manuale_insolvenza

home / Archivio / Fascicolo / La vocazione espansiva delle indagini informatiche e l'obsolescenza della legge

indietro stampa articolo indice leggi articolo leggi fascicolo


La vocazione espansiva delle indagini informatiche e l'obsolescenza della legge

di Marcello Daniele (Professore ordinario di Diritto processuale penale - Università degli Studi di Padova)

L’informatica ha creato mezzi di ricerca della prova capaci di coprire spazi fisici e virtuali sempre più estesi. Eppure la legge si è finora dimostrata incapace di regolarne l’utilizzo, a livello tanto nazionale quanto sovranazionale.

Sul primo fronte emergono asimmetrie nel dosaggio delle garanzie, velleitari tentativi di limitare il raggio operativo di taluni strumenti (si pensi alle intercettazioni ambientali tramite i c.d. captatori), e preoccupanti vuoti normativi tali da lasciare eccessiva libertà alla giurisprudenza (è il caso delle perquisizioni online).

Sul fronte sovranazionale, poi, è evidente come la disciplina della cooperazione giudiziaria non sia ancora attrezzata per evitare che le acquisizioni delle prove digitali effettuate dall’estero eludano le tutele previste dagli ordinamenti nazionali in cui le medesime sono reperibili. Si sconta, qui, l’incapacità degli Stati di accordarsi in merito alla previsione di regole probatorie comuni, l’unica soluzione in grado di portare il dovuto ordine nell’attuale far west informatico.

The expansive capacity of digital investigations and the obsolescence of legislation

Informatics has created means for obtaining evidence capable of covering ever more extensive physical and virtual spaces. Yet the legislation has so far proved unable to regulate their use, at both national and supranational levels.

On the first front there are asymmetries in the dosage of guarantees, useless attempts to limit the area of application of certain instruments (we are referring to the interceptions through trojan horse), and a worrying normative vacuum which leaves excessive liberty to the jurisprudence (as in the case of online searches).

Furthermore, on the supranational front it is clear that the rules of judicial cooperation are not yet fully equipped to avoid that the digital evidence gathering from abroad evade the protections provided by the national legal systems in which the evidence is available. It comes clear, here, the inability of the States to agree on the provision of common investigation rules, the only solution capable of bringing the due order into the current IT far west.

 

DILATAZIONE DEGLI SPAZI INVESTIGATIVI

Nella loro configurazione tradizionale, i mezzi di ricerca della prova (perquisizioni, sequestri, intercettazioni, videoriprese) riguardano spazi ed oggetti fisici ben delimitati. Ciò ne semplifica l’individua­zione del regime giuridico: è necessario che rispettino le regole in vigore nel luogo in cui vengono utilizzati, in applicazione del classico principio di sovranità nazionale.

È un connotato che sta profondamente mutando a causa della tecnologia digitale. Quest’ultima ha generato strumenti investigativi capaci di coprire spazi fisici e virtuali sempre più estesi e, come tali, non sempre riconducibili alla giurisdizione esclusiva di uno specifico Stato [1].

Mai nella storia gli organi inquirenti hanno avuto a disposizione armi così potenti e pericolose. Eppure finora il legislatore non è stato abbastanza rapido nel frenarne l’utilizzo, ignorando gli sviluppi dell’informatica o, comunque, non riuscendo a coglierne tutte le implicazioni. Un’i­nadeguatezza che emerge tanto a livello nazionale, considerate le lacune e le incoerenze che contraddistinguono le norme vigenti in materia, quanto a livello sovranazionale, laddove la cooperazione giudiziaria non riesce a liberarsi di schemi ormai superati.

CARENZE NORMATIVE INTERNE

L’informatica si caratterizza per la sua estrema duttilità. Non consente solo di raccogliere i dati digitali rinvenibili nei dispositivi e nelle reti. Mediante l’inoculazione dei c.d. captatori (trojan), permette anche di trasformare gli stessi dispositivi in strumenti investigativi, attivandone a distanza i microfoni o le videocamere per acquisire i suoni e le immagini negli ambienti circostanti: intercettazioni e videoriprese “ambulanti”, potenzialmente estendibili a tutti i luoghi in cui i dispositivi vengono collocati, e spesso irrinunciabili per carpire informazioni che, diversamente, risulterebbero inaccessibili [2].

