Lenti interpretative analogiche sulle intercettazioni mediante trojan: la ritenuta irrilevanza delle modalità tecniche di esecuzione nega il diritto alle garanzie digitali ed impedisce il controllo giurisdizionale.
Per la Cassazione “le operazioni di collocazione e disinstallazione del materiale tecnico necessario per eseguire le captazioni, anche tramite virus trojan, costituiscono atti materiali rimessi alla contingente valutazione della polizia giudiziaria e l’omessa documentazione delle operazioni svolte dalla polizia giudiziaria non dà luogo ad alcuna nullità od inutilizzabilità dei risultati delle intercettazioni ambientali”.
La fattispecie
Il GIP del Tribunale di Lecce disponeva la misura della custodia cautelare in carcere nei confronti dell’indagato per aver acquistato – in concorso con altri – ingenti quantità di cocaina ed eroina a fini di spaccio, ritenendo sussistenti gravi indizi di colpevolezza in ordine al delitto ex artt. 110, 81 c.p. e art. 73 d.P.R. n. 309 del 1990, ravvisati anche grazie al contenuto di intercettazioni eseguite tramite captatore informatico (o trojan). La successiva istanza di riesame veniva rigettata dal Tribunale del riesame di Lecce.
Avverso quest’ultima ordinanza, l’indagato proponeva ricorso per Cassazione, contestando, tra gli altri motivi, violazione di legge e vizio di motivazione (ritenuta illogica e contraddittoria) in ordine all’utilizzabilità del contenuto delle intercettazioni disposte mediante trojan, come giustificata dal Tribunale del riesame. Infatti, a parere del ricorrente, i decreti autorizzativi delle intercettazioni mediante intrusore non erano sorretti da idonea motivazione, stante anche la mancanza – all’epoca dei fatti, risalenti al 2018 – di copertura normativa dello strumento: quest’ultima è riferita non alla sua astratta utilizzabilità, ma al rispetto del dovere motivazionale e dei peculiari caratteri tecnici delle intercettazioni mediante captatore [1].
Altresì, veniva lamentato l’utilizzo del trojan nei confronti di utenze già sottoposte ad intercettazione telefonica tradizionale; la conseguente sovrapposizione veniva letta dalla difesa come uno stratagemma per eludere il termine massimo di durata delle intercettazioni già in essere.
Infine, il medesimo motivo contestava la mancata individuazione, all’interno dei decreti autorizzativi, delle modalità con cui la polizia giudiziaria ha potuto avvalersi del personale della ditta privata specializzata nelle attività di inoculazione e, di seguito, l’incertezza sulle modalità attuative dell’intercettazione, impiegate dal medesimo personale privato delegato [2].
Le intercettazioni mediante captatore informatico
Prima di concentrarsi sulle contestazioni avanzate dal ricorrente, la Suprema Corte traccia un puntuale excursus degli assetti giurisprudenziali e normativi in punto di regolamentazione delle intercettazioni mediante spyware. Come ormai noto, questo strumento investigativo si fonda sull’inoculazione occulta e da remoto (nella maggior parte dei casi) all’interno di un dispositivo (smartphone, pc, tablet, ecc.) di un software [3] – c.d. malware – in grado di captare l’intero flusso di dati generato dal dispositivo.
Il potenziale investigativo del trojan è amplissimo, in ragione delle attività che può compiere sul dispositivo infettato: attivazione del microfono e della videocamera; tracking del segnale GPS; screenshot e screencast dello schermo, keylogger (ossia possibilità di “tracciare” la pressione dei tasti digitati sulla tastiera del dispositivo, così da carpire, ad esempio, le password digitate); captazione di tutto il traffico dati in arrivo o in partenza dal dispositivo target, tra cui la visualizzazione di tutti gli scambi di messaggi, informazioni e file tramite le app di messaggistica istantanea; per giungere alla quasi “banale” perquisizione della memoria fisica dei dispositivi.
In ragione di questo enorme potenziale, la dottrina si è spesso interrogata sui rischi per le libertà degli individui e la loro riservatezza associate all’utilizzo indiscriminato dello spyware, in assenza di una disciplina organica, anche tecnica, dello strumento [4].
