Le comunicazioni decriptate e conservate all’estero tornano nel mirino della Suprema Corte, la quale anzitutto ne conferma la natura di prova documentale, acquisibile mediante ordine europeo di indagine, e al contempo ne fonda l’utilizzabilità sull’affidabilità del processo di decriptazione.

La pronuncia, inoltre, offre lo spunto per iniziare a indagare sui possibili rimedi futuri circa un’acquisizione più sicura ed efficiente dei dati informatici conservati all’estero. D’obbligo il rinvio alla proposta di Regolamento circa l’in­troduzione di un ordine di conservazione e di produzione della prova elettronica.

Le conversazioni decriptate e acquisite mediante O.E.I. tornano all’attenzione della Suprema Corte MASSIMA: In tema di mezzi di prova, la messaggistica su “chat” di gruppo su sistema “Sky ECC”, acquisita mediante ordine europeo di indagine da autorità giudiziaria straniera che ne ha eseguito la decriptazione, costituisce dato informativo documentale conservato all’estero utilizzabile ai sensi dell’art. 234-bis cod. proc. pen., e non flusso comunicativo, non trovando applicazione la disciplina delle intercettazioni di cui agli artt. 266 e 266-bis cod. proc. pen. PROVVEDIMENTO: (Omissis) RITENUTO IN FATTO 1. Con ordinanza pronunciata a norma dell’art. 309 codice di rito, il Tribunale di Reggio Calabria ha confermato l’ordinanza con la quale il GIP del Tribunale cittadino aveva applicato a (Omissis) (Omissis) la misura della custodia cautelare in carcere in quanto gravemente indiziato dei reati di cui ai capi 1), 9), 10) e 11) della contestazione provvisoria (partecipazione a un’associazione per delinquere ai sensi dell’art. 74, c. 1, 2 3 e 4, d. P.R. n. 309/1990, reato aggravato ai sensi degli artt. 61 bis e 416 bis.1, cod. pen. e più reati fine ai sensi degli artt. 73, d. P.R. n. 309/1990 (importazione di ingenti quantitativi di co­caina). 2. Secondo quanto emerge dall’ordinanza impugnata, il compendio probatorio è in prevalenza costituito dal contenuto di comunicazioni tra gli indagati che costoro avevano scambiato giovandosi di un sistema criptato, ma anche da intercettazioni, dagli esiti del controllo dei tabulati telefonici e delle geolocalizzazioni, da riprese video e da attività di riscontro della polizia giudiziaria. In premessa, il Tribunale ha rigettato l’eccezione di nullità del titolo cautelare, sollevata in relazione alla asserita assenza, nel fascicolo depositato dal PM, di alcuni atti fondanti la formulazione dell’accusa, rilevando, di contro, che i tabulati relativi al traffico telefonico ai quali la difesa si riferiva erano stati trasmessi, quali allegati alla informativa conclusiva del 17/2/2022, altresì precisando che la difesa non aveva mai allegato di non averli conosciuti, ma che essi non sarebbero stati messi a disposizione del GIP, assunto rimasto del tutto indimostrato e tale da non incidere sulla utilizzabilità degli atti, posto che le chat e i tabulati erano riportati nella informativa conclusiva, ma anche nella richiesta di misura cautelare e nella stessa ordinanza di custodia impugnata. Parimenti infondata è stata ritenuta anche la doglianza difensiva fondata sulla mancata trasmissione dei provvedimenti genetici con i quali l’A.G. francese aveva disposto l’acquisizione delle chat dal server SKY ECC, atteso che il PM, non appena avuta la disponibilità della documentazione tradotta, l’aveva messa a disposizione della difesa, producendola [continua..]

