Intercettazioni a mezzo virus di Stato: utilizzabili solo se…

Listen

Negli ultimi anni è di sempre maggior frequenza l’effettuazione da parte della Procura della Repubblica di intercettazioni, anche ambientali, mediante l’inoculazione di un virus trojan. Il presente lavoro si propone di approfondire il tema relativo all’utilizzabilità dibattimentale e cautelare di tale mezzo di ricerca della prova, mettendolo a confronto con la lesione delle garanzie individuali dovuta all’utilizzo di tale invasivo mezzo.

Premessa

            Le nuove tecnologie, in particolare con l’avvento di internet, stanno caratterizzando la vita di ogni consociato, si evolvono a ritmi serrati e si sono ormai radicate nel quotidiano di ognuno di noi: da quando ci si sveglia e sino al termine della giornata non facciamo altro che venire in contatto con strumenti tecnologici di ultima generazione. Si pensi, per fare qualche esempio, agli smartphone, ai pc utilizzati sia per svago sia per lavoro, nonché agli ultimi modelli di automobile che incorporano sistemi GPS all’avanguardia e possono connettersi con i nostri cellulari: e l’elenco potrebbe estendersi all’infinito.

            È indiscutibile che, grazie (o a causa) delle nuove tecnologie, i rapporti sociali siano mutati e si siano adattati ai tempi, fornendo certamente un grande contributo per mettere in contatto persone da ogni parte del mondo in virtù dei social network. Tuttavia, come ogni strumento inventato per fornire un contributo all’uomo, vi è sull’altro piatto della bilancia la sempre pendente spada di Damocle dell’illegalità, pronta ad abbattersi inesorabilmente a ledere i diritti fondamentali dell’individuo, nel caso di specie quello alla riservatezza, o perseguire fini delittuosi[1].

            Se è vero che gli strumenti informatici possono essere utilizzati per commettere determinati tipi di reato o agevolarne la commissione, d’altro canto non può non notarsi come anche la Procura della Repubblica, in particolar modo nella fase delle indagini preliminari, abbia a disposizione internet e le nuove tecnologie per garantire la giustizia dei consociati.

            Sul punto, già nel 2001 la Convenzione sul cybercrime del Consiglio d’Europa, siglata a Budapest il 23 novembre, ha disegnato una nutrita serie di reati informatici e ha fissato i requisiti minimi procedurali atti a garantire la dignità della persona. Per quanto concerne precipuamente il contenuto processualistico della Convenzione de qua, l’art. 15 sancisce i principi minimi ai quali le legislazione statali devono adeguarsi: (1) riserva di legge; (2) tutela della dignità della persona[2]; (3) riserva di giurisdizione, o quantomeno la supervisione di un organo indipendente (art. 15, §2, Convenzione di Budapest); (4) principio di proporzionalità, secondo il quale il sacrificio imposto alla libertà personale di un soggetto deve essere proporzionato e adeguato con il reato che si vuole perseguire.

            Inoltre, come corollario dei principi generali appena enunciati, nella medesima sezione II dedicata al diritto procedurale, la Convenzione detta un eterogeneo coacervo di disposizioni relative a modalità di ricerca e acquisizione della prova[3], alle quali il legislatore si è solo parzialmente allineato con l’emanazione della l. 18 marzo 2008, n. 48. Lo Stato italiano, però, «con una operazione di cinico pragmatismo»[4] e con eccesiva timidezza, non ha introdotto alcun nuovo mezzo di ricerca della prova, limitandosi ad adattare le discipline previgenti all’incessante avanzare tecnologico[5].

            Rimangono tuttavia scoperte questioni di non secondo momento, dal momento che alcune indagini a contenuto informatico non disciplinate dal legislatore nazionale, ma regolamentate a livello internazionale, possono ingerirsi pesantemente nella sfera privata del destinatario[6].

  1. Indagini informatiche e tutela dei diritti fondamentali

            Prima di procedere con l’approfondimento di quella che è la quaestio princeps sed etiam punctum dolens del presente lavoro – ossia le intercettazioni mediante virus informatico – pari utile ripercorrere brevemente quella che è stata l’evoluzione della tutela del diritto alla riservatezza, dagli albori ottocenteschi quale diritto di seconda generazione, sino a quello di quarta generazione relativo alla tutela della privacy con riferimento all’avvento delle nuove tecnologie.

            Sono gli Stati Uniti i pionieri del diritto alla riservatezza, che emerge a partire dalla fine del XIX secolo grazie alle idee illuminate di due giuristi: Louis Brandeis e Samuel Warren[7]. Tale diritto, tuttavia, non si stagliava quale aspirazione universale rinvenibile in capo ad ogni uomo, poiché l’esigenza di tutela della privacy era tanto maggiore quanto più il ceto di riferimento era benestante, sicché si è parlato al riguardo di “diritto borghese”, dal ceto che ne è stato il primo portavoce.

            Nel Vecchio Continente, invece, tale esigenza si è mostrata, ad eccezione della Francia, solo nel secondo dopoguerra, periodo nel quale i vari trattati internazionali hanno dato avvio all’opera di “istituzionalizzazione” dei diritti fondamentali, tra i quali rientra quello alla riservatezza.

            È il caso della Convenzione Europea per la Salvaguardia dei diritti dell’Uomo e delle Libertà fondamentali (CEDU), siglata a Roma nel 1950, al cui art. 8 è espressamente previsto  che «ogni persona ha diritto al rispetto della propria vita privata e familiare, del proprio domicilio e della propria corrispondenza». Tale diritto, tuttavia, a differenza di altri (quale quello alla vita), non è assoluto, dal momento che in presenza di stringenti presupposti è consentita l’intrusione statale nell’intimità della persona. Come detto, però, i presupposti sono rigidi e il cittadino può vedere lesa la propria riservatezza solo se il potere pubblico è giustificato dai seguenti tre criteri: (1) principio di legalità; (2) principio di legittimità (o perseguimento di un fine legittimo); (3) principio di proporzionalità[8].

