L'acquisizione delle prove elettroniche, la voluntary disclosure dei providers, e l'ordine europeo di produzione e conservazione dell'e-evidence ...

Pagina creata da Aurora Mantovani
 
CONTINUA A LEGGERE
Tribunale Bologna 24.07.2007, n.7770 - ISSN 2239-7752
                                               Direttore responsabile: Antonio Zama

    L’acquisizione delle prove elettroniche, la voluntary
       disclosure dei providers, e l’ordine europeo di
   produzione e conservazione dell’e-evidence in materia
                            penale
   The acquisition of electronic evidence, the voluntary disclosure of providers, and the
      European production and preservation order for e-evidence in criminal matters
                                                    15 Aprile 2021
                                                    Paolo Palmieri

Abstract
Il presente contributo affronta gli aspetti più importanti relativi al funzionamento della rete internet ed
all’accesso transfrontaliero all’e-evidence, in relazione alla crescente dematerializzazione delle prove
rilevanti ai fini di un procedimento penale ed alla non agevole acquisizione degli stessi presso ISPs situati
all’estero da parte degli organi inquirenti statali. In particolare, oggetto di trattazione sono i meccanismi di
voluntary disclosure messi in atto dagli Internet Service Providers statunitensi, le recenti proposte della
Commissione Europea in materia di ordini europei di produzione e di conservazione dell’e-evidence in
materia penale, e la proposta di un Secondo Protocollo addizionale alla Convenzione di Budapest sulla
criminalità informatica, nell’ottica di una maggiore cooperazione tra gli Stati e soprattutto tra gli Stati e gli
ISPs.
This paper aims to contribute with the most important aspects related to the functioning of the internet
network and cross-border access to e-evidence, in relation to the growing dematerialization of evidences
relevant for the purposes of criminal proceeding and the state investigative body difficulties in their
acquisition from IPSs located abroad. In particular, the subject of discussion are the voluntary disclosure
mechanisms implemented by the US Internet Service Providers, the recent proposals of the European
Commission on the subject of European production and preservation orders for e-evidence in criminal
matters, and the proposal for a Second Protocol in addition to the Budapest Convention on Cybercrime, by
considering increased cooperation among nations and above all, between Nations and IPSs.

Sommario
1. Introduzione alle fonti di prova digitali
2. Il funzionamento della rete internet
3. Gli strumenti a disposizione degli inquirenti
4. I problemi relativi alla ricerca dell’e-evidence
5. L’acquisizione di fonti di prova digitali sulle piattaforme statunitensi
6. Le tipologie di dati acquisibili dagli ISPs ed i meccanismi di voluntary disclosure
7. L’ordine di produzione o di conservazione delle prove elettroniche
8. Il Protocollo addizionale alla Convenzione di Budapest
9. Conclusioni e spunti critici

Summary
1. Introduction to digital evidence sources
2. The functioning of the internet network
3. The tools available to investigators
4. The problems related to the search for e-evidence
5. The acquisition of sources of digital evidence on US platforms
6. The types of data that can be acquired by ISPs and the voluntary disclosure mechanisms
7. The production and preservation order for electronic evidence
8. The Additional Protocol to the Budapest Convention
9. Conclusions and critics ideas

1. Introduzione alle fonti di prova digitali
Le fonti di prova digitali, ossia quelle fonti di prova contenute all’interno dei sistemi informatici, hanno
acquisito col tempo un’importanza sempre più pregnante all’interno dei procedimenti penali.
Per fonti di prova digitali, tecnicamente, parliamo di files che contengono testi, suoni o immagini o che
registrano gli eventi occorsi nei sistemi, oppure tracce lasciate dall’utilizzo dei sistemi; più esattamente,
prove «digitali», in quanto originate da una manipolazione elettronica di numeri[1].
La digitalizzazione della società, e la contestuale diffusione delle piattaforme sociali, ha portato
conseguentemente ad un incremento dell’utilizzo di queste tecnologie anche per finalità illecite. Il diritto,
ormai, ha una forte componente digitale che deve essere acquisita e analizzata; si pensi ai reati
eventualmente informatici[2], ai reati necessariamente informatici[3], ed agli strumenti utilizzati per la
conservazione di dati rilevanti e suscettibili di assumere valenza probatoria processuale.
Con il tempo, dunque, il legislatore ha avvertito la necessità di intervenire per garantire l’interoperabilità
dei meccanismi previgenti di indagine, con i sistemi informatici. Intervento non poco problematico, stante
la continua evoluzione degli stessi.
Il Codice dell’Amministrazione digitale definisce «il documento informatico come il documento elettronico
che contiene la rappresentazione informatica di atti, fatti o dati giuridicamente rilevanti»[4]; mentre il
Regolamento eIDAS definisce documento elettronico «qualsiasi contenuto conservato in forma
elettronica, in particolare testo o registrazione sonora, visiva o audiovisiva»[5].
In materia penale, di fondamentale importanza è stata la legge 18 marzo 2008 n. 48, di recepimento in
Italia della Convenzione di Budapest del Consiglio d’Europa sulla Criminalità informatica[6], il primo
intervento transnazionale volto a risolvere uno dei maggiori - ed ancora attuali - problemi legati alle
caratteristiche delle prove digitali, ossia la possibilità di trovarsi su server o devices dislocati in diverse
parti del mondo, con notevoli problemi per gli organi inquirenti nazionali.
In materia di prova elettronica rivestono una notevole importanza gli studi di Eoghan Casey, il quale
definisce la e-evidence come «un qualsiasi dato memorizzato o trasmesso usando un computer che
supporta o respinge una teorica su come è avvenuto un fatto offensivo o che individua elementi critici
dell’offesa come l’intenzionalità o l’alibi»[7].
L’interprete e gli organi inquirenti sono chiamati, dunque, a risolvere problemi sempre più complessi nello
svolgimento dell’attività di indagine, di ricerca, e di assunzione della prova elettronica spesso a carattere
transfrontaliero, posti dal carattere immateriale dei dati, dalla facile trasferibilità da un server ad un altro[8]
, dall’utilizzo del cloud computing, e dal passaggio della stessa tra differenti providers[9].
All’interno del cloud computing rientrano “una serie di tecnologie informatiche che permettono di
elaborare archiviare e memorizzare dati grazie all’utilizzo di risorse hardware e software distribuite nel
web”[10]. In altre parole sono gli spazi virtuali che un utente può utilizzare a distanza senza disporne
fisicamente (tra i più diffusi, Dropbox, Google Drive, One Drive, iCloud). In relazione a tali servizi, al
problema dell’allocazione dei dati su server dislocati ipoteticamente in tutto il mondo, si aggiunge il
possibile spacchettamento dei dati e la loro criptazione.

