f) segue: “Law Enforcement requests” I “Mutual Legal Assistance Treaty”, l’Electronic Communications Privacy Act e la Policy di Google 241

È interessante notare, innanzitutto, ciò che Google asserisce in ordine alle richieste, per fini di indagini penali, che promanano da Stati “non solitamente avvezzi” ad inoltrare istanze di collaborazione alla società californiana (ai fini di intercettazione o altro). Quando cioè esse risultano di numero assai limitato (meno di 30 in un anno), Google afferma di non includere dette richieste in alcuna statistica ufficiale e ciò al solo scopo di impedire che la “…divulgazione delle statistiche possa

mettere a rischio importanti indagini e possa interferire con le iniziative a tutela della sicurezza pubblica messe in atto delle autorità competenti”.

Anche Google sottolinea che ogni richiesta viene sottoposta ad un accurato vaglio di legalità sia formale sia sostanziale e che non tutte, anche se promananti dalle autorità competenti, vengono accolte.

Per quanto concerne le National Security Letters242 (NSL), gli unici dati che Google è tenuta a fornire all’FBI, ai sensi dell'Electronic Communications Privacy Act (ECPA)243, sono: nome, indirizzo, anzianità di registrazione ad un servizio, certificazioni relative ai pagamenti, dati di abbonamento, raggio del “pedaggio” (a breve e/o lunga distanza) relativi ad un abbonato a servizi di comunicazione via cavo o elettronica. L'FBI peraltro non può ricorrere alle NSL per ottenere da Google informazioni di altro tipo, quali “contenuti” Gmail, query di ricerca, video di YouTube visualizzati o caricati

241

Le informazioni riportate in questo paragrafo sono, per buona parte, tratte dalla sezione “privacy” del sito istituzionale Google.com

242

Si tratta di una richiesta di informazioni che può essere presentata dall'FBI (Federal Bureau of Investigation) o da altre agenzie del ramo investigativo del governo degli Stati Uniti in caso di indagini per la sicurezza nazionale. Non è possibile ricorrere alle NSL per questioni penali, civili o amministrative ordinarie. L'FBI è tenuta a riferire al Congresso il tipo di ricorso alle NSL ogni sei mesi. Anche il Dipartimento di Giustizia degli Stati Uniti effettua controlli regolari sulla modalità di utilizzo delle NSL da parte dell'FBI. Il direttore dell'FBI od un funzionario “senior” designato è tenuto a fornire una certificazione scritta che dimostri che le informazioni richieste siano "pertinenti a un'indagine autorizzata per la tutela da azioni di terrorismo internazionale o di spionaggio illegale”. L'FBI non è tenuta a ottenere l'approvazione di un tribunale per poter emettere una NSL.

Come avviene del resto per le intercettazioni, anche rispetto alle NSL è prassi di Google informare gli utenti in caso di richieste legali, se opportuno e se non è vietato dalla legge o da un'ingiunzione di un tribunale. L'FBI peraltro ha il potere di vietare al destinatario di una NSL di divulgare il fatto di avere ricevuto tale NSL certificando che la divulgazione potrebbe comportare un rischio per la sicurezza nazionale degli Stati Uniti, interferire con un'indagine penale in materia di antiterrorismo o di controspionaggio, interferire con i rapporti diplomatici o più semplicemente mettere in pericolo la vita o la sicurezza fisica di una persona.

243

in rete dagli utenti, indirizzi IP dei medesimi, oggetto e destinazione delle mail (per tutte queste saranno necessarie le c.d. “perquisizioni” o “ingiunzioni” su cui infra) Le NSL non sono peraltro una prerogativa esclusiva degli Stati Uniti e Google si dichiara pronta a dare ottemperanza agli analoghi provvedimenti delle Autorità governative di altri Stati purché siano rispettosi delle norme e delle procedure legali vigenti nei medesimi Stati.

