Sommario: 1. Premessa - 1.1. Il concetto di prova digitale - 1.2. Documento informatico e sistema informatico - 2. L’acquisizione - 2.1 Le indicazioni operative: la perquisizione - 2.2 Il problema della “macchina accesa”. - 2.3 Perquisizione e cloud - 2.4 L’accesso alle aree protette - 2.5 Le copie forensi - 2.6 L’oggetto dell’acquisizione - 2.7 In particolare, le “acquisizioni” nei confronti dei giornalisti - 2.8 L’acquisizione dei file di log - 2.9 L’acquisizione tramite captatore - 2.10 L’acquisizione della messaggistica istantanea - 2.11 Messaggistica e decrittazione.
1.1. - Il concetto di prova digitale
Molto è stato detto, da alcuni anni a questa parte, sulla prova digitale: il fascino e la rilevanza del tema (e in sintesi, la pervasività, dell’informatica e degli strumenti informatici e telematici in ogni settore della società) non potevano non suscitare un dibattito, ricco e “polifonico”, ben potendo su tale argomento svilupparsi un dialogo non solo tra portatori di differenti competenze, quanto - anche (o forse, in particolare) - tra differenti visioni giuridiche.
D’altro canto, la capillare e inarrestabile diffusione di dispositivi digitali destinati a un sempre maggiore numero di funzioni e di soggetti – in grado di memorizzare e conservare grandi quantità di dati, informazioni, rappresentazioni di fatti coinvolgenti la maggior parte degli aspetti della vita privata e professionale di ognuno di noi - non poteva che portare a una simile, per certi aspetti ossessiva, attenzione.
Anche per questo, prima di affrontare nel dettaglio profili strettamente pratico/operativi, paiono necessari alcuni brevissimi cenni di inquadramento di natura generale, per delineare i termini di alcuni problemi o per escluderne altri.
Secondo una nota definizione, è definita prova digitale il «complesso delle informazioni digitali che sono in grado di stabilire se un crimine è stato commesso o che possono rappresentare un collegamento tra un crimine e i suoi esecutori» [2]: in sostanza, qualsiasi dato o informazione di natura digitale in grado di assumere una valenza probatoria.
Anacronistica, ormai, l’equazione prova digitale/reati informatici: la prova digitale in senso lato rileva per un numero straordinariamente elevato di ipotesi delittuose anche “tradizionali”, considerando che un qualsiasi apparato digitale può:
- essere strumento necessario per la commissione di reati
- contenere le prove di reati di qualsiasi natura
- essere l’obiettivo di atti criminali.
In concreto, spesso accanto alla scena del crimine “tradizionale” si affianca quella del crimine “virtuale”. Non solo: molti reati sono oramai commessi all’interno di contesti digitali, quali internet e sue specifiche applicazioni, come i social network.[3]
Conseguentemente, nell’ambito di un procedimento penale [4] devono essere con sempre maggiore frequenza impiegate conoscenze riconducibili alla categoria generale definita “computer forensics” o “informatica forense”, ossia al settore di ricerca che studia le problematiche tecniche e giuridiche correlate alle investigazioni sui dati digitali, ossia su dati conservati e trasmessi con linguaggio binario, come tali caratterizzati da una non immediata percepibilità, la cui fruizione deve trovare luogo mediante specifiche operazioni tecniche, basate su principi informatici. [5]
La difficoltà per l’interprete è di conciliare la logica della scienza informatica, in costante evoluzione e ontologicamente “dinamica”, con le esigenze di accertamento e di “certezze” logico argomentative tipiche del diritto penale, che devono a loro volta conciliare esigenze probatorie e garanzie difensive.
In realtà, il dato comune alla prova digitale non può che essere legato al linguaggio binario attraverso il quale la stessa entra nell’ambito dell’accertamento penale: sia essa direttamente legata all’oggetto dell’attività illecita, sia alla documentazione di una qualsiasi forma di condotta (certamente, ma non solo, in relazione a tutte le forme di comunicazione- documentate attraversi i file di log- ma anche a fornire indirettamente ad es., la prova di attività illecite che si è cercato di occultare).
1.2.- Documento informatico e sistema informatico
Il tema della prova digitale deve essere introdotto, inoltre, da una breve puntualizzazione su due concetti fondamentali in materia: documento informatico e sistema informatico.
Cosa si deve intendere per documento informatico? L’art. 234, 1° co, c.p.p., detta la disciplina generale dei documenti: “È consentita l'acquisizione di scritti o di altri documenti che rappresentano fatti, persone o cose mediante la fotografia, la cinematografia, la fonografia o qualsiasi altro mezzo”. Il documento informatico rientra tra il novero delle prove digitali, in qualsiasi forma si presenti e in relazione a qualsiasi contenuto. Per la S.C., i dati di carattere informatico contenuti nel computer, in quanto rappresentativi, alla stregua della previsione normativa, di cose, rientrano tra le prove documentali.[6]
Il Codice dell'Amministrazione Digitale (CAD-D.lgs. 82/2005) definisce il documento informatico come "rappresentazione informatica di atti, fatti o dati giuridicamente rilevanti", in contrapposizione al documento analogico ("rappresentazione non informatica di atti, fatti o dati giuridicamente rilevanti").
L’art. 1 lett. b. della Convenzione di Budapest definisce dato informatico “qualunque presentazione di fatti, informazioni o concetti in forma suscettibile di essere utilizzata in un sistema computerizzato, incluso un programma in grado di consentire a un sistema computerizzato di svolgere una funzione”.
Il Regolamento eIDAS n. 910/2014, a sua volta, definisce il documento elettronico come “qualsiasi contenuto conservato in forma elettronica, in particolare testo o registrazione sonora, visiva o audiovisiva”.[7]
Ogni pubblica amministrazione è tenuta ad adeguare i propri sistemi di gestione informatica dei documenti in base alle regole tecniche per la formazione, l'archiviazione e la trasmissione di documenti con strumenti informatici e telematici.
Devono essere classificati come “documenti” tutte le rappresentazioni di conoscenza, fatti, persone o cose comunque incorporate in qualsiasi base materiale, atteso che l’effettiva differenza fra un documento tradizionale e uno informatico deve essere ravvisata soltanto nelle modalità di incorporazione delle varie rappresentazioni.
In realtà ogni documento informatico può costituire prova digitale, ma esistono prove digitali che non necessariamente sono identificabili in documenti informatici: tra questi, certamente, i “flussi” di comunicazioni.
Di rilievo è anche il concetto di sistema informatico; la S.C. [8] ha precisato che deve ritenersi "sistema informatico" un complesso di apparecchiature destinate a compiere una qualsiasi funzione utile all'uomo, attraverso l'utilizzazione (anche parziale) di tecnologie informatiche, che sono caratterizzate - per mezzo di un'attività di "codificazione" e "decodificazione" -dalla "registrazione" o "memorizzazione", per mezzo di impulsi elettronici, su supporti adeguati, di "dati", cioè di rappresentazioni elementari di un fatto, effettuata attraverso simboli (bit), in combinazione diverse, e dall’elaborazione automatica di tali dati, in modo da generare "informazioni", costituite da un insieme più o meno vasto di dati organizzati secondo una logica che consenta loro di esprimere un particolare significato per l'utente “
La definizione, sebbene risalente, non è stata sostanzialmente modificata dalla S.C.; varie decisioni hanno ribadito che costituiscono un sistema informatico «qualsiasi apparecchiature o gruppi di apparecchiature interconnesse o collegate, una o più delle quali, in base ad un programma, compiono l’elaborazione automatica dei dati».In particolare, un «dispositivo elettronico assurge al rango di sistema informatico o telematico se si caratterizza per l’installazione di un software che ne sovrintende il funzionamento, per la capacità di utilizzare periferiche o dispositivi esterni, per l’interconnessione con altri apparecchi e per la molteplicità dei dati oggetto di trattamento».[9]
Il concetto di sistema telematico deve per altro essere adeguato ai mutamenti tecnico/economici della realtà: l’art. 266 bis c.p.p. prevede con maggiore ampiezza rispetto all’art. 266 c.p.p. la possibilità di intercettazioni relativa flussi di comunicazioni tra sistemi informatici o telematici. Da tempo ormai l’intero sistema di telefonia, mobile e fissa, deve essere ritenuto un sistema telematico, fondato quindi su flussi di dati digitali, e ormai basato su protocollo IP (VoLTE) anche a livello utente, come riconosciuto anche dalla S.C.[10]; ciò non consente, tuttavia di ritenere automaticamente esteso l’ambito di operatività dell’art. 266 bis c.p.p. a tutte le intercettazioni di conversazioni o comunicazioni telefoniche ai sensi all’art. 266 c.p.p., solo in quanto aventi a oggetto captazioni di flussi informatici o telematici; in caso contrario avremmo una sostanziale sovrapposizione tra le indicazioni ( e i limiti) posti dal legislatore tra captazioni di conversazioni e quelle di flussi digitali.
2. - L’acquisizione
Si tratta del punto – dei tre oggetto della presente relazione- indubbiamente più articolato e complesso (anche se non necessariamente di quello risolutivo). Un profilo strettamente correlato all’utilizzazione, laddove la “conservazione” assume una valenza fondamentalmente “in negativo”, nei casi in cui non siano assicurati, al riguardo, determinati standard. L’acquisizione deve essere esaminata partendo dalle differenti forme che la stessa può assumere nella realtà.
2.1 - Le indicazioni operative: la perquisizione
Non pare concretamente praticabile la prospettiva che vede l’ispezione- atto con finalità meramente descrittive di persone, luoghi o cose, funzionale ad accertare le tracce e gli altri effetti materiali del reato- quale passaggio obbligato per il sequestro di documenti informatici, bypassando la perquisizione. Solo nel caso- statisticamente di non particolare rilievo- di ricerca di un singolo o di un numero limitato e specifico di file tale strada potrebbe assumere un significato. In effetti, nel sistema processualpenalistico, la perquisizione ex art 247 c.p.p. è il mezzo di ricerca della prova diretto a individuare e acquisire il corpo del reato o le cose pertinenti al reato e, nello specifico, funzionale a reperire, all’interno della memoria del pc/device/server i file di interesse.
Un atto sostanzialmente indispensabile, tenendo conto della natura “fragile” e facilmente modificabile del dato digitale, la cui acquisizione presuppone l’adozione di procedure idonee a garantire l’integrità e la genuinità della prova. La formazione, previo sequestro, di una copia per l’analisi destinata a tale ricerca (che può rivelarsi non facile e non breve), consente di ridurre - se non eliminare del tutto - gli inconvenienti che possono presentarsi in queste situazioni.
La l.n. 48/2008 è intervenuta sull’art. 247 c.p.p. introducendo il comma 1 bis c.p.p., che “ tipizza” le “ricerche” in ambito informatico: “Quando vi è fondato motivo di ritenere che dati, informazioni, programmi informatici o tracce comunque pertinenti al reato si trovino in un sistema informatico o telematico, ancorché protetto da misure di sicurezza, ne è disposta la perquisizione, adottando misure tecniche dirette ad assicurare la conservazione dei dati originali e a impedirne l’alterazione”
In alternativa al decreto motivato disposto dal P.M. , ai sensi dell’art. 325 comma 1 bis c.p.p. “nella flagranza del reato, ovvero nei casi in cui si deve procedere all’esecuzione di un’ordinanza che dispone la custodia cautelare, quando sussistono i presupposti e le altre condizioni previste dalla legge, gli ufficiali di polizia giudiziaria, adottando misure tecniche dirette ad assicurare la conservazione dei dati originali e a impedirne l’alterazione, procedono alla perquisizione di sistemi informatici o telematici, ancorché protetti da misure di sicurezza, se hanno fondato motivo di ritenere che in questi si trovino occultati dati, informazioni, programmi informatici o tracce comunque pertinenti al reato che possono essere cancellati o dispersi.”
La perquisizione informatica non si presenta in termini univoci, in quanto le forme e le modalità delle stesse risultano fortemente condizionate non solo dall’oggetto della ricerca, ma anche dalla collocazione di tale oggetto e dalla tecnica utilizzata per l’acquisizione. Per altro, l’art 247 comma 1 bis c.p.p. indica la necessità di richiedere l’adozione di misure tecniche e di procedure idonee a garantire la conservazione dei dati informatici originali e la conformità e immodificabilità delle copie estratte per evitare il rischio di alterazioni, senza tuttavia imporre misure e procedure tipizzate. [11]
In effetti, i dati digitali possono trovarsi nella disponibilità diretta dei soggetti fisici/giuridici oggetto dell’accertamento, ma anche in altro “luogo”, di non facile accessibilità.
È compito dell’interprete – in fase operativa prima e valutativa poi- individuare in base allo “stato dell’arte” le conoscenze e gli applicativi in grado di assicurare le esigenze generali indicate dal legislatore. Conoscenze che - opportunamente - dovrebbero essere riversate e aggiornate in linee guida specifiche da parte dei singoli uffici e possibilmente concordate tra a.g. e p.g..[12]
La prima- e più semplice – ipotesi riguarda la perquisizione presso l’abitazione dell’indagato e/o i locali (studio professionale, azienda) dove s’ipotizza che i file siano reperibili. In questo secondo caso, si presenta la necessità- non infrequentemente- di dover “approcciare” realtà economicamente e tecnologicamente complesse.
In quest’ottica, una delle operazioni più importanti per la buona riuscita di una perquisizione informatica presso un’azienda è sicuramente quella di svolgere- per quanto possibile- un’accurata analisi della struttura della rete informatica dell’azienda stessa. Un’operazione tesa a identificare i locali maggiormente “significativi” nella disponibilità dei soggetti fisici o giuridici: medie e grandi imprese spesso hanno sedi operative e sedi amministrative separate, così che è fondamentale capire dove normalmente i direttori/responsabili dell’azienda e dei servizi di rete (C.E.O., IT Manager, amministratore di rete, responsabile sicurezza informatica, ecc.) svolgono il loro lavoro e “detengono” file potenzialmente rilevanti.
La presenza di tali soggetti, per la buona riuscita della perquisizione è fondamentale, trattandosi di figure aziendali che, oltre che conoscere perfettamente l’infrastruttura di rete dell’azienda per cui lavorano, hanno la possibilità di mettere a disposizione della P.G. operante quanto occorre, anche tramite la collaborazione di dipendenti che svolgono la propria attività lavorativa presso le altre sedi.
