costituzionalmente protetti: quello alla riservatezza informatica da un lato e quello alla repressione dei reati dall’altro 207
8. L A FALLACE DISCIPLINA DELLA CONSERVAZIONE DEL CAPTATO L A CATENA DI CUSTODIA E LA DISTRUZIONE DEL VIRUS
In relazione ai profili che regolano le attività subentranti alla captazione strictu sensu intesa, l’art. 89 disp. att. c.p.p. viene arricchito di una serie di commi deputati a regolamentare il contenuto del verbale delle operazioni di p.g., i programmi da utilizzare nonché le cautele da rispettare al fine di garantire l’integrità della catena di custodia162.
La normativa avanguardistica delineata sin dalle prime riforme, appare nel suo complesso apprezzabile, denotando l’interesse del legislatore a confrontarsi con degli aspetti più propriamente “tecnici”, concernenti il “tracciamento” delle operazioni compiute, ossia il complesso di attività da svolgere al fine di garantire l’«originalità»163 e l’«integrità» delle
registrazioni164, conformemente ai dicta provenienti dalla l. 18 marzo 2008, n. 48165.
161 Sul tema, esaustivamente, AA. VV., Le indagini atipiche, II ed., cit., passim.
162 Ex art. 5, d.lgs. n. 216/2017. La catena di custodia può essere definita come «quell’insieme di passaggi, formalizzati con un sistema di tracciamento, attraverso cui [il dato] transita (correttamente) […] al giudizio». Così, R. GENNARI-L. SARAVO, Le tracce, in AA. VV., Manuale delle investigazioni sulla scena del crimine. Norme, tecniche e scienza, a cura di D. Curtotti-L. Saravo, Giappichelli, 2019, p. 446 s. Per una panoramica della regolamentazione “tecnica” delle intercettazioni tramite captatore informativo, Così S. ATERNO, Il punto di vista degli operatori. Il difensore; cit., p. 333 s.; T. BENE, “Il re è nudo”: anomie disapplicative a proposito del captatore informatico, in Arch. pen., 2019, f. 3, p. 9 ss.
163 La perfetta corrispondenza all’originale è consentita soltanto dalla bitstream image; a tal fine si richiede che il supporto sia vergine. Per approfondimenti, S.ATERNO, Acquisizione e analisi della prova informatica, in Dir. pen. proc., 2008, f. 6, Dossier su La prova scientifica nel processo penale, a cura di P. Tonini.
164 L’integrità dei dati acquisiti è garantita tramite l’algoritmo di hash, che consente di creare, attraverso una funzione matematica, una sequenza di bit di lunghezza variabile. In giurisprudenza, da ultimo, Cass., sez. III, 28 maggio 2015, in C.E.D. Cass., n. 265180. Sul tema de qua, esaustivamente, S. SIGNORATO, Le indagini digitali. Profili strutturali di una metamorfosi investigativa, cit., p. 122 ss. Come di recente precisato dalla Suprema corte, una simile procedura non deve essere impiegata ogni volta in cui ci si trova difronte a documenti informatici. Così, «[L]l’utilizzabilità delle videoriprese eseguite da privati con telecamere di sicurezza non è subordinata alla procedura di estrazione dei dati archiviati in un supporto informatico prevista dall’art. 254 bis c.p.p., la cui inosservanza non è assistita da alcuna sanzione processuale, potendone derivare, invece, eventualmente, effetti sull’attendibilità della prova». Cass., sez. VI, 6 maggio 2020, n. 13779, in Proc. pen. giust., 6 maggio 2020.
