod. pen. tra i «delitti contro l’inviolabilit del domicilio» (corsivo aggiunto) costituisce un evidente riflesso -, si deve ritenere che «l’azione» che rileva ai fini di cui all’art. 6, secondo comma, cod. pen., sia costituita non solo dall’agire sul computer remoto ma anche dall’introduzione, per mezzo di tale agire e come effetto automatizzato dello stesso, nel sistema informatico protetto; il che avviene nel diverso luogo in cui tale sistema si trova.
Nel caso di specie, dal capo d’imputazione e dalla lettura della stessa sentenza impugnata risulta che il contestato reato di accesso abusivo a un sistema informatico sarebbe stato commesso dall’imputato introducendosi abusivamente nel sistema informatico dell’RAGIONE_SOCIALE) di “RAGIONE_SOCIALE“, in particolare, violando l’account di posta elettronica dell’impresa individuale di

NOME COGNOME EMAIL–EMAIL . Azione, questa, che, pertanto, per quanto si è detto, si deve ritenere avvenuta nel territorio italiano.

Quanto al reato di frode informatica, si deve ritenere che, nel caso di reati che siano caratterizzati da una pluralità di eventi, a rendere applicabile la legge italiana e a radicare la giurisdizione italiana sia sufficiente che anche uno solo di essi si sia verificato in Italia.

Nel caso di specie, posto che il reato di truffa informatica presenta il duplice evento del danno patrimoniale altrui e dell’ingiusto profitto per sé o per altri, dal capo d’imputazione e dalla lettura della stessa sentenza impugnata risulta che sia l’induzione in errore (anch’essa qui ricorrente) delle persone offese titolari delle imprese, rispettivamente, “RAGIONE_SOCIALE” con sede in Terranuova Bracciolini e “RAGIONE_SOCIALE” con sede in Pontassieve, per effetto della tecnica men in the middle che le aveva convinte di comunicare tra loro (invece che con l’imputato), sia gli atti di disposizione patrimoniale (anch’essi qui ricorrenti) consistiti nei bonifici effettuati dalle persone offese sul conto corrente del COGNOME, sia, infine, il conseguente evento del correlativo danno patrimoniale per le stesse persone offese si verificarono in Italia.
Ne discende che, ai sensi dell’art. 6, secondo comma, cod. pen. – disposizione che, come si è detto, il Tribunale di Firenze ha evidentemente trascurato di considerare -, i contestati reati di accesso abusivo a un sistema informatico e di frode informatica si dovevano ritenere commessi in Italia, con le conseguenti punibilità di essi secondo la legge italiana e sussistenza della giurisdizione italiana. Ciò diversamente da quanto è stato reputato dal Tribunale di Firenze ai sensi dell’art. 10 cod. pen., che lo stesso Tribunale ha ritenuto applicabile sull’erroneo presupposto della commissione all’estero del reato.
Con riguardo al reato di frode informatica, tale conclusione risulta in linea, mutatis mutandis, con quanto è stato affermato dall’invocata (dal ricorrente) sentenza COGNOME della Seconda sezione penale a proposito del reato di truffa. Con tale sentenza, la Corte di cassazione – dopo avere osservato che «vi sono quattro elementi costitutivi del reato , da individuarsi negli artifici e ragg nell’induzione in errore del soggetto passivo, nell’atto di disposizione patrimoniale da parte di quest’ultimo e nell’ingiusto profitto conseguito dal soggetto attivo», sicché «la truffa è pertanto un reato a condotta frazionata, nel senso che è caratterizzata da eventi che continuano a prodursi nel tempo, sorretti da una iniziale ideazione» -, aveva rilevato «come i tre primi eventi sopra indicati si siano sicuramente verificati nel territorio dello Stato», con la conseguenza che «trovano quindi applicazione sia l’art. 6 c.p., sopra richiamato, in quanto parte dell’azione è avvenuta in Italia, sia l’art. 9 c.p.p., comma 1, con conseguente competenza del giudice dell’ultimo luogo in cui è avvenuta parte dell’azione».
La sentenza impugnata deve, pertanto, essere annullata.

Poiché si tratta di ricorso per cassazione proposto dal pubblico ministero contro una sentenza di proscioglimento inappellabile, a norma dell’art. 593, comma 2, primo periodo, cod. proc. pen., in quanto relativa a due reati per i quali è prevista la citazione diretta a giudizio, gli atti devono essere trasmessi, per un nuovo giudizio, al medesimo Tribunale di Firenze, in diversa composizione, ai sensi dell’art. 623, comma 1, lett. d), cod. proc. pen.

P.Q.M.

Annulla la sentenza impugnata e rinvia per nuovo giudizio al Tribunale di Firenze in diversa composizione.

Così deciso il 30/10/2025.

La selezione delle sentenze e la raccolta delle massime di giurisprudenza è a cura di Carmine Paul Alexander TEDESCO, Avvocato a Milano, Pesaro e Benevento.

Desideri approfondire l'argomento ed avere una consulenza legale?

Prenota un appuntamento. La consultazione può avvenire in studio a Milano, Pesaro, Benevento, oppure in videoconferenza / conerence call e si svolge in tre fasi.

Prima dell'appuntamento: analisi del caso prospettato. Si tratta della fase più delicata, perché dalla esatta comprensione del caso sottoposto dipendono il corretto inquadramento giuridico dello stesso, la ricerca del materiale e la soluzione finale.

Durante l’appuntamento: disponibilità all’ascolto e capacità a tenere distinti i dati essenziali del caso dalle componenti psicologiche ed emozionali.

Al termine dell’appuntamento: ti verranno forniti gli elementi di valutazione necessari e i suggerimenti opportuni al fine di porre in essere azioni consapevoli a seguito di un apprezzamento riflessivo di rischi e vantaggi. Il contenuto della prestazione di consulenza stragiudiziale comprende, difatti, il preciso dovere di informare compiutamente il cliente di ogni rischio di causa. A detto obbligo di informazione, si accompagnano specifici doveri di dissuasione e di sollecitazione.

Il costo della consulenza legale è di € 150,00.