            Infine, per concludere con le pillole relativa all’evoluzione del diritto alla riservatezza a livello europeo, è d’uopo segnalare che il TUE ha fornito valore di trattato alla Carte di Nizza, cosicché l’art. 8 di quest’ultima («protezione di dati di carattere personale») risulta direttamente applicabile dalla Corte di Giustizia dell’Unione Europea e utilizzabile dal Giudice interno quale parametro per un’eventuale disapplicazione della normativa interna in contrasto con quella europea.

            Lungi dall’essere fine a se stesso, il lapidario excursus appena ripercorso è utile per comprendere l’esatta collocazione sistematica del right to privacy e di come esso si ripercuote nel campo delle indagini informatiche mediante utilizzo del c.d. virus di stato, in relazione al quale possono venire ad essere intaccati – oltre al diritto alla riservatezza – i diritti alla libertà personale (art. 13 Cost.), alla libertà domiciliare (art. 14 Cost.) e alla segretezza delle comunicazioni (art. 15 Cost.)[9].

            In particolare, aderendo alla tesi dottrinale che rinviene nell’art. 2 Cost. una clausola aperta all’interno della quale si possono annoverare nuovi diritti nascituri[10], si può rinvenire il fondamento costituzionale del diritto alla riservatezza nel predetto art. 2 Cost., il quale, però, a differenza degli artt. 13, 14 e 15 Cost. non sancisce espressis verbis il principio di doppia riserva di legge e di giurisdizione. A rimpinguare le nulle garanzie previste dall’art. 2 Cost. è intervenuta la Corte Costituzionale che, chiamata a dirimere una presunta illegittimità costituzionale dell’art. 266 c.p.p. relativa alle intercettazioni telefoniche, ha ritenuto i diritti all’inviolabilità del domicilio e alla segretezza delle comunicazioni «quali espressioni salienti di un più ampio diritto alla riservatezza della persona»[11]. Parrebbe, quindi, che il diritto alla riservatezza debba essere tutelato in toto e senza distinzioni rispetto alle tradizionali garanzie liberali ottocentesche, cosicché l’indebita compressione della sfera di riservatezza personale (in particolare, per quanto qui di interesse, con riferimento ai Trojan horses) non potrebbe che avvenire con un atto motivato dell’autorità giudiziaria e nei casi e modi previsti dalla legge[12].

            Il predetto dibattito interno, tuttavia, si è isterilito negli ultimi anni a causa del sempre crescente peso assunto dalla CEDU e dal TUE. In particolare, in forza delle c.d. “sentenze gemelle” della Corte Costituzionale[13] vengono assunte a rango di norme interposte, ex art. 117 Cost., le disposizioni sancite dalla CEDU, così come interpretate dalla omonima Corte[14]. Da ciò ne deriva, come visto, che ai fini della legittima intrusione nella sfera privata da parte della pubblica autorità è necessario rispettare i principi di legittimità, legalità e proporzionalità: «in tal modo il diritto alla riservatezza si vede riconoscere una forza che, se non è pienamente equiparabile a quella degli altri diritti fondamentali richiamati in precedenza (che hanno pieno rango costituzionale), è comunque certamente superiore alla legislazione ordinaria»[15].

            Come anticipato, poi, il Trattato di Lisbona, siglato nel 2007 ed entrato in vigore il 01 dicembre 2009, ha fornito la medesima forza giuridica dei trattati alla Carta di Nizza, sicché il Giudice nazionale potrà applicare direttamente la normativa comunitaria, procedendo con l’istituto della disapplicazione, senza adire la Corte Costituzionale al fine di vedere dichiarata l’illegittimità costituzionale della normativa interna in contrasto con quella europea.

            Anticipando ora alcune delle potenzialità del captatore informatico, quali quelle di azionare il microfono del dispositivo infettato, intercettarne i flussi comunicativi, i messaggi e ogni altra azione svolta con o per mezzo del dispositivo informatico, che chiaramente trasmettono dati relativi alla vita più intima del soggetto intercettato, non si può prescindere da talune riflessioni che riguardano l’esatta collocazione sistematica delle lesioni ai diritti fondamentali causate dal virus di Stato. In altre parole, ci si deve chiedere: quale diritto viene ad essere intaccato con le intercettazioni informatiche virali? Sicuramente il diritto alla riservatezza, di cui si è ampiamente trattato supra. È necessario, però ora, soffermarsi sulle ulteriori ricostruzioni esegetiche fornite dalla dottrina.

