Upload
buibao
View
257
Download
2
Embed Size (px)
Citation preview
1
Odissea del captatore informatico
Trojan’s odyssey
Abstract: Da oltre 10 anni il trojan costituisce uno strumento investigativo, straordinario quanto ad efficacia
e versatilità, che ha consentito alla Magistratura di superare le crescenti difficoltà tecniche emerse - nel
panorama mondiale – dal sempre maggiore utilizzo di sistemi di comunicazioni crittografate e di caselle di
posta elettronica gestite da Internet Service Provider non italiani.
Il recente intervento delle Sezioni Unite, sia pure limitato ad una sola delle molteplici funzionalità del
trojan, indica alcuni ulteriori punti fermi che - a distanza di 7 anni dalla prima sentenza della Cassazione che
ne aveva iniziato a delineare il regime giuridico – consentono di affermare la legittimità del suo utilizzo,
nonostante le critiche avanzate da molti.
Abstract: For over 10 years the trojan has been an investigative tool, extraordinary as to effectiveness and versatility, which
allowed the Magistrates to overcome any growing worlwide technical problem caused by the increasing use of encrypted
communications systems and e-mail boxes managed by non italian Internet Service Providers.
The recent intervention of the United Sections of the Court of Cassation, although limited to one of the many features of the
trojan, indicates some more key points that - after 7 years from the first Supreme Court judgment that had begun to outline
the legal regime - allow to state the legitimacy of its use, despite criticism promoted by a lot of people.
SOMMARIO: 1. “Like a Robin Hood”? – 2. Le intercettazioni processuali: una definizione normativa – 3. L’avvento del
trojan quale imprescindibile strumento d’indagine per far fronte a una duplice difficoltà investigativa – 4. I dati relativi alle
chiamate VOIP e l’intercettazione delle relative comunicazioni – 4.1 Il dibattito sul regime normativo applicabile – 4.2 Le
intercettazioni di comunicazioni su sistemi VoIP crittografati: il “caso Skype” – 5. Le intercettazioni delle caselle di posta
elettronica @.com – 6. Lo stato attuale delle intercettazioni – tramite trojan - di comunicazioni tramite sistemi VoIP (comprensivi
oggi dei sistemi di istant messaging) con protocolli di crittografia e delle caselle di posta elettronica @.com – 7. L’intercettazione di
comunicazioni tra presenti resa possibile dal trojan attraverso l’attivazione del microfono nel dispositivo informatico portatile:
l’ipotesi di procedimenti relativi a “criminalità organizzata” – 8. L’intercettazione di comunicazioni tra presenti resa possibile dal
trojan attraverso l’attivazione del microfono nel dispositivo informatico portatile: le residue ipotesi identificate alla luce dell’esperienza
investigativa – 9. Laocoonte dixit
di FRANCESCO CAJANI*
* Sostituto Procuratore della Repubblica presso il Tribunale di Milano – Dipartimento antiterrorismo e reati
informatici.
Un estratto del presente contributo stato pubblicato su Cassazione penale, fasc.11, 2016, pp. 4140 ss.
2
“Aut hoc inclusi ligno occultantur Achivi, Aut haec in nostros fabricata est machina muros Inspectura domos venturaque desuper urbi, Aut aliquis latet error: equo ne credite, Teucri.
Quidquid id est, timeo Danaos et dona ferentis". [Virgilio, Eneide, Libro II, 45-49]
1. “Like a Robin Hood”?
“Qualche byte di codice, in un programma per computer - un virus si potrebbe dire [...]. Un esempio di una tecnologia
'da hacker' utilizzata per fini nobili: come un Robin Hood che intercetta gli indagati per aiutare la giustizia”1: sono
queste le parole con le quali, nel giugno 2011, il trojan diventa informazione di pubblico dominio, dopo
che per anni gli investigatori italiani avevano cercato di mantenere riservato il suo utilizzo a fini di
indagini penali.
Un utilizzo, è bene ricordarlo anche oggi, sempre costituzionalmente orientato2. E che, negli anni
precedenti al 2011, aveva consentito di assicurare alla giustizia anche importanti appartenenti ad
organizzazioni mafiose…. forse proprio per questo, dopo le prevedibili scomposte reazioni, sia pur
faticosamente il clamore della “notizia” aveva lasciato posto ad un rinnovato armistizio, quantomeno
mediatico.
Fino al caldo luglio del 2015, quando le conseguenze a catena generate dall’attacco informatico
effettuato ai danni della società milanese Hacking Team hanno di nuovo portato alla ribalta il tema
dell’utilizzo del trojan, o meglio – questa volta – del suo non più possibile utilizzo a fini investigativi (a
causa della “compromissione” del codice sorgente del programma utilizzato da pressochè tutte le forze
di Polizia Giudiziaria non solo italiane).
1 A. SGHERZA, Un virus per pc inchioda Bisignani. Lo Stato diventa hacker a fin di bene, in www.repubblica.it
(22.6.2011). 2 Ricorda F. CORDERO (in Tre studi sulle prove penali, Giuffrè, 1963, p. 154) come, nel silenzio della Legge,
ricostruire “il filo che guida l’indagine” individuando la corretta applicazione delle disposizioni espresse dal codice di
rito non può che essere “quesito che esige d’essere risolto in base ad una interpretazione sistematica” delle norme
stesse, “salvo poi verificare se la disciplina di cui si è ricostruito l’assetto non confligga con i principi della
Costituzione”.
3
“Game over”, è stato detto da qualcuno quasi per scherzo… se non fosse che, questa volta,
irrimediabilmente pregiudicato è stato il corso di moltissime importanti indagini, anche relative al
terrorismo internazionale3.
E dunque non è un sicuramente un caso il fatto che la Suprema Corte, con l’ordinanza di rimessione
del 10 marzo 2016, abbia doverosamente fatto leva sulla “delicatezza della materia” al fine di evitare sul
nascere un “possibile contrasto giurisprudenziale”.
Anche se, nel rinnovato clamore (questa volta non più solo mediatico ma anche politico), in molti
hanno frettolosamente riassunto la vexata questio in termini omnicomprensivi, come se le Sezioni Unite
fossero state (e, secondo alcuni, comunque dovessero essere) investite dell’intero assetto normativo
relativo alla funzionalità del captatore informatico (per usare la terminologia dell’unica sentenza di
Cassazione che, prima di quel giugno 2011, era intervenuta in materia).
Mentre bastava leggere l’ordinanza di rimessione per comprendere come il thema decidendum fosse
invece limitato ad una sola delle molteplici funzionalità operative insite nello strumento informatico in
esame, ossia alla cd. intercettazione ambientale itinerante. Essa, precisamente, si concretizza
nell’attivazione del microfono di un dispositivo portatile ai fini di dare vita ad una intercettazione di
comunicazioni tra presenti ex art. 266 comma 2 c.p.p.
Ne fa ben cenno nelle sue premesse anche la sentenza delle Sezioni Unite, laddove la questione
viene sintetizzata in questi termini: “se - anche nei luoghi di privata dimora ex art. 614 cod. pen., pure non
singolarmente individuati e anche se ivi non si stia svolgendo l’attività criminosa - sia consentita l’intercettazione di
conversazioni o comunicazioni tra presenti mediante l'installazione di un 'captatore informatico' in dispositivi elettronici
portatili (ad es., personal computer, tablet, smartphone, ecc.)”.
E dunque, prima di addentrarci nelle sue motivazioni, diviene imprescindibile mettere meglio a
fuoco non solo il perimetro nel quale tale intervento si colloca ma anche le ragioni che hanno portato
tale strumento informatico ad essere fondamentale nelle investigazioni penali.
2. Le intercettazioni processuali: una definizione normativa
Del resto, che l’operatività del trojan possa solo in parte essere ricompresa nella disciplina di cui agli
artt. 266 ss c.p.p. è evidente dalla stessa definizione di intercettazione processuale.
E’ stato ben osservato4 come l’ordinamento giuridico italiano non conosca una nozione unitaria di
“intercettazione di comunicazioni”, dal momento che tale espressione compare in diverse norme tra loro
3 F. SARZANINI, Hacking Team, tutte le indagini sui terroristi bruciate dai pirati, in www.corriere.it (31.7.2015). 4 C. MARINELLI, Intercettazioni processuali e nuovi mezzi di ricerca della prova, Giappichelli, 2007, p. 4
4
eterogenee (si pensi, da un lato, alle disposizioni sui delitti contro la inviolabilità dei segreti5, dall’altro a
quelle in materia di mezzi di ricerca della prova6).
Come ben ebbero a precisare le Sezioni Unite della Corte di Cassazione nella sentenza 28 maggio
2003, n. 367477, si può parlare di “intercettazione” in relazione ad operazioni tecniche che consistono
nella captazione occulta e contestuale di una comunicazione o conversazione (anche informatica o
telematica) tra due o più soggetti che agiscano con l'intenzione di escludere altri e con modalità
oggettivamente idonee allo scopo, attuate da un soggetto estraneo alla stessa mediante strumenti tecnici
di percezione tali da vanificare le cautele ordinariamente poste a protezione del suo carattere riservato.
Data tale definizione, appare subito evidente che il trojan - come indicato anche dalle Sezioni Unite
in un passaggio delle motivazioni che ben illumina il contesto tecnologico di riferimento - è in grado di
compiere non solo “intercettazioni di comunicazioni” ma altre attività da questa nettamente differenti,
quali
- l’acquisizione di corrispondenza giacente, res precostituita e dunque non contestualmente
captata;
- l’acquisizione dei dati attinenti il traffico telefonico o dei log files, essendo gli stessi meri dati
esterni al contenuto di una conversazione telefonica o telematica;
- la registrazione di immagini, tramite attivazione della webcam;
- l’estrapolazione di dati, non aventi ad oggetto un flusso di comunicazioni, già formati e
contenuti nella memoria del personal computer o che in futuro possono venire ivi
memorizzati.
