indagini

Perquisizioni online e cross-border: le nuove sfide

HomeSicurezza digitale
Indirizzo copiato

Lo sviluppo tecnologico e la globalizzazione hanno ampliato gli spazi investigativi, ma anche sollevato dibattiti sulle nuove tecniche di indagine. Le indagini digitali si scontrano con spazi investigativi sfumati e difficili da individuare, come il cloud, rendendo necessari nuovi strumenti per la ricerca di prove. Le questioni giuridiche e costituzionali

Pubblicato il 30 gen 2024
Pier Luca Toselli

Digital forensics presso Ministero

trojan di stato italia

L’inarrestabile sviluppo tecnologico che ormai da anni ci accompagna, ha di fatto attenuato, se non cancellato i confini nei quali gli investigatori erano abituati a muoversi. Se prima lo spazio investigativo era nazionale o al più tendeva ad allargarsi ai paesi confinati, oggi più di un tempo gli investigatori si ritrovano calati in nuovi e più ampi spazi ed orizzonti investigativi, spesso di estensione mondiale.

Indagini forensi, il futuro è mobile e cloud

I confini sfumati delle investigazioni nel mondo digitale

La rivoluzione tecnologica e la globalizzazione cui stiamo assistendo sollecitano di continuo e di pari passo, nuovi e talvolta aspri dibattiti su questi cambiamenti, ma anche l’adozione da parte degli investigatori di “nuove” tecniche in sostituzione delle tradizionali che ormai risultano inefficaci ed inadeguate.

Oggigiorno non è difficile soprattutto nell’ambito delle cosiddette indagini digitali imbattersi in spazi investigativi i cui confini appaiono alquanto sfumati e molto spesso di difficile individuazione. L’esempio forse più classico è quello dello spazio cloud che al di là della definizione lessicale che tende a far credere che si tratti di uno spazio etereo, in realtà si traduce in un dispositivo “fisico” collocato in uno spazio geografico, molto spesso estero e sottoposto di conseguenza a norme e discipline differenti.

Ma non solo, la crescente digitalizzazione del mondo che ci circonda e conseguentemente delle prove dei reati che all’interno di questi spazi, vengono commessi, richiede l’accesso a luoghi e dispositivi diversi, come smartphone, desktop, laptop, server e cloud, che sempre più frequentemente si trovano “fisicamente” al di fuori dei confini nazionali e che possono essere facilmente modificati, manipolati, alterati; finanche, cancellati a distanza, con un semplice “click”.

La necessità di nuovi strumenti per le perquisizioni cross-border

Le nuove realtà criminali che oggi siamo chiamati ad affrontare richiedono allora, una evidente revisione delle tecniche di indagine, è sotto gli occhi di molti operatori, come le tradizionali tecniche non garantiscono più l’effetto sorpresa e spesso non sono più sufficienti per raccogliere prove determinanti, soprattutto nei contesti in cui si sviluppano reati economici e finanziari dove le prove sono sempre più dematerializzate, volatili e custodite per diverse ragioni su dispositivi, quasi sempre ubicati all’estero[1].

Ecco che allora a poco a poco si sta sempre più evidenziando la necessità di dotarsi di nuovi strumenti per la ricerca di prove, poiché per l’appunto, i tradizionali, fino ad un tempo, efficaci ed efficienti oggi non lo sono più.

Ne sono un esempio lampante le perquisizioni, ancora oggi strumento principe quale mezzo di ricerca della prova ma solo fintanto che il cosiddetto “target” bersaglio da ricondursi in questo specifico contesto al dispositivo contenente i potenziali dati digitali di interesse è fisicamente collocato e sottoposto alla legislazione del nostro paese. Ma che ne è di un target che potrebbe essere collocato in altro paese estero, sottoposto ad altra legislazione ma allo stesso tempo potenzialmente “strategico” per la prova di un determinato reato?

Le sfide delle perquisizioni digitali: prove dematerializzate e dispositivi esteri

In questi casi il ricorso agli strumenti previsti quali la rogatoria e l’ordine investigativo europeo (O.E.I), che non starò in questo contesto ad analizzare, scontano tuttavia una enorme criticità legata ai tempi di organizzazione ed attuazione che mal si conciliano con gli aspetti di volatilità, istantaneità e velocità caratterizzanti la cd. “digital evidence”, con la conseguenza che si sono palesati nel panorama investigativo contemporaneo nuovi strumenti, capaci di ricercare, anche, in modo celato, prove digitali, allorquando le informazioni sono cristallizzate/memorizzate su dispositivi collocati fisicamente all’estero.

