L'acquisizione delle prove elettroniche, la voluntary disclosure dei providers, e l'ordine europeo di produzione e conservazione dell'e-evidence ...
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
Tribunale Bologna 24.07.2007, n.7770 - ISSN 2239-7752 Direttore responsabile: Antonio Zama L’acquisizione delle prove elettroniche, la voluntary disclosure dei providers, e l’ordine europeo di produzione e conservazione dell’e-evidence in materia penale The acquisition of electronic evidence, the voluntary disclosure of providers, and the European production and preservation order for e-evidence in criminal matters 15 Aprile 2021 Paolo Palmieri Abstract Il presente contributo affronta gli aspetti più importanti relativi al funzionamento della rete internet ed all’accesso transfrontaliero all’e-evidence, in relazione alla crescente dematerializzazione delle prove rilevanti ai fini di un procedimento penale ed alla non agevole acquisizione degli stessi presso ISPs situati all’estero da parte degli organi inquirenti statali. In particolare, oggetto di trattazione sono i meccanismi di voluntary disclosure messi in atto dagli Internet Service Providers statunitensi, le recenti proposte della Commissione Europea in materia di ordini europei di produzione e di conservazione dell’e-evidence in materia penale, e la proposta di un Secondo Protocollo addizionale alla Convenzione di Budapest sulla criminalità informatica, nell’ottica di una maggiore cooperazione tra gli Stati e soprattutto tra gli Stati e gli ISPs. This paper aims to contribute with the most important aspects related to the functioning of the internet network and cross-border access to e-evidence, in relation to the growing dematerialization of evidences relevant for the purposes of criminal proceeding and the state investigative body difficulties in their acquisition from IPSs located abroad. In particular, the subject of discussion are the voluntary disclosure mechanisms implemented by the US Internet Service Providers, the recent proposals of the European Commission on the subject of European production and preservation orders for e-evidence in criminal matters, and the proposal for a Second Protocol in addition to the Budapest Convention on Cybercrime, by considering increased cooperation among nations and above all, between Nations and IPSs. Sommario 1. Introduzione alle fonti di prova digitali 2. Il funzionamento della rete internet 3. Gli strumenti a disposizione degli inquirenti 4. I problemi relativi alla ricerca dell’e-evidence 5. L’acquisizione di fonti di prova digitali sulle piattaforme statunitensi 6. Le tipologie di dati acquisibili dagli ISPs ed i meccanismi di voluntary disclosure 7. L’ordine di produzione o di conservazione delle prove elettroniche
8. Il Protocollo addizionale alla Convenzione di Budapest 9. Conclusioni e spunti critici Summary 1. Introduction to digital evidence sources 2. The functioning of the internet network 3. The tools available to investigators 4. The problems related to the search for e-evidence 5. The acquisition of sources of digital evidence on US platforms 6. The types of data that can be acquired by ISPs and the voluntary disclosure mechanisms 7. The production and preservation order for electronic evidence 8. The Additional Protocol to the Budapest Convention 9. Conclusions and critics ideas 1. Introduzione alle fonti di prova digitali Le fonti di prova digitali, ossia quelle fonti di prova contenute all’interno dei sistemi informatici, hanno acquisito col tempo un’importanza sempre più pregnante all’interno dei procedimenti penali. Per fonti di prova digitali, tecnicamente, parliamo di files che contengono testi, suoni o immagini o che registrano gli eventi occorsi nei sistemi, oppure tracce lasciate dall’utilizzo dei sistemi; più esattamente, prove «digitali», in quanto originate da una manipolazione elettronica di numeri[1]. La digitalizzazione della società, e la contestuale diffusione delle piattaforme sociali, ha portato conseguentemente ad un incremento dell’utilizzo di queste tecnologie anche per finalità illecite. Il diritto, ormai, ha una forte componente digitale che deve essere acquisita e analizzata; si pensi ai reati eventualmente informatici[2], ai reati necessariamente informatici[3], ed agli strumenti utilizzati per la conservazione di dati rilevanti e suscettibili di assumere valenza probatoria processuale. Con il tempo, dunque, il legislatore ha avvertito la necessità di intervenire per garantire l’interoperabilità dei meccanismi previgenti di indagine, con i sistemi informatici. Intervento non poco problematico, stante la continua evoluzione degli stessi. Il Codice dell’Amministrazione digitale definisce «il documento informatico come il documento elettronico che contiene la rappresentazione informatica di atti, fatti o dati giuridicamente rilevanti»[4]; mentre il Regolamento eIDAS definisce documento elettronico «qualsiasi contenuto conservato in forma elettronica, in particolare testo o registrazione sonora, visiva o audiovisiva»[5]. In materia penale, di fondamentale importanza è stata la legge 18 marzo 2008 n. 48, di recepimento in Italia della Convenzione di Budapest del Consiglio d’Europa sulla Criminalità informatica[6], il primo intervento transnazionale volto a risolvere uno dei maggiori - ed ancora attuali - problemi legati alle caratteristiche delle prove digitali, ossia la possibilità di trovarsi su server o devices dislocati in diverse parti del mondo, con notevoli problemi per gli organi inquirenti nazionali. In materia di prova elettronica rivestono una notevole importanza gli studi di Eoghan Casey, il quale definisce la e-evidence come «un qualsiasi dato memorizzato o trasmesso usando un computer che supporta o respinge una teorica su come è avvenuto un fatto offensivo o che individua elementi critici dell’offesa come l’intenzionalità o l’alibi»[7].
