la sentenza

Cassazione, fissate le modalità di acquisizione ed i limiti di utilizzabilità della messaggistica decriptata

di Leonardo Lastei, Avvocato |

Le valutazioni dell’ Avv. Leonardo Lastei sulla sentenza della Cassazione, Sez. I, n. 13535/24.

La rubrica Digital Crime, a cura di Paolo Galdieri, Avvocato e Docente di Diritto penale dell’informatica, si occupa del cybercrime dal punto di vista normativo e legale. Clicca qui per leggere tutti i contributi.

“Giovanni Falcone – ricordò più di un anno fa il procuratore nazionale antimafia, Giovanni Melillo, ascoltato dalla Commissione Giustizia del Senato – con una frase che poteva sembrare banale, diceva che i mafiosi hanno sempre una lunghezza di vantaggio rispetto a noi”.

Partendo da siffatta, amara constatazione, il legislatore europeo e poi quello nazionale hanno gradualmente improntato una disciplina organica di collaborazione fra gli inquirenti e le forze di polizia dei Paesi del nostro continente, che ha trovato nella Direttiva n. 41 del 3 aprile 2014 in materia di ordine europeo di indagine penale (OEI) e nella relativa normativa di recepimento interna, il D. Lgs. 21 giugno 2017, n. 108, la sua fonte autorevole.

Grazie a questo agile e versatile strumento investigativo, le procure di mezza Europa hanno messo in atto forme di intervento particolarmente incisive nello scambio di informazioni e nella conseguente individuazione ed arresto di soggetti inseriti a vario titolo nelle organizzazioni criminali, dedite al traffico internazionale di stupefacenti.

Vero è però che – con particolare riferimento alle più eclatanti inchieste condotte negli ultimi mesi dello scorso anno sugli affari globali della criminalità organizzata del nostro Paese – nel pur lodevole sforzo di recuperare quella lunghezza di (s)vantaggio, si sia incorsi in qualche non marginale forzatura interpretativa che non è sfuggita all’attento vaglio della Suprema Corte.

La vicenda

Nel corso del 2017 la Gendarmeria nazionale francese riusciva ad individuare nella cittadina di Roubaix un server dal quale operava la piattaforma di telecomunicazioni Encrochat, i cui servizi venivano presentati come ‘sicuri’ in quanto veicolati da criptofonini, modificati nel software e nell’hardware, al fine di non poter essere intercettati da terzi.

Tali strumenti, acquistabili in contanti o criptovalute al prezzo di 1.600 euro, si caratterizzavano  per la presenza di un sistema operativo duale con una interfaccia criptata, la rimozione di telecamera, microfono, GPS e porta usb,l’autodistruzione dei messaggi scambiati tra gli utenti mediante uno speciale codice pin o scrivendo più volte consecutivamente una password errata, nonché per l’attività di centri assistenza da remoto o rivenditori in grado di cancellare tutti i dati del dispositivo, ove necessario.

Nel 2020, dopo tre anni di lavoro, gli inquirenti francesi riuscivano a sviluppare un software del tipo trojan horse, che, caricato nel server di Roubaix e da lì installato nei dispositivi mobili degli utenti attraverso un simulato aggiornamento di sistema, portava ad ‘aprire il vaso di Pandora’ del traffico internazionale di droga nel continente europeo.

Su questo interminabile filone di indagine – e su quello che successivamente riguarderà la  piattaforma Sky-ecc, subentrata ad Encrochat – si mettevano all’opera le procure di Francia, Olanda, Germania e, da ultimo, quelle italiane.

Nel marzo del 2020, infatti, l’agenzia dell’Unione europea per la cooperazione giudiziaria penale (Eurojust) aveva dato modo di condividere, tra tutti i Paesi UE,informazioni riguardanti le misure di intercettazione su EncroChat in corso in Francia, rendendo altresì nota la volontà delle autorità transalpine di mettere a disposizione e trasferire tali dati ai Paesi interessati.

La ghiotta occasione di poter attingere ad un’autentica miniera di informazioni, prima inaccessibili, non poteva sfuggire alle procure nostrane, da tempo impegnate nella lotta alla mafia, le quali, seguendo il monito del giudice Falcone e avvalendosi dell’OEI, adottavano la “via breve” dell’acquisizione di documenti e dati informatici, normata dall’art. 234 bis c.p.p..

Tale modus procedendi, che la Sez. I della Corte di Cassazione in una delle prime pronunzie sul punto (sentenza n. 6364 del 13 ottobre 2022-15 febbraio 2023) non esitò a definire come “metodo di acquisizione libera”, si fondava su una serie di argomentazioni a sostegno.

Da una parte, quelle relative alla natura dei dati oggetto di acquisizione, che, in quanto “rappresentazioni comunicative incorporate in una base materiale con un metodo digitale”, costituirebbero vere e proprie prove documentali, come tali acquisibili ex art. 234 bis o 234 c.p.p..

Dall’altra, quelle aventi ad oggetto il regime dei controlli, per le quali, stante la natura documentale dei dati, veniva ritenuto sufficiente, ai fini della loro acquisizione, un OEI emesso dal pubblico ministero italiano, senza la necessità di una verifica da parte di un organo giurisdizionale interno, in forza della presunzione di legittimità delle attività svolte dalle competenti autorità straniere che avevano proceduto alla decriptazione e trasmissione delle comunicazioni.

