(relazione presentata all’incontro di studio sul tema, organizzato dalla Camera Penale “Vittorio Chiusano” del Piemonte Occidentale e Valle d’Aosta in data 21 aprile 2008)
La Convenzione.
La seconda sezione della Convenzione di Budapest è dedicata a disposizioni di diritto procedurale.
La Convenzione si muove su tre direttrici:
1) definizione dell’ambito di applicazione delle misure processuali previste (art.14);
2) previsione di misure per l’acquisizione di dati informatici (artt.19, 20 e 21);
3) previsione di misure coattive per ottenere tali dati da soggetti terzi (artt.16, 17 e 18).
L’ambito di applicazione è particolarmente rilevante in quanto comprende oltre ai reati informatici puri, anche i c.d. reati informatici “spuri”, ovvero quelli comuni commessi attraverso un sistema informatico, nonché l’insieme delle prove elettroniche di un reato (rectius, reati che possono essere provati mediante prove elettroniche).
Le misure di acquisizione dei dati informatici si incentrano da un lato su disposizioni in tema di raccolta in tempo reale di dati sul traffico e dati relativi al contenuto di comunicazioni (intercettazioni), dall’altro sulla necessità che gli ordinamenti interni adottino misure legislative per consentire alle proprie autorità l’accesso, la perquisizione ed il sequestro di dati informatici, incluso il potere di fare e trattenere copie degli stessi mantenendo l’integrità dei dati originari.
Le misure coattive consistono, invece, in misure legislative che la Parte che aderisce alla Convenzione deve adottare al fine di garantire la conservazione di dati informatici e di traffico, anche se detenuti presso terzi (in particolare presso i provider) con relativo obbligo in capo al soggetto terzo di proteggere e mantenere l’integrità dei dati per il periodo di tempo necessario alle autorità competenti ad ottenere la loro divulgazione. Il termine è fissato in 90 giorni, rinnovabili.
I fornitori di servizi possono inoltre essere obbligati a fornire ogni informazione relativa agli abbonati, dal tipo di servizio di comunicazione utilizzato a qualsivoglia elemento relativo all’identità dell’abbonato stesso (indirizzo, telefono, dati di fatturazione, etc.).
Le disposizioni sono suggellate da due principi fondamentali, espressi nell’art.15, che impone alle Parti aderenti da un lato di assicurarsi che le misure adottate negli ordinamenti interni rispettino i diritti umani e delle libertà di cui alla Convenzione europea dei diritti umani e alla Convenzione internazionale delle Nazioni Unite del 1966 sui diritti civili e politici, dall’altro che rispettino il principio di proporzionalità tra misure adottate e natura dei reati.
I principi sono stati introdotti a seguito di un intervento del Gruppo dei Garanti europei per la protezione dei dati personali i quali avevano sottolineato come le attività di cooperazione internazionale comportino necessariamente lo scambio di dati personali. Il tema è ancor più rilevante se si considera che la Convenzione è aperta anche a Stati non appartenenti all’Unione Europea le cui legislazioni interne possono differire, anche notevolmente, dalle regole di armonizzazione europee in materia di tutela dei dati personali [1].
La legge di ratifica ha operato sotto due profili: implementazione di alcune disposizioni del codice di procedura penale già esistenti con espresso riferimento all’ambito informatico ed introduzione di disposizioni ex novo.
La prova elettronica come sottospecie delle prova scientifica.
Prima di passare a vedere come l’Italia ha adeguato l’ordinamento interno ai principi dettati dalla Convenzione, pare però opportuno fare una premessa di carattere generale sul concetto di prova informatica e più diffusamente di prova scientifica.
L’importanza che la prova scientifica riveste oggi nel processo è di tutta evidenza.
Le ragioni sono facili da rinvenire nel bisogno di certezza insito in ogni giudizio di responsabilità, in modo particolare quello penale.
La prova scientifica (dai tradizionali esami medico-legali e balistici alle più recenti analisi chimiche, biologiche, tossicologiche fino all’analisi del DNA e delle tracce elettroniche) viene dunque sempre più privilegiata rispetto alla prova dichiarativa e ciò dipende indubbiamente dal diverso valore probante delle due.
Si pensi, a titolo esemplificativo, che il riconoscimento effettuato mediante ricognizione personale ha un margine di errore del 4%, mentre l’identificazione a mezzo del profilo genetico con l’utilizzo di 10 STR contempla un margine di errore di 1/1 Mld [2].
L’ordine di grandezza dell’errore scientifico è dunque talmente piccolo se paragonato all’errore umano da potersi praticamente fregiare di un connotato di quasi certezza tale da indurre il legislatore a ricorrere sempre più spesso a siffatta opzione probatoria [3].
