L’Ordine Europeo di Indagine rappresenta oggi uno strumento fondamentale nella cooperazione giudiziaria internazionale, istituito dalla Direttiva 2014/41/UE per semplificare l’acquisizione di prove nelle indagini transfrontaliere. Le recenti sentenze “gemelle” della Corte di Cassazione a Sezioni Unite hanno finalmente chiarito importanti questioni interpretative relative all’utilizzabilità delle comunicazioni criptate e all’impiego di strumenti investigativi innovativi in questo contesto.
Indice degli argomenti
Le sentenze “gemelle” della Suprema Corte di Cassazione a Sezioni Unite
La Corte di Cassazione, con le due Sentenze n.ri 23755/2024 e 23756/2024, ha risolto un contrasto giurisprudenziale giudicando su un caso relativo all’utilizzabilità delle risultanze investigative di un procedimento penale francese richieste dall’AG italiana a seguito di Ordine Europeo di Indagine (in seguito OEI) istituito dalla Direttiva 2014/41/UE e reso esecutivo in Italia con D.lgs. n. 21 giugno 2017, n. 108.
Accorre, anzitutto, precisare che nei considerando della citata Direttiva si rinviene l’esigenza di rafforzare la cooperazione internazionale al fine di contrastare i reati c.d. “transfrontalieri”, in un’ottica di semplificazione rispetto alle procedure di rogatoria internazionale in essere.
Al Considerando 6, infatti, si enuncia «la finalità di perseguire ulteriormente l’istituzione di un sistema globale di acquisizione delle prove nelle fatti specie aventi dimensione transfrontaliera, basato sul principio del riconoscimento reciproco» in quanto «gli strumenti esistenti nel settore costituiscono una disciplina frammentaria e che è necessaria una nuova impostazione che, pur ispirandosi al principio del riconoscimento reciproco, tenga conto altresì della flessibilità del sistema tradizionale di assistenza giudiziaria. ».
Il legislatore europeo ha anche stabilito che l’autorità procedente (rectius di “emissione”) dovrebbe optare per l’OEI solo quando l’esecuzione di un atto di indagine appare proporzionata, adeguata e applicabile al caso di specie, mentre l’autorità di esecuzione, qualora lo strumento richiesto non sia contemplato nel proprio ordinamento, può usare un altro tipo di atto di indagine se «quello richiesto non è previsto dal proprio diritto nazionale o non è disponibile in un caso interno analogo » (cfr. Considerando n. 10).
Si tratta, in buona sostanza, di un tentativo di armonizzare le procedure investigative in un’ottica di semplificazione e/o pronta spedizione dei mezzi di prova che la direttiva ha così “codificato” (art. 13 e artt. 20 e ss Dir. cit.):
- Trasferimento delle prove acquisite o già in possesso dello Stato di esecuzione a seguito di OEI;
- Trasferimento temporaneo nello Stato di emissione di persone detenute ai fini di un atto d’indagine;
- Trasferimento temporaneo nello Stato di esecuzione di persone detenute ai fini di del compimento di un atto di indagine;
- Audizione mediante videoconferenza o altra trasmissione audiovisiva o teleconferenza;
- Richiesta informazioni relative a conti bancari e altri conti finanziari ovvero relative a operazioni bancarie e ad altre operazioni finanziarie, anche mediante controllo in “tempo reale”;
- Consegne controllate (es. di stupefacente);
- Operazioni di infiltrazione.
Gli articoli 30 e 31 Dir. Cit. stabiliscono anche una specifica procedura in relazione ad intercettazioni su un “target” presente in uno Stato membro per le quali non è necessaria l’assistenza tecnica dello stesso Stato: in questa ipotesi lo Stato membro che intercetta deve notificare l’atto investigativo allo Stato in cui è presente la persona intercettata; nell’ipotesi in cui non fosse ammesso in un caso interno analogo, sono previsti profili di inutilizzabilità totale o parziale dei risultati dell’indagine.
Per quanto attiene alla procedura da seguire, lo Stato di emissione notifica per iscritto l’OEI allo Stato di esecuzione il quale deve trattare la richiesta al pari di un atto investigativo interno, con l’obbligo di rispondere entro 7 giorni (con il modulo cd. B) in un massimo di 30 giorni (prorogabili per ulteriori 30 gg) decidendo se accettare o denegare la collaborazione.