L’interprete e gli organi inquirenti sono chiamati, dunque, a risolvere problemi sempre più complessi nello svolgimento dell’attività di indagine, di ricerca, e di assunzione della prova elettronica spesso a carattere transfrontaliero, posti dal carattere immateriale dei dati, dalla facile trasferibilità da un server ad un altro[8] , dall’utilizzo del cloud computing, e dal passaggio della stessa tra differenti providers[9]. All’interno del cloud computing rientrano “una serie di tecnologie informatiche che permettono di elaborare archiviare e memorizzare dati grazie all’utilizzo di risorse hardware e software distribuite nel web”[10]. In altre parole sono gli spazi virtuali che un utente può utilizzare a distanza senza disporne fisicamente (tra i più diffusi, Dropbox, Google Drive, One Drive, iCloud). In relazione a tali servizi, al problema dell’allocazione dei dati su server dislocati ipoteticamente in tutto il mondo, si aggiunge il possibile spacchettamento dei dati e la loro criptazione. 2. Il funzionamento della rete internet La rete internet è vastissima ed è composta da innumerevoli componenti. Da quando Tim Berners-Lee e il suo team di ricercatori resero disponibile la prima pagina web al di fuori del CERN, oggi contiamo quasi 2 miliardi di siti e più di 4 miliardi di utenti. Ogni sessanta secondi, solo per fare qualche esempio, vengono inviate 160 milioni di mail, gli utenti di WhatsApp condividono 41 milioni di messaggi, su Facebook vengono caricate 147.000 foto e su Youtube vengono caricate 500 ore di video. Dunque, prima di capire come acquisire le e-evidence sulla rete internet, occorre approfondire l’aspetto tecnico ad esse sottostante; ossia individuare materialmente dove trovarle e con quali mezzi. L’evoluzione degli strumenti informatici ci porta a parlare, oggi, di devices in grado di connettersi alla rete internet. Ogni device lascia delle tracce quando accede ad essa, e questi eventi informatici sono tracciabili mediante il c.d. tracing. È evidente, però, che tale attività può essere limitata dall’anonimità che garantisce a volte la rete internet. Ogni device dà e riceve connessione: per connettersi alla rete chiede una connessione ad un Internet Service Provider (ISP); quest’ultimo, nel fornirgli una connessione, gli assegna un indirizzo IP. Mediante tale indirizzo il device naviga sulla rete internet fino ad accedere al server di destinazione. Nello specifico, per indirizzo IP (Internet Protocol address) intendiamo un’etichetta numerica che identifica univocamente un dispositivo (host) collegato ad una rete informatica. È una informazione molto importante che si ricava dal funzionamento della rete internet, e viene assegnata ai singoli ISP da un Ente regolatore internazionale (l’ICANN)[11]. Di conseguenza l’indirizzo IP è un’informazione pubblica, facilmente ricavabile mediante consultazione di appositi registri. Per Internet Service Provider, invece, si intende quell’organismo che fornisce (to provide, fornire) un servizio internet. All’interno di questo insieme molto generico, è possibile individuare diverse tipologie di ISP, a seconda del tipo di servizio offerto. Il Network Provider fornisce le infrastrutture di comunicazione; l’Access Provider consente all’utente di collegarsi alla rete internet; il Service Provider offre all’utente ulteriori servizi come la posta elettronica; l’Host Provider consente all’utente di utilizzare lo spazio web del proprio server connesso alla rete internet; infine, il Content Provider fornisce informazioni ed opere di qualsiasi genere caricandole sui propri server. Com’è facilmente intuibile, non è facile catalogare gli ISPs , in quanto, di solito, un organismo fornisce molteplici servizi, impedendo all’interprete una sua precisa catalogazione[12].
Il device chiede l’accesso alla rete internet all’Access Provider, e l’ISP assegna all’utente un indirizzo IP . L’indirizzo IP può essere statico o dinamico: il primo si ottiene quando l’ISP fornisce all’utente sempre il medesimo indirizzo quando viene interrogato per accedere alla rete (è più adatto alle grandi società); il secondo, più frequente, si ottiene quando l’ISP fornisce all’utente un indirizzo IP che segue l’utente durante tutta la sua navigazione in rete, ma che ritorna nella disponibilità dell’ISP quando l’utente si disconnette dalla stessa; e che sarà, poi, fornito ad altri utenti. Ciò che qui interessa, però, è che questo indirizzo IP accompagna l’utente durante tutto l’arco della sua navigazione in rete, venendo memorizzato in relazione a tutte le attività che egli compie (e su tutti i devices con cui interagisce). Un’altra importante nozione da tenere a mente è quella di logging, definibile come l’insieme delle attività legate alla raccolta e all’analisi dei dati relativi ad una serie di eventi informatici; una sorta di registro in cui è tenuta traccia delle attività relative ad un device. Il logging è fondamentale per il tracing, e per l’individuazione degli indirizzi IP degli utenti che navigano in rete. Ma ciò che più importa, è che anche l’ISP che fornisce l’accesso alla rete o ad un servizio, conserva traccia degli accessi mediante l’utilizzo del logging: ciò consente di risalire alla possibile identità del soggetto che ha commesso eventuali crimini mediante la rete internet, alla data ed all’orario. Gli inquirenti, infatti, non dovranno far altro che notificare all’ISP un decreto di acquisizione dell’indirizzo IP ritrovato nel registro di logging oggetto di indagini[13]. Il file di log è un dato personale, infatti la richiesta di tali files da parte degli organi inquirenti agli ISPs è disciplinata dall’art. 132 del d.lgs. 196/2003 (il Codice in materia di dati personali)[14] . Ai sensi della norma citata, i dati relativi al traffico telefonico devono essere obbligatoriamente conservati dall’ISP per ventiquattro mesi; mentre i dati relativi al traffico telematico (ma non i contenuti delle comunicazioni), devono essere conservati dall’ISP per dodici mesi dalla data della comunicazione. Entro tali termini i dati possono essere acquisiti presso il fornitore con decreto motivato del pubblico ministero. 3. Gli strumenti a disposizione degli inquirenti Gli inquirenti hanno la possibilità di accedere negli spazi digitali di pertinenza dei privati e dei fornitori di servizi informatici in base a modalità ben determinate. Le prove digitali possono essere raccolte in due modi: in loco oppure a distanza. La raccolta si effettua in loco quando le prove digitali sono da reperire su specifici supporti materiali situati all’estero; in questi casi la raccolta delle prove spetta alle autorità locali, le quali devono offrire la più ampia collaborazione[15]. La raccolta delle prove digitali a distanza si verifica quando non è possibile o necessario recarsi in loco e quindi ogni qual volta l’autorità giudiziaria può svolgere questa attività a distanza dal proprio territorio, senza la necessità di un intervento fisico da parte dell’autorità straniera: spesso, infatti, il sopralluogo e il repertamento possono avvenire anche in modo virtuale[16]. Nel nostro Paese il mezzo investigativo utilizzato dal pubblico ministero per ottenere la prova digitale dall’ISP che abbia una sede di stabilimento o un rappresentante legale sul territorio italiano, è l’ordine di esibizione ai sensi dell’art. 256 c.p.p.