            In primo piano spicca l’ermeneusi che invoca quale parametro di legittimità delle perquisizioni on-line l’art. 14 Cost., letto diacronicamente quale diritto al domicilio informatico[16]: nozione ricavabile dal combinato disposto degli artt. 615 ter e 615 quater c.p., che rispettivamente puniscono l’accesso abusivo a un sistema informatico e la detenzione e diffusione abusiva di codici di accesso a sistemi informatici. Nonostante vi siano voci discordanti in dottrina[17], la Cassazione, in linea con la ratio legis, ha rilevato che «il legislatore ha assicurato la protezione del domicilio informatico quale spazio ideale (ma anche fisico in cui sono contenuti i dati informatici) di pertinenza della persona», e al contempo ha altresì precisato che «la tutela della riservatezza della sfera individuale non si limita a tutelare solamente i contenuti personalissimi dei dati raccolti nei sistemi informatici protetti, ma offre una tutela più ampia che si concreta nello “jus excludendi alios”»[18]. In altre parole, la Suprema Corte ha esteso anche alla violazione del domicilio informatico la precipua caratteristica che permea l’intera disciplina della violazione del domicilio “semplice”, ossia quello jus exludendi alios che permette al proprietario di un luogo di privata dimora di proibire l’accesso alla stessa a soggetti terzi. In sostanza, per la Corte di Cassazione è indifferente che il domicilio sia virtuale o fisico, poiché è sufficiente che il cittadino possa impedire a terzi di intromettersi nella propria sfera privata: è il caso delle perquisizioni, che possono essere disposte solo nelle forme di cui all’art. 247 c.p.p., poiché incidono ex autoritate sull’intimità domiciliare del soggetto interessato; ma è altresì il caso delle intrusioni in un sistema informatico mediante captatore informatico che, sebbene non siano disciplinate espressamente dalla legge (e si auspica lo siano presto), evidentemente si intromettono nel domicilio (virtuale) dell’indagato.

            Infine, si segnale una nuova categoria di diritti fondamentali che è stata teorizzata in Germania nel 2008 dal Bundesverfassungsgericht (BVerG)[19], in assoluto il primo Paese europeo che si è occupato del tema delle intercettazioni mediante virus informatico. Il BVerG, in particolare, nel tratteggiare le linee guida da seguire affinché le intercettazioni mediante captatore informatico siano legittimamente espletate, ha indotto il legislatore teutonico a fornire un’avanguardistica disciplina legislativa che tenesse conto del Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme, ossia il diritto fondamentale (Grundrecht) a una garanzia (Gewährleistung) di affidabilità (Vertraulichkeit) e integrità (Integrität) dei sistemi informatici[20]. Inoltre, BVerG ha tracciato i confini minimi all’interno dei quali può ritenersi legittima l’intrusione pubblica nel sistema informatico: (1) riserva di legge; (2) principio di proporzionalità; (3) riserva di giurisdizione; (4) previsione di «misure idonee a evitare sia la raccolta, sia l’utilizzazione di dati riguardanti la sfera più intima della vita privata della persona»[21]. Tali princìpi, poi, sono stati specificati da una recente sentenza del medesimo Giudice delle Leggi tedesco[22], il quale – dichiarando incostituzionali alcune norme del Bundeskriminalamtgesetz per violazione del principio di proporzionalità – ha precisato che la legislazione nazionale deve prevedere la limitazione al diritto alla riservatezza e integrità dei sistemi informatici al solo fine di tutelare interessi sufficientemente rilevanti e solamente nei cai in cui vi sia un pericolo sufficientemente concreto[23]. In altre parole, secondo il BVerG non è consentito utilizzare lo strumento del captatore informatico in relazione a qualsivoglia interesse, in virtù proprio della natura fortemente invasiva del nuovo strumento di indagine informatica.

  1. Il captatore informatico. Caratteristiche tecniche e potenzialità applicative

            Si è parlato, sinora, di quali siano i diritti che vengono lesi per effetto dell’utilizzo dello strumento dell’agente intrusore, tuttavia non si è ancora evidenziato quali siano le concrete potenzialità e l’ambito applicativo di tali indagini di ultima generazione.

            Innanzitutto è necessario considerare che, sebbene l’indagine penale effettuata mediante l’utilizzo del captatore legale sia di tipo informatico, l’ambito applicativo della stessa è ben maggiore rispetto ai soli cybercrimes, essendo questa rivolta ad ampio spettro potenzialmente all’accertamento di qualsiasi tipo di reato[24]. Si pensi a un’associazione a delinquere finalizzata al compimento di rapine: inutile dire che tale delitto non viene commesso con l’utilizzo, per esempio, del telefono cellulare; tuttavia quest’ultimo mezzo, se infettato dal virus, potrebbe fornire importanti indizi sullo svolgimento della condotta delittuosa o su gli atti preparatori alla stessa.

            Vengono in considerazione, a questo punto, le svariate funzionalità che il captatore legale – denominato anche virus informatico, virus trojan, trojan horse, agente intrusore, remote control system (RCS), virus di stato – fornisce agli organi inquirenti nello svolgimento delle indagini preliminari. Come brillantemente evidenziato dalla giurisprudenza[25], con l’agente intrusore è possibile svolgere un eterogenea congerie di attività tipiche e atipiche di indagine pesantemente intrusive delle libertà del soggetto destinatario, eziologicamente volte, come una sorta di panopticon benthamiano, a sorvegliare ogni atto quotidiano della vita. Infatti, con il captatore – che sfugge ad ogni antivirus in commercio – è possibile: (1) attivare il microfono, intercettando le comunicazioni che avvengono tra i presenti nella portata del raggio del dispositivo target; (2) azionare la webcam, ottenendo così la possibilità realizzare videoclip e scattare fotografie, o solamente vedere attraverso l’occhio della telecamera; (3) captare il traffico dati, sia in arrivo sia in partenza dal dispositivo, sia esso relativo alla navigazione sia esso concernente la posta elettronica (web mail e out look); (4) prendere visione di ciò che appare sullo schermo (screenshot) o digitato sulla tastiera (keylogger); (5) perquisire lo hard disk ed estrarne copia.

            Tali considerazioni tecniche, ad avviso di parte della dottrina[26], permettono di suddividere le predette attività di indagine in due macro aree riconducibili alla online search e alla online surveillance, che prima di essere trattate necessitano di un approfondimento (si perdoni l’ossimoro) sommario sulla tecnica di inoculazione del virus e la gestione da remoto.