2. Il funzionamento della rete internet
La rete internet è vastissima ed è composta da innumerevoli componenti.
Da quando Tim Berners-Lee e il suo team di ricercatori resero disponibile la prima pagina web al di fuori
del CERN, oggi contiamo quasi 2 miliardi di siti e più di 4 miliardi di utenti. Ogni sessanta secondi, solo
per fare qualche esempio, vengono inviate 160 milioni di mail, gli utenti di WhatsApp condividono 41
milioni di messaggi, su Facebook vengono caricate 147.000 foto e su Youtube vengono caricate 500 ore di
video.
Dunque, prima di capire come acquisire le e-evidence sulla rete internet, occorre approfondire l’aspetto
tecnico ad esse sottostante; ossia individuare materialmente dove trovarle e con quali mezzi.
L’evoluzione degli strumenti informatici ci porta a parlare, oggi, di devices in grado di connettersi alla rete
internet. Ogni device lascia delle tracce quando accede ad essa, e questi eventi informatici sono tracciabili
mediante il c.d. tracing.
È evidente, però, che tale attività può essere limitata dall’anonimità che garantisce a volte la rete internet.
Ogni device dà e riceve connessione: per connettersi alla rete chiede una connessione ad un Internet
Service Provider (ISP); quest’ultimo, nel fornirgli una connessione, gli assegna un indirizzo IP. Mediante
tale indirizzo il device naviga sulla rete internet fino ad accedere al server di destinazione.
Nello specifico, per indirizzo IP (Internet Protocol address) intendiamo un’etichetta numerica che
identifica univocamente un dispositivo (host) collegato ad una rete informatica. È una informazione molto
importante che si ricava dal funzionamento della rete internet, e viene assegnata ai singoli ISP da un Ente
regolatore internazionale (l’ICANN)[11]. Di conseguenza l’indirizzo IP è un’informazione pubblica,
facilmente ricavabile mediante consultazione di appositi registri.
Per Internet Service Provider, invece, si intende quell’organismo che fornisce (to provide, fornire) un
servizio internet. All’interno di questo insieme molto generico, è possibile individuare diverse tipologie di
ISP, a seconda del tipo di servizio offerto. Il Network Provider fornisce le infrastrutture di comunicazione;
l’Access Provider consente all’utente di collegarsi alla rete internet; il Service Provider offre all’utente
ulteriori servizi come la posta elettronica; l’Host Provider consente all’utente di utilizzare lo spazio web
del proprio server connesso alla rete internet; infine, il Content Provider fornisce informazioni ed opere di
qualsiasi genere caricandole sui propri server. Com’è facilmente intuibile, non è facile catalogare gli ISPs
, in quanto, di solito, un organismo fornisce molteplici servizi, impedendo all’interprete una sua precisa
catalogazione[12].
Il device chiede l’accesso alla rete internet all’Access Provider, e l’ISP assegna all’utente un indirizzo IP
. L’indirizzo IP può essere statico o dinamico: il primo si ottiene quando l’ISP fornisce all’utente sempre il
medesimo indirizzo quando viene interrogato per accedere alla rete (è più adatto alle grandi società); il
secondo, più frequente, si ottiene quando l’ISP fornisce all’utente un indirizzo IP che segue l’utente
durante tutta la sua navigazione in rete, ma che ritorna nella disponibilità dell’ISP quando l’utente si
disconnette dalla stessa; e che sarà, poi, fornito ad altri utenti.
Ciò che qui interessa, però, è che questo indirizzo IP accompagna l’utente durante tutto l’arco della
sua navigazione in rete, venendo memorizzato in relazione a tutte le attività che egli compie (e su
tutti i devices con cui interagisce).
Un’altra importante nozione da tenere a mente è quella di logging, definibile come l’insieme delle attività
legate alla raccolta e all’analisi dei dati relativi ad una serie di eventi informatici; una sorta di registro in
cui è tenuta traccia delle attività relative ad un device.
Il logging è fondamentale per il tracing, e per l’individuazione degli indirizzi IP degli utenti che
navigano in rete. Ma ciò che più importa, è che anche l’ISP che fornisce l’accesso alla rete o ad un
servizio, conserva traccia degli accessi mediante l’utilizzo del logging: ciò consente di risalire alla
possibile identità del soggetto che ha commesso eventuali crimini mediante la rete internet, alla data ed
all’orario. Gli inquirenti, infatti, non dovranno far altro che notificare all’ISP un decreto di acquisizione
dell’indirizzo IP ritrovato nel registro di logging oggetto di indagini[13].
Il file di log è un dato personale, infatti la richiesta di tali files da parte degli organi inquirenti agli
ISPs è disciplinata dall’art. 132 del d.lgs. 196/2003 (il Codice in materia di dati personali)[14]
. Ai sensi della norma citata, i dati relativi al traffico telefonico devono essere obbligatoriamente conservati
dall’ISP per ventiquattro mesi; mentre i dati relativi al traffico telematico (ma non i contenuti delle
comunicazioni), devono essere conservati dall’ISP per dodici mesi dalla data della comunicazione.
Entro tali termini i dati possono essere acquisiti presso il fornitore con decreto motivato del pubblico
ministero.

