Cerca
Close this search box.

Criptofonini e diritto di difesa

La Corte di cassazione afferma l’utilizzabilità in Italia, come documenti informatici, dei messaggi criptati intercorsi all’estero via chat e ricevuti con ordine di indagine europeo, senza indicare le modalità di acquisizione e decriptazione seguite in Francia, impedendo così al giudice e alla difesa di verificare il rispetto delle norme inderogabili e dei principi fondamentali del nostro ordinamento.

The Court of cassation affirms the usability in Italy, as computerized documents, of encrypted messages sent abroad via chat and received with a european investigation order, without indicating the methods of acquisition and decryption followed in France, thus preventing the judge and the defense to verify compliance with the mandatory rules and fundamental principles of our legal system.

Sommario: 1. I criptofonini.- 2. L’ordine europeo di indagine.- 3.Le ignote modalità di acquisizione e decriptazione.- 4. Il principio di reciprocità.- 5.I precedenti giurisprudenziali. -6. Conclusioni.

  1. I criptofonini.-

L’avvento  di quel micidiale strumento che è il captatore informatico ha presto comportato la nascita di dispositivi di comunicazione inattaccabili dal virus trojan. I criptofonini sono proprio quei dispositivi mobili nei quali risulta tecnicamente impossibile installare un malware, perché sono stati modificati sia nella componente software sia nella componente hardware, attraverso specifici accorgimenti tecnici, come la disattivazione delle funzioni microfono, telecamera e GPS.

L’azienda canadese Sky Global ha creato una piattaforma di messaggistica elettronica protetta da un programma di crittografia denominato Sky ECC (in quanto fondato sull’impiego della curva ellittica, che è un particolare tipo di crittografia asimmetrica – identificata dall’acronimo ECC che sta per Elliptic Curve Cryptography). La società canadese Sky forniva ai suoi clienti dispositivi telefonici nei quali erano disabilitati GPS, microfoni e fotocamere e che permettevano di inviare e ricevere messaggi crittografati, eliminati in automatico trenta secondi dopo la ricezione o 48 ore dopo l’invio in caso di dispositivo non raggiungibile. Era inoltre disponibile una funzione “panico” che, ove attivata previo inserimento di una password, consentiva la cancellazione del contenuto del dispositivo. A marzo del 2021 un’indagine su un sospetto traffico di sostanze stupefacenti tra Belgio, Francia e Paesi Bassi, è stata svolta da Europol attraverso l’intercettazione e la decrittazione dei messaggi inviati e spediti da decine di migliaia di persone che si avvalevano di Sky ECC ed i relativi risultati acquisiti nei diversi Paesi mediante ordini di indagine europei.

  • L’ordine europeo di indagine.-

 Nella sentenza annotata la Corte di cassazione afferma l’utilizzabilità in Italia, come documenti informatici, dei messaggi criptati intercorsi all’estero via chat e ricevuti con ordine di indagine europeo. È noto che, in tema di ordine europeo di indagine, come già in precedenza per le rogatorie, è principio generale che le regole di acquisizione probatoria sono quelle del Paese di esecuzione dell’atto e non quelle del Paese richiedente, ma le attività d’indagine svolte dallo Stato estero trovano un limite invalicabile nel rispetto delle norme inderogabili e dei principi fondamentali del nostro ordinamento. Spetta, ovviamente, a chi eccepisce la violazione, l’onere di dimostrarla, essendo precluso all’autorità richiedente un vaglio sulla legittimità delle modalità esecutive dell’atto, ove non sia indicata una specifica modalità nella richiesta e, a maggior ragione, allorquando l’atto d’indagine sia stato già compiuto nel corso di autonome iniziative dell’autorità straniera.

