Il codice di procedura penale prevede una puntuale disciplina dei mezzi di ricerca della prova al fine di garantire il rispetto della riserva di legge e, in alcuni casi di giurisdizione previsti dalla Costituzione, l’inviolabilità di alcuni diritti fondamentali. Queste norme costituiscono la base giuridica per distinguere il lecito dall’illecito, lo spartiacque che separa un arresto dal sequestro di persona, la perquisizione locale da una violazione di domicilio o le intercettazioni telematiche dal reato di cui all’art.617 quater c.p.
Quando parliamo di trojan di Stato, questa base giuridica non c’è. Eppure le Procure fanno ormai grande uso di tali strumenti di indagine i quali, giova ricordarlo, sono malware inoculati in dispositivi elettronici che consentono agli inquirenti, all’insaputa del destinatario (che può anche non essere la persona sottoposta ad indagini), di assumere il totale controllo da remoto dell’apparecchio infettato con conseguente possibilità di accedere a tutto il suo contenuto – contatti, email, dati di navigazione, comunicazioni telefoniche, chat, file, foto e via dicendo – storico e live, nonché di attivare, sempre da remoto, il microfono o la telecamera, trasformando il device in uno strumento atto ad intercettare (audio e video).
Possiamo ritenere che, sebbene manchi una espressa base normativa di riferimento, i trojan rientrino in taluno dei mezzi di ricerca della prova già esistenti? La risposta è negativa, sebbene sia proprio su questo assunto che ha ragionato la Corte di Cassazione per legittimarne l’uso. Partiamo dalla sentenza a sezioni unite n.26889/16, con cui la Corte ha sancito la legittimità, limitatamente ai procedimenti di criminalità organizzata, dell’uso dei captatori informatici al fine di effettuare intercettazioni di conversazioni tra presenti in luoghi di privata dimora.
Presupposto logico della decisione dei Giudici di legittimità è stata un’analisi fattuale dello strumento captatore informatico che ha preso in considerazione unicamente la sua funzione di microspia, considerazione a cui è seguita, con ineccepibile motivazione giuridica, l’applicazione letterale del disposto di cui dall’art.13, D.L. 13 maggio 1991 n.132. In base a questa norma, nei procedimenti relativi a delitti di criminalità organizzata, l’intercettazione di comunicazione tra presenti che avvenga nei luoghi indicati dall’articolo 614 codice penale (il domicilio privato) è consentita anche di fuori dei limiti di cui all’art. 266, ult. co., c.p.p., il quale, a sua volta, prevede che le intercettazione ambientali possono svolgersi in luoghi di privata dimora solo se vi è fondato motivo di ritenere che ivi si stia svolgendo l’attività criminosa.
Se sul principio giuridico, in astratto, si può convenire con la Corte, non altrettanto può dirsi sulla premessa in fatto che, errata, ha falsato tutto il percorso logico-argomentativo susseguente. Altre due pronunce confermano l’impostazione seguita dalla nostra Corte Suprema. Con la sentenza n.27100/2015 i Giudici di legittimità hanno infatti ritenuto lecito l’utilizzo di un captatore informatico per attivare da remoto la telecamera di un telefono cellulare nella misura in cui siano rispettati i principi elaborati nella nota sentenza Prisco (n.26795/2006), secondo cui le videoriprese di immagini non comunicative (cioè un video senza audio) non rientrano nel concetto di intercettazione e possono essere assunte nel processo penale come prove atipiche, salva l’ipotesi in cui la videoregistrazione sia stata effettuata in luoghi di privata dimora.
La seconda è la sentenza n.40902/2016, con la quale un trojan attivato come keylogger non è stato dalla Corte qualificato tale in quanto non avrebbe svolto (la citazione testuale è doverosa) “come fanno normalmente i trojan, un’attività di monitoraggio in tempo reale dell’attività svolta sullo schermo”, con conseguente legittimazione di tutto il materiale probatorio ad esso correlato.
Questi tre arresti sono esemplificativi della posizione che sta tenendo la Cassazione, con il chiaro intento di salvare, sulla scorta dell’ormai bulimico principio di “non dispersione della prova”, gli esiti dell’attività investigativa eseguita dalla magistratura inquirente mediante i captatori informatici: in assenza di un riferimento normativo che ne regolamenti ed autorizzi l’utilizzo, la legittimazione dei trojan è passata attraverso la frammentazione delle loro funzionalità al fine di ricondurre il singolo, specifico ambito operativo di volta in volta da valutare nel contesto legislativo esistente.
