LA SORTE DEL DIRITTO DI DIFESA NEL COMPLICATO RAPPORTO TRA EVOLUZIONE

1. L’utilizzabilità della prova

L’art. 191 c.p.p. utilizza una formulazione ampia, la quale consente di non imbrigliare il vizio dell’inutilizzabilità in schemi predeterminati.

In termini generali, una prova è utilizzabile se nel caso specifico non è stato violato un divieto (probatorio) previsto dalla legge ovvero non è integrata la fattispecie alla quale una determinata disposizione normativa ricollega l’inutilizzabilità (es. art. 271 cpp). I divieti ai quali l’art. 191 c.p.p. rinvia non sono soltanto quelli espressamente previsti nella legge processuale (“tipizzati”), dovendosi ritenere tali anche le ipotesi in cui risultino mancanti le condizioni o i presupposti caratterizzanti una determinata prova o mezzo di ricerca della prova (es. artt. 266 e 352, co. 4, c.p.p.), nonché quelli implicitamente desumibili dalle disposizioni poste a tutela di diritti fondamentali.

La “sanzione” dell’inutilizzabilità, che incide non sull’atto ma sul suo valore probatorio, non costituisce soltanto l’effetto di una regola processuale, implicando evidentemente anche scelte di carattere etico e ideologico. Infatti, intendendo il processo come “gioco delle parti” con uno “scambio uguale del vero attraverso il movimento di contraria informazione”[1], può scorgersi un’idea più generale secondo la quale i risultati probatori rilevano nella misura in cui sono osservate le disposizioni che fissano i modi di produzione della verità (i.e. di raccolta, acquisizione e valutazione).

Il nostro codice di procedura penale privilegia una legalità delle forme, nella consapevolezza che quanto vale nel mondo esterno non sempre ha il medesimo valore nel procedimento probatorio, dovendovi essere introdotto attraverso modi e filtri predetermini. Non può escludersi che il rispetto delle norme che regolano lo strumentario probatorio possa costituire, nel singolo caso, un ostacolo alla ricerca della verità materiale; tuttavia, “l’essenza del processo risiede proprio in questa possibile frattura o dissociazione tra realtà e il suo equivalente giudiziario, come conseguenza del limite alla libera ricerca”[2]. In estrema sintesi, può affermarsi che il codice di procedura penale dà rilievo maggiore all’ortodossia del metodo piuttosto che al solo risultato conseguito o conseguibile.[3]

2. Prova atipica, prova incostituzionale e principio di non sostituibilità[4]

Nel momento in cui la teoria generale della prova si incontra/scontra con la celerità del progresso tecnologico, l’interprete è chiamato a sussumere le nuove attività e modalità di indagine all’interno delle norme esistenti, in attesa che il legislatore predisponga una disciplina specifica, come è accaduto per il famoso trojan horse. Tuttavia, l’opera di incasellamento normativo non è sempre agevole, dovendosi tenere fisse due direttrici: il principio di non sostituibilità; i principi e i limiti di fonte costituzionale.

Tendenzialmente, in questo sforzo di inquadramento normativo, l’iter da seguire si snoda in due fasi, delle quali la seconda è sussidiaria rispetto alla prima:

si procede a valutare la possibilità di ricondurre la nuova attività acquisitiva a una prova o mezzo di ricerca della prova già oggetto di disciplina nel codice di procedura penale;
nel caso in cui il primo step abbia avuto esigo negativo, si verifica la conformità dell’acquisizione atipica ai limiti costituzionali, recte si dovranno bilanciare gli interessi coinvolti, considerare il rango del diritto inciso e il grado della compromissione.