La giurisprudenza afferma costantemente il principio di diritto, secondo il quale l’atto di indagine compiuto all’estero sulla base della lex loci deve, per presunzione, considerarsi legittimo, ma si tratta di presunzione (di legittimità del mezzo istruttorio assunto all’estero) di natura soltanto relativa, dal momento che ogni elemento di prova, che dovesse essere stato acquisito in violazione di un principio fondamentale o di una norma inderogabile dell’ordinamento interno al Paese d’emissione, deve essere considerato inutilizzabile ex art. 191 c.p.p. in quanto acquisito “in violazione dei divieti stabiliti dalla legge”. Nella fattispecie concreta, pertanto, il materiale probatorio, acquisito dalla Francia in vari procedimenti penali interni, può dunque essere validamente utilizzato in Italia, a condizione che l’autorità giudiziaria francese abbia assunto le chat scambiate su Sky ECC nel rispetto dei principi fondamentali e delle norme inderogabili del sistema normativo italiano, tra i quali spicca, il principio di legalità processuale (art. 111, comma 1, Cost.), il diritto al contraddittorio per la prova (art. 111, comma 4, c.p.p.) e sulla prova (art. 111, comma 2, Cost.), il diritto di difesa (art. 24, comma 2, Cost.) e la libertà morale della persona nell’assunzione della prova (art. 188 c.p.p.). Ma, per accertare che l’acquisizione delle chat da parte dell’autorità giudiziaria francese sia stata rispettosa dei principi fondamentali e delle norme inderogabili del sistema normativo italiano è ovviamente necessario conoscere le modalità di acquisizione per confrontarle con i principi fondamentali del nostro sistema. Infatti, il confronto tra le ragioni dell’accusa e le controdeduzioni della difesa può esplicarsi appieno, in conformità all’art. 111 Cost., nella misura in cui la dialettica procedimentale investa non solo le risultanze probatorie raccolte, ma pure il relativo procedimento acquisitivo. Del resto, il diritto di difesa e il principio al contraddittorio sono funzionali ad assicurare l’osservanza dell’altro principio fondamentale di legalità probatoria, ricavabile dall’art. 191 c.p.p. Ne consegue che, se la difesa non è stata posta in condizione di assistere fisicamente all’assunzione della prova, debba quantomeno poter verificare ex post la correttezza del procedimento acquisitivo degli elementi probatori raccolti, verificandosi altrimenti una nullità per lesione del diritto di difesa. E se invece, in esito alla verifica della legittimità del procedimento acquisitivo, questo dovesse risultare contrario ai principi fondamentali e alle norme inderogabili del nostro sistema normativo, gli elementi acquisiti con l’ordine europeo d’ indagine sarebbero inutilizzabili in quanto acquisiti “in violazione dei divieti stabiliti dalla legge”.

3. Le ignote modalità di acquisizione e decriptazione.-

Nella fattispecie concreta non sono state rivelate né al giudice italiano, né alla difesa le modalità di acquisizione e decriptazione della messaggistica seguite in Francia, per cui è stato impossibile esercitare il contraddittorio e il diritto di difesa, ma verrebbe da dire che non sarebbe nemmeno possibile la giurisdizione italiana.

Secondo l’orientamento dominante della Corte di cassazione, spetta al ricorrente indicare specificamente quale atto sia viziato, da quale vizio sia colpito e la rilevanza probatoria di questo nel ragionamento giudiziale ai fini della prova di resistenza. Ma se gli atti investigativi compiuti in Francia non sono ostesi né al giudice italiano, né alla difesa, tale onere di allegazione diventa impossibile.

E’ risaputo che già Karl Popper riconosceva che un’ipotesi o una teoria ha carattere scientifico soltanto quando è suscettibile di essere smentita dai fatti dell’esperienza, cioè il carattere scientifico di una teoria è la sua falsificabilità o controllabilità, la possibilità, cioè, di sottoporre la teoria a controllo, procedendo per congetture e successive confutazioni. Ma se al giudice e alla difesa è tenuto nascosto come si è acquisita una prova all’estero, il diritto di difesa e prima ancora l’accertamento giudiziale della veridicità e della legittimità della prova stessa è impossibile. Invece, la sentenza in esame assume un atteggiamento fideistico nei confronti della prova acquisita all’estero, dimenticando che in tanto essa è ammissibile in Italia in quanto sia conforme ad un atto ammesso dal nostro ordinamento. Ma se ignoriamo quale atto è stato compiuto all’estero, come possiamo confrontarlo con l’omologo atto italiano ? Ad esempio, dalla pronuncia commentata sembrerebbe acquisita solo la trascrizione cartacea dei messaggi e non il supporto sul quale la conversazione è registrata: ciò impedisce alla difesa, ma prima ancora al giudice, di accertare il tipo di atto compiuto, la sua legittimità, la autenticità della comunicazione cioè che non sia frutto di manipolazioni o fonomontaggi. Ancora, dalla stessa sentenza non è dato sapere né quale atto di indagine è stato compiuto in Francia per acquisire le chat, né in che modo si siano reperite le chiavi di cifratura, nè con quali codici i messaggi siano stati decriptati. Tutti tali atti investigativi  sono tenuti ignoti alla difesa, e prima ancora al giudice italiano: ma la giustizia e la difesa non possono avere un atteggiamento fideistico sull’investigazione straniera, anche perché l’atto straniero è utilizzabile soltanto nel rispetto dei principi fondamentali e delle norme inderogabili del sistema normativo italiano.

