Le comunicazioni decriptate e conservate all’estero tornano nel mirino della Suprema Corte, la quale anzitutto ne conferma la natura di prova documentale, acquisibile mediante ordine europeo di indagine, e al contempo ne fonda l’utilizzabilità sull’affidabilità del processo di decriptazione.
La pronuncia, inoltre, offre lo spunto per iniziare a indagare sui possibili rimedi futuri circa un’acquisizione più sicura ed efficiente dei dati informatici conservati all’estero. D’obbligo il rinvio alla proposta di Regolamento circa l’introduzione di un ordine di conservazione e di produzione della prova elettronica.
Decrypted communications stored abroad are back in the crosshairs of the Supreme Court, which first of all confirms their nature as documentary evidence, which can be acquired by European investigation order, and then reaffirms their usability, thanks to the reliability of the decryption process.
Moreover, the decision offers the opportunity to start focusing the attention on the possible future remedies about a more secure and efficient acquisition of computer data, stored abroad. The reference to the proposed Regulation about the introduction of an order of preservation and production of electronic evidence is indispensable.
1. Uno sguardo d’insieme - 2. Le questioni - 3. La natura della messaggistica scambiata con il sistema Sky ECC - 4. Sull’integrità delle conversazioni decriptate. Nihil sub sole novi - 5. Ancora sulla presunzione di legittimità degli atti acquisiti mediante - 6. Passi da compiere - NOTE
Transnazionalità e tecnologia costituiscono le voci del binomio su cui si fonda la decisione in epigrafe, la quale offre una puntuale sintesi dell’approdo e della rilevanza delle moderne tecnologie nel settore processual-penalistico. La pronuncia si sviluppa verticalmente, investendo, dapprima, la tematica dell’acquisizione della prova elettronica transnazionale e, in un secondo momento, la questione della sua valutazione e ammissibilità nell’ordinamento interno. In premessa, è di palmare evidenza che in materia penale le tecnologie con la loro forza dirompente abbiano una duplice funzione: da un lato, agevolano ormai da anni la commissione dei reati [1], tanto che i dispositivi digitali assurgono a inevitabili fonti di prova [2]; dall’altro, sono sempre più d’ausilio nelle investigazioni. Al contempo, esse attengono alla tipicità di talune fattispecie criminose [3]. Dalla poliedricità della tecnologia in ambito penale è conseguita la nascita di una nuova prova, la c.d. prova digitale [4], contraddistinta da immaterialità e volatilità e attinente anche ai reati non informatici [5]. L’utilità delle tecnologie nella commissione dei reati va ricondotta, a titolo esemplificativo, alla creazione di strumenti di messaggistica istantanea criptati, in un primo momento impenetrabili dall’autorità giudiziaria e dalle forze dell’ordine. Si tratta dei sistemi inizialmente predisposti dai dispositivi Blackberry e delle successive piattaforme EcroChat e Sky ECC [6], utilizzati da organizzazioni criminali, operanti in vari territori dell’Unione Europea, per la consumazione di svariate fattispecie di reato, tra cui il traffico di sostanze stupefacenti transnazionale. Le risorse tecnologiche, dunque, facilitano (e hanno facilitato) anche la commissione di reati al di là dei confini nazionali [7]. Proprio sulla scorta di questa presa di coscienza, l’Assemblea generale delle Nazioni Unite ha adottato le Convenzioni e i Protocolli contro il crimine organizzato transnazionale, rispettivamente il 15 novembre 2000 e il 31 maggio 2001, ratificati dall’Italia con legge del 16 marzo 2006, n. 146. L’Unione Europea, invece, con l’avvio della cooperazione giudiziaria, ha adottato Convenzioni e Direttive volte ad introdurre nuove risorse investigative e modalità di [continua ..]
Tra le critiche mosse alla Procura ne vanno approfondite tre [12]. La prima attiene alla natura delle conversazioni acquisite: si obiettava che le stesse non consistessero in documenti informatici, ma in flusso di comunicazioni. In particolare, si individuava una violazione di legge, atteso che l’autorità giudiziaria aveva attivato un ordine europeo d’indagine per acquisire prove informatiche ex art. 234-bis c.p.p. Al contrario, ad avviso della difesa, avrebbe dovuto trovare applicazione la disciplina delle intercettazioni di cui agli artt. 266 ss. c.p.p. che prevede anche il requisito del consenso del titolare dei dati. La seconda questione si appunta sulla mancata conoscenza della modalità di decodifica delle conversazioni e, dunque, sulla violazione dell’art. 8 legge n. 48/2008 e dell’art. 191 c.p.p. Si rilevava che non conoscere il processo di “traduzione” o conversione delle conversazioni criptate violasse interessi costituzionali, quali le garanzie del giusto processo e il diritto di difesa. Infine, si eccepiva la violazione e la falsa applicazione degli artt. 24 e 111 Cost. e artt. 178, lett. c), 291, 292 e 294, c.p.p., per la mancata disponibilità della documentazione attestante l’attività compiuta dall’autorità giudiziaria francese. Si riteneva che tale documentazione fosse necessaria per vagliare la legittimità delle attività investigative svolte all’estero. I tre motivi sono stati ritenuti infondati e il ricorso è stato interamente rigettato.