Tuttavia, il rapporto scienza e processo è estremamente delicato, per ragioni metodologiche, ma anche per l’impossibilità della legge processuale di recepire la legge scientifica tout court[4].
Quanto al metodo, scienza e processo sono in antitesi in quanto mentre la prima procede per metodo induttivo fondato su esperimenti empirici e la sua evoluzione è data da assunti (e dal progressivo superamento degli stessi) basati su errore, dubbio e dialettica, il processo è un metodo deduttivo, prettamente autoritario (autorità della legge e del giudice che la applica) che impone soluzioni univoche, immutabili ed insindacabili, in cui il dubbio e l’errore sono elementi disturbanti da estirpare (basti pensare al concetto dell’”al di là di ogni ragionevole dubbio” sancito dall’art.533 c.p.p) [5].
In ordine invece al recepimento della scienza nel processo, la legge non può per definizione né fissarne il contenuto epistemologico, né codificarla in protocolli predefiniti. Del resto, se così non fosse, si tornerebbe all’equazione prova scientifica = prova legale, principio che, pur rappresentando la più pericolosa delle derive prospettabili, non è oggi assolutamente ipotizzabile.
Il principio della libertà della prova in materia penale consente, invece, l’ingresso nel processo di prove tecnico-scientifiche sempre nuove e innovative [6].
Diventa, tuttavia, dirimente, a garanzia del diritto di difesa, la modalità con cui la prova viene acquisita, specie laddove il contenuto della prova in sé è talmente tecnico che non lascia spazio ad argomentazioni difensive di merito.
All’interno del genus prova scientifica, la prova informatica rappresenta una sottospecie connotata da ulteriori peculiarità che schiudono a loro volta ulteriori questioni giuridiche.
La prova informatica o elettronica (la c.d. digital evidence) è infatti connotata da due caratteristiche: fragilità e immaterialità.
Le tracce elettroniche sono fragili in quanto facilmente alterabili, danneggiabili e distruttibili.
La fragilità della traccia elettronica è congenita ed intrinseca; prescinde dunque da ipotetiche manipolazioni dolose ma sin anche da eventuali comportamenti colposi posti in essere da chi interviene su di esse.
Basta por mente a tutti gli strumenti di back-up e disaster recovery previsti dai sistemi di sicurezza (alcuni anche imposti per legge a protezione dei dati personali [7]) per comprendere che la perdita casuale di dati è talmente frequente da porsi come problema cogente che necessita di soluzioni ad hoc.
Sotto un profilo più propriamente tecnico-giuridico, va rilevato come anche la sola accensione di un computer spento o l’apertura di un file comporti l’aggiornamento dell’orario di accesso compromettendo quello precedente, così come il mancato utilizzo di un text editor nella fase di copiatura può compromettere la genuinità del testo originario.
Gli argomenti tecnici sono di tutta evidenza ed indiscutibili, tuttavia la giurisprudenza non sempre si è dimostrata sensibile sul punto. Il risultato è stato un contrasto giurisprudenziale di non poco conto.
Due sentenze paiono di particolare interesse.
La prima del Tribunale di Bologna [8], relativa ad un’imputazione di 615 ter e quinquies c.p. (l’art.615 ter è poi caduto in appello) è la sentenza sul noto caso “Vierika” [9], in cui i giudicanti hanno negato una perizia tecnica chiesta dalla difesa sulla scorta dell’assunto che i metodi usati dalla P.G. per l’acquisizione degli elementi probatori potessero condurre a risultati non attendibili, osservando come “ Non è compito di questo Tribunale determinare un protocollo relativo alle procedure informatiche forensi, ma semmai verificare se il metodo utilizzato dalla p.g. nel caso in esame abbia concretamente alterato alcuni dei dati ricercati”.
La seconda, emessa dal Tribunale di Pescara [10], ha invece assolto l’imputato dal reato di cui all’art.528 c.p., dopo che il perito nominato in dibattimento aveva concluso di “…essere impossibilitato ad ogni considerazione, non essendo riuscito ad acquisire le pagine web nel formato digitale, al fine di valutarne contenuto e caratteristiche tecniche”.
La fragilità del dato informatico impone dunque che venga in primis salvaguardata la sua integrità.
L’immaterialità del dato dà adito, invece, ad alcune riflessioni in tema di sequestro.
