Cass., Sez. VI, 26 ottobre 2023, n. 44154; Cass., Sez. VI, 26 ottobre 2023, n. 44155

1. Criptofonini e prova penale: un rapporto in continua evoluzione

Troppo ingenuamente si è pensato che il fermento giurisprudenziale sui criptofonini si fosse arrestato in ragione delle granitiche posizioni dei giudici di legittimità^[1] che, nel delineare il regime di utilizzabilità della messaggistica scambiata su sistema cifrato Sky Ecc ed Encrochat, hanno chiarito che l’acquisizione dei dati decriptati e conservati all’estero non soggiace alle regole previste in materia di intercettazioni informatiche o telematiche, ex art. 266-bis c.p.p., trovando invece applicazione il dettato di cui all’art. 234-bis c.p.p.

Discostandosi (almeno apparentemente) dai precedenti indirizzi, la Corte –con due pronunce “gemelle”^[2] – precisa che la qualificazione giuridica delle investigazioni svolte all’estero sulle piattaforme criptate dipende dal tipo di atto condotto e, dunque, varia in base all’oggetto e alle modalità acquisitive dell’elemento probatorio, oscillando tra la categoria delle intercettazioni telematiche e quella dei sequestri presso gli Internet Service Providers.

Nell’occasione, i giudici si soffermano anche sulla verifica della sussistenza delle condizioni per l’emissione dell’Ordine Europeo di Indagine (OEI) al fine di acquisire prove in territorio unionale e sulla legittimazione del p.m. ad autorizzare l’acquisizione di “documenti” informatici all’estero, riscontrando un’aporia sistemica laddove per l’apprensione dei dati esterni del traffico telefonico e telematico (c.d. tabulati), il d.l. n. 132 del 2021 richiede l’intervento preventivo dell’organo giurisdizionale.

Già da questa prima ricostruzione dello stato dell’arte, emerge la complessità delle questioni che la giurisprudenza si trova ad affrontare: da una parte, si profilano criticità di natura classificatoria, determinate dalla difficoltà di individuare la categoria probatoria in cui ascrivere le attività espletate su tali sistemi e, di conseguenza, emergono dubbi circa la diagnosi di utilizzabilità processuale dei dati ottenuti a seguito di decriptazione dei dati giacenti sui server; dall’altra, si tratta di comprendere se e a quali condizioni sia legittimo il ricorso all’OEI per acquisire dati e documenti informatici raccolti all’estero, posto che non sempre l’atto di indagine richiesto nell’ordine è svolto nelle medesime forme previste dalla normativa interna.

Senza voler anticipare le riflessioni che verranno svolte nel prosieguo, conviene partire da un assunto difficilmente confutabile: i profili differenziali della tecnica investigativa in esame rispetto alle categorie probatorie “tradizionali” rendono complessa l’opera di sussunzione delle attività esperite sulle piattaforme criptate nell’alveo dei mezzi di ricerca della prova già noti al sistema. Eppure, non potendo arrendersi all’idea che le nuove indagini finiscano per rimanere improficue a causa di una normativa non sempre al passo con i tempi, il giurista –  proprio come è accaduto quando il processo penale si è trovato al cospetto del captatore informatico^[3] e dell’IMSI Catcher^[4] – deve compiere uno sforzo ermeneutico per adeguare, nel rispetto dei principi dell’ordinamento giuridico, la disciplina vigente alle nuove sfide dell’era moderna^[5].

2. Un revirement solo apparente

Prima ancora di analizzare il contenuto delle pronunce in commento, occorre soffermarsi brevemente sul caso di specie da cui le stesse traggono origine.

Pur non essendo ufficialmente noti i singoli passaggi investigativi che hanno portato all’apprensione degli elementi di prova mediante accesso ai server della società canadese (Sky Global) di Sky Ecc, è dato sapere che l’indagine si è sviluppata con l’istituzione di una squadra investigativa comune, composta dalle autorità giudiziarie e da rappresentanti delle forze di polizia di Belgio, Francia e Olanda, che ha operato con il supporto di Eurojust ed Europol.

