Disposizioni di diritto processuale penale

Una volta conclusa la trattazione delle disposizioni di diritto penale sostanziale, la Convenzione sulla criminalità informatica nella seconda sezione disciplina le principali misure di diritto procedurale, che devono essere recepite dal legislatore nazionale, al fine

soprattutto della ricerca della prova nei procedimenti per i reati contenuti nella prima sezione.

La rivoluzione tecnologica, che comprende numerose forme di comunicazione e servizi di interconnessione fra più soggetti, ha radicalmente modificato la tradizionale visione sia del diritto penale che della procedura penale. Infatti, queste nuove modalità di comunicazione spesso favoriscono nuove attività criminali sia in relazione ai reati “tradizionali”, che a quelli attuati per mezzo di un sistema informatico.

Tuttavia, se da un lato si assiste a questo particolare fenomeno criminale, il diritto processuale penale, in sede di disciplina della ricerca della prova, ha continuato un percorso di miglioramento sfruttando al meglio nuovi strumenti e tecniche d’indagine, al fine di contrastare queste nuove modalità di condotte illecite e tipologie di reato.

Maggior ostacolo alla lotta della criminalità nell’ambito di ambienti virtuali risiede nella concreta difficoltà di identificare l’autore del reato così come la valutazione dell’impatto della condotta criminale.

Ulteriore problema dal punto di vista dell’efficacia probatoria è rappresentato dalla particolare volatilità del dato elettronico, in quanto esso è esposto a rischio concreto di modificazione oppure a distruzione, sia ad opera dell’autore del fatto criminale, ma anche dagli stessi fornitori di servizi, che raccolgono i dati informatici.

Per questo motivo è necessario, in fase di investigazione, mantenere segreta questa tipologia di dato e contestualmente conservare questa importante prova, al fine del buon esito dell’attività investigativa.

La Convenzione non solo adatta i mezzi di ricerca della prova tradizionali, come la perquisizione e il sequestro, al nuovo contesto tecnologico, ma disciplina anche nuovi strumenti come la conservazione rapida dei dati, al fine di preservare l’efficacia degli strumenti di investigazione anche nell’ambito virtuale. Tali particolari misure sono parse necessarie anche a causa della caratteristica del dato informatico, in quanto non sempre rimane statico nello spazio, ma molto spesso “fluttua”25 _{lungo l’intero processo della}

comunicazione.

Tutte le disposizioni presenti nella seconda sezione della Convenzione sulla criminalità informatica hanno come fine ultimo l’acquisizione dei dati informatici che saranno poi utilizzati dalle autorità preposte al raccoglimento delle prove e alla loro valutazione.

Si era discusso, in sede di stesura della Convenzione, se fosse necessario prevedere un obbligo, rivolto ai fornitori di servizi, di conservazione del traffico dei dati per un preciso periodo di tempo; questa disposizione tuttavia non ha trovato spazio nel documento definitivo a causa del mancato raggiungimento del consenso delle parti.

Le norme procedurali contenute nella Convenzione si riferiscono a tutti i tipi di dati, includendo anche le tre principali forme che il dato informatico assume, ossia il traffico dei dati, i dati sul contenuto e infine i dati relativi agli abbonati.

Nel percorso di adeguamento delle discipline processual-penalistiche al nuovo contesto tecnologico si è resa necessaria un ripensamento delle terminologie tradizionali.

Le opzioni disponibili per risolvere tale questione sono di più tipi; mantenere il linguaggio tradizionale, come nel caso del sequestro e della perquisizione, introdurre nuove terminologie strettamente di natura informatica, come l’accesso o la copia dei dati, già sperimentato in altre sedi internazionali, ad esempio in sede di G8 High Tech Crime

Subgroup, ovvero porre in essere una sapiente combinazione di termini sia giuridici che

tecnologici.

Nonostante sia demandata alla discrezionalità degli Stati membri la scelta riguardo la terminologia da utilizzare, il problema comunque rimane e se l’intento era quello di aggiornare e ridefinire il diritto procedurale, rendendolo conforme al nuovo contesto tecnologico, tale mancanza di posizione potrebbe rappresentare un ostacolo al raggiungimento di questo importante obbiettivo.

