Se in tema di mezzi di prova l’acquisizione di messaggi su chat di gruppo scambiati con sistema cifrato, mediante server presso A.G. straniera che ne ha eseguito la decrittazione, costituisca acquisizione di “documenti e di dati informatici” ai sensi dell’art. 234-bis cod. proc. pen. a mente del quale “è sempre consentita l’acquisizione di documenti e dati informatici conservati all’estero, anche diversi da quelli disponibili al pubblico, previo consenso, in quest’ultimo caso, del legittimo titolare” o di documenti ex art. 234 cod. proc. pen. o sia riconducibile in altra disciplina relativa all’acquisizione di prove. Se inoltre, tale acquisizione debba essere oggetto, ai fini della utilizzabilità dei dati in tal modo versati in atti, di preventiva o successiva verifica giurisdizionale della sua legittimità da parte della Autorità giurisdizionale nazionale.
In una vasta indagine si è appurato che alcuni soggetti facevano uso di “criptofonini anti-intercettazione”, da intendersi quali dispositivi smartphone che usano metodi di crittografia capace di proteggere i sistemi di comunicazione, solitamente basati, sullo stesso hardware dei telefonini normali, ma con l’aggiunta di sistemi di cifratura superiori ai normali dispositivi Android o Apple. I criptofonini utilizzano un hardware standard, in genere Android, Black Berry o IPhone, ma rispetto ai normali telefonini ospitano un software capace di contenere un sistema operativo dedicato, avente particolari requisiti di sicurezza, in quanto disabilita servizi di localizzazione (GPS, Bluetooth, fotocamera, scheda SD e porta USB). Le chiamate rimangono attive ma solo in modalità Voice over IP (VoiP), utilizzano reti diverse dalla normale rete telefonica, e sono crittografate ad una cifratura a più livelli. L’operazione ha, in sostanza, permesso di decrittare i contenuti delle chat scambiate dagli indagati, avendo accesso ai flussi di informazioni di oltre 70.000 utenti, che la Cooperazione internazionale ha permesso di rendere disponibili in favore di Autorità̀ giudiziarie comunitarie, e per quel che qui ci occupa di quella italiana, tramite l’emissione di appositi O.E.I.
Il materiale indiziario, costituito anche dai messaggi scambiati con il sistema cifrato utilizzato dagli indagati, è stato ritenuto utilizzabile sia dal Gip che dal Tribunale del riesame che nel respingere la tesi difensiva – fondata sull’assenza di autorizzazione del Gip alla effettuazione di intercettazioni con violazione dell’art. 266 e ss. cod. proc. pen. – ha sottolineato la natura documentale e non captativa delle chat in questione richiamando in tal senso conforme giurisprudenza di legittimità̀.
A seguito del ricorso sul punto della difesa la Suprema Corte ha avvertito l’esigenza di stabilire se effettivamente i messaggi su chat di gruppo presso Autorità̀ Giudiziaria straniera che ne abbia già eseguito la decrittazione costituisca acquisizione o meno di “documenti e di dati informatici” ai sensi innanzitutto dell’art. 234-bis cod. proc. pen.
In senso positivo risultano numerose sentenze della Suprema Corte che, nel sostenere la tesi dell’acquisibilità delle chat di cui si discute ai sensi dell’art. 234-bis cod. pen., muovono dalla distinzione, con particolare riferimento per quanto qui di interesse a comunicazioni criptate, tra intercettazioni da una parte e acquisizione e decifrazione di dati comunicativi dall’altra. In proposito, si distingue tra operazioni di captazione e di registrazione del messaggio cifrato nel mentre lo stesso è in transito dall’apparecchio del mittente a quello del destinatario, e le operazioni di acquisizione del contenuto del messaggio già̀ inoltrato oltre che di decriptazione dello stesso, necessarie per trasformare mere stringhe informatiche in dati comunicativi intellegibili.
