e) Intercettabilità delle comunicazioni Voip e prestazioni obbligatorie 182 Il tema della intercettabilità delle comunicazioni voip deve essere

affrontato sulla base di una preliminare, essenziale, distinzione dei profili tecnologici. Da un lato, infatti, si pongono i sistemi VoIP che si basano su protocolli proprietari e che - come nel caso di Skype (almeno fino a quando non venne acquisita da Microsoft nel maggio del 2011 cfr. nota al titolo supra) - si avvalgono di protezioni crittografiche robuste in virtù delle quali, stante la indisponibilità delle chiavi, non risulta possibile la decifratura del contenuto della telefonata (ancorché intercettabile ed intercettata a livello di traffico telematico) o, meglio, la rendono teoricamente ipotizzabile, ma con una tempistica assolutamente indefinita ed a fronte di costi (per l'utilizzo di centri di calcolo performanti) incompatibili rispetto a quelli della giustizia.

Dall'altro, vi sono invece i sistemi che si basano sui protocolli standard SIP o H.323, per i quali, quando si omettono le protezioni crittografiche (scelta compiuta di frequente per evitare un degrado delle prestazioni) non si pongono problemi di fruizione del contenuto intercettato, ed è pertanto pienamente applicabile, a livello

182

Nel considerare le peculiari caratteristiche tecniche del principale client di telefonia voip (Skype) - nel presente paragrafo come nel prosieguo - spesso si ometterà deliberatamente di far riferimento alla nuova architettura di cui Skype è stata dotata quale conseguenza della sua acquisizione, nell’estate del 2011 (per 8,5 miliardi di dollari!), da parte di Microsoft Corp.

A voler dar credito ad alcuni rumors, il colosso informatico di Redmond avrebbe infatti mutato intenzionalmente la specifica struttura di funzionamento di Skype spostando, previa loro drastica riduzione, i supernodi (prima costituiti da tutti gli utenti) su server proprietari al fine di rendere tutto il traffico sottoponibile ad un unico sistema centralizzato e, quindi, potenzialmente monitorabile. Ponendo fine, di fatto, alla peculiare e tradizionale architettura peer to peer di Skype ed utilizzando sistemi di decrittazione proprietari, Microsoft ha quindi definitivamente risolto la querelle che aveva visto duramente contrapposti i manager della piccola azienda di diritto estone (skype nasce infatti dall’intuizione di un ricercatore del piccolo stato baltico) - che riconducevano alla particolare architettura di funzionamento l’impossibilità di ottemperare alle prestazioni di giustizia ai fini di intercettazione – e le autorità giudiziarie e di polizia della maggior parte dei paesi europei nonché le stesse Istituzioni della U.E. che, nel 2009, avevano addirittura sollecitato l’apertura di un fascicolo in seno ad Eurojust.

Quali che siano le ragioni recondite di questa, per molti aspetti rivoluzionaria, rivisitazione strutturale dell’architettura di Skype (compiacenza/sudditanza nei confronti dei governi degli stati – USA in primo luogo – ovvero funzionalità più performanti e maggior qualità dei servizi offerti), l’iniziativa di Microsoft non elimina alla radice la possibilità che un nuovo e diverso operatore possa riproporre un servizio voip che ricalchi, più o meno negli stessi termini, il meccanismo di funzionamento tradizionale (peer to peer) di Skype.

Stante quanto sopra, si spiegano agevolmente le ragioni e le motivazioni che spingono nella direzione di voler continuare a considerare ancora pienamnte sussistenti ed attuali le peculiarità e le tematiche sussumibili alla trattazione delle problematiche di skype (per così dire) prima edizione!

procedurale, la normativa in materia di intercettazione dei flussi telematici (ex art. 266 bis c.p.p.).

