L’acquisizione della prova digitale in UE

Difetta ancora un quadro giuridico che disciplini in modo omogeneo la raccolta, la conservazione e lo scambio delle prove elettroniche tra gli Stati membri dell’Unione Europea, sebbene, comunque, considerevoli progressi in detta direzione siano stati compiuti negli ultimi anni.

Sono state, infatti, elaborate misure pratiche e legislative per migliorare l’accesso ai dati elettronici transnazionali, al momento basato o sulla collaborazione spontanea dei service provider ovvero – per i

dati maggiormente sensibili – sulla esecuzione di complesse procedure rogatoriali.

Per le esigenze di uniformità e di semplificazione del quadro, la Commissione europea, il 17 aprile 2018 ha proposto l’adozione di due strumenti volti a

agevolare l’acquisizione transnazionale e la conservazione delle prove elettroniche. Si tratta della proposta di regolamento relativo agli ordini europei di produzione e di conservazione di prove elettroniche in materia penale e della proposta di direttiva sulla nomina di rappresentanti legali da parte dei prestatori di servizi ai fini dell’acquisizione di prove nei procedimenti penali.

Con il primo strumento si è inteso perseguire l’obiettivo di consentire la notificazione diretta degli ordini europei di produzione e di conservazione di prove digitali emessi dall’autorità giudiziaria ai prestatori di servizio (Internet Service Providers) qualora questi non abbiano sede sul territorio nazionale.

La proposta di direttiva è volta a armonizzare la disciplina sulla rappresentanza legale dei prestatori di servizi sul territorio dell’Unione al fine di identificare con maggiore

della prova e da normare le procedure da seguire, sì da superare l’attuale frammentazione delle normative nazionali e facilitare l’esecuzione delle richieste.

Nello specifico, l’ambito di operatività del regolamento proposto include le situazioni transfrontaliere e le ipotesi in cui l’autorità di uno Stato membro richiede, nell’ambito di un procedimento penale nei confronti di una persona fisica o giuridica, la consegna o la conservazione di prove elettroniche già esistenti. Inoltre, questa disciplina si indirizza a tutti i provider che offrano nel territorio dell’Unione i servizi di cui all’art.2, paragrafo 3 della proposta, a prescindere dal luogo ove essi abbiano la sede centrale e i dati richiesti siano ubicati.

Diversamente, sono escluse dall’ambito applicativo dello strumento le situazioni puramente intere e le intercettazioni in tempo reale.

Va evidenziato che la Commissione propone di considerare prove elettroniche le prove conservate in formato elettronico da parte del prestatore di servizi o per suo conto che si articolano in:

- Dati relativi al sottoscrittore ovvero informazioni relative all’identità di un abbonato, al tipo di servizio e alla sua durata (c.d. subscriber data);

- Dati relativi agli accessi, inerenti all’inizio e alla fine di una sessione di uso da parte dell’utente ovvero quei dati che riguardano ad esempio la data e l’ora del collegamento, il log-in, il log-out, l’indirizzo IP (c.d. access data);

- Dati relativi alle operazioni effettuate (ad es. la fonte e il destinatario di un messaggio inviato; c.d. transactional data);

- Dati relativi al contenuto (ad es. le mail scambiate, i messaggi vocali inviati; c.d.

content data).

Merita anche evidenziare la disciplina proposta in punto di autorità competente a emettere le richieste in parola. Infatti, l’ordine europeo di produzione riguardante dati relativi agli abbonati o dati relativi agli accessi e l’ordine europeo di conservazione, a prescindere dalla specifica natura dei dati, possono essere emessi da un giudice, da un organo giurisdizionale, da un magistrato inquirente o dal pubblico ministero competente nel caso di specie, oppure da qualsiasi altra autorità competente, definita dallo Stato di emissione che agisca in qualità di autorità inquirente nel procedimento penale e sia competente a disporre l’acquisizione di prove in conformità al diritto nazionale. In detta ultima ipotesi, l’ordine deve essere convalidato, previo esame della sua conformità alle condizioni di emissione, da un giudice, un organo giurisdizionale, un magistrato inquirente o un pubblico ministero nello Stato di emissione.

Diversamente, l’ordine europeo di produzione riguardante dati relativi alle operazioni (c.d. transactional data) e al contenuto (c.d. content data) deve essere sempre emesso oppure convalidato da un giudice.

Inoltre, la proposta di Regolamento non prevede, ai fini della notifica e dell’esecuzione dell’ordine il coinvolgimento, diretto dell’autorità giudiziaria dello Stato in cui si trova il destinatario dell’ordine, tranne che qualora questi non vi ottemperi spontaneamente; solo in detta ipotesi, infatti, l’ordine può essere fatto eseguire in forma coattiva a seguito dell’intervento dell’autorità giudiziaria competente dello Stato in cui ha sede il rappresentante legale del provider destinatario del provvedimento.

La condizione fondamentale di applicabilità per entrambi gli strumenti in parola è il positivo superamento della verifica di proporzionalità e necessità dell’ordine emesso.

