di Stefano Aterno
La criminalità utilizza strumenti informatici in grado di cifrare i contenuti delle comunicazioni. Le forze dell’ordine cercano di affinare le tecniche investigative avvalendosi anch’esse delle nuove tecnologie, come nel caso del trojan chiamato anche captatore informatico. Elenchiamo le norme nel codice di procedura penale che legittimano o potrebbero legittimare l’utilizzo di questa tecnologia, analizzando alcune pronunce giurisprudenziali di legittimità che hanno affrontato il problema.
Prima parte (in questo numero): 1. Premessa, 2. I tecnicismi del Trojan e l’approccio non sempre corretto della Corte di Cassazione.
Seconda parte (nel prossimo numero): 3. Critiche “vecchie” e “nuove” ad alcuni orientamenti.
1. Premessa
La criminalità utilizza strumenti informatici (hardware e software) in grado di far perdere le tracce dei delitti commessi e di cifrare i contenuti delle comunicazioni. Le forze dell’ordine rincorrono da sempre con grande difficoltà, cercando di affinare le tecniche investigative avvalendosi anch’esse delle nuove tecnologie. Tutto ciò avviene orami da troppo tempo in assenza di norme giuridiche di riferimento chiare e precise: è il caso del trojan chiamato anche captatore informatico da molto tempo utilizzato ma solo recentemente oggetto di pronunce giurisprudenziali e tentativi di soluzioni normative.
L’acquisizione occulta on line da remoto del contenuto digitale di un supporto informatico collegato alla rete Internet è uno dei metodi con i quali, tra le altre cose è possibile entrare, non senza difficoltà, in ogni spazio informatico d’interesse investigativo, si pensi ad esempio all’accesso ad un account cifrato su piattaforma in Cloud computing.
Quali norme nel codice di procedura penale legittimano o potrebbero legittimare l’utilizzo di questa tecnologia? Cercheremo di rispondere a questa domanda anche alla luce di alcune pronunce giurisprudenziali di legittimità che hanno affrontato il problema.
2. I tecnicismi del Trojan e l’approccio non sempre corretto della Corte di Cassazione
La prima di queste è la sentenza della Corte di Cassazione del 2010 (Virruso) che trae origine da alcune indagini per associazione a delinquere di stampo mafioso nelle quali fu utilizzato un captatore informatico (software virus trojan) disposto con decreto di acquisizione di atti ai sensi dell’art. 234 c.p.p., emesso dal pubblico ministero.
Il decreto aveva ad oggetto l’acquisizione in copia della documentazione (informatica) memorizzata all’interno del personal computer in uso ad uno degli imputati e installato presso alcuni uffici Comunali. L’atto, pur autorizzando una mera acquisizione in copia degli atti, non presupponeva un’attività di intercettazione di comunicazioni informatiche ai sensi degli artt. 266 bis ss. c.p.p. e tale richiesta non fu portata all’attenzione del giudice per le indagini preliminari. Invero, il decreto disponeva la registrazione non solo dei files esistenti, ma anche dei dati inseriti in futuro nel personal computer, in modo da acquisirli periodicamente. Le concrete modalità esecutive del decreto, consistite nell’installazione, all’interno del sistema operativo del personal computer, di un captatore informatico erano in grado di memorizzare i files già esistenti e di registrare in tempo reale tutti i files in via di elaborazione, innescando in tal modo un monitoraggio occulto e continuativo del sistema informatico.
Il problema che la Cassazione ha affrontato fu di stabilire se l’attività captativa fosse o meno un’attività di intercettazione telematica. La Corte di Cassazione nelle motivazioni, non ha ritenuto che questa captazione fosse un’attività di intercettazione telematica ex art. 266 bis c.p.p. in quanto la registrazione non avrebbe avuto ad oggetto «un flusso di comunicazioni» che presuppone un dialogo con altri soggetti, ma «una relazione operativa tra microprocessore (?? ndr) e video del sistema elettronico» ovvero «un flusso unidirezionale di dati». Il decreto del pubblico ministero, hanno precisato i giudici di legittimità, si era limitato a disporre che, ad opera della polizia giudiziaria, fossero estrapolati sia i dati già formati e contenuti nella memoria del personal computer in uso ad uno degli imputati sia quelli che in futuro sarebbero stati memorizzati. La Corte ha anche chiarito che per flusso di comunicazioni deve intendersi la trasmissione, il trasferimento, di presenza o a distanza, di informazioni da una fonte emittente ad un ricevente, da un soggetto ad altro, ossia il dialogo delle comunicazioni in corso all’interno di un sistema o tra più sistemi informatici o telematici, non potendosi ritenere intercettazione di un flusso di comunicazioni la captazione di un’elaborazione del pensiero e la sua esternazione in scrittura su di un personal computer oppure mediante simboli grafici apposti su un supporto cartaceo, in un documento informatico realizzato mediante un sistema di videoscrittura.
…continua su EDICOLeA
Altri articoli di Stefano Aterno