x

x

Captatori informatici per scopi intercettivi: il dibattito dopo la sentenza Scurato delle Sezioni unite penali

Captatori informatici per scopi intercettivi: il dibattito dopo la sentenza Scurato delle Sezioni unite penali
Captatori informatici per scopi intercettivi: il dibattito dopo la sentenza Scurato delle Sezioni unite penali

Grande è la confusione sotto il cielo

(Mao Tse Tung)

 

Qualche mese addietro le Sezioni unite penali della Cassazione hanno dichiarato la legittimità della tecnica investigativa fondata sull’uso a scopo intercettivo di captatori informatici del tipo Trojan.

La decisione, fin dalla diffusione dell’informazione provvisoria, ha generato una vasta eco ed è stata oggetto di numerosi commenti, anche su questa rivista.

L’intensità del dibattito successivo, ancora in pieno corso, e la sua estensione a cerchie ben più ampie di quella strettamente giuridica, dimostrano che la questione ha assunto un esteso rilievo sociale e un peso non trascurabile nell’equilibrio tra libertà individuali e difesa sociale.

È interessante ascoltare le voci in campo e tentare di comprendere quali siano le prospettive possibili.

Il pianeta universitario: l’appello partito dall’università di Torino

Una delle proposizioni della sentenza Scurato è che la tecnica fondata sui captatori informatici non lede i principi costituzionali e le disposizioni della Convenzione europea dei diritti umani (di seguito CEDU) nel cui raggio applicativo ricade.

Le Sezioni unite hanno escluso anche l’ombra del sospetto di possibili violazioni dei principi della riserva di legge, inviolabilità del domicilio, inviolabilità e segretezza della corrispondenza e delle comunicazioni e del rispetto della vita privata e familiare sancito dall’articolo 8 CEDU.

Non tutti però la pensano così.

Alcuni docenti dell’università di Torino hanno promosso un appello, ampiamente pubblicizzato sui mass media, che ha rapidamente raccolto decine di adesioni negli atenei italiani.

Lo scopo dei firmatari, tra i quali sono compresi esponenti di grande prestigio della scienza penalistica italiana, non è la demonizzazione del particolare strumento investigativo ma la richiesta di regole stringenti e coerenti al dettato costituzionale.

Dal testo dell’appello si ricava una precisa convinzione: la materia degli strumenti investigativi che comportino intrusioni pubbliche nel domicilio e nelle comunicazioni degli individui è di stretta tassatività e il loro uso è legittimo solo se previsto espressamente da una legge statale che rispetti i parametri indicati negli articoli 13, 14 e 15 della Costituzione e 8 della CEDU.

Il disegno di legge in Senato e le altre iniziative politiche

Pende attualmente al Senato il disegno di legge A.S. 2067, intitolato “Modifiche al codice penale e al codice di procedura penale per il rafforzamento delle garanzie difensive e la durata ragionevole dei processi nonché all’ordinamento penitenziario per l’effettività rieducativa della pena”.

Si tratta di un’iniziativa di impulso governativo presentata alla Camera nel 2014, cui sono stati aggregati per strada emendamenti e nuove proposte.

Transitato al Senato, il testo, dopo un lungo iter in commissione, è passato all’esame dell’assemblea e lì ancora giace, con tutte le incognite legate alla bocciatura referendaria della riforma costituzionale approvata dal Parlamento.

Varie disposizioni del disegno di legge sono destinate a formare il contenuto di una legge delega.

Alcune di esse riguardano l’uso dei captatori informatici e servono a “disciplinare le intercettazioni di comunicazioni o conversazioni tra presenti mediante immissione di captatori informatici (cd. Trojan) in dispositivi elettronici portatili”.

Vi si stabilisce anzitutto che l’attivazione del microfono possa avvenire solo da remoto e in conseguenza di un apposito comando. Alla fine della registrazione il captatore deve essere reso definitivamente inutilizzabile.

L’uso di tale strumento, ammesso nei termini precisati dalla sentenza Scurato, obbliga il giudice che lo autorizza  (e anche il pubblico ministero [di seguito PM], quando dispone l’intercettazione in via d’urgenza) a indicare le ragioni per le quali è necessaria questa specifica modalità intercettiva.

Il trasferimento delle registrazioni deve avvenire solo verso i server in dotazione alle procure allo scopo di garantire originalità e integralità delle registrazioni.

Possono essere usati solo programmi informatici conformi a requisiti tecnici stabiliti con un apposito decreto ministeriale.

È possibile l’esportazione dei risultati ottenuti con la captazione anche in procedimenti diversi ma solo per l’accertamento di delitti per i quali sia obbligatorio l’arresto in flagranza.

È infine vietato in modo assoluto rendere conoscibili, divulgare e pubblicare i risultati di intercettazioni che abbiano coinvolto occasionalmente soggetti estranei ai fatti per cui si procede.

Fin qui il Governo.

Sul web, poche settimane dopo la pronuncia delle Sezioni unite penali, è stata divulgata la notizia di un’iniziativa legislativa parallela a quella pendente in Senato[1].

Con il patrocinio dell’associazione italiadecide, che vanta tra i suoi soci ministri, giudici costituzionali, banchieri, società pubbliche e relativi manager apicali, il 21 giugno 2016 si è svolto un convegno (a porte chiuse, chissà perché, forse per simmetria col tema trattato) per elaborare una proposta di legge che regolamenti in dettaglio l’utilizzo investigativo dei captatori informatici.

