La soberanía territorial se refiere al ejercicio completo y exclusivo de autoridad y poder que ejerce el Estado sobre su territorio geográfico. La protección de la soberanía considera preponderantemente los instrumentos internacionales y regionales sobre delitos cibernéticos (discutido en Delitos Cibernéticos Módulo 3: Marcos Jurídicos y Derechos Humanos). Un ejemplo de ello es la Convención Árabe para el Combate de los Delitos con Tecnología de la Información de 2010 de la Liga de los Estados Árabes. Específicamente, el artículo 4 de esta Convención sostiene que: «Cada Estado parte se comprometerá, con sujeción a sus propias leyes o principios constitucionales, a cumplir con las obligaciones que le incumban en virtud de la aplicación de la presente Convención de forma compatible con los dos principios de igualdad de la soberanía regional de los Estados y de la no injerencia en los asuntos internos de los demás Estados».
La soberanía territorial se puede aplicar al ciberespacio, en especial a la infraestructura de tecnología de la información y la comunicación (TIC) de los Estados. Se puede infringir la soberanía del Estado cuando terceros tienen acceso no autorizado a la TIC en países extranjeros sin el conocimiento o el permiso del país anfitrión o de sus agentes del orden público. Esta transgresión ocurre incluso si este acceso no autorizado es consecuencia de la investigación de un delito cibernético cometido en un país diferente en un esfuerzo por encontrar el origen del ataque cibernético o por impedir que este se produzca (una táctica conocida como hackback o hacking back, [identificación del origen de los ataques]) (Wrange, 2014).
La jurisdicción, que está vinculada a la soberanía (UNODC, 2013, nota 9, pág. 184), le otorga a los Estados el poder y la autoridad para definir y mantener los deberes y derechos de las personas en su territorio, y para hacer cumplir las leyes y sancionar las infracciones (consulte Delitos Cibernéticos Módulo 3: Marcos Jurídicos y Derechos Humanos). Los Estados demandan principalmente su jurisdicción sobre los delitos cometidos dentro de su territorio (principio de territorialidad). El apartado 2 del artículo 22 del Convenio sobre Delitos Cibernéticos del Consejo de Europa de 2001 establece que «cada parte adoptará las medidas legislativas y de otra índole que sean necesarias para establecer su jurisdicción sobre cualquier delito... (incluido en) el presente Convenio, cuando el delito se cometa... en su territorio». Sin embargo, como sostienen Brenner y Koops (2004), «el hecho de que se haya “cometido” o no un delito... en el territorio de una nación no es, sin embargo, una tarea sencilla cuando esta perpetración implica el uso del ciberespacio» (pág. 10).
La jurisdicción sobre los delitos cibernéticos se establece por otros factores, como la nacionalidad del infractor (principio de nacionalidad, principio de personalidad activa), la nacionalidad de la víctima (principio de nacionalidad, principio de personalidad pasiva) y las repercusiones de los delitos cibernéticos en los intereses y la seguridad del Estado (principio de protección) (consulte Delitos Cibernéticos Módulo 3: Marcos Jurídicos y Derechos Humanos), siempre y cuando [se pueda mostrar] «una “conexión suficiente” o un “vínculo genuino” entre... el [delito cibernético] y el Estado que ejerce la jurisdicción» (Epping y Gloria, 2004, citado en UNODC, 2013, 184-185). En el Reino Unido, por ejemplo, el Tribunal de Apelaciones en el caso R versus Sheppard and Anor (2010) aplicó la Ley del Orden Público del Reino Unido de 1986 a un material racista publicado en un sitio web que estaba alojado en un servidor de Estados Unidos y condenó a dos residentes del Reino Unido por haberlo publicado.
Las legislaciones nacionales sobre delitos cibernéticos establecen su jurisdicción sobre los delitos cibernéticos. Por ejemplo, en Malasia, la Ley de Delitos Informáticos de 1997 estableció su jurisdicción sobre delitos cibernéticos. En particular, el artículo 9 de esta ley establece que «las disposiciones de la presente ley, en relación con cualquier persona, independientemente de su nacionalidad o ciudadanía, tendrán efecto tanto fuera como dentro de Malasia, y si una persona comete un delito según la presente ley en cualquier lugar fuera de Malasia, podrá ser tratada como responsable de ese delito como si lo hubiera cometido en Malasia». En comparación, Tanzania demanda jurisdicción sobre un delito cibernético cuando
un acto u omisión que constituye un delito se comete total o parcialmente... dentro de la República Unida de Tanzania;... en un barco o una aeronave registrados en la República Unida de Tanzania;... por un ciudadano de la República Unida de Tanzania;... por un ciudadano de la República Unida de Tanzania que reside fuera del país solo si el acto u omisión constituye igualmente un delito en la legislación de ese país; o... por cualquier persona, independientemente de su nacionalidad, ciudadanía o ubicación, cuando el delito sea... cometido usando un sistema, dispositivo o datos informáticos ubicados en la República Unida de Tanzania; o... dirigido contra un sistema, dispositivo o datos informáticos o por una persona ubicada en la República Unida de Tanzania (artículo 30, Ley de Delitos Cibernéticos de 2015).
En cambio, Kenia establece jurisdicción sobre delitos cibernéticos de la siguiente manera:
Se considera que un acto u omisión cometido fuera de Kenia, que de haberse cometido en Kenia constituiría un delito según la presente ley, se ha cometido en Kenia si... la persona que lo comete es... un ciudadano de Kenia; o... reside habitualmente en Kenia; y... si el acto u omisión se comete... contra un ciudadano de Kenia;... contra bienes pertenecientes al Gobierno de Kenia fuera de Kenia; o... para obligar al Gobierno de Kenia a hacer o abstenerse de realizar cualquier acto; o... si la persona que comete el acto u omisión está, después de la perpetración u omisión, presente en Kenia (artículo 66 de la Ley sobre el Uso Indebido de Computadoras y Delitos Cibernéticos de Kenia de 2018).
Dentro de estas y otras leyes nacionales sobre delitos cibernéticos, la jurisdicción se determina principalmente por la ubicación de los infractores, víctimas y las repercusiones de los delitos cibernéticos.