Attività queste che, sia pure diverse dalla intercettazione, trovano comunque una disciplina penal-
processualistica ben definita, o che comunque sono state già oggetto di interventi risolutivi ad opera
della Suprema Corte: così, quanto alla registrazione di immagini (sia pure realizzata con strumenti
tecnologici differenti), distinguendo, oltre alla natura dei luoghi nei quali esse intervengono, anche la
natura dei comportamenti (comunicativi o non8) alle quali esse fanno riferimento9.
5 Cfr. artt. 616 e ss c.p. 6 Cfr. artt. 266 e ss c.p.p. 7 In Cass. Pen., 2004, p. 209. 8 Si veda, ancora recentemente, Sez. V, 17 dicembre 2015, n. 11419, in C.E.D. Cass., n. 266373 che ha ribadito come
per comportamenti comunicativi debbano essere ricompresi solo quelli finalizzati a trasmettere il contenuto di un
pensiero mediante la parola, i gesti, le espressioni fisiognomiche o altri atteggiamenti idonei a manifestarlo. 9 Come noto, il problema è stato per la prima affrontato da Sez. VI, 10 novembre 1997, n. 4397, in C.E.D. Cass., n.
210063, in relazione a videoregistrazioni domiciliari: essa statuì come non fosse “consentito, attraverso l'attivazione di
intercettazioni ambientali, realizzate con la collocazione di una videocamera all'interno di un appartamento, captare
immagini relative alla mera presenza di cose o persone o ai loro movimenti, non funzionali alla captazione di
messaggi. Nè tale attività può considerarsi legittima configurandola quale mezzo atipico di ricerca della prova, ex artt.
189 e 234 cod. proc. pen., poiché, trattandosi di riprese visive non effettuate in luoghi aperti o pubblici, ma in luoghi di
privata dimora, viene in rilievo in tale materia il limite della inviolabilità del domicilio di cui all'art. 14 Cost.”. Alla
luce di tale pronuncia, la sola captazione visiva di comportamenti di tipo comunicativo in luoghi di privata dimora
5
Mentre, quanto all’estrapolazione di dati (non attinenti la corrispondenza e non avente ad oggetto un
flusso di comunicazioni), è questo il caso affrontato dalla sentenza Virruso10 relativamente ad una
modalità investigativa che, seppure adottata nel 2004, emblematicamente ebbe a trovare un primo
riconoscimento giurisprudenziale di legittimità solo 6 anni dopo11.
3. L’avvento del trojan quale imprescindibile strumento d’indagine per far fronte a una
duplice difficoltà investigativa
Che il tema nel quale ci stiamo addentrando abbia riflessi mondiali, e non debba essere
frettolosamente liquidato come una “mera questione italica”, è ben noto all’estero. Un esempio su tutti
è l’analisi apparsa sul The New York Times lo scorso dicembre: “Because American law has made it nearly
impossible to obtain digital evidence through legitimate channels, foreign police are turning to illegitimate ones”12. Analisi
condivisibile, ovviamente nelle sue sole premesse, dal momento che anche le Sezioni Unite – se
poteva essere pertanto riconducibile alla disciplina delle intercettazioni di comunicazioni tra presenti, di cui all’art. 266
comma 2 c.p.p.
Sul tema è poi intervenuta la Corte Costituzionale con sentenza n. 135 del 2002 (che dichiarava non fondata la
questione di legittimità costituzionale degli artt. 189 e 266-271 c.p.p. e, segnatamente, dell'art. 266 comma 2 c.p.p).
Fino all’intervento delle Sezioni Unite con sentenza 28 marzo 2006, n. 26795 (in Cass. Pen., 2006, p. 3937) che ha
chiarito altresì l’ambito di riconducibilità dell’istituto (dal momento che spesso le videoriprese venivano fatte rientrare
nella disciplina dei “documenti” di cui all’art. 234 c.p.p.): ed infatti “solo le videoregistrazioni effettuate fuori dal
procedimento possono essere introdotte nel processo come documenti e diventare quindi una prova documentale (si
pensi ad esempio, oltre che ai casi citati, alle videoregistrazioni di violenze negli stadi), mentre le altre, effettuate nel
corso delle indagini, costituiscono, secondo il codice, la documentazione dell'attività investigativa, e non documenti.
Esse perciò sono suscettibili di utilizzazione processuale solo se sono riconducibili a un'altra categoria probatoria, che
la giurisprudenza per le riprese in luoghi pubblici, aperti o esposti al pubblico ha individuato in quella delle c.d. prove
atipiche, previste dall'art. 189 c.p.p.”.
Ciò premesso, sulla questione della videoregistrazione di comportamenti non comunicativi in ambito domiciliare,
siccome acquisite – come già indicato da Corte Costituzionale n. 135 del 2002 – in violazione dell’art. 14 Cost, la
soluzione accolta dalla richiamata sentenza delle Sezioni Unite passa da una “corretta applicazione dell'art. 189 c.p.p.”
approdando dunque a ritenerle “inammissibili”. Diverso discorso deve essere fatto per la videoregistrazione di
comportamenti non comunicativi in luoghi che, pur non costituendo “domicilio” (a norma dell'art. 14 Cost.) ovvero
“privata dimora” (a norma dell'art. 614 c.p.), sono utilizzati per attività che si vogliono mantenere riservate: in questo
caso, poiché “sul piano costituzionale il diritto alla riservatezza non gode di una tutela analoga a quella apprestata
dall'art. 14 Cost. per il domicilio ... è per questa ragione che anche in mancanza di una disciplina specifica le riprese
visive che lo sacrificano devono ritenersi consentite e suscettibili di utilizzazione probatoria a norma dell'art. 189
c.p.p.”. Ciò nondimeno, in fase di indagini sarà comunque necessario per la Polizia Giudiziaria un provvedimento
autorizzativo del Pubblico Ministero (come già precedentemente affermato da Sez. IV, 16 marzo 2000, n. 7063, in
C.E.D. Cass., n. 217688) atto ad indicare “lo scopo di queste, vale a dire gli elementi probatori che attraverso l'atto
intrusivo … ritiene che possano venire utilmente acquisiti”. Quanto alle riprese in luoghi pubblici, si veda Sez. I, 25
ottobre 2006, n. 37530 (in Cass. Pen., 2007, p. 4641) che ne conferma la legittimità e la piena utilizzabilità “non
configurando esse un'indebita intrusione né nell'altrui privata dimora, né nell'altrui domicilio, nozioni che individuano
una particolare relazione del soggetto con il luogo in cui egli vive la sua vita privata, in modo da sottrarla ad ingerenze
esterne indipendentemente dalla sua presenza”. 10 Cass., Sez. V, 14 ottobre 2009, n. 16556, in C.E.D. Cass., n. 246954. 11 Come noto, anche tale sentenza si colloca in quel consolidato filone giurisprudenziale (in tema di mezzi di prova
atipici) al quale abbiamo già fatto cenno per le registrazioni di immagini: e dunque ritiene legittimo il decreto del
Pubblico Ministero di acquisizione in copia, attraverso l'installazione di un captatore informatico, della documentazione
informatica memorizzata nel “personal computer” in uso all'imputato. 12 A. KEANE WOODS, Dark Clouds Over the Internet, in www.nytimes.com (1.12.2015). Impostazione ripresa anche
da E. SEGANTINI, Difesa di privacy e sicurezza alla rete serve una governance, in Corriere della Sera (23.12.2015).
6
dovessimo sintetizzare in un concetto l’impianto motivazionale che andremo poi ad affrontare
analiticamente - non hanno fatto altro che “ricordare” la pre-esistenza di un quadro normativo che
complessivamente rende legittimo l’utilizzo del trojan per finalità di indagini penali.
Ma ancor prima dei problemi spiegati al popolo americano da un Professore dell’Università del
Kentucky, gli investigatori si sono dovuti scontrare con la difficoltà di intercettare le comunicazioni
VOIP.
Occorre pertanto partire da questo ultimo dato, per poi analizzare anche le problematiche relative
alle intercettazioni di flussi di comunicazioni intercorrenti su caselle di posta gestite da Internet Service
Provider (ISP) americani quali Microsoft, Google e Yahoo! (e oggi anche Apple).
4. I dati relativi alle chiamate VOIP e l’intercettazione delle relative comunicazioni
Per servizi VOIP (Voice Over IP) si intende comunemente far riferimento a quelli che, di fatto e come
si intuisce dalla definizione letterale, utilizzano la rete Internet come canale di comunicazione vocale13.
4.1 Il dibattito sul regime normativo applicabile
Come spesso accade nei rapporti tra innovazione tecnologica e tecniche di redazione normativa, il
Legislatore non è riuscito a tenere il passo alla sempre più diffusa utilizzazione di tali servizi.
Si era dovuto attendere l’inciso di cui all’art. 1 lett. d) d.lgs. 109/2008 (il quale fa riferimento alle
“chiamate telefoniche … basate sulla trasmissione dati, purchè fornite da un gestore di telefonia”) per veder
manifestata una prima interpretazione sul punto, accolta in una norma di legge ed esplicitata nella stessa
relazione illustrativa14.