Sembra che l’obiettivo sia quello di scomporre di considerare individualmente le varie funzionalità del virus informatico e assoggettarle alla disciplina codicistica del mezzo di ricerca della prova cui ognuna di esse più assomiglia: così, ad esempio, la ricerca di un file sul dispositivo bersaglio dovrebbe essere considerata come una perquisizione, l’acquisizione del file come un sequestro, le intercettazioni di traffico vocale come un’intercettazione tra presenti e le registrazioni audio/video come un’intercettazione ambientale (anche se, secondo le Sezioni unite, quest’espressione non ha senso giuridico).

Ulteriori punti salienti della proposta di italiadecide sono la certificazione pubblica dei captatori con l’obbligo di deposito dei loro codici sorgente,  l’esclusione di società e tecnici esterni dalla gestione materiale delle operazioni e l’inaccessibilità alle parti (compreso il PM) dei dati acquisiti fino alla notifica degli atti all’indagato.

È una proposta interessante che ha il merito di prendere in considerazione aspetti completamente trascurati nel disegno di legge in discussione al Senato.

Giurisprudenza di merito e di legittimità dopo la decisione Scurato: orbite che non si incrociano

- il giudice di merito

Qualche mese fa, precisamente il 28 settembre 2016, il Tribunale di Modena ha emesso un’ordinanza significativa, il cui testo è riportato integralmente sul sito web giurisprudenzapenale.com.

Vi si richiama anzitutto la riforma normativa apportata dalla Legge 48/2008 per effetto della quale il documento informatico non va più identificato con il suo supporto ma con il dato in esso contenuto.

Si citano quindi, in particolare, gli articoli  247 comma 1 bis e 254 bis codice di procedura penale (di seguito c.p.p.), entrambi  introdotti dalle Legge 48.

Il primo disciplina la perquisizione di sistemi informatici e telematici alla ricerca di dati, informazioni, programmi informatici o tracce di altro genere.

Il secondo regola il  sequestro, presso fornitori di servizi informatici, telematici o di telecomunicazioni, dei dati da questi detenuti, compresi quelli inerenti traffico e ubicazione.

A questo punto il provvedimento rileva che l’attività di ricerca della prova condotta dagli organi investigativi nel caso concreto, indirizzata verso la posta elettronica, ha riguardato non solo dati esterni ai messaggi ma anche il  loro stesso contenuto.

Ne trae la conseguenza che, dovendo la posta elettronica essere pienamente equiparata a quella privata, l’acquisizione di corrispondenza telematica conservata in un personal computer o presso il gestore è possibile solo attraverso il sequestro ex articoli 254 bis e alle condizioni stabilite dall’articolo 247 comma 1 bis.

Nel procedimento all’attenzione del Tribunale di Modena, invece, il PM aveva acquisito la corrispondenza con la procedura, disciplinata dall’articolo 132 del Decreto Legislativo 196/2003, riservata all’acquisizione dei tabulati telefonici.

Il giudice modenese ha affermato che, così facendo, il PM non solo ha usato indebitamente il citato articolo, che espressamente esclude il  contenuto delle comunicazioni, ma ha anche leso primarie garanzie difensive: obbligo di avvertimento dell’indagato cui spetta la facoltà di farsi assistere da un difensore, svolgimento in contraddittorio delle attività tecniche di estrazione di copia dal PC o dal server del provider e con modalità tali da garantire la sicura corrispondenza tra la copia estratta e il contenuto effettivo della memoria della posta.

L’attività del PM si è quindi risolta in una intrusione investigativa nella corrispondenza privata, lesiva dell’articolo 15 della Costituzione e dell’articolo 8 CEDU, sanzionata con l’inutilizzabilità del materiale acquisito.

Il Tribunale ha salvato soltanto i cosiddetti dati esterni, cioè quelli relativi al mittente e al destinatario e all’ora, giorno e anno della trasmissione.

Il provvedimento ha poi preso in considerazione l’intrusione, disposta dal PM, di un captatore informatico in un PC bersaglio.

Anche in questo caso il giudizio dei giudici modenesi sull’operato del PM è stato severo: non ricorreva alcune delle ipotesi che, secondo la decisione Scurato, avrebbe consentito questo strumento; la captazione aveva avuto ad oggetto un flusso di comunicazioni il che avrebbe richiesto la preventiva procedura ex articoli 266 e seguenti del codice di procedura penale.

- e il giudice di legittimità

La Corte Suprema si è fatta viva con la sentenza n. 40903/2016 della quarta sezione penale, oggetto tra l’altro di un eccellente commento di Monica Alessia Senor, pubblicato su questa rivista.

Questo è il nucleo essenziale dei fatti investigativi, così come li ha descritti l’estensore: “gli investigatori scoprivano che gli odierni ricorrenti G. e P. erano soliti frequentare alcuni internet point. Verificando i computer colà utilizzati, giungevano così ad individuare  una serie di caselle di posta elettronica … attraverso le quali gli imputati inviavano e ricevevano e-mail intrattenendo così una corrispondenza con i loro referenti … Tali contatti informatici avvenivano secondo due diverse modalità. In alcuni casi i messaggi di posta elettronica venivano normalmente spediti in via telematica … In altri … veniva invece adottato il metodo del salvataggio nella cartella “bozze”. Venivano cioè scritte e-mail che non venivano inviate ma rimanevano salvate in modalità “bozze” e potevano essere pertanto visionate da chi, in possesso delle credenziali e della password, successivamente avesse accesso alla casella di posta elettronica … Ebbene, mentre le e-mail ricevute o inviate sono state oggetto di una “normale” intercettazione dei flussi telematici in entrata e in uscita dai PC ubicati nei citati internet point, all’acquisizione dei messaggi lasciati “in bozza” la P.G. è invece giunta secondo una diversa modalità: gli operanti sono infatti direttamente “entrati” nelle varie caselle di posta elettronica dopo essersi procurate le relative password attraverso l’osservazione e il controllo a distanza degli imputati (mediante virus informatici) nell’atto in cui questi digitavano tali password sulle tastiere dei computer in uso presso gli internet point …”.

