Sulla sentenza Prisma, Cass. pen., sez. V, 27 ottobre 2023, n. 43638

La sentenza della Cassazione 43638/2023 e il foro competente per il reato commesso mediante operazioni informatiche: il bivio della scelta tra luogo dell’azione umana e luogo tecnologico.

di Michele Di Salvo

La competenza territoriale a giudicare del reato di manipolazione di mercato commesso mediante operazioni informatiche (art. 185, D.lgs. n. 58/1998) spetta al giudice del luogo ove è ubicato il “data server”, nel quale il comunicato stampa, emesso dalla società è giunto per essere “stoccato” e reso effettivamente “accessibile al pubblico” attraverso connessione da remoto al sito, ivi essendosi consolidata la concreta idoneità lesiva delle informazioni in esso contenute rispetto alla regolarità delle negoziazioni del titolo interessato sul mercato mobiliare.

Questo in sintesi è il principio espresso dalla Cassazione penale con la sentenza n. 43638/2023, avente ad oggetto la definizione della competenza territoriale nel processo denominato Prisma.

Il procedimento penale in cui è stata pronunciata la sentenza in commento trae origine da una indagine della Procura della Repubblica di Torino sull’ipotesi della asserita falsità dei bilanci 2019, 2020 e 2021, la manipolazione del mercato per la comunicazione al pubblico di tali falsità, nonché l’ostacolo alle funzioni di vigilanza ai danni della Consob.

Tra questi, l’ipotesi della falsità del bilancio 2019 deve ritenersi “attrattiva” della competenza per tutti gli altri reati contestati, ai sensi dell’art. 16 c.p.p., il quale prevede, in caso di pluralità di reati contestati, che la competenza sia determinata dal reato astrattamente più grave e temporalmente antecedente.

Portato il caso dinanzi alla Corte, le ipotesi discusse dalle parti sull’autorità giudiziaria competente sono state a. il Tribunale di Torino, poiché da Torino la comunicazione è stata inviata, b. il Tribunale di Milano, poiché qui ha sede legale il soggetto ufficialmente incaricato di diffondere i comunicati stampa delle società quotate, c. il Tribunale di Roma, poiché qui è situato il server utilizzato da questo soggetto per la diffusione dei comunicati.

La Suprema Corte ha individuato il Tribunale di Roma quale autorità competente, ordinando la trasmissione degli atti alla locale Procura della Repubblica, con regressione del procedimento alla fase delle indagini preliminari.

La sentenza ha inizialmente destato varie perplessità, fra cui la distorsione del principio costituzionale del giudice naturale, l’inidoneità del diritto vigente a regolare fatti e condotte sempre più dematerializzate e quindi non collocabili in alcun effettivo luogo fisico, o il pericolo che – incardinando la competenza nel luogo in cui è collocato il server – si finisca per concedere alla società la scelta del luogo ove avviene il fatto e, dunque, dell’autorità giudiziaria dalla quale essere giudicata (cd. forum shopping).

L’art. 8 c.p.p. stabilisce il luogo di consumazione del reato, quale primo e principale criterio per la determinazione del Giudice competente per territorio.

L’indagine per l’individuazione della competenza si sposta dal piano processuale a quello sostanziale e involge, nel caso di specie, il luogo di consumazione del reato di manipolazione del mercato, previsto dall’art. 185, D. lgs. 24 febbraio 1998, n. 58 (Testo Unico della Finanza, “TUF”) che punisce «chiunque diffonde notizie false o pone in essere operazioni simulate o altri artifizi concretamente idonei a provocare una sensibile alterazione del prezzo di strumenti finanziari».

Il reato può manifestarsi in due forme alternative: a. la diffusione di notizie false – il cd. aggiotaggio informativo, b. la realizzazione di operazioni simulate o altri artifizi – il cd. aggiotaggio operativo o manipolativo.

Sul punto, così si è pronunciata la Cassazione: «la condotta materiale del reato (…) non ne esaurisce gli elementi costitutivi. Occorre altresì che essa sia realizzata con modalità tali da rendere concreta la possibilità del verificarsi, in conseguenza della stessa, di una sensibile alterazione del valore degli strumenti finanziari. Si tratta, in sostanza, di un reato di pericolo; e per la precisione di un esemplare di quei reati di pericolo nei quali quest’ultimo è incluso nella fattispecie incriminatrice, essendo pertanto oggetto di accertamento in concreto, ma non quale risultato causale della condotta, bensì come modalità pericolosa della stessa nei confronti dell’interesse tutelato» [Cass. pen., Sez. V, 2013 n. 4324. Si vedano anche Cass. pen., Sez. V, 2014 n. 4619; Cass. pen., Sez. V, 2012 n. 40393.]