Solo alla prima delle due suindicate tipologie di operazioni fa riferimento l’art. 266-bis cod. proc. pen., che estende l’applicabilità̀ delle norme del codice di rito relative alle ‘normali’ intercettazioni di conversazioni o comunicazioni tra soggetti a distanza, alle intercettazioni di flussi di comunicazioni relativi a sistemi telematici ovvero intercorrenti tra più sistemi telematici: flussi che non avvengono in via diretta tra apparecchi informatici, ma che sfruttano la trasmissione dei dati in via telematica, dunque via cavo o ponti radio, ovvero per mezzo di altra analoga strumentazione tecnica. Quando, invece, il messaggio telematico sia acquisito allorquando non sia più̀ all’interno di un flusso in corso di comunicazioni, e sia stato criptato – come è appunto accaduto nel caso di specie -, va esclusa la disciplina delle intercettazioni, destinata ad operare solo con riferimento a flussi di comunicazioni in atto e gli inquirenti ne possono valorizzare il contenuto a fini dimostrativi, laddove abbiano la disponibilità̀ dell’algoritmo che consente di decriptarne il tenore ovvero se tale ‘chiave’ venga altrimenti messa a disposizione degli investigatori dalla società̀ che ne è proprietaria.
Si tratta quindi, in altri termini, di attività̀ non rientrante propriamente nella nozione di operazioni di intercettazioni, perché́ non riguardante la captazione e la registrazione di dati comunicativi in itinere dal mittente al destinatario. In questa prospettiva, peraltro, non assumerebbe rilevanza, ai fini del vaglio di legittimità̀ del tipo di acquisizione in esame, la questione se i dati stessi siano stati acquisiti dalla magistratura straniera ex post o in tempo reale (quindi come “dati freddi” o come “flussi di comunicazioni”) perché ciò che rileva è che i flussi di comunicazione non fossero più in corso al momento in cui sono stati chiesti i dati e (a maggior ragione) quando quei dati furono trasmessi dalla Autorità̀ che li aveva acquisiti. Per cui, in tal caso, la situazione non sarebbe dissimile da quella che si verifica quando viene acquisito ex post un flusso di comunicazioni, scritte o per immagini, memorizzato sulla memoria di un apparecchio telefonico. In conclusione, quindi, la suddetta natura delle chat in esame, quali dati o documenti informatici di tipo comunicativo, distinti dal flusso di comunicazioni informatiche o telematiche in atto, cui soltanto è riconducibile la disciplina delle intercettazioni ai sensi dell’art. 266-bis cod. proc. pen., consentirebbe, secondo questo primo indirizzo di legittimità̀, l’acquisizione delle medesime, ove già acquisite e conservate da Autorità Giudiziaria estera, mediante O.E.I. attivato dal Pubblico ministero.
In questa ottica si è pure ritenuta la legittimità dell’ottenimento dei documenti informatici in parola attraverso l’o.e.i. attivato dal Pubblico ministero, senza necessità di ulteriori verifiche giurisdizionali interne anteriori e tantomeno posteriori, rispetto alla citata acquisizione. Si tratta infatti, secondo questo primo indirizzo giurisprudenziale, di una richiesta di acquisizione degli esiti documentali di attività̀ d’indagine precedentemente svolta, rispetto alla quale l’ordinamento interno rinviene la piena ed esclusiva competenza del P.M.; organo peraltro competente nella fase di indagine, salve specifiche eccezioni, quali la richiesta di effettuazione di intercettazioni all’estero (art. 43 del dlgs. n. 108 del 2017), all’emissione dello stesso o.e.i.. E del resto, l’utilizzazione degli atti trasmessi a seguito di attività̀ di cooperazione internazionale non è condizionata da un accertamento svolto ad opera del giudice italiano concernente la regolarità̀ delle modalità̀ di acquisizione esperite dall’Autorità̀ straniera, in quanto vige la presunzione di legittimità̀ dell’attività̀ svolta e spetta al giudice straniero la verifica della correttezza della procedura e l’eventuale risoluzione di ogni questione relativa alle irregolarità̀ lamentate nella fase delle indagini preliminari. In altri termini l’o.e.i., oltre a dover avere ad oggetto una prova acquisibile nello Stato di emissione, deve eseguirsi in conformità̀ a quanto previsto nello Stato di esecuzione per il compimento di un analogo atto di acquisizione probatoria, e si deve presumere il rispetto di tale disciplina e dei diritti fondamentali, salvo concreta verifica di segno. Il giudice italiano, quindi, non può̀ e non deve conoscere della regolarità̀ degli atti di esecuzione di attività̀ di indagine compiuta dall’autorità̀ giudiziaria straniera (nel caso di specie quella francese), giacché detta l’attività̀ investigativa è eseguita secondo la legislazione dello Stato estero; e, a maggior ragione, ciò̀ vale ove l’originaria attività̀ investigativa non sia stata compiuta su richiesta dell’autorità̀ giudiziaria italiana, ma sia stata eseguita, nell’ambito di altro procedimento instaurato nel detto Stato, su iniziativa di quell’Autorità̀.