Il collegio di legittimità ha di seguito individuato gli istituti cui andavano ascritte le suddette attività investigative e la conseguente regolamentazione normativa.

L’acquisizione delle password è avvenuta attraverso l’inoculazione di un virus informatico nel computer usato dagli indagati presso l’internet point.

Quest’aspetto però - dice la Cassazione - è poco rilevante poiché “Si è usato il programma informatico … così come si è da sempre usata la microspia per le intercettazioni telefoniche o ambientali”.

L’affermazione è piuttosto rudimentale se solo si considera che il captatore non è stato usato in questo caso per ascoltare conversazioni telefoniche o tra presenti ma per carpire credenziali di accesso a un servizio di posta elettronica.

Il punto è quindi un altro e richiama l’esegesi dell’articolo 266 bis del codice di procedura penale fatta dalle Sezioni unite penali con la sentenza n. 21/1998.

Il supremo collegio chiarì nell’occasione che quella norma aveva consentito “l’intercettazione dei flussi di dati numerici (bit), nell’ambito dei singoli sistemi oppure intercorrente tra più sistemi. Cioè, l’oggetto della tutela del Capo III concerne a questo punto, a seguito della modifica legislativa, non solo il contenuto delle conversazioni, con qualsiasi forma di telecomunicazione avvenga,ma tutti i dati informatici (sequenza di bit) in movimento nel sistema elettronico della telefonia, dall’ingresso in rete alla destinazione, nelle fasi quindi dell’ingresso, elaborazione, registrazione, comprensivo delle interconnessioni con altre reti o stazioni intermedie di comunicazione”.

È certo che la digitazione sulla tastiera della password di accesso ad un account di posta elettronica comporti un ingresso in rete e l’inizio di un flusso di dati numerici e questo, secondo le Sezioni unite del 1998, basta per legittimare l’intercettazione della password medesima.

Sarebbe interessante verificare approfonditamente la congruenza di questa opinione, anche in riferimento ai due diversi concetti di comunicazioni e dati esterni ad esse, ma non è questa la sede e quindi si prosegue con gli ulteriori step classificatori contenuti nella sentenza in commento.

Un notevole sforzo motivazionale è stato compiuto nella direzione delle mail inviate e ricevute che sono state rivenute negli account oggetto di indagine.

Anch’esse, a giudizio del collegio, rientrano nel concetto di flussi comunicativi e sono quindi intercettabili ai sensi dell’articolo 266 bis del codice di procedura penale.

Per due essenziali ragioni: le e-mail non sono conversazioni tra persone nel senso attribuito a questa espressione dall’articolo 266 del codice di procedura penale; l’inoltro della lettera elettronica da parte del mittente consente di ritenere avviato il flusso.

In più - aggiunge il collegio - le e-mail spedite o ricevute non fanno parte del genus corrispondenza, dovendo invece essere considerate come documenti ai sensi dell’articolo 234 codice di procedura penale.

La corrispondenza implica infatti un’attività di spedizione in corso o comunque avviata dal mittente mediante consegna a terzi per il recapito che in questo caso manca.

Comunque sia, che si tratti di corrispondenza o di documenti, che si applichi la disciplina delle intercettazioni o dei sequestri, un decreto autorizzativo del giudice delle indagini preliminari c’era – rileva il collegio - e lo si deve considerare idoneo tout court a coprire l’acquisizione. 

È interessante notare che la motivazione della sentenza in commento richiama esplicitamente l’indirizzo giurisprudenziale, definito dalla Sezioni unite con la sentenza n. 28997/2012, secondo il quale il concetto di corrispondenza ricorre soltanto se è in corso un’attività di spedizione curata direttamente dal mittente ovvero affidata a terzi intermediari. Il logico ed esplicito corollario di questa affermazione è che “lettere e pieghi non ancora avviati dal mittente al destinatario o già da quest’ultimo ricevuti … non sono appunto corrispondenza”.

Fin qui tutto bene, quantomeno nel senso che vi è stata esatta applicazione delle coordinate indicate dalle Sezioni unite del 2012.

Il percorso della sentenza 40903 si fa invece accidentato nei successivi passaggi giacchè, come si è visto, il collegio ha ritenuto che le e-mail inviate e ricevute prima dell’attività investigativa fossero comunque intercettabili, in quanto appartenenti al genus dei flussi comunicativi regolati dall’articolo 266 bis del codice di procedura penale.

Questa conclusione è smentita da ciò che le stesse Sezioni unite, in una decisione più risalente, hanno chiarito in modo condivisibile.

Nella sentenza 6/2000 si legge infatti che “In concreto, le linee telefoniche, secondo la moderna tecnologia, attuano la trasmissione delle comunicazioni con la conversione (codificazione) di segnali fonici in forma di flusso continuo di cifre e detti segnali, trasportati all’altro estremo, vengono ricostruiti all’origine (decodificazione); la registrazione dei dati esterni avviene in apposite memorie. Trattasi, dunque, di flussi relativi ad un sistema tecnico che s’innesta nella disciplina delle intercettazioni di comunicazioni informatiche o telematiche, captate a sorpresa nel corso del loro svolgimento, che hanno per oggetto anche la posta elettronica (“e – mail”) da computer a computer collegati alla rete “Internet” o in forma ibrida a mezzo di messaggi SMS da computer, collegato a detta rete, ad apparecchi cellulari GSM o viceversa. Il “flusso” è il “dialogo” delle comunicazioni in corso all’interno di un sistema o tra più sistemi informatici o telematici. Fra strumenti informatici, quindi, è possibile lo scambio di impulsi in cui si traducono le informazioni; scambio che è comunicazione al pari della conversazione telefonica, sicchè la relativa captazione nel momento in cui si realizza costituisce “intercettazione”.

