Risale a poco meno di un anno fa la sentenza n. 27100/2015 con cui la Sesta Sezione Penale della Suprema Corte si è espressa categoricamente a sfavore delle intercettazioni con il cd. agente intrusore, ovverosia quella modalità di captazione delle conversazioni tra presenti che avviene attraverso l’installazione, da remoto, di un “virus” su un dispositivo elettronico quale il personal computer, tablet o smartphone.
La medesima sezione, ritenendo ormai superato l’orientamento precedente perché probabilmente non al passo coi tempi, con ordinanza n. 13884 del 10 marzo 2016 (depositata il 6 aprile 2016), riporta alla luce la questione ritenendo necessario il parere delle Sezioni Unite.
La controversia prende piede da un provvedimento del Gip del Tribunale di Palermo del 19 dicembre 2015, confermato successivamente dallo stesso Tribunale in funzione di giudice del riesame, che applicava la misura della custodia cautelare in carcere all’indagato in relazione alla propria partecipazione all’associazione di tipo mafioso denominata “cosa nostra”.
Quanto emerge durante il procedimento è che i gravi indizi di colpevolezza a carico dell’indagato, sui quali si fonda l’applicazione della misura custodiale, derivano prevalentemente dalle intercettazioni ambientali autorizzate dal Gip con decreto n. 315/14.
La particolarità di tali intercettazioni ambientali consta nel fatto che non sono stati utilizzati strumenti di captazione “tradizionali”, bensì l’installazione di un “virus” da remoto (dotato di remote control system – RCS) sul dispositivo elettronico del soggetto intercettato, che consente la registrazione di conversazioni e comunicazioni, senza distinzione alcuna dei luoghi ove queste avvengono, né tantomeno delle persone coinvolte.
Sul punto, di fatti, riaffiora lo stesso “quadro indiziante” del precedente casus decisus, ovverosia la problematica sulla legittimità o meno delle risultanze derivanti dall’uso di uno strumento particolarmente invasivo come quello dell’agente intrusore, nell’ambito di intercettazioni avvenute in luogo di privata dimora[1].
Il carattere itinerante di tale mezzo di ricerca della prova sembrerebbe, a parere dell’Autorità Garante della privacy, entrare in contrasto con la normativa nazionale ed europea in materia di protezione dei dati personali, in quanto il soggetto intercettato subirebbe un controllo costante senza distinzione di luoghi e per un tempo indefinito.
Ma questa tecnica può considerarsi realmente lesiva della sfera privata dinanzi all’esigenza di giustizia e quindi di prevenzione di reati gravi quali la partecipazione ad associazioni di stampo mafioso?
Soprattutto alla luce degli ultimi fatti di cronaca (ad esempio il caso degli attentatori di San Bernardino o il procedimento a carico di Alexander Boettcher) si sente spesso parlare della battaglia tra i colossi della Silicon Valley e le autorità giudiziarie, le quali trovano difficoltà a reperire prove indizianti che spesso e volentieri sono ben custodite – e tali restano – all’interno dei dispositivi elettronici.
È bene chiarire, quindi, che i dispositivi come gli smartphone possono essere utilizzati – attraverso software spia dotati di RCS – come strumenti in grado di intercettare comunicazioni e conversazioni[2], ad esempio attivando il microfono o la fotocamera da remoto e quindi adempiendo alla stessa funzione delle cimici, con la particolarità che non si rende necessario in questo modo un intervento di collocazione dei “microfoni” sul posto, come accade, invece, per le intercettazioni ambientali tradizionali [3].
Al di là della straordinaria funzione preventiva, i dispositivi elettronici possono costituire ex post anche un mezzo di prova, grazie al quale sarebbe possibile ricostruire le dinamiche di reati che spesso non trovano una soluzione.
Nel caso di specie oggetto dell’ordinanza della Sesta Sezione Penale, il dispositivo “incriminato” si colloca nell’ambito delle intercettazioni ambientali sulle quali – già da tempo e specialmente dopo l’attacco ad Hacking Team – Antonello Soro, Presidente del Garante della protezione dei dati personali, ha mostrato una grande – forse eccessiva – emotività, propendendo per una totale inutilizzabilità delle prove acquisite “atipicamente”.
Lo stesso richiama la giurisprudenza della Suprema Corte e del Tribunale Costituzionale portoghese, ricordando il reasoning – forse ingiustamente creativo – “fondamental right oriented” della Corte di Giustizia Europea nel caso Digital Ireland Rights[4], che ha annullato la direttiva 2006/24/CE sulla conservazione dei dati generati o trattati nell’ambito della fornitura di servizi di comunicazione elettronica accessibili al pubblico, ritenendo in quel caso preminente il diritto alla protezione dei dati personali sancito ex art. 8 della Carta dei diritti fondamentali rispetto alla prevenzione di attacchi terroristici.
Altrettanto contrastati i tentativi di introdurre una disposizione ad hoc[5] nel nostro ordinamento che oscilla, in questo momento storico, nell’ennesima lacuna normativa, mentre la Germania ha già fatto un salto in avanti con il proprio federal Trojan oramai diventato strumento ufficiale di “spionaggio” della Polizei tedesca.
È vero che nel momento in cui si fa riferimento alla privacy, nel nostro subconscio si muovono sentimenti spesso non semplici da decifrare, dall’estrema gelosia della propria riservatezza al disinteresse più totale che si estrinseca in frivole esternalizzazioni sui social.
Ma allora come contemperare nel modo più opportuno – attraverso un sistema di check and balance – interessi garantiti costituzionalmente, evitando spiacevoli abusi o limitazioni illegittime?
