Il Consiglio d’Europa si sta attivando per accelerare l’adozione di regole più precise ed aggiornate sull’accesso transfrontaliero alle prove digitali.
Attraverso la redazione di un protocollo addizionale alla Convenzione di Budapest si vuole fare in modo di ottenere i dati relativi al traffico telefonico e telematico di un utente coinvolto in indagini penali e conservati all’estero in maniera meno dispendiosa e più veloce. Vediamo i punti salienti della proposta.
L’acquisizione della prova digitale
Il rapido sviluppo delle tecnologie informatiche ed il loro uso di massa ha fatto acquisire alla prova digitale un ruolo centrale nell’accertamento e repressione dei reati, sia informatici che di altro tipo. Infatti, nel mondo ultra connesso di oggi, la maggior parte delle nostre attività lascia una traccia digitale, e ciascuna di queste tracce può fornire elementi estremamente utili nell’ambito di un’indagine penale. Ad esempio, l’analisi dei dati relativi al traffico telefonico e telematico di un utente permette di individuare analiticamente quando, come e tra chi sono intercorsi contatti telefonici o per via telematica. Le autorità preposte alla repressione dei reati sono quindi sempre più interessate ad acquisire queste tracce digitali nell’ambito delle proprie attività investigative.
Tuttavia, l’acquisizione di elementi di prova digitali può risultare particolarmente complessa e dispendiosa. Infatti, dato che Internet non conosce frontiere, i dati relativi alle comunicazioni via email, alla navigazione su Internet e al traffico telefonico sono spesso detenuti da provider stranieri su server ubicati al di fuori della giurisdizione in cui operano gli organi inquirenti. Pertanto, l’acquisizione di questi dati richiede la cooperazione dei provider in questione. Nello specifico, l’acquisizione di dati conservati all’estero richiede di norma l’attivazione di specifiche procedure dette di mutua assistenza legale (in inglese, mutual legal assistance). In pratica, le autorità inquirenti devono rivolgersi alle omologhe autorità dello Stato in cui i dati sono conservati (o in cui ha sede il provider), le quali valutano la richiesta e, eventualmente, provvedono ad ottenere i dati dal provider in questione secondo le procedure applicabili nel proprio paese.
L’attivazione di queste procedure avviene oggi in più della metà delle indagini penali. Tali procedure tendono ad essere lente, onerose e inefficienti: il loro completamento spesso richiede tra i 6 e i 24 mesi e comporta costi considerevoli. Ciò determina la chiusura di molte indagini per oggettiva impossibilità di concluderle nei termini di legge.
Recenti sviluppi negli Stati Uniti e in Europa
Per ovviare ai problemi sopra descritti, numerosi Stati si stanno attivando per facilitare la cooperazione diretta con i provider ed ottenere i dati conservati all’estero senza passare attraverso le dispendiose procedure di mutua assistenza legale. Ad esempio, il c.d. Clarifying Overseas Use of Data (“CLOUD”) Act, adottato dal Congresso degli Stati Uniti il 23 marzo scorso, facilita l’accesso da parte delle autorità americane ai contenuti delle comunicazioni telematiche e ad altri dati correlati, consentendo alle stesse di imporre ai provider americani di produrre tali dati, anche se conservati al di fuori degli Stati Uniti. Il CLOUD Act permette inoltre ad alcuni paesi esteri di stipulare accordi con gli Stati Uniti per consentire ai provider americani di rispondere direttamente alle richieste di dati provenienti dalle autorità di quei paesi.
Anche la Commissione europea ha recentemente presentato due proposte legislative, una di Regolamento e una di Direttiva (i c.d. Regolamento e Direttiva e-Evidence), con l’intento di facilitare l’accesso da parte delle autorità europee ad elementi di prova digitali detenuti all’estero. Nello specifico, il Regolamento proposto istituisce ordini europei di produzione e di conservazione di prove digitali. Tali ordini consistono in decisioni vincolanti, emesse o convalidate dall’autorità giudiziaria di uno Stato membro, con cui si ingiunge ad un prestatore di servizi digitali operante all’interno dell’UE di produrre o conservare prove digitali. Gli ordini possono essere inviati anche a provider extra-europei, purché offrano servizi in Europa. Per facilitare ciò, la Direttiva proposta rende obbligatorio per i prestatori di servizi extra-europei di designare un rappresentante legale nell’Unione europea incaricato di ricevere gli ordini europei di produzione e di conservazione di prove digitali.
