Intercettazione telefonica 2. Trojan

Abstract

La sempre più rapida ed imprevedibile evoluzione tecnologica nelle dinamiche sociali ha posto una serie di interrogativi in merito all’utilizzo di strumenti particolarmente avanzati sotto il profilo tecnico e dalle rilevanti potenzialità investigative anche all’interno del processo penale. Nell’ultimo periodo, infatti, l’ampio ricorso ai cd. “captatori informatici” ha ottenuto larga eco sia nella giurisprudenza (di legittimità e di merito) che nel mondo accademico alla luce delle sue indubbie ricadute in termini di compressione delle libertà costituzionali che il mezzo comporta e del ruolo di supplenza normativa spesso demandato agli organi giurisdizionali. Acquista rilevanza, in tale contesto, una recente pronuncia delle Sezioni Unite intervenute per la prima volta a disciplinare l’utilizzo dei software, da parte degli organi inquirenti, attraverso il richiamo alla disciplina delle intercettazioni.

Aspetti tecnici ed operativi

Il captatore informatico (noto anche come “trojan” o “agente intrusore”) rappresenta uno degli ultimi traguardi del settore tecnologico d’avanguardia, adottato con sempre maggior frequenza dagli organi inquirenti durante la fase investigativa quale “nuovo” mezzo di ricerca della prova – non codificato (si veda più in generale Intercettazione telefonica 1. Presupposti e procedure).

Si tratta di un programma informatico che viene installato in un dispositivo del tipo target (un computer, un tablet o uno smartphone), di norma a distanza ed in modo occulto, spesso attraverso l’invio di mail, sms o applicazioni di aggiornamento ed è costituito da due moduli principali: il primo (server) è un programma di piccole dimensioni che infetta il dispositivo bersaglio; il secondo (client) è l’applicativo che il virus usa per controllare detto dispositivo.

I programmi che agiscono con le suddette modalità sono, nel gergo informatico, definiti “malware” (abbreviazione di malicius software) e sono notoriamente contraddistinti da eccezionali capacità propagative. Tuttavia, contrariamente rispetto a ciò che accade con i “classici” virus, i Trojan non possiedono tale vis espansiva. Essi, infatti, si limitano ad eseguire le istruzioni impartite dal controller ai fini dello svolgimento di varie attività e precisamente:

a) captare tutto il traffico dati in arrivo o in partenza del dispositivo “infettato” (navigazione e posta elettronica, sia web mail che outlook);

b) attivare il microfono e, dunque, apprendere per tale via i colloqui che si svolgono nello spazio che circonda il soggetto che ha la disponibilità materiale del dispositivo, ovunque si trovi, comportandosi come una microspia ambientale;

c) attivare la web camera, permettendo di carpirne le immagini;

d) perquisire l’hard disk e fare copia, totale o parziale, delle unità di memoria del sistema informatico bersaglio;

e) decifrare tutto ciò che viene digitato sulla tastiera collegata al sistema (keylogger) e visualizzare ciò che appare sullo schermo del dispositivo ospitante (screenshot);

f) leggere ed archiviare tutte le chat relative ai sistemi di messaggistica istantanea (quali Whatsapp, Telegram, Skype, Instangram e molti altri);

g) leggere ed archiviare la rubrica dei contatti memorizzati sul dispositivo e l’elenco delle chiamate;

h) attivare la funzione di localizzazione del dispositivo;

i) sfuggire agli antivirus in commercio.

I dati raccolti sono trasmessi, per mezzo della rete internet, in tempo reale o ad intervalli prestabiliti ad altro sistema informatico in uso agli investigatori. Il sistema descritto, come agevolmente comprensibile, è molto utile per lo svolgimento delle indagini (per le quali apre notevoli prospettive) ma impone un difficile bilanciamento con la garanzia dei diritti individuali di coloro nei cui confronti viene adottato.