Materialmente, l’acquisizione del contenuto della messaggistica è avvenuta per il tramite delle autorità francesi – luogo in cui il server della società di Sky Ecc è ubicato – secondo la previsione dell’art. 706-102-1 del code de procédure pénale che consente di accedere, conservare, registrare e trasmettere dati archiviati su sistemi informatici.

L’operazione non è rimasta confinata ai Paesi direttamente interessati dall’indagine: infatti, in diversi procedimenti penali nazionali è emersa la necessità di acquisire, mediante OEI, i dati comunicativi ritenuti di interesse per l’accertamento dei reati perseguiti nei singoli procedimenti. L’acquisizione di tali dati ha determinato una sequela di provvedimenti cautelari che, a cascata, hanno generato altrettante pronunce della Corte di Cassazione.

In un simile contesto, i giudici di legittimità vengono chiamati a decidere in primis sui limiti di impiego processuale dei contenuti della messaggistica scambiata per il tramite di criptofonini procacciati dalle forze di polizia di altri Stati europei e acquisiti per il tramite dell’ordine.

Per risolvere l’enigma, la Corte parte dal “dato tecnico”, individuando le singole attività di indagine condotte dall’autorità giudiziaria estera: per la prima volta, dopo il silenzio serbato nei precedenti giurisprudenziali, i giudici ammettono che, oltre a raccogliere dati “freddi” precostituiti, gli inquirenti francesi – una volta avviato il procedimento penale – hanno acquisito le chat e la messaggistica giacente sui server e appreso i flussi di comunicazione in transito avviato tra i fruitori del servizio.

A parere dei giudici, quindi, non è sempre possibile applicare il dettato di cui all’art. 234-bis c.p.p., posto che il ricorso alla norma in esame può ritenersi giustificato esclusivamente nell’ipotesi di acquisizione di dati e documenti informatici – intesi come elementi informativi “dematerializzati” – che preesistono rispetto all’avvio delle indagini. In quest’ottica, qualora l’attività investigativa si concretizzi nell’apprensione occulta del contenuto archiviato nel server nel corso dell’investigazione, la relativa acquisizione va inquadrata nella disposizione di cui all’art. 254-bis c.p.p.; qualora, poi, l’attività consista nella captazione e registrazione del messaggio cifrato nel mentre lo stesso è in transito dall’apparecchio del mittente a quello del destinatario, il mezzo di ricerca della prova più congeniale è quello dell’intercettazione telematica, ex art. 266-bis c.p.p.^[6].

Ciò significa che l’inquadramento normativo delle investigazioni sulle piattaforme criptate non può essere “standardizzato” e va inteso come “relativo”, mutando di volta in volta in base al tipo di attività per cui viene concessa l’autorizzazione a procedere.

Se così stanno le cose, allora deve rilevarsi che la posizione della Corte non sembra poi così difforme dagli arresti precedenti: a ben guardare, infatti, la giurisprudenza di legittimità non ha mai escluso tout court la possibilità di sussumere l’attività investigativa nel novero delle intercettazioni telematiche o del sequestro, ex art. 254-bis c.p.p.^[7]. Certo è che se fino a questo momento nelle diverse ordinanze impugnate non veniva fatto cenno alle altre attività – diverse ed ultronee dall’acquisizione di dati formati prima ed indipendentemente dall’avvio delle indagini sul territorio nazionale –, i giudici non avrebbero potuto intravedere nessun’altra copertura normativa se non quella fornita dall’art. 234-bis c.p.p.

Al di là delle questioni legate alla natura dell’attività acquisitiva e del relativo mezzo di ricerca della prova in cui ascrivere l’investigazione, la Corte si sofferma anche su un altro aspetto, relativo alla legittimità dell’emissione dell’OEI per raccogliere gli elementi di prova raccolti all’estero.

