CASS
Sentenza 27 settembre 2023
Sentenza 27 settembre 2023
Massime • 4
In tema di prove digitali, può essere emesso dal pubblico ministero l'ordine europeo di indagine con cui si richiede il trasferimento di dati documentali, in particolare di corrispondenza già acquisita in un procedimento penale nel paese membro di esecuzione, per il cui sequestro è sufficiente, ai sensi dell'art. 15 Cost. e secondo le disposizioni interne, il provvedimento motivato del pubblico ministero, senza necessità di intervento del giudice per le indagini preliminari. (Fattispecie relativa a messaggistica acquisita dal sistema criptato "Sky-Ecc" di cui la Corte, richiamando la sentenza Corte cost. n. 170 del 2023, ha precisato trattarsi di registrazioni di conversazioni già avvenute e, quindi, di dati "statici" assimilabili a corrispondenza, e non invece di intercettazioni, presupponenti flussi di comunicazioni in atto).
In tema di prove informatiche, l'art. 234-bis cod. proc. pen. - che, a fini di contrasto al terrorismo, ha trasposto la regola di cui all'art. 32 della Convenzione sul "cybercrime", ratificata con legge 18 marzo 2008, n. 48 - non è applicabile nel caso di prove documentali acquisite mediante ordine europeo di indagine (nella specie, messaggistica tratta dalla piattaforma criptata "Sky Ecc"), in quanto tale norma consente di acquisire documentazione digitale reperibile in rete da fonti aperte, salva la necessità di consenso del titolare del documento in caso di accesso protetto, senza il ricorso a procedure di collaborazione con lo Stato ove i documenti geograficamente si trovano.
In tema di prove digitali, l'indisponibilità della tecnologia di "hackeraggio" utilizzata per estrarre e mettere in chiaro la messaggistica criptata non determina alcuna lesione dei diritti di difesa, atteso che l'ordinamento interno non obbliga alla ostensione degli attrezzi virtuali con cui si sia ottenuta la decodifica di contenuti telematici, fatta salva la possibilità per l'imputato di allegare anomalie tecniche che facciano fondatamente dubitare della correttezza delle acquisizioni, e che depongano per l'inquinamento del risultato. (Fattispecie relativa ad intrusione nel server delle piattaforme "Sky-Ecc" ed "Encrochat", mediante programma "software" non reso noto per il segreto opposto dalle autorità francesi).
Può essere emesso dal pubblico ministero l'ordine europeo di indagine con cui venga richiesto il trasferimento di intercettazioni di conversazioni già disposte dal giudice straniero nel paese membro di esecuzione. (In motivazione la Corte ha precisato, con riguardo alla acquisizione di messaggistica criptata dalla piattaforma "Sky-Ecc", disposta dalle autorità francesi applicando le norme in tema di intercettazioni, che è in tal caso ultronea una verifica giudiziale di utilizzabilità, da parte del giudice nazionale, perché non prevista dall'art. 270 cod. proc. pen. neppure per il trasferimento di intercettazioni nei procedimenti interni).
Commentari • 5
- 1. Sky ecc, ordine europeo di indagine tra giurisprudenza nostrana e comunitariaFrancesco Agnino · https://www.giustiziainsieme.it/it/home
di Francesco Agnino Sommario: 1. Premessa: il quadro investigativo complesso dinnanzi alle Sezioni Unite - 2. Le diverse soluzioni offerte dalla Corte di cassazione - 3. Interrogativo pregiudiziale: raccolta massiva di dati o “captazione c.d. mirata” - 4. L'estensione della disciplina interna sulla circolazione delle prove fra procedimenti diversi - 5. Nessun controllo giurisdizionale anticipato nello Stato di emissione - 6. Il controllo giurisdizionale non è escluso (anche se postumo) - 7. Il controllo sulle ragioni di merito dell'emissione dell'OEI - 8. Modalità di raccolta delle prove da parte dell'autorità straniera e controllo giurisdizionale - 9. Nessuna critica? 1. Premessa: il …
Leggi di più… - 2. Sky ecc, ordine europeo di indagine tra giurisprudenza nostrana e comunitariaFrancesco Agnino · https://www.giustiziainsieme.it/it/home
di Francesco Agnino Sommario: 1. Premessa: il quadro investigativo complesso dinnanzi alle Sezioni Unite - 2. Le diverse soluzioni offerte dalla Corte di cassazione - 3. Interrogativo pregiudiziale: raccolta massiva di dati o “captazione c.d. mirata” - 4. L'estensione della disciplina interna sulla circolazione delle prove fra procedimenti diversi - 5. Nessun controllo giurisdizionale anticipato nello Stato di emissione - 6. Il controllo giurisdizionale non è escluso (anche se postumo) - 7. Il controllo sulle ragioni di merito dell'emissione dell'OEI - 8. Modalità di raccolta delle prove da parte dell'autorità straniera e controllo giurisdizionale - 9. Nessuna critica? 1. Premessa: il …
Leggi di più… - 3. Più ombre che luci nelle sentenze delle Sezioni Unite in tema di criptofoniniOttavia Murro · https://www.penaledp.it/category/articoli/ · 21 ottobre 2024
SOMMARIO: 1. Le (esplicite) domande e le (velate) risposte. – 2.Le indagini francesi e i riflessi sui procedimenti nazionali. – 3. Le decisioni delle Sezioni Unite, il reflusso della Corte di Lussemburgo e le questioni devolute alla Corte di Strasburgo. – 4. I frastagliati precedenti nazionali. – 5. Nodi sciolti e grovigli irrisolti. – 5.1. Le condizioni di ammissibilità dell'O.E.I. – 5.2. L'utilizzabilità dei dati raccolti all'estero nei procedimenti interni. – 6. La necessaria tipizzazione delle “nuove” indagini: un appello al legislatore. ABSTRACT Con le pronunce in commento, le Sezioni Unite delineano le regole per procedere all'acquisizione dei dati criptati (“freddi” o flussi in …
Leggi di più… - 4. Sky ecc, ordine europeo di indagine tra giurisprudenza nostrana e comunitariaFrancesco Agnino · https://www.giustiziainsieme.it/it/home · 10 dicembre 2024
- 5. Squadra investigativa comune rende superfluo OIE (Cass. 35396/24)https://canestrinilex.com/risorse/category/articoli · 20 gennaio 2025
Le squadre investigative comuni (SIC) sono uno strumento d'investigazione che consente alle autorità di diversi Stati di svolgere congiuntamente attività d'indagine a livello transnazionale, condividendone i risultati acquisiti. Nel quadro europeo, la possibilità di costituire squadre investigative comuni si inserisce nell'ambito della cooperazione giudiziaria e di polizia c.d. orizzontale, cioè quella tra le autorità nazionali dei Paesi membri, rappresentando una forma di assistenza di carattere operativo e non "rogatoriale", finalizzata alla repressione di fenomeni criminosi che coinvolgono l'ambito territoriale di due o più Stati. Si tratta, cioè, dell'individuazione di uno specifico …
Leggi di più…
Sul provvedimento
| Citazione : | Cass. pen., sez. VI, sentenza 27/09/2023, n. 46482 |
|---|---|
| Giurisdizione : | Corte di Cassazione |
| Numero : | 46482 |
| Data del deposito : | 27 settembre 2023 |
Testo completo
visti gli atti, il provvedimento impugnato e il ricorso;
udita la relazione svolta dalla consigliera Maria Sabina Vigna;
sentite le conclusioni del Pubblico ministero, nella persona del Sostituto Procuratore Generale, Tomaso Epidendio, che ha chiesto il rigetto del ricorso sentito l'avvocato Giuseppe Tortora che ha insistito nei motivi di ricorso. Penale Sent. Sez. 6 Num. 46482 Anno 2023 Presidente: DI STEFANO PIERLUIGI Relatore: VIGNA MARIA SABINA Data Udienza: 27/09/2023 RITENUTO IN FATTO 1.Con l'ordinanza impugnata, il Tribunale del riesame di Genova ha confermato l'ordinanza del 10 febbraio 2023 con la quale il Giudice delle indagini preliminari del Tribunale di Genova ha applicato a AN NT la misura della custodia cautelare in carcere in relazione ai reati di cessione, in concorso con il fratello RT e altri, dell'ingente quantità di 6 kg. di cocaina all'associazione ex art. 74 d.P.R. 309/90 diretta e organizzata da AB OC e OT PI (capo 7 di incolpazione provvisoria) e di avere detenuto illecitamente, in concorso con il fratello RT, l'ingente quantità di 150 kg. di cocaina (capo 10). Il compendio investigativo si fonda sul Report di Europol sull'uso di chat criptate sulla piattaforma "Sky Ecc" installata attraverso applicazioni scaricabili sugli apparati mobili. Il 9/03/2021, grazie all'intercettazione dei flussi telematici relativi ai server allocati in Francia dalla piattaforma canadese Sky Ecc - che offriva un sistema di criptatura per i messaggi - la autorità NC, belghe e olandesi, nell'ambito dell'operational task force LIMIT, portavano a compimento l'operazione ARGUS;
il monitoraggio delle chat consentiva di effettuare decine di arresti, sequestrare circa 20 tonnellate di droga, armi e milioni di euro. L'acquisizione delle comunicazioni permetteva ulteriori attività repressive in vari Stati, fra i quali l'Italia. La Procura genovese acquisiva dalla Procura di Parigi, tramite diversi 0.E.I., le chat complete e identificava diversi utenti del sistema di comunicazione riservato. Le indagini consentivano di contestare l'esistenza di una associazione dedita all'importazione dal sud America e poi alla cessione nello Stato di ingenti quantitativi di sostanza stupefacente di tipo cocaina, operante dal 2020 fino al 2021, capitanata da AB e OT, e alla quale partecipava anche il fratello dell'imputato, AN RT. La gravità indiziaria in merito alla posizione dell'indagato nella commissione dei due reati che gli sono contestati si fonda sul contenuto dei messaggi che l'accusa gli addebita di avere scambiato con i coindagati utilizzando un apparato cellullare contraddistinto su Sky Ecc. dal pin 09QC04 con il nick name GHANDI. 2. Avverso l'ordinanza ricorre per cassazione AN, a mezzo del difensore di fiducia, deducendo i seguenti motivi: 2.1. Violazione di legge e vizio di motivazione, anche nelle forme del travisamento della prova, in relazione alla inutilizzabilità delle risultanze probatorie. 2 I risultati delle captazioni venivano forniti e depositati in atti attraverso la produzione di un CD/DVD. Lo stesso non può costituire fonte di prova in quanto deve considerarsi tale unicamente la memoria del telefono criptato, ovvero la copia forense di detta memoria, conservata e riversata in atti, con tutte le garanzie della I. 48/2008 relative alla prova digitale e, quindi, anche con il codice hash. Per ogni allegato alle varie informative, vi sarebbe dovuto essere un verbale di operazioni compiute da parte delle autorità delegate a decifrare e trascrivere le chat versate in atti, per comprenderne i metodi e le strumentazioni utilizzate al fine di estrapolare i dati. Nonostante il Pubblico ministero abbia prodotto il documento Eurojust e il relativo supporto informativo, in cui si darebbe conto delle modalità con cui è stata svolta l'attività investigativa all'estero, non è mai stato chiarito se le procedure adottate dallo stato francese per l'estrapolazione ed acquisizione delle captazioni, abbiano violato i principi fondamentali del nostro ordinamento e l'inviolabile diritto di difesa. La Corte di cassazione, con la sentenza n. 32915/2022, ha ritenuto che sia sempre necessario valutare che le modalità utilizzate per l'acquisizione delle chat dai server non siano in contrasto con i principi dell'ordinamento, non vigendo alcuna presunzione di legittimità. Erra il Collegio della cautela a ritenere la natura di documenti ex art. 234 cod. proc. pen. dei messaggi scritti e dei files multimediali scambiati attraverso gli apparati cellullari (Sky Ecc.) degli indagati. La sentenza sopra richiamata esclude che la suindicata messagistica abbia la natura di documento. Nel caso in esame, non è stata garantita alcuna "catena di custodia", dal momento che i dati contenuti dei CD/DVD inviati (semplici files testuali) possono essere stati prodotti da qualsiasi editor di testo, senza garanzia alcuna. Contrariamente a quanto assunto dal tribunale, nessun dato in originale è stato allegato, ma solo supporti ottici non riscrivibili, in cui sono riportati i files trascritti, che, inseriti nel DVD, garantiscono la non alterabilità dei dati in esso riportati, e non anche che i dati siano privi di manipolazioni. Nei motivi di riesame si era eccepita l'inutilizzabilità anche delle conversazioni riferibili al PIN K3TH70 in quanto non risultava la richiesta di OIE e il relativo OIE. Il Tribunale si è limitato a sostenere che la richiesta sarebbe quella del 14 marzo 2022 che, però, non si rinviene in atti. 2.2. Violazione di legge e vizio di motivazione in relazione all'art. 274 cod. proc. pen. lett. a). Il G.i.p. non ha indicato la data di scadenza della misura in relazione alle indagini da compiere e il Tribunale del riesame è rimasto, sul punto, silente. 3 2.3. Violazione di legge processuale e vizio di motivazione in relazione all'art. 274 cod. proc. pen. Il tribunale del riesame ha usato assunti generici in relazione alla mancanza del requisito dell'attualità. CONSIDERATO IN DIRITTO 1. Il ricorso è infondato e va, pertanto, rigettato. 2. Invero, privo di pregio è il primo motivo di impugnazione sulla inutilizzabilità delle chat relative alle comunicazioni intervenute tra l'indagato e gli altri coindagati dell'odierno ricorrente, e soggetti terzi, utilizzando la rete SkyEcc. 3. Al fine di inquadrare correttamente le questioni giuridiche poste all'attenzione del Collegio, occorre effettuare alcune premesse generali sul tema della utilizzazione quale prova dei materiali captati su disposizione dell'A.g. francese mediante intromissione nelle note reti criptate SkyEcc. ed EN, strumenti risultati in uso a varie bande criminali per comunicazioni protette. Sul tema, difatti, vi è stato un rilevante dibattito in giurisprudenza, sia nazionale che internazionale. 3.1. Funzionamento dei sistemi Sky Ecc. ed EN Deve evidenziarsi come i sistemi Sky Ecc. ed EN siano piattaforme di comunicazione criptata che consentono lo scambio di comunicazioni utilizzando i così detti criptofonini, ovverosia smartphone opportunamente modificati nel software (prevalentemente con il sistema Android) con l'unico scopo di garantirne l'inviolabilità, poiché il relativo sistema operativo è caratterizzato da particolari requisiti di sicurezza che si possono riassumere nella cifratura dei dati trasmessi e di quelli memorizzati, nella possibilità per l'utilizzatore di cancellare, quasi in tempo reale e anche da remoto, l'intera memoria del telefono inserendo un cd. panic code, o nella possibilità di segnalare la presenza di sistemi di individuazione (cd. SI Catcher) o di tentativi di aggressione informatica da parte di agenti esterni. Tali sistemi di comunicazione non sono però basati sulla tecnologia Pin to Pin (cioè su un sistema crittografico dove le chiavi di cifratura sono collocate in un server), bensì sul sistema end to end che prevede la cifratura delle conversazioni mediante l'utilizzo di chiavi depositate esclusivamente sui dispositivi che 4 colloquiano, sicché, in questa modalità, neanche il gestore del servizio è in grado di conoscere le chiavi utilizzate e di conseguenza il contenuto delle comunicazioni. 