La prima quaestio iuris consiglia un cenno all’O.E.I. e ai presupposti delle intercettazioni ex artt. 266 e 266-bis c.p.p. Infatti, già l’esegesi della normativa codicistica e dei principi in materia rende convincente la soluzione adottata della Suprema Corte. In dettaglio, ai sensi dell’art. 2, comma 1, lett. a), d.lgs. 21 giugno 2017, n. 108 l’ordine europeo di indagine [13] può essere emesso dall’autorità giudiziaria o amministrativa per compiere atti di indagine o di assunzione probatoria che hanno ad oggetto persone o cose che si trovano nel territorio dello Stato o di un altro Stato membro dell’Unione, ovvero per acquisire informazioni o prove che sono già disponibili [14]. L’ordine europeo di indagine c.d. “attivo” può avere ad oggetto solo una prova acquisibile nello Stato di emissione e lo Stato di esecuzione provvede alla sua acquisizione con le modalità e le garanzie previste dalla disciplina interna [15]. L’ O.E.I. costituisce senz’altro un passo in avanti rispetto al passato, atteso che rappresenta un’evoluzione del precedente mandato europeo di ricerca delle prove (M.E.R.), utilizzabile solo per le prove precostituite e non anche per le prove costituende [16]. Dunque, con il M.E.R. non si poteva ricorrere ad intercettazioni, mentre attualmente si riconosce la possibilità di richiedere intercettazioni di telecomunicazioni transitanti su territorio di altro Stato membro ex art. 43 d.lgs. n. 108/2017, purché siano rispettati i principi di necessità e proporzionalità [17]. L’esecuzione dell’O.E.I., avente ad oggetto la richiesta di intercettazioni, può avvenire in un duplice modo: l’autorità straniera può trasmettere le telecomunicazioni allo Stato che ha emesso l’ordine ovvero può intercettare, registrare e trasmettere successivamente il risultato dell’intercettazione allo Stato di emissione [18]. Il ricorso all’O.E.I. risulta non già superfluo, ma ultroneo, nei casi in cui si adotti la c.d. “tecnica di instradamento”, in forza della quale la conversazione viene deviata su un nodo telefonico nazionale e così captata e registrata nel territorio italiano. Ciò vale sia quando la conversazione intercorra tra un’utenza italiana e una straniera all’estero sia quando avvenga [continua ..]
La seconda questione, più delicata e scaturente dall’asserita violazione dell’art. 8 l. n. 48/2008 e dell’art. 191 c.p.p., è risolta dalla Suprema Corte in armonia con i precedenti giurisprudenziali. Il vero punctum dolens concerne l’utilizzabilità delle comunicazioni intercorse con il sistema Sky ECC e successivamente decriptate con un algoritmo sconosciuto alla difesa. Viene in rilievo un tema che sempre più sta scuotendo la dottrina [27]. Non conoscendo l’algoritmo che ha decodificato le conversazioni originariamente criptate – si osserva – non si è in grado di accertare se la loro conversione da stringa alfanumerica a messaggi di testo sia sempre corretta. Si teme, infatti, che in sede di conversione possa essere minata l’integrità della conversazione originaria. Dinanzi al dubbio sulla genuinità dei dati, unito alla consapevolezza dell’inacessibilità assoluta all’algoritmo e alle chiavi di decodifica, si affermano la violazione del diritto di difesa e l’inutilizzabilità delle conversazioni [28]. I giudici della Cassazione rinunciano a pretese di esaustività e affermano che, applicando l’algoritmo insieme alla chiave di cifratura al testo criptato, non vi è il rischio di alterazioni o manipolazioni: la decifratura sarà sempre corretta. Di fatto è così. Ciascun messaggio cifrato è abbinato ad una specifica chiave. Solo e soltanto quest’ultima, combinata con l’algoritmo di decrittazione, è in grado di fornire un messaggio di testo, corrispondente in modo indefettibile a quello originario. Un messaggio di senso incompiuto può derivare solo dall’applicazione di una chiave di cifratura errata. L’affidabilità della conclusione circa l’ineccepibile funzionamento dell’algoritmo è ulteriormente confermata anche dall’affidabilità del soggetto da cui le conversazioni decriptate promanano (Europol), ma, a monte, dai sistemi utilizzati per la criptazione. Ad ogni modo, se gli algoritmi di decrittazione associati alla loro chiave forniscono un risultato inequivocabile e, dunque, eventuali scetticismi possono essere infondati, lo stesso non può dirsi con riguardo agli algoritmi predittivi, i quali possono far sorgere legittimi timori, in quanto, ad esempio, potrebbero fornire [continua ..]
