1

Odissea del captatore informatico

Trojan’s odyssey

Abstract: Da oltre 10 anni il trojan costituisce uno strumento investigativo, straordinario quanto ad efficacia

e versatilità, che ha consentito alla Magistratura di superare le crescenti difficoltà tecniche emerse - nel

panorama mondiale – dal sempre maggiore utilizzo di sistemi di comunicazioni crittografate e di caselle di

posta elettronica gestite da Internet Service Provider non italiani.

Il recente intervento delle Sezioni Unite, sia pure limitato ad una sola delle molteplici funzionalità del

trojan, indica alcuni ulteriori punti fermi che - a distanza di 7 anni dalla prima sentenza della Cassazione che

ne aveva iniziato a delineare il regime giuridico – consentono di affermare la legittimità del suo utilizzo,

nonostante le critiche avanzate da molti.

Abstract: For over 10 years the trojan has been an investigative tool, extraordinary as to effectiveness and versatility, which

allowed the Magistrates to overcome any growing worlwide technical problem caused by the increasing use of encrypted

communications systems and e-mail boxes managed by non italian Internet Service Providers.

The recent intervention of the United Sections of the Court of Cassation, although limited to one of the many features of the

trojan, indicates some more key points that - after 7 years from the first Supreme Court judgment that had begun to outline

the legal regime - allow to state the legitimacy of its use, despite criticism promoted by a lot of people.

SOMMARIO: 1. “Like a Robin Hood”? – 2. Le intercettazioni processuali: una definizione normativa – 3. L’avvento del

trojan quale imprescindibile strumento d’indagine per far fronte a una duplice difficoltà investigativa – 4. I dati relativi alle

chiamate VOIP e l’intercettazione delle relative comunicazioni – 4.1 Il dibattito sul regime normativo applicabile – 4.2 Le

intercettazioni di comunicazioni su sistemi VoIP crittografati: il “caso Skype” – 5. Le intercettazioni delle caselle di posta

elettronica @.com – 6. Lo stato attuale delle intercettazioni – tramite trojan - di comunicazioni tramite sistemi VoIP (comprensivi

oggi dei sistemi di istant messaging) con protocolli di crittografia e delle caselle di posta elettronica @.com – 7. L’intercettazione di

comunicazioni tra presenti resa possibile dal trojan attraverso l’attivazione del microfono nel dispositivo informatico portatile:

l’ipotesi di procedimenti relativi a “criminalità organizzata” – 8. L’intercettazione di comunicazioni tra presenti resa possibile dal

trojan attraverso l’attivazione del microfono nel dispositivo informatico portatile: le residue ipotesi identificate alla luce dell’esperienza

investigativa – 9. Laocoonte dixit

di FRANCESCO CAJANI*

* Sostituto Procuratore della Repubblica presso il Tribunale di Milano – Dipartimento antiterrorismo e reati

informatici.

Un estratto del presente contributo stato pubblicato su Cassazione penale, fasc.11, 2016, pp. 4140 ss.

2

“Aut hoc inclusi ligno occultantur Achivi, Aut haec in nostros fabricata est machina muros Inspectura domos venturaque desuper urbi, Aut aliquis latet error: equo ne credite, Teucri.

Quidquid id est, timeo Danaos et dona ferentis". [Virgilio, Eneide, Libro II, 45-49]

1. “Like a Robin Hood”?

“Qualche byte di codice, in un programma per computer - un virus si potrebbe dire [...]. Un esempio di una tecnologia

'da hacker' utilizzata per fini nobili: come un Robin Hood che intercetta gli indagati per aiutare la giustizia”1: sono

queste le parole con le quali, nel giugno 2011, il trojan diventa informazione di pubblico dominio, dopo

che per anni gli investigatori italiani avevano cercato di mantenere riservato il suo utilizzo a fini di

indagini penali.

Un utilizzo, è bene ricordarlo anche oggi, sempre costituzionalmente orientato2. E che, negli anni

precedenti al 2011, aveva consentito di assicurare alla giustizia anche importanti appartenenti ad

organizzazioni mafiose…. forse proprio per questo, dopo le prevedibili scomposte reazioni, sia pur

faticosamente il clamore della “notizia” aveva lasciato posto ad un rinnovato armistizio, quantomeno

mediatico.

Fino al caldo luglio del 2015, quando le conseguenze a catena generate dall’attacco informatico

effettuato ai danni della società milanese Hacking Team hanno di nuovo portato alla ribalta il tema

dell’utilizzo del trojan, o meglio – questa volta – del suo non più possibile utilizzo a fini investigativi (a

causa della “compromissione” del codice sorgente del programma utilizzato da pressochè tutte le forze

di Polizia Giudiziaria non solo italiane).

1 A. SGHERZA, Un virus per pc inchioda Bisignani. Lo Stato diventa hacker a fin di bene, in www.repubblica.it

(22.6.2011). 2 Ricorda F. CORDERO (in Tre studi sulle prove penali, Giuffrè, 1963, p. 154) come, nel silenzio della Legge,

ricostruire “il filo che guida l’indagine” individuando la corretta applicazione delle disposizioni espresse dal codice di

rito non può che essere “quesito che esige d’essere risolto in base ad una interpretazione sistematica” delle norme

stesse, “salvo poi verificare se la disciplina di cui si è ricostruito l’assetto non confligga con i principi della

Costituzione”.

3

“Game over”, è stato detto da qualcuno quasi per scherzo… se non fosse che, questa volta,

irrimediabilmente pregiudicato è stato il corso di moltissime importanti indagini, anche relative al

terrorismo internazionale3.

E dunque non è un sicuramente un caso il fatto che la Suprema Corte, con l’ordinanza di rimessione

del 10 marzo 2016, abbia doverosamente fatto leva sulla “delicatezza della materia” al fine di evitare sul

nascere un “possibile contrasto giurisprudenziale”.

Anche se, nel rinnovato clamore (questa volta non più solo mediatico ma anche politico), in molti

hanno frettolosamente riassunto la vexata questio in termini omnicomprensivi, come se le Sezioni Unite

fossero state (e, secondo alcuni, comunque dovessero essere) investite dell’intero assetto normativo

relativo alla funzionalità del captatore informatico (per usare la terminologia dell’unica sentenza di

Cassazione che, prima di quel giugno 2011, era intervenuta in materia).

Mentre bastava leggere l’ordinanza di rimessione per comprendere come il thema decidendum fosse

invece limitato ad una sola delle molteplici funzionalità operative insite nello strumento informatico in

esame, ossia alla cd. intercettazione ambientale itinerante. Essa, precisamente, si concretizza

nell’attivazione del microfono di un dispositivo portatile ai fini di dare vita ad una intercettazione di

comunicazioni tra presenti ex art. 266 comma 2 c.p.p.

Ne fa ben cenno nelle sue premesse anche la sentenza delle Sezioni Unite, laddove la questione

viene sintetizzata in questi termini: “se - anche nei luoghi di privata dimora ex art. 614 cod. pen., pure non

singolarmente individuati e anche se ivi non si stia svolgendo l’attività criminosa - sia consentita l’intercettazione di

conversazioni o comunicazioni tra presenti mediante l'installazione di un 'captatore informatico' in dispositivi elettronici

portatili (ad es., personal computer, tablet, smartphone, ecc.)”.

E dunque, prima di addentrarci nelle sue motivazioni, diviene imprescindibile mettere meglio a

fuoco non solo il perimetro nel quale tale intervento si colloca ma anche le ragioni che hanno portato

tale strumento informatico ad essere fondamentale nelle investigazioni penali.

2. Le intercettazioni processuali: una definizione normativa

Del resto, che l’operatività del trojan possa solo in parte essere ricompresa nella disciplina di cui agli

artt. 266 ss c.p.p. è evidente dalla stessa definizione di intercettazione processuale.

E’ stato ben osservato4 come l’ordinamento giuridico italiano non conosca una nozione unitaria di

“intercettazione di comunicazioni”, dal momento che tale espressione compare in diverse norme tra loro

3 F. SARZANINI, Hacking Team, tutte le indagini sui terroristi bruciate dai pirati, in www.corriere.it (31.7.2015). 4 C. MARINELLI, Intercettazioni processuali e nuovi mezzi di ricerca della prova, Giappichelli, 2007, p. 4

4

eterogenee (si pensi, da un lato, alle disposizioni sui delitti contro la inviolabilità dei segreti5, dall’altro a

quelle in materia di mezzi di ricerca della prova6).

Come ben ebbero a precisare le Sezioni Unite della Corte di Cassazione nella sentenza 28 maggio

2003, n. 367477, si può parlare di “intercettazione” in relazione ad operazioni tecniche che consistono

nella captazione occulta e contestuale di una comunicazione o conversazione (anche informatica o

telematica) tra due o più soggetti che agiscano con l'intenzione di escludere altri e con modalità

oggettivamente idonee allo scopo, attuate da un soggetto estraneo alla stessa mediante strumenti tecnici

di percezione tali da vanificare le cautele ordinariamente poste a protezione del suo carattere riservato.

Data tale definizione, appare subito evidente che il trojan - come indicato anche dalle Sezioni Unite

in un passaggio delle motivazioni che ben illumina il contesto tecnologico di riferimento - è in grado di

compiere non solo “intercettazioni di comunicazioni” ma altre attività da questa nettamente differenti,

quali

- l’acquisizione di corrispondenza giacente, res precostituita e dunque non contestualmente

captata;

- l’acquisizione dei dati attinenti il traffico telefonico o dei log files, essendo gli stessi meri dati

esterni al contenuto di una conversazione telefonica o telematica;

- la registrazione di immagini, tramite attivazione della webcam;

- l’estrapolazione di dati, non aventi ad oggetto un flusso di comunicazioni, già formati e

contenuti nella memoria del personal computer o che in futuro possono venire ivi

memorizzati.