3.2. Modalità di acquisizione delle chat e natura delle stesse: intercettazioni, documenti, corrispondenza 3.2.1.Si apprende dal provvedimento impugnato, che la nnessaggistica relativa ai profili di Sky Ecc. utilizzati dall'indagato e dai suoi coindagati è stata richiesta dalla Procura di Genova all'Autorità giudiziaria francese con Ordini Europei di Indagine (0.E.I.), e ricevuta contenuta in un DVD, che veniva prontamente trasmesso alla Polizia giudiziaria italiana per l'analisi dei dati in esso raccolti, già estratti dalla Polizia giudiziaria francese sotto il controllo della Autorità giudiziaria francese. Il dato probatorio nel presente procedimento risulta, quindi, ottenuto in esecuzione di Ordini Europei d'Indagine. 3.2.2. Come noto, ai sensi della Direttiva 2014/41/UE del Parlamento europeo e del Consiglio, del 3 aprile 2014, relativa all'ordine europeo di indagine penale e delle norme di attuazione di cui al D.Lgs 21 giugno 2017, n. 108, l'ordine europeo di indagine può essere emesso sia per «acquisire informazioni o prove che sono già disponibili», che per «compiere atti di indagine o di assunzione probatoria». Nel caso di interesse, l'O.E.I. ha avuto ad oggetto l'acquisizione di prove che l'Autorità francese aveva già raccolto in un proprio procedimento penale. È invece escluso, come risulta dall'ordinanza impugnata, che vi sia stata richiesta di procedere ad acquisizioni probatorie nell'interesse dell'Autorità giudiziaria italiana richiedente. Va considerato, per verificare che «l'atto o gli atti di indagine richiesti nell'O.E.I. avrebbero potuto essere emessi alle stesse condizioni in un caso interno analogo», innanzitutto il profilo della qualificazione ai fini processuali del materiale acquisito in dispositivi informatici, soprattutto quando questo riguardi la registrazione di precedenti scambi di comunicazioni, scritte o orali, e i "metadati" di tali comunicazioni. È di tutta evidenza che il materiale ottenuto e utilizzato per le finalità di accertamento dei reati per i quali procede l'Autorità giudiziaria italiana è costituito essenzialmente da "chat". I noti sistemi SkyEcc." e "EN", difatti, sono fondamentalmente finalizzati alla comunicazione e messaggistica e l'attività di hackeraggio è consistita essenzialmente nel prelevare i contenuti dei dispositivi e le relative "chiavi" di codifica di tali contenuti, necessarie per renderli intellegibili. La peculiarità della materia, essenzialmente conseguente alla portata delle innovazioni tecnologiche (a leggere le vicende per le quali si procede, basti considerare quale decisivo strumento erano per la grande criminalità organizzata transnazionale quelle piattaforme criptate e, per converso, che rilevante sfida 5 h.1( tecnica hanno vinto gli inquirenti NC) spinge a riconsiderare, anche al di là delle varie modifiche normative intervenute per attualizzare le disposizioni processuali alle questioni in gioco (da un lato la tutela dei diritti fondamentali e, dall'altro l'esigenza di tutela della collettività, sotto le varie specie della sicurezza dello Stato, sicurezza pubblica e tutela da reati, gravi e non), i rapporti tra "prove" e "mezzi di ricerca della prova" in materia di prove elettroniche latamente intese. 3.2.3. Nell'ambito di una tutela che, in primis, parte dallo sviluppo della previsione dell'art. 15 della Costituzione, si può considerare quale paradigma la disciplina delle intercettazioni di conversazioni/comunicazioni degli artt. 266 e 266-bis cod. proc. pen.: in questo caso, il "mezzo di ricerca della prova", regolamentato sulla scorta del suo carattere invasivo è ammesso: -solo per reati gravi;
- con provvedimento motivato del giudice a fronte di un già esistente corpo probatorio a sostegno dell'accusa; - con regole di necessità probatoria e proporzionalità tra tali esigenze e invasività del mezzo;
- per tempo limitato, prorogabile solo per comprovata necessità; - nel rispetto di modalità di esecuzione e dei sistemi di selezione di quanto utile per il processo e di protezione dalla indebita diffusione del materiale. In questo caso la violazione delle modalità di tale "mezzo di ricerca della prova" ha quale conseguenza espressa la ínutilizzabilità della prova raccolta, in deroga al principio generale del nostro ordinamento processuale che esclude che la violazione delle regole dei mezzi di ricerca della prova comportino l'inutilizzabilità dell'eventuale risultato positivo, secondo il noto brocardo male captum, bene retentum. 3.2.4. Ai fini della decisione, sono rilevanti i due temi: a) dell'acquisizione dei dati informatici che rappresentano documentazione di conversazioni già avvenute e b) dell'accesso a tali dati con strumenti invasivi. È evidente che, rispetto a tali temi, sarebbe adeguato strumento di tutela l'applicazione della disciplina delle intercettazioni, per i limiti di applicazione (da limitarsi a vicende gravi, secondo una ragionevole proporzionalità), la forte garanzia giurisdizionale e la portata esiziale delle violazioni della disciplina sulla prova raccolta. E di tale adeguatezza è segno proprio la scelta del legislatore francese, evidentemente modulata sulla necessità di attento utilizzo dell'utilizzo dell'hackeraggio per accedere da remoto a qualsivoglia sistema informatico acquisendo in modo occulto (e in violazione di diritti fondamentali) i contenuti, sia statici che dinamici: in quell'ordinamento, come meglio si dirà, quella stringente disciplina si applica allo stesso modo per sapere ciò che "fu detto" (fotografato, filmato etc.) e ciò che "sarà detto". L'attuale sistema processuale italiano, invece, ha una tutela limitata che, per la documentazione di comunicazioni personali conservata nei dispositivi 6 informatici, anche personali, non va oltre la "semplice" protezione imposta dall'art. 15 della Costituzione per la corrispondenza e alle correlate disposizioni del codice di rito (riserva di legge e di giurisdizione). Le questioni riguardano sostanzialmente la riservatezza del contenitore informatico dei dati riservati (che si tratti del dispositivo dell'utente finale, portatile o fisso, o che si tratti del server che glieli gestisce, per backup o conservazione su cloud) nonché le modalità "in presenza" dell'acquisizione (con sequestro dell'apparecchio contenitore) o da remoto, ovvero con la perquisizione on line e la captazione occulta dei contenuti. Secondo la nostra procedura, allo stato, in tutti questi casi trovano applicazione le regole comuni in tema di perquisizione e sequestro probatorio (con le precisazioni da farsi quando i dati integrino "corrispondenza"). Sul piano normativo, l'unica previsione espressa che riguardi l'accesso da remoto a sistemi informatici è l'art. 266 cod. proc. pen. che è stato integrato nel senso di porre limiti e garanzie quando l'intercettazione di comunicazioni tra presenti sia realizzata con un "captatore informatico su un dispositivo elettronico portatile". Secondo l'interpretazione corrente, tale previsione non ha alcun effetto limitante della perquisizione e sequestro on-line per contenuti diversi dalle intercettazioni di comunicazioni in fieri. Le norme che disciplinano la ricerca dei dati informatici (anche costituenti corrispondenza), quindi, sono: - art. 244 cod. proc. pen. (nella parte in cui fa riferimento alla ispezione informatica); art. 247, comma 1-bis, cod. proc. pen. in tema di perquisizione informatica, art. 254-bis cod. proc. pen. in tema di sequestro di dati informatici presso fornitori di servizi, art. 352, comma 1-bis, cod. proc. pen., per le medesime attività compiute di iniziativa dalla polizia giudiziaria alle date condizioni. In tutti questi casi, le regole applicabili, invero, sono sostanzialmente prescrizioni mirate all'utilizzo di protocolli di sicurezza per la non dispersione dei dati e la garanzia di conformità dei dati acquisiti. In tale ambito, invece, mancano del tutto disposizioni che siano sanzionate con nullità o inutilizzabilità: il mancato rispetto delle regole di protezione dei dati potrà essere valutato, sul piano processuale, per valutare la affidabilità della prova raccolta ma non per espungerla dal processo. In tutti questi casi, quindi, è agevole anche concludere (con riferimento a quanto in questa sede assume rilievo) che l'attività di acquisizione della documentazione nella fase delle indagini spetta al Pubblico ministero senza necessità di provvedimento del giudice. 7 3.2.5. La conferma di tale lineare interpretazione risulta dalla sentenza della Corte Costituzionale n. 170 del 2023, resa in sede di conflitto di attribuzione. Per la parte di interesse, la Corte ha esaminato il caso di una acquisizione "in presenza" di dispositivi informatici individuali con conseguente sequestro dei messaggi scambiati da un parlamentare. La Corte qualificava tale documentazione conservata negli apparecchi quale "corrispondenza", per cui riteneva che l'acquisizione fosse condizionata al provvedimento ex art. 68 Cost. della Camera di appartenenza. Tale sentenza: conferma la interpretazione per la quale è qualificabile come intercettazione, disciplinata ex art. 266 e 266-bis cod. proc. pen., solo la "comunicazione in corso nel momento della sua captazione da parte dell'extraneus", quando tale captazione avvenga all'insaputa dei soggetti che comunicano. Ne consegue che la apprensione della messaggistica pregressa non è disciplinata (come pur suggeriva una Autorità in conflitto) ai sensi degli artt. 266 e ss. cod. proc. pen. ma si tratta di un sequestro di dati. afferma che la messaggistica pregressa, memorizzata nel dispositivo, vada considerata quale corrispondenza. Con riferimento a tale secondo punto, la Corte corregge la comune interpretazione della giurisprudenza di legittimità che, ai fini procedurali, ha generalmente affermato che la "posta" conservata (informatica o cartacea) non abbia natura di corrispondenza bensì di generico documento. La sentenza afferma, invece, che anche la messaggistica conservata dopo la consegna mantiene il suo carattere di corrispondenza dovendosi ritenere permanere l'interesse alla riservatezza «almeno fino a quando, per il decorso del tempo, essa non abbia perso ogni carattere di attualità, in rapporto all'interesse alla sua riservatezza, trasformandosi in un mero documento storico». A risolvere ogni dubbio applicativo, la Corte chiarisce che è ragionevole presumere che la documentazione conservata dagli utenti, in particolare se memorizzata in dispositivi portatili ad accesso protetto, e a distanza di tempo non significativa, abbia natura di corrispondenza. Si trae, quindi, la conclusione che, quando sia in questione l'acquisizione on line di messaggistica conservata (e anche di dati esterni delle conversazioni pregresse), vanno applicate le regole dell'art. 15 Cost.: ovvero è necessario un atto motivato dell'A.G. e sono applicabili le previsioni di legge in tema di acquisizione della corrispondenza. 8 In definitiva, la natura della messaggistica non consente che la stessa possa essere acquisita dalla polizia giudiziaria, ma impone che il sequestro probatorio sia disposto dal Pubblico ministero. Sono, inoltre, applicabili le disposizioni ad hoc di cui all'art. 254 cod. proc. pen. (che, invero, non è riferibile alla situazione di sequestro presso l'utente) e dell'art. 353 cod. proc. pen., che preclude alla polizia giudiziaria la presa in visione diretta della messaggistica, anche quando ne disponga il sequestro in via di urgenza. Al di là di tale tutela, comunque non particolarmente stringente, non vi è previsione di inutilizzabilità assoluta dell'atto acquisito in violazione. La inutilizzabilità relativa (per violazione dell'art. 15 Cost.) per l'acquisizione indebita potrà essere sanata dalla successiva emissione del provvedimento dell'Autorità giudiziaria. 3.2.6.Incidentalmente, a conferma che l'accesso ai contenuti delle comunicazioni "salvate" nei dispositivi informatici non è assimilabile alle intercettazioni, può citarsi il recente Regolamento UE 2023/1543 del Parlamento europeo e del Consiglio, del 12 luglio 2023 relativo agli "ordini europei di produzione e agli ordini europei di conservazione di prove elettroniche nei procedimenti penali" applicabile dal 18 agosto 2026 che prevede che possano acquisirsi direttamente presso i fornitori di servizi di comunicazione e conservazioni di dati posti in altro Stato membro (anche) i dati "di contenuto". Tra questi, (citati espressamente negli allegati all'atto) anche il "backup dei messaggi" e il "dump della casella di posta elettronica". Anche in tale caso, non è prevista la tutela "forte" delle intercettazioni (pur essendovi limiti imposti dal Regolamento, considerato che è in discussione un ordine disposto da una A.G. di uno Stato Ue nei confronti di un soggetto fornitore di servizi operanti in altro paese membro). 3.2.7. Può, pertanto, concludersi che: - il materiale chiesto e ottenuto con O.E.I. consisteva in "documenti", aventi la più particolare qualità di "corrispondenza" per il cui sequestro, a norma delle disposizioni interne, è necessario e sufficiente il provvedimento motivato del Pubblico ministero. -Quanto alle modalità di acquisizione di tale tipo di materiale (documenti digitali conservati in smartphone o pc) non vi è alcuna disposizione sulle modalità di accesso (anche quando vi sia necessità di superare criteri informatici di protezione dell'accesso). Si impongono solo criteri tecnici per garantire la correttezza della manipolazione del materiale, il cui mancato rispetto sarà valutabile ai fini della attendibilità del risultato, ma non quale possibile ragione di nullità o inutilizzabilità. 9 -Anche la messa in chiaro della messaggistica, se "criptata", non è attività soggetta a regole specifiche, con conseguenze sulla validità, ma riguarderà la verifica di affidabilità del contenuto. 3.2.8. Va fatta un'ultima precisazione in ordine alle norme applicabili. La corrispondenza, anche informatica, salvo la più peculiare tutela per il suo contenuto, rientra nel fuoco dell'art. 234 cod. proc. pen., documento in generale. Si è fatto, invero, frequentemente riferimento in altre decisioni in tema di acquisizione mediante O.E.I. all'art. 234-bis cod. proc. pen., evidentemente in considerazione della rubrica che appare riferita espressamente e tout court ai documenti informatici. Invero, tale norma, introdotta con la nota normativa antiterrorisnno legata al fenomeno dei foreign fighters, come prevede testualmente ("è sempre consentita l'acquisizione di documenti e dati informatici conservati all'estero, anche diversi da quelli disponibili al pubblico"), fa riferimento a una data specie di documenti (quindi sempre nell'ambito dei documenti dell'art. 234 cod. proc. pen.), che intende rendere acquisibili al di fuori di qualsiasi formalità: ovvero, qualsiasi materiale disponibile in rete, con il limite che, quando si tratti di documentazione non liberamente accessibile al pubblico (per accesso protetto), il "legittimo titolare" autorizzi l'uso. È la trasposizione nell'ordinamento dell'art. 32 della convenzione sul cybercrime, ratificata con la legge n. 48 del 2008 che prevede che "una Parte può, senza l'autorizzazione di un'altra Parte: Accedere a dati informatici conservati accessibili al pubblico (open source), quale che sia la collocazione geografica di tali dati;