Sono operazioni che hanno un costo per il diritto alla riservatezza, da ritenere ormai esteso, in forza dell’ampia declinazione che esso trova nell’art. 8 CEDU, anche alle sue proiezioni informatiche. Dovrebbe essere la legge a contenerne le violazioni, autorizzando compressioni della privacy nei limiti dello stretto indispensabile. Ma non è questa la sensazione che si ricava dalla disciplina italiana [3], la quale manca tuttora di un approccio adeguato alla tematica.

A) GARANZIE ASIMMETRICHE

Emerge, anzitutto, un evidente profilo di incoerenza del nostro sistema. Le intercettazioni informatiche richiedono l’autorizzazione del giudice per le indagini preliminari, presupposti rigorosamente definiti e l’attinenza del procedimento a certi gravi reati [4]. Per converso, ai fini di altri mezzi di ricerca delle prove digitali (perquisizioni [5], videoriprese in luoghi riservati [6], acquisizione di dati di traffico [7]), altrettanto se non addirittura più invasivi per la privacy, risulta sufficiente un provvedimento motivato del pubblico ministero, qualunque sia il reato contestato, imperniato su condizioni non sempre delineate dalla legge in modo sufficientemente puntuale.

È una stortura superabile solo con una modifica legislativa. Si potrebbe forse tentare di correggerla in via ermeneutica in rapporto alle videoriprese, attraverso lo strumento dell’interpretazione conforme alla CEDU. Per raggiungere un risultato del genere si dovrebbero identificare le “modalità di assunzione” - che l’autorità giudiziaria è tenuta a stabilire in base all’art. 189 c.p.p. - con gli adempimenti richiesti dalla Corte europea dei diritti dell’uomo a protezione della riservatezza: non solo un’autoriz­zazione parte di un organo indipendente dal potere esecutivo, ma anche l’attinenza del procedimento a reati di una certa gravità, la delimitazione dell’oggetto e la stretta necessità delle operazioni [8], la loro limitazione temporale e la rigorosa conservazione dei dati ottenuti [9].

Sono garanzie che, a livello interno, vengono assicurate dalle norme sulle intercettazioni. Se si ritenesse praticabile la lettura qui proposta, queste ultime potrebbero essere estese analogicamente alle videoriprese, nella ragionevole convinzione che ne deriverebbe una disciplina non solo compatibile con la CEDU, ma anche pienamente conforme alla volontà del legislatore nazionale.

B) FINTI LIMITI AI CAPTATORI

Altrettanto criticabile la disciplina dei captatori che il d.lgs. 29 dicembre 2017, n. 216 vorrebbe introdurre[10], limitata alle intercettazioni sonore, ma estendibile, come si è appena cercato di sostenere, anche alle videoriprese attraverso il ponte dell’art. 189 c.p.p. letto alla luce della giurisprudenza della Corte europea.

Concepite per le tradizionali intercettazioni ambientali, le regole tuttora vigenti non sono certo adatte a governare il fenomeno. Si pensi al requisito ordinariamente postulato dall’art. 266 comma 2 c.p.p. ai fini delle captazioni nei luoghi di privata dimora: la presenza di un “fondato motivo” di ritenere che ivi “si stia svolgendo” un’“attività criminosa”. Una giustificazione non agevole da fornire in caso di adozione di un trojan, risultando molto difficile delimitare a priori tutti i luoghi in cui il dispositivo infettato potrebbe essere portato dal suo proprietario [11].

L’art. 13 comma 1 d.l. 13 maggio 1991, n. 152 non la richiede nell’ambito dei procedimenti relativi alla non meglio definita categoria dei delitti di “criminalità organizzata”. Ciò spiega perché la decisione Scurato delle Sezioni Unite abbia confinato l’impiego dei captatori a questi ultimi [12]. Una restrizione, a dire il vero, non difficile da eludere, considerati gli spazi di manovra di cui fruisce il pubblico ministero al momento di formulare le contestazioni in una fase fluida come quella delle indagini preliminari [13].

