28 aprile 2016: la Corte Suprema americana e le Sezioni Unite della Cassazione sull’hacking di Stato
Abstract
La sezione 2075 del titolo 28 dello United States Code riconosce alla Corte Suprema il potere di legiferare sulle regole di procedura penale purché l’intervento normativo non vada ad impattare con diritti sostanziali. Lo scorso 28 aprile la Corte Suprema ha inviato ai Presidenti della House of Rapresentatives e del Senato alcuni emendamenti alle Federal Rules of Criminal Procedure, tra cui particolare interesse riveste la modifica alla Rule 41 in materia di perquisizioni e sequestri. Tra le altre cose, la nuova formulazione della norma prevede che gli ufficiali di polizia giudiziaria e i pubblici ministeri federali possano chiedere un warrant (ovvero un decreto) per accedere da remoto a dispositivi elettronici al fine di perquisirli e sequestrare o copiare i dati ivi memorizzati; la richiesta può essere presentata a qualsiasi giudice distrettuale.
Articolo integrale
La sezione 2075 del titolo 28 dello United States Code riconosce alla Corte Suprema il potere di legiferare sulle regole di procedura penale purché l’intervento normativo non vada ad impattare con diritti sostanziali. Ogni anno, la Corte Suprema trasmette al Congresso, entro e non oltre il 1° maggio, le nuove norme proposte, le quali entreranno automaticamente in vigore il successivo 1° dicembre, salvo diverso intervento legislativo da parte del Congresso stesso. In forza di tale disposizione, lo scorso 28 aprile la Corte Suprema ha inviato ai Presidenti della House of Rapresentatives e del Senato alcuni emendamenti alle Federal Rules of Criminal Procedure, tra cui particolare interesse riveste la modifica alla Rule 41 in materia di perquisizioni e sequestri.
La nuova formulazione della norma prevede che gli ufficiali di polizia giudiziaria ed i pubblici ministeri federali possano chiedere un warrant (decreto) per accedere da remoto a dispositivi elettronici al fine di perquisirli e sequestrare o copiare i dati ivi memorizzati; la richiesta può essere presentata a qualsiasi giudice distrettuale, il quale potrà provvedere anche oltre la sua formale giurisdizione: 1) quando la posizione fisica del dispositivo risulta celata mediante l’uso di mezzi tecnologici (ad es. Tor), oppure, 2) nell’ipotesi di indagini per frode telematica di cui al titolo 18 U.S.C., § 1030 (a)(5), quando i computer coinvolti nei reati siano stati danneggiati senza autorizzazione (ad es. le botnet) e siano fisicamente dislocati in cinque o più distretti.
La modifica è stata aspramente criticata da più parti, in particolare dall’Open Technology Institute – istituto di matrice multidisciplinare impegnato nella promozione di iniziative per la libertà e la giustizia sociale nell’era digitale di cui fanno parte anche alcuni grossi Internet provider come Yahoo, Netflix, Facebook, Uber e Google – che ha sottolineato come l’intervento normativo veicolato dalla Corte Suprema (su proposta del Dipartimento di Giustizia) non si riferisca solo ad aspetti procedurali ma rappresenti un cambiamento significativo e sostanziale della Rule 41 in quanto introduce ex novo perquisizioni e sequestri da remoto, sollevando seri dubbi di legittimità costituzionale con riferimento al IV emendamento.
Ciò che viene maggiormente contestato è il tentativo di legittimare l’attività di hacking da parte del Governo senza passare per un doveroso dibattito parlamentare. Nel comunicato stampa dell’OTI si legge: “Unlike wiretapping, however, Congress has never authorized government hacking nor established protective rules for the road to ensure it’s not abused. Government hacking also raises a host of new and serious risks to privacy and security that wiretapping doesn’t, including the risk that the malware used by the government might spread to innocent people’s computers or cause unintended damage … … … If government hacking is to be allowed at all, it should only be done with authorization from Congress, with strong protective rules in place, and after deep investigation and robust debate”.
Colpisce constatare come una situazione del tutto analoga si sia verificata, lo stesso 28 aprile, in Italia. Mi riferisco alla sentenza con cui le Sezioni Unite nella nostra Corte di Cassazione hanno ritenuto legittimo l’uso dei trojan di Stato per attivare da remoto il microfono di un device al fine di utilizzarlo come microspia per eseguire intercettazioni ambientali, con l’unico limite del rispetto del domicilio. Come osserva Carlo Blengino in un suo post sull’argomento, stupisce come, a fronte dell’invasività di tali strumenti d’indagine, l’unico limite individuato dalla giurisprudenza sia, nel caso di captazione ambientale, l’inviolabilità del domicilio fisico. Nonostante l’introduzione di un trojan in un dispositivo elettronico consenta agli inquirenti di assumere il totale controllo dell’apparecchio infettato con conseguente possibilità di accedere a tutto il suo contenuto (contatti, e-mail, dati di navigazione, comunicazioni telefoniche, chat, file, foto, etc.), storico e live, l’unica funzione analizzata dai nostri Giudici di legittimità è quella che consente, attivandone da remoto il microfono, di trasformare un device in una “cimice” e l’unico diritto minacciato, e dunque degno di essere salvaguardato, pare essere il rispetto del domicilio fisico, peraltro tutelato, in esito alla decisione, esattamente negli stessi termini previsti dal codice di procedura e da alcune leggi speciali per le intercettazioni ambientali tradizionali.