Dopo aver individuato la sede in cui lavora un responsabile si può procedere alla perquisizione seguendo alcuni accorgimenti:
1. identificazione del/dei responsabile/i dei servizi di rete (amministratore di rete, responsabile della sicurezza informatica, gestore locale della rete, sistemista) e, con l’ausilio dello stesso, ottenere ogni informazione utile al fine di comprendere quale sia la configurazione dell’infrastruttura di rete aziendale;
2. prima di una qualsiasi operazione, nominare il referente identificato quale ausiliario di P.G.; per evitare qualsiasi rischio di danneggiamento dei dati aziendali è consigliato, sotto la supervisione diretta e attenta della PG operante, far eseguire tutte le operazioni fisiche all’ausiliario di P.G. individuato
3. sulla base della topologia di rete aziendale riscontrata, effettuare una valutazione sul tipo di intervento da eseguire, ad esempio:
a. Rete locale - uno o più server posizionati all’interno dell’azienda - referente individuato in possesso dei privilegi di amministratore di rete - i file dati sono salvati su server dati in cartelle condivise - esistono backup disponibili su supporto esterno presente in sede.
In situazioni di questo genere si può far eseguire una ricerca mirata del target sui server e, se positiva, far creare una directory appositamente sul server dove far eseguire una copia di tutti i file reperiti. Realizzare un file compresso della directory creata, se possibile in formato tar.gz, o altrimenti nel formato .7z, .rar o .zip, salvando il file generato su un supporto esterno idoneo. Inoltre, acquisire il supporto di Backup effettuandone una copia su di un supporto esterno idoneo, ma nel caso questa opportunità non fosse possibile, far creare una directory sul server, per inserire un restore dei dati di backup partendo dalla data interessata sino alla data della perquisizione. Anche qui, al termine del restore, si può realizzare un file compresso della directory creata, se possibile in formato tar.gz, o altrimenti nel formato .7z, .rar o .zip, salvando il file generato su un supporto esterno idoneo.
b. Rete locale con server posizionati all’esterno dell’azienda (ad esempio presso la sede centrale, in una Server Farm, ecc.):
- se l’ausiliario di P.G. possiede i privilegi completi di amministratore di rete - i dati target individuati sono presenti sui server dati all’interno di cartelle condivise – il backup è disponibile su supporto esterno presente in sede. Come al punto a.
- se l’ausiliario di P.G. possiede i privilegi di amministratore di rete solo a livello locale – i dati target individuati sono presenti sui server dati all’interno di cartelle – il backup è disponibile su server esterno o su cloud.
Se i dati sono accessibili senza dover intervenire sui privilegi di accesso, vanno eseguite le operazioni indicate al punto a.[13]
2.2 - Il problema della “macchina accesa”.
Molto è stato scritto- dai tecnici come dai giuristi- su una specifica situazione che può verificarsi nell’ambito di un’indagine: un accertamento a sorpresa finalizzato a individuare file da analizzare eseguito mentre l’attività oggetto di indagine è in corso. In sostanza, il p.c. da porre sotto sequestro è “acceso”. Quale le modalità corrette per procedere in tali casi?
Si impone un’osservazione preliminare. Non sempre necessariamente si può/deve ipotizzare che le attività informatiche e telematiche “in corso” su una rete debbano essere considerate certamente o verosimilmente fondamentali per l’accertamento delle responsabilità. Ad es. la ricerca di comunicazioni telematiche risalenti nel tempo è del tutto compatibile con un sequestro che potrà avvenire previo spegnimento del sistema; a soluzioni opposte si deve giungere, al contrario, nel caso di attività di scambio/cessioni illecite- di qualsiasi natura, rispetto alle quali la “flagranza” della comunicazione può essere estremamente significativa.
In questa seconda ipotesi sussiste l’esigenza, prima ancora di porre in essere una ricerca, di predisporre un decreto di perquisizione e sequestro che abbia anche natura di ispezione; nell’ambito del verbale di ispezione la p.g. delegata potrà dare atto della tipologia e versione del sistema operativo, dello stato esteriore e, in particolare, di quanto compare sul monitor, data ed ora del sistema annotando, a fianco, data ed orario forniti dalla p.g. (tramite smartphone connesso alla rete telefonica) ciò al fine di poter calcolare la forbice temporale eventualmente necessaria per un ragionamento futuro circa la cronologia delle azioni compiute dal reo, programmi visibili in esecuzione e stato della rete (connesso/non connesso, periferiche collegate.
Al riguardo, l’art. 244 comma 2 c.p.p. precisa che l’a.g. può disporre rilievi segnaletici, descrittivi e fotografici e ogni altra operazione tecnica, anche in relazione a sistemi informatici o telematici, adottando misure tecniche dirette ad assicurare la conservazione dei dati originali e ad impedirne l’alterazione.
Nello specifico, la p.g. dovrà porre in essere tutte le azioni necessaria ad evitare la compromissione nonché ‘l’occultamento di qualsivoglia dato su tutte le postazioni censibili al momento dell’ingresso nei luoghi perquisiti. Tale preliminare operazione di “congelamento” di dette aree è indispensabile in ragione della facile volabilità di taluni dati e della potenziale loro cancellazione ad opera di soggetti propriamente e tecnicamente istruiti nel farlo a seguito di eventuali problematiche giudiziarie. Fatto quest’ultimo probabilisticamente più prossimo alla certezza nel momento in cui la PG abbia il sospetto che l’autore dei fatti agisca con tecniche foriere di risultati illeciti. Si pensi al caso in cui all’arrivo degli operanti vi sia un eseguibile che appositamente attivato da una postazione o da un device, cripti i contenuti digitali potenzialmente costituenti una prova.
A tal proposito valgono in linea generale gli accorgimenti delle perquisizioni classiche nella parte relativa l’isolamento fisico dei locali in esame e del controllo soggetti in esso presenti.
La pg, nell’acquisizione, deve rispettare l’ordine di volatilità delle memorie ed utilizzare strumenti il più possibile indipendenti dal sistema da perquisire: nello specifico per primi andranno acquisiti i volumi cifrati, i registri, la cache, la RAM, i processi attivi, i file system temporanei.
Estrema attenzione deve essere posta ai casi in cui ci si trovi davanti a macchine che eseguono distribuzioni LIVE (Sistemi Operativi che non necessitano di installazione e che vivono completamente nella RAM della macchina, con conseguente perdita di ogni dato nel momento dello spegnimento).
Ogni azione intrapresa, anche in caso di live forensics, deve essere scrupolosamente verbalizzata indicando altresì i riferimenti temporali dell’esecuzione.
Quanto estratto/copiato, generalmente su supporto esterno nella disponibilità della pg operante, deve essere sottoposto ad hash e, prima dell’analisi, sottoposto a copia.
Oltre a quanto è doveroso fare è altresì utile indicare cosa “non” è opportuno fare: in particolare si sconsiglia di tentare di indovinare PIN o PASSWORD poiché potrebbe essere impostato un numero massimo di tentativi, con numero residuo non visibile, e al termine dei tentativi il sistema potrebbe spegnersi, cancellarsi o comunque effettuare in automatico delle operazioni che impediranno alla PG l’acquisizione.
Il panorama forense, in particolare quello italiano, ha visto nel tempo la pubblicazione di numerose raccolte di programmi portabili indispensabili per la LIVE forensics, i quali, una volta lanciati, si preoccupano altresì’ di generare un report delle operazioni effettuate.
Il problema dell’intervento su un sistema in funzione non si porrà, evidentemente, laddove, come precisato dall’art. 248 comma 2 c.p.p.- l’acquisizione dei file dovrà trovare luogo presso banche; in tali casi la p.g. potrà richiedere la consegna di atti, documenti e corrispondenza nonché dati, informazioni e programmi informatici e, in caso di rifiuto, l’autorità giudiziaria può procedere a perquisizione. A conclusioni analoghe è possibile giungere anche alle situazioni contemplate dall’art. 256 comma 1 c.p.p, come modificato dalla l 48/2008, laddove è stato disciplinato il dovere delle persone indicate dagli artt. 200 e 201 di consegnare immediatamente atti e documenti, “nonché i dati, le informazioni e i programmi informatici, anche mediante copia di essi su adeguato supporto”.
2.3 - Perquisizione e cloud
Con il termine cloud computing si indica un insieme di risorse hardware e software, accessibili in remoto tramite internet; si tratta di un modello di organizzazione che ha progressivamente sostituito il tradizionale schema client/server, attraverso piattaforme distribuite sul network, messe a disposizione da ISP e accessibili da qualsiasi dispositivo dotato di una connessione a internet. Attraverso il cloud computing l’utente può utilizzare servizi di varia natura quali e-mail, database, storage on-line, desktop remoto e applicazioni web.
Una soluzione operativa particolarmente appetibile, in quanto la generale flessibilità del servizio consente di utilizzare spazio in maniera dinamica e immediata, così da ridurre gli investimenti sulle dimensioni e la manutenzione di server privati, atteso che un eventuale incremento di necessità può essere immediatamente e facilmente soddisfatto attraverso un’implementazione del servizio stesso. [14]
I vantaggi offerti dal cloud hanno suscitato inevitabilmente anche l’attenzione di organizzazioni criminali, che si sono attrezzate per fruire della delocalizzazione garantita dal cloud computing, funzionale non solo a un risparmio sulla gestione dei dati, quanto anche e soprattutto a ostacolare l’identificazione degli autori e la ricostruzione delle attività illecite da parte dell’a.g.
Rispetto alle acquisizioni sul cloud occorre comprendere se nel concetto di luogo di privata dimora debba essere automaticamente e globalmente ricompreso il domicilio informatico. Il dubbio non si pone, evidentemente, su apparati di uso personale (p.c., tablet, cellulari) quanto proprio con riguardo ai dati e alle informazioni detenuti in luoghi pacificamente differenti, quali appunto quelli “depositati” con le forme del cloud computing.
Nel caso in cui l’a.g. si trovi nella necessità di verificare se e quali file siano detenuti da un soggetto con le forme del cloud computing – e quindi in assenza di una disponibilità fisica dei supporti – è indispensabile verificare quali strumenti giuridici possano essere utilizzati, specie considerando la concreta possibilità che il server sul quale i file si trovano sia all’estero; in caso di server presenti sul territorio nazionale, evidentemente, il problema è indubbiamente di minore momento.
Quali valutazioni sono necessarie, se si tratta di dati e informazioni statiche – come tali indagabili con un decreto di ispezione o perquisizione (che in questo caso avverrebbe in territorio estero e per le quali quindi si dovrebbe fare ricorso come prescrive la Convenzione di Budapest del 2001 allo strumento della rogatoria internazionale) – piuttosto che di dati e informazioni a fruizione dinamica interna a un sistema, che come tali potrebbero essere oggetto di intercettazione direttamente disposta ed eseguita dall’autorità italiana (con le forme e i limiti, ovviamente, previsti dal d.lgs. 108/2017, laddove si tratti di Stati che hanno implementato la direttiva 41/2014/UE)?
Dati e informazioni che sono nella diretta ed esclusiva disponibilità del soggetto titolare dell’area ove gli stessi sono allocati e che, per essere visionati o caricati, devono concretizzarsi in un flusso telematico.
Di grande rilievo deve essere considerato un arresto della S.C. sul tema,[15] che fornisce risposta a una precisa domanda: il sequestro dei dati di un server allocato fisicamente nel territorio di uno Stato estero comporta una violazione della sovranità di quest’ultimo? Un problema di carattere generale che si pone a fronte dell’attività di cloud computing che si svolge, ovviamente, su server esteri (attività definita dalla S.C. «tecnologia che permette di elaborare, archiviare e memorizzare dati grazie all’utilizzo di risorse hardware e software distribuite nella rete»).
Per la S.C., il decreto di sequestro ex art. 254 e ss. c.p.p. avente a oggetto le e-mail parcheggiate di un account straniero non richiede, a pena di inutilizzabilità, il ricorso alla rogatoria attiva in quanto «la detenzione consiste nell’avere la disponibilità di una cosa, ossia nell’avere la possibilità di utilizzarla tutte le volte che si desideri pur nella consapevolezza che essa appartiene ad altri»; in particolare, i dati contenuti in uno spazio virtuale di memoria, anche se generato da un server allocato all’estero, risultano detenuti dal titolare delle credenziali di accesso – soggetto che ha il potere di disporre dei dati conservati in uno spazio di memoria virtuale, esercitabile utilizzando la relativa password – e non dalla società che gestisce il server che genera lo spazio di memoria virtuale; circostanza, quindi, che consente di evitare una procedura di sequestro a mezzo di rogatoria.[16]
Una tesi condivisibile, laddove si consideri che lo stesso titolare dei file ne può fruire solo attraverso tale flusso, proprio in quanto depositati su un supporto/sistema che non si trova nella sua fisica disponibilità. In caso di ispezione il server ove si trovano i dati non viene fisicamente attinto, poiché la polizia giudiziaria – operando dal client – si limita a richiamare su quest’ultimo le informazioni utili alle indagini, al fine di farne una copia; la polizia giudiziaria, in questo modo non forza alcuna misura di protezione, dal momento che la preesistente interconnessione tra le diverse postazioni informatiche è tale da poter affermare che il server è stato appositamente configurato per fornire le risposte alle richieste provenienti da tutti i client all’interno di una determinata rete e, in particolare, a quello oggetto di ispezione. [17]
2.4 - L’accesso alle aree protette
Un problema che si pone – indubbiamente- durante le perquisizioni che coinvolgono aree cloud, ma che ben può presentarsi anche in quelle tradizionali, riguarda il “superamento” delle password (o di sistemi analoghi, anche se più “raffinati”) di accesso alle stesse. E’ chiaro che non esiste un obbligo per l’indagato di comunicare le password durante l’attività; è altrettanto certo che – per varie ragioni e non solo per una questione di comodità/economia processuale” - un accesso immediato potrebbe rivelarsi opportuno se non indispensabile (si pensi alla necessità di acquisire da un server elementi funzionali all’interruzione di attività criminose o di situazioni di pericolo per terzi).
La richiesta della password, nondimeno, dovrà trovare luogo in termini compatibili con le disposizioni del codice di procedura, anche per evitare conseguenze- non augurabili- sul piano dell’utilizzabilità degli esiti dell’attività.