Questi i motivi e la genesi che hanno portato alla coniazione di nuovi termini quali “cross-border”, o anche “online searches”, nelle procedure investigative e di indagine.

Invero per quanto ormai note e conosciute, si tratta di tecniche finalizzate alla di ricerca di prove che però, vedremo, non risultano ad oggi regolamentate dal codice di procedura penale, nel Libro III titolo III, dedicato ai mezzi di ricerca della prova, ma che se anche non tipizzate dal codice, oramai da tempo trovano talvolta, utilizzo. Tuttavia vedremo anche come la mancanza di una precisa tipizzazione e regolamentazione, sia fonte di aspre “eccezioni” non sempre risolte, appieno, dalla giurisprudenza.

Basti pensare al fatto che pur essendo l’azione tecnico-giuridica molto simile ad una perquisizione “da remoto”, è ben lungi dal rispettarne le garanzie processuali in quanto tale azione “occulta” non prevede ovviamente il rispetto di fondamentali garanzie costituzionali.

La revisione delle tecniche di indagine nell’era digitale

È risaputo, infatti, come le canoniche perquisizioni informatiche previste dall’art. 247, comma 1-bis, c.p.p. vengono sempre considerate e motivate nel rispetto delle opposte esigenze di repressione e prevenzione dei reati, che oggi più di un tempo, tendono ad assumere un carattere “transnazionale” .

La territorialità di tali fenomeni unita alla tutela dei diritti fondamentali della persona assume parallelamente un carattere non più limitato ad un paese ma a più paesi e persone, spesso vincolati e coperti da diverse e talvolta confliggenti legislazioni. Nella consapevolezza che lo spazio informatico è ormai “globale”, la criminalità informatica e le indagini informatiche non sono quasi mai limitabili geograficamente e, in considerazione del valore della Carta di Nizza e della CEDU, la protezione dei diritti fondamentali è garantita da un sistema integrato di protezione su tre livelli: nazionale, europeo e internazionale, che, tuttavia non ci aiuterà nel trovare precisa soluzione alle problematiche tecnico-giuridiche che ancora adombrano questo tipo di operazioni.

Proprio la carenza delle garanzie difensive, unite alla considerazione che azioni di questo tipo violano il diritto all’inviolabilità del domicilio informatico garantito dalla Costituzione e dalle norme sovranazionali (CEDU e CDFUE) porta tutt’ora parte degli attori coinvolti (giurisprudenza, dottrina, investigatori, difesa etc. ) a considerare inammissibili tali azioni escludendole/cassandole peraltro dall’alveo delle prove atipiche previste dall’art. 189 c.p.p.[2], proprio perché potenzialmente violative del diritto all’inviolabilità del domicilio informatico che può essere limitato solo nei casi e nei modi previsti dalla legge e comunque solo con uno specifico atto motivato dell’autorità giudiziaria[3].

L’evoluzione delle tecniche di indagine: riflessioni sulle perquisizioni digitali

Tuttavia noteremo come sul tema si registrino orientamenti giurisprudenziali contrastanti, talvolta di apertura verso l’utilizzo di questi strumenti (in particolare per ciò che concerne l’acquisizione di prove tramite software spia anche su cloud collocati fisicamente all’estero), fermo restando che esiste un vuoto giuridico ad oggi che nonostante gli sforzi della giurisprudenza verso la tolleranza di tali azioni fa perdurare incertezze e serie valutazioni sull’opportunità di ricorrere a tali strumenti occulti, quasi sempre connaturati da elevatissimi costi di attuazione e gestione, ma allo stesso tempo, in taluni specifici contesti investigativi, sempre più indispensabili.

Si tratta di prove che possono essere eliminate in un attimo, anche a distanza, rendendo vani tutti gli sforzi investigativi, ma anche di prove che se raccolte in violazione di diritti riconosciuti all’indagato rischiano di essere ancora una volta “eliminate” non con un click ma con un tocco di martelletto del giudice, poi successivamente, nel processo, dopo aver sostenuto inutilmente, ingenti costi e risorse.