Non si pone, la Corte, il problema della legittimità, a monte, dell’uso dei trojan. Non si domanda se per riuscire ad accendere il microfono il trojan abbia prima violato e si sia impadronito del sistema operativo del device. Non si chiede se la violazione del domicilio fisico sia preceduta dalla violazione del domicilio informatico del possessore dell’apparecchio. Né si preoccupa del fatto che manchi qualsiasi riferimento legislativo che autorizzi l’utilizzo dei captatori. Certo, se la questione viene affrontata, come è stata affrontata, solo in termini di tutela della privacy dei soggetti interessati, la soluzione giuridica non può che essere riduttiva.
Ma non è una questione di privacy. È una questione di tutela del nostro corpo digitale, un corpo che non può più essere considerato solo come la mera sommatoria delle informazioni che ci riguardano, tutelate singolarmente ed indipendentemente le une dalle altre dal diritto alla protezione dei dati personali. Il corpo digitale è l’essenza della nostra persona e necessita di una protezione pari a quella prevista in Costituzione per il nostro corpo fisico con annesse libertà. Il corpo fisico è inviolabile (art.13 Cost.), il domicilio fisico è inviolabile (art.14 Cost.), la corrispondenza ed ogni altra forma di comunicazione sono inviolabili (art.15 Cost.).
Le limitazioni a tali inviolabilità passano attraverso una doppia riserva, di legge (che deve prevedere espressamente i casi ed i modi in cui tali diritti fondamentali possono essere compressi) e di giurisdizione (solo un atto motivato dell’autorità giudiziaria può giustificarne la compressione). Il nostro corpo digitale esiste, alimentato dai dati che ci riguardano che ogni giorno vengono caricati, anche da noi stessi, sul Web; vive in un domicilio digitale, rappresentato dai nostri smartphone, dai nostri tablet e dai nostri computer; circola e comunica in modo digitale, attraverso le reti di Internet; ma nessuna di queste prerogative è riconosciuta come inviolabile.
Redatto il 5 maggio 2016
Abstract
La sezione 2075 del titolo 28 dello United States Code riconosce alla Corte Suprema il potere di legiferare sulle regole di procedura penale purché l’intervento normativo non vada ad impattare con diritti sostanziali. Lo scorso 28 aprile la Corte Suprema ha inviato ai Presidenti della House of Rapresentatives e del Senato alcuni emendamenti alle Federal Rules of Criminal Procedure, tra cui particolare interesse riveste la modifica alla Rule 41 in materia di perquisizioni e sequestri. Tra le altre cose, la nuova formulazione della norma prevede che gli ufficiali di polizia giudiziaria e i pubblici ministeri federali possano chiedere un warrant (ovvero un decreto) per accedere da remoto a dispositivi elettronici al fine di perquisirli e sequestrare o copiare i dati ivi memorizzati; la richiesta può essere presentata a qualsiasi giudice distrettuale.
Articolo integrale
La sezione 2075 del titolo 28 dello United States Code riconosce alla Corte Suprema il potere di legiferare sulle regole di procedura penale purché l’intervento normativo non vada ad impattare con diritti sostanziali. Ogni anno, la Corte Suprema trasmette al Congresso, entro e non oltre il 1° maggio, le nuove norme proposte, le quali entreranno automaticamente in vigore il successivo 1° dicembre, salvo diverso intervento legislativo da parte del Congresso stesso. In forza di tale disposizione, lo scorso 28 aprile la Corte Suprema ha inviato ai Presidenti della House of Rapresentatives e del Senato alcuni emendamenti alle Federal Rules of Criminal Procedure, tra cui particolare interesse riveste la modifica alla Rule 41 in materia di perquisizioni e sequestri.
La nuova formulazione della norma prevede che gli ufficiali di polizia giudiziaria ed i pubblici ministeri federali possano chiedere un warrant (decreto) per accedere da remoto a dispositivi elettronici al fine di perquisirli e sequestrare o copiare i dati ivi memorizzati; la richiesta può essere presentata a qualsiasi giudice distrettuale, il quale potrà provvedere anche oltre la sua formale giurisdizione: 1) quando la posizione fisica del dispositivo risulta celata mediante l’uso di mezzi tecnologici (ad es. Tor), oppure, 2) nell’ipotesi di indagini per frode telematica di cui al titolo 18 U.S.C., § 1030 (a)(5), quando i computer coinvolti nei reati siano stati danneggiati senza autorizzazione (ad es. le botnet) e siano fisicamente dislocati in cinque o più distretti.