Ulteriore valore aggiunto della proposta di regolamento risiede nei tempi ristretti dettati per la consegna delle prove elettroniche: il termine ordinario è di 10 giorni, fermo restando la possibilità per le autorità di stabilire un termine più breve ove le circostanze specifiche lo richiedano; il termine è, invece, di 6 ore per le situazioni di emergenza, definite come le situazioni in cui vi è una minaccia imminente per la vita o l’integrità fisica di una persona o per un’infrastruttura critica.

La presentazione della proposta degli strumenti di cui sopra da parte della Commissione Europea ha determinato un intenso dibattito sia nell’ambito delle istituzioni europee sia al di fuori di queste.

Il Consiglio dell’Unione europea ha proposto diverse modifiche al testo della Commissione e in particolare merita evidenziarne alcune:

- la specificazione che la trasmissione dei certificati e delle informazioni acquisite in esecuzione degli stessi deve avvenire con modalità sicura e affidabile;

- l’affermazione di una nuova declinazione del principio di specialità, in forza del quale i dati ottenuti attraverso il ricorso all’ordine di produzione non possono essere utilizzati per finalità diverse da quelle connesse all’emissione dell’ordine in esecuzione del quale sono stati raccolti, a meno che non si tratti di farvi ricorso in procedimenti per le fattispecie criminose di cui all’articolo 5 della proposta o al fine di prevenire una minaccia immediata e grave alla pubblica sicurezza dello Stato di emissione o agli interessi essenziali di quest’ultimo;

- la possibilità per le autorità non giudiziarie di emettere un ordine senza che questo venga convalidato da parte dell’autorità giudiziaria nei casi di emergenza adeguatamente accertata.

Il Parlamento europeo ha proposto un numero di emendamenti ben maggiore rispetto a quelli del Consiglio e ha appuntato in particolare la sua attenzione sulla base legale utilizzata a supporto della proposta di Regolamento. Nello specifico, è stato sottolineato come l’invocata previsione dell’art.82 par.1 del Trattato di Funzionamento dell’Unione Europea richieda che la cooperazione abbia luogo tra autorità svolgenti una funzione giudiziaria, qualifica che certamente non può essere attribuita a una società prestatrice di servizi quale un internet service provider. Inoltre, la critica si è appuntata anche sulla devoluzione operata dal regolamento proposto al fornitore di servizi della valutazione della sussistenza dei requisiti di legalità e di rispetto dei diritti fondamentali dell’Unione europea nell’ordine ricevuto. Ulteriori elementi di critica attengono alla mancata previsione del principio di specialità di cui si suggerisce una adozione in accezione ampia e alla necessità di introdurre un obbligo di notifica, all’autorità giudiziaria dello Stato sede del fornitore di servizi, di ogni richiesta proveniente dall’autorità di emissione.

La posizione del Parlamento Europeo è, inoltre, difforme in punto di utilizzo dello strumento della direttiva per introdurre l’obbligo a carico dei prestatori di servizi di stabilire una sede nell’Unione europea e nominare rappresentanti legali ai fini dell’accelerazione

dell’acquisizione delle prove elettroniche nei procedimenti penali. Il Parlamento ritiene, infatti, che detta disciplina debba essere inclusa nel testo dell’emanando Regolamento.

Sono in corso di svolgimento gli incontri tra le istituzioni affinché, nell’ambito della procedura legislativa, possa essere rapidamente raggiunto un accordo sul testo da parte del Parlamento europeo e del Consiglio dell’Unione europea con la mediazione della Commissione europea.

Completano il quadro giuridico degli strumenti utilizzabili la convenzione relativa all’assistenza giudiziaria in materia penale tra gli Stati membri dell’Unione europea del 29 maggio 2000, la convenzione di Budapest sulla criminalità informatica del 23 novembre 2001 (vincolante nel contesto del Consiglio d’Europa), la decisione quadro 2002/465/GAI del Consiglio relativa alle squadre investigative comuni, gli accordi bilaterali tra l’Unione e paesi terzi, quali gli accordi sull’assistenza giudiziaria con gli USA (Decisione 2009/820/PESC del Consiglio) e con il Giappone (Decisione 2010/616/UE del Consiglio).

La Commissione europea è stata, inoltre, autorizzata dal Consiglio a partecipare ai negoziati in seno al Consiglio d’Europa sul secondo protocollo addizionale alla Convenzione di Budapest sulla criminalità informatica. Al riguardo va segnalata l’avvenuta pubblicazione, sul sito del Consiglio d’Europa, della bozza del testo di detto protocollo addizionale risultante dai negoziati sino a ora condotti, che contiene disposizioni in merito alla lingua di redazione delle richieste di acquisizione di dati elettronici, alle squadre investigative comuni e alle indagini comuni, alla messa a disposizione diretta da parte degli internet service provider delle informazioni del sottoscrittore, al veloce riconoscimento degli ordini per la produzione di dati, alla richiesta di informazioni relative alla registrazione del nome di dominio, alla messa a disposizione rapida di informazioni contenute in un computer in situazioni di emergenza e alle richieste di assistenza giudiziaria in caso di urgenza.