La giurisprudenza europea

Con sentenza del 20 aprile 2016, la Corte costituzionale tedesca è tornata ad affrontare il tema dei limiti alle investigazioni compiute con strumenti di sorveglianza occulta ed in particolare dell’impiego di mezzi informatici che permettono l’acquisizione di dati “da remoto”, dichiarando l’incostituzionalità di alcune disposizioni della legge federale denominata "Bundeskriminalamtgesetz – BKAG”.

È stato sostenuto, infatti, che il ricorso a misure di sorveglianza occulte per la protezione della società contro le minacce del terrorismo internazionale, in linea di principio compatibile con i diritti fondamentali riconosciuti all’individuo dalla Costituzione, viola sotto taluni aspetti, il principio di proporzionalità alla cui stregua va compiuto il bilanciamento tra poteri pubblici e prerogative individuali.

Questa decisione segue un’altra pronuncia della stessa Corte tedesca, del 27 febbraio 2008, con cui era stata censurata la norma della legge sulla protezione della Costituzione del Nord Reno-Westfalia che legittimava l’organismo di intelligence – di derivazione governativa – al monitoraggio nonché all’accesso segreto ai sistemi informatici collegati in rete, consentendone la relativa intercettazione occulta. Pur non venendo esclusa radicalmente l’ammissibilità di tale strumento d’indagine, già all’epoca furono ritenute insufficienti le garanzie costituzionali a tutela della segretezza delle comunicazioni e dell’inviolabilità del domicilio. Per la prima volta nel panorama giuridico europeo, inoltre, veniva riconosciuta l’esistenza di un nuovo diritto costituzionale: il «diritto fondamentale alla garanzia dell’integrità e della riservatezza dei sistemi informatici», inteso come espressione del più generale «diritto alla dignità» dell’individuo-utente. Il ricorso a nuove forme di investigazione tecnologica, dunque, implica necessariamente un bilanciamento, da compiere a livello legislativo, con eventuali interessi contrapposti, a partire dai diritti fondamentali dell’individuo.

Nella sentenza del 20 aprile 2016, la Corte ha così ribadito che tale comparazione debba essere condotta in forza del principio di proporzionalità, in base al quale i poteri investigativi che incidono in maniera profonda sulla vita privata vanno limitati dalla legge alla tutela di interessi sufficientemente rilevanti nei casi in cui sia prevedibile un pericolo sufficientemente specifico a danno dei medesimi.

Precedenti storici

Già a partire dal 2009, con la sentenza Virruso (Cass. pen., 14.10.2009, n. 16556), era stato affrontato il tema relativo alla installazione di software in grado di memorizzare files esistenti nella memoria di un personal computer e di registrare in tempo reale tutti quelli elaborandi. Attività ritenuta non inquadrabile nel novero di quelle previste dall’art. 266 bis c.p.p. per difetto di trasmissione e/o trasferimento delle informazioni da una fonte emittente ad una ricevente secondo la logica del dialogo delle comunicazioni in corso all’interno di un sistema o tra più sistemi informatici e telematici (Cass. pen., S.U., 23.2.2000, n. 6). L’attività di acquisizione e copia dei documenti memorizzati sull’hard disk dell’apparecchio veniva, dunque, classificata non come “flusso di comunicazioni” quanto, piuttosto, come “relazione operativa tra microprocessore e video del sistema elettronico” – ossia come “flusso unidirezionale di dati” confinato all’interno dei circuiti del personal computer - riconducibile al concetto di prova atipica.

Successivamente, con la sentenza Musumeci del 2015 (Cass. pen., 26.5.2015, n. 27100), la sesta sezione penale, alla luce dell’evoluzione tecnologica in atto ed in considerazione delle nuove e diverse funzionalità dei captatori informatici, ha affermato in merito alla attivazione – da remoto – del microfono e della telecamera del dispositivo elettronico in uso all’indagato, la necessità di ricomprendere le operazioni de quibus nel novero delle intercettazioni ambientali secondo la disciplina dettata dall’art. 266, co. 2, c.p.p.

