Versione pre-print del capitolo pubblicato in Cassano, G. – Previti, S. 2020 (a cura di) Il diritto di internet nell’era digitale. Milano, Giuffrè-Francis Lefevbre
Capitolo VII
CASI E PROBLEMI SUL SEQUESTRO INFORMATICO ANCHE A DISTANZA
di?Andrea Monti – Università di Chieti-Pescara – amonti@unich.it
Sommario:
1. Introduzione. — 2. Delimitazione del tema “prova informatica”. — 3. Sequestro probatorio e “vincolo pertinenziale informatico”. — 3.1. La separazione fra “dati” e “supporti di memorizzazione” prima della l. n. 48/2008. — 3.2. La l. n. 48/2008 e i criteri per limitare l’estensione del sequestro. — 3.3. La necessità del permanere di un interesse alla limitazione dell’estensione del sequestro. — 3.4. Il contrasto giurisprudenziale sulla motivazione che giustifica il sequestro. — 3.5. L’acquisizione dei contenuti da terminali mobili. — 3.6. Sequestro informatico, garanzia di integrità dei dati e onere della prova. — 4. L’acquisizione di contenuti memorizzati in risorse di rete remote. — 5. L’acquisizione dei dati di traffico telematico. — 6. Sequestro preventivo e “oscuramento” di siti web. — 6.1. I fatti. — 6.2. La teorizzazione del sequestro come “oscuramento” e la scorciatoia dell’inibitoria ex d.lgs. n. 70/2003. — 6.3. I rapporti fra “sequestro”, “filtraggio” e “inibitoria”. — 6.4. Inapplicabilità al sequestro preventivo delle modalità tecniche di esecuzione del filtraggio. — 7. Conclusioni.
1. Introduzione.
L’analisi comparata dell’evoluzione tecnologica e giurisprudenziale in materia di misure probatorie e tecnologie dell’informazione richiede necessariamente una premessa definitoria che sgombri il campo dalle ambiguità semantiche troppo spesso presenti in dottrina, giurisprudenza e normativa.
La traslazione diretta e immediata (nel senso di non mediata da una precisa conoscenza tecnica) nell’ambito giuridico di aspetti informatici e di idee maturate nella letteratura di fantascienza — e in particolare in quella del genere cyberpunk — ha creato equivoci teorici e interpretazioni giurisprudenziali fortemente discutibili (una per tutte, l’uso del sequestro preventivo ex art. 321 c.p.p. come strumento normativo per l’oscuramento di siti internet localizzati all’estero).
Il primo abuso del quale bisogna fare giustizia è quello del termine “virtuale”.
Dopo un primo periodo in cui faceva timidamente capolino fra le righe di sentenze, commenti e saggi, l’aggettivo “virtuale” è diventato una presenza fissa quando, a vario titolo, ci si deve occupare di un caso che riguarda le tecnologie dell’informazione.
Abbiamo dunque il “diario virtuale” (Cass. pen., sez. V, sent. 20 marzo 2019, n. 12546), la “bacheca virtuale” (Cass., sez. lav., sent. 27 aprile 2018, n. 10280), la “pedopornografia virtuale” (Cass. pen., sez. III, Sent. 9 maggio 2017, n. 22265), la “piazza virtuale” (Cass. pen., sez. un., sent. 29 gennaio 2015, n. 31022) per non parlare della superficialità semantica che caratterizza scritti di varia natura all’insegna di “online”, “digitale”, “elettronico” e “cyber”.
Ma “Virtuale” come insegna il Vocabolario Treccani, è un termine che in filosofia è “sinonimo di potenziale, cioè «?esistente in potenza?» (contrapposto. a attuale, reale, effettivo)” e che, per estensione è «?detto di cosa o attività frutto di un’elaborazione informatica che pur seguendo modelli realistici non riproduce però una situazione reale?» (Treccani). Così come “online”, “digitale” ed “elettronico” sono termini che definiscono — il primo — una condizione fattuale, quella dell’essere un contenuto o un comportamento posti in essere tramite un servizio di comunicazione elettronica, il secondo la qualità tecnica dell’essere un’informazione fruibile tramite un computer e il terzo assolutamente nulla, dal momento che il termine “elettronico” riguarda semplicemente il modo di funzionare di una macchina.
Sarebbe facile liquidare queste considerazioni come semplice pedanteria, ma così facendo si dimostrerebbe di non avere percepito la drammaticità del problema causato dal ricorso superficiale a metafore imprecise e sbagliate nella scrittura e nell’interpretazione della legge.
Il danno principale provocato da questo approccio all’ambito penalistico è — in ambito sostanziale — lo spostamento dell’attenzione dall’evento dannoso o pericoloso alla modalità di lesione, mentre in ambito processuale è l’arretramento delle garanzie difensive a favore dell’insofferenza da parte dell’inquirente e del giudicante verso le regole procedurali come si vedrà meglio nel prosieguo.
L’archetipo di questa tendenza è rappresentato — nella scrittura delle norme — dall’inciso “anche per via telematica” utilizzato nell’art. 600-ter c.p., che non dà luogo a un’ipotesi aggravata quoad poenam né incide sul regime di procedibilità, ma resta abbandonato nel comma, senza che se ne capisca la funzione. Analogamente, il comma 1 lett. a–bis) dell’art. 171 l. n. 633/1941 punisce chiunque «?mette a disposizione del pubblico, immettendola in un sistema di reti telematiche, mediante connessioni di qualsiasi genere, un’opera dell’ingegno protetta, o parte di essa?». Anche in questo caso, dal punto di vista della tipicità, la specificazione relativa all’uso di reti telematiche è inutile perché il precedente riferimento al chiunque “mette a disposizione del pubblico” definisce una condotta a forma libera che pacificamente include anche l’utilizzo di particolari metodi o sistemi tecnologici.
Il ricorso continuo e oramai automatico a metafore del genere ha causato la percezione diffusa di essere di fronte a fenomeni che il Diritto non è in grado di gestire con gli strumenti a disposizione e che, dunque, sia necessario creare nuovi istituti e categorie giuridiche senza le quali si resterebbe impotenti di fronte a “rivoluzioni epocali”.
In realtà questo non è vero dal punto di vista sostanziale, perché tutti i reati a forma libera possono astrattamente essere configurabili anche se il fatto è commesso coinvolgendo uno strumento informatico o telematico, il cui utilizzo potrebbe — al limite — rilevare ai fini della configurazione di ipotesi aggravate o come detto incidere sulla procedibilità.
Si potrebbe discutere, al limite, della opportunità di riconoscere all’informazione in quanto tale (e non nelle sue articolazioni di “dato personale” o altre accezioni particolare) lo statuto di bene giuridico tutelato a livello costituzionale, oppure ottenere una tutela costituzionale indiretta attribuendo all’informazione lo status di res e dunque applicarle gli istituti che ruotano attorno alla proprietà (Monti), come peraltro ha recentemente (e finalmente!) stabilito la Corte di cassazione secondo cui: «?… ogni dubbio e? ormai superato perché la citata legge 48/2008, che adeguava il nostro ordinamento agli impegni assunti con la Convenzione sui crimini informatici del 23 novembre 2001, ha reso esplicito nell’ordinamento penale che il concetto di “cosa” copre anche il dato informatico in quanto tale?». (Cass. pen., sez. VI, sentenza n. 24617/2015).
Oppure, come evidenziato nel capitolo dedicato al rapporto fra rete internet e ordine pubblico, ci si dovrebbe porre il problema dell’aumento del carico di contezioso per fatti molto spesso bagatellari causato dall’enorme numero di utenti che quotidianamente utilizzano servizi telematici, aprendo una riflessione sulla necessità di un’ampia decriminalizzazione o — almeno — di una estesa depenalizzazione.
I problemi più seri affliggono invece gli aspetti processuali, e non perché il Codice di rito sia incapace di fornire strumenti per gestire indagini transnazionali o maxi-processi. Esistono senz’altro norme per acquisire informazioni e documenti da altri Paesi, per richiedere la cattura di un latitante e offrire reciprocità di supporto ad altre giurisdizioni.
Il problema di questi strumenti è che sono pensati per procedimenti penali di criminalità organizzata, traffici internazionali o vicende individuali particolarmente gravi: numerosi ma non così tanto da bloccare l’operato di inquirenti e giudicanti. E mostrano i loro limiti quando, da un lato, bisogna produrre uno sforzo spropositato per raggiungere un modesto risultato investigativo (basta pensare all’acquisizione dei file di log presso un operatore straniero in un caso di diffamazione aggravata commessa tramite una piattaforma di condivisione di contenuti), o quando è necessario intervenire tempestivamente su condotte poste in essere al di fuori della giurisdizione italiana, ma che nel territorio italiano producono effetti e che richiederebbero interventi basati sugli accordi di cooperazione giudiziaria.
Altro tema di stretta competenza processual-penalistica è quello della cosiddetta “prova informatica”, protagonista di un acceso e risalente dibattito circa la sua natura giuridica, il modo di raccoglierne elementi durante le indagini, e il titolo del suo ingresso nel dibattimento (Luparia). Terminata l’era pioneristica dei computer crime in senso stretto (accessi abusivi a sistemi informatici, diffusione di virus, danneggiamenti, cracking di programmi per elaboratore e via discorrendo), informatica e telecomunicazioni sono due costanti nei procedimenti penali, sia che assumano il valore di una chat allegata ad una querela, quello dell’analisi di un computer o di un contenuto reperito su risorse di rete non immediatamente disponibili o apprensibili dagli investigatori.
Ultimo elemento peculiare dell’impatto delle tecnologie dell’informazione sul processo penale è quello dell’espansione e dell’importanza del ruolo di soggetti privati nell’esecuzione delle indagini.
Prima dell’esplosione dei servizi di comunicazione elettronica, il mondo giudiziario aveva sostanzialmente a che fare con un unico soggetto (l’operatore monopolista e, prima ancora, di Stato) al quale chiedere essenzialmente attività di intercettazione.
A partire dal 1995 (con la liberalizzazione disposta dal d.lgs. n. 103/1995), tuttavia, si sono moltiplicati i soggetti che offrivano al settore privato dei servizi sempre più sofisticati dei quali erano gli unici gestori e unici detentori di informazioni rilevanti a fini investigativi. È stato dunque giocoforza emanare delle norme che prendessero atto di questo mutato scenario economico e consentissero dunque obblighi di conservazione di dati di traffico (d.lgs. n. 196/2003), sequestri di dati e informazioni (l. n. 48/2008), intercettazioni di vario tipo, incluse quelle rese possibili dai cosiddetti “captatori informatici” (d.lgs. n. 216/2017) eufemismo per indicare malware, cioè programmi informatici che consentono di prendere il controllo a distanza di un elaboratore o di uno smarthpone per estrarne informazioni o eseguire intercettazioni.
