di Federica Resta, dirigente del Garante per la protezione dei dati personali*
*Il presente contributo riflette opinioni personali dell’autrice, che non impegnano in alcun modo l’Autorità di appartenenza
Con le sentenze nn. 44155 e 44154 del 2023, la Sesta sezione della Corte di cassazione ha affermato alcuni principi rilevanti in tema di acquisizione, mediante ordine europeo di indagine, di messaggi su chat crittografate presso autorità giudiziaria straniera. Innovando rispetto ad altri precedenti, la Corte ha in particolare escluso l’applicabilità, in tali casi, dell’art. 234-bis c.p.p., in favore dell’art. 254-bis relativamente a comunicazioni in fase statica e, rispettivamente, della disciplina degli artt. 266 ss rispetto alle comunicazioni in fase “dinamica”.
Sommario: 1. Il contesto – 2. I principi affermati dalla Sesta Sezione – 3. I temi sottesi alle decisioni.
1. Il contesto
Con decisione n. 9 del 2023, la terza sezione penale della Corte di cassazione ha rimesso alle Sezioni Unite l’esame di alcune questioni interpretative rilevanti rispetto all’acquisizione, con ordine europeo di indagine (di seguito: “o.e.i.”), di messaggistica criptata sulla piattaforma SKY-ECC[1]. La materia è stata recentemente oggetto di rinvio pregiudiziale ex art. 267 TFUE alla CGUE da parte del Tribunale del Land di Berlino (C 670/22), relativamente ad alcuni aspetti tra i quali la rilevanza dell’impossibilità di conoscere le modalità tecniche di acquisizione dei dati trasmessi sulla piattaforma Encrochat (analoga a SKY-ECC) e il relativo regime di utilizzabilità. Le particolari caratteristiche tecniche di questo sistema di messaggistica e dei dispositivi utilizzati (i “criptofonini”), volti a occultare le comunicazioni effettuate hanno, infatti, determinato il ricorso a modalità investigative del tutto peculiari. L’acquisizione e la successiva decrittazione delle chat parrebbero, infatti, avvenute dapprima a livello centrale, con l’inoculamento di un malware nel server anziché nei singoli dispositivi e, quindi, con alcune notifiche inviate a questi ultimi per ottenere la chiave di decrittazione delle conversazioni. Tuttavia, sul trojan utilizzato sarebbe stato apposto il segreto di Stato da parte della Francia, con conseguente compressione del contraddittorio sulle modalità di formazione della prova.
Il Conseil constitutionnel francese, con decisione n. 2022-987 QPC dell’8 aprile 2022, M. Saïd Z, aveva peraltro rigettato la questione di costituzionalità sollevata rispetto alla generale previsione dell’utilizzabilità di strumenti di captazione coperti dal segreto di Stato. Il tema della conoscibilità da parte della difesa delle modalità di formazione della prova era stato invece risolto nel nostro ordinamento, rispetto a questo sistema di messaggistica, nel senso della rilevanza della garanzia del contraddittorio sulle modalità di acquisizione del materiale probatorio (oltre che sugli esiti delle attività investigative), anche rispetto all’effettiva corrispondenza delle trascrizioni dei messaggi al tenore delle conversazioni intercettate, rilevante ai sensi dell’art. 191 c.p.p.[2].
La remissione alle Sezioni Unite concerne temi ulteriori e, in particolare:
a) la configurabilità dell’acquisizione mediante o.e.i. di messaggi su chat di gruppo presso A.G. straniera, che ne ha eseguito la decrittazione, in termini di acquisizione di “documenti e di dati informatici” ai sensi dell’art. 234-bis c.p.p.;
b) la necessità, ai fini dell’utilizzabilità dei dati in tal modo ottenuti, di preventiva o successiva verifica giurisdizionale della legittimità dell’acquisizione da parte dell’autorità giudiziaria nazionale.