Tuttavia, la corretta esegesi della norma costituzionale di cui all’art. 15 Cost. osta all’attribuzione di una latitudine operativa dell’art. 266, co. 2, c.p.p. così ampia da ricomprendervi intercettazioni ambientali effettuate in “qualunque luogo” (non meglio specificato). Le norme che prevedono la possibilità di intercettare comunicazioni fra presenti sono, infatti, di stretta interpretazione, ragion per cui non può considerarsi giuridicamente corretto attribuire alla disposizione codicistica una portata così estesa da includere la possibilità di una captazione esperibile ovunque il soggetto si trovi. Viceversa, l’unica opzione interpretativa compatibile con il dettato costituzionale è quella secondo la quale l’intercettazione ambientale deve avvenire in luoghi ben circoscritti e individuati ab origine. Nel caso del software inoculato nel dispositivo bersaglio, invece, la tecnica di captazione aggiungerebbe un quid pluris rispetto alle ordinarie potenzialità dell’intercettazione: i.e. la possibilità di acquisire segretamente i dialoghi tra presenti senza limitazioni di luogo. Ciò renderebbe il materiale captato inutilizzabile in ogni stato e grado del procedimento.

Soltanto di recente, la Corte, modificando la sua pregressa impostazione, ha mostrato una maggior apertura nell’utilizzo del captatore informatico a fini investigativi superando così gli ostruzionismi nati in seno alla sua stessa giurisprudenza.

Ordinanza di rimessione alle Sezioni Unite e memorie della procura

Con ordinanza del 10.3.2016, n. 13884 la sesta sezione penale della Corte di cassazione – non condividendo pienamente le conclusioni raggiunte dalla sentenza n. 27100/2015 citata – ha rimesso due diverse questioni alle Sezioni Unite per scongiurare eventuali futuri contrasti interpretativi su una materia dall’alto contenuto costituzionale. In particolare si è chiesto di valutare:

a) se il decreto che dispone l’intercettazione di conversazioni o comunicazioni attraverso l’installazione in congegni elettronici di un virus informatico debba indicare, a pena di inutilizzabilità dei relativi risultati, i luoghi ove deve avvenire la relativa captazione;

b) se, in mancanza di tale indicazione, l’eventuale sanzione della inutilizzabilità riguardi in concreto solo le captazioni che avvengano in luoghi di privata dimora al di fuori dei presupposti indicati dall’art. 266, co. 2, c.p.p.;

c) se possa comunque prescindersi da tale indicazione nel caso in cui l’intercettazione per mezzo di virus informatico sia disposta in un procedimento relativo a delitti di criminalità organizzata.

In via preliminare la Corte – nella stessa ordinanza di rimessione – osserva che con riferimento alla tecnica dell’agente intrusore, la pretesa di indicare precisamente e con anticipo i luoghi interessati dall’attività captativa appare incompatibile, per ragioni tecniche, con la natura stessa delle intercettazioni in esame. Trattandosi di un virus inoculato su dispositivi itineranti, infatti, risulta oggettivamente impossibile per il giudice conoscere gli spostamenti della persona che abbia in uso il device bersaglio. Le operazioni de quibus vengono, comunque, ricondotte nel novero delle intercettazioni cd. “ambientali” trattandosi di captazioni occulte e contestuali ai colloqui tra due o più persone attuate da un soggetto estraneo mediante uno strumento tecnico di percezione in grado di vanificare le cautele poste a protezione del carattere riservato di tali comunicazioni. Tuttavia, rileva il Collegio, per l’intercettazione tra presenti, il riferimento al luogo acquista rilievo soltanto qualora l’attività investigativa debba essere compiuta nelle abitazioni o in luoghi privati (Cass. pen., 5.11.1999, n. 3541; Cass. pen., 25.2.2009, n. 11506) nei quali l’art. 266, co. 2, c.p.p. consente la captazione solo se vi sia il fondato motivo di ritenere che ivi si stia svolgendo l’attività criminosa. Peraltro la giurisprudenza considera legittime le intercettazioni tra presenti anche laddove, nel corso dell’esecuzione delle operazioni, intervenga una variazione dei luoghi che rientri nelle specificità dell’ambiente oggetto dell’intercettazione autorizzata (Cass. pen., 11.12.2007, n. 15396; Cass. pen., 6.10.2011, n. 5956; Cass. pen., 8.4.2014, n. 17894). Nelle operazioni compiute per mezzo del virus informatico, invece, conta solo che il decreto autorizzativo sia adeguatamente motivato per giustificare le ragioni a sostegno della metodica di installazione da remoto, suscettibile di consentire una acquisizione dinamica delle conversazioni ascoltate.