E tuttavia rimane ancora oggi fermo il tema giuridico, che attiene alla applicabilità della previsione
dell’art. 266 c.p.p. ovvero di quella dell’art. 266 bis c.p.p. (quest’ultima azionabile anche in relazione a
13 Trattasi di tutti quei servizi che, di fatto e come si intuisce dalla definizione letterale, utilizzano la rete Internet come
canale di comunicazione vocale. In relazione alla previsioni della Legge finanziaria per il 2008 (imposizione a tutti gli
enti pubblici di convertire la propria utenza telefonica analogica al VoIP per razionalizzare le risorse e diminuire i costi)
e sui dubbi di affidabilità di alcuni sistemi VoIP cfr. C. PARODI, VoIP, Skype e tecnologie di intercettazione: quali
risposte d’indagine per le nuove frontiere delle comunicazioni?, Dir. pen. proc., 10, 2008, pp. 1309 e ss. 14 Se ne riporta il passaggio rilevante: “Per quanto riguarda le chiamate effettuate tramite i servizi di telefonia vocale
basati sul protocollo internet (VOIP), si è ritenuto che la natura del gestore influisca sulla natura del servizio, per cui il
relativo traffico è definito di natura telefonica se lo stesso è fornito da un gestore di telefonia, viceversa, il traffico ha
natura telematica qualora il gestore sia un internet service provider”. Occorre tuttavia sottolineare come, oggi, tale
distinzione tra gestore di telefonia e Internet Service Provider non è più significativa, dal momento che ormai quasi tutti
gli “storici” gestori di telefonia (fissa e/o mobile) possono essere oggi considerati Internet Service Provider o, più
precisamente, Access Provider (ossia fornitori di accessi ad Internet, e quindi essi stessi gestori anche di traffico di
natura telematica).
7
fatti di reato con limiti di pena edittale più bassi rispetto a quelli per i quali può essere richiesta e
autorizzata una intercettazione telefonica).
Allo stato, a fronte di una interpretazione tutta incentrata sulla natura della comunicazione (pur
sempre attinente alla voce umana, e quindi pienamente sussumibile nella previsione dell’art. 266
c.p.p.)15, si contrappone la possibilità teorica di considerare la relativa intercettazione come “telematica”
ex art. 266 bis c.p.p.
Tesi quest’ultima da preferire per un serie di argomenti, che andremo nuovamente16 a sintetizzare a
breve, non prima di aver richiamato il dato normativo (art. 266 comma 1 c.p.p.) che prevede una
elencazione tassativa delle ipotesi applicative17, identificate non solo con riferimento alla pena edittale
(lett. a, b) ma anche con riferimento al “mezzo” utilizzato per commettere il reato (lett. f): infatti tale
ultima previsione ricomprende anche delitti di non particolare allarme sociale (ingiuria) o semplici
contravvenzioni (660 c.p.), sulla evidente base che tali manifestazioni illecite si possano fronteggiare
solo con tale specifico mezzo di ricerca della prova.
15 Così L. LUPARIA, Disciplina processuale e garanzie difensive, in G. ZICCARDI, L. LUPARIA, Investigazione
penale e tecnologia informatica, p. 166: “non vi è dubbio, infatti, che nella volontà del legislatore vi fosse una netta
differenza di disciplina tra la conversazione vocale tra due soggetti, a prescindere dal mezzo attraverso cui essa
potesse avvenire, e il trasferimento dei dati, giudicato meno rilevante in una ipotetica scala di valore, per quanto
comunque degno di tutela nella parte in cui può fornire delicatissime informazioni circa l’identità di soggetti o i
riferimenti di tempo e di luogo della comunicazione stessa”. Sul punto l’Autore indica Corte Cost., 11 marzo 1993, n.
81, in Giur. It., 1993, p. 108 e A. VALASTRO, La tutela delle comunicazioni intersoggettive, fra evoluzione
tecnologica e nuovi modelli di responsabilità, in Riv. it. dir. proc. pen., 1999, p. 989. Da ultimo anche C. MAIOLI, R.
CUGNASCO (in Profili normativi e tecnici delle intercettazioni: dai sistemi analogici al voice over IP, Gedit, 2008, pp.
197 e ss) per i quali, alla luce dell’intero impianto normativo modellato sull’art. 15 Costituzione e de iure condito, non
ci sono elementi “per sostenere, sul piano giuridico, che l’attuale sistema normativo intenda accordare una maggior o
minore tutela alle comunicazioni sulla base delle sole modalità con cui esse si estrinsecano” , sicchè “per il sistema
giuridico le comunicazioni scritte effettuate per mezzo delle nuove tecnologie non rappresentano – come
frettolosamente si è scelto di definirle – una mera “trasmissione di dati”, bensì sono, a tutti gli effetti, colloqui riservati
e non cessano di esserlo per il solo fatto che non si svolgano in forma vocale”. Secondo tali Autori, l’adesione alla
impostazione dogmatica sopra sintetizzata “non autorizza tuttavia a ritenere che l’intercettazione di una chiamata VoIP
vada automaticamente legittimata, sic et simpliciter, secondo quanto previsto dall’art. 266 bis”. Ed infatti il ricorso ad
un tipo di intercettazione piuttosto che ad un altro “dovrebbe dipendere da una valutazione tecnica ex ante della
situazione che concretamente si presenta agli inquirenti in corso di indagine”: così, ad esempio, “l’osservanza delle
disposizioni codicistiche imporrebbe … alla autorità giudiziaria di ricorrere esclusivamente alle intercettazioni
telefoniche ogni qualvolta nella comunicazione VoIP sia coinvolta (e nota) un’utenza telefonica tradizionale, ovvero la
chiamata VoIP sia comunque intercettabile su un tratto di rete telefonica PSTN”. E tuttavia tale ultima impostazione, se
ha il pregio di valorizzare la necessità di soluzioni caso per caso e di mettere maggiormente in risalto il dato tecnico, a
rigore si scontra con la stessa definizione giurisprudenziale del sistema telefonico fisso e cellulare, così come emergente
in almeno due sentenze della Suprema Corte (Sez. VI, 4 ottobre 1999, n. 3067; Sez. un., 23 febbraio 2000, n. 6) che
peraltro gli stessi Autori indicano. 16 Si consenta il rinvio a G. BRAGHO’, F. CAJANI, intervento del 21.12.2006 su “La formulazione dell’accusa e le
attività d’indagine in tema di criminalità tecnologica” nell’ambito del ciclo di seminari su “computer forensics,
investigazione penale e criminalità tecnologica”, organizzati dal L.E.F.T. (Legal Electronic Forensic Team:
www.cirsfid.unibo.it/ricerca/progetti/schedaprogetto/85) presso l’Università Statale di Milano tra l’ottobre 2006 ed il
giugno 2007. Impostazione così richiamata da F. CAJANI, Internet Protocol. Questioni operative in tema di
investigazioni penali e riservatezza, in Diritto dell'Internet, 6, 2008, p. 555, nota 43. 17 Sul punto cfr. anche G. BRAGHO', Le indagini informatiche fra esigenze di accertamento e garanzie di difesa, in
Dir. Inf. e Inf., 2005, pp. 521-523.
8
Invero, lo stesso articolo 266 c.p.p. già consentiva l’intercettazione di “conversazioni o comunicazioni
telefoniche o di altre forme di telecomunicazione”. Ed infatti proprio per questo ci si era conseguentemente
chiesti se una semplice interpretazione estensiva potesse ricomprendere, anche prima dell’intervento
della legge 547/93 (che ha introdotto l’art. 266 bis c.p.p.), l’intercettazione di comunicazioni telematiche.
Tuttavia l’intervento del Legislatore del 1993, come messo in evidenza dai commentatori dell’epoca,
trovava proprio una sua ratio nella impossibilità giuridica di sostenere una simile interpretazione.
Ebbene, a conferma della pacifica possibilità di ricomprendere l’intercettazione VOIP tra quelle
telematiche, si palesano almeno quattro argomenti. E precisamente:
a) dato storico – il riferimento dell’art. 266 c.p.p. ad “altre forme di telecomunicazione” deve intendersi
pacificamente a quelle già esistenti all’epoca della sua introduzione: si pensi al mezzo del
citofono o dell’interfono (per le conversazioni da intercettare in carcere);
b) dato sistematico – la legge 547/93 conferma l’impostazione di cui al precedente punto dal
momento che, introducendo espressamente una nuova norma sul punto, conferma che “le altre
forme di telecomunicazione” non sono quelle informatiche.
Per entrambi i richiamati motivi non potrebbe dunque essere utilizzato il richiamato dato
testuale per argomentare una già normativamente prevista ricomprensione delle chiamate VoIP nella
previsione dell’art. 266 comma 1 c.p.p.;
c) ulteriore dato sistematico (quanto alla conformità di tale interpretazione ai dettami dell’ art. 3 Cost.)
– i previsti limiti edittali, più bassi nel 266-bis c.p.p. rispetto alla norma sulle intercettazioni
telefoniche18, non sono certo una novità in quanto la richiamata lett. f) dell’art. 266 c.p.p. ci dice
che quello che rileva è il “mezzo” utilizzato (indipendentemente dal tipo di dato da sottoporre ad
intercettazione). Allo stesso modo il mezzo del personal computer necessita, proprio per sua
diffusività (ed invasività) in termini di commissione di reati da parte della criminalità, una uguale
risposta in termini di mezzi di accertamento dei fatti da mettere a disposizione degli
investigatori19;
d) dato giurisprudenziale – in Sez. un., 23 febbraio 2000, n. 620 si afferma come “il sistema telefonico
mobile deve ormai essere considerato ai sensi dell’art. 266 bis”21 (impostazione la cui ratio è conforme a
quanto indicato sub a)22.
18 Dal momento che il richiamato articolo fa riferimento ai “procedimenti relativi ai reati indicati nell’articolo 266,
nonché a quelli commessi mediante l’impiego di tecnologie informatiche o telematiche” indipendentemente dai limiti
edittali di pena di quest’ultimi. 19 C. PARODI, La disciplina delle intercettazioni telematiche, in Dir. pen. proc., 2003, p. 890. 20 in Cass. Pen., 2000, p. 2959. 21 Da ultimo anche Sez. un. 26 giugno 2008, n. 36359 (in Cass. Pen., 2009, p. 30) che, intervenuta in tema di
“remotizzazione” dell’ascolto nelle intercettazioni, in un passaggio della motivazione da atto che “La rivoluzione che
ha trasformato la telefonia nel recente passato ha segnato, in estrema sintesi, il progressivo passaggio dalla
trasmissione di segnali in maniera analogica a quella di dati in forma digitale, trasformando il servizio telefonico (a
partire da quello di telefonia mobile) in un sistema informatico o telematico. È dunque mutato lo stesso oggetto fisico
9
4.2 Le intercettazioni di comunicazioni su sistemi VoIP crittografati: il “caso Skype”
Quello dell’inquadramento giuridico delle intercettazioni di comunicazioni su sistemi VoIP non è
l’unico problema emerso negli ultimi anni in relazione alle investigazioni penali.