ovvero Accedere a, o ricevere attraverso un sistema informatico posto nel suo territorio, dati informatici conservati siti in un altro Stato, se la Parte ottiene il consenso legale e volontario della persona che ha l'autorità legale di rendergli disponibili i dati attraverso quel sistema informatico". In pratica, la Convenzione, ha introdotto la possibilità di acquisire la documentazione in rete senza ricorso al sistema delle rogatorie internazionali. A ben vedere, quindi, l'art. 234-bis cod. proc. pen. nulla aggiunge ai fini dell'accesso alla documentazione con i comuni mezzi (come il sequestro o la consegna diretta) e certamente il riferimento al "legittimo titolare" non significa che le legittime modalità di acquisizione delle prove siano condizionate dall'autorizzazione del "proprietario" del documento. Peraltro, anche a forzare una lettura della disposizione, volendo cercarvi un appiglio per un incomprensibile divieto probatorio, vale la banale considerazione che, se il documento viene regolarmente acquisito in un procedimento, il titolare del procedimento è anche titolare della disponibilità del dato. Ancor di più, poiché il documento proviene dall'indagato, l'acquisizione sarebbe sempre autorizzata dalla norma speciale dell'art. 237 cod. proc. pen. 10 \\( In definitiva, nell'ambito della valutazione se "l'atto o gli atti di indagine richiesti nell'O.E.I. avrebbero potuto essere emessi alle stesse condizioni in un caso interno analogo", la agevole conclusione è che: - gli atti in questione potevano essere emessi in Italia, nella forma del sequestro probatorio di documentazione/corrispondenza con provvedimento del Pubblico ministero. 3.3. Il trasferimento di prove tra procedimenti 3.3.1. Invero, considerando la chiara distinzione presente nella direttiva O.E.I. tra la raccolta di una nuova prova nello Stato di esecuzione e quello di trasferimento di prove già raccolte in un procedimento penale nello Stato di esecuzione, che appare chiaramente la situazione qui di interesse, è fondamentale rammentare quale sia la disciplina interna per il trasferimento di prove fra diversi procedimenti. A ben vedere, questa è la condizione specifica rilevante per il caso di specie per definire se l'OIE riguardasse "atti.., che avrebbero potuto essere messi alle stesse condizioni in un caso interno analogo". Per quanto riguarda il trasferimento di documenti/corrispondenza già acquisita nel procedimento straniero, non vi sono particolari ragioni che pongano limiti maggiori rispetto a quello della acquisizione diretta. Secondo l'ordinamento interno, salvo talune peculiari regole (che comunque non riguardano la tipologia di documentazione in oggetto) in tema di verbali di dichiarazioni, intercettazioni illegali etc., si tratta di atti che possono essere richiesti con provvedimento del solo Pubblico ministero. È il caso di considerare, comunque, anche la modalità di trasferimento di atti relativi a intercettazioni svolte in diverso procedimento. Difatti, considerato che, come si dirà, le Autorità NC hanno applicato disposizioni corrispondenti anche solo per acquisire documentazione di conversazioni già svolte, si può considerare l'esigenza di mantenere le maggiori garanzie richieste dallo Stato di esecuzione (oltre, invero, le tutele della normativa 0.E.I.). Nell'ordinamento interno, rispetto alle intercettazioni già raccolte, l'ulteriore circolazione in diversi procedimenti trova limiti nell'art. 270 cod. proc. pen. con riferimento all'ambito dei procedimenti per cui ciò è possibile, ma non richiede alcun ulteriore provvedimento autorizzatorio del giudice potendo essere trasferiti gli atti con provvedimento del pubblico ministero. Quindi, anche nella relazione tra paesi, cui si applica la disciplina 0.E.I., quando la prova sia già stata acquisita con atto del giudice nel paese di esecuzione, il semplice trasferimento della prova preesistente già nel procedimento in Italia, come da regole interne, può essere disposto su richiesta del Pubblico ministero. 11 3.4. La Direttiva 2002/58/UE e la giurisprudenza sovranazionale rilevante Proprio i risultati estremamente positivi delle indagini NC nel disvelare attività di vari gruppi di grande criminalità organizzata operanti, anche a livello transnazionale, in vari paesi europei hanno comportato un'ampia produzione giurisprudenziale internazionale e dottrinaria sui temi aperti non tanto dalla novità della tipologia di prova (riconducibile sostanzialmente alle intercettazioni di conversazioni e alla captazione di documentazione, in particolare la memorizzazione di precedenti scambi di messaggi) quanto dalla modalità di accesso a tale materiale. Si rileva, anche, come vengano posti talora sullo stesso piano questioni diverse, sostanzialmente perché il dato comune è l'uso di "prove elettroniche" così generalmente definito, con una certa difficoltà nel distinguerle (ciò, del resto, è già avvenuto in passato: si consideri l'iniziale difficoltà nel distinguere tra "tabulati telefonici", posta elettronica e comunicazione telematica dopo l'introduzione dell'art. 266-bis cod. proc. pen., alla difficoltà interpretativa, risolta solo nel 2015, a riconoscere valore ai dati sequestrati rispetto al supporto fisico in cui erano custoditi e al dibattito sul trojan horse). In riferimento al tema in questione, si è fatto frequente riferimento alle decisioni assunte dalla Corte di Giustizia dell'Unione Europea nella interpretazione degli artt. 5 e 15 della Direttiva 2002/58 relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche. Invero, si anticipa che, al di là della assoluta alterità dei dati (e della tipologia di prove) in questione, quelle decisioni, per le quali, in realtà, non vi è alcuna riferibilità alle prove acquisite con 0.E.I., in ogni caso non offrono alcun elemento contrario alla correttezza della procedura utilizzata nel presente caso. Si è, inoltre, talora fatto riferimento alla giurisprudenza CGUE per affermare che non sarebbe sufficiente un provvedimento del Pubblico ministero per disporre il sequestro di quel dato tipo di prove utilizzate nei confronti del ricorrente. A prescindere dal fatto che gli O.E.I. utilizzati per acquisire le prove "SkyEcc" riguardavano delle prove già raccolte in un procedimento francese con un esplicito provvedimento del giudice e non del Pubblico ministero, e quindi ogni dubbio di utilizzabilità è risolto in radice, va considerato come si sia in presenza di argomenti non condivisibili (a parte che non basterebbe una interpretazione per superare le norme procedurali che, in conformità con l'art. 15 della Costituzione attribuiscono al PM, in fase di indagine, il potere di sequestro di documentazione, anche se "corrispondenza"). La citata Direttiva pone, quale regola, il divieto per gli operatori dei servizi telefonici di conservare i dati (di traffico e di ubicazione) degli utenti che utilizzano 12 i loro servizi, salvo per la immediata funzione di fatturazione (art. 5). In via di eccezione, il successivo art. 15 consente che sia ordinato a tali gestori la conservazione di tali dati per un determinato arco di tempo per ragione di sicurezza pubblica e lotta alla criminalità grave. I temi delle decisioni della Corte di Giustizia, quindi, vertono su quale possa essere la estensione di tale obbligo di conservazione indiscriminata di informazioni degli utenti per costituire una banca dati utilizzabile a futura memoria (sostanzialmente, una sorveglianza di massa), e quali debbano essere le regole per prelevare e utilizzare in sede processuale le informazioni presenti in tali archivi. Si rammenta come l'interpretazione (vincolante) della CGUE abbia imposto la modifica dell'art. 132 d.lgs. 30 giugno 2003, n. 196, Codice in materia di protezione dei dati personali, prevedendo che tali dati (dei quali si continua a disporre la conservazione generalizzata e indiscriminata) possano essere acquisiti esclusivamente con provvedimento del giudice per reati gravi ed a fronte di un reato per il quale vi sia già un minimo corpo probatorio. Chiarito, quindi, che si parla di prove che, in comune, hanno solo il rientrare nella categoria delle prove elettroniche, si osserva che la sentenza 6 ottobre 2020, Q. N., C 511/18, C 512/18 e C 520/18, al punto 103, ben specifica come la disciplina in questione riguardi solo il trattamento dei dati conservati dai fornitori e non anche le intercettazioni «Per contro, quando gli Stati membri attuano direttamente misure che derogano alla riservatezza delle comunicazioni elettroniche, senza imporre obblighi di trattamento ai fornitori di detti servizi di comunicazione, la protezione dei dati delle persone interessate non ricade nell'ambito della direttiva 2002/58, bensì unicamente in quello del diritto nazionale ...». Mutatis mutandis, la direttiva non riguarda neanche la acquisizione di documentazione elettronica posta nei dispositivi personali dell'utente (o negli spazi virtuali su server in suo accesso esclusivo). Quindi (limitandosi alle più recenti e riferibili proprio all'uso processuale dei tabulati), avendo riguardo alle sentenze 20 settembre 2022, S., C-793/19 e T. D, C-749-19; 5 aprile 2022, C. G. S., C-140/20, 2 marzo 2021, P., C-746/18, 20 settembre 2022, S., C-793/19, deve rilevarsi che si tratta di decisioni che riguardano, tutte, la materia dell'accesso alle banche dati dei gestori di telefonia e non anche l'accesso diretto alle utenze con provvedimento mirato (di intercettazione e/o perquisizione da remoto). Leggendo con attenzione le decisioni della CGUE, poi, si comprende perché in quel caso si impone l'intervento del giudice e non del PM (il che è ben stato chiaro al legislatore che ha modificato l'art. 132 I. cit. e non anche gli artt. 247 e 254-bis cod. proc. pen.). 13 Per tutte, si segnala la sentenza 2 marzo 2021, P., C-746/18: ai punti 48, 50 e 51 si chiarisce come sia necessaria una specifica disciplina per l'accesso ai dati conservati ai sensi dell'art. 15 della Direttiva (quindi ai dati di utilizzatori dei servizi telefonici conservati "indiscriminatamente") e per fornire "garanzie sufficienti che consentano di proteggere efficacemente tali dati contro i rischi di abusi", che vi siano "criteri oggettivi per definire le circostanze e le condizioni in presenza delle quali deve essere concesso alle autorità nazionali competenti l'accesso ai dati in questione" e che "è essenziale che l'accesso delle autorità nazionali competenti ai dati conservati sia subordinato ad un controllo preventivo effettuato o da un giudice". Si spiega, poi, ai punti 52 e 54, che il controllo sull'accesso debba spettare al giudice, in quanto ha posizione di neutralità nei confronti delle parti del procedimento penale mentre il Pubblico ministero, in ragione del suo interesse nell'utilizzo di quelle prove "non è in grado di effettuare il controllo preventivo". A parte l'ambito specifico di intervento della CGUE, tali argomenti non riguardano, neanche in via logica, il caso di accesso a materiale direttamente ed immediatamente collegato al reato per il quale il nostro ordinamento interno prevede il potere del Pubblico ministero. Quindi, non solo le decisioni in questione non innovano certamente il nostro ordinamento (necessaria premessa per affermare che la documentazione conservata in dispositivi informatici debba essere sottoposta a sequestro probatorio esclusivamente con ordine del giudice), ma neanche fanno dubitare della costituzionalità delle norme vigenti, per contrasto con la normativa dell'Unione, non risolvibile in via interpretativa. La materia dell'acquisizione dei "tabulati" è trattata espressamente nell'art. 45 del D.Lgs. n. 108 del 2017: "Il pubblico ministero o il giudice che procede possono trasmettere all'autorità di esecuzione ordine di indagine al fine di ottenere i dati esterni relativi al traffico telefonico o telematico nonché l'acquisizione di ogni altra informazione utile in possesso degli operatori di telecomunicazioni." Tale norma (da ritenersi implicitamente abrogata con la modifica dell'art. 132 I. cit. per la parte che riguarda la competenza del Pubblico ministero) non è stata posta alla base degli O.E.I. in questione. Si aggiunge, a superare ogni residuo dubbio, che, proprio le regole interne e la giurisprudenza della Corte di giustizia (in particolare, sentenza 7 settembre 2023, A.G. - C-162/22, che tratta la materia della utilizzazione della documentazione acquisita dal giudice presso gli operatori di telecomunicazioni in processi diversi da quello originario e sentenza 16 dicembre 2021, H.P., C-724/19, in tema di O.E.I. emesso da un PM per l'acquisizione in altro Paese di dati dagli operatori di telecomunicazione) sono nel senso che, una volta che la prova è stata acquisita, la sua ulteriore circolazione, con trasferimento ad altro procedimento, 14 non richiede una nuova autorizzazione del giudice, ma solo che sia rispettato il limite della utilizzabilità per sicurezza pubblica e repressione di gravi reati. Da ultimo, risulta che la Corte di Giustizia U.E. è stata investita di un rinvio pregiudiziale per il quale, alla data dell'odierna camera di consiglio, non risulta essere intervenuta la decisione. Invero, nel panorama di una giurisprudenza di vari paesi europei che ha confermato la piena utilizzabilità delle prove prelevate dai dispositivi che utilizzavano i sistemi SkyEcc ed EN, si tratta di un caso nel quale il Tribunale di Berlino, in aperto contrasto interpretativo con le Corti superiori della RFT ha posto alla CGUE numerosi quesiti che riguardano anche temi identici o analoghi a quelli qui risolti. Va anche considerata una recente decisione della Corte Europea dei Diritti dell'Uomo, 26 settembre 2023, Yiiksel Yalcinkaya v. Teirkiye, (15669/20) che, investendo genericamente il tema dell'accesso della difesa ai dati acquisiti dai server di gestori di servizi di comunicazione, potrebbe sembrare incrociare i temi qui in discussione. Una estrema sintesi del caso dimostra che la sentenza riguarda situazioni del tutto diverse e individua violazioni non rilevanti in questa sede: - il ricorrente, come altri cittadini turchi, era stato arrestato e condannato per far parte di una organizzazione terroristica, responsabile di un tentativo di colpo di Stato, per il mero fatto di aver utilizzato la applicazione di nnessaggistica ByLock, disponibile sui comuni app store ma, secondo l'accusa, a iscrizione controllata. Tale utilizzazione era stata ritenuta prova univoca della affiliazione, tanto che gli altri elementi a carico del ricorrente consistevano semplicemente in riscontri di vario genere. -Le informazioni sulla iscrizione al servizio di messaggistica erano state acquisite dai servizi di intelligence turca al di fuori di ogni controllo preventivo e/o successivo dell'Autorità giudiziaria, accedendo con modalità ignote al server del sistema, posto in Lituania, e conservando poi i dati acquisiti al di fuori di ogni controllo giurisdizionale. -Il ricorrente era stato arrestato e condannato in primo grado sulla sola scorta di un report redatto dall'organo di intelligence in cui era indicato il suo uso dell'applicativo e il numero IMEI del dispositivo telefonico utilizzato. -Solo nelle fasi successive del processo erano stati allegati i dati prelevati dal server e utilizzati per la sua identificazione ma, a fronte delle contestazioni tecniche sulla non corrispondenza dei dati, non vi era stata alcuna valutazione da parte dei giudici di grado superiore, non avendo dato risposta alle sue doglianze. Chiaro, quindi, che non vi è alcuna riferibilità al caso in esame, nel quale, innanzitutto, vi è stato effettivo sequestro e messa a disposizione della difesa del materiale documentale presente negli apparecchi, costituendo questo la prova di 15 concreti traffici criminali, non trattandosi semplicemente di condanna per il solo fatto di utilizzazione del sistema di messaggistica. Inoltre, il materiale rilevante è sempre stato messo a disposizione ed è stata consentita l'attività difensiva che è stata ampiamente valutata. 