SOMMARIO:

1. Uno sguardo d’insieme - 2. Le questioni - 3. La natura della messaggistica scambiata con il sistema Sky ECC - 4. Sull’integrità delle conversazioni decriptate. Nihil sub sole novi - 5. Ancora sulla presunzione di legittimità degli atti acquisiti mediante - 6. Passi da compiere - NOTE

1. Uno sguardo d’insieme

Transnazionalità e tecnologia costituiscono le voci del binomio su cui si fonda la decisione in epigrafe, la quale offre una puntuale sintesi dell’approdo e della rilevanza delle moderne tecnologie nel settore processual-penalistico. La pronuncia si sviluppa verticalmente, investendo, dapprima, la tematica dell’acquisizione della prova elettronica transnazionale e, in un secondo momento, la questione della sua valutazione e ammissibilità nell’ordinamento interno. In premessa, è di palmare evidenza che in materia penale le tecnologie con la loro forza dirompente abbiano una duplice funzione: da un lato, agevolano ormai da anni la commissione dei reati [1], tanto che i dispositivi digitali assurgono a inevitabili fonti di prova [2]; dall’altro, sono sempre più d’ausilio nelle investigazioni. Al contempo, esse attengono alla tipicità di talune fattispecie criminose [3]. Dalla poliedricità della tecnologia in ambito penale è conseguita la nascita di una nuova prova, la c.d. prova digitale [4], contraddistinta da immaterialità e volatilità e attinente anche  ai reati non informatici [5]. L’utilità delle tecnologie nella commissione dei reati va ricondotta, a titolo esemplificativo, alla creazione di strumenti di messaggistica istantanea criptati, in un primo momento impenetrabili dall’autorità giudiziaria e dalle forze dell’ordine. Si tratta dei sistemi inizialmente predisposti dai dispositivi Blackberry e delle successive piattaforme EcroChat e Sky ECC [6], utilizzati da organizzazioni criminali, operanti in vari territori del­l’Unione Europea, per la consumazione di svariate fattispecie di reato, tra cui il traffico di sostanze stupefacenti transnazionale. Le risorse tecnologiche, dunque, facilitano (e hanno facilitato) anche la commissione di reati al di là dei confini nazionali [7]. Proprio sulla scorta di questa presa di coscienza, l’As­semblea generale delle Nazioni Unite ha adottato le Convenzioni e i Protocolli contro il crimine organizzato transnazionale, rispettivamente il 15 novembre 2000 e il 31 maggio 2001, ratificati dall’Italia con legge del 16 marzo 2006, n. 146. L’Unione Europea, invece, con l’avvio della cooperazione giudiziaria, ha adottato Convenzioni e Direttive volte ad introdurre nuove risorse investigative e modalità di [continua ..]

2. Le questioni

Tra le critiche mosse alla Procura ne vanno approfondite tre [12]. La prima attiene alla natura delle conversazioni acquisite: si obiettava che le stesse non consistessero in documenti informatici, ma in flusso di comunicazioni. In particolare, si individuava una violazione di legge, atteso che l’autorità giudiziaria aveva attivato un ordine europeo d’indagine per acquisire prove informatiche ex art. 234-bis c.p.p. Al contrario, ad avviso della difesa, avrebbe dovuto trovare applicazione la disciplina delle intercettazioni di cui agli artt. 266 ss. c.p.p. che prevede anche il requisito del consenso del titolare dei dati. La seconda questione si appunta sulla mancata conoscenza della modalità di decodifica delle conversazioni e, dunque, sulla violazione dell’art. 8 legge n. 48/2008 e dell’art. 191 c.p.p. Si rilevava che non conoscere il processo di “traduzione” o conversione delle conversazioni criptate violasse interessi costituzionali, quali le garanzie del giusto processo e il diritto di difesa. Infine, si eccepiva la violazione e la falsa applicazione degli artt. 24 e 111 Cost. e artt. 178, lett. c), 291, 292 e 294, c.p.p., per la mancata disponibilità della documentazione attestante l’attività compiuta dal­l’autorità giudiziaria francese. Si riteneva che tale documentazione fosse necessaria per vagliare la legittimità delle attività investigative svolte all’estero. I tre motivi sono stati ritenuti infondati e il ricorso è stato interamente rigettato.