E anche «ai fini della sussistenza del reato, le notizie diffuse devono essere caratterizzate dalla loro concreta idoneità ad influire sul corso delle contrattazioni mobiliari, essendo questa la condizione per apprezzare la lesività del fatto (…): la natura concreta del pericolo esige, perché il reato si perfezioni, la manifestazione fenomenica dell’idoneità dell’azione a provocare quella sensibile alterazione del prezzo degli strumenti finanziari che realizza il contenuto offensivo tipico della fattispecie» [Cass. pen., Sez. V, 2022 n. 3555. Si vedano anche Cass. pen., Sez. V, 2018 n. 53437; Cass. pen., Sez. V, 2017 n. 54300; Cass. pen., Sez. I, 2015 n. 45347.]

Coerentemente la stessa Corte ha affermato che «il reato si perfeziona nel momento in cui la condotta acquisisce connotati di concreta lesività, nel senso del pericolo di alterazione del normale corso dei titoli» [Cass. pen., Sez. V, 2013 n. 4324. Si vedano anche Cass. pen., Sez. V, 2022 n. 3555; Cass. pen., Sez. V, 2018 n. 53437; Cass. pen., Sez I, 2015 n. 45347; Cass. pen., Sez. II, 2013 n. 12989.]

Il momento consumativo, quindi, del reato di manipolazione del mercato viene identificato con quello in cui si realizza la condotta tipica descritta dall’art. 185 TUF, manifestandosi in quel momento la pericolosità che costituisce il nucleo essenziale della esigenza giuridica della tutela dei mercati finanziari.

Nella prassi, grande attenzione è stata rivolta nel tempo alle condotte di manipolazione informativa attuata mediante diffusione di comunicazioni sociali. La condotta rilevante in questo caso è la diffusione di notizie false. Sulla nozione di diffusione alcuni interpreti ritengono che vi sia un contrasto ermeneutico in seno alla Suprema Corte.

Tale contrasto ruoterebbe attorno a due sentenze, che sarebbero state entrambe seguite da successive conformi, le quali avrebbero formulato interpretazioni distinte e tra loro inconciliabili sul momento e sul luogo di consumazione dell’aggiotaggio informativo, in particolare sulla realizzazione della condotta di diffusione.

La prima sentenza si riferisce al filone milanese della nota vicenda Parmalat, nella cui sentenza i giudici della Sezione V hanno testualmente affermato che «il delitto di aggiotaggio è un reato di mera condotta (di pericolo concreto) e che, pertanto, “uno actu perficitur” l’illecito si consuma nel momento stesso in cui la notizia, foriera di scompenso valutativo del titolo, viene comunicata o diffusa e, cioè, esce dalla sfera del soggetto attivo».

Questo principio, ripreso da successive sentenze di legittimità, è stato interpretato nel senso che il reato si consumerebbe nel luogo di materiale realizzazione della condotta, vale a dire di diffusione della notizia, senza che possa venire in rilievo un luogo successivo e diverso, riferito ad un preteso evento di pericolo concreto, che, più correttamente, va considerato alla stregua di un carattere, una attitudine di concreta pericolosità della condotta stessa ad alterare l’andamento del mercato.

La seconda sentenza si riferisce, invece, alla vicenda della scalata della Banca Antonveneta da parte della Banca Popolare di Lodi, nell’ambito della quale erano elevate contestazioni di aggiotaggio manipolativo e informativo.

Con specifico riferimento a quest’ultima fattispecie, la Sezione II ha rilevato la «infondatezza della tesi (…) di chi individua il momento e il luogo consumativo del reato di aggiotaggio informativo (consistente nella propalazione di notizie false e tendenziose idonee ad alterare la naturale formazione dei prezzi), all’atto dell’invio della notizia quando essa esce dalla sfera del soggetto attivo (…). In proposito, è sufficiente considerare la natura ricettizia della condotta per inferirne l’infondatezza della tesi poiché quel che rileva non è il luogo di invio della comunicazione foriera di scompenso valutativo del titolo, bensì quello di ricezione ove si formano i prezzi dei titoli medesimi. Invero, per valutare il momento consumativo del reato di aggiotaggio informativo tramite diffusione di false notizie, va detto che la comunicazione di notizie destinate ad essere divulgate (…) è un atto per sua natura recettizio. È, quindi, quantomeno necessario che la notizia che si vuoi diffondere venga a conoscenza del suo primo destinatario, Borsa Italiana, perché possa parlarsi di diffusione. Diversamente si finisce con l’anticipare il momento della consumazione del reato a quello del compimento di un’attività unilaterale priva di qualsiasi rilievo anche materiale. Non basta, in altre parole, che il comunicato stampa esca dalla sfera di controllo dell’emittente; esso deve, per essere un “comunicato”, giungere, cioè, a destinazione. Anche in quest’ottica, dunque, la comunicazione mendace realizza la sua potenzialità lesiva non prima di essere giunta al luogo di successiva diffusione al pubblico delle informazioni in grado di incidere nel mercato dei titoli, che è Milano, ove ha sede Borsa Italiana s.p.a.».