Attualmente l’ordinamento valorizza l’utilizzo dell’intrusore informatico esclusivamente in relazione alla captazione di conversazioni, collocando lo strumento, pur con le sue peculiarità, tra le “intercettazione tra presenti”. Prima la giurisprudenza (con le pronuncia a Sezioni Unite n. 26886 del 28.04.2016, “Scurato”), poi il legislatore (con il D. Lgs. 217 del 2016 e successive modifiche, entrato completamente in vigore il 1.09.2020 [5]) hanno riconosciuto l’utilizzabilità dello strumento a fini di captazione di conversazioni e ne hanno stabilito i confini applicativi.
Per fare ciò, è stato necessario confrontarsi con la principale peculiarità del captatore informatico nel quadro delle regole procedurali previste per i mezzi di ricerca della prova intercettativi: a differenza dei classici mezzi impiegati per le intercettazioni c.d. “ambientali” (le microspie), il trojan inserito in un dispositivo mobile, per sua natura itinerante, non consente di escludere a monte che la captazione avvenga nei luoghi di “privata dimora” ex art. 614 c.p.: qui, nel rispetto delle libertà costituzionali, non è generalmente consentito effettuare intercettazioni, salvo che non ci sia motivo di ritenere che in tali luoghi sia in corso attività criminosa.
Sulla base di questi presupposti, le Sezioni Unite avevano riconosciuto l’ammissibilità dell’intercettazione tra presenti tramite captatore informatico per i reati di criminalità organizzata [6], in ragione di quanto previsto dall’art. 13 del D. L. n. 152 del 1991: tale disposizione, infatti, consente l’intercettazione nei luoghi di “privata dimora”, a prescindere dalla sussistenza di attività criminosa.
Con la novella del D. Lgs. 216 del 2017, gli arresti delle Sezioni Unite sono stati in parte normativizzati e, attualmente, l’uso del captatore costituisce una specifica modalità di intercettazione tra presenti: nel caso dei reati di criminalità organizzata (quali i procedimenti di cui all’art. 51, comma 3 bis e 3 quater c.p.p.) lo strumento è sempre ammesso; lo stesso vale per taluni reati contro la pubblica amministrazione [7], purché siano specificate nel decreto le ragioni per cui la captazione sia necessaria anche nei luoghi di privata dimora [8]. Infine, per gli altri reati (“reati comuni” per cui sia ammissibile il ricorso alle intercettazioni) è escluso l’utilizzo dello spyware per effettuare captazioni nei luoghi di cui all’art. 614 c.p..
In ragione di ciò, ai sensi dell’art. 267 c.p.p., il decreto di autorizzazione del giudice conterrà, in ogni caso, l’indicazione delle ragioni per cui è necessario procedere a tale tecnica investigativa e, nel solo caso dei “reati comuni”, l’indicazione di tempo e luoghi in cui è consentita l’attivazione del microfono.
A fronte del quadro descritto, la Corte ritiene applicabile alla vicenda in esame i principi di diritto espressi dalle Sezioni Unite “Scurato”: infatti, la vicenda in esame risale a quando ancora non era vigente la riforma di cui al D. Lgs. 216 del 2017. Tuttavia, i reati alla base del decreto di autorizzazione da cui derivano le captazioni indizianti (associazione mafiosa e associazione a delinquere finalizzata al traffico di stupefacenti) rientrano a tutti gli effetti nelle previsioni di cui all’art. 13 D.L. 152 del 1991 e, pertanto, legittimano comunque il ricorso all’intercettazione tra presenti tramite captatore informatico [9].
La motivazione del decreto di autorizzazione.
Riconosciuta l’astratta legittimità dello strumento nel caso di specie, la Corte si confronta con i motivi di ricorso e, di conseguenza, con l’apparato motivazionale dei decreti autorizzativi in relazione alla sussistenza del presupposto di legittimità concreta.