            L’installazione del software (retius: malware) utilizza un modulo remoto e nascosto, detto server, che, tramite l’invio di vere e proprie esche – quali possono essere sms, email o programmi di aggiornamento – infetta il dispositivo target e ne permette il controllo agli organi di PG direttamente dalla loro postazione. Altro modus operandi, di gran lunga più rischioso per la segretezza delle indagini, è l’iniezione del virus informatico direttamente e fisicamente sul hardware del bersaglio che, tuttavia, deve rimanere incustodito e tale da consentirne un’aggressione da parte degli organi di PG[27]. Tale prima fase «evidenzia profili problematici attinenti alla attendibilità del risultato di indagine (si pensi alla verifica sia della competenza di chi inocula il virus, sia della qualità del programma installato) e al controllo giudiziario sullo strumento del captatore informatico»[28], che si auspica saranno dissolti de jure condendo da un concreto e risolutore intervento legislativo.

            Si passa così alla seconda fase, quella della trasmissione dei dati dal dispositivo infettato a quello in dotazione agli organi inquirenti (o ai tecnici all’uopo delegati[29]), che utilizza un sistema client che consente di monitorare e catturare tutto ciò che avviene durante l’utilizzo (volontario o forzato) del target. Tale trasmissione deve garantire una catena di custodia che permetta di mantenere inalterati i dati lungo l’iter che va dall’acquisizione all’utilizzazione dibattimentale, al fine di garantire «l’attendibilità dei dati captati e, dunque, la loro immodificabilità e genuinità»[30].

            Ed è proprio il tema dell’attendibilità dei dati captati che ci consente un breve excursus, già accennato in precedenza, sul tema delle attività di online search e di online surveillance, posto che alcune delle predette attività paiono essere disciplinate dalla legge, mentre altre sono rimesse alla nomopoiesi giurisprudenziale, in attesa di un intervento legislativo chiarificatore.

            Come visto, una delle potenzialità del captatore informatico risiede nell’elevata intrusività, tale da consentire agli organi inquirenti di perquisire da remoto il contenuto del hard-disk e di farne copia (online search). Da notare che il codice di rito prevede espressamente il sequestro del corpo del reato e delle cose pertinente al reato necessarie all’accertamento dei fatti (art. 253 c.p.p.): se il corpo del reato o le cose pertinenti al reato sono degli oggetti informatici (per esempio un pc) è dunque possibile estrapolarne la copia del contenuto ai sensi dell’art. 258 c.p.p., ma, si ribadisce, solamente in seguito a un sequestro probatorio della fisicità del dispositivo, cosicché la perquisizione non avviene a distanza[31]. Diversamente, la perquisizione a distanza – benché persegua il medesimo fine della copia integrale del contenuto del target –  non è disciplinata in alcuna norma del codice di rito e – a meno di non ricorrere all’argomentazione analogica, vietata nel caso di specie perché incide sulle garanzie dei diritti fondamentali – non può essere legittimamente utilizzata quale mezzo di indagine.

            Dal canto loro, le tecniche di online surveillance paiono essere «riconducibili contenutisticamente a istituti codicistici»[32], sicché vengono ad essere sussunte, in linea generale, nella disciplina delle intercettazioni telematiche (art. 266 bis c.p.p.) e delle intercettazioni di comunicazioni tra presenti (art. 266 c.p.p.).

  1. Le Sezioni Unite Scurato: una risposta giurisprudenziale (parziale) al vulnus legislativo

            La giurisprudenza, sul tema delle intercettazioni effettuate tramite virus informatico, si è trovata disorientata, nel tentativo di far collimare l’obsoleto (per quanto riguarda il tema de quo) codice di rito con l’incessante evoluzione tecnologica.

            In particolare, i quesiti portati all’attenzione della nomofilachia si possono compendiare nelle seguenti domande: le intercettazioni informatiche sono ascrivibili al genus delle intercettazioni tra presenti? In caso di risposta affermativa, è necessario che il decreto autorizzativo rechi l’indicazione precisa dei luoghi ove tale attività dovrà essere svolta?

            La Corte di Cassazione, chiamata a pronunciarsi nel suo massimo consesso[33] in virtù della delicatezza dei temi trattati e poiché la Sezione VI era intenzionata a discostarsi da un precedente della medesima sezione[34], ha fornito una risposta ai predetti quesiti.

            Nel caso di specie, la Suprema Corte era chiamata a pronunciarsi sul ricorso proposto dallo Scurato, indagato (tra il resto) di associazione a delinquere di stampo mafioso, avverso l’ordinanza del Tribunale delle Libertà di Palermo che confermava l’applicazione della custodia cautelare in carcere nei confronti di quest’ultimo, ricavando la sussistenza dei gravi indizi di colpevolezza tramite intercettazioni ambientali (anche) domiciliari effettuate con l’ausilio del virus informatico.

            Per quanto qui di interesse, i motivi di doglianza risiedevano in una presunta violazione dell’art. 266, comma 2, c.p.p., posto che le intercettazioni erano state effettuate in luoghi di privata dimora all’interno dei quali non vi era un fondato motivo di ritenere che ivi si stesse svolgendo l’attività criminosa e poiché non erano stati indicati, nel provvedimento autorizzativo, i luoghi in cui l’attività captativa si sarebbe svolta.

            Ta ultimo motivo di doglianza trovava supporto nella sentenza Musumeci, a detta della quale «il decreto autorizzativo deve individuare, con precisione, i luoghi nei quali dovrà essere espletata l’intercettazione delle comunicazioni tra presenti, non essendo ammissibile un’indicazione indeterminata o addirittura l’assenza di ogni indicazione al riguardo»[35], al fine di non incorrere in una lettura incostituzionale dell’art. 266 c.p.p. per violazione dell’art. 15 Cost.