La stessa giurisprudenza della Corte di Strasburgo impone all’ordinamento interno di specificare la tipologia delle comunicazioni oggetto di intercettazione, la ricognizione dei reati che giustificano tale mezzo di intrusione nella privacy dei destinatari del provvedimento, l’attribuzione ad un organo indipendente della competenza ad autorizzare le intercettazioni con la previsione del controllo del giudice, la categoria dei soggetti interessati ed i limiti di durata, senza alcun riferimento al luogo della captazione.

Si tratta di indicazioni (concernenti il contenuto della previsione legislativa) che si intrecciano con il profilo teleologico della materia e, segnatamente, quello relativo alla verifica di compatibilità dei fini perseguiti con il mantenimento di una società democratica, indirettamente ricavabile dall’art. 8 CEDU.

Nel diritto interno, l’indubbia novità del mezzo e le sue potenzialità intrusive, fanno assumere particolare valenza alle garanzie – accordate dal legislatore costituente – al domicilio. L’art. 14 Cost., nell’ammettere una compressione ad un diritto descritto come “inviolabile” per finalità di giustizia, non prende posizione sul carattere – palese od occulto – delle intrusioni stesse. Né tantomeno impone una cristallizzazione della natura e della fisionomia dei singoli atti invasivi ivi richiamati (che aumenterebbe il rischio di provocare un evidente squilibrio nell’assetto costituzionale dei diritti di libertà). Al contrario, il domicilio viene in rilievo, nel panorama dei diritti fondamentali di libertà, come proiezione spaziale della persona, nella prospettiva di preservare da interferenze esterne comportamenti tenuti in un determinato ambiente: prospettiva che vale ad accomunare la libertà in parola a quella personale (art. 13 Cost.) e di comunicazione (art. 15 Cost.), quali espressioni salienti di un più ampio diritto alla riservatezza del singolo senza, tuttavia, la pretesa di imporre divieti assoluti nell’utilizzo di strumenti investigativi tecnicamente evoluti nei luoghi di privata dimora.

Nel caso del Trojan, dunque, vista la natura itinerante del software e le prescrizioni dettate dal codice con riferimento ai luoghi di cui all’art. 614 c.p., il controllo non potrà che essere successivo e riguardare il regime di inutilizzabilità di quanto eventualmente acquisito. Tuttavia, prosegue l’ordinanza in aperta contrapposizione con la pronuncia del 2015, ove l’intercettazione sia disposta in un procedimento relativo ad un delitto di criminalità organizzata il problema dei luoghi di privata dimora non assume alcun rilievo stante il diverso regime imposto dall’art. 13 del d.l. 13.5.1991, n. 152, conv. con modificazioni dalla l. 12.7.1991, n. 203. A fronte di tale differente impostazione, il Collegio ha ritenuto di dover rimettere la questione alla Corte nella sua più elevata composizione.

