indagini

Perquisizioni online e cross-border: le nuove sfide

Home Sicurezza digitale
Indirizzo copiato

Lo sviluppo tecnologico e la globalizzazione hanno ampliato gli spazi investigativi, ma anche sollevato dibattiti sulle nuove tecniche di indagine. Le indagini digitali si scontrano con spazi investigativi sfumati e difficili da individuare, come il cloud, rendendo necessari nuovi strumenti per la ricerca di prove. Le questioni giuridiche e costituzionali

Pubblicato il 30 gen 2024
Pier Luca Toselli

Digital forensics presso Ministero

trojan di stato italia

L’inarrestabile sviluppo tecnologico che ormai da anni ci accompagna, ha di fatto attenuato, se non cancellato i confini nei quali gli investigatori erano abituati a muoversi. Se prima lo spazio investigativo era nazionale o al più tendeva ad allargarsi ai paesi confinati, oggi più di un tempo gli investigatori si ritrovano calati in nuovi e più ampi spazi ed orizzonti investigativi, spesso di estensione mondiale.

Indagini forensi, il futuro è mobile e cloud

I confini sfumati delle investigazioni nel mondo digitale

La rivoluzione tecnologica e la globalizzazione cui stiamo assistendo sollecitano di continuo e di pari passo, nuovi e talvolta aspri dibattiti su questi cambiamenti, ma anche l’adozione da parte degli investigatori di “nuove” tecniche in sostituzione delle tradizionali che ormai risultano inefficaci ed inadeguate.

Oggigiorno non è difficile soprattutto nell’ambito delle cosiddette indagini digitali imbattersi in spazi investigativi i cui confini appaiono alquanto sfumati e molto spesso di difficile individuazione. L’esempio forse più classico è quello dello spazio cloud che al di là della definizione lessicale che tende a far credere che si tratti di uno spazio etereo, in realtà si traduce in un dispositivo “fisico” collocato in uno spazio geografico, molto spesso estero e sottoposto di conseguenza a norme e discipline differenti.

Ma non solo, la crescente digitalizzazione del mondo che ci circonda e conseguentemente delle prove dei reati che all’interno di questi spazi, vengono commessi, richiede l’accesso a luoghi e dispositivi diversi, come smartphone, desktop, laptop, server e cloud, che sempre più frequentemente si trovano “fisicamente” al di fuori dei confini nazionali e che possono essere facilmente modificati, manipolati, alterati; finanche, cancellati a distanza, con un semplice “click”.

La necessità di nuovi strumenti per le perquisizioni cross-border

Le nuove realtà criminali che oggi siamo chiamati ad affrontare richiedono allora, una evidente revisione delle tecniche di indagine, è sotto gli occhi di molti operatori, come le tradizionali tecniche non garantiscono più l’effetto sorpresa e spesso non sono più sufficienti per raccogliere prove determinanti, soprattutto nei contesti in cui si sviluppano reati economici e finanziari dove le prove sono sempre più dematerializzate, volatili e custodite per diverse ragioni su dispositivi, quasi sempre ubicati all’estero[1].

Ecco che allora a poco a poco si sta sempre più evidenziando la necessità di dotarsi di nuovi strumenti per la ricerca di prove, poiché per l’appunto, i tradizionali, fino ad un tempo, efficaci ed efficienti oggi non lo sono più.

Ne sono un esempio lampante le perquisizioni, ancora oggi strumento principe quale mezzo di ricerca della prova ma solo fintanto che il cosiddetto “target” bersaglio da ricondursi in questo specifico contesto al dispositivo contenente i potenziali dati digitali di interesse è fisicamente collocato e sottoposto alla legislazione del nostro paese. Ma che ne è di un target che potrebbe essere collocato in altro paese estero, sottoposto ad altra legislazione ma allo stesso tempo potenzialmente “strategico” per la prova di un determinato reato?