La distinzione tra l’impostazione della sentenza ‘Parmalat’ e quella della sentenza ‘Antonveneta’, nella prassi, non ha determinato decisioni contrastanti rispetto al luogo di commissione del reato in presenza di condotte di manipolazione informativa, tipicamente identificato con Milano, luogo in cui ha sede la Borsa e ove concretamente avveniva, secondo il regime di veicolazione delle informazioni sociale vigente in passato, la diffusione delle informazioni sociali asseritamente mendaci. Tanto è vero che autorevole dottrina aveva paventato il rischio di trasformare il foro milanese in una sorta di giurisdizione esclusiva in materia di abusi di mercato.

Nella sentenza sul caso Antonveneta testualmente si afferma: «Non contrasta con tale impostazione [quella del luogo di ricezione della notizia] la sentenza n. 28932 del 4/5/2011 [sentenza Parmalat] ove, se è vero che si afferma che “l’illecito si consuma nel momento stesso in cui la notizia, foriera di scompenso valutativo del titolo, viene comunicata o diffusa e, cioè, esce dalla sfera del soggetto attivo”, è altrettanto vero che nel prosieguo della motivazione si aggiunge: “per la sua ricorrenza è, quindi, sufficiente che siano poste in essere le cause dirette a cagionare una sensibile alterazione del prezzo degli strumenti finanziari quotati nelle liste di Borsa, senza che sia necessario il vendicarsi di questo evento”; e si precisa che “la diffusione dell’informazione illecita avvenne mediante l’inserimento della stessa nel sistema informativo del mercato di Borsa. Vale a dire con l’immissione nel server del “Network Information System – NIS” (…). È agevole rilevare come la Corte dia rilievo non alla comunicazione bensì alla “diffusione della informazione illecita, (incisivamente definita “foriera di scompenso valutativo del titolo”), nel sistema informativo del mercato di borsa” che consente alla notizia stessa di essere portata a conoscenza degli operatori finanziari, dei risparmiatori e “di tutti i possibili interessati”, palesandosi, così, all’interno degli uffici della borsa valori, “l’idoneità effettiva della informazione protesa ad alterare il valore degli strumenti finanziari interessati”. E solo in tale modo, ad avviso di questa Corte, che si realizzano le “cause dirette a cagionare una sensibile alterazione del prezzo degli strumenti finanziari quotati nelle liste di borsa, senza che sia necessario il verificarsi di questo evento”».

In sostanza, nella sentenza Antonveneta, la Corte ha ripreso il dictum della sentenza Parmalat e ne ha fatto una interpretazione autentica, riconducendolo all’orientamento che ritiene consumato l’aggiotaggio informativo nel luogo in cui la notizia falsa giunge a destinazione, poiché ivi assume il connotato di pericolosità richiesto dalla norma.

E tutte le sentenze successive, che hanno ripreso le affermazioni dell’una o dell’altra pronuncia, si mostrano conformi a tale interpretazione.

Si vedano, in particolare, Cass. pen., Sez. V, 2022 n. 3555; Cass. pen., Sez. V, 2018 n. 53437, le quali, pur riprendendo l’orientamento espresso nella sentenza Parmalat, successivamente affermano: «Ai fini della sussistenza del reato, le notizie diffuse devono essere caratterizzate dalla loro concreta idoneità ad influire sul corso delle contrattazioni mobiliari, essendo questa la condizione per apprezzare la lesività del fatto (…): la natura di pericolo concreto del reato esige, ai fini del suo perfezionamento, la manifestazione fenomenica dell’idoneità dell’azione a mettere in pericolo l’interesse protetto dalla norma, costituito dal corretto ed efficiente andamento del mercato al fine di garantire che il prezzo del titolo nelle relative transazioni rifletta il suo valore reale e non venga influenzato da atti o fatti artificiosi o fraudolenti (…): il fatto comunicato assume dunque i connotati di tipicità ex art. 185 TUF quando può concretamente influire sulla formazione della volontà negoziale dell’investitore e meglio persuaderlo alla convenienza nell’impiego del denaro con l’investimento nel titolo (ovvero ad indurlo alla dismissione di quell’investimento».