Attività queste che, sia pure diverse dalla intercettazione, trovano comunque una disciplina penal-

processualistica ben definita, o che comunque sono state già oggetto di interventi risolutivi ad opera

della Suprema Corte: così, quanto alla registrazione di immagini (sia pure realizzata con strumenti

tecnologici differenti), distinguendo, oltre alla natura dei luoghi nei quali esse intervengono, anche la

natura dei comportamenti (comunicativi o non8) alle quali esse fanno riferimento9.

5 Cfr. artt. 616 e ss c.p. 6 Cfr. artt. 266 e ss c.p.p. 7 In Cass. Pen., 2004, p. 209. 8 Si veda, ancora recentemente, Sez. V, 17 dicembre 2015, n. 11419, in C.E.D. Cass., n. 266373 che ha ribadito come

per comportamenti comunicativi debbano essere ricompresi solo quelli finalizzati a trasmettere il contenuto di un

pensiero mediante la parola, i gesti, le espressioni fisiognomiche o altri atteggiamenti idonei a manifestarlo. 9 Come noto, il problema è stato per la prima affrontato da Sez. VI, 10 novembre 1997, n. 4397, in C.E.D. Cass., n.

210063, in relazione a videoregistrazioni domiciliari: essa statuì come non fosse “consentito, attraverso l'attivazione di

intercettazioni ambientali, realizzate con la collocazione di una videocamera all'interno di un appartamento, captare

immagini relative alla mera presenza di cose o persone o ai loro movimenti, non funzionali alla captazione di

messaggi. Nè tale attività può considerarsi legittima configurandola quale mezzo atipico di ricerca della prova, ex artt.

189 e 234 cod. proc. pen., poiché, trattandosi di riprese visive non effettuate in luoghi aperti o pubblici, ma in luoghi di

privata dimora, viene in rilievo in tale materia il limite della inviolabilità del domicilio di cui all'art. 14 Cost.”. Alla

luce di tale pronuncia, la sola captazione visiva di comportamenti di tipo comunicativo in luoghi di privata dimora

5

Mentre, quanto all’estrapolazione di dati (non attinenti la corrispondenza e non avente ad oggetto un

flusso di comunicazioni), è questo il caso affrontato dalla sentenza Virruso10 relativamente ad una

modalità investigativa che, seppure adottata nel 2004, emblematicamente ebbe a trovare un primo

riconoscimento giurisprudenziale di legittimità solo 6 anni dopo11.

3. L’avvento del trojan quale imprescindibile strumento d’indagine per far fronte a una

duplice difficoltà investigativa

Che il tema nel quale ci stiamo addentrando abbia riflessi mondiali, e non debba essere

frettolosamente liquidato come una “mera questione italica”, è ben noto all’estero. Un esempio su tutti

è l’analisi apparsa sul The New York Times lo scorso dicembre: “Because American law has made it nearly

impossible to obtain digital evidence through legitimate channels, foreign police are turning to illegitimate ones”12. Analisi

condivisibile, ovviamente nelle sue sole premesse, dal momento che anche le Sezioni Unite – se

poteva essere pertanto riconducibile alla disciplina delle intercettazioni di comunicazioni tra presenti, di cui all’art. 266

comma 2 c.p.p.

Sul tema è poi intervenuta la Corte Costituzionale con sentenza n. 135 del 2002 (che dichiarava non fondata la

questione di legittimità costituzionale degli artt. 189 e 266-271 c.p.p. e, segnatamente, dell'art. 266 comma 2 c.p.p).

Fino all’intervento delle Sezioni Unite con sentenza 28 marzo 2006, n. 26795 (in Cass. Pen., 2006, p. 3937) che ha

chiarito altresì l’ambito di riconducibilità dell’istituto (dal momento che spesso le videoriprese venivano fatte rientrare

nella disciplina dei “documenti” di cui all’art. 234 c.p.p.): ed infatti “solo le videoregistrazioni effettuate fuori dal

procedimento possono essere introdotte nel processo come documenti e diventare quindi una prova documentale (si

pensi ad esempio, oltre che ai casi citati, alle videoregistrazioni di violenze negli stadi), mentre le altre, effettuate nel

corso delle indagini, costituiscono, secondo il codice, la documentazione dell'attività investigativa, e non documenti.

Esse perciò sono suscettibili di utilizzazione processuale solo se sono riconducibili a un'altra categoria probatoria, che

la giurisprudenza per le riprese in luoghi pubblici, aperti o esposti al pubblico ha individuato in quella delle c.d. prove

atipiche, previste dall'art. 189 c.p.p.”.

Ciò premesso, sulla questione della videoregistrazione di comportamenti non comunicativi in ambito domiciliare,

siccome acquisite – come già indicato da Corte Costituzionale n. 135 del 2002 – in violazione dell’art. 14 Cost, la

soluzione accolta dalla richiamata sentenza delle Sezioni Unite passa da una “corretta applicazione dell'art. 189 c.p.p.”

approdando dunque a ritenerle “inammissibili”. Diverso discorso deve essere fatto per la videoregistrazione di

comportamenti non comunicativi in luoghi che, pur non costituendo “domicilio” (a norma dell'art. 14 Cost.) ovvero

“privata dimora” (a norma dell'art. 614 c.p.), sono utilizzati per attività che si vogliono mantenere riservate: in questo

caso, poiché “sul piano costituzionale il diritto alla riservatezza non gode di una tutela analoga a quella apprestata

dall'art. 14 Cost. per il domicilio ... è per questa ragione che anche in mancanza di una disciplina specifica le riprese

visive che lo sacrificano devono ritenersi consentite e suscettibili di utilizzazione probatoria a norma dell'art. 189

c.p.p.”. Ciò nondimeno, in fase di indagini sarà comunque necessario per la Polizia Giudiziaria un provvedimento

autorizzativo del Pubblico Ministero (come già precedentemente affermato da Sez. IV, 16 marzo 2000, n. 7063, in

C.E.D. Cass., n. 217688) atto ad indicare “lo scopo di queste, vale a dire gli elementi probatori che attraverso l'atto

intrusivo … ritiene che possano venire utilmente acquisiti”. Quanto alle riprese in luoghi pubblici, si veda Sez. I, 25

ottobre 2006, n. 37530 (in Cass. Pen., 2007, p. 4641) che ne conferma la legittimità e la piena utilizzabilità “non

configurando esse un'indebita intrusione né nell'altrui privata dimora, né nell'altrui domicilio, nozioni che individuano

una particolare relazione del soggetto con il luogo in cui egli vive la sua vita privata, in modo da sottrarla ad ingerenze

esterne indipendentemente dalla sua presenza”. 10 Cass., Sez. V, 14 ottobre 2009, n. 16556, in C.E.D. Cass., n. 246954. 11 Come noto, anche tale sentenza si colloca in quel consolidato filone giurisprudenziale (in tema di mezzi di prova

atipici) al quale abbiamo già fatto cenno per le registrazioni di immagini: e dunque ritiene legittimo il decreto del

Pubblico Ministero di acquisizione in copia, attraverso l'installazione di un captatore informatico, della documentazione

informatica memorizzata nel “personal computer” in uso all'imputato. 12 A. KEANE WOODS, Dark Clouds Over the Internet, in www.nytimes.com (1.12.2015). Impostazione ripresa anche

da E. SEGANTINI, Difesa di privacy e sicurezza alla rete serve una governance, in Corriere della Sera (23.12.2015).

6

dovessimo sintetizzare in un concetto l’impianto motivazionale che andremo poi ad affrontare

analiticamente - non hanno fatto altro che “ricordare” la pre-esistenza di un quadro normativo che

complessivamente rende legittimo l’utilizzo del trojan per finalità di indagini penali.

Ma ancor prima dei problemi spiegati al popolo americano da un Professore dell’Università del

Kentucky, gli investigatori si sono dovuti scontrare con la difficoltà di intercettare le comunicazioni

VOIP.

Occorre pertanto partire da questo ultimo dato, per poi analizzare anche le problematiche relative

alle intercettazioni di flussi di comunicazioni intercorrenti su caselle di posta gestite da Internet Service

Provider (ISP) americani quali Microsoft, Google e Yahoo! (e oggi anche Apple).

4. I dati relativi alle chiamate VOIP e l’intercettazione delle relative comunicazioni

Per servizi VOIP (Voice Over IP) si intende comunemente far riferimento a quelli che, di fatto e come

si intuisce dalla definizione letterale, utilizzano la rete Internet come canale di comunicazione vocale13.

4.1 Il dibattito sul regime normativo applicabile

Come spesso accade nei rapporti tra innovazione tecnologica e tecniche di redazione normativa, il

Legislatore non è riuscito a tenere il passo alla sempre più diffusa utilizzazione di tali servizi.

Si era dovuto attendere l’inciso di cui all’art. 1 lett. d) d.lgs. 109/2008 (il quale fa riferimento alle

“chiamate telefoniche … basate sulla trasmissione dati, purchè fornite da un gestore di telefonia”) per veder

manifestata una prima interpretazione sul punto, accolta in una norma di legge ed esplicitata nella stessa

relazione illustrativa14.

E tuttavia rimane ancora oggi fermo il tema giuridico, che attiene alla applicabilità della previsione

dell’art. 266 c.p.p. ovvero di quella dell’art. 266 bis c.p.p. (quest’ultima azionabile anche in relazione a

13 Trattasi di tutti quei servizi che, di fatto e come si intuisce dalla definizione letterale, utilizzano la rete Internet come

canale di comunicazione vocale. In relazione alla previsioni della Legge finanziaria per il 2008 (imposizione a tutti gli

enti pubblici di convertire la propria utenza telefonica analogica al VoIP per razionalizzare le risorse e diminuire i costi)

e sui dubbi di affidabilità di alcuni sistemi VoIP cfr. C. PARODI, VoIP, Skype e tecnologie di intercettazione: quali

risposte d’indagine per le nuove frontiere delle comunicazioni?, Dir. pen. proc., 10, 2008, pp. 1309 e ss. 14 Se ne riporta il passaggio rilevante: “Per quanto riguarda le chiamate effettuate tramite i servizi di telefonia vocale

basati sul protocollo internet (VOIP), si è ritenuto che la natura del gestore influisca sulla natura del servizio, per cui il

relativo traffico è definito di natura telefonica se lo stesso è fornito da un gestore di telefonia, viceversa, il traffico ha

natura telematica qualora il gestore sia un internet service provider”. Occorre tuttavia sottolineare come, oggi, tale

distinzione tra gestore di telefonia e Internet Service Provider non è più significativa, dal momento che ormai quasi tutti

gli “storici” gestori di telefonia (fissa e/o mobile) possono essere oggi considerati Internet Service Provider o, più

precisamente, Access Provider (ossia fornitori di accessi ad Internet, e quindi essi stessi gestori anche di traffico di

natura telematica).