165L. 18 marzo 2008, n. 48, recante “Ratifica ed esecuzione della Convenzione del Consiglio d'Europa
sulla criminalità informatica, fatta a Budapest il 23 novembre 2001, e norme di adeguamento dell'ordinamento interno", in Gazz. uff. 4 aprile 2008, n. 80. Per un quadro di insieme della l. 48 del 2008, L. CORDÍ, sub art. 8 l. 18.3.2008, n. 43, in Legislaz. pen., 2008, p. 282 ss.; R. FLOR, Lotta alla criminalità informatica e tutela di tradizionali e nuovi diritti fondamentali nell'era di Internet, in Dir. pen. cont., 20 settembre 2012; G. RESTA, La disciplina acquista maggiore organicità per rispondere alle esigenze applicative, in Guida dir., 2008, f. 16, p. 52 ss.; ID., Cybercrime e cooperazione internazionale nell’ultima legge della legislatura, in Giur. merito, 2008, p. 2147 ss.; P. SCOGNAMIGLIO, Criminalità informatica. Commento organico alla Legge 18 marzo 2008, n. 48, Edizioni Giuridiche Simone, 2008. Sui profili processuali, S. ATERNO, Modifiche al titolo III del libro
Più nel dettaglio, la scelta di “rinvigorire” il contenuto del verbale redatto dalla p.g. al fine di documentare l’attività svolta, risulta assolutamente condivisibile: lo stesso non solo deve recare una dettagliata esposizione del personale coinvolto, dell’ora di inizio e fine delle operazioni, dei luoghi e dei tempi oggetto di captazione ma anche attestare tutto quanto avviene dopo la disinstallazione del virus dal dispositivo in cui era stato inoculato166
, i
n modo da tracciare l’intero iter seguito dalla stessa nel trasferimento delle registrazioni. Ciò nell’ottica di consentire sia all’autorità giudiziaria che alle altre parti processuali di verificare la correttezza dei singoli passaggi eseguiti. Altrettanto pregevole appare la volontà delineare un modello di captatore “legale” attraverso la predisposizione di una griglia di requisiti che il programma spia deve soddisfare per essere considerato tale: ai fini dell’istallazione e dell’intercettazione a mezzo Trojan, infatti, devono essere impiegati soltanto programmi conformi ai requisiti tecnici stabiliti con decreto del Ministero della giustizia167. Ancora, è assolutamente condivisibile è la scelta ditrasferire il captato esclusivamente verso gli impianti della procura della Repubblica, al fine di impedire la c.d. remotizzazione della registrazione, assai diffusa nella prassi, e che, peraltro, secondo un discutibile indirizzo giurisprudenziale consolidato, non inciderebbe sulla genuinità del dato registrato168.
A prescindere dallo sforzo disciplinare effettuato nel 2017 e ritoccato nel corso degli anni, non possono sottacersi alcune sviste del frettoloso legislatore.
In primis, si avanzano delle perplessità in relazione al dictum che prevede la conformità del captatore informatico in uso alla p.g. ai requisiti tecnici previsti dal decreto ministeriale.
In effetti, un decreto ministeriale è già stato emanato169 e ha trovato un’«attuazione
deludente»170: disattendendo le aspettative dei tecnici che reclamavano la predisposizione di
regole più rigorose in relazione al funzionamento del captatore informatico anche in rapporto al costante progresso tecnologico171, l’art. 4 del d.m. 20 aprile 2018 si limita ad indicare i requisiti
terzo del codice di procedura penale, in AA.VV., Cybercrime, responsabilità degli enti, prova digitale. Commento alla Legge 18 marzo 2008, n. 48, a cura di G. Corasanti-G. Corrias Lucente, Cedam, 2009, p. 193 ss.; M.L. DI BITONTO, L’accertamento investigativo delle indagini sui reati informatici, in Dir. internet, 2008, p. 503 ss.; L. LUPARIA, La ratifica della Convenzione Cybercrime del Consiglio d’Europa. I profili processuali, in Dir. pen. proc., 2008, f. 7, p. 717 ss.; N. VENTURA, Ratifica della Convenzione di Budapest e iniziativa investigativa della polizia giudiziaria, in Giust. pen., 2008, f. 1, p. 225 ss.; F.M. MOLINARI, Le attività investigative inerenti alla prova di natura digitale, in Cass. pen., 2013, f. 12, p. 1259 ss. Più di recente, S. ATERNO, La convenzione di Budapest del 2001 e la L. n. 48/2008, in AA. VV., Cybercrime. Trattato di diritto penale, a cura di A. Cadoppi-S. Canestrari-A. Manna-M. Papa, Utet, 2019, p. 1351 ss.; M. DANIELE, Intercettazioni ed indagini informatiche, in AA. VV., Manuale di procedura penale europea, a cura di R. E. Kostoris, 2017, p. 433 ss.