Tali iniziative, pur se lodevoli per quanto riguarda gli obbiettivi che perseguono, non offrono che una risposta parziale al problema, dato che affrontano in maniera unilaterale una questione che per sua stessa natura è transnazionale. Inoltre, rischiano di porsi in contrasto con alcuni principi cardine del diritto internazionale quali quello di territorialità della giurisdizione penale e di sovranità nazionale. Infatti, l’interpretazione prevalente rimane quella secondo cui l’accesso a dati archiviati su un server situato nel territorio di un altro Stato senza il preventivo consenso di tale Stato costituisce una violazione del diritto internazionale. La soluzione del problema andrebbe quindi trovata sul piano multilaterale, ed il Consiglio d’Europa sta facendo grandi sforzi in tal senso.
L’iniziativa del Consiglio d’Europa
Sul piano internazionale, la cooperazione tra Stati nella raccolta di prove digitali è già in parte regolamentata dalla Convenzione del Consiglio d’Europa sulla criminalità informatica (c.d. Convenzione di Budapest), il primo trattato internazionale in materia di reati informatici. La Convenzione è stata ratificata da una sessantina di Stati, compresi la maggior parte degli Stati membri dell’UE, inclusa l’Italia. La Convenzione impone alle parti di definire i poteri e le procedure per ottenere prove digitali e prestarsi assistenza giudiziaria, non solo in relazione ai reati informatici. In particolare, la Convenzione impone alle parti di istituire ordini di produzione per ottenere dati informatici da prestatori di servizi presenti sul loro territorio o che offrono servizi sul loro territorio. Prevede inoltre la possibilità di ordinare la conservazione di dati qualora sussistano motivi per ritenere che i dati informatici siano particolarmente a rischio di perdita o modificazione.
L’attuale assetto della Convenzione di Budapest non sembra però fornire risposte adeguate a tutte le difficoltà che gli inquirenti si trovano attualmente ad affrontare per acquisire prove digitali. Ad esempio, la Convenzione non regola in maniera specifica la cooperazione diretta con i provider, un tema che la sempre maggior diffusione dei servizi di cloud computing rende di estrema attualità. Per questi motivi, in seno al Consiglio d’Europa si è deciso di procedere alla redazione di un protocollo addizionale alla Convenzione di Budapest che fissi regole più precise ed aggiornate sull’accesso transfrontaliero alle prove digitali. Tale protocollo, attualmente in fase di elaborazione, dovrebbe includere i seguenti elementi:
- Norme che rendano le procedure di mutua assistenza legale più efficienti (ad esempio, prevedendo procedure accelerate per l’ottenimento di specifiche categorie di dati, come le informazioni relative agli abbonati ai servizi di comunicazione telefonica o telematica; l’introduzione di ordini di produzione di prove digitali valevoli all’estero; ecc.).
- Norme dettagliate sulla cooperazione diretta tra gli organi inquirenti e i fornitori di servizi digitali con sede all’estero.
- Un quadro normativo più chiaro e maggiori garanzie per le pratiche esistenti sull’accesso transfrontaliero ai dati.
- La previsione di tutele specifiche, compresi requisiti per la protezione dei dati personali.
L’iter di adozione del protocollo addizionale
Come già anticipato, il protocollo addizionale alla Convenzione di Budapest è attualmente in fase di elaborazione e la stesura della prima bozza dovrebbe essere completata entro dicembre 2019. Tuttavia, è previsto che alcune parti del protocollo verranno rese pubbliche in anticipo per consentire di raccogliere commenti da parte della società civile e di altri stakeholder interessati. A questo proposito, la commissione incaricata di redigere il protocollo ha già reso pubbliche le bozze degli articoli che dovrebbero regolamentare le procedure di emergenza di mutua assistenza (applicabili qualora sussista un rischio significativo ed imminente per la vita o la sicurezza di una persona fisica) e le lingue in cui è possibile inviare le richieste di mutua assistenza. Si tratta di due questioni di rilevanza secondaria, ma che nel complesso potrebbero contribuire a rendere le procedure di mutua assistenza più efficienti. Ad esempio, si stima che, attualmente, la traduzione di richieste di mutua assistenza in lingue poco comuni rallenti di molto l’esecuzione di tali richieste. L’attuale proposta è quella di consentire l’invio di richieste di mutua assistenza in lingue più diffuse, come l’inglese, il francese e lo spagnolo, a condizione che lo Stato ricevente abbia espressamente dato il proprio assenso a ricevere documenti scritti in tali lingue.
La parte più attesa del protocollo resta però quella che regolamenterà la cooperazione diretta con i provider. Al momento non è ancora chiaro quale direzione prenderanno i negoziati su tale tema. Di sicuro questa sarà una delle questioni più dibattute ed è probabile che prima dell’adozione finale del protocollo verranno attivate ulteriori consultazioni pubbliche sul tema.
Come tutti i trattati internazionali, una volta adottato, il protocollo dovrà essere ratificato dagli Stati aderenti alla Convenzione di Budapest per poter entrare pienamente in vigore. È quindi probabile che passino alcuni anni prima che diventi effettivamente operativo, ovviamente sempre che si riesca ad adottarlo.