La richiesta in tal senso può essere formulata ai sensi dell’art. 350 c.p.p.: “gli ufficiali di polizia giudiziaria assumono, con le modalità previste dall'articolo 64, sommarie informazioni utili per le investigazioni dalla persona nei cui confronti vengono svolte le indagini che non si trovi in stato di arresto o di fermo a norma dell'articolo 384, e nei casi di cui all'articolo 384-bis.” Al riguardo, “prima di assumere le sommarie informazioni, la polizia giudiziaria invita la persona nei cui confronti vengono svolte le indagini a nominare un difensore di fiducia e, in difetto, provvede a norma dell'articolo 97 comma 3. Le sommarie informazioni sono assunte con la necessaria assistenza del difensore, al quale la polizia giudiziaria dà tempestivo avviso. Il difensore ha l'obbligo di presenziare al compimento dell'atto.”
Durante la perquisizione, è pertanto possibile formulare – nel rispetto delle indicazioni sopra riportate- la richiesta delle password di accesso al sistema o al cloud. Non si può escludere che la perquisizione possa essere svolta anche “sul luogo o nell'immediatezza del fatto” di modo che, in tale caso gli ufficiali di polizia giudiziaria, anche senza la presenza del difensore, potranno “assumere dalla persona nei cui confronti vengono svolte le indagini, anche se arrestata in flagranza o fermata a norma dell'articolo 384, notizie e indicazioni utili ai fini della immediata prosecuzione delle indagini” tra cui la menzionate password. [18]
Non si può poi – logicamente - altresì escludere che a fronte della prospettiva di un sequestro del sistema o comunque di un “blocco” dello stesso durante le operazione di duplicazione, reso più arduo dalla necessità di superare le “barriere” poste a protezione dello stesso, la persona soggetto all’atto possa decidere di indicare spontaneamente le password; dichiarazioni che dovrà essere verbalizzata e che non potrà essere “stimolata” surrettiziamente dalla p.g. operante.
E certamente possibile che manchi in fase di indagine la collaborazione del titolare delle password in oggetto; in tali casi evidentemente la p.g. o- se necessario- un consulente dovranno procedere a individuare o comunque bypassare le stesse. Operazioni che dovrebbero essere valutate nell’ottica di una potenziale irripetibilità con le conseguenze formali del ricorso alla procedura di cui all’art. 360 c.p.p.[19]
2.5 - Le copie forensi
Individuato il materiale da sequestrare in esito alla perquisizione, si pone il problema delle copie forensi, ossia l'acquisizione di documenti in formato digitale con formazione di una copia preferibilmente bit a bit da un dispositivo di memoria di massa a un altro.
Cosa deve intendersi per acquisizione? Si tratta del duplicato o della copia?
Una distinzione la troviamo nel d.lgs. 7 marzo 2005, n. 82), all’art. 1:
lett:i-quater) copia informatica di documento informatico: il documento informatico avente contenuto identico a quello del documento da cui e’ tratto su supporto informatico con diversa sequenza di valori binari;
i-quinquies) duplicato informatico: il documento informatico ottenuto mediante la memorizzazione, sullo stesso dispositivo o su dispositivi diversi, della medesima sequenza di valori binari del documento originario.
Al fine di procedere all’acquisizione delle memorie di cui sono provvisti telefoni cellulari, PC, Tablet, Ipad, ecc… la p.g. deve seguire rigorosamente le linee guida adottate a livello internazionale e comunque finalizzate a impedire che la fonte di prova venga alterata utilizzando dispositivi hardware certificati (write blocker, workstation) e software certificati (Cellebrite UFED, XRY, Axiom IEF, Magnet Acquire, Xway, OXYGEN, Encase).
In primo luogo, l’acquisizione della memoria deve essere effettuata creando una row image, che costituisce una copia fisica bit a bit della memoria originale (mentre per quei dispositivi dove tale modalità non è consentita, si dovrà procedere con le forme dell’art. 360 c.p.p.).
La copia fisica bit a bit – detta anche clonazione- è qualcosa di differente dalla semplice formazione di copia dei file contenuti nella memoria; la clonazione (rectius duplicazione) a differenza della semplice copia determina la formazione di un duplicato dei singoli file presenti sulla memoria, ossia di tutte le zone del disco, anche quelle che non contengono alcun file direttamente visibile all'utente, definite tecnicamente aree non allocate, senza riorganizzazione o compressione di quanto scritto. In questo modo è possibile il recupero di file cancellati o di informazioni ormai non più disponibili all'utilizzatore del sistema.
La procedura di acquisizione e di conseguente formazione di copia ha natura di rilievo tecnico o accertamento?
La duplicazione non implica di regola un’elaborazione critica di dati, anche se il costante, progressivo e irreversibile progresso tecnico non consente di escludere che in specifiche situazioni tale eventualità possa presentarsi. Deve comunque farsi riferimento ai principi generali espressi dall’art. 354 c.p.p.[20]
Nel codice vigente la nozione di "accertamento" riguarda non la constatazione o la raccolta di dati materiali pertinenti al reato e alla sua prova - che si esauriscono nei semplici rilievi - ma il loro studio e la relativa elaborazione critica, necessariamente soggettivi e per lo più su base tecnico- scientifica; la distinzione trova testuale conferma normativa in ripetute disposizioni codicistiche ad es., negli artt.354, 359, 360) che menzionano separatamente i termini "rilievi" e "accertamenti", con implicita assunzione, per ciascuno, del significato specifico precedentemente delineato. [21]
La distinzione tra accertamento e rilievo viene così a costituire la “linea di demarcazione” tra l’attività in senso stretto del consulente e tutta una serie di attività dirette soltanto a “cristallizzare” e raccogliere elementi in fatto, senza alcuna forma di rielaborazione “critica” delle medesime, demandate alla p.g.
Trasponendo tali principi nel settore informatico, emergono due esigenze. Da un lato, in generale, qualora il P.M. debba procedere ad accertamenti tecnici non ripetibili ai sensi dell'art. 360 c.p.p., ricorre l'obbligo di dare l'avviso al difensore solo nel caso in cui al momento del conferimento dell'incarico al consulente sia già stata individuata la persona nei confronti della quale si procede mentre tale obbligo non ricorre nel caso che la persona indagata sia stata individuata solo successivamente all'espletamento dell'attività peritale.[22] Il problema si pone in quanto ben difficilmente una perquisizione/sequestro presso una società o un privato potrebbe avvenire senza porsi il dubbio di ritenere identificabile in soggetto da iscrivere (e, come tale, da ritenere destinatario) degli avvisi.
Diviene allora decisivo, in relazione al ricorso all’accertamento irripetibile, sulla cd “alterazione”: l'accertamento tecnico che impone di assolvere agli adempimenti richiesti dall'art. 360 c.p.p. è solo quello che, in forza di una valutazione "ex ante", e sulla base di una ragionevole prevedibilità, sia causa di alterazione della cosa, del luogo o della persona sottoposta all'esame medesimo. [23]
Secondo la S.C., non dà luogo ad accertamento tecnico irripetibile la lettura dell'"hard disk" di un computer sequestrato, trattandosi di attività di polizia giudiziaria volta, anche con urgenza, all'assicurazione delle fonti di prova; in particolare, la masterizzazione di file rinvenuti all’interno di un PC rinvenuto acceso durante una perquisizione non costituirebbe attività irripetibile bensì attività ripetibile, come tale formalmente corretta. La S.C. ritiene che sia “da escludere che l’attività di estrazione di copia di file da un computer costituisca un atto irripetibile… atteso che non comporta alcuna attività di carattere valutativo su base tecnico-scientifica né determina alcuna alterazione dello stato delle cose, tale da recare pregiudizio alla genuinità del contributo conoscitivo nella prospettiva dibattimentale, essendo sempre comunque assicurata la riproducibilità di informazioni identiche a quelle contenute nell’originale”.
L’affermazione, per quanto condivisibile, è stata (e rimarrà, verosimilmente) fonte di discussioni: l’intervento in sé sul sistema non può che modificarlo, per quanto di tale modifica si abbia specifica e riconoscibile traccia; il punto, allora, non è tanto nella riconoscibilità di tale intervento, quanto nella qualità- in termini di completezza e affidabilità- dell’oggetto dello stesso.
Un aspetto è fondamentale: ogni analisi successiva all’acquisizione dovrà essere svolta non sulla copia/duplicato originario, la cui autenticità e integrità deve essere garantita dall’impressione di un algoritmo (codice hash).
Da questa bitstream image deve essere estratto un ulteriore duplicato sul quale si svolgono le indagini. Ottenuta l’immagine della memoria si procede alla ricostruzione dei contenuti secondo modalità post mortem: dunque non sul reperto ma sulla copia della memoria dello stesso. Operazione che deve essere effettuato da personale appositamente formato per svolgere le corrette attività volte al mantenimento dell’integrità della chain of custody così come della complessa architettura dell’elettronica digitale di cui si costituiscono i reperti oggetto di analisi.
È opportuno ricordare che la funzione crittografica di HASH consiste nell’utilizzare un algoritmo matematico che mappa dati di lunghezza arbitraria (messaggio = stringa binaria che costituisce il file) in una seconda stringa binaria di dimensione fissa (digest) chiamata VALORE DI HASH.
Tale funzione matematica è progettata per essere unidirezionale (quindi da messaggio a valore e giammai da valore a messaggio originario), per essere sufficientemente robusta alle collisioni (messaggi diversi con stesso valore di hash) da garantire l’integrità della prova e, non ultimo, assolutamente ripetibile. I valori di HASH calcolati nel corso delle operazioni di copia devono essere menzionati all’interno dei verbali redatti dalla p.g..
2.6- L’oggetto dell’acquisizione
Le operazione di ricerca e “apprensione” della prova digitale devono tenere conto delle indicazioni della S.C. in ordine ai “ imiti” del sequestro disposto a tale fine.[24]
Le Sezioni Unite, proprio in relazione a un sequestro di un computer e di alcuni documenti, avevano affermato che una volta restituita la cosa sequestrata, la richiesta di riesame del sequestro, o l'eventuale ricorso per cassazione contro la decisione del tribunale del riesame sarebbero inammissibili per sopravvenuta carenza di interesse; interesse non configurabile neanche qualora l'autorità giudiziaria abbia disposto, all'atto della restituzione, l'estrazione di copia degli atti o documenti sequestrati, dal momento che il relativo provvedimento sarebbe autonomo rispetto al decreto di sequestro, né soggetto ad alcuna forma di gravame, stante il principio di tassatività delle impugnazioni.[25]
Una posizione decisamente superata dalla più recente giurisprudenza, per la quale costituisce sequestro probatorio l'acquisizione, mediante estrazione di copia informatica o riproduzione su supporto cartaceo, dei dati contenuti in un archivio informatico visionato nel corso di una perquisizione legittimamente eseguita ai sensi dell'art. 247 c.p.p., quando il trattenimento della copia determina la sottrazione all'interessato della esclusiva disponibilità dell'informazione. Nell’affermare tale principio, la S.C. ha osservato che le disposizioni introdotte dalla l. 48/2008 riconoscono al "dato informatico", in quanto tale, la caratteristica di oggetto del sequestro, di modo che la restituzione, previo trattenimento di copia, del supporto fisico di memorizzazione, non comporta il venir meno del sequestro quando permane, sul piano del diritto sostanziale, una perdita autonomamente valutabile per il titolare del dato [26], così che il permanere del vincolo determinerebbe la sussistenza di un interesse a richiedere il controllo giurisdizionale sulla legittimità del sequestro al competente tribunale del riesame.[27]
In particolare poi la S.C. in una fattispecie di bancarotta fraudolenta, ha affermato la legittimità del sequestro della documentazione contabile ed extracontabile della società fallita contenuta negli hard disk restituiti all'indagato, fatto salvo il diritto di quest'ultimo a chiedere, ai sensi dell'art. 254, ultimo comma, c.p.p., la distruzione delle copie di informazioni irrilevanti estratte, di modo che la restituzione, previo trattenimento di copia dei dati informatici estratti, dei beni materiali (server, computer e "hard disk") coercitivamente acquisiti per effettuare le operazioni di trasferimento dei dati non avrebbe comportato il venir meno del vincolo, con la conseguenza permanenza dell'interesse a richiedere il controllo giurisdizionale sulla legittimità del sequestro. [28]
In generale è stato riconosciuto all’a.g., al fine di esaminare un’ampia massa di dati i cui contenuti sono potenzialmente rilevanti per le indagini, il potere di disporre un sequestro dai contenuti molto estesi, comprendente un intero archivio di informazioni, a condizione che si provveda, nel rispetto del principio di proporzionalità e adeguatezza, alla immediata restituzione delle cose sottoposte a vincolo non appena sia decorso il tempo ragionevolmente necessario per gli accertamenti.[29]
Per altro, sempre in ambito di sequestri “informatici”, la S.C. ha ribadito la necessità (per il PM di indicare, per il giudice di verificare) l'esistenza del vincolo di pertinenzialità tra il reato ipotizzato e i diversi beni o le diverse categorie di beni oggetto del provvedimento di sequestro. [30] Un principio in sintonia con un recente e fondamentale arresto delle S.U., per il quale in termini generali il decreto di sequestro probatorio - così come il decreto di convalida - anche qualora abbia a oggetto cose costituenti corpo di reato, deve contenere una motivazione che, per quanto concisa, dia conto specificatamente della finalità perseguita per l'accertamento dei fatti.[31]
In relazione all’ambito informatico la sentenza delle S.U. menzionata ha dichiarato illegittimo il sequestro di un intero "server" aziendale disposto in relazione al reato di turbata libertà dell'industria o del commercio; osserva la S.C. che il sequestro era stato adottato con un’adeguata e congrua motivazione sulla sussistenza delle finalità probatorie che lo giustificavano, segnatamente per “consentire l'effettuazione di una consulenza tecnica sul materiale acquisito, resa necessaria in considerazione delle peculiari ipotesi di reato contestate, le quali presuppongono l'esame e la comparazione della documentazione industriale (progetti, know-how) e contabile sulla base di particolari cognizioni tecniche, nonché in considerazione dell'esigenza di utilizzare la detta documentazione in sede di escussione della persone informate sui fatti“. Al contrario, la decisione censura la totale omissione della motivazione “sulla necessaria sussistenza del vincolo di pertinenzialità tra tutti i beni sequestrati e le ipotesi di reato configurate”, atteso che erano stati “sottoposti a sequestro probatorio una gran massa di documenti, file, supporti informatici, oggetti vari di provenienza … , nonché il contenuto dell'intero server aziendale oltre che tutta la documentazione aziendale (di qualsivoglia genere)…. anche nelle parti in cui non è stato evidenziato alcun riferimento con la società querelante e concorrente”.
