Le nuove tecnologie e l’agenda del Codice di Procedura Penale

È stata la volta dei Trojan, per intercettare non solo telefonate, messaggi ed email, ma anche per “usare” i cellulari come microspie ambientali.

È stata la volta dei sistemi di indagine sociale, attraverso lo scraping e il monitoraggio dati su gruppi social.

È stata anche la volta delle chat semi o del tutto crittate, tra gruppi su messanger e telegram.

Se la criminalità sempre più adotta le nuove tecnologie come strumento “del mestiere”, anche gli inquirenti non stanno a guardare.

L’ultima novità – apparentemente ultima – vede il caso dell’uso dei criptofonini, cellulari anche di uso comune con software modificati (generalmente basati su android) per sfruttare vpn o reti non intercettabili.

Il problema nasce, in sede penale, essenzialmente su un punto: la certezza della prova, che deriva anche dalla certezza della provenienza, che nel caso di crittazione dipende anche dalla certezza e dalla conoscenza del sistema usato per l’acquisizione dell’informazione “in chiaro”.

Le chat dei criptofonini acquisite e decrittate dall’autorità giudiziaria estera europea possono essere acquisite dal pubblico ministero italiano come “atti di altro procedimento” tramite un ordine europeo di indagine: lo hanno stabilito le Sezioni Unite della Corte di Cassazione in una sentenza adottata in camera di consiglio il 29 febbraio 2024.

Le Sezioni Unite della Cassazione penale in quella sentenza, in estrema sintesi, hanno ammesso l’utilizzabilità in Italia, in esecuzione dell’Ordine Europeo di Indagine, degli atti trasmessi dalla Francia sul contenuto di comunicazioni effettuate attraverso criptofonini e già acquisite e decriptate in un proprio procedimento penale dall’autorità giudiziaria estera, ma con modalità sconosciute e addirittura poste sotto segreto di Stato nella nota inchiesta su Sky ECC.

Le Sezioni Unite hanno così statuito in risposta a due ordinanze di rimessione, provenienti della terza e della sesta sezione penale (rispettivamente ordinanze nn. 47798/2023 e 2329/2024).

Il tema quindi che si presenta è se un sistema di garanzie definibile nel concetto di “equo processo” sia compatibile con una prova a genesi “non del tutto e pienamente nota”.

Dalla memoria della Procura generale presso la Corte di Cassazione emergono queste definizioni e informazioni sul meccanismo di funzionamento dei “criptofonini” oggetto della sentenza:

“Essa utilizza sofisticati metodi crittografici a più livelli di sicurezza, attivi sia sui dispositivi mobili, sia sui server intermediari, per resistere ai tentativi di intercettazione. Come è stato specificato nelle ordinanze di rimessione alle Sezioni unite e nelle ordinanze impugnate in entrambi i procedimenti, gli indagati facevano uso di “criptofonini anti-intercettazione” da intendersi come smartphone che impiegano un hardware standard (in genere Apple, Android o Black Berry), ma che, rispetto agli apparecchi mobili tradizionali, si connotano per l’installazione di un’apposita scheda SIM e di un sistema operativo dedicato, avente particolari requisiti di sicurezza, in quanto disabilita i servizi di localizzazione (GPS, Bluetooth, fotocamera, scheda SD e porta USB). Le chiamate rimangono attive solo in modalità Voice over IP (VoiP), non avvalendosi della rete GSM, ed impiegano applicazioni di cui sono proprietarie le piattaforme stesse (Encrochat, Sky ECC, Anom, No1bc, etc.), che permettono lo scambio di dati crittografati con una cifratura a più livelli. I “criptofonini”, per assicurare la riservatezza delle comunicazioni, necessitano di una dotazione di “server”, messi a disposizione dalla compagnia che gestisce il servizio in abbonamento e che abilita gli utenti a scambiare messaggistica o chat, secondo una architettura informatica del tipo “peer-to-peer”, che archivia i dati – oltre che sul dispositivo criptato – anche sui server, dedicati e protetti da algoritmi ad elevata sicurezza. Sky ECC è costruito mediante architettura “client-server”, con la conseguenza che qualunque messaggio telematico basato su tale applicativo, per poter approdare dal terminale del mittente sul “criptofonino” del destinatario, deve necessariamente transitare attraverso il server centrale. I dati in cui si risolvono le chat scambiate su Sky ECC viaggiano cifrati sulla rete internet”.

La Terza Sezione penale aveva rilevato come fosse insorto un contrasto tra le Sezioni in merito all’utilizzabilità come prova delle chat ottenute mediante ordine europeo di indagine rivolto all’autorità giudiziaria nella forma già decriptata.

L’indirizzo prevalente ritiene utilizzabili nel procedimento penale i messaggi, pur dividendosi in merito all’individuazione della disciplina applicabile quale parametro di riferimento per sostenere tale giudizio (acquisizione di documenti e atti informatici ex articolo 234 bis del c.p.p. o acquisizione prove o acquisizione di documenti ex articolo 234 c.p.p.).