Decisione delle Sezioni Unite

Per le Sezioni Unite (Cass. pen., S.U., 28.4.2016, n. 26889) – ribadita la tenuta costituzionale delle intercettazioni ambientali di cui all’art. 266, co. 2, c.p.p. – occorre innanzitutto stabilire se debba considerarsi presupposto indispensabile per la legittimità di tale mezzo investigativo (e, conseguentemente, per l’utilizzabilità dei relativi risultati) l’individuazione e la conseguente indicazione nel provvedimento autorizzativo, del “luogo” nel cui ambito deve essere svolta l’intercettazione di comunicazioni tra presenti. Per il Collegio la necessità dell’indicazione di uno specifico luogo non risulta inserita né nell’art. 266, co. 2, (in cui, con riferimento all’intercettazione di comunicazioni tra presenti, vi è solo la previsione di una specifica condizione per la legittimità dell’operazione se effettuata in luogo di privata dimora), né nella giurisprudenza della C. eur. dir. uomo ove il riferimento al luogo non integra un presupposto della autorizzazione ma rileva solo limitatamente alla motivazione del decreto adottato dal giudice per la determinazione delle modalità esecutive del mezzo di ricerca della prova. Un’esigenza di questo tipo è, invece, del tutto estranea all’intercettazione per mezzo del cd. virus informatico trattandosi di una acquisizione per sua natura “itinerante”. Muovendo da tali premesse, dunque, si esclude – de iure condito – la possibilità di intercettazioni nei luoghi indicati dall’art. 614 c.p. con il mezzo del “captatore informatico” al di fuori della disciplina derogatoria di cui all’art. 13 della l. n. 203/1991 (di conversione del d.l. n. 152/1991) in quanto, all’atto della autorizzazione, il giudice non può prevedere e predeterminare i luoghi di privata dimora nei quali il dispositivo elettronico viene introdotto, con conseguente impossibilità di effettuare un adeguato controllo circa l’effettivo rispetto della normativa che legittima – circoscrivendole – le intercettazioni domiciliari di tipo tradizionale. Per le indagini relative ai delitti di criminalità organizzata, invece, è prevista una disciplina speciale volta a favorire l’operatività del mezzo di ricerca della prova in esame in relazione a fattispecie criminose per le quali risulti particolarmente difficile l’attività di indagine.

Il legislatore, in questi casi, ha dato una precisa e significativa indicazione – pur in un contesto temporale in cui la tecnologia non aveva ancora manifestato tutte le sue potenzialità in termini di capacità intrusiva – laddove ha espressamente escluso, per le intercettazioni tra presenti in luoghi di privata dimora, disposte in procedimenti relativi a tali reati, il requisito autorizzativo previsto dall’art. 266, co. 2 secondo periodo, c.p.p per tutte le altre captazioni. Proprio in forza e all’esito dell’accurato contemperamento di valori e interessi operato con la normativa de qua, l’eventualità di captazioni domiciliari in conseguenza della mobilità del dispositivo sede del “trojan”, non può ritenersi in contrasto con la normativa vigente e nemmeno con i principi costituzionali posti a tutela della segretezza delle comunicazioni, del domicilio e della riservatezza. Il percorso argomentativo offerto dalle Sezioni Unite muove dalla necessità di consentire spazi di manovra più ampi agli apparati statali per la lotta e il contrasto alle organizzazioni criminali e terroristiche, spesso dotate di sofisticate tecnologie e notevoli risorse finanziarie. Attività, comunque, da compiersi nel rispetto della dignità umana ferma l’inutilizzabilità delle risultanze di “specifiche” intercettazioni che nelle loro modalità di attuazione e/o nei loro esiti abbiano acquisito in concreto connotati direttamente lesivi della persona. Tale impostazione non sembra contraddetta neanche dalla giurisprudenza di Strasburgo intervenuta più volte a delineare l’ambito di operatività dell’art. 8 della CEDU tenuto conto che:

a) risulta rispettato il principio di proporzione tra la forza intrusiva del mezzo usato e la calibrata e motivata compressione dei diritti fondamentali delle persone che ne deriva avendo inteso il legislatore raggiungere lo scopo di una efficace tutela delle esigenze dei singoli e della collettività in relazione a reati di particolare gravità (purché, una volta ritenuto necessario dover ricorrere a detto strumento investigativo, tale impiego sia rigorosamente circoscritto attraverso prescrizioni tecniche di utilizzo fissate dal giudice);

b) secondo i principi enunciati nella giurisprudenza europea dei diritti dell’uomo non è necessario che nel provvedimento autorizzativo siano indicati i luoghi in cui le stesse debbono svolgersi, purché ne venga indicato chiaramente il destinatario.

Vista la forza intrusiva del mezzo usato la qualificazione, pure provvisoria, del fatto come inquadrabile in un contesto di criminalità organizzata, deve risultare ancorata a sufficienti, sicuri ed obiettivi elementi indiziari che ne sorreggano la corretta formulazione da parte del pubblico ministero nonché la successiva, rigorosa, verifica dei presupposti da parte del giudice chiamato ad autorizzare le relative operazioni. In assenza di una definizione normativa ad hoc sono le stesse Sezioni Unite che – nell’offrire una panoramica delle disposizioni riconducibili al concetto di criminalità organizzata – accolgono una nozione ampia volta a ricomprendervi attività fra loro eterogenee, realizzate da una pluralità di soggetti che, per la commissione del reato, abbiano costituito un apposito apparato organizzativo, con esclusione del mero concorso.

I rilievi critici della dottrina

Parte della dottrina non ha tardato a mostrare scetticismi nell’utilizzo dei captatori informatici in sede investigativa, talvolta negando il ricorso alla stessa disciplina posta a regolazione delle intercettazioni. C’è chi ha rilevato infatti che, poiché il virus, in alcune sue strutturazioni, pervade l’intero dispositivo, esso consentirebbe anche operazioni “offensive” – dalla distruzione alla sostituzione di files, dall’invio di comunicazioni alla installazione occulta di programmi ultronei – ben al di là del concetto stesso di intercettazione e maggiormente affine a quello delle perquisizioni e dei sequestri. Al di là della configurazione giuridica dell’atto è necessario considerare che un qualunque prelievo di dati informatici eseguito con le modalità tipiche dei captatori deve essere realizzato nel rispetto di alcuni principi propri della Digital Forensics quali:

a) l’immodificabilità del contenuto della memoria del dispositivo target;

b) la conformità dei dati acquisiti con quelli originali;

c) la corretta conservazione dei dati acquisiti.

Così, per garantire la correttezza delle operazioni compiute c’è chi ha suggerito di predisporre un documento – firmato digitalmente ad ogni successiva modifica – sul quale descrivere tutte le attività compiute fin dall’istante di inoculazione del Trojan. Altra parte della dottrina muove verso un disciplinare tecnico in grado di regolamentare tra l’altro:

a) l’architettura informatica ed i moduli funzionali del sistema;

b) i requisiti tecnici e i vincoli operativi di omologazione;

c) le modalità di custodia dei codici sorgenti del software;

d) il processo e la procedura di generazione, uso e verifica presso i centri di controllo di PG/AG per ciascuna investigazione;

e) la verifica della validità del processo di omologazione con sua ripetibilità indipendente.