Il d.lgs. n. 216 del 2017 mira a superarla, delineando un duplice regime di uso dei trojan. In tutti i casi opererebbero i requisiti tradizionali delle intercettazioni [14], a cui se ne aggiungerebbe uno specifico, ossia la “necessità” del captatore per lo “svolgimento delle indagini” [15]. Dopodiché, in rapporto ai reati per cui le intercettazioni sono permesse [16], di regola servirebbe l’indicazione dei “luoghi” e del “tempo”, “anche indirettamente determinati”, in relazione ai quali risulterebbe “consentita l’attivazione del microfono” [17]; inoltre, se le captazioni avvenissero in un luogo di privata dimora, continuerebbe a valere il presupposto dell’attuale com­missione di un reato [18]. Tali condizioni, per converso, verrebbero meno quanto agli illeciti di cui al­l’art. 51 commi 3 bis e 3 quater c.p.p. (i c.d. reati distrettuali), in merito ai quali l’intercettazione ambientale con il trojan sarebbe sempre consentita” [19].

Si vorrebbe, così, generalizzare l’impiego dei captatori, al contempo cercando di sottoporli a presupposti più restrittivi di quelli delle intercettazioni ambientali tradizionali [20]. Non si può dire, però, che il bersaglio sarebbe centrato. Lo impedirebbe l’irriducibilità dello strumento a qualsiasi tentativo di contenerne l’ambito operativo. Tanto è vero che la stessa riforma, comunque, non vieterebbe l’indi­viduazione “indiretta” dei tempi e dei luoghi della captazione [21]: una possibilità che, di fatto, ne amplierebbe a dismisura la portata. Né riuscirebbe a segnare un limite effettivo l’esigenza dell’at­tualità della commissione di un reato nei luoghi di privata dimora: non è difficile prevedere che tale esoso requisito sarebbe sterilizzato nella prassi. Un’eccessiva restrizione a monte dei margini di impiego dei trojan, del resto, rischierebbe di portare alla perdita di elementi preziosi per le indagini: il nuovo comma 1 bis dell’art. 271 c.p.p. sancirebbe l’inutilizza­bilità dei “dati acquisiti al di fuori dei limiti di tempo e di luogo indicati nel decreto autorizzativo”. Ne deriverebbero, inoltre, non pochi ostacoli dal punto di vista tecnico. I dispositivi dovrebbero essere attivati e disattivati a distanza a seconda del luogo in cui venissero a trovarsi: un’operazione che, anche se venisse svolta da appositi programmi informatici con l’ausilio di geolocalizzatori, non sarebbe esente dal rischio di errore [22], anche tenendo conto dei molteplici problemi legati alla riproducibilità e alla verificabilità ex postdelle attività dei captatori [23].

Tutto considerato, sarebbe preferibile riservare l’impiego dei trojan ai procedimenti per i reati di maggiore gravità [24]. Perfino la sua estensione a tutti i reati distrettuali - fattispecie non sempre omogenee dal punto di vista del trattamento sanzionatorio - risulterebbe eccessiva. La si dovrebbe confinare ai soli reati associativi che, sulla base delle caratteristiche e della potenziale pericolosità del programma criminoso perseguito, sono puniti con le pene più elevate. Non potendo evitare il rischio di manipolazioni degli addebiti meramente funzionali all’ammissibilità dei captatori, non sarebbe una soluzione priva di difetti. Ma almeno avrebbe il merito di impedirne l’uso quasi illimitato nella sostanza autorizzato dalla disciplina vigente.

C) VUOTI PERICOLOSI

L’ordinamento si è, infine, colpevolmente disinteressato della facoltà di impiegare i trojan per acquisire a distanza il contenuto dei sistemi informatici, o per sorvegliarne in modo occulto le attività (captando i dati in entrata e in uscita, gli elenchi dei siti web visitati, le immagini visualizzate sullo schermo o, addirittura, le password digitate sulla tastiera) [25]: perquisizioni che si potrebbero definire “online”, dalla spaventosa capacità di scandagliare l’intera esistenza digitale delle persone [26].

Operazioni del genere non possiedono i requisiti minimi indispensabili per integrare lo schema normativo degli atti di indagine, neppure di quelli atipici [27]. Mancando un’apposita disciplina, dunque, i loro esiti dovrebbero essere considerati giuridicamente inesistenti [28].