3. La natura della messaggistica scambiata con il sistema Sky ECC

La prima quaestio iuris consiglia un cenno all’O.E.I. e ai presupposti delle intercettazioni ex artt. 266 e 266-bis c.p.p. Infatti, già l’esegesi della normativa codicistica e dei principi in materia rende convincente la soluzione adottata della Suprema Corte. In dettaglio, ai sensi dell’art. 2, comma 1, lett. a), d.lgs. 21 giugno 2017, n. 108 l’ordine europeo di indagine [13] può essere emesso dall’autorità giudiziaria o amministrativa per compiere atti di indagine o di assunzione probatoria che hanno ad oggetto persone o cose che si trovano nel territorio dello Stato o di un altro Stato membro dell’Unione, ovvero per acquisire informazioni o prove che sono già disponibili [14]. L’ordine europeo di indagine c.d. “attivo” può avere ad oggetto solo una prova acquisibile nello Stato di emissione e lo Stato di esecuzione provvede alla sua acquisizione con le modalità e le garanzie previste dalla disciplina interna [15]. L’ O.E.I. costituisce senz’altro un passo in avanti rispetto al passato, atteso che rappresenta un’evoluzione del precedente mandato europeo di ricerca delle prove (M.E.R.), utilizzabile solo per le prove precostituite e non anche per le prove costituende [16]. Dunque, con il M.E.R. non si poteva ricorrere ad intercettazioni, mentre attualmente si riconosce la possibilità di richiedere intercettazioni di telecomunicazioni transitanti su territorio di altro Stato membro ex art. 43 d.lgs. n. 108/2017, purché siano rispettati i principi di necessità e proporzionalità [17]. L’esecuzione dell’O.E.I., avente ad oggetto la richiesta di intercettazioni, può avvenire in un duplice modo: l’autorità straniera può trasmettere le telecomunicazioni allo Stato che ha emesso l’ordine ovvero può intercettare, registrare e trasmettere successivamente il risultato dell’intercettazione allo Stato di emissione [18]. Il ricorso all’O.E.I. risulta non già superfluo, ma ultroneo, nei casi in cui si adotti la c.d. “tecnica di instradamento”, in forza della quale la conversazione viene deviata su un nodo telefonico nazionale e così captata e registrata nel territorio italiano. Ciò vale sia quando la conversazione intercorra tra un’utenza italiana e una straniera all’estero sia quando avvenga [continua ..]

4. Sull’integrità delle conversazioni decriptate. Nihil sub sole novi

La seconda questione, più delicata e scaturente dall’asserita violazione dell’art. 8 l. n. 48/2008 e del­l’art. 191 c.p.p., è risolta dalla Suprema Corte in armonia con i precedenti giurisprudenziali. Il vero punctum dolens concerne l’utilizzabilità delle comunicazioni intercorse con il sistema Sky ECC e successivamente decriptate con un algoritmo sconosciuto alla difesa. Viene in rilievo un tema che sempre più sta scuotendo la dottrina [27]. Non conoscendo l’algoritmo che ha decodificato le conversazioni originariamente criptate – si osserva – non si è in grado di accertare se la loro conversione da stringa alfanumerica a messaggi di testo sia sempre corretta. Si teme, infatti, che in sede di conversione possa essere minata l’integrità della conversazione originaria. Dinanzi al dubbio sulla genuinità dei dati, unito alla consapevolezza dell’inacessibilità assoluta all’algoritmo e alle chiavi di decodifica, si affermano la violazione del diritto di difesa e l’inutilizzabilità delle conversazioni [28]. I giudici della Cassazione rinunciano a pretese di esaustività e affermano che, applicando l’al­goritmo insieme alla chiave di cifratura al testo criptato, non vi è il rischio di alterazioni o manipolazioni: la decifratura sarà sempre corretta. Di fatto è così. Ciascun messaggio cifrato è abbinato ad una specifica chiave. Solo e soltanto quest’ultima, combinata con l’algoritmo di decrittazione, è in grado di fornire un messaggio di testo, corrispondente in modo indefettibile a quello originario. Un messaggio di senso incompiuto può derivare solo dall’applicazione di una chiave di cifratura errata. L’affidabilità della conclusione circa l’inec­cepibile funzionamento dell’algoritmo è ulteriormente confermata anche dall’affidabilità del soggetto da cui le conversazioni decriptate promanano (Europol), ma, a monte, dai sistemi utilizzati per la criptazione. Ad ogni modo, se gli algoritmi di decrittazione associati alla loro chiave forniscono un risultato inequivocabile e, dunque, eventuali scetticismi possono essere infondati, lo stesso non può dirsi con riguardo agli algoritmi predittivi, i quali possono far sorgere legittimi timori, in quanto, ad esempio, potrebbero fornire [continua ..]