L’assenza di una certificazione di affidabilità dello strumento e le verifiche sui metodi di acquisizione e conservazione del materiale acquisito sono avvertiti, infatti, come le sue principali debolezze. Il software è stato, inoltre, ritenuto violativo di tutta una serie di divieti probatori posti in generale dalla legge, ad esempio in tema di diritto di difesa ex art. 103 c.p.p., di segreto professionale, d’ufficio, di Stato o di polizia – ex artt. 200, 201, 202 e 203 c.p.p.), in materia di ispezioni e perquisizioni – ex artt. 245, co. 2 e 249, co. 2, c.p.p., perquisizioni domiciliari (art. 251, co. 1, c.p.p.) e sequestri (art. 254, co. 2, 254-bis, 255, 256 e 256-bis c.p.p.). Dopo la pronuncia delle Sezioni unite, inoltre, ed in una prospettiva de iure condendo ci si è posti l’interrogativo se l’uso dello strumento investigativo de quo debba essere esteso anche in caso di indagini per reati non associativi (o non commessi in un contesto di criminalità organizzata) comunque di rilevante gravità e, indistintamente, avverso tutte le associazioni a delinquere anche se tendenti alla perpetrazione di reati-fine di modesto allarme sociale.

Iniziative parlamentari

Diverse le iniziative parlamentari susseguitesi nel tempo e finalizzate ad introdurre una normativa ad hoc per la disciplina del software (simbolicamente definito trojan horse o “agente intrusore”). Si tratta di proposte di legge volte ad individuare i “casi” e i “modi” dell’azione investigativa per mezzo di programmi inoculati da remoto, nel rispetto dei parametri di necessità e proporzionalità dell’ingerenza pubblica nella vita privata e di ragionevolezza. Nel corso dei lavori parlamentari per la conversione del d.l. 18.2.2015, n. 7, conv. con modificazioni dalla l. 17.4.2015, n. 43, era stata proposta una modifica dell’art. 266 bis c.p.p., inserendo le parole «anche attraverso l’impiego di strumenti o di programmi informatici per l’acquisizione da remoto delle comunicazioni e dei dati presenti in un sistema informatico». Successivamente era stato presentato un emendamento che mirava a circoscrivere l’area operativa del nuovo strumento alle indagini per i delitti di cui agli artt. 270 bis, 270 ter, 270 quater del c.p. commessi con le finalità di terrorismo di cui all’art. 270 sexies. Queste proposte non sono state approvate in sede di conversione. In data 2 dicembre 2015, è stata depositata la proposta di legge C. 3470, intitolata «Modifica all’art. 266 bis del c.p.p. in materia di intercettazione e di comunicazioni informatiche e telematiche». Intendendo garantire l’adeguamento tecnologico del sistema delle intercettazioni, si era proposto di aggiungere all’art. 266 bis, co. 1 c.p.p. le parole: «anche attraverso l’impiego di strumenti o di programmi informatici per l’acquisizione da remoto delle comunicazioni e dei dati presenti in un sistema informatico». In data 20 aprile 2016 è stata depositata la proposta di legge C. 3762, recante «Modifiche al codice di procedura penale e alle norme di attuazione, di coordinamento e transitorie del codice di procedura penale, in materia di investigazioni e sequestri relativi a dati e comunicazioni contenuti in sistemi informatici e telematici». La relazione di accompagnamento, dopo aver definito “captatore legale” il programma informatico da utilizzare nelle indagini, illustra sul piano metodologico, le varie attività consentite dal programma informatico le quali sono distinte e ricondotte all’istituto tipico al quale sono più assimilabili. In particolare, l’art. 1 prevede la possibilità di procedere a perquisizioni a distanza, nei soli casi in cui si proceda per i reati di cui all’art. 51, co. 3 bis, 3 quater e 3 quinquies, c.p.p., all’art. 407, co. 2, c.p.p. e ai delitti dei pubblici ufficiali contro la pubblica amministrazione. L’art. 2 disciplina il sequestro da remoto dei dati “diversi da quelli relativi al traffico telematico o telefonico”, limitatamente ai reati ut supra indicati. L’art. 3 modifica l’art. 266 bis c.p.p. disciplinandone l’uso per compiere l’intercettazione