Come vengono effettuate le attività di “ricerca online”

L’effettuazione di queste “online searches” presuppone (per esempio), l’invio di un trojan sul dispositivo “target”, si tratta generalmente di un programma “backdoor” noto all’utente (per non ingenerare sospetti) e che, mi si perdoni la sintesi, crea un collegamento tra il computer infettato e un computer “remoto” in gestione degli investigatori.

Tale contesto permetterà agli investigatori di avere il controllo (occulto) del computer target, consentendo quindi agli investigatori di ricercare e documentare la presenza di eventuali evidence di interesse investigativo, ma ovviamente, non solo!

In sintesi, il trojan è capace di infiltrarsi nei sistemi informatici per scovare specifici contenuti digitali e creare una copia della loro memoria. Questi famigerati captatori/copiatori informatici, sono in grado di fare, attraverso apposite istruzioni, una perquisizione digitale dell’intero sistema, ottenendo copie di tutti i dati trovati.

Tuttavia è noto ed implicito anche al profano, come la presa occulta di “controllo” del dispositivo permetta anche azioni ben più invasive e perniciose della semplice “perquisizione” diretta alla ricerca di documenti.

Si pensi sempre solo per esempio alla possibilità di intercettare flussi di comunicazioni dopo aver attivato la webcam ed il microfono. Orbene tralasciando l’attività di intercettazione che sappiamo non solo aumenterebbe la complessità di quanto stiamo affrontando ma richiederebbe premesse e considerazioni diverse da quelle che qui mi limiterò a porre all’attenzione del lettore; ipotizziamo in questa “sede”, che l’azione attraverso il trojan tralasci le comunicazioni (sarebbe una intercettazione vera e propria disciplinata da altri articoli e considerazioni) ed accontentiamoci per “modo di dire” delle possibilità di effettuare una perquisizione digitale occulta cd. “online search”, consapevoli che le potenzialità di questo strumento e le susseguenti possibilità investigative aprono un enorme spettro di considerazioni e questioni spesso cruciali circa la loro legittimità e conseguenze derivanti da un utilizzo improprio delle stesse, anche solo limitandoci alla cd. perquisizione online “pura” del dispositivo.

Tanto che salvo alcune aperture giurisprudenziali, di fatto, la legittimità delle attività di “ricerca online” deve ancora essere definita!

Cosa non garantiscono le attività di ricerca online

Abbiamo accennato a come queste tecniche non garantiscono in alcun modo:

  • una corretta informazione “di garanzia” al perquisito (per gli ovvi motivi di occultamento);
  • un’assicurazione del contraddittorio (quale conseguenza diretta del punto precedente);
  • la tutela, integrità ed immutabilità dei dati raccolti, sia per motivi di natura tecnica che per motivi di natura giuridica quest’ultimi, a loro volta, quale diretta conseguenza, dell’assenza di garanzie e mancanza del contraddittorio, nella loro acquisizione.

Tutto ciò, allontana questo nuovo “istituto”, dalle ispezioni e ss. del codice di procedura penale, in quanto attività sconosciuta (occulta) all’indagato e che lo esclude peraltro dalla possibilità di usufruire delle garanzie previste dal codice per le ispezioni e analogamente lo allontana anche dalle perquisizioni previste dall’articolo 247 e ss., per gli stessi motivi. Inoltre, con specifico riferimento alle ispezioni le differenze risultano ancora più marcate laddove quello che “prima facie” appare un mero atto di osservazione del captatore viene di lì a poco superato da una vera e propria ricerca dei dati sul “target”, in questo caso molto più assimilabile ad una perquisizione rispetto ad una canonica ispezione.

Parallelamente, risulta ancor più difficile, assimilare lo strumento alle intercettazioni previste dall’articolo 266 e ss. del codice di procedura penale, in quanto viene meno uno degli elementi essenziali che contraddistingue le seconde, ovvero la captazione/cattura di comunicazioni tra soggetti, mentre le stesse avvengono.

L’ammissibilità delle prove “atipiche”

Di qui un” tertius” che assume una propria posizione a sé stante estranea ad altri “incombenti” ma che chiede di essere opportunamente ed adeguatamente normato concentrandosi di fatto in un’azione ad oggi “atipica” che si basa sulla raccolta sistematica di dati informatici, all’insaputa del detentore.

