Per la Cassazione la risposta è “ni”. Una sentenza si occupa dei limiti del diritto al segreto degli inquirenti sui metodi tecnologici utilizzati nelle indagini online e di quelli del diritto di difesa dell’indagato di conoscere in che modo sono state raccolte le prove a suo carico. Ma i problemi aperti sono molti di più di quelli risolti di Andrea Monti – inizialmente pubblicato su Wired.it
La sentenza 44154/23 emessa dalla sesta sezione penale della Corte di cassazione e resa pubblica il 2 novembre 2023 torna ad occuparsi nuovamente della validità delle prove raccolte dalle autorità inquirenti (francesi, nel caso di specie) utilizzando tecniche di malicious hacking, senza dare la possibilità agli imputati di sapere come siano stati ottenuti i dati in questione. La Corte ha dunque ribadito il principio di diritto in base al quale un indagato deve poter conoscere non solo le prove a carico, ma anche il modo in cui sono state raccolte. Sembrerebbe una buona notizia, ma come spesso accade, il diavolo è nei dettagli e alla regola segue subito una macroscopica eccezione che contraddice quanto appena affermato.
Facendo propria una decisione della Corte europea dei diritti umani la Cassazione ribalta il principio e afferma che il diritto a conoscere anche il “come” sono state raccolte le prove digitali non è assoluto “potendo rendersi necessario un suo bilanciamento con interessi concorrenti, quali la sicurezza nazionale o la necessità di mantenere segreti i metodi di indagine dei reati da parte della polizia.”
Decodificando la tecnicità del linguaggio giuridico, il senso abbastanza evidente di questa frase è che da un certo momento in poi (ma quale?) il processo penale torna al modello dell’inquisizione: l’accusato viene messo di fronte a fatti che non ha il diritto di contestare ma dei quali può soltanto giustificarsi, se ci riesce.
Questo è ciò che accade quando si consente l’ingresso delle attività di intelligence (che, appunto, riguardano la sicurezza nazionale) in un procedimento giudiziario il cui obiettivo invece è —o dovrebbe essere— la sola individuazione e punizione degli autori di un reato. In altri termini, i processi penali non sono materia per i servizi segreti e dunque dovrebbero essere celebrati, come dice la legge, “in nome del Popolo italiano” e non “dell’interesse dello Stato”, dell’esecutivo di turno o, peggio, del “greater good”.
Il problema è la crittografia
Le origini di questa sentenza (e di molte altre, non solo in Italia) vanno ricercate nel “Caso Sky ECC” e, prima ancora, in quello “Encrochat”, due piattaforme di messaggistica criptata gestite tramite smartphone appositamente modificati, la cui sicurezza è stata violata fra il 2017 e il 2021 dalle autorità franco-olandesi.
La decrittazione di un’enorme quantità di messaggi circolati nell’ambito di attività criminali, ha consentito l’apertura di numerosissime indagini penali in vari Paesi a carico di persone sospettate di essere parte di organizzazioni criminali anche transnazionali. Ad oggi, però, non è ancora chiaro, al pubblico ma soprattutto agli indagati, il modo in cui le autorità sono riuscite ad ottenere accesso ad informazioni, ed è proprio questo il punto (estremamente) critico della vicenda, peraltro facilmente prevedibile e previsto.
Il segreto delle indagini tecnologiche
Nel Caso Encrochat le autorità inquirenti transalpine, con l’aiuto dei servizi segreti e di una norma che consente di non rivelare le tecniche utilizzate. In questo modo, hanno preso il controllo dei server basati in Francia con i quali venivano gestiti gli update delle app di messaggistica sicura, e hanno installato un finto aggiornamento che conteneva in realtà un malware per accedere in chiaro alle comunicazioni. Invece, su come sia stato possibile rompere la sicurezza di Sky ECC non ci sono informazioni attendibili. Non solo gli inquirenti stranieri non hanno reso disponibili (quantomeno) ai difensori italiani le informazioni indispensabili per capire se i dati raccolti fossero attendibili o non alterati, ma nemmeno i pubblici ministeri italiani si sono posti il problema di chiedere queste informazioni.
Conseguenze e conclusioni
È ovvio che gli inquirenti debbano fare di tutto per essere un passo avanti rispetto alla criminalità ed è anche comprensibile che non vogliano far conoscere i sistemi di indagine, ma questo non vuol dire che questo si possa fare. In Italia non è infatti previsto, a differenza di quanto accade in Francia, che si possa tenere nascosto il contributo “tecnico” dei servizi segreti (che, in realtà, nemmeno dovrebbero essere parte dell’attività giudiziaria).
Ma allora come è possibile che la Cassazione abbia deciso in questo modo?
La risposta è proprio nei casi Encrochat e Sky ECC. Essi sono gli antesignani di una tendenza che, negli anni successivi, si sarebbe manifestata con maggiore visibilità: quella di coinvolgere nelle indagini giudiziarie anche altri apparati dello Stato (difesa e intelligence), entità a-nazionali e addirittura soggetti privati abbattendo qualsiasi confine fra i diversi poteri dello Stato e fra questi e il settore privato.
È quello che è successo, per esempio, nel 2021 con il caso ReVIL, dove l’indagine giudiziaria per scoprire i responsabili di una massiccia campagna ransomware ha coinvolto oltre al FBI (l’ente che negli USA si occupa dei crimini federali), anche l’intelligence (che con i processi c’entra poco), la difesa (che c’entra ancora meno), le immancabili likeminded country, e anche soggetti privati il cui ruolo sarebbe stato di supporto tecnico.
In concreto, dunque, gestendo in modo oculato il “chi” fa “cosa” —cioè lasciando ad entità diverse da quelle inquirenti i compiti più delicati o invocando la “sicurezza nazionale”— molto di quello che è stato fatto in un’indagine potrebbe non venire mai a conoscenza di chi la subisce (problema che, detto per inciso, si accentuerà in Italia a causa del recente decreto legislativo che autorizza le forze di polizia giudiziaria a compiere atti di malicious hacking, compresa la distruzione di informazioni).
Dunque e in sintesi, come ricorda la Cassazione, non sarebbe poi così automatico esercitare il diritto di sapere per applicare quello di potersi difendere. Peccato però, che salva qualche modifica dell’ultim’ora, potersi difendere sarebbe ancora un diritto riconosciuto e tutelato dalla Costituzione come inviolabile. Ma solo sulla carta, evidentemente.
Possibly Related Posts:
- Chi ci protegge dal dossieraggio tecnologico?
- Perché Apple ha ritirato la causa contro la società israeliana dietro lo spyware Pegasus?
- Le sanzioni UE ad Apple e Google aprono un altro fronte nella guerra contro Big Tech (e incrinano quello interno)
- La rottura tra Stati e big tech non è mai stata così forte
- Le accuse mosse a Pavel Durov mettono in discussione la permanenza in Europa di Big Tech