5. Ancora sulla presunzione di legittimità degli atti acquisiti mediante

Ammessa l’utilizzabilità di conversazioni decriptate, si evidenzia che tale utilizzabilità è diretta, in quanto non sussiste un potere di controllo da parte del giudice nazionale. Infatti, in virtù del principio di mutuo riconoscimento e della fiducia tra gli Stati membri, il giudice nazionale non è tenuto a controllare la regolarità degli atti dell’autorità straniera, compito d’altra parte riservato al giudice estero, ma a vagliare solo il rispetto delle garanzie e dei diritti fondamentali [37]. Emerge, dunque, una presunzione di legittimità dell’attività svolta all’estero dagli organi preposti [38]. Inoltre, non può sussistere alcun margine di controllo se gli atti sono stati compiuti nell’ambito di autonome indagini dell’autorità straniera. Quanto appena riportato costituisce il cuore delle argomentazioni che la Suprema Corte ha speso in ordine alla doglianza difensiva, con verdetto d’infondatezza del relativo motivo. A corredo può aggiungersi che se alla magistratura interna non spetta alcun vaglio sulla legittimità dell’operato svolto dall’autorità francese, a fortiori lo stesso è precluso al difensore. I Giudici di legittimità esauriscono la questione, dunque, con un mero rinvio al principio di diritto relativo alla presunzione di legittimità, ampiamente consolidato in giurisprudenza [39]. Il principio di diritto espresso e la disponibilità degli atti investigativi, come nel caso di specie, conducono ad escludere la violazione degli artt. 24 e 111 Cost. e 178, lett. c), 291, 292 e 294, c.p.p.

6. Passi da compiere

L’ingresso a gamba tesa della tecnologia e dei suoi risultati nell’impianto processualistico attuale è da guardare certamente con favore. Gli entusiasmi, seppur legittimi, non devono però far dimenticare la necessità del rispetto delle garanzie fondamentali [40], né possono offuscare la vista rispetto a ciò che può essere ancora migliorato; né si può trascurare lo scetticismo di chi, dinanzi al dilagare incessante della prova digitale, teme la possibile retrocessione del contradditorio per la formazione della prova, che rischia di essere relegato a vaglio sulla genuinità del dato informatico [41]. Ad ogni modo, nonostante l’incontestabile sussistenza di una prova elettronica, la legislazione attuale non è al passo con il progresso tecnologico in ambito probatorio. La disposizione di cui all’art. 234-bis c.p.p. rappresenta un apprezzabile tentativo di ammodernamento e di allineamento all’evoluzione della criminalità transnazionale, dovuta, anche e in buona parte, alla digitalizzazione. A differenza di altri ordinamenti, la legislazione italiana non disciplina procedimenti ad hoc mediante i quali acquisire i dati digitali, anche conservati all’estero. Specifiche procedure di apprensione da un lato potrebbero rendere più rapida ed efficiente l’attività investigativa, dall’altro potrebbero offrire maggiori garanzie in ordine alla genuinità del dato. Attualmente la polizia giudiziaria segue percorsi di apprensione dei dati digitali eterogenei [42]. Il panorama normativo euro-unitario infonde fiducia: dinanzi all’esigenza di adeguamento della cooperazione giudiziaria all’era digitale, si possono rilevare timidi passi in avanti; è il caso di una proposta di Direttiva sulla nomina di rappresentanti legali da parte dei prestatori di servizi ai fini dell’acquisizione di prove nei procedimenti penali (COM(2018)226 final); di pari pregio è la proposta di Regolamento relativo agli ordini europei di produzione e di conservazione di prove elettroniche in materia penale (COM(2018)225 final), alla luce dell’orientamento generale del Consiglio UE del 7 dicembre 2018 [43]. La proposta di Regolamento mira a garantire una rapida acquisizione e conservazione di prove digitali detenute da prestatori di servizi, aventi sede in altri territori dell’U.E. Nello specifico, [continua ..]

NOTE