3. Gli strumenti a disposizione degli inquirenti
Gli inquirenti hanno la possibilità di accedere negli spazi digitali di pertinenza dei privati e dei fornitori di
servizi informatici in base a modalità ben determinate.
Le prove digitali possono essere raccolte in due modi: in loco oppure a distanza.
La raccolta si effettua in loco quando le prove digitali sono da reperire su specifici supporti materiali situati
all’estero; in questi casi la raccolta delle prove spetta alle autorità locali, le quali devono offrire la più
ampia collaborazione[15].
La raccolta delle prove digitali a distanza si verifica quando non è possibile o necessario recarsi in loco e
quindi ogni qual volta l’autorità giudiziaria può svolgere questa attività a distanza dal proprio territorio,
senza la necessità di un intervento fisico da parte dell’autorità straniera: spesso, infatti, il sopralluogo e il
repertamento possono avvenire anche in modo virtuale[16].
Nel nostro Paese il mezzo investigativo utilizzato dal pubblico ministero per ottenere la prova
digitale dall’ISP che abbia una sede di stabilimento o un rappresentante legale sul territorio italiano,
è l’ordine di esibizione ai sensi dell’art. 256 c.p.p.
Le indagini informatiche, poi, sono configurate come ispezioni, perquisizioni e sequestri: mezzi di ricerca
della prova che possono essere disposti anche dal pubblico ministero o, nella flagranza del reato o nei casi
d’urgenza, dalla stessa polizia, i cui atti vanno poi convalidati dal pubblico ministero.
Ai sensi dell’art. 244, comma 2, c.p.p., in materia di ispezione, «L’autorità giudiziaria può disporre rilievi
segnaletici, descrittivi e fotografici e ogni altra operazione tecnica, anche in relazione a sistemi
informatici o telematici, adottando misure tecniche dirette ad assicurare la conservazione dei dati
originali e ad impedirne l’alterazione»[17]. Tale mezzo di ricerca parrebbe più utile in caso di ricerca
generica e superficiale all’interno di un sistema informatico, che si limiti alle caratteristiche esteriori.
Ai sensi dell’art. 247, comma 1-bis, c.p.p., in materia di perquisizioni, «Quando vi è fondato motivo di
ritenere che dati, informazioni, programmi informatici o tracce comunque pertinenti al reato si trovino in
un sistema informatico o telematico, ancorché protetto da misure di sicurezza, ne è disposta la
perquisizione, adottando misure tecniche dirette ad assicurare la conservazione dei dati originali e ad
impedirne l’alterazione»[18]. Com’è noto, la richiesta di raccolta delle prove digitali all’estero è soggetta
ai presupposti di ammissibilità dello Stato di emissione (lex fori). Pertanto, per le richieste avanzate
dall’Italia, devono operare i presupposti interni delle perquisizioni, delle ispezioni e dei sequestri
informatici, cioè - ex art. 247 c.p.p. - un’autorizzazione o, almeno, una convalida da parte del PM, in
presenza del fondato motivo di ritenere che determinati dati informatici rilevanti per il procedimento si
trovino ubicati in un certo luogo.
In materia di corrispondenza, l’art. 254, comma 1, c.p.p. prevede che «Presso coloro che forniscono servizi
postali, telegrafici, telematici o di telecomunicazioni è consentito procedere al sequestro di lettere, pieghi,
pacchi, valori, telegrammi e altri oggetti di corrispondenza, anche se inoltrati per via telematica». Mentre
l’art. 254 bis c.p.p. disciplina il sequestro di dati informatici presso fornitori di servizi informatici,
telematici e di telecomunicazioni. La metodologia di acquisizione è volta a creare una copia su
adeguato supporto con una procedura che sia in grado di assicurare la conformità dei dati acquisiti a
quelli originali e la loro immodificabilità. Sotto il profilo soggettivo la norma si riferisce ai fornitori di
servizi informatici, telematici o di telecomunicazioni e pertanto restano esclusi tutti gli altri soggetti che
non rientrano in questa categoria (per esempio aziende private, banche, ecc.).
Lo standard utilizzato per la perquisizione e il sequestro di prove digitali, è richiesto anche per i dati
attinenti al traffico, ossia per le prove digitali relative alle comunicazioni avvenute tramite sistemi
informatici. In tale ambito rientrano, ad esempio, gli indirizzi IP che permettono di determinare i
tempi e la fonte degli ingressi nei sistemi, e risalire ai devices da cui gli ingressi hanno avuto origine.
I mezzi di ricerca della prova e il sequestro in ambiente di cloud computing sono particolarmente
complessi. Infatti è frequente che gli operatori non conoscano in quali server siano memorizzati i files
d’interesse e potrebbero essere impossibilitati a ispezionare, perquisire o sequestrare un account. Diventa
allora fondamentale per gli operatori individuare esattamente “cosa” cercare e “con quali modalità”
acquisire ciò che si desidera al fine di consentire la ripetibilità dell’operazione garantendo la genuinità
degli elementi di prova, oppure procedere con le modalità delle attività irripetibili ex art. 360 c.p.p.

4. I problemi relativi alla ricerca dell’e-evidence
Analizzato il funzionamento della rete internet, occorre affrontare i problemi che possono riscontrare gli
inquirenti dediti alla ricerca ed alla raccolta dell’e-evidence, soprattutto mediante la tecnica del tracing.
Può capitare, infatti, che il device che chiede la connessione alla rete internet, e al quale viene assegnato un
determinato indirizzo IP, sia stato oggetto di un attacco informatico, ad esempio mediante furto d’identità
causato da attacchi di phishing, o banalmente tramite accesso ad un device non protetto e violato. In tal
caso l’identificazione del titolare di un indirizzo IP non porta all’identificazione del presunto reo.
Sempre più spesso, poi, si accede ad internet tramite connessione da dispositivo mobile. In tali
circostanze, è molto frequente che eventuali criminali intestino le utenze telefoniche a persone
completamente ignare di tutto (carpendo i dati sensibili di un’altra persona mediante artifizi o raggiri),
oppure a soggetti in difficoltà che acconsentano di buon grado a fare da prestanome in cambio di un
corrispettivo in danaro.
In tali circostanze, le informazioni pur ottenute grazie al tracing, non consentono di arrivare alla compiuta
identificazione del presunto autore del reato.
Un altro freno all’attività mediante tracing è dato dall’utilizzo dei proxy server, servizio ormai fornito
quasi di default dai browser web e dai sistemi operativi. Un proxy server è un intermediario che si
frappone tra un client e un server: il client accede alla rete internet; contestualmente richiede al proxy
server un diverso indirizzo IP; il proxy manda una nuova richiesta al server (a tutti gli effetti la richiesta
parte dal proxy server); il server riceve la richiesta e risponde al proxy; infine il proxy inoltra la risposta al
client. Per quel che qui interessa, l’utilizzo del proxy server fa sì che il server finale non sappia chi
abbia fatto davvero la richiesta che sta servendo, perché l’indirizzo IP di partenza risulta “offuscato”
; infatti spesso i proxy server sono abbinati a server esteri, e quindi di difficile identificazione mediante
semplici richieste di acquisizione di file di log agli ISP da parte degli organi inquirenti.
A ciò si aggiunga che i servizi di cloud computing, di regola, consentono la distruzione dei dati a
seguito di semplice richiesta dell’utente; con la conseguenza che le risorse necessaria per una indagine
potrebbero non essere più disponibili in seguito alla loro cancellazione.
Infine, come già accennato, ai sensi della normativa attualmente in vigore in materia di protezione dei dati
personali, gli ISPs sono obbligati a conservare i dati relativi al traffico telematico per dodici mesi. Decorso
questo termine, non sarà più possibile ottenere i files richiesti in quanto gli ISPs dovrebbero distruggere tali
informazioni.
In realtà la materia della data retention è stata recentemente affrontata dalla Corte di Giustizia
dell’UE[19], che ha ritenuto alcune disposizione della Direttiva 2006/24/CE, relative all’obbligo di
conservazione dei dati di traffico telefonico e telematico, contrarie ai diritti fondamentali del rispetto
della vita privata e della vita familiare, della protezione dei dati di carattere personale e della libertà
di espressione e di informazione (artt. 7, 8 e 52, par. 1, della Carta dei diritti fondamentali dell’Unione
Europea).
E ciò anche se la normativa europea – come l’attuale normativa italiana – non consente l’archiviazione dei
dati relativi ai contenuti delle comunicazioni[20].
Allo stato, in alcuni Paesi UE la normativa adottata in attuazione della direttiva invalidata dalla Corte di
Giustizia è stata dichiarata incostituzionale; per cui, alcuni Stati, non hanno più una normativa in materia di
data retention.
L’attuale normativa italiana, comunque vigente, dunque, parrebbe in contrasto con la visione di
matrice europea prevalente, che afferma la necessità di rispettare tempi di conservazione il più
possibile ridotti; ma, allo stato, mentre in Italia (per gli ISPs italiani) vige ancora un obbligo di
conservazione dei dati, così come stabilito dall’art. 132 d.lgs. 196/2003, in altri Paesi UE potrebbe non
essere possibile ottenere le e-evidence necessarie alle indagini.
Quello che emerge, dunque, è uno scenario di grande incertezza normativa, in cerca di un equilibrio tra
diritto alla riservatezza ed esigenze investigative. La Corte UE sembrerebbe prediligere il primo, a scapito
delle seconde, seppur con alcuni contemperamenti.
Con le più recenti pronunce la Corte ha chiarito due aspetti essenziali: da un lato la necessaria limitazione
dell’acquisibilità dei dati di traffico ai soli procedimenti per gravi reati o per gravi minacce per la sicurezza
pubblica e, dall’altro, la necessaria subordinazione dell’acquisizione dei dati all’autorizzazione di
un’autorità terza rispetto all’autorità pubblica richiedente[21].
Dal punto di vista pratico, facendo un piccolo esempio con l’indirizzo IP, nel caso in cui l’ISP abbia la
sede all’estero occorre effettuare una distinzione. Se l’ISP estero ha una sede in un Paese europeo, gli
inquirenti dovranno verificare l’eventuale vigenza della normativa emanata in adeguamento alla Direttiva
2006/24/CE sulla data retention[22], e per quanto tempo vige l’obbligo di conservazione; in questo caso,
gli inquirenti potranno attivare gli strumenti di cooperazione internazionale attualmente esistenti al fine
dell’ottenimento dell’e-evidence. Se l’ISP estero ricade invece in un’altra giurisdizione (come quella
statunitense), tra l’e-evidence e gli inquirenti si frapporranno numerosi ostacoli.
Da ultimo, occorre sottolineare che la legge europea 2017 (entrata in vigore in data 12.12.2017), ha
stabilito un termine di conservazione dei dati di traffico telefonico e telematico in materia di lotta
contro il terrorismo pari a settantadue mesi.