Secondo la tesi in esame, dunque, si tratta di una richiesta di acquisizione degli esiti documentali di attività̀ d’indagine che l’Autorità̀ straniera ha già svolto, nella sua piena autonomia, nel rispetto della sua legislazione in relazione ad altri reati; pertanto la tutela giurisdizionale relativa a tali atti non può che trovare spazio in tale altro ordinamento.
Rispetto alla complessiva tesi suesposta, sono intervenute di recente due sentenze della Sezione VI della Corte di Cassazione (rispettivamente la n. 44154 e 44155 del 26 ottobre 2023 depositate il successivo 2 novembre) che risultano aprire orientamenti dissenzienti rispetto alle suesposte soluzioni rivenute in ordine alle due questioni sottoposte all’esame delle Sezioni Unite.
Con sentenza n. 44154 del 26/10/2023 (dep. 02/11/2023) Rv. 285284 – 01, si è innanzitutto evidenziata la peculiarità del caso esaminato dalla Suprema Corte, caratterizzato dal fatto che, nel provvedimento gravato, non era stato chiarito se rispetto al momento della emissione e della trasmissione degli o.e.i. le investigazioni compiute dall’Autorità Giudiziaria francese fossero state tutte definitivamente concluse, oppure se fossero proseguite anche sulla base delle richieste formulate dall’Autorità Giurisdizionale italiana; cosicché̀ si è precisato che la disposizione dettata dall’art. 234-bis cod. proc. pen. è inapplicabile se riferita ai risultati di una attività̀ acquisitiva che, anche in attuazione della richiesta di assistenza formulata dall’autorità̀ giudiziaria italiana, si sia concretizzata nella apprensione occulta del contenuto archiviato in un server ovvero nel sequestro di relativi dati ivi memorizzati o presenti in altri supporti informatici, nella disponibilità̀ della società che gestiva quella piattaforma di messaggistica. Aggiungendosi, altresì̀, che una siffatta attività̀ acquisitiva va piuttosto inquadrata nelle disposizioni dettate in materia di perquisizione e sequestri, in specie nella norma dettata dall’art. 254- bis del codice di rito, riguardante le ipotesi di sequestro di dati informatici presso fornitori di servizi informatici, telematici e di comunicazioni.
E’, tuttavia opportuno, in ogni caso evidenziare, costituendo essa un punto nodale di contrasto, la premessa delle suesposte conclusioni, secondo la quale l’operatività̀ dell’art. 234-bis cod. proc. pen. “può̀ ritenersi giustificata esclusivamente nell’ipotesi di acquisizione di documenti e dati informatici, intesi come elementi informativi “dematerializzati”, che preesistevano rispetto al momento dell’avvio delle indagini da parte dell’autorità̀ giudiziaria francese ovvero che erano stati formati al di fuori di quelle investigazioni: nel caso portato all’odierna attenzione di questa Corte, di contro, risulta in maniera sufficientemente chiara che quella acquisita è stata documentazione di attività̀ di indagine della autorità̀ straniera“.
Si tratta di un’affermazione che, nella misura in cui debba interpretarsi nel senso di delimitare la predetta fattispecie ex art. 234- bis cod. proc. pen. alla sola acquisizione di dati informatici in ogni caso estranei, nella loro formazione, a qualsivoglia coinvolgimento di autorità̀ investigative, appare entrare in contrasto con il diffuso e diverso indirizzo sopra esposto, secondo cui ciò̀ che invece importa, per la rilevanza della norma citata, è che i flussi di comunicazione non fossero più̀ in corso al momento in cui sono stati chiesti i dati e (a maggior ragione) quando quei dati furono trasmessi.