La mancanza di un assimilazione ad altri istituti fa tuttavia da sponda al di là delle considerazioni espresse da parte della dottrina e giurisprudenza per ricondurre questo terzo genere nell’alveo della prova atipica, in quanto se da una parte è vero che possiamo affermare che questa operazione non ha nulla di tipizzato e non è contemplata in alcun modo all’interno del sistema di mezzi di ricerca della prova tipici, dall’altra potremo come tra poco vedremo, tentare di ricondurla alle prove atipiche , quantomeno in termini di risultato ottenuto più che della legittimità delle azioni intraprese per ottenerli.

L’assenza di una menzione tra i mezzi di ricerca della prova previsti dal legislatore, fortunatamente per il nostro ordinamento, non significa, non si traduce nel fatto, che tutto ciò che lì non è indicato, sia da considerarsi automaticamente inammissibile.

Il legislatore nella sua lungimiranza ha previsto che nel corso del tempo oltre a quei mezzi tassativamente previsti nel Libro III, Titolo III, sarebbero potute emergere nuove tecniche che avrebbero potuto portare il giudice a dover “valutare” una cd. “prova atipica”[4].

Invero il nostro sistema giuridico non si basa sul principio di tassatività delle prove, come stabilito dall’art. 189 c.p.p. che consente l’utilizzo di “prove atipiche” a condizione che siano sempre rispettate tre condizioni legittimanti:

  • la prova deve essere in grado di accertare i fatti;
  • lo strumento di indagine non deve pregiudicare la libertà morale della persona;
  • Il giudice provvede all’ammissione, sentite le parti sulle modalità di assunzione della prova.

Il caso della sentenza Virruso

Ne è tipico esempio, la nota sentenza Virruso[5] della quinta sezione penale della Suprema Corte di Cassazione, dove le attività di ricerca online (non senza critiche) sono state considerate mezzo atipico.

La Corte ha dichiarato che “l’attività autorizzata dal p.m., consistente nel ‘prelevare e copiare documenti memorizzati sull’hard disk dell’apparecchio in uso al B., aveva avuto ad oggetto non un ‘flusso di comunicazioni’, richiedente un dialogo con altri soggetti, ma ‘una relazione operativa tra microprocessore e video del sistema elettronico’, ossia un flusso unidirezionale di dati confinato all’interno dei circuiti del personal computer“.

Su tale principio la Cassazione ha concluso che i giudici di merito hanno usato correttamente i dati come prova atipica, senza seguire la disciplina prescritta dagli articoli 266 ss. (intercettazioni) del Codice di procedura penale.

In questa Sentenza, tuttavia, è interessante notare per chi volesse approfondire ulteriormente che gli Ermellini argomentarono per la non rilevanza delle tutele legate al domicilio informatico, adducendo che non vi era ragione per invocare questa tutela (art. 14 Cost.) nei confronti di un PC che prevedeva più “user” (accessi-profilati) e non era collocato in luogo privato ma presso un ufficio Comunale. Esclusione legata al caso concreto ma che lascia aperte molte incognite, laddove il caso si sviluppasse in un domicilio privato.

Perquisizioni online e tutela dei diritti fondamentali: un equilibrio da trovare

In ogni caso, la giurisprudenza e la dottrina concordano sulla necessità che il giudice attivi un contraddittorio prima di ammettere le risultanze fornite dal captatore informatico come prove in dibattimento.

Laddove uno strumento in sé è occulto, ovviamente, non richiede un immediato coinvolgimento degli interessati, il requisito previsto dall’art. 189 c.p.p. deve comunque essere soddisfatto, anche, successivamente all’utilizzo/acquisizione dei dati.

Del resto è notorio che i captatori informatici, così come altri programmi in grado di ricercare da remoto i contenuti digitali, sono ritenuti strumenti legittimi per la raccolta di prove nel processo penale, a condizione che il loro utilizzo venga sottoposto a un adeguato vaglio critico e che il contraddittorio sia garantito.