In caso di accettazione, l’OEI deve essere eseguito entro 90 giorni e l’autorità di esecuzione deve trasferire all’autorità di emissione «senza indebito ritardo» le prove acquisite o già in suo possesso ovvero, se richiesto nell’OEI e consentito dalla legislazione nazionale dello Stato di esecuzione, le prove sono trasferite immediatamente alle autorità competenti dello Stato di emissione che partecipano all’esecuzione dell’OEI (art. 13 Dir. cit.).
Il legislatore italiano, in sede di esecuzione della Direttiva con il D.lgs. 108/2017, ha stabilito che la richiesta di OEI nel territorio dello Stato è riconosciuta con decreto “motivato” del PM non oltre sessanta giorni dalla ricezione; se si tratta di indagini relative ai delitti di cui all’articolo 51, commi 3-bis e 3-quater c.p.p. l’Ufficio di Procura informa il procuratore nazionale antimafia e antiterrorismo al fine di consentire l’opportuno coordinamento investigativo.
In ogni caso, il PM deve tramettere copia dell’OEI al Ministero della Giustizia quale “Autorità Centrale” si sensi della legge citata.
Qualora l’ordine di indagine sia reso dall’AG italiana, la competenza è, secondo gli atti da compiere o del PM o del Giudice che, in quest’ultimo caso, prima di rendere l’OEI deve sentire le parti; fra l’altro, il legislatore estende la disciplina dell’OEI anche al procedimento di prevenzione.
Gli orientamenti giurisprudenziali sul tema dell’acquisizione delle prove telematiche mediante OEI
Le decisioni della S.C. partono dal quadro delineato dalla Corte Costituzionale con la Sentenza n. 170 del 2023 secondo cui la tutela della corrispondenza ai sensi dell’art. 15 Cost. (in cui è ricompresa anche la posta elettronica e la messagistica istantanea) deve essere assicurata anche dopo la ricezione del messaggio da parte del destinatario, almeno fino a quando non abbia perso ogni carattere di attualità; la tutela della riservatezza è garantita dalla c.d. “riserva di giurisdizione” qui intesa quale «vaglio dell’autorità giurisdizionale associato alla garanzia del contraddittorio, alla possibile contestazione dei presupposti applicativi della misura, della sua eccessività e proporzione, e, in ultima analisi, consente li pieno dispiegarsi allo stesso diritto di difesa». (Corte Costituzionale Sentenza 2/2023).
Nello specifico, la Sentenza Cass. Pen. S.U. n. 23755/2024 S.U ha composto il contrasto giurisprudenziale sorto su due differenti questioni:
« a) se l’acquisizione di messaggi su chat di gruppo scambiati con sistema cifrato attraverso un ordine Europeo di indagine rivolto ad un’autorità giudiziaria straniera che ne abbia eseguito la decrittazione costituisca acquisizione di documenti e di dati informatici ai sensi dell’art. 234-bis cod. proc. pen. o di documenti ex art. 234 cod. proc. pen. ovvero sia riconducibile ad altra disciplina relativa all’acquisizione di prove;
b) se l’acquisizione di cui sopra debba essere oggetto, ai fini della utilizzabilità dei relativi dati, di preventiva o successiva verifica giurisdizionale della sua legittimità da parte della autorità giurisdizionale nazionale.»
Gli orientamenti a supporto della decisione erano tre e possono essere così sintetizzati:
Le chat di gruppo scambiate mediante un sistema cifrato
Il primo, in ordine di tempo, sostiene che le chat di gruppo scambiate mediante un sistema cifrato già decrittate da un paese estero e da questo già conservate presso i propri server, sono trasmesse all’AG italiana a mezzo di OEI sensi dell’art. 234 bis c.p.p. secondo cui «È sempre consentita l’acquisizione di documenti e dati informatici conservati all’estero, anche diversi da quelli disponibili al pubblico, previo consenso, in quest’ultimo caso, del legittimo titolare».
Secondo il succitato orientamento (Sez. 4, n. 37503 del 30-05-2023 ex multis) occorre distinguere tra le operazioni di intercettazione – ossia la captazione del messaggio cifrato mentre è in transito dall’apparecchio del mittente a quello del destinatario – rientranti nella disciplina di cui all’art. 266-bis c.p.p. (intercettazioni telematiche, ndr) e le operazioni di acquisizione di un messaggio già transitato che hanno per oggetto una «rappresentazione comunicativa incorporata in una base materiale con un metodo digitale» e come tali sussumibili nella disciplina di cui all’art. 234-bis c.p.p..