3.5. Verifica del rispetto dei diritti fondamentali e segreto di Stato 3,5.1. In materia di 0.E.I è pacifico che l'Autorità nazionale non possa mettere in discussione la legittimità degli atti dell'Autorità giudiziaria del Paese richiesto, sia quando sì tratti della raccolta di una "nuova" prova, sia quando si voglia ottenere il trasferimento di una prova già raccolta in un procedimento penale dello Stato di esecuzione. Il fondamento dì tale preclusione è chiarito al paragrafo. 19 del "Considerando" della Direttiva 2014/41/UE ed è collegato alla essenza stessa della Unione: «La creazione di uno spazio di libertà, di sicurezza e di giustizia nell'Unione si fonda sulla fiducia reciproca e su una presunzione di conformità, da parte di tutti gli Stati membri, al diritto dell'Unione e, in particolare, ai diritti fondamentali». Lo stesso "Considerando", però, chiarisce che «Tuttavia, tale presunzione è relativa. Di conseguenza, se sussistono seri motivi per ritenere che l'esecuzione di un atto di indagine richiesto in un comporti la violazione di un diritto fondamentale e che lo Stato di esecuzione venga meno ai i suoi obblighi in materia di protezione dei diritti fondamentali riconosciuti nella Carta, l'esecuzione dell'O.E.I dovrebbe essere rifiutata». 3.5.2.Con riferimento alla circolazione delle prove raccolte con l'accesso alle piattaforme dì messaggistica SkyEcc ed EN, ritenute finalizzate al supporto alla criminalità organizzata, nel dibattito giurisprudenziale e dottrinario, anche internazionale, risultano prospettati dubbi (risolti pressoché sempre nel senso della loro inconsistenza e non della loro serietà) sulla violazione di diritti fondamentali della difesa;
si tratta, però, di dubbi legati alla peculiarità tecnica e alla suggestione di una presunta non ostensibilità di informazioni necessarie per la difesa in ragione di un preteso segreto militare, addirittura additato quale limite alla difesa. Risulta, quindi, necessario valutare la normativa francese rilevante. Gli articoli del codice di procedura da 706-95 a 706-95-3 e da 706-102-1 a 706-102-5 disciplinano l'accesso da remoto alle corrispondenze memorizzate in dispositivi informativi e la captazione di dati informatici. In particolare, gli artt. 706/95/1 e 706/102/1 prevedono che, in caso di necessità a fine di indagine, con provvedimento motivato del giudice possa disporsi l'accesso occulto a sistemi informatici, con captazione e registrazione dei relativi dati. Per le relative operazioni tecniche l'Autorità giudiziaria «può anche 16 prescrivere il ricorso ai mezzi dello Stato soggetto al segreto della difesa nazionale secondo le forme previste al ...». Ne deriva, allora, che la normativa francese applica, per l'acquisizione della messaggistica già trasmessa e conservata nei dispositivi personali, regole sostanzialmente corrispondenti a quelle italiane sulle intercettazioni (ovvero provvedimento motivato del giudice, per reati ben individuati e gravi, secondo criteri di necessità proporzionalità e per tempo limitato etc). Quindi, con gli O.E.I. in questione, le Autorità inquirenti italiane hanno chiesto e ottenuto copie di prove raccolte in un procedimento francese con provvedimento del giudice e sotto il suo diretto controllo. In tale modo, sono state offerte le necessarie garanzie con riferimento a quanto richiesto dall'ordinamento interno per la acquisizione di corrispondenza anche mediante l'accesso da remoto. La nostra normativa interna, poi, non prevedendo una regola di inutilizzabilità per il caso di acquisizione irregolare della documentazione (l'unica previsione è nell'art. 254 cod. proc. pen. ma riguarda la inutilizzabilità della sola corrispondenza acquisita irregolarmente presso il gestore del servizio postale), rende tendenzialmente irrilevante il tema del "segreto" rispetto all'acquisizione di tale stessa documentazione;
sul punto va considerato che non vi è alcun limite alla conoscenza del materiale probatorio. Anche sulla scorta del dibattito, giunto alla Corte costituzionale francese, decisione n. 987 dell'8 aprile 2022, sulla utilizzazione di metodiche coperte da segreto militare, come risulta palesemente anche dalla normativa citata, va chiarito quale sia il reale oggetto del "segreto"; sembra, invero, che, in presenza di materiale intercettato consistente in messaggi "criptati", si faccia confusione tra modalità di accesso ai sistemi informatici protetti e decriptaggio e sequestro di dati/documenti: - L'attività di intrusione nei sistemi informatici, l'hackeraggio che ha consentito agli inquirenti NC di operare dall'interno del server delle piattaforme SkyEcc ed EN e, poi, inserire il captatore informatico, è stata operata con il supporto di tecnologia soggetta a segreto militare francese. -Una volta che gli operanti si sono introdotti nei sistemi informatico, sono stati prelevati i documenti (la messaggistica) di interesse nonché gli altri dati utili all'indagine. Il supporto tecnico, coperto da segreto, ha riguardato la capacità di mettere in chiaro messaggi, immagini, metadati relativi ai singoli utenti dei sistemi. Quindi, ciò che è "segreto" è la tecnica di hackeraggio. Al contrario, è stato reso disponibile il materiale prelevato. È allora certo che il livello di garanzie non è inferiore a quello garantito dalla legge italiana;
a parte, come già detto, che l'ordinamento interno prevede per il 17 sequestro della messaggistica la generica tutela dell'art. 15 della Costituzione, anche facendo riferimento alle più stringenti disposizioni sulle intercettazioni, si rileva che il diritto di difesa è garantito in modo quantomeno non inferiore. In particolare: -La difesa secondo l'ordinamento nazionale può ottenere solo conoscenza del verbale delle operazioni di cui all'art. 268 cod. proc. pen. e delle registrazioni, ma non anche dei mezzi tecnici, hardware e software, utilizzati per la intrusione nelle conversazioni intercettate, o per decodificare il contenuto. -L'art. 89 disp. att. cod. proc. pen., innovato con riferimento ai captatori informatici, prevede che venga indicato il tipo di programma di intrusione utilizzato e vengano utilizzati solo quelli conformi ai requisiti tecnici stabiliti al Ministero della giustizia. Non è, invece, in alcun modo previsto che sia reso disponibile il contenuto del programma utilizzato, di norma di proprietà di soggetti privati. In pratica, nella data materia nell'ordinamento interno la conoscibilità delle eventuali tecniche di hackeraggio è preclusa dal segreto "industriale" del proprietario del software di intrusione. Si richiamano, poi, le precedenti decisioni con le quali la Corte ha già affermato che la decriptazione delle conversazioni e delle comunicazioni (e, per converso, dei documenti digitali con codifica di sicurezza) è attività distinta dalla captazione, in quanto tali dati costituiscono rappresentazioni comunicative incorporate in una base materiale con un metodo digitale, ovvero dati informatici che hanno consentito l'intelligibilità del contenuto di stringhe secondo il sistema binario (Sez.6, n. 18907 del 20/04/2021, Civale, Rv. 281819) escludendosi, quindi, che l'interessato, al quale sia reso disponibile il contenuto in forma intellegibile dei documenti, abbia un diritto al controllo diretto mediante l'utilizzo esclusivo, e non mediato, del programma e/o algoritmo di decriptazione (Sez.6, n. 14395 del 27/11/2018 dep. 2019, Testa, rv. 275534) essendo comunque garantita una sua efficace difesa. Resta ovviamente salva la possibilità, sulla base di ragioni specifiche, che se del caso l'A.G. dovrà doverosamente valutare procedendo ad eventuali accertamenti, di indicare anomalie tecniche in grado di fare dubitare della correttezza delle acquisizioni e dell'inquinamento del risultato. Allo stato, con riferimento al materiale di indagine francese in oggetto, non risulta segnalata alcuna anomalia significativa. In definitiva, quindi, il tema della segretezza delle modalità tecniche di intercettazione e della decodifica di password, chiavi di decriptaggio etc. non è rilevante, corrispondendo all'analoga previsione interna che non obbliga ad alcuna ostensione degli "attrezzi virtuali". 18 Non risulta, invece, essere stato posto alcun limite all'accesso al materiale sequestrato/intercettato. Nulla, in conclusione, pone in dubbio che le prove richieste siano state acquisite in Francia con procedimento garantito, su disposizione di un giudice e nel pieno rispetto dei diritti fondamentali, con uno standard, comunque, di tutela dei diritti della difesa non inferiore a quello italiano, che si tratti di sequestro di documentazione/corrispondenza o di intercettazioni ex art. 266 e 266 bis cod. proc. pen. 4. I motivi del ricorso Ciò di cui si è dato sin qui conto consente di valutare le deduzioni difensive e impone di ritenerne l'infondatezza. Deve in primo luogo escludersi che l'attività di acquisizione e di decifrazione di tali dati comunicativi rientri nel novero delle attività d'intercettazione, poiché queste ultime, come si è detto, postulano la captazione di un flusso di comunicazioni in atto, di tal che non è applicabile la relativa disciplina processuale contenuta negli artt. 266 e ss. del codice di rito, la cui estensione alle intercettazioni dei flussi di comunicazioni relativi a sistemi telematici ovvero intercorrenti tra più sistemi telematici è prescritta dall'art. 266- bis cod. proc. pen. E di ciò dà atto la stessa ordinanza impugnata, che, a p. 5, evidenzia come nel caso in esame si sia in presenza di un'attività di acquisizione ex post di dati risultanti da precedenti, già avvenute e terminate comunicazioni via chat, dati ai quali va riconosciuta, secondo quanto sopra indicato, la natura di corrispondenza. Nella pagina successiva l'ordinanza di riesame rileva che: - dalla documentazione versata in atti risulta che la polizia giudiziaria francese in esecuzione di ordini provenienti dalla corrispondente autorità giudiziaria procedeva all'estrazione delle informazioni richieste riguardanti la messaggistica Sky Ecc relativa agli ID richiesti;
- gli esiti di tale estrazione, effettuata sotto il controllo della Autorità giudiziaria francese, e non di iniziativa della Polizia francese, venivano poi trasmessi alla Procura di Roma richiedente, che, attraverso la Polizia giudiziaria, procedeva all'analisi dei files inviati;
- i dati acquisiti sono poi confluiti, così come trasmessi dall'Autorità giudiziaria francese, nel procedimento penale in esame. La difesa, pur non sostenendo la applicabilità della normativa sulle intercettazioni, lamenta che, difettando ogni indicazione circa le modalità di acquisizione delle stesse ad opera della Polizia giudiziaria francese, non sarebbe possibile scrutinare il percorso di acquisizione di quei dati e verificarne la legittimità. 19 La censura trascura di considerare come l'acquisizione delle chat da parte della Autorità giudiziaria italiana sia avvenuta, del tutto legittimamente, con Ordine Europeo d'Indagine avente a oggetto una prova acquisibile nello Stato di emissione ed eseguito in conformità a quanto previsto nello Stato di esecuzione per il compimento di un analogo atto di acquisizione probatoria (ovvero il trasferimento di prove tra procedimenti), dovendosi certamente presumere il rispetto di tale disciplina e dei diritti fondamentali, salvo concreta verifica di segno contrario. Si richiama, per il resto, quanto osservato, a questo proposito, nel paragrafo 3.2. del «Considerato in diritto». 5. Si evidenzia, in conclusione, che le attività investigative in questione, relative alle piattaforme criptate, sono state ritenute correttamente svolte sia dalla Corte di cassazione (sentenza del 2 aprile 2022), che dalla Corte costituzionale NC (decisione citata). Si può e si deve pertanto ritenere, in assenza di specifiche deduzioni di segno diverso, che l'Autorità giudiziaria francese si sia resa garante del rispetto delle procedure dello Stato di esecuzione, nonché della trasmissione dei dati all'autorità italiana richiedente e che la procedura utilizzata dalla Francia per l'acquisizione delle chat abbia offerto le stesse garanzie che sarebbero state offerte in Italia. La situazione delineata dalla difesa non corrisponde a quella esaminata in altra recente pronuncia della Corte di cassazione (Sez. 4, n. 32915 del 15/07/2022, Lori, non mass.). In quell'occasione la difesa aveva lamentato la mancata messa a disposizione da parte del Pubblico ministero della «documentazione (comprensiva dei file) consegnata da Europol nel mese di marzo 2021, a seguito dell'accesso ai server di Sky Ecc, con indicazione delle modalità di acquisizione da parte della stessa Europol dei dati in oggetto dai server, con annessi verbali, nonché i verbali delle attività compiute dagli investigatori italiani per fini di polizia di cui alla dichiarata analisi preliminare», con la motivazione che si trattasse di atti estranei al fascicolo processuale, trattandosi di «scambi informativi tra forze di polizia di paesi diversi che, in quanto tali non sono processualmente utilizzabili». Tale documentazione nella citata sentenza era stata posta dalla Corte alla base di una più ampia valorizzazione del contraddittorio. 6. Quanto ai motivi sulle esigenze cautelari, quello relativo alla mancata indicazione del termine, con riferimento all'art. 274 lett. a) cod. proc. pen. è infondato, stante la contestazione anche di altra esigenza cautelare e cioè il pericolo di reiterazione del reato. Quest'ultima è stata puntualmente motivata avendo riguardo al fatto che l'indagato, insieme al fratello RT, risulta attinto 20 da altro titolo che lo vede associato a delinquere ex art. 74 d.P.R. 309/90, con la qualità di capo. 7. Al rigetto consegue, ai sensi dell'art. 616 cod. proc. pen., la condanna di AN al pagamento delle spese processuali. Non derivando dalla presente decisione la rimessione in libertà del ricorrente deve disporsi - ai sensi dell'art. 94, comma 1-ter, delle disposizioni di attuazione del codice di procedura penale - che copia della stessa sia trasmessa al direttore dell'istituto penitenziario in cui l'indagato trovasi ristretto, perché provveda a quanto stabilito dal comma 1-bis del citato articolo 94.