Di interesse è anche l’ulteriore notazione, siccome rilevante in ordine alla seconda questione sollevata, con cui, evidenziandosi l’incidenza, sulla normativa nazionale per l’acquisizione presso il server dei dati esterni alle telecomunicazioni, di arresti della Corte di giustizia dell’Unione europea (in particolare Corte di Giustizia, Grande Camera, del 2 marzo 2021 H.K., C-746/18 ), la Suprema Corte ha sottolineato l’intervenuta adozione in via d’urgenza (decreto-legge n. 132 del 2021) delle novelle disposizioni inserite nell’art. 132 Cod. privacy (così come risultanti dalla legge di conversione n. 178 del 2021), mediante le quali il legislatore ha “giurisdizionalizzato” nel procedimento penale la procedura di acquisizione dei dati esterni di traffico telefonico e telematico (che richiede ora un provvedimento autorizzatorio motivato del giudice). Così da concludere, che “l’acquisizione all’estero di documenti e dati informatici inerenti a corrispondenza o ad altre forme di comunicazione debba essere sempre autorizzata da un giudice: sarebbe davvero singolare ritenere che per l’acquisizione dei dati esterni del traffico telefonico e telematico sia necessario un preventivo provvedimento autorizzativo del giudice, mentre per compiere il sequestro di dati informatici riguardanti il contenuto delle comunicazioni oggetto di quel traffico sia sufficiente un provvedimento del pubblico ministero“.
Tanto si sostiene anche alla luce della illustrata valenza della posizione assunta dalla Corte costituzionale in ordine all’estensione applicativa delle garanzie previste dall’art. 15 Cost., in materia di libertà e segretezza della corrispondenza e di ogni altra forma di comunicazione (Corte cost., sent. n. 170 del 2023), considerata anche in collegamento con le posizioni assunte in materia dalla Corte europea dei diritti dell’uomo che ha ricondotto “sotto il cono di protezione dell’art. 8 CEDU“, ove pure si fa riferimento alla “corrispondenza” tout court, i messaggi di posta elettronica (Corte EDU, sent. 5/09/2017, Barbulescu c. Romania, § 72; Corte EDU, sent. 3/04/2007, Copland c. Regno Unito, § 41), gli SMS (Corte EDU, sent. 17/12/2020, Saber c. Norvegia, § 48) e la messaggistica istantanea inviata e ricevuta tramite internet (Corte EDU, sent. Barbulescu, cit., § 74).
Si tratta di affermazione, va precisato, che al di là del riferimento ad una attività̀ investigativa che pare diversa da quelle considerate dalla duplice tesi in precedenza illustrata, tanto da delineare, piuttosto, un’ipotesi di sequestro, sembra poter aprire la riflessione sul necessario intervento, anteriore o postumo del giudice, per l’acquisizione all’estero dei dati comunicativi in parola. Tanto più che disponendosi l’annullamento con rinvio della ordinanza impugnata si ribadisce tra l’altro, la necessità, per il giudice del rinvio, di “verificare, ai fini della utilizzabilità̀ dei dati informativi acquisiti, concernenti comunicazioni nella fase “statica”, se sussistevano le condizioni originarie per l’autorizzabilità in sede giurisdizionale delle relative attività̀ investigative oggetto degli ordini europei“.
Si è ritenuto, pertanto, tenuto conto delle diverse impostazioni giurisprudenziali riferite che sussista una duplice questione di diritto che pare idonea a dare luogo ad un contrasto giurisprudenziale che, ai sensi dell’art. 618 comma 1, cod. proc. pen., considerata anche la particolare rilevanza della questione, come dimostrato dalla non esigua messe di pronunce, non sempre uniformemente orientate, che si sono succedute in breve tempo sulla materia, giustifica la rimessione del ricorso alle Sezioni Unite della Corte di Cassazione, invitate, pertanto, a decidere sulle seguenti questioni:
- a) “Se in tema di mezzi di prova la acquisizione di messaggi su chat di gruppo scambiati con sistema cifrato, mediante server presso A.G. straniera che ne ha eseguito la decrittazione, costituisca acquisizione di “documenti e di dati informatici” ai sensi dell’art. 234-bis cod. proc. pen. o di documenti ex art. 234 cod. proc. pen. o sia riconducibile in altra disciplina relativa all’acquisizione di prove”.
- b) “Se inoltre, tale acquisizione debba essere oggetto, ai fini della utilizzabilità dei dati in tal modo versati in atti, di preventiva o successiva verifica giurisdizionale della sua legittimità da parte della Autorità Giurisdizionale nazionale”.
Cass. Pen. sezione terza, ordinanza n. 47798 del 3 novembre (dep. il 30 novembre) 2023
Iscrivendoti alla nostra Newsletter acconsenti al trattamento dei dati personali ai sensi della legge n. 196/2003 e successive modifiche Regolamento UE 2016/679. Per ulteriori informazioni, clicca qui