Rebus sic stantibus, il problema dell’”ambito” del provvedimento di perquisizione finalizzata al sequestro deve essere posto contemperando le esigenze delle difesa con quelle dell’accusa, pubblica come privata; la dottrina assolutamente maggioritaria evidenzia la necessità, per disporre perquisizione e sequestro della memoria di un computer, di individuare preventivamente e specificamente che cosa debba essere cercato e sequestrato, di modo da acquisire in via esclusiva il materiale che strettamente correlato al reato ipotizzato. Nondimeno, occorre sottolineare alcune altri aspetti.
- Non sempre e non necessariamente è possibile indicare specificamente e previamente le tipologie di file che possono rivelarsi utili per l’accertamento delle responsabilità, specie nei casi in si tratti di ricostruire rapporti personali e patrimoniali complessi, intervenuti tra più soggetti in un arco temporale non breve
- Anche laddove sia possibile l’indicazione preventiva, non è detto (anzi, è verosimile il contrario) che l’individuazione della localizzazione di tali file su un server aziendale (ma anche su un p.c. privato) sia possibile per la p.g. durante l’esecuzione delle perquisizioni o comunque nell’immediatezza del fatto. Sarebbe utile per tutti (nonché auspicabile) che la P.G. avesse le competenze tecniche e la conoscenza della vicenda oggetto di accertamento per procedere a tale ricerca “in tempo reale”: ma, inutile, ribadirlo, normalmente non è così).
- In termini generali, i provvedimenti diretti a ricercare le prove non devono necessariamente indicare con precisione quali debbano essere le cose da ricercare e sequestrare; in effetti in moltissimi casi le stesse possono non essere determinabili a priori (e, in questo senso, l’art. 248 c.p.p., che disciplina la richiesta di consegna di cose determinate, indirettamente ammette la possibilità di provvedimenti con oggetto non previamente determinato) ma devono avere solamente la caratteristica di poter avere attinenza meramente eventuale (fumus) col reato che si presume essere stato commesso, ossia quei file che “anche senza essere in rapporto qualificato con il fatto illecito, presentino capacità dimostrativa dello stesso”. E’ quanto avviene, in particolare, proprio in relazione ai reati informatici posti in essere (anche) attraverso l‘utilizzo di strumenti informatici, rispetto ai quali non è dato sapere quali file contenuti nella memoria del pc/device siano funzionali all’accertamento delle condotte oggetto di accertamento. In tali casi, solo l’esame diretto e completo di tutte le cose da ricercare può consentire di individuare quale di esse costituiscano corpo del reato o rivestano la caratteristica di cosa pertinente al reato e debba quindi essere sottoposta al vincolo del sequestro.
- Nei termini esposti, la S.C. ha ritenuto legittimo non solo un decreto di perquisizione e sequestro di generica “documentazione” che ha determinato la p.g. al sequestro di un p.c. (dovendosi ritenere i fili nel medesimo contenuti documenti informatici) ma ha previsto che il p.m., possa delegare alla polizia giudiziaria il compito di sequestrare ogni cosa che, a giudizio di quest’ultima, in esito a una analisi di quanto rinvenuto, possa essere ritenuta utile per la continuazione delle indagini. In tali casi, tuttavia “quando p.g. abbia individuato e sequestrato cose non indicate nel decreto o il cui ordine di sequestro non sia desumibile dalle nozioni di corpo di reato o di cose pertinenti al reato, in relazione ai fatti per i quali si procede, l’a.g. dovrà procedere alla convalida del sequestro ovvero ordinare la restituzione delle cose non ritenute suscettibili di sequestro”. [32]
Non pare in concreto cogliere nel segno una critica non infrequentemente formulata in relazione al sequestro- nell’ambito di perquisizione informatiche- dell’intera memoria presenti nei device/pc sequestrati. Sequestri che determinano la formazione (come abbiamo visto) di una copia clone (bitstream image) delle memorie in oggetto, sia per evitare modificazioni sia per restituire (ove possibile) la disponibilità della stessa all’avente diritto ma che, per la loro ampiezza, potrebbero venire a costituire un’attività di ricerca di nuove notizie di reato. Nella realtà giudiziaria il sequestro (e le copia clone) di memoria derivano soprattutto dall’impossibilità, per molte fattispecie, di individuare aprioristicamente ciò che potrebbe costituire elemento di interesse per le investigazioni, nonché di reperire anche file che potrebbero essere stato già oggetto di cancellazioni o alterazione (occasionali o intenzionali): dunque, più che di una scelta, si tratta di una precisa necessità.
In conclusione, è ragionevole pensare che un sequestro non possa essere di per sé essere definito “debordante” se non nei casi cui, per specifiche ragioni, sia previamente identificabile la tipologia e il contenuto dei file necessari per l’accertamento delle responsabilità e l’allocazione dei medesimi.
2.7 - In particolare, le “acquisizioni” nei confronti dei giornalisti
Sul tema, di particolare delicatezza assumono le decisioni relative all’indagine su giornalisti; al riguardo, la S.C. ha precisato che il sequestro probatorio disposto nei confronti di un giornalista professionista deve rispettare con particolare rigore il criterio di proporzionalità tra il contenuto del provvedimento ablativo di cui egli è destinatario e le esigenze di accertamento dei fatti oggetto delle indagini, evitando quanto più è possibile indiscriminati interventi invasivi nella sua sfera professionale.[33] La Cassazione ha poi approfondito tale prospettiva, affermando che il rispetto del principio di proporzionalità tra il segreto professionale riconosciuto al giornalista professionista a tutela della libertà di informazione, e quella di assicurare l'accertamento dei fatti oggetto di indagine penale, impone che l'ordine di esibizione rivolto al giornalista ai sensi dell'art. 256 c.p.p. e l'eventuale successivo provvedimento di sequestro probatorio siano specificamente motivati anche quanto all’individuazione della "res" da sottoporre a vincolo e all'assoluta necessità di apprendere la stessa ai fini dell'accertamento della notizia di reato. [34]
Per la S.C., sarebbe illegittimo il ricorso alla perquisizione e al sequestro di sistema informatico in uso a un giornalista al fine di acquisire i nomi delle persone dalle quali il medesimo ha avuto notizie di carattere fiduciario nell'esercizio della sua professione, salvo che non siano contestualmente esplicitate le ragioni per le quali si ritenga che tali notizie siano indispensabili ai fini della prova del reato per cui si procede e che la loro veridicità possa essere accertata solo attraverso l'identificazione della fonte di esse, atteso quanto disposto dall'art. 200, comma terzo, c.p.p., e dall'art. 10 C.E.D.U. come interpretato dalla Corte E.D.U.. È stato inoltre ritenuto illegittimo, per violazione del principio di proporzionalità e adeguatezza, il sequestro a fini probatori di un sistema informatico, quale è un personal computer, che conduca, in difetto di specifiche ragioni, a una indiscriminata apprensione di tutte le informazioni ivi contenute.[35]
Sul tema, si segnala infine che il sequestro probatorio della memoria del "personal computer" di un giornalista che abbia opposto il segreto professionale è consentito soltanto ove sia ritenuta l'infondatezza del segreto e la necessità dell'acquisizione per l'indagine, ma l'attività investigativa deve essere condotta in modo da non compromettere il diritto del giornalista alla riservatezza della corrispondenza e delle proprie fonti. [36]
2.8 - L’acquisizione dei file di log
Come è noto, i “file di log” sono file appositamente creati da p.c., server o in generale da una qualsiasi’applicazione informatica, al fine di registrare una serie di informazioni inerenti gli eventi e le attività svolte. [37] I file di log sono dei veri e propri documenti informatici così come definito dall’art.1 lettera p) del decreto legislativo 7 marzo 20015 n.82, atteso che viene definito documento informatico “il documento elettronico che contiene la rappresentazione informatica di atti, fatti o dati giuridicamente rilevanti”.
L’utilizzo di risorse di rete su un elaboratore comporta la generazione e memorizzazione di un insieme di informazioni di servizio, in parte dedicate a migliorare lo svolgimento stesso delle attività in rete, e in parte dedicate a lasciare, per scopi legati alla gestione sistemistica, una traccia delle operazioni eseguite. Tali dati memorizzati possono consistere in tracce degli eventi associati ad attività di sistema (inclusi gli accessi in rete) contenute in appositi file detti file di log, informazioni di controllo o di sistema specificamente riferite alle operazioni di navigazione (cd. cookies) e informazioni acquisite dagli utenti durante la navigazione. La funzionalità generale delle comunicazioni telematiche è basata in effetti sull’inequivoca identificazione degli elaboratori e dei servizi richiesti in relazione a nomi, indirizzi IP e numeri di porta. Le informazioni sull’identità degli elaboratori e dei servizi richiesti generalmente vengono memorizzate su uno o su entrambi gli elaboratori coinvolti nella comunicazione.
In questo senso i server mantengono nei cd file di log le informazioni dai clienti che con essi si sono collegati (identità, tempo e durata del collegamento, servizio richiesto); la memorizzazione era stata prevista originariamente in chiave tecnico/economica sia per generare statistiche di utilizzo dei servizi che sia per identificarne i fruitori in caso vengano riscontrati problemi sul sistema derivanti da usi illeciti da parte degli utenti remoti; non v’è dubbio tuttavia sul fatto che tali “tracce” documentali assumono una precisa valenza probatoria in ambito civile e - soprattutto – penale e rappresentano un elemento fondamentale rispetto alla corretta applicazione della disciplina in tema di riservatezza.
Attualmente la prospettiva è drasticamente mutata; occorre distinguere la disciplina specifica dei log relativa alle comunicazioni dalle indicazioni di carattere generale.
Nel primo caso, in base al disposto dell’art. 132 d.lgs. 196/2003, come modificato dall’art. 2 d.lgs. 109/2008, sono acquisibili file di log risalenti a un periodo massimo di mesi 12; per tale articolo - “Conservazione di dati di traffico per altre finalità”- “ Fermo restando quanto previsto dall’articolo 123, comma 2, i dati relativi al traffico telefonico sono conservati dal fornitore per ventiquattro mesi dalla data della comunicazione, per finalità di accertamento e repressione dei reati, mentre, per le medesime finalità, i dati relativi al traffico telematico, esclusi comunque i contenuti delle comunicazioni, sono conservati dal fornitore per dodici mesi dalla data della comunicazione”.
I file di log di tale natura non dovrebbero, pertanto, determinare specifiche problematiche sul piano dell’autenticità e integrità, fermi restando i problemi legati al limite temporale rigoroso.[38]
Il GDPR - regolamento (UE) n. 2016/679- ha determinato una profonda revisione del rapporto generale con i file di log; il “Codice in materia di protezione dei dati personali” (Decreto Legislativo 30 giugno 2003, n. 196) e il Regolamento Generale sulla Protezione dei Dati (regolamento UE n. 2016/679), non menzionano esplicitamente i log file e, apparentemente, non prevedono obblighi di registrazione sulle operazioni effettuate sui dati personali.
In realtà il GDPR ha introdotto l’obbligo, in capo al titolare del trattamento, di dimostrare il rispetto della normativa: in questa prospettiva una specifica gestione dei log diviene imprescindibile. In questo senso l’art. 5 del citato provvedimento prevedere una serie di principi applicabili al trattamento dei dati personali.[39] Il medesimo articolo stabilisce il cd “principio di responsabilizzazione”, per il quale il “titolare è competente per il rispetto del paragrafo 1” ed è pertanto tenuto a rispettare tutti i principi relativi al trattamento dei dati ed essere “in grado di comprovarlo”. [40] Una prova che può essere sostanzialmente fornita solo con i file di log.
I titolari del trattamento devono compiere tutte le attività necessarie per salvaguardare gli interessati e devono “registrare” le prove degli adempimenti in caso di ispezioni/controlli da parte delle autorità competenti, attraverso i file di log.
In effetti, già prima dell’entrata in vigore del GDPR, l’Autorità Garante per la Privacy aveva ritenuto sufficiente a fornire la prova del rispetto delle disposizioni di settore i file di log. Per fornire tale prova si deve ritenere necessario:
1. registrare file di log in maniera conforme al GDPR, con un sistema in grado di generarli automaticamente
2. conservare gli stessi file di log e garantire questa conservazione (ad es. attraverso backup, se possibile gestito in via autonoma rispetto alla normale gestione dei dati aziendali)
3. marcare temporalmente i file di log; i file di log devono essere conservati previa apposizione di firma digitale a marca temporale che ne attesti la non alterazione dopo una certa data
Queste indicazioni assumono un particolare significato ogni qual volta le indagini presuppongano un’acquisizione di file di log da server aziendali.[41] Solo il pieno rispetto delle indicazioni desumibili dal GDPR e dalle altre indicazioni tecnico/normative di settore consente di elidere alla radice ogni possibile contestazione sulla integrità, autenticità e riferibilità dei file in oggetto.
2.9 - L’acquisizione tramite captatore
Disciplinato prima dalle indicazioni della S.C. e quindi entrato a pieno titolo nel sistema processualpenalistico con il d.lgs. 103/2017 prima e il d.lgs. 217/2017 il captatore informatico è già stato assoluto protagonista della più recente stagione giudiziaria. Si tratta, come è noto, di programma che, installato surrettiziamente in un device “target” (un computer, un tablet o uno smartphone) consente lo svolgimento di svariate attività, una sola delle quali, per altro, presa in considerazione dal legislatore.[42]
La legge regolamenta il solo utilizzo funzionale a porre in essere intercettazioni tra presenti, senza nulla dire in relazioni ad altre attività: captazione del traffico dati dal dispositivo, attivazione del web-camera, perquisizione dell’’hard disk, visualizzazione di ciò che viene digitato sulla tastiera collegata al sistema (keylogger) e di ciò che appare sullo schermo del dispositivo bersaglio (screenshot). [43]
A fronte di questa scelta, l’interprete deve porsi una domanda preventiva: se le attività non disciplinate dal legislatore siano - di per se solo - vietate o se – al contrario possano essere legittimamente svolte, dopo essere stato ricondotte all’alveo di altri strumenti tipizzati o valutate quali prove atipiche ex art 189 c.p.p.
Ammesso la seconda ipotesi, si deve valutare l’installazione di un trojan finalizzata non a captare flussi di comunicazioni quanto a prendere cognizione del contenuto di un sistema, ossia l’acquisizione di dati contenuti in una memoria; dati che non costituiscono oggetto di trasmissione attraverso dispositivi informatici e quindi non sarebbero suscettibili di intercettazione.