Tuttavia nelle vicende richiamate, lo strumento utilizzato per la veicolazione al mercato di comunicazioni sociali era il NIS (Network Information System), sistema telematico gestito da Borsa Italiana Spa utilizzato quale canale ufficiale di trasmissione da parte di tutti gli emittenti, sulla scorta del “Regolamento dei Mercati organizzati e gestiti da Borsa Italiana S.p.A.”, nella versione vigente all’epoca, e dell’art. 66 Regolamento Emittenti (Delibera Consob n. 11971 del 1999 e relativi aggiornamenti).

La normativa di riferimento è stata modificata e aggiornata per adeguare l’ordinamento interno alle indicazioni eurounitarie. Come ricorda la stessa Corte nel caso in esame, in materia di intermediazione finanziaria l’ordinamento è pensato per «favorire l’espansione del dovere di informare (duty of disclosure), che presuppone la chiarezza, l’esaustività e la sicurezza dell’informazione al fine di “riscattare” l’investitore dalla sua naturale posizione di debolezza contrattuale».

Di tali principi, sanciti a livello europeo dal Reg. UE 596/2014, costituisce espressione concreta l’art. 113ter TUF, ove si stabilisce che la Consob fissa «modalità e termini di diffusione al pubblico delle informazioni regolamentate, ferma restando la necessità di pubblicazione tramite mezzi di informazione su giornali quotidiani nazionali, tenuto conto della natura di tali informazioni, al fine di assicurarne un accesso rapido, non discriminatorio e ragionevolmente idoneo a garantirne l’effettiva diffusione in tutta la Comunità europea».

Su tali basi la disciplina inerente alle modalità di comunicazione al pubblico delle informazioni societarie degli emittenti è stata modificata mediante l’introduzione di due distinti canali ufficiali:

a. il Sistema di Diffusione delle Informazioni Regolamentate (SDIR), definito all’art. 65 Reg. Emittenti come un «sistema di diffusione elettronica delle informazioni regolamentate, autorizzato dalla Consob, che collega i propri utilizzatori ai media, istituito e organizzato in aderenza ai requisiti stabiliti ai sensi dell’articolo 113-ter del Testo unico, nel presente Capo, nel Capo VIII-bis e nell’Allegato 3I»; in termini pratici, un sistema telematico gestito e organizzato da soggetti terzi, autorizzati da Consob e utilizzato per la diffusione delle informazioni sociali sul mercato;

b. la diffusione in proprio delle informazioni regolamentate, ammessa nella misura in cui siano rispettati i requisiti stabiliti dalla Consob, ai sensi dell’art. 65-sexies Reg. Emittenti.

Come ricordato anche nella sentenza in commento, i meccanismi di operatività dello SDIR trovano la propria fonte normativa negli artt. 65-bis, 65-quinquies, 65-sexies e 65-septies del Reg. Emittenti Consob, a cui è associato anche l’Allegato Tecnico 3I, denominato «Requisiti tecnici e funzionali dei Sistemi di Diffusione dell’Informazione».

Tali disposizioni stabiliscono che le informazioni sono «trasmesse utilizzando strumenti che garantiscono: a) la relativa diffusione: 1. Per quanto possibile simultanea, in Italia e negli altri Stati membri dell’Unione Europea, ad un pubblico il più ampio possibile; 2. Ai media: a. nel loro testo integrale senza editing; b. in modo tale da assicurare la sicurezza della comunicazione, minimizzare il rischio di alterazione dei dati e di accesso non autorizzato nonché da garantire certezza circa la fonte di tali informazioni» (art. 65-bis).

Valore dirimente nella vicenda in dicussione è assunto dall’art. 3.7., comma 2, n. 3), ove si dispone che lo SDIR «deve rilasciare agli utilizzatori ricevuta dell’avvenuta diffusione ai media delle informazioni regolamentate trasmesse» e si chiarisce che «gli utilizzatori possono ritenere avvenuta la diffusione ai media delle informazioni regolamentate trasmesse ad uno SDIR quando abbiano ottenuto la citata ricevuta da almeno due media, di cui almeno uno a carattere europeo».