166 Imponendo l’immediata distruzione del virus. Cfr. P. RIVELLO, Le intercettazioni mediante
captatore informatico, cit., p. 131 ss.
167 Alla “possibilità” inizialmente prevista dal d.l. n. 216/2017, si contrappone il “dovere” imposto dalla novella del 2020.Cfr. l. n. 7/2020, che modifica l’art. 2, comma 2, lett. a), d.l. n. 161/2019. 168 Sulla legittimità della prassi della cd. remotizzazione, si veda Cass., sez. un., 26 giugno 2008, n. 36359, in C.E.D. Cass., n. 240395. L’orientamento è pressochè costante. Cfr. sez. VI, 17 novembre 2015, n. 47504, in Cass. pen., 2016, f. 6, p. 2572; sez. I, 21 ottobre 2015, n. 49918, inedita; sez. IV, 27 novembre 2014, n. 5401, in C.E.D. Cass., n. 262126; sez. VI, 4 novembre 2014, n. 53418, ivi, n. 261838; sez. III, 7 gennaio 2014, n. 1116, ivi, n. 259744.
169 D.m. 20 aprile 2018, recante “Disposizioni di attuazione per le intercettazioni mediante
inserimento di captatore informatico e per l’accesso all’archivio informatico a norma dell’art. 7, commi 1 e 3, del decreto legislativo 29 dicembre 2017, n. 216”, Bollettino ufficiale del Ministero della Giustizia, 31 maggio 2018, n. 10.
170 Così T. BENE, “Il re è nudo”: anomie disapplicative a proposito del captatore informatico, cit., p. 6. 171 Lo stesso, infatti, avrebbe dovuto tenere costantemente conto dell’evoluzione tecnica al fine
che allo stato i programmi devono contenere per essere considerati legali. In questo modo, si profila rischio – assai concreto – di «precoce obsolescenza [del decreto stesso], con la conseguenza che si mostra necessario un tempestivo e continuo aggiornamento delle regole, onde evitare uno svuotamento di tutela»172.
Non solo. Si tratta di un regolamento tecnico «non sufficientemente puntuale»173 nello
specificare il monitoraggio e il tracciamento continuo (c.d. logging) di tutta l’attività che svolge il client attaccante sul computer: se il pericolo da scongiurare è quello di evitare che il trasferimento dei dati possa determinarne una diffusione, è altrettanto palese che il legislatore sia stato superficiale nel non introdurre regole precise atte di evitare “fughe di notizie”. Se l’hashing ormai viene effettuato di default dai software di ultima generazione su tutti i files esfiltrati, in relazione agli usi più avanguardistici del virus, sarebbero indispensabili regole più rigide e stringenti quali l’apposizione di firme digitali e di marcature temporali sia ai log di registro sia ai files prodotti dal sistema, nonché a quelli relativi all’acquisizione174.
Il tutto aggravato dal fatto che molto spesso, nella prassi, le attività di intercettazione mediante virus informatico sono appaltate a società esterne private autorizzate dall’autorità giudiziaria a svolgere le intercettazioni175. Come dimostrano le più recenti vicende giudiziarie176, il rischio
secondo standard idonei di affidabilità tecnica, di sicurezza e di efficacia. L’idea sottesa sembra diretta a scongiurare il rischio di utilizzare software più evoluti, capaci di compiere attività più penetranti, come, per esempio, la perquisizione a distanza del dispositivo bersaglio.
172 Così M.TORRE, Il captatore informatico. Nuove tecnologie investigative e rispetto delle regole
processuali, cit., p. 147.