Le indagini informatiche, poi, sono configurate come ispezioni, perquisizioni e sequestri: mezzi di ricerca della prova che possono essere disposti anche dal pubblico ministero o, nella flagranza del reato o nei casi d’urgenza, dalla stessa polizia, i cui atti vanno poi convalidati dal pubblico ministero. Ai sensi dell’art. 244, comma 2, c.p.p., in materia di ispezione, «L’autorità giudiziaria può disporre rilievi segnaletici, descrittivi e fotografici e ogni altra operazione tecnica, anche in relazione a sistemi informatici o telematici, adottando misure tecniche dirette ad assicurare la conservazione dei dati originali e ad impedirne l’alterazione»[17]. Tale mezzo di ricerca parrebbe più utile in caso di ricerca generica e superficiale all’interno di un sistema informatico, che si limiti alle caratteristiche esteriori. Ai sensi dell’art. 247, comma 1-bis, c.p.p., in materia di perquisizioni, «Quando vi è fondato motivo di ritenere che dati, informazioni, programmi informatici o tracce comunque pertinenti al reato si trovino in un sistema informatico o telematico, ancorché protetto da misure di sicurezza, ne è disposta la perquisizione, adottando misure tecniche dirette ad assicurare la conservazione dei dati originali e ad impedirne l’alterazione»[18]. Com’è noto, la richiesta di raccolta delle prove digitali all’estero è soggetta ai presupposti di ammissibilità dello Stato di emissione (lex fori). Pertanto, per le richieste avanzate dall’Italia, devono operare i presupposti interni delle perquisizioni, delle ispezioni e dei sequestri informatici, cioè - ex art. 247 c.p.p. - un’autorizzazione o, almeno, una convalida da parte del PM, in presenza del fondato motivo di ritenere che determinati dati informatici rilevanti per il procedimento si trovino ubicati in un certo luogo. In materia di corrispondenza, l’art. 254, comma 1, c.p.p. prevede che «Presso coloro che forniscono servizi postali, telegrafici, telematici o di telecomunicazioni è consentito procedere al sequestro di lettere, pieghi, pacchi, valori, telegrammi e altri oggetti di corrispondenza, anche se inoltrati per via telematica». Mentre l’art. 254 bis c.p.p. disciplina il sequestro di dati informatici presso fornitori di servizi informatici, telematici e di telecomunicazioni. La metodologia di acquisizione è volta a creare una copia su adeguato supporto con una procedura che sia in grado di assicurare la conformità dei dati acquisiti a quelli originali e la loro immodificabilità. Sotto il profilo soggettivo la norma si riferisce ai fornitori di servizi informatici, telematici o di telecomunicazioni e pertanto restano esclusi tutti gli altri soggetti che non rientrano in questa categoria (per esempio aziende private, banche, ecc.). Lo standard utilizzato per la perquisizione e il sequestro di prove digitali, è richiesto anche per i dati attinenti al traffico, ossia per le prove digitali relative alle comunicazioni avvenute tramite sistemi informatici. In tale ambito rientrano, ad esempio, gli indirizzi IP che permettono di determinare i tempi e la fonte degli ingressi nei sistemi, e risalire ai devices da cui gli ingressi hanno avuto origine. I mezzi di ricerca della prova e il sequestro in ambiente di cloud computing sono particolarmente complessi. Infatti è frequente che gli operatori non conoscano in quali server siano memorizzati i files d’interesse e potrebbero essere impossibilitati a ispezionare, perquisire o sequestrare un account. Diventa allora fondamentale per gli operatori individuare esattamente “cosa” cercare e “con quali modalità” acquisire ciò che si desidera al fine di consentire la ripetibilità dell’operazione garantendo la genuinità degli elementi di prova, oppure procedere con le modalità delle attività irripetibili ex art. 360 c.p.p. 4. I problemi relativi alla ricerca dell’e-evidence Analizzato il funzionamento della rete internet, occorre affrontare i problemi che possono riscontrare gli inquirenti dediti alla ricerca ed alla raccolta dell’e-evidence, soprattutto mediante la tecnica del tracing.
Può capitare, infatti, che il device che chiede la connessione alla rete internet, e al quale viene assegnato un determinato indirizzo IP, sia stato oggetto di un attacco informatico, ad esempio mediante furto d’identità causato da attacchi di phishing, o banalmente tramite accesso ad un device non protetto e violato. In tal caso l’identificazione del titolare di un indirizzo IP non porta all’identificazione del presunto reo. Sempre più spesso, poi, si accede ad internet tramite connessione da dispositivo mobile. In tali circostanze, è molto frequente che eventuali criminali intestino le utenze telefoniche a persone completamente ignare di tutto (carpendo i dati sensibili di un’altra persona mediante artifizi o raggiri), oppure a soggetti in difficoltà che acconsentano di buon grado a fare da prestanome in cambio di un corrispettivo in danaro. In tali circostanze, le informazioni pur ottenute grazie al tracing, non consentono di arrivare alla compiuta identificazione del presunto autore del reato. Un altro freno all’attività mediante tracing è dato dall’utilizzo dei proxy server, servizio ormai fornito quasi di default dai browser web e dai sistemi operativi. Un proxy server è un intermediario che si frappone tra un client e un server: il client accede alla rete internet; contestualmente richiede al proxy server un diverso indirizzo IP; il proxy manda una nuova richiesta al server (a tutti gli effetti la richiesta parte dal proxy server); il server riceve la richiesta e risponde al proxy; infine il proxy inoltra la risposta al client. Per quel che qui interessa, l’utilizzo del proxy server fa sì che il server finale non sappia chi abbia fatto davvero la richiesta che sta servendo, perché l’indirizzo IP di partenza risulta “offuscato” ; infatti spesso i proxy server sono abbinati a server esteri, e quindi di difficile identificazione mediante semplici richieste di acquisizione di file di log agli ISP da parte degli organi inquirenti. A ciò si aggiunga che i servizi di cloud computing, di regola, consentono la distruzione dei dati a seguito di semplice richiesta dell’utente; con la conseguenza che le risorse necessaria per una indagine potrebbero non essere più disponibili in seguito alla loro cancellazione. Infine, come già accennato, ai sensi della normativa attualmente in vigore in materia di protezione dei dati personali, gli ISPs sono obbligati a conservare i dati relativi al traffico telematico per dodici mesi. Decorso questo termine, non sarà più possibile ottenere i files richiesti in quanto gli ISPs dovrebbero distruggere tali informazioni. In realtà la materia della data retention è stata recentemente affrontata dalla Corte di Giustizia dell’UE[19], che ha ritenuto alcune disposizione della Direttiva 2006/24/CE, relative all’obbligo di conservazione dei dati di traffico telefonico e telematico, contrarie ai diritti fondamentali del rispetto della vita privata e della vita familiare, della protezione dei dati di carattere personale e della libertà di espressione e di informazione (artt. 7, 8 e 52, par. 1, della Carta dei diritti fondamentali dell’Unione Europea). E ciò anche se la normativa europea – come l’attuale normativa italiana – non consente l’archiviazione dei dati relativi ai contenuti delle comunicazioni[20]. Allo stato, in alcuni Paesi UE la normativa adottata in attuazione della direttiva invalidata dalla Corte di Giustizia è stata dichiarata incostituzionale; per cui, alcuni Stati, non hanno più una normativa in materia di data retention.