I soggetti preposti dalla Convenzione all’utilizzo dei nuovi strumenti procedurali devono essere individuati di volta in volta dagli Stati membri. Infatti, in alcuni ordinamenti i giudici hanno il compito di ordinare o autorizzare la raccolta o la produzione di prove, mentre in altri è il pubblico ministero ad esercitare tale potere.

Per questo motivo la Convenzione si limita solo a richiamare con il termine “l’autorità competente” il soggetto che di volta in volta detiene poteri giudiziali o amministrativi, individuati dall’ordinamento nazionale, per l’autorizzazione o l’esecuzione di misure procedurali necessarie per la raccolta e la produzione di prove all’interno di una specifica indagine.

L’articolo 14 della Convenzione sulla criminalità informatica apre il Titolo I del secondo capitolo, dedicato alle disposizioni generali di diritto procedurale validi per l’intera sezione, definendo gli ambiti di applicazione delle disposizioni procedurali. Infatti, ogni Stato è obbligato all’adozione di tutte le misure necessarie, nel rispetto dei principi di diritto previsti dal singolo ordinamento, per la costituzione di poteri e procedure al fine di “indagini o procedimenti penali specifici”26_.

Il secondo comma specifica in quali ambiti tali poteri e procedure devono essere applicate dal legislatore statale; ossia per i reati individuati dalla prima sezione della Convenzione, per tutte le altre fattispecie penali che sfruttano l’uso di un sistema informatico e infine per la raccolta delle prove elettroniche.

Questa impostazione garantisce l’incorporazione di queste nuove tipologie di prove all’interno del diritto processuale e così facendo si opera un vero e proprio avvicinamento fra attività di raccolta concernente prove elettroniche e poteri e strumenti di procedura tradizionale.

Vi sono però due eccezioni a quanto stabilito dall’articolo 14. La prima è prevista all’ articolo 21, che prevede la possibilità dell’utilizzo di strumenti di intercettazione solo per reati considerati particolarmente gravi dall’ordinamento nazionale.

La disposizione riguarda in particolare il mezzo dell’intercettazione, ritenuto particolarmente invasivo della sfera privata del soggetto e per questo bisognosa di una disciplina più stringente riguardo il suo impiego.

Ulteriore eccezione risiede nella libertà data agli Stati contraenti di apporre particolari riserve in applicazione dell’articolo 20, ossia la conservazione a tempo reale sul traffico dei dati, purché “l’ambito di tali reati o categorie di reato non sia più ristretto di quello dei reati ai quali la Parte applica le misure di cui all’articolo 21”27_.

Alcuni Stati tuttavia considerano la raccolta del traffico dei dati simile, in termini di invadenza e di intrusione nella sfera privata del soggetto, alla collezione di dati sul contenuto.

26_{Convenzione del Consiglio d’Europa sulla criminalità informatica, Capitolo 2, Sezione 2, Articolo}

14

27_{Convenzione del Consiglio d’Europa sulla criminalità informatica, Capitolo 2, Sezione 2, Articolo}

In sede di explanatory report della Convenzione si è evidenziata anche la necessità di non abusare del diritto alla riserva, al fine di preservare la più ampia applicazione dei nuovi poteri oppure procedure individuate nella sede internazionale.

Il terzo comma, lettera b) della Convenzione sulla criminalità informatica individua un ulteriore diritto di riserva agli Stati che a causa di importanti limitazioni presenti nei propri ordinamenti, non possono adottare misure di intercettazione delle comunicazioni immesse in un determinato sistema informatico, il quale opera per il beneficio di un gruppo ristretto di persone e laddove non viene impiegato alcun tipo di rete di comunicazione pubblica e non è connesso con nessun altro sistema informatico.

Il termine “gruppo ristretto di utenti” si riferisce a soggetti che svolgono una funzione di semplice associazione con il service provider, come ad esempio un gruppo di dipendenti all’interno di una società che utilizza un sistema di comunicazione interno.

Invece, il termine “non connesso con altri sistemi informatici” si riferisce all’impossibilità, sia concreta che astratta, di costituire una connessione logica o fisica con altro network informatico.

Infine, con l’impiego dell’espressione “non utilizzo di comunicazioni pubbliche” si escludono tutti quei sistemi informatici che utilizzano network accessibili universalmente, come ad esempio internet, oppure la telefonia pubblica.