P. Q. M.
Rigetta il ricorso e condanna il ricorrente al pagamento delle spese processuali. Manda alla cancelleria per gli adempimenti di cui all'art. 94, comma 1-ter, disp. att. cod. proc. pen. Così deciso, il 27 settembre 2023.
udita la relazione svolta dalla consigliera Maria Sabina Vigna;
sentite le conclusioni del Pubblico ministero, nella persona del Sostituto Procuratore Generale, Tomaso Epidendio, che ha chiesto il rigetto del ricorso sentito l'avvocato Giuseppe Tortora che ha insistito nei motivi di ricorso. Penale Sent. Sez. 6 Num. 46482 Anno 2023 Presidente: DI STEFANO PIERLUIGI Relatore: VIGNA MARIA SABINA Data Udienza: 27/09/2023 RITENUTO IN FATTO 1.Con l'ordinanza impugnata, il Tribunale del riesame di Genova ha confermato l'ordinanza del 10 febbraio 2023 con la quale il Giudice delle indagini preliminari del Tribunale di Genova ha applicato a AN NT la misura della custodia cautelare in carcere in relazione ai reati di cessione, in concorso con il fratello RT e altri, dell'ingente quantità di 6 kg. di cocaina all'associazione ex art. 74 d.P.R. 309/90 diretta e organizzata da AB OC e OT PI (capo 7 di incolpazione provvisoria) e di avere detenuto illecitamente, in concorso con il fratello RT, l'ingente quantità di 150 kg. di cocaina (capo 10). Il compendio investigativo si fonda sul Report di Europol sull'uso di chat criptate sulla piattaforma "Sky Ecc" installata attraverso applicazioni scaricabili sugli apparati mobili. Il 9/03/2021, grazie all'intercettazione dei flussi telematici relativi ai server allocati in Francia dalla piattaforma canadese Sky Ecc - che offriva un sistema di criptatura per i messaggi - la autorità NC, belghe e olandesi, nell'ambito dell'operational task force LIMIT, portavano a compimento l'operazione ARGUS;
il monitoraggio delle chat consentiva di effettuare decine di arresti, sequestrare circa 20 tonnellate di droga, armi e milioni di euro. L'acquisizione delle comunicazioni permetteva ulteriori attività repressive in vari Stati, fra i quali l'Italia. La Procura genovese acquisiva dalla Procura di Parigi, tramite diversi 0.E.I., le chat complete e identificava diversi utenti del sistema di comunicazione riservato. Le indagini consentivano di contestare l'esistenza di una associazione dedita all'importazione dal sud America e poi alla cessione nello Stato di ingenti quantitativi di sostanza stupefacente di tipo cocaina, operante dal 2020 fino al 2021, capitanata da AB e OT, e alla quale partecipava anche il fratello dell'imputato, AN RT. La gravità indiziaria in merito alla posizione dell'indagato nella commissione dei due reati che gli sono contestati si fonda sul contenuto dei messaggi che l'accusa gli addebita di avere scambiato con i coindagati utilizzando un apparato cellullare contraddistinto su Sky Ecc. dal pin 09QC04 con il nick name GHANDI. 2. Avverso l'ordinanza ricorre per cassazione AN, a mezzo del difensore di fiducia, deducendo i seguenti motivi: 2.1. Violazione di legge e vizio di motivazione, anche nelle forme del travisamento della prova, in relazione alla inutilizzabilità delle risultanze probatorie. 2 I risultati delle captazioni venivano forniti e depositati in atti attraverso la produzione di un CD/DVD. Lo stesso non può costituire fonte di prova in quanto deve considerarsi tale unicamente la memoria del telefono criptato, ovvero la copia forense di detta memoria, conservata e riversata in atti, con tutte le garanzie della I. 48/2008 relative alla prova digitale e, quindi, anche con il codice hash. Per ogni allegato alle varie informative, vi sarebbe dovuto essere un verbale di operazioni compiute da parte delle autorità delegate a decifrare e trascrivere le chat versate in atti, per comprenderne i metodi e le strumentazioni utilizzate al fine di estrapolare i dati. Nonostante il Pubblico ministero abbia prodotto il documento Eurojust e il relativo supporto informativo, in cui si darebbe conto delle modalità con cui è stata svolta l'attività investigativa all'estero, non è mai stato chiarito se le procedure adottate dallo stato francese per l'estrapolazione ed acquisizione delle captazioni, abbiano violato i principi fondamentali del nostro ordinamento e l'inviolabile diritto di difesa. La Corte di cassazione, con la sentenza n. 32915/2022, ha ritenuto che sia sempre necessario valutare che le modalità utilizzate per l'acquisizione delle chat dai server non siano in contrasto con i principi dell'ordinamento, non vigendo alcuna presunzione di legittimità. Erra il Collegio della cautela a ritenere la natura di documenti ex art. 234 cod. proc. pen. dei messaggi scritti e dei files multimediali scambiati attraverso gli apparati cellullari (Sky Ecc.) degli indagati. La sentenza sopra richiamata esclude che la suindicata messagistica abbia la natura di documento. Nel caso in esame, non è stata garantita alcuna "catena di custodia", dal momento che i dati contenuti dei CD/DVD inviati (semplici files testuali) possono essere stati prodotti da qualsiasi editor di testo, senza garanzia alcuna. Contrariamente a quanto assunto dal tribunale, nessun dato in originale è stato allegato, ma solo supporti ottici non riscrivibili, in cui sono riportati i files trascritti, che, inseriti nel DVD, garantiscono la non alterabilità dei dati in esso riportati, e non anche che i dati siano privi di manipolazioni. Nei motivi di riesame si era eccepita l'inutilizzabilità anche delle conversazioni riferibili al PIN K3TH70 in quanto non risultava la richiesta di OIE e il relativo OIE. Il Tribunale si è limitato a sostenere che la richiesta sarebbe quella del 14 marzo 2022 che, però, non si rinviene in atti. 2.2. Violazione di legge e vizio di motivazione in relazione all'art. 274 cod. proc. pen. lett. a). Il G.i.p. non ha indicato la data di scadenza della misura in relazione alle indagini da compiere e il Tribunale del riesame è rimasto, sul punto, silente. 3 2.3. Violazione di legge processuale e vizio di motivazione in relazione all'art. 274 cod. proc. pen. Il tribunale del riesame ha usato assunti generici in relazione alla mancanza del requisito dell'attualità. CONSIDERATO IN DIRITTO 1. Il ricorso è infondato e va, pertanto, rigettato. 2. Invero, privo di pregio è il primo motivo di impugnazione sulla inutilizzabilità delle chat relative alle comunicazioni intervenute tra l'indagato e gli altri coindagati dell'odierno ricorrente, e soggetti terzi, utilizzando la rete SkyEcc. 3. Al fine di inquadrare correttamente le questioni giuridiche poste all'attenzione del Collegio, occorre effettuare alcune premesse generali sul tema della utilizzazione quale prova dei materiali captati su disposizione dell'A.g. francese mediante intromissione nelle note reti criptate SkyEcc. ed EN, strumenti risultati in uso a varie bande criminali per comunicazioni protette. Sul tema, difatti, vi è stato un rilevante dibattito in giurisprudenza, sia nazionale che internazionale. 3.1. Funzionamento dei sistemi Sky Ecc. ed EN Deve evidenziarsi come i sistemi Sky Ecc. ed EN siano piattaforme di comunicazione criptata che consentono lo scambio di comunicazioni utilizzando i così detti criptofonini, ovverosia smartphone opportunamente modificati nel software (prevalentemente con il sistema Android) con l'unico scopo di garantirne l'inviolabilità, poiché il relativo sistema operativo è caratterizzato da particolari requisiti di sicurezza che si possono riassumere nella cifratura dei dati trasmessi e di quelli memorizzati, nella possibilità per l'utilizzatore di cancellare, quasi in tempo reale e anche da remoto, l'intera memoria del telefono inserendo un cd. panic code, o nella possibilità di segnalare la presenza di sistemi di individuazione (cd. SI Catcher) o di tentativi di aggressione informatica da parte di agenti esterni. Tali sistemi di comunicazione non sono però basati sulla tecnologia Pin to Pin (cioè su un sistema crittografico dove le chiavi di cifratura sono collocate in un server), bensì sul sistema end to end che prevede la cifratura delle conversazioni mediante l'utilizzo di chiavi depositate esclusivamente sui dispositivi che 4 colloquiano, sicché, in questa modalità, neanche il gestore del servizio è in grado di conoscere le chiavi utilizzate e di conseguenza il contenuto delle comunicazioni. 3.2. Modalità di acquisizione delle chat e natura delle stesse: intercettazioni, documenti, corrispondenza 3.2.1.Si apprende dal provvedimento impugnato, che la nnessaggistica relativa ai profili di Sky Ecc. utilizzati dall'indagato e dai suoi coindagati è stata richiesta dalla Procura di Genova all'Autorità giudiziaria francese con Ordini Europei di Indagine (0.E.I.), e ricevuta contenuta in un DVD, che veniva prontamente trasmesso alla Polizia giudiziaria italiana per l'analisi dei dati in esso raccolti, già estratti dalla Polizia giudiziaria francese sotto il controllo della Autorità giudiziaria francese. Il dato probatorio nel presente procedimento risulta, quindi, ottenuto in esecuzione di Ordini Europei d'Indagine. 3.2.2. Come noto, ai sensi della Direttiva 2014/41/UE del Parlamento europeo e del Consiglio, del 3 aprile 2014, relativa all'ordine europeo di indagine penale e delle norme di attuazione di cui al D.Lgs 21 giugno 2017, n. 108, l'ordine europeo di indagine può essere emesso sia per «acquisire informazioni o prove che sono già disponibili», che per «compiere atti di indagine o di assunzione probatoria». Nel caso di interesse, l'O.E.I. ha avuto ad oggetto l'acquisizione di prove che l'Autorità francese aveva già raccolto in un proprio procedimento penale. È invece escluso, come risulta dall'ordinanza impugnata, che vi sia stata richiesta di procedere ad acquisizioni probatorie nell'interesse dell'Autorità giudiziaria italiana richiedente. Va considerato, per verificare che «l'atto o gli atti di indagine richiesti nell'O.E.I. avrebbero potuto essere emessi alle stesse condizioni in un caso interno analogo», innanzitutto il profilo della qualificazione ai fini processuali del materiale acquisito in dispositivi informatici, soprattutto quando questo riguardi la registrazione di precedenti scambi di comunicazioni, scritte o orali, e i "metadati" di tali comunicazioni. È di tutta evidenza che il materiale ottenuto e utilizzato per le finalità di accertamento dei reati per i quali procede l'Autorità giudiziaria italiana è costituito essenzialmente da "chat". I noti sistemi SkyEcc." e "EN", difatti, sono fondamentalmente finalizzati alla comunicazione e messaggistica e l'attività di hackeraggio è consistita essenzialmente nel prelevare i contenuti dei dispositivi e le relative "chiavi" di codifica di tali contenuti, necessarie per renderli intellegibili. La peculiarità della materia, essenzialmente conseguente alla portata delle innovazioni tecnologiche (a leggere le vicende per le quali si procede, basti considerare quale decisivo strumento erano per la grande criminalità organizzata transnazionale quelle piattaforme criptate e, per converso, che rilevante sfida 5 h.1( tecnica hanno vinto gli inquirenti NC) spinge a riconsiderare, anche al di là delle varie modifiche normative intervenute per attualizzare le disposizioni processuali alle questioni in gioco (da un lato la tutela dei diritti fondamentali e, dall'altro l'esigenza di tutela della collettività, sotto le varie specie della sicurezza dello Stato, sicurezza pubblica e tutela da reati, gravi e non), i rapporti tra "prove" e "mezzi di ricerca della prova" in materia di prove elettroniche latamente intese. 3.2.3. Nell'ambito di una tutela che, in primis, parte dallo sviluppo della previsione dell'art. 15 della Costituzione, si può considerare quale paradigma la disciplina delle intercettazioni di conversazioni/comunicazioni degli artt. 266 e 266-bis cod. proc. pen.: in questo caso, il "mezzo di ricerca della prova", regolamentato sulla scorta del suo carattere invasivo è ammesso: -solo per reati gravi;
- con provvedimento motivato del giudice a fronte di un già esistente corpo probatorio a sostegno dell'accusa; - con regole di necessità probatoria e proporzionalità tra tali esigenze e invasività del mezzo;