Un diverso indirizzo giurisprudenziale, invece, con specifico riferimento al tema del rispetto del principio di equivalenza, ha escluso il ricorso alla previsione di cui all’art. 234-bis del codice di procedura penale e ha chiesto di chiarire quale sia stata la natura dell’attività svolta all’estero e di attribuire alla stessa la corretta qualificazione giuridica, riconducibile secondo questo indirizzo al sequestro di cui all’art. 254-bis oppure alle intercettazioni previste dall’art. 266 del codice di procedura penale.

In questo indirizzo è manifestata perplessità in ordine alla natura dell’attività svolta dall’Autorità giudiziaria straniera, che è consistita nell’avere “instradato” le “chat su un server” e, quindi, nel compimento di attività captative anche con l’impiego di software del tipo “trojan”, che consistevano in intercettazioni che richiedono l’adozione di specifici provvedimenti da parte del giudice e non del pubblico ministero.

La Sesta Sezione penale (ordinanza n. 2329/2024) aveva rimesso la decisione sull’ulteriore contrasto giurisprudenziale riguardante l’acquisizione e l’utilizzabilità dei dati informatici scambiati con l’utilizzo di criptofonini, richiedendo alle Sezioni Unite di stabilire:

1. se l’acquisizione, mediante ordine europeo di indagine, dei risultati di intercettazioni disposte dall’Autorità giudiziaria estera su una piattaforma informatica criptata integri, o meno, l’ipotesi disciplinata nell’ordinamento interno dall’art. 270 cod. proc. pen.;

2. se l’acquisizione, mediante ordine europeo di indagine, dei risultati di intercettazioni disposte dall’Autorità giudiziaria estera attraverso l’inserimento di un captatore informatico sul “server” di una piattaforma criptata sia soggetta nell’ordinamento interno ad un controllo giurisdizionale, preventivo o successivo, in ordine alla utilizzabilità dei dati raccolti.

Secondo l’informazione provvisoria diffusa dalla Suprema Corte, ai quesiti sottoposti dalla terza sezione sono state date le seguenti soluzioni: a. il trasferimento di cui sopra rientra nell’acquisizione di atti di un procedimento penale che, a seconda della loro natura, trova alternativamente il suo fondamento negli artt. 78 disp. att. cod. proc. pen., 238, 270 cod, proc. pen. e, in quanto tale, rispetta l’art. 6 della Direttiva 2014/41/UE; b. rientra nei poteri del pubblico ministero quello di acquisizione di atti di altro procedimento penale; c. l’Autorità giurisdizionale dello Stato di emissione dell’ordine europeo di indagine deve verificare il rispetto dei diritti fondamentali, comprensivi del diritto di difesa e della garanzia di un equo processo.

Ai quesiti sottoposti dalla sesta sezione penale sono state fornite queste risposte: a. l’acquisizione, mediante ordine europeo d’indagine, dei risultati di intercettazioni disposte da un’autorità giudiziaria straniera, in un proprio procedimento, su una piattaforma informatica criptata e su criptofonini integri l’ipotesi disciplinata, nell’ordinamento nazionale, dall’art. 270 cod. proc. pen.; b. ai fini dell’emissione dell’ordine europeo di indagine finalizzato al suddetto trasferimento, non occorra la preventiva autorizzazione del giudice; c. l’Autorità giurisdizionale dello Stato di emissione dell’ordine europeo di indagine deve verificare il rispetto dei diritti fondamentali, comprensivi del diritto di difesa e della garanzia di un equo processo».

Al centro dell’analisi dei giudici di legittimità era la contemperazione di diritti quali quello di difesa e di contraddittorio con riguardo anche al metodo di decrittazione delle chat seguito dal giudice straniero.

La difesa aveva eccepito la violazione dell’articolo 6 della Convenzione europea dei diritti dell’uomo in merito alla esclusione dell’accesso ai file originari e alla chiave di cifratura (utilizzata dalla autorità giudiziaria straniera), lamentando la violazione del diritto di difesa per aver impedito la verifica delle modalità con le quali era stato acquisito il dato, poi oggetto di prova in Italia.

L’altra questione sottoposta alle Sezioni Unite ha riguardato la natura documentale o captativa (cioè di intercettazione) dell’acquisizione dei dati effettuate con ordine di indagine europeo, individuando nel giudice straniero il garante della legittimità anche procedurale della acquisizione.