Le sfide delle perquisizioni digitali: prove dematerializzate e dispositivi esteri

In questi casi il ricorso agli strumenti previsti quali la rogatoria e l’ordine investigativo europeo (O.E.I), che non starò in questo contesto ad analizzare, scontano tuttavia una enorme criticità legata ai tempi di organizzazione ed attuazione che mal si conciliano con gli aspetti di volatilità, istantaneità e velocità caratterizzanti la cd. “digital evidence”, con la conseguenza che si sono palesati nel panorama investigativo contemporaneo nuovi strumenti, capaci di ricercare, anche, in modo celato, prove digitali, allorquando le informazioni sono cristallizzate/memorizzate su dispositivi collocati fisicamente all’estero.

Questi i motivi e la genesi che hanno portato alla coniazione di nuovi termini quali “cross-border”, o anche “online searches”, nelle procedure investigative e di indagine.

Invero per quanto ormai note e conosciute, si tratta di tecniche finalizzate alla di ricerca di prove che però, vedremo, non risultano ad oggi regolamentate dal codice di procedura penale, nel Libro III titolo III, dedicato ai mezzi di ricerca della prova, ma che se anche non tipizzate dal codice, oramai da tempo trovano talvolta, utilizzo. Tuttavia vedremo anche come la mancanza di una precisa tipizzazione e regolamentazione, sia fonte di aspre “eccezioni” non sempre risolte, appieno, dalla giurisprudenza.

Basti pensare al fatto che pur essendo l’azione tecnico-giuridica molto simile ad una perquisizione “da remoto”, è ben lungi dal rispettarne le garanzie processuali in quanto tale azione “occulta” non prevede ovviamente il rispetto di fondamentali garanzie costituzionali.

La revisione delle tecniche di indagine nell’era digitale

È risaputo, infatti, come le canoniche perquisizioni informatiche previste dall’art. 247, comma 1-bis, c.p.p. vengono sempre considerate e motivate nel rispetto delle opposte esigenze di repressione e prevenzione dei reati, che oggi più di un tempo, tendono ad assumere un carattere “transnazionale” .

La territorialità di tali fenomeni unita alla tutela dei diritti fondamentali della persona assume parallelamente un carattere non più limitato ad un paese ma a più paesi e persone, spesso vincolati e coperti da diverse e talvolta confliggenti legislazioni. Nella consapevolezza che lo spazio informatico è ormai “globale”, la criminalità informatica e le indagini informatiche non sono quasi mai limitabili geograficamente e, in considerazione del valore della Carta di Nizza e della CEDU, la protezione dei diritti fondamentali è garantita da un sistema integrato di protezione su tre livelli: nazionale, europeo e internazionale, che, tuttavia non ci aiuterà nel trovare precisa soluzione alle problematiche tecnico-giuridiche che ancora adombrano questo tipo di operazioni.

Proprio la carenza delle garanzie difensive, unite alla considerazione che azioni di questo tipo violano il diritto all’inviolabilità del domicilio informatico garantito dalla Costituzione e dalle norme sovranazionali (CEDU e CDFUE) porta tutt’ora parte degli attori coinvolti (giurisprudenza, dottrina, investigatori, difesa etc. ) a considerare inammissibili tali azioni escludendole/cassandole peraltro dall’alveo delle prove atipiche previste dall’art. 189 c.p.p.[2], proprio perché potenzialmente violative del diritto all’inviolabilità del domicilio informatico che può essere limitato solo nei casi e nei modi previsti dalla legge e comunque solo con uno specifico atto motivato dell’autorità giudiziaria[3].

L’evoluzione delle tecniche di indagine: riflessioni sulle perquisizioni digitali

Tuttavia noteremo come sul tema si registrino orientamenti giurisprudenziali contrastanti, talvolta di apertura verso l’utilizzo di questi strumenti (in particolare per ciò che concerne l’acquisizione di prove tramite software spia anche su cloud collocati fisicamente all’estero), fermo restando che esiste un vuoto giuridico ad oggi che nonostante gli sforzi della giurisprudenza verso la tolleranza di tali azioni fa perdurare incertezze e serie valutazioni sull’opportunità di ricorrere a tali strumenti occulti, quasi sempre connaturati da elevatissimi costi di attuazione e gestione, ma allo stesso tempo, in taluni specifici contesti investigativi, sempre più indispensabili.