Lo SDIR è entrato materialmente in funzione nel 2012 ed è diventato il canale istituzionale di riferimento per la maggior parte delle società quotate italiane, tanto che poi nel luglio 2014 Consob ha rilasciato una nuova autorizzazione a un secondo ed ulteriore sistema, denominato “1Info-Sdir” e gestito dalla società Computershare Spa, la cui operatività ha avuto inizio il 3 novembre 2014.

Quest’ultimo è il meccanismo prescelto dalla Juventus Spa per la diffusione delle proprie informazioni regolamentate e il cui funzionamento è stato posto al vaglio della Suprema Corte per determinare il tempus e il correlato locus commissi delicti nel caso in esame.

Entro questa cornice fattuale si colloca l’ordinanza di rimessione, resasi necessaria a fronte delle diverse posizioni assunte dal Pubblico Ministero territoriale, promotore della competenza del Tribunale di Torino quale luogo da cui il comunicato era stato “inviato” allo SDIR ai fini della diffusione, in contrapposizione alle difese, che sulla scorta della precedente giurisprudenza richiedevano la trasmissione degli atti alla Procura di Milano o di Roma.

Valorizzando il fatto che qualsiasi informazione societaria, una volta premuto il tasto “invio” da parte dell’emittente, diviene immodificabile, il Pubblico Ministero territoriale aveva sostenuto anche nella memoria di replica presentata in vista della decisione della Suprema Corte che non fosse corretto «enfatizzare la distinzione tra i tre momenti: ‘data ricezione reale’ – ‘data reale diffusione’ – ‘data stoccaggio’, trattandosi di passaggi tutti interni ad un unico sistema informatico e insensibili ad eventuali interventi ab externo».

L’organo inquirente sosteneva in concreto che le caratteristiche strutturali del sistema informatico SDIR rendessero non più attuale il prevalente orientamento della giurisprudenza in punto di competenza territoriale per condotte di manipolazione informativa, imperniato sulla distinzione tra il momento di “invio” del comunicato stampa e quello successivo di “diffusione” dello stesso al pubblico, dovendosi invece considerare tutti i passaggi alla stregua di un processo unitario, già sostanzialmente concluso con l’immissione nel sistema da parte dell’emittente.

Ciò anche in conerenza con i principi di diritto di cui a Cass. pen., SS.UU., n. 17325 del 26 marzo 2015, secondo cui, pur con riferimento al diverso reato di accesso abusivo a un sistema informatico ex art. 615-ter c.p., ai fini della determinazione del luogo di commissione del reato mediante sistemi informatici assume rilievo quello in cui «si trova l’utente che, tramite elaboratore elettronico o altro dispositivo per il trattamento automatico dei dati […] supera le misure di sicurezza apposte dal titolare per selezionare gli accessi e per tutelare la banca-dati memorizzata all’interno del sistema centrale ovvero vi si mantiene eccedendo i limiti dell’autorizzazione ricevuta», e ciò perché «il sistema telematico per il trattamento dei dati condivisi tra più postazioni è unitario”, sicché «per la sua capacità di rendere disponibili le informazioni in condizioni di parità a tutti gli utenti abilitati, assume rilevanza il luogo di ubicazione della postazione remota dalla quale avviene l’accesso e non invece il luogo in cui si trova l’elaboratore centrale».

La Corte ha anzitutto affermato che il delitto di aggiotaggio informativo è un reato di mera condotta, che si consuma nel momento in cui ha luogo la diffusione della notizia, e di mero pericolo, nel senso che la condotta deve essere idonea a produrre concretamente effetti distorsivi del mercato.

Ciò chiarito ha convenuto sul fatto che «il reato di aggiotaggio informativo si consuma effettivamente nel luogo di prima diffusione della notizia suscettibile di determinare scompenso valutativo» ed ha poi affermato che «la comunicazione mendace realizza la sua potenzialità lesiva non prima di essere giunta al luogo di diffusione delle informazioni in grado di incidere sul mercato dei titoli: non basta, in altre parole, che il comunicato stampa esca dalla sfera di controllo dell’emittente; esso deve, per essere un “comunicato”, giungere, cioè, a destinazione».

In breve, la Corte non ha accolto la tesi secondo cui in presenza di un sistema telematico in cloud non vi fosse più ragione di distinguere a livello fattuale, spaziale e temporale il momento di invio del comunicato effettuato dal client con quello di elaborazione e messa a disposizione al pubblico dello stesso effettuata dal server.

