Il 12 maggio 2022 l’Italia ha sottoscritto il secondo protocollo aggiuntivo (deliberato dal Consiglio d’Europa il 17 novembre 2021) alla “Convenzione sulla criminalità informatica sul rafforzamento della cooperazione e della divulgazione delle prove elettroniche”, resosi necessario dall’aumento esponenziale della criminalità informatica e dalla mancanza di un iter procedurale lineare e finalizzato ad assicurare le prove elettroniche.
Difatti, la disomogeneità dei quadri normativi fra le nazioni, in assenza di una base giuridica comune, non consente alle Forze di Polizia e alla Magistratura di operare rapidamente e con efficacia al di fuori delle proprie giurisdizioni, con il serio rischio di ulteriore perpetrazione e di reiterazione dei reati e, soprattutto, di dispersione, distruzione o di mancato ottenimento delle prove.
Cybersecurity, Commissione europea: “Ecco la nostra risposta coordinata”
Le vittime di cybercrime e la speranza di avere giustizia
Ed è facile intuire che l’impossibilità di investigare efficacemente provoca una sostanziale impunità di alcuni reati, anche gravi; a tal proposito è illuminante una considerazione in un rapporto del 2016 del “Cloud Evidence Group” (organo tecnico del Consiglio d’Europa per le ricerca di soluzioni di computer forensic su sistemi cloud) secondo cui la crescita incontrollata del numero di dispositivi elettronici e di servizi connessi ha causato la crescita di vittime di cybercrime, ma solo una piccola parte della criminalità informatica sarà perseguita o punita: le conclusioni lasciano l’amaro in bocca quando si ammette che «la stragrande maggioranza delle vittime della criminalità informatica non può aspettarsi che venga fatta giustizia».
In ogni caso, l’esigenza comune di agire in tempi rapidi non solo tutela i singoli individui, ma anche gli interessi degli stati e delle grandi aziende strategiche, sempre più oggetto di veri e propri attacchi organizzati su vasta scala nell’ambito di una strategia di “guerra parallela”, purtroppo drammaticamente attuale.
Le novità del Protocollo in tema di assicurazione delle fonti di prova informatiche
Come anticipato, il protocollo fornisce la cosiddetta “base giuridica” per la condivisione delle informazioni relative alla registrazione di nomi di dominio e per la cooperazione al fine di acquisire le informazioni sull’identità degli abbonati e dei dati di traffico, prevedendo altresì una speciale procedura accelerata in caso di emergenza.
Il protocollo prevede anche strumenti di assistenza reciproca, nonché alcune garanzie di protezione dei dati personali sulla falsariga della copiosa legislazione comunitaria al riguardo.
Le procedure di cooperazione
Anzitutto l’art. 5 del Protocollo precisa che le procedure di cooperazione previste opereranno a prescindere dalla presenza o meno di singoli trattati di mutua assistenza giudiziaria e precisa le misure che dovranno essere adottate dai Paesi firmatari prevedendo che:
- In caso di indagini penali, gli enti regolatori dei nomi di dominio forniscano, direttamente su richiesta dell’Autorità di uno dei Paesi firmatari, i dati del titolare di un nome di dominio al fine di identificarlo o contattalo;
- L’Autorità procedente di uno dei Paesi firmatari possa trasmettere un ordine affinché i fornitori di servizi di un altro Paese mettano a disposizione le informazioni dell’utente di cui siano in possesso o di cui abbiano il controllo;
- L’Autorità procedente di uno dei Paesi firmatari possa trasmettere un ordine affinché i fornitori di servizi di un altro Paese trasmettano specifiche informazioni memorizzate sull’utente e sui dati di traffico;
- Nei casi di emergenza, i Paesi a mezzo del punto di contatto attivo 7 giorni su sette e 24 ore su 24 (previsto dall’art. 35 del Trattato di Budapest) ricevano o trasmettano le richieste di assistenza immediata per ottenere da un prestatore di servizi la trasmissione rapida di specifici dati informatici in suo possesso.
Fatta salva la prima ipotesi (dati del dominio) che è definita quale “richiesta”, le altre sono veri e propri “ordini” dell’autorità procedente di un altro Paese.
Va detto che le autorità individuate dai singoli Stati firmatari hanno, in tutti i casi, l’obbligo di dichiarare che la richiesta viene fatta sulla base del Protocollo e che è giustificata da un’indagine o da un procedimento penale e che i dati acquisiti saranno utilizzati esclusivamente per tali scopi.
La portata storica della convenzione
La portata storica della convenzione è quella di aver consentito il superamento del meccanismo della rogatoria internazionale a fini di probatori, permettendo di far dialogare direttamente le autorità procedenti degli Stati firmatari della convenzione, con un meccanismo molto simile a quello del mandato di arresto europeo.
Nello specifico (tralasciando, come detto, le richieste relative ai nomi di dominio) l’Autorità che procede ordina al fornitore di servizi di trasmettere i dati utili all’indagine; tuttavia, ogni Paese potrà, all’atto della ratifica, prevedere che all’ordine di esibizione siano allegate (in tutti i casi o in casi particolari) informazioni supplementari o una sintesi dei fatti per cui si procede.
In ogni caso, è fatta salva la possibilità da parte del Paese che ospita il fornitore di servizi che ha ricevuto l’ordine, di chiedere allo stesso di notificargli l’ordine prima della trasmissione delle informazioni all’autorità straniera e, se del caso, vietarla qualora si possa pregiudicare un’indagine in corso o per altri specifici casi.
Sono previste anche misure tecniche per l’audizione in videoconferenza di testimoni o di consulenti tecnici specificando che gli stessi sono assoggettati, in ordine all’obbligo di dire la verità e di presentarsi quale testimone, al diritto interno del Paese richiedente.
Il protocollo promuove anche la creazione di squadre investigative miste che possono operare in sinergia, su accordo di una o più parti che ne stabiliscono limiti, competenze, regole di ingaggio, durata, sede ed altri aspetti organizzativi e burocratici.
Vi è poi una particolare sezione dedicata al trattamento dei dati personali (con una tecnica redazionale di impronta comunitaria ispirata al GDPR) in relazione allo scopo del trattamento e l’uso dei dati, alla qualità ed integrità degli stessi, alla definizione dei dati sensibili, al periodo di conservazione, al trattamento automatizzato dei dati, alla loro sicurezza ed al data breach.
Conclusioni
Si auspica, infine, che i Paesi firmatari procedano rapidamente alla ratifica ed alla esecuzione del Protocollo (si pensi solo che la Convenzione di Budapest del 2001 è stata ratificata ed eseguita dall’Italia nel 2008), anche perché la criminalità informatica non aspetta di certo tempi degli Stati Nazionali avendo notevole capacità adattiva, libertà di movimento e pervasività d’azione.
Sitografia e bibliografia
- https://www.coe.int/en/web/conventions/full-list?module=treaty-detail&treatynum=224
- https://www.coe.int/en/web/cybercrime/ceg
- https://e-justice.europa.eu/90/IT/european_arrest_warrant
- M. Lucchetti, The Budapest Convention 24/7 Points of Contact Network, relazione all’African Forum on Cybercrime, Addis Ababa, 16-18 ottobre 2018.
