INTERNAZIONALI.
Al fine di inquadrare questo mezzo di ricerca della prova, in assenza di una normativa nazionale di riferimento, si rende necessario verificare se negli altri stati questo strumento sia stato o meno regolamentato, e, se sì, in quali termini.
Il primo paese che ha introdotto la possibilità di utilizzare questo software per lo svolgimento di attività d’intelligence è stato la Germania, e precisamente, il Land Nord Rhein Westfalen dove, modificando la Legge sulla protezione della Costituzione del Land, un organismo d’intelligence veniva autorizzato ad effettuare il monitoraggio e la ricognizione segreta di internet e l’accesso segreto a sistemi informatici. Ma questa legge non è stata fondamentale per quello che ha voluto stabilire, quanto per il fatto che, nel 2008, ha costretto la Corte Costituzionale tedesca a pronunciarsi sulla materia335consentendole di stabilire alcuni principi di straordinaria importanza. In questa importante pronuncia, la Corte, pur riconoscendo l’incostituzionalità della norma, perché non rispettosa dei principi di proporzionalità e determinatezza, non ha escluso in modo assoluto che questo strumento d’indagine sia ammissibile 336 . Infatti, nella consapevolezza delle peculiarità dello strumento informatico rispetto ai tradizionali mezzi di comunicazione, la Corte Costituzionale tedesca, non ritenendo sufficienti le garanzie contenute negli artt. 10 e 13 della
335 BVerfG, 27 febbraio 2008, BVerfGE 120, 274.
336 R. FLOR, Brevi riflessioni a margine della sentenza del Bundesverfassungsgericht sulla
c.d. Online Durchsuchung. La prospettiva delle investigazioni ad alto contenuto
tecnologico e il bilanciamento con i diritti inviolabili della persona. Aspetti di diritto penale sostanziale, in Riv. trim. dir. pen. ec., 2009, p.697.
Grundgesetz (Costituzione), poste a tutela rispettivamente della segretezza
delle telecomunicazioni e della inviolabilità del domicilio, ha ritenuto di dover dare cittadinanza ad un nuovo diritto fondamentale diretto “alla garanzia della segretezza e integrità dei sistemi informatici”, diritto elevato a rango costituzionale in applicazione del richiamo ai diritti inviolabili della dignità umana previsti all’art. 1, comma 1 e 2 della
Grundgesetz337.
Individuato, pertanto, il diritto da dover tutelare, la Corte ha stabilito che le operazioni investigative in oggetto, anche se possono comprimere questo nuovo diritto della personalità, possono essere giustificate e consentite, sia per finalità di repressione dei reati sia a fini di prevenzione degli stessi, a condizione che siano rispettati i principi di proporzionalità338 e della riserva di giurisdizione339. La Corte, infine, ha invitato il legislatore ad adottare e regolamentare tutte le misure tecniche possibili per impedire l’accesso a quei dati personali che siano irrilevanti per le indagini e a garantirne l’immediata cancellazione ed inutilizzabilità processuale degli stessi.
337 In sostanza la Corte ha riconosciuto che non sempre il progresso tecnologico
consente all’interprete di ritenere sufficienti le tradizionali garanzie, magari ricorrendo ad una interpretazione evolutiva del principio costituzionale; a volte si rende necessaria la creazione di un nuovo principio fondamentale che, pur partendo dalle solide basi dei diritti tradizionali, regoli settori innovativi in modo espresso e più in linea con il continuo progresso scientifico.
338 Con questo principio la Corte ha individuato un elenco di beni giuridicamente
rilevanti per i quali riconosce la possibilità di intromissione in sistemi informatici e telematici, e precisamente: la vita, l’incolumità fisica, la libertà dei singoli, i beni della collettività la cui minaccia tocca il fondamento dello stato, il mantenimento dell’esistenza umana. Per cui si ritiene proporzionata la compressione di un diritto fondamentale quando essa persegua uno scopo legittimo rispetto ai suddetti beni, e sia necessaria e opportuna come mezzo per il raggiungimento di questo scopo.
339 Così come previsto per qualsiasi operazione limitativa della libertà personale è
A seguito di questa decisione, l’utilizzazione di questi programmi spia in Germania era stato limitato a casi straordinari e sempre previo rilascio di regolare mandato dell’Autorità giudiziaria340. È comunque notizia recentissima341, che il governo tedesco, ha annunciato per voce del ministro degli interni di aver approvato un nuovo trojan di Stato che si configura come uno strumento di sola intercettazione delle comunicazioni in corso, così da evitare il problema delle perquisizioni degli hard disk, dove la legge prevede obbligatoriamente, come per le perquisizioni fisiche, la presenza del soggetto indagato342. È chiaro che l’introduzione di questo strumento in Germania avviene in base all’assicurazione che le autorità tedesche hanno dato circa il suo impiego, che avverrà solo nelle ipotesi previste dalla legge, cioè nel momento in cui siano a rischio la vita delle persone o la sicurezza dello stato e sotto il controllo del giudice che ne autorizzerà l’impiego, previa valutazione delle necessarie concrete prove a sostegno dei sospetti343.