173 Cfr. S. Aterno, Appunti riassuntivi dell’audizione presso la Commissione giustizia del Senato della
Repubblica in relazione alla conversione in legge del d.l. 30 dicembre 2019, n. 161 e, in particolare, per la materia delle intercettazioni per la materia delle intercettazioni attraverso sistemi di captazione informatica, cit., p. 3.
174 S. ATERNO, Il punto di vista degli operatori. Il difensore, p. 322, per cui «[G]garantire la verificabilità ex post dei files acquisiti dal captatore nel momento in cui vengono acquisiti dall’intero sistema […] e la conseguente sicurezza che non è stato possibile per nessuno manipolarli, rappresenta la garanzia minima che si possa pretendere da una legge tanto invasiva per i diritti e le libertà individuali».
175 In conformità al disposto di cui all’art. 268, comma 3 bis c.p.p., in forza del quale «per le operazioni di avvio e di cessazione delle registrazioni, mediante inserimento di captatore informatico su dispositivo elettronico portatile, riguardanti comunicazioni e conversazioni tra presenti, l’ufficiale di polizia giudiziaria può avvalersi di persone idonee di cui all’articolo 348, comma 4» c.p.p. D’altra parte, si ritiene si ritiene sul punto che sia irrilevante, ai fini del rispetto del disposto di cui all’art. 268 c.p.p., che le operazioni si svolgano in procura con strumentazione appartenente a privati. Si veda Cass. 19 dicembre 2014, n. 3137, in C.E.D. Cass., n. 262485. Non solo. La giurisprudenza si spinge fino a prevedere che l’impiego di ausiliari tecnici, come gestori dei sistemi informatici utilizzati, «è assolutamente necessario per realizzare l’attività investigativa». Così Cass., sez. III, 10 novembre 2015, n. 50452, in Cass. pen., 2016, f. 7-8, p. 2941; sez. III, 5 marzo 2009, n. 16683, inedita. Di recente, sez. VI, 27 novembre 2018, n. 14395, in C.E.D. Cass., n. 275534. Per un commento v. L. GIORDANO, Blackberry Messenger: l'indisponibilità dell'algoritmo per decriptare i dati informatici non lede il diritto di difesa, in Il Penalista, 28 aprile 2019. La questio de qua è approfondita da T. BENE, “Il re è nudo”: anomie disapplicative a proposito del captatore informatico, cit., p. 9 ss.; D.PRETTI, La metamorfosi delle intercettazioni: la contro-riforma Bonafede e l’inarrestabile mito della segretezza delle comunicazioni, cit., p. 102 ss.; A. SANNA, L’irriducibile atipicità delle intercettazioni tramite virus informatico, cit., p. 607; S. SIGNORATO, Le indagini digitali. Profili strutturali di una metamorfosi investigativa, cit., p. 181.
176 Ci si riferisce al caso Exodus. Essa coinvolge una società sviluppatrice di piattaforme informatiche e di software per lo svolgimento di intercettazioni telematiche mediante captatore informatico. Tra le piattaforme anche Exodus, utilizzata, per le intercettazioni tramite Trojan, da aziende, divenute ausiliari della polizia giudiziaria. L’indagine dovrà accertare le caratteristiche di funzionamento della
derivante dalla partecipazione di soggetti estranei alla polizia giudiziaria nell’attività di indagine, è legato all’impossibilità di garantire la segretezza dell’attività investigativa, impedendo ogni forma di abuso delle società appaltatrici177, dal momento che in questo settore manca una
disciplina inerente alle modalità di acquisizione delle tecnologie rivolte e destinate alla captazione di comunicazioni178 e, più in generale, risultano totalmente assenti linee guida ministeriali, dirette
a regolamentare i rapporti con le società di intercettazione.
Per tali ragioni, sarebbe urgente una modifica del decreto ministeriale che, nell’ottica di un coordinamento con la disciplina modificata, determini con la massima chiarezza i requisiti tecnici e le coordinate spazio-temporali dell'intercettazione tramite captatore.