            Disattende in toto una simile ricostruzione ermeneutica la medesima Sezione Sesta della Corte di Cassazione che, a un anno di distanza dalla sentenza Musumeci, pone all’attenzione delle Sezioni Unite il seguente quesito: «se – anche nei luoghi di privata dimora ex art. 614 c.p., pure non singolarmente individuati e anche se ivi non si stia svolgendo l’attività criminosa – sia consentita l’intercettazione di conversazioni o comunicazioni tra presenti, mediante l’installazione di un captatore informatico in dispostivi elettronici portatili»[36].

            Le Sezioni Unite hanno così affrontato funditus il tema delle intercettazioni tra presenti mediante l’utilizzo di un virus informatico, descrivendone le ampie capacità intrusive nella sfera intima e, al contempo, evidenziandone le potenzialità fornite alla Procura della Repubblica nella lotta contro il crimine, nonché focalizzando l’attenzione, in via preliminare, sui progetti di riforma pendenti illo tempore in Parlamento[37].

            Svolte tali utili premesse, la Cassazione si sofferma sul tema della intercettazioni ambientali, così definite dalla dottrina e dalla giurisprudenza ma che non trovano riscontro nel codice di rito. Invero, l’art. 266 c.p.p. disciplina le «intercettazioni tra presenti» senza alcun riferimento espresso all’ambiente che, anzi, assume precipuo rilievo nel secondo periodo dell’ultimo comma del medesimo articolo, a mente del quale le intercettazioni in un luogo di privata dimora (ex art. 614 c.p.) sono consentite solo se ivi si stia svolgendo l’attività criminosa.

            Secondo le Sezioni Unite, quindi, il punto di partenza per stabilire la necessarietà o meno dell’indicazione dei luoghi di privata dimora nel corpo del decreto autorizzativo risiede nella summa divisio tra intercettazioni tra presenti e intercettazioni tra presente nei luoghi di privata dimora: le prime non necessiterebbero di alcuna indicazione del luogo, dal momento che né l’art. 266 c.p.p., né la giurisprudenza della CEDU paiono orientarsi in tal senso[38]; mentre le secondo non sarebbero ammissibili se non in presenza della disciplina derogatoria prevista dall’art. 13 della l. 23 luglio 1991, n. 203[39].

            Tale ultima disciplina, introdotta per garantire una maggiore efficacia dell’attività investigativa in campi delicati, prevede che «quando si tratta di intercettazione di comunicazioni tra presenti disposta in un procedimento relativo a un delitto di criminalità organizzata e che avvenga nei luoghi indicati dall’articolo 614 del codice penale, l’intercettazione è consentita anche se non vi è motivo di ritenere che nei luoghi predetti si stia svolgendo l’attività criminosa». In altre parole, se il delitto per il quale si procede concerne delitti di criminalità organizzata, il fumus perdurantis criminis non è un requisito essenziale del decreto autorizzativo.

            A fortiori, poi, la Cassazione pone in evidenza come l’indicazione specifica dei luoghi sia sempre risultata superflua nei delitti concernenti la criminalità organizzata, utile solamente a fini pratici per consentire agli organi di PG di installare la cimice fisica; al contrario di quanto stabilito per le intercettazioni effettuate all’interno del domicilio per i restanti reati, relativamente ai quali l’indicazione della tipologia di ambienti è conditio sine qua non della legittimità delle operazioni investigative[40]. Ed è proprio questa giurisprudenza consolidata che ha condotto le Sezioni Unite a sottolineare che «le caratteristiche tecniche dell’intercettazione mediante virus informatico prescindono dal riferimento al luogo, trattandosi di un’intercettazione ambientale “itinerante”, e perciò solo ontologicamente incompatibile con l’indicazione del luogo, non potendosi imporre agli organi di PG la disattivazione della captazione nel momento in cui il soggetto entra in un luogo di privata dimora[41].

            In definitiva, dalla sentenza Scurato si possono trarre le seguenti conclusioni: (1) nelle intercettazioni tra presenti non è necessario indicare nel decreto autorizzativo, a pena di inutilizzabilità delle stesse, il luogo ove esse si svolgono; (2) il predetto requisito diviene fondamentale se si vuole procedere con le intercettazioni tra presenti nel domicilio; (3) l’indicazione dei luoghi viene meno se si procede per delitti di criminalità organizzata.

            Rimane tuttavia scoperta almeno una questione problematica di non secondo momento. Quid iuris nel caso in cui l’intercettazione ambientale telematica avvenga in luogo di privata dimora appartenente a un soggetto non indagato per delitti di criminalità organizzata? Sembra potersi affermare l’inutilizzabilità dei risultati istruttori – limitatamente ai luoghi di privata dimora del soggetto non indagato – facendo leva sul combinato disposto degli artt. 266, comma 2, e 191 c.p.p.

            Dopo aver fornito una risposta affermativa alla questione relativa all’ammissibilità delle intercettazioni ambientali mediante l’inoculazione di virus informatico, circoscrivendone l’applicabilità ai soli delitti di criminalità organizzata, la Suprema Corte ha necessariamente dovuto soffermarsi sul significato precettivo da attribuire alla predetta locuzione, latamente utilizzata dall’art. 13 l. 203/1991 e foriera di ricadute applicative negative in mancanza di una delucidazione preventiva.