La decisione segue il deposito di due sentenze della Sesta sezione (nn. 44155 e 44154 del 2023) le quali, innovando rispetto all’indirizzo precedente hanno affermato, nella parte loro comune, che:
– l’oggetto dell’acquisizione all’estero della messaggistica criptata sulla piattaforma SKY-ECC non costituisce dato informatico utilizzabile ai sensi dell’art. 234-bis c.p.p., sicché, in tale ipotesi, l’attività acquisitiva, se riguardante comunicazioni avvenute nella fase “statica”, dev’essere inquadrata nelle disposizioni dettate in materia di perquisizione e sequestro e, in particolare, in quella prevista dall’art. 254-bis c.p.p. mentre se, avente ad oggetto comunicazioni avvenute nella fase “dinamica”, dev’essere inquadrata nella disciplina degli artt. 266 e ss. c.p.p., in materia di intercettazioni telematiche;
– la questione dell’illegittima emissione dell’ordine europeo di indagine da parte del pubblico ministero italiano non può essere dedotta dinanzi al giudice italiano, nel caso in cui tale ordine sia stato emesso per acquisire una prova già disponibile nello Stato di esecuzione e la stessa sia stata definitivamente trasmessa da tale Stato (in tal caso, la difesa può soltanto far valere la mancanza delle condizioni di ammissibilità della prova secondo l’ordinamento processuale italiano);
– l’utilizzabilità di prove acquisite all’estero a seguito della sua emissione è subordinata all’accertamento, da parte del giudice italiano, delle condizioni di ammissibilità dell’atto di indagine secondo le regole dell’ordinamento nazionale e del rispetto delle norme inderogabili e dei relativi principi fondamentali.
2. I principi affermati dalla Sesta Sezione
Riguardo al primo punto si registra un significativo revirement rispetto all’indirizzo (cfr., in particolare, Cass. pen. Sez. I, 1 luglio 2022, n. 34059; Sez. IV, n. 16347 del 2023) volto a ritenere la messaggistica conservata su server straniero dato informatico documentale conservato all’estero e non flusso comunicativo[3]. Di qui anche la ritenuta applicabilità, all'acquisizione della messaggistica crittografata end-to-end dal server straniero dove essa sia conservata, con il consenso del “legittimo titolare”, la disposizione di cui all'art. 234-bis cpp, escludendo la disciplina dell’art. 266-bis cpp, applicabile solo mentre l’attività di messaggistica, ancorché criptata, sia in corso.
Ai fini dell’individuazione della disciplina applicabile rileverebbe infatti, secondo la Corte, la natura del documento, nella specie non cartacea o analogica, ma rappresentativa di comunicazione “incorporata in una base materiale con un metodo digitale”. Per consenso del "legittimo titolare" dei dati conservati all'estero dovrebbe, inoltre, intendersi l’assenso manifestato dalla persona giuridica che di quei documenti informatici può disporre, in assenza del quale dovrebbero attivarsi le procedure di cooperazione giudiziaria internazionale (cfr.. anche Cass. pen. Sez. VI, 28 maggio 2019, Pizzarotti, n. 28269; considera invece “legittimo titolare” il Tribunale di Parigi[4] che aveva proceduto al sequestro del server di proprietà della Sky Global).
A fronte di tale argomentazione le sentenze della Sesta sezione rilevano, invece, come la disciplina dell’art. 234-bis possa applicarsi solo limitatamente all’acquisizione di elementi informativi dematerializzati, preesistenti rispetto al momento di avvio dell’indagine francese o, comunque, formati al di fuori di essa e non ai risultati di un’attività acquisitiva concretizzatasi nell’apprensione occulta o nel sequestro del contenuto di un server.
In tali ultimi casi dovrà, invece, applicarsi la disciplina in tema di perquisizioni e sequestri (art. 254-bis c.p.p.), quella di cui all’art. 132 d.lgs. 196 del 2003 e s.m.i. per l’acquisizione dei soli dati “esterni” e, invece, quella di cui agli artt. 266 ss.c.p.p. per la captazione, in fase “dinamica”, di conversazioni telefoniche o ambientali o di flussi telematici.
E proprio il riferimento alla disciplina dell’acquisizione dei dati di traffico (art. 132 d.lgs. 196 del 2003) consente alla Corte di affermare che “l’acquisizione all’estero di documenti e dati informatici inerenti a corrispondenza o ad altre forme di comunicazione debba essere sempre autorizzata da un giudice”. La sentenza richiama, infatti, la progressiva giurisdizionalizzazione che ha caratterizzato la procedura di acquisizione dei tabulati, sulla scorta di alcune sentenze della CGUE (in particolare, quella del 2.3.21, C 746-18[5]) che hanno poi indotto il legislatore interno, con il d.l. 132 del 2021, a subordinarla al decreto motivato del giudice, oltre che alla sussistenza di un quadro indiziario connotato in termini di sufficienza rispetto a reati selezionati quoad poenam. Sarebbe dunque singolare – osserva la Corte – escludere, per il sequestro di dati informatici inerenti il contenuto di comunicazioni, quel vaglio autorizzativo del giudice richiesto, invece, per i meri dati esterni, che attingono a un livello di riservatezza certamente inferiore rispetto ai dati “comunicativi”.