La modifica è stata aspramente criticata da più parti, in particolare dall’Open Technology Institute – istituto di matrice multidisciplinare impegnato nella promozione di iniziative per la libertà e la giustizia sociale nell’era digitale di cui fanno parte anche alcuni grossi Internet provider come Yahoo, Netflix, Facebook, Uber e Google – che ha sottolineato come l’intervento normativo veicolato dalla Corte Suprema (su proposta del Dipartimento di Giustizia) non si riferisca solo ad aspetti procedurali ma rappresenti un cambiamento significativo e sostanziale della Rule 41 in quanto introduce ex novo perquisizioni e sequestri da remoto, sollevando seri dubbi di legittimità costituzionale con riferimento al IV emendamento.
Ciò che viene maggiormente contestato è il tentativo di legittimare l’attività di hacking da parte del Governo senza passare per un doveroso dibattito parlamentare. Nel comunicato stampa dell’OTI si legge: “Unlike wiretapping, however, Congress has never authorized government hacking nor established protective rules for the road to ensure it’s not abused. Government hacking also raises a host of new and serious risks to privacy and security that wiretapping doesn’t, including the risk that the malware used by the government might spread to innocent people’s computers or cause unintended damage … … … If government hacking is to be allowed at all, it should only be done with authorization from Congress, with strong protective rules in place, and after deep investigation and robust debate”.
Colpisce constatare come una situazione del tutto analoga si sia verificata, lo stesso 28 aprile, in Italia. Mi riferisco alla sentenza con cui le Sezioni Unite nella nostra Corte di Cassazione hanno ritenuto legittimo l’uso dei trojan di Stato per attivare da remoto il microfono di un device al fine di utilizzarlo come microspia per eseguire intercettazioni ambientali, con l’unico limite del rispetto del domicilio. Come osserva Carlo Blengino in un suo post sull’argomento, stupisce come, a fronte dell’invasività di tali strumenti d’indagine, l’unico limite individuato dalla giurisprudenza sia, nel caso di captazione ambientale, l’inviolabilità del domicilio fisico. Nonostante l’introduzione di un trojan in un dispositivo elettronico consenta agli inquirenti di assumere il totale controllo dell’apparecchio infettato con conseguente possibilità di accedere a tutto il suo contenuto (contatti, e-mail, dati di navigazione, comunicazioni telefoniche, chat, file, foto, etc.), storico e live, l’unica funzione analizzata dai nostri Giudici di legittimità è quella che consente, attivandone da remoto il microfono, di trasformare un device in una “cimice” e l’unico diritto minacciato, e dunque degno di essere salvaguardato, pare essere il rispetto del domicilio fisico, peraltro tutelato, in esito alla decisione, esattamente negli stessi termini previsti dal codice di procedura e da alcune leggi speciali per le intercettazioni ambientali tradizionali.
Non si pone, la Corte, il problema della legittimità, a monte, dell’uso dei trojan. Non si domanda se per riuscire ad accendere il microfono il trojan abbia prima violato e si sia impadronito del sistema operativo del device. Non si chiede se la violazione del domicilio fisico sia preceduta dalla violazione del domicilio informatico del possessore dell’apparecchio. Né si preoccupa del fatto che manchi qualsiasi riferimento legislativo che autorizzi l’utilizzo dei captatori. Certo, se la questione viene affrontata, come è stata affrontata, solo in termini di tutela della privacy dei soggetti interessati, la soluzione giuridica non può che essere riduttiva.
Ma non è una questione di privacy. È una questione di tutela del nostro corpo digitale, un corpo che non può più essere considerato solo come la mera sommatoria delle informazioni che ci riguardano, tutelate singolarmente ed indipendentemente le une dalle altre dal diritto alla protezione dei dati personali. Il corpo digitale è l’essenza della nostra persona e necessita di una protezione pari a quella prevista in Costituzione per il nostro corpo fisico con annesse libertà. Il corpo fisico è inviolabile (art.13 Cost.), il domicilio fisico è inviolabile (art.14 Cost.), la corrispondenza ed ogni altra forma di comunicazione sono inviolabili (art.15 Cost.).
Le limitazioni a tali inviolabilità passano attraverso una doppia riserva, di legge (che deve prevedere espressamente i casi ed i modi in cui tali diritti fondamentali possono essere compressi) e di giurisdizione (solo un atto motivato dell’autorità giudiziaria può giustificarne la compressione). Il nostro corpo digitale esiste, alimentato dai dati che ci riguardano che ogni giorno vengono caricati, anche da noi stessi, sul Web; vive in un domicilio digitale, rappresentato dai nostri smartphone, dai nostri tablet e dai nostri computer; circola e comunica in modo digitale, attraverso le reti di Internet; ma nessuna di queste prerogative è riconosciuta come inviolabile.
Redatto il 5 maggio 2016