Tuttavia, sebbene sembri accettabile l’utilizzo di questi programmi spia per le finalità qui descritte, è necessario sottolineare che le prove atipiche non sono comunque ammesse se violano i principi fondamentali della Costituzione, come la libertà personale (art. 13 Cost.), l’intimità domiciliare (art. 14 Cost.) e la segretezza delle comunicazioni (art. 15 Cost.) e questo perché dinanzi a tali violazioni si dovrebbe concludere per una “netta, censura” di questi strumenti in quanto per espressa previsione costituzionale queste libertà possano essere limitate solo nei casi e nei modi previsti dalla legge e solo per decisione dell’autorità giudiziaria.

Altra giurisprudenza è ferma nel ritenere che, in assenza di una normativa specifica che disciplina una prova atipica che limita tali diritti costituzionali, essa non può essere considerata ammissibile dall’ordinamento, con l’evidente conclusione che è fondamentale valutare di volta in volta e secondo il loro utilizzo e finalità se gli strumenti utilizzati compromettano i diritti garantiti dalla Costituzione, poiché la legittimità costituzionale diventa il primo e fondamentale requisito per la validità di una prova atipica.

Escludendo, non distraiamoci, gli aspetti legati alle “comunicazioni”, rimaniamo sulla possibilità di perquisire da remoto il dispositivo ed acquisire files di documenti (tanto per non complicarci troppo il lavoro), rimane da considerare su quanto testé evidenziato in termini di principi fondamentali, quello legato all’intimità domiciliare con un preciso rinvio, rimando al domicilio digitale.

Invero tali strumenti non limitano la libertà fisica e morale delle persone né tentano di manipolare o forzare alcuna dichiarazione, tuttavia appare evidente anche all’inesperto, come queste intrusioni configurano una violazione del diritto di domicilio, garantito dall’art. 14 della Costituzione, che si estende anche al cosiddetto “domicilio digitale”, ovvero lo spazio virtuale che ogni individuo occupa nel “mondo” digitale.

La Corte costituzionale tedesca[6] ha già considerato il computer come uno strumento attraverso cui l’individuo sviluppa liberamente la propria personalità e deve essere considerato un vero e proprio domicilio digitale, concludendo, tuttavia che l’art. 13 della Legge fondamentale tedesca che richiama la cd. ”Inviolabilità del domicilio” non poteva essere richiamato per impedire le perquisizioni online, adducendo, invece l’esistenza di un diverso e a sé stante diritto dell’individuo, concernente l’”uso riservato e confidenziale delle tecnologie informatiche”, che troverebbe fondamento nell’art. 1 della Legge fondamentale della Repubblica Federale di Germania (Grundgesetz).

Su tale principio anche nel nostro paese, in particolare la dottrina, si esprime a favore di una “riservatezza informatica” legata nello specifico ai principi delineati dall’art. 2, comma 1 della Costituzione, dall’art. 8 della CEDU, dal 7 e dall’8 della CDFUE.

Di conseguenza, qualsiasi limitazione di questo diritto da parte dell’autorità pubblica può avvenire solo nel rispetto delle disposizioni dell’art. 8, comma 2 della CEDU e dell’art. 52, comma 1 della CDFUE.

Tali limitazioni devono quindi essere previste dalla legge, perseguire uno scopo legittimo e rispettare il principio di proporzionalità, a condizione che il nucleo essenziale di tale diritto fondamentale rimanga intoccabile.

Su tali considerazioni sarebbe ovvio pervenire alla conclusione che, la mancanza di una normativa specifica, comporterebbe la nullità delle prove raccolte attraverso perquisizioni digitali online, per l’incostituzionalità delle stesse, ma come spesso accade se la dottrina maggioritaria ci orienta verso aspre chiusure, vedremo come invece la giurisprudenza risulta più aperta/tollerante, verso l’utilizzo di questi strumenti.

La giurisprudenza sulle perquisizioni online

Una recente sentenza ha portato a una diversa classificazione giuridica delle perquisizioni online[7]. La sentenza in questione ha affrontato il tema della legittimità dell’attività di un Trojan, autorizzata dal G.I.P. come intercettazione telematica/ di comunicazioni, dopo che la difesa aveva sollevato obiezioni riguardo al fatto che lo strumento, avrebbe di fatto eseguito una perquisizione a seguito della quale avrebbe anche copiato un file Excel preesistente e aggirato così la disciplina applicabile, in particolare, omettendo di avvisare l’indagato delle operazioni in corso come sarebbe avvenuto nel corso di una normale perquisizione informatica orientata alla ricerca di elementi di prova, ed escludendo nel contempo che detta attività potesse essere ricondotta all’impianto delle cd. prove atipiche di cui all’art. 189 c.p.p.