Al prepotente ingresso del settore privato nelle attività di indagine, tuttavia, non ha fatto da contrappeso una riflessione sul significato giuridico di questa co-gestione di parti importanti delle attività di ricerca della prova.
2. Delimitazione del tema “prova informatica”.
L’evoluzione delle questioni giuridiche relative alle attività probatorie si è manifestata in parallelo a quella tecnologica e dunque la ricostruzione diacronica della giurisprudenza che si è formata nel corso del tempo consente di analizzare ricorsivamente i due ambiti e di capire dove l’elaborazione giuridica è stata in grado di “tenere il passo” con le sfide tecnologiche, dove, si è trovata ad arrancare e dove, invece, ha forzato la mano per affermare principi discutibili, il cui presupposto sembra più quello di rimediare a carenze organizzative e di competenze piuttosto che l’inquadramento sistematico di nuovi problemi posti dal mutato scenario operativo.
Va detto subito che, come dimostra la breve ricostruzione che segue, il tema della prova informatica era stato ben inquadrato fino dagli albori dei processi che hanno coinvolto i computer come oggetti dell’azione delittuosa o come strumenti di commissione del fatto.
Benché un’indagine della Procura della Repubblica presso il Tribunale di Milano coinvolse, nel 1991, i servizi Videotel ponendo già problemi di tipo probatorio (Fazzo), la madre di tutte le indagini “informatiche” è stata senz’altro quella iniziata (disgiuntamente) nel 1994 dalle Procure di Pesaro e Torino per un’ipotesi di “spaccio” di software duplicato illegalmente, diventata nota anche a livello internazionale come Italian Crackdown.
Aspetti socioculturali a parte (Gubitosa), queste indagini sono importanti perché l’Autorità e la Polizia giudiziaria hanno dovuto cercare nelle pieghe del Codice di procedura penale e nella tecnologia all’epoca disponibile gli strumenti per assicurare le fonti di prova, come per esempio l’intercettazione delle comunicazioni via modem grazie a un — all’epoca – nuovissimo e costoso apparato, il Telemonitor TM40, l’uso di operatori sotto copertura per raccogliere elementi probatori finalizzati all’esecuzione di perquisizioni e sequestri (non senza qualche perplessità sulla “tenuta” di una scelta del genere, non consentita nelle indagini per il reato di cui all’art. 171-bis l.a.), le modalità concrete di esecuzione delle attività di sequestro e di analisi di quanto cautelato.
Nel corso degli anni a queste prime necessità investigative se ne sono aggiunte di altre, che andavano dalla verifica della presenza di “bombe logiche” all’interno di software (Trib. Teramo, sez. staccata di Atri, sent. 12 maggio 2010, n. 195), dall’acquisizione a distanza di contenuti memorizzati in elaboratori dislocati al di fuori dei confini nazionali, all’analisi di testi, immagini e video reperiti in un sistema informatico, alle modalità di accesso e raccolta dei dati di traffico telematico conservati dai fornitori di servizi di comunicazione elettronica nazionali e stranieri, alla identificazione degli utenti di servizi di accesso e di piattaforme (Maras), il tutto finalizzato ad imputare una condotta (e il relativo evento) al loro autore.
L’elenco che precede non ha pretesa di esaustività, ma è sufficientemente dettagliato da indicare gli ambiti tecnici che devono essere considerati nell’emissione dei vari provvedimenti probatori e cautelari che caratterizzano le indagini preliminari, e che possono essere sintetizzati nei termini che seguono:
•?fissare dati su un supporto di memoria è un atto fisico e materiale. È la stessa identica cosa che scrivere con una penna su un foglio di carta, ma con un sistema più ingombrante e scomodo,
•?accedere ai dati contenuti in un supporto di memorizzazione riscrivibile implica la loro potenziale modificabilità,
•?trasferire dati da un supporto di memorizzazione ad un altro supporto senza adeguate cautele può produrre una copia non leggibile e/o non perfettamente identica all’originale,
•?trasmettere dati attraverso una rete non fa venir meno la loro natura fisica e materiale e questo a prescindere dal fatto che la trasmissione sia direttamente percepibile o meno dal soggetto,
•?qualsiasi intervento su dati che transitano su una rete implica necessariamente, a vario livello, una intercettazione più o meno estesa dell’intero traffico, ivi compreso il suo contenuto.
•?la mera documentazione dell’esistenza di un dato contenuto su una risorsa di rete remota non deve necessariamente essere eseguita tramite l’apprensione materiale dei file sorgenti da parte dell’autorità giudiziaria, essendo sufficiente adottare alcune cautele.
Volendo sintetizzare all’estremo, dunque, si può affermare che il tema della “prova informatica” si riduce nell’adottare delle cautele tecniche non dissimili concettualmente dalla repertazione di elementi rinvenuti in sede di perquisizione o sopralluogo — come per esempio i residui da sparo — a rischio dispersione o contaminazione.
Illustra bene il concetto la dottrina più avveduta secondo la quale — e siamo nel 1994 — “la consegna del documento informatico si sostanzia, come per ogni cosa mobile, nel trasferimento di quanto ordinato dal luogo in cui si trova l’oggetto al luogo indicato dal richiedente. Essa consiste, allora, nella rimozione (cancellazione) del documento dalla memoria dell’elaboratore e nel trasferimento su supporto magnetico portatile (set di minidischi, disco fisso, rimovibile, cartuccia a nastro, disco ottico riscrivibile ecc.) che verrà consegnato al pubblico ministero. Allo stesso modo deve intendersi la disposizione del sequestro del documento informatico” (Buonomo et al.) Un orientamento, questo, che anticipa la posizione del Comitato dei Ministri dell’Unione Europea secondo cui “The legal distinction between searching computers systems and seizing data stored therein and intercepting data in the course of transmission should be clearly delineated and applied” (Consiglio dei Ministri – Consiglio d’Europa Racc. R (95) 13 del 11 settembre 1995).
3. Sequestro probatorio e “vincolo pertinenziale informatico”.
Storicamente, l’art. 253 c.p.p. è stato il primo ad essere stato messo alla prova dall’irrompere dell’informatica nel processo penale. Fin dalle primissime indagini su reati informatici o reati commessi tramite strumenti informatici emerse, infatti, una pluralità di approcci affatto coerenti sul “cosa” e sul “come” procedere all’applicazione della misura probatoria, cui fece eco una giurisprudenza “sommaria” della Cassazione formatasi essenzialmente sulle impugnazioni dei provvedimenti emessi dai tribunali del riesame. Siamo, dunque, di fronte a problematiche squisitamente di tipo tecnico, che non richiedono un ripensamento dell’impostazione del codice di rito e che si traducono, all’atto pratico, in un mero problema di acculturazione dell’autorità giudiziaria.
Non si spiega — se non con il ricorso a quello che eufemisticamente potremmo chiamare “principio di precauzione” — la scelta molto frequente nella seconda metà degli anni ‘90 del secolo scorso di sequestrare, oltre che interni computer, anche monitor, tastiere, scanner e stampanti (Procura della Repubblica presso il Tribunale di Torino, procedimento n. 3046/1994, decreto di perquisizione e sequestro del 4 maggio 1994 e, incredibilmente visto l’intervallo di tempo, Decreto di perquisizione e sequestro 19 maggio 2003 Procura della Repubblica presso il Tribunale di Siracusa e Tribunale del riesame di Siracusa Ordinanza del 20 giugno 2003) sulla base di un “vincolo pertinenziale” invocato, ma non dimostrato. Paradigmatico, in questo senso, il dictum del Tribunale del riesame di Ravenna che per giustificare il sequestro convalidato dal pubblico ministero nel procedimento 1469/94 esteso oltre che a un computer anche ad oggetti che nulla avevano a che fare con le esigenze investigative, riteneva che “il vincolo pertinenziale tra la cosa e il reato appariva, ex se, dal titolo contestato in rapporto al materiale oggetto di sequestro” (Trib. riesame Ravenna, ord. 22 dicembre 1994).
È pur vero che già da prima si registravano modalità più rigorose di esecuzione del sequestro probatorio, come evidenzia l’analisi di tre procedimenti penali risalenti al periodo 1994-1998.
Negli atti dell’indagine — precisamente, in un verbale di sequestro — disposti dalla Procura di Roma denominata Hacker’s Hunter sull’accesso abusivo alla Banca degli organi del Policlinico Gemelli del 1994 gli accertatori scrivevano: «?…nelle stesse circostanze di tempo e di luogo si riapre il verbale per dare atto che nell’hardware esaminato sono state rinvenute altre serie numeriche NUI per cui si è ritenuto utile … omissis … procedere alla copiatura dei dati contenuti nel PC attraverso il BACKUP del disco fisso, riversandoli in floppy disk?». Ancora più interessante è la motivazione addotta dal pubblico ministero della Procura romana, Pietro Saviotti, nel restituire l’hardware sottoposto alla misura cautelare. Scrive il magistrato: «?… evidenziato che nel contesto delle operazioni tecniche si è provveduto a duplicare il contenuto dei supporti magnetici sequestrati agli indagati con specifico riferimento anche ai dati dei cosiddetti dischi fissi dei “personal computer” in uso ai medesimi, considerato pertanto che il mantenimento del sequestro su dette apparecchiature non si prospetta necessario a fini di prova e al contrario priverebbe i titolari della disponibilità di beni strumentali ben utilizzabili per lo svolgimento di attività lecite; visti gli artt. 262 e 263.4 c.p.p.; dispone il dissequestro e la restituzione agli aventi diritto di tutte le apparecchiature sequestrate?».
Nel procedimento penale n. 35150/1997 il pubblico ministero di Torino dispose che “il sequestro del software avvenga mediante rimozione delle memorie fisse (hard disk) oppure mediante copia e/o rimozione, su idonei supporti forniti dall’indagato, dei programmi e dati memorizzati sulle memorie (Procura della Repubblica presso il Tribunale di Torino, procedimento 35150/97 decreto di perquisizione e sequestro del 15 luglio 1998).
Nel 1998 la Procura della Repubblica di Pescara sperimentò in alcuni procedimenti legati alla duplicazione abusiva di software l’acquisizione in copia dei file contenuti in un computer mediante l’impiego di strumenti crittografici. L’integrità e l’inalterabilità delle copie erano garantite dal meccanismo della firma digitale; mentre i file lasciati sull’elaboratore dell’indagato erano stati resi non intelligibili tramite software crittografici evitando così il sequestro degli elaboratori. Benché ad oggi non ci sia traccia dell’adozione di questa procedura tecnica in altri procedimenti penali, va detto che essa rappresenta l’applicazione più coerente del concetto di sequestro inteso come ablazione di un bene dalla disponibilità dell’indagato ai dati informatici. Che, poi, in termini pratici, la ragione di questo “oblio” sia da ricercarsi nella complessità operativa di questo modo di operare — o, da un’altra prospettiva, nella necessità di avere l’adeguata preparazione per farlo — è un discorso diverso.