In tal caso, l’utilizzo del captatore dovrebbe essere ricondotto ad altre categorie di mezzi di ricerca della prova, quali la perquisizione o l’ispezione informatica/telematica in remoto; si tratta della online search o one time copy, consistente nell’acquisizione, mediante copia, di dati contenuti all’interno delle memorie di un dispositivo informatico da remoto.
Il dubbio è se tale attività sia qualificabile come perquisizione on line, atto ontologicamente tipico – e a sorpresa – di ricerca della prova ex artt. 247 e ss. c.p.p., finalizzato alla ricerca e sequestro del corpo del reato e delle cose a esso pertinenti, la cui esecuzione impone tuttavia una serie di adempimenti in funzione di garanzia rispetto al soggetto passivo dell’attività.
Prima di valutare l’inquadramento nell’ambito di istituti quali la perquisizione o l’ispezione informatica delle attività in oggetto, ricordiamo che la S.C. ha valutato l’uso del captatore quale strumento autonomo e atipico di ricerca della prova ex art.189 c.p.p., piuttosto che mero strumento esecutivo di attività di perquisizione e/o ispezione informatica.
L’utilizzabilità degli esiti dell’utilizzo, per le finalità descritte, di un captatore era stata valutata dalla S.C. con una sentenza molto nota, che aveva suscitato numerose reazioni critiche;[44] sentenza che aveva riconosciuto la legittimità di un decreto ex art. 234 c.p.p. del P.M. avente a oggetto l’acquisizione in copia, attraverso l'installazione di un captatore informatico, della documentazione informatica memorizzata in un personal computer in uso all'imputato e installato presso un ufficio pubblico. Un programma in grado di memorizzare i file già esistenti e di registrare in tempo reale tutti i file del sistema, determinando un monitoraggio occulto e continuativo dello stesso.
Un’attività qualificata quale prova atipica, come tale sottratta alla disciplina prescritta dagli artt. 266 ss. c.p.p. in quanto avente a oggetto non un flusso di comunicazioni, richiedente un dialogo con altri soggetti, ma una relazione operativa tra microprocessore e video del sistema elettronico, ossia un flusso unidirezionale di dati confinati all'interno dei circuiti del computer.
Tale prospettazione presenta una duplice criticità: una prima, di natura tecnica, ove si consideri l’attività posta in essere dal captatore quale intercettazione del flusso unidirezionale di informazioni disposto attraverso il software di videoscrittura, ossia raccolta di flusso di dati sebbene all’interno di un sistema; in tale caso si tratterebbe di una forma di intercettazione informatica (e non telematica) anch’essa prevista dall’art. 266-bis c.p.p.. Anche ritenendo superabile la prima obiezione, occorre comunque verificare la legittimità dell’attività in oggetto rispetto al principio di inviolabilità del domicilio di cui all’art. 14 Cost.
Nel caso affrontato dalla S.C. la valutazione era stata condizionata dal fatto che il PC in questione era collocato in un luogo aperto al pubblico e quindi non in una privata dimora.[45] Prospettazione evidentemente non trasponibile per un’acquisizione di dati in luoghi informatici privati. In questo senso, l’attività di ricerca di un qualcosa di preciso e circostanziato all’interno di un sistema informatico o di un’area cloud dovrebbe essere riferibile più all’ipotesi di perquisizione piuttosto che di inspectio, mentre una ricerca più generica e superficiale che si limita alle caratteristiche esteriori parrebbe più vicina all’ispezione informatica disciplinata dall’art. 244 c.p.p.[46]
Il problema della natura e degli esiti di forme di monitoraggio telematico in continuo con le forme della perquisizione è stato poi nuovamente affrontato dalla S.C.[47] Attraverso un monitoraggio occulto, disposto con perquisizione, il P.M. aveva disposto la verifica sulle credenziali di accesso a un sistema di booking online di nota compagnia aerea, per potere tempestivamente identificare (sulla base di parametri predeterminati) la prenotazione di possibili corrieri internazionali di stupefacenti. Tale tipologia di ricerca della prova è stata censurata dalla S.C. sul presupposto che si tratterebbe di un’indagine esplorativa diretta alla ricerca - e non alla prova, seppure atipica ex art. 189 c.p.p. - di fatti di reato.
Le disposizioni in tema di ispezione e perquisizione non consentono verosimilmente di ritenere giustificata su base normativa un’attività di monitoraggio in continuo delle attività che si svolgono nel domicilio del soggetto. L’utilizzo di programmi spia, se inteso come forma di perquisizione online o di ispezione, prescinde dalla ricerca del corpo del reato e/o delle cose pertinenti al reato; si tratta di atti che per essere efficaci devono restare ignoti all'indagato durante tutto il corso del loro svolgimento, laddove la perquisizione e l’ispezione impongono avvisi al soggetto che le subisce.
In caso di perquisizioni e ispezioni online, gli esiti dell’attività potrebbero non essere considerati quali mezzi atipici di ricerca della prova utilizzabili ex art. 189 c.p.p. ove formatisi in contrasto con il diritto costituzionale all’inviolabilità del domicilio di cui all’art. 14 Cost., ossia ogni qual volta tali atti vadano «a incidere su apparati tecnici sussumibili nel concetto di domicilio informatico così come elaborato in sede giurisprudenziale, al quale il legislatore ha intesto apprestare la medesima dignità e tutela del domicilio fisico, essendone null’altro che la proiezione virtuale». [48]
La prospettiva di valutazione è condizionata in termini decisivi da un’ulteriore variabile: se l’accertamento debba svolgersi con forma tali da assicurare l’anonimato ovvero se debba avvenire a sorpresa ma senza garantire ulteriori esigenze di riservatezza.
In questa seconda ipotesi – purtroppo – occorre formulare ancora una distinzione.
L’attività di ricerca della prova in oggetto devono avvenire nel rispetto delle disposizioni codicistiche che, dopo il recepimento con la l. 48/2008 della Convenzione di Budapest, disciplinano la cristallizzazione della digital evidence per garantire l’integrità dei dati.
Nel primo caso – ossia attività di mero repertamento del contenuto dell’area sul cloud di interesse investigativo – l’alternativa verte tra un’ispezione informatica ex art. 244 c.p.p. (o, al più, una perquisizione ex art. 247-bis c.p.p.) e un accertamento irripetibile ex art. 360 c.p.p.[49]
Tuttavia, in ambito informatico l’ispezione perde il carattere statico/descrittivo, in quanto è lo stesso intervento effettuato sul sistema ad alterare inevitabilmente i dati presenti sul supporto analizzato; un concreto rischio, pertanto, di irripetibilità che pone il dubbio sulla necessità di ricorrere alle forme dell’art. 360 c.p.p. A favore di quest’ultima ipotesi depone il fatto che il repertamento su cloud avviene in chiave dinamica – ossia il sistema è in funzione – e, a differenza di un PC, non può essere spento, così che l’attività potrebbe essere considerata irripetibile. Sul tema, la S.C. ha tuttavia precisato che la masterizzazione di file rinvenuti all’interno di un PC rinvenuto acceso durante una perquisizione non costituirebbe attività irripetibile bensì attività ripetibile, come tale formalmente corretta.[50]
L’aspetto comune alle due prospettive è dato dal fatto che, in tutti i casi, l’indagato deve essere avvisato dell’attività, anche se solo nell’ipotesi dell’atto irripetibile ha diritto di farsi assistere da un consulente durante le operazioni. Se, dunque, l’accertamento deve essere considerato irripetibile, la scelta di procedere con ispezione e il conseguente mancato avviso all’imputato e al difensore del conferimento dell’incarico e della facoltà di nominare un consulente tecnico di parte, potrebbe dare luogo a una nullità di ordine generale a regime intermedio, che andrebbe dedotta non oltre la conclusione del giudizio di primo grado.[51]
La Cassazione si è poi occupata, altresì, di videoriprese effettuate da remoto, mediante l'attivazione attraverso il cd. “virus informatico della telecamera” di un apparecchio telefonico smartphone; le stesse sono state ritenute legittime quali prove atipiche ai sensi dell'art. 189 c.p.p., salvo siano effettuate all'interno di luoghi di privata dimora, e ferma la necessità di autorizzazione motivata dall'A.G. per le riprese che, pur non comportando una intrusione domiciliare, violino la riservatezza personale. In particolare, l'intercettazione di conversazioni tramite il cd. “agente intrusore”, che consente la captazione da remoto delle conversazioni tra presenti mediante l'attivazione, attraverso il cd. “virus informatico del microfono”, di un apparecchio telefonico smartphone, è stata considerata un'intercettazione ambientale, che può ritenersi legittima, ai sensi dell'art. 266, comma 2, c.p.p. in relazione all'art. 15 Cost., solo quando il decreto autorizzativo individui con precisione i luoghi in cui espletare l'attività captativa[52].
La S.C. è ancora tornata sui temi in oggetto [53] rivisitando le problematiche sopra esposte. In questo senso sono stati rigettati i ricorsi avverso la conferma dell’applicazione della custodia cautelare in carcere nei confronti di due soggetti indagati per i reati di cui agli artt. 494, 615-ter, 617-quater e quinquies c.p., accusati di avere posto in essere accessi abusivi alla casella di posta elettronica in uso a uno studio legale dalla quale, inviando un messaggio di posta contenente in allegato un virus informatico, venivano realizzati atti idonei all'accesso abusivo a sistema informatico contenente dati relativi alla sicurezza pubblica nel settore dell'aviazione civile e all'intercettazione delle comunicazioni telematiche al suo interno. [54]
Tra le questioni affrontate dalla S.C., spicca quello sull’inutilizzabilità dei risultati delle intercettazioni telematiche effettuate mediante captatore informatico. Secondo la difesa l'inutilizzabilità discenderebbe sia dai principi stabiliti della nota decisione S.U. [55] che vietano, al di fuori dei procedimenti relativi a criminalità organizzata, tutte le intercettazioni mediante trojan se effettuate in luogo di privata dimora, quale nella specie l'uso del trojan nel computer fisso dell'indagato collocato nella sua abitazione, sia dal rilievo sia nella specie non si sarebbe trattato di intercettazioni di flussi telematici ai sensi dell'art. 266-bis c.p.p. (e cioè di dati che in transito dal PC alla rete) ma di captazione in tempo reale di un flusso di dati intercorso su un determinato schermo o all'interno di un supporto; ciò avrebbe integrato non un'attività di intercettazione, ma di perquisizione/ispezione – e non una forma di prova atipica – con acquisizione (sequestro) della copia, o meglio della fotografia, di un documento statico (screenshot) che compare a video o è prelevato dal supporto.
La sentenza in oggetto prende espressamente in considerazione le indicazioni fornite dalle S.U., laddove era stata esclusa la possibilità di compiere intercettazioni nei luoghi indicati dall’art. 614 c.p., a mezzo di captatori informatici, al di fuori della disciplina derogatoria per la criminalità organizzata di cui all’art. 13 d.l. 152/1991. Una decisione che assume una portata fortemente innovativa laddove - dopo aver precisato che l’arresto delle S.U. si riferisce in via esclusiva, alle intercettazioni tra presenti - desume da tale principio una nuova e interessante prospettiva; con riferimento al trojan, la S.C. afferma che «il supremo organo nomofilattico non solo non ha escluso la legittimità dell'uso di tale strumento captativo per le intercettazioni tra presenti nei luoghi di privata dimora dove si stia svolgendo l'attività criminosa, ma soprattutto, ed è ciò che qui rileva, non l'ha esclusa per le ulteriori forme di intercettazione, tra cui quelle telematiche ex art. 266-bis, c.p.p.».[56]
Come è noto, recita l’art. 266-bis c.p.p.: «Nei procedimenti relativi ai reati indicati nell’articolo 266, nonché a quelli commessi mediante l’impiego di tecnologie informatiche o telematiche, è consentita l’intercettazione del flusso di comunicazioni relativo a sistemi informatici o telematici ovvero intercorrente tra più sistemi». Siccome la delega di cui alla l. 103/2017 interviene in tema di utilizzo di captatori sulla sola disciplina dell’art. 266 c.p.p., a prescindere dai limiti che il legislatore delegato ha posto in relazione alle intercettazioni tra presenti previste da quest’ultimo articolo, il principio della decisione sopra citata (Cass. Sez. V, n. 48370, 20.10.2017) potrebbe costituire un’apertura di grande interesse investigativo sull’uso di tale strumento sotto un duplice profilo.
Da un lato, l’art. 266-bis c.p.p. non pone un limite alla possibilità di intercettare correlato a una tipologia di reato o alla pena edittale, quanto solo all’impiego di tecnologie informatiche o telematiche per commettere il reato. Se tale impiego si sostanzia in una modalità di comunicazione, la norma potrebbe assumere un ambito di applicazione eccezionalmente ampio: basti pensare, ad es. alle truffe o alle diffamazioni online. Non solo: l’art. 266-bis c.p.p. parla di «flusso di comunicazioni relativo a sistemi informatici o telematici ovvero intercorrente tra più sistemi». Pertanto, non solo i flussi aventi a oggetto scambi comunicativi ma anche quelli interni a un sistema telematico e informatico. Un sistema informatico senza connessioni telematiche non può comunicare con altri: se ne deve dedurre, sul piano logico, prima che tecnico, che si tratta dei flussi interni anche a un singolo PC.
Una prospettiva indubbiamente di grande impatto e non priva di criticità, laddove si consideri che è altamente verosimile che in molti casi l’utilizzo di un singolo PC potrebbe avvenire (anzi normalmente avviene) in luoghi di privata dimora. Potrebbe così determinarsi un pericoloso contrasto tra il dato letterale della norma, che non richiama per il 266-bis c.p.p. i limiti dall’art. 266, comma 2, c.p.p., e la tutela del domicilio di matrice costituzionale.
In realtà, la tesi proposta dalla decisione sopra menzionata si riflette anche su un ulteriore e rilevante aspetto. Nei motivi di ricorso si afferma che l’attività di intercettazione non avrebbe avuto a oggetto flussi telematici ai sensi dell'art. 266-bis c.p.p. quanto la captazione in tempo reale di un flusso di dati intercorso su un determinato schermo o all'interno di un supporto, così che sarebbe stata necessaria l’applicazione delle norme sulla perquisizione e sul sequestro.