La difesa, ricorrendo in cassazione, sostiene che l’unica modalità tecnicamente possibile è che la polizia francese abbia potuto decriptare la corrispondenza scambiata sulla piattaforma Sky ECC, di proprietà della società canadese Sky Global, soltanto dopo aver avuto accesso alle chiavi di cifratura dei messaggi. Ma le conversazioni avvenute via chat tra i criptofonini prodotti dalla Sky Global  e utilizzati dagli indagati erano, per dichiarazione della stessa società, impenetrabili persino per lo stesso server, che si limitava ad inviare il messaggio, senza registrarlo, ed anche il singolo criptofonino era inaccessibile, senza conoscerne la chiave d’accesso, persino alla stessa Sky Global ECC, che quindi non poteva leggere e, tanto meno, registrare i messaggi  scambiati tra i propri clienti (tra l’altro, la registrazione avrebbe richiesto un server con una memoria gigantesca). Ma non si può escludere che il server o il singolo criptofonino potesse anche registrare i messaggi: in questo caso sarebbe stato compiuto un atto misto (intercettazione di messaggi in corso e acquisizione di chat pregresse)  senza intervento e anzi all’insaputa del gestore del servizio di telecomunicazioni, atto  ibrido che non è ammesso nel nostro ordinamento.

È chiaro che l’accusa avrebbe dovuto indicare al giudice e alla difesa le modalità sia di acquisizione delle chat,sia di decriptazione dei messaggi e, secondo la ricorrente difesa, non lo ha fatto all’evidente fine di occultare l’impiego del trojan horse inoculato nei server noleggiati in Francia dalla società di telecomunicazioni canadese: sarebbe questa l’unica tecnica in grado di penetrare il sistema criptato. Infatti, secondo la ricorrente difesa, l’unica possibile modalità acquisitiva di tale messaggistica criptata sarebbe quella per cui il criptofonino, una volta riconosciuto dal server sul quale è stato inoculato il captatore informatico, abbia ricevuto dal troian una notifica push (per cui il messaggio perviene al destinatario senza che questo debba effettuare un’operazione di scaricamento) che induce a trasmettere in modo automatico le proprie chiavi di cifratura.

4.Il principio di reciprocità.-

E’ risaputo che, ai sensi dell’art 6 della direttiva n. 2014/41/UE, “L’autorità di emissione può emettere un O.I.E. solamente quando……l’atto o gli atti di indagine richiesti nell’O.I.E. avrebbero potuto essere emessi alle stesse condizioni in un caso interno analogo”, in ossequio al principio di reciprocità, al fine di evitare che le prove raccolte all’estero, in conformità all’ordinamento straniero, possano eludere i divieti di acquisizione probatoria stabiliti dalla legge processuale interna, divenendo utilizzabili ai fini decisori nel Paese  di emissione.

La disciplina interna italiana consente ex art. 266, comma 2-bis, c.p.p., l’ “inserimento di captatore informatico su dispositivo elettronico portatile” e non su apparati fissi, come il server, per cui in Italia non è ammessa una procedura come quella che sembrerebbe seguita dalla polizia giudiziaria francese di acquisizione di dati direttamente dal server mediante captatore informatico e all’insaputa del gestore del servizio. Né può addivenirsi ad un’interpretazione estensiva o analogica della disposizione interna appena menzionata giacché si tratta di disposizione eccezionale in quanto limitativa della fondamentale segretezza delle comunicazioni, presidiata non solo dall’art. 15 Cost. al supremo livello nazionale, ma anche sul piano sovranazionale (art. 17 Patto internazionale sui diritti civili e politici, art. 7 Carta dei diritti fondamentali dell’Unione europea- la c.d. Carta di Nizza- e art. 8 Conv.e.d.u.).