In merito, è opportuno distinguere tre diversi aspetti che la motivazione del decreto di autorizzazione deve affrontare per essere considerata idonea: in primo luogo, l’assoluta indispensabilità delle intercettazioni (quale mezzo di ricerca della prova genericamente inteso) ai fini della prosecuzione delle indagini; in seconda istanza, l’esistenza di “sufficienti, sicuri e obiettivi indizi di esistenza del reato di criminalità organizzata”: sono questi elementi a bilanciare la forza intrusiva del mezzo usato. In ultima analisi, l’indicazione delle ragioni che rendono necessario l’impiego specifico del captatore informatico: tale previsione è stata così esplicitata dalla novella del 2017 nella seconda parte dell’art. 267, comma 1 c.p.p.; secondo la Corte, tale “rafforzata motivazione” non si applica al caso di specie, avente ad oggetto decreti autorizzativi precedenti all’entrata in vigore della riforma (sulla base del criterio intertemporale del tempus regit actum, vigente in materia processuale) [10].
Sulla base di queste premesse, l’approfondimento argomentativo della Cassazione ha riguardato il tema della sovrapposizione (o sostituzione) tra l’intercettazione tradizionale e quella mediante captatore informatico: rispetto al rischio di elusione dei termini di scadenza per richiedere la proroga dei decreti originari, la giurisprudenza di legittimità ha, in maniera costante, riconosciuto la possibilità di ricorrere a nuovi decreti di autorizzazione per i medesimi obiettivi di indagine, purché gli stessi rispettassero i necessari presupposti normativi e requisiti motivazionali [11]. A ben vedere, anche un decreto di proroga emesso fuori termine può costituire un autonomo (e legittimo) provvedimento di autorizzazione: a supporto di tale argomentazione la Corte ha ricordato l’arresto della V Sezione [12], secondo cui il citato decreto di proroga possa essere animato da una propria autonomia, qualora riporti una motivazione altrettanto autonoma rispetto al decreto originario.
Infine, rispetto al tema della sostituzione del mezzo di ricerca della prova, la pervasività della captazione mediante trojan è di gran lunga superiore a quella degli strumenti ordinari e, pertanto, consente di percepire e registrare conversazioni, messaggi ed informazioni ulteriori rispetto a quelli scambiati durante una telefonata.
Modalità e mezzi tecnici dell’installazione del trojan: carenze nell’individuazione del personale privato delegato e incertezza rispetto alle operazioni svolte.
Per quanto riguarda l’indicazione, all’interno del provvedimento di autorizzazione, di specifiche modalità e mezzi tecnici per l’installazione ed il funzionamento del trojan (anche in relazione all’individuazione del personale privato di cui avvalersi per le attività e della conseguente indicazione di tali soggetti nei verbali), la pronuncia in commento ha escluso – sulla base di costante giurisprudenza – che l’assenza di tali indicazioni possa dare luogo ad alcuna nullità o inutilizzabilità. Infatti, si è ritenuto che la concreta attuazione delle operazioni di ricerca della prova, come la collocazione degli strumenti necessari, non deve essere individuata dal magistrato, “trattandosi di atti materiali, che rientrano nella contingente valutazione dinamica da parte della p.g. della concreta situazione, non sempre prevedibile nel suo sviluppo ed implicazioni pratiche” (Cass. Sez. VI, n. 39403 del 24 agosto 2017, cfr. anche Sez. VI, n. 45486 del 9 ottobre 2018 e Sez. VI, n. 41514 del 24 ottobre 2012).
In tal senso, è stato osservato da alcuni autori e sottolineato dalla Cassazione come l’esecuzione delle operazioni e la redazione del verbale nel caso dell’uso di captatori informatici ponga questioni sostanzialmente simili a quelle inerenti alle altre modalità di intercettazioni, pur dovendosi confrontare con alcune differenti conseguenze di natura tecnica [13].
Di conseguenza, la Cassazione non ritiene rilevanti le censure riguardanti eventuali vizi conseguenti ad omissioni nel verbale delle operazioni, quale la mancata identificazione nel verbale dell’autore delle operazioni di installazione e, ancor più, di analisi dei dati del dispositivo oggetto di inoculazione. In merito, la sentenza in commento ha valorizzato l’orientamento maggioritario in materia di interpreti di lingua straniera, estendendolo al soggetto succitato: indirizzo prevalente in giurisprudenza ritiene che anche la mancata indicazione nel verbale delle generalità dell’interprete non possa dare luogo ad alcuna nullità o inutilizzabilità dei contenuti delle intercettazioni, in ragione del principio di tassatività delle sanzioni processuali previste dall’art. 271 c.p.p. [14].