In favore di questa conclusione, la Corte richiama anche la sentenza n. 170 del 2023 della Consulta che, pur pronunciata in sede di conflitto interorganico di attribuzioni (e dunque ai fini dell’applicazione delle autorizzazioni ad acta ex art. 68 Cost.), ha fornito indicazioni importanti sulla tipologia di comunicazioni protette dalle garanzie (riserva di giurisdizione, oltre che di legge) di cui all’art. 15 Cost. Esse si applicano, infatti, prescindendo dalle “caratteristiche del mezzo tecnico utilizzato”, estendendosi a ogni “strumento che l’evoluzione tecnologica mette a disposizione a fini comunicativi, compresi quelli elettronici e informatici” e, in particolare, alla corrispondenza “ivi compresa quella elettronica, anche dopo la ricezione da parte del destinatario, almeno fino a quando, per il decorso del tempo, essa non abbia perso ogni carattere di attualità, in rapporto all’interesse alla sua riservatezza”. Analoga lettura evolutiva dell’art. 15 Cost. è stata offerta dalla Consulta, anche a proposito del visto di censura sulla corrispondenza dei detenuti (sent. 20 del 2017) e, più recentemente, della misura amministrativa inibitoria del possesso e dell’utilizzo di apparecchi di comunicazione (sent. 2 del 2023).
La Corte demanda qui, alla fase rescissoria, la verifica della riconducibilità dell’operazione svolta dagli inquirenti francesi alla categoria del sequestro probatorio o dell’intercettazione, in ragione delle concrete modalità di apprensione dei messaggi, se in fase appunto statica o dinamica. Il punto fermo (e condivisibile) è l’esclusione dell’applicazione dello schema dell’acquisizione documentale a fattispecie come queste, nelle quali il contenuto acquisito non preesiste alle indagini ma ne costituisce, in vario modo, il risultato.
La Corte analizza, inoltre, il tema della competenza all’emissione dell’o.e.i., che per la fase delle indagini preliminari è attribuita, dalla legislazione interna, al pubblico ministero, previa autorizzazione del giudice nel caso di intercettazioni (artt. 27 e 43 d.lgs. 108 del 2017). In assenza di previsioni espresse sull’emissione dell’o.e.i. per l’acquisizione di prove già disponibili, anche tale ipotesi deve ritenersi – rileva la Corte – riconducibile alla competenza del pubblico ministero, appunto generale per fase, eventualmente preceduto - ove previsto dal diritto interno per la tipologia di atti da acquisire- da provvedimento autorizzatorio del giudice. La Corte precisa che, in questo caso, l’eventuale illegittimità dell’emissione dell’o.e.i. per assenza di provvedimento autorizzatorio del giudice va eccepita presso lo Stato di esecuzione, risultando altrimenti preclusa dalla definitiva trasmissione della prova allo Stato di emissione.
Tuttavia, precisano le due sentenze, anche tale preclusione non priva la difesa della possibilità di verificare la sussistenza delle condizioni di ammissibilità della prova trasmessa secondo le regole proprie dell’ordinamento interno, anche in sede di riesame laddove, appunto, non sia stata svolta nel procedimento a quo, prima dell’emissione dell’o.e.i.. Tale verifica, pur successiva, di ammissibilità tempera l’applicazione del principio del male captum, bene retentum, recuperando sia pur in seconda istanza la funzione del vaglio giudiziale.
Nella direttiva, del resto, la questione dell’utilizzabilità della prova acquisita con o.e.i. è rimessa all’autonomia procedurale degli Stati, fermi restando i diritti della difesa e le garanzie di un giusto processo nel valutare le prove acquisite tramite l’o.e.i.. Per questo, la disciplina interna da considerare, rileva la Corte, non può limitarsi all’art. 270 c.p.p., cui è estraneo il profilo di ammissibilità dell’intercettazione e, quindi, di legalità del procedimento di formazione della prova[6]. Ai fini dell’acquisizione, con o.e.i., di intercettazioni svolte all’estero non è, dunque, sufficiente l’autorizzazione di un giudice di uno Stato membro secondo quanto previsto da quell’ordinamento, ma si rende necessario il controllo, da parte del giudice dello Stato di emissione, sull’ammissibilità e utilizzabilità della prova secondo il diritto interno.
Anche sotto questo profilo, si registra un parziale revirement rispetto all’indirizzo precedente, teso a escludere in casi analoghi l’ulteriore vaglio giurisdizionale interno, vigendo la presunzione di legittimità dell’attività svolta all’estero e spettando al giudice straniero l’accertamento della correttezza della procedura seguita e l’eventuale risoluzione di ogni eccezione rispetto alle irregolarità lamentate nella fase delle indagini (Cass., sez. I, n. 6363 del 2022 [7]).