Oggetto di sequestro probatorio, ai sensi dell’art.253 c.p.p., sono il “corpo del reato” (cioè le cose sulle quali o mediante le quali il reato è stato commesso nonché le cose che ne costituiscono il prodotto, il profitto o il prezzo) e le “cose pertinenti al reato”: corpo e cose sono concetti profondamente materiali e secondo attenta dottrina mal si conciliano con l’immaterialità tipica delle tracce informatiche [11].
Anche sotto questo profilo la giurisprudenza si è dimostrata altalenante.
A fronte di una tristemente famosa ordinanza del Tribunale del Riesame di Torino (invero ormai un po’ risalente nel tempo) [12], in cui pur disponendo la restituzione di un computer si giudicava legittimo l’operato della Procura che aveva proceduto a sequestrare l’intero hard disk, si pone la recente ed interessantissima pronuncia della Suprema Corte [13] sui limiti del ricorso al sequestro della memoria del computer di un giornalista.
Il principio ivi espresso è quello, assolutamente condivisibile, secondo cui il sequestro di un intero hard disk non può essere avallato poiché consentirebbe anche l’acquisizione di dati che esulano dal contesto per il quale l’atto è disposto, con potenziale lesione dell’art. 21 Cost. in tema di libertà di stampa e l’art. 15 Cost. in tema di segretezza della corrispondenza.
Oltre alla potenziale lesione di diritti costituzionalmente protetti (si pensi anche alla riservatezza), va osservato che la perquisizione ed il sequestro probatorio sono mezzi di ricerca della prova e non strumenti di acquisizione di una notitia criminis e dunque non possono essere eseguiti indiscriminatamente, necessitando sin dai relativi decreti autorizzativi l’indicazione delle fattispecie criminose contestate e dei fatti specifici in relazione ai quali si ricercano corpi del reato o cose ad esso pertinenti [14].
Le modifiche al codice di procedura penale.
Vediamo quindi se e come la L.48/08 abbia, con le modifiche apportate al codice di procedura, introdotto novità che possano incidere sul quadro sopra delineato.
Gli artt. 8 e 9 della legge modificano le disposizioni codicistiche in materia di ispezioni, perquisizioni e sequestri, operati dal Pubblico Ministero o, in caso di urgenza, dalla Polizia Giudiziaria adattandoli espressamente alle realtà informatiche.
Particolarmente rilevanti gli incisi aggiunti agli artt. 244, 247 c.p.p. (e parimenti agli artt.352 e 354 c.p.p.) che impongono all’Autorità Giudiziaria, in sede di ispezioni o perquisizioni di sistemi informatici o telematici, di adottare “misure tecniche dirette ad assicurare la conservazione dei dati originali e ad impedirne l’alterazione”.
Si tratta di interventi legislativi non previsti nel disegno di legge emanato dal Governo [15] ed inseriti nel testo rilasciato dal Senato grazie ad emendamenti sollecitati da un gruppo di giovani esperti all’uopo interpellati dal relatore del testo legislativo [16]. La loro importanza è somma atteso che prescrivono l’adozione obbligatoria di procedure che garantiscano l’integrità dei dati informatici anche a seguito di un intervento da parte dell’Autorità Giudiziaria, salvaguardando il diritto di difesa.
Come correttamente è stato detto, è una sorta di positivizzazione di prassi investigative informatiche già in uso ma non standardizzate [17].
Certo sarebbe forse stato meglio il riferimento o il richiamo a best practice riconosciute tali ed espressamente disciplinate - magari con regolamentazione secondaria in grado di agevolarne l’aggiornamento - tuttavia non v’è dubbio che con tali incisi possano fare ingresso ufficiale nel processo alcuni strumenti tecnici già utilizzati da personale investigativo specializzato e sulla cui validità scientifica vi è ampio consenso.
Uno di questi è sicuramente il write blocker[18], ovverosia uno strumento hardware che garantisce la sola lettura del supporto oggetto di investigazione, impedendo qualsivoglia scrittura, anche inavvertita, su di esso.
Un altro strumento è senza dubbio il calcolo del valore di hash[19]. Si tratta di una funzione univoca che calcola mediante algoritmo il valore in bit di un file. Ad ogni file corrisponde infatti un solo determinato valore di hash che lo contraddistingue; se il file viene modificato, ricalcolando l’ hash, il valore sarà diverso; inoltre, come detto, l’ hash è univoco, nel senso che non è possibile da esso ricostruire il file sottostante [20], il che garantisce un buon livello di sicurezza ed integrità del dato analizzato.
Lo stesso procedimento ha un ulteriore indiscusso vantaggio: consente di creare infinite perfette clonazioni dell’originale su cui è poi possibile effettuare analisi senza rischio di contaminazione e/o perdita del materiale originale.
Sotto questo profilo, le modifiche apportate dalla L.48/08 non paiono però soddisfacenti.