7

fatti di reato con limiti di pena edittale più bassi rispetto a quelli per i quali può essere richiesta e

autorizzata una intercettazione telefonica).

Allo stato, a fronte di una interpretazione tutta incentrata sulla natura della comunicazione (pur

sempre attinente alla voce umana, e quindi pienamente sussumibile nella previsione dell’art. 266

c.p.p.)15, si contrappone la possibilità teorica di considerare la relativa intercettazione come “telematica”

ex art. 266 bis c.p.p.

Tesi quest’ultima da preferire per un serie di argomenti, che andremo nuovamente16 a sintetizzare a

breve, non prima di aver richiamato il dato normativo (art. 266 comma 1 c.p.p.) che prevede una

elencazione tassativa delle ipotesi applicative17, identificate non solo con riferimento alla pena edittale

(lett. a, b) ma anche con riferimento al “mezzo” utilizzato per commettere il reato (lett. f): infatti tale

ultima previsione ricomprende anche delitti di non particolare allarme sociale (ingiuria) o semplici

contravvenzioni (660 c.p.), sulla evidente base che tali manifestazioni illecite si possano fronteggiare

solo con tale specifico mezzo di ricerca della prova.

15 Così L. LUPARIA, Disciplina processuale e garanzie difensive, in G. ZICCARDI, L. LUPARIA, Investigazione

penale e tecnologia informatica, p. 166: “non vi è dubbio, infatti, che nella volontà del legislatore vi fosse una netta

differenza di disciplina tra la conversazione vocale tra due soggetti, a prescindere dal mezzo attraverso cui essa

potesse avvenire, e il trasferimento dei dati, giudicato meno rilevante in una ipotetica scala di valore, per quanto

comunque degno di tutela nella parte in cui può fornire delicatissime informazioni circa l’identità di soggetti o i

riferimenti di tempo e di luogo della comunicazione stessa”. Sul punto l’Autore indica Corte Cost., 11 marzo 1993, n.

81, in Giur. It., 1993, p. 108 e A. VALASTRO, La tutela delle comunicazioni intersoggettive, fra evoluzione

tecnologica e nuovi modelli di responsabilità, in Riv. it. dir. proc. pen., 1999, p. 989. Da ultimo anche C. MAIOLI, R.

CUGNASCO (in Profili normativi e tecnici delle intercettazioni: dai sistemi analogici al voice over IP, Gedit, 2008, pp.

197 e ss) per i quali, alla luce dell’intero impianto normativo modellato sull’art. 15 Costituzione e de iure condito, non

ci sono elementi “per sostenere, sul piano giuridico, che l’attuale sistema normativo intenda accordare una maggior o

minore tutela alle comunicazioni sulla base delle sole modalità con cui esse si estrinsecano” , sicchè “per il sistema

giuridico le comunicazioni scritte effettuate per mezzo delle nuove tecnologie non rappresentano – come

frettolosamente si è scelto di definirle – una mera “trasmissione di dati”, bensì sono, a tutti gli effetti, colloqui riservati

e non cessano di esserlo per il solo fatto che non si svolgano in forma vocale”. Secondo tali Autori, l’adesione alla

impostazione dogmatica sopra sintetizzata “non autorizza tuttavia a ritenere che l’intercettazione di una chiamata VoIP

vada automaticamente legittimata, sic et simpliciter, secondo quanto previsto dall’art. 266 bis”. Ed infatti il ricorso ad

un tipo di intercettazione piuttosto che ad un altro “dovrebbe dipendere da una valutazione tecnica ex ante della

situazione che concretamente si presenta agli inquirenti in corso di indagine”: così, ad esempio, “l’osservanza delle

disposizioni codicistiche imporrebbe … alla autorità giudiziaria di ricorrere esclusivamente alle intercettazioni

telefoniche ogni qualvolta nella comunicazione VoIP sia coinvolta (e nota) un’utenza telefonica tradizionale, ovvero la

chiamata VoIP sia comunque intercettabile su un tratto di rete telefonica PSTN”. E tuttavia tale ultima impostazione, se

ha il pregio di valorizzare la necessità di soluzioni caso per caso e di mettere maggiormente in risalto il dato tecnico, a

rigore si scontra con la stessa definizione giurisprudenziale del sistema telefonico fisso e cellulare, così come emergente

in almeno due sentenze della Suprema Corte (Sez. VI, 4 ottobre 1999, n. 3067; Sez. un., 23 febbraio 2000, n. 6) che

peraltro gli stessi Autori indicano. 16 Si consenta il rinvio a G. BRAGHO’, F. CAJANI, intervento del 21.12.2006 su “La formulazione dell’accusa e le

attività d’indagine in tema di criminalità tecnologica” nell’ambito del ciclo di seminari su “computer forensics,

investigazione penale e criminalità tecnologica”, organizzati dal L.E.F.T. (Legal Electronic Forensic Team:

www.cirsfid.unibo.it/ricerca/progetti/schedaprogetto/85) presso l’Università Statale di Milano tra l’ottobre 2006 ed il

giugno 2007. Impostazione così richiamata da F. CAJANI, Internet Protocol. Questioni operative in tema di

investigazioni penali e riservatezza, in Diritto dell'Internet, 6, 2008, p. 555, nota 43. 17 Sul punto cfr. anche G. BRAGHO', Le indagini informatiche fra esigenze di accertamento e garanzie di difesa, in

Dir. Inf. e Inf., 2005, pp. 521-523.

8

Invero, lo stesso articolo 266 c.p.p. già consentiva l’intercettazione di “conversazioni o comunicazioni

telefoniche o di altre forme di telecomunicazione”. Ed infatti proprio per questo ci si era conseguentemente

chiesti se una semplice interpretazione estensiva potesse ricomprendere, anche prima dell’intervento

della legge 547/93 (che ha introdotto l’art. 266 bis c.p.p.), l’intercettazione di comunicazioni telematiche.

Tuttavia l’intervento del Legislatore del 1993, come messo in evidenza dai commentatori dell’epoca,

trovava proprio una sua ratio nella impossibilità giuridica di sostenere una simile interpretazione.

Ebbene, a conferma della pacifica possibilità di ricomprendere l’intercettazione VOIP tra quelle

telematiche, si palesano almeno quattro argomenti. E precisamente:

a) dato storico – il riferimento dell’art. 266 c.p.p. ad “altre forme di telecomunicazione” deve intendersi

pacificamente a quelle già esistenti all’epoca della sua introduzione: si pensi al mezzo del

citofono o dell’interfono (per le conversazioni da intercettare in carcere);

b) dato sistematico – la legge 547/93 conferma l’impostazione di cui al precedente punto dal

momento che, introducendo espressamente una nuova norma sul punto, conferma che “le altre

forme di telecomunicazione” non sono quelle informatiche.

Per entrambi i richiamati motivi non potrebbe dunque essere utilizzato il richiamato dato

testuale per argomentare una già normativamente prevista ricomprensione delle chiamate VoIP nella

previsione dell’art. 266 comma 1 c.p.p.;

c) ulteriore dato sistematico (quanto alla conformità di tale interpretazione ai dettami dell’ art. 3 Cost.)

– i previsti limiti edittali, più bassi nel 266-bis c.p.p. rispetto alla norma sulle intercettazioni

telefoniche18, non sono certo una novità in quanto la richiamata lett. f) dell’art. 266 c.p.p. ci dice

che quello che rileva è il “mezzo” utilizzato (indipendentemente dal tipo di dato da sottoporre ad

intercettazione). Allo stesso modo il mezzo del personal computer necessita, proprio per sua

diffusività (ed invasività) in termini di commissione di reati da parte della criminalità, una uguale

risposta in termini di mezzi di accertamento dei fatti da mettere a disposizione degli

investigatori19;

d) dato giurisprudenziale – in Sez. un., 23 febbraio 2000, n. 620 si afferma come “il sistema telefonico

mobile deve ormai essere considerato ai sensi dell’art. 266 bis”21 (impostazione la cui ratio è conforme a

quanto indicato sub a)22.

18 Dal momento che il richiamato articolo fa riferimento ai “procedimenti relativi ai reati indicati nell’articolo 266,

nonché a quelli commessi mediante l’impiego di tecnologie informatiche o telematiche” indipendentemente dai limiti

edittali di pena di quest’ultimi. 19 C. PARODI, La disciplina delle intercettazioni telematiche, in Dir. pen. proc., 2003, p. 890. 20 in Cass. Pen., 2000, p. 2959. 21 Da ultimo anche Sez. un. 26 giugno 2008, n. 36359 (in Cass. Pen., 2009, p. 30) che, intervenuta in tema di

“remotizzazione” dell’ascolto nelle intercettazioni, in un passaggio della motivazione da atto che “La rivoluzione che

ha trasformato la telefonia nel recente passato ha segnato, in estrema sintesi, il progressivo passaggio dalla

trasmissione di segnali in maniera analogica a quella di dati in forma digitale, trasformando il servizio telefonico (a

partire da quello di telefonia mobile) in un sistema informatico o telematico. È dunque mutato lo stesso oggetto fisico

9

4.2 Le intercettazioni di comunicazioni su sistemi VoIP crittografati: il “caso Skype”

Quello dell’inquadramento giuridico delle intercettazioni di comunicazioni su sistemi VoIP non è

l’unico problema emerso negli ultimi anni in relazione alle investigazioni penali.