L’attuale normativa italiana, comunque vigente, dunque, parrebbe in contrasto con la visione di matrice europea prevalente, che afferma la necessità di rispettare tempi di conservazione il più possibile ridotti; ma, allo stato, mentre in Italia (per gli ISPs italiani) vige ancora un obbligo di conservazione dei dati, così come stabilito dall’art. 132 d.lgs. 196/2003, in altri Paesi UE potrebbe non essere possibile ottenere le e-evidence necessarie alle indagini. Quello che emerge, dunque, è uno scenario di grande incertezza normativa, in cerca di un equilibrio tra diritto alla riservatezza ed esigenze investigative. La Corte UE sembrerebbe prediligere il primo, a scapito delle seconde, seppur con alcuni contemperamenti. Con le più recenti pronunce la Corte ha chiarito due aspetti essenziali: da un lato la necessaria limitazione dell’acquisibilità dei dati di traffico ai soli procedimenti per gravi reati o per gravi minacce per la sicurezza pubblica e, dall’altro, la necessaria subordinazione dell’acquisizione dei dati all’autorizzazione di un’autorità terza rispetto all’autorità pubblica richiedente[21]. Dal punto di vista pratico, facendo un piccolo esempio con l’indirizzo IP, nel caso in cui l’ISP abbia la sede all’estero occorre effettuare una distinzione. Se l’ISP estero ha una sede in un Paese europeo, gli inquirenti dovranno verificare l’eventuale vigenza della normativa emanata in adeguamento alla Direttiva 2006/24/CE sulla data retention[22], e per quanto tempo vige l’obbligo di conservazione; in questo caso, gli inquirenti potranno attivare gli strumenti di cooperazione internazionale attualmente esistenti al fine dell’ottenimento dell’e-evidence. Se l’ISP estero ricade invece in un’altra giurisdizione (come quella statunitense), tra l’e-evidence e gli inquirenti si frapporranno numerosi ostacoli. Da ultimo, occorre sottolineare che la legge europea 2017 (entrata in vigore in data 12.12.2017), ha stabilito un termine di conservazione dei dati di traffico telefonico e telematico in materia di lotta contro il terrorismo pari a settantadue mesi. 5. L’acquisizione di fonti di prova digitali sulle piattaforme statunitensi Il problema che sta alla base dell’e-evidence consiste senza dubbio nell’essere per sua natura transnazionale. La stragrande maggioranza degli ISPs con cui quotidianamente interagiscono i cittadini europei, però, sono Internet Service Providers statunitensi[23]; occorre, dunque, analizzare lo stato dell’arte relativo alle procedure che gli inquirenti italiani devono seguire al fine di reperire l’e-evidence “sita” su server esteri[24] . Occorre sottolineare, infatti, che è sempre meno probabile rintracciare fonti di prova digitali allocate direttamente sui devices, a maggior ragione su devices c.d. “fissi”. Sempre più spesso, infatti, le informazioni transitano da devices mobili, programmati, per loro natura, per sfruttare al massimo le funzionalità del cloud. Ovviamente gli inquirenti potrebbero avere la possibilità (rectius, fortuna) di reperire l’e-evidence anche “autonomamente” senza richiedere informazioni agli ISPs esteri, accedendo al cloud tramite i devices ad esso collegati, con gli strumenti offerti dal codice di procedura penale, con l’ausilio di consulenti informatici e seguendo le best practices della digital forensics.
Negli U.S.A. non vige un obbligo di conservazione dei dati di traffico telematico. Ci si è chiesti, dunque, se esistano delle norme applicabili agli ISPs statunitensi (operanti anche in Italia), che obblighino gli stessi a conservare tali dati e fornirli, in caso di richiesta di acquisizione, agli inquirenti italiani[25]. Com’è noto, lo strumento previsto dalla normativa italiana - ma in generale da quasi tutte le normative processual-penalistiche internazionali - per reperire fonti di prova all’estero è la rogatoria internazionale, ossia la richiesta di acquisire le prove rivolta da uno Stato ad un altro[26]. In altri termini, gli inquirenti italiani, per ottenere e-evidence allocate su server statunitensi, dovrebbero procedere tramite rogatoria; ma questo strumento ha dei costi di traduzione e delle procedure burocratiche decisamente farraginose, con dei tempi incompatibili con la “volatilità” delle evidenze digitali. Le norme che regolano questo strumento sono state concepite per le prove fisiche, e non sempre prevedono tempistiche di trasmissione adatte alla velocità con cui le prove digitali si muovono nella rete e tra uno Stato ad un altro[27]. Il problema non è di poco momento: la maggior parte delle richieste di informazioni per finalità di giustizia sono dirette a Internet Service Providers stranieri, e più della metà delle investigazioni penali necessitano di una richiesta transnazionale di accesso alle e-evidence[28]. Allo stato, infatti, i fornitori di servizi telematici non hanno alcun obbligo generale di essere fisicamente presenti nel territorio dell’Unione Europea, potendo offrire i propri servizi senza necessità di infrastrutture, di aziende o personale presente negli Stati membri[29]. 6. Le tipologie di dati acquisibili dagli ISP ed i meccanismi di voluntary disclosure Oggi è possibile, a determinate condizioni, ottenere informazioni dagli ISPs; ma prima di analizzare gli strumenti che il legislatore europeo propone di adottare per cercare una soluzione ai problemi relativi alla ricerca ed all’acquisizione dell’e-evidence all’estero, occorre comprendere le tipologie di dati che le autorità competenti possono ottenere o “porre in conservazione”. Si è soliti ripartire i dati che possono essere richiesti agli ISPs in quattro tipologie. La prima tipologia ricomprende le informazioni relative al sottoscrittore del servizio, i subscriber data, ossia i dati che gli utenti rilasciano all’ISPs al momento dell’adesione al servizio offerto (e-mail, username, metodi di pagamento, recapiti telefonici, ecc.). Sono, altresì, i dati relativi al tipo di servizio e alla sua durata (compresi i dati tecnici e i dati che identificano le misure tecniche correlate, o le interfacce usate dall’abbonato o dal cliente o a questo fornite), con esclusione delle password o di altri mezzi di autenticazione forniti dall’utente o creati a sua richiesta. Un’altra tipologia di dati ricomprende gli access data, ossia i log files dei singoli accessi al servizio ; tendenzialmente sono gli indirizzi IP o altri identificatori che individua l’interfaccia di rete usata durante la sessione di accesso.