Il dettato del nuovo art.254 bis, e gli artt.256, 260 e 354 c.p.p. prescrivono, infatti, l’acquisizione di dati informatici “mediante copia…su adeguato supporto, con una procedura che assicuri la conformità dei dati acquisiti a quelli originali e la loro immodificabilità”.
Orbene, tecnicamente il termine copia non è affatto rassicurante.
La copia infatti consente di duplicare il dato, o meglio il suo contenuto, da un supporto (ovverosia qualsivoglia memoria di massa: dall’hard disk alla pen drive) ad un altro, ma non garantisce, ad esempio, la stessa collocazione del dato sul supporto.
Il metodo più sicuro è invece quello dell’immagine in bitstream, un sistema cioè capace di creare un duplicato perfettamente identico all’originale sia dal punto di vista logico che fisico (nel senso che rispetta l’esatta allocazione dei file e delle parti prima facie vuote).
La legge parla di copia, il che potrebbe suggerire eventuali interpretazioni tese a legittimare procedure non rispettose delle migliori soluzioni informatiche in materia, pericolo che una terminologia tecnica più precisa avrebbe evitato.
Un riferimento più esplicito alla bistream image sarebbe stato auspicabile perché in caso di copia anche il calcolo del valore di hash può non essere una procedura sufficientemente sicura.
Infatti, se si interviene con un semplice copia/incolla o con un trascinamento, il valore di hash del secondo file sarà identico al primo, ma diversi saranno i c.d. metadata, come ad esempio l’orario di creazione del file[21]: come dire, l’ hash garantisce il contenuto ma non i dati esterni del file che pure potrebbero essere utili a fini investigativi.
Sempre in tema di perquisizioni, particolare attenzione merita il nuovo comma 1 bis dell’art.352 c.p.p. laddove prevede che gli ufficiali di P.G., nella flagranza di reato e nell’ipotesi di esecuzione di un’ordinanza di custodia cautelare o di un ordine di esecuzione, possano procedere alla perquisizione di sistemi informatici, ancorché protetti da misure di sicurezza.
Ci si chiede se la norma consenta agli operanti di accedere ad un sistema violandone le misure di sicurezza.
La questione è particolarmente delicata in quanto la norma potrebbe legittimare anche perquisizioni on line, ovvero l’accesso degli operanti ad un sistema informatico all’insaputa del destinatario [22].
La risposta alla domanda non è di poco conto se solo si pensa alla possibilità di eseguire da parte della P.G. attività di perquisizione per reati pedopornografici con disapplicazione di fatto del disposto di cui all’art.14, L.269/98 (attività di contrasto sotto copertura), ovvero in materia di diritto d’autore.
Vedremo quale sarà l’applicazione concreta della norma, ma a tal proposito, pare opportuno menzionare una recentissima sentenza con cui la Corte Costituzionale tedesca [23] ha dichiarato l’incostituzionalità della legge di un land che prevedeva la possibilità, anche in capo alle forse dell’ordine, di effettuare accessi occulti ai sistemi informatici degli utenti per monitorarne il contenuto [24].
Passiamo ad analizzare le novità legislative in materia di sequestro.
L’art.253 c.p.p. non è stato oggetto di intervento per cui rimane irrisolto il problema della sequestrabilità del dato informatico ex se, soprattutto alla luce del fatto che la L.48/08 da un lato ha abrogato il secondo comma dell’art.491 bis c.p. che dava una definizione in un certo senso “fisica” di documento informatico, legandolo strettamente ad un supporto su cui era registrato (“il documento informatico è …il supporto”), dall’altro non ha recepito la definizione di dato informatico fornito dalla Convenzione di Budapest, se non in maniera indiretta dando esecuzione cioè all’intera Convenzione.
Il legislatore è invece intervenuto massicciamente sull’art.254 c.p.p. (sequestro di corrispondenza), riscrivendone il primo comma, con la previsione in capo all’Autorità Giudiziaria di procedere al sequestro presso i fornitori di servizi postali, telegrafici, telematici o di telecomunicazioni di lettere, pieghi, pacchi, valori, telegrammi e altri oggetti di corrispondenza, anche se inoltrati per via telematica.
Orbene, è stato osservato [25] come la norma in esame ponga un problema interpretativo di non poco conto: possono essere oggetto di sequestro e-mail o messaggi SMS/MMS?
Il dettato letterale del nuovo art.254 c.p.p., in effetti, parrebbe consentire siffatta interpretazione, ma, trattandosi del contenuto di comunicazioni telematiche non si comprende, anche alla luce dei severi orientamenti giurisprudenziali in materia, come potrebbe essere superato il più garantista regime di acquisizione previsto dall’art.266 bis, c.p.p. Con il che sfugge, però, l’esatta portata dell’intervento legislativo.