La sentenza delle Sezioni Unite n. 41618/24

I limiti di tenuta del c.d. metodo di acquisizione libera si rivelarono però alquanto labili, non reggendo all’impatto delle censure difensive che immediatamente si levarono e che trovarono accoglimento nella sentenza della Sez. VI, n. 44154 del 26 ottobre 2023.

In essa si tornava affrontare la questione della natura dei dati oggetto di acquisizione, puntualizzando come, a differenza dei documenti fisici ‘tradizionali’, gli stessi, in quanto messaggi elettronici di testo (ad esempio gli sms o quelli scambiati tramite l’applicazione Whatsapp) già letti dai propri destinatari e conservati negli smartphone, dovessero essere qualificati- in ossequio alla sentenza della Corte Costituzionale, 27 luglio 2023, n. 170 ivi esplicitamente richiamata – come vera e propria “corrispondenza”.

Quella stessa pronunzia, poi, non mancava di evidenziare come l’art. 234 bis c.p.p. – che, quanto alla sua genesi si richiamava all’art. 32 della Convenzione di Budapest sulla criminalità informatica – fosse stato concepito al precipuo fine di evitare il ricorso agli strumenti di cooperazione giudiziaria come l’OEI e come, di converso, proprio il ricorso all’OEI obbligasse non solo ad un diverso ancoraggio codicistico, ma anche all’adozione di tutte le garanzie processuali ricavabili dalla lettura integrata della Direttiva n. 41 del 3 aprile 2014e del D. Lgs. 21 giugno 2017, n. 108.

A questo punto, stante l’evidenza di un contrasto giurisprudenziale tra diverse sezioni delle Cassazione, nel breve volgere di pochi giorni si perveniva all’ordinanza n. 47798 del 3 novembre 2023, con la quale la Sez. III rimetteva la questione alle Sezioni Unite.

Di lì a poco, anche la Sez. VI con l’ordinanza ‘gemella’ del 15.01.2024, n. 2329, formulava i seguenti quesiti:

“a) se l’acquisizione, mediante ordine europeo d’indagine, dei risultati di intercettazioni disposte da un’autorità giudiziaria straniera, in un proprio procedimento, su una piattaforma informatica criptata e su criptofonini, integri l’ipotesi disciplinata, nell’ordinamento nazionale, dall’art. 270 c.p.p.;

b) se, ai fini dell’emissione dell’ordine europeo di indagine finalizzato al suddetto trasferimento, occorra la preventiva autorizzazione del giudice;

c) se l’utilizzabilità degli esiti investigativi di cui al precedente punto a) sia soggetta a vaglio giurisdizionale nello Stato di emissione dell’ordine europeo di indagine”. 

All’udienza del 29.02.2024 le Sezioni Unite si pronunciavano affermativamente quanto al primo quesito, negativamente quanto al secondo e ancora affermativamente riguardo al terzo, specificando come “l’Autorità giurisdizionale dello Stato di emissione dell’ordine europeo di indagine deve verificare il rispetto dei diritti fondamentali, comprensivi del diritto di difesa e della garanzia di un equo processo”.

La sentenza della Cassazione, Sez. I, n. 13535/24

La successione serrata delle pronunzie di legittimità, di cui sinora si è dato conto, giunge poi al suo approdo finale con la recentissima sentenza della Sez. I, 3 aprile 2024, n. 13535, nella quale vengono compiutamente illustrati i principi di diritto enucleati in forma assai stringata dalle Sezioni Unite.

Vale all’uopo, in ragione dell’intrinseca logicità e chiarezza del ragionamento seguito, rifarsi alla lettera della motivazione: “Dalle informazioni provvisorie appena esaminate (le sole, all’epoca della redazione della sentenza e tutt’oggi, disponibili) si evince che le Sezioni unite hanno superato il principio affermato dalla giurisprudenza maggioritaria in forza del quale la messaggistica oggetto di esame può essere sempre acquista nel procedimento ai sensi dell’articolo 234 bis cod. proc. pen., alla stregua di dati informativi di natura documentale conservati all’estero, per approdare alla diversa conclusione che l’acquisizione ed utilizzazione dei messaggi in questione è sottoposta a regole, limiti e garanzie diverse che dipendono dalle modalità con cui l’autorità estera ha, a sua volta, acquisito i dati conservati nel server.

In particolare, se ciò è avvenuto mediante la captazione, condotta in tempo reale, di un flusso di comunicazioni in atto si è realizzata attività di intercettazione in procedimento separato con la conseguenza che, pur potendo essere richieste dal pubblico ministero italiano tramite ordine di indagine europeo, trova applicazione l’articolo 270 cod. proc. pen..Spetta, comunque, al giudice dello Stato di emissione dell’ordine europeo di indagine, la competenza a valutare il rispetto dei diritti fondamentali, del diritto di difesa e della garanzia di un equo processo.

Qualora, invece, fossero ottenute da autorità giudiziaria estera trascrizioni di comunicazioni già avvenute e conservate nella memoria dei supporti utilizzati dai dialoganti, allora i relativi dati sarebbero da considerare documenti, acquisibili ai sensi dell’art. 238 c.p.p.”.