5.I precedenti giurisprudenziali.-

Sulla stessa identica fattispecie concreta la Corte di cassazione si è pronunciata diverse volte. Dapprima la suprema Corte ha precisato che è necessario rendere conoscibile alla difesa il carteggio afferente al procedimento a quo francese, da cui erano rifluiti i dati poi acquisiti nell’ambito di numerosi procedimenti penali interni, i dati criptati originali che sostanziavano le chat di interesse investigativo, intercorse su Sky ECC e le chiavi di cifratura ad esse abbinate (Sez. I, ud. 1° luglio 2022 (dep.15 settembre 2022), n. 34059). In un successivo arresto, ma nell’identica fattispecie criminosa, la Corte di legittimità ha ribadito gli stessi principi, osservando che “si tratta di messaggistica acquisita attraverso l’accesso ai server di Sky ECC (sistema di produzione canadese di proprietà della società Sky Global, specializzata nella fornitura di strumenti di comunicazione sicura e protetta da un sistema di codifica dei dati,…. Le chat sono state formalmente acquisite al fascicolo tramite ordine europeo di indagine. Ma, [….] rimane ferma la necessità di valutare, nell’ambito sia del procedimento principale che del procedimento incidentale de libertate, che le modalità di acquisizione di tale messaggistica non siano in contrasto con norme inderogabili e principi fondamentali del nostro ordinamento. Ciò comporta la conoscenza delle modalità di acquisizione del detto materiale […]occorre sottolineare come il principio del contraddittorio implichi che la dialettica procedimentale non si esplichi soltanto relativamente al vaglio del materiale acquisito ma si estenda alle modalità di acquisizione del predetto materiale”E ancora il supremo Collegio aggiunge che“Le modalità di acquisizione del materiale probatorio rilevano, inoltre, nell’ottica della valutazione della valenza epistemica di quest’ultimo, sotto il profilo, per quanto inerisce alla specifica problematica sub iudice, della corrispondenza della testualità di tale messaggistica al tenore letterale dei messaggi originariamente inviati e ricevuti nonché delle utenze dei mittenti e dei destinatari individuati con quelli effettivi”. La Corte di cassazione conclude che“tutto ciò comporta imprescindibilmente la possibilità di conoscere le modalità di svolgimento dell’attività investigativa svolta e il procedimento di acquisizione di tale messaggistica, onde consentire la piena esplicazione del diritto di difesa, attraverso l’instaurazione di una proficua dialettica procedimentale in ordine ad ogni profilo di ritualità, rilevanza, attendibilità e valenza dimostrativa che possa venire in rilievo, nell’ottica dell’imputazione [..].” ( Sez. IV, ud. 15.7.2022, n. 32915/2022).

6.Conclusioni.-

In definitiva, la sentenza si pone in contrasto con il precedente indirizzo giurisprudenziale in tema di garanzie da rispettare nell’esecuzione dell’ordine europeo di indagine e perciò non può essere condivisa per una serie di considerazioni.

Anzitutto, l’impossibilità per il giudice e la difesa di conoscere le modalità di acquisizione e decriptazione dei messaggi, a parte la menomazione della sfera di conoscenza del giudice, provoca una nullità del procedimento di acquisizione probatoria riguardante l’intervento e l’assistenza dell’imputato.

Inoltre, non è legittima né un’acquisizione, né una decriptazione all’estero del contenuto delle chat avvenuta con modalità sconosciute e che in Italia potrebbero non essere ammesse, come verosimilmente avvenuto in Francia, cioè mediante inoculazione del virus trojan nei server  anziché nei dispositivi elettronici portatili o con atti di tipo misto, cioè lo stesso captatore compie un’intercettazione   insieme all’acquisizione di dati telematici.

A questo primo profilo di illegittimità si  aggiunge qualche perplessità sulla lealtà della tecnica utilizzata in Francia,  se fosse vero, come la difesa ricorrente sostiene, che i server  e i criptofonini sarebbero stati penetrati con l’inganno, violando la libertà morale del gestore del servizio di telecomunicazioni e degli stessi utenti e influendo sulla loro libertà di autodeterminazione, in violazione dell’art. 188 c.p.p.,  dato che il troian sarebbe stato utilizzato per  inviare una notifica push  ai singoli criptofonini,  che per l’effetto avrebbero trasmesso in modo automatico le proprie chiavi di cifratura, decriptando così il loro occulto contenuto, contro la volontà degli utenti del servizio e dello stesso gestore.