È poi stato introdotto un nuovo articolo, il 254 bis c.p.p., il quale prescrive che quando l’Autorità Giudiziaria dispone un sequestro presso i fornitori di servizi informatici, telematici o di telecomunicazioni dei dati da questi detenuti, compresi quelli di traffico e di ubicazione, può stabilire per esigenze di regolare fornitura dei servizi medesimi, di acquisire tali dati mediante copia lasciando al fornitore l’onere della conservazione degli originali.
Sono doverose tre osservazioni:
1) innanzitutto la procedura prevista è facoltativa e non obbligatoria;
2) se si adottano le tecniche di acquisizione di cui si è prima parlato (bitsteam image), non ha più senso far riferimento ad un originale e quindi stabilire un onere di conservazione perché tutte le c.d. copie sono di fatto tanti originali e l’unico elemento che potrebbe contraddistinguere l’originale sarebbe l’elemento temporale di creazione su un determinato supporto e dunque comunque un elemento esterno rispetto al dato acquisito e pertanto irrilevante;
3) non si comprende perché siffatta procedura, invero molto intelligente, non sia stata prevista per l’acquisizione di dati informatici anche presso altri soggetti che potrebbero subire disagi in caso di sequestro.
Dalla disamina emerge dunque un quadro, in tema di sequestro, che poco differisce rispetto al precedente e non risolve i problemi che si sono spesso verificati in passato.
Verosimilmente nell’intenzione del legislatore il nuovo approccio ai mezzi di ricerca della prova è nel senso di favorire senza ombra di dubbio l’attività di ispezione, atto irripetibile, i cui verbali potrebbero far diretto ingresso in dibattimento a discapito di un sequestro mirato che consentirebbe invece di procedere in un secondo momento con un accertamento tecnico ex art.360 c.p.p. con maggiori garanzie per l’indagato.
Nella pratica, considerate le scarse risorse a disposizione della Giustizia (la L.48/08 non prevede oneri per la sua attuazione se non a favore del CNCPI, il Centro nazionale per il contrasto della pedopornografia sulla rete internet), è probabile che si procederà, come oggi, ad ispezione solo in casi rarissimi (in costanza di arresto o quando si tratti di dati conservati presso terzi che non possono fermare la loro attività produttiva, ad es. ISP o banche), mentre nell’ordinaria amministrazione si continuerà a procedere col sequestro dell’intero materiale di supporto, con buona pace dell’esigenza di salvaguardia dei diritti costituzionalmente protetti di cui si è sopra parlato.
Ma vi è di più.
Quid juris se ispezioni e perquisizioni non venissero eseguiti con le garanzie di integrità dei dati previsti dalla legge?
La risposta è sconfortante se è vero che la giurisprudenza si è più volte pronunciata [26] ritenendo che l’esigenza di assicurare al processo il corpo del reato o delle cose ad esso pertinenti supera anche il limite di una perquisizione illegittima effettuata senza l’autorizzazione del magistrato e fuori dei casi e dei modi stabiliti dalla legge.
Come dire, tutta la portata positiva a livello tecnologico anche a fini difensivi potrebbe risultare vanificata da un’interpretazione giurisprudenziale restrittiva.
La modifica dell’art.132, D. L.vo 196/03.
La L.48/08 interviene poi sul codice privacy modificando l’art.132 relativo alla conservazione dei dati di traffico da parte dei fornitori di servizi informatici e telematici, introducendo un comma 4 ter che prevede in capo al Ministro dell’Interno o, su sua delega, alle forze dell’ordine, il potere di ordinare, anche su richiesta avanzata da un’autorità straniera, ai fornitori e agli operatori di servizi informatici o telematici di conservare e proteggere per 90 giorni, prorogabili fino a sei mesi, i dati di traffico telematico, escluso il contenuto, per lo svolgimento delle investigazioni di cui all’art.226 norme coord. c.p.p. ovvero per l’accertamento e la repressione di “specifici reati”.
L’art.132, D. L.vo 196/03 è norma fondamentale nella disciplina di tutela dei dati personali ma assai poco conosciuta.
Spesso non si sa che quando si parla di data retention ci si riferisce alla conservazione dei dati di traffico telefonico e telematico, così come spesso sfugge, anche all’informazione di settore, l’importanza di alcuni interventi del Garante per la protezione dei dati personali a tutela dei cittadini in un campo come quello delle comunicazioni che interessa tutti da vicino [27].
