Il codice del 1988, prima dell’intervento della riforma, risultava palesemente inadeguato ad accogliere una prova immateriale quale quella informatica. Ciononostante si è fatto attendere a lungo l’intervento normativo che provvedesse a disciplinare compiutamente
108 Cfr. G. DI PAOLO, Prova informatica, in Enciclopedia del diritto, annali VI
61
l’avvento di queste nuove tecnologie ormai già parte del sistema processuale.
Tale intervento legislativo ha dato vita ad una disciplina organica della materia. La scelta del legislatore in questo caso non è stata quella di coniare degli istituti ad hoc, bensì di adottare dei correttivi da applicare a degli istituti già presenti nel nostro ordinamento, in maniera tale da rendere le modalità operative delle indagini più adeguate alle caratteristiche del dato digitale e dell’ambiente informatico. Prima della legge n. 48 del 2008 vi sono stati altri piccoli interventi riformatori che non hanno apportato lo stesso contributo della legge in esame. È il caso della legge n. 547 del 1993 che ha interessato per lo più il codice penale, inserendo una serie di reati informatici ‘puri’; per quanto riguarda invece l’aspetto processuale l’unica modifica di rilievo apportata da tale riforma è stata l’introduzione, nel codice di rito, delle intercettazioni informatiche e telematiche, disciplinate dagli artt. 266 bis ss. c.p.p.109. La legge 18 marzo 2008, n. 48 è intervenuta in ratifica della Convezione
cybercrime del Consiglio d’Europa del 2001. Tra le finalità della
suddetta Convenzione ritroviamo il perseguimento di una politica comune in campo penale contro il cybercrime, obiettivo raggiungibile attraverso l’adozione di una legislazione appropriata ed intensificando la cooperazione internazionale. La stessa, infatti, sollecita “l’adozione di poteri idonei a combattere efficacemente i reati informatici, facilitando la loro individuazione, le indagini ad essi relative e l’esercizio dell’azione penale […] tenendo presente la necessità di garantire un equo bilanciamento tra l’interesse per l’azione repressiva e il rispetto dei diritti umani fondamentali.”110.
L’intento che ci proponiamo di perseguire è quello di analizzare il percorso fatto dal legislatore italiano per provvedere a disciplinare tali
109 M. PITTIRUTI, Profili processuali della prova informatica, in L.MARAFIOTI e
G.PAOLOZZI, Incontri ravvicinati con la prova penale, pp. 53 ss.
110 G. CORSANITI, Autorizzazione alla ratifica, in G.CORSANITI e G.CORRIAS
62
istituti, ragion per cui ci soffermeremo su tale provvedimento normativo solo in riferimento ai temi per noi oggetto di interesse.
Il primo punto sul quale è opportuno porre la nostra attenzione è l’art. 8 della l. n. 48/2008, la norma provvede a modificare il titolo III del libro terzo del codice di procedura penale111. L’estrema facilità di modificazione del dato informatico ed elettronico ha fatto sì che il legislatore si facesse carico di garantire tutela all’integrità del dato stesso nel corso delle indagini. Tra le modifiche introdotte, in questo caso dall’art. 8 della suddetta legge, meritano particolare attenzione gli istituti delle perquisizioni e delle ispezioni. Leggendo le disposizioni di riferimento (artt. 244 e 247, comma 1 bis, c.p.p.) emerge subito la volontà, da parte del legislatore, di preservare la scena del crimine112. Data la vulnerabilità del dato informatico potrebbero sorgere dei dubbi riguardo all’impiego dell’istituto delle ispezioni e delle perquisizioni nelle investigazioni su sistemi informatici e telematici, infatti parte della
111 Le modifiche cui si fa riferimento interessano il secondo periodo del comma 2
dell’art. 244 c.p.p.; l’aggiunta del comma 1 bis all’art. 247 c.p.p.; all’art 248 c.p.p. è stata aggiunta la previsione della possibilità, per l’autorità giudiziaria, di esaminare anche dati, informazioni e programmi informatici; l’art 254 c.p.p. ha visto sostituito il comma 1, al comma due oltre al divieto di apertura del materiale sequestrato si aggiunge anche il divieto di alterazione dello stesso; l’introduzione del nuovo art. 254 bis c.p.p. riguardante il sequestro di dati informatici presso fornitori di servizi informatici, telematici e di telecomunicazioni; all’art 256, comma 1, c.p.p. dopo le parole “anche in originale se così ordinato” sono aggiunte le seguenti: “nonché i dati, le informazioni e i programmi informatici, anche mediante copia di essi su adeguato supporto”; all’art. 259 c.p.p. si inserisce un intero periodo al fine di prevedere l’obbligo per il custode di impedire l’alterazione o l’accesso da parte di terzi ai dati, informazioni o programmi informatici; infine all’art 260 c.p.p. al comma 1 sono aggiunte le parole “anche di carattere elettronico o informatico” e al comma 2 si è aggiunto “quando si tratta di dati, di informazioni o di programmi informatici, la copia deve essere realizzata su adeguati supporti, mediante procedura che assicuri la conformità della copia all’originale e la sua immodificabilità; in tali casi, la custodia degli originali può essere disposta anche in luoghi diversi dalla cancelleria o dalla segreteria.”.