Il primo step è strettamente connesso con il principio di non sostituibilità, il quale costituisce una declinazione del principio di legalità nel sistema probatorio. Tale passaggio è obiettivamente abbastanza delicato, in quanto non è peregrino temere che, nel valutare gli aspetti di somiglianza/differenza e, dunque, nello stabilire se quello specifico strumento probatorio sia o meno riconducibile a regole già codificare, l’esigenza investigativa possa forzare i limiti del diritto positivo. Infatti, non potrebbe parlarsi di atipicità se la prova o il mezzo di ricerca della prova è già previsto e regolato dal diritto processuale, ciò determinando la violazione dei divieti (già) posti dal legislatore e, conseguentemente, l’applicazione dell’art. 191 c.p.p. Diversamene opinando non potrebbe escludersi il pericolo di forzature dei limiti probatori tipici mediante surrettizi escamotage investigativi (cfr. Cass. pen., sez. V, n. 36080 del 27/03/2015 – punto 4.3.2; Cass., Sez. Un., n. 36747 del 28/05/2003, punti 4b e 5a). Pertanto, una prova, anche se qualificata come atipica, non potrebbe eludere la disciplina legale mediante una sorta di mal celata “truffa delle etichette”.

Nella seconda – ed eventuale - fase è necessario individuare i modelli di tutela e i limiti di compressione del diritto che si assume leso. Se prendiamo in considerazione gli artt. 13,14,15 Cost., statisticamente più soggetti a compressioni nelle fasi di indagine, i confini acquisitivi possono essere sintetizzati come segue[5]:

- intervento del legislatore (“casi e modi stabiliti dalla legge”);

- riserva di giurisdizione (“atto motivato del giudice”);

- principio di proporzionalità, considerato che, sebbene non esistano diritti tiranni, la tutela garantita non potrebbe restringersi sino a pregiudicare il nucleo duro del diritto. La misura limitativa dovrà, pertanto, essere adeguata rispetto allo scopo, rispettare il principio di minima lesività ed essere giustificata dalla gravità del reato.

Pertanto, ogniqualvolta risulti leso un diritto fondamentale e violato il modello di tutela per lo stesso approntato, dovrà rilevarsi la presenza di un limite probatorio ai sensi dell’art. 191 c.p.p.

L’art. 189 c.p.p., infatti, non potrebbe essere guardato come una sorta di “norma-porta” capace di consentire l’ingresso nel processo penale anche ad un’attività realizzata in violazione dei paradigmi acquisitivi sopra riportati.[6] L’articolo da ultimo richiamato rende, invece, possibile ricorrere a prove atipiche che non ledono diritti fondamentali o, comunque, si limitino all’ “area periferica” al nucleo duro degli stessi (ex plurimis: Cass. pen., sez. II, 15/11/2024, n. 42166 2024; Cass. pen., Sez. IV, 21/04/2022, n. 21856; Cass. pen., sez. II, n. 22972 del 16/02/2018).

La situazione si presenta ancora più delicata quando l’interprete si trova di fronte a un nuovo strumento tecnologico, poiché è imprescindibile il tentativo di comprenderne le caratteristiche e, soprattutto, il funzionamento. Al fine affermarne la tipicità, il nuovo strumento dovrebbe consentire di realizzare un’attività ontologicamente coincidente con quella già regolata dalla legge e, a tale scopo occorre individuare la “cifra differenziale” di quella metodologia di indagine.

Un esempio aiuterà sicuramente a comprendere il problema. È noto che con riferimento alle intercettazioni, mancando una definizione legale, la giurisprudenza ha fornito una definizione che, nelle diverse fattispecie che la realtà ha sottoposto agli organi giudicanti, ha costituito una vera e propria guida per stabilire se una determinata modalità di indagine possa essere ricondotta nel perimetro applicativo degli artt. 266 ss. c.p.p. Nello specifico, un’intercettazione consiste nella captazione occulta e contestuale di una comunicazione o conversazione tra due o più soggetti che agiscano con l’intenzione di escludere altri e con modalità oggettivamente idonee allo scopo, attuata da soggetto estraneo alla stessa mediante strumenti tecnici di percezione tali da vanificare le cautele ordinariamente poste a protezione del carattere riservato della stessa comunicazione/conversazione. Pertanto, il difetto di uno di tali connotati non consentirebbe di ricondurre il nuovo strumento all’interno della disciplina tipica e, al contempo, solleverebbe dubbi in ordine alla sua ammissibilità nel nostro sistema probatorio, in particolare nel caso in cui la compressione dei diritti fondamentali in gioco risulti non fermarsi a quello che sopra ho definito come “area periferica” al nucleo duro degli stessi diritti.[7]