di flussi di dati e per la localizzazione geografica del dispositivo. Da ultimo gli artt. 4, 5, 6 e 7 prevedono, rispettivamente, il carattere residuale e sussidiario dei nuovi mezzi investigativi, la modifica dell’art. 268 ai fini della conservazione dei dati con modalità tali da assicurare l’integrità e l’immodificabilità di quanto raccolto nonché la loro conformità rispetto all’originale, l’introduzione del nuovo art. 89 bis al d.lgs. 28.7.1989, n. 271 e la modifica dell’art. 226 ai fini della indicazione dei contenuti del decreto ministeriale sulle caratteristiche tecniche dei captatori e della adeguazione della disciplina delle intercettazioni preventive al nuovo strumento di captazione. È stato, da ultimo, presentato un emendamento (n. 36.4000) al d.d.l. n. 2067 recante «Modifiche al codice penale e al codice di procedura penale per il rafforzamento delle garanzie difensive e la durata ragionevole dei processi nonché all'ordinamento penitenziario per l'effettività rieducativa della pena» con il quale l’utilizzo dei captatori a fini intercettivi è ammesso solo in presenza di alcune condizioni. In particolare: l'attivazione del microfono è consentita solo in conseguenza di apposito comando inviato da remoto e non con il solo inserimento del virus, nel rispetto dei limiti stabiliti nel decreto autorizzativo del giudice; la registrazione audio deve essere avviata dal personale incaricato ai sensi dell’art. 348, co. 4, c.p.p., su indicazione della polizia giudiziaria operante, tenuta a indicare l’ora di inizio e il termine della registrazione, secondo circostanze da attestare nel verbale descrittivo delle modalità di effettuazione delle operazioni di cui all’art. 268 del medesimo codice; nei luoghi di cui all’art. 614 c.p. è consentita soltanto qualora ivi si stia svolgendo l’attività criminosa salvo si proceda per delitti di cui agli artt. 51, co. 3 bis e 3 quater c.p.p. o 416 c.p.; la registrazione audio deve attivarsi solo con il dispositivo in stato di stand-by al fine di escludere l’intercettazione di contestuali comunicazioni informatiche, telefoniche o telematiche; il trasferimento delle registrazioni deve essere effettuato soltanto verso il server della Procura sì da garantire originalità ed integrità delle registrazioni; al termine della registrazione il captatore informatico deve essere disattivato e reso definitivamente inutilizzabile su indicazione del personale di polizia giudiziaria operante; è consentita la sola utilizzazione di programmi informatici conformi a requisiti tecnici stabiliti con decreto ministeriale da emanarsi entro 30 giorni dalla data di entrata in vigore dei decreti legislativi per la riforma della disciplina del processo penale e dell’ordinamento penitenziario al fine di garantire che sia l’installazione del captatore sia la sua disattivazione non comportino alcuna alterazione del sistema informatico del dispositivo mobile in cui è inserito e che tale programma si limiti ad effettuare le operazioni espressamente disposte secondo standard idonei di affidabilità tecnica e sicurezza. Il rinnovato interesse da parte del legislatore rappresenta sicuramente anche il prodotto dei recenti solleciti del mondo accademico il quale – rilevata la legittimazione dei mezzi di intrusione informatica per via giurisprudenziale attraverso il ricorso ad interpretazioni estensive difficilmente coniugabili in una materia governata dal principio di tassatività – ha auspicato la regolamentazione della materia nell’adeguato bilanciamento dei principi costituzionali e convenzionali coinvolti.

Fonti normative

Artt. 13-15 Cost; art. 266 ss c.p.p.; art. 13 d.l 13.5.1991, n.152, conv. in l.12.7.1991, n. 203; art. 8 CEDU

Bibliografia essenziale

Filippi, L., L’ispe-perqui-intercettazizone “itinerante”: le Sezioni unite azzeccano la diagnosi, ma sbagliano la terapia, in Parola alla difesa, 2016, 179; Aterno, S.-Pietrosanti, F.-Ghirardini, A., Una prima analisi generale sul decreto ministeriale previsto dall’emendamento Casson-Cucca, in Parola alla difesa, 2016, 186.