Non è questa l’impostazione della giurisprudenza, mossa dall’intento di salvaguardarne il più possibile i risultati. Basti pensare alla sentenza Virruso, con cui la Corte di cassazione aveva ritenuto ammissibili come prove documentali ex art. 234 c.p.p. i file carpiti tramite un trojan da un personal computer situato in un ufficio aperto al pubblico [29], trascurando il fatto che l’attività investigativa era avvenuta all’interno di uno spazio, per quanto virtuale, riservato, senza fruire di adeguate garanzie processuali.

Più di recente, la sentenza Occhionero ha qualificato come intercettazione informatica (art. 266 bis c.p.p.) l’uso di un captatore per acquisire alcuni flussi di comunicazioni intercorsi fra un personal computer situato in un appartamento ed altri dispositivi. In questo caso, però, il trojan era servito anche per raccogliere dati che si trovavano all’interno del computer, configurando un’operazione non inquadrabile nel solo paradigma delle intercettazioni [30]. Eppure la Corte non ne ha dichiarato inutilizzabili i risultati, mostrando di non essere ancora riuscita a coglierne la reale natura.

AGGIRAMENTI DELLA SOVRANITÀ NAZIONALE

Ulteriori complicazioni sorgono quando le indagini informatiche assumono carattere sovranazionale, in quanto riguardino prove digitali reperibili in dispositivi o sistemi informatici situati in altri Stati. In tali evenienze, vengono in gioco gli strumenti della cooperazione giudiziaria: vale a dire la rogatoria o, quando le operazioni coinvolgono Stati dell’Unione Europea, il neonato ordine europeo di indagine penale (OEI).

Qui la questione principale è stabilire quali modalità istruttorie vadano applicate: se quelle dello Stato in cui la prova è reperibile (lex loci), o quelle dello Stato in cui la medesima dovrà essere utilizzata in giudizio (lex fori). La disciplina vigente la risolve con un compromesso: si devono adottare le “formalità” e le “procedure” necessarie ai fini dell’utilizzabilità della prova in base alla lex fori, sempre che esse non siano in conflitto con i “principi fondamentali” della lex loci [31]. Resta salvo, in ogni caso, l’obbligo di rispettare i diritti fondamentali dell’accusato e delle altre persone coinvolte [32].

Un discorso non molto diverso vale per il prossimo approdo legislativo in materia: la facoltà per le autorità nazionali di richiedere le prove digitali direttamente ai service provider che le detengono, anziché agli Stati in cui questi ultimi sono ubicati. La Commissione Europea l’ha prevista nella recente proposta di regolamento sugli “ordini europei di produzione e di conservazione delle prove elettroniche in materia penale” [33]. Vi si contempla il potere dei provider di non ottemperare alle richieste che rischino di violare i diritti fondamentali previsti dalla Carta di Nizza [34] o, quando i medesimi abbiano la propria sede al di fuori dell’Unione, dagli ordinamenti nazionali [35].

Sono tutte prescrizioni che non individuano in modo preciso le condizioni di ammissibilità e le modalità di esecuzione delle richieste istruttorie, lasciando questo delicato compito ai giudici chiamati ad applicarle [36]. Esse hanno senz’altro il merito di impedire l’uso di modalità tali da svuotare la lex loci, in modo da salvaguardare i tratti essenziali della sovranità dello Stato in cui le prove sono reperibili. Il problema, però, è che non sono capaci di stare al passo con gli sviluppi dell’informatica, che ancora una volta hanno rimescolato le carte. È sempre più frequente che le prove digitali situate all’estero siano suscettibili di essere acquisite a distanza tramite apposite perquisizioni online, senza nessuna assistenza tecnica di un’autorità straniera o di un service provider [37]. È una modalità senz’altro più vantaggiosa per la rapidità di esecuzione delle attività, troppo spesso penalizzata dalla farraginosità degli adempimenti richiesti dai meccanismi della cooperazione. Rischia, però, di favorire un’elusione delle garanzie processuali previste dalla lex loci a tutela della riservatezza dei dati, nella misura in cui l’intrusione avvenga da parte di Stati i cui ordinamenti non prevedano un’autorizzazione di un organo indipendente dal potere esecutivo o, comunque, l’adozione di adeguate cautele.