L’articolo 15 della Convenzione sulla criminalità informatica è una disposizione fondamentale per l’intera fonte internazionale, laddove si prevedono le principali forme di cautela rivolte agli Stati membri nell’applicazione delle disposizioni procedurali individuate. Dal momento che le modalità di implementazione dei nuovi poteri e delle nuove procedure individuate della Convenzione vengono lasciate alla discrezionalità di ogni Stato contraente vi è però il richiamo alla necessaria coerenza, in sede di recepimento, con i principi fondanti ciascun ordinamento.

Per quanto riguarda le modalità di recepimento, occorre sempre operare un’attività di bilanciamento fra la persecuzione delle attività criminali individuate e la protezione dei diritti fondamentali di ogni essere umano.

La Convenzione si applica ad un insieme variegato e ampio di ordinamenti giuridici e per questo motivo risulta particolarmente difficile l’individuazione di precise condizioni e tutele per ogni procedura o potere disciplinato all’interno della Sezione II.

Tuttavia, esistono degli importanti standard comuni presenti all’interno di diverse fonti internazionali. Infatti, la disposizione richiama la Convenzione del Consiglio d’Europa del 1950 per la tutela dei diritti umani e delle libertà fondamentali, così come la Convenzione Internazionale della Nazioni Unite del 1966 sui diritti civili e politici.

La disposizione prevede poi, come elemento obbligatorio, il recepimento del principio di proporzionalità, in quanto parte integrante della Convenzione europea per i diritti dell’uomo e le libertà fondamentali.

I poteri e le procedure, che saranno oggetto di recepimento, devono quindi essere proporzionati alla natura e alle circostanze dell’offesa.

Come già trattato in precedenza, un esempio di applicazione di questo importante principio si trova all’articolo 21 della Convenzione, in quanto prevede la possibilità di utilizzazione del potere di intercettazione, ai fini di ricerca della prova, solo se attinente ad una fattispecie criminale particolarmente grave.

La Convenzione richiede inoltre che queste nuove tipologie di poteri o procedure devono essere erogati da un soggetto preposto al potere giudiziario, ovvero altre autorità ritenute indipendenti e la decisione dell’applicazione di queste particolari tipi di misure devono basarsi su elementi fattuali inequivocabili.

Inoltre, in ottemperanza degli obblighi previsti da questa fonte internazionale, gli Stati devono poi individuare le misure particolarmente intrusive della sfera privata del soggetto per poter applicare le condizioni e le tutele necessarie al fine del rispetto dei principi inerenti ai diritti fondamentali di ciascuna persona.

Il terzo comma individua infine un ulteriore obbligo in capo agli Stati contraenti, ossia “considerare l’impatto dei poteri e delle procedure di questa sezione sui diritti, le responsabilità̀ e gli interessi legittimi dei terzi”28_{, nella misura in cui la procedura oppure il}

potere applicato risponda all’interesse pubblico.

Con l’articolo 15 si chiude il primo titolo della seconda sezione della Convenzione. Secondariamente si passa all’individuazione di una prima misura, all’interno del secondo titolo, di diritto procedurale, ovvero la conservazione rapida di dati informatici immagazzinati.

28_{Convenzione del Consiglio d’Europa sulla criminalità informatica, Capitolo 2, Sezione 2, Articolo}

Agli articoli 16 e 17 vengono disciplinate le misure che si applicano a quei dati già immagazzinati da soggetti preposti alla conservazione, come ad esempio i fornitori di servizi telefonici.

Queste disposizioni non possono però applicarsi ai casi di conservazione del traffico dei dati o nei casi di accesso a tempo reale dei contenuti delle comunicazioni, rientranti nel Titolo V.

Le misure descritte in queste disposizioni si applicano solo ai dati destinati alla conservazione. Infatti, molto spesso queste tipologie di dati informatici vengono conservati ma non mantenuti, oppure viceversa.

Prima di passare all’indagine delle disposizioni in esame occorre riflettere sulle differenze fra conservazione e detenzione dei dati. Infatti, se dal punto di vista del linguaggio comune il significato è lo stesso, tuttavia sono presenti importanti distinzioni in relazione al settore informatico.

Per conservazione s’intende il trattenimento del dato, che già esiste in forma elettronica, al fine di preservare il documento da ogni forma di deterioramento, ovvero qualsiasi peggioramento di qualità.