Ed anzi, prima che in diritto, l’esperienza concreta aveva portato gli operatori ad interrogarsi su
problemi tecnici, dovuti al fatto che tali sistemi di comunicazione di regola avvengono con protocolli di
comunicazione criptata. Questi profili, del resto, avrebbero potuto rendere i discorsi giuridici del tutto
irrilevanti, dal momento che – di fatto – i sistemi di comunicazione VoIP, a partire dal più conosciuto
(ossia Skype, società acquisita nel maggio 2011 da Microsoft23), all’epoca si presentavano come
tecnicamente non intercettabili24.
La end-to-end security25 nelle trasmissioni è infatti presente da molti anni nelle tecnologie di
comunicazioni sicure. Il concetto fondamentale (oltre agli algoritmi matematici26 che la rendono
possibile) è il seguente: non delegare a nessun canale trasmissivo sottostante la comunicazione di due
della comunicazione telefonica e, quindi, della sua intercettazione. Di conseguenza è stato fatto progressivamente
ricorso alla utilizzazione di sistemi di registrazione digitale computerizzata che hanno sostituito gli apparati
meccanici”. 22 Cfr. anche Sez. VI, 4 ottobre 1999, n. 3067 (in Cass. Pen., 2000, p. 2990) che ha definito, proprio in relazione alla
rete telefonica fissa «un complesso di apparecchiature destinate a compiere una qualsiasi funzione utile all’uomo,
attraverso l’utilizzazione (anche parziale) di tecnologie informatiche, che sono caratterizzate - per mezzo di un’attività
di “codificazione” e “decodificazione” - dalla “registrazione” o “memorizzazione”, per mezzo di impulsi elettronici,
su supporti adeguati, di “dati”, cioè di rappresentazioni elementari di un fatto, effettuata attraverso simboli (bit), in
combinazione diverse, e dalla elaborazione automatica di tali dati, in modo da generare “informazioni”, costituite da
un insieme più o meno vasto di dati organizzati secondo una logica che consenta loro di esprimere un particolare
significato per l’utente»: e dunque nel suo insieme anche il servizio telefonico deve essere considerato un sistema
informatico o telematico. 23 Si noti come, nonostante tale acquisizione, di fatto la società Skype Communications SARL continua ad osservare
policies diverse da quelle di Microsoft Corp. nei rapporti con l’AG. 24 Cfr. sul tema D. MCCULLAGH, Skype: We can't comply with police wiretap requests, in news.cnet.com (9.6.2008). 25 La cifratura end-to-end si basa (molto schematicamente) su tre punti fondanti.
Il concetto base è la creazione per ogni interlocutore di una chiave segreta (conosciuta dal solo interlocutore) e da una
chiave pubblica che l’interlocutore “pubblica” su servizi di directory per permettere ad altri di interloquire con lui in
modo sicuro. Ciò che è cifrato con la chiave pubblica può essere decifrato solo con la chiave segreta.
Ulteriore concetto fondante è chi garantisce che una chiave pubblica appartiene ad un certo interlocutore. In un gruppo
chiuso di utenti (dove tutti si conoscono o si entra per cooptazione) ci possono essere vari modi per permettere questa
verifica. In un sistema aperto, dove devono interagire centinaia di migliaia o milioni d’interlocutori, è il gestore del
servizio che offre questa garanzia.
Terzo punto fondante: le chiavi asimmetriche non vengono utilizzate per cifrare il contenuto della trasmissione ma solo
per permettere lo scambio di chiavi di crittografia (simmetrica) con cui si effettua la crittografia del traffico. La
determinazione della chiave di crittografia simmetrica da utilizzare può essere a sua volta oggetto di algoritmi
complessi per cui vengono usati catene di chiavi primarie che utilizzano altre chiavi secondarie che possono cambiare a
livello di singolo messaggio: quasi mai la chiave di cifratura simmetrica (o di sessione) rimane la stessa per tutta la
durata della sessione.
Da quanto sopra esposto la possibilità, allo stato, di intercettare sulla linea il flusso informativo e di rendere il contenuto
in chiaro è assai remota. 26 Da un punto di vista degli algoritmi crittografici, la crittografia end-to-end si basa su sistemi crittografici asimmetrici
il cui primo prodotto a livello commerciale è stato l’RSA con la su versione “free” chiamata PGP, implementazione di
un sistema RSA con codice libero (all’epoca tali algoritmi erano tutelati dal DOD americano e l’autore, che sviluppò il
programma e lo rese pubblico, fu condannato e scontò una grave pena).
10
interlocutori. La sicurezza deve pertanto essere fornita dal canale che direttamente connette i due
interlocutori e deve essere sotto il loro controllo.
A rileggere oggi la famosa nota del servizio di sicurezza egiziano su Skype27 sembra che il tempo si
sia davvero fermato:
Se da un lato alcune Autorità statali si sono mosse, finora senza successo (sempre per quanto è dato
sapere alla comunità scientifica), nei confronti della richiamata società al fine di ottenere il codice di
criptazione (con modalità e garanzie tali da poterlo utilizzare solo nelle ipotesi legislativamente previste
dai relativi ordinamenti giuridici28), la situazione italiana – emersa ai più in tutta la sua drammaticità a
seguito di una indagine giornalistica del 200929 - è stata successivamente ricostruita dai medesimi
giornalisti30.
Quello che possiamo affermare con certezza, avendo avuto conoscenza diretta della vicenda, è che
il desk italiano ad Eurojust, dopo aver ricevuto una articolata richiesta di assistenza da parte dell’allora
27 Citata da S. STECKLOW, P. SONNE, M. BRADLEY, Mideast Uses Western Tools to Battle the Skype Rebellion, in
online.wsj.com (1.6.2011): “The Skype communication system…counts as a safe and encrypted Internet communication
system to which most extremist groups have resorted to communicate with each other”. 28 Sul punto è interessante ricordare come nel giugno 2011 l’US Patent and Trademark Office (USPTO) ha pubblicato
la domanda di brevetto – depositata da Microsoft nel dicembre 2009 - che descrive una modalità per intercettare
legalmente le chiamate VoIP, menzionando esplicitamente Skype come esempio: cfr. G. NAZZARO, Il brevetto di
Microsoft per intercettare Skype, in Sicurezza e Giustizia, 3, 2011, p. 24. 29 M. MENSURATI, F. TONACCI, I boss si parlano su Skype, impossibile intercettarli, in www.repubblica.it
(14.2.2009). 30 M. MENSURATI, F. TONACCI, Boss e intercettazioni, Skype sotto accusa, in www.repubblica.it (15.2.2009):
“Tutto comincia nel 2006 a Milano. Il pm antimafia Margherita Taddei si accorge che alcuni indagati hanno trovato un
modo sicuro per parlare tra di loro. Via Skype. Il pm incarica due consulenti di risolvere il problema, questi chiamano
Skype che fissa loro un bizzarro appuntamento: a Londra, in una saletta riservata dell'aeroporto. La società è estone
con sede in Lussemburgo. Non c' è motivo di incontrarsi a Londra. Ma i due accettano. La riunione, però, si dimostra
inutile: «Non c' è niente da fare». Il pm decide allora di rivolgersi ad Eurojust (unità di cooperazione giudiziaria
europea). Viene fissato un secondo incontro, stavolta a Milano. Da una parte gli investigatori e la rappresentanza
italiana di Eurojust, dall' altra due uomini Skype: Kurt Sauer (security manager) e Stephen Collins (legale). Gli italiani
propongono una serie di soluzioni, sia legali sia tecniche. I delegati della società estone, però, non battono ciglio,
ripetendo quella che di qui in avanti diventerà la «Versione di Skype»: «Non possiamo per problemi tecnici e non
possiamo per problemi giuridici. La normativa del Lussemburgo non ce lo permette». La rappresentanza italiana di
Eurojust non si rassegna. E organizza un terzo incontro. Stavolta all' Aja. Da una parte investigatori italiani
(magistrati delle Dda di Milano e Napoli, guidati dal procuratore nazionale antimafia Pietro Grasso), francesi,
tedeschi, inglesi e greci, dall' altra i rappresentanti di Skype. Chi era presente a quella riunione racconta di un clima
strano. «Gli investigatori continuavano a proporre soluzioni, quelli di Skype ascoltavano in silenzio». Poi il colpo di
scena. «I lavori erano programmati fino alle 19, ma alle 15 quelli di Skype spariscono nel nulla. Qualcuno sostiene
usciti dal retro». Fine dell'incontro. Lo scontro si arroventa, con i magistrati che continuano a chiedere una mano per
le loro indagini e Skype a opporre le solite «questioni tecniche e giuridiche», qualche volta utilizzando anche insistenti
incomprensioni linguistiche per fare ostruzione”.
11
Procuratore Nazionale Antimafia Pietro Grasso31 nonché analogo formale sollecito da parte della
Procura di Milano32, grazie al decisivo impulso di Carmen Manfredda (all’epoca Vice rappresentante
italiano ad Eurojust) aveva ottenuto nel 2009 l’apertura di un caso presso il richiamato Organismo
europeo per identificare – di concerto con tutti i rappresentanti degli Stati Membri – gli aspetti utili al
fine di una positiva risoluzione della problematica, anche tenendo conto della impostazione giuridica sul
punto già indicata nel 200833 nel corso del primo “Strategic meeting on cybercrime” organizzato ad Atene da
Eurojust. La società si era inizialmente dichiarata disposta, ancora una volta, a collaborare34… ma poi
tutto era rimasto come prima.
