La Corte Penale Regionale di Berlino (Landgerith Berlin) ha disposto il rinvio pregiudiziale alla Corte di Giustizia riguardante l’utilizzo dei dati di messaggistica EncroChat. Il provvedimento di rinvio contesta la legittimità dell’Ordine europeo d’indagine per l’acquisizione da parte delle autorità tedesche ed evidenzia la compressione dei diritti derivante dall’impossibilità di conoscere le modalità tecniche di estrazione dei dati, che ne mette in discussione l’utilizzabilità come prove.
La fattispecie
Nel 2020, in seguito ad una lunga attività di indagine, le polizie e autorità giudiziarie di Francia e Paesi Bassi, Europol ed Eurojust hanno annunciato di aver smantellato la rete di comunicazione criptata EncroChat, utilizzata prevalentemente da organizzazioni criminali.
L’attività di indagine congiunta aveva consentito di intercettare ed analizzare in tempo reale milioni di messaggi trasmessi sulle chat.
Basandosi su un’estrazione del server di EncroChat a Roubaix, in Francia, gli investigatori avevano sviluppato un virus trojan che è stato inoculato all’interno del server stesso e poi all’interno dei dispositivi degli utenti sotto forma di un falso aggiornamento di sistema.
Su 64.134 utenti registrati ne sono stati intercettati 32.477 provenienti da 122 Paesi, di cui 380 in Francia e ben 4.600 in Germania.
Pertanto, tra aprile e giugno del 2020 le autorità francesi hanno potuto ottenere gli IMEI [1] dei dispositivi, gli indirizzi email degli utenti, a data e l’ora della comunicazione, l’ubicazione delle antenne attraverso le quali è stato effettuato l’accesso, nonché i testi e le immagini trasmessi nelle chat in corso. Inoltre, è stata letta la memoria completa dei dispositivi intercettati, accedendo anche alle chat dei periodi precedenti all’indagine e che non erano ancora state cancellate.
Sono quindi seguiti gli arresti di numerosi indagati, anche in Paesi estranei all’indagine ma particolarmente colpiti dal diffuso utilizzo di telefoni con reti criptate da parte della criminalità organizzata.
Solo in Francia, la Gendarmerie ha impiegato una task force di 60 uomini per monitorare le comunicazioni di migliaia di criminali, avviando un elevato numero di procedimenti penali.
Nei Paesi Bassi, al contempo, l’attività di centinaia di investigatori ha beneficiato delle informazioni estratte dalle chat ed è riuscita ad ottenere l’arresto di oltre 100 indagati, a smantellare 19 laboratori di droghe sintetiche, a sequestrare tonnellate di cocaina e crystal meth, nonché armi, veicoli e milioni di euro in contanti.
L’attività di intercettazione si è infine interrotta il 13 giugno del 2020, quando EncroChat si è accorta della violazione dei sistemi da parte delle autorità e ha subito inviato un messaggio di allarme a tutti gli utenti.
Anche l’imputato nel caso in esame era un utente della piattaforma, che utilizzava per attività di traffico di stupefacenti. In particolare, gli sono stati contestati quattordici capi d’imputazione in relazione al traffico e quattro in relazione al possesso delle sostanze: 188 kg di marijuana e 3,5 kg di cocaina solo tra aprile e maggio del 2020.
Il procedimento nei suoi confronti, infatti, è nato dall’acquisizione da parte del BKA (Bundeskriminalamt) [2] dei dati riguardanti gli utenti operanti in Germania, realizzata attraverso la collaborazione esterna con il Joint Investigation Team franco-olandese. Solo in un momento successivo le autorità tedesche hanno emesso un Ordine Europeo d’Indagine per chiedere di poter utilizzare i dati acquisiti dalla Gendarmerie nelle sue attività d’indagine.
Nell’ambito di tale modalità di acquisizione, ritenuta contrastante con le garanzie poste dal diritto tedesco ed europeo, la Corte Regionale di Berlino ha ritenuto necessario rinviare la questione sulla loro legittimità e sull’utilizzabilità degli esiti alla Corte di Giustizia dell’Unione Europea. Finora, si tratta dell’unico giudice superiore che si è discostato (già nel 2021) dal prevalente orientamento per cui i dati EncroChat sarebbero invece pienamente utilizzabili [3].
Il sistema di messaggistica di Encrochat
Il sistema offerto da EncroChat era simile a quello proposto da Sky-ECC, del quale abbiamo già trattato.
I crypto-phone venivano presentati ai clienti come una garanzia di assoluto anonimato e di completa discrezione tanto dell’interfaccia crittografata che del dispositivo in sé.
In primo luogo, non veniva eseguita alcuna associazione tra dispositivi o SIM e il conto del cliente. In aggiunta, i dispositivi presentavano un doppio sistema operativo, in modo che il sistema crittografato non fosse rilevabile. Infine, erano disabilitati il GPS, la fotocamera, il microfono e la porta USB.