Ed anzi, prima che in diritto, l’esperienza concreta aveva portato gli operatori ad interrogarsi su

problemi tecnici, dovuti al fatto che tali sistemi di comunicazione di regola avvengono con protocolli di

comunicazione criptata. Questi profili, del resto, avrebbero potuto rendere i discorsi giuridici del tutto

irrilevanti, dal momento che – di fatto – i sistemi di comunicazione VoIP, a partire dal più conosciuto

(ossia Skype, società acquisita nel maggio 2011 da Microsoft23), all’epoca si presentavano come

tecnicamente non intercettabili24.

La end-to-end security25 nelle trasmissioni è infatti presente da molti anni nelle tecnologie di

comunicazioni sicure. Il concetto fondamentale (oltre agli algoritmi matematici26 che la rendono

possibile) è il seguente: non delegare a nessun canale trasmissivo sottostante la comunicazione di due

della comunicazione telefonica e, quindi, della sua intercettazione. Di conseguenza è stato fatto progressivamente

ricorso alla utilizzazione di sistemi di registrazione digitale computerizzata che hanno sostituito gli apparati

meccanici”. 22 Cfr. anche Sez. VI, 4 ottobre 1999, n. 3067 (in Cass. Pen., 2000, p. 2990) che ha definito, proprio in relazione alla

rete telefonica fissa «un complesso di apparecchiature destinate a compiere una qualsiasi funzione utile all’uomo,

attraverso l’utilizzazione (anche parziale) di tecnologie informatiche, che sono caratterizzate - per mezzo di un’attività

di “codificazione” e “decodificazione” - dalla “registrazione” o “memorizzazione”, per mezzo di impulsi elettronici,

su supporti adeguati, di “dati”, cioè di rappresentazioni elementari di un fatto, effettuata attraverso simboli (bit), in

combinazione diverse, e dalla elaborazione automatica di tali dati, in modo da generare “informazioni”, costituite da

un insieme più o meno vasto di dati organizzati secondo una logica che consenta loro di esprimere un particolare

significato per l’utente»: e dunque nel suo insieme anche il servizio telefonico deve essere considerato un sistema

informatico o telematico. 23 Si noti come, nonostante tale acquisizione, di fatto la società Skype Communications SARL continua ad osservare

policies diverse da quelle di Microsoft Corp. nei rapporti con l’AG. 24 Cfr. sul tema D. MCCULLAGH, Skype: We can't comply with police wiretap requests, in news.cnet.com (9.6.2008). 25 La cifratura end-to-end si basa (molto schematicamente) su tre punti fondanti.

Il concetto base è la creazione per ogni interlocutore di una chiave segreta (conosciuta dal solo interlocutore) e da una

chiave pubblica che l’interlocutore “pubblica” su servizi di directory per permettere ad altri di interloquire con lui in

modo sicuro. Ciò che è cifrato con la chiave pubblica può essere decifrato solo con la chiave segreta.

Ulteriore concetto fondante è chi garantisce che una chiave pubblica appartiene ad un certo interlocutore. In un gruppo

chiuso di utenti (dove tutti si conoscono o si entra per cooptazione) ci possono essere vari modi per permettere questa

verifica. In un sistema aperto, dove devono interagire centinaia di migliaia o milioni d’interlocutori, è il gestore del

servizio che offre questa garanzia.

Terzo punto fondante: le chiavi asimmetriche non vengono utilizzate per cifrare il contenuto della trasmissione ma solo

per permettere lo scambio di chiavi di crittografia (simmetrica) con cui si effettua la crittografia del traffico. La

determinazione della chiave di crittografia simmetrica da utilizzare può essere a sua volta oggetto di algoritmi

complessi per cui vengono usati catene di chiavi primarie che utilizzano altre chiavi secondarie che possono cambiare a

livello di singolo messaggio: quasi mai la chiave di cifratura simmetrica (o di sessione) rimane la stessa per tutta la

durata della sessione.

Da quanto sopra esposto la possibilità, allo stato, di intercettare sulla linea il flusso informativo e di rendere il contenuto

in chiaro è assai remota. 26 Da un punto di vista degli algoritmi crittografici, la crittografia end-to-end si basa su sistemi crittografici asimmetrici

il cui primo prodotto a livello commerciale è stato l’RSA con la su versione “free” chiamata PGP, implementazione di

un sistema RSA con codice libero (all’epoca tali algoritmi erano tutelati dal DOD americano e l’autore, che sviluppò il

programma e lo rese pubblico, fu condannato e scontò una grave pena).

10

interlocutori. La sicurezza deve pertanto essere fornita dal canale che direttamente connette i due

interlocutori e deve essere sotto il loro controllo.

A rileggere oggi la famosa nota del servizio di sicurezza egiziano su Skype27 sembra che il tempo si

sia davvero fermato:

Se da un lato alcune Autorità statali si sono mosse, finora senza successo (sempre per quanto è dato

sapere alla comunità scientifica), nei confronti della richiamata società al fine di ottenere il codice di

criptazione (con modalità e garanzie tali da poterlo utilizzare solo nelle ipotesi legislativamente previste

dai relativi ordinamenti giuridici28), la situazione italiana – emersa ai più in tutta la sua drammaticità a

seguito di una indagine giornalistica del 200929 - è stata successivamente ricostruita dai medesimi

giornalisti30.

Quello che possiamo affermare con certezza, avendo avuto conoscenza diretta della vicenda, è che

il desk italiano ad Eurojust, dopo aver ricevuto una articolata richiesta di assistenza da parte dell’allora

27 Citata da S. STECKLOW, P. SONNE, M. BRADLEY, Mideast Uses Western Tools to Battle the Skype Rebellion, in

online.wsj.com (1.6.2011): “The Skype communication system…counts as a safe and encrypted Internet communication

system to which most extremist groups have resorted to communicate with each other”. 28 Sul punto è interessante ricordare come nel giugno 2011 l’US Patent and Trademark Office (USPTO) ha pubblicato

la domanda di brevetto – depositata da Microsoft nel dicembre 2009 - che descrive una modalità per intercettare

legalmente le chiamate VoIP, menzionando esplicitamente Skype come esempio: cfr. G. NAZZARO, Il brevetto di

Microsoft per intercettare Skype, in Sicurezza e Giustizia, 3, 2011, p. 24. 29 M. MENSURATI, F. TONACCI, I boss si parlano su Skype, impossibile intercettarli, in www.repubblica.it

(14.2.2009). 30 M. MENSURATI, F. TONACCI, Boss e intercettazioni, Skype sotto accusa, in www.repubblica.it (15.2.2009):

“Tutto comincia nel 2006 a Milano. Il pm antimafia Margherita Taddei si accorge che alcuni indagati hanno trovato un

modo sicuro per parlare tra di loro. Via Skype. Il pm incarica due consulenti di risolvere il problema, questi chiamano

Skype che fissa loro un bizzarro appuntamento: a Londra, in una saletta riservata dell'aeroporto. La società è estone

con sede in Lussemburgo. Non c' è motivo di incontrarsi a Londra. Ma i due accettano. La riunione, però, si dimostra

inutile: «Non c' è niente da fare». Il pm decide allora di rivolgersi ad Eurojust (unità di cooperazione giudiziaria

europea). Viene fissato un secondo incontro, stavolta a Milano. Da una parte gli investigatori e la rappresentanza

italiana di Eurojust, dall' altra due uomini Skype: Kurt Sauer (security manager) e Stephen Collins (legale). Gli italiani

propongono una serie di soluzioni, sia legali sia tecniche. I delegati della società estone, però, non battono ciglio,

ripetendo quella che di qui in avanti diventerà la «Versione di Skype»: «Non possiamo per problemi tecnici e non

possiamo per problemi giuridici. La normativa del Lussemburgo non ce lo permette». La rappresentanza italiana di

Eurojust non si rassegna. E organizza un terzo incontro. Stavolta all' Aja. Da una parte investigatori italiani

(magistrati delle Dda di Milano e Napoli, guidati dal procuratore nazionale antimafia Pietro Grasso), francesi,

tedeschi, inglesi e greci, dall' altra i rappresentanti di Skype. Chi era presente a quella riunione racconta di un clima

strano. «Gli investigatori continuavano a proporre soluzioni, quelli di Skype ascoltavano in silenzio». Poi il colpo di

scena. «I lavori erano programmati fino alle 19, ma alle 15 quelli di Skype spariscono nel nulla. Qualcuno sostiene

usciti dal retro». Fine dell'incontro. Lo scontro si arroventa, con i magistrati che continuano a chiedere una mano per

le loro indagini e Skype a opporre le solite «questioni tecniche e giuridiche», qualche volta utilizzando anche insistenti

incomprensioni linguistiche per fare ostruzione”.

11

Procuratore Nazionale Antimafia Pietro Grasso31 nonché analogo formale sollecito da parte della

Procura di Milano32, grazie al decisivo impulso di Carmen Manfredda (all’epoca Vice rappresentante

italiano ad Eurojust) aveva ottenuto nel 2009 l’apertura di un caso presso il richiamato Organismo

europeo per identificare – di concerto con tutti i rappresentanti degli Stati Membri – gli aspetti utili al

fine di una positiva risoluzione della problematica, anche tenendo conto della impostazione giuridica sul

punto già indicata nel 200833 nel corso del primo “Strategic meeting on cybercrime” organizzato ad Atene da

Eurojust. La società si era inizialmente dichiarata disposta, ancora una volta, a collaborare34… ma poi

tutto era rimasto come prima.