Infine, con riferimento alla procedura di distruzione del captatore informatico, la disinstallazione degli stessi dalla macchina bersaglio porrebbe non pochi problemi di ordine pratico: dovendo questa avvenire necessariamente da remoto, potrebbero perdersi le tracce e il controllo stesso del virus, banalmente perché il dispositivo elettronico non si connette più alla rete, permettendo, dunque, un monitoraggio “perenne” dello stesso, che travalica le finalità per cui viene autorizzato.
Si creerebbero, così, problemi anche in tema di data retention: la conservazione dei dati personali, come di recente precisato dalla Corte di giustizia, può avvenire «solo nel rispetto del principio di proporzionalità, nel bilanciamento tra diritto alla protezione dei dati personali ed
piattaforma informatica e le modalità con cui i dispositivi degli utenti venivano infettati, dopo aver scaricato una particolare app. Il sospetto è che sia stato effettuato un numero infinito di intercettazioni non autorizzate dall’autorità giudiziaria, tramite un virus utilizzato dalle società, i cui dati sarebbero stati conservati in spazi cloud della piattaforma Amazon, con sede negli Stati Uniti. La gravità dell’operazione sembra non arrestarsi, almeno fino a quando non verranno individuati i limiti del contratto di sperimentazione che i servizi segreti italiani avevano stipulato nel 2016 con la stessa società che gestiva Exodus. Cfr. Cass., sez. VI, 26 aprile 2019, n. 31579, in www.forensicsgroup.eu. Per commenti, S. ATERNO-F. PIETROSANTI, Intercettazioni via trojan, come evitare un nuovo caso Exodus: i problemi da risolvere, 9 Aprile 2019, in www.agendadigitale.eu; F. BRIZZI, Il captatore informatico: un Exodus verso “buone pratiche”?, in Il Penalista, 4 settembre 2019.
177 Come precisato da A. SANNA, L’irriducibile atipicità delle intercettazioni tramite virus informatico, cit., p. 607, «il nodo di fondo è rappresentato dal momento esecutivo delle operazioni, sottratto, per un insieme di fattori, al controllo dell’autorità inquirente». Ciò non solo per la dislocazione fisica delle società private dalla centrale di controllo ma anche e soprattutto per ragioni di natura tecnica. I programmi impiegati per le finalità investigative, sviluppati da aziende specializzate, sono “proprietar”, occultano, cioè, i loro codici sorgente, per cui risulta impossibile controllare le modalità di funzionamento e il grado di affidabilità e sicurezza dei risultati. Secondo F. BRIZZI, Il captatore informatico: un Exodus verso “buone pratiche”?, cit., «[I]il ricorso a tali due tipologie di sistemi (app o comunque software che non siano inoculati direttamente sul dispositivo-ospite, ma scaricati da piattaforme liberamente accessibili a tutti e, per altro verso, archiviazione mediante sistemi cloud in server posti fuori dal territorio nazionale) dovrebbe, dunque, essere oggetto di un apposito divieto». Secondo altra parte della dottrina, sarebbe sufficiente dotare il software di un adeguato sistema di logging di tutte le azioni svolte dal dispositivo, sì da registrare ogni operazione di accesso ai dati, al sistema, alle periferiche (R. BRIGHI, Funzionamento e potenzialità investigative del malware, in AA. VV., Nuove norme in tema di intercettazione. Tutela della riservatezza, garanzie difensive e nuove tecnologie informatiche, cit., p. 231), oppure a meccanismi di report delle attività compiute (M. TORRE, il captatore informatico, tra riforma Orlando e sistema processuale, in Giur. it., 2018, f. 6, p. 1779), forniti periodicamente, pubblicamente e gratuitamente da coloro che producono captatori informatici (S. ATERNO, Il punto di vista degli operatori. Il difensore, p. 322).
178 Così come non sono previste particolari forme per il conferimento dell’incarico di ausiliario né è richiesto l’impiego di una forma scritta. Nonostante ciò, la giurisprudenza ha optato per la legittimità dei risultati appresi. Cass., sez. III, 18 febbraio 2010, n. 17177, in C.E.D. Cass., n. 246978; sez. III, 5 marzo 2009, n. 16683, ivi, n. 243462.
esigenze di pubblica sicurezza»179 e non certo senza limiti spazio-temporali, «generando
nell’interessato un sentimento di soggezione ad una costante sorveglianza»180.