Inoltre, il requisito del consenso all’acquisizione da parte dell’avente diritto sarebbe soddisfatto nella misura in cui per “legittimo titolare” deve intendersi l’autorità straniera che ha formato il dato che, nel caso di specie, è la P.G. o l’A.G. francese che aveva disposto ed eseguito l’intercettazione telematica.
Ulteriori pronunzie legittimano tale modalità di acquisizione delle prove purché aderente allo schema legale dello Stato che esegue l’ordine secondo la Direttiva n. 2014/41/UE; fra l’altro, altre sentenze ribadiscono che nulla osta all’acquisizione la circostanza che l’OEI sia stato emesso dal PM anche quando si stratta di atto che, secondo la legge italiana, sia di competenza del Giudice, come nel caso di provvedimento ex art. 132 comma 3 D.lgs. 196/2003 (Codice Privacy) in materia di acquisizione dei dati di traffico telefonico e telematico.
Infine, la specifica questione della mancata conoscenza dell’algoritmo di cifratura a fini difensivi rappresenta un falso problema in quanto «secondo la scienza informatica, ove la chiave di decrittazione non fosse corretta, sarebbe impossibile ottenere un testo avente un significato intelligibile.»
Acquisizione dei dati e tutela della corrispondenza nell’ordine europeo di indagine
Un secondo orientamento (Sez. 6, n. 44154 del 26-10-2023 ex multis) ritiene che, nel caso di apprensione dei dati oggetto di intercettazione telematica, sia applicabile la disciplina in materia di perquisizione e sequestro e, in particolare, quella di cui all’art. 254-bis c.p.p.
Invero, la disciplina di cui all’art. 234-bis c.p.p. ha, secondo il presente orientamento, un carattere residuale nello specifico caso di documenti informatici «preesistenti all’avvio delle indagini o comunque formati fuori delle investigazioni.»
Oltretutto, trattandosi di acquisizioni di dati relativi alla corrispondenza è sempre obbligatorio un provvedimento del Giudice (cfr. art. 132 Cod. Privacy e Corte giustizia, Grande Sezione, 02-03-2021, C-746-18) anche sulla scorta delle pronunzie sia della Corte Costituzionale e della Giurisprudenza EDU che estende le tutele di libertà e segretezza della corrispondenza anche ai messaggi di posta elettronica, o comunque inviati via internet e già ricevuti dal destinatario.
Il terzo orientamento sull’ordine europeo di indagine e i dati freddi
Secondo un terzo orientamento, nel caso di ottenimento dei c.d. “dati freddi” tramite OEI, è applicabile l’art. 234 c.p.p. (generica prova documentale).
In questo caso si osserva, in via preliminare, che l’art. 234-bis c.p.p. non è riferibile all’acquisizione di atti mediante OEI, poiché la sua genesi si ravvisa nell’art. 32 della Convenzione di Budapest sulla criminalità informatica del 23 novembre 2001 (ratificata con L. 48/2008), che fa riferimento alla documentazione accessibile senza ricorso alle procedure di collaborazione con lo Stato che detiene i documenti.
Le indicate decisioni, peraltro, non prospettano ricadute operative differenti da quelle indicate dall’orientamento che fa riferimento all’applicazione della disciplina di cui all’art. 234-bis c.p.p., almeno con riguardo all’ammissibilità del trasferimento della prova in Italia sulla base della sola richiesta del pubblico ministero e senza preventiva autorizzazione del giudice.
I principi di diritto stabiliti dalla Cassazione sull’ordine europeo di indagine
La S.C., dopo un’articolata illustrazione del ricorso della difesa e della disamina degli arresti giurisprudenziali testé sintetizzati, ha quindi enunziato i seguenti principi di diritto:
“La trasmissione, richiesta con ordine europeo di indagine, del contenuto di comunicazioni scambiate mediante criptofonini, già acquisite e decrittate dall’autorità giudiziaria estera in un procedimento penale pendente davanti ad essa, non rientra nell’ambito di applicazione dell’art. 234-bis cod. proc. pen., che opera al di fuori delle ipotesi di collaborazione tra autorità giudiziarie, bensì nella disciplina relativa alla circolazione delle prove tra procedimenti penali, quale desumibile dagli artt. 238 e 270 cod. proc. pen. e 78 disp. att. cod. proc. pen.”