Secondo le Sezioni unite penali, dunque, si ha un flusso rilevante ai sensi dell’articolo 266 bis del codice di procedura penale allorchè le comunicazioni informatiche o telematiche sottostanti siano captate a sorpresa mentre sono in corso di svolgimento. L’intercettazione è quindi possibile solo nel momento in cui la comunicazione avviene e non può essere estesa a comunicazioni passate, come è nel caso che interessa.

È allora evidente che l’acquisizione di e-mail agli atti del procedimento deve avvenire utilizzando  strumenti diversi da quello intercettivo.

Quali siano questi strumenti lo indica con chiarezza l’ordinanza del Tribunale di Modena: “sarà possibile il sequestro di corrispondenza telematica allocata nel PC del soggetto indagato o giacente presso i gestori con le forme stabilite dall’articolo 254 e 254 bis del codice di procedura penale e alle condizioni stabilite dall’articolo 247 comma 1 bis del codice di procedura penale”.

Ma, si potrebbe obiettare, la sentenza 40903 si è fatta carico anche di questa eventualità, precisando che “con una valutazione di fatto, espressa con motivazione logica e congrua, e pertanto insindacabile in questa sede,e anche corretta in punto di diritto, i giudici del merito hanno ritenuto che i messaggi di posta elettronica in entrata e in uscita costituissero un flusso telematico, come tale intercettabile. In ogni caso c’era stato un provvedimento autorizzativo del GIP che, anche a voler ritenere che quelle già spedite e/o ricevute fossero sequestrabili e non intercettabili, “copriva” in termini di garanzia anche tale acquisizione”.

Questo passaggio motivazionale non convince affatto.

Nella sua premessa, anzitutto. L’attribuzione a messaggi di posta elettronica della qualifica di flussi telematici non è una valutazione di fatto ma di diritto, essendosi tradotta nella scelta di riportare un fatto procedimentale in un istituto normativo piuttosto che un altro.

Ma soprattutto nella sua conclusione che pare francamente aberrante. Dalla motivazione risulta con chiarezza che il giudice delle indagini preliminari aveva emesso un decreto di autorizzazione di operazioni intercettive le quali, in quanto atti a sorpresa, escludono ovviamente la partecipazione di chi ne subisce gli effetti. Ben diversa è la disciplina dettata in tema di sequestro dagli articoli 254 e 254 bis del codice di procedura penale cui si accompagna un pacchetto consistente di garanzie difensive, ivi compresa la possibilità, prevista dall’articolo 257 del codice di procedura penale, di chiedere il riesame del relativo decreto.

Il terzo ed ultimo punto della motivazione ha riguardato le e-mail conservate nella cartella “bozze”.

Il collegio ha affermato di non dubitare che “per tali e-mail si sia in presenza di un’attività che ricorda quella del sequestro di dati informatici”.

Nondimeno - si dice - il contenuto della bozza è detenuto non dal provider del servizio di posta elettronica ma dagli utenti in possesso della password. Mancano quindi le condizioni previste dal primo inciso dell’articolo 254 bis del codice di procedura penale per far luogo al sequestro ivi disciplinato.

Non si indugia sui dettagli di questo passaggio motivazionale e si dà per buona la conclusione raggiunta dal collegio di legittimità. Resta però, come fatto ineludibile, che l’acquisizione coattiva, preceduta da un’attività corrispondente tecnicamente ad una perquisizione, di dati informatici detenuti da qualcuno non può prescindere da un provvedimento di sequestro che nel caso di specie mancava e certamente non poteva essere sostituito da un decreto di autorizzazione per attività di intercettazione.

In definitiva: la sentenza 49903 pare avere fatto una gigantesca confusione, stipando in un unico calderone attività procedimentali differenti. Ciò che più conta, la Cassazione ha negato l’operatività di garanzie che pure avrebbero dovuto essere riconosciute e, se si vuole, ha negato la propria funzione di garante della legittimità procedurale. Di più: ha considerato il captatore informatico come una banale e scontata modalità di acquisizione di dati, sottovalutandone le potenzialità lesive di diritti di rango primario.

Conclusione

Il dato normativo è carente, l’interpretazione è ondivaga, le tecniche investigative diventano sempre più intrusive nella vita dei consociati, la consapevolezza di ciò che si può fare o non fare nei procedimenti penali è tutt’altro che sicura e consolidata.

Il “grande timoniere” citato in apertura riteneva che la confusione fosse foriera di opportunità.

Può darsi, i grandi cambiamenti epocali sono sempre seguiti a fasi movimentate e di rivolgimenti sociali. Ma questo non vale di sicuro per la regolamentazione della vita dei cittadini, soprattutto in relazione a ciò che i pubblici poteri sono legittimati a fare per intromettersi in esse.

È stata appena bocciata, quasi a furore di popolo, una legge di riforma della Costituzione che i cittadini, evidentemente, hanno ritenuto dannosa per i loro equilibri di vita e le loro libertà.

Risulta allora doppiamente improprio, per contro, che interpretazioni “costituzionalmente disorientate” si arroghino il diritto di modificare in senso peggiorativo valori fondanti della nostra Repubblica.