Si tratta di prove che possono essere eliminate in un attimo, anche a distanza, rendendo vani tutti gli sforzi investigativi, ma anche di prove che se raccolte in violazione di diritti riconosciuti all’indagato rischiano di essere ancora una volta “eliminate” non con un click ma con un tocco di martelletto del giudice, poi successivamente, nel processo, dopo aver sostenuto inutilmente, ingenti costi e risorse.

Come vengono effettuate le attività di “ricerca online”

L’effettuazione di queste “online searches” presuppone (per esempio), l’invio di un trojan sul dispositivo “target”, si tratta generalmente di un programma “backdoor” noto all’utente (per non ingenerare sospetti) e che, mi si perdoni la sintesi, crea un collegamento tra il computer infettato e un computer “remoto” in gestione degli investigatori.

Tale contesto permetterà agli investigatori di avere il controllo (occulto) del computer target, consentendo quindi agli investigatori di ricercare e documentare la presenza di eventuali evidence di interesse investigativo, ma ovviamente, non solo!

In sintesi, il trojan è capace di infiltrarsi nei sistemi informatici per scovare specifici contenuti digitali e creare una copia della loro memoria. Questi famigerati captatori/copiatori informatici, sono in grado di fare, attraverso apposite istruzioni, una perquisizione digitale dell’intero sistema, ottenendo copie di tutti i dati trovati.

Tuttavia è noto ed implicito anche al profano, come la presa occulta di “controllo” del dispositivo permetta anche azioni ben più invasive e perniciose della semplice “perquisizione” diretta alla ricerca di documenti.

Si pensi sempre solo per esempio alla possibilità di intercettare flussi di comunicazioni dopo aver attivato la webcam ed il microfono. Orbene tralasciando l’attività di intercettazione che sappiamo non solo aumenterebbe la complessità di quanto stiamo affrontando ma richiederebbe premesse e considerazioni diverse da quelle che qui mi limiterò a porre all’attenzione del lettore; ipotizziamo in questa “sede”, che l’azione attraverso il trojan tralasci le comunicazioni (sarebbe una intercettazione vera e propria disciplinata da altri articoli e considerazioni) ed accontentiamoci per “modo di dire” delle possibilità di effettuare una perquisizione digitale occulta cd. “online search”, consapevoli che le potenzialità di questo strumento e le susseguenti possibilità investigative aprono un enorme spettro di considerazioni e questioni spesso cruciali circa la loro legittimità e conseguenze derivanti da un utilizzo improprio delle stesse, anche solo limitandoci alla cd. perquisizione online “pura” del dispositivo.

Tanto che salvo alcune aperture giurisprudenziali, di fatto, la legittimità delle attività di “ricerca online” deve ancora essere definita!

Cosa non garantiscono le attività di ricerca online

Abbiamo accennato a come queste tecniche non garantiscono in alcun modo:

  • una corretta informazione “di garanzia” al perquisito (per gli ovvi motivi di occultamento);
  • un’assicurazione del contraddittorio (quale conseguenza diretta del punto precedente);
  • la tutela, integrità ed immutabilità dei dati raccolti, sia per motivi di natura tecnica che per motivi di natura giuridica quest’ultimi, a loro volta, quale diretta conseguenza, dell’assenza di garanzie e mancanza del contraddittorio, nella loro acquisizione.

Tutto ciò, allontana questo nuovo “istituto”, dalle ispezioni e ss. del codice di procedura penale, in quanto attività sconosciuta (occulta) all’indagato e che lo esclude peraltro dalla possibilità di usufruire delle garanzie previste dal codice per le ispezioni e analogamente lo allontana anche dalle perquisizioni previste dall’articolo 247 e ss., per gli stessi motivi. Inoltre, con specifico riferimento alle ispezioni le differenze risultano ancora più marcate laddove quello che “prima facie” appare un mero atto di osservazione del captatore viene di lì a poco superato da una vera e propria ricerca dei dati sul “target”, in questo caso molto più assimilabile ad una perquisizione rispetto ad una canonica ispezione.

Parallelamente, risulta ancor più difficile, assimilare lo strumento alle intercettazioni previste dall’articolo 266 e ss. del codice di procedura penale, in quanto viene meno uno degli elementi essenziali che contraddistingue le seconde, ovvero la captazione/cattura di comunicazioni tra soggetti, mentre le stesse avvengono.