Ci sono, poi, i transactional data, ossia i log files delle singole operazioni informatiche abbinate alle diverse tipologie di servizi offerti, in cui viene cristallizzato tutto ciò che ha fatto l’utente dal momento della registrazione; in questo gruppo sono ricompresi la fonte e il destinatario di un messaggio o di altro tipo di interazione, i dati sull’ubicazione del dispositivo, la data, l’ora, la durata, le dimensioni, il percorso, il formato, il protocollo usato e il tipo di compressione, ed i metadati delle comunicazioni elettroniche. Infine, i content data, sono i dati conservati in formato digitale attinenti al contenuto, come le e-mail, le foto, i video, ecc.[30]. Questa classificazione è importante per via della diversa pervasività della richiesta di acquisizione da parte degli inquirenti, e della conseguente compressione della privacy; oltreché del diverso approccio – collaborativo o meno – da parte degli ISPs esteri a seconda dei dati richiesti. Infatti, oltre ai sistemi di cooperazione internazionale come la rogatoria o l’ordine europeo di indagine penale (OEI)[31], ritenuti – come visto – lenti ed inadatti a risolvere il problema della moltiplicazione delle leges loci[32], nella prassi si sono sviluppati metodi alternativi, come la richiesta diretta da parte dell’autorità giudiziaria interessata alle prove agli ISPs che le detengono, senza coinvolgere nessun altro Paese. Tale prassi, allo stato, non trova alcun appiglio normativo[33], e si basa interamente sulla voluntary disclosure dell’azienda, che decide di volta in volta se collaborare o meno, a seguito di un bilanciamento degli interessi in gioco. Basti pensare che in taluni casi gli ISP finiscono per diventare i veri depositari del potere di attuazione dell’orizzonte investigativo. Ad esempio, Facebook ha messo a disposizione una piattaforma specifica per le richieste di informazioni da parte delle forze dell’ordine[34]; così come anche WhatsApp[35]. Gli ISPs, di regola, accolgono con maggiore frequenza le richieste di informazioni relative ai dati di registrazione, di accesso e di traffico; mentre rigettano le richieste riguardanti i content data. Sono gli stessi ISP a pubblicare semestralmente delle statistiche sul numero e sul tipo di richieste che ricevono dagli enti statali. Dall’ultimo Transparency Report pubblicato da Google[36], ad esempio, si ricava che globalmente l’azienda ha ricevuto 103.822 richieste di divulgazione di informazioni per 235.449 account nel primo semestre del 2020; e che, mediamente, Google accoglie tra il 60% ed il 75% delle richieste di informazioni presentate. Nel medesimo periodo, Twitter ha ricevuto circa 12.700 richieste di informazioni globali, producendo alcune o tutte le informazioni solo nel 37% dei casi[37]. Sempre nel primo semestre del 2020, Facebook ha ricevuto 173.592 richieste di informazioni dai governi di tutto il mondo, producendo i dati nel 72,8% dei casi; e 106.300 richieste di conservazione dei dati in attesa di un procedimento legale formale su circa 186.700 account[38]. Come detto, le condizioni per le quali gli ISPs decidono di fornire “spontaneamente” le informazioni si basano sulla natura dei dati richiesti.
Per basic subscriber information e traffic data, di regola è possibile una voluntary disclosure da parte dell’ISP di riferimento. Dunque, le forze dell’ordine chiedono informazioni all’ISP statunitense tramite il portale di riferimento (lo stesso vale per le richieste di congelamento del contenuto dell’account, o di ottenimento degli access logs); l’ISP statunitense valuta la richiesta in base alla propria policy interna, ed eventualmente invia i dati direttamente alle forze dell’ordine tramite una voluntary disclosure[39]. I content data, sono sottoposti, invece, ad un diverso regime, essendo dati attinenti al contenuto per i quali vi è una maggiore esigenza di garanzia della privacy degli utenti. In questi casi gli ISPs non rilasciano informazioni tramite voluntary disclosure, ma le forze dell’ordine dovranno attivare gli strumenti ordinari previsti dalle convenzioni internazionali come la rogatoria[40]. L’unica eccezione a questa regola – presente in tutte le policy dei maggiori ISPs statunitensi – è rappresentata dalla richiesta di content data in casi di assoluta emergenza, come ad esempio in caso di pericolo imminente per un bambino, o rischio di morte o serio danno fisico a una persona, attacchi terroristici, ecc.[41]. 7. L’ordine di produzione o di conservazione delle prove elettroniche La necessità di fare fronte comune in materia di acquisizione transnazionale dell’e-evidence ha portato gli Stati membri dell’UE ad intensificare la cooperazione con i paesi terzi e con gli ISPs, al fine di adottare misure omogenee a livello comunitario per difendere lo stato di diritto nel cyberspazio[42]. Su tali basi, il 17 aprile 2018 la Commissione Europea ha presentato una serie di misure in materia di lotta al terrorismo, tra cui una proposta di Regolamento finalizzato a migliorare l’accesso transnazionale alle prove elettroniche attraverso l’introduzione degli ordini europei di produzione e di conservazione della prova elettronica in ambito penale[43], e una proposta di Direttiva che individua regole comuni sulla designazione dei legali rappresentanti dei providers per facilitare l’accesso alle prove elettroniche detenute dai fornitori di servizi con sede legale in un Paese europeo diverso da quello dell’autorità giudiziaria richiedente[44]. In realtà queste proposte si inseriscono in un quadro giuridico europeo che già prevede strumenti di cooperazione giudiziaria internazionale, si pensi alla già citata Direttiva 2014/41/UE sull’Ordine europeo di indagine penale (EIO)[45]; la Convenzione relativa all’assistenza giudiziaria in materia penale tra gli Stati membri (Atto di Consiglio del 29.5.2000); la decisione 2002/187/GAI istitutiva di Eurojust ; il Regolamento UE 2016/794 sull’Europol; la Decisione quadro 2002/465/GAI del Consiglio relativa alle squadre investigative comuni. Nel corso degli anni lo scopo evidente del legislatore comunitario è stato quello di perseguire l’obiettivo di una progressiva omologazione delle procedure di acquisizione degli elementi investigativi, funzionale alla tutela dei diritti e delle garanzie dei soggetti a vario titolo coinvolti. Gli ordini di produzione e conservazione, dunque, si affiancano – e non si sostituiscono – agli altri strumenti di cooperazione esistenti[46].