Intanto, posta l’esistenza del c.d. “principio di equivalenza” –  per cui tale ordine può essere emesso a condizione che l’autorità dello Stato di emissione verifichi che «l’atto o gli atti di indagine richiesti dall’OEI avrebbero potuto essere emessi alle stesse condizioni in un caso interno analogo», ex art. 6, par. 1, lett. b, Direttiva 2014/41/UE –, i giudici rilevano l’impossibilità di procedere a investigazioni transfrontaliere disattendendo le regole di ammissibilità della prova riconosciute dall’ordinamento nazionale. Di conseguenza, gli elementi probatori raccolti devono essere ritenuti inutilizzabili perché acquisiti in violazione del diritto di difesa e delle regole del contraddittorio^[8]. Non va, infatti, dimenticato che, pur non potendo pretendere un integrale adattamento della fattispecie tipica dell’atto rogato alle linee del modello processuale interno, «le prerogative difensive […] non possono essere compresse nel loro nucleo essenziale»^[9]: in questo caso, secondo i giudici, il diritto dell’imputato di conoscere e contestare il materiale probatorio utilizzato a proprio carico risulta violato nella parte in cui alla difesa non viene consentita la possibilità di verificare la piena corrispondenza tra il testo originario (ossia la stringa informatica) e il testo intelligibile introdotto come prova nel giudizio^[10].

Sempre in rapporto alla legittimità dell’OEI, la Corte si sofferma anche su una questione mai esplorata nei precedenti casi affrontati dalla giurisprudenza. Ci si riferisce alla legittimazione della procura ad emettere l’ordine durante la fase investigativa e all’assenza di una qualsivoglia forma di “intermediazione” del giudicante che, come noto, non interviene ad eccezione del caso in cui la richiesta abbia ad oggetto un’attività intercettiva.

In questo caso, secondo i giudici, si realizza un “cortocircuito” sistemico laddove per l’acquisizione dei tabulati telefonici è richiesto l’intervento del giudicante (d.l. 132/2021) nel rispetto della riserva di giurisdizione: dunque, «l’acquisizione all’estero di documenti e dati informatici inerenti a corrispondenza o ad altre forme di comunicazione [deve] essere sempre autorizzata da un giudice [perché] sarebbe davvero singolare che per l’acquisizione dei dati esterni del traffico telefonico e telematico sia necessario un preventivo provvedimento autorizzativo del giudice mentre per compiere il sequestro di dati informatici riguardanti il contenuto delle comunicazioni oggetto di quel traffico sia sufficiente un provvedimento del p.m.»^[11].

3. La natura delle investigazioni sulle piattaforme criptate

Come si è avuto di anticipare, il più complesso problema da risolvere è la tassonomia probatoria in cui ascrivere le attività di indagine esperite sulle piattaforme criptate. Convenendo con l’impostazione metodologica seguita dalla Corte, si ritiene che la qualificazione giuridica delle attività esperite sulle piattaforme criptate sia strettamente interconnessa al tipo di dati oggetto di adprehensio e al “momento” in cui questa si realizza, dovendosi distinguere a seconda che l’acquisizione abbia ad oggetto dati precostituiti all’avvio del procedimento ovvero dati che si sono formati nell’ambito di iniziative istruttorie in atto.

Intanto, occorre verificare se l’acquisizione di comunicazioni avvenga contestualmente alla trasmissione dell’informazione ovvero in un momento successivo allo scambio comunicativo.

Circoscrivendo l’analisi al caso in cui l’azione acquisitiva sia “live” – e, dunque, la captazione avvenga nel momento in cui la comunicazione transita nell’etere digitale –, la categoria probatoria con cui sembra opportuno confrontarsi è rappresentata dalle intercettazioni telematiche, regolate dall’art. 266-bis c.p.p.

Sicuramente, sotto il profilo tecnico-operativo, l’accesso ad un server per captare comunicazioni in atto può essere ricompreso nell’alveo delle intercettazioni telematiche, venendo in rilievo il carattere della contestualità della captazione di un flusso comunicativo tra sistemi collegati in Rete.