            In particolare, le Sezioni Unite pongono in luce le difficoltà ermeneutiche che si incontrano nel fornire una definizione specifica, posto che quest’ultima non si rinviene né nel codice di rito, né in quello penale, né tantomeno nelle leggi speciali. Un aggancio legislativo, invero, può ricavarsi dagli art. 407, comma 2, lett. a, e 51, commi 3 bis e 3 quater, c.p.p.[42], che «contengono un catalogo di reati e che prevedono una disciplina applicabile precipuamente a fattispecie riconducibili alla categoria “criminalità organizzata”»[43], ma ai quali la Corte di Cassazione non si rifà per circoscrivere la portata applicativa della disciplina derogatoria sancita dall’art. 13 l. 203/1991. Opportunamente gli Ermellini non giungono sino a utilizzare una definizione socio-criminologica dei delitti di criminalità organizzata – di guisa da non sconfinare nell’arbitrio e salvaguardare il principio di legalità – ma nonostante ciò ne dilatano eccessivamente la portata applicativa, invocando un illustre precedente delle Sezioni Unite in tema di mancata sospensione feriale dei termini, a detta del quale i reati di criminalità organizzata non si identificano solamente in quelli di stampo mafioso o previste da normative speciali, bensì anche in qualsiasi tipo di associazione per delinquere punita dall’art. 416 c.p.p.[44]

             È proprio la definizione ampia di criminalità organizzata che ha suscitato accese perplessità in dottrina[45], in virtù dell’ampia portata lesiva dei diritti fondamentali insita nell’utilizzo del captatore informatico. Come si è visto, infatti, è possibile intercettare ogni aspetto della vita di una persona, ingerendosi nella sfera più intima di ogni singolo soggetto, senza che questi possa opporre alcuna resistenza: sarebbe stato più opportuno, forse, seguire il c.d “doppio binario” processuale e circoscrivere la nozione di criminalità organizzata ai soli delitti previsti dagli artt. 51, commi 3 bis e 3 quater, e 407, comma 2, lett. a, c.p.p.[46]

            De iure condendo, alla luce di quanto sopra esposto, sarebbe opportuno che il legislatore intervenisse a regolare la materia, in quanto in profili problematici risultano numerosi. Non si può non notare come il progresso tecnologico sia incessante e fornisca aiuto nella vita quotidiana tanto alla criminalità quanto alla Procura della Repubblica e, proprio per l’evoluzione repentina, sarebbe opportuno focalizzare una disciplina legislativa volta alla neutralità tecnica (ossia disciplinando i diritti fondamentali da garantire e non i mezzi in concreto utilizzati)[47] ovvero che attribuisca a decreti ministeriali la normativa tecnologica di dettaglio, essendo questi ultimi ben più fluidi e proteiformi rispetto a una fonte di rango primario.

OSCAR CALAVITA

[1] Del medesimo avviso P. Felicioni, L’acquisizione da remoto di dati digitale nel procedimento penale: evoluzione giurisprudenziale e prospettive di riforma, in www.penalecontemporaneo.it, p. 2, secono cui «l’avvento dell’era digitale a prodotto nuove minacce criminali e ha modificato la fisionomia delle forme di manifestazione della delinquenza determinando una crescita esponenziale della freuenza con cui gli illeciti comuni sono compiuti attraverso lo strumento digitale».

[2] «Ogni Parte deve assicurarsi che l’instaurazione, implementazione e applicazione dei poteri e delle procedure previste in questa sezione siano soggette alle condizioni e alle tutele previste dal proprio diritto interno, che deve assicurare un’adeguata tutela dei diritti umani e delle libertà, in particolare dei diritti derivanti da obblighi assunti in base alla Convenzione del Consiglio d’Europa del 1950 per la tutela dei diritti umani e delle libertà fondamentali, alla Convenzione Internazionale delle Nazioni Unite del 1966 sui diritti civili e politici, e agli altri strumenti internazionali applicabili in materia di diritti umani» (art. 15, §1, Convenzione di Budapest).

[3] «Conservazione rapida di dati informatici immagazzinati (art. 16), «conservazione e divulgazione rapide di dati relativi al traffico (art. 17), «ingiunzione di produrre» (art. 18), «perquisizione e sequestro di dati informatici immagazzinati» (art. 19), «raccolta in tempo reale di dati sul traffico» (art. 20), «intercettazioni di dati relativi al contenuto» (art. 21).

[4] S. Marcolini, Le indagini atipiche a contenuto tecnologico nel processo penale: una proposta, in Cass. pen., 02, 2015, p. 766.

[5] L’opera di lifting del codice di procedura penale è stata apportata dagli artt. 8, 9 e 11 della l. 48/2008, che rispettivamente hanno modificato alcune norme del Libro III, del libro IV e l’art. 51 c.p.p.

[6] In particolare ci si riferisce alla raccolta in tempo reale dei dati sul traffico, poiché tale modalità investigativa, «benché “tipica” sul versante internazionale, perché descritta dalla Convenzione, resta “atipica” sul versante interno, perché non prevista da nessuna norma, non potendosi certo valorizzare in tal senso la generica locuzione di piena ed intera esecuzione data alla Convenzione, contenuta nell’art, 2 della legge n. 48 del 2008» (S. Marcolini, Le indagini atipiche, op. cit., p. 766). Inoltre, come si vedrà, anche le intercettazioni mediante l’utilizzo dei captatori informatici possono non sembrare espressamente disciplinate dalla legge, sebbene la giurisprudenza giunga ad ammetterle in casi particolari.

[7] V. S.D. Warren-L.D. Brandeis, The right to privacy, in Harvard Law Review, IV, 5, 1890. Tuttavia, sebbene i fautori del diritto alla riservatezza siano convenzionalmente I predetti autori, già due anni prima il Giudice Thomas Cooley toccò incidentalmente il tema (v. T.C. Clooney, A Treatise on the Law of Torts or the Wrongs which arise Indipendence of contract, Challagan & co., Chicago (Illinois), 1888, p. 29).