112 L’art. 244 c.p.p. dispone che l’autorità giudiziaria nel corso dell’ispezione di sistemi
informatici o telematici adotti “misure tecniche dirette ad assicurare la conservazione dei dati originali e ad impedirne l’alterazione”. Il comma 1 bis dell’art. 247 c.p.p. prevede la stessa cosa, utilizzando le stesse parole, in tema di perquisizione su sistemi informatici o telematici.
63
dottrina113 ha sostenuto la loro inidoneità al riguardo, confinandoli al mero rilievo di tracce esteriori e di altri effetti del reato; secondo tale linea di pensiero questi strumenti, dunque, dovrebbero interessare soltanto la ricerca del contenitore esterno dei dati. C’è, d’altro canto, chi ha sostenuto l’esatto opposto leggendo nella previsione, contenuta nelle norme riformate, di adottare “misure tecniche dirette ad assicurare la conservazione dei dati originali e ad impedirne l’alterazione”, la volontà del legislatore di rendere utilizzabili le perquisizioni e le ispezioni anche nel caso di sistemi informatici e telematici114.
Anche l’istituto del sequestro è stato protagonista dell’intervento riformatore del 2008, si è provveduto prima alla modifica dell’art 254 c.p.p., riguardante il sequestro di corrispondenza, e poi all’introduzione di una specifica norma, l’art. 254 bis c.p.p., per la disciplina del sequestro informatico.
Le modifiche apportate all’art 254 c.p.p. hanno sciolto i dubbi sul se considerare la posta elettronica, e forme simili di comunicazione, come rientranti nel concetto di “corrispondenza”, estendendo anche a tali mezzi di comunicazione il corredo di garanzie costituzionali e codicistiche che ne consegue; è la stessa norma infatti a prevedere il divieto per la polizia giudiziaria di aprire o alterare gli oggetti di corrispondenza, nonché il divieto di prendere conoscenza del loro contenuto.
L’art. 254 bis c.p.p. si occupa, invece, nello specifico del sequestro di dati informatici presso i fornitori di servizi telematici e pone in capo agli stessi soggetti un obbligo di conservazione e protezione adeguata dei dati. Un punto su cui pare necessario soffermarsi è la parte in cui la norma si riferisce al sequestro di dati “di traffico o di ubicazione” mostrando in questo modo un apparente sovrapposizione con l’art. 132
113 S. ATERNO, Modifiche al titolo III del libro terzo del codice di procedura penale,
in G.CORSANITI e G.CORRIAS LUCENTE, Cybercrime, responsabilità degli enti, prova digitale, Padova, 2009, pp. 193 ss.
64
del Codice della privacy, d.lgs. n. 196 del 2003. Per risolvere la questione, e fare in modo che la disposizione non divenga lettera morta, si è data una lettura restrittiva dell’art. 254 bis c.p.p. vedendolo come una specificazione dell’art. 254 c.p.p. utile a riempirlo di contenuti operativi. Quando la norma recita “quando dispone il sequestro presso o fornitori di servizi informatici, telematici o di telecomunicazioni” bisogna ritenerla comunque come riferita solo ai casi previsti dal comma 1 dell’art. 254 c.p.p.115.