Le Sezioni Unite hanno deciso sulla base delle conclusioni conformi della Procura generale, che aveva evidenziato che: a) le modalità con le quali l’autorità giudiziaria straniera ha acquisito i messaggi presenti sulla piattaforma Sky ECC, nel caso di specie, non hanno comportato alcuna violazione dei principi fondamentali e inderogabili dell’ordinamento giuridico italiano; b) Il diritto di difesa non può essere ritenuto leso per effetto della mancata conoscenza (e, dunque, dell’indisponibilità per la difesa) dell’algoritmo utilizzato per la decriptazione della messaggistica acquisita. “Costituisce principio consolidato quello per cui, in tema di intercettazioni di flussi comunicativi, l’indisponibilità dell’algoritmo utilizzabile per la decriptazione dei dati informatici non determina alcuna lesione del diritto di difesa, perché l’interessato può avvalersi della procedura prevista dall’art. 268, commi 6 e 7, cod. proc. pen. per verificare il contenuto delle captazioni, ma non può anche pretendere un controllo diretto mediante l’utilizzo esclusivo e non mediato del programma di decriptazione” (Sez. 6, n. 14395 del 27/11/2018 dep. 2019); c) in ogni caso, la violazione dell’art. 268, commi 6 e 7, cod. proc. pen. non rientra tra le cause di inutilizzabilità dell’intercettazione contemplate dall’art. 271 cod. proc. pen. Resta ferma la possibilità per la difesa di dedurre, sulla base di ragioni specifiche, anomalie tecniche in grado di fare dubitare della correttezza delle acquisizioni e dell’inquinamento del risultato probatorio e, in tal caso, il correlativo obbligo, per l’autorità giudiziaria, di promuovere accertamenti sul punto; d) la correttezza dell’algoritmo utilizzato nel caso di specie nell’operazione di decodificazione è attestata dalla stessa intellegibilità delle chat acquisite. Secondo l’orientamento giurisprudenziale consolidato, qualora il messaggio telematico sia criptato mediante un impiego di un algoritmo o di una chiave di cifratura e trasformato in un mero dato informatico, l’intelligibilità del messaggio è subordinata all’attività di decriptazione che presuppone la disponibilità dell’algoritmo che consente di trasformare il codice binario in un contenuto dimostrativo. Ogni messaggio cifrato è inscindibilmente accoppiato alla sua chiave di cifratura. Pertanto, solo la chiave esatta produrrà una decifratura, necessariamente l’unica possibile e, per ciò stesso, necessariamente quella corretta e necessariamente quella ‘integrale’; e) nel caso in cui si individuasse nell’art. 270 cod. proc. pen. la disposizione che, in un caso interno analogo, avrebbe giustificato l’importazione degli esiti di intercettazioni svolte in un diverso procedimento, il riferimento alla direttiva 2002/58/CE, relativa alla vita privata e alle comunicazioni elettroniche non sarebbe pertinente. Essa riguarda solo il caso in cui le autorità pubbliche chiedono l’accesso ai dati trattati dai fornitori di servizi di telecomunicazione, dovendo ricomprendersi nel concetto di “trattamento dei dati personali”, di cui all’art. 4, § 2, del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche, in special modo la conservazione di detti dati. Qualora, invece, l’intercettazione sia effettuata direttamente dagli Stati membri, con accesso diretto alle utenze con provvedimento mirato, senza che sia imposto alcun obbligo di trattamento dei dati ai fornitori di servizi di telecomunicazione, la direttiva relativa alla vita privata e alle comunicazioni elettroniche non trova applicazione; f) lo stesso meccanismo di funzionamento del sistema di comunicazione criptato è tale che, senza intercettare prima il server e, poi, inoculare in esso un trojan, non si può realizzare l’attività investigativa in modo utile sui singoli apparecchi, apprendendo le chiavi di cifratura necessarie a decodificare quanto acquisito.

L’intercettazione dei telefoni criptati nel nostro ordinamento può avvenire anche quando il meccanismo tecnologico adoperato implica necessariamente l’inoculazione di un captatore informatico nel server utilizzato per le comunicazioni al fine di cogliere le chiavi di cifratura che sono tanto negli apparecchi, quanto nel server.

La qualificazione giuridica dell’attività investigativa, in breve, non può prescindere da uno sforzo di comprensione del sistema tecnologico sul quale essa si è innestata e, per un ovvio quanto doveroso rispetto del “principio di realtà”, non può che considerare tale sistema quale variabile indipendente, così evitando di ragionare per archetipi astratti.

Ciò tuttavia non può portare ad eccessi elusivi della certezza dell’origine della prova, dei sistemi di valutazione in contraddittorio – anche tecnico – della prova stessa, e dell’accertamento della sua manipolabilità.

Ne parliamo oggi, sui criptofonini, ma la fattispecie va estesa e chiarita in termini di principio ex-ante per i possibili e concreti sviluppi ed evoluzione della tecnologia stessa.

Del resto la legge penale in particolare non può ragionare ex-post in onore al principio della certezza del diritto, che in sede di giudizio si estrinseca soprattutto nel mondo e nella vita del codice di procedura penale, che mai come oggi deve essere chiaro a priori.

Ciò in ossequio alle garanzie dell’imputato nel contesto dell’equo processo, ma anche per evitare che queste garanzie siano uno scuso – tecnologicamente sviluppato – alla sanzione del reato.