L’eventualità è espressamente regolata in rapporto alle intercettazioni effettuate tramite la tecnica del c.d. instradamento, la quale consente agli Stati di captare senza nessuna intermediazione le comunicazioni che transitano all’estero convogliandole nei nodi di trasmissione situati nel proprio territorio. A questo proposito le norme sulla rogatoria e sull’OEI delineano un’apprezzabile strumento di protezione degli standard nazionali: lo Stato interessato può effettuare direttamente la captazione in base alla lex fori; deve, però, informarne la competente autorità dello Stato in cui si trova il sistema intercettato, alla quale spetta il compito di accertare se l’operazione sarebbe consentita in un caso interno analogo secondo la lex loci. Se così non fosse, essa dovrebbe domandare l’interruzione delle intercettazioni e, addirittura, disporre l’inutilizzabilità di quanto captato fino a quel momento [38].

È una forma di tutela che, purtroppo, non è prevista in relazione alla altre tipologie di indagini informatiche sovranazionali effettuabili a distanza. Ed anche nell’ipotesi in cui venisse introdotta, nel nostro sistema sconterebbe la mancanza di un’apposita disciplina delle perquisizioni online, con il risultato che la salvaguardia dei diritti fondamentali verrebbe ad essere affidata alla buona volontà della giurisprudenza.

ECLISSI DELLA LEX LOCI: LA TERRA DI NESSUNO DEL CLOUD

Vi è un ultimo livello di dilatazione dello spazio ad opera delle indagini informatiche, che ne rappresenta la frontiera più estrema: la captazione delle prove digitali reperibili nel cloud, ossia direttamente in rete. Si tratta di dati che perlopiù non sono localizzabili in uno specifico Stato, ma che, per ragioni economiche od organizzative, vengono fatti circolare dai loro gestori fra server situati in diversi Stati (c.d. load balancing) [39].

In casi del genere, le prove digitali si trovano “diluite” in una zona neutrale. Il pericolo è che la loro raccolta venga ad essere interamente governata dalla lex fori dello Stato che la effettua, magari in forza di regole non dotate di un sufficiente tasso di garanzia. La dissoluzione del parametro della lex loci, oltretutto, mette in crisi la legalità processuale: il titolare dei dati non è in grado di prevedere ex ante sulla base di quale regime giuridico i medesimi potranno essere acquisiti, risultando potenzialmente applicabili le norme di qualsiasi Stato in grado di impossessarsene.

È un’evenienza che la disciplina della cooperazione giudiziaria non appare ancora attrezzata ad affrontare [40]. Se sarebbe eccessivo conferire ad un soggetto privato come il gestore del servizio cloud il compito di individuare la lex loci di riferimento, altre possibili soluzioni appaiono altrettanto insoddisfacenti. Stabilirla in base alla nazionalità del sospettato rischierebbe di causare eccessive complicazioni qualora si trattasse di uno straniero. Determinarla in rapporto alla sede legale del gestore o al luogo di fruizione dei servizio - ossia, rebus sic stantibus, l’opzione tutto sommato da preferire - potrebbe favorire il forum shopping, spingendo i criminali a privilegiare i servizi cloudaccessibili dagli Stati con cui la cooperazione risulta più difficile [41].

Emerge nel modo più evidente, qui, il difetto di fondo dell’assetto vigente: il fatto che gli Stati non siano capaci di accordarsi sulla previsione di norme processuali comuni ai fini dell’accertamento dei reati a carattere sovranazionale, secondo una logica federale che andrebbe perseguita, se non altro, a livello europeo. Norme che non seguano il cattivo esempio delle direttive UE, limitandosi a fissare principi e valori rimessi all’attuazione giurisprudenziale, ma che riescano a delineare regole nel senso stretto del termine, tali da descrivere ciascuna fattispecie probatoria nel modo più compiuto possibile.

È un obiettivo che, per quanto non agevole da conseguire, appare irrinunciabile. Nel contesto della raccolta delle prove digitali, sarebbe illusorio aggrapparsi agli ideali del sovranismo e all’importanza di preservare l’identità dei singoli ordinamenti nazionali. Nella sempre più estesa no man’s land delle reti informatiche, l’unificazione della disciplina non è solo una fra le tante opzioni: è l’unica scelta praticabile per non azzerare la tutela dei diritti.