Per detenzione del dato, invece, s’intende il possesso del dato informatico, al fine di una prolungata attività di raccolta. Infatti, in questa accezione si pone in essere un mantenimento continuato per un periodo di tempo relativamente lungo.

La conservazione del dato invece ha la caratteristica di attuare una protezione contro le varie attività che possano causare una drastica riduzione della qualità del dato.

Gli articoli 16 e 17 della Convenzione sulla criminalità informatica si riferiscono solo alle attività di conservazione e non alla semplice detenzione.

Le misure di preservazione si applicano al dato informatico inserito all’interno di un sistema informatico e per questo motivo si presuppone l’esistenza del dato stesso e contestualmente la sua raccolta e la sua effettiva presenza nello stesso.

Alla luce di quanto descritto occorre poi aggiungere la disposizione dell’articolo 14 in cui si richiede, al fine dell’attivazione degli specifici strumenti di diritto procedurale individuati dalla Convenzione, l’esistenza di indagini o procedimenti specifici.

Inoltre, laddove uno Stato contraente dia attuazione ad una misura di conservazione preventiva l’oggetto di tale misura deve essere uno specifico dato informatico contenuto in un determinato sistema informatico.

Per questo motivo le attività di conservazione previste agli articoli 16 e 17 devono comunque avere come base fondante un procedimento inserito all’interno di una specifica attività di investigazione.

Successivamente in sede di explanatory report della Convenzione sulla criminalità informatica si evidenza la presenza, in ciascun ordinamento, di norme particolari che regolano la conservazione di alcuni tipi dati, come ad esempio i dati personali, e per questo motivo si afferma l’impossibilità di conservazione nonché si dispone la cancellazione degli stessi se cessa lo scopo commerciale insito nel trattenimento di questa tipologia di dati informatici.

Questo principio è il risultato di un’importante collaborazione con l’Unione Europea. Infatti, l’implementazione si ritrova in seno alla Direttiva 97/66/EC, in cui si riafferma l’obbligo di cancellazione, nel settore però delle telecomunicazioni, dei dati sensibili, qualora cessi la necessità di conservazione.

Tuttavia, alla luce del principio appena delineato è possibile ravvisare delle riserve, qualora vi sia una particolare necessità di investigazione o di censura dei reati individuati dalla Convenzione.

Le attività di conservazione dei dati si presentano come una vera e propria novità all’interno del panorama giuridico internazionale e per mezzo della loro previsione si è promosso l’utilizzo di nuove importanti tecniche investigative al fine di porre freno all’utilizzo improprio dei sistemi informatici. Infatti, si è già definito come caratteristica del dato informatico la sua volatilità, in particolare la sua propensione alla modificabilità e per questo motivo questo nuovo importante strumento di conservazione risulta assolutamente necessario per mantenere l’integrità e la sicurezza del dato, proteggendolo da azioni esterne di distruzione o manipolazione.

Molte attività illecite nel settore informatico vengono attuate mediante attività di comunicazione avente oggetto un contenuto illegale, come esempio la pedopornografia oppure programmi pericolosi per il sistema informatico, le quali possono proliferale grazie alla sostanziale impunibilità garantita dall’anonimato e dall’impossibilità di reperimento delle prove necessarie al fine della persecuzione del reato commesso.

L’attività di conservazione dei dati informatici è il primo importante passo nella lotta contro queste particolarmente odiose fattispecie di reato, in quanto solo grazie ad

un’attività di trattenimento delle passate comunicazione si può risalire all’effettiva identità dei soggetti protagonisti delle azioni criminali.

Lo strumento di conservazione rapida dei dati nasce come ulteriore e sempre di più principale soluzione alle problematiche individuate. Per questo motivo gli Stati contraenti devono attivarsi nell’individuazione delle principali modalità di conservazione rapida di dati, tenendo presente il carattere temporaneo della misura stessa. Infatti, come successivamente si vedrà con la trattazione dell’articolo 16, il termine massimo è di 90 giorni prorogabili con ulteriore decreto, evidenziando l’esistenza di un interesse pubblico alla continuazione della conservazione.

Ulteriore finalità di questo strumento è la creazione di mezzi di collaborazione fra diversi Stati contraenti, grazie al comune sforzo di conservazione dei dati, al fine di tutelarne l’integrità così come di permettere una rapida procedura finalizzata alla reciproca assistenza in fase di raccolta dei dati informatici.