L’ammissibilità delle prove “atipiche”

Di qui un” tertius” che assume una propria posizione a sé stante estranea ad altri “incombenti” ma che chiede di essere opportunamente ed adeguatamente normato concentrandosi di fatto in un’azione ad oggi “atipica” che si basa sulla raccolta sistematica di dati informatici, all’insaputa del detentore.

La mancanza di un assimilazione ad altri istituti fa tuttavia da sponda al di là delle considerazioni espresse da parte della dottrina e giurisprudenza per ricondurre questo terzo genere nell’alveo della prova atipica, in quanto se da una parte è vero che possiamo affermare che questa operazione non ha nulla di tipizzato e non è contemplata in alcun modo all’interno del sistema di mezzi di ricerca della prova tipici, dall’altra potremo come tra poco vedremo, tentare di ricondurla alle prove atipiche , quantomeno in termini di risultato ottenuto più che della legittimità delle azioni intraprese per ottenerli.

L’assenza di una menzione tra i mezzi di ricerca della prova previsti dal legislatore, fortunatamente per il nostro ordinamento, non significa, non si traduce nel fatto, che tutto ciò che lì non è indicato, sia da considerarsi automaticamente inammissibile.

Il legislatore nella sua lungimiranza ha previsto che nel corso del tempo oltre a quei mezzi tassativamente previsti nel Libro III, Titolo III, sarebbero potute emergere nuove tecniche che avrebbero potuto portare il giudice a dover “valutare” una cd. “prova atipica”[4].

Invero il nostro sistema giuridico non si basa sul principio di tassatività delle prove, come stabilito dall’art. 189 c.p.p. che consente l’utilizzo di “prove atipiche” a condizione che siano sempre rispettate tre condizioni legittimanti:

  • la prova deve essere in grado di accertare i fatti;
  • lo strumento di indagine non deve pregiudicare la libertà morale della persona;
  • Il giudice provvede all’ammissione, sentite le parti sulle modalità di assunzione della prova.

Il caso della sentenza Virruso

Ne è tipico esempio, la nota sentenza Virruso[5] della quinta sezione penale della Suprema Corte di Cassazione, dove le attività di ricerca online (non senza critiche) sono state considerate mezzo atipico.

La Corte ha dichiarato che “l’attività autorizzata dal p.m., consistente nel ‘prelevare e copiare documenti memorizzati sull’hard disk dell’apparecchio in uso al B., aveva avuto ad oggetto non un ‘flusso di comunicazioni’, richiedente un dialogo con altri soggetti, ma ‘una relazione operativa tra microprocessore e video del sistema elettronico’, ossia un flusso unidirezionale di dati confinato all’interno dei circuiti del personal computer“.

Su tale principio la Cassazione ha concluso che i giudici di merito hanno usato correttamente i dati come prova atipica, senza seguire la disciplina prescritta dagli articoli 266 ss. (intercettazioni) del Codice di procedura penale.

In questa Sentenza, tuttavia, è interessante notare per chi volesse approfondire ulteriormente che gli Ermellini argomentarono per la non rilevanza delle tutele legate al domicilio informatico, adducendo che non vi era ragione per invocare questa tutela (art. 14 Cost.) nei confronti di un PC che prevedeva più “user” (accessi-profilati) e non era collocato in luogo privato ma presso un ufficio Comunale. Esclusione legata al caso concreto ma che lascia aperte molte incognite, laddove il caso si sviluppasse in un domicilio privato.

Perquisizioni online e tutela dei diritti fondamentali: un equilibrio da trovare

In ogni caso, la giurisprudenza e la dottrina concordano sulla necessità che il giudice attivi un contraddittorio prima di ammettere le risultanze fornite dal captatore informatico come prove in dibattimento.

Laddove uno strumento in sé è occulto, ovviamente, non richiede un immediato coinvolgimento degli interessati, il requisito previsto dall’art. 189 c.p.p. deve comunque essere soddisfatto, anche, successivamente all’utilizzo/acquisizione dei dati.

Del resto è notorio che i captatori informatici, così come altri programmi in grado di ricercare da remoto i contenuti digitali, sono ritenuti strumenti legittimi per la raccolta di prove nel processo penale, a condizione che il loro utilizzo venga sottoposto a un adeguato vaglio critico e che il contraddittorio sia garantito.