Vediamo, dunque, in sintesi, l’esegesi e l’attuale contenuto dell’art.132, D. L.vo 196/03.
La norma, nella sua versione originale, constava di un solo comma che imponeva al fornitore di servizi la conservazione dei dati di traffico telefonico (i c.d. tabulati telefonici) per finalità di accertamento e repressione di reati per trenta mesi.
La disposizione era perfettamente in linea con il principio sancito dalla direttiva 2002/58/CE sul trattamento dei dati personali e sulla tutela della vita privata nel settore delle comunicazioni elettroniche, secondo cui i dati di traffico devono essere cancellati o resi anonimi quando non sono più necessari ai fini della trasmissione della comunicazione, salve eccezioni correlate alla salvaguardia dell’ordine pubblico, della repressone di reati o uso non autorizzato del sistema di comunicazione elettronica.
Già nel dicembre 2003 [28] la disposizione veniva modificata nel senso di prevedere la conservazione per 24 mesi, prorogabili di ulteriori 24 esclusivamente per l’accertamento e la repressione dei delitti di cui all’art.407, 2° co., lett.a), c.p.p [29].
La norma fu aspramente criticata [30] in quanto prevedeva la conservazione dei soli dati di traffico telefonico e non di quelli di traffico telematico con grave detrimento per le indagini informatiche in cui i c.d. file di log (indirizzo IP, data, ora e durata dell’accesso, destinatario in caso di posta elettronica e telefonia a mezzo internet) sono dati fondamentali specie per l’identificazione dell’autore dell’azione criminosa.
Nel luglio 2005 interveniva il c.d. decreto Pisanu [31], che sotto l’egida della lotta al terrorismo, inseriva nella norma i dati di traffico telematico (ovviamente escludendone i contenuti, sempre sottoposti alla disciplina rigorosa delle intercettazioni) e le chiamate senza risposta e prevedeva due diversi regimi temporali di conservazione: 24 mesi + 24 per i dati di traffico telefonico; 6 mesi + 6 per dati di traffico telematico.
Il decreto stabiliva, inoltre:
1) maggiori poteri alla magistratura inquirente prevedendo l’acquisizione dei dati di traffico con semplice decreto motivato del P.M. anziché del G.I.P.[32];
2) un obbligo di identificazione e monitoraggio dei clienti in capo ai gestori di esercizi pubblici o circoli privati che mettono a disposizione del pubblico terminali utilizzabili per comunicazioni telematiche;
3) sospensione dell’applicazione delle disposizioni di legge che prevedono la cancellazione dei dati di traffico telefonico e telematico sino al 31 dicembre 2007, termine che è stato prorogato con decreto “milleproroghe” 2007[33] a tutto il 31 dicembre 2008.
Ebbene, come sottolineato con apprensione dal Garante per la protezione dei dati personali con lettera al Parlamento e al Governo del gennaio 2008[34], il periodo di conservazione può oggi arrivare quasi sino a otto anni, un lasso di tempo che non è assolutamente conforme con i termini previsti dalla direttiva 2006/26/CE (c.d. direttiva Frattini) in tema di conservazione dei dati di traffico a fine di indagine, che prevede per la conservazione dei dati un termine minimo di sei mesi e massimo di 24[35].
All’interno di questo quadro assai complesso ed articolato, si pone ora (a complicare le cose!) il nuovo comma 4 ter, L.48/08 che apre nuove problematiche tra cui pare doveroso fare cenno a tre:
1) è pacifico[36] che l’art.132, D. L.vo 196/03 si applica ai fornitori di una rete pubblica di comunicazioni o di un servizio di comunicazione elettronica accessibile al pubblico (c.d. access e service provider), mentre l’art. 4 ter, L.48/08 cita non soli i fornitori ma anche gli operatori di servizi informatici o telematici, il che significa che sono destinatari della norma anche i c.d. content provider[37];
2) l’art.4 ter parla di “specifici reati” ma non indica quali ed è dunque norma troppo generica in relazione al tipo di diritto (alla riservatezza) compresso;
3) l’art.4 ter impone ai fornitori di servizi particolari modalità di custodia dei dati e, eventualmente, la loro indisponibilità sin anche ai fornitori stessi. La disposizione può leggersi in correlazione con la nuova formulazione dell’art.259 c.p.p. che prevede in capo al custode di dati informatici sequestrati dell’obbligo di impedirne l’alterazione e l’accesso da parte di terzi. Le due norme pongono a carico dei fornitori di servizi di comunicazione (la seconda a carico di chiunque, ma verosimilmente saranno gli ISP i più interessati) oneri di carattere tecnico non indifferenti, ma che si rendono necessari proprio perché si demanda a privati un’attività di supporto all’Autorità Giudiziaria[38]. Ovviamente, la legge nulla dice in merito alle procedure da seguire, ma sul tema è, fortunatamente, intervenuto il Garante privacy stabilendo, con provvedimento generale del 17 gennaio 2008[39], misure e accorgimenti, anche di carattere tecnico (sistemi di autenticazione e autorizzazione, conservazione separata, audit log, cifratura e protezione dei dati) a garanzia degli interessati.