Il legislatore non indica esplicitamente quali dovranno essere le modalità operative secondo cui dovranno procedere le autorità a ciò preposte durante le indagini, ma fa rinvio a quelle che risulteranno essere le migliori pratiche nel panorama scientifico internazionale. Ciononostante, facendo riferimento alla necessità di conservazione e non alterazione dei dati digitali, non si può negare che sia palese l’intento di rinviare alla tecnica della copia-clone116, tecnica richiamata
espressamente dall’art. 256 c.p.p., come modificato dalla l. n. 48 del 2008, che, disciplinando il dovere di esibizione, dispone che “le persone indicate negli artt. 200 e 201 devono consegnare immediatamente all’autorità giudiziaria, che ne faccia richiesta, gli atti e i documenti, anche in originale se così ordinato, nonché i dati, le informazioni e i programmi informatici, anche mediante copia di essi su un adeguato supporto”.
La legge in esame ha il merito di aver condotto nell’alveo dei mezzi tipici di ricerca della prova la perquisizione, l’ispezione ed il sequestro dei documenti informatici, del computer o di un intero sistema informatico o telematico. Inoltre ha avuto il merito di inserire almeno cinque garanzie, delle quali abbiamo già fatto menzione
115 L. LUPARIA, I profili processuali, in Diritto penale e processo, 2008, p. 722. 116 Si tratta di “una forma di cristallizzazione del quadro probatorio che consente tra
l’altro agli inquirenti […] di ricercare in seguito i dati rilevanti per l’inchiesta penale in corso non già sulla pria riproduzione del contenuto del sistema informatico, ma bensì sul successivo ulteriore duplicato, […] [in modo tale da non alterare] la prima ‘fotografia digitale’ della macchina in questione.” Cfr. L. LUPARIA, I profili processuali, in Diritto penale e processo, 2008, p.719.
65
precedentemente, in riferimento a tali mezzi di ricerca della prova che provvederemo ad elencare, in via riassuntiva, qui di seguito: il dovere di conservare inalterato il dato originale nella sua genuinità; il dovere di impedire l’alterazione dell’originale; il dovere di formare una copia che assicuri la conformità del dato acquisito rispetto all’originale; il dovere di assicurare la non modificabilità dei dati acquisiti; la garanzia della installazione di sigilli informatici sulle cose sequestrate;117.
3.1 (Segue) Le indagini informatiche e la tutela della privacy, dopo la l. n. 48 del 2008.
Non possiamo sottovalutare, né bypassare, quello che è uno dei problemi centrali in tema di disciplina delle indagini informatiche, ossia la necessità di una disciplina che abbia cura sia del diritto fondamentale dei cittadini alla protezione dei dati personali, sia della necessità di utilizzare tali dati per finalità investigative. Il recepimento della Convenzione di Budapest mostra, per certi versi, un favor verso l’attività di controllo ed al contempo un arretramento delle garanzie fondamentali del cittadino118; in seguito avremo modo di comprendere meglio il
perché di una simile affermazione.
Le indagini informatiche sono in grado di ledere la sfera più intima di un individuo a più livelli, vengono, infatti, in considerazione diversi e delicati profili di garanzia: libertà e segretezza delle comunicazioni, art. 15 Cost.; inviolabilità del domicilio, art. 14 Cost.; tutela della riservatezza, artt. 2 Cost. e 8 CEDU; e la tutela dei dati personali, art. 8 CEDU. È “necessario tutelare il sistema informatico in quanto spazio in
117 Cfr. P. TONINI, Documento informatico e giusto processo, in Diritto penale e
processo, 2009, pp. 404-405.
118Cfr. F. CERQUA, Il difficile equilibrio tra la protezione dei dati personali e le
indagini informatiche, in L. LUPARIA, Sistema penale e criminalità informatica, Milano, 2009, p. 222.