- per tempo limitato, prorogabile solo per comprovata necessità; - nel rispetto di modalità di esecuzione e dei sistemi di selezione di quanto utile per il processo e di protezione dalla indebita diffusione del materiale. In questo caso la violazione delle modalità di tale "mezzo di ricerca della prova" ha quale conseguenza espressa la ínutilizzabilità della prova raccolta, in deroga al principio generale del nostro ordinamento processuale che esclude che la violazione delle regole dei mezzi di ricerca della prova comportino l'inutilizzabilità dell'eventuale risultato positivo, secondo il noto brocardo male captum, bene retentum. 3.2.4. Ai fini della decisione, sono rilevanti i due temi: a) dell'acquisizione dei dati informatici che rappresentano documentazione di conversazioni già avvenute e b) dell'accesso a tali dati con strumenti invasivi. È evidente che, rispetto a tali temi, sarebbe adeguato strumento di tutela l'applicazione della disciplina delle intercettazioni, per i limiti di applicazione (da limitarsi a vicende gravi, secondo una ragionevole proporzionalità), la forte garanzia giurisdizionale e la portata esiziale delle violazioni della disciplina sulla prova raccolta. E di tale adeguatezza è segno proprio la scelta del legislatore francese, evidentemente modulata sulla necessità di attento utilizzo dell'utilizzo dell'hackeraggio per accedere da remoto a qualsivoglia sistema informatico acquisendo in modo occulto (e in violazione di diritti fondamentali) i contenuti, sia statici che dinamici: in quell'ordinamento, come meglio si dirà, quella stringente disciplina si applica allo stesso modo per sapere ciò che "fu detto" (fotografato, filmato etc.) e ciò che "sarà detto". L'attuale sistema processuale italiano, invece, ha una tutela limitata che, per la documentazione di comunicazioni personali conservata nei dispositivi 6 informatici, anche personali, non va oltre la "semplice" protezione imposta dall'art. 15 della Costituzione per la corrispondenza e alle correlate disposizioni del codice di rito (riserva di legge e di giurisdizione). Le questioni riguardano sostanzialmente la riservatezza del contenitore informatico dei dati riservati (che si tratti del dispositivo dell'utente finale, portatile o fisso, o che si tratti del server che glieli gestisce, per backup o conservazione su cloud) nonché le modalità "in presenza" dell'acquisizione (con sequestro dell'apparecchio contenitore) o da remoto, ovvero con la perquisizione on line e la captazione occulta dei contenuti. Secondo la nostra procedura, allo stato, in tutti questi casi trovano applicazione le regole comuni in tema di perquisizione e sequestro probatorio (con le precisazioni da farsi quando i dati integrino "corrispondenza"). Sul piano normativo, l'unica previsione espressa che riguardi l'accesso da remoto a sistemi informatici è l'art. 266 cod. proc. pen. che è stato integrato nel senso di porre limiti e garanzie quando l'intercettazione di comunicazioni tra presenti sia realizzata con un "captatore informatico su un dispositivo elettronico portatile". Secondo l'interpretazione corrente, tale previsione non ha alcun effetto limitante della perquisizione e sequestro on-line per contenuti diversi dalle intercettazioni di comunicazioni in fieri. Le norme che disciplinano la ricerca dei dati informatici (anche costituenti corrispondenza), quindi, sono: - art. 244 cod. proc. pen. (nella parte in cui fa riferimento alla ispezione informatica); art. 247, comma 1-bis, cod. proc. pen. in tema di perquisizione informatica, art. 254-bis cod. proc. pen. in tema di sequestro di dati informatici presso fornitori di servizi, art. 352, comma 1-bis, cod. proc. pen., per le medesime attività compiute di iniziativa dalla polizia giudiziaria alle date condizioni. In tutti questi casi, le regole applicabili, invero, sono sostanzialmente prescrizioni mirate all'utilizzo di protocolli di sicurezza per la non dispersione dei dati e la garanzia di conformità dei dati acquisiti. In tale ambito, invece, mancano del tutto disposizioni che siano sanzionate con nullità o inutilizzabilità: il mancato rispetto delle regole di protezione dei dati potrà essere valutato, sul piano processuale, per valutare la affidabilità della prova raccolta ma non per espungerla dal processo. In tutti questi casi, quindi, è agevole anche concludere (con riferimento a quanto in questa sede assume rilievo) che l'attività di acquisizione della documentazione nella fase delle indagini spetta al Pubblico ministero senza necessità di provvedimento del giudice. 7 3.2.5. La conferma di tale lineare interpretazione risulta dalla sentenza della Corte Costituzionale n. 170 del 2023, resa in sede di conflitto di attribuzione. Per la parte di interesse, la Corte ha esaminato il caso di una acquisizione "in presenza" di dispositivi informatici individuali con conseguente sequestro dei messaggi scambiati da un parlamentare. La Corte qualificava tale documentazione conservata negli apparecchi quale "corrispondenza", per cui riteneva che l'acquisizione fosse condizionata al provvedimento ex art. 68 Cost. della Camera di appartenenza. Tale sentenza: conferma la interpretazione per la quale è qualificabile come intercettazione, disciplinata ex art. 266 e 266-bis cod. proc. pen., solo la "comunicazione in corso nel momento della sua captazione da parte dell'extraneus", quando tale captazione avvenga all'insaputa dei soggetti che comunicano. Ne consegue che la apprensione della messaggistica pregressa non è disciplinata (come pur suggeriva una Autorità in conflitto) ai sensi degli artt. 266 e ss. cod. proc. pen. ma si tratta di un sequestro di dati. afferma che la messaggistica pregressa, memorizzata nel dispositivo, vada considerata quale corrispondenza. Con riferimento a tale secondo punto, la Corte corregge la comune interpretazione della giurisprudenza di legittimità che, ai fini procedurali, ha generalmente affermato che la "posta" conservata (informatica o cartacea) non abbia natura di corrispondenza bensì di generico documento. La sentenza afferma, invece, che anche la messaggistica conservata dopo la consegna mantiene il suo carattere di corrispondenza dovendosi ritenere permanere l'interesse alla riservatezza «almeno fino a quando, per il decorso del tempo, essa non abbia perso ogni carattere di attualità, in rapporto all'interesse alla sua riservatezza, trasformandosi in un mero documento storico». A risolvere ogni dubbio applicativo, la Corte chiarisce che è ragionevole presumere che la documentazione conservata dagli utenti, in particolare se memorizzata in dispositivi portatili ad accesso protetto, e a distanza di tempo non significativa, abbia natura di corrispondenza. Si trae, quindi, la conclusione che, quando sia in questione l'acquisizione on line di messaggistica conservata (e anche di dati esterni delle conversazioni pregresse), vanno applicate le regole dell'art. 15 Cost.: ovvero è necessario un atto motivato dell'A.G. e sono applicabili le previsioni di legge in tema di acquisizione della corrispondenza. 8 In definitiva, la natura della messaggistica non consente che la stessa possa essere acquisita dalla polizia giudiziaria, ma impone che il sequestro probatorio sia disposto dal Pubblico ministero. Sono, inoltre, applicabili le disposizioni ad hoc di cui all'art. 254 cod. proc. pen. (che, invero, non è riferibile alla situazione di sequestro presso l'utente) e dell'art. 353 cod. proc. pen., che preclude alla polizia giudiziaria la presa in visione diretta della messaggistica, anche quando ne disponga il sequestro in via di urgenza. Al di là di tale tutela, comunque non particolarmente stringente, non vi è previsione di inutilizzabilità assoluta dell'atto acquisito in violazione. La inutilizzabilità relativa (per violazione dell'art. 15 Cost.) per l'acquisizione indebita potrà essere sanata dalla successiva emissione del provvedimento dell'Autorità giudiziaria. 3.2.6.Incidentalmente, a conferma che l'accesso ai contenuti delle comunicazioni "salvate" nei dispositivi informatici non è assimilabile alle intercettazioni, può citarsi il recente Regolamento UE 2023/1543 del Parlamento europeo e del Consiglio, del 12 luglio 2023 relativo agli "ordini europei di produzione e agli ordini europei di conservazione di prove elettroniche nei procedimenti penali" applicabile dal 18 agosto 2026 che prevede che possano acquisirsi direttamente presso i fornitori di servizi di comunicazione e conservazioni di dati posti in altro Stato membro (anche) i dati "di contenuto". Tra questi, (citati espressamente negli allegati all'atto) anche il "backup dei messaggi" e il "dump della casella di posta elettronica". Anche in tale caso, non è prevista la tutela "forte" delle intercettazioni (pur essendovi limiti imposti dal Regolamento, considerato che è in discussione un ordine disposto da una A.G. di uno Stato Ue nei confronti di un soggetto fornitore di servizi operanti in altro paese membro). 3.2.7. Può, pertanto, concludersi che: - il materiale chiesto e ottenuto con O.E.I. consisteva in "documenti", aventi la più particolare qualità di "corrispondenza" per il cui sequestro, a norma delle disposizioni interne, è necessario e sufficiente il provvedimento motivato del Pubblico ministero. -Quanto alle modalità di acquisizione di tale tipo di materiale (documenti digitali conservati in smartphone o pc) non vi è alcuna disposizione sulle modalità di accesso (anche quando vi sia necessità di superare criteri informatici di protezione dell'accesso). Si impongono solo criteri tecnici per garantire la correttezza della manipolazione del materiale, il cui mancato rispetto sarà valutabile ai fini della attendibilità del risultato, ma non quale possibile ragione di nullità o inutilizzabilità. 9 -Anche la messa in chiaro della messaggistica, se "criptata", non è attività soggetta a regole specifiche, con conseguenze sulla validità, ma riguarderà la verifica di affidabilità del contenuto. 3.2.8. Va fatta un'ultima precisazione in ordine alle norme applicabili. La corrispondenza, anche informatica, salvo la più peculiare tutela per il suo contenuto, rientra nel fuoco dell'art. 234 cod. proc. pen., documento in generale. Si è fatto, invero, frequentemente riferimento in altre decisioni in tema di acquisizione mediante O.E.I. all'art. 234-bis cod. proc. pen., evidentemente in considerazione della rubrica che appare riferita espressamente e tout court ai documenti informatici. Invero, tale norma, introdotta con la nota normativa antiterrorisnno legata al fenomeno dei foreign fighters, come prevede testualmente ("è sempre consentita l'acquisizione di documenti e dati informatici conservati all'estero, anche diversi da quelli disponibili al pubblico"), fa riferimento a una data specie di documenti (quindi sempre nell'ambito dei documenti dell'art. 234 cod. proc. pen.), che intende rendere acquisibili al di fuori di qualsiasi formalità: ovvero, qualsiasi materiale disponibile in rete, con il limite che, quando si tratti di documentazione non liberamente accessibile al pubblico (per accesso protetto), il "legittimo titolare" autorizzi l'uso. È la trasposizione nell'ordinamento dell'art. 32 della convenzione sul cybercrime, ratificata con la legge n. 48 del 2008 che prevede che "una Parte può, senza l'autorizzazione di un'altra Parte: Accedere a dati informatici conservati accessibili al pubblico (open source), quale che sia la collocazione geografica di tali dati;
ovvero Accedere a, o ricevere attraverso un sistema informatico posto nel suo territorio, dati informatici conservati siti in un altro Stato, se la Parte ottiene il consenso legale e volontario della persona che ha l'autorità legale di rendergli disponibili i dati attraverso quel sistema informatico". In pratica, la Convenzione, ha introdotto la possibilità di acquisire la documentazione in rete senza ricorso al sistema delle rogatorie internazionali. A ben vedere, quindi, l'art. 234-bis cod. proc. pen. nulla aggiunge ai fini dell'accesso alla documentazione con i comuni mezzi (come il sequestro o la consegna diretta) e certamente il riferimento al "legittimo titolare" non significa che le legittime modalità di acquisizione delle prove siano condizionate dall'autorizzazione del "proprietario" del documento. Peraltro, anche a forzare una lettura della disposizione, volendo cercarvi un appiglio per un incomprensibile divieto probatorio, vale la banale considerazione che, se il documento viene regolarmente acquisito in un procedimento, il titolare del procedimento è anche titolare della disponibilità del dato. Ancor di più, poiché il documento proviene dall'indagato, l'acquisizione sarebbe sempre autorizzata dalla norma speciale dell'art. 237 cod. proc. pen. 10 \\( In definitiva, nell'ambito della valutazione se "l'atto o gli atti di indagine richiesti nell'O.E.I. avrebbero potuto essere emessi alle stesse condizioni in un caso interno analogo", la agevole conclusione è che: - gli atti in questione potevano essere emessi in Italia, nella forma del sequestro probatorio di documentazione/corrispondenza con provvedimento del Pubblico ministero. 3.3. Il trasferimento di prove tra procedimenti 3.3.1. Invero, considerando la chiara distinzione presente nella direttiva O.E.I. tra la raccolta di una nuova prova nello Stato di esecuzione e quello di trasferimento di prove già raccolte in un procedimento penale nello Stato di esecuzione, che appare chiaramente la situazione qui di interesse, è fondamentale rammentare quale sia la disciplina interna per il trasferimento di prove fra diversi procedimenti. A ben vedere, questa è la condizione specifica rilevante per il caso di specie per definire se l'OIE riguardasse "atti.., che avrebbero potuto essere messi alle stesse condizioni in un caso interno analogo". Per quanto riguarda il trasferimento di documenti/corrispondenza già acquisita nel procedimento straniero, non vi sono particolari ragioni che pongano limiti maggiori rispetto a quello della acquisizione diretta. Secondo l'ordinamento interno, salvo talune peculiari regole (che comunque non riguardano la tipologia di documentazione in oggetto) in tema di verbali di dichiarazioni, intercettazioni illegali etc., si tratta di atti che possono essere richiesti con provvedimento del solo Pubblico ministero. È il caso di considerare, comunque, anche la modalità di trasferimento di atti relativi a intercettazioni svolte in diverso procedimento. Difatti, considerato che, come si dirà, le Autorità NC hanno applicato disposizioni corrispondenti anche solo per acquisire documentazione di conversazioni già svolte, si può considerare l'esigenza di mantenere le maggiori garanzie richieste dallo Stato di esecuzione (oltre, invero, le tutele della normativa 0.E.I.). Nell'ordinamento interno, rispetto alle intercettazioni già raccolte, l'ulteriore circolazione in diversi procedimenti trova limiti nell'art. 270 cod. proc. pen. con riferimento all'ambito dei procedimenti per cui ciò è possibile, ma non richiede alcun ulteriore provvedimento autorizzatorio del giudice potendo essere trasferiti gli atti con provvedimento del pubblico ministero. Quindi, anche nella relazione tra paesi, cui si applica la disciplina 0.E.I., quando la prova sia già stata acquisita con atto del giudice nel paese di esecuzione, il semplice trasferimento della prova preesistente già nel procedimento in Italia, come da regole interne, può essere disposto su richiesta del Pubblico ministero. 