3.1.?La separazione fra “dati” e “supporti di memorizzazione” prima della l. n. 48/2008.
L’orientamento che vuole una separazione fra “dati” e “supporti” venne confermato da una pronuncia del Tribunale del riesame di Torino, che nell’ordinanza 7 febbraio 2000 relativa al p.p. n 26495/99 R.N R affermò: “Pare invece accoglibile il motivo di riesame concernente la non necessità del sequestro dell’hard disk. Infatti nulla impediva agli agenti di p.g., per di più appartenenti a Sezione specializzata nell’ambito dai reati informatici di procedere ad una copia integrale dell’hard disk, con specificazione verbale di ogni singola operazione Inoltre qualora vi fossero stati problemi di irripetibilità, nulla impediva al P.M. di procedere ex art. 360 c.p,p. arche a seguito del sequestro ovvero in assenza dei problemi suddetti ex art 359 c.p.p.” (Tribunale del riesame di Torino, ord., 7 febbraio 2000 — p.p. n 26495/99 R.G.N.R.) Lo stesso provvedimento identifica anche il corretto modo di procedere all’analisi in loco del contenuto di una memoria di massa, al fine di distinguere quanto di interesse per l’indagine da quanto non lo è: «?È pur vero che occorre prima individuare le email da restituire e che pertanto il concetto di immediatezza di cui all’art. 254 c.p.p, è per così dire un concetto relativo ma proprio per tale ragione il mantenimento del sequestro dopo un tempo apprezzabile appare non consentito, spettando agli agenti già in sede di perquisizione ovvero al consulente nominato ex art. 359 c.p.p. o 360 c.p.p. una immediata selezione del materiale rilevante, ancor prima delle successive operazioni peritali … In ogni caso le esigenze probatorie appaiono pienamente fronteggiabili con la copia dell’intera memoria dell’hard disk?»”.
Senza soluzione di continuità concettuale, anche la giurisprudenza della Corte di Cassazione — nei suoi provvedimenti più meditati — considera necessario evitare sequestri indiscriminati, tanto da scrivere: «?considerato che, nel caso in esame è stato sequestrato anche materiale informatico del tutto “neutro” rispetto alle indagini in corso (quale, ad esempio, stampante, scanner, schermo); che non vengono minimamente indicate le esigenze probatorie che legittimano il permanere del vincolo sullo stesso; che anche il corpo di reato, quando non appaia più necessario il mantenimento del vincolo per finalità probatorie, deve essere restituito all’avente diritto, ex art. 262 c.p.p.; che l’autorità giudiziaria può prescrivere, sempre ai sensi della ricordata norma, di presentare a ogni richiesta le cose restituite, e a tal fine può anche imporre cauzione; che la prova in ordine alla sussistenza del reato de quo è verosimilmente tutelabile limitando il sequestro alla memoria fissa del computer o ad eventuali supporti (floppy, CD) contenenti elementi utili alle indagini, ritiene il Collegio che non sia legittima l’impugnata ordinanza (peraltro affatto immotivata sul punto) in relazione al sequestro probatorio di tutto il materiale informatico, ad eccezione della memoria fissa del computer. S’impone, quindi, l’annullamento in tal senso della stessa?». (Cass. pen., sez. III, sent., 3983/2003).
3.2.?La l. n. 48/2008 e i criteri per limitare l’estensione del sequestro.
La giurisprudenza di legittimità — pur con notevole ritardo a quanto la dottrina aveva già evidenziato e il Consiglio d’Europa aveva raccomandato — arriva ad operare l’ulteriore distinguo fra “sistema informatico” in quanto tale e suo contenuto. Oltre alla già citata sentenza n. 24617/2015, la sesta sezione penale consolida il suo orientamento con un’altra decisione secondo la quale: non escludendo, astrattamente, la possibilità di sottoporre a cautela un computer e il suo intero contenuto, rileva che «?non è possibile acquisire in modo indiscriminato un intero archivio elettronico, sol perché è facile l’accesso, l’effettuazione di copia ed il trasferimento fisico rispetto alla massa di documenti cartacei corrispondenti, pur in assenza di qualsiasi correlazione specifica con le indagini?». (Cass. pen., sez. VI, sent. n. 31593/2019).
La Corte ribadisce in più occasioni il concetto prescrivendo ad esempio, cassando un’ordinanza di un tribunale del riesame, che «?Il Collegio investito del giudizio di rinvio dovrà verificare l’osservanza dei principi di pertinenza e di proporzionalità del materiale oggetto di ablazione — id est dei dati informativi estrapolati dal computer e dagli altri supporti sequestrati al S., quand’anche a lui restituiti dopo l’estrazione di copia — e, dunque, ordinare la distruzione dei “cloni” dei dati per tale via ottenuti che risultassero non pertinenti al thema probandum e non utili ai fini dell’accertamento dei fatti, (enfasi aggiunta, n.d.a.) così da scongiurare una lesione/compressione del diritto alla disponibilità esclusiva del “patrimonio informativo” (enfasi aggiunta, n.d.a.) “sproporzionata” rispetto alle esigenze d’indagini e, dunque, illegittima. (Cass. pen., sez. VI, sent. 31 gennaio 2019, n. 4857).
Sintetizzando, dunque, è possibile concludere che non esiste un “vincolo pertinenziale informatico” necessario e indefettibile fra i dati contenuti in una memoria di massa installata in un computer e il computer o parti di esso e che, dunque, la necessità di disporre un sequestro probatorio che vada oltre l’apprensione dei dati debba essere adeguatamente motivata.
A tal proposito, per esempio, potrebbero giustificare l’estensione del vincolo all’intero elaboratore, per esempio, particolarità tecniche del supporto di memorizzazione come un’interfaccia computer-supporto non più presente sul mercato o di funzionamento (Cass. pen., sez. III, sent., 11 gennaio 2017, n. 1159), oppure necessità di rilevare la presenza di impronte digitali su monitor e tastiere utili a fornire indizi sull’identità dell’utilizzatore materiale dell’apparato, quando non è possibile procedere ai rilievi nell’immediatezza dell’atto.
3.3.?La necessità del permanere di un interesse alla limitazione dell’estensione del sequestro.
Nell’opera di enfatizzazione dei dettagli dell’applicazione del principio di proporzionalità del sequestro, è necessario segnalare ulteriori approfondimenti compiuti dalla Corte di cassazione in rapporto all’accoglimento dell’impugnazione del provvedimento di riesame quando medio tempore era stato restituito il supporto di memorizzazione ma trattenuta la copia integrale dei suoi contenuti e quando il ricorrente non specifica quale sarebbe l’interesse a limitare la cautela ai soli dati pertinenti all’indagine.
Ulteriore giurisprudenza di legittimità, dopo aver ribadito l’astratta sequestrabilità di qualsiasi cosa, precisa tuttavia e ribadisce da un lato che il sequestro probatorio può riguardare solo i dati e non necessariamente il supporto, e che il vincolo non può riguardare indiscriminatamente la totalità degli stessi. «?Nella specie, è completamente assente la motivazione sulla necessità di apprensione dell’intero contenuto degli strumenti di cui si discute, atteso che, pur rilevando l’esuberanza del vincolo apposto sullo stesso, il Tribunale ha ritenuto di porvi rimedio disponendo la restituzione del supporto fisico e il trattenimento del contenuto informativo perché “la difesa non ha manifestato un interesse a conservarne l’esclusiva disponibilità”, confondendo, in tal modo, l’ammissibilità del ricorso per cassazione (che, in base alla sentenza delle sezioni unite n. 40963/17, è effettivamente subordinata alla deduzione di un interesse alla esclusiva disponibilità dei dati) con la necessaria proporzionalità del vincolo?». (Cass. pen., sez. V, sent. 17 ottobre 2019, n. 42675). Dunque, secondo questo condivisibile orientamento, la mera restituzione del supporto, ma la conservazione immotivata del vincolo del sequestro sull’universalità dei dati opportunamente duplicati, non fa venir meno l’illegittimità del provvedimento del pubblico ministero.
3.4.?Il contrasto giurisprudenziale sulla motivazione che giustifica il sequestro.
Somiglia invece, francamente, alla Tela di Penelope quella parte della decisione dove la Corte, dettando il principio cui si dovrà attenere il giudice del rinvio, detta un criterio per il quale “la motivazione del provvedimento di convalida — da parte del P.M. — del sequestro probatorio eseguito dalla polizia giudiziaria, dalla quale si evincano i presupposti del vincolo e della configurabilità del reato, può essere integrata dal giudice del riesame in sede di conferma del provvedimento con la specificazione delle esigenze probatorie che ne stanno a fondamento, sempre che le stesse siano state indicate, seppure in maniera generica, (enfasi aggiunta, n.d.a.) nel provvedimento impugnato”. Il che, peraltro, è in contrasto con la posizione espressa dalle Sezioni Unite che in materia di sequestro probatario imponeva una motivazione espressa e concisa (Cass. pen., sez. un., sent. 19 aprile 2018, n. 36072) e con la rilevata impossibilità, per il tribunale del riesame, di integrare le carenze motivazionali del decreto del pubblico ministero «?pena un’arbitraria opera di supplenza delle scelte discrezionali che, pur doverose da parte dell’organo dell’accusa, siano state da questo radicalmente e illegittimamente pretermesse?». (Cass. pen., sez. VI, sent. 14 novembre 2018, n. 4857).
«?Suona — parimenti — “stonato” il principio di diritto secondo il quale, per dolersi dell’eccessività dell’estensione del sequestro di dati informatici è necessario avere “dedotto, in seguito al dissequestro, quell’interesse concreto ed attuale, specifico ed oggettivamente valutabile sulla base di elementi univocamente indicativi della lesione di interessi primari conseguenti alla indisponibilità delle informazioni contenute” nei documenti e nei supporti informatici che, solo, giustifica la sopravvivenza di una posizione giuridica tutelabile, all’esito della disposta restituzione?» essendo, diversamente, inammissibile il ricorso per carenza di interesse (Cass. pen., sez. V, sent. 15 febbraio 2019, n. 13694, conforme a sez. un., sent. 20 luglio 2017, n. 40963).
3.5.?L’acquisizione dei contenuti da terminali mobili.
Procedendo oltre, è necessario fare alcune precisazioni relativamente all’acquisizione di dati — messaggi, materiale audiovisivo, ma anche dati di posizione e utilizzo – contenuti in apparati terminali (smartphone, tablet) e di quelli forniti (più o meno automaticamente) da piattaforme che offrono servizi di comunicazione elettronica.