Sul punto, le conclusioni dell’AG depositate il 26 ottobre, nell’ambito del rinvio pregiudiziale proposto dal Tribunale di Berlino (causa C 670/22), valorizzando parimenti il principio di reciprocità, affermano che lo Stato di emissione dovrebbe attribuire alla fase autorizzatoria giurisdizionale realizzata nello Stato di esecuzione lo stesso valore che avrebbe a livello interno. In particolare, l’AG esclude che, rispetto a un o.e.i. diretto al trasferimento di prove esistenti, l’autorità di emissione possa “valutare la legittimità della raccolta, nello Stato di esecuzione, delle prove delle quali richieda il trasferimento”.
La disciplina delle conseguenze di una genesi patologica della prova ottenuta mediante o.e.i. è, invece, secondo l’AG rimessa all’autonomia procedurale degli Stati, pur nel rispetto dei diritti della difesa sanciti dagli artt. 47 e 48 CDFUE. La sentenza 44154 ha interpretato questo margine nazionale di apprezzamento argomentando dal bilanciamento tra i principi del mutuo riconoscimento (centrale nella direttiva o.e.i.) e di legalità della prova (che è non solo espressione di un diritto del singolo ma forma dell’agire procedimentale secondo le garanzie del corretto processo). Il punto di sintesi è individuato - in linea con la giurisprudenza sulle rogatorie attive e nel solco dell’art. 191 c.p.p. - nei principi fondamentali dell’ordinamento tra i quali, in primo luogo, il diritto di difesa e il contraddittorio per la prova, costituenti limite inderogabile anche rispetto al principio di equivalenza. Rispetto a prove, quali quelle in esame, acquisite all’estero con il ricorso (parrebbe) a metodi (algoritmici) di decrittazione in parte coperti da segreto di Stato, la sent. 44154 rileva, quindi, come vada riconosciuto, alla difesa, il diritto di ottenere la versione originale dei messaggi e i dati necessari alla loro decrittazione.
3. I temi sottesi alle decisioni
I principi affermati dalla Sesta sezione colgono aspetti importanti del rapporto tra diritto ed innovazione tecnologica, dimostrando l’esigenza di un aggiornamento costante delle categorie dogmatiche e degli istituti processuali, perché le garanzie che vi sono sottese non siano eluse dalle nuove forme impresse, dalla tecnica, ad attività già normate con riferimento a realtà diverse.
Spetterà alle Sezioni Unite la decisione sulla conferma della linea proposta dalle sentenze più recenti, ma ciò che più rileva sono le riflessioni, di ordine generale, da esse indotte.
Così, in particolare, l’esclusione dell’applicabilità dello schema dell’acquisizione documentale ad attività limitative della riservatezza quali quelle oggetto dell’o.e.i. sembra cogliere quell’invito, nelle conclusioni dell’AG (punto 86) a considerare l’impatto, su tale diritto, degli strumenti investigativi, nell’ambito del complessivo giudizio di ammissibilità interno delle prove.
Del resto il richiamo, centrale nelle sentenze della Sesta sezione, alla necessità di un vaglio giurisdizionale per l’acquisizione del contenuto di comunicazioni – pur ferma la distinzione tra “fase”, statica o dinamica, della comunicazione – sembra suggerire l’opportunità di alcune modifiche legislative[8] .
Esse dovrebbero, in particolare, armonizzare (pur graduandola per grado di lesività) la disciplina delle varie forme di apprensione di contenuti riconducibili all’art. 15 Cost. prescindendo dalle modalità di realizzazione della comunicazione, purché assistita da un’esigenza di riservatezza e di esclusione dei terzi[9]. Tale disciplina dovrebbe, anche, valorizzare anche quelle esigenze di proporzionalità e non eccedenza della raccolta probatoria sottolineate dalla CGUE a proposito dei tabulati[10] e ribadite dalle conclusioni dell’AG (punto 101), alla luce della ritenuta applicabilità della direttiva 2016/680 a mezzi di ricerca della prova quali le intercettazioni.
Particolarmente rilevante è anche il principio affermato, segnatamente dalla sentenza 44154, in ordine al diritto di accesso della difesa alla versione originale dei messaggi oggetto di decrittazione. Esso, infatti, si conforma non soltanto a un’interpretazione forte del principio di legalità della prova ma, pure, alle particolari garanzie riconosciute, anche in ambito processuale, dall’art. 8 del d.lgs. 51 del 2018 (di recepimento della direttiva 2016/680) rispetto ai processi decisionali algoritmici (qual è quello sotteso alla decrittazione, appunto algoritmica, dei messaggi).