 

[1] Per un quadro orientativo sulle indagini informatiche cfr. G. Di Paolo, Prova informatica (diritto processuale penale), in Enc. dir.annali, VI, Milano, Giuffrè, 2016, p. 739 ss.; L. Luparia, Computer crimes e procedimento penale, in G. Garuti (a cura di), Modelli differenziati di accertamento, t. I, Torino, Utet, 2011, p. 369 ss.; S. Signorato, Le indagini digitali. Profili strutturali di una metamorfosi investigativa, Torino, Giappichelli, 2018, p. 121 ss.

[2] A causa dell’uso della crittografia nei sistemi di comunicazione informatica, nonché delle tecniche di “spacchettamento” delle informazioni: v. R. Brighi, Funzionamento e potenzialità investigative del malware, in G. Giostra-R. Orlandi (a cura di), Nuove norme in tema di intercettazioni. Tutela delle riservatezza, garanzie difensive e nuove tecnologie informatiche, Torino, Giappichelli, 2018, p. 212 ss.

[3] Si vedano gli artt. 266 s. c.p.p. per le intercettazioni, e gli artt. 247 ss., 352, 354, 355, 356, 360, 365 c.p.p. per le perquisizioni e i sequestri.

[4] Artt. 266 bis e 267 c.p.p.

[5] Art. 247 c.p.p.

[6] Tuttora non espressamente previste, ma ricondotte dalla giurisprudenza nell’alveo delle prove atipiche ex art. 189 c.p.p.: cfr. Cass., sez. un., 28 marzo 2006, n. 26795, la quale richiede, ai fini del loro svolgimento, un “provvedimento motivato dell’au­torità giudiziaria, sia essa il pubblico ministero o il giudice”.

[7] Art. 132 comma 3 del codice della privacy (d.lgs. 30 giugno 2003, n. 196).

[8] Con la specifica indicazione degli individui o dei luoghi soggetti alle operazioni.

[9] Cfr. Corte e.d.u., 4 dicembre 2015, Roman Zakharov c. Russia, in rapporto alle intercettazioni.

[10] La cui entrata in vigore è stata posticipata al 31 marzo 2019 dal d.l. 25 luglio 2018, n. 91, convertito dal Senato il 20 settembre 2018 con il d.d.l. 717-B (c.d. “milleproroghe”).

[11] V. P.P. Rivello, Le intercettazioni mediante captatore informatico, in O. Mazza (a cura di), Le nuove intercettazioni, Torino, Giappichelli, 2018, p. 134 ss.

[12] Cfr. Cass., sez. un., 28 aprile 2016, n. 26889. In dottrina cfr. F. Caprioli, Il “captatore informatico” come strumento di ricerca della prova in Italia, in Revista Brasileira de Direito Processual Penal, III, n. 2, 2017, p. 496 ss.

[13] Cfr. P. Bronzo, L’impiego del trojan horse informatico nelle indagini penali, in Riv. it. sc. giur., n. 8, 2017, p. 340 ss.; A. Camon, Cavalli di Troia in Cassazione, in Arch. n. proc. pen., 2017, p. 93; A. Marandola, Sviluppo tecnologico e uso del c.d. captatore informatico, in Studium iuris, 2017, p. 1286. A conferma di ciò, v. Cass., 13 giugno 2017, n. 36874, secondo cui non rileverebbero, ai fini della legittimità di un’intercettazione originariamente disposta in rapporto ad un’ipotesi di criminalità organizzata, eventuali successivi mutamenti della qualificazione giuridica. Cfr., sul punto, L. Cuomo-L. Giordano, Informatica e processo penale, in questa Rivista, n. 4, 2017, p. 729.

[14] I “gravi indizi di reato” e l’“assoluta indispensabilità ai fini della prosecuzione delle indagini”.

[15] In questo senso il nuovo art. 267 comma 1 c.p.p.

[16] Elencati dagli artt. 266 e 266 bis c.p.p.