L’obiettivo della Commissione Europea è chiaro: da un lato, armonizzare le regole sulla rappresentanza legale degli ISPs all’interno dell’Unione Europea, al fine di identificare chiaramente a chi le autorità competenti degli Stati membri possano indirizzare i propri provvedimenti di acquisizione della prova[47]; dall’altro, la proposta di Regolamento effettua un cambio di prospettiva, consentendo agli inquirenti nazionali di notificare direttamente gli ordini europei di produzione e di conservazione di prove elettroniche all’ISP nei casi in cui le autorità nazionali competenti rivolgano tali ordini a providers con sede all’estero. Come detto, la proposta di Regolamento introduce due strumenti; l’ordine di conservazione e l’ordine di produzione della e-evidence. L’ordine europeo di conservazione consiste in una decisione vincolante di un’autorità di uno Stato membro che ingiunge ad un ISP estero che opera in UE di conservare le e-evidence come preludio di una probabile richiesta di produzione. L’ordine europeo di produzione, invece, è una decisione vincolante emessa da un’autorità di uno Stato membro che ingiunge ad un ISP estero che opera in UE di produrre una prova elettronica[48]. Entrambi possono essere emessi solo nell’ambito di un’indagine penale o di un procedimento penale già in atto, nel rispetto del principio di proporzionalità; e solo per dati già esistenti; non possono essere emessi per finalità di intercettazione. L’ordine di produzione per i dati relativi alle operazioni degli utenti o agli accessi è possibile per qualsiasi tipologia di reato; per i content data, invece, può essere emesso solo per reati punibili nello Stato di emissione con una pena detentiva prevista nel massimo ad almeno a tre anni, a meno che non si tratti di particolari fattispecie di reato previste nell’art. 5 della proposta di Regolamento[49] . L’ordine di conservazione, di converso, può essere disposto per qualsiasi tipo di reato. Al fine di “incentivare” la cooperazione degli ISPs, ai sensi dell’art. 13 della proposta, gli Stati membri devono prevedere delle sanzioni pecuniarie in caso di violazione degli obblighi di esecuzione dell’ordine [50]. Sono previste diverse condizioni tanto per l’emissione, quanto per l’esecuzione degli ordini. Non a caso la proposta di Regolamento della Commissione Europea, negli allegati I e II, ha previsto che gli ordini vengano trasmessi attraverso due “certificati”: un certificato di ordine europeo di produzione (European Production Order Certificate - EPOC); ed un certificato di ordine europeo di conservazione (European Preservation Order Certificate - EPOPC-PR). Come detto, la proposta di Regolamento mira a consentire all’autorità nazionale di richiedere informazioni direttamente all’ISP, senza che quest’ultimo possa apporre ragioni legale al luogo di conservazione dei dati. In realtà, è possibile che ci sia una situazione interlocutoria; ad esempio qualora l’ordine sia incompleto o lacunoso, l’ISP può richiedere dei chiarimenti[51]. L’ISP può riscontrare negativamente l’ordine anche qualora lo ritenga lesivo della Carta dei diritti fondamentali dell’Unione Europea o manifestamente arbitrario; in tal caso è tenuto ad inviare il modulo di rigetto anche all’autorità di esecuzione competente del proprio Stato membro, la quale può chiedere gli opportuni chiarimenti sulla misura all’autorità emittente. C’è chi ha segnalato negativamente questo cambio di paradigma effettuato dalla Commissione Europea, in quanto si assegna agli ISPs – aziende private e non organi pubblici – il controllo sull’eseguibilità e sulla legittimità degli ordini[52].
Gli ordini, infatti, possono essere rivolti dalle competenti autorità nazionali direttamente ai rappresentanti legali degli ISPs, definiti dall’art. 2 della proposta di Regolamento come «la persona fisica o giuridica che fornisce una o più delle seguenti categorie di servizi: (a) servizi di comunicazione elettronica …; (b) servizi della società dell’informazione …, per i quali la conservazione dei dati e? una componente propria del servizio fornito all’utente, tra cui i social network, i mercati online che agevolano le operazioni tra utenti e altri prestatori di servizi di hosting; (c) servizi di nomi di dominio internet e di numerazione IP, quali i prestatori di indirizzi IP, i registri di nomi di dominio, i registrar di nomi di dominio e i connessi servizi per la privacy o proxy»[53]. Dal testo della proposta si ricava, comunque, che tutti gli ordini, qualunque sia il loro contenuto, devono essere “necessari” e “proporzionati” (artt. 5 e 6)[54], e che possono essere emessi solo se “una misura dello stesso tipo è disponibile per lo stesso reato in una situazione nazionale comparabile nello stato di emissione” (art. 5)[55]. Per autorevole dottrina, la nuova impostazione che viene avanzata – che senza dubbio facilita la raccolta delle prove – presenta elementi di criticità innanzitutto con la normativa comunitaria[56] e poi perché – in nome di una potenziale efficienza del sistema – sacrifica i diritti dei cittadini della comunità (il diritto al rispetto alla vita privata, artt. 8 CEDU e 7 Carta di Nizza; e la libertà di espressione dei titolari dei dati, art. 11 Carta di Nizza; nonché la libertà di iniziativa economica dei provider, art. 16 Carta di Nizza). Infine, un ulteriore aspetto che è stato ponderato in sede di negoziato è quello del bilanciamento tra la necessità di segretezza investigativa della richiesta di acquisizione o di conservazione dell’e- evidence, e l’esigenza di consentire alla persona oggetto di richiesta di venire a conoscenza della stessa, anche al fine di esercitare i diritti a propria tutela. In tal senso, la proposta di Regolamento prevede un divieto generale dell’ISP di informare la persona i cui dati siano richiesti, a meno che non sia la stessa autorità di emissione a chiedere di informarlo[57]. 8. Il Protocollo addizionale alla Convenzione di Budapest La Convenzione di Budapest del 23 novembre 2001 sulla criminalità informatica, ratificata da più di sessanta Paesi, tra cui tutti gli Stati membri dell’Unione Europea (ad eccezione dell’Irlanda e della Svezia) nonché da molti Paesi terzi tra cui gli Stati Uniti, il Canada, l’Australia, Israele, l’Argentina, il Cile e il Giappone, è senza dubbio uno strumento importante per il rafforzamento della cooperazione giudiziaria internazionale[58]. Essendo stata elaborata, però, in un periodo storico meno evoluto digitalmente rispetto ad oggi, col tempo ha palesato la sua inadeguatezza in materia di acquisizione delle prove elettroniche, per via di una dilatazione dei tempi incompatibile con la “volatilità” del dato elettronico[59]. Gli artt. 16 e 18 della Convenzione, in realtà, prevedono precisi obblighi a carico degli Stati di istituire nei loro ordinamenti interni ingiunzioni di produzione per ottenere dati informatici da prestatori di servizi presenti sul proprio territorio; così come, ai sensi dell’art. 32, lett. b), «Una Parte può, senza l’autorizzazione di un’altra Parte … accedere o ricevere, attraverso un sistema informatico nel proprio territorio, dati informatici immagazzinati situati in un altro Stato, se la Parte ottiene il consenso legale e volontario della persona legalmente autorizzata a divulgare i dati allo Stato attraverso tale sistema informatico»; ma nella prassi permangono le difficoltà in caso di ISP estero.