La modifica dell’art.51 c.p.p.
Da ultimo, l’art.11, L.48/08 aggiunge all’art.51 c.p.p. il comma 3 quinquies che attribuisce all’ufficio del P.M. presso il Tribunale del capoluogo del distretto le funzioni per i reati informatici puri e per i reati di prostituzione e pornografia minorile.
A commento può dirsi che, a parte il fatto che il legislatore ha incautamente dimenticato di inserire nell’elenco, peraltro tassativo, dei reati il nuovo art.635 quinquies c.p., si tratta di una disposizione la cui efficacia potrebbe essere fortemente ridotta dalla mancata previsione di un coordinamento nazionale paragonabile alla Direzione nazionale antimafia, nonché dal mancato richiamo al comma 3 ter dell’art.51 che prevede la possibilità che per il dibattimento le funzioni di pubblico ministero possano essere esercitare dal P.M. presso il giudice competente.
Avv. Monica Alessia Senor - apriel 2008
(riproduzione riservata)
[2] Cfr. Cocito, La sicurezza del DNAbase: dall’infrastruttura fisica a quella logica, relazione svolta al convegno IBLC Gen-Etica e Biobanche: tra mercato e schedatura giudiziaria, Milano 8 aprile 2008.
[3] Si pensi al nuovo reato di guida in stato di ebbrezza e alla capacità probante assegnata all’alcol-test.
[4] Cfr. Dominioni, La prova penale scientifica, Giuffrè, 2005, pagg. 26 e ss.
[5] Cfr, sul punto l’attenta analisi di D’Auria, Prova penale scientifica e “giusto processo”, in Giust. Pen., 2004, I, 20.
[6] Cfr. Canzio, Prova scientifica, ragionamento probatorio e libero convincimento del giudice nel processo penale, in Dir. Pen. proc., 2003, 1193.
[7] Il riferimento è alle misure di sicurezza previste dal disciplinare tecnico, All.B, del D. L.vo 196/03.
[9] Vierika è un programma informatico rientrante nella categoria dei virus (programmato in Visual Basic Script) che funzionava grazie all’interazione di due script differenti: il primo era allegato apparentemente come un file di immagine (jpg) ad una e-mail e, una volta eseguito, agiva sul registro di configurazione di Windows, abbassando al livello minimo le impostazioni di protezione del browser Internet Explorer ed inserendo come home page una determinata pagina web. Il secondo script era contenuto in un documento html e si attivava quando l’utente, collegandosi in internet, veniva automaticamente indirizzato alla pagina che il primo script aveva impostato come home page. L’effetto di questo secondo script era di creare un file nel disco rigido e di produrre un effetto di mass-mailing, inviando a tutti gli indirizzi contenuti nella rubrica di Outlook una e-mail con il primo script in modo tale da autoreplicare Vierika all’infinito.
[11] Cfr. Costabile, Scena criminis, documento informatico e formazione della prova penale, in Diritto Inf. e Informatica, 2005, 531 e ss.; Marcellino, Principio di pertinenza e sequestri di computer… in Italia lo scandalo continua?, al link http://www.erasmi.it/monografie/sequestri-computer.html .
[13] Cfr. Cass., sez. I pen., 16 febbraio-4 luglio 2007, n.25755, in Guida al Diritto, 2007, n.31, pag. 57 e ss, con nota di Cisterna; cfr. anche l’ordinanza impugnata, emessa dal Tribunale di Brescia in data ottobre 2006, pubblicata su http://www.ictlex.net/index.php/2006/10/04/trib-riesame-di-brescia-ord-4-ottobre-2006, nonché il commento di Falcone, Segreto giornalistico ed esigenze processuali, su http://www.altalex.com/index.php?idnot=39939 .
[14] Cfr. Cass, Sez. V penale, 2 marzo 1995, n.649, in Cass. Pen., 1996, 892, con nota di Baccari.