 

[1] Per chi volesse approfondire, si rimanda agli articoli di Carola Frediani, pubblicato il 22 giugno 2016 su Stampa.it, e di Federico Nejrotti, pubblicato su Motherboard il giorno dopo, dai quali sono state tratte le notizie sul convegno di italiadecide.

Grande è la confusione sotto il cielo

(Mao Tse Tung)

 

Qualche mese addietro le Sezioni unite penali della Cassazione hanno dichiarato la legittimità della tecnica investigativa fondata sull’uso a scopo intercettivo di captatori informatici del tipo Trojan.

La decisione, fin dalla diffusione dell’informazione provvisoria, ha generato una vasta eco ed è stata oggetto di numerosi commenti, anche su questa rivista.

L’intensità del dibattito successivo, ancora in pieno corso, e la sua estensione a cerchie ben più ampie di quella strettamente giuridica, dimostrano che la questione ha assunto un esteso rilievo sociale e un peso non trascurabile nell’equilibrio tra libertà individuali e difesa sociale.

È interessante ascoltare le voci in campo e tentare di comprendere quali siano le prospettive possibili.

Il pianeta universitario: l’appello partito dall’università di Torino

Una delle proposizioni della sentenza Scurato è che la tecnica fondata sui captatori informatici non lede i principi costituzionali e le disposizioni della Convenzione europea dei diritti umani (di seguito CEDU) nel cui raggio applicativo ricade.

Le Sezioni unite hanno escluso anche l’ombra del sospetto di possibili violazioni dei principi della riserva di legge, inviolabilità del domicilio, inviolabilità e segretezza della corrispondenza e delle comunicazioni e del rispetto della vita privata e familiare sancito dall’articolo 8 CEDU.

Non tutti però la pensano così.

Alcuni docenti dell’università di Torino hanno promosso un appello, ampiamente pubblicizzato sui mass media, che ha rapidamente raccolto decine di adesioni negli atenei italiani.

Lo scopo dei firmatari, tra i quali sono compresi esponenti di grande prestigio della scienza penalistica italiana, non è la demonizzazione del particolare strumento investigativo ma la richiesta di regole stringenti e coerenti al dettato costituzionale.

Dal testo dell’appello si ricava una precisa convinzione: la materia degli strumenti investigativi che comportino intrusioni pubbliche nel domicilio e nelle comunicazioni degli individui è di stretta tassatività e il loro uso è legittimo solo se previsto espressamente da una legge statale che rispetti i parametri indicati negli articoli 13, 14 e 15 della Costituzione e 8 della CEDU.

Il disegno di legge in Senato e le altre iniziative politiche

Pende attualmente al Senato il disegno di legge A.S. 2067, intitolato “Modifiche al codice penale e al codice di procedura penale per il rafforzamento delle garanzie difensive e la durata ragionevole dei processi nonché all’ordinamento penitenziario per l’effettività rieducativa della pena”.

Si tratta di un’iniziativa di impulso governativo presentata alla Camera nel 2014, cui sono stati aggregati per strada emendamenti e nuove proposte.

Transitato al Senato, il testo, dopo un lungo iter in commissione, è passato all’esame dell’assemblea e lì ancora giace, con tutte le incognite legate alla bocciatura referendaria della riforma costituzionale approvata dal Parlamento.

Varie disposizioni del disegno di legge sono destinate a formare il contenuto di una legge delega.

Alcune di esse riguardano l’uso dei captatori informatici e servono a “disciplinare le intercettazioni di comunicazioni o conversazioni tra presenti mediante immissione di captatori informatici (cd. Trojan) in dispositivi elettronici portatili”.

Vi si stabilisce anzitutto che l’attivazione del microfono possa avvenire solo da remoto e in conseguenza di un apposito comando. Alla fine della registrazione il captatore deve essere reso definitivamente inutilizzabile.

L’uso di tale strumento, ammesso nei termini precisati dalla sentenza Scurato, obbliga il giudice che lo autorizza  (e anche il pubblico ministero [di seguito PM], quando dispone l’intercettazione in via d’urgenza) a indicare le ragioni per le quali è necessaria questa specifica modalità intercettiva.

Il trasferimento delle registrazioni deve avvenire solo verso i server in dotazione alle procure allo scopo di garantire originalità e integralità delle registrazioni.

Possono essere usati solo programmi informatici conformi a requisiti tecnici stabiliti con un apposito decreto ministeriale.

È possibile l’esportazione dei risultati ottenuti con la captazione anche in procedimenti diversi ma solo per l’accertamento di delitti per i quali sia obbligatorio l’arresto in flagranza.

È infine vietato in modo assoluto rendere conoscibili, divulgare e pubblicare i risultati di intercettazioni che abbiano coinvolto occasionalmente soggetti estranei ai fatti per cui si procede.

Fin qui il Governo.

Sul web, poche settimane dopo la pronuncia delle Sezioni unite penali, è stata divulgata la notizia di un’iniziativa legislativa parallela a quella pendente in Senato[1].

Con il patrocinio dell’associazione italiadecide, che vanta tra i suoi soci ministri, giudici costituzionali, banchieri, società pubbliche e relativi manager apicali, il 21 giugno 2016 si è svolto un convegno (a porte chiuse, chissà perché, forse per simmetria col tema trattato) per elaborare una proposta di legge che regolamenti in dettaglio l’utilizzo investigativo dei captatori informatici.

Sembra che l’obiettivo sia quello di scomporre di considerare individualmente le varie funzionalità del virus informatico e assoggettarle alla disciplina codicistica del mezzo di ricerca della prova cui ognuna di esse più assomiglia: così, ad esempio, la ricerca di un file sul dispositivo bersaglio dovrebbe essere considerata come una perquisizione, l’acquisizione del file come un sequestro, le intercettazioni di traffico vocale come un’intercettazione tra presenti e le registrazioni audio/video come un’intercettazione ambientale (anche se, secondo le Sezioni unite, quest’espressione non ha senso giuridico).