In pratica il momento in cui la notizia viene inviata dal soggetto agente all’esterno dell’emittente non necessariamente coincide con quello della diffusione della stessa, giacché la notizia va considerata come “diffusa” solo quando non sia più possibile tenere sotto controllo il numero dei soggetti che ne sono venuti a conoscenza, ovvero «quando non è più possibile individuarne specifici destinatari ed essa risulti, per così dire, ‘dispersa’ sul mercato».

Nel loro commento Francesco Paolo Modugno e Lorenzo Roccatagliata hanno fatto alcuni “esempi scolastici” per chiarire i vari concetti.

“La comunicazione orale di notizie false in un luogo deserto o la comunicazione scritta di notizie false a mezzo di un servizio di posta inattivo, di per sé, non possono come tali ritenersi diffuse e non possono integrare il reato di manipolazione del mercato, perché non giungono in un luogo popolato da investitori, che possano percepire tali comunicazioni.

Parimenti, nel caso di invio a un giornalista di una notizia, al fine di farla pubblicare su un quotidiano il giorno successivo, la comunicazione precede – anche di parecchie ore – il momento dell’effettiva pubblicazione33, così come un comunicato stampa contenente notizie false, inviato mediante un sistema informatico potenzialmente suscettibile di interruzione accidentale (cd. blackout), non è una condotta in sé pericolosa fino a quando il comunicato stesso non sia materialmente diffuso: lo diventa se giunge nel luogo in cui tale comunicato può essere letto dai suoi destinatari, vale a dire i potenziali investitori e gli operatori dei mercati finanziari.”

Ed hanno aggiunto che secondo la loro opinione “nella lettura della Cassazione sono le caratteristiche strutturali del fatto tipico di manipolazione del mercato a differenziare la fattispecie in esame da altre ipotesi di reato commesse mediante ausilio di sistemi telematici complessi e a incentrare nel concetto di diffusione il momento che determina l’insorgere del pericolo concreto di alterazione del mercato e la conseguente consumazione del reato. In questo senso, non pare che l’introduzione del sistema SDIR e l’uso di server dislocati in luoghi diversi dalla sede della Borsa rendano attuale un rischio di cd. forum shopping, posto che la collocazione del server non è evidentemente decisa dall’emittente, bensì da una società terza e indipendente, sottoposta alla vigilanza della Consob e soggetta a rigide prescrizioni regolamentari. D’altra parte, proprio la tesi che vorrebbe collocare la competenza nel luogo di “invio” del comunicato (rectius, di immissione dello stesso nel sistema) sconta l’ineliminabile rischio che il soggetto agente, autore di un fatto di manipolazione informativa, possa – in questo caso sì – scegliere in modo preordinato il luogo da cui immettere nel sistema informatico il relativo comunicato per ragioni legate anche, eventualmente, all’organo giurisdizionale competente.”

Tuttavia aggiungono che secondo loro nella “possibilità teorica (ma pur sempre realistica nello scenario attuale dello sviluppo delle tecnologie in cloud e dei sistemi telematici) che il server utilizzato dallo SDIR per l’elaborazione e la diffusione delle informazioni regolamentate di una specifica emittente risulti collocato all’estero, così determinando la consumazione del reato su suolo straniero. In tale circostanza, è intanto pacifico che non verrebbe meno la giurisdizione italiana, tenuto conto sia delle regole generali ex art. 6 ss. c.p., così come elaborate dalla giurisprudenza, secondo cui «è sufficiente che nel territorio dello Stato si sia verificato anche solo un frammento della condotta, intesa in senso naturalistico, che, seppur privo dei requisiti di idoneità e inequivocità richiesti per il tentativo, sia apprezzabile in modo tale da collegare la parte della condotta realizzata in Italia e quella realizzata in territorio estero», sia dei criteri speciali stabiliti dall’art. 182, comma 4, TUF, secondo cui i reati di abuso di mercato sono sanzionati secondo la legge italiana anche se commessi in territorio estero, quando attengono a strumenti finanziari quotati in mercati italiani. Quanto invece alla competenza territoriale, il riferimento normativo è l’art. 10, comma 3, c.p.p., ove dispone che per reati commessi in parte all’estero, debbano trovare comunque applicazione le regole generali di cui agli artt. 8 e 9 c.p.p., nel caso anche in presenza di più reati tra loro connessi. In queste ipotesi e al pari della consumazione all’estero, «opera il criterio suppletivo “dell’ultimo luogo in cui è avvenuta una parte dell’azione”», che nella vicenda in esame la Cassazione ha ritenuto di individuare nel luogo in cui «è ubicato il “data server” nel quale le informazioni giungono per essere rese accessibili al pubblico» e che in altre circostanze potrebbe in ipotesi tornare a valorizzare anche il luogo di immissione dell’informazione nel sistema telematico, quale momento appena antecedente l’effettiva diffusione.”