5. L’acquisizione di fonti di prova digitali sulle piattaforme
statunitensi
Il problema che sta alla base dell’e-evidence consiste senza dubbio nell’essere per sua natura transnazionale.
La stragrande maggioranza degli ISPs con cui quotidianamente interagiscono i cittadini europei, però, sono
Internet Service Providers statunitensi[23]; occorre, dunque, analizzare lo stato dell’arte relativo alle
procedure che gli inquirenti italiani devono seguire al fine di reperire l’e-evidence “sita” su server esteri[24]
.
Occorre sottolineare, infatti, che è sempre meno probabile rintracciare fonti di prova digitali allocate
direttamente sui devices, a maggior ragione su devices c.d. “fissi”. Sempre più spesso, infatti, le
informazioni transitano da devices mobili, programmati, per loro natura, per sfruttare al massimo le
funzionalità del cloud.
Ovviamente gli inquirenti potrebbero avere la possibilità (rectius, fortuna) di reperire l’e-evidence
anche “autonomamente” senza richiedere informazioni agli ISPs esteri, accedendo al cloud tramite i devices
ad esso collegati, con gli strumenti offerti dal codice di procedura penale, con l’ausilio di consulenti
informatici e seguendo le best practices della digital forensics.
Negli U.S.A. non vige un obbligo di conservazione dei dati di traffico telematico. Ci si è chiesti,
dunque, se esistano delle norme applicabili agli ISPs statunitensi (operanti anche in Italia), che
obblighino gli stessi a conservare tali dati e fornirli, in caso di richiesta di acquisizione, agli
inquirenti italiani[25].
Com’è noto, lo strumento previsto dalla normativa italiana - ma in generale da quasi tutte le normative
processual-penalistiche internazionali - per reperire fonti di prova all’estero è la rogatoria internazionale,
ossia la richiesta di acquisire le prove rivolta da uno Stato ad un altro[26].
In altri termini, gli inquirenti italiani, per ottenere e-evidence allocate su server statunitensi,
dovrebbero procedere tramite rogatoria; ma questo strumento ha dei costi di traduzione e delle
procedure burocratiche decisamente farraginose, con dei tempi incompatibili con la “volatilità” delle
evidenze digitali. Le norme che regolano questo strumento sono state concepite per le prove fisiche, e non
sempre prevedono tempistiche di trasmissione adatte alla velocità con cui le prove digitali si muovono
nella rete e tra uno Stato ad un altro[27].
Il problema non è di poco momento: la maggior parte delle richieste di informazioni per finalità di giustizia
sono dirette a Internet Service Providers stranieri, e più della metà delle investigazioni penali necessitano
di una richiesta transnazionale di accesso alle e-evidence[28].
Allo stato, infatti, i fornitori di servizi telematici non hanno alcun obbligo generale di essere fisicamente
presenti nel territorio dell’Unione Europea, potendo offrire i propri servizi senza necessità di infrastrutture,
di aziende o personale presente negli Stati membri[29].