Ulteriori punti salienti della proposta di italiadecide sono la certificazione pubblica dei captatori con l’obbligo di deposito dei loro codici sorgente,  l’esclusione di società e tecnici esterni dalla gestione materiale delle operazioni e l’inaccessibilità alle parti (compreso il PM) dei dati acquisiti fino alla notifica degli atti all’indagato.

È una proposta interessante che ha il merito di prendere in considerazione aspetti completamente trascurati nel disegno di legge in discussione al Senato.

Giurisprudenza di merito e di legittimità dopo la decisione Scurato: orbite che non si incrociano

- il giudice di merito

Qualche mese fa, precisamente il 28 settembre 2016, il Tribunale di Modena ha emesso un’ordinanza significativa, il cui testo è riportato integralmente sul sito web giurisprudenzapenale.com.

Vi si richiama anzitutto la riforma normativa apportata dalla Legge 48/2008 per effetto della quale il documento informatico non va più identificato con il suo supporto ma con il dato in esso contenuto.

Si citano quindi, in particolare, gli articoli  247 comma 1 bis e 254 bis codice di procedura penale (di seguito c.p.p.), entrambi  introdotti dalle Legge 48.

Il primo disciplina la perquisizione di sistemi informatici e telematici alla ricerca di dati, informazioni, programmi informatici o tracce di altro genere.

Il secondo regola il  sequestro, presso fornitori di servizi informatici, telematici o di telecomunicazioni, dei dati da questi detenuti, compresi quelli inerenti traffico e ubicazione.

A questo punto il provvedimento rileva che l’attività di ricerca della prova condotta dagli organi investigativi nel caso concreto, indirizzata verso la posta elettronica, ha riguardato non solo dati esterni ai messaggi ma anche il  loro stesso contenuto.

Ne trae la conseguenza che, dovendo la posta elettronica essere pienamente equiparata a quella privata, l’acquisizione di corrispondenza telematica conservata in un personal computer o presso il gestore è possibile solo attraverso il sequestro ex articoli 254 bis e alle condizioni stabilite dall’articolo 247 comma 1 bis.

Nel procedimento all’attenzione del Tribunale di Modena, invece, il PM aveva acquisito la corrispondenza con la procedura, disciplinata dall’articolo 132 del Decreto Legislativo 196/2003, riservata all’acquisizione dei tabulati telefonici.

Il giudice modenese ha affermato che, così facendo, il PM non solo ha usato indebitamente il citato articolo, che espressamente esclude il  contenuto delle comunicazioni, ma ha anche leso primarie garanzie difensive: obbligo di avvertimento dell’indagato cui spetta la facoltà di farsi assistere da un difensore, svolgimento in contraddittorio delle attività tecniche di estrazione di copia dal PC o dal server del provider e con modalità tali da garantire la sicura corrispondenza tra la copia estratta e il contenuto effettivo della memoria della posta.

L’attività del PM si è quindi risolta in una intrusione investigativa nella corrispondenza privata, lesiva dell’articolo 15 della Costituzione e dell’articolo 8 CEDU, sanzionata con l’inutilizzabilità del materiale acquisito.

Il Tribunale ha salvato soltanto i cosiddetti dati esterni, cioè quelli relativi al mittente e al destinatario e all’ora, giorno e anno della trasmissione.

Il provvedimento ha poi preso in considerazione l’intrusione, disposta dal PM, di un captatore informatico in un PC bersaglio.

Anche in questo caso il giudizio dei giudici modenesi sull’operato del PM è stato severo: non ricorreva alcune delle ipotesi che, secondo la decisione Scurato, avrebbe consentito questo strumento; la captazione aveva avuto ad oggetto un flusso di comunicazioni il che avrebbe richiesto la preventiva procedura ex articoli 266 e seguenti del codice di procedura penale.

- e il giudice di legittimità

La Corte Suprema si è fatta viva con la sentenza n. 40903/2016 della quarta sezione penale, oggetto tra l’altro di un eccellente commento di Monica Alessia Senor, pubblicato su questa rivista.

Questo è il nucleo essenziale dei fatti investigativi, così come li ha descritti l’estensore: “gli investigatori scoprivano che gli odierni ricorrenti G. e P. erano soliti frequentare alcuni internet point. Verificando i computer colà utilizzati, giungevano così ad individuare  una serie di caselle di posta elettronica … attraverso le quali gli imputati inviavano e ricevevano e-mail intrattenendo così una corrispondenza con i loro referenti … Tali contatti informatici avvenivano secondo due diverse modalità. In alcuni casi i messaggi di posta elettronica venivano normalmente spediti in via telematica … In altri … veniva invece adottato il metodo del salvataggio nella cartella “bozze”. Venivano cioè scritte e-mail che non venivano inviate ma rimanevano salvate in modalità “bozze” e potevano essere pertanto visionate da chi, in possesso delle credenziali e della password, successivamente avesse accesso alla casella di posta elettronica … Ebbene, mentre le e-mail ricevute o inviate sono state oggetto di una “normale” intercettazione dei flussi telematici in entrata e in uscita dai PC ubicati nei citati internet point, all’acquisizione dei messaggi lasciati “in bozza” la P.G. è invece giunta secondo una diversa modalità: gli operanti sono infatti direttamente “entrati” nelle varie caselle di posta elettronica dopo essersi procurate le relative password attraverso l’osservazione e il controllo a distanza degli imputati (mediante virus informatici) nell’atto in cui questi digitavano tali password sulle tastiere dei computer in uso presso gli internet point …”.