A ben vedere, a parerre di chi scrive, il criterio, in sé, appare fragile, quanto meno da un punto di vista della certezza del diritto, almeno per non risultare il principio “territorialmente opportunistico”, da un punto di vista delle dinamiche euronormative.

Appricare il coìiterio della località del server in queste ipotesi è un po’ come dire che sinchè il server è ubicato nel territorio della Repubblica, non ci sono eccezioni a che si possa adire un diverso tribunale, quasi a seguire geograficamente il server.

Se invece questo “esce” dal territorio italiano, allora vale un’altra regola, quella richiamata e contenuta nelle regole generali ex art. 6 ss. c.p. già citato.

Nelle parole della Corte di cassazione «qualora sussista connessione tra reati commessi nel territorio dello Stato e reati commessi all’estero, la competenza deve essere determinata, in osservanza del principio costituzionale del giudice naturale precostituito per legge, in relazione al luogo del commesso reato, richiamato dagli artt. 8 e 9, comma 1, cod. proc. pen., avendo riferimento, ai sensi dell’art. 16 cod. proc. pen., al più grave dei reati connessi che sia stato realizzato, anche in parte, nel territorio dello Stato ovvero, qualora tale luogo non sia determinabile, in base allo stesso criterio riferito al reato immediatamente meno grave». (Cass. pen., Sez. I, 2020 n. 13076. Conformemente Cass. pen., Sez. VI, 2020 n. 4089).

E’ vero che in ipotesi del genere il caso extraterritorialità difficilmente si pone.

La Consob infatti è bene attenta – per ragioni ed esigenze di “vigilanza in concreto” – nella definizione dei propri regolamenti a richiedere esplicitamente che i server abbiano sede nel territorio nazionale. Conseguentemente un soggetto autorizzato deve rispondere tecnologicamente in questo senso, e quindi è “normale” che i soggetti autorizzati ad esercitare un servizio SDIR avranno i propri server nel territorio italiano.

Ciò tuttavia – di per sé – meriterebbe in altre sede maggiore riflessione nell’ambito della coerenza e rispondenza alla normativa eurocoumunitaria, perchè la motivazione della territorializzazione dei cloud e dei server nel territorio nazionale in sé viola il principio di libera concorrenza con le altre imprese del settore collocate nell’Unione.

Ma oltre questa fattispecie immaginare che il reato commesso sia tale nel momento della diffusione, per cui conta il server, e non nel momento “dell’atto umano” (e queìindi del luogo del fatto) è pericoloso sotto molteplici aspetti.

Se per reato resta inteso “il fatto umano capace di ledere in concreto” l’altrui diritto, allora nella fattispecie il “fatto umano” non è la concreta diffusione ex-post del contenuto lesivo e dannoso (pensiamo alla diffamazione, al procurato allarme, alla diffusione di notizie false o pericolose, all’incitazione all’odio, all’incitamento o appello alla violazione del 650cp etc), quanto piuttosto ex-ante nel momentno dell’ “invio” del comando di pubblicazione.

Aiuta in questo senso l’ipotesi del “tentativo” di reato.

Qualora il documento non venga pubblicato, resta il tentativo, e questo non può certamente essere avvenuto “nel luogo del server” ma più propriamente “nel luogo dell’invio” (anche se questo invio è fallito, nel senso che non ha prodotto gli effetti del reato pieno, o pienamente realizzato negli effetti voluti).

Se è vera l’obiezione che anche in questo caso “il tentativo” o il reato potrebbe essere compiuto “all’estero”, è in questo caso che rileva la norma suppletiva generale di cui, nelle parole della Cassazione agli “artt. 8 e 9, comma 1, cod. proc. pen., avendo riferimento, ai sensi dell’art. 16 cod. proc. pen., al più grave dei reati connessi che sia stato realizzato, anche in parte, nel territorio dello Stato ovvero, qualora tale luogo non sia determinabile, in base allo stesso criterio riferito al reato immediatamente meno grave”

In altre parole maggiore riflessione meriterebbe una tesi più aderente all’individuazione dell’azione umana, costituente nel momento – nel caso in esame – della redazione di bilanci di cui si ipotizza la falsità, nel momento della redazione delle note integrative, nel momento della redazione del “comunicato stampa”, e infine nel momento di decisione di caricare il documento in un determinato formato, di chiuderlo, e di premere il comando “invio”.