Smartphone e tablet sono, a tutti gli effetti, dei computer e come tali soggetti ad alterazione o manipolazione del loro contenuto. In alcuni casi questo è possibile al solo produttore dell’apparato, mentre in altri casi un utente abbastanza ingegnoso può modificare o creare ad arte quanto ivi memorizzato.
La conseguenza diretta di quanto sopra è che la mera verbalizzazione della presenza in uno smartphone di un contenuto e di informazioni che lo collegano al mittente non può essere sufficiente — in assenza di riscontri ulteriori — ad attribuire valore probatorio a quanto documentato dalla persona offesa o dall’autorità o dalla polizia giudiziaria.
«?Deve, infatti, osservarsi che, per quanto la registrazione di tali conversazioni, operata da uno degli interlocutori, costituisca una forma di memorizzazione di un fatto storico, della quale si può certamente disporre legittimamente ai fini probatori, trattandosi di una prova documentale, atteso che l’art. 234 c.p.p., comma 1, prevede espressamente la possibilità di acquisire documenti che rappresentano fatti, persone o cose mediante la fotografia, la cinematografia, la fonografia o qualsiasi altro mezzo … omissis… l’utilizzabilità della stessa è, tuttavia, condizionata dall’acquisizione del supporto — telematico o figurativo contenente la menzionata registrazione, svolgendo la relativa trascrizione una funzione meramente riproduttiva del contenuto della principale prova documentale …omissis… tanto perché occorre controllare l’affidabilità della prova medesima mediante l’esame diretto del supporto onde verificare con certezza sia la paternità delle registrazioni sia l’attendibilità di quanto da esse documentato?». (Cass. pen., sez. V, sent. 19 giugno 2017, n. 49016).
3.6.?Sequestro informatico, garanzia di integrità dei dati e onere della prova.
Il rigore di questo approccio è curiosamente smentito da una successiva sentenza della medesima sezione della Corte di Cassazione che pone a carico dell’indagato — e non del pubblico ministero — l’onere di contestare la genuinità addirittura non del contenuto di uno smartphone, ma addirittura della stampa di una fotografia che ritrae la comunicazione «?estrapolata dal “display” di un telefono cellulare nella disponibilità della persona offesa, certamente utilizzabile alla stregua di prova documentale ai sensi dell’art. 234 c.p.c., che consente “L’acquisizione di scritti o altri documenti che rappresentano fatti, persone o cose mediante la fotografia, la cinematografia o qualsiasi altro mezzo” e della quale non è disconosciuta la genuinità?» (Cass. pen., sez. V, sent. n. 7904/2019).
Sulla stessa linea di pensiero, un obiter dictum della Corte che, rigettando un ricorso su un’ordinanza emessa dal tribunale del riesame di Pisa che aveva confermato la validità di un esteso sequestro di dati, scrive «?Né si rileva, dal provvedimento di merito, che le operazioni siano state svolte, come dedotto, alterando i dati presenti nei personal computer?». (Cass. pen., sez. V, sent. 17 maggio 2019, n. 38456).
Arricchisce il quadro una bizantina interpretazione della Corte che “salvando” un’ordinanza del tribunale del riesame di Roma che dichiarava inammissibile un ricorso basato sul mancato rispetto delle modalità prescritte dall’art. 247, comma 1-bis c.p.p. in materia di acquisizione di dati, scrive: “il Tribunale adeguatamente motiva, rilevando, in fatto, il rispetto della norma al momento dell’accesso al sistema informatico quale modalità idonea a garantire la genuinità dei dati. Infatti, la norma si limita a prevedere l’adozione di misure tecniche di sicurezza “dirette ad assicurare la conservazione dei dati originali e ad impedire l’alterazione”; non specifica però quali sono le misure tecniche, quando e dove vanno attuate, se al momento del sequestro o anche dopo al momento dell’acquisizione dei dati mediante analisi del contenuto: «?In tema di perquisizione di sistema informatico o telematico, sia l’art. 247, comma 1-bis, che l’art. 260, comma secondo, c.p.p., si limitano a richiedere l’adozione di misure tecniche e di procedure idonee a garantire la conservazione dei dati informatici originali e la conformità ed immodificabilità delle copie estratte per evitare il rischio di alterazioni, senza imporre misure e procedure tipizzate?». (Cass. pen., sez. III, sent. 3 luglio 2017, n. 31918, che conferma Cass. pen., sez. II, sent. 4 giugno 2015, n. 24998).
Si tratta di posizioni che non solo — come detto — disapplicano inaccettabilmente la presunzione di innocenza, ma pongono a carico dell’indagato una prova impossibile da fornire.
Già solo per verificare l’effettiva esistenza di un messaggio e del suo invio, infatti, sarebbe necessario (tentare di) acquisire i dati di traffico dei terminali coinvolti, quantomeno per stabilire se alla data e ora di apparente invio, i terminali dei soggetti coinvolti fossero stati effettivamente registrati sulla rete dei rispettivi operatori telefonici, e se essi terminali avevano effettivamente generato traffico “dati” e non “voce”. Sarebbe inoltre necessario procedere alla verifica dell’esistenza di eventuali “backup” — copie di riserva — dei messaggi in questione sugli elaboratori di vittima, indagato e altri partecipanti e acquisirli al fascicolo. E, infine, si dovrebbe verificare se il terminale usato per l’invo del messaggio fosse effettivamente stato utilizzato dall’indagato (per esempio, acquisendo i dati di geolocalizzazione e della presenza di altri apparati in prossimità di quello nella disponibilità dell’indagato stesso).
Quanto, invece, al secondo profilo, quella dell’indimostrata alterazione dei dati, è solo la verbalizzazione dettagliata e analitica delle operazioni compiute che può consentire di verificare se le operazioni di copia sono state eseguite nel rispetto delle best practice di settore o comunque con modalità tecniche adeguate. In loro assenza — come ha stabilito la “sentenza Sollecito-Knox” — non può essere l’indagato a dover dimostrare l’inattendibilità dei dati così acquisiti, ma è il pubblico ministero che deve fornire prova positiva dell’attendibilità degli stessi.
Infine, relativamente al terzo orientamento, quello della mancata individuazione normativa di misure tecniche a garanzia dell’integrità dei dati da sequestrare e della mancata indicazione del momento in cui adottare queste misure, è difficile non stigmatizzare la strumentalità. Da un lato, infatti, non è pensabile che una norma generale come quella di cui all’art. 247 comma 1-bis c.p.p. possa contenere indicazioni tecniche soggette a variazioni continue. Dall’altro, non si capisce la disparità di trattamento fra la repertazione di quanto rinvenuto sulla scena del crimine, posta in essere con effetti “scenografici” quali tute anticontaminazione, guanti e bustine sterili, e il dato informatico che — secondo le sentenze in commento — potrebbe invece essere cautelato solo successivamente, al momento dell’esecuzione delle attività di analisi e duplicazione.
Ora, si può anche pragmaticamente convenire sul fatto che compiere questi accertamenti — posto che diano risultati — sia eccessivamente oneroso in casi bagatellari o reati di scarso allarme sociale, ma questo non cambia le “regole del gioco”: difficoltà tecniche o carenza di risorse non possono tradursi in un abbassamento delle garanzie difensive.
4. L’acquisizione di contenuti memorizzati in risorse di rete remote.
Stabiliti alcuni punti fissi in materia di sequestro probatorio disposto su oggetti immediatamente apprensibili dall’autorità giudiziaria, il passo (crono)logicamente successivo è quello di affrontare il tema dell’acquisizione al fascicolo di contenuti memorizzati su risorse di rete remote, cioè nella disponibilità non immediata degli inquirenti (perché localizzati in un altro distretto giudiziario o in Paese straniero con il quale sono stati stipulati accordi per la mutua cooperazione e assistenza giudiziaria) o impossibili da raggiungere perché residenti in elaboratori dislocati in Paesi che non hanno accordi per la cooperazione giudiziaria con l’Italia.
È chiaro che fino a quando è possibile, il sequestro probatorio dell’originale informatico memorizzato nella risorsa remota è e rimane la via maestra, con tutte le difficoltà organizzative e burocratiche derivanti dal dover attivare le procedure di cooperazione internazionale.
Ma bisogna anche tenere presente che nell’immediatezza dell’acquisizione della notizia di reato — e a fortiori nel caso di contenuto giuridicamente non raggiungibile – la finalità probatoria può essere assolta anche con la verbalizzazione da parte della polizia giudiziaria, dell’accesso a distanza al contenuto in questione, adottando cautele tecniche tali da dimostrare l’effettiva esistenza e localizzazione di quanto riprodotto, come per esempio, il collegamento allo stesso sito usando almeno due internet provider differenti e diversi DNS server (gestori di indirizzi internet) in modo da dimostrare che utilizzando percorsi diversi e non sovrapponibili il risultato finale e? invariante.
È chiaro che stiamo parlando di una soluzione imperfetta, dal momento che in caso di cancellazione del contenuto incriminato, si affiderebbe la prova del fatto al solo valore privilegiato della verbalizzazione a cura degli ufficiali di polizia giudiziaria, senza possibilità di contraddittorio; ed è evidente che in questo caso, salvo che esigenze di segretezza dell’indagine richiedano altrimenti, sarebbe opportuno procedere ad un accertamento tecnico (potenzialmente) non ripetibile o, meglio ancora, ad un incidente probatorio. Diversamente, il risultato investigativo potrebbe non superare il vaglio dibattimentale, quantomeno sotto il profilo dell’attendibilità dei risultati.
È quanto accadde nel caso deciso dal Tribunale penale di Pescara con la sentenza n. 1369/2006 che in un caso di diffusione di contenuti osceni pubblicati su un sito internet decise in questi termini: «?Disposta dunque perizia nel dibattimento, il perito ha dovuto concludere di essere impossibilitato ad ogni considerazione, non essendo riuscito ad acquisire le pagine web nel formato digitale, al fine di valutarne contenuto e caratteristiche tecniche; quindi censurando la mancata acquisizione di copia certificata dei documenti informatici, con eventuale sottoscrizione (firma digitale), come previsto dalla normativa tecnica gia? all’epoca emanata dall’AIPA … sostanzialmente dunque confermando la scarsa valenza probatoria delle riproduzioni a stampa summenzionate (difficilmente classificabili, alla stregua della stessa normativa tecnica, quali “documenti analogici originali”), peraltro rimarcando come queste riportino diverse date di consultazione delle pagine all’indirizzo …omissis…, precisamente il 17 settembre 2002, 3 settembre 2002 e 29 luglio 2002, per giunta evidentemente successive all’epoca di contestazione del commesso reato. Queste essendo le emergenze processuali, dovendosi prestare adesione ai rilievi peritali, non resta che riconoscere la mancanza di prova certa sulla materialità stessa dell’addebito, ed il giudicabile va dunque mandato assolto dal reato ascritto, quand’anche con formula sostanzialmente dubitativa, perché il fatto non sussiste?» (Trib. Pescara, sent. 6 ottobre 2006, n.1369).