Dopo questa breve introduzione alle due fondamentali misure di procedura individuate all’interno della seconda sezione, occorre soffermarsi sul primo strumento, individuato dalla Convenzione, all’articolo 16.

La disposizione in oggetto ha come scopo l’individuazione dei poteri di consegna e di conservazione di dati, mediante lo strumento di conservazione rapida di dati informatici immagazzinati, avendo come destinatari le autorità individuate dagli stessi Stati contraenti. Le attività di conservazione richiedono che il dato immagazzinato sia sottoposto a una continua attività di protezione contro tutti gli agenti esterni, al fine di preservare la qualità del dato stesso.

Tuttavia, conservazione non equivale a totale inacessibilità del dato. Infatti, il soggetto colpito da questa misura può comunque accedere ai dati così conservati, solo nel caso però che l’ordinanza preveda questa possibilità.

Le modalità di conservazione non sono trattate in questa disposizione in quanto sono gli Stati contraenti a procedere, in fase di recepimento, alla specifica qualificazione di questo nuovo strumento processuale mediante la predisposizione di poteri e procedure precise e allo stesso tempo individuando l’autorità competente a porle in essere.

Una volta individuata l’autorità competente, occorre successivamente predisporre le modalità di implementazione dei nuovi poteri individuati dalla Convenzione, al fine di “ordinare o ottenere in altro modo la protezione rapida di specifici dati informatici”29_.

Si utilizzano due termini piuttosto vaghi, ossia “ordinare” e “ottenere in altro modo”, in quanto la conservazione deve essere semplicemente il fine, mentre l’utilizzo dei mezzi più appropriati, siano essi ordinanze giudiziali o atti amministrativi, vengono lasciati alla discrezionalità degli Stati membri.

L’utilizzo delle due espressioni riportate precedentemente, mette in risalto però l’inesistenza, in alcuni ordinamenti, di ordini di tipo conservativo. Infatti, i dati molto spesso vengono acquisiti attraverso le tradizionali attività di sequestro e perquisizione.

Volendo quindi mantenere la flessibilità e venendo incontro alle esigenze di questi ordinamenti, si è inserita l’espressione “ottenere in altro modo”, incentrandosi solo sul fine di conservazione del dato.

Queste due modalità di conservazione si applicano a tutte le tipologie di dato conservate in sistemi informatici, come ad esempio i documenti inerenti alla salute o ad altri contenuti personali.

Questa misura deve essere attivata qualora “vi sia motivo di ritenere che i dati informatici siano particolarmente vulnerabili e soggetti a cancellazione o modificazione”30_.

Questa disposizione, sufficientemente astratta, abbraccia tutte le casistiche in cui un dato informatico viene immagazzinato per un brevissimo periodo al termine del quale si opera l’eliminazione, come ad esempio succede in alcune pratiche commerciali, oppure qualora le modalità di conservazione del custode non risultino conformi agli standard di protezione della qualità del dato.

All’interno del primo comma si trova menzione anche del traffico dei dati poiché la misura di conservazione rapida si applica anche a tale fenomeno informatico, in quanto i dati immagazzinati da un fornitore di servizi o service provider sono sottoposti a conservazione e distruzione entro un termine piuttosto breve.

29_{Convenzione del Consiglio d’Europa sulla criminalità informatica, Capitolo 2, Sezione 2, Articolo}

16

30_{Convenzione del Consiglio d’Europa sulla criminalità informatica, Capitolo 2,Sezione 2, Articolo}

Il riferimento al traffico dei dati è anche una modalità di collegamento con l’articolo successivo, ossia l’articolo 17, che tratta della divulgazione e conservazione rapida di questa particolari tipologie di dati informatici.

Il secondo comma dell’articolo 16 della Convenzione sulla criminalità informatica specifica che se uno Stato contraente sottopone a misura conservativa una delle tipologie di dati informatici occorre innanzitutto che tale strumento individui i dati che dovranno essere sottoposti a conservazione e il soggetto che ne è possessore.

È necessario quindi, per l’applicazione della conservazione rapida, che i dati d’interesse pubblico siano nel possesso diretto oppure sotto il controllo diretto di un soggetto individuato dalla misura stessa.

Successivamente, una volta individuati tali aspetti che costituiscono parte assolutamente