È essenziale comprendere come il clima di sfiducia verso i nuovi sistemi di captazione e di intercettazione attraverso l’agente intrusore non derivi da un timore immotivato, ma è insito nel fatto che non vi è ancora una solida cultura digitale, con la conseguenza che mancano per il momento quegli strumenti di tutela e sicurezza volti alla protezione della privacy in materia penale e in ambito giudiziario, cioè le norme e gli organi terzi in grado di applicarli e interpretarli correttamente.
Difatti, basti pensare che l’Allegato C del Codice in materia di protezione dei dati personali su “Trattamenti non occasionali effettuati in ambito giudiziario o per fini di polizia” non ha trovato alcuna attuazione in quanto non sono stati mai emanati i decreti ministeriali ai sensi gli artt. 46 e 53 del Codice.
Ed ancora, l’Italia non ha mai attuato la decisione quadro 2008/977/GAI sulla protezione dei dati personali trattati nell’ambito della cooperazione giudiziaria e di polizia in materia penale, che istituiva un quadro normativo generale con disposizioni idonee a garantire un elevato livello di sicurezza pubblica.
A giustificazione di tale mancata adozione, c’è solo il semplice rinvio al Codice in materia di protezione dei dati personali e al codice di procedura penale che, peraltro, non contengono alcuna specificazione in merito.
Comprensibile, pertanto, il trambusto che si crea a livello istituzionale in ordine all’utilizzo di strumenti, quali le intercettazioni a mezzo “ virus”, che attualmente risulterebbero incontrollabili; anche per tali motivi l’Unione Europea si sta dotando di un “pacchetto protezione dati” che comprende il nuovo Regolamento Europeo in materia di privacy – che abrogherà l’attuale Codice in vigore – e di una Direttiva indirizzata alla regolamentazione dei settori di prevenzione, contrasto e repressione dei crimini nonché all’esecuzione delle sanzioni penali, che andrà a sostituire la decisione quadro del 2008 di cui sopra[6].
L’Europa richiede, pertanto, una maggiore sensibilità in materia di protezione dei dati personali prevedendo figure specializzate sulla normativa in materia, quale il Data Protection Officer, che dovranno affiancare autorità pubbliche e potranno coadiuvare le autorità giurisdizionali nell’esercizio della loro funzione.
Alla luce del nuovo quadro europeo che presto andrà a toccare i diversi settori del nostro ordinamento, compreso il sistema giustizia, sarebbe opportuno prevedere un aggiornamento della normativa penale e processualpenalistica introducendo nuovi mezzi di ricerca della prova che, se adeguatamente disciplinati, assicurerebbero un elevato risultato in termini di prevenzione dei reati gravi come quelli associativi.
Col progredire della tecnologia, che ormai consente di effettuare chiamate e inviare messaggi assolutamente non intercettabili (in quanto sfruttano le potenzialità della crittografia end-to-end[7]), il mancato adeguamento normativo all’utilizzo di tali strumenti di ricerca della prova renderebbe totalmente inutili e desueti mezzi come l’intercettazione telefonica, che non avrebbe più ragion d’essere.
In sostanza è come se si chiedesse a un chirurgo di operare con strumenti di oltre sessant’anni fa utilizzando l’attuale bagaglio conoscitivo in materia di chirurgia e medicina!
Le Sezioni Unite della Cassazione avrebbero, in quest’occasione, l’opportunità di sfruttare questo bug di un sistema normativo assai labile per far entrare dalla finestra ciò che finora è stato lasciato fuori dalla porta: la possibilità di legittimare la giustizia a dotarsi di uno strumento efficace utilizzando le più moderne tecniche di investigazione.
Essenziale è, quindi, creare un nuovo assetto normativo in grado di consentire il corretto funzionamento della giustizia in ordine all’acquisizione di prove utilizzabili nel corso dei procedimenti penali, evitando inutili paralisi delle indagini con conseguente spreco di risorse economiche. Importante, inoltre, è puntare alla formazione di esperti in materia di privacy e protezione dei dati personali che, in qualità di soggetti terzi e imparziali, consiglino e sorveglino sull’osservanza delle disposizioni relative al corretto trattamento dei dati acquisiti, in modo tale da garantirne la protezione e selezionarne altresì i contenuti scartando quelli estranei alle indagini.
[1] Che, ai sensi dell’art. 266 co. 2 c.p.p., è consentita solo qualora vi sia fondato motivo di ritenere che si stia svolgendo, in tale spazio, un’attività criminosa.
[2] Tra i diversi tipi di intercettazioni a mezzo RCS si annoverano anche: le intercettazioni telematiche in grado di acquisire il traffico dati, comprese le telefonate in VoIP o i messaggi che viaggiano attraverso la rete internet; le perquisizioni telematiche che consentono di raccogliere i documenti elettronici registrati nella memoria dei dispositivi inquisiti; il pedinamento elettronico attraverso la localizzazione del dispositivo.
[3] Generalmente invece per le intercettazioni telefoniche – disposte per un determinato periodo di tempo e prorogabili a certe condizioni – si rende necessaria l’interazione tra gli organi di Polizia e l’operatore telefonico che è tenuto ad ottemperare alle prescrizioni della normativa privacy.
[4] Che ha caratterizzato anche le pronunce sui casi Google Spain e Schrems che ha portato allo stralcio del Safe Harbor.
[5] Dapprima con un emendamento al decreto legge anti-terrorismo e successivamente con la proposta di legge n.3470/2015.
[6] Naturalmente, in merito all’applicabilità del Regolamento Europeo nulla quaestio, in quanto si tratta di un atto self executing. Circa la Direttiva, l’Italia avrà due anni per recepirla dal momento in cui verrà pubblicata sulla Gazzetta Ufficiale dell’Unione Europea.
[7] Salvo che non vi siano delle backdoor lasciate appositamente per l’intrusione degli organi di polizia.