Si tratta, tuttavia, di un’interpretazione assai miope che priva i cittadini di un’adeguata tutela in relazione ad alcuni tra i più essenziali diritti fondamentali. La Cassazione, infatti, scegliendo di non prendere in esame i captatori nella loro interezza, ha rinunciato tout court ad affrontare la questione giuridica dei trojan sotto il profilo della cd. prova incostituzionale, concetto espresso per la prima volta dalla Corte Costituzionale nel 1973 (sentenza n.34/1973), stando al quale “le attività compiute in spregio dei fondamentali diritti del cittadino non possono essere assunte a carico di chi quelle attività costituzionalmente illegittime abbia subito”.
Come visto, la Cassazione si è occupata solo del domicilio fisico, senza minimamente prendere in considerazione la palese violazione, da parte dei captatori, del domicilio informatico, violazione che indiscutibilmente precede, assorbe e supera il concetto analogico di domicilio.
Non solo. Nella pronuncia a sezioni unite vi è anche un riferimento all’art.8 CEDU, che tutela la riservatezza della vita privata, ma i Giudici di legittimità hanno richiamato la giurisprudenza della Corte europea dei diritti dell’uomo in materia al solo fine di confermare la compatibilità della disciplina italiana sulle intercettazioni con la previsione convenzionale. Di nuovo, è sempre lo stesso cane che si morde la coda!
In ogni caso, pare doveroso precisare che valutare giuridicamente i trojan solo alla stregua della loro attitudine a ledere il diritto alla riservatezza è un modo decisamente riduttivo di affrontare la questione. Innanzitutto perché l’articolo 2 della Costituzione, a cui la privacy – rectius la protezione dei dati personali – viene pacificamente ricondotto, non è assistito dalla doppia riserva di legge e di giurisdizione. In secondo luogo perché nell’attuale società dell’informazione non è più accettabile la negazione giuridica del concetto di corpo digitale, da intendersi non più solo come la somma matematica di una serie di dati personali, tutelati singolarmente ed indipendentemente gli uni dagli altri da un diritto alla protezione dei dati personali, indiscutibilmente prezioso, ma tendenzialmente statico e poco efficace, bensì come espressione della dignità umana nell’era digitale.
La tutela del corpo digitale richiede che il nostro legislatore, per non snaturare i principi cardine del moderno Stato di diritto, riconosca alle libertà fondamentali previste dalla Costituzione a protezione del corpo fisico (artt.13, 14 e 15) pari tutela anche nella loro declinazione digitale.
Il disegno di legge Orlando sulla riforma della giustizia penale sarebbe un’occasione imperdibile per regolamentare i trojan con una normativa ad hoc che offra il giusto bilanciamento tra l’esigenza di combattere la criminalità, in particolare quella organizzata e terroristica, con strumenti di indagine adeguati ai tempi correnti ed il rispetto dei diritti umani previsti dalla Costituzione, dalla CEDU e dalla Carta dei diritti fondamentali dell’Unione europea; invece, purtroppo, agli articoli 82 e 84, n.5, lett. e) il DDL prevede una delega al governo (metodo, peraltro, formalmente discutibile) per disciplinare “le intercettazioni di comunicazioni o conversazioni tra presenti mediante immissione di captatori informatici in dispositivi elettronici portatili”.
Nonostante il fervido dibattito, anche dottrinale, che si è sviluppato in Italia nel corso degli ultimi due anni sul tema dei trojan di Stato, l’unico intervento che il legislatore è riuscito a ipotizzare è una disciplina che legittimerebbe ciò che la Cassazione è già riuscita a giustificare sulla scorta dell’attuale panorama normativo, senza minimamente preoccuparsi di colmare il pericolosissimo vuoto normativo in cui la capacità intrusiva e pervasiva dei captatori continuerà a sprigionarsi senza nessuna cautela a tutela dei cittadini.
In questo triste scenario, una sentita menzione va dunque alla proposta di legge Quintarelli che si pone il pregevole obiettivo di regolamentare l’uso dei captatori informatici nella loro complessità, prevedendo, limitatamente ai procedimenti di criminalità organizzata di stampo mafioso o con finalità di terrorismo, oltre ad alcune importanti modifiche alla disciplina codicistica delle intercettazioni, un nuovo mezzo di ricerca della prova denominato “osservazione e acquisizione da remoto”, nonché una serie di norme tecniche volte ad assicurare che l’installazione e l’attività dei captatori, debitamente omologati, certificati e registrati, non alterino i dati acquisiti e le funzioni del dispositivo infettato.