6. Le tipologie di dati acquisibili dagli ISP ed i meccanismi di
voluntary disclosure
Oggi è possibile, a determinate condizioni, ottenere informazioni dagli ISPs; ma prima di analizzare gli
strumenti che il legislatore europeo propone di adottare per cercare una soluzione ai problemi relativi alla
ricerca ed all’acquisizione dell’e-evidence all’estero, occorre comprendere le tipologie di dati che le
autorità competenti possono ottenere o “porre in conservazione”.
Si è soliti ripartire i dati che possono essere richiesti agli ISPs in quattro tipologie.
La prima tipologia ricomprende le informazioni relative al sottoscrittore del servizio, i subscriber data,
ossia i dati che gli utenti rilasciano all’ISPs al momento dell’adesione al servizio offerto (e-mail,
username, metodi di pagamento, recapiti telefonici, ecc.). Sono, altresì, i dati relativi al tipo di servizio e
alla sua durata (compresi i dati tecnici e i dati che identificano le misure tecniche correlate, o le interfacce
usate dall’abbonato o dal cliente o a questo fornite), con esclusione delle password o di altri mezzi di
autenticazione forniti dall’utente o creati a sua richiesta.
Un’altra tipologia di dati ricomprende gli access data, ossia i log files dei singoli accessi al servizio
; tendenzialmente sono gli indirizzi IP o altri identificatori che individua l’interfaccia di rete usata durante
la sessione di accesso.
Ci sono, poi, i transactional data, ossia i log files delle singole operazioni informatiche abbinate alle
diverse tipologie di servizi offerti, in cui viene cristallizzato tutto ciò che ha fatto l’utente dal
momento della registrazione; in questo gruppo sono ricompresi la fonte e il destinatario di un messaggio
o di altro tipo di interazione, i dati sull’ubicazione del dispositivo, la data, l’ora, la durata, le dimensioni, il
percorso, il formato, il protocollo usato e il tipo di compressione, ed i metadati delle comunicazioni
elettroniche.
Infine, i content data, sono i dati conservati in formato digitale attinenti al contenuto, come le e-mail,
le foto, i video, ecc.[30].
Questa classificazione è importante per via della diversa pervasività della richiesta di acquisizione da parte
degli inquirenti, e della conseguente compressione della privacy; oltreché del diverso approccio –
collaborativo o meno – da parte degli ISPs esteri a seconda dei dati richiesti.
Infatti, oltre ai sistemi di cooperazione internazionale come la rogatoria o l’ordine europeo di
indagine penale (OEI)[31], ritenuti – come visto – lenti ed inadatti a risolvere il problema della
moltiplicazione delle leges loci[32], nella prassi si sono sviluppati metodi alternativi, come la richiesta
diretta da parte dell’autorità giudiziaria interessata alle prove agli ISPs che le detengono, senza
coinvolgere nessun altro Paese.
Tale prassi, allo stato, non trova alcun appiglio normativo[33], e si basa interamente sulla voluntary
disclosure dell’azienda, che decide di volta in volta se collaborare o meno, a seguito di un bilanciamento
degli interessi in gioco. Basti pensare che in taluni casi gli ISP finiscono per diventare i veri depositari del
potere di attuazione dell’orizzonte investigativo.
Ad esempio, Facebook ha messo a disposizione una piattaforma specifica per le richieste di informazioni
da parte delle forze dell’ordine[34]; così come anche WhatsApp[35].
Gli ISPs, di regola, accolgono con maggiore frequenza le richieste di informazioni relative ai dati di
registrazione, di accesso e di traffico; mentre rigettano le richieste riguardanti i content data.
Sono gli stessi ISP a pubblicare semestralmente delle statistiche sul numero e sul tipo di richieste che
ricevono dagli enti statali.
Dall’ultimo Transparency Report pubblicato da Google[36], ad esempio, si ricava che globalmente
l’azienda ha ricevuto 103.822 richieste di divulgazione di informazioni per 235.449 account nel primo
semestre del 2020; e che, mediamente, Google accoglie tra il 60% ed il 75% delle richieste di
informazioni presentate.
Nel medesimo periodo, Twitter ha ricevuto circa 12.700 richieste di informazioni globali, producendo
alcune o tutte le informazioni solo nel 37% dei casi[37].
Sempre nel primo semestre del 2020, Facebook ha ricevuto 173.592 richieste di informazioni dai governi
di tutto il mondo, producendo i dati nel 72,8% dei casi; e 106.300 richieste di conservazione dei dati in
attesa di un procedimento legale formale su circa 186.700 account[38].
Come detto, le condizioni per le quali gli ISPs decidono di fornire “spontaneamente” le informazioni si
basano sulla natura dei dati richiesti.
Per basic subscriber information e traffic data, di regola è possibile una voluntary disclosure da parte
dell’ISP di riferimento. Dunque, le forze dell’ordine chiedono informazioni all’ISP statunitense
tramite il portale di riferimento (lo stesso vale per le richieste di congelamento del contenuto
dell’account, o di ottenimento degli access logs); l’ISP statunitense valuta la richiesta in base alla
propria policy interna, ed eventualmente invia i dati direttamente alle forze dell’ordine tramite una
voluntary disclosure[39].
I content data, sono sottoposti, invece, ad un diverso regime, essendo dati attinenti al contenuto per i quali
vi è una maggiore esigenza di garanzia della privacy degli utenti. In questi casi gli ISPs non rilasciano
informazioni tramite voluntary disclosure, ma le forze dell’ordine dovranno attivare gli strumenti ordinari
previsti dalle convenzioni internazionali come la rogatoria[40]. L’unica eccezione a questa regola –
presente in tutte le policy dei maggiori ISPs statunitensi – è rappresentata dalla richiesta di content data
in casi di assoluta emergenza, come ad esempio in caso di pericolo imminente per un bambino, o rischio di
morte o serio danno fisico a una persona, attacchi terroristici, ecc.[41].