In relazione alla prima tipologia di sistemi, ed in particolare al sistema Skype, è attualmente aperto un dibattito a livello internazionale, cui sono evidentemente interessati tanto gli organismi investigativi quanto le autorità giudiziarie ed amministrative competenti in materia di comunicazioni e focalizzato sia sulle tecniche e sulle procedure ipotizzabili - allo stato dell'arte - per la decifratura delle comunicazioni, sia sull'assoggettabilità del fornitore della soluzione VoIP agli obblighi che gravano sui gestori dei servizi di comunicazione pubblica, in termini di identificabilità degli utenti, conservazione traffico e fruizione dei contenuti della comunicazione183 .

Quanto alla fruizione dei contenuti delle comunicazioni (alias concreta possibilità di effettuare intercettazioni), rispetto a Skype - almeno fino a quando Microsoft non decise di rilevare l’operatore di telefonia voip e di cambiarne radicalemente architettura strutturale (cfr. nota al titolo, supra) - era ipotizzabile esclusivamente la possibilità di procedere alla captazione del dato fonico a monte o a valle della protezione crittografica, e quindi esclusivamente nella eventualità che si fosse acquisita la disponibilità o il controllo, anche solo da remoto, del personal computer utilizzato dall'utente bersaglio monitorato.

Ciò in particolare, attraverso l’uso di software del tipo trojan horse184 che consentono di acquisire le comunicazioni suddette e di traslarle verso le sale di ascolto delle autorità competenti.

Tale soluzione tuttavia, in quanto approccio tecnologico non convenzionale rispetto ai tradizionali sistemi ed apparati di intercettazione, pone alcuni problemi di natura giuridica nell'ambito del nostro ordinamento processuale penale, nonostante le norme che disciplinano la materia delle intercettazioni telefoniche, ambientali e telematiche (artt. 266 e segg. c.p.p.) non entrino nel merito della individuazione delle modalità, delle procedure e delle soluzioni attraverso le quali è possibile procedere alle intercettazioni e, apparentemente, lasciano quindi aperta la possibilità di avvalersi di ogni risorsa resa disponibile dall'evoluzione della tecnologia, purché autorizzata dall'autorità giudiziaria.

Gli applicativi del tipo trojan horse si comportano, in vero, come una sorta di microspia informatica, ma in realtà si tratta di software che devono essere installati, in locale o da remoto, sul personal computer monitorato per consentirne l'acquisizione dei contenuti dall'esterno, oltre a rendere possibile il monitoraggio delle attività dell’utente.

183

Tali obblighi sono oggi disciplinati, in Italia, dall'art. 96 del d.lgs. 1° agosto 2003, n. 259 (Codice delle comunicazioni elettroniche) e dall’ art. 132 del D.lgs. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali), così come da ultimo modificati rispettivamente dal D.lgs. n°70 del 28 maggio 2012 e dal d.lgs. 30 maggio 2008, n. 109 di recepimento della Direttiva comunitaria 2006/24/CE.

184

L’invasività di tali soluzioni, connessa alla loro stessa natura, potrebbe quindi incidere negativamente sui requisiti di integrità e genuinità della prova acquisita sul computer monitorato.

Dal punto di vista della legittimazione normativa all'utilizzo di tali soluzioni, appare opportuno richiamare l’esperienza tedesca. Le autorità statuali del Land Nord Reno Westfalia nel 2010 avevano, per legge, autorizzato il largo utilizzo, in sede di inchieste penali, del monitoraggio informatico dei personal computer attraverso il largo ricorso ai trojan horse, introducendo per questa via il già esaminato concetto di "perquisizione on-line" (cfr. supra para. 2.3.e).

Avverso tale provvedimento sono stati avanzati ricorsi alla Corte Costituzionale tedesca che, successivamente, si e pronunciata favorevolmente nei confronti della possibilità di ricorrete a tali approcci intrusivi, ma limitatamente ai casi di terrorismo ed alle situazioni in cui vi è pericolo per la vita umana e la sicurezza nazionale, previa autorizzazione della competente autorità giudiziaria.