[17] Così sempre il nuovo art. 267 comma 1 c.p.p. A favore di tale restrizione, F. Cajani, Odissea del captatore informatico, in Cass. pen., 2016, p. 4149 ss.; A. Capone, Intercettazioni e Costituzione. Problemi vecchi e nuovi, in Cass. pen., 2017, p. 1273 ss.; E. Lorenzetto, Il perimetro delle intercettazioni ambientali eseguite mediante “captatore informatico”, in www.penaleconemporaneo.it, 24 marzo 2016; E. Turco, La ricerca della prova ad alta efficacia intrusiva: il captatore elettronico, in A. Scalfati (a cura di), La riforma della giustizia penale. Commento alla legge 23 giugno 2017, n. 103, Torino, Giappichelli, 2017, p. 331 ss.

[18] Art. 266 comma 2 c.p.p. Tale requisito verrebbe esteso anche ai procedimenti per i reati dei pubblici ufficiali contro la pubblica amministrazione puniti con la pena della reclusione non inferiore nel massimo a cinque anni (art. 6 d.lgs. n. 216 del 2017).

[19] Così il nuovo art. 266 comma 2 bis c.p.p.

[20] Con l’eccezione, come si è appena detto, dei procedimenti per i reati distrettuali.

[21] Ad esempio, consentendo l’intercettazione di un dispositivo ogni volta in cui il suo proprietario si recasse nel locale y, o ovunque incontrasse il soggetto x (così la relazione al d.lgs. n. 216 del 2017).

[22] V. P. Bronzo, Intercettazione ambientale tramite captatore informatico: limiti di ammissibilità, uso in altri processi e divieti probatori, in G. Giostra-R. Orlandi (a cura di), Nuove norme, cit., p. 249 ss.; D. Curtotti, Il captatore informatico nella legislazione italiana, in Jus-online, n. 3, 2017, p. 399 ss.

[23] Cfr. G. Ziccardi, Il captatore informatico nella “Riforma Orlando”: alcune riflessioni informatico-giuridiche, in Arch. pen., speciale riforme (web), 30 maggio 2018, p. 10 ss. Le prescrizioni che verrebbero inserite al riguardo nell’art. 89 disp. att. c.p.p. (accurata documentazione delle operazioni compiute, impiego di programmi conformi ai requisiti tecnici stabiliti con decreto del Ministro della giustizia, procedure di tutela della catena di custodia) non sarebbero in grado di garantire risultati di assoluta affidabilità.

[24] In senso analogo v. L. Filippi, La legge delega sulle intercettazioni, in G.M. Baccari-C. Bonzano-K. La Regina-E.M. Mancuso, Le recenti riforme in materia penale, Assago, Wolters Kluwer-Cedam, 2017, p. 553 ss. Ne auspica un uso residuale ed eccezionale per i reati non distrettuali G. Varraso, Le intercettazioni e i regimi processuali differenziati per i reati di “grande criminalità” e per i delitti dei pubblici ufficiali contro la pubblica amministrazione, in O. Mazza (a cura di), Le nuove intercettazioni, cit., p. 146 ss.

[25] V., sul punto, F. Iovene, Le c.d. perquisizioni online tra nuovi diritti fondamentali ed esigenze di accertamento penale, in Dir. pen. cont., riv. trim., n. 3-4, 2014, p. 330 ss.; E.M. Mancuso, La perquisizione on-line, in Jus-online, n. 3, 2017, p. 432 ss.; L. Parlato, Problemi insoluti: le perquisizioni on-line, in G. Giostra-R. Orlandi (a cura di), Nuove norme, cit., p. 202 ss.

[26] V. A. Scalfati, Un ciclo giudiziario “travolgente”, in questa rivista., n. 4, 2016, p. 115; A. Testaguzza, Ancora in tema di captatore: le intercettazioni informatiche e telematiche. La Cassazione chiede il “bis”, in Giur. it., 2017, p. 2502 ss.

[27] Ossia il loro svolgimento da parte di esseri umani (si pensi alle perquisizioni e ai sequestri), o la ragionevole limitazione del loro oggetto (come avviene con le intercettazioni e le videoriprese).

[28] Mutatis mutandis, analogo il ragionamento di F. Cordero, Procedura penale, VI ed., Milano, Giuffrè, 1982, p. 852 ss., per giustificare l’inesistenza delle confessioni e delle testimonianze estorte, non sottoposte ad esplicite regole di esclusione dal c.p.p. 1930. Configurano, invece, un’inutilizzabilità per violazione delle norme costituzionali P. Felicioni, L’acquisizione da remoto di dati digitali nel procedimento penale: evoluzione giurisprudenziale e prospettive di riforma, in questa rivista, n. 5, 2016, p. 132; L. Filippi, Intercettazioni: una riforma complicata e inutile, in Dir. pen. proc., 2018, p. 296 ss.; M. Torre, Il captatore informatico nella legge delega 23 giugno 2017, n. 103, in Jus-online, n. 3, 2017, p. 440 ss.