Veniva contestato dal ricorrente, in particolare, il salvataggio ad opera del Tribunale del Riesame che aveva inteso considerare detta attività alla stregua di intercettazione di “comunicativi” adducendo che il file Excel era stato “fotografato” nel corso della sua stessa formazione, elemento peraltro non supportato da alcun atto di indagine e peraltro smentito oggettivamente da alcune annotazioni contabili precedenti che negavano tale ricostruzione.

La Corte considerava che la mera “constatazione” dei dati informatici in corso di realizzazione, pur non costituendo una “comunicazione” in senso stretto, costituisce certamente, invece, un comportamento comunicativo, del quale è ammessa la captazione – previo provvedimento autorizzativo dell’autorità giudiziaria – nonché la videoregistrazione, dunque anche la fotografia, mediante screen shot della schermata, superando peraltro le contestazioni della difesa in ordine alle annotazioni contabili precedenti, in quanto riferibili a “poste di contabilità ex se riepilogative di operazioni economiche già effettuate ovvero in corso di realizzazione delle quali si aggiorna annotazione e memoria”. Concludeva pertanto che l’impostazione del Tribunale del Riesame era : “giuridicamente corretta e aderente ai dati indiziari raccolti con il captatore informatico così da escludere che si sia trattato nella specie di una surrettizia perquisizione non garantita dal percorso indicato dall’art. 247 c.p.p.”

Se ne deduce in sintesi che la raccolta di dati è stata giudicata legittima grazie al progetto autorizzato per l’intercettazione telematica attraverso un Trojan. Invero allorquando gli investigatori avvertono la necessità di ricorrere allo strumento delle perquisizioni online fanno ricorso alla disciplina delle intercettazioni che, tra i vari mezzi di ricerca della prova, è quella senz’altro più garantista. Resta tuttavia evidente come l’impianto degli artt. 266 e ss. del codice di procedura penale risultino inadeguati e talvolta estranei a questo “terzo genere” che assomma in sé diverse nature tecniche e giuridiche. Tale ultima considerazione è stata anche rafforzata da altra recente sentenza[8], la Cassazione, nella propria decisione ha espressamente motivato che:

•”Sul piano normativo, l’unica previsione espressa che riguardi l’accesso da remoto a sistemi informatici è l’art. 266 c.p.p. che è stato integrato nel senso di porre limiti e garanzie quando l’intercettazione di comunicazioni tra presenti sia realizzata con un “captatore” informatico su un dispositivo elettronico portatile”.

•”Secondo l’interpretazione corrente, tale previsione non ha alcun effetto limitante della perquisizione e sequestro on-line per contenuti diversi dalle intercettazioni di comunicazioni in fieri.”

Altro interessante caso, di utilizzo del Trojan per fini di perquisizione/acquisizione di dati e non solo di intercettazione era già stato affrontato nella sentenza 28 giugno 2016 n. 40903, episodio, collegato ad una nota vicenda riguardante e-mail conservate nella cartella bozze che permettevano di essere consultate da più soggetti in possesso delle necessarie credenziali senza essere inviate.[9] Qui, secondo la Corte, tali contenuti non possono essere considerati corrispondenza e pertanto non possono essere ottenuti tramite intercettazione, ma solo attraverso l’esecuzione di un sequestro. Il trojan (in questo caso era un Keylogger utilizzato per acquisire le credenziali) in realtà, non è stato utilizzato per intercettare le comunicazioni poiché non rientrava nell’ambito delle conversazioni tra utente e tastiera del personal computer. Invece, il suo utilizzo è stato focalizzato su una forma di ispezione remota ed elettronica.