[8] Così A. Galluzzo, Diritto alla riservatezza e indagini penali. Nuove dimensioni dell’indagine genetica e informatica, tesi di dottorato discussa presso l’Università degli Studi di Padova, pp. 16-17.

[9] Con riferimento ai diritti sanciti negli artt. 13, 14, 15 Cost., secondo la dottrina «non vi sono particolari osservazioni da svolgere, se non che esse, in conformità alla loro tradizionale matrice liberale-ottocentesca, sono tutelate dalle intrusioni da parte dei poteri statuali nella forma più intensa che l’ordinamento italiano conosce, cioè mediante la c.d. doppia riserva: di legge e di atto motivato dell’autorità giudiziaria» (S. Marcolini, Le indagini atipiche a contenuto tecnologico nel processo penale: una proposta, in Cass. pen.

[10] Per un approfondimento relativo alla tassatività o meno dell’art. 2 Cost. si rinvia a A. Pace, Problematiche sulle libertà fondamentali, Cedam, Padova, 2003; A. Barbera, Commento all’art. 2 Costituzione. Principi fondamentali, in G. Branca (a cura di), Commentario alla Costituzione italiana, Zanichelli, Bologna, 1975.

[11] C. Cost., sent. (11 aprile) 24 aprile 2002, n. 135, in www.giurcost.it.

[12] Così anche A. Galluzzo, Diritto alla riservatezza e indagini penali, op. cit., pag. 31. V. anche S. Marcolini, Le indagini atipiche, op. cit., p. 770, secondo cui: «che anche il diritto alla riservatezza, al pari dei diritti di libertà di matrice liberale ottocentesca, sia oggi innegabilmente protetto da una riserva di legge – rinforzata inoltre da vincolo di proporzionalità che, come si vedrà, pone pressanti vincoli al legislatore ordinario – è una conclusione di notevole importanza».

[13] C. Cost., sent. (22 ottobre) 24 ottobre 2007, nn. 348 e 349, in www.giurcost.it;

[14] Si permetta il rinvio a P. Ferrua, La prova nel processo penale. Vol. 1. Struttura e procedimento, Giappichelli, Torino, 2015, pp. 231 ss., per le criticità sull’estensione a rango di norme interposte delle disposizioni CEDU “così come interpretate” dall’omonima Corte. In particolare, il nodo problematico risiede nei frequenti révirement della Corte EDU.

[15] S. Marcolini, Le indagini atipiche, op. cit., pp. 769 s.

[16] V., per tutti, L. Filippi, L’ispe-perqui-intercettazione itinerante: le Sezioni unite azzeccano la diagnosi ma sbagliano la terapia, in www.ilpenalista.it, 06 settembre 2016.

[17] «Tuttavia, il parallelismo tra la nozione di domiclio informatico e quella di domicilio fisico è apparso inadeguato sul piano penale e fuorviante sul piano processuale» (P. Felicioni, L’acquisizione da remoto, op. cit., p. 126118.)

[18] Cass., Sez. V, 08 maggio 2012, n. 42021, in www.pluris-cedam.utetgiuridica.it.

[19] BVerG, 27 febbraio 2008, n. 370/07 e 595/07

[20] Sul punto «è necessario sottolineare che la Corte tedesca ha ritenuto non idonei, a salvaguardare il diritto all’integrità […] e il diritto alla riservatezza-confidenzialità […] del sistema informatico o telematico, sia il principio dell’inviolabilità del domicilio, sia quello di tutela della riservatezza delle comunicazioni» (P. Felicioni, L’acquisizione da remoto, op. cit., p. 128118).

[21] P. Felicioni, L’acquisizione da remoto, op. cit., p. 128118.

[22] BVerG, I Senato, 20 aprile 2016 – 1 BVerR 966/09, 1 BVerR 1140/09

[23] V. amplius L. Giordano-A. Venegoni, La Corte costituzionale tedesca sulle misure di sorveglianza occulta e sulla captazione di conversazioni da remoto a mezzo di strumenti informatici, in www.penalecontemporaneo.it, 08 maggio 2016.

[24] Più penetranti le parole di P. Felicioni, L’acquisizione da remoto, op. cit., p. 119118: «con riferimento alle indagini preliminari occorre sottolineare la formidabile efficacia investigativa della prova digitale che si connota per un ambito potenzialmente illimitato: infatti la prova informatica è idonea a fornire informazioni rilevanti ai fini della ricostruzione del fatto storico con riferimento a qualunque reato».

[25] Cass., Sez. Un., 01 luglio 2016, n. 26889, Scurato, in www.pluris-cedam.utetgiuridica.it.

[26] P. Felicioni, L’acquisizione da remoto, op. cit., p. 123118.

[27] V. amplius A. Testaguzza, Digital forensics. Informatica giuridica e processo penale, Cedam, Padova, 2015, p. 84.

[28] P. Felicioni, L’acquisizione da remoto, op. cit., p. 124118.

[29] Nei progetti di riforma, in particolare il progetto Quintarelli, è fatto divieto agli organi di PG di servirsi di tecnici ausiliari, poiché, volendo garantire la riservatezza dei dati e la genuinità degli stessi, si è creduto più opportuno devolvere l’intera materia ai soli organi inquirenti, senza alcuna possibilità di delega. Proposta degna di encomi, ma che potrebbe scontare il difetto di capacità tecniche dei soggetti di PG, sicché sarebbe opportuno fornire un’adeguata e specifica formazione ai nuclei operativi.