Questa sentenza è interessante perché, oltre a rilevare la mancata acquisizione degli originali informatici “sigillati” con firma digitale, evidenzia l’impossibilità di analizzare il contenuto tecnico delle pagine in questione.
Si tratta di un tema rilevante perché se poco importa l’aspetto grafico e tipografico di un contenuto digitale se il capo di imputazione riguarda, per esempio, la rivelazione del contenuto della corrispondenza privata della persona offesa, non è così quando ci si trova di fronte a fatti diffamatori, ingiuriosi e, in generale, a condotte che vanno valutate nella loro materialità.
Breve: quello che visualizziamo quando ci si collega a una piattaforma di social-networking o al sito di un giornale o un qualsiasi blog viene rielaborato dal browser che, da un lato, interpreta le opzioni di formattazione stabilite dal creatore del contenuto e, dall’altro, applica le impostazioni di visualizzazione decise localmente dall’utente.
Dunque, per fare un esempio, quello che sul browser viene visualizzato in questo modo:
Ciao Mondo!
in realta? e? scritto in questo modo:
<html>
<head>
<title>Ciao Mondo!</title></head>
<body><DIV ALIGN=CENTER> <b><A HREF=”http://www.mondo.it”>Ciao, Mondo!</A></b>
</DIV>
</body>
</html>
Questi codici, in sostanza, dicono al browser: “prendi il testo “Ciao Mondo!”, allinealo a sinistra, visualizzalo in grassetto e quando qualcuno clicca sulle parole “Ciao Mondo!” collegati all’indirizzo internet “www.mondo.it”.
Nonostante le prescrizioni contenute nella pagina, tuttavia, la visualizzazione del testo può cambiare a seconda, per esempio, del modo in cui abbiamo istruito il nostro computer a visualizzare la dimensione e il tipo dei caratteri e i collegamenti ipertestuali.
Dunque, il nostro saluto potrebbe essere visualizzato in questo modo, senza alcuna enfatizzazione:
Ciao Mondo!
oppure in quest’altro, con caratteri più grandi del normale e maggiormente enfatizzati
Ciao Mondo!
Ovviamente si tratta di un esempio molto semplice, ma che rende immediatamente l’idea del rapporto fra un testo nella sua forma “nativa” e in quella “interpretata”.
Per capire la rilevanza giuridica di questo aspetto tecnico, sostituiamo le parole “Ciao Mondo!” con un’affermazione potenzialmente diffamatoria: “Tizio e? un ladro”, e supponiamo che l’autore della pagina abbia scritto semplicemente questo codice:
<html>
<head> <title>Tizio è un ladro</title></head>
<body><DIV ALIGN=CENTER> <A HREF=”http://art624cp.it”>Tizio è un ladro</A>
</DIV>
</body>
</html>
La volontà dell’autore e? chiaramente quella di ottenere questo risultato
Tizio e? un ladro
(cioè una frase priva di enfatizzazioni grafiche, con carattere di normali dimensioni e sottolineatura standard); ma, a seconda delle impostazioni dei browser utilizzati da chi accede alla pagina in questione, il testo puo? apparire cosi?:
Tizio è un ladro
A prescindere dalla valutazione sul merito dell’affermazione, e? evidente che la diversa modalità di visualizzazione del contenuto e? astrattamente idonea a connotare l’intensità del dolo di diffamare. E d’altra parte la giurisprudenza e? da sempre costante nel considerare elemento costitutivo del reato di diffamazione l’impiego di artifici grafici ed enfatizzazioni. Se a questo aggiungiamo che una pagina HTML può essere scritta in modo molto più complesso includendo animazioni, immagini e altri effetti che possono essere, tuttavia, disabilitati dal fruitore del contenuto, ne consegue che la valutazione dell’offensivista di un contenuto implica necessariamente un giudizio di comparazione fra l’apparenza del messaggio voluta dall’autore, e quella della percezione del messaggio da parte del destinatario (sia esso terzo o persona offesa) in funzione delle impostazioni individuali del software utilizzato per la navigazione.
La scelta investigativa, pur avendone la disponibilità, di non procedere al sequestro probatorio di un contenuto digitale può rilevare anche sotto il profilo dell’inattendibilità dei risultati delle attività sotto copertura della polizia giudiziaria che implicano lo scambio di dati con l’indagato o con una terza parte.
In questa ipotesi, l’opzione di affidarsi alla sola fede privilegiata del verbale di polizia giudiziaria anche se redatto con tutti gli accorgimenti tecnici del caso può non essere sufficiente a conferire un adeguato valore probatorio nel dibattimento se non si è in grado di documentare la corrispondenza fra quanto inviato dall’interlocutore all’operatore sotto copertura e quanto da questi ricevuto. È quanto stabili? il Tribunale penale di Civitavecchia con la sentenza 1277/04 nella quale il giudice, assolvendo l’imputato, cosi? ragionava sul tema: «?Va subito precisato che siccome gli agenti operanti non hanno preso adeguate misure volte a garantire l’identità del files oggetto di trasmissione … il perito ha correttamente sottolineato che i files rinvenuti sotto la predetta directory non possono essere identificati in senso tecnico come gli stessi oggetto di trasmissione da parte della p.g., bensì come files di identico contenuto. Tuttavia, essi risultano essere stati creati significativamente nella stessa sequenza e secondo lo stesso intervallo temporale l’uno dall’altro dei files trasmessi dalla p.g., con una discrasia temporale di 25 ore e 3 minuti in piu? rispetto all’ora in cui le immagini sono state inviate?». (Trib. Civitavecchia, sent. 27 ottobre 2004, n. 1277). Anche in questo caso, dunque, ciò che viene in discussione non è la possibilità o meno di applicare una norma giuridica ad un fenomeno tecnologico, ma la robustezza probatoria della scelta tecnica concretamente adottata dagli inquirenti. Per esempio, nel caso cui si riferisce la giurisprudenza citata — scambio di materiale pedopornografico via chat — sarebbe stato sufficiente che l’operatore sotto copertura avesse “marcato” stenograficamente e poi cifrato le immagini che inviava all’indagato (per esempio con il numero del procedimento penale) per fornire la certezza che quanto poi fosse stato sequestrato sarebbe stato esattamente l’oggetto dello scambio.
5. L’acquisizione dei dati di traffico telematico.
Il tema dell’integrità dei dati acquisiti da remoto e della loro attendibilità assume una importanza drammaticamente particolare nel caso dell’acquisizione dei dati di traffico telematico custoditi ex lege dai fornitori di servizi di comunicazione elettronica che offrono ai loro clienti l’accesso alla rete internet.
Come detto supra, i soggetti che gestiscono l’accesso alla rete internet — gli operatori di telecomunicazioni e gli ISP, Internet Service Provider — sono i soggetti che tramite i loro apparati generano i cosiddetti “dati di traffico”, cioè quell’insieme di dati, diversi dal contenuto delle comunicazioni, che documentano aspetti tecnici (data e ora del collegamento, numero IP assegnato all’utente, “chiamate” DNS, SMTP o IMAP, informazioni di geolocalizzazione ecc.) indispensabili per erogare i servizi e gestire eventuali criticità, ma fondamentali per le attività di indagine dell’autorità giudiziaria.
Che i dati di traffico possano essere acquisiti al fascicolo delle indagini è ovvio ed è fuori discussione, ma sullo strumento giuridico e — prima ancora — sulla modalità tecnica da utilizzare è necessario fare qualche considerazione.
I termini del problema sono posti da una risalente, ma ancora attuale, pronuncia di merito del 2005 che valutando l’impatto processuale della (carenza di) documentazione delle attività di acquisizione di dati di traffico telematico presso gli operatori di telecomunicazioni da parte della polizia giudiziaria scrive «?Senonché le indagini non proseguirono con sufficiente approfondimento poiché ci si limito? ad interpellare la ditta senza alcuna formale acquisizione di dati e senza alcuna verifica circa le modalità della conservazione degli stessi allo scopo di assicurarne la genuinità e l’attendibilità nel tempo. … Se a cio? aggiungiamo che questi dati provenivano dalla stessa persona offesa e che trattasi di dati tecnici di particolare delicatezza e manipolabilità ci pare che il dato acquisito sia minimo e del tutto insufficiente a fondare qualsivoglia affermazione di responsabilità al di la? del ragionevole dubbio con la conseguenza che il prevenuto deve essere mandato assolto con la già annunciata formula?». (Trib. Chieti, sent. 2 marzo 2006, n. 175).
Non solo, dunque, la sentenza stigmatizza l’assenza di qualsiasi atto formale da parte dell’autorità e della polizia giudiziaria ma anche — elemento estremamente rilevante, che anticipa i temi posti dal (mancato) rispetto delle prescrizioni imposte dalla l. n. 48/2008 sul modo di acquisire i dati presso gli operatori di telecomunicazioni — la mancata verifica sulle modalità di conservazione degli stessi.
Illuminanti, sul punto, sono le dichiarazioni rese dall’ufficiale di polizia giudiziaria che svolse le indagini “Vijerika”, il primo caso giudiziario italiano di contaminazione da virus informatico (Trib. pen. Bologna, proc. n. 1554/03 RGNR), e in particolare operò sui dati forniti dall’ISP Tiscali a supporto delle indagini.
Nell’esame testimoniale del 27 maggio 2004, a domanda diretta del pubblico ministero, il teste dichiarò (pag. 12 delle trascrizioni): “se si tratta di un decreto di esibizione è il responsabile delle informazioni a cui si chiede l’esibizione che fondamentalmente opera fisicamente sui dati”. Mentre il pubblico ministero, esplorando l’ipotesi del mancato seguito da parte di un ISP all’ordine di esibizione specifica (pag. 13): “in quel caso vi sareste dovuti munire di un decreto di perquisizione da parte del magistrato che superasse la mancata collaborazione all’esibizione?” ottenendo come risposta l’assenso del teste. In concreto però, nel caso specifico, i dati di interesse dell’indagine vennero consegnati direttamente dall’ISP alla Guardia di finanza memorizzati su un CD e, a domanda della difesa formulata all’operante se avesse verificato che quanto era stato fornito dall’operatore corrispondesse a quanto veicolato tramite i server di quest’ultimo, l’operante rispose con un laconico “no”.