Tuttavia, sebbene sembri accettabile l’utilizzo di questi programmi spia per le finalità qui descritte, è necessario sottolineare che le prove atipiche non sono comunque ammesse se violano i principi fondamentali della Costituzione, come la libertà personale (art. 13 Cost.), l’intimità domiciliare (art. 14 Cost.) e la segretezza delle comunicazioni (art. 15 Cost.) e questo perché dinanzi a tali violazioni si dovrebbe concludere per una “netta, censura” di questi strumenti in quanto per espressa previsione costituzionale queste libertà possano essere limitate solo nei casi e nei modi previsti dalla legge e solo per decisione dell’autorità giudiziaria.

Altra giurisprudenza è ferma nel ritenere che, in assenza di una normativa specifica che disciplina una prova atipica che limita tali diritti costituzionali, essa non può essere considerata ammissibile dall’ordinamento, con l’evidente conclusione che è fondamentale valutare di volta in volta e secondo il loro utilizzo e finalità se gli strumenti utilizzati compromettano i diritti garantiti dalla Costituzione, poiché la legittimità costituzionale diventa il primo e fondamentale requisito per la validità di una prova atipica.

Escludendo, non distraiamoci, gli aspetti legati alle “comunicazioni”, rimaniamo sulla possibilità di perquisire da remoto il dispositivo ed acquisire files di documenti (tanto per non complicarci troppo il lavoro), rimane da considerare su quanto testé evidenziato in termini di principi fondamentali, quello legato all’intimità domiciliare con un preciso rinvio, rimando al domicilio digitale.

Invero tali strumenti non limitano la libertà fisica e morale delle persone né tentano di manipolare o forzare alcuna dichiarazione, tuttavia appare evidente anche all’inesperto, come queste intrusioni configurano una violazione del diritto di domicilio, garantito dall’art. 14 della Costituzione, che si estende anche al cosiddetto “domicilio digitale”, ovvero lo spazio virtuale che ogni individuo occupa nel “mondo” digitale.

La Corte costituzionale tedesca[6] ha già considerato il computer come uno strumento attraverso cui l’individuo sviluppa liberamente la propria personalità e deve essere considerato un vero e proprio domicilio digitale, concludendo, tuttavia che l’art. 13 della Legge fondamentale tedesca che richiama la cd. ”Inviolabilità del domicilio” non poteva essere richiamato per impedire le perquisizioni online, adducendo, invece l’esistenza di un diverso e a sé stante diritto dell’individuo, concernente l’”uso riservato e confidenziale delle tecnologie informatiche”, che troverebbe fondamento nell’art. 1 della Legge fondamentale della Repubblica Federale di Germania (Grundgesetz).

Su tale principio anche nel nostro paese, in particolare la dottrina, si esprime a favore di una “riservatezza informatica” legata nello specifico ai principi delineati dall’art. 2, comma 1 della Costituzione, dall’art. 8 della CEDU, dal 7 e dall’8 della CDFUE.

Di conseguenza, qualsiasi limitazione di questo diritto da parte dell’autorità pubblica può avvenire solo nel rispetto delle disposizioni dell’art. 8, comma 2 della CEDU e dell’art. 52, comma 1 della CDFUE.

Tali limitazioni devono quindi essere previste dalla legge, perseguire uno scopo legittimo e rispettare il principio di proporzionalità, a condizione che il nucleo essenziale di tale diritto fondamentale rimanga intoccabile.

Su tali considerazioni sarebbe ovvio pervenire alla conclusione che, la mancanza di una normativa specifica, comporterebbe la nullità delle prove raccolte attraverso perquisizioni digitali online, per l’incostituzionalità delle stesse, ma come spesso accade se la dottrina maggioritaria ci orienta verso aspre chiusure, vedremo come invece la giurisprudenza risulta più aperta/tollerante, verso l’utilizzo di questi strumenti.