Per tali motivi il Consiglio d’Europa sta lavorando ad un Secondo Protocollo addizionale alla Convenzione di Budapest[60] che faciliti l’accesso transfrontaliero all’e-evidence, prescindendo dal luogo di conservazione dei dati. I lavori si stanno svolgendo parallelamente alle proposte della Commissione Europea affrontate nel paragrafo precedente, e gli strumenti ipotizzati sono analoghi: l’obiettivo è avere un insieme di regole coerente con la normativa attualmente al vaglio in UE[61]. Per sommi capi, il Protocollo affronta il tema della mutua assistenza giudiziaria più efficiente in relazione alle informazioni relative agli abbonati, degli ordini di produzione internazionali, delle squadre investigative comuni, dell’utilizzo della lingua inglese, e delle procedure d’emergenza. Ci sono al vaglio anche ipotesi simili alla proposta di Regolamento della Commissione Europea, come disposizioni che consentono la cooperazione diretta con i fornitori di servizi in altre giurisdizioni per quanto riguarda le richieste di informazioni sugli abbonati, le richieste di conservazione e le richieste d’emergenza. 9. Conclusioni e spunti critici L’evoluzione della rete internet si lega inestricabilmente con il progresso culturale e sociale dell’umanità. Per questo motivo, a mio avviso, sono da rigettare tutti i tentativi che imbriglino questa evoluzione. Ma il cyberspazio, inevitabilmente, è destinato a diventare sempre di più l’ambiente e lo strumento per la commissione o l’agevolazione dei reati; e gli organi inquirenti devono avere a disposizione i mezzi necessari per poter contrastare i crimini transfrontalieri e internazionali mediante un celere accesso alle prove elettroniche[62]. Gli Stati, consci di queste problematiche, stanno indirizzando i loro sforzi verso un modello di cooperazione tra autorità inquirenti e ISPs, con possibili benefici in termini di rapidità e efficienza[63]. Come è stato autorevolmente sostenuto, sia la proposta di Regolamento che la proposta del Protocollo addizionale alla Convenzione, però, necessitano di alcuni chiarimenti; ad esempio in merito alla contestazione degli ordini, ai mezzi di impugnazione, e alla unificazione delle normative in materia di giurisdizione[64]. Senza contare che ci sono forti dubbi che un tale complesso meccanismo possa sortire i suoi effetti, visto che i providers sono soggetti privati con interessi prettamente economici, che di rado agiscono con imparzialità[65]. Da un lato, la condotta dei providers potrebbe essere condizionata dalla comprensibile necessità di mantenere buoni rapporti con gli Stati in cui esercitano la loro attività economica. Dall’altro potrebbe accadere – come peraltro già è accaduto in passato – che i provider neghino il proprio supporto, proprio alla luce della tutela dei diritti fondamentali (o che svolgano un vaglio superficiale). Un altro aspetto delicato, che meriterebbe un approfondimento dettagliato, è l’uso sempre più diffuso della crittografia dei dati da parte dei providers. In tal senso, il Considerando 19 della proposta di Regolamento specifica che i dati devono essere forniti dal prestatore di servizi a prescindere dal fatto che siano criptati o meno. Nonostante si comprenda lo sforzo del legislatore europeo, è evidente che la crittografia costituisca un forte ostacolo alla ricerca delle e-evidence[66]. Allo stato, ci sono provider come Messenger di Facebook, dotati di un server che decripta il messaggio criptato pervenuto dall’utente prima di inoltrarlo al destinatario; in tali casi l’ISP ha le chiavi di decrittazione e ben potrebbe fornirle all’autorità inquirente in uno ai dati richiesti[67].
Diverso è il caso, però, dei più famosi sistemi di messaggistica istantanea – almeno occidentali – come WhatsApp, Telegram (nelle chat segrete) e Signal. Questi provider garantiscono agli utenti una crittografia c.d. end-to-end; in questo modo solo il mittente ed il destinatario hanno le chiavi per criptare e decriptare i messaggi, ed i server contengono in chiaro unicamente i dati di registrazione ed i file di accesso, ma non i content data. In tali casi, l’ordine di produzione sarebbe completamente inutile per l’autorità giudiziaria richiedente. Non a caso gli organi inquirenti statali preferiscono sempre più spesso ricorrere all’uso – ove consentito – dei captatori informatici (i c.d. trojan horse)[68], il cui impiego però, com’è noto, è parificato ad un’intercettazione tra presenti (c.d. ambientale)[69]. L’utilizzo di trojan, d’altro canto, consente di accedere a tutte le informazioni che transitano da e sul device, senza dover ricercare l’e-evidence altrove. [1] Cfr. M. Daniele, La prova digitale nel processo penale, testo della relazione, con integrazioni e note, svolta al Convegno «Nuove tendenze della giustizia penale di fronte alla criminalità informatica. Aspetti sostanziali e processuali» (Como, 21 e 22 maggio 2010). [2] Reati comuni che però vengono commessi con l’ausilio di sistemi informatici, come la diffamazione online, il cyber stalking, il falso, ecc... [3] Come le fattispecie di illecito indicate prima dalla l. 547/1993, e poi dalla l. 48/2008 (accesso abusivo, frode informatica, ecc.). [4] Art. 1, comma 1, lett. p), d.lgs. 7 marzo 2005 n. 82. [5] Art. 3, par. 1, n. 35), Reg. UE 910/2014 del Parlamento Europeo e del Consiglio, del 23 luglio 2014, in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno e che abroga la direttiva 1999/93/CE. [6] Trattato sottoscritto a Budapest il 23/11/2001, molto importante anche per aver definitivamente sancito l’immaterialità delle prove digitali. [7] Cfr. E. Casey, Network traffic as source of evidence: tool strenghts, weakness and future needs, in Digital investigation, 2004, 1, p. 28 -43. Sui rischi relativi al trattamento delle prove digitali, cfr. il suo editoriale, Trust in digital evidence, Forensic Science International: Digital Investigation 31 (2019) 200898. [8] Spesso le prove vengano fatte circolare fra server situati in Stati diversi (c.d. load balancing); sul punto cfr. F. Siracusano, La prova informatica transnazionale: un difficile “connubio” fra innovazione e tradizione, in Proc. pen. giust., f. 1, 2017, pag. 180 e ss. [9] Cfr. M. Pittiruti, Digital evidence e procedimento penale, Torino, 2017, Giappichelli. [10] A. Contaldo - F. Peluso, E-detective – L’informatica giuridica e le applicazioni della digital forensics , PM Edizioni, 2018, capitolo VI, Strumenti e tecniche di occultamento delle prove digitali, pagg. 207-215. [11] Materialmente è un numero composto da una serie di cifre intervallate da un punto.