Considerazioni di tal fatta discendono dal già indicato presupposto interpretativo (poi ripreso anche dal dato normativo), secondo cui l’intrusione mediante captatore informatico rappresenti una particolare modalità di esecuzione di intercettazione tra presenti. In questi termini, non parrebbe necessario attribuire particolare rilevanza critica alla fase “pratica” di installazione del software, paragonata all’inserimento delle microspie a fini di intercettazione ambientale [15]; al contrario, ai fini di inutilizzabilità si valorizza la violazione di quanto previsto dall’art. 267 c.p.p. e 268, commi 1 e 3 c.p.p. .
Tuttavia, un altro indirizzo dottrinario ha da tempo segnalato l’incapienza dell’attuale collocazione sistemica dello spyware, non solo rispetto agli ulteriori fini investigativi per cui può essere impiegato (e alle conseguenti regole procedurali), ma soprattutto in relazione alle autonome – ed uniche – caratteristiche tecniche che lo contraddistinguono: l’installazione di un trojan in un dispositivo, infatti, impone che, come per tutti gli strumenti di digital forensics, si persegua e si assicuri l’immutabilità del dato acquisito, la sua conservazione ed il minor impatto possibile sul dispositivo oggetto di indagine.
In ragione di questi principi, già a metà dello scorso anno l’Autorità Garante per la protezione dei dati personali si era espressa sulla novella legislativa in materia di captatori informatici, evidenziandone le lacune in tema di garanzie per i diritti degli individui: a titolo esemplificativo, il Garante ha evidenziato come alcuni agenti intrusori sarebbero in grado anche, in talune ipotesi, “di eliminare le tracce delle operazioni effettuate, a volte anche alterando i dati acquisiti”.
Sebbene la novella legislativa – come da ultimo nuovamente interpolata – si sia preoccupata di formulare delle previsioni astratte di garanzia rispetto agli strumenti tecnici utilizzati (cfr. art. 89, commi 2 e 3 disp. att. e D.M. 20.04.2018), l’attuale dipendenza dell’Autorità Giudiziaria da fornitori privati rispetto ai software utilizzati, esclude che si possa, di fatto, parlare di “trojan di Stato” e, di conseguenza, imporrebbe una maggiore cautela nell’approccio al tema, anche da parte della giurisprudenza [16].
La decisione
Sulla base della ricostruzione giurisprudenziale e normativa operata, la Corte di Cassazione ha ritenuto infondate le doglianze della difesa dell’indagato.
In primo luogo, il Giudice ha osservato come la motivazione dei decreti autorizzativi, nel caso di specie, fosse rispondente ai principi individuati dalle Sezioni Unite “Scurato”, poiché, in primo luogo, i fatti concernevano oggettivamente reati di criminalità organizzata; in secondo luogo, il provvedimento del Giudice aveva individuato la necessità di utilizzare il captatore in quanto unico mezzo idoneo per ottenere determinate informazioni sull’organizzazione criminale oggetto delle indagini.
In merito alla sovrapposizione tra le intercettazioni telefoniche e quelle mediante captatore, il Giudice di legittimità ha sottolineato la piena autonomia delle differenti autorizzazioni disposte. In particolare, nel caso di specie vi erano delle esigenze investigative – come la possibilità di ottenere notizie sulle direttive emanate dai capiclan in stato di detenzione, di conoscere le dinamiche interne del sodalizio ed individuare il compito affidato a ciascuno dei sodali all’interno della compagine criminale – che potevano essere soddisfatte tramite l’ulteriore impiego dello spyware: in questo caso, il decreto che dispone l’utilizzo del trojan può anche individuare come destinatario il medesimo dispositivo già intercettato telefonicamente.
Per quanto attiene alle operazioni tecniche ed al ruolo del personale privato delegato, la Cassazione ritiene di operare una distinzione tra le fasi di autorizzazione e di esecuzione delle operazioni di intercettazione. Infatti, l’autorizzazione si rende necessaria – corredata da idonea motivazione – al fine di legittimare – ai sensi dell’art. 112 della Costituzione – la compressione dei diritti dei soggetti intercettati, ed in particolare dell’inviolabilità del domicilio e della segretezza delle comunicazioni e della corrispondenza (di cui agli artt. 14 e 15 della Costituzione).