Anche le funzioni del sistema di messaggistica erano disegnate per aumentare la possibilità di occultare le comunicazioni: cancellazione automatica dei messaggi sui dispositivi destinatari, codice PIN specifico per eseguire la cancellazione di tutti i dati sul dispositivo, cancellazione di tutti i dati in caso di inserimento consecutivo di una password sbagliata. Inoltre, era possibile per gli utenti far cancellare i dati da remoto tramite l’assistenza del rivenditore.
I crypto-phone venivano venduti intorno ai 1.000 euro ciascuno, con abbonamenti semestrali da 1.500 euro con supporto 24/7. [4]
Il rinvio della Corte Regionale
La Corte Regionale di Berlino ha sottoposto 14 questioni alla Corte di Giustizia nella sua domanda di pronuncia pregiudiziale, volte a comprendere se lo strumento dell’Ordine europeo d’indagine sia stato legittimamente utilizzato, se sia rilevante l’impossibilità di conoscere le modalità tecniche di acquisizione dei dati e quale sia eventualmente il regime di utilizzabilità degli stessi.
È opportuno innanzitutto premettere che il funzionamento del trojan utilizzato dalla polizia francese non è attualmente conosciuto, né conoscibile, in quanto protetto dal segreto militare francese.
Allo stesso modo, le autorità tedesche non hanno mai divulgato neppure le informazioni non segrete che hanno appreso in merito dai colleghi francesi.
Le iniziali modalità di comunicazione dei dati da parte dei francesi, inoltre, non erano note agli albori dei primi procedimenti in Germania. Pertanto, i Tribunali tedeschi hanno basato le prime decisioni, tanto cautelari, quanto di merito, sul presupposto che le risultanze investigative alla base dei procedimenti fossero stati inviate “spontaneamente” alle autorità tedesche e che non vi fosse stato un ruolo attivo di raccolta di queste ultime da parte degli investigatori tedeschi.
Al contrario, nella fase iniziale si è verificato uno scambio informativo di carattere informale, nell’ambito del quale le autorità tedesche hanno attivato il monitoraggio degli utenti EncroChat in Germania a fini penali, servendosi dell’attività già in corso in Francia. Secondo la Corte, questa operazione costituisce un’attività investigativa che si sarebbe dovuta basare fin dall’inizio su un OIE, in modo da poterne successivamente vagliare la legittimità ai sensi del diritto tedesco e garantire quindi i diritti fondamentali degli indagati (tramite la verifica della necessità e proporzionalità dell’ordine nonché della legittimità dell’attività d’indagine rispetto al diritto interno).
Già in passato in fatti, la stessa CGUE [5] ha sottolineato come la trasmissione ad un’autorità di dati relativi al traffico o all’ubicazione sia di per sé una grave compressione dei diritti fondamentali di cui agli artt. 7 e 8 della Carta[6].
Inoltre, come osservato dalla Cassazione relativamente ai dati delle chat Sky-ECC, anche in questo caso emerge un insormontabile ostacolo alla celebrazione di un giusto processo, che richiede che le difese abbiano la possibilità di confrontarsi pienamente con le prove.
A parere del Giudice tedesco, sulla base della giurisprudenza europea ciò è ancora più necessario laddove le prove in questione siano il frutto di un ambito tecnico rispetto al quale né il giudice né le parti hanno competenza[7].
L’utilizzabilità dei dati di EncroChat sarebbe pertanto messa in discussione dall’impossibilità, allo stato, di valutarne le modalità tecniche di intercettazione, dirottamento, archiviazione ed estrazione. L’esercizio del diritto di difesa, infatti, viene compromesso senza poter verificare la correttezza, completezza e coerenza dei dati utilizzati in giudizio.
D’altronde – sottolinea la Corte tedesca – in molti casi come quello in esame i dati delle chat EncroChat costituiscono l’unica prova in relazione al fatto contestato.
Nel caso di specie, ad esempio, per integrare il reato di traffico di stupefacenti sarebbe già sufficiente la prova di trattative sulla vendita delle sostanze. Pertanto, per la difesa è fondamentale poter valutare tanto i singoli messaggi in sé quanto il rapporto temporale e contenutistico esistente tra messaggi inviati e ricevuti.
Infatti, errori di natura tecnica o incompletezze possono portare a distorcere il significato delle chat senza che poi sia possibile avvedersene avendo a disposizione solo gli esiti dell’attività investigativa.
Secondo i criteri elaborati dalla Corte di Giustizia nella sentenza Steffensen [8], basterebbe il solo fatto che i dati utilizzati non possano essere verificati dalle difese tramite un consulente tecnico per dedurne l’inutilizzabilità come prove.
Ad aggravare tale compressione si è aggiunto il rifiuto da parte delle agenzie europee e delle autorità tedesche di rendere accessibili documenti non sottoposti al segreto militare francese e che sarebbero però stati rilevanti per la difesa.
In particolare, è stato stigmatizzato il rifiuto di condividere i messaggi scambiati dalle autorità tedesche attraverso il sistema SIENA [9] e che avrebbero consentito almeno di verificare se durante la fase iniziale della cooperazione con gli investigatori francesi siano state comunicate anomalie tecniche e rispetto a quali dati. Infatti, uno dei pochi messaggi di tale sistema che è confluito negli atti farebbe pensare che vi siano state segnalazioni in merito, ma non è possibile determinare quali utenze e periodi abbiano riguardato.
Inoltre, la Corte tedesca ha sottolineato come la costante giurisprudenza europea abbia stabilito che il contrasto a reati gravi non può in alcun modo giustificare una conservazione indiscriminata e generalizzata di dati. Infatti, vi sono state pronunce che hanno consentito l’accesso a fini penali a dati precisi sul traffico e sull’ubicazione, ma che al tempo stesso ne hanno vincolato la legittimità al rispetto del principio di proporzionalità, nonché alla presenza costante di un controllo da parte di un giudice o di un’autorità amministrativa indipendente [10].
In questo caso (e in altri ad esso affini) difettano entrambi i requisiti. La raccolta dei dati è stata effettuata su un campione di utenti enorme e indiscriminato (32.477 utenti su 64.134), senza che si potesse ritenere a priori una appartenenza di tutti i clienti di EncroChat ad un’unica rete criminale; né sono state indagate eventuali necessità di privacy molto rafforzata dovuta all’esercizio di attività lecite. Al contrario, è stata elaborata l’equazione per cui a determinati costi e funzionalità debba corrispondere necessariamente un servizio per attività illecite.
Inoltre, l’attività di impulso delle indagini in Germania non è derivata da attività sotto il controllo dell’autorità giudiziaria, ma è il frutto della cooperazione tra polizie coordinata dall’Europol. Anche in seguito, quando è intervenuta la magistratura tedesca, sono stati acquisiti solo gli esiti di attività tecnica eseguita dal Joint Investigation Team su EncroChat ed in particolare dalla Gendarmerie.
Si è così impedito sia un controllo ex ante da parte di un’autorità indipendente, sia un controllo ex post sotto forma dell’esercizio del diritto di difesa attraverso la prova nel contraddittorio tra le parti.
La domanda di pronuncia pregiudiziale è stata presentata con carattere di urgenza, per il rischio che venga meno per decorrenza dei termini la misura cautelare applicata all’imputato, evidenziando l’importanza della decisione anche per un gran numero di procedimenti paralleli attualmente pendenti [11].
Si deve auspicare che la decisione della CGUE possa contribuire a restituire centralità alla tutela dei diritti fondamentali degli individui in materia di dati ed alla garanzia del pieno esercizio del diritto di difesa anche nella digital age.
Prof. Avv. Roberto De Vita
Avv. Marco Della Bruna
Riferimenti
[1] International Mobile Equipment Identity, il codice numerico che identifica univocamente il dispositivo mobile.
[2] Autorità federale di polizia tedesca sotto la responsabilità del Ministero federale dell’interno.
[3] https://www.spiegel.de/panorama/justiz/berlin-landgericht-laesst-encrochat-daten-nicht-zu-a-6dd9be2e-f558-40fa-9995-2f8136581f8e
[4] https://www.europol.europa.eu/media-press/newsroom/news/dismantling-of-encrypted-network-sends-shockwaves-through-organised-crime-groups-across-europe
[5] Cfr. Corte di Giustizia UE, sentenza del 2 marzo 2021, La Quadrature du Net e altri – C-511/18.
[6] “Rispetto della vita privata e della vita familiare” e “Protezione dei dati di carattere personale”, cfr. https://www.europarl.europa.eu/charter/pdf/text_it.pdf.
[7] Cfr. Corte di giustizia UE, sentenze del 2 marzo 2021 H.K./Prokuratuur – C-746/18, La Quadrature du Net e altri – C-511/18, e del 10 aprile 2003 Steffensen – C-276/01; Corte EDU, decisione del 18 marzo 1997, Mantovanelli/Francia.
[8] Cfr. Corte di giustizia UE, sentenza del 10 aprile 2003, Steffensen – C-276/01.
[9] Secure Information Exchange Network Application, una piattaforma di comunicazione per le forze dell’ordine dell’Unione Europea.
[10] Cfr. Corte di Giustizia UE, sentenza del 2 marzo 2021 H.K./Prokuratuur – C-746/18 .
[11] Cfr. Provvedimento della Corte Regionale di Berlino del 19.10.2022.
Leave a Reply