Tuttavia, pur volendo assimilare tali forme captative alle intercettazioni “classiche”, non si può negare che le prime siano caratterizzate da significative peculiarità, risultando molto più intrusive per chi vi è sottoposto e, al contempo, assai più efficaci per i loro esiti istruttori.

Si converrà che un conto è captare flussi telematici intercorrenti tra due o più sistemi oggetto di intercettazione, ben altro è accedere direttamente al server sul quale transitano tutte le comunicazioni di tutti gli utenti che utilizzano quel servizio. Di qui, si potrebbe dubitare del fatto che tali attività possano essere sussunte nella disciplina di cui all’art. 266-bis c.p.p., che, come precisato, «consente limitazioni mirate»^[12], circoscrivendo l’ambito della captazione nel pieno rispetto dei dicta costituzionali e convenzionali^[13].

Se questa è un’eccezione condivisibile, sembra possibile un’interpretazione “evolutiva” del dettato normativo, peraltro suggerita dalla giurisprudenza della Corte EDU, per cui «deve ritenersi sufficiente che il decreto autorizzativo indichi il destinatario della captazione e la tipologia di ambienti ove questa viene condotta»^[14]. E, allora, così ragionando, il server potrebbe essere considerato come un contenitore (rectius: spazio) su cui transitano flussi comunicativi da attenzionare, non dissimile dallo smartphone o dal computer. 

Si potrebbe, in altri termini, arrivare ad affermare che tale captazione rappresenti un’evoluzione dell’intercettazione telematica “tradizionale” avendo ad oggetto flussi comunicativi transitanti su un nuovo “sistema informatico”, ossia il server, posto che è proprio quello spazio a dover essere “monitorato” perché è sul nuovo ambiente virtuale che (presumibilmente) si consuma il fatto di reato.

L’approccio è parzialmente difforme nel caso in cui gli investigatori acquisiscano dati informatici “freddi” dal contenuto comunicativo^[15]. In questo caso, occorre distinguere a seconda che l’apprensione abbia ad oggetto dati precostituiti (ossia formati al di fuori del procedimento), ovvero dati giacenti sul server.

Tradizionalmente, come chiarito dalla giurisprudenza di legittimità^[16], i messaggi conservati nella memoria di un cellulare devono essere considerati documenti, ai sensi dell’art. 234 c.p.p., posto che gli stessi «non rientrano nel concetto di “corrispondenza”, in quanto quest’ultima implica un’attività di spedizione in corso o comunque avviata dal mittente mediante consegna a terzi per il recapito […]»; e nemmeno può ritenersi che si tratti degli esiti di un’attività di intercettazione «la quale postula, per sua natura, la captazione di un flusso di comunicazioni in atto. […] i dati presenti sulla memoria del telefono acquisiti ex post costituiscono mera documentazione di detti flussi»^[17].

Di conseguenza, non può dubitarsi del fatto che i messaggi decriptati rientrino nel novero dei documenti informatici dal contenuto comunicativo, trattandosi di «rappresentazioni comunicative incorporate su base materiale con metodo digitale»^[18]. Dunque, allorquando si procede ad acquisire dati informatici che preesistono rispetto al momento dell’avvio delle indagini, il relativo atto investigativo non può che soggiacere alla disciplina di cui all’art. 234-bis c.p.p. che, come noto, consente l’acquisizione di documenti e dati informatici conservati all’estero, previo consenso del legittimo titolare.

Allorquando, però, si procede ad acquisire dati informatici dal contenuto comunicativo archiviati nel server nell’ambito di un procedimento penale, la relativa attività di indagine non può che avvenire secondo le previsioni di cui all’art. 254-bis c.p.p., riguardante le ipotesi di sequestro presso fornitori di servizi informatici, telematici e di comunicazioni.