Per quanto concerne appunto le richieste provenienti da Autorità (governative e/o giudiziarie) di Paesi diversi dagli U.S.A., le stesse, secondo quanto indicato da Google, debbono seguire, per poter trovare accoglimento, il canale dei Mutual Legal

Assistance Treaty (MLAT). Un MLAT è sostanzialmente un trattato tra gli Stati Uniti e

un altro Paese che definisce le procedure (per lo più rogatorie od altre procedure semplificate) attraverso le quali tali Paesi si aiuteranno a vicenda nelle questioni legali, ad esempio nelle indagini penali. Attraverso un MLAT, un governo straniero potrà chiedere pertanto al governo degli Stati Uniti aiuto nella raccolta di prove presso entità statunitensi, incluse società come Google. Se il governo degli Stati Uniti approverà la richiesta, Google risponderà e presterà la sua collaborazione esattamente negli stessi termini qualora la richiesta provenisse direttamente dalle Autorità Statunitensi.

Ora, è appena il caso di ricordare come gli Stati Uniti già da diversi anni abbiano ratificato la Convenzione di Budapest sul cybercrime. Detta Convenzione - alla quale fra l’altro aderiscono quasi tutti i Paesi della U.E. - detta come noto norme specifiche, per lo più con finalità di semplificazione, in materia di mutua assistenza giudiziaria fra i Paesi aderenti.

Più precisamente, costituiscono oggetto dell’assistenza giudiziaria tutte le attività d’indagine che la Convenzione individua come “tipicamente” necessarie a combattere il crimine informatico: si allude perciò alla perquisizione, all’accesso a sistemi informatici situati all’estero, al loro sequestro, alla conservazione in tempo reale dei dati relativi al traffico ed infine, ovviamente, alle intercettazioni del contenuto di comunicazioni trasmesse attraverso l’uso di sistemi informatici (artt. 31, 33 e 34 della Convenzione di Budapest).

È opportuno peraltro segnalare due novità di assoluto rilievo introdotte dalla Convenzione nella predisposizione degli strumenti di assistenza.

La prima (art. 29) riguarda la possibilità che una Parte, ancor prima di inoltrare una commissione rogatoria, possa richiedere ed ottenere da un’altra Parte la misura provvisoria della conservazione rapida di dati informatici immagazzinati attraverso un sistema informatico situato all’estero. La conservazione dei citati dati dovrà essere curata dalle Autorità della parte richiesta per un tempo non inferiore a sessanta giorni, in attesa che la Parte richiedente formalizzi una richiesta di mutua assistenza per la perquisizione, l’accesso ad un sistema informatico, ovvero per il sequestro dei dati oggetto di ricerca. Si tratta di disposizione che riveste grande utilità nelle indagini informatiche su scala internazionale e che conferisce a quest’ultime quella snellezza e quella celerità, indispensabili per contrastare efficacemente l’estrema “volatilità”

delle tracce dei reati in danno di sistemi informatici, ovvero commessi con l’uso dei medesimi sistemi.

Altra disposizione di forte contenuto innovativo (art. 32) è quella che disciplina l’accesso transfontaliero a dati immagazzinati in sistemi informatici situati all’estero. Si tratta dell’ “adattamento” alle investigazioni in subiecta materia di uno strumento già introdotto dal Protocollo di adesione all’Accordo di Schengen (art. 41 della L. 388/1993, che prevede appunto l’inseguimento transfrontaliero – senza necessità di previa autorizzazione delle Autorità della Parte contraente nel cui territorio si debba continuare l’inseguimento - di una persona colta in flagranza di reato per taluni gravi delitti specificati al 4° comma del medesimo articolo).

La Convenzione di Budapest consente infatti l’accesso “virtuale” delle Autorità di una Parte (i.e. Stato), senza necessità di autorizzazione dell’altra Parte (i.e. Stato), ai dati informatici immagazzinati e disponibili al pubblico, senza aver riguardo al luogo geografico in cui si trovano tali dati; e consente anche l’accesso altrettanto “virtuale” - a mezzo di un sistema informatico collocato sul proprio territorio - a dati informatici (ovvero la loro ricezione) situati in un altro Stato, sempre che vi sia il consenso “legale e volontario” di chi ha l’autorità legale di divulgare i medesimi dati (vale a dire i providers).