7. L’ordine di produzione o di conservazione delle prove
elettroniche
La necessità di fare fronte comune in materia di acquisizione transnazionale dell’e-evidence ha portato gli
Stati membri dell’UE ad intensificare la cooperazione con i paesi terzi e con gli ISPs, al fine di adottare
misure omogenee a livello comunitario per difendere lo stato di diritto nel cyberspazio[42].
Su tali basi, il 17 aprile 2018 la Commissione Europea ha presentato una serie di misure in materia di lotta
al terrorismo, tra cui una proposta di Regolamento finalizzato a migliorare l’accesso transnazionale alle
prove elettroniche attraverso l’introduzione degli ordini europei di produzione e di conservazione della
prova elettronica in ambito penale[43], e una proposta di Direttiva che individua regole comuni sulla
designazione dei legali rappresentanti dei providers per facilitare l’accesso alle prove elettroniche detenute
dai fornitori di servizi con sede legale in un Paese europeo diverso da quello dell’autorità giudiziaria
richiedente[44].
In realtà queste proposte si inseriscono in un quadro giuridico europeo che già prevede strumenti di
cooperazione giudiziaria internazionale, si pensi alla già citata Direttiva 2014/41/UE sull’Ordine europeo
di indagine penale (EIO)[45]; la Convenzione relativa all’assistenza giudiziaria in materia penale tra gli
Stati membri (Atto di Consiglio del 29.5.2000); la decisione 2002/187/GAI istitutiva di Eurojust
; il Regolamento UE 2016/794 sull’Europol; la Decisione quadro 2002/465/GAI del Consiglio relativa alle
squadre investigative comuni.
Nel corso degli anni lo scopo evidente del legislatore comunitario è stato quello di perseguire l’obiettivo di
una progressiva omologazione delle procedure di acquisizione degli elementi investigativi, funzionale alla
tutela dei diritti e delle garanzie dei soggetti a vario titolo coinvolti.
Gli ordini di produzione e conservazione, dunque, si affiancano – e non si sostituiscono – agli altri
strumenti di cooperazione esistenti[46].
L’obiettivo della Commissione Europea è chiaro: da un lato, armonizzare le regole sulla
rappresentanza legale degli ISPs all’interno dell’Unione Europea, al fine di identificare chiaramente
a chi le autorità competenti degli Stati membri possano indirizzare i propri provvedimenti di
acquisizione della prova[47]; dall’altro, la proposta di Regolamento effettua un cambio di prospettiva,
consentendo agli inquirenti nazionali di notificare direttamente gli ordini europei di produzione e di
conservazione di prove elettroniche all’ISP nei casi in cui le autorità nazionali competenti rivolgano tali
ordini a providers con sede all’estero.
Come detto, la proposta di Regolamento introduce due strumenti; l’ordine di conservazione e l’ordine di
produzione della e-evidence.
L’ordine europeo di conservazione consiste in una decisione vincolante di un’autorità di uno Stato membro
che ingiunge ad un ISP estero che opera in UE di conservare le e-evidence come preludio di una probabile
richiesta di produzione.
L’ordine europeo di produzione, invece, è una decisione vincolante emessa da un’autorità di uno Stato
membro che ingiunge ad un ISP estero che opera in UE di produrre una prova elettronica[48].
Entrambi possono essere emessi solo nell’ambito di un’indagine penale o di un procedimento penale già in
atto, nel rispetto del principio di proporzionalità; e solo per dati già esistenti; non possono essere emessi
per finalità di intercettazione.
L’ordine di produzione per i dati relativi alle operazioni degli utenti o agli accessi è possibile per
qualsiasi tipologia di reato; per i content data, invece, può essere emesso solo per reati punibili nello
Stato di emissione con una pena detentiva prevista nel massimo ad almeno a tre anni, a meno che
non si tratti di particolari fattispecie di reato previste nell’art. 5 della proposta di Regolamento[49]
. L’ordine di conservazione, di converso, può essere disposto per qualsiasi tipo di reato.
Al fine di “incentivare” la cooperazione degli ISPs, ai sensi dell’art. 13 della proposta, gli Stati membri
devono prevedere delle sanzioni pecuniarie in caso di violazione degli obblighi di esecuzione dell’ordine
[50].
Sono previste diverse condizioni tanto per l’emissione, quanto per l’esecuzione degli ordini. Non a caso la
proposta di Regolamento della Commissione Europea, negli allegati I e II, ha previsto che gli ordini
vengano trasmessi attraverso due “certificati”: un certificato di ordine europeo di produzione (European
Production Order Certificate - EPOC); ed un certificato di ordine europeo di conservazione (European
Preservation Order Certificate - EPOPC-PR).
Come detto, la proposta di Regolamento mira a consentire all’autorità nazionale di richiedere informazioni
direttamente all’ISP, senza che quest’ultimo possa apporre ragioni legale al luogo di conservazione dei
dati. In realtà, è possibile che ci sia una situazione interlocutoria; ad esempio qualora l’ordine sia
incompleto o lacunoso, l’ISP può richiedere dei chiarimenti[51].
L’ISP può riscontrare negativamente l’ordine anche qualora lo ritenga lesivo della Carta dei diritti
fondamentali dell’Unione Europea o manifestamente arbitrario; in tal caso è tenuto ad inviare il modulo di
rigetto anche all’autorità di esecuzione competente del proprio Stato membro, la quale può chiedere gli
opportuni chiarimenti sulla misura all’autorità emittente.
C’è chi ha segnalato negativamente questo cambio di paradigma effettuato dalla Commissione
Europea, in quanto si assegna agli ISPs – aziende private e non organi pubblici – il controllo
sull’eseguibilità e sulla legittimità degli ordini[52].
Gli ordini, infatti, possono essere rivolti dalle competenti autorità nazionali direttamente ai rappresentanti
legali degli ISPs, definiti dall’art. 2 della proposta di Regolamento come «la persona fisica o giuridica che
fornisce una o più delle seguenti categorie di servizi: (a) servizi di comunicazione elettronica …; (b)
servizi della società dell’informazione …, per i quali la conservazione dei dati e? una componente propria
del servizio fornito all’utente, tra cui i social network, i mercati online che agevolano le operazioni tra
utenti e altri prestatori di servizi di hosting; (c) servizi di nomi di dominio internet e di numerazione IP,
quali i prestatori di indirizzi IP, i registri di nomi di dominio, i registrar di nomi di dominio e i connessi
servizi per la privacy o proxy»[53].
Dal testo della proposta si ricava, comunque, che tutti gli ordini, qualunque sia il loro contenuto, devono
essere “necessari” e “proporzionati” (artt. 5 e 6)[54], e che possono essere emessi solo se “una misura
dello stesso tipo è disponibile per lo stesso reato in una situazione nazionale comparabile nello stato di
emissione” (art. 5)[55].
Per autorevole dottrina, la nuova impostazione che viene avanzata – che senza dubbio facilita la raccolta
delle prove – presenta elementi di criticità innanzitutto con la normativa comunitaria[56] e poi perché – in
nome di una potenziale efficienza del sistema – sacrifica i diritti dei cittadini della comunità (il diritto al
rispetto alla vita privata, artt. 8 CEDU e 7 Carta di Nizza; e la libertà di espressione dei titolari dei dati, art.
11 Carta di Nizza; nonché la libertà di iniziativa economica dei provider, art. 16 Carta di Nizza).
Infine, un ulteriore aspetto che è stato ponderato in sede di negoziato è quello del bilanciamento tra
la necessità di segretezza investigativa della richiesta di acquisizione o di conservazione dell’e-
evidence, e l’esigenza di consentire alla persona oggetto di richiesta di venire a conoscenza della
stessa, anche al fine di esercitare i diritti a propria tutela.
In tal senso, la proposta di Regolamento prevede un divieto generale dell’ISP di informare la persona i cui
dati siano richiesti, a meno che non sia la stessa autorità di emissione a chiedere di informarlo[57].

8. Il Protocollo addizionale alla Convenzione di Budapest
La Convenzione di Budapest del 23 novembre 2001 sulla criminalità informatica, ratificata da più di
sessanta Paesi, tra cui tutti gli Stati membri dell’Unione Europea (ad eccezione dell’Irlanda e della Svezia)
nonché da molti Paesi terzi tra cui gli Stati Uniti, il Canada, l’Australia, Israele, l’Argentina, il Cile e il
Giappone, è senza dubbio uno strumento importante per il rafforzamento della cooperazione giudiziaria
internazionale[58].
Essendo stata elaborata, però, in un periodo storico meno evoluto digitalmente rispetto ad oggi, col
tempo ha palesato la sua inadeguatezza in materia di acquisizione delle prove elettroniche, per via di
una dilatazione dei tempi incompatibile con la “volatilità” del dato elettronico[59].
Gli artt. 16 e 18 della Convenzione, in realtà, prevedono precisi obblighi a carico degli Stati di istituire nei
loro ordinamenti interni ingiunzioni di produzione per ottenere dati informatici da prestatori di servizi
presenti sul proprio territorio; così come, ai sensi dell’art. 32, lett. b), «Una Parte può, senza
l’autorizzazione di un’altra Parte … accedere o ricevere, attraverso un sistema informatico nel proprio
territorio, dati informatici immagazzinati situati in un altro Stato, se la Parte ottiene il consenso legale e
volontario della persona legalmente autorizzata a divulgare i dati allo Stato attraverso tale sistema
informatico»; ma nella prassi permangono le difficoltà in caso di ISP estero.
Per tali motivi il Consiglio d’Europa sta lavorando ad un Secondo Protocollo addizionale alla Convenzione
di Budapest[60] che faciliti l’accesso transfrontaliero all’e-evidence, prescindendo dal luogo di
conservazione dei dati.
I lavori si stanno svolgendo parallelamente alle proposte della Commissione Europea affrontate nel
paragrafo precedente, e gli strumenti ipotizzati sono analoghi: l’obiettivo è avere un insieme di regole
coerente con la normativa attualmente al vaglio in UE[61].
Per sommi capi, il Protocollo affronta il tema della mutua assistenza giudiziaria più efficiente in relazione
alle informazioni relative agli abbonati, degli ordini di produzione internazionali, delle squadre
investigative comuni, dell’utilizzo della lingua inglese, e delle procedure d’emergenza. Ci sono al vaglio
anche ipotesi simili alla proposta di Regolamento della Commissione Europea, come disposizioni che
consentono la cooperazione diretta con i fornitori di servizi in altre giurisdizioni per quanto riguarda le
richieste di informazioni sugli abbonati, le richieste di conservazione e le richieste d’emergenza.