Del resto, che il tema fosse già allora di portata fondamentale emergeva – come già ricordato - da
alcune vicende note agli operatori del settore. Tra le più tristi, sicuramente non possono essere
dimenticate quelle relative al sequestro dell’imprenditore Roveraro35, laddove proprio l’utilizzo di Skype
aveva inizialmente comportato un non indifferente ostacolo per gli investigatori.
Analogamente ad altri Stati, il tema oggi si propone con il terrorismo internazionale le cui
comunicazioni non sono, per definizione, relegate all’interno di un solo territorio nazionale. E dunque il
problema della crittografia, un tempo concentrato solo offline (es. dati conservati su un HD), oggi
assume rilevanza fondamentale relativamente alle conversazioni online (tramite sistemi cd. instant
messagging). E’ dato notorio come anche WhatsApp, tra i sistemi più utilizzati al mondo, proprio all’inizio
del 2016 abbia introdotto – come già in passato altri sistemi quali Skype – la crittografia cd. end-to end.
31 Lettera del 27 febbraio 2009. 32 Nota dei Procuratori Aggiunti Ferdinando Pomarici (coordinatore Direzione Distrettuale Antimafia) ed Armando
Spataro (coordinatore pool antiterrorismo). 33 Sia consentito il rinvio a F.CAJANI, “Interception of communications: Skype, Google, Yahoo! and Microsoft tools
and electronic data retention on foreign servers: A legal perspective from a prosecutor conducting an investigation”, in
Digital Evidence and Electronic Signature Law Review, 6, 2009, pp. 158 ss. 34 M. MENSURATI, F. TONACCI, Skype collaborerà con la polizia per inseguire i criminali sul VoIP, in
www.repubblica.it (27.2.2009). 35 A rileggere gli atti di indagine (in particolare l’annotazione riepilogativa sui profili tecnici emersi, datata 1 febbraio
2007, dei ROS Carabinieri - Sezione Anticrime di Milano) che hanno poi portato alla condanna degli imputati e
nonostante l’impossibilità di sottoporre ad immediata intercettazione tali comunicazioni Skype (42 in totale, dalle ore
1.25 del 6 luglio 2006 alle ore 17.53 del 7 luglio 2006), tuttavia gli investigatori furono in grado di ricostruire ex post un
complesso “sistema di comunicazioni …. finalizzato a garantire anonimato e riservatezza”, con l’utilizzo di “strumenti
telefonici classici, impiegati con opportuni accorgimenti (intestatari fittizi e rose di contatti chiuse) e strumenti
telematici di ultima generazione come servizi di VoIP e di Electronic Fax, nonché mezzi informatici di occultamento di
indirizzi IP e di account di posta elettronica. Tale sistema, a dimostrazione della premeditazione del reato, è stato
ideato, concretizzato e testato ben prima di porre in essere la condotta criminale, al fine di garantirne il perfetto
funzionamento allorquando si fosse reso necessario”.
In particolare, l’utilizzo di un sistema di Electronic Fax (denominato Efax Plus Service) comportò necessariamente il
pagamento del relativo traffico tramite addebito su due carte di credito prepagate, non ricaricabili, emesse dall’Istituto
IMI San Paolo senza identificazione degli intestatari. Acquisito il riepilogo delle operazioni su tali carte, emerse che una
delle due era stata “utilizzata anche per effettuare una ricarica al servizio Skype da 11.50 euro in data 5 giugno 2006”,
ovvero un mese prima del rapimento (avvenuto nei giorni del 6 e 7 luglio 2006). Tali complessivi elementi, insieme ad
altri, consentirono di richiedere al GIP l’emissione di una ordinanza di misura cautelare, eseguita all’alba del 21 luglio
2006 con l’arresto dei tre indagati e culminata, “nella stessa giornata, con il rinvenimento nel comune di Fornovo di
Taro (PR) dei poveri resti della vittima del sequestro”.
Sul punto si veda anche l’efficace ricostruzione giornalistica di L. GRIMALDI, Due giorni di misteri, poi l'esecuzione,
in www.corriere.it (6.4.2008).
12
Eppure gli studi di fattibilità, all’epoca effettuati per Eurojust da due consulenti tecnici della Procura
di Milano, confermano come sia possibile – per Skype allora così come per WhatsApp oggi – apporre
una modifica del sistema di crittografia al fine di consentire la presenza di un terzo interlocutore (che
rimane ignoto agli altri interlocutori). Il tutto, ovviamente, a richiesta della Autorità Giudiziaria con
apposito decreto, in relazione a ben predeterminati flussi di comunicazioni e solo nei casi ove siano
emerse esigenze investigative meritevoli di tutela. Pertanto, anche da questo punto di vista, non
emergono alcuni ostacoli circa il rispetto dei diritti fondamentali dell’uomo.
Nessun problema, dal punto di vista tecnico, si pone allo stesso modo per i provider che veicolano
tale flusso di comunicazioni36, dal momento che essi sono già da tempo in vigore le norme europee
tecniche emanate dall’ETSI37 (European Telecommunications Standard Institute) che già consentono agli stessi
di deviare tale tipo di traffico alla Autorità Giudiziaria.
Del resto, si pensi che Skype ha tentato di penetrare il mondo business, pur volendo mantenere
l’impenetrabilità dei contenuti trasmessi. Orbene, queste due necessità sono antitetiche l’una con l’altra,
soprattutto ora che la sensibilizzazione dell’aziende sulla tematica cybercrime è molto alta: le aziende non
possono più permettersi di non sapere cosa entra od esce dai propri sistemi, e così anche Microsoft ha
dovuto rendere disponibile una versione business di Skype dove il controllo delle chiavi rimane in capo
all’azienda e non al dipendente! 38
5. Le intercettazioni delle caselle di posta elettronica @.com
Per il tramite dei più diffusi sistemi di posta elettronica offerti dalle richiamate società americane,
viene generato un flusso di comunicazioni tra persone che, spesso, sono entrambe presenti nel nostro
Stato.
E’ in questo ambito che si verificano ancora oggi, a distanza di quasi 10 anni dalle “prime
avvisaglie”, i catastrofici effetti di una impostazione teorica – che sinteticamente si ebbe a definire come
quella del “no server no law”39 – che privilegia il luogo di allocazione dei server interessati al fine
dell’applicabilità della relativa legge (e della risoluzione dei problemi di conflitti di giurisdizione).
36 Bisogna tener presente questo dato fondamentale: il fatto che il gestore non possa “entrare” nelle comunicazioni fra i
due interlocutori, anche perché nella maggior parte dei casi il traffico non passa dai loro server, non significa che non lo
possano rendere disponibile. I gestori di telecomunicazione infatti gestiscono l’informazione più importante, ossia le
chiavi pubbliche e gli algoritmi crittografici presenti nel loro codice. La crittografia end-to-end prevede la possibilità di
introdurre “escrew key” nel codice di programmazione, anche in modo “nascosto” e non facilmente rilevabile da
soggetti terzi. 37 www.etsi.org. 38 Si ringrazia l’ing. Maurizio Bedarida – uno dei due consulenti citati anche nella nota 30 - per il prezioso confronto, al
quale non si è mai sottratto in questi anni, su questi affascinanti quanto importanti temi. 39 L’origine di tale definizione deve trarsi dal paper illustrato durante il primo “Strategic meeting on Cybercrime”,
organizzato da Eurojust ad Atene il 23/24 Ottobre 2008: cfr. nota 33.
13
Con il paradosso che, in origine, essi si trovavano al di fuori degli Stati Membri dell’Unione
Europea: e dunque all’epoca Google, Yahoo! e Microsoft avevano buon gioco a sostenere che, non
essendoci server sul territorio nazionale o comunque europeo, non potevano trovare applicazione le
rispettive leggi nazionali (e comunitarie) invocate dallo Stato richiedente l’intercettazione40.
Oggi la situazione è cambiata: Google41 e Microsoft42 hanno ormai numerosi datacenter in Europa
(alla stessa stregua degli altri ISP americani quali Facebook43 and Apple44) e lo scenario ha anche
assunto i contorni di una battuta ironica quando, nel 2014, è stato questa volta un Giudice americano a
sentirsi opporre un divieto di acquisizione di dati (relativi ad un account di Microsoft) perché i server
erano… in Europa!45
Ma cerchiamo di fare un poco di ordine, anche sotto tale ulteriore profilo, anche qui auspicando –
come già evidenziato in sede europea fin dal 2008 – che si possa finalmente arrivare a una diversa
impostazione, definita “no server but law opinion”, per la quale ciò che conta è il luogo dove il servizio web
viene offerto, anche ai fini dell’applicazione della relativa legge.
Perché, a fronte dei contrapposti approcci teorici, il preliminare dato investigativo è presto detto.
Per le società di telecomunicazione italiane è possibile richiedere – in esecuzione del provvedimento
del Giudice che dispone l’intercettazione telematica – che la posta elettronica indirizzata alla e-mail
intercettata venga reindirizzata ad un account appositamente creato dalla Polizia Giudiziaria: questo
consente non solo un risparmio dei costi delle complessive operazioni di intercettazione ma anche
40 Evidente che non sussistono problemi di giurisdizione laddove il Pubblico Ministero sia in grado di indicare al GIP
che le comunicazioni di cui si chiede l’intercettazione intercorrono tra due cittadini italiani o comunque tra due persone
presenti sul territorio nazionale, indipendentemente dal fatto che – accidentalmente – tali conversazioni transitino per un
server allocato all’estero. 41 www.google.com/about/datacenters/inside/locations/index.html. 42 www.microsoft.com/en-us/cloud-platform/global-datacenters. 43 www.facebook.com/LuleaDataCenter. 44 Cfr. D. LUMB, Why Apple Is Spending $1.9 Billion To Open Data Centers In Denmark And Ireland, in
www.fastcompany.com (23.2.15). 45 La notizia ha fatto praticamente il giro del mondo: cfr. tra i tanti S. LOHR, Microsoft Protests Order to Disclose
Email Stored Abroad, in www.nytimes.com (10.6.2014). Il caso è stato recentemente vinto in Appello dalla società
americana, con un provvedimento che tuttavia viene così commentato da uno degli stessi Giudici (GERARD E.