[20] Va peraltro segnalato che già da alcuni anni la piattaforma comunemente usata per il calcolo dell’hash, l’MD5, è stata dimostrata inaffidabile da un gruppo di scienziati cinesi per la possibilità di collisioni e si è passati dunque al SHA-256 che genera una stringa di 256 bit; per maggiori informazioni sul punto, cfr. Giustozzi, Hash vulnerabili, ma la firma digitale resta sicura, al link http://www.interlex.it/docdigit/corrado19.htm.
[21] Il dettaglio tecnico è stato messo in evidenza da Costabile nel suo intervento (attualmente non pubblicato) all’ IISFA Forum 2008, Bologna 18/19 aprile 2008.
[22] L’osservazione è stata sollevata da Gammarota nel suo intervento (attualmente non pubblicato) all’IISFA Forum 2008, sopra cit.
[24] La pronuncia tedesca si pone nella scia dell’animata discussione in sede europea in ordine al caso “Peppermint” che in Italia ha trovato soluzione con un provvedimento di divieto di trattamento dei dati personali relativo a soggetti ritenuti responsabili di aver scambiato file protetti da diritto d’autore tramite reti peer-to-peer emesso dal garante in data 28 febbraio 2008, al link http://www.garanteprivacy.it/garante/doc.jsp?ID=1495246; per un ampio commento al caso cfr. Blengino-Senor, Il caso “Peppermint”: il prevedibile contrasto tra protezione del diritto d’autore e tutela della privacy nelle reti peer-to-peer, in Dir. Inf. e Informatica, 2007, 835.
[25] Cfr. Cisterna, Perquisizioni in caso di fondato motivo, in Guida al Diritto, 2008, 16, pag. 67.
[26] Cfr. Cass, Sez. un. penali, 27 marzo 1996, in Dir. Pen. e Processo, 1996, 1122, con nota di Lupacchini; id., sez. V, 13 febbraio 2004, n.15092, in Giur. It., 2005, 809, con nota di Saponaro.
[27] Il rilievo è di Montuori, Responsabile dipartimento comunicazioni e reti telematiche presso l’Autorità Garante, con espresso riferimento ai provvedimenti emanati nei confronti di Telecom, Vodofone e H3G i quali, sebbene in diversa misura, hanno conservato, in violazione di legge, dati che riguardano la navigazione in internet e l’uso di motori di ricerca da parte degli utenti: cfr. http://www.garanteprivacy.it/garante/doc.jsp?ID=1481285.
[28] D.L. 24 dicembre 2003, n.354, convertito con modificazioni in L. 26 febbraio 2004, n.45.
[29] Il che significa 48 mesi perché è impossibile sapere preventivamente quali reati i dati possono riguardare.
[30] Cfr. Braghò, Le indagini informatiche tra esigenze di accertamento e garanzie di difesa, in Dir. Inf. e Informatica, 2005, pag. 524 e ss.
[31] D.L. 27 luglio 2005, n.144, convertito con modificazioni in L. 31 luglio 2005, n.155.
[32] La questione era anche stata oggetto su eccezione di legittimità costituzionale da parte dei Tribunali di Pavia, Cuneo e Palmi, questione rigettata per la sopravvenuta modifica legislativa dalla Corte Costituzionale con una bella sentenza interpretativa di rigetto, in data 14 novembre 2006, n.372, in Dir. Inf. e Informatica, 2007, pag. 133.
[33] D.L. 31 dicembre 2007, n.248, convertito con modificazioni in L. 28 febbraio 2008, n.31.
[35] Per un’ampia e precisa disamina della data retention italiana in rapporto alla direttiva Frattini, si legga Marcoccio, Data retention: che cosa prevede la direttiva europea, al link http://www.interlex.it/675/marcoccio2.htm.
[36] Sia per la collocazione normativa (Titolo X capo I, D. L.vo 196/03) che per quanto stabilisce espressamente il decreto Pisanu.
[37] Ai sensi degli artt.14, 15 e 16, D. L.vo 70/2003 l’attività dei prestatori di servizi è suddivisa in mere conduit, caching e hosting, le cui definizioni corrispondono a quelle di access, service e content provider.
[38] La necessità di prevedere best practice in capo agli ISP era stata da tempo segnalata da attenta dottrina, cfr. Monti, L’acquisizione della digital evidence da parte della polizia giudiziaria, al link http://www.ictlex.com/?p=48; si veda anche la sentenza con cui il Tribunale di Chieti ha assolto un imputato di art.615 quater c.p. perché l’acquisizione dei file di log presso il provider era avvenuta senza verifica da parte della P.G. delle modalità di conservazione ed estrazione dei dati da parte della società terza, cfr. Tribunale di Chieti, 30 maggio 2006, n.175, al link http://www.interlex.it/Testi/giurisprudenza/ch060530.htm.
|