In conclusione, può ritenersi che la costruzione dei confini operativi del captatore informatico sia determinata da propositi condivisibili ma i risultati sono destinati ad essere inefficaci. Un buon governo di questo comparto avrebbe dovuto tener conto del cambiamento sostanziale del sistema intercettativo: se si ritenesse che oggi alcuni interessi rilevanti corrono un rischio insopportabile, sarebbe doveroso un intervento coordinato di riassetto normativo per una efficace tutela e, invece, sorprendentemente, il quadro normativo esistente non prevede regole confortate da sanzioni181.
179 Così Corte di giustizia UE, 8 aprile 2014, Digital Rights Ireland Ltd contro Minister for
Communications, Marine and Natural Resources e a. e Kärntner Landesregierung e a., in www.eur- lex.europa.eu. Con tale pronuncia la Corte ha dichiarato invalida la Direttiva 2006/24/EC sulla conservazione dei dati, a seguito di rinvio pregiudiziale presentato sia dalla High Court irlandese che dalla Verfassungsgerichtshof (Corte costituzionale) austriaca in merito proprio alla validità di tale direttiva, con particolare riferimento ai diritti fondamentali del rispetto della vita privata e della protezione dei dati personali, sanciti entrambi dalla Carta dei diritti fondamentali dell’Unione Europea. Tale Corte ha osservato anzitutto che i dati da conservare consentono, in particolare, di conoscere l’identità della persona con la quale un utente registrato ha comunicato e con quali mezzi; identificare il momento e il luogo della comunicazione; conoscere la frequenza delle comunicazioni dell’utente con determinate persone in uno specifico periodo. Tali dati, nel complesso, possono fornire informazioni molto precise sulla vita privata delle persone i cui dati sono conservati, come ad esempio le abitudini della vita quotidiana, i luoghi di residenza, i movimenti, le attività svolte, le relazioni sociali e gli ambienti frequentati. In merito a ciò, ha ritenuto che, imponendo la conservazione di tali dati e permettendo alle autorità nazionali competenti di accedere a tali dati, la direttiva interferisce in modo eccessivo con i diritti fondamentali del rispetto della vita privata e della protezione dei dati personali. Inoltre, il fatto che i dati siano conservati e utilizzati senza che l’utente ne sia previamente informato, può ingenerare negli interessati un sentimento di soggezione a una costante sorveglianza. Sul tema, si rinvia a Cap. IV.
180 Cass., sez. un., 28 aprile 2016, n. 26889, cit.
181 Cfr. T. BENE, “Il re è nudo”: anomie disapplicative a proposito del captatore informatico, cit., p. 8. L’Autrice evidenzia anche che «[L]l’indirizzo giurisprudenziale consolidato, infatti, riteneva che l’inosservanza delle disposizioni previste dall'art. 89 disp. att. c.p.p., in tema di verbali e nastri registrati delle intercettazioni, non determinasse l’inutilizzabilità degli esiti dell'attività captativa legittimamente disposta ed eseguita». Cfr. Cass., sez. I, 2 dicembre 2009, n. 8836, in C.E.D. Cass., n. 246377; sez. IV, 17 settembre 2004, n. 49306, ivi, n. 229922; sez. IV, 14 gennaio 2004, n. 17574, ivi, n. 228173; sez. VI, 26 ottobre 1993, n. 11421, ivi, n. 198560. Più di recente, sez. V, 19 gennaio 2018, n. 15472, cit.; sez. III, 17 febbraio 2015, n. 20418, in Cass. pen., 2016, f. 1, p. 313. Come sottolineato, tale orientamento appare ancora attuale, non essendo stato aggiornato l’art. 271, comma 1, c.p.p. Sul tema, N. GALANTINI, Profili di inutilizzabilità delle intercettazioni anche alla luce della nuova disciplina, cit., p. 227 ss.
156