LYNCH) nella sua “separate opinion”: “I concur in the result (of the case), but without any illusion that the result
should even be regarded as a rational policy outcome, let alone celebrated as a milestone in protecting privacy”. Egli
infatti sottolinea come “the dispute here is not about privacy, but rather about the international reach of American law”
e che vi è bisogno “for congressional action to revise a badly outdated statute”. Aggiungendo questa significativa
riflessione: “The case looks rather different, however – at least to me, and I would hope to the people and officials of
Ireland and the E.U. – if the American government is demanding from an American company emails of an American
citizen resident in the U.S., which are accessible at the push of a button in Redmond, Washington, and which are stored
on a server in Ireland only as a result of the American customer’s misrepresenting his or her residence, for the purpose
of facilitating domestic violations of American law, by exploiting a policy of the American company that exists solely for
reasons of convenience and that could be changed, either in general or as applied to the particular customer, at the
whim of the American company”.
Si veda anche P. J. HENNING, Microsoft Case Shows the Limits of a Data Privacy Law, in www.nytimes.com
(18.7.2016).
14
soprattutto la possibilità di iniziarle in tempi ragionevolmente brevi46 (questione non di poco momento
laddove si addirittura in pericolo una o più vite umane).
national Internet
Service Provider
Court Order
intercepted account
judicial police account
Tuttavia, con riferimento a caselle di posta elettronica @.com, questo meccanismo tanto semplice
diventa invece impossibile. Infatti quando la Polizia Giudiziaria andava a notificare a Google o a
Microsoft (entrambe aventi, quali filiali, una società di diritto italiano con sede in Milano) il decreto del
Giudice che autorizza l’intercettazione, la tipica risposta fornita era: “Spiacenti, i nostri server stanno in
America…. quindi chiedete l’intercettazione con una rogatoria!”.
46 Diversamente, occorrerebbe dapprima richiedere i tabulati telefonici del numero utilizzato per la connessione ad
Internet (per verificare quale sia il gestore che la fornisce) e successivamente pianificare, d’intesa con il gestore,
l’azione di collocamento delle cd. sonde (tecnicamente necessarie per intercettare il traffico utile): nel complesso tali
operazioni ragionevolmente possono anche durare una intera settimana!
15
(server abroad)
Internet Service Provider
Court Order
Solo Yahoo! (anch’essa avente all’epoca, quale filiale, una società di diritto italiano con sede a
Milano) disponeva di un software – denominato ‘Yahoo! Account Management Tool’ – che consentiva
l’intercettazione delle caselle di posta elettronica in tal modo, ma con alcuni limiti47 (e con alcuni
problemi, come verificatosi in una nota indagine milanese48). Ma questo è avvenuto solo per un breve
periodo di tempo49, e poi anche Yahoo! si è “allineata” alle altre società americane.
47 Più precisamente, sulla base del principio della Net Citinzenship (Cittadinanza di Rete), l’utente poteva scegliere - al
momento della registrazione di una e-mail @yahoo – a quale legislazione sottoporre la sua casella di posta elettronica.
Solamente ove avesse scelto quella italiana, il richiamato software ne consentiva l’intercettazione immediata ove
necessaria ai fini investigativi ed autorizzata con provvedimento dell’Autorità Giudiziaria. 48 Il caso è nato da una casella @yahoo.it sottoposta ad intercettazione - con le modalità consentite dal ‘Yahoo! Account
Management Tool’ - senza alcun risultato (ovvero la Polizia Giudiziaria non riceveva nulla sul proprio account
predisposto ad hoc). Dopo l’arresto dell’indagato (un phisher della Romania), lo stesso durante un interrogatorio e alla
presenza del Difensore fornì al Pubblico Ministero le credenziali di accesso alla sua casella (ovvero a quella che era
stata intercettata senza successo). Si scoprì allora con sorpresa che invece vi erano molti messaggi ancora giacenti,
ricevuti nel periodo nel quale la casella era stata sottoposta ad intercettazione. Le successive indagini della Guardia di
Finanza – Gruppo Pronto Impiego di Milano hanno consentito di accertare che al richiamato Tool potevano accedere
davvero in tanti all’interno delle varie filiali europee di Yahoo!, con pregiudizio alla riservatezza degli utenti (e non solo
alle indagini di Polizia Giudiziaria). Gli atti sono stati trasmettessi al Garante per la protezione dei dati personali, che ha
confermato gli accertamenti tecnici e l’impostazione giuridica della Procura di Milano: cfr. L. FERRARELLA, «Buco»
nei controlli in Rete. I pm mettono in regola Yahoo, in www.corriere.it (30.10.2008). 49 Significativa la circostanza che nel 2008, mentre in Italia era possibile addirittura intercettare una casella di posta
elettronica @yahoo.com, in Belgio invece la società americana negava ogni forma di cooperazione con l’Autorità
Giudiziaria richiedente dati del traffico telematico: circostanza quest’ultima che sarà all’origine del notissimo “Yahoo!
Case” che, dopo 7 anni, ha finalmente visto vincere in Cassazione la Procura Federale belga: cfr. N. ROLAND, Court
of Cassation definitively confirms Yahoo!’s obligation to cooperate with law enforcement agencies, in www.stibbe.com
(7.1.2016). Sulle diverse policy degli ISP americani e sul numero di richieste di dati provenienti dagli Stati Membri del
Consiglio d’Europa si veda il paper del T- CY Cloud Evidence Group intitolato “Criminal justice access to data in the
cloud: cooperation with “foreign” service providers”, in www.coe.int/web/cybercrime.
“ROGATORY IS REQUIRED”
16
6. Lo stato attuale delle intercettazioni – tramite trojan - di comunicazioni tramite sistemi
VoIP (comprensivi oggi dei sistemi di istant messaging) con protocolli di crittografia e delle
caselle di posta elettronica @.com
Una volta riassunto il panorama tecnologico con il quale gli investigatori si devono quotidianamente
confrontare nell’attività di contrasto al crimine (non solo organizzato), la domanda di senso che si
impone è la seguente: cosa fare?
Aspettare che il Legislatore comunitario intervenga, quanto alla problematica relativa alle
comunicazioni crittografate, al fine di chiarire che la normativa europea in materia di comunicazioni
elettroniche50 (dalla quale discende anche il nostro decreto legislativo 1° agosto 2003, n. 259 – Codice
comunicazioni elettroniche) debba ritenersi applicabile – con il relativo obbligo di rendere disponibile
l’intercettazione per le Autorità Giudiziarie51 - a tutte le Società che offrono servizi ai cittadini europei?
Aspettare che il Consiglio d’Europa riesca nell’intento di addivenire ad un protocollo addizionale alla
convenzione di Budapest sul cybercrime52 o che l’Unione Europea implementi nuovi strumenti di
cooperazione53, al fine di ottenere – senza rogatoria – i dati relativi alle comunicazioni intercorrenti sulle
caselle di posta elettronica @.com?
Ebbene nell’attesa, a fronte dell’esistenza di un rimedio più agevole (sia pure più costoso) quale
quello del trojan, gli investigatori hanno fatto la loro scelta di campo.
Questa scelta ha scontato alcuni problemi, ovviamente, ma non tanto di illegittimità del mezzo
impiegato quanto, piuttosto, di efficacia prestazionale dello stesso.
50 E precisamente: Direttiva 2002/19/CE del Parlamento Europeo e del Consiglio, 7 marzo 2002, relativa all'accesso alle
reti di comunicazione elettronica e alle risorse correlate, e all'interconnessione delle medesime (direttiva accesso);
Direttiva 2002/20/CE del Parlamento Europeo e del Consiglio, 7 marzo 2002, relativa alle autorizzazioni per le reti e i
servizi di comunicazione elettronica (direttiva autorizzazioni); Direttiva 2002/21/CE del Parlamento Europeo e del
Consiglio, 7 marzo 2002, che istituisce un quadro normativo comune per le reti ed i servizi di comunicazione elettronica
(direttiva quadro); Direttiva 2002/22/CE del Parlamento Europeo e del Consiglio, 7 marzo 2002, relativa al servizio
universale e ai diritti degli utenti in materia di reti e di servizi di comunicazione elettronica (direttiva servizio
universale). 51 Si veda in particolare la previsione dell’art. 6 della Direttiva n. 20/2002 in relazione all’obbligo di rendere disponibile
l’intercettazione delle comunicazione, quale condizione alla quale è subordinato il rilascio della autorizzazione
ministeriale al gestore interessato ad operare nello Stato. Sul punto pare opportuno ricordare, ancora una volta, come il
Ministero dello Sviluppo Economico - Telecomunicazioni con nota del 12 Settembre 2008 avesse espresso un parere
scritto, su apposita richiesta della Direzione Nazionale Antimafia, secondo il quale le connessioni Skype devono essere
ricomprese nella previsione del d.lgs. 259/2003 e quindi soggette all'autorizzazione generale di cui all'art. 25. E’ dunque
possibile parlare di “operatore” ai sensi dell’art. 1 lett. u) d.lgs. 259/2003, nozione che peraltro è essa stessa molto
ampia laddove fa riferimento non solo ad “un’impresa che è autorizzata a fornire una rete pubblica di comunicazioni”
51 ma anche laddove la stessa fornisca “una risorsa correlata”. 52 A tal fine dal dicembre 2014 è stato costituito il T- CY Cloud Evidence Group, ai cui lavori partecipa anche l’Italia
(www.coe.int/en/web/cybercrime/ceg). 53 Si veda il press release dal titolo Fight against criminal activities in cyberspace: Council agrees on practical
measures and next steps, in www.consilium.europa.eu (9.6.2016).