11 3.4. La Direttiva 2002/58/UE e la giurisprudenza sovranazionale rilevante Proprio i risultati estremamente positivi delle indagini NC nel disvelare attività di vari gruppi di grande criminalità organizzata operanti, anche a livello transnazionale, in vari paesi europei hanno comportato un'ampia produzione giurisprudenziale internazionale e dottrinaria sui temi aperti non tanto dalla novità della tipologia di prova (riconducibile sostanzialmente alle intercettazioni di conversazioni e alla captazione di documentazione, in particolare la memorizzazione di precedenti scambi di messaggi) quanto dalla modalità di accesso a tale materiale. Si rileva, anche, come vengano posti talora sullo stesso piano questioni diverse, sostanzialmente perché il dato comune è l'uso di "prove elettroniche" così generalmente definito, con una certa difficoltà nel distinguerle (ciò, del resto, è già avvenuto in passato: si consideri l'iniziale difficoltà nel distinguere tra "tabulati telefonici", posta elettronica e comunicazione telematica dopo l'introduzione dell'art. 266-bis cod. proc. pen., alla difficoltà interpretativa, risolta solo nel 2015, a riconoscere valore ai dati sequestrati rispetto al supporto fisico in cui erano custoditi e al dibattito sul trojan horse). In riferimento al tema in questione, si è fatto frequente riferimento alle decisioni assunte dalla Corte di Giustizia dell'Unione Europea nella interpretazione degli artt. 5 e 15 della Direttiva 2002/58 relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche. Invero, si anticipa che, al di là della assoluta alterità dei dati (e della tipologia di prove) in questione, quelle decisioni, per le quali, in realtà, non vi è alcuna riferibilità alle prove acquisite con 0.E.I., in ogni caso non offrono alcun elemento contrario alla correttezza della procedura utilizzata nel presente caso. Si è, inoltre, talora fatto riferimento alla giurisprudenza CGUE per affermare che non sarebbe sufficiente un provvedimento del Pubblico ministero per disporre il sequestro di quel dato tipo di prove utilizzate nei confronti del ricorrente. A prescindere dal fatto che gli O.E.I. utilizzati per acquisire le prove "SkyEcc" riguardavano delle prove già raccolte in un procedimento francese con un esplicito provvedimento del giudice e non del Pubblico ministero, e quindi ogni dubbio di utilizzabilità è risolto in radice, va considerato come si sia in presenza di argomenti non condivisibili (a parte che non basterebbe una interpretazione per superare le norme procedurali che, in conformità con l'art. 15 della Costituzione attribuiscono al PM, in fase di indagine, il potere di sequestro di documentazione, anche se "corrispondenza"). La citata Direttiva pone, quale regola, il divieto per gli operatori dei servizi telefonici di conservare i dati (di traffico e di ubicazione) degli utenti che utilizzano 12 i loro servizi, salvo per la immediata funzione di fatturazione (art. 5). In via di eccezione, il successivo art. 15 consente che sia ordinato a tali gestori la conservazione di tali dati per un determinato arco di tempo per ragione di sicurezza pubblica e lotta alla criminalità grave. I temi delle decisioni della Corte di Giustizia, quindi, vertono su quale possa essere la estensione di tale obbligo di conservazione indiscriminata di informazioni degli utenti per costituire una banca dati utilizzabile a futura memoria (sostanzialmente, una sorveglianza di massa), e quali debbano essere le regole per prelevare e utilizzare in sede processuale le informazioni presenti in tali archivi. Si rammenta come l'interpretazione (vincolante) della CGUE abbia imposto la modifica dell'art. 132 d.lgs. 30 giugno 2003, n. 196, Codice in materia di protezione dei dati personali, prevedendo che tali dati (dei quali si continua a disporre la conservazione generalizzata e indiscriminata) possano essere acquisiti esclusivamente con provvedimento del giudice per reati gravi ed a fronte di un reato per il quale vi sia già un minimo corpo probatorio. Chiarito, quindi, che si parla di prove che, in comune, hanno solo il rientrare nella categoria delle prove elettroniche, si osserva che la sentenza 6 ottobre 2020, Q. N., C 511/18, C 512/18 e C 520/18, al punto 103, ben specifica come la disciplina in questione riguardi solo il trattamento dei dati conservati dai fornitori e non anche le intercettazioni «Per contro, quando gli Stati membri attuano direttamente misure che derogano alla riservatezza delle comunicazioni elettroniche, senza imporre obblighi di trattamento ai fornitori di detti servizi di comunicazione, la protezione dei dati delle persone interessate non ricade nell'ambito della direttiva 2002/58, bensì unicamente in quello del diritto nazionale ...». Mutatis mutandis, la direttiva non riguarda neanche la acquisizione di documentazione elettronica posta nei dispositivi personali dell'utente (o negli spazi virtuali su server in suo accesso esclusivo). Quindi (limitandosi alle più recenti e riferibili proprio all'uso processuale dei tabulati), avendo riguardo alle sentenze 20 settembre 2022, S., C-793/19 e T. D, C-749-19; 5 aprile 2022, C. G. S., C-140/20, 2 marzo 2021, P., C-746/18, 20 settembre 2022, S., C-793/19, deve rilevarsi che si tratta di decisioni che riguardano, tutte, la materia dell'accesso alle banche dati dei gestori di telefonia e non anche l'accesso diretto alle utenze con provvedimento mirato (di intercettazione e/o perquisizione da remoto). Leggendo con attenzione le decisioni della CGUE, poi, si comprende perché in quel caso si impone l'intervento del giudice e non del PM (il che è ben stato chiaro al legislatore che ha modificato l'art. 132 I. cit. e non anche gli artt. 247 e 254-bis cod. proc. pen.). 13 Per tutte, si segnala la sentenza 2 marzo 2021, P., C-746/18: ai punti 48, 50 e 51 si chiarisce come sia necessaria una specifica disciplina per l'accesso ai dati conservati ai sensi dell'art. 15 della Direttiva (quindi ai dati di utilizzatori dei servizi telefonici conservati "indiscriminatamente") e per fornire "garanzie sufficienti che consentano di proteggere efficacemente tali dati contro i rischi di abusi", che vi siano "criteri oggettivi per definire le circostanze e le condizioni in presenza delle quali deve essere concesso alle autorità nazionali competenti l'accesso ai dati in questione" e che "è essenziale che l'accesso delle autorità nazionali competenti ai dati conservati sia subordinato ad un controllo preventivo effettuato o da un giudice". Si spiega, poi, ai punti 52 e 54, che il controllo sull'accesso debba spettare al giudice, in quanto ha posizione di neutralità nei confronti delle parti del procedimento penale mentre il Pubblico ministero, in ragione del suo interesse nell'utilizzo di quelle prove "non è in grado di effettuare il controllo preventivo". A parte l'ambito specifico di intervento della CGUE, tali argomenti non riguardano, neanche in via logica, il caso di accesso a materiale direttamente ed immediatamente collegato al reato per il quale il nostro ordinamento interno prevede il potere del Pubblico ministero. Quindi, non solo le decisioni in questione non innovano certamente il nostro ordinamento (necessaria premessa per affermare che la documentazione conservata in dispositivi informatici debba essere sottoposta a sequestro probatorio esclusivamente con ordine del giudice), ma neanche fanno dubitare della costituzionalità delle norme vigenti, per contrasto con la normativa dell'Unione, non risolvibile in via interpretativa. La materia dell'acquisizione dei "tabulati" è trattata espressamente nell'art. 45 del D.Lgs. n. 108 del 2017: "Il pubblico ministero o il giudice che procede possono trasmettere all'autorità di esecuzione ordine di indagine al fine di ottenere i dati esterni relativi al traffico telefonico o telematico nonché l'acquisizione di ogni altra informazione utile in possesso degli operatori di telecomunicazioni." Tale norma (da ritenersi implicitamente abrogata con la modifica dell'art. 132 I. cit. per la parte che riguarda la competenza del Pubblico ministero) non è stata posta alla base degli O.E.I. in questione. Si aggiunge, a superare ogni residuo dubbio, che, proprio le regole interne e la giurisprudenza della Corte di giustizia (in particolare, sentenza 7 settembre 2023, A.G. - C-162/22, che tratta la materia della utilizzazione della documentazione acquisita dal giudice presso gli operatori di telecomunicazioni in processi diversi da quello originario e sentenza 16 dicembre 2021, H.P., C-724/19, in tema di O.E.I. emesso da un PM per l'acquisizione in altro Paese di dati dagli operatori di telecomunicazione) sono nel senso che, una volta che la prova è stata acquisita, la sua ulteriore circolazione, con trasferimento ad altro procedimento, 14 non richiede una nuova autorizzazione del giudice, ma solo che sia rispettato il limite della utilizzabilità per sicurezza pubblica e repressione di gravi reati. Da ultimo, risulta che la Corte di Giustizia U.E. è stata investita di un rinvio pregiudiziale per il quale, alla data dell'odierna camera di consiglio, non risulta essere intervenuta la decisione. Invero, nel panorama di una giurisprudenza di vari paesi europei che ha confermato la piena utilizzabilità delle prove prelevate dai dispositivi che utilizzavano i sistemi SkyEcc ed EN, si tratta di un caso nel quale il Tribunale di Berlino, in aperto contrasto interpretativo con le Corti superiori della RFT ha posto alla CGUE numerosi quesiti che riguardano anche temi identici o analoghi a quelli qui risolti. Va anche considerata una recente decisione della Corte Europea dei Diritti dell'Uomo, 26 settembre 2023, Yiiksel Yalcinkaya v. Teirkiye, (15669/20) che, investendo genericamente il tema dell'accesso della difesa ai dati acquisiti dai server di gestori di servizi di comunicazione, potrebbe sembrare incrociare i temi qui in discussione. Una estrema sintesi del caso dimostra che la sentenza riguarda situazioni del tutto diverse e individua violazioni non rilevanti in questa sede: - il ricorrente, come altri cittadini turchi, era stato arrestato e condannato per far parte di una organizzazione terroristica, responsabile di un tentativo di colpo di Stato, per il mero fatto di aver utilizzato la applicazione di nnessaggistica ByLock, disponibile sui comuni app store ma, secondo l'accusa, a iscrizione controllata. Tale utilizzazione era stata ritenuta prova univoca della affiliazione, tanto che gli altri elementi a carico del ricorrente consistevano semplicemente in riscontri di vario genere. -Le informazioni sulla iscrizione al servizio di messaggistica erano state acquisite dai servizi di intelligence turca al di fuori di ogni controllo preventivo e/o successivo dell'Autorità giudiziaria, accedendo con modalità ignote al server del sistema, posto in Lituania, e conservando poi i dati acquisiti al di fuori di ogni controllo giurisdizionale. -Il ricorrente era stato arrestato e condannato in primo grado sulla sola scorta di un report redatto dall'organo di intelligence in cui era indicato il suo uso dell'applicativo e il numero IMEI del dispositivo telefonico utilizzato. -Solo nelle fasi successive del processo erano stati allegati i dati prelevati dal server e utilizzati per la sua identificazione ma, a fronte delle contestazioni tecniche sulla non corrispondenza dei dati, non vi era stata alcuna valutazione da parte dei giudici di grado superiore, non avendo dato risposta alle sue doglianze. Chiaro, quindi, che non vi è alcuna riferibilità al caso in esame, nel quale, innanzitutto, vi è stato effettivo sequestro e messa a disposizione della difesa del materiale documentale presente negli apparecchi, costituendo questo la prova di 15 concreti traffici criminali, non trattandosi semplicemente di condanna per il solo fatto di utilizzazione del sistema di messaggistica. Inoltre, il materiale rilevante è sempre stato messo a disposizione ed è stata consentita l'attività difensiva che è stata ampiamente valutata. 3.5. Verifica del rispetto dei diritti fondamentali e segreto di Stato 3,5.1. In materia di 0.E.I è pacifico che l'Autorità nazionale non possa mettere in discussione la legittimità degli atti dell'Autorità giudiziaria del Paese richiesto, sia quando sì tratti della raccolta di una "nuova" prova, sia quando si voglia ottenere il trasferimento di una prova già raccolta in un procedimento penale dello Stato di esecuzione. Il fondamento dì tale preclusione è chiarito al paragrafo. 19 del "Considerando" della Direttiva 2014/41/UE ed è collegato alla essenza stessa della Unione: «La creazione di uno spazio di libertà, di sicurezza e di giustizia nell'Unione si fonda sulla fiducia reciproca e su una presunzione di conformità, da parte di tutti gli Stati membri, al diritto dell'Unione e, in particolare, ai diritti fondamentali». Lo stesso "Considerando", però, chiarisce che «Tuttavia, tale presunzione è relativa. Di conseguenza, se sussistono seri motivi per ritenere che l'esecuzione di un atto di indagine richiesto in un comporti la violazione di un diritto fondamentale e che lo Stato di esecuzione venga meno ai i suoi obblighi in materia di protezione dei diritti fondamentali riconosciuti nella Carta, l'esecuzione dell'O.E.I dovrebbe essere rifiutata». 3.5.2.Con riferimento alla circolazione delle prove raccolte con l'accesso alle piattaforme dì messaggistica SkyEcc ed EN, ritenute finalizzate al supporto alla criminalità organizzata, nel dibattito giurisprudenziale e dottrinario, anche internazionale, risultano prospettati dubbi (risolti pressoché sempre nel senso della loro inconsistenza e non della loro serietà) sulla violazione di diritti fondamentali della difesa;