La giurisprudenza sulle perquisizioni online

Una recente sentenza ha portato a una diversa classificazione giuridica delle perquisizioni online[7]. La sentenza in questione ha affrontato il tema della legittimità dell’attività di un Trojan, autorizzata dal G.I.P. come intercettazione telematica/ di comunicazioni, dopo che la difesa aveva sollevato obiezioni riguardo al fatto che lo strumento, avrebbe di fatto eseguito una perquisizione a seguito della quale avrebbe anche copiato un file Excel preesistente e aggirato così la disciplina applicabile, in particolare, omettendo di avvisare l’indagato delle operazioni in corso come sarebbe avvenuto nel corso di una normale perquisizione informatica orientata alla ricerca di elementi di prova, ed escludendo nel contempo che detta attività potesse essere ricondotta all’impianto delle cd. prove atipiche di cui all’art. 189 c.p.p.

Veniva contestato dal ricorrente, in particolare, il salvataggio ad opera del Tribunale del Riesame che aveva inteso considerare detta attività alla stregua di intercettazione di “comunicativi” adducendo che il file Excel era stato “fotografato” nel corso della sua stessa formazione, elemento peraltro non supportato da alcun atto di indagine e peraltro smentito oggettivamente da alcune annotazioni contabili precedenti che negavano tale ricostruzione.

La Corte considerava che la mera “constatazione” dei dati informatici in corso di realizzazione, pur non costituendo una “comunicazione” in senso stretto, costituisce certamente, invece, un comportamento comunicativo, del quale è ammessa la captazione – previo provvedimento autorizzativo dell’autorità giudiziaria – nonché la videoregistrazione, dunque anche la fotografia, mediante screen shot della schermata, superando peraltro le contestazioni della difesa in ordine alle annotazioni contabili precedenti, in quanto riferibili a “poste di contabilità ex se riepilogative di operazioni economiche già effettuate ovvero in corso di realizzazione delle quali si aggiorna annotazione e memoria”. Concludeva pertanto che l’impostazione del Tribunale del Riesame era : “giuridicamente corretta e aderente ai dati indiziari raccolti con il captatore informatico così da escludere che si sia trattato nella specie di una surrettizia perquisizione non garantita dal percorso indicato dall’art. 247 c.p.p.”

Se ne deduce in sintesi che la raccolta di dati è stata giudicata legittima grazie al progetto autorizzato per l’intercettazione telematica attraverso un Trojan. Invero allorquando gli investigatori avvertono la necessità di ricorrere allo strumento delle perquisizioni online fanno ricorso alla disciplina delle intercettazioni che, tra i vari mezzi di ricerca della prova, è quella senz’altro più garantista. Resta tuttavia evidente come l’impianto degli artt. 266 e ss. del codice di procedura penale risultino inadeguati e talvolta estranei a questo “terzo genere” che assomma in sé diverse nature tecniche e giuridiche. Tale ultima considerazione è stata anche rafforzata da altra recente sentenza[8], la Cassazione, nella propria decisione ha espressamente motivato che:

•”Sul piano normativo, l’unica previsione espressa che riguardi l’accesso da remoto a sistemi informatici è l’art. 266 c.p.p. che è stato integrato nel senso di porre limiti e garanzie quando l’intercettazione di comunicazioni tra presenti sia realizzata con un “captatore” informatico su un dispositivo elettronico portatile”.

•”Secondo l’interpretazione corrente, tale previsione non ha alcun effetto limitante della perquisizione e sequestro on-line per contenuti diversi dalle intercettazioni di comunicazioni in fieri.”

Altro interessante caso, di utilizzo del Trojan per fini di perquisizione/acquisizione di dati e non solo di intercettazione era già stato affrontato nella sentenza 28 giugno 2016 n. 40903, episodio, collegato ad una nota vicenda riguardante e-mail conservate nella cartella bozze che permettevano di essere consultate da più soggetti in possesso delle necessarie credenziali senza essere inviate.[9] Qui, secondo la Corte, tali contenuti non possono essere considerati corrispondenza e pertanto non possono essere ottenuti tramite intercettazione, ma solo attraverso l’esecuzione di un sequestro. Il trojan (in questo caso era un Keylogger utilizzato per acquisire le credenziali) in realtà, non è stato utilizzato per intercettare le comunicazioni poiché non rientrava nell’ambito delle conversazioni tra utente e tastiera del personal computer. Invece, il suo utilizzo è stato focalizzato su una forma di ispezione remota ed elettronica.