[30] P. Felicioni, L’acquisizione da remoto, op. cit., p. 125118.

[31] Conferma da ultimo tale impostazione Cass., Sez. III, 23 giugno 2015, n. 38148.

[32] P. Felicioni, L’acquisizione da remoto, op. cit., p. 125118.

[33] Cass., Sez. Un., 01 luglio 2016, n. 26889, Scurato, in www.pluris-cedam.utetgiuridica.it.

[34] Cass., Sez. VI, 26 giugno 2015, n. 27100, Musumeci, in www.pluris-cedam.utetgiuridica.it.

[35] Cass., Sez. VI, 26 giugno 2015, n. 27100, Musumeci, in www.pluris-cedam.utetgiuridica.it, p. 3.

[36] Cass., Sez. Un., 01 luglio 2016, n. 26889, Scurato, in www.pluris-cedam.utetgiuridica.it, p. 4.

[37] Ci si riferisce: al d.l. 18 febbraio 2015, n. 7, recante «misure urgenti per il contrasto del terrorismo, anche di matrice internazionale», convertito con modificazioni dalla l. 17 aprile 2015, n. 43, con il quale era stato proposto di inserire un nuovo periodo all’interno dell’art. 266 bis c.p. («anche attraverso l’impiego di strumenti o di programmi informatici per l’acquisizione da remoto delle comunicazioni e dei dati presenti in un sistema informatico»), successivamente espunto in sede di conversione; alla proposta di legge del 02/12/2015 C. 3470 intitolata «modifica all’art. 266 bis c.p.p., in materia di intercettazioni e di comunicazioni informatiche o telematiche»; alla proposta di legge 20/04/2016 C. 3762. Infine, si segnale il progetto di legge Quintarelli del gennaio 2016 recante la «disciplina dell’uso dei Captatori legali nel rispetto delle garanzie individuali».

[38] «La necessità di uno specifico luogo – quale condizione di legittimità dell’intercettazione – non risulta inserita né nell’art. 266, comma 2 (in cui, con riferimento all’intercettazione di comunicazioni tra presenti, vi è solo la previsione di una specifica condizione per la legittimità dell’intercettazione se effettuata in un luogo di privata dimora), né nella giurisprudenza della Corte EDU secondo cui le garanzie minime che la legge nazionale deve apprestare nella materia delle intercettazioni riguardano la predeterminazione della tipologia delle comunicazioni oggetto di intercettazione, la ricognizione dei reati che giustificano tale mezzi di intrusione nella privacy, l’attribuzione a un organo indipendente dalla competenza ad autorizzare le intercettazioni con la previsione del controllo del giudice, la definizione delle categorie di persone che possono essere interessate, i limiti di durata delle intercettazioni, la procedura da osservare per l’esame, l’utilizzazione e la conservazione dei risultati ottenuti, la individuazione dei casi in cui le registrazioni devono essere distrutte» (Cass., Sez. Un., 01 luglio 2016, n. 26889, Scurato, in www.pluris-cedam.utetgiuridica.it, p. 6).

[39] Ritiene che «due sono dunque i punti costituzionalmente scabrosi della pronuncia» C. Pinelli, Sull’ammissibilità di restrizioni alla libertà di domicilio e alla libertà di comunicazione tramite “virus di Stato”, in www.penaleconteporaneo.it, p. 6. Secondo l’Autore la discipline derogatoria prevista dall’art. 13 l. 203/1991 offre «un aggancio normativo sufficientemente solido», tuttavia le ingerenze nella sfera intima del soggetto, con l’utilizzo del virus di Stato, sono ben maggiori rispetto a un’intercettazione “classica” tra presenti. Inoltre, vi sarebbe in ogni caso un problema di compatibilità costituzionale dell’interpretazione giurisprudenziale con il principio della riserva di legge.

[40] V. ex multis Cass., Sez. I, 25 febbraio 2009, n.11506, Molè, in www.pluris-cedam.utetgiuridica.it; Cass., Sez. II, 08 aprile 2014, n. 17894, Alvaro, in www.pluris-cedam.utetgiuridica.it.

[42] Sebbene vi sono altre norme al cui interno è presente la locuzione criminalità organizzata: artt. 54ter, 90 quater, 274, 371 bis c.p.p.; art. 132 bis disp. att. c.p.p.; art. 13 d.l. 152/1991; art. 21 bis d.l. 306/1992; art. 23, comma 2, lett. c, art. 37, comma 2, d.p.r. 448/1998.

[43] Cass., Sez. Un., 01 luglio 2016, n. 26889, Scurato, in www.pluris-cedam.utetgiuridica.it, p. 13.

[44] Cass., Sez. Un., 22 marzo 2005, n. 17706, Petrarca, in www.pluris-cedam.utetgiuridica.it.

[45] P. Felicioni, L’acquisizione da remoto, op. cit., p. 137118. Un approccio più soft è fornito da G. Lasagni, L’uso dei captatori informatici (trojans) nelle intercettazioni “fra presenti”, in www.penalecontemporaneo.it, p. 10.

[46] Ancor più stringente il progetto di legge Quintarelli, il quale prevede che il virus di Stato possa essere utilizzato solo in procedimenti di associazione di stampo mafioso o terroristico, limitatamente a quelle fattispecie che risultano talmente pervasive per cui non è possibile distinguere un ambito di attività o di vita personale estraneo all’associazione criminale.

[47] Parla di neutralità tecnica G. Lasagni, L’uso dei captatori informatici (trojans) nelle intercettazioni “fra presenti”, in www.penalecontemporaneo.it, p. 11.