si tratta, però, di dubbi legati alla peculiarità tecnica e alla suggestione di una presunta non ostensibilità di informazioni necessarie per la difesa in ragione di un preteso segreto militare, addirittura additato quale limite alla difesa. Risulta, quindi, necessario valutare la normativa francese rilevante. Gli articoli del codice di procedura da 706-95 a 706-95-3 e da 706-102-1 a 706-102-5 disciplinano l'accesso da remoto alle corrispondenze memorizzate in dispositivi informativi e la captazione di dati informatici. In particolare, gli artt. 706/95/1 e 706/102/1 prevedono che, in caso di necessità a fine di indagine, con provvedimento motivato del giudice possa disporsi l'accesso occulto a sistemi informatici, con captazione e registrazione dei relativi dati. Per le relative operazioni tecniche l'Autorità giudiziaria «può anche 16 prescrivere il ricorso ai mezzi dello Stato soggetto al segreto della difesa nazionale secondo le forme previste al ...». Ne deriva, allora, che la normativa francese applica, per l'acquisizione della messaggistica già trasmessa e conservata nei dispositivi personali, regole sostanzialmente corrispondenti a quelle italiane sulle intercettazioni (ovvero provvedimento motivato del giudice, per reati ben individuati e gravi, secondo criteri di necessità proporzionalità e per tempo limitato etc). Quindi, con gli O.E.I. in questione, le Autorità inquirenti italiane hanno chiesto e ottenuto copie di prove raccolte in un procedimento francese con provvedimento del giudice e sotto il suo diretto controllo. In tale modo, sono state offerte le necessarie garanzie con riferimento a quanto richiesto dall'ordinamento interno per la acquisizione di corrispondenza anche mediante l'accesso da remoto. La nostra normativa interna, poi, non prevedendo una regola di inutilizzabilità per il caso di acquisizione irregolare della documentazione (l'unica previsione è nell'art. 254 cod. proc. pen. ma riguarda la inutilizzabilità della sola corrispondenza acquisita irregolarmente presso il gestore del servizio postale), rende tendenzialmente irrilevante il tema del "segreto" rispetto all'acquisizione di tale stessa documentazione;
sul punto va considerato che non vi è alcun limite alla conoscenza del materiale probatorio. Anche sulla scorta del dibattito, giunto alla Corte costituzionale francese, decisione n. 987 dell'8 aprile 2022, sulla utilizzazione di metodiche coperte da segreto militare, come risulta palesemente anche dalla normativa citata, va chiarito quale sia il reale oggetto del "segreto"; sembra, invero, che, in presenza di materiale intercettato consistente in messaggi "criptati", si faccia confusione tra modalità di accesso ai sistemi informatici protetti e decriptaggio e sequestro di dati/documenti: - L'attività di intrusione nei sistemi informatici, l'hackeraggio che ha consentito agli inquirenti NC di operare dall'interno del server delle piattaforme SkyEcc ed EN e, poi, inserire il captatore informatico, è stata operata con il supporto di tecnologia soggetta a segreto militare francese. -Una volta che gli operanti si sono introdotti nei sistemi informatico, sono stati prelevati i documenti (la messaggistica) di interesse nonché gli altri dati utili all'indagine. Il supporto tecnico, coperto da segreto, ha riguardato la capacità di mettere in chiaro messaggi, immagini, metadati relativi ai singoli utenti dei sistemi. Quindi, ciò che è "segreto" è la tecnica di hackeraggio. Al contrario, è stato reso disponibile il materiale prelevato. È allora certo che il livello di garanzie non è inferiore a quello garantito dalla legge italiana;
a parte, come già detto, che l'ordinamento interno prevede per il 17 sequestro della messaggistica la generica tutela dell'art. 15 della Costituzione, anche facendo riferimento alle più stringenti disposizioni sulle intercettazioni, si rileva che il diritto di difesa è garantito in modo quantomeno non inferiore. In particolare: -La difesa secondo l'ordinamento nazionale può ottenere solo conoscenza del verbale delle operazioni di cui all'art. 268 cod. proc. pen. e delle registrazioni, ma non anche dei mezzi tecnici, hardware e software, utilizzati per la intrusione nelle conversazioni intercettate, o per decodificare il contenuto. -L'art. 89 disp. att. cod. proc. pen., innovato con riferimento ai captatori informatici, prevede che venga indicato il tipo di programma di intrusione utilizzato e vengano utilizzati solo quelli conformi ai requisiti tecnici stabiliti al Ministero della giustizia. Non è, invece, in alcun modo previsto che sia reso disponibile il contenuto del programma utilizzato, di norma di proprietà di soggetti privati. In pratica, nella data materia nell'ordinamento interno la conoscibilità delle eventuali tecniche di hackeraggio è preclusa dal segreto "industriale" del proprietario del software di intrusione. Si richiamano, poi, le precedenti decisioni con le quali la Corte ha già affermato che la decriptazione delle conversazioni e delle comunicazioni (e, per converso, dei documenti digitali con codifica di sicurezza) è attività distinta dalla captazione, in quanto tali dati costituiscono rappresentazioni comunicative incorporate in una base materiale con un metodo digitale, ovvero dati informatici che hanno consentito l'intelligibilità del contenuto di stringhe secondo il sistema binario (Sez.6, n. 18907 del 20/04/2021, Civale, Rv. 281819) escludendosi, quindi, che l'interessato, al quale sia reso disponibile il contenuto in forma intellegibile dei documenti, abbia un diritto al controllo diretto mediante l'utilizzo esclusivo, e non mediato, del programma e/o algoritmo di decriptazione (Sez.6, n. 14395 del 27/11/2018 dep. 2019, Testa, rv. 275534) essendo comunque garantita una sua efficace difesa. Resta ovviamente salva la possibilità, sulla base di ragioni specifiche, che se del caso l'A.G. dovrà doverosamente valutare procedendo ad eventuali accertamenti, di indicare anomalie tecniche in grado di fare dubitare della correttezza delle acquisizioni e dell'inquinamento del risultato. Allo stato, con riferimento al materiale di indagine francese in oggetto, non risulta segnalata alcuna anomalia significativa. In definitiva, quindi, il tema della segretezza delle modalità tecniche di intercettazione e della decodifica di password, chiavi di decriptaggio etc. non è rilevante, corrispondendo all'analoga previsione interna che non obbliga ad alcuna ostensione degli "attrezzi virtuali". 18 Non risulta, invece, essere stato posto alcun limite all'accesso al materiale sequestrato/intercettato. Nulla, in conclusione, pone in dubbio che le prove richieste siano state acquisite in Francia con procedimento garantito, su disposizione di un giudice e nel pieno rispetto dei diritti fondamentali, con uno standard, comunque, di tutela dei diritti della difesa non inferiore a quello italiano, che si tratti di sequestro di documentazione/corrispondenza o di intercettazioni ex art. 266 e 266 bis cod. proc. pen. 4. I motivi del ricorso Ciò di cui si è dato sin qui conto consente di valutare le deduzioni difensive e impone di ritenerne l'infondatezza. Deve in primo luogo escludersi che l'attività di acquisizione e di decifrazione di tali dati comunicativi rientri nel novero delle attività d'intercettazione, poiché queste ultime, come si è detto, postulano la captazione di un flusso di comunicazioni in atto, di tal che non è applicabile la relativa disciplina processuale contenuta negli artt. 266 e ss. del codice di rito, la cui estensione alle intercettazioni dei flussi di comunicazioni relativi a sistemi telematici ovvero intercorrenti tra più sistemi telematici è prescritta dall'art. 266- bis cod. proc. pen. E di ciò dà atto la stessa ordinanza impugnata, che, a p. 5, evidenzia come nel caso in esame si sia in presenza di un'attività di acquisizione ex post di dati risultanti da precedenti, già avvenute e terminate comunicazioni via chat, dati ai quali va riconosciuta, secondo quanto sopra indicato, la natura di corrispondenza. Nella pagina successiva l'ordinanza di riesame rileva che: - dalla documentazione versata in atti risulta che la polizia giudiziaria francese in esecuzione di ordini provenienti dalla corrispondente autorità giudiziaria procedeva all'estrazione delle informazioni richieste riguardanti la messaggistica Sky Ecc relativa agli ID richiesti;
- gli esiti di tale estrazione, effettuata sotto il controllo della Autorità giudiziaria francese, e non di iniziativa della Polizia francese, venivano poi trasmessi alla Procura di Roma richiedente, che, attraverso la Polizia giudiziaria, procedeva all'analisi dei files inviati;
- i dati acquisiti sono poi confluiti, così come trasmessi dall'Autorità giudiziaria francese, nel procedimento penale in esame. La difesa, pur non sostenendo la applicabilità della normativa sulle intercettazioni, lamenta che, difettando ogni indicazione circa le modalità di acquisizione delle stesse ad opera della Polizia giudiziaria francese, non sarebbe possibile scrutinare il percorso di acquisizione di quei dati e verificarne la legittimità. 19 La censura trascura di considerare come l'acquisizione delle chat da parte della Autorità giudiziaria italiana sia avvenuta, del tutto legittimamente, con Ordine Europeo d'Indagine avente a oggetto una prova acquisibile nello Stato di emissione ed eseguito in conformità a quanto previsto nello Stato di esecuzione per il compimento di un analogo atto di acquisizione probatoria (ovvero il trasferimento di prove tra procedimenti), dovendosi certamente presumere il rispetto di tale disciplina e dei diritti fondamentali, salvo concreta verifica di segno contrario. Si richiama, per il resto, quanto osservato, a questo proposito, nel paragrafo 3.2. del «Considerato in diritto». 5. Si evidenzia, in conclusione, che le attività investigative in questione, relative alle piattaforme criptate, sono state ritenute correttamente svolte sia dalla Corte di cassazione (sentenza del 2 aprile 2022), che dalla Corte costituzionale NC (decisione citata). Si può e si deve pertanto ritenere, in assenza di specifiche deduzioni di segno diverso, che l'Autorità giudiziaria francese si sia resa garante del rispetto delle procedure dello Stato di esecuzione, nonché della trasmissione dei dati all'autorità italiana richiedente e che la procedura utilizzata dalla Francia per l'acquisizione delle chat abbia offerto le stesse garanzie che sarebbero state offerte in Italia. La situazione delineata dalla difesa non corrisponde a quella esaminata in altra recente pronuncia della Corte di cassazione (Sez. 4, n. 32915 del 15/07/2022, Lori, non mass.). In quell'occasione la difesa aveva lamentato la mancata messa a disposizione da parte del Pubblico ministero della «documentazione (comprensiva dei file) consegnata da Europol nel mese di marzo 2021, a seguito dell'accesso ai server di Sky Ecc, con indicazione delle modalità di acquisizione da parte della stessa Europol dei dati in oggetto dai server, con annessi verbali, nonché i verbali delle attività compiute dagli investigatori italiani per fini di polizia di cui alla dichiarata analisi preliminare», con la motivazione che si trattasse di atti estranei al fascicolo processuale, trattandosi di «scambi informativi tra forze di polizia di paesi diversi che, in quanto tali non sono processualmente utilizzabili». Tale documentazione nella citata sentenza era stata posta dalla Corte alla base di una più ampia valorizzazione del contraddittorio. 6. Quanto ai motivi sulle esigenze cautelari, quello relativo alla mancata indicazione del termine, con riferimento all'art. 274 lett. a) cod. proc. pen. è infondato, stante la contestazione anche di altra esigenza cautelare e cioè il pericolo di reiterazione del reato. Quest'ultima è stata puntualmente motivata avendo riguardo al fatto che l'indagato, insieme al fratello RT, risulta attinto 20 da altro titolo che lo vede associato a delinquere ex art. 74 d.P.R. 309/90, con la qualità di capo. 7. Al rigetto consegue, ai sensi dell'art. 616 cod. proc. pen., la condanna di AN al pagamento delle spese processuali. Non derivando dalla presente decisione la rimessione in libertà del ricorrente deve disporsi - ai sensi dell'art. 94, comma 1-ter, delle disposizioni di attuazione del codice di procedura penale - che copia della stessa sia trasmessa al direttore dell'istituto penitenziario in cui l'indagato trovasi ristretto, perché provveda a quanto stabilito dal comma 1-bis del citato articolo 94.
P. Q. M.
Rigetta il ricorso e condanna il ricorrente al pagamento delle spese processuali. Manda alla cancelleria per gli adempimenti di cui all'art. 94, comma 1-ter, disp. att. cod. proc. pen. Così deciso, il 27 settembre 2023.