Il collegio di legittimità ha di seguito individuato gli istituti cui andavano ascritte le suddette attività investigative e la conseguente regolamentazione normativa.

L’acquisizione delle password è avvenuta attraverso l’inoculazione di un virus informatico nel computer usato dagli indagati presso l’internet point.

Quest’aspetto però - dice la Cassazione - è poco rilevante poiché “Si è usato il programma informatico … così come si è da sempre usata la microspia per le intercettazioni telefoniche o ambientali”.

L’affermazione è piuttosto rudimentale se solo si considera che il captatore non è stato usato in questo caso per ascoltare conversazioni telefoniche o tra presenti ma per carpire credenziali di accesso a un servizio di posta elettronica.

Il punto è quindi un altro e richiama l’esegesi dell’articolo 266 bis del codice di procedura penale fatta dalle Sezioni unite penali con la sentenza n. 21/1998.

Il supremo collegio chiarì nell’occasione che quella norma aveva consentito “l’intercettazione dei flussi di dati numerici (bit), nell’ambito dei singoli sistemi oppure intercorrente tra più sistemi. Cioè, l’oggetto della tutela del Capo III concerne a questo punto, a seguito della modifica legislativa, non solo il contenuto delle conversazioni, con qualsiasi forma di telecomunicazione avvenga,ma tutti i dati informatici (sequenza di bit) in movimento nel sistema elettronico della telefonia, dall’ingresso in rete alla destinazione, nelle fasi quindi dell’ingresso, elaborazione, registrazione, comprensivo delle interconnessioni con altre reti o stazioni intermedie di comunicazione”.

È certo che la digitazione sulla tastiera della password di accesso ad un account di posta elettronica comporti un ingresso in rete e l’inizio di un flusso di dati numerici e questo, secondo le Sezioni unite del 1998, basta per legittimare l’intercettazione della password medesima.

Sarebbe interessante verificare approfonditamente la congruenza di questa opinione, anche in riferimento ai due diversi concetti di comunicazioni e dati esterni ad esse, ma non è questa la sede e quindi si prosegue con gli ulteriori step classificatori contenuti nella sentenza in commento.

Un notevole sforzo motivazionale è stato compiuto nella direzione delle mail inviate e ricevute che sono state rivenute negli account oggetto di indagine.

Anch’esse, a giudizio del collegio, rientrano nel concetto di flussi comunicativi e sono quindi intercettabili ai sensi dell’articolo 266 bis del codice di procedura penale.

Per due essenziali ragioni: le e-mail non sono conversazioni tra persone nel senso attribuito a questa espressione dall’articolo 266 del codice di procedura penale; l’inoltro della lettera elettronica da parte del mittente consente di ritenere avviato il flusso.

In più - aggiunge il collegio - le e-mail spedite o ricevute non fanno parte del genus corrispondenza, dovendo invece essere considerate come documenti ai sensi dell’articolo 234 codice di procedura penale.

La corrispondenza implica infatti un’attività di spedizione in corso o comunque avviata dal mittente mediante consegna a terzi per il recapito che in questo caso manca.

Comunque sia, che si tratti di corrispondenza o di documenti, che si applichi la disciplina delle intercettazioni o dei sequestri, un decreto autorizzativo del giudice delle indagini preliminari c’era – rileva il collegio - e lo si deve considerare idoneo tout court a coprire l’acquisizione. 

È interessante notare che la motivazione della sentenza in commento richiama esplicitamente l’indirizzo giurisprudenziale, definito dalla Sezioni unite con la sentenza n. 28997/2012, secondo il quale il concetto di corrispondenza ricorre soltanto se è in corso un’attività di spedizione curata direttamente dal mittente ovvero affidata a terzi intermediari. Il logico ed esplicito corollario di questa affermazione è che “lettere e pieghi non ancora avviati dal mittente al destinatario o già da quest’ultimo ricevuti … non sono appunto corrispondenza”.

Fin qui tutto bene, quantomeno nel senso che vi è stata esatta applicazione delle coordinate indicate dalle Sezioni unite del 2012.

Il percorso della sentenza 40903 si fa invece accidentato nei successivi passaggi giacchè, come si è visto, il collegio ha ritenuto che le e-mail inviate e ricevute prima dell’attività investigativa fossero comunque intercettabili, in quanto appartenenti al genus dei flussi comunicativi regolati dall’articolo 266 bis del codice di procedura penale.

Questa conclusione è smentita da ciò che le stesse Sezioni unite, in una decisione più risalente, hanno chiarito in modo condivisibile.

Nella sentenza 6/2000 si legge infatti che “In concreto, le linee telefoniche, secondo la moderna tecnologia, attuano la trasmissione delle comunicazioni con la conversione (codificazione) di segnali fonici in forma di flusso continuo di cifre e detti segnali, trasportati all’altro estremo, vengono ricostruiti all’origine (decodificazione); la registrazione dei dati esterni avviene in apposite memorie. Trattasi, dunque, di flussi relativi ad un sistema tecnico che s’innesta nella disciplina delle intercettazioni di comunicazioni informatiche o telematiche, captate a sorpresa nel corso del loro svolgimento, che hanno per oggetto anche la posta elettronica (“e – mail”) da computer a computer collegati alla rete “Internet” o in forma ibrida a mezzo di messaggi SMS da computer, collegato a detta rete, ad apparecchi cellulari GSM o viceversa. Il “flusso” è il “dialogo” delle comunicazioni in corso all’interno di un sistema o tra più sistemi informatici o telematici. Fra strumenti informatici, quindi, è possibile lo scambio di impulsi in cui si traducono le informazioni; scambio che è comunicazione al pari della conversazione telefonica, sicchè la relativa captazione nel momento in cui si realizza costituisce “intercettazione”.