Inoltre, non è concepibile confondere i risultati dell’attività di indagine consistente nell’acquisizione dei messaggi scambiati via chat con i documenti informatici, stante la ben nota differenza tra atti e documenti. Perciò, le chat intercorse sulla piattaforma Sky ECC, non possono essere considerate documenti perché sono le risultanze di un’attività di indagine, addirittura limitativa della segretezza delle comunicazioni, e pertanto non possono essere acquisite in Italia a norma dell’art. 234-bis c.p.p. È fuorviante l’interpretazione giurisprudenziale che considera il contenuto dei messaggi captati quale documento informatico quando si tratta invece, chiaramente, del risultato di un’investigazione penale, sia pure di diverso procedimento. Com’è noto, il legislatore distingue l’ambito dei documenti da quello degli atti, nel senso che i documenti sono formati fuori del procedimento, e devono essere acquisiti al processo per poter assumere rilevanza probatoria, mentre gli atti sono formati all’interno del procedimento stesso, come l’acquisizione di dati che sono un tipico mezzo di ricerca della prova.

Infine, la sentenza non può condividersi laddove afferma che il legittimo titolare di tali dati informatici dovrebbe considerarsi il Tribunale di Parigi, avendo questo ufficio giudiziario proceduto al sequestro dei server di proprietà della Sky Global, posizionati in territorio francese e quindi il consenso di detto Tribunale alla loro acquisizione dovrebbe ritenersi implicitamente sussistente. Non è infatti possibile considerare come legittimo titolare il Tribunale di Parigi e non l’utente  che ha generato il dato immettendolo in rete (cloud consumer) o il gestore dei dati (hosting service provider). In realtà il tribunale di Parigi sembrerebbe aver ottenuto i dati telematici sorprendendo la buona fede e contro la volontà sia degli utenti dei criptofonini, sia del gestore del servizio. L’art.8 della Carta dei diritti fondamentali U.E. stabilisce che i dati di carattere personale “devono essere trattati secondo il principio di lealtà” e la disposizione trova applicazione non solo nei confronti del gestore del servizio di telecomunicazioni ma anche di chiunque acceda ai dati, per cui risulta alquanto difficile immaginare che possa considerarsi “legittimo titolare”, abilitato a prestare il consenso all’ acquisizione, chi ne è entrato disinvoltamente in possesso violando la libertà morale della persona, che è uno dei capisaldi del diritto probatorio italiano, sanzionato con l’inutilizzabilità dall’art. 188 c.p.p. Tali dubbi e lacune non possono dimostrare il rispetto dei principi fondamentali e delle norme inderogabili del sistema normativo italiano e quindi escludono l’utilizzabilità in Italia degli atti investigativi francesi. Infatti, tali carenze incrinano la presunzione (relativa) di legittimità dell’atto francese e portano a concludere che sussiste più che un “ragionevole dubbio” sulla colpevolezza, asserita con modalità così discutibili, degli imputati; è ormai pacificamente riconosciuto che tale criterio di giudizio deve operare anche nella fase delle indagini preliminari (in tal senso, da ultimo,  Sez. I, c.c. 31.3.2023 (dep. 5.5.2023), n.191077/2023, Zuncheddu).

In conclusione, si tratta di una pronuncia davvero deludente, perché oblitera, sull’altare della bulimia investigativa, fondamentali valori costituzionali e convenzionali come il principio di legalità processuale (art. 111, comma 1, Cost.), il diritto al contraddittorio per la prova (art. 111, comma 4, c.p.p.) e sulla prova (art. 111, comma 2, Cost.), il diritto di difesa (art. 24, comma 2 Cost.) e la libertà morale della persona nell’assunzione della prova (art. 188 c.p.p.).

Tags

Condividi su:

Articoli Correlati
Lorem ipsum dolor sit amet, consectetur adipiscing elit, sed do eiusmod tempor incididunt ut labore et dolore
Lorem ipsum dolor sit amet, consectetur adipiscing elit, sed do eiusmod tempor incididunt ut labore et dolore