La S.C., nel caso di specie, non affronta direttamente la questione ma si limita a osservare che dal provvedimento del tribunale della libertà oggetto di impugnazione si ricava che l'agente intrusore impiegato avrebbe captato, comunque, «anche un flusso di comunicazioni, richiedente un dialogo con altri soggetti, oltre a documentazione relativa a un flusso unidirezionale di dati confinati all'interno dei circuiti del computer». Un presupposto che renderebbe inutile ricondurre l’attività di acquisizione dei dati presenti nell'hard disk del computer:
• alla categoria intercettazione, come ritenuto per i messaggi di posta elettronica, anche se già ricevuti o spediti dall'indagato e conservati nelle rispettive caselle di posta in entrata e in uscita, indipendentemente dal sistema intrusivo adottato dagli inquirenti, cioè tramite accesso diretto al computer o inserimento di un programma spia [57];
• alla categoria della prova atipica, allorché, attraverso l'installazione di un captatore informatico, si proceda all'estrapolazione di dati, non aventi a oggetto un flusso di comunicazioni, già formati e contenuti nella memoria del personal computer o che in futuro sarebbero stati memorizzati [58];
• all’ambito operativo dei provvedimenti di perquisizione e sequestro.
La decisione non prende posizione sulla base di un rilievo strettamente formale, sottolineando che sarebbe stato onere del ricorrente precisare, in ossequio al principio di specificità delle impugnazioni, quali dei dati captati tramite trojan fossero eventualmente colpiti dalla sanzione dell'inutilizzabilità, chiarendone altresì l'incidenza sul complessivo compendio indiziario già valutato, sì da potersene inferire la decisività in riferimento al provvedimento impugnato, applicando un principio generale già espresso dalle S.U.[59] .
Di certo sul punto la S.C. non si è sbilanciata, limitandosi, per così dire, a una ricognizione delle possibilità astratte. Resta, tuttavia, una notazione finale. Esiste, fuori di ogni dubbio, una precisa gerarchia – sul piano della qualità delle garanzie – tra i mezzi di prova e/o di ricerca della prova. Garanzie che, almeno in astratto, inequivocabilmente, devono ritenersi ravvisabili nella loro massima estensione laddove la formazione della prova avvenga sotto il controllo e la supervisione, sin dalla fase delle indagini, di un organo giurisdizionale terzo.
Rispetto alla categoria della prova atipica o al richiamo ai decreti di perquisizione (o ispezione) e del conseguente sequestro – rispetto ai quali la verifica di legittimità non può che essere rimessa, al più, alla verifica ex post avanti al tribunale della libertà – le intercettazioni ex art. 266-bis c.p.p. presentano l’indubitabile vantaggio di essere subordinate (fatti salvi i limitati casi di urgenza, comunque destinati a essere valutati in sede di convalida) all’autorizzazione preventiva del Gip. Una garanzia che potrebbe compensare il rinvio temporale della conoscenza da parte della difesa (e dello stesso indagato) rispetto agli avvisi stabiliti dal codice di procedura a fronte delle attività di perquisizione, ispezione e sequestro.
2.10 - L’acquisizione della messaggistica istantanea
La messaggistica è un fenomeno globale, come pochi altri espressivo della personalità, delle relazioni e delle condotte dei singoli e non infrequentemente la sua ricostruzione rappresenta un aspetto fondamentale delle indagini; attività che, per altro, deve svolgersi nel pieno rispetto di diritti fondamentali quali la libertà e la segretezza della corrispondenza.
In termini generali, non sussistono differenze “ontologiche” o comunque positivamente disciplinate in relazione alle forme di comunicazione, così che il dato strettamente tecnologico – costituito dal transito delle stesse in forma digitalizzata attraverso PC, smartphone o tablet connessi tra loro o alla rete internet – deve essere valutato in relazione all’inquadramento degli strumenti di acquisizione di tali forme di comunicazione.
Laddove i messaggi vengano captati in tempo reale, deve ritenersi applicabile la disciplina delle intercettazioni, anche se occorre comprendere se si tratti di intercettazione “ordinaria” ex art. 266 c.p.p o più verosimilmente telematica ex art. 266-bis c.p.p.
Differente il problema della messaggistica già oggetto di trasmissione.
Una prima opzione ermeneutica prevede l’applicazione della disciplina delle intercettazioni anche laddove le e-mail o le comunicazioni pervenute o inviate al destinatario siano archiviate nel device/p.c. di questi.
L’avvenuto inoltro del messaggio prevarrebbe sull’assenza dell’attualità della comunicazione; l’acquisizione di contenuti di tali messaggi mediante intercettazione operata ai sensi dell’art. 266 c.p.p. è stata ritenuta legittima, poiché le chat, anche se non contestuali, costituiscono un flusso di comunicazioni.[60] Una tesi discutibile, laddove si consideri non conforme al sistema un decreto di intercettazione diretto a comunicazioni “passate” e non future; d’altro canto, l’applicazione della disciplina delle intercettazione è quella che determina la maggiore garanzie nella prospettiva della difesa, stante l’intervento di autorizzazione del G.I.P.
L’acquisizione di mail o messaggi presenti su un PC o su un device potrà avvenire o con un atto a sorpresa ma palese – perquisizione – ovvero con le forme di acquisizione per mezzo di un trojan (si rinvia al punto precedente). Ciò riconduce anche questa forma di accertamento alla problematica generale sulla compatibilità e praticabilità nel sistema dell’utilizzo di tale forma di apprensione.
Sul tema, era intervenuta la S.C.[61] con una decisione che trae origine da una vicenda processuale particolare, avente a oggetto un’associazione per delinquere di stampo transnazionale finalizzata al traffico di sostanze stupefacenti. Associazione i cui partecipanti comunicavano attraverso una postazione di un internet point, che gli stessi potevano utilizzare tramite una comune credenziale di accesso e dalla quale ponevano in essere uno scambio comunicativo differito. A volte, le mail venivano scritte e non spedite ma salvate nella cartella bozze, di modo da potere essere lette dagli altri soggetti mediante accesso a tale cartella. L’attività che era monitorata dalla P.G. grazie all’installazione di un trojan nel client che gli stessi erano soliti usare all’interno dell’internet point in oggetto; in questo modo venivano non solo intercettate le mail spedite ma era stato possibile acquisire quelle “parcheggiate” nella casella di posta bozze.
La S.C., chiamata a valutare la legittimità di tale procedura, ha riconosciuto la legittimità dell'acquisizione tramite instradamento dei messaggi di posta elettronica, in entrata e in uscita, relativi a una casella gestita da un provider estero; in particolare, poi, ha preso posizione tra le varie tesi che si sono affermate in giurisprudenza come in dottrina circa le modalità di “acquisizione” di messaggi di posta elettronica, già ricevuti o spediti dall'indagato e conservati nelle rispettive caselle di posta in entrata e in uscita. Secondo la S.C. si tratterebbe comunque di attività di intercettazione, sottoposta alla disciplina di cui agli artt. 266 e 266-bis c.p.p. indipendentemente dal sistema intrusivo adottato dagli inquirenti (tramite accesso diretto al computer o inserimento di un programma spia), equiparando così il regime acquisitivo delle e-mail già ricevute e/o inviate con quella delle e-mail che vengono inviate e/o ricevute nel corso delle indagini.
In tale decisione la S.C. ha aderito alla tesi del cd. “criterio dell’inoltro”: «nella giurisprudenza di questa Corte di legittimità, anche a Sezioni unite, si rinvengono elementi per poter affermare che il discrimen perché ci sia stato o meno flusso informativo – e quindi debba essere applicata la disciplina delle intercettazioni e non quella del sequestro – è nell’avvenuto inoltro dell’e-mail da parte del mittente. Perciò ritiene il Collegio che quanto alle e-mail inviate o ricevute, la risposta da fornire al quesito circa l’esistenza o meno di un flusso informativo sia positiva».
Al contrario, ove si tratti di e-mail “parcheggiate” e non inviate – sopra descritte – la S.C. ritiene sufficiente, lo strumento del sequestro, in quanto si tratterebbe «di una attività che ricorda quella del sequestro di dati informatici e perciò si tratterebbe di una attività di indagine che non rientra nella disciplina delle intercettazioni e non necessita di alcuna autorizzazione del Gip».
Una soluzione che, indubbiamente, pone problemi con riguardo agli avvisi che dovrebbero comunque conseguire all’attività di sequestro, che – evidentemente – pregiudicherebbero la possibilità di proseguire nell’attività di captazione o comunque di acquisizione.
Alla tesi sopra esposta si contrappone quelle che individua nei messaggi già trasmessi o pervenuti – e quindi presenti sulla memoria di p.c. e device” – dei documenti informatici. Per la S.C.[62] i dati informatici acquisiti dalla memoria del telefono in uso all’indagato (sms, messaggi whatsapp, messaggi di posta elettronica “scaricati” e/o conservati nella memoria dell’apparecchio cellulare posto sotto sequestro) avrebbero natura di documenti ai sensi dell’articolo 234 c.p.p.; l’attività di acquisizione degli stessi non soggiacerebbe né alle regole stabilite per la corrispondenza, né tantomeno alla disciplina delle intercettazioni telefoniche in quanto:
- non sarebbe applicabile la disciplina dettata dall’articolo 254 c.p.p., in quanto tali messaggi non rientrano nel concetto di “corrispondenza”, la cui nozione implica un’attività’ di spedizione in corso o comunque avviata dal mittente mediante consegna a terzi per il recapito
- non sarebbe configurabile un’attività di intercettazione, in quanto la stessa presuppone la captazione di un flusso di comunicazione in corso, mentre nel caso di specie si tratta di acquisizione ex post di un dato, conservato in memoria, che documenta tali flussi.
In tale prospettiva le comunicazioni presenti nella memoria di un p.c./device sequestrato oppure in un programma di gestione della posta elettronica, siano esse in partenza perché non ancora spedite o siano giunte al destinatario, siano state aperte o meno, dovrebbero essere considerate oggetto del sequestro ordinario disciplinato dall’art. 253 c.p.p.
L’acquisizione, seppure con differenti strumenti, delle comunicazioni sopra indicate deve essere in ogni modo valutata tenendo conto delle necessità di verificare la riferibilità, integrità e dunque attendibilità delle stesse.
Per la S.C.[63] è legittimo il provvedimento con cui il giudice di merito rigetta l'istanza di acquisizione della trascrizione di conversazioni, effettuate via 'wathsapp' e registrate da uno degli interlocutori, in quanto, pur concretandosi essa nella memorizzazione di un fatto storico, costituente prova documentale, ex art. 234 c. p.p., la sua utilizzabilità è, tuttavia, condizionata all'acquisizione del supporto telematico o figurativo contenente la relativa registrazione, al fine di verificare l'affidabilità, la provenienza e l'attendibilità del contenuto di dette conversazioni. Ad analoghe conclusioni si può giungere non solo per i file audio, ma anche per i messaggi scritti. Non bisogna confondere in quanto senso il documento informatico dalla stampa o trascrizione dello stesso ai fini di una più agevole consultazione.
La procedura corretta per produrre messaggi Whatsapp come prova in un processo prevede:
-acquisizione forense globale dello smartphone
-analisi del dispositivo per documentare come i dati siano attendibili e per rilevare tutti i dati utili;
- redazione di una relazione tecnica che dia conto delle metodologie utilizzate e che evidenzi i soli dati di interesse.
Una particolare forma di sequestro è stata disciplinata con la riforma di cui alla l 48/2008, in relazione alla corrispondenza presso i fornitori di servizi informatici, telematici o di telecomunicazioni. Il testo dell’art. 254 c.p.p. modificato dalla l. 48/2008 impone di ritenere che la posta elettronica rientri nel concetto di corrispondenza, avendo il legislatore previsto la possibilità di intervenire presso i gestori di servizi telematici o di telecomunicazioni per effettuare il sequestro probatorio delle missive inoltrate per via telematica.
L’art. 254 c.p.p. prevede che l’autorità giudiziaria, quando dispone il sequestro, presso tali soggetti, dei dati da questi detenuti, compresi quelli di traffico o di ubicazione, può stabilire, per esigenze legate alla regolare fornitura dei medesimi servizi, che la loro acquisizione avvenga mediante copia di essi su adeguato supporto, con una procedura che assicuri la conformità dei dati acquisiti a quelli originali e la loro immodificabilità.
La disciplina dell’art. 254 c.p.p. deve ritenersi speciale rispetto ai criteri generali di cui all’art. 253 c.p.p. in tema di sequestro e secondo la S.C. sarebbe applicabile a fronte di corrispondenza, nozione che implica “un’attività di spedizione in corso o alla quale il mittente abbia dato comunque impulso consegnandola ad altri per il recapito”. Disciplina che, quindi, concerne solamente “il sequestro della corrispondenza presso uffici postali (o, deve ritenersi, anche in luoghi accessori quali le cassette postali o in via di recapito tramite il portalettere)” e cioè di quella che è ancora in corso di spedizione. Al contrario deve ritenersi applicabile l’art 253 c.p.p. per la corrispondenza ( già recapitata) al destinatario.
A sua volta l’art. 353, comma 3 c.p.p., stabilisce che “Se si tratta di lettere, pieghi, pacchi, valori, telegrammi o altri oggetti di corrispondenza, anche se in forma elettronica o se inoltrati per via telematica, per i quali è consentito il sequestro a norma dell'articolo 254, gli ufficiali di polizia giudiziaria, in caso di urgenza, ordinano a chi è preposto al servizio postale, telegrafico, telematico o di telecomunicazione di sospendere l'inoltro. Se entro quarantotto ore dall'ordine della polizia giudiziaria il pubblico ministero non dispone il sequestro, gli oggetti di corrispondenza sono inoltrati.” Sarebbero poi acquisibili ai sensi dell’art. 253 c.p.p. le lettere, i plichi, i messaggi di posta elettronica destinati alla corrispondenza oppure già recapitati al destinatario, che siano già stati aperti oppure non ancora letti, per i quali non vi sia quindi un’attività di spedizione in atto.
Sul piano operativo, infine l’art 254 bis c.p.p. (Sequestro di dati informatici presso fornitori di servizi informatici, telematici e di telecomunicazioni), dispone che “l’autorità giudiziaria, quando dispone il sequestro, presso i fornitori di servizi informatici, telematici o di telecomunicazioni, dei dati da questi detenuti, compresi quelli di traffico o di ubicazione, può stabilire, per esigenze legate alla regolare fornitura dei medesimi servizi, che la loro acquisizione avvenga mediante copia di essi su adeguato supporto, con una procedura che assicuri la conformità dei dati acquisiti a quelli originali e la loro immodificabilità. In questo caso è, comunque, ordinato al fornitore dei servizi di conservare e proteggere adeguatamente i dati originali.”