E’ quindi ipotizzabile che il parlamento tedesco prenda in considerazione la possibilità di introdurre una norma che estenda a livello nazionale tale opzione investigativa.

Nell'esperienza italiana, ad analoghe soluzioni tecnologiche si è fatto ampio ricorso nell'ambito di attività investigative sia di tipo preventivo185 sia con finalità giudiziarie. Nel primo caso, evidentemente, non si è posto il problema dell'utilizzabilità degli elementi indiziari o probatori acquisiti con le modalità in questione.

Nella casistica dell'utilizzo dei trojan horse in ambito giudiziario, la legittimazione procedurale è stata acquisita mediante l'applicazione dell'art. 266 bis c.p.p., sotto forma di estensione delle modalità tecniche di captazione delle comunicazioni telematiche, già autorizzate dalla competente autorità.

Con riferimento alla questione della possibilità di assoggettare il fornitore della soluzione voip agli obblighi di legge sopra menzionati, si evidenzia infine che talvolta, come nel caso di Skype, il suddetto fornitore non corrisponde al gestore della rete. Nel caso di Skype, infatti, l'infrastruttura di comunicazione, pur basata su reti fisiche, si avvale di un sistema di cooperazione tra gli utenti (c.d. clients), ognuno dei quali può contribuire all'esercizio del sistema, in qualità di supernodo, in proporzione alle proprie disponibilità di calcolo e di banda. La comunicazione tra A e B non procede cioè punto-punto, ma viene disarticolata in una infinità di pacchetti che, previa loro cifratura, viaggiano sulla rete in modo assolutamente randomico attraversando differenti (e numerosissimi) nodi di smistamento costituiti dai singoli utenti che sono in quel momento connessi al client skype e che, inconsapevolmente, mettono a disposizione degli altri utenti una porzione sufficientemente limitata della propria banda e delle proprie risorse di rete.

Il sistema in questione, inoltre, prevede sia un'architettura peer to peer, nella quale gli utenti comunicano tra loro esclusivamente su rete IP, tra personal computer, sia

185

Ai sensi dell’ art. 226 delle norme di attuazione, di coordinamento e transirorie del c.p.p., di cui al d.lgs. 28 luglio 1989, n. 271. Cfr. anche para. 1.3.f), supra.

una soluzione ibrida, che consente comunicazioni tra utenti della rete telefonica tradizionale (fissa e mobile) e utenti su rete IP.

E’ quindi evidente in tale scenario la difficoltà di identificazione dei soggetti ai quali è possibile attribuire la qualità di operatori di servizi di comunicazione, indispensabile per l'applicazione della normativa in materia di prestazioni obbligatorie e data

retention.

A tal uopo, circa la specifica possibilità di considerare skype quale soggetto destinatario degli “obblighi di prestare” contemplati dal codice delle comunicazioni, a prescindere da qualsivoglia disquisizione di ordine giuridico in ordine alla possibilità o meno di includere il fornitore del più famoso servizio voip tra gli “operatori di servizi

di comunicazione accessibili al pubblico”, basti quanto riportato in una mail ricevuta

dallo scrivente nel corso del dicembre del 2012 a firma della dottoressa Donatella Proto, dirigente del Ministero dello Sviluppo economico e responsabile della Direzione Generale per i servizi di comunicazione elettronica e radio diffusione che, a tal proposito, così si esprimeva: “Skype non soggiace ad alcun obbligo ex art. 96 in

quanto non è titolare di alcuna autorizzazione per reti e/o servizi di comunicazione elettronica in Italia”186.

Nella prospettiva, infine, dell'adozione, da parte della pubblica amministrazione, dei sistemi di comunicazione Voip, qualora tale tecnologia venga implementata quale nuova opzione tra i servizi resi dalle preesistenti infrastrutture di rete, si ripropone il problema suindicato, in quanto all’ente gestore della rete non può evidentemente essere attribuita la qualità di operatore, ai sensi della vigente normativa.

3.1.f) La prima volta che si pone in Italia il problema della intercettazione del