17
Perché, per quanto si possa qui rivelare, è evidente che lo stato dell’arte consente agli investigatori di
disporre con successo – mediante utilizzo del trojan - una intercettazione di tale duplice tipologia di
comunicazioni solamente quando è noto il luogo esatto dove si trova il dispositivo informatico
(computer fisso o portatile, cellulare) dell’indagato: questo sicuramente costituisce il primo limite
investigativo, dal momento che spesso – pur essendo noti gli interlocutori – non è possibile conoscere a
priori la loro precisa collocazione sul territorio italiano.
Superato questo primo limite, nei casi in cui sia materialmente possibile interagire con il dispositivo
dell’indagato, di regola si procederà ad installare su di esso un particolare software che, tra le sue funzioni,
è anche idoneo
- ad intercettare la voce dell’utente prima che il segnale audio venga codificato dal
protocollo di comunicazione criptato (quali, più recentemente, i flussi generati da
applicazioni di istant messaging quali WhatsApp);
- ad intercettare i flussi di comunicazioni generati su caselle di posta elettronica @.com
relativamente ai quali il dispositivo informatico ha pieno accesso.
Ove non sia possibile accedere fisicamente al luogo ove si trova il dispositivo, potranno essere
utilizzate tecniche di social enginering – specificatamente autorizzate dal Pubblico Ministero, in fase di
esecuzione del relativo provvedimento di autorizzazione alla intercettazione del GIP o del decreto d
intercettazione emesso d’urgenza dallo stesso Pubblico Ministero – quali, per esempio, l’invio di e-mail
contenenti vulnerabilità che di fatto consentiranno altresì l’installazione del software necessario
all’intercettazione di tali flussi di comunicazioni.
In ogni caso, tale attività deve essere necessariamente preceduta da una analisi tecnica calibrata sul
singolo caso e su tutte le informazioni (caratteristiche hardware/software in relazione al sistema
informatico da porre sotto intercettazione, caratteristiche tecniche delle connessioni Internet
potenzialmente utilizzabili) a disposizione degli investigatori, anche per evitare che la presenza di un
qualsivoglia sistema antivirus sul dispositivo informatico oggetto di intercettazione cd. attiva possa
facilmente vanificare il buon esito delle operazioni, con pregiudizio al prosieguo delle indagini.
7. L’intercettazione di comunicazioni tra presenti resa possibile dal trojan attraverso
l’attivazione del microfono nel dispositivo informatico portatile: l’ipotesi di procedimenti
relativi a “criminalità organizzata”
Quanto finora illustrato sull’operativà concreta del trojan consente di far emergere, ove ve ne fosse
ancora bisogno, quale sia il vero (e unico) thema decidendum delle Sezioni Unite. Esso non incrocia affatto
il più ampio tema delle intercettazioni (telematiche) relative ai particolari flussi di comunicazioni finora
18
descritti; né, come già ricordato, investe le forme di acquisizione (atipica) di documentazione via via
generata e presente sul dispositivo cd. target; né, infine, riguarda la ulteriore possibilità di acquisire al
procedimento – sempre mediante utilizzo del trojan – immagini da videocamera (ove presente sul
dispositivo) di luoghi e/o persone presenti nel raggio visivo della stessa.
L’oggetto dell’attenzione si concentra dunque al caso di attivazione del microfono in dispositivi
mobili (e non anche in quelli fissi) a seguito di una richiesta del Pubblico Ministero che non identifichi
preventivamente i luoghi nei quali avverranno le intercettazioni di comunicazioni tra presenti mediante
utilizzo del trojan.
E dunque, così individuato il perimetro dell’intervento delle Sezioni Unite, si capisce come
effettivamente uno dei nodi centrali fosse quello della “valenza da attribuire all'individuazione - e
conseguentemente all'indicazione nel provvedimento che autorizza l'attività investigativa in oggetto - del "luogo" nel cui
ambito deve essere svolta la "intercettazione di comunicazioni tra presenti" oggetto di previsione dell'art. 266, comma 2,
cod. proc. pen.”.
Secondo la sentenza Musumeci54, sussisterebbe un obbligo normativo di precisazione, nel decreto di
autorizzazione, del luogo nel quale sono consentite le captazioni di comunicazioni tra presenti, con la
conseguenza che “l'intercettazione ambientale […] dovrebbe avvenire in luoghi ben circoscritti e individuati ab
origine nel provvedimento di autorizzazione, non potendo essere permessa in qualunque posto si trovi il soggetto”.
Trasportato il principio di diritto allo strumento che consentirebbe tale forma di intercettazione
ambientale (ovvero il dispositivo portatile preventivamente infettato), ne discenderebbe l’impossibilità,
a stretto rigore, di utilizzare le caratteristiche tecniche di tale modalità di captazione (che, come ben
descrivono le Sezioni Unite, “prescinde dal riferimento al luogo, trattandosi di un'intercettazione ambientale per sua
natura ‘itinerante’ ”).
Detto in altre parole: sarebbe in sé illegittima una intercettazione ambientale disposta in tutti i luoghi
ove si trova il dispositivo informatico portatile (infettato dal trojan) in quanto, per ciò stessa,
potenzialmente lesiva della tutela del domicilio.
Le Sezioni Unite, come già l’ordinanza di rimessione, tuttavia mettono ben a fuoco alcune lacune del
ragionamento giuridico appena richiamato, prima tra tutte quella di non aver adeguatamente
considerato la “norma speciale derogatrice ex art. 13 del decreto-legge n. 152/91 (convertito dalla legge n. 203/91) che
- per le intercettazioni domiciliari in procedimenti per delitti di criminalità organizzata - esclude espressamente il requisito
autorizzativo previsto dall'art. 266, comma 2, secondo periodo, cod. proc. pen., e cioè la sussistenza di un «fondato motivo
di ritenere che nei luoghi» di privata dimora «si stia svolgendo l'attività criminosa»”.
Il che elimina in radice il problema di fondo: non sussistendo infatti – in tale tipologia di
procedimenti afferenti la criminalità organizzata – una distinzione (quanto a presupposti e regime di
54 Sez. VI, 26 maggio 2015, n. 27100, in C.E.D. Cass., n. 265654.
19
autorizzazioni) tra le (generali) ipotesi di “intercettazioni di comunicazioni tra presenti” e quelle di
“intercettazioni di comunicazioni tra presenti nei luoghi di privata dimora”, il ricorso ad una “ambientale
itinerante” (e per ciò solo potenzialmente “invadente” i luoghi di cui all’art. 614 c.p.) sarebbe in tutto e
per tutto compatibile con il sistema normativo esistente.
Ne consegue il principio di diritto espressamente riassunto dall’estensore in questi termini:
“Limitatamente ai procedimenti per delitti di criminalità organizzata55, è consentita l'intercettazione di conversazioni o
comunicazioni tra presenti mediante l’installazione di un 'captatore informatico' in dispositivi elettronici portatili (ad es.,
personal computer, tablet, smartphone, ecc.) - anche nei luoghi di privata dimora ex art. 614 cod. pen., pure non
singolarmente individuati e anche se ivi non si stia svolgendo l'attività criminosa".
8. L’intercettazione di comunicazioni tra presenti resa possibile dal trojan attraverso
l’attivazione del microfono nel dispositivo informatico portatile: le residue ipotesi
identificate alla luce dell’esperienza investigativa
Se dunque le Sezioni Unite, in maniera non solo autorevole ma estremamente efficace quanto a
chiarezza espositiva e lucida rigorosità dei passaggi argomentativi, così risolvono la questione portata
alla loro attenzione, nello stesso tempo sembrano indicare criteri utili per ricostruire una sorta di
“statuto” delle intercettazioni ambientali mediante utilizzo del trojan in tutte le altre ipotesi, che possono
così essere succintamente individuate:
a. intercettazione di comunicazioni tra presenti, in procedimenti diversi da quelli relativi a
criminalità organizzata, in luoghi rientranti nella previsione di cui all’art. 614 c.p. nei quali si stia
svolgendo l’attività criminosa;
b. intercettazione di comunicazioni tra presenti, in procedimenti diversi da quelli relativi a
criminalità organizzata, in luoghi diversi da quelli ex art. 614 c.p.
Ed infatti, nel passaggio argomentativo con il quale le Sezioni Unite escludono “de iure condito - la
possibilità di intercettazioni nei luoghi indicati dall'art. 614 cod.pen. con il mezzo del captatore informatico”, avendo
sempre come riferimento una richiesta del Pubblico Ministero di disporla “in tutti i luoghi in cui si
trova il dispositivo informatico portatile preventivamente infettato” (perché, occorre ricordare ancora,
era proprio questa la questione portata all’attenzione del decidente), si fa leva su tali condivisibili
argomenti, che riportiamo integralmente:
“b) all'atto di autorizzare una intercettazione da effettuarsi a mezzo di captatore informatico installato su di un
apparecchio portatile il giudice non può prevedere e predeterminare i luoghi di privata dimora nei quali il dispositivo
55 Nozione che viene precisata nel prosieguo della motivazione, e precisamente identificata – con motivazione
ugualmente condivisibile - non solo i reati di criminalità mafiosa e quelli associativi previsti da norme incriminatrici
speciali, ma in qualsiasi tipo di associazione per delinquere, ex art. 416 c.p., correlata alle attività criminose più diverse,
con l'esclusione del mero concorso di persone nel reato nel quale manca il requisito dell'organizzazione.
20
elettronico (smartphone, tabletl computer) verrà introdotto, con conseguente impossibilità di effettuare un adeguato controllo
circa l'effettivo rispetto della normativa che legittima, circoscrivendole, le intercettazioni domiciliari di tipo tradizionale;
c) peraltro, anche se fosse teoricamente possibile seguire gli spostamenti dell'utilizzatore del dispositivo elettronico e
sospendere la captazione nel caso di ingresso in un luogo di privata dimora, sarebbe comunque impedito il controllo del
giudice al momento dell'autorizzazione, che verrebbe disposta "al buio";
d) si correrebbe il concreto rischio di dar vita ad una pluralità di intercettazioni tra presenti in luoghi di privata dimora
del tutto al di fuori dei cogenti limiti previsti dalla vigente normativa codicistica, incompatibili con la legge ordinaria ed in
violazione delle norme della Costituzione e della Convenzione europea dei diritti dell'uomo (che impongono al legislatore ed
ai giudici di porre alle intercettazioni limiti rispettosi del principio di proporzione)”.