Diversamente, una volta che sia stato effettuato il necessario bilanciamento di tali diritti fondamentali con l’interesse pubblico all’accertamento di gravi delitti, le specifiche modalità e gli strumenti tecnici adoperati per effettuare le operazioni devono ritenersi ammessi a monte dal provvedimento che dispone l’utilizzo del mezzo di ricerca della prova
Di conseguenza, con la sentenza in commento la Suprema Corte ha individuato i seguenti principi:
“– le questioni relative all’installazione degli strumenti tecnici per l’intercettazione come nella specie il virus trojan – in relazione all’obiettivo da intercettare non attengono alla fase autorizzativa dell’attività investigativa demandata al giudice per le indagini preliminari, né alla verifica dei presupposti di legittimità delle intercettazioni, bensì alla fase esecutiva, già coperta dall’autorizzazione a disporre le stesse intercettazioni;
– la fase esecutiva è consegnata alle prerogative del pubblico ministero che può delegare la polizia giudiziaria alle operazioni materiali di installazione tecnica degli strumenti (software, hardware, trojan) idonee a dar vita, in concreto, alle intercettazioni; eventuali modifiche degli strumenti già indicati nel decreto autorizzativo del GIP come quelli da utilizzare per eseguire le captazioni possono essere disposte dallo stesso pubblico ministero;
– le operazioni di collocazione e disinstallazione del materiale tecnico necessario per eseguire le captazioni, anche tramite virus trojan, costituiscono atti materiali rimessi alla contingente valutazione della polizia giudiziaria e l’omessa documentazione delle operazioni svolte dalla polizia giudiziaria non da’ luogo ad alcuna nullità od inutilizzabilità dei risultati delle intercettazioni ambientali.” [17]
In breve, seppur in materia di intercettazioni e di tutele ex artt. 14 e 15 Cost., una siffatta lettura trasforma la catena del controllo nell’assioma dell’affidamento: il Giudice rimette al P.M., il P.M. alla P.G. e la P.G. al privato, ma dell’attività di questi non vi è indispensabilità di documentazione.
Una lettura “costituzionalmente orientata” della materia dovrebbe, invece, o rimettere l’attività sotto lo stretto controllo del Giudice secondo uno schema tecnico normativamente vincolato, o rimettere alla operatività tecnica della P.G. e del privato in ausilio, ma con obbligo di documentazione completa e dettagliata di tutte le operazioni compiute (al fine di successivo controllo).
Come emerso dalla sentenza, l’attuale approccio giurisprudenziale è refrattario ad individuare sanzioni processuali di inutilizzabilità (attualmente legate alle previsioni in materia di intercettazioni “analogiche” ex art. 271 c.p.p.) in ipotesi di violazioni – o carenze documentali – delle previsioni relative alle operazioni tecniche di collocazione e attivazione del trojan; e ciò anche in ragione della esclusiva collocazione dello strumento quale particolare metodo di esecuzione di intercettazioni tra presenti. D’altro canto, le attuali previsioni normative (di recente entrate in vigore) non appaiono sufficienti – sia in termini contenutistici che in termini di efficacia – per limitare l’eventuale abuso di uno strumento dal potere, in astratto, sconfinato.
In verità, i profili di stretta operatività del captatore informatico sono talvolta (come in questo caso) ritenuti addirittura irrilevanti: sarebbe auspicabile una maggiore sensibilità degli interpreti ai temi delle garanzie tecniche (nei già citati termini di immutabilità, conservazione e minor impatto possibile), così da aprire la strada ad una nuova riflessione normativa dello strumento, che affronti un tema “intrinsecamente tecnico” ma “profondamente giuridico” (attenendo a garanzie costituzionali) e ne regolamenti l’impiego in maniera organica, a beneficio degli ulteriori utilizzi investigativi, ben oltre le intercettazioni tra presenti. Necessario in ogni caso, come più volte segnalato dalla Autorità Garante e dalla migliore dottrina, il rispetto delle garanzie digitali e, soprattutto, la possibilità di un effettivo controllo giurisdizionale e di verifica successiva della corretta esecuzione delle attività che, ancor prima che alla polizia giudiziaria, sono sempre più spesso affidate ai privati.