La ricerca di prove oltre i confini: le perquisizioni cross-border

Ad aumentare le incertezze, su questo delicatissimo “tema” delle perquisizioni online intervengono poi, le problematiche legate alla territorialità delle cd. perquisizioni “cross border”. Su tema vale la pena di citare la sentenza del 22 luglio 2020 della Corte Suprema in merito alla mancata richiesta di rogatoria internazionale per acquisire e utilizzare le registrazioni effettuate tramite trojan in territorio estero nel caso di specie extra-europeo (Canada). Nell’occasione la Corte ha respinto la doglianza poiché il trojan è stato inoculato in Italia su dispositivi mobili di cittadini italiani collegati a un gestore telefonico italiano. La registrazione delle conversazioni tramite rete wi-fi situata all’estero costituiva pertanto solo una fase intermedia di un’indagine più ampia e di fatto l’attività di captazione vedeva le sue fasi svolte interamente sul territorio nazionale.

Tali considerazioni spingerebbero a ritenere legittima una perquisizione on line di un server estero attraverso un trojan per copiarne il suo contenuto?

Il caso è diverso da una perquisizione in corso sul territorio nazionale che interessi un cloud o server estero è stato più volte espresso, infatti, il principio da parte della Cassazione che l’operazione, sia legittima[10].

In sintesi, la giurisprudenza ritiene che l’attività investigativa debba essere svolta interamente sul territorio nazionale, indipendentemente dal fatto che si tratti di intercettazioni o perquisizioni digitali online. La Cassazione ha ritenuto che i possibili e ripetuti spostamenti in territori esteri impedirebbero le intercettazioni, poiché l’autorità giudiziaria che l’ha disposta non sa dove si trova il proprietario dell’account su cui è stato installato il trojan, e pertanto non può richiedere una rogatoria di volta in volta che potrebbe, peraltro, anche danneggiare le finalità investigative di tale strumento.

In breve, l’acquisizione di prove conservate su cloud e server localizzati in paesi diversi è diventata una parte essenziale delle indagini moderne, ma che deve essere gestita con estrema attenzione. La ricerca delle prove oltreconfine non è una novità, in quanto già prevista dai codici di procedura penale di tutti i Paesi. Per questo motivo, negli ultimi anni, sono emerse teorie e soluzioni innovative per accedere con efficacia alle prove digitali all’estero, raggruppabili in quattro differenti approcci: riformista, unilaterale, internazionale e misto[11], ai quali andrebbe dedicato altro articolo per la complessità delle implicazioni che ne conseguono.

La regolamentazione delle perquisizioni online: una questione aperta

L’assenza di una tipizzazione normativa su questo strumento ha quale dirette conseguenze queste criticità, allo stato irrisolte:

  • anche laddove lo strumento per diverse ragioni appare essere l’unica soluzione efficace, scoraggia l’investigatore dal ricorrervi attese le numerose incertezze. Accade sempre più spesso che anche allorquando tali strumenti risultino essere l’unica soluzione investigativa, l’alea di incertezza che li circonda e la mancanza di una precisa normazione, ne sconsigli l’utilizzo;
  • è altrettanto evidente come l’invasività dello strumento, vada ad impattare fortemente su diversi diritti “fondamentali” dei cittadini che non possono e non devono trovare tutela nella giurisprudenza, ma in un adeguato impianto legislativo capace nella gerarchia delle fonti anche internazionali (laddove coinvolte) di tutelare adeguatamente e compiutamente non solo il domicilio, la corrispondenza, la libertà dei cittadini ma anche l’impianto dedicato alla raccolta delle prove con specifiche garanzie a bilanciamento dei confliggenti interessi in gioco.

Risulta allora ancor più evidente e cogente la necessità di un intervento legislativo in materia capace di esprimere un equo bilanciamento tra i diritti costituzionali, che vada normando nello specifico:

  • i casi e i metodi di utilizzo di questi strumenti all’interno di un sistema informatico;
  • prevedere a quali reati e contesti possano essere applicate queste nuove tecniche;
  • con quali richieste “autorizzatorie” / “garanzie” (decreto del PM del GIP);
  • tempi, procedure e conseguenti sanzioni in caso di mancato rispetto di queste prescrizioni;

solo così uno strumento così importante e strategico potrà assurgere a mezzo di ricerca della prova uscendo dall’ambiguità che oggi lo avvolge e che richiede sempre più spesso interventi giurisprudenziali a soluzione delle numerose incertezze che lo attanagliano, che si ripete a parere dello scrivente non sufficienti e non adeguata soluzione a criticità che interessano i diritti “fondamentali” di ciascuno di noi.