Del resto, che il tema fosse già allora di portata fondamentale emergeva – come già ricordato - da

alcune vicende note agli operatori del settore. Tra le più tristi, sicuramente non possono essere

dimenticate quelle relative al sequestro dell’imprenditore Roveraro35, laddove proprio l’utilizzo di Skype

aveva inizialmente comportato un non indifferente ostacolo per gli investigatori.

Analogamente ad altri Stati, il tema oggi si propone con il terrorismo internazionale le cui

comunicazioni non sono, per definizione, relegate all’interno di un solo territorio nazionale. E dunque il

problema della crittografia, un tempo concentrato solo offline (es. dati conservati su un HD), oggi

assume rilevanza fondamentale relativamente alle conversazioni online (tramite sistemi cd. instant

messagging). E’ dato notorio come anche WhatsApp, tra i sistemi più utilizzati al mondo, proprio all’inizio

del 2016 abbia introdotto – come già in passato altri sistemi quali Skype – la crittografia cd. end-to end.

31 Lettera del 27 febbraio 2009. 32 Nota dei Procuratori Aggiunti Ferdinando Pomarici (coordinatore Direzione Distrettuale Antimafia) ed Armando

Spataro (coordinatore pool antiterrorismo). 33 Sia consentito il rinvio a F.CAJANI, “Interception of communications: Skype, Google, Yahoo! and Microsoft tools

and electronic data retention on foreign servers: A legal perspective from a prosecutor conducting an investigation”, in

Digital Evidence and Electronic Signature Law Review, 6, 2009, pp. 158 ss. 34 M. MENSURATI, F. TONACCI, Skype collaborerà con la polizia per inseguire i criminali sul VoIP, in

www.repubblica.it (27.2.2009). 35 A rileggere gli atti di indagine (in particolare l’annotazione riepilogativa sui profili tecnici emersi, datata 1 febbraio

2007, dei ROS Carabinieri - Sezione Anticrime di Milano) che hanno poi portato alla condanna degli imputati e

nonostante l’impossibilità di sottoporre ad immediata intercettazione tali comunicazioni Skype (42 in totale, dalle ore

1.25 del 6 luglio 2006 alle ore 17.53 del 7 luglio 2006), tuttavia gli investigatori furono in grado di ricostruire ex post un

complesso “sistema di comunicazioni …. finalizzato a garantire anonimato e riservatezza”, con l’utilizzo di “strumenti

telefonici classici, impiegati con opportuni accorgimenti (intestatari fittizi e rose di contatti chiuse) e strumenti

telematici di ultima generazione come servizi di VoIP e di Electronic Fax, nonché mezzi informatici di occultamento di

indirizzi IP e di account di posta elettronica. Tale sistema, a dimostrazione della premeditazione del reato, è stato

ideato, concretizzato e testato ben prima di porre in essere la condotta criminale, al fine di garantirne il perfetto

funzionamento allorquando si fosse reso necessario”.

In particolare, l’utilizzo di un sistema di Electronic Fax (denominato Efax Plus Service) comportò necessariamente il

pagamento del relativo traffico tramite addebito su due carte di credito prepagate, non ricaricabili, emesse dall’Istituto

IMI San Paolo senza identificazione degli intestatari. Acquisito il riepilogo delle operazioni su tali carte, emerse che una

delle due era stata “utilizzata anche per effettuare una ricarica al servizio Skype da 11.50 euro in data 5 giugno 2006”,

ovvero un mese prima del rapimento (avvenuto nei giorni del 6 e 7 luglio 2006). Tali complessivi elementi, insieme ad

altri, consentirono di richiedere al GIP l’emissione di una ordinanza di misura cautelare, eseguita all’alba del 21 luglio

2006 con l’arresto dei tre indagati e culminata, “nella stessa giornata, con il rinvenimento nel comune di Fornovo di

Taro (PR) dei poveri resti della vittima del sequestro”.

Sul punto si veda anche l’efficace ricostruzione giornalistica di L. GRIMALDI, Due giorni di misteri, poi l'esecuzione,

in www.corriere.it (6.4.2008).

12

Eppure gli studi di fattibilità, all’epoca effettuati per Eurojust da due consulenti tecnici della Procura

di Milano, confermano come sia possibile – per Skype allora così come per WhatsApp oggi – apporre

una modifica del sistema di crittografia al fine di consentire la presenza di un terzo interlocutore (che

rimane ignoto agli altri interlocutori). Il tutto, ovviamente, a richiesta della Autorità Giudiziaria con

apposito decreto, in relazione a ben predeterminati flussi di comunicazioni e solo nei casi ove siano

emerse esigenze investigative meritevoli di tutela. Pertanto, anche da questo punto di vista, non

emergono alcuni ostacoli circa il rispetto dei diritti fondamentali dell’uomo.

Nessun problema, dal punto di vista tecnico, si pone allo stesso modo per i provider che veicolano

tale flusso di comunicazioni36, dal momento che essi sono già da tempo in vigore le norme europee

tecniche emanate dall’ETSI37 (European Telecommunications Standard Institute) che già consentono agli stessi

di deviare tale tipo di traffico alla Autorità Giudiziaria.

Del resto, si pensi che Skype ha tentato di penetrare il mondo business, pur volendo mantenere

l’impenetrabilità dei contenuti trasmessi. Orbene, queste due necessità sono antitetiche l’una con l’altra,

soprattutto ora che la sensibilizzazione dell’aziende sulla tematica cybercrime è molto alta: le aziende non

possono più permettersi di non sapere cosa entra od esce dai propri sistemi, e così anche Microsoft ha

dovuto rendere disponibile una versione business di Skype dove il controllo delle chiavi rimane in capo

all’azienda e non al dipendente! 38

5. Le intercettazioni delle caselle di posta elettronica @.com

Per il tramite dei più diffusi sistemi di posta elettronica offerti dalle richiamate società americane,

viene generato un flusso di comunicazioni tra persone che, spesso, sono entrambe presenti nel nostro

Stato.

E’ in questo ambito che si verificano ancora oggi, a distanza di quasi 10 anni dalle “prime

avvisaglie”, i catastrofici effetti di una impostazione teorica – che sinteticamente si ebbe a definire come

quella del “no server no law”39 – che privilegia il luogo di allocazione dei server interessati al fine

dell’applicabilità della relativa legge (e della risoluzione dei problemi di conflitti di giurisdizione).

36 Bisogna tener presente questo dato fondamentale: il fatto che il gestore non possa “entrare” nelle comunicazioni fra i

due interlocutori, anche perché nella maggior parte dei casi il traffico non passa dai loro server, non significa che non lo

possano rendere disponibile. I gestori di telecomunicazione infatti gestiscono l’informazione più importante, ossia le

chiavi pubbliche e gli algoritmi crittografici presenti nel loro codice. La crittografia end-to-end prevede la possibilità di

introdurre “escrew key” nel codice di programmazione, anche in modo “nascosto” e non facilmente rilevabile da

soggetti terzi. 37 www.etsi.org. 38 Si ringrazia l’ing. Maurizio Bedarida – uno dei due consulenti citati anche nella nota 30 - per il prezioso confronto, al

quale non si è mai sottratto in questi anni, su questi affascinanti quanto importanti temi. 39 L’origine di tale definizione deve trarsi dal paper illustrato durante il primo “Strategic meeting on Cybercrime”,

organizzato da Eurojust ad Atene il 23/24 Ottobre 2008: cfr. nota 33.

13

Con il paradosso che, in origine, essi si trovavano al di fuori degli Stati Membri dell’Unione

Europea: e dunque all’epoca Google, Yahoo! e Microsoft avevano buon gioco a sostenere che, non

essendoci server sul territorio nazionale o comunque europeo, non potevano trovare applicazione le

rispettive leggi nazionali (e comunitarie) invocate dallo Stato richiedente l’intercettazione40.

Oggi la situazione è cambiata: Google41 e Microsoft42 hanno ormai numerosi datacenter in Europa

(alla stessa stregua degli altri ISP americani quali Facebook43 and Apple44) e lo scenario ha anche

assunto i contorni di una battuta ironica quando, nel 2014, è stato questa volta un Giudice americano a

sentirsi opporre un divieto di acquisizione di dati (relativi ad un account di Microsoft) perché i server

erano… in Europa!45

Ma cerchiamo di fare un poco di ordine, anche sotto tale ulteriore profilo, anche qui auspicando –

come già evidenziato in sede europea fin dal 2008 – che si possa finalmente arrivare a una diversa

impostazione, definita “no server but law opinion”, per la quale ciò che conta è il luogo dove il servizio web

viene offerto, anche ai fini dell’applicazione della relativa legge.

Perché, a fronte dei contrapposti approcci teorici, il preliminare dato investigativo è presto detto.

Per le società di telecomunicazione italiane è possibile richiedere – in esecuzione del provvedimento

del Giudice che dispone l’intercettazione telematica – che la posta elettronica indirizzata alla e-mail

intercettata venga reindirizzata ad un account appositamente creato dalla Polizia Giudiziaria: questo

consente non solo un risparmio dei costi delle complessive operazioni di intercettazione ma anche

40 Evidente che non sussistono problemi di giurisdizione laddove il Pubblico Ministero sia in grado di indicare al GIP

che le comunicazioni di cui si chiede l’intercettazione intercorrono tra due cittadini italiani o comunque tra due persone

presenti sul territorio nazionale, indipendentemente dal fatto che – accidentalmente – tali conversazioni transitino per un

server allocato all’estero. 41 www.google.com/about/datacenters/inside/locations/index.html. 42 www.microsoft.com/en-us/cloud-platform/global-datacenters. 43 www.facebook.com/LuleaDataCenter. 44 Cfr. D. LUMB, Why Apple Is Spending $1.9 Billion To Open Data Centers In Denmark And Ireland, in

www.fastcompany.com (23.2.15). 45 La notizia ha fatto praticamente il giro del mondo: cfr. tra i tanti S. LOHR, Microsoft Protests Order to Disclose

Email Stored Abroad, in www.nytimes.com (10.6.2014). Il caso è stato recentemente vinto in Appello dalla società

americana, con un provvedimento che tuttavia viene così commentato da uno degli stessi Giudici (GERARD E.