9. Conclusioni e spunti critici
L’evoluzione della rete internet si lega inestricabilmente con il progresso culturale e sociale dell’umanità.
Per questo motivo, a mio avviso, sono da rigettare tutti i tentativi che imbriglino questa evoluzione.
Ma il cyberspazio, inevitabilmente, è destinato a diventare sempre di più l’ambiente e lo strumento per la
commissione o l’agevolazione dei reati; e gli organi inquirenti devono avere a disposizione i mezzi
necessari per poter contrastare i crimini transfrontalieri e internazionali mediante un celere accesso alle
prove elettroniche[62].
Gli Stati, consci di queste problematiche, stanno indirizzando i loro sforzi verso un modello di
cooperazione tra autorità inquirenti e ISPs, con possibili benefici in termini di rapidità e efficienza[63].
Come è stato autorevolmente sostenuto, sia la proposta di Regolamento che la proposta del Protocollo
addizionale alla Convenzione, però, necessitano di alcuni chiarimenti; ad esempio in merito alla
contestazione degli ordini, ai mezzi di impugnazione, e alla unificazione delle normative in materia di
giurisdizione[64].
Senza contare che ci sono forti dubbi che un tale complesso meccanismo possa sortire i suoi effetti, visto
che i providers sono soggetti privati con interessi prettamente economici, che di rado agiscono con
imparzialità[65].
Da un lato, la condotta dei providers potrebbe essere condizionata dalla comprensibile necessità di
mantenere buoni rapporti con gli Stati in cui esercitano la loro attività economica. Dall’altro potrebbe
accadere – come peraltro già è accaduto in passato – che i provider neghino il proprio supporto, proprio
alla luce della tutela dei diritti fondamentali (o che svolgano un vaglio superficiale).
Un altro aspetto delicato, che meriterebbe un approfondimento dettagliato, è l’uso sempre più
diffuso della crittografia dei dati da parte dei providers. In tal senso, il Considerando 19 della proposta
di Regolamento specifica che i dati devono essere forniti dal prestatore di servizi a prescindere dal fatto che
siano criptati o meno.
Nonostante si comprenda lo sforzo del legislatore europeo, è evidente che la crittografia costituisca un forte
ostacolo alla ricerca delle e-evidence[66].
Allo stato, ci sono provider come Messenger di Facebook, dotati di un server che decripta il messaggio
criptato pervenuto dall’utente prima di inoltrarlo al destinatario; in tali casi l’ISP ha le chiavi di
decrittazione e ben potrebbe fornirle all’autorità inquirente in uno ai dati richiesti[67].
Diverso è il caso, però, dei più famosi sistemi di messaggistica istantanea – almeno occidentali – come
WhatsApp, Telegram (nelle chat segrete) e Signal. Questi provider garantiscono agli utenti una
crittografia c.d. end-to-end; in questo modo solo il mittente ed il destinatario hanno le chiavi per
criptare e decriptare i messaggi, ed i server contengono in chiaro unicamente i dati di registrazione
ed i file di accesso, ma non i content data. In tali casi, l’ordine di produzione sarebbe completamente
inutile per l’autorità giudiziaria richiedente.
Non a caso gli organi inquirenti statali preferiscono sempre più spesso ricorrere all’uso – ove consentito –
dei captatori informatici (i c.d. trojan horse)[68], il cui impiego però, com’è noto, è parificato ad
un’intercettazione tra presenti (c.d. ambientale)[69]. L’utilizzo di trojan, d’altro canto, consente di
accedere a tutte le informazioni che transitano da e sul device, senza dover ricercare l’e-evidence altrove.