Conclusioni

Invero, la tutela va estesa a tutti gli attori in gioco quindi anche agli investigatori che potrebbero essere chiamati in assenza di una precisazione legislazione sull’utilizzo di questi strumenti, a dover rispondere anche di gravi reati (mi viene su tutti un accesso abusivo ad un sistema informatico), laddove operazioni di questo tipo non dovessero essere “coperte” da un adeguato ombrello normativo.

Note

[1] Pur non essendo questo il tema in trattazione appare evidente come le ragioni che spingono le aziende a delocalizzare i propri dati non siano solo di convenienza logistica ma anche economico-fiscali.

[2] 189 cpp

[3] Riserva di legge e di giurisdizione

[4] Si approfondisca per esempio l’interpretazione giurisprudenziale anche recente, Cass.pen.Sez. IV Sent., 07.06.2022 n. 21856, circa la riconducibilità della localizzazione da remoto attraverso il GPS tra i mezzi atipici di ricerca della prova.

[5] Cass. Sez. V, 14 ottobre 2009, n. 16556 in CED n. 246954.

[6] BVerfG, 27 febbraio 2008, BVerfGE 120, 274 ss (https://www.bundesverfassungsgericht.de/SharedDocs/Entscheidungen/EN/2008/02/rs20080227_1bvr037007en.html)

[7] Cass. Sezione I, sent. N. 3591/2022, udienza del 7/10/2021.

[8] Cass. pen. Sez. VI, Sent., (ud. 27-09-2023) 17-11-2023, n. 46482.

[9] Per chi volesse approfondire il tema specifico rimando a L.Giordano “Dopo le Sezioni Unite sul captatore informatico avanzano nuove questioni, ritorna il tema della funzione di garanzia del decreto autorizzativo” – punti 7 e 8.

https://archiviodpc.dirittopenaleuomo.org/upload/5372-giordano317.pdf

[10] Su tutte e per i puntuali approfondimenti si richiama Corte di Cassazione – IV sez. penale, nella sentenza 28 giugno 2016, n. 40903 ove, in sintesi, stabilisce , tra l’altro, che ai fini del riconoscimento della legittimità della relativa acquisizione assumerebbe rilievo determinante la circostanza che le aree virtuali dei sistemi cloud e dei profili social siano nella disponibilità di un soggetto situato nel territorio dello Stato, a nulla rilevando la circostanza che i server ospitanti i dati di interesse siano eventualmente posizionati all’estero. Secondo la Corte non sarebbe pertanto necessaria alcuna preliminare richiesta di rogatoria all’estero. Tuttavia, per chi volesse approfondire la tematica, occorre rammentare come in tema di cooperazione giudiziaria internazionale l’assistenza venga prestata solo previo soddisfacimento del requisito della doppia incriminazione per la medesima condotta, principio che può rappresentare un limite nel momento in cui un determinato fatto- reato, considerato penalmente rilevante dal nostro ordinamento, non sia considerato tale nel Paese in cui ha sede il cloud provider. Si veda anche, se basata su altre motivazioni: Cass.-pen.-Sez.-III-sent.-25-06-2021-n.-24885.

[11] Cfr. Halefom H. Abraha, Law enforcemente access to electroniv evidence across borders: maping policy approaches and emergin reform initiatives, in International Journal of Law and Information Technology, 2021

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Argomenti

Canali

Speciale PNRR

Tutti
Incentivi
Salute digitale
Formazione
Analisi
Sostenibilità
PA
Sostemibilità
Sicurezza
Digital Economy
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articoli correlati

  • mercati digitali

    Pubblicità con l'intelligenza artificiale? I rischi di programmatic adv e MFA

    04 Set 2023

    di Alessio Pecoraro

    Condividi

  • SDG

    Infocamere: “Ecco come mappare le aziende che hanno fatto della sostenibilità una mission”

    28 Set 2023

    di Niccolò Stamboglis

    Condividi

  • esperto risponde

    Fattura elettronica: come conservare i documenti di trasporto

    25 Lug 2023

    di Salvatore De Benedictis

    Condividi

Prossimo

Pubblicità con l'intelligenza artificiale? I rischi di programmatic adv e MFA

Articolo 1 di 4