Criptofonini, più snella l’acquisizione di chat di gruppo da autorità giudiziaria straniera
Per le S.U. della Cassazione, sentenza n. 23755 depositata oggi, l’Ordine europeo di indagine (O.e.i.) del Pubblico ministero non deve essere preceduto da una autorizzazione del giudice italiano
Importante e complessa decisione delle Sezioni unite (44 pagine) in materia di Ordine europeo di indagine (O.e.i.) con riguardo alla richiesta e trasmissione dei contenuti di comunicazioni attraverso i “critpofonini” (smartphone con un particolare software). Se esse sono già stata acquisite e decrittate dall’autorità giudiziaria estera in un procedimento penale pendente davanti ad essa – chiarisce la Cassazione, sentenza n. 23755 depositata oggi -, la richiesta di O.e.i. da parte del Pubblico ministero non deve essere preceduta da autorizzazione del giudice italiano. E la ragione è che una simile autorizzazione, nell’ordinamento italiano, non è richiesta per l’acquisizione del contenuto di comunicazioni telefoniche già acquisite in altro procedimento perché il vaglio giurisdizionale è comunque già avvenuto.
Di conseguenza, nel nostro sistema processuale, il pubblico ministero può acquisire da altra autorità giudiziaria dati relativi al traffico o all’ubicazione, concernenti comunicazioni effettuate da un utente di un mezzo di comunicazione elettronica, senza dover chiedere preventiva autorizzazione al giudice competente per il procedimento nel quale intende utilizzarli, e ciò in forza dei principi generali dell’ordinamento e in difetto di regole o principi di segno diverso nella materia.
La disciplina più restrittiva sulla acquisizione dei dati si applica invece alle richieste rivolte ai fornitori del servizio, ma non nei casi in cui sia un’altra autorità giudiziaria a detenerli. La loro utilizzabilità però deve comunque essere esclusa se il giudice italiano rileva una violazione dei diritti fondamentali. Tale non è però l’impossibilità della difesa di accedere all’algoritmo di criptazione utilizzato.
Il captatore informatico - Mentre con riguardo al Trojan, la sentenza n. 23756, sempre di oggi, ha affermato che: “L’emissione, da parte del pubblico ministero, di ordine europeo di indagine diretto ad ottenere i risultati di intercettazioni disposte da un ’autorità giudiziaria straniera in un procedimento penale pendente davanti ad essa, ed effettuate attraverso l’inserimento di un captatore informatico sui server di una piattaforma criptata, è ammissibile, perché attiene ad esiti investigativi ottenuti con modalità compatibili con l’ordinamento italiano, e non deve essere preceduta da autorizzazione del giudice italiano, quale condizione necessaria ex art. 6 Direttiva 2014/41/UE, perché tale autorizzazione non è richiesta nella disciplina nazionale”.
Cosa sono i criptofonini - Inoltre, l’ordinanza di rinvio (n. 47798/2023) chiarisce cosa si intende per criptofonini, e cioè: dispositivi smartphone che utilizzano un hardware standard, in genere Android, BlackBerry o IPhone, al quale è abbinato un software contenente un sistema operativo dedicato, che disabilita i servizi di localizzazione (GPS, Bluetooth, fotocamera, scheda SD e porta USB). Precisa, poi, che, per effetto dell’attivazione del software in questione, le chiamate rimangono attive solo in modalità Voice over IP (VoiP), perché non si appoggiano alla rete GSM ed impiegano applicazioni proprietarie e criptate (ad esempio: Encrochat, Sky-ECC, Anom, Nolbc), le quali utilizzano reti diverse dalla normale rete telefonica e sono crittografate ad una cifratura a più livelli. Segnala, ancora, che le comunicazioni intercorse a mezzo dei criptofonini non sono salvate su un server pubblico: i backup vengono salvati sul dispositivo criptato e su di un server dedicato messo a disposizione degli utenti dalla compagnia che fornisce il servizio. Evidenzia, quindi, che anche la S.I.M. da utilizzare per attivare il software in questione è particolare e dedicata, in quanto si connette esclusivamente alla rete di server predisposta dal fornitore del servizio.