66
cui il singolo manifesta la sua personalità, a prescindere dalla natura delle informazioni che vi si affidano”119.
La disciplina della conservazione dei dati di traffico, per finalità di accertamento e repressione dei reati, la ritroviamo all’art. 132 del d.lgs 30 giugno 2003 n. 196, vale a dire il Codice della privacy. Tale norma contempla due diversi periodi di conservazione dei dati, provvedendo a regolare le varie distinzioni del caso, sia rispetto alla tipologia di reato di riferimento sia rispetto alla tipologia del dato stesso120.
Ciò che interessa in questa sede, è l’ipotesi speciale prevista per la conservazione dei dati informatici, attività definita anche come “congelamento” dei dati. L’art 10 della l. n. 48 del 2008 ha introdotto i commi da 4 ter a 4 quinquies all’art. 132 del Codice della privacy. Abbiamo appena definito come speciale la conservazione dei dati informatici perché il comma 4 ter, del su menzionato art. 132, prevede la possibilità in capo ad alcuni soggetti specifici di ordinare “ai fornitori e agli operatori di servizi informatici o telematici di conservare e proteggere, secondo le modalità indicate e per un periodo non superiore a novanta giorni, i dati relativi al traffico telematico, esclusi comunque i contenuti delle comunicazioni, ai fini dello svolgimento delle investigazioni preventive […], ovvero per finalità di accertamento e repressione di specifici reati”. Un primo accorgimento va fatto rispetto alla genericità con cui la norma individua i soggetti titolari dell’obbligo da essa stessa previsto, nei quali sembrano rientrare anche i gestori di siti internet e i gestori di motori di ricerca. La norma esclude, esplicitamente, il contenuto delle comunicazioni ma è una previsione poco utile dal momento che queste tipologie di dati spesso rilevano, in sostanza, anche il contenuto.
119 F. IOVENE, Le c.d. perquisizioni on line tra nuovi diritti fondamentali ed esigenze
di accertamento penale, in Diritto penale contemporaneo, 2014, p.334.
120 Per un maggior approfondimento in materia si fa rinvio al paragrafo: 5.1 (Segue)
La costruzione di un modello di disciplina costituzionalmente soddisfacente. Tabulati telefonici e videoregistrazioni. Del presente lavoro.
67
Passiamo ora ad analizzare il punto della norma che per primo ha attirato la nostra attenzione, ossia l’aver individuato la conservazione dei dati informatici come funzionale alla conduzione di indagini preventive. Tale previsione rappresenta una “ulteriore valorizzazione delle attività di controllo delle comunicazioni per finalità di difesa sociale e prevenzione della attività criminose, con conseguente irrobustimento della portata di una norma, l’art 226 disp. att. c.p.p.121, già delicata sul
piano delle garanzie fondamentali del cittadino.”122 Al comma successivo, il comma 4 quater, anch’esso introdotto dalla riforma intervenuta nel 2008, si prevede l’obbligo, per il fornitore o l’operatore di servizi informatici o telematici, al quale è rivolto l’ordine contenuto nel comma precedente, di “ottemperare senza ritardo, fornendo immediatamente all’autorità richiedente l’assicurazione dell’adempimento”. Inoltre lo stesso “è tenuto a mantenere il segreto relativamente all’ordine ricevuto e alle attività conseguentemente svolte per il periodo indicato dall’autorità”. Infine nell’ultimo comma aggiunto all’art. 132 del Codice della privacy si specifica che i provvedimenti adottati ex comma 4 ter vanno “comunicati per iscritto, senza ritardo e comunque entro quarantotto ore dalla notifica al destinatario, al pubblico ministero del luogo di esecuzione il quale, se ne ricorrono i presupposti, li convalida.”