340 A fronte del caso tedesco, non si può certo dimenticare che molti governi, invece,
hanno ritenuto in questo campo di agire nell’ombra, come dimostra lo scandalo che ha avuto al centro negli ultimi anni la “Hacking team”, società italiana di sorveglianza informatica travolta dallo scandalo per aver fornito a paesi non certo particolarmente attenti ai principi fondamentali dei diritti dell’uomo (quali l’Egitto, l’Arabia Saudita e l’Etiopia), un software denominato RCS (Remote Control System) che permette a chi lo possiede di controllare le conversazioni Skype, le chat e le applicazioni per smartphone (nelle email pubblicate da Wikileaks emerge come Hacking team si riferisca al ministro della difesa egiziano come un suo cliente).
341 Notizia riportata dalla testata giornalistica online Heise.de del 22 febbraio 2016. 342 Secondo le prima indicazioni si tratterebbe di un software che consente di controllare
le periferiche di input della macchina del soggetto, con la presenza di un keylogger (strumento in grado di intercettare tutto ciò che un utente digita sulla tastiera del proprio o di un altro computer) combinato per intercettare i flussi audio e video che scorrono attraverso il dispositivo del sospettato.
343 È verosimile immaginare che questa introduzione, comunicata alla stampa al fine
anche di darne conoscenza ufficiale stia avvenendo in un momento in cui esiste un clima favorevole all’introduzione di questi captatori o di simili misure tecnologiche e di sorveglianza, vista la recrudescenza del fenomeno del terrorismo internazionale.
Anche in Olanda344 è stata proposta l’introduzione del “trojan di Stato”, per consentire alla polizia di monitorare i sistemi informatici e di copiare i dati ivi contenuti, con la possibilità, se illegali, addirittura di distruggerli. In questa proposta è riconosciuta alla polizia l’accesso transfrontaliero diretto ai dati informatici qualora non risulti possibile localizzare il computer oggetto d’indagini345.
Anche in Spagna, nel 2013, è stato presentato dal Governo un disegno di legge di riforma del codice processuale penale spagnolo che, agli artt. 350, 351 e 352, nella loro nuova formulazione, prevedono la possibilità di installare anche da remoto un software d’indagine che permetta di avere accesso ai dati di un determinato sistema all’insaputa, del suo utente, e di perquisirlo. Anche qui, in ossequio ai principi di proporzionalità e di riserva di giurisdizione è previsto che questo monitoraggio sia preventivamente autorizzato dal Tribunal de Garantìas, per la durata massima non superiore a dieci giorni e sempre che la misura risulti necessaria e proporzionata in relazione alla particolare gravità del reato da accertare.
Negli Stati Uniti l’utilizzo di questi software è da diverso tempo all’attenzione degli operatori del diritto. Infatti, sin dal 2001, fu individuato un software denominato “magic lantern”346 che consentiva di decriptare i files e di renderli leggibili. L’impostazione giurisprudenziale
344 La proposta risale all’ottobre del 2012 ed è stata presentata dal Ministro della
Giustizia olandese, Ivo Opstelten come riportato dal sito d’informazioni The Inquirer.
345 È chiaro che qualora, invece, fosse nota la sede del sistema informatico, si renderebbe
necessario l’uso dei normali canali di cooperazione giudiziaria.
346 Si trattava di un keylogger in grado di memorizzare i tasti schiacciati dall’utilizzatore
del computer e quindi di rilevare le passwords create dall’utente per proteggere l’accesso ai documenti elettronici; la conoscenza di questi dati consentiva poi, una volta sequestrato il computer, di avere accesso ai files che interessavano.
americana, per quanto concerne questi strumenti d’indagine, ha sostanzialmente accettato la loro ammissibilità solo in presenza di un mandato emesso dal giudice supportato da un fondato motivo; in sostanza, quando vi siano i presupposti per l’applicazione della cosiddetta
Fourth Amendment Doctrine347.
Anche l’Unione Europea ha chiaramente affermato l’importanza di questo strumento d’indagine online, sia sotto il profilo della cooperazione giudiziaria sia per l’attribuzione ad essa delle nuove competenze penali, tra le quali la criminalità informatica, avvenuta col Trattato di Lisbona348. Non va dimenticata anche la direttiva sulla lotta alla pedopornografia349, dove si auspica che gli stati membri mettano a disposizione dell’Autorità inquirente strumenti efficaci, quali i controlli a distanza, anche con uso di strumenti elettronici di sorveglianza, fermo restando il principio di proporzionalità e della gravità dei reati oggetto d’indagine.
Se poi fosse ancora necessario dimostrare l’interesse europeo a questo tipo d’indagine, è sufficiente richiamare la Direttiva 2014/41/UE, relativa al Mandato Europeo d’Indagine Penale350, di cui si parlerà più avanti.
347 Vedi nota 321.
348 Il riferimento è in particolare all’art. 83 del Trattato sul funzionamento dell'Unione
europea, firmato a Lisbona il 13 dicembre 2007, che consente al Parlamento europeo ed al Consiglio, di elaborare direttive, secondo la procedura legislativa ordinaria, al fine di stabilire norme minime relative alla definizione dei reati e delle sanzioni in sfere di criminalità particolarmente grave, che presentano una dimensione transnazionale derivante dal carattere o dalle implicazioni di tali reati o da una particolare necessità di combatterli su basi comuni.
349 Direttiva 2011/92/UE.