Il rapporto 2019 sulla trasparenza di Facebook (Global Government Requests Report) apre una finestra sui rapporti fra autorità governative e web company. In particolare nel caso in cui le autorità chiedono al social informazioni riguardanti gli utenti nel contesto delle indagini su vari reati.
Vediamo le dinamiche che si generano e le prospettive per la sicurezza digitale dei cittadini.
Indagini su Facebook, numeri e attori
Quest’anno, annuncia Facebook, “sono 128.617 le richieste inoltrate dai governi di tutto il mondo e ricevute da Facebook nei primi sei mesi del 2019 per l’ottenimento di informazioni riguardanti i suoi iscritti”.
Lo scenario investigativo e processuale costringe a confrontarsi con indicazioni che appaiono orientate in maniera evidente al recepimento di istanze provenienti dalla cultura scientifica della computer forensics. E’ in capo all’Ufficio del Pubblico Ministero presso il Tribunale del Capoluogo del distretto di Corte di Appello nel quale ha sede il Giudice competente, lo svolgimento delle indagini e dell’esercizio dell’azione penale.
Un ruolo di rilievo viene attribuito ai fornitori dei servizi postali, telegrafici, telematici e di telecomunicazioni considerato il compito chiave che gli stessi possono svolgere nelle azioni di contrasto alla criminalità informatica (ma non solo) e nell’acquisizione della prova informatica.
Sicurezza digitale e cooperazione
In tema di cooperazione internazionale, l’art. 132, co. 4 ter, d.lgs. 196/2003 – così come novellato dalla legge n. 48/2008 di recepimento della Convenzione sul cybercrime – in ambito di data retention, prevede che il Ministro dell’interno, in proprio o tramite i soggetti delegati (quali i soggetti responsabili degli uffici centrali specialistici in materia informatica o telematica della Polizia di Stato, dell’Arma dei Carabinieri e del Corpo della Guardia di Finanza), anche su eventuali richieste avanzate dalle autorità investigative straniere, possa ordinare ai fornitori ed agli operatori di servizi informativi o telematici di conservare e proteggere, secondo le modalità indicate e per un periodo non superiore a novanta giorni, salvo proroga fino a complessivi sei mesi per motivate esigenze, i dati relativi al traffico telematico, esclusi comunque i contenuti delle comunicazioni, ai fini dello svolgimento delle investigazioni preventive ovvero di accertamento e repressione di specifici reati.
La cooperazione giudiziaria nelle indagini internazionali in materia di cybercrime, lo sviluppo delle comunicazioni via internet e delle tecnologie dell’informazione, ha determinato un importante cambiamento dell’organizzazione della società mondiale, mutando in profondità la struttura ed il funzionamento di settori di rilievo della vita economica e sociale. A ciò ha contribuito il progressivo sviluppo della possibilità di accesso a tali mezzi che sono ormai alla portata di una vasta parte della popolazione mondiale e consentono di elaborare, memorizzare e diffondere dati ed informazioni con una velocità e semplicità inimmaginabili sino a pochi anni fa.
Il numero di reati informatici denunciati o comunque portati all’attenzione dell’Autorità Giudiziaria è cresciuto in modo esponenziale, quindi, con l’avvento del terzo millennio. Si pensi all’accesso illegale ai sistemi informatici attraverso atti di pirateria, intercettazioni illegittime, frodi varie ai danni degli utenti, spionaggio e/o sabotaggio dei sistemi, frodi realizzate attraverso la clonazione di carte di credito, bancomat o altri mezzi di pagamento, truffe commerciali online, vari tipi di contraffazione.
A ciò si aggiungano pornografia minorile, incitamento, istigazione o trasmissione di istruzioni relative alla realizzazione dei più svariati crimini tradizionali, molestie informatiche (il c.d. cyberstalking), gioco d’azzardo on line, prostituzione on line, riproduzione abusiva di programmi informatici o di ogni tipo di opera intellettuale su supporto digitale (libri, musica, film), violazioni della privacy.
La richiesta dati da parte delle autorità
Si presume un elevato livello di conoscenza tecnica delle Forze di Polizia Giudiziaria e/o il livello di dotazioni informatiche in uso alle stesse, per un adeguato contrasto alla criminalità, non solo informatica.
Ma come avviene la richiesta nel nostro Paese da parte degli organi di Polizia e in che modo viene coinvolta la Magistratura? Le Forze dell’Ordine inoltrano una richiesta alla Magistratura competente affinché provveda ai sensi del combinato disposto degli articoli 256 c.p.p. e 132 commi 1 e 3 D. Lgs 196/2003, ad emettere decreto di acquisizione atti.
Nel citato decreto la Procura ordina ai responsabili della società di social network di provvedere all’immediata consegna dei dati richiesti. La richiesta varia a seconda dei reati su cui si intende indagare.
Per alcune ipotesi di reato (ad esempio, minaccia, diffamazione etc), trattandosi di dati relativi al traffico telematico imprescindibili per l’accertamento del delitto, il decreto non viene notificato al titolare dell’account, al fine di non vanificare l’intera attività investigativa.
Le richieste sono finalizzate principalmente ad acquisire:
- informazioni di base sull’utente (BSI);
- IP log di accesso al profilo utente;
- Indirizzi IP degli accessi degli ultimi 12 mesi antecedenti la data del decreto.
A tal fine vengono forniti Nickname del titolare del profilo, ovvero Vanity name, ID, Link di collegamento.
Ugualmente, per i reati in materia di terrorismo le richieste potrebbero essere dirette ad ottenere per un prescritto periodo temporale:
- tipologia dei dispositivi utilizzati
- tipologia di reti di connessione utilizzate
- email e dati di registrazione
- dati e indirizzo IP di registrazione
- data e indirizzo IP di connessione
- ultimi indirizzi IP di connessione
- eventuale numerazione telefonica connessa
Anche con riferimento all’ipotesi di reato prevista dall’art. 4 bis D.L. n. 7/2015 convertito in Legge n. 43/2015 e trattandosi di dati relativi al traffico telematico necessari per l’accertamento di reati con finalità di terrorismo, viene imposto il divieto di notifica al titolare dell’account, in quanto vanificherebbe l’intera attività investigativa.
Le autorità richiedenti vengono delegate all’esecuzione del provvedimento e ne curano la consegna al detentore dei dati sopra indicati.
Dati degli utenti: la posizione Usa
Si evidenzia che le autorità americane sono intervenute più volte a tutela dei social network, soprattutto con riferimento alle richieste relative ai reati di diffamazione.
Come emerge, infatti, da una nota trasmessa alla Procura di Roma nel 2016, hanno addirittura invitato i magistrati italiani ad astenersi dal formulare future richieste direttamente ai responsabili dei social perché non sono soliti fornire informazioni in riferimento all’ipotesi di diffamazione, a differenza di quanto avviene per altri reati quali la pedofilia o quelli connessi al terrorismo.
Tale situazione, oltre alla presenza di insormontabili muri informatici, potrebbe giustificare una maggiore frequenza di richieste di archiviazione per le fattispecie descritte.