[1] Cfr. M. Daniele, La prova digitale nel processo penale, testo della relazione, con integrazioni e note,
svolta al Convegno «Nuove tendenze della giustizia penale di fronte alla criminalità informatica. Aspetti
sostanziali e processuali» (Como, 21 e 22 maggio 2010).
[2] Reati comuni che però vengono commessi con l’ausilio di sistemi informatici, come la diffamazione
online, il cyber stalking, il falso, ecc...
[3] Come le fattispecie di illecito indicate prima dalla l. 547/1993, e poi dalla l. 48/2008 (accesso abusivo,
frode informatica, ecc.).
[4] Art. 1, comma 1, lett. p), d.lgs. 7 marzo 2005 n. 82.
[5] Art. 3, par. 1, n. 35), Reg. UE 910/2014 del Parlamento Europeo e del Consiglio, del 23 luglio 2014, in
materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno e
che abroga la direttiva 1999/93/CE.
[6] Trattato sottoscritto a Budapest il 23/11/2001, molto importante anche per aver definitivamente sancito
l’immaterialità delle prove digitali.
[7] Cfr. E. Casey, Network traffic as source of evidence: tool strenghts, weakness and future needs, in
Digital investigation, 2004, 1, p. 28 -43. Sui rischi relativi al trattamento delle prove digitali, cfr. il suo
editoriale, Trust in digital evidence, Forensic Science International: Digital Investigation 31 (2019) 200898.
[8] Spesso le prove vengano fatte circolare fra server situati in Stati diversi (c.d. load balancing); sul punto
cfr. F. Siracusano, La prova informatica transnazionale: un difficile “connubio” fra innovazione e
tradizione, in Proc. pen. giust., f. 1, 2017, pag. 180 e ss.
[9] Cfr. M. Pittiruti, Digital evidence e procedimento penale, Torino, 2017, Giappichelli.
[10] A. Contaldo - F. Peluso, E-detective – L’informatica giuridica e le applicazioni della digital forensics
, PM Edizioni, 2018, capitolo VI, Strumenti e tecniche di occultamento delle prove digitali, pagg. 207-215.
[11] Materialmente è un numero composto da una serie di cifre intervallate da un punto.
[12] Non a caso la Direttiva 2000/31/CE del Parlamento europeo e del Consiglio dell’8 giugno 2000 in
tema di e-commerce, che classifica gli ISPs a seconda dei servizi offerti, recepita in Italia dal d.lgs.
70/2003, è stata oggetto di annosi dibattiti giurisprudenziali e dottrinali in ambito europeo e nazionale, che
hanno portato negli anni ad un ampliamento delle responsabilità degli ISP, a discapito del principio
dell’assenza di un obbligo generalizzato di sorveglianza sui contenuti caricati dagli utenti. Dibattito che ha
portato all’adozione della Direttiva 790/2019 del Parlamento Europeo e del Consiglio sul diritto d’autore
e sui diritti connessi nel mercato unico digitale e che modifica le direttive 96/9/CE e 2001/29/CE
, che dovrà essere recepita entro il 7 giugno 2021, ed alla proposta della Commissione Europea del Digital
Service Act, finalizzato a promuovere una regolamentazione del mercato elettronico adeguata all’attuale
evoluzione delle piattaforme digitali e ai modelli di business adottati dai principali player del web.
[13] Ai sensi dell’art. 234, comma 1, c.p.p., «È consentita l’acquisizione di scritti o di altri documenti che
rappresentano fatti, persone o cose mediante la fotografia, la cinematografia, la fonografia o qualsiasi
altro mezzo».
[14] Così come modificato dal d.lgs. 10 agosto 2018, n. 101, per l’adeguamento dal Reg. UE 679/2016, il
c.d. General Data Protection Regulation (GDPR). Per M. Daniele, cit., «Le indagini informatiche, dunque,
sono sempre potenzialmente in grado di pregiudicare la riservatezza degli individui. La loro capacità
lesiva della privacy è addirittura superiore a quella delle intercettazioni; queste ultime si limitano a
carpire le informazioni che la persona intercettata ha deciso di rivelare ad altri, mentre l’analisi dei
sistemi informatici e delle reti possono rivelare il contenuto di intere esistenze: abitudini, opinioni
politiche, preferenze di ogni genere. In ogni caso, dati riservati che nulla hanno a che fare con la
commissione dei reati, e che sono facilmente divulgabili proprio grazie alle tecnologie informatiche e ad
internet, in grado di renderle conoscibili da un numero sterminato di persone».
[15] Artt. 23 e 25 della Convenzione di Budapest.
[16] Ai sensi dall’art. 234 bis c.p.p. è sempre permessa l’acquisizione di dati conservati all’estero se
disponibili al pubblico. Tale articolo si applica anche all’ipotesi in cui i dati siano disponibili previo
consenso del titolare.
[17] L’ultima parte dell’art. 244, comma 2, c.p.p. è un richiamo alle best practices, che caratterizzano
l’attività di digital forensics, ossia le linee guida individuate dalla comunità scientifica per identificare,
preservare, acquisire, conservare, analizzare e presentare in giudizio le evidenze digitali.
[18] Ai sensi dell’art. 248, comma 2, c.p.p., poi, «Per rintracciare le cose da sottoporre a sequestro o per
accertare altre circostanze utili ai fini delle indagini, l’autorità giudiziaria o gli ufficiali di polizia
giudiziaria da questa delegati possono esaminare presso banche atti, documenti e corrispondenza nonché
dati, informazioni e programmi informatici. In caso di rifiuto, l'autorità giudiziaria procede a
perquisizione». Perquisizione di sistemi informatici e telematici consentita anche agli ufficiali di polizia
giudiziaria nei casi di flagranza ai sensi dell’art. 352, comma 1 bis, c.p.p.
[19] Corte di Giustizia UE, sent. 8 aprile 2014, Digital Rights Ireland Ltd (C?293/12 e C?594/12). Cfr. R.
Flor, La Corte di giustizia considera la direttiva europea 2006/24 sulla c.d. “data retention” contraria ai
diritti fondamentali. Una lunga storia a lieto fine?, in Diritto penale contemporaneo Rivista
trimestrale, 2014, fasc. 2, pag. 178 e ss.
[20] In realtà la Corte ha rilevato che la direttiva contribuisce alla lotta contro gravi crimini e, dunque, a
tutelare la pubblica sicurezza. Risulta pertanto incontestabile, secondo la Corte, che sussista un oggettivo
interesse generale dell’Unione. Ad essere stato violato è il principio di proporzionalità, il quale richiede,
però, che le iniziative delle istituzioni europee siano appropriate al fine di raggiungere i legittimi obiettivi.
[21] Da ultimo la sentenza del 2 marzo 2021 nella causa C-746/18. La Corte ha precisato che l’accesso
delle autorità nazionali competenti ai dati conservati dev’essere “subordinato ad un controllo preventivo
effettuato o da un giudice o da un’entità amministrativa indipendente e (…) la decisione di tale giudice o
di tale entità [deve] intervenire a seguito di una richiesta motivata delle autorità suddette”.
[22] Allo stato, come detto, in alcuni Paesi europei (tra cui la Germania e la Romania), la propria Corte
Costituzionale ha sancito l’illegittimità costituzione della normativa sulla data retention.
[23] Basti pensare a Google, Facebook, Twitter, Microsoft, Instagram e YouTube, piattaforme che, ormai,
offrono una molteplicità di servizi tali da non essere ricompresi più solo tra i “social network”. Nondimeno,
con il Progetto Gaia X, l’Europa sta cercando di dotarsi di un’infrastruttura federata per i dati. Lanciato nel
2019 con l'obiettivo di sviluppare un’infrastruttura digitale affidabile e sovrana per l’Europa, GAIA-X è un
ecosistema digitale regolato dai suoi membri.
[24] Gli U.S.A. hanno risolto il problema alla radice con il Cloud Act, secondo il quale il provider stabilito
negli Stati Uniti è tenuto a consegnare i dati richiesti dall’autorità giudiziaria statunitense,
indipendentemente dal luogo di conservazione di tali dati.
[25] Fin dalla fine della prima decade degli anni 2000 si discuteva, infatti, se esistesse un cyberspazio
in cui vi erano delle leggi preesistenti applicabili, a fronte di una tesi contrapposta che vedeva la rete
internet come un luogo non soggetto alle regole ed alle leggi vigenti nel “mondo reale”: “no server no
law” opinion, contro la “no server bit la” opinion. Cfr. F. Carani, Odissea del captatore informatico, in
Cassazione penale, 2016, n. 11, il quale a sostegno della seconda tesi cita l’esempio di normative europee
di altri settori, che assoggettano i players statunitensi al dettato europeo, in relazione alla fornitura di
servizi a cittadini europei. Ne è un esempio, oggi, il General Data Protestino Relation (GDPR) in materia
di protezione dei dati personali.
[26] Le rogatorie sono disciplinate, in particolare, dalla Convenzione del Consiglio d’Europa di assistenza
giudiziaria in materia penale del 1959, recepita dall’Italia con la l. 23 febbraio 1961, n. 215, nonché, nel
contesto dell’Unione Europea, dalla Convenzione di assistenza giudiziaria in materia penale del 2000,
recepita con il d.lgs. 5 aprile 2017, n. 52
[27] Cfr. M. Daniele, L’acquisizione delle prove digitali dai service provider: un preoccupante cambio di
paradigma nella cooperazione internazionale, Revista Brasileira de Direito Processual Penal, Porto
Alegre, vol. 5, n. 3, p. 1277-1296, set./dez. 2019; per il quale la Convenzione di Budapest era già
consapevole di questa limitazione, ed infatti prevedeva che le richieste istruttorie fossero soddisfatte
“al più presto possibile quando … vi è motivo di ritenere che i dati relativi siano particolarmente a rischio
di perdita o modificazioni”.
[28] Sul punto, cfr. la Relazione alla Proposta di Regolamento del Parlamento Europeo e del Consiglio
relativo agli ordini europei di produzione e di conservazione di prove elettroniche in materia penale,
COM(2018) 225 final 2018/0108(COD), reperibile su https://eur-lex.europa.eu/. Inoltre, almeno 2/3 dei
reati che necessiterebbero di prove digitali raccolte all’estero, non possono essere investigati o perseguiti
efficacemente.
Puoi anche leggere