L’opera di incasellamento normativo, pertanto, non è neutra, condizionando l’individuazione del modello di tutela e del paradigma acquisitivo al quale fare riferimento[8]. In particolare, ciò che sembra doversi chiedere l’interprete è se si debba guardare ai risultati per valutare l’accettabilità del metodo ovvero se debba giudicarsi il metodo per stabile l’accettabilità del risultato[9].

3.Prove elettroniche e cooperazione giudiziaria in Europa[10]

In materia di prove elettroniche non possono non essere menzionati:

il Regolamento (UE) 2023/154, mediante il quale si mira a facilitare e accelerare l’accesso alle prove elettroniche utilizzate per indagare e perseguire i reati, indipendentemente dall’ubicazione dei dati. Un’autorità giudiziaria in uno Stato membro dell’U.E. può richiedere allo stabilimento designato di un prestatore di servizi o ai suoi rappresentanti legali nominati in un altro Stato membro di produrre prove elettroniche (es. gli indirizzi IP necessari a identificare un utente; testi e messaggi in-app) o conservare i dati specifici in attesa di una futura richiesta. Le prove elettroniche si riferiscono ai dati archiviati da o per conto di un prestatore di servizi, in forma elettronica. Il regolamento si applicherà a partire dal 18 agosto 2026;
la Direttiva (UE) 2023/1544, recante norme armonizzate sulla designazione di stabilimenti designati e sulla nomina di rappresentanti legali ai fini dell’acquisizione di prove elettroniche nei procedimenti penali (termine di recepimento nel diritto nazionale: 18 febbraio 2026). Più precisamente, la direttiva impone ai prestatori di determinati servizi (i.e. comunicazione, archiviazione e trattamento; nomi di dominio Internet e numerazione IP), in quanto operanti nell’Unione Europea, di disporre di stabilimenti designati o rappresentanti legali nominati nel territorio unionale in modo da poter ricevere e ottemperare agli ordini delle autorità nazionali finalizzati a raccogliere prove elettroniche nei procedimenti penali;
la Decisione (UE) 2023/436 del Consiglio dell’U.E. del 14 febbraio 2023, con la quale gli Stati membri sono stati autorizzati a ratificare, nell’interesse dell’Unione Europea, il secondo protocollo addizionale alla Convenzione di Budapest sulla criminalità informatica.

Nei casi oggetto delle sentenze che verranno a breve esaminate, viene in rilevo la disciplina contenuta nella Direttiva 2014/41/UE, la quale è state recepita nel nostro ordinamento con il D.lgs. n. 108/2017. Nello specifico, viene regolato l’ordine europeo d’indagine (OEI), il quale costituisce uno strumento di assistenza giudiziaria in materia penale che mira a facilitare la procedura transnazionale di raccolta delle prove. L’OEI è un provvedimento emesso in forma scritta da un’autorità giudiziaria nazionale (Stato di emissione), diretto all’autorità giudiziaria di altro Stato membro dell’U.E. (Stato di esecuzione) per il compimento di uno o più atti specificamente disciplinati dalla direttiva, nonché per la trasmissione di prove già raccolte nell’ambito di autonomi procedimenti nazionali.

Ai nostri fini è essenziale rammentare l’art. 6, §1 della Direttiva da ultimo citata, il quale prevede che l'autorità richiedente può emettere un OEI solamente quando ritiene soddisfatte le seguenti condizioni:

l'emissione dell'OEI è necessaria e proporzionata, tenendo conto dei diritti della persona sottoposta a indagini o imputata;
l'atto o gli atti di indagine richiesti nell’OEI avrebbero potuto essere emessi alle stesse condizioni in un caso interno analogo (principio di equivalenza).