Deve, tuttavia, evidenziarsi che anche tale procedura sussuntiva non è scevra da criticità. Come noto, infatti, il decreto di sequestro deve contenere una specifica motivazione sulla finalità perseguita per l’accertamento dei fatti^[19] e deve essere finalizzato all’apprensione solo di quanto sia effettivamente utile ai fini di indagine^[20], nel pieno rispetto del principio di proporzionalità^[21]. Tuttavia, in alcune pronunce, la Corte di legittimità esclude la violazione del principio di proporzionalità laddove il sequestro dell’intero contenuto di un sistema informatico sia necessitato da specifiche esigenze probatorie che vengono in rilievo sulla base delle peculiarità del fatto di reato per il quale si procede^[22].

Di conseguenza, non sussisterebbero ragioni ostative all’acquisizione del contenuto informativo giacente sul server allorquando il decreto che dispone la misura contenga la precisa indicazione delle ragioni che giustificano l’estensione dell’apprensione, in modo tale da consentire un controllo postumo sulla proporzionalità del vincolo apposto sui dati informatici.

4. La legittimità dell’OEI

L’altro aspetto sul quale si canalizza l’attenzione dalla Corte inerisce alla legittimità dell’emissione dell’OEI quale strumento di cooperazione investigativa da impiegare per acquisire gli elementi di prova raccolti in un territorio eurounitario.

In primo luogo, occorre interrogarsi sull’opportunità  (rectius: necessità) di formulare un rinvio pregiudiziale alla Corte di Giustizia circa la possibilità di ricorrere all’OEI in situazioni analoghe a quelle prospettate nel caso di specie: sulla scia di quanto accaduto con la decisione HP del 16 dicembre 2021, C-724/19^[23], i giudici di Lussemburgo potrebbero fare chiarezza sui limiti di impiego dello strumento cooperativo per ottenere elementi di prova (nella specie documenti dal contenuto comunicativo) acquisiti all’estero seguendo regole diverse da quelle previste dall’ordinamento interno e senza l’autorizzazione dell’organo giurisdizionale. In tale ottica, qualora la Corte propendesse per l’impossibilità di ricorrere all’OEI, il materiale probatorio tradotto in Italia dovrebbe essere affetto da inutilizzabilità, determinando un effetto domino che finisce per travolgere le questioni procedurali interne.

In secondo luogo, come anche osservato dalla Corte, il ricorso all’ordine potrebbe profilare alcune criticità in rapporto al principio di legalità della prova, al quale il sistema della cooperazione transfrontaliera è informato: infatti, sia l’art. 1, § 4 della direttiva 2014/41/UE che l’art. 1, d.lgs. 108/2017 sanciscono il dovere di rispettare i principi dell’ordinamento costituzionale e della Carta dei diritti fondamentali dell’Unione Europea. Inoltre, pur rimettendo alle scelte dei singoli Stati la valutazione probatoria degli elementi investigativi raccolti all’estero^[24], nell’articolato legislativo sono previste – più o meno esplicitamente – regole di esclusione delle prove acquisite contra legem. Solo a titolo esplicativo, si pensi all’art. 6, § 1 della direttiva, trasposto nell’art. 27 del decreto in rapporto all’inutilizzabilità delle prove acquisite in violazione dei requisiti nazionali di ammissibilità, all’art. 9, § 2 della direttiva, trasfuso nell’art. 4, commi 2, 3 e 5 del decreto in rapporto alle prove acquisite violando le norme sul quomodo delle attività istruttorie, all’art. 36 del decreto in rapporto all’inutilizzabilità per l’inosservanza delle garanzie difensive.

Senza entrare nel merito dei rimedi esperibili contro le violazioni dei diritti fondamentali, dall’esegesi delle norme che tipizzano le exclusionary rules si ricava un principio generale di diritto consistente nell’impossibilità di procedere ad investigazioni transfrontaliere per l’acquisizione di elementi probatori utili alle indagini disattendendo le regole di ammissibilità delle prove operanti a livello nazionale, pena l’inutilizzabilità delle informazioni raccolte^[25].