La ricerca di prove oltre i confini: le perquisizioni cross-border

Ad aumentare le incertezze, su questo delicatissimo “tema” delle perquisizioni online intervengono poi, le problematiche legate alla territorialità delle cd. perquisizioni “cross border”. Su tema vale la pena di citare la sentenza del 22 luglio 2020 della Corte Suprema in merito alla mancata richiesta di rogatoria internazionale per acquisire e utilizzare le registrazioni effettuate tramite trojan in territorio estero nel caso di specie extra-europeo (Canada). Nell’occasione la Corte ha respinto la doglianza poiché il trojan è stato inoculato in Italia su dispositivi mobili di cittadini italiani collegati a un gestore telefonico italiano. La registrazione delle conversazioni tramite rete wi-fi situata all’estero costituiva pertanto solo una fase intermedia di un’indagine più ampia e di fatto l’attività di captazione vedeva le sue fasi svolte interamente sul territorio nazionale.

Tali considerazioni spingerebbero a ritenere legittima una perquisizione on line di un server estero attraverso un trojan per copiarne il suo contenuto?

Il caso è diverso da una perquisizione in corso sul territorio nazionale che interessi un cloud o server estero è stato più volte espresso, infatti, il principio da parte della Cassazione che l’operazione, sia legittima[10].

In sintesi, la giurisprudenza ritiene che l’attività investigativa debba essere svolta interamente sul territorio nazionale, indipendentemente dal fatto che si tratti di intercettazioni o perquisizioni digitali online. La Cassazione ha ritenuto che i possibili e ripetuti spostamenti in territori esteri impedirebbero le intercettazioni, poiché l’autorità giudiziaria che l’ha disposta non sa dove si trova il proprietario dell’account su cui è stato installato il trojan, e pertanto non può richiedere una rogatoria di volta in volta che potrebbe, peraltro, anche danneggiare le finalità investigative di tale strumento.

In breve, l’acquisizione di prove conservate su cloud e server localizzati in paesi diversi è diventata una parte essenziale delle indagini moderne, ma che deve essere gestita con estrema attenzione. La ricerca delle prove oltreconfine non è una novità, in quanto già prevista dai codici di procedura penale di tutti i Paesi. Per questo motivo, negli ultimi anni, sono emerse teorie e soluzioni innovative per accedere con efficacia alle prove digitali all’estero, raggruppabili in quattro differenti approcci: riformista, unilaterale, internazionale e misto[11], ai quali andrebbe dedicato altro articolo per la complessità delle implicazioni che ne conseguono.

La regolamentazione delle perquisizioni online: una questione aperta

L’assenza di una tipizzazione normativa su questo strumento ha quale dirette conseguenze queste criticità, allo stato irrisolte:

  • anche laddove lo strumento per diverse ragioni appare essere l’unica soluzione efficace, scoraggia l’investigatore dal ricorrervi attese le numerose incertezze. Accade sempre più spesso che anche allorquando tali strumenti risultino essere l’unica soluzione investigativa, l’alea di incertezza che li circonda e la mancanza di una precisa normazione, ne sconsigli l’utilizzo;
  • è altrettanto evidente come l’invasività dello strumento, vada ad impattare fortemente su diversi diritti “fondamentali” dei cittadini che non possono e non devono trovare tutela nella giurisprudenza, ma in un adeguato impianto legislativo capace nella gerarchia delle fonti anche internazionali (laddove coinvolte) di tutelare adeguatamente e compiutamente non solo il domicilio, la corrispondenza, la libertà dei cittadini ma anche l’impianto dedicato alla raccolta delle prove con specifiche garanzie a bilanciamento dei confliggenti interessi in gioco.