[29] V. Cass., sez. V, 14 ottobre 2009, n. 16556.

[30] Cfr. Cass., sez. V, 30 maggio 2017, n. 48370.

[31] Si vedano, per la rogatoria, l’art. 4 della convenzione di assistenza giudiziaria dell’Unione Europea del 2000, l’art. 8 d.lgs. 5 aprile 2017, n. 52, l’art. 27, comma 3, della convenzione di Budapest sulla criminalità informatica del 2001, e l’art. 725 c.p.p.; per l’OEI, l’art. 9, comma 2, della direttiva 2014/41, e gli artt. 4, comma 2, e 5, comma 3, d.lgs. 21 giugno 2017, n. 108.

[32] Cfr., per la rogatoria, l’art. 15 della convenzione di Budapest, e l’art. 696 ter c.p.p.; per l’OEI, l’art. 11 comma 1 lett. f. della direttiva 2014/41, e l’art. 10, comma 1, lett. e) d.lgs. n. 108 del 2017.

[33] Si tratta della proposta di Regolamento del Parlamento europeo e del Consiglio, relativo agli ordini europei di produzione e di conservazione di prove elettroniche in materia penale, COM (2018) 225 final. V., al riguardo, M. Gialuz-J. Della Torre, Lotta alla criminalità nel cyberspazio: la commissione presenta due proposte per facilitare la circolazione delle prove elettroniche nei processi penali, in www.penalecontemporaneo.it, 31 maggio 2018.

[34] Si vedano gli artt. 9 comma 5 e 14 comma 4 lett. f della proposta.

[35] Art. 15 della proposta. Non dissimile la logica del recente Clarifying Lawful Overseas Use of Data Act (CLOUD Act) statunitense, ai sensi del quale il provider potrebbe rifiutarsi di trasmettere i dati in presenza di un “rischio effettivo di violazione del diritto dello Stato straniero in cui esso è ubicato (§ 103 lett. b).

[36] Sulla base di bilanciamenti fra i valori in gioco da condurre alla luce del principio di proporzionalità: v. M. Daniele, L’impatto dell’ordine europeo di indagine penale sulle regole probatorie nazionali, in Dir. pen. cont., riv. trim., n. 3, 2016, p. 76 ss.

[37] Cfr. S. Signorato, Le indagini digitali, cit., p. 161 ss.

[38] V., in rapporto alla rogatoria, l’art. 20 § 4 CAG 2000, e, quanto all’OEI, l’art. 31, comma 3, della direttiva 2014/41, e l’art. 44 comma 3 del d.lgs. n. 108 del 2017.

[39] Cfr. F. Siracusano, La prova informatica transnazionale: un difficile “connubio” fra innovazione e tradizione, in questa Rivista, n. 1, 2017, p. 180 ss.

[40] L’art. 234 bis c.p.p., che ha attuato l’art. 32 della convenzione di Budapest, si occupa solo dell’apprensione a distanza dei dati conservati in rete disponibili al pubblico, oppure acquisibili in forza del consenso del rispettivo titolare. Quest’ultimo non potrebbe essere identificato con chi si limiti a detenere i dati altrui (si pensi agli internet provider o ai social network), poiché diversamente si rischierebbe di subordinare le attività istruttorie a logiche di natura privatistica. Ne discende che, qualora fosse necessaria la collaborazione di tali soggetti, non si potrebbe procedere all’acquisizione diretta senza attivare i canali della cooperazione fra gli Stati: v. D. Negri, La regressione della procedura penale ad arnese poliziesco (sia pure tecnologico), in Arch. pen., n. 3, 2015, p. 53.

[41] V., al riguardo, G. Vaciago, Remote Forensics and Cloud Computing: an Italian and European Legal Overview, in Digital Evidence and Electronic Signature Law Review, n. 8, 2011, p. 124 ss.