Secondo le Sezioni unite penali, dunque, si ha un flusso rilevante ai sensi dell’articolo 266 bis del codice di procedura penale allorchè le comunicazioni informatiche o telematiche sottostanti siano captate a sorpresa mentre sono in corso di svolgimento. L’intercettazione è quindi possibile solo nel momento in cui la comunicazione avviene e non può essere estesa a comunicazioni passate, come è nel caso che interessa.

È allora evidente che l’acquisizione di e-mail agli atti del procedimento deve avvenire utilizzando  strumenti diversi da quello intercettivo.

Quali siano questi strumenti lo indica con chiarezza l’ordinanza del Tribunale di Modena: “sarà possibile il sequestro di corrispondenza telematica allocata nel PC del soggetto indagato o giacente presso i gestori con le forme stabilite dall’articolo 254 e 254 bis del codice di procedura penale e alle condizioni stabilite dall’articolo 247 comma 1 bis del codice di procedura penale”.

Ma, si potrebbe obiettare, la sentenza 40903 si è fatta carico anche di questa eventualità, precisando che “con una valutazione di fatto, espressa con motivazione logica e congrua, e pertanto insindacabile in questa sede,e anche corretta in punto di diritto, i giudici del merito hanno ritenuto che i messaggi di posta elettronica in entrata e in uscita costituissero un flusso telematico, come tale intercettabile. In ogni caso c’era stato un provvedimento autorizzativo del GIP che, anche a voler ritenere che quelle già spedite e/o ricevute fossero sequestrabili e non intercettabili, “copriva” in termini di garanzia anche tale acquisizione”.

Questo passaggio motivazionale non convince affatto.

Nella sua premessa, anzitutto. L’attribuzione a messaggi di posta elettronica della qualifica di flussi telematici non è una valutazione di fatto ma di diritto, essendosi tradotta nella scelta di riportare un fatto procedimentale in un istituto normativo piuttosto che un altro.

Ma soprattutto nella sua conclusione che pare francamente aberrante. Dalla motivazione risulta con chiarezza che il giudice delle indagini preliminari aveva emesso un decreto di autorizzazione di operazioni intercettive le quali, in quanto atti a sorpresa, escludono ovviamente la partecipazione di chi ne subisce gli effetti. Ben diversa è la disciplina dettata in tema di sequestro dagli articoli 254 e 254 bis del codice di procedura penale cui si accompagna un pacchetto consistente di garanzie difensive, ivi compresa la possibilità, prevista dall’articolo 257 del codice di procedura penale, di chiedere il riesame del relativo decreto.

Il terzo ed ultimo punto della motivazione ha riguardato le e-mail conservate nella cartella “bozze”.

Il collegio ha affermato di non dubitare che “per tali e-mail si sia in presenza di un’attività che ricorda quella del sequestro di dati informatici”.

Nondimeno - si dice - il contenuto della bozza è detenuto non dal provider del servizio di posta elettronica ma dagli utenti in possesso della password. Mancano quindi le condizioni previste dal primo inciso dell’articolo 254 bis del codice di procedura penale per far luogo al sequestro ivi disciplinato.

Non si indugia sui dettagli di questo passaggio motivazionale e si dà per buona la conclusione raggiunta dal collegio di legittimità. Resta però, come fatto ineludibile, che l’acquisizione coattiva, preceduta da un’attività corrispondente tecnicamente ad una perquisizione, di dati informatici detenuti da qualcuno non può prescindere da un provvedimento di sequestro che nel caso di specie mancava e certamente non poteva essere sostituito da un decreto di autorizzazione per attività di intercettazione.

In definitiva: la sentenza 49903 pare avere fatto una gigantesca confusione, stipando in un unico calderone attività procedimentali differenti. Ciò che più conta, la Cassazione ha negato l’operatività di garanzie che pure avrebbero dovuto essere riconosciute e, se si vuole, ha negato la propria funzione di garante della legittimità procedurale. Di più: ha considerato il captatore informatico come una banale e scontata modalità di acquisizione di dati, sottovalutandone le potenzialità lesive di diritti di rango primario.

Conclusione

Il dato normativo è carente, l’interpretazione è ondivaga, le tecniche investigative diventano sempre più intrusive nella vita dei consociati, la consapevolezza di ciò che si può fare o non fare nei procedimenti penali è tutt’altro che sicura e consolidata.

Il “grande timoniere” citato in apertura riteneva che la confusione fosse foriera di opportunità.

Può darsi, i grandi cambiamenti epocali sono sempre seguiti a fasi movimentate e di rivolgimenti sociali. Ma questo non vale di sicuro per la regolamentazione della vita dei cittadini, soprattutto in relazione a ciò che i pubblici poteri sono legittimati a fare per intromettersi in esse.

È stata appena bocciata, quasi a furore di popolo, una legge di riforma della Costituzione che i cittadini, evidentemente, hanno ritenuto dannosa per i loro equilibri di vita e le loro libertà.

Risulta allora doppiamente improprio, per contro, che interpretazioni “costituzionalmente disorientate” si arroghino il diritto di modificare in senso peggiorativo valori fondanti della nostra Repubblica.

 

[1] Per chi volesse approfondire, si rimanda agli articoli di Carola Frediani, pubblicato il 22 giugno 2016 su Stampa.it, e di Federico Nejrotti, pubblicato su Motherboard il giorno dopo, dai quali sono state tratte le notizie sul convegno di italiadecide.