Queste si, sono tutte condotte umane, e rilevano penalmente. E nel loro rilievo penale non possono non essere rilevanti come “luogo” in cui le stesse sono avvenute.

Che poi il “materiale comunicativo finale” è transato sul un server ubicato nel luogo A e conservato sul cloud nel luogo B ha poco “singnificato ulteriore” ai fini del reato (reale o potenziale).

A ben vedere infatti non è nemmeno quello il “luogo della notizia che danneggia” il mercato e gli investitori. Ragionando in concreto infatti il danneggiato dal reato potrebbe essere un investitore che ha letto la notizia su un quotidiano che ha ripreso il contenuto del documento nella località C, a sua volte mediata da una “notizia di agenzia” locata nella località D. Nulla rilevando in questi casi il server in dicussione dello SDIR che è ubicato solo incidentalmente e senza alcun nesso causale nella località B (in questo caso Roma) che potrebbe trovarsi incidentalmente in qualsiasi luogo del territorio nazionale.

Il mercato, inteso come operatori professionali, istituzionali e investirori privati, viene danneggiato da un atto compiuto nella località A, e quell’atto-fatto è stato diffuso tramite lo snodo localizzato nella località B.

Se oltre alla comunicazione a mezzo SDIR l’ufficio stampa della Juventus avesse mandato la stessa comunicazione a tutte le agenzie di stampa nazionali e regionali (immaginiamo un invio certo a mezzo pec con adeguata ricevuta di consegna), riterremmo egualmente “il luoghi del reato” le singole location dei singoli server di ogni singola agenzia di stampa?

Se si, perchè? Con quale fondamento? Con quale priorità scegliamo quale tribunale sia il “solo” competente? Perchè non si possono celebrare più processi per lo stesso identico reato.

Se è vero che in questo caso vi era una norma speciale (principi, sanciti a livello europeo dal Reg. UE 596/2014, di cui costituisce espressione concreta l’art. 113ter TUF e art 65 del Regolamento Emittenti) a supportare la motivazione della Corte, che infatti in venti pagine di sentenza cita ampiamente tale normativa, è anche vero che in sede di commento dobbiamo volgere lo sguardo al più largo prisma dei riflessi che la luce della sentenza mostra su ormai semmpre più fattispecie penalmente rilevanti in una società come quella attuale, in cui tutte le informazioni transitano su server e cloud.

Da qui la considerazione che siamo chiamati oggi a fare una scelta fondata e fondante per il futuro.

Se il luogo del fatto costituente reato debba essere “il cloud” o “il server” su cui accede la notizia potenzialmente lesiva del diritto, di qaulsiasi forma di informazione, come ho detto pensiamo alla diffamazione, al procurato allarme, alla diffusione di notizie false o pericolose, all’incitazione all’odio, all’incitamento o appello alla violazione del 650cp, ma anche allo stalking, agli atti persecutori, alla diffusione di materiale pedo-pornografico, o se non sia ancora preferibile che il luogo del fatto costituente reato non debba restare quello in cui avviene materialmente l’azione umana.

La soluzione ermeneutica accolta dalla Cassazione finisce per riconoscere e ammettere l’esistenza di un possibile iato tra la dimensione umana della condotta del soggetto agente e quella del luogo di diffusione, che in virtù del funzionamento dei sistemi telematici in cloud potrebbe collocarsi a livello spaziale anche a notevole distanza da quello in cui l’informazione asseritamente mendace è stata concepita e materialmente formata per la successiva divulgazione al pubblico.

Tale circostanza aveva portato la giurisprudenza a valorizzare, per altre fattispecie di reato, la sede del cd. client da cui il comando viene inserito nella rete dall’azione umana ai fini della determinazione della competenza.

Nel caso di specie, all’inverso, a costituire il perno della soluzione ermeneutica adottata è stata la lettera della norma, il cui nucleo centrale di tipicità, a cui è agganciata la ratio di tutela dei mercati finanziari, è dato dalla diffusione incontrollata di un’informazione mendace, essendo solo al momento e all’atto della diffusione che può dirsi concreto il pericolo di sensibile alterazione dei mercati finanziari.

Ma non possiamo essere ambivalenti, specie in un contesto di rapida evoluzione delle tecnologie ed al contempo nella necessità della certezza del diritto.