Doglianze infondate - Sono state dunque considerate infondate le censure formulate dai ricorrenti, imputati in un procedimento per associazione a delinquere finalizzata al traffico di stupefacenti, che contestavano l’utilizzabilità dei dati informatici relativi alle comunicazioni attraverso il sistema criptato Sky-Ecc. I ricorrenti infatti deducevano la mancata acquisizione degli originali dei file e delle chiavi di decifrazione, il difetto dei presupposti per l’emissione di un O.e.i., in particolare per la mancanza di un preventivo provvedimento del giudice italiano, la violazione dei principi fondamentali, anche per il carattere generalizzato ed indifferenziato delle attività di captazione e di apprensione dei dati effettuata dall’autorità estera.
I prinipi di diritto affermati - La Suprema corte ha bocciato tutte le esposte doglianze affermando i seguenti principi di diritto:
“La trasmissione, richiesta con ordine europeo di Indagine, del contenuto di comunicazioni scambiate mediante criptofonini, già acquisite e decrittate dall’autorità giudiziaria estera in un procedimento penale pendente davanti ad essa, non rientra nell’ambito di applicazione dell’art. 234-bis cod. proc. pen., che opera al di fuori delle ipotesi di collaborazione tra autorità giudiziarie, bensì nella disciplina relativa alla circolazione delle prove tra procedimenti penali, quale desumibile dagli art. 238 e 270 cod. proc. pen. e 78 disp. att. cod. proc. pen.”.
“In materia di ordine europeo di indagine, le prove già in possesso delle autorità competenti dello Stato di esecuzione possono essere legittimamente richieste ed acquisite dal pubblico ministero italiano senza la necessità di preventiva autorizzazione da parte del giudice del procedimento nel quale si intende utilizzarle”.
“L’emissione, da parte del pubblico ministero, di ordine europeo di indagine diretto ad ottenere il contenuto di comunicazioni scambiate mediante criptofonini, già acquisite e decrittate dall’autorità giudiziaria estera in un procedimento penale pendente davanti ad essa, non deve essere preceduta da autorizzazione del giudice italiano, quale condizione necessaria a norma dell’art. 6 Direttiva 2014/41/UE, perché tale autorizzazione, nella disciplina nazionale relativa alla circolazione delle prove, non è richiesta per conseguire la disponibilità del contenuto di comunicazioni già acquisite in altro procedimento”.
“La disciplina di cui all’art. 132 d.lgs. n. 196 del 2003, relativa all’acquisizione dei dati concernenti il traffico di comunicazioni elettroniche e l’ubicazione dei dispositivi utilizzati, si applica alle richieste rivolte ai fornitori del servizio, ma non anche a quelle dirette ad altra autorità giudiziaria che già detenga tali dati, sicché, in questo caso, il pubblico ministero può legittimamente accedere agli stessi senza chiedere preventiva autorizzazione al giudice davanti al quale intende utilizzarli”.
“L ’utilizzabilità del contenuto di comunicazioni scambiate mediante criptofonini, già acquisite e decrittate dall’autorità giudiziaria estera in un procedimento penale pendente davanti ad essa, e trasmesse sulla base di ordine europeo di indagine, deve essere esclusa se il giudice italiano rileva che il loro impiego determinerebbe una violazione dei diritti fondamentali, fermo restando che l’onere di allegare e provare i fatti da cui inferire tale violazione grava sulla parte interessata”.
“L’impossibilità per la difesa di accedere all’algoritmo utilizzato nell’ambito di un sistema di comunicazioni per criptare il testo delle stesse non determina una violazione dei diritti fondamentali, dovendo escludersi, salvo specifiche allegazioni di segno contrario, il pericolo di alterazione dei dati in quanto il contenuto di ciascun messaggio è inscindibilmente abbinato alla sua chiave di cifratura, ed una chiave errata non ha alcuna possibilità di decriptarlo anche solo parzialmente”.