Il che porta, di contro, a ritenere pienamente legittime, quantomeno
a.1 l’intercettazione di comunicazioni tra presenti mediante utilizzo del trojan, in procedimenti diversi
da quelli relativi a criminalità organizzata, in luoghi rientranti nella previsione di cui all’art. 614
c.p. e nei quali si stia svolgendo l’attività criminosa, ove preventivamente indicati (in termini
precisi) nella richiesta di intercettazione;
b.1 l’intercettazione di comunicazioni tra presenti tramite utilizzo del trojan, in procedimenti diversi
da quelli relativi a criminalità organizzata, in luoghi diversi da quelli ex art. 614 c.p., allo stesso
modo preventivamente indicati (ma qui anche semplicemente in termini generici di “ambiente”,
come diremo) nella richiesta di intercettazione.
Ed infatti, in entrambe tali ipotesi, sembrano poter essere rispettati non solo i principi di garanzia
sopra indicati ma, ancor prima, sussistenti – come diremo subito – tutti i relativi presupposti
tecnico-investigativi.
Si consideri la prima ipotesi: dal momento che lo stato dell’arte, ormai da molti anni, consente
agevolmente di attivare da remoto il microfono di un dispositivo portatile preventivamente infettato da
un trojan, sarebbe possibile richiedere al Giudice di autorizzare l’intercettazione di comunicazioni tra
presenti in un luogo preventivamente indicato dal Pubblico Ministero nel quale, sia pure rientrante in
uno di quelli ex art. 614 c.p., si stia svolgendo l’attività criminosa.
In questo caso dunque non sarebbe impedito il controllo del Giudice al momento
dell'autorizzazione, che pertanto non verrebbe disposta “al buio” (sempre per usare l’espressione
dell’estensore della sentenza che qui si commenta). Né si correrebbe il concreto rischio di dar vita ad
una pluralità di intercettazioni tra presenti in luoghi di privata dimora, dal momento che tale luogo non
solo viene così preventivamente indicato al Giudice ma è anche tecnicamente identificabile dagli
Ufficiali di Polizia Giudiziaria delegati all’esecuzione delle operazioni di captazione e di ascolto
mediante il ricorso al cd. “positioning” (localizzazione in tempo reale del dispositivo oggetto di
intercettazione, tramite la collaborazione del gestore di telefonia) e/o anche a seguito di localizzazione
21
effettuata dallo stesso trojan tramite captazione del segnale GPS del dispositivo portatile di interesse
investigativo.
Tali tecniche di tracciamento del dispositivo possono essere surrogate (o di contro, nella maggior
parte dei casi, affiancate) da classiche attività di pedinamento dell’utilizzatore del dispositivo portatile, a
seguito delle quali è ben possibile – a livello investigativo – identificare quando il dispositivo si trovi
esattamente nel luogo già indicato dal Giudice e, correlativamente tramite impulso da remoto, dare
inizio all’intercettazione delle comunicazioni tra presenti mediante attivazione del microfono. Così, allo
stesso modo, sarà possibile identificare anche il momento nel quale il dispositivo fuoriesca da tale
ambito locale, al fine di terminare la captazione tramite disattivazione del microfono.
Il tutto compendiato da verbale di operazioni compiute (analogamente a quanto già avviene per le
operazioni di registrazione ed ascolto delle conversazioni tra presenti captate a mezzo di microspia
installata nell’ambiente da monitorare).
Con un incalcolabile vantaggio, ben noto agli investigatori che potrebbero – di contro – raccontare
quante volte non sia stato possibile installare una microspia all’interno di domicili spesso sempre
“fisicamente presidiati” proprio perché, al loro interno, si svolgeva l’attività criminosa.
Allo stesso modo nella seconda ipotesi, relativa all’intercettazione di comunicazioni tra presenti
mediante utilizzo del trojan, in procedimenti diversi da quelli relativi a criminalità organizzata, in luoghi
diversi da quelli ex art. 614 c.p.
Con una particolarità rispetto alla precedente, particolarità anch’essa ben rappresentata all’interno del
percorso motivazionale della sentenza delle Sezioni Unite laddove viene richiamata la costante
giurisprudenza la quale ritiene sufficiente l’indicazione, in uno con il “destinatario della captazione”, della
“tipologia di ambienti (diversi dai luoghi di privata dimora) in cui eseguirla…. anche qualora venga effettuata in un altro
luogo rientrante nella medesima categoria, riconoscendosi la "dinamicità" delle intercettazioni (in quanto eseguibili in
ambienti diversi frequentati dal soggetto sottoposto a controllo)”.
E dunque si pensi, questa volta, all’ipotesi di una richiesta del Pubblico Ministero di autorizzare
l’intercettazione delle comunicazioni tra presenti che avverranno “nei bar frequentati dall’indagato”,
tramite l’attivazione – sempre da remoto – del microfono del dispositivo informatico portatile dallo
stesso utilizzato.
Anche qui l’esperienza investigativa potrebbe raccontare di frequentissime attività di pedinamento
confluite poi nella impossibilità di dare seguito ad una intercettazione cd. ambientale classica laddove il
soggetto pedinato, per esempio, finisca per sedersi ad un tavolo diverso da quello solitamente utilizzato
come luogo di incontro (e precedentemente “apparecchiato” dalla PG per la successiva attività di
captazione). Oppure decida, all’ultimo minuto, di incontrarsi in un bar diverso da quello al quale aveva
poco prima dato appuntamento al suo interlocutore.
22
Pertanto risultano immediatamente evidenti, anche in questa seconda ipotesi, le enormi opportunità
offerte da tale modalità di captazione, pur sempre nel rispetto delle garanzie complessivamente
emergenti dall’impianto penal-processuale e ben riassunte – adattandole all’ipotesi sottoposta alla sua
attenzione – dalle Sezioni Unite.
9. Laocoonte dixit
L’utilizzo del captatore informatico, per i motivi finora indicati e con i soli limiti indicati dalle
Sezioni Unite quanto alle ipotesi di attivazione del microfono in dispositivi mobili a seguito di una
richiesta del Pubblico Ministero che non preventivamente identifichi i luoghi nei quali avverranno le
intercettazioni di comunicazioni tra presenti, appare pertanto un mezzo di ricerca della prova legittimo
de iure condito.
Sembrano dunque oltremodo eccessive le voci che – sopite da Atena durante la guerra di Troia –
hanno oggi56 ripreso forza per stigmatizzare l’utilizzo di tale strumento investigativo, straordinario
quanto ad efficacia e versatilità.
Vero è che, da moltissimi anni, all’interno della Magistratura si è pervenuti ad un uso dello stesso
mediante ricorso a prassi operative di gran lunga idonee ad assicurare il pieno rispetto del dato
normativo, sia pure di fronte alla novità tecnologiche di cui abbiamo fatto ampia descrizione in tutte le
sue molteplici implicazioni pratiche.
Prassi operative tali da cristallizzare, quantomeno negli Uffici giudiziari di più grandi dimensioni, un
vero e proprio protocollo che prevede (oltre a quanto già complessivamente imposto dalle norme
processuali in tema di intercettazioni)
- l’iniziale descrizione, al GIP che deve autorizzare l’intercettazione (telefonica, telematica o
cd. ambientale), dell’operatività in concreto del software che verrà utilizzato e, più
specificatamente, delle sue funzioni (tra quelle già indicate nel dettaglio al par. 3) che
verranno attivate (se necessario previa attestazione tecnica della società che lo
commercializza);
- la precisa verbalizzazione delle operazioni con le quali è avvenuta l’ installazione, anche a
mezzo di ausiliari di PG, del trojan utilizzato (nel caso essa avvenga tramite accesso fisico al
dispositivo informatico, fisso o portatile che sia) ovvero delle operazioni volte a tentare
l’infezione da remoto (con il successivo riscontro dell’avvenuta installazione);
56 Da ultimo si veda la petizione di oltre 80 docenti universitari citata da A.GIANBARTOLOMEI, Il virus che
intercetta mette in allarme i giuristi, in www.ilfattoquotidiano.it (30.7.2016) e pubblicata poi su
www.penalecontemporaneo.it.
23
- l’opportunità di addivenire al sequestro, all’esito della attività investigativa e sempre ove
materialmente ancora possibile, del dispositivo informatico precedentemente infettato (al
fine di consentire, anche in un futuro dibattimento, in pieno contraddittorio sulle
complessive fonti di prova “generate” dall’utilizzo del trojan).
Rimane certo il tema del ricorso – allo stato necessario - ad “impianti appartenenti a privati”57,
rispetto al quale un intervento legislativo volto a precisarne i requisiti anche tecnici sarebbe sicuramente
idoneo a fugare qualsiasi residua zona d’ombra, a tutela di tutti.
[Milano, agosto 2016]
57 Se è noto che solo con riferimento alle intercettazioni informatiche o telematiche viene previsto dall'art. 268, comma
3 bis che il Pubblico Ministero possa disporre le operazioni mediante impianti appartenenti a privati, la Corte di
Cassazione ne ha esteso la legittimità anche per quelle ambientali (Sez. I, 29 settembre 2000, n. 797, in C.E.D. Cass., n.
217548) nel caso in cui la Polizia Giudiziaria non sia dotata delle necessarie apparecchiature purché le operazioni,
autorizzate con decreto motivato del Pubblico Ministero, avvengano sotto il diretto controllo degli organi di Polizia
Giudiziaria, di modo che, in tale evenienza, i privati vengano ad agire come longa manus o ausiliari del Pubblico
Ministero o della Polizia Giudiziaria.