In altre parole, allo stato attuale, spetta al solo diritto nazionale stabilire le regole relative all’ammissibilità e alla valutazione, nell’ambito di un procedimento penale instaurato nei confronti di persone sospettate di atti criminali, di informazioni e di elementi di prova che siano stati ottenuti mediante una conservazione generalizzata e indifferenziata dei dati, contraria al diritto dell’Unione (c.d. principio di autonomia procedurale).

Di qui, si potrebbe arrivare a ritenere che i risultati di indagini esperite all’estero e acquisiti in Italia per il tramite dell’OEI sarebbero inutilizzabili perché ottenuti disattendendo le regole nazionali sul diritto di difesa e sul contraddittorio nella formazione della prova che, come noto, impongono all’autorità inquirente di disvelare tutte le prove e tutto quanto sia necessario per dimostrare la regolarità delle procedure di acquisizione degli elementi di prova, soprattutto nella dimensione digitale^[26].

L’assunto non sempre del tutto convincente: intanto, se è vero che il diritto di difesa risulta frustrato dalla scelta della procura di mettere a disposizione i soli esiti dell’attività svolta all’estero e non anche il percorso di acquisizione di quei dati^[27], è altrettanto vero che l’autorità giudiziaria estera si è resa garante del rispetto delle corrette procedure acquisitive del dato informatico volte ad impedirne l’alterazione, esistendo una presunzione – invero solo relativa^[28] – di legittimità dell’atto di indagine compiuto all’estero.

Inoltre, va sottolineato che il fondamentale diritto di difesa (e con esso il principio del contraddittorio nella formazione della prova) non trova tutela assoluta, potendo ritenersi indispensabile un bilanciamento con interessi concorrenti tra i quali la sicurezza nazionale o la necessità di mantenere segreti specifici metodi e tecniche di indagine^[29].

Di conseguenza, nel caso di specie, pur se non vengono disvelati tutti gli elementi di prova sui quali si sono fondate le singole ordinanze cautelari, non si intravede una violazione del diritto di difesa e del contraddittorio, posto che le esigenze di sicurezza (inter)nazionale giustificano l’apposizione del segreto di Stato da parte dell’autorità francese e, dunque, il riserbo su alcune procedure operative da parte dell’autorità italiana.

Assai più rilevante appare la questione relativa alla possibilità di legittimare l’organo del p.m. ad autorizzare l’acquisizione di dati informatici all’estero.

Come è noto, l’art. 27 della Direttiva stabilisce che le autorità competenti a emettere l’OEI sono il p.m. e il giudice che procede nell’ambito delle rispettive attribuzioni, assegnando al primo – ad eccezione del caso in cui l’atto da acquisire all’estero abbia ad oggetto le intercettazioni – la legittimazione ad emettere l’ordine senza preventiva autorizzazione del giudicante.

Nel caso di specie, pur se l’atto investigativo non rientra sempre nel novero delle intercettazioni, si tratta di acquisire all’estero documenti e dati informatici inerenti alla corrispondenza^[30] e, dunque, di attività che determinano una compressione del diritto di cui all’art. 15 Cost., giustificabile solo nel rispetto della riserva di legge e di giurisdizione.

Di conseguenza, concordando con la posizione assunta dalla Corte, ogni attività di indagine che si spinga fino all’apprensione di dati dal contenuto comunicativo all’estero dovrebbe essere sempre autorizzata da un giudice, anche in considerazione delle scelte sistemiche effettuate dal legislatore (d.l. n. 132 del 2021) per cui l’acquisizione dei dati esterni del traffico telefonico e telematico (c.d. tabulati), richiede l’intervento preventivo dell’organo giurisdizionale.