2.11 - Messaggistica e decrittazione
L’intercettazione della messaggistica (si tratti di chat, audio o video) presenta una specifica criticità generalizzata, correlata alla natura digitale dei dati attraverso i quali la stessa è trasmessa; problema comune alle app quali whatsapp utilizzate sui device così come al sistema Voip per le chiamate telefoniche. Il dato comune è costituito dall’utilizzo di sistemi di cifratura “end-to-end”, tali per cui la chiave di cifratura è nota solo agli interlocutori e non è comune con il server; sul server pertanto non dovrebbero essere archiviati “in chiaro” i messaggi e le comunicazioni. Un impasse superabile solo attraverso l’uso dei captatori, che consentono di intercettare direttamente da uno dei device coinvolti nella comunicazioni ( e quindi di trasmettere comunicazioni direttamente intelleggibili).
In generale, le comunicazioni che sono trasmesse tramite app sono criptate, ossia non possono essere lette direttamente, anche se intercettate, così come le comunicazioni via VoIP. In sintesi, le stesse “escono” criptate dall’apparato che le genera, restano criptate sul server del gestore delle comunicazioni e vengono decriptate quando pervengono all’apparato ricevente. La possibilità di intercettare “in chiaro”, quindi, è ravvisabile solo laddove l’intercettazione trovi luogo direttamente su uno dei due apparati in comunicazione.
L’apprensione dei dati direttamente dall’apparato previa istallazione di un captatore informatico rappresenta l’unico metodo che consente di bypassare la criptatura degli stessi, monitorando sia il flusso di comunicazioni riguardanti sistemi informatici o telematici – online surveillance, pacificamente da ricondurre alla categoria intercettazioni. L’attività di intercettazione è indubbiamente quella maggiormente articolata e complessa e – non a caso – quella più garantita. La previsione di autorizzazione (salvi i casi di urgenza, comunque da sottoporre a convalida) da parte del Gip consente di ritenere che l’installazione di un captatore informatico sia assimilabile in tutto all’applicazione di una microspia, situazione già pacificamente prevista nei casi di intercettazioni ambientali, con tutto ciò che consegue in relazione alle attività di installazione delle stesse.
Al riguardo, di grande interesse risulta una decisione della Cassazione[64] in base al quale, in materia di utilizzazione di messaggistica con sistema Blackberry sarebbe corretto acquisirne i contenuti mediante intercettazione ex art. 266-bis c.p.p. e ss. In tal senso le chat, anche se non contestuali, costituirebbero un flusso di comunicazioni, così che l’intercettazione avverrebbe con il tradizionale sistema, ossia monitorando il codice PIN del telefono (ovvero il codice IMEI), associato in maniera univoca a un nickname.[65]
Nel caso esaminato dalla S.C. le comunicazioni della messaggistica Blackberry giungevano tramite il sistema telefonico, previo instradamento, sul sistema telematico della sede nazionale della società di gestione del sistema.[66] Da quel momento in avanti si pone il problema della decrittazione dei dati, che tuttavia è elemento differente da quello della presenza dei dati stessi sul territorio nazionale. Nessuna norma impone di fare ricorso a una rogatoria per decrittare i dati presenti sul territorio. Se poi il soggetto legittimamente titolare della chiave di decrittazione in Italia collabora alla decrittazione si pone un problema di attendibilità (al più) ma non certo di extraterritorialità.
Non solo: se il timore è che la società che detiene la predetta “chiave” possa rifiutare la collaborazione degli esiti della captazione, la questione si porrebbe – allo stesso modo – se la richiesta di decrittazione fosse contenuta in una rogatoria. Occorre domandarsi, allora, per quale ragione la collaborazione della società per la decrittazione dei dati instradati sul territorio nazionale dovrebbe essere meno efficace e credibile di quella che la stessa società potrebbe decidere di fornire (o potrebbe rifiutare o potrebbe eseguire in termini impropri) operando dallo Stato nel quale ha sede.
Il problema è, anzi, esattamente opposto e si pone nei casi nei quali i gestori dei sistemi di messaggistica (anch’essi criptati) rifiutano o ritardino la collaborazione, in Italia così come nei casi di rogatoria, necessaria a decifrare i messaggi. In tali casi l’apprensione delle comunicazioni previa applicazione di un trojan su uno degli apparati tra i quali avvengono le comunicazioni, in quanto solo su un apparato terminale le stesse giungono decrittate, procedendo con le forme dell’intercettazione, appare più una necessitò che una scelta.
Il problema della decrittazione dei dati ha assunto ormai da tempo una rilevanza particolare, affiancando la problematica dell’intercettazione dell’instant messaging a quella delle comunicazioni telefoniche VoIP e alla ricerca di dati e informazioni derivanti dall’utilizzo di sistemi per i quali la trasmissione dei dati relativi alle comunicazioni avviene previa criptatura.
Sul punto, il dato tecnico deve essere letto (come sempre ma se possibile ancora più espressamente) in sintonia con quello economico-commerciale: il mercato chiede device sicuri, se possibile non intercettabili; le autorità degli Stati hanno, nell’assoluta maggioranza dei casi, necessità di effettuare, al contrario, intercettazioni che prescindano per quanto possibile, per gli esiti, da scelte di “collaborazione” da parte dei produttori dei sistemi integrati di comunicazione hardware- software.
Il problema, semplice e allo stesso tempo quasi irrisolvibile, è il seguente: si può consentire – o meglio un sistema giuridico può consentire – che l’attività di intercettazione o almeno di decrittazione delle comunicazioni dipenda dalla disponibilità di collaborazione degli operatori del settore?
Per problemi di sicurezza interna e soprattutto internazionale, non pare accettabile una tolleranza diffusa verso il fenomeno del cd. “going dark” (ossia la sostanziale impossibilità di intercettare), che pure può determinarsi a fronte del moltiplicarsi delle possibilità di connessione e dei sistemi di criptatura. ([67])
È evidente che la tutela – innegabile ed efficace – della privacy che deriva da questa scelta potrà avere ripercussioni significative sull’attività di ricerca della prova contenuta nei dati memorizzati o trasmessi sugli apparati in oggetto. Ed è altrettanto improbabile, visto lo strapotere tecnico-economico che caratterizza alcuni operatori del settore, che eventuali consulenti nominati da singole procure possano mettere a punto – in un tempo e con un investimento compatibile con le strutture giudiziarie – meccanismi di forzatura dei sistemi al fine di rendere intellegibili i dati e le informazioni.
[1] Estratto dalla relazione tenuta al corso SSM - Progresso scientifico e giudizio di merito: nuove scienze, prove atipiche, perizia, Roma, Sede dell’Accademia Nazionale dei Lincei, Palazzo Corsini, 11-13 settembre 2019
[2] Così E. Casey, Digital evidence and computer crime, in Academic Press, 2000, p. 196 ss.
[3] Su questi temi, in generale L. Cuomo-R. Razzante, La nuova disciplina dei reati informatici, Torino, 2009; C. Parodi- A. Calice, Internet e responsabilità penali, Milano, 2001; F. Berghella-R. Blaiotta, Diritto penale dell’informatica e beni giuridici, in Cass. pen., 1995, p. 2329; F. Bravo, Crimini informatici e utilizzo dei mezzi di ricerca della prova nella conduzione delle indagini, in Riv. giur. polizia, 1998, 3, p. 711; F. Buffa, Internet e criminalità, Milano, 2001; C. Serra-M. Strano, Nuove frontiere della criminalità, Milano, 1997; R. Flor, Lotta alla “criminalità informatica” e tutela di tradizionali e nuovi diritti fondamentali nell’era di internet, in www.penalecontemporaneo.it, 22 settembre 2012.
[4] Senza dimenticare che la prova digitale ha assunto una rilevanza particolare anche rispetto alla valutazione della responsabilità amministrativa, contabile e tributaria e civile.
[5] In generale, su questi temi L. Luparia, La disciplina processuale e le garanzie difensive, in L. Luparia-G. Ziccardi, Investigazione penale e tecnologia informatica, Giuffrè, Milano, 2007; S. Aterno, Digital Forensics (Investigazioni informatiche), in Dig. pen., Agg. VIII, Torino, 2014, p. 217. L. Chirizzi, Computer forensics: brevi cenni tecnici e procedurali sulla ricerca della fonte di prova informatica, in Ciberspazio e diritto, 2006, 4, p. 463; S. Aterno, Le investigazioni informatiche e l’acquisizione della prova digitale, in Giur. merito, 2013, 4, p. 955; L. Marafioti, Digital evidence e processo penale, in Cass. pen., 2011, p. 4509; G. Costabile, Computer forensics e informatica investigativa alla luce della Legge n. 48 del 2008, in Ciberspazio e diritto, 2010, 3, p. 465.
[6] Cass., Sez. III, n. 37419, 5/7/2012, CED 253573 - 01
[7] Il Regolamento eIDAS (electronic IDentification Authentication and Signature) - Regolamento UE n. 910/2014 sull’identità digitale - ha l’obiettivo di fornire una base normativa a livello comunitario per i servizi fiduciari e i mezzi di identificazione elettronica degli stati membri. Il regolamento eIDAS fornisce una base normativa comune per interazioni elettroniche sicure fra cittadini, imprese e pubbliche amministrazioni e incrementa la sicurezza e l’efficacia dei servizi elettronici e delle transazioni di e-business e commercio elettronico nell’Unione Europea.
[8] Cass, sez VI, n. 3067, 14/12/1999, CED 214945
[9] Cass., S.U., n. 17325, 26/03/2015, CED 263020 - 01
[10] Cass., sez. V, n 16556, 14/10/2009, CED 246954
[11] Cass., sez. III, n. 37644, 28/5/2015, CED 265180
[12] A titolo esemplificativo, si vedano, le Linee guida per perquisizione Informatica- della Polizia Postale e comunicazioni di Torino del 24/10/2018.
[13] Nel caso in cui, per accedere ai dati, si renda necessario modificare i privilegi di accesso, occorre prendere contatto con la persona esterna abilitata alla gestione degli stessi e farlo incaricare per eseguire la modifica delle policy di sicurezza. Una volta acquisiti i diritti di accesso necessari sui dati target per la perquisizione, si può procedere come per il punto a., eseguendo le operazioni di restore come indicate al punto a.
[14] Come era prevedibile, si parla già di tecnologie dirette a “superare” il cloud. In particolare con l’edge computing- in via di sviluppo – si punta all’elaborazione dei dati alla fonte, laddove con il cloud l’utente prima accede alla “nuvola” e quindi elabora i dati, con un doppio passaggio. Una soluzione che consentirebbe di risparmiare una frazione minima temporale sulle singole operazioni, ma un enorme risparmio sul complesso delle stesse; sul tema Guardare oltre il Cloud. Adesso la finanza punta all’Edge computing, La stampa, 15.7.2019
[15] Cass. Sez. IV, n. 40903, 28/6/2016, CED 268228
[16] Le indicazioni della S.C. devono per altro essere valutate alla luce delle disposizioni degli Stati esteri; al rigurdo si segnala che il codice penale della Repubblica ELvetica- art. 271.1.1 “Crimini o delitti contro lo Stato. / Atti compiuti senza autorizzazione per conto di uno Stato estero. Atti compiuti senza autorizzazione per conto di uno Stato estero” stabilisce al comma 1: “ Chiunque, senza esservi autorizzato, compie sul territorio svizzero per conto di uno Stato estero atti che spettano a poteri pubblici; chiunque compie siffatti atti per conto di un partito estero o di un'altra organizzazione dell'estero, chiunque favorisce tali atti, è punito con una pena detentiva sino a tre anni o con una pena pecuniaria e, in casi gravi, con una pena detentiva non inferiore a un anno.”
[17] Cfr. S. ATERNO - M. MATTIUCCI , Cloud Forensics e nuove frontiere delle indagini informatiche nel processo penale in www.archiviopenale.it
[18] A senso del comma 6 dell’art 350 c.p.p. “Delle notizie e delle indicazioni assunte senza l'assistenza del difensore sul luogo o nell'immediatezza del fatto a norma del comma 5 è vietata ogni documentazione e utilizzazione”
[19] Nei casi di maggiore complessità non si può escludere la necessità di richiedere l’intervento di soggetti esteri depositari di specifiche conoscenze; una possibilità che potrà essere percorsa – quantomeno in ambito europeo, con una richiesta di ordine di indagine di cui al d.lgs. 108/2017, da rivolgere alla Stato nel quale tali società hanno sede, eventualmente richiedendo- ove necessario- il rispetto delle formalità di cui all’art. 360 c.p.p.
[20] Art. 354 c.p.p. - Accertamenti urgenti sui luoghi, sulle cose e sulle persone. Sequestro
1. Gli ufficiali e gli agenti di polizia giudiziaria curano che le tracce e le cose pertinenti al reato siano conservate e che lo stato dei luoghi e delle cose non venga mutato prima dell'intervento del pubblico ministero.
2. […] In relazione ai dati, alle informazioni e ai programmi informatici o ai sistemi informatici o telematici, gli ufficiali della polizia giudiziaria adottano, altresì, le misure tecniche o impartiscono le prescrizioni necessarie ad assicurarne la conservazione e ad impedirne l’alterazione e l’accesso e provvedono, ove possibile, alla loro immediata duplicazione su adeguati supporti, mediante una procedura che assicuri la conformità della copia all’originale e la sua immodificabilità. Se del caso, sequestrano il corpo del reato e le cose a questo pertinenti.
[21] Cass., Sez. I, n. 301, 14/03/1990 , CED 183648
[22] Cass.Sez I, n. 18246 , 25/02/2015, CED 263858 - 01
[23] Cass., Sez. III, n. 46043, 20/03/2018, CED 274519 - 01
[24] Su questi temi in generale A. Logli, Sequestro probatorio di un personal computer. Misure ad explorandume tutela della corrispondenza elettronica, in Cass. pen., 2008, p. 2946; G. Corrias Lucente, Perquisizione e sequestro informatici: divieto di inquisitio generalis, in Dir. informaz. e informatica, 2012, 6, p. 1146; F.M. Molinari, Questioni in tema di perquisizione e sequestro di materiale informatico, in Cass. pen., 2012, p. 696; E. Lorenzetto, Utilizzabilità dei dati informatici incorporati su computer in sequestro: dal contenitore al contenuto passando per la copia, in Cass. pen., 2010, p. 1522; F. Novario, Criminalità informatica e sequestro probatorio: le modifiche introdotte dalla L. 18 marzo 2008, n. 48 al codice di procedura penale, in Riv. dir. proc., 2008, 4, p. 1069; V. Zamperini, Impugnabilità del sequestro probatorio di dati informatici, in Dir. pen. proc., 2016, p. 508; S. Carnevale, Copia e restituzione dei documenti informatici sequestrati: il problema dell’interesse a impugnare, in Dir. pen. proc., 2009, p. 472; C. Costanzi, Perquisizione e sequestro informatico. L’interesse al riesame nel caso di estrazione di copie digitali e restituzione dell’originale, in Arch. n. proc. pen., 2016, 3, p. 269.