Risulta allora ancor più evidente e cogente la necessità di un intervento legislativo in materia capace di esprimere un equo bilanciamento tra i diritti costituzionali, che vada normando nello specifico:

  • i casi e i metodi di utilizzo di questi strumenti all’interno di un sistema informatico;
  • prevedere a quali reati e contesti possano essere applicate queste nuove tecniche;
  • con quali richieste “autorizzatorie” / “garanzie” (decreto del PM del GIP);
  • tempi, procedure e conseguenti sanzioni in caso di mancato rispetto di queste prescrizioni;

solo così uno strumento così importante e strategico potrà assurgere a mezzo di ricerca della prova uscendo dall’ambiguità che oggi lo avvolge e che richiede sempre più spesso interventi giurisprudenziali a soluzione delle numerose incertezze che lo attanagliano, che si ripete a parere dello scrivente non sufficienti e non adeguata soluzione a criticità che interessano i diritti “fondamentali” di ciascuno di noi.

Conclusioni

Invero, la tutela va estesa a tutti gli attori in gioco quindi anche agli investigatori che potrebbero essere chiamati in assenza di una precisazione legislazione sull’utilizzo di questi strumenti, a dover rispondere anche di gravi reati (mi viene su tutti un accesso abusivo ad un sistema informatico), laddove operazioni di questo tipo non dovessero essere “coperte” da un adeguato ombrello normativo.

Note

[1] Pur non essendo questo il tema in trattazione appare evidente come le ragioni che spingono le aziende a delocalizzare i propri dati non siano solo di convenienza logistica ma anche economico-fiscali.

[2] 189 cpp

[3] Riserva di legge e di giurisdizione

[4] Si approfondisca per esempio l’interpretazione giurisprudenziale anche recente, Cass.pen.Sez. IV Sent., 07.06.2022 n. 21856, circa la riconducibilità della localizzazione da remoto attraverso il GPS tra i mezzi atipici di ricerca della prova.

[5] Cass. Sez. V, 14 ottobre 2009, n. 16556 in CED n. 246954.

[6] BVerfG, 27 febbraio 2008, BVerfGE 120, 274 ss (https://www.bundesverfassungsgericht.de/SharedDocs/Entscheidungen/EN/2008/02/rs20080227_1bvr037007en.html)

[7] Cass. Sezione I, sent. N. 3591/2022, udienza del 7/10/2021.

[8] Cass. pen. Sez. VI, Sent., (ud. 27-09-2023) 17-11-2023, n. 46482.

[9] Per chi volesse approfondire il tema specifico rimando a L.Giordano “Dopo le Sezioni Unite sul captatore informatico avanzano nuove questioni, ritorna il tema della funzione di garanzia del decreto autorizzativo” – punti 7 e 8.

https://archiviodpc.dirittopenaleuomo.org/upload/5372-giordano317.pdf

[10] Su tutte e per i puntuali approfondimenti si richiama Corte di Cassazione – IV sez. penale, nella sentenza 28 giugno 2016, n. 40903 ove, in sintesi, stabilisce , tra l’altro, che ai fini del riconoscimento della legittimità della relativa acquisizione assumerebbe rilievo determinante la circostanza che le aree virtuali dei sistemi cloud e dei profili social siano nella disponibilità di un soggetto situato nel territorio dello Stato, a nulla rilevando la circostanza che i server ospitanti i dati di interesse siano eventualmente posizionati all’estero. Secondo la Corte non sarebbe pertanto necessaria alcuna preliminare richiesta di rogatoria all’estero. Tuttavia, per chi volesse approfondire la tematica, occorre rammentare come in tema di cooperazione giudiziaria internazionale l’assistenza venga prestata solo previo soddisfacimento del requisito della doppia incriminazione per la medesima condotta, principio che può rappresentare un limite nel momento in cui un determinato fatto- reato, considerato penalmente rilevante dal nostro ordinamento, non sia considerato tale nel Paese in cui ha sede il cloud provider. Si veda anche, se basata su altre motivazioni: Cass.-pen.-Sez.-III-sent.-25-06-2021-n.-24885.

[11] Cfr. Halefom H. Abraha, Law enforcemente access to electroniv evidence across borders: maping policy approaches and emergin reform initiatives, in International Journal of Law and Information Technology, 2021

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Argomenti

Canali

EU Stories - La coesione innova l'Italia

Tutti
Iniziative
Analisi
Iniziative
Parte la campagna di comunicazione COINS
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Iniziative
Parte la campagna di comunicazione COINS
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

Prossimo

Agenti AI per la PA del futuro: ecco il valore aggiunto