“In materia di ordine europeo di indagine, le prove già in possesso delle autorità competenti dello Stato di esecuzione possono essere legittimamente richieste ed acquisite dal pubblico ministero italiano senza la necessità di preventiva autorizzazione da parte del giudice del procedimento nel quale si intende utilizzarle.”
“L’emissione, da parte del pubblico ministero, di ordine europeo di indagine diretto ad ottenere il contenuto di comunicazioni scambiate mediante criptofonini, già acquisite e decrittate dall’autorità giudiziaria estera in un procedimento penale pendente davanti ad essa, non deve essere preceduta da autorizzazione del giudice italiano, quale condizione necessaria a norma dell’art. 6 Direttiva 2014/41/UE, perché tale autorizzazione, nella disciplina nazionale relativa alla circolazione delle prove, non è richiesta per conseguire la disponibilità del contenuto di comunicazioni già acquisite in altro procedimento.”
“La disciplina di cui all’art. 132 d.lgs. n. 196 del 2003, relativa all’acquisizione dei dati concernenti il traffico di comunicazioni elettroniche e l’ubicazione dei dispositivi utilizzati, si applica alle richieste rivolte ai fornitori del servizio, ma non anche a quelle dirette ad altra autorità giudiziaria che già detenga tali dati, sicché, in questo caso, il pubblico ministero può legittimamente accedere agli stessi senza chiedere preventiva autorizzazione al giudice davanti al quale intende utilizzarli.”
Ordine europeo di indagine e tutela dei diritti fondamentali
“L’utilizzabilità del contenuto di comunicazioni scambiate mediante criptofonini, già acquisite e decrittate dall’autorità giudiziaria estera in un procedimento penale pendente davanti ad essa, e trasmesse sulla base di ordine europeo di indagine, deve essere esclusa se il giudice italiano rileva che il loro impiego determinerebbe una violazione dei diritti fondamentali, fermo restando che l’onere di allegare e provare i fatti da cui inferire tale violazione grava sulla parte interessata.”
“L’impossibilità per la difesa di accedere all’algoritmo utilizzato nell’ambito di un sistema di comunicazioni per criptare il testo delle stesse non determina una violazione dei diritti fondamentali, dovendo escludersi, salvo specifiche allegazioni di segno contrario, il pericolo di alterazione dei dati in quanto il contenuto di ciascun messaggio è inscindibilmente abbinato alla sua chiave di cifratura, ed una chiave errata non ha alcuna possibilità di decriptarlo anche solo parzialmente.”
La Sentenza n. 237656/2024 rende i medesimi principi arricchendoli con i seguenti:
“In materia di ordine europeo di indagine, l’acquisizione dei risultati di intercettazioni disposte da un’autorità giudiziaria straniera in un procedimento penale pendente davanti ad essa, ed effettuate su una piattaforma informatica criptata e su criptofonini, non rientra nell’ambito di applicazione dell’art. 234-bis cod. proc. pen., che opera al di fuori delle ipotesi di collaborazione tra autorità giudiziarie, ma è assoggettata alla disciplina di cui all’art. 270 cod. proc. pen.”.
“L’emissione, da parte del pubblico ministero, di ordine europeo di indagine diretto ad ottenere i risultati di intercettazioni disposte da un’autorità giudiziaria straniera in un procedimento penale pendente davanti ad essa, ed effettuate attraverso l’inserimento di un captatore informatico sui server di una piattaforma criptata, è ammissibile, perché attiene ad esiti investigativi ottenuti con modalità compatibili con l’ordinamento italiano, e non deve essere preceduta da autorizzazione del giudice italiano, quale condizione necessaria ex art. 6 Direttiva 2014/41/UE, perché tale autorizzazione non è richiesta nella disciplina nazionale”.
“L’utilizzabilità dei risultati di intercettazioni disposte da un’autorità giudiziaria straniera in un procedimento penale pendente davanti ad essa, ed effettuate su una piattaforma informatica criptata e su criptofonini, deve essere esclusa se il giudice del procedimento nel quale dette risultanze istruttorie vengono acquisite rileva che, in relazione ad esse, si sia verificata la violazione dei diritti fondamentali, fermo restando che l’onere di allegare e provare i fatti da cui inferire tale violazione grava sulla parte interessata”.