Alla luce di quanto detto finora appare chiaro il potenziale rischio che le indagini informatiche sono in grado di apportare al diritto alla riservatezza degli individui. Per questa ragione ci si sarebbe potuto aspettare una tutela molto più forte da parte del legislatore, per esempio ispirata a quella prevista per l’istituto delle intercettazioni, vale a dire l’autorizzazione alle operazioni da parte di un giudice, la necessaria
121 La rubrica dell’art. 226, delle disposizioni attuative del Codice di rito, recita
“Intercettazioni e controlli preventivi sulle comunicazioni”, prevedendo, appunto, l’utilizzo di tali strumenti di ricerca della prova in via preventiva nel caso ricorrano particolari ipotesi di reati, esplicitamente previsti dalla norma in esame.
68
sussistenza di gravi indizi di reato e così via123. Come abbiamo potuto constatare il legislatore non ha provveduto seguendo la strada appena ipotizzata, ma ha ritenuto sufficiente la convalida da parte del pubblico ministero e come presupposto principale per le indagini informatiche, ha indirettamente posto “il fondato motivo di ritenere che tracce digitali di un qualunque reato si trovino in un dato sistema informatico”124. Resta ancora un punto da chiarire, ossia come poter conciliare le esigenze delle indagini penali con la tutela del diritto alla riservatezza. Sulla questione si è espressa anche la Corte europea dei diritti dell’uomo con una sentenza del 2012, nella quale ha riconosciuto la violazione del diritto alla riservatezza dovuto ad un sequestro di files125.
Parlando del diritto alla riservatezza bisogna far riferimento non solo all’art. 2 Cost. ma anche all’art. 8 CEDU in quanto la nostra Carta costituzionale non individua quali sono i presupposti per un’ingerenza della pubblica autorità in tale sfera della vita del cittadino, mancanza sopperita, appunto, dal su menzionato articolo della CEDU126. L’articolato presenta una struttura ampia ed aperta, per questo in grado di “fungere da baluardo nei confronti di diverse attività di indagine”127,
ossia quelle che abbiamo individuato come attività di indagini informatiche.
Quello che è necessario domandarsi è se, nel nostro ordinamento, si possa ritenere configurabile una inutilizzabilità probatoria ex art. 191 c.p.p., perché, come abbiamo avuto modo di verificare, il legislatore non
123 Cfr. M. DANIELE, La prova digitale nel processo penale, in Rivista di diritto
processuale, 2011, pp. 283 ss.
124 Cfr. M. DANIELE, La prova digitale nel processo penale, in Rivista di diritto
processuale, 2011, p. 289.
125 Sent. Robathin contro l’Austria del 3 luglio 2012 (n. 30457/06).
126 Art. 8, comma 2, CEDU: “Non può esservi ingerenza di una autorità pubblica
nell’esercizio di tale diritto a meno che tale ingerenza sia prevista dalla legge e costituisca una misura che, in una società democratica, è necessaria alla sicurezza nazionale, alla pubblica sicurezza, al benessere economico del paese, alla difesa dell’ordine e alla prevenzione dei reati, alla protezione della salute o della morale, o alla protezione dei diritti e delle libertà altrui.”
127 F. IOVENE, Le c.d. perquisizioni on line tra nuovi diritti fondamentali ed esigenze
69
chiarisce quale sia la sorte delle prove ottenute nell’inosservanza dei presupposti e delle modalità di svolgimento delle operazioni espressamente previste dalla legge in caso di indagini informatiche. Seguendo la via maggiormente seguita non possiamo cha dare una risposta negativa all’interrogativo che ci siamo posti, in quanto “i divieti probatori devono essere specificamente ed esplicitamente previsti dalle norme processuali”128. Al fine di trovare una soluzione al problema è
stata tentata anche la strada delle prove incostituzionali129 abbandonata abbastanza rapidamente in quanto, in tema di indagini informatiche esiste già una disciplina normativa per cui è da ritenere che se non esistono inutilizzabilità espresse vuol dire che il legislatore, effettuato il bilanciamento tra l’esigenza di accertamento dei fatti e la lesione di diritti fondamentali, ha ritenuto l’eventuale violazione dei diritti in questione non sufficientemente grave da comportare la sanzione dell’inutilizzabilità. Possiamo dunque concludere che la scelta del legislatore italiano è stata quella di lasciare al giudice la determinazione del valore da assegnare alle prove reperite dagli inquirenti.