[25] Cass., S.U., n. 18253, 24/04/2008, CED 239397 - 01
[26] Cass., Sez. VI, n. 24617, 24/02/2015, CED 264093 - 01
[27] Cass, Sez. III, n 38148, 23/06/2015, CED 265181 – 01; In senso contrario, Cass., Sez. II, n. 40831, 9/9/2016, CED 267610 – 01, per la quale in tema di sequestro probatorio, il ricorso per cassazione proposto avverso l'ordinanza del tribunale del riesame che abbia disposto, previo trattenimento di copia dei dati informatici estratti, la restituzione al ricorrente degli apparecchi e delle strutture "hardware" coercitivamente acquisiti, è ammissibile esclusivamente nel caso in cui il ricorrente dimostri il proprio concreto interesse all'esclusiva disponibilità delle informazioni contenute nei documenti informatici, facendo così ritenere l'estrazione di copia un vero e proprio sequestro di "informazione" autonomamente apprezzabile; v. anche .
[28] Cass., Sez. V, n. 25527, 27/10/2016, CED 269811 – 01;
[29] Cass., sez. VI, 11 novembre 2016, n. 53168, in CED Cass., n. 268489.
[30] Cass., Sez. III, n. 12107, 18/11/2008, CED 243393 - 01
[31] Cass. S.U., n. 36072, 19/4/2018, CED 273548 - 01
[32] Cass., S.U., n. 36072, 19/4/2018, CED 273548 – 01; per altro, l’eventuale illegittimità della perquisizione non produce effetti preclusivi sul sequestro effettuato, qualora vengano acquisite cose che costituiscano corpo del reato o pertinenti al reato, dato che il potere di sequestro, “in quanto riferito a cose obbiettivamente sequestrabili, non dipende dalla modalità con cui queste siano state reperite, ma è condizionato unicamente all’acquisibilità del bene e all’insussistenza di divieti probatori enucleabili dal sistema”.
[33] Cass., Sez. VI, n. 40380, 31/5/2007, CED 237917 – 01; fattispecie in cui è stato ritenuto illegittimo il sequestro del computer in uso ad una giornalista e dell'area del "server" dalla stessa gestita, con la conseguente acquisizione dell'intero contenuto dell'"hard disk" e di un'intera cartella personale presente nell'area del sistema operativo.
[34] Cass., Sez. VI, n. 31735, 15/04/2014, CED 260068 – 01; fattispecie relativa ad un procedimento contro ignoti per il reato di cui all'art. 326 c.p. in relazione alla divulgazione della notizia di riunioni tenutesi presso la D.N.A., in cui la Corte ha ritenuto illegittimo il sequestro di "computer", "pen drive", DVD, lettore MP3 ecc. in uso ad un giornalista e, invece, legittimo il sequestro dei documenti intestati "D.N.A.", anch'essi detenuti dal medesimo professionista.
[35] Cass., Sez. VI, n. 24617, 24/02/2015 CED, 264094 e 264092; fattispecie di perquisizione di personal computer di giornalista, in cui la Corte ha ritenuto corretta la procedura di esame ed estrazione, mediante stampa fisica e duplicazione, dei soli dati di interesse presenti nell'archivio del sistema.
[36] Cass., Sez. I, n. 25755, 16/2/2007, CED 237430
[37] Secondo l’ISACA ( Information Systems Audit and Control Association) con “ log” o “log file” si intendono i “Files created specifically to record various actions occurring on the system to be monitored, such as failed login attempts, full disk drives and e-mail delivery failures”.
[38] Con l’introduzione nel sistema codicistico della norma di cui all’art 234 bis c.p.p. (Acquisizione di documenti e dati informatici: È sempre consentita l’acquisizione di documenti e dati informatici conservati all’estero, anche diversi da quelli disponibili al pubblico, previo consenso, in quest’ultimo caso, del legittimo titolare) può essere posto il dubbio, sulla possibilità di acquisire, con il consenso del gestore, dati relativi alle comunicazioni “collocati” su server esteri. Al riguardo, tuttavia, se consideriamo i dati scambiati in tempo reale e relativi a contenuti di comunicazioni con riguardo al principio di cui all’art. 15 Cost., pare arduo ritenere - anche sul piano sistematico - che l’art. 234 bis c.p.p. consenta deroghe alla disciplina in tema di acquisizione dei file di log ed ai limiti temporali stabiliti dall’art. 132 d.lgs. 196/2003, come modificato dall’art. 2 d.lgs. 109/2008, in base al quale sono acquisibili file di log risalente ad un periodo massimo, risalente nel tempo, di mesi 12. Sarebbe singolare poter acquisire da un server estero dati su comunicazioni con maggiore “ampiezza” rispetto alla disciplina specifica di cui al d.lgs. 196/2003.
[39] In particolare, i principi di liceità, correttezza e trasparenza (lettera a); il principio di limitazione della finalità (lettera b); il principio di minimizzazione dei dati (lettera c); il principio di esattezza (lettera d); il principio di limitazione dei dati (lettera e); il principio di integrità e riservatezza (lettera f).
[40] In base all’art. 7 del GDPR “il titolare del trattamento deve essere in grado di dimostrare che l’interessato ha prestato il proprio consenso al trattamento dei propri dati personali”; l’art. 32 (Sicurezza del trattamento), a sua volta precisa “ 1. Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso:
a) la pseudonimizzazione e la cifratura dei dati personali; b) la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento.
[41] Indicativa una vicenda in ambito lavoristico del Tribunali di Napoli (ordinanza del 29 aprile 2014), per la quale un dipendente era stato licenziato sul presupposto della effettuazione di accessi non autorizzati alle caselle di posta elettronica di altri dipendenti appartenenti ad altre aree aziendali e di consultazione di documentazione aziendale riservata. Il licenziamento veniva impugnato e il dipendente veniva reintegrato in quanto le prove digitali fornite dalla società non venivano reputate idonee in quanto ““il sistema avrebbe dovuto produrre log firmati digitalmente e marcati temporalmente. Solo in questo caso si sarebbe potuta stabilire l’esatta identicità con il dato originale”; con riguardo ai log prodotti dal sistema di posta, “la struttura del dato nella sua complessità è tale che, anche se non è possibile stabilirne la congruenza effettiva con i dati nativi, è possibile avanzare l’ipotesi di una bassa probabilità di alterazione del dato copiato. Si rilevava così che “tutti e due i tipi di log sono andati distrutti nei loro originali in quanto pacificamente sovrascritti, non conservati nel sistema di archiviazione. Le copie degli stessi non sono state estratte con modalità tali da garantirne, in caso di contestazione, la attendibilità e provenienza e la immodificabilità, né cristallizzati giuridicamente e processualmente in altro modo”
[42] Su questi temi F. Iovene, Le cd. perquisizioni on line: tra nuovi diritti fondamentali ed esigenze di accertamento penale, in www.penalecontemporaneo.it, 27 febbraio 2014; E. Lorenzetto, Il perimetro delle intercettazioni ambientali eseguite mediante ‘‘captatore informatico’’, nota a Trib. Palermo, Sez. riesame, ord. 11 gennaio 2016, in www.penalecontemporaneo.it, 24 marzo 2016; S. Marcolini, Le cosiddette perquisizioni on line (o perquisizioni elettroniche), in Cass. pen., 2010, p. 2855; Id., Le indagini atipiche a contenuto tecnologico nel processo penale: Una proposta, in Cass. pen., 2015, p. 760 ss.; A. Testaguzza, I sistemi di controllo remoto: tra normativa e prassi, in Dir. pen. proc. 2014, p. 759.
[43] Non solo: dalla lettura del testo dell’art 266 c.p.p., come modificato dal d.lgs 217/2017, l’utilizzo del captatore per porre in essere intercettazioni tra presenti è disciplinata nel solo caso di inserimento di quest’ultimo su un dispositivo elettronio portatile e non ad es. di un p.c “fisso”.
[44] Cass. sez. V, n. 16556, 14/10/2009, CED 246954
[45] Precisa la S.C. che lo stesso si trovava “nei locali sede di un ufficio pubblico comunale, ove sia l’imputato sia gli altri impiegati avevano accesso per svolgere le loro mansioni e ove potevano fare ingresso, sia pure in determinate condizioni temporali, il pubblico degli utenti e il personale delle pulizie, insomma una comunità di soggetti non particolarmente estesa, ma nemmeno limitata o determinabile a priori in ragione di una determinazione personale dell’imputato”.
[46] Cfr. S. ATERNO – M. MATTIUCCI, Cloud Forensics e nuove frontiere delle indagini informatiche nel processo penale in www.archiviopenale.it
[47] Cass. Sez. IV, n. 19618, 17/4/2012, CED 252689.
[48] Così L. BATTIMERI, La perquisizione online tra esigenze investigative e ricerca atipica della prova, in www.sicurezzaegiustizia.it
[49] Su questi temi G. BRAGHÒ, L'ispezione e la perquisizione di dati, informazioni e programmi informatici, in Lupària (a cura di), Sistema penale e criminalità informatica, Giuffrè, Milano, 2009, p. 190 ss.; L. LUPÀRIA, Computer crimes e procedimento penale, in Garuti (a cura di), Modelli differenziati di accertamento, in Spangher, Trattato di procedura penale, UTET, 2011, pp. 389 ss.).
[50] Cass. Sez. I, n. 11503, 25/2/2009, CED 243495
[51] Cass. Sez. III, n. 46715, 11/10/2012, CED 253992
[52] Cass. Sez. VI, n. 27100, 26/5/2015, CED 265655 e 265654
[53] Cass. Sez. V, n. 48370, 20/10/2017, www.ilpenalista.it
[54] Agli stessi venivano altresì contestati i reati di cui agli artt. 615-ter, 615-quater e 617-quinquies c.p. con riguardo a accesi abusivi a caselle di posta elettronica appartenenti a professionisti del settore giuridico ed economico, ad autorità politiche e militari di importanza strategica, nonché utilizzati dallo Stato e da altri enti pubblici, da cui, mediante installazione del predetto virus informatico, acquisivano notizie riservate o dati personali e sensibili.
[55] Cass. S.U, n. 26889, 28/4/2016, CED 266905
[56] A supporto di tale argomento la sentenza sottolinea il fatto che proprio la riforma aveva (ed ha avuto) a oggetto «soltanto la disciplina delle intercettazioni di comunicazioni o conversazioni tra presenti mediante immissione di captatori informatici in dispositivi elettronici portatili, modalità all'evidenza ritenuta la più invasiva dal momento che tali ultimi dispositivi seguono gli spostamenti dell'utilizzatore con conseguente necessità di specifica tutela dei luoghi di privata dimora». In questo senso, il limite all’utilizzo del trojan posto dalle S.U. per le intercettazione tra presenti non potrebbe essere applicato alle captazioni effettuate nell’indagine oggetto del ricorso, né inoltre «sarebbe lecito trarre da quell'approdo giurisprudenziale un principio generale estensibile alle intercettazioni telematiche, che, a tacer d'altro, non sono intercettazioni caratterizzate dal doppio requisito di essere sia comunicative che tra presenti».
[57] Cass. Sez. IV, n. 40903, 28/6/2016, CED 268228
[58] Cass. Sez. V, n. 16556, 14/10/2009, CED 246954
[59] Cass. S.U., n. 23868, 23/4/2009, CED 243416
[60] Cass., sez. III, 10 novembre 2015, n. 50452, in CED Cass., n. 265615; Cass., sez. IV, 8 aprile 2016, n. 16670, in CED Cass., n. 266983
[61] Cass. Sez. IV, n. 40903, 28/6(2016, CED 268228
[62] Cass., Sez. V, n. 1822, 21/11/2017, CED 272319 - 01
[63] Cass., Sez. V, n. 49016, 19/06/2017, CED 271856 - 01
[64] Cass. Sez. III, n. 50452, 23/12/.2015, CED 265615; analogamente Cass. Sez. VI, n. 1342, 4/11/2015 CED 267184
[65] Il sistema di massaggi PIN to PIN in oggetto si basa sulla sincronizzazione continua delle comunicazioni, effettuata dal server centrale della società che ha sviluppato il sistema e che ha sede in Canada. I dati di tutte le comunicazioni – di qualsiasi forma – vengono compressi in un pacchetto e quindi reindirizzati agli altri cellulari del sistema, previa formattazione e cifratura. Le comunicazioni sono quindi ricevute e trasmesse sulla base del numero identificativo assegnato a ciascun utente del sistema (identificabile tramite il PIN), o anche con telefoni dotati di un’applicazione (BBM) che li rende compatibili con il sistema Blackberry.
[66] La destinazione a uno specifico nodo telefonico, posto in Italia, delle telefonate estere, provenienti da una determinata zona (c.d. “instradamento”) non renderebbe necessario il ricorso alla rogatoria internazionale, in quanto l’intera attività di captazione e registrazione avverrebbe sul territorio dello Stato; la circostanza che il flusso di dati sia inintelligibile non rileva sul richiamo operato dalla S.C. rispetto alla tecnica dell’instradamento.
[67] Le alternative, sul piano logico-giuridico, non sono poi molte. È stata prospettata da FBI la necessità – proprio per evitare il fenomeno del going dark – di procedere a tal fine all’utilizzo di endpoints (PC, smartphone, etc.) mediante l’installazione di backdoor per aggirare le difficoltà derivanti dai sistemi di cifratura; ciò in particolare in relazione ai servizi internet che permettono le comunicazioni vocali/video/testo, in tempo reale o quasi. Si vorrebbe così introdurre «una nuova legislazione che obblighi uno sviluppo di prodotti che possano risultare […] “predisposti all’intercettazione” o, su richiesta del governo, essere configurati per divenirlo. Tale esigenza andrebbe a interessare una vasta gamma di prodotti e servizi: dalla messaggistica istantanea alle chat (es. Skype, Google, etc.), dai servizi peer-to-peer al VoIP».; sul tema A. GABRIELLI - L. MAURO, Calea II: i rischi delle intercettazioni sui “punti finali” delle comunicazioni in www.sicurezzaegiustizia.it