[12] Non a caso la Direttiva 2000/31/CE del Parlamento europeo e del Consiglio dell’8 giugno 2000 in tema di e-commerce, che classifica gli ISPs a seconda dei servizi offerti, recepita in Italia dal d.lgs. 70/2003, è stata oggetto di annosi dibattiti giurisprudenziali e dottrinali in ambito europeo e nazionale, che hanno portato negli anni ad un ampliamento delle responsabilità degli ISP, a discapito del principio dell’assenza di un obbligo generalizzato di sorveglianza sui contenuti caricati dagli utenti. Dibattito che ha portato all’adozione della Direttiva 790/2019 del Parlamento Europeo e del Consiglio sul diritto d’autore e sui diritti connessi nel mercato unico digitale e che modifica le direttive 96/9/CE e 2001/29/CE , che dovrà essere recepita entro il 7 giugno 2021, ed alla proposta della Commissione Europea del Digital Service Act, finalizzato a promuovere una regolamentazione del mercato elettronico adeguata all’attuale evoluzione delle piattaforme digitali e ai modelli di business adottati dai principali player del web. [13] Ai sensi dell’art. 234, comma 1, c.p.p., «È consentita l’acquisizione di scritti o di altri documenti che rappresentano fatti, persone o cose mediante la fotografia, la cinematografia, la fonografia o qualsiasi altro mezzo». [14] Così come modificato dal d.lgs. 10 agosto 2018, n. 101, per l’adeguamento dal Reg. UE 679/2016, il c.d. General Data Protection Regulation (GDPR). Per M. Daniele, cit., «Le indagini informatiche, dunque, sono sempre potenzialmente in grado di pregiudicare la riservatezza degli individui. La loro capacità lesiva della privacy è addirittura superiore a quella delle intercettazioni; queste ultime si limitano a carpire le informazioni che la persona intercettata ha deciso di rivelare ad altri, mentre l’analisi dei sistemi informatici e delle reti possono rivelare il contenuto di intere esistenze: abitudini, opinioni politiche, preferenze di ogni genere. In ogni caso, dati riservati che nulla hanno a che fare con la commissione dei reati, e che sono facilmente divulgabili proprio grazie alle tecnologie informatiche e ad internet, in grado di renderle conoscibili da un numero sterminato di persone». [15] Artt. 23 e 25 della Convenzione di Budapest. [16] Ai sensi dall’art. 234 bis c.p.p. è sempre permessa l’acquisizione di dati conservati all’estero se disponibili al pubblico. Tale articolo si applica anche all’ipotesi in cui i dati siano disponibili previo consenso del titolare. [17] L’ultima parte dell’art. 244, comma 2, c.p.p. è un richiamo alle best practices, che caratterizzano l’attività di digital forensics, ossia le linee guida individuate dalla comunità scientifica per identificare, preservare, acquisire, conservare, analizzare e presentare in giudizio le evidenze digitali. [18] Ai sensi dell’art. 248, comma 2, c.p.p., poi, «Per rintracciare le cose da sottoporre a sequestro o per accertare altre circostanze utili ai fini delle indagini, l’autorità giudiziaria o gli ufficiali di polizia giudiziaria da questa delegati possono esaminare presso banche atti, documenti e corrispondenza nonché dati, informazioni e programmi informatici. In caso di rifiuto, l'autorità giudiziaria procede a perquisizione». Perquisizione di sistemi informatici e telematici consentita anche agli ufficiali di polizia giudiziaria nei casi di flagranza ai sensi dell’art. 352, comma 1 bis, c.p.p. [19] Corte di Giustizia UE, sent. 8 aprile 2014, Digital Rights Ireland Ltd (C?293/12 e C?594/12). Cfr. R. Flor, La Corte di giustizia considera la direttiva europea 2006/24 sulla c.d. “data retention” contraria ai diritti fondamentali. Una lunga storia a lieto fine?, in Diritto penale contemporaneo Rivista trimestrale, 2014, fasc. 2, pag. 178 e ss.
[20] In realtà la Corte ha rilevato che la direttiva contribuisce alla lotta contro gravi crimini e, dunque, a tutelare la pubblica sicurezza. Risulta pertanto incontestabile, secondo la Corte, che sussista un oggettivo interesse generale dell’Unione. Ad essere stato violato è il principio di proporzionalità, il quale richiede, però, che le iniziative delle istituzioni europee siano appropriate al fine di raggiungere i legittimi obiettivi. [21] Da ultimo la sentenza del 2 marzo 2021 nella causa C-746/18. La Corte ha precisato che l’accesso delle autorità nazionali competenti ai dati conservati dev’essere “subordinato ad un controllo preventivo effettuato o da un giudice o da un’entità amministrativa indipendente e (…) la decisione di tale giudice o di tale entità [deve] intervenire a seguito di una richiesta motivata delle autorità suddette”. [22] Allo stato, come detto, in alcuni Paesi europei (tra cui la Germania e la Romania), la propria Corte Costituzionale ha sancito l’illegittimità costituzione della normativa sulla data retention. [23] Basti pensare a Google, Facebook, Twitter, Microsoft, Instagram e YouTube, piattaforme che, ormai, offrono una molteplicità di servizi tali da non essere ricompresi più solo tra i “social network”. Nondimeno, con il Progetto Gaia X, l’Europa sta cercando di dotarsi di un’infrastruttura federata per i dati. Lanciato nel 2019 con l'obiettivo di sviluppare un’infrastruttura digitale affidabile e sovrana per l’Europa, GAIA-X è un ecosistema digitale regolato dai suoi membri. [24] Gli U.S.A. hanno risolto il problema alla radice con il Cloud Act, secondo il quale il provider stabilito negli Stati Uniti è tenuto a consegnare i dati richiesti dall’autorità giudiziaria statunitense, indipendentemente dal luogo di conservazione di tali dati. [25] Fin dalla fine della prima decade degli anni 2000 si discuteva, infatti, se esistesse un cyberspazio in cui vi erano delle leggi preesistenti applicabili, a fronte di una tesi contrapposta che vedeva la rete internet come un luogo non soggetto alle regole ed alle leggi vigenti nel “mondo reale”: “no server no law” opinion, contro la “no server bit la” opinion. Cfr. F. Carani, Odissea del captatore informatico, in Cassazione penale, 2016, n. 11, il quale a sostegno della seconda tesi cita l’esempio di normative europee di altri settori, che assoggettano i players statunitensi al dettato europeo, in relazione alla fornitura di servizi a cittadini europei. Ne è un esempio, oggi, il General Data Protestino Relation (GDPR) in materia di protezione dei dati personali. [26] Le rogatorie sono disciplinate, in particolare, dalla Convenzione del Consiglio d’Europa di assistenza giudiziaria in materia penale del 1959, recepita dall’Italia con la l. 23 febbraio 1961, n. 215, nonché, nel contesto dell’Unione Europea, dalla Convenzione di assistenza giudiziaria in materia penale del 2000, recepita con il d.lgs. 5 aprile 2017, n. 52 [27] Cfr. M. Daniele, L’acquisizione delle prove digitali dai service provider: un preoccupante cambio di paradigma nella cooperazione internazionale, Revista Brasileira de Direito Processual Penal, Porto Alegre, vol. 5, n. 3, p. 1277-1296, set./dez. 2019; per il quale la Convenzione di Budapest era già consapevole di questa limitazione, ed infatti prevedeva che le richieste istruttorie fossero soddisfatte “al più presto possibile quando … vi è motivo di ritenere che i dati relativi siano particolarmente a rischio di perdita o modificazioni”. [28] Sul punto, cfr. la Relazione alla Proposta di Regolamento del Parlamento Europeo e del Consiglio relativo agli ordini europei di produzione e di conservazione di prove elettroniche in materia penale, COM(2018) 225 final 2018/0108(COD), reperibile su https://eur-lex.europa.eu/. Inoltre, almeno 2/3 dei reati che necessiterebbero di prove digitali raccolte all’estero, non possono essere investigati o perseguiti efficacemente.
Puoi anche leggere