Ma — ed è questo il punto centrale della questione — che i dati siano stati acquisiti (all’epoca) con lo “strumento” dell’ordine di esibizione o con quello del sequestro probatorio (come in effetti fu), oppure — oggi — con un “decreto di acquisizione” emesso ai sensi dell’art. 132 del d.lgs. n. 196/2003 che disciplina la conservazione e l’utilizzo dei dati di traffico telematico per fini di giustizia, la sostanza non cambia. L’oggetto del provvedimento non è un documento cartaceo o qualsiasi altra res che può essere semplicemente acquisita, sigillata e allegata al fascicolo. Il reperimento e l’estrazione dei dati di traffico sono attività che richiedono l’accesso a una serie di sistemi informatici, l’esecuzione di una serie di comandi per ricercare le informazioni e poi altre attività tecniche per riversarle su un supporto e consegnarle all’autorità giudiziaria. È vero che oggi queste attività sono pressoché interamente automatizzate, ma non per questo sono a prova di errore: paradigmatico e clamoroso, in questo senso, il caso danese dove trentadue persone sono state scarcerate dopo la scoperta che i dati di traffico utilizzati per processarli erano frutto di un errore del sistema automatizzato che li gestiva (Henley). Dunque, e lo si ripete, quale che sia lo strumento giuridico utilizzato, l’acquisizione dei dati di traffico telematico presso un ISP non può avvenire — come invece accade senza soluzione di continuità dai tempi del “caso Vijerika” — compiendo “atti di fede” verso ciò che viene consegnato. Eppure, come abbiamo visto, c’era ben un giudice a Berlino, anzi, a Chieti, che si era già posto e in tempi non sospetti il problema.
È pur vero, tuttavia, che applicando i principi espressi dalla Corte di cassazione in materia di adozione di misure volte a garantire l’integrità e l’attendibilità dei dati di cui supra, si potrebbero bollare queste considerazioni come inutili. Se non c’è un dies a quo per usare cautele nell’acquisizione dei dati, non ci sono obblighi di seguire particolari pratiche e — soprattutto — non ci sono sanzioni processuali, perché preoccuparsi?
La risposta è che è sbagliata la domanda.
Il problema, infatti, non è solo (o tanto) la questione pur rilevante dell’integrità dei dati acquisiti, ma quello della verifica del modo in cui sono generati. Gli errori giudiziari avvenuti in Danimarca, infatti, sono dipesi dal malfunzionamento dei software di gestione dei dati di traffico che hanno collegato le utenze telefoniche alle celle sbagliate, con ciò rilevando la presenza degli indagati quando, in realtà, si trovavano altrove. Anche se, dunque, la procedura di acquisizione fosse stata ineccepibile, questa avrebbe avuto come conseguenza quella di attestare l’integrità di dati sbagliati. Ed è appena il caso di rilevare che, essendo praticamente impossibile per l’indagato eseguire verifiche del genere, è l’autorità giudiziaria a doversi far garante dell’attendibilità dei dati di traffico, per consentire il corretto esercizio del diritto di difesa.
Un tema strettamente collegato all’acquisizione dei dati di traffico è quello delle conseguenze dell’imposizione della cautela in un momento successivo alla scadenza del termine obbligatorio di conservazione. In linea di principio, infatti, decorso il termine di legge (ora fissato in settantadue mesi) durante il quale i dati in questione devono essere accantonati per dare seguito a eventuali richieste dell’autorità giudiziaria, essi dovrebbero irrimediabilmente finire nel “tritadocumenti informatico”. Molti operatori sono organizzati con sistemi automatici che gestiscono questi adempimenti, ma non è detto che sia così per tutti, e anche quegli ISP che cancellano periodicamente i dati potrebbero averli ancora nei loro sistemi di backup.
Astrattamente, dunque, nulla vieterebbe al pubblico ministero di procedere a un sequestro probatorio invece che all’emissione di un decreto di esibizione ex art. 132 d.lgs. n. 196/2003 e di acquisire i dati in questione. Il problema è stato risolto dalla Corte di cassazione secondo la quale “Sono patologicamente inutilizzabili i dati relativi al traffico telefonico contenuti nei tabulati acquisiti dall’Autorità giudiziaria dopo i termini previsti dall’art. 132 d.lgs. 30 giugno 2003, n. 196, atteso il divieto di conservazione degli stessi da parte del gestore al fine di consentire l’accertamento dei reati oltre il periodo normativamente predeterminato” (Cass. pen., sez. V, sent. 25 gennaio 2016, n. 7265). Benché condivisibilissimo l’orientamento garantista della Corte, non ci si può esimere dal rilevare che la sanzione dell’inutilizzabilità è operativa nella fase dibattimentale e non in quella delle indagini preliminari, per cui nulla impedirebbe al pubblico ministero di procedere comunque al sequestro, salvo limitarsi a trarre dai dati di traffico così acquisiti degli spunti investigativi che non transiteranno nel fascicolo del dibattimento.
Del tutto diversa, a partire dallo strumento giuridico utilizzabile, è la situazione dell’acquisizione dei dati traffico presso soggetti diversi dagli ISP e dagli operatori telefonici.
Pubbliche amministrazioni, enti e aziende private di dimensioni nazionali usano infrastrutture di telecomunicazioni che rivaleggiano con — e in certi casi superano — quelle di molti ISP e anch’esse generano dati di traffico qualitativamente identici a quelli generati dagli ISP per la semplice ragione che sono esattamente gli stessi.
Mentre gli ISP hanno dei doveri di conservazione sicura, questo dovere non esiste per gli altri soggetti che generano e gestiscono dati di traffico, con la conseguenza che anche l’ordine di esibizione non fornirà informazioni di particolare attendibilità.
Come si coniuga, dunque, l’esistenza di strumenti diversi (il decreto di acquisizione ex art.132 d.lgs. n. 196/2003, l’ordine di esibizione e il sequestro probatorio) per ottenere esattamente lo stesso risultato?
La difficoltà di trovare una risposta coerente sta nel fatto che, in realtà, il decreto di acquisizione ex art. 132 d.lgs. n. 196/2003 è una norma inutile.
Anche prima dell’emanazione della l. n. 48/2008, infatti, i dati in questione potevano essere acquisiti tramite lo strumento del sequestro e poi, successivamente all’entrata in vigore della norma, la modifica dell’art. 256 c.p.p. che include anche i dati informatici fra quelli soggetti a ordine di esibizione rendeva i dati di traffico immediatamente ottenibili da parte del pubblico ministero. E nemmeno si potrebbe dire che l’art. 132 del d.lgs. n. 196/2003 sia stato pensato per fornire maggiori garanzie all’indagato vista la natura particolarmente delicata dei dati in questione, perché la norma non prevede particolari cautele e dunque non si potrebbe nemmeno parlare di una qualche forma di rapporto di specialità fra questo articolo e l’art. 256 c.p.p. se non per il fatto che il primo si rivolge ai fornitori di servizi di comunicazione elettronica e il secondo a chiunque.
In realtà, peraltro, né l’art. 132 del Codice dei dati personali né l’art. 256 del Codice di procedura penale dovrebbero essere utilizzati per acquisire dati informatici di qualsiasi tipo dal momento che, come dimostrato supra il problema dell’assicurazione dei dati al procedimento si pone già in fase di loro generazione. E dunque, se il “decreto di acquisizione” o l’ordine di esibizione da un lato e il “sequestro probatorio” sono sostanzialmente identici dal punto di vista dell’esito, differiscono profondamente in termini di garanzie, non essendo prevista, per il primo, la possibilità di impugnare il provvedimento davanti al tribunale del riesame, ma soprattutto non essendoci il benché minimo controllo sull’origine dei dati.
La sensazione persistente — che si manifesta anche a proposito dei dati di traffico — è che le ragioni della scelta di includere i dati di traffico fra quelli apprensibili tramite una “semplice” richiesta del pubblico ministero risponda più ad esigenze pratiche (evitare maggiori costi, ritardi e rischi di errore da parte di personale non adeguatamente formato) piuttosto che a una coerenza sistematica.
Questa sensazione diventa sempre più persistente se si analizza — nella pratica del Foro — il modo in cui vengono materialmente gestiti i decreti di acquisizione di dati di traffico, cioè, a tacer d’altro, tramite invii di posta elettronica (ora, finalmente e almeno) certificata, ma senza verbalizzazioni di compiute operazioni, con provvedimenti che sacrificano il rispetto delle forme sull’altare della velocità. È capitato dunque di trovarsi di fronte ad atti — non solo di acquisizione di dati di traffico — inviati via posta elettronica privi di autorizzazione alla notifica con altro mezzo, di firma digitale del pubblico ministero sul provvedimento o, in alternativa, senza attestazione di conformità da parte del cancelliere della copia informatica all’originale analogico sottoscritto dal magistrato. Sono aspetti ai quali difficilmente i difensori prestano una particolare attenzione ma che — potenzialmente — aprono scenari nuovi sull’utilizzabilità di dati di traffico acquisiti con provvedimenti affetti da vizi formali e in assenza della seppur minima verbalizzazione quanto alle operazioni tecniche e all’interazione con l’ISP.
6. Sequestro preventivo e “oscuramento” di siti web.
Sempre in materia di “apprensione” di dati di traffico, vale la pena di affrontare un tema sul quale una sentenza della III sezione penale della Corte di Cassazione ha fatto oramai calare l’oblio della riflessione ma che non per questo merita di essere condannato alla damnatio memoriae: l’uso del sequestro preventivo per “oscurare” siti web localizzati al di fuori della giurisdizione italiana.
Partiamo da una considerazione generale: il sequestro preventivo di una risorsa di rete si esegue (a prescindere dalle tecnicalità) in un modo solo: facendo sì che i suoi contenuti non siano più messi a disposizione dei terzi, che è cosa diversa dal renderli (parzialmente) irraggiungibili.
Se la risorsa di rete è in Italia, l’esecuzione del decreto ex art. 321 c.p.p. è direttamente esercitabile sul server, se invece l’oggetto della cautela si trova al di fuori della giurisdizione nazionale, per potere eseguire la misura si applicano i protocolli negoziati in sede di accordi di cooperazione fra Stati. E se non ci sono accordi in tal senso, la misura, pur legittimamente emessa, non sarà applicabile, come nel caso del mandato di arresto internazionale spiccato contro un latitante che si trova in un “Paese amico”.
La linearità di questo ragionamento è stata spezzata dal colpo inferto dal GIP di Bergamo che, su richiesta della locale Procura della Repubblica, emise uno “storico” provvedimento che legittimava il “sequestro tramite oscuramento”, poi diventato prassi comune e indiscussa ogni volta che un contenuto illecito si trova al di fuori della portata dell’autorità giudiziaria italiana grazie a una sentenza della III sezione penale della Corte di Cassazione.
6.1.?I fatti.
I fatti sono arcinoti e sintetizzati nell’incipit della sentenza appena citata: «?Con ordinanza emessa in data 1 agosto 2008 … il giudice per le indagini preliminari presso il Tribunale di Bergamo, accogliendo la richiesta del Pubblico Ministero, ordinava il sequestro preventivo del sito web www.thepiratebay.org disponendo altresì che i fornitori di servizi internet (Internet Service Provider) e segnatamente i provider operanti sul territorio dello Stato italiano inibissero ai rispettivi utenti — anche a mente del d.lgs. 9 aprile 2003, n. 70, artt. 14 e 15 — l’accesso all’indirizzo suddetto, ai relativi alias e nomi di dominio rinvianti al sito medesimo.