Ammessa l’utilizzabilità di conversazioni decriptate, si evidenzia che tale utilizzabilità è diretta, in quanto non sussiste un potere di controllo da parte del giudice nazionale. Infatti, in virtù del principio di mutuo riconoscimento e della fiducia tra gli Stati membri, il giudice nazionale non è tenuto a controllare la regolarità degli atti dell’autorità straniera, compito d’altra parte riservato al giudice estero, ma a vagliare solo il rispetto delle garanzie e dei diritti fondamentali [37]. Emerge, dunque, una presunzione di legittimità dell’attività svolta all’estero dagli organi preposti [38]. Inoltre, non può sussistere alcun margine di controllo se gli atti sono stati compiuti nell’ambito di autonome indagini dell’autorità straniera. Quanto appena riportato costituisce il cuore delle argomentazioni che la Suprema Corte ha speso in ordine alla doglianza difensiva, con verdetto d’infondatezza del relativo motivo. A corredo può aggiungersi che se alla magistratura interna non spetta alcun vaglio sulla legittimità dell’operato svolto dall’autorità francese, a fortiori lo stesso è precluso al difensore. I Giudici di legittimità esauriscono la questione, dunque, con un mero rinvio al principio di diritto relativo alla presunzione di legittimità, ampiamente consolidato in giurisprudenza [39]. Il principio di diritto espresso e la disponibilità degli atti investigativi, come nel caso di specie, conducono ad escludere la violazione degli artt. 24 e 111 Cost. e 178, lett. c), 291, 292 e 294, c.p.p.
L’ingresso a gamba tesa della tecnologia e dei suoi risultati nell’impianto processualistico attuale è da guardare certamente con favore. Gli entusiasmi, seppur legittimi, non devono però far dimenticare la necessità del rispetto delle garanzie fondamentali [40], né possono offuscare la vista rispetto a ciò che può essere ancora migliorato; né si può trascurare lo scetticismo di chi, dinanzi al dilagare incessante della prova digitale, teme la possibile retrocessione del contradditorio per la formazione della prova, che rischia di essere relegato a vaglio sulla genuinità del dato informatico [41]. Ad ogni modo, nonostante l’incontestabile sussistenza di una prova elettronica, la legislazione attuale non è al passo con il progresso tecnologico in ambito probatorio. La disposizione di cui all’art. 234-bis c.p.p. rappresenta un apprezzabile tentativo di ammodernamento e di allineamento all’evoluzione della criminalità transnazionale, dovuta, anche e in buona parte, alla digitalizzazione. A differenza di altri ordinamenti, la legislazione italiana non disciplina procedimenti ad hoc mediante i quali acquisire i dati digitali, anche conservati all’estero. Specifiche procedure di apprensione da un lato potrebbero rendere più rapida ed efficiente l’attività investigativa, dall’altro potrebbero offrire maggiori garanzie in ordine alla genuinità del dato. Attualmente la polizia giudiziaria segue percorsi di apprensione dei dati digitali eterogenei [42]. Il panorama normativo euro-unitario infonde fiducia: dinanzi all’esigenza di adeguamento della cooperazione giudiziaria all’era digitale, si possono rilevare timidi passi in avanti; è il caso di una proposta di Direttiva sulla nomina di rappresentanti legali da parte dei prestatori di servizi ai fini dell’acquisizione di prove nei procedimenti penali (COM(2018)226 final); di pari pregio è la proposta di Regolamento relativo agli ordini europei di produzione e di conservazione di prove elettroniche in materia penale (COM(2018)225 final), alla luce dell’orientamento generale del Consiglio UE del 7 dicembre 2018 [43]. La proposta di Regolamento mira a garantire una rapida acquisizione e conservazione di prove digitali detenute da prestatori di servizi, aventi sede in altri territori dell’U.E. Nello specifico, [continua ..]