LYNCH) nella sua “separate opinion”: “I concur in the result (of the case), but without any illusion that the result

should even be regarded as a rational policy outcome, let alone celebrated as a milestone in protecting privacy”. Egli

infatti sottolinea come “the dispute here is not about privacy, but rather about the international reach of American law”

e che vi è bisogno “for congressional action to revise a badly outdated statute”. Aggiungendo questa significativa

riflessione: “The case looks rather different, however – at least to me, and I would hope to the people and officials of

Ireland and the E.U. – if the American government is demanding from an American company emails of an American

citizen resident in the U.S., which are accessible at the push of a button in Redmond, Washington, and which are stored

on a server in Ireland only as a result of the American customer’s misrepresenting his or her residence, for the purpose

of facilitating domestic violations of American law, by exploiting a policy of the American company that exists solely for

reasons of convenience and that could be changed, either in general or as applied to the particular customer, at the

whim of the American company”.

Si veda anche P. J. HENNING, Microsoft Case Shows the Limits of a Data Privacy Law, in www.nytimes.com

(18.7.2016).

14

soprattutto la possibilità di iniziarle in tempi ragionevolmente brevi46 (questione non di poco momento

laddove si addirittura in pericolo una o più vite umane).

national Internet

Service Provider

Court Order

intercepted account

judicial police account

Tuttavia, con riferimento a caselle di posta elettronica @.com, questo meccanismo tanto semplice

diventa invece impossibile. Infatti quando la Polizia Giudiziaria andava a notificare a Google o a

Microsoft (entrambe aventi, quali filiali, una società di diritto italiano con sede in Milano) il decreto del

Giudice che autorizza l’intercettazione, la tipica risposta fornita era: “Spiacenti, i nostri server stanno in

America…. quindi chiedete l’intercettazione con una rogatoria!”.

46 Diversamente, occorrerebbe dapprima richiedere i tabulati telefonici del numero utilizzato per la connessione ad

Internet (per verificare quale sia il gestore che la fornisce) e successivamente pianificare, d’intesa con il gestore,

l’azione di collocamento delle cd. sonde (tecnicamente necessarie per intercettare il traffico utile): nel complesso tali

operazioni ragionevolmente possono anche durare una intera settimana!

15

(server abroad)

Internet Service Provider

Court Order

Solo Yahoo! (anch’essa avente all’epoca, quale filiale, una società di diritto italiano con sede a

Milano) disponeva di un software – denominato ‘Yahoo! Account Management Tool’ – che consentiva

l’intercettazione delle caselle di posta elettronica in tal modo, ma con alcuni limiti47 (e con alcuni

problemi, come verificatosi in una nota indagine milanese48). Ma questo è avvenuto solo per un breve

periodo di tempo49, e poi anche Yahoo! si è “allineata” alle altre società americane.

47 Più precisamente, sulla base del principio della Net Citinzenship (Cittadinanza di Rete), l’utente poteva scegliere - al

momento della registrazione di una e-mail @yahoo – a quale legislazione sottoporre la sua casella di posta elettronica.

Solamente ove avesse scelto quella italiana, il richiamato software ne consentiva l’intercettazione immediata ove

necessaria ai fini investigativi ed autorizzata con provvedimento dell’Autorità Giudiziaria. 48 Il caso è nato da una casella @yahoo.it sottoposta ad intercettazione - con le modalità consentite dal ‘Yahoo! Account

Management Tool’ - senza alcun risultato (ovvero la Polizia Giudiziaria non riceveva nulla sul proprio account

predisposto ad hoc). Dopo l’arresto dell’indagato (un phisher della Romania), lo stesso durante un interrogatorio e alla

presenza del Difensore fornì al Pubblico Ministero le credenziali di accesso alla sua casella (ovvero a quella che era

stata intercettata senza successo). Si scoprì allora con sorpresa che invece vi erano molti messaggi ancora giacenti,

ricevuti nel periodo nel quale la casella era stata sottoposta ad intercettazione. Le successive indagini della Guardia di

Finanza – Gruppo Pronto Impiego di Milano hanno consentito di accertare che al richiamato Tool potevano accedere

davvero in tanti all’interno delle varie filiali europee di Yahoo!, con pregiudizio alla riservatezza degli utenti (e non solo

alle indagini di Polizia Giudiziaria). Gli atti sono stati trasmettessi al Garante per la protezione dei dati personali, che ha

confermato gli accertamenti tecnici e l’impostazione giuridica della Procura di Milano: cfr. L. FERRARELLA, «Buco»

nei controlli in Rete. I pm mettono in regola Yahoo, in www.corriere.it (30.10.2008). 49 Significativa la circostanza che nel 2008, mentre in Italia era possibile addirittura intercettare una casella di posta

elettronica @yahoo.com, in Belgio invece la società americana negava ogni forma di cooperazione con l’Autorità

Giudiziaria richiedente dati del traffico telematico: circostanza quest’ultima che sarà all’origine del notissimo “Yahoo!

Case” che, dopo 7 anni, ha finalmente visto vincere in Cassazione la Procura Federale belga: cfr. N. ROLAND, Court

of Cassation definitively confirms Yahoo!’s obligation to cooperate with law enforcement agencies, in www.stibbe.com

(7.1.2016). Sulle diverse policy degli ISP americani e sul numero di richieste di dati provenienti dagli Stati Membri del

Consiglio d’Europa si veda il paper del T- CY Cloud Evidence Group intitolato “Criminal justice access to data in the

cloud: cooperation with “foreign” service providers”, in www.coe.int/web/cybercrime.

“ROGATORY IS REQUIRED”

16

6. Lo stato attuale delle intercettazioni – tramite trojan - di comunicazioni tramite sistemi

VoIP (comprensivi oggi dei sistemi di istant messaging) con protocolli di crittografia e delle

caselle di posta elettronica @.com

Una volta riassunto il panorama tecnologico con il quale gli investigatori si devono quotidianamente

confrontare nell’attività di contrasto al crimine (non solo organizzato), la domanda di senso che si

impone è la seguente: cosa fare?

Aspettare che il Legislatore comunitario intervenga, quanto alla problematica relativa alle

comunicazioni crittografate, al fine di chiarire che la normativa europea in materia di comunicazioni

elettroniche50 (dalla quale discende anche il nostro decreto legislativo 1° agosto 2003, n. 259 – Codice

comunicazioni elettroniche) debba ritenersi applicabile – con il relativo obbligo di rendere disponibile

l’intercettazione per le Autorità Giudiziarie51 - a tutte le Società che offrono servizi ai cittadini europei?

Aspettare che il Consiglio d’Europa riesca nell’intento di addivenire ad un protocollo addizionale alla

convenzione di Budapest sul cybercrime52 o che l’Unione Europea implementi nuovi strumenti di

cooperazione53, al fine di ottenere – senza rogatoria – i dati relativi alle comunicazioni intercorrenti sulle

caselle di posta elettronica @.com?

Ebbene nell’attesa, a fronte dell’esistenza di un rimedio più agevole (sia pure più costoso) quale

quello del trojan, gli investigatori hanno fatto la loro scelta di campo.

Questa scelta ha scontato alcuni problemi, ovviamente, ma non tanto di illegittimità del mezzo

impiegato quanto, piuttosto, di efficacia prestazionale dello stesso.

50 E precisamente: Direttiva 2002/19/CE del Parlamento Europeo e del Consiglio, 7 marzo 2002, relativa all'accesso alle

reti di comunicazione elettronica e alle risorse correlate, e all'interconnessione delle medesime (direttiva accesso);

Direttiva 2002/20/CE del Parlamento Europeo e del Consiglio, 7 marzo 2002, relativa alle autorizzazioni per le reti e i

servizi di comunicazione elettronica (direttiva autorizzazioni); Direttiva 2002/21/CE del Parlamento Europeo e del

Consiglio, 7 marzo 2002, che istituisce un quadro normativo comune per le reti ed i servizi di comunicazione elettronica

(direttiva quadro); Direttiva 2002/22/CE del Parlamento Europeo e del Consiglio, 7 marzo 2002, relativa al servizio

universale e ai diritti degli utenti in materia di reti e di servizi di comunicazione elettronica (direttiva servizio

universale). 51 Si veda in particolare la previsione dell’art. 6 della Direttiva n. 20/2002 in relazione all’obbligo di rendere disponibile

l’intercettazione delle comunicazione, quale condizione alla quale è subordinato il rilascio della autorizzazione

ministeriale al gestore interessato ad operare nello Stato. Sul punto pare opportuno ricordare, ancora una volta, come il

Ministero dello Sviluppo Economico - Telecomunicazioni con nota del 12 Settembre 2008 avesse espresso un parere

scritto, su apposita richiesta della Direzione Nazionale Antimafia, secondo il quale le connessioni Skype devono essere

ricomprese nella previsione del d.lgs. 259/2003 e quindi soggette all'autorizzazione generale di cui all'art. 25. E’ dunque

possibile parlare di “operatore” ai sensi dell’art. 1 lett. u) d.lgs. 259/2003, nozione che peraltro è essa stessa molto

ampia laddove fa riferimento non solo ad “un’impresa che è autorizzata a fornire una rete pubblica di comunicazioni”

51 ma anche laddove la stessa fornisca “una risorsa correlata”. 52 A tal fine dal dicembre 2014 è stato costituito il T- CY Cloud Evidence Group, ai cui lavori partecipa anche l’Italia

(www.coe.int/en/web/cybercrime/ceg). 53 Si veda il press release dal titolo Fight against criminal activities in cyberspace: Council agrees on practical

measures and next steps, in www.consilium.europa.eu (9.6.2016).