Il g.i.p. … riteneva sussistere il fumus delicti ed il periculum del reato di cui all’art. 110 c.p. e 171 ter, comma 2, lett. a-bis), cit.. Con ricorso ex art. 324 c.p.p. e successiva memoria i difensori … chiedevano l’annullamento del sequestro preventivo, eccependo il difetto di giurisdizione, l’insussistenza del fumus delicti, nonché la falsa applicazione dell’art. 321 c.p.p. e del d.lgs. n. 70 del 2003, artt. 14 e 15. 2. Con ordinanza del 24 settembre 2008 il tribunale per il riesame di Bergamo, in accoglimento del ricorso, annullava il sequestro preventivo. Il tribunale riteneva la sussistenza del fumus delicti … Il tribunale inoltre riconosceva sussistere anche il periculum …
Osservava poi in diritto che le misure cautelari — e segnatamente i sequestri — secondo l’ordinamento processuale penale hanno carattere di numerus clausus; … che il sequestro preventivo ha una evidente natura reale, in quanto si realizza con l’apposizione di un vincolo di indisponibilità sulla res, sottraendo il bene alla libera disponibilità di chiunque; che dunque l’ambito di incidenza del sequestro preventivo deve essere ristretto alla effettiva apprensione della cosa oggetto del provvedimento. Invece nella specie — riteneva il tribunale – la censurata ordinanza del g.i.p. aveva il contenuto di un ordine imposto dall’Autorità Giudiziaria a soggetti (allo stato) estranei al reato, volto ad inibire, mediante la collaborazione degli stessi, ogni collegamento al sito web in questione da parte di terze persone. Tale misura cautelare, seppur astrattamente in linea con la previsione del d.lgs. n. 70 del 2003, artt. 14 e 15, si risolveva in una inibitoria atipica, che spostava l’ambito di incidenza del provvedimento da quello reale, proprio del sequestro preventivo, a quello obbligatorio, in quanto indirizzato a soggetti determinati (i c.d. provider), ai quali veniva ordinato di conformare la propria condotta (ossia di non fornire la propria prestazione), al fine di ottenere l’ulteriore e indiretto risultato di impedire connessioni al sito in questione.” (Cass. pen., sez. III, sent. 29 settembre 2009, n. 49437).
6.2.?La teorizzazione del sequestro come “oscuramento” e la scorciatoia dell’inibitoria ex d.lgs. 70/2003.
Ora, la Cassazione distingue — correttamente — il sequestro preventivo ex art. 321 c.p.p. dall’inibitoria generica e atipica d.lgs. 9 aprile 2003, n. 70, artt. 14 e 16 ma spicca un salto logico — e dunque commette un non sequitur — quando fa derivare dalla (corretta) affermazione della giurisdizione italiana dal punto di vista sostanziale, la conseguenza che la misura cautelare possa essere eseguita — tout-court — al di fuori dei confini nazionali.
Anzi, in realtà, la Cassazione svolge un ragionamento diverso, così strutturato: ritiene sussistente la giurisdizione italiana sulla base del principio di ubiquità dell’azione penale (corretto), ritiene pertanto valido il decreto di sequestro preventivo emesso dal GIP (corretto) ma poi, errando, attribuisce all’inibitoria atipica ex d.lgs. n. 70/2003 il potere di rendere efficace la misura. In altri termini, siamo di fronte a una situazione per la quale il decreto di sequestro preventivo è stato regolarmente emesso, ma non eseguito nelle forme previste dagli accordi di cooperazione internazionale (come ad esempio accade con il d.lgs. 15 febbraio 2016, n. 35 sull’esecuzione nella UE dei provvedimenti di blocco di beni o di sequestro probatorio) fondando l’ordine impartito agli ISP di intercettare tutto il traffico dei loro clienti sul d.lgs. n. 70/2003. È come se, dunque, percorrendo una strada, ci trovassimo di fronte a un’interruzione e saltassimo sulla strada parallela che non ha alcuna bretella di collegamento.
Dove la sentenza commette una evidente forzatura è quando afferma che «?il giudice può disporre il sequestro preventivo del sito web il cui gestore concorra nell’attività penalmente illecita di diffusione nella rete Internet di opere coperte da diritto d’autore, senza averne diritto, richiedendo contestualmente che i provider del servizio di connessione Internet escludano l’accesso al sito al limitato fine di precludere l’attività di illecita diffusione di tali opere?».
In realtà non c’è alcuna relazione fra l’art. 321 c.p.p. e gli artt. 14 e 16 d.lgs. n. 70/2003 che non sono — e non possono essere — una “modalità di esecuzione” del sequestro preventivo.
Giova ripetere ad nauseam quanto detto in apertura di questo paragrafo: se il sequestro preventivo riguarda una risorsa di rete italiana, allora non ci sono alternative all’intervento materiale sui dati che si può realizzare in vari modi (cifratura dei dati — vedi quanto disposto nel 1998 dalla Procura di Pescara, duplicazione degli stessi e poi rimozione dalla risorsa di rete, sequestro del supporto che li contiene e via discorrendo). Se, invece, l’oggetto della cautela è al di fuori della giurisdizione italiana, dovranno essere eseguite le medesime attività ma nelle forme previste dagli accordi di cooperazione internazionale e dunque non c’è bisogno di ricorrere ad altri istituti. Diversamente, ove pure legittimamente emesso, il provvedimento è semplicemente ineseguibile come nel caso del mandato di arresto nei confronti di soggetto localizzato in un Paese che non ha sottoscritto un trattato di estradizione con l’Italia.
6.3.?I rapporti fra “sequestro”, “filtraggio” e “inibitoria”.
Quanto all’inibitoria ex d.lgs. n. 70/2003 — che, lo si ripete, è istituto diverso dal sequestro preventivo — ci si deve porre il problema se sia effettivamente un aliquid novi e quale sia la sua utilità in ambito cautelare e preventivo.
Il fondamento dell’inibitoria invocata dalla sentenza della Corte di cassazione e dai provvedimenti soggetti al suo sindacato è l’art. 12 della “Direttiva e-commerce” che, al comma 3 stabilisce per le attività di mero trasporto (e dunque proprio quelle esercitate dagli ISP) che «?Il presente articolo lascia impregiudicata la possibilità, secondo gli ordinamenti degli Stati membri, che un organo giurisdizionale o un’autorità amministrativa esiga che il prestatore impedisca o ponga fine ad una violazione?».
Il legislatore italiano — come spesso accade in questi casi — ha recepito supinamente l’art. 12 della direttiva con l’art. 14 del d.lgs. n. 70/2003 che al comma 3 recita: «?L’autorità giudiziaria o quella amministrativa avente funzioni di vigilanza può esigere anche in via d’urgenza, che il prestatore, nell’esercizio delle attività di cui al comma 2, impedisca o ponga fine alle violazioni commesse?». Ma non si è posto — come pure avrebbe dovuto — il problema di vedere se l’ordinamento interno contenesse già norme che soddisfacevano i desiderata comunitari.
Se lo avesse fatto, avrebbe “scoperto” che la norma c’era già ed era, appunto, il sequestro preventivo, cioè lo strumento cautelare reale che l’autorità competente italiana deve usare per impedire il protrarsi dell’esecuzione del reato e dei suoi effetti.
Nel caso dell’Italia, quell’inibitoria prevista in senso generale ed astratto dalla Direttiva e-commerce – quantomeno rispetto alla necessità che si “ponga fine ad una violazione” — non aveva bisogno di essere considerata come istituto autonomo essendo già presente il rimedio che raggiunge lo scopo fissato dalla direttiva. Altro discorso è quello dell’impedimento — cioè dello svolgimento di attività preventive generalizzate, non di competenza del potere giudiziario — che è stato posto in essere tramite l’emanazione di norme specifiche dirette a realizzare, in via amministrativa, il “filtraggio” sistematico del traffico di rete in modo da impedire la raggiungibilità di dati e informazioni localizzati all’estero.
Questa attività di “filtraggio” è esclusivamente tipizzata dai commi 535 e 536 dell’art. 1 l. n. 266/2005 e dal relativo provvedimento del Ministero delle finanze del 7 febbraio 2006 (“Rimozione dei casi di offerta in assenza di autorizzazione, attraverso rete telematica, di giochi, lotterie, scommesse o concorsi pronostici con vincite in denaro”), dall’art. 14-quater l. n. 269/1998 come modificato dall’art. 19 l. n. 38/2006 (“Disposizioni in materia di lotta contro lo sfruttamento sessuale dei bambini e la pedopornografia anche a mezzo Internet”) e dall’art. 36, comma 2-terdecies, l. n. 58 del 28 giugno 2019 (“Decreto crescita” che attribuisce alla CONSOB il potere di ordinare l’oscuramento di siti che esercitano abusivamente attività di offerta di servizi finanziari). Nessuna delle norme richiamate, aventi carattere speciale e dunque sottratte ad interpretazioni analogiche, considera il filtraggio come equivalente al sequestro preventivo perché il loro scopo è esclusivamente impedire la raggiungibilità di una risorsa di rete che resta peraltro accessibile dagli altri Paesi e — con gli opportuni escamotage tecnici – rimane tale anche dall’Italia.
Siamo dunque di fronte a due finalità diverse (impedimento della prosecuzione di un illecito da un lato e prevenzione della sua commissione, dall’altro) sorrette da norme diverse che implicano modalità esecutive differenti e non sovrapponibili né interscambiabili, nessuna delle quali finalità può essere perseguita tramite l’applicazione dell’art. 14 del d.lgs. n. 70/2003 che dunque non può essere applicato direttamente, senza una “norma di copertura”.
6.4.?Inapplicabilità al sequestro preventivo delle modalità tecniche di esecuzione del filtraggio.
Abbiamo dunque concluso che, in applicazione dei principi fissati dalla Direttiva e-commerce la finalità preventiva è perseguita tramite l’emanazione di norme che stabiliscono il filtraggio del traffico di rete e la finalità repressiva è garantita dal sequestro preventivo.
Da un punto di vista operativo, però, resta da capire se le modalità esecutive dei filtraggi siano “riutilizzabili” anche per l’applicazione della misura cautelare oppure no.
In termini strettamente tecnici, l’inibizione della raggiungibilità di una risorsa di rete alla quale non si può accedere fisicamente si può realizzare in almeno tre modi. Il primo è intervenire sulle “chiamate” ai server dei Domain Name System. Come è noto, quando un utente digita il nome a dominio del sito che intende raggiungere, questo implica interrogare un’anagrafica (il server DNS, appunto) che indirizza la navigazione verso la risorsa di rete il cui numero IP è associato al nome a dominio richiesto. Se, come accade, si impone agli operatori internet di non “risolvere” il nome a dominio oggetto di cautela, l’utente non potrà raggiungere il sito richiesto.