5. Prospettive de jure condendo

Alla luce delle ricostruzioni offerte, possono trarsi alcune considerazioni che offrono nuovi spunti di riflessione all’alba di una nuova era che le investigazioni sulle piattaforme si accingono a sperimentare. Il riferimento corre alla prossima pronuncia delle Sezioni Unite – sollecitate dalla III Sezione all’indomani del deposito delle pronunce in commento – chiamate a dirimere un duplice contrasto, ossia «[S]e, in tema di mezzi di prova, la acquisizione mediante OEI di messaggi su chat di gruppo presso l’autorità giudiziaria straniera che ne ha eseguito la decrittazione costituisca o meno acquisizione di “documenti e di dati informatici” ai sensi dell’art. 234-bis c.p.p.» e  «[S]e […] tale acquisizione debba essere oggetto, ai fini della utilizzabilità dei dati in tal modo versati in atti, di preventiva o successiva verifica giurisdizionale della sua legittimità da parte dell’autorità giudiziaria nazionale».

Per come posti, i quesiti non sembrano idonei a sortire gli effetti sperati, ponendo l’accento solo su alcuni dei complessi aspetti che involgono il tema delle indagini sulle piattaforme criptate; di conseguenza, lungi dal voler pronosticare quanto accadrà nell’imminente futuro, si ha la sensazione che le risposte (a rime obbligate) della Corte potranno risolvere solo in parte le criticità evidenziate.

In rapporto al primo quesito, deve evidenziarsi che non possono esistere risposte univoche. Non è possibile cristallizzare l’acquisizione di dati comunicativi all’estero nell’alveo di un singolo mezzo di ricerca della prova, dovendo far riferimento, di volta in volta, alla species di attività compiuta, all’oggetto dell’apprensione e al momento procedurale in cui l’atto viene esperito.

Di qui, l’acquisizione di dati informatici dal contenuto comunicativo acquisiti all’estero è un’attività perennemente in bilico tra differenti istituti processuali, quali le intercettazioni di flussi telematici (art. 266-bis c.p.p.), il sequestro di dati informatici presso gli Internet Service Providers (art. 254-bis c.p.p.), ovvero una prova documentale nel caso in cui l’adprehensio abbia ad oggetto dati precostituiti (art. 234 bis c.p.p.).

Con riferimento al secondo quesito, va rilevato che – trattandosi di acquisizione all’estero di documenti e dati informatici inerenti alla corrispondenza o altra forma di comunicazione – sarebbe indispensabile prevedere un “controllo” giurisdizionale (preventivo o postumo) per garantire il pieno rispetto della riserva di giurisdizione di cui all’art. 15 Cost.

Tuttavia, una simile scelta di campo esula dalle competenze della giurisprudenza di legittimità, travalicando le sue stesse funzioni: in tale caso, infatti, si rende necessario l’intervento del legislatore nell’ottica di riportare coerenza all’interno del sistema attraverso la giurisdizionalizzazione della procedura di acquisizione dei dati e dei documenti dal contenuto comunicativo.

Di conseguenza, sarebbe maggiormente auspicabile un intervento legislativo volto ad introdurre – al pari di quanto accaduto in altri Paesi europei^[31] – un nuovo mezzo di ricerca della prova (accesso e acquisizione di big data su sistemi informatici o telematici, potrebbe chiamarsi) per regolare le attività di accesso, osservazione e acquisizione di dati e informazioni rinvenuti sui nuovi spazi virtuali: in questi casi, non sarebbe tipizzato lo strumento con cui condurre le indagini informatiche quanto piuttosto le regole cui ricorrere ogni qual volta si proceda ad attività di sorveglianza occulta e continuativa da remoto, predisponendo le garanzie fondamentali che devono essere sempre riconosciute all’indagato e ai soggetti terzi occasionalmente coinvolti, a prescindere dalla tecnica investigativa impiegata.

In altre parole, l’obiettivo potrebbe essere quello di introdurre una nuova categoria probatoria, con la quale verrebbero individuati i “casi” e i “modi” dell’ingerenza nella sfera privata degli individui, così da ritenere il sacrificio dei diritti inviolabili assolutamente rispettoso del principio di stretta legalità e del principio di proporzione.