Prof. Avv. Roberto De Vita
Avv. Antonio Laudisa
Riproduzione riservata©
Immagine di Raniero Botti ©2015
Riferimenti
[1] In quanto mezzo particolarmente invasivo nei confronti della libertà dei soggetti intercettati. [2] In particolare, si è censurata la mancata indicazione del nominativo di chi ha materialmente eseguito le operazioni di inoculazione del virus e, ancor più, all’analisi dei dati relativi al dispositivo da intercettare. [3] “Tale programma informatico, viene installato in un dispositivo del tipo target (un computer, un tablet o uno smartphone), di norma a distanza e in modo occulto, per mezzo del suo invio con una mali, un sms o un’applicazione di aggiornamento. Il software è costituito da due moduli principali: il primo (server) è un programma di piccole dimensioni che infetta il dispositivo bersaglio; il secondo (client) è l’applicativo che il virus usa per controllare detto dispositivo”, cfr. Cass. Sez. Un. N. 26886 del 28.04.2018. [4] Per una panoramica sul tema, cfr. R. De Vita – A. Laudisa “Vita digitale a rischio – I captatori informatici tra pericoli per i diritti umani e riduzionismo giuridico”, 18.11.2019. [5] “Dal 1° settembre 2020 è pienamente operativa, come noto, la nuova disciplina delle intercettazioni dettata dal decreto legislativo 29 dicembre 2017, n. 216, come modificato dal decreto-legge 30 dicembre 2019, n. 161, convertito con modificazioni dalla legge 28 febbraio 2020, n. 7”, cfr. Ministero della Giustizia, “Intercettazioni – La nuova disciplina”. [6] Intesi per essere quelli elencati nell’articolo 51 c.p.p., commi 3 bis e 3 quater, nonché quelli comunque facenti capo ad una associazione per delinquere, con esclusione del mero concorso di persone nel reato. [7] I delitti dei pubblici ufficiali o degli incaricati di pubblico servizio contro la pubblica amministrazione per i quali è prevista la pena della reclusione non inferiore nel massimo a cinque anni, determinata a norma dell’art. 4 c.p.p. [8] Come previsto in sede di conversione del D.L. 161 del 2019, con la L. 7/2020. [9] Cfr. sentenza in commento: “[…] a prescindere, dunque, dall’entrata in vigore della riforma sul cd. captatore informatico, tali decreti potevano essere autorizzati, avendo ad oggetto indagini per reati di associazione mafiosa e di associazione finalizzata al traffico di stupefacenti, palesemente rientranti nella nozione di criminalità organizzata prevista dal Decreto Legge n. 152 del 1993, articolo 13, così come interpretata dalle Sezioni Unite Scurato”. [10] Cfr., da ultimo, sul principio in generale e per un riepilogo del tema Cass. Sez. Un. n. 44895 del 17.07.2014. [11] Cfr. Cass. Sez. VI, n. 28521 del 16.6.2005. [12] Cfr. Cass. Sez. V, n. 4572 del 17.07.2015. [13] Cfr. N. Galantini, “Profili di inutilizzabilità delle intercettazioni anche alla luce della nuova disciplina”, in T. Bene (a cura di), “L’intercettazione di comunicazioni”, Cacucci Editore, Bari, 2018. [14] Di recente, cfr. Cass. Sez. V, n. 7030 del 21 febbraio 2020. [15] Sul punto, paradigmatico è il seguente riferimento della pronuncia in commento, teso a valorizzare la tesi sostenuta: “[…] di recente una pronuncia ha ritenuto utilizzabili le intercettazioni acquisite tramite la collocazione di microspie anziché mediante l’impiego di un software spia, così come invece era originariamente disposto nel decreto autorizzativo del giudice; ciò perché – si è detto – la modifica delle modalità esecutive delle captazioni, concernendo un aspetto meramente tecnico, può essere autonomamente disposta dal pubblico ministero, non occorrendo un apposito provvedimento da parte del giudice per le indagini preliminari (Sez. 6, n. 45486 del 8/3/2018, Romeo, Rv. 274934)”. [16] Su tali aspetti cfr. R. De Vita – A. Laudisa “Vita digitale a rischio – I captatori informatici tra pericoli per i diritti umani e riduzionismo giuridico”, 18.11.2019. [17] Cfr. Sentenza in commento.
Leave a Reply