IMSI Catcher e Ordine Europeo di Iindagine: il problema delle garanzie
L’affermazione dei principi di diritto sopra enunziati sono stati richiamati dalla Suprema Corte in successive pronunzie che hanno confermato l’utilizzabilità delle prove richieste a mezzo di OEI assumendo che fossero stati assicurati i requisiti della citata Direttiva 2014/41/UE in tema di riconoscimento reciproco e fiduciario delle sentenze e delle decisioni giudiziarie, dovendosi ravvisare, nel caso sottoposto al suo esame, una presunzione (salvo prova contraria) che gli Stati membri rispettano i diritti fondamentali e, soprattutto, il principio di proporzione fra il mezzo di indagine usato e la compressione delle libertà personali degli indagati e dei terzi (Cass., sez. III, 3 dicembre 2024, n. 44047).
La sentenza sopra riportata ha, altresì, ritenuto legittimo l’utilizzo dello strumento investigativo denominato IMSI-Catcher che è un dispositivo che simula un ponte radio cellulare legittimo che “inganna” i dispositivi mobili presenti nel suo raggio di azione, costringendoli a connettersi ad esso al fine di carpire l’IMSI (Intenational Mobile Subscriber Identity) e l’IMEI (International Mobile Equipment Identity) ai fini dell’intercettazione vera e propria.
Sul punto la Cassazione ha chiarito che il decreto del GIP che autorizza le intercettazioni comprende anche la preventiva attività tecnica della PG finalizzata all’individuazione delle utenze “bersaglio”, anche mediante l’utilizzo dell’IMSI Catcher, non aderendo alla posizione della difesa secondo cui sarebbe stato necessario un decreto autorizzativo ad hoc poiché si trattava di un’intrusione rispetto al diritto di riservatezza del proprio assistito tutelata dall’art. 15 Cost.
Nel ricorso, infatti, la difesa richiamava sia la giurisprudenza costituzionale sul tema, sia la sentenza della Corte EDU 24 aprile 2018 (c. Benedik c. Slovenia) secondo cui anche l’acquisizione dell’indirizzo IP (assimilabile al codice IMEI, secondo il ricorrente) ricade nella sfera di applicazione dell’art. 8 CEDU e conclude che, essendo necessaria ai fini della legittima intrusione nella sfera di riservatezza dell’utente l’emissione di un ordine dell’AG, la richiesta diretta dei log da parte della Polizia al provider costituisse violazione della succitata Convenzione in quanto si trattava di un interferenza arbitraria nella sfera di riservatezza dell’interessato.
Il ricorrente, sostenendo la tesi dell’equivalenza fra IP al codice IMEI (con un richiamo al § 30 del Rapporto Esplicativo della Convenzione sul Cybercrime), conclude che la mancanza di autorizzazione del Giudice avrebbe dovuto condurre alla sanzione dell’inutilizzabilità delle intercettazioni avvenute successivamente all’individuazione dell’IMSI mediante il catcher.
Come anticipato, la Suprema Corte ha ritenuto legittimo l’utilizzo dell’IMSI Catcher anche in assenza di sufficiente determinazione del Giudice nell’atto che autorizza l’attività di intercettazione, nonostante i succitati richiami e la posizione alcuni commentatori che ritengono che, allo stato attuale, la S.C. stia aggirando la specifica questione così come affrontata dalla CEDU.
Ordine Europeo di Indagine e contrasto con la CEDU: necessità di intervento legislativo
Appare evidente che la S.C., anche al fine di non vanificare l’attività investigativa in relazione a fattispecie di reato particolarmente preoccupanti, ha considerato legittimo l’uso degli strumenti investigativi di cui si è parlato.
Tuttavia, il confine fra diritti fondamentali sanciti dalla nostra costituzione e dalle convenzioni internazionali, e il dovere degli Stati di perseguire gli autori di gravi condotte criminali, non sembra essere stato ancora ben delineato
Sarebbe, pertanto, necessario l’intervento del legislatore che preveda, una volta per tutte, la riserva di giurisdizione anche in presenza di attività tecniche che, per loro natura o per l’utilizzo di strumenti hardware o software particolarmente invasive per il diritto alla riservatezza dei singoli, non possono essere considerate mere “attività preventive”, ma vere e proprie intercettazioni, rectius, interferenze nella vita privata dei cittadini.
Bibliografia
https://www.ictsecuritymagazine.com/articoli/imsi-suci/
Direttiva 2014/41/UE – D.lgs. n. 21 giugno 2017 n. 108;
Cassazione Penale, sentenze n.ri 23755/2024 e 23756/2024,
Cass., sez. III, 3 dicembre 2024, n. 44047;
Corte EDU 24 aprile 2018 (c. Benedik c. Slovenia)