Un’operazione analoga può essere ordinata sui numeri IP che identificano fisicamente il server che ospita i contenuti oggetto di cautela. Il problema del blocco a livello IP è che così facendo si bloccano anche tutti gli altri servizi — appartenenti a terzi estranei alle indagini — i cui server condividono il numero IP in questione (essendo i numeri IP una risorsa progressivamente sempre più scarsa, è stata sviluppata una tecnologia che consente di associare differenti nomi a dominio allo stesso numero IP).
Sia il blocco a livello DNS, sia quello sul numero IP presentano la difficoltà di non poter bloccare selettivamente i contenuti di una risorsa di rete. Funzionano, in altri termini, sulla base del principio “tutto o niente”.
Discorso diverso vale per il blocco eseguito tramite sistemi di deep packet inspection che eseguono un controllo granulare dei contenuti che transitano sulla rete e che, quindi, consentono di bloccare selettivamente quanto di interesse.
Tutti e tre questi metodi presuppongono, a vario livello di “profondità” una forma di “intercettazione” e controllo di merito sull’attività di tutti gli utenti della rete internet italiana.
Ora, se la finalità è tout-court quella di rendere irraggiungibile un’informazione memorizzata altrove, come nel caso dei filtraggi preventivi, il modo di procedere appena descritto è sufficiente a realizzare le finalità preventive stabilite dalle singole normative richiamate (e dunque non dall’art. 14 del d.lgs. n. 70/2003).
Se, invece, la finalità è quella di impedire il protrarsi del reato tramite un decreto ex art. 321 c.p.p, e invece di procedere a un sequestro “canonico” si volessero utilizzare gli stessi strumenti tecnici previsti per il filtraggio dimenticandosi dell’indicazione del Consiglio d’Europa sulla distinzione fra sequestro e intercettazione di dati in transito (supra), non ci si potrebbe limitare al solo monitoraggio continuo dell’attività degli utenti, ma si dovrebbe procedere con il sequestro preventivo del traffico internet diretto verso la risorsa di rete in questione, disponendo che la misura cautelare sia notificata ai terzi che la subiscono a loro insaputa e che i dati sequestrati siano conservati ai fini della loro restituzione, in caso di gravame.
Oltre a queste conseguenze — destabilizzanti, forse, ma non certo paradossali — bisogna pure considerare che intercettare i tentativi di connessione a una risorsa di rete tramite la quale si sta commettendo un reato dovrebbe implicare l’estensione della qualità di indagati anche a tutti i soggetti che tentano il collegamento e i cui dati di traffico sarebbero però acquisiti preventivamente e senza titolo.
E tutto questo, al prezzo di quali investimenti in termini di persone, mezzi e carico giudiziario?
Come non comprendere, allora, la posizione espressa dall’ufficiale di polizia giudiziaria interrogato nel Caso Vijerika, quando alla domanda se avessero verificato l’effettiva contrazione del virus informatico da parte dei novecento computer indicati nel capo di imputazione, rispose (pag. 64 delle trascrizioni già citate) “L’interazione col Pubblico Ministero in quel periodo non consentiva una cosa del genere perché avremmo dovuto fare novecento decreti differenti di acquisizione di IP che avrebbe comportato una spesa per la Procura.”
Già: l’esecuzione di attività a garanzia del diritto di difesa avrebbe comportato una spesa per la Procura che — evidentemente — la Giustizia non poteva permettersi.
7. Conclusioni.
Il tema che emerge con una certa costanza dalla ricostruzione operata in queste pagine è che gli istituti del Codice di procedura penale diretti all’acquisizione probatoria sono stati pensato per un mondo in cui non esistevano “oggetti” immateriali, separabili e replicabili dal loro corpus mechanicum ed è dunque caratterizzato dall’ablazione del bene tangibile nei cui confronti è emesso il provvedimento.
Il fatto nuovo — e che, pure, quando venne approvato il Codice Vassalli, sarebbe stato possibile antivedere da tutti invece che da qualche illuminato precursore — è stato la disponibilità di una tecnologia che consentiva e consente, da un lato, la separazione del corpus mysticum dal corpus mechanicum, dall’altro la replicabilità in infinite copie del contenuto rappresentativo originario e, dall’altro ancora, generava un’intrinseca volatilità del processo di duplicazione che non forniva automatica garanzia — per lo meno in termini giuridici — che il clone fosse “conforme all’originale”. Il che ha dato nuova attenzione a temi come la necessità di rispettare una corretta “catena di custodia” e le conseguenze processuali della mancata osservanza della “catena del freddo” nella gestione dei reperti informatici con il sempiterno dibattito che vede contrapposti i sostenitori dell’inutilizzabilità di dati e informazioni assicurate al processo in assenza del rispetto di best practice nell’esecuzione del sequestro informatico e delle successive analisi a quelli che, invece, propendono per una meno afflittiva (dal punto di vista dell’inquirente) attendibilità.
Curiosamente, nel caso dei dati informatici la giurisprudenza ha liquidato sommariamente il tema dell’impatto processuale delle modalità tecniche di esecuzione del sequestro probatorio e delle fasi successive, affermando — nel primo caso giudiziario riguardante la diffusione di un virus informatico «?che non e? compito di questo Tribunale determinare un protocollo relativo alle procedure informatiche forensi, ma semmai verificare se il metodo utilizzato dalla p.g. nel caso in esame abbia concretamente alterato alcuni dei dati ricercati. In altre parole, non e? permesso al Tribunale escludere a priori i risultati di una tecnica informatica utilizzata a fini forensi solo perché alcune fonti ritengono ve ne siano di piu? scientificamente corrette, in assenza della allegazione di fatti che suggeriscano che si possa essere astrattamente verificata nel caso concreto una qualsiasi forma di alterazione dei dati e senza che venga indicata la fase delle procedure durante la quale si ritiene essere avvenuta la possibile alterazione. In termini generali, quando anche il metodo utilizzato dalla p.g. non dovesse ritenersi conforme alla migliore pratica scientifica, in difetto di prova di una alterazione concreta, conduce a risultati che sono, per il principio di cui all’art. 192 c.p.p., liberamente valutabili dal giudice alla luce del contesto probatorio complessivo (fermo restando che maggiore e? la scientificità del metodo scelto, minori saranno i riscontri che il giudice e? chiamato a considerare per ritenere attendibili gli esiti delle operazioni tecniche)?» (Trib. Bologna, sent. 21 luglio 2005, n. 1823 e, conforme App. Bologna, sez. II penale, sent. 30 gennaio 2008, n. 369).
È solo con l’approvazione della l. n. 48/2008 che recepisce la Convenzione di Budapest sul crimine informatico, che l’orientamento inizia a cambiare: “non esiste, ad oggi,” — scrive la Cassazione — “uno standard prestabilito per la metodologia di trattamento ed analisi delle prove informatiche, in relazione alle quali l’unico principio cogente è quello relativo al mantenimento della integrità e non alterazione delle tracce fisiche dei dati informatici, i quali devono essere acquisiti al processo ed analizzati attraverso la copia degli stessi ottenuta tramite una procedura che ne assicuri la conformità. Tali principi sono stati ora inseriti nel codice di procedura penale con la modifica all’art. 244 c.p.p., comma 2 e la nuova fattispecie di cui all’art. 254-bis c.p.p., introdotte dalla l. 18 marzo 2008, n. 48 che ha ratificato la Convenzione Cybercrime del Consiglio d’Europa. (Cass. pen., sez. feriale, sent. 6 settembre 2012 n. 44851). Questa sentenza è certamente rilevante perché pone il tema dell’utilizzo obbligatorio di metodologie tecniche per garantire integrità e non alterazione delle tracce informatiche, e questo a prescindere — contrariamente alla giurisprudenza bolognese citata — dall’obbligo di dimostrare effettive manipolazioni (anche) accidentali sui dati in sequestro.
Per quanto importante, tuttavia, la decisione non compie l’ultimo e decisivo passo per arrivare al traguardo: definire quale sia la sanzione processuale per il mancato rispetto delle procedure e riconoscere il valore processuale del rispetto degli standard internazionali di settore.
È la sentenza della V sezione penale sul famoso “caso Amanda Knox” a compiere questo ultimo sforzo per raggiungere l’obiettivo: «?Si tratta […] di accertare quale valenza processuale possano assumere gli esiti dell’indagine genetica svolta in un contesto di accertamenti e rilievi assai poco rispettosi delle regole consacrate dai protocolli internazionali e da quelle cui, ordinariamente, deve ispirarsi l’attività di ricerca scientifica … cristallizzando i risultati di collaudate conoscenze, maturate in esito a ripetute sperimentazioni e significativi riscontri statistici di dati esperenziali, quelle regole compendiano gli standard di affidabilità delle risultanze dell’analisi, … Diversamente, al dato acquisito non potrebbe riconnettersi rilevanza alcuna, neppure di mero indizio … nonostante l’osservanza delle forme di cui all’art. 360 del codice di rito, il dato acquisito — non ripetuto o non suscettibile di ripetizione per una qualsiasi ragione — non può assumere rilievo ne? probatorio ne? Indiziario, proprio perché, secondo le menzionate leggi della scienza, necessitava di validazione o falsificazione?». (Cass. pen., sez. V, sent. 25 marzo 2015, n. 1105).
Anche se questa decisione fa astrattamente salva l’utilizzabilità nel dibattimento dei dati acquisiti in violazione delle migliori metodologie disponibili in un dato momento storico — e dunque non irroga una sanzione processuale — ha quantomeno l’effetto di privare di qualsiasi valore di attendibilità ai dati in questione. E dunque non possono non condividersi le parole di illustre dottrina che, commentando questa sentenza ma facendo osservazioni che assumono un valore generale: «?Nella vicenda Kercher, oltretutto, si può osservare un fenomeno ricorrente nei giudizi ad alto contenuto tecnologico: la riluttanza dei giudici del merito a dichiarare irricevibili le evidenze che siano state raccolte in violazione delle precauzioni atte ad evitare possibili contaminazioni della scena del crimine. Una forma di sottovalutazione delle regole a salvaguardia dell’integrità e della genuinità della prova, frutto di una interpretazione non corretta del principio del libero convincimento del giudice?». (Lupária).
Possibly Related Posts:
- Chi ci protegge dal dossieraggio tecnologico?
- Webscraping e Dataset AI: se il fine è di interesse pubblico non c’è violazione di copyright
- Perché Apple ha ritirato la causa contro la società israeliana dietro lo spyware Pegasus?
- Le sanzioni UE ad Apple e Google aprono un altro fronte nella guerra contro Big Tech (e incrinano quello interno)
- La rottura tra Stati e big tech non è mai stata così forte