4.I servizi di criptazione[11] e le indagini su EncroChat/Sky-Ecc

L’evoluzione tecnologica consente l’accesso a nuove forme di comunicazione, le quali si prestano facilmente a un uso per scopi illeciti. Un esempio di questa deviazione criminosa sono le piattaforme di messagistica criptata. Più in dettaglio, la piattaforma di telecomunicazioni EncroChat e, analogamente, la Sky-Ecc, propone agli utenti servizi di telecomunicazioni basati su criptofonini. Questi ultimi, in quanto oggetto di specifiche modifiche sul sistema operativo, garantiscono l’anonimato e la riservatezza dei contenuti comunicativi (recte nessuna correlazione tra dispositivo e cliente; non tracciabilità dell’acquisto del dispositivo). Sono disabilitati la fotocamera, il microfono e il GPS. È prevista la funzione di autodistruzione dei messaggi scambiati tra gli utenti mediante uno speciale codice pin o scrivendo più volte consecutivamente una password errata (con conseguente cancellazione immediata di tutti i dati della memoria). Le piattaforme sono basate su un meccanismo di cifratura sia nel server mediante il quale transitano le comunicazioni, sia nel dispositivo che trasmette e riceve le stesse. Sebbene siano suscettibili di intercettazione, è possibile solo acquisire le tracce criptate, le quali, per poter essere intellegibili, devono essere decriptate mediante chiavi di cifratura. Nel caso specifico, proprio in considerazione del meccanismo di funzionamento, le chiavi di cifratura necessarie sono quattro. A ciò si aggiunge la garanzia della “volatività” della comunicazione, la quale non viene immagazzinata e, anche quando non è stata letta o ricevuta, la permanenza nel server ha una durata limitata.[12]

Nella consapevolezza di tali difficoltà operative, nell’ambito di un’indagine che ha avuto inizio in Francia e che, successivamente, ha coinvolto altre autorità nazionali (Olanda e Belgio), oltre che l’Europol e l’Eurojust, è stato impiegato il captatore informatico non solo per il server ma anche per i dispositivi dei singoli. L’impermeabilità delle comunicazioni transitanti sul sistema Sky-Ecc, proprio perché fondato sulla presenza di quattro chiavi di cifratura (2 presenti nei server di Roubaix e 2 all'interno di ciascun dispositivo individuale) ha richiesto l’installazione dei captatori informatici sui server di SkyGlobal, ubicati in Roubaix, con il fine esclusivo di "catturare" le chiavi di cifratura presenti all'interno del dispositivo di ciascun utente, mediante l'invio di una notifica push al singolo apparecchio, con la quale si induceva lo stesso, quando si autenticava sul sistema Sky-Ecc, a trasmettere le chiavi di cifratura presenti al suo interno.

Il quesito che ci si pone è il seguente: come incasellare tale attività alla luce di quanto detto sopra?

Occorre, infatti, comprendere se ciò sarebbe possibile in casi analoghi interni e, soprattutto, a quali condizioni, al fine di individuare il modello di tutela e il correlato paradigma acquisitivo della prova. Nel caso di specie, inoltre, deve tenersi a mente che le autorità che hanno proceduto alle indagini non hanno condiviso i meccanismi impiegati per l’ottenimento dei messaggi decriptati, opponendo esigenze di sicurezza nazionale.

5. Uno sguardo oltre i confini nazionali

Sembra utile riportare le conclusioni alle quali sono giunti i giudici di altri Stati dell’U.E., coinvolti nella medesima vicenda.[13]

Il Consiglio costituzionale francese, con decisione dell’8 aprile 2022[14], ha statuito che le previsioni del codice di procedura penale che consentono agli investigatori di porre il segreto di sicurezza nazionale in relazione a determinate informazioni afferenti a speciali tecniche investigative, come quelle impiegate nel caso di specie, non violano i diritti degli accusati ad un rimedio giudiziario effettivo, né il diritto alla riservatezza, la libertà di espressione o qualsiasi altro diritto sancito dalla Costituzione francese. È stato precisato, altresì, che rientra nei poteri del legislatore assicurare il bilanciamento tra i diritti di difesa