Ciò comporta pertanto – sottolinea Google – la possibilità che la Società ottemperi,

sua sponte, a richieste di informazioni di emergenza provenienti da Autorità straniere

quando ciò possa prevenire lesioni fisiche gravi o letali per qualcuno.

Google si dichiara infatti disponibile a fornire, volontariamente, dati relativi ai propri utenti in risposta a un procedimento legale esperito da enti statali non statunitensi, a condizione che tali richieste siano conformi alle normative internazionali, al diritto statunitense, alle norme di Google e alle leggi del Paese richiedente.

Cionondimeno, le procedure legali vigenti negli Stati Uniti - in virtù delle quali le società che operano nel settore ICT (information and communication technology) sono tenute a divulgare in via riservata alle Autorità inquirenti i dati di cui sono in possesso relativi ai propri utenti – sono contemplate in una legge federale denominata Electronic Communications Privacy Act (ECPA). Dette procedure sono essenzialmente riconducibili a tre differenti tipologie di atti: le citazioni, le ingiunzioni e le perquisizioni.

Dei tre tipi di procedimenti legali previsti dall'ECPA, la citazione è quella più facile da ottenere per un ente statale. In molte giurisdizioni, compreso il sistema federale, non è assolutamente necessario che un giudice o un magistrato esamini una citazione prima che il governo la possa emettere. Tuttavia, l’ente statale può ricorrere ad una citazione esclusivamente per ottenere limitate informazioni. Ad esempio il nome associato ad un account, ovvero gli indirizzi IP da cui l'account stesso è stato creato, quando è stato eseguito l'accesso ed effettuata la disconnessione dell’utente (con date e orari) ed in pochi altri limitati casi. Le citazioni peraltro possono essere utilizzate sia per casi civili sia per questioni penali.

Per ottenere un'ingiunzione è invece necessario un previo controllo giurisdizionale. L’Autorità inquirente deve infatti dimostrare l'esistenza di motivi ragionevoli che

inducono a ritenere che la prova di un reato non potrà rinvenirsi se non nelle informazioni richieste.

Con tale ingiunzione del tribunale, un ente statale può ottenere le stesse informazioni che è possibile ottenere con una citazione, oltre a informazioni più dettagliate sull'utilizzo dell'account. Tali informazioni possono includere l'indirizzo IP associato a una determinata email inviata dall'account o utilizzata per cambiare la

password dell'account (con date e orari), nonché la parte relativa alle intestazioni

delle email (quali i campi "da", "a" , “oggetto” e "data" (ma non i contenuti di quella e-mail). Un'ingiunzione del tribunale inoltre è disponibile soltanto per indagini penali.

Ottenere un mandato di perquisizione ECPA è ancora più difficile. Per ottenerne uno, infatti, l’Autorità statale deve presentare la richiesta a un giudice o magistrato e soddisfare un onere della prova relativamente alto: dimostrare cioè la necessità di ricercare, con tempestività, determinate informazioni relative a un reato in un luogo specifico. Il mandato deve pertanto indicare il luogo da perquisire e gli elementi cercati. Può essere utilizzato per imporre la divulgazione delle stesse informazioni di una citazione o un'ingiunzione del tribunale ECPA, ma anche di informazioni sulle

query di ricerca di un utente e di contenuti privati memorizzati in un account Google,

come messaggi Gmail, documenti, foto e video di YouTube. Il mandato di perquisizione ECPA è disponibile soltanto per indagini penali244.

244

Ecco alcuni esempi dei tipi di dati che Google può essere costretta a divulgare, a seconda del procedimento legale ECPA esperito, dell'entità della richiesta e di ciò che è richiesto e disponibile:

Gmail

Citazione:

- Informazioni di registrazione dell'iscritto (ad es. nome, informazioni sulla creazione dell'account, indirizzi email associati, numero di telefono)

- Indirizzi IP di accesso e time-stamp associati

Ingiunzione del tribunale:

- Informazioni non relative ai contenuti (come informazioni sulle intestazioni delle email)

- Informazioni ottenibili con una citazione

Mandato di perquisizione:

- Contenuti e-mail

- Informazioni ottenibili con una citazione o un'ingiunzione del tribunale

YouTube

Citazione:

- Informazioni di registrazione dell'iscritto