La posizione della Sesta sezione è tanto più rilevante in quanto riferita a un caso di possibile apposizione (e conseguente opposizione) del segreto, nello Stato di esecuzione, sull’algoritmo utilizzato dagli inquirenti per l’acquisizione e la decrittazione dei messaggi in questione[11]. Rideclinando, evidentemente, il bilanciamento affermato dal Conseil constitutionnel, la Sesta sezione conferma l’esigenza di assicurare un contraddittorio pieno sulla (e per la) prova, anche laddove la tecnica rischi di eluderne le garanzie.
[1] Sul punto, v. anche G. SPANGHER, Saranno le Sezioni Unite a "decriptare" le questioni giuridiche, su questa Rivista https://www.giustiziainsieme.i...
[2] Cass., sent. n. 32915 del 7.9.2022; per l’esclusione della violazione del diritto di difesa a fronte dell’impossibilità di verificare la corrispondenza tra il dato originale e quello trasmesso, dovendosi presumere quella dell’algoritmo una riproduzione fedele salva l’allegazione di elementi di segno contrario, cfr. Cass., I, sent.n. 16347 del 6.4.2023
[3] In quella sede, la Corte aveva anche chiarito che la valorizzazione, a fini dimostrativi, del contenuto della chat crittografata presuppone la disponibilità, da parte del Pubblico Ministero, dell'algoritmo di decrittazione o la sua messa a disposizione da parte della società che ne è proprietaria.
[4] Che, invece, le ordinanze della Sesta sezione considerano mero detentore qualificato dei dati, a fini di giustizia
[5] Su cui v. G. Spangher, Data retention: le questioni aperte, su questa Rivista e, volendo, F. Resta, Conservazione dei dati e diritto alla riservatezza. La Corte di giustizia interviene sulla data retention. I riflessi sulla disciplina interna.
[6] La conclusione non è tuttavia estesa a ipotesi acquisite diverse quali, ad esempio, quelle di cui all’art. 238 c.p.p.
[7] Cfr.anche le dichiarazioni di Mario Palazzi rese al Dubbio (V. Stella, Così il caso Open riapre la battaglia sulle intercettazioni, 9.11.23) e, in senso analogo, Cass., IV, sent. N. 23999 del 2023, secondo cui: “Gli atti compiuti dallo Stato estero nel rispetto delle proprie leggi non appaiono in contrasto con i principi fondamentali e inderogabili dell’ordinamento giuridico italiano. Ne consegue la piena utilizzabilità del materiale trasmesso in esecuzione degli O.I.E. che non può ritenersi ottenuto in violazione di divieti stabiliti dalla legge dello Stato richiesto nè in violazione di principi inderogabili dell’ordinamento giuridico italiano: infatti, l’ordine Europeo di indagine c.d. attivo deve avere ad oggetto una prova acquisibile nello Stato di emissione, mentre è rimessa allo Stato di esecuzione la concreta acquisizione della prova medesima, con le modalità e le garanzie previste in quell’ordinamento, potendosi presumere il rispetto da parte dell’Autorità delegata, nel sistema unionale, della relativa disciplina e dei diritti fondamentali stabiliti dalla CDFUE, nonchè del principio di proporzione, salvo concreta verifica di elementi di segno contrario.”.
[8] Quali, ad esempio, quelle di cui all’AS 690, che subordina l’ammissibilità del sequestro di strumenti elettronici a uno specifico quadro indiziario, all’autorizzazione del giudice, prevedendo garanzie di selezione del materiale probatorio e di conformità della copia forense; cfr. anche AS 809, che valorizza le esigenze di proporzionalità e non eccedenza nell’acquisizione, sottolineate dalla giurisprudenza CGUE e CEDU
[9] Sul punto cfr. anche A. BARBIERI, I limiti di utilizzabilità dei messaggi crittografati scambiati da un server estero ed acquisiti mediante ordine europeo di indagine, in Giurisprudenzapenale.it
[10] Per richiami giurisprudenziali si rinvia a F. Resta, Dalla conservazione generalizzata a quella mirata e rapida: la Corte di giustizia ridelinea i contorni della data retention, su questa Rivista
[11] La verifica in concreto dell’effettiva possibilità per la difesa di accesso all’algoritmo è, tuttavia, rimessa alla fase rescissoria del giudizio, anche in ragione della evidente complessità della vicenda su cui, ad esempio, Mario Palazzi, nell’articolo citato, osserva come invece il segreto sia stato apposto su profili irrilevanti per la difesa.