17

Perché, per quanto si possa qui rivelare, è evidente che lo stato dell’arte consente agli investigatori di

disporre con successo – mediante utilizzo del trojan - una intercettazione di tale duplice tipologia di

comunicazioni solamente quando è noto il luogo esatto dove si trova il dispositivo informatico

(computer fisso o portatile, cellulare) dell’indagato: questo sicuramente costituisce il primo limite

investigativo, dal momento che spesso – pur essendo noti gli interlocutori – non è possibile conoscere a

priori la loro precisa collocazione sul territorio italiano.

Superato questo primo limite, nei casi in cui sia materialmente possibile interagire con il dispositivo

dell’indagato, di regola si procederà ad installare su di esso un particolare software che, tra le sue funzioni,

è anche idoneo

- ad intercettare la voce dell’utente prima che il segnale audio venga codificato dal

protocollo di comunicazione criptato (quali, più recentemente, i flussi generati da

applicazioni di istant messaging quali WhatsApp);

- ad intercettare i flussi di comunicazioni generati su caselle di posta elettronica @.com

relativamente ai quali il dispositivo informatico ha pieno accesso.

Ove non sia possibile accedere fisicamente al luogo ove si trova il dispositivo, potranno essere

utilizzate tecniche di social enginering – specificatamente autorizzate dal Pubblico Ministero, in fase di

esecuzione del relativo provvedimento di autorizzazione alla intercettazione del GIP o del decreto d

intercettazione emesso d’urgenza dallo stesso Pubblico Ministero – quali, per esempio, l’invio di e-mail

contenenti vulnerabilità che di fatto consentiranno altresì l’installazione del software necessario

all’intercettazione di tali flussi di comunicazioni.

In ogni caso, tale attività deve essere necessariamente preceduta da una analisi tecnica calibrata sul

singolo caso e su tutte le informazioni (caratteristiche hardware/software in relazione al sistema

informatico da porre sotto intercettazione, caratteristiche tecniche delle connessioni Internet

potenzialmente utilizzabili) a disposizione degli investigatori, anche per evitare che la presenza di un

qualsivoglia sistema antivirus sul dispositivo informatico oggetto di intercettazione cd. attiva possa

facilmente vanificare il buon esito delle operazioni, con pregiudizio al prosieguo delle indagini.

7. L’intercettazione di comunicazioni tra presenti resa possibile dal trojan attraverso

l’attivazione del microfono nel dispositivo informatico portatile: l’ipotesi di procedimenti

relativi a “criminalità organizzata”

Quanto finora illustrato sull’operativà concreta del trojan consente di far emergere, ove ve ne fosse

ancora bisogno, quale sia il vero (e unico) thema decidendum delle Sezioni Unite. Esso non incrocia affatto

il più ampio tema delle intercettazioni (telematiche) relative ai particolari flussi di comunicazioni finora

18

descritti; né, come già ricordato, investe le forme di acquisizione (atipica) di documentazione via via

generata e presente sul dispositivo cd. target; né, infine, riguarda la ulteriore possibilità di acquisire al

procedimento – sempre mediante utilizzo del trojan – immagini da videocamera (ove presente sul

dispositivo) di luoghi e/o persone presenti nel raggio visivo della stessa.

L’oggetto dell’attenzione si concentra dunque al caso di attivazione del microfono in dispositivi

mobili (e non anche in quelli fissi) a seguito di una richiesta del Pubblico Ministero che non identifichi

preventivamente i luoghi nei quali avverranno le intercettazioni di comunicazioni tra presenti mediante

utilizzo del trojan.

E dunque, così individuato il perimetro dell’intervento delle Sezioni Unite, si capisce come

effettivamente uno dei nodi centrali fosse quello della “valenza da attribuire all'individuazione - e

conseguentemente all'indicazione nel provvedimento che autorizza l'attività investigativa in oggetto - del "luogo" nel cui

ambito deve essere svolta la "intercettazione di comunicazioni tra presenti" oggetto di previsione dell'art. 266, comma 2,

cod. proc. pen.”.

Secondo la sentenza Musumeci54, sussisterebbe un obbligo normativo di precisazione, nel decreto di

autorizzazione, del luogo nel quale sono consentite le captazioni di comunicazioni tra presenti, con la

conseguenza che “l'intercettazione ambientale […] dovrebbe avvenire in luoghi ben circoscritti e individuati ab

origine nel provvedimento di autorizzazione, non potendo essere permessa in qualunque posto si trovi il soggetto”.

Trasportato il principio di diritto allo strumento che consentirebbe tale forma di intercettazione

ambientale (ovvero il dispositivo portatile preventivamente infettato), ne discenderebbe l’impossibilità,

a stretto rigore, di utilizzare le caratteristiche tecniche di tale modalità di captazione (che, come ben

descrivono le Sezioni Unite, “prescinde dal riferimento al luogo, trattandosi di un'intercettazione ambientale per sua

natura ‘itinerante’ ”).

Detto in altre parole: sarebbe in sé illegittima una intercettazione ambientale disposta in tutti i luoghi

ove si trova il dispositivo informatico portatile (infettato dal trojan) in quanto, per ciò stessa,

potenzialmente lesiva della tutela del domicilio.

Le Sezioni Unite, come già l’ordinanza di rimessione, tuttavia mettono ben a fuoco alcune lacune del

ragionamento giuridico appena richiamato, prima tra tutte quella di non aver adeguatamente

considerato la “norma speciale derogatrice ex art. 13 del decreto-legge n. 152/91 (convertito dalla legge n. 203/91) che

- per le intercettazioni domiciliari in procedimenti per delitti di criminalità organizzata - esclude espressamente il requisito

autorizzativo previsto dall'art. 266, comma 2, secondo periodo, cod. proc. pen., e cioè la sussistenza di un «fondato motivo

di ritenere che nei luoghi» di privata dimora «si stia svolgendo l'attività criminosa»”.

Il che elimina in radice il problema di fondo: non sussistendo infatti – in tale tipologia di

procedimenti afferenti la criminalità organizzata – una distinzione (quanto a presupposti e regime di

54 Sez. VI, 26 maggio 2015, n. 27100, in C.E.D. Cass., n. 265654.

19

autorizzazioni) tra le (generali) ipotesi di “intercettazioni di comunicazioni tra presenti” e quelle di

“intercettazioni di comunicazioni tra presenti nei luoghi di privata dimora”, il ricorso ad una “ambientale

itinerante” (e per ciò solo potenzialmente “invadente” i luoghi di cui all’art. 614 c.p.) sarebbe in tutto e

per tutto compatibile con il sistema normativo esistente.

Ne consegue il principio di diritto espressamente riassunto dall’estensore in questi termini:

“Limitatamente ai procedimenti per delitti di criminalità organizzata55, è consentita l'intercettazione di conversazioni o

comunicazioni tra presenti mediante l’installazione di un 'captatore informatico' in dispositivi elettronici portatili (ad es.,

personal computer, tablet, smartphone, ecc.) - anche nei luoghi di privata dimora ex art. 614 cod. pen., pure non

singolarmente individuati e anche se ivi non si stia svolgendo l'attività criminosa".

8. L’intercettazione di comunicazioni tra presenti resa possibile dal trojan attraverso

l’attivazione del microfono nel dispositivo informatico portatile: le residue ipotesi

identificate alla luce dell’esperienza investigativa

Se dunque le Sezioni Unite, in maniera non solo autorevole ma estremamente efficace quanto a

chiarezza espositiva e lucida rigorosità dei passaggi argomentativi, così risolvono la questione portata

alla loro attenzione, nello stesso tempo sembrano indicare criteri utili per ricostruire una sorta di

“statuto” delle intercettazioni ambientali mediante utilizzo del trojan in tutte le altre ipotesi, che possono

così essere succintamente individuate:

a. intercettazione di comunicazioni tra presenti, in procedimenti diversi da quelli relativi a

criminalità organizzata, in luoghi rientranti nella previsione di cui all’art. 614 c.p. nei quali si stia

svolgendo l’attività criminosa;

b. intercettazione di comunicazioni tra presenti, in procedimenti diversi da quelli relativi a

criminalità organizzata, in luoghi diversi da quelli ex art. 614 c.p.

Ed infatti, nel passaggio argomentativo con il quale le Sezioni Unite escludono “de iure condito - la

possibilità di intercettazioni nei luoghi indicati dall'art. 614 cod.pen. con il mezzo del captatore informatico”, avendo

sempre come riferimento una richiesta del Pubblico Ministero di disporla “in tutti i luoghi in cui si

trova il dispositivo informatico portatile preventivamente infettato” (perché, occorre ricordare ancora,

era proprio questa la questione portata all’attenzione del decidente), si fa leva su tali condivisibili

argomenti, che riportiamo integralmente:

“b) all'atto di autorizzare una intercettazione da effettuarsi a mezzo di captatore informatico installato su di un

apparecchio portatile il giudice non può prevedere e predeterminare i luoghi di privata dimora nei quali il dispositivo

55 Nozione che viene precisata nel prosieguo della motivazione, e precisamente identificata – con motivazione

ugualmente condivisibile - non solo i reati di criminalità mafiosa e quelli associativi previsti da norme incriminatrici

speciali, ma in qualsiasi tipo di associazione per delinquere, ex art. 416 c.p., correlata alle attività criminose più diverse,

con l'esclusione del mero concorso di persone nel reato nel quale manca il requisito dell'organizzazione.

20

elettronico (smartphone, tabletl computer) verrà introdotto, con conseguente impossibilità di effettuare un adeguato controllo

circa l'effettivo rispetto della normativa che legittima, circoscrivendole, le intercettazioni domiciliari di tipo tradizionale;

c) peraltro, anche se fosse teoricamente possibile seguire gli spostamenti dell'utilizzatore del dispositivo elettronico e

sospendere la captazione nel caso di ingresso in un luogo di privata dimora, sarebbe comunque impedito il controllo del

giudice al momento dell'autorizzazione, che verrebbe disposta "al buio";

d) si correrebbe il concreto rischio di dar vita ad una pluralità di intercettazioni tra presenti in luoghi di privata dimora

del tutto al di fuori dei cogenti limiti previsti dalla vigente normativa codicistica, incompatibili con la legge ordinaria ed in

violazione delle norme della Costituzione e della Convenzione europea dei diritti dell'uomo (che impongono al legislatore ed

ai giudici di porre alle intercettazioni limiti rispettosi del principio di proporzione)”.

Il che porta, di contro, a ritenere pienamente legittime, quantomeno

a.1 l’intercettazione di comunicazioni tra presenti mediante utilizzo del trojan, in procedimenti diversi

da quelli relativi a criminalità organizzata, in luoghi rientranti nella previsione di cui all’art. 614

c.p. e nei quali si stia svolgendo l’attività criminosa, ove preventivamente indicati (in termini

precisi) nella richiesta di intercettazione;

b.1 l’intercettazione di comunicazioni tra presenti tramite utilizzo del trojan, in procedimenti diversi

da quelli relativi a criminalità organizzata, in luoghi diversi da quelli ex art. 614 c.p., allo stesso

modo preventivamente indicati (ma qui anche semplicemente in termini generici di “ambiente”,

come diremo) nella richiesta di intercettazione.

Ed infatti, in entrambe tali ipotesi, sembrano poter essere rispettati non solo i principi di garanzia

sopra indicati ma, ancor prima, sussistenti – come diremo subito – tutti i relativi presupposti

tecnico-investigativi.

Si consideri la prima ipotesi: dal momento che lo stato dell’arte, ormai da molti anni, consente

agevolmente di attivare da remoto il microfono di un dispositivo portatile preventivamente infettato da

un trojan, sarebbe possibile richiedere al Giudice di autorizzare l’intercettazione di comunicazioni tra

presenti in un luogo preventivamente indicato dal Pubblico Ministero nel quale, sia pure rientrante in

uno di quelli ex art. 614 c.p., si stia svolgendo l’attività criminosa.

In questo caso dunque non sarebbe impedito il controllo del Giudice al momento

dell'autorizzazione, che pertanto non verrebbe disposta “al buio” (sempre per usare l’espressione

dell’estensore della sentenza che qui si commenta). Né si correrebbe il concreto rischio di dar vita ad

una pluralità di intercettazioni tra presenti in luoghi di privata dimora, dal momento che tale luogo non

solo viene così preventivamente indicato al Giudice ma è anche tecnicamente identificabile dagli

Ufficiali di Polizia Giudiziaria delegati all’esecuzione delle operazioni di captazione e di ascolto

mediante il ricorso al cd. “positioning” (localizzazione in tempo reale del dispositivo oggetto di

intercettazione, tramite la collaborazione del gestore di telefonia) e/o anche a seguito di localizzazione

21

effettuata dallo stesso trojan tramite captazione del segnale GPS del dispositivo portatile di interesse

investigativo.

Tali tecniche di tracciamento del dispositivo possono essere surrogate (o di contro, nella maggior

parte dei casi, affiancate) da classiche attività di pedinamento dell’utilizzatore del dispositivo portatile, a

seguito delle quali è ben possibile – a livello investigativo – identificare quando il dispositivo si trovi

esattamente nel luogo già indicato dal Giudice e, correlativamente tramite impulso da remoto, dare

inizio all’intercettazione delle comunicazioni tra presenti mediante attivazione del microfono. Così, allo

stesso modo, sarà possibile identificare anche il momento nel quale il dispositivo fuoriesca da tale

ambito locale, al fine di terminare la captazione tramite disattivazione del microfono.

Il tutto compendiato da verbale di operazioni compiute (analogamente a quanto già avviene per le

operazioni di registrazione ed ascolto delle conversazioni tra presenti captate a mezzo di microspia

installata nell’ambiente da monitorare).

Con un incalcolabile vantaggio, ben noto agli investigatori che potrebbero – di contro – raccontare

quante volte non sia stato possibile installare una microspia all’interno di domicili spesso sempre

“fisicamente presidiati” proprio perché, al loro interno, si svolgeva l’attività criminosa.

Allo stesso modo nella seconda ipotesi, relativa all’intercettazione di comunicazioni tra presenti

mediante utilizzo del trojan, in procedimenti diversi da quelli relativi a criminalità organizzata, in luoghi

diversi da quelli ex art. 614 c.p.

Con una particolarità rispetto alla precedente, particolarità anch’essa ben rappresentata all’interno del

percorso motivazionale della sentenza delle Sezioni Unite laddove viene richiamata la costante

giurisprudenza la quale ritiene sufficiente l’indicazione, in uno con il “destinatario della captazione”, della

“tipologia di ambienti (diversi dai luoghi di privata dimora) in cui eseguirla…. anche qualora venga effettuata in un altro

luogo rientrante nella medesima categoria, riconoscendosi la "dinamicità" delle intercettazioni (in quanto eseguibili in

ambienti diversi frequentati dal soggetto sottoposto a controllo)”.

E dunque si pensi, questa volta, all’ipotesi di una richiesta del Pubblico Ministero di autorizzare

l’intercettazione delle comunicazioni tra presenti che avverranno “nei bar frequentati dall’indagato”,

tramite l’attivazione – sempre da remoto – del microfono del dispositivo informatico portatile dallo

stesso utilizzato.

Anche qui l’esperienza investigativa potrebbe raccontare di frequentissime attività di pedinamento

confluite poi nella impossibilità di dare seguito ad una intercettazione cd. ambientale classica laddove il

soggetto pedinato, per esempio, finisca per sedersi ad un tavolo diverso da quello solitamente utilizzato

come luogo di incontro (e precedentemente “apparecchiato” dalla PG per la successiva attività di

captazione). Oppure decida, all’ultimo minuto, di incontrarsi in un bar diverso da quello al quale aveva

poco prima dato appuntamento al suo interlocutore.

22

Pertanto risultano immediatamente evidenti, anche in questa seconda ipotesi, le enormi opportunità

offerte da tale modalità di captazione, pur sempre nel rispetto delle garanzie complessivamente

emergenti dall’impianto penal-processuale e ben riassunte – adattandole all’ipotesi sottoposta alla sua

attenzione – dalle Sezioni Unite.

9. Laocoonte dixit

L’utilizzo del captatore informatico, per i motivi finora indicati e con i soli limiti indicati dalle

Sezioni Unite quanto alle ipotesi di attivazione del microfono in dispositivi mobili a seguito di una

richiesta del Pubblico Ministero che non preventivamente identifichi i luoghi nei quali avverranno le

intercettazioni di comunicazioni tra presenti, appare pertanto un mezzo di ricerca della prova legittimo

de iure condito.

Sembrano dunque oltremodo eccessive le voci che – sopite da Atena durante la guerra di Troia –

hanno oggi56 ripreso forza per stigmatizzare l’utilizzo di tale strumento investigativo, straordinario

quanto ad efficacia e versatilità.

Vero è che, da moltissimi anni, all’interno della Magistratura si è pervenuti ad un uso dello stesso

mediante ricorso a prassi operative di gran lunga idonee ad assicurare il pieno rispetto del dato

normativo, sia pure di fronte alla novità tecnologiche di cui abbiamo fatto ampia descrizione in tutte le

sue molteplici implicazioni pratiche.

Prassi operative tali da cristallizzare, quantomeno negli Uffici giudiziari di più grandi dimensioni, un

vero e proprio protocollo che prevede (oltre a quanto già complessivamente imposto dalle norme

processuali in tema di intercettazioni)

- l’iniziale descrizione, al GIP che deve autorizzare l’intercettazione (telefonica, telematica o

cd. ambientale), dell’operatività in concreto del software che verrà utilizzato e, più

specificatamente, delle sue funzioni (tra quelle già indicate nel dettaglio al par. 3) che

verranno attivate (se necessario previa attestazione tecnica della società che lo

commercializza);

- la precisa verbalizzazione delle operazioni con le quali è avvenuta l’ installazione, anche a

mezzo di ausiliari di PG, del trojan utilizzato (nel caso essa avvenga tramite accesso fisico al

dispositivo informatico, fisso o portatile che sia) ovvero delle operazioni volte a tentare

l’infezione da remoto (con il successivo riscontro dell’avvenuta installazione);

56 Da ultimo si veda la petizione di oltre 80 docenti universitari citata da A.GIANBARTOLOMEI, Il virus che

intercetta mette in allarme i giuristi, in www.ilfattoquotidiano.it (30.7.2016) e pubblicata poi su

www.penalecontemporaneo.it.

23

- l’opportunità di addivenire al sequestro, all’esito della attività investigativa e sempre ove

materialmente ancora possibile, del dispositivo informatico precedentemente infettato (al

fine di consentire, anche in un futuro dibattimento, in pieno contraddittorio sulle

complessive fonti di prova “generate” dall’utilizzo del trojan).

Rimane certo il tema del ricorso – allo stato necessario - ad “impianti appartenenti a privati”57,

rispetto al quale un intervento legislativo volto a precisarne i requisiti anche tecnici sarebbe sicuramente

idoneo a fugare qualsiasi residua zona d’ombra, a tutela di tutti.

[Milano, agosto 2016]

57 Se è noto che solo con riferimento alle intercettazioni informatiche o telematiche viene previsto dall'art. 268, comma

3 bis che il Pubblico Ministero possa disporre le operazioni mediante impianti appartenenti a privati, la Corte di

Cassazione ne ha esteso la legittimità anche per quelle ambientali (Sez. I, 29 settembre 2000, n. 797, in C.E.D. Cass., n.

217548) nel caso in cui la Polizia Giudiziaria non sia dotata delle necessarie apparecchiature purché le operazioni,

autorizzate con decreto motivato del Pubblico Ministero, avvengano sotto il diretto controllo degli organi di Polizia

Giudiziaria, di modo che, in tale evenienza, i privati vengano ad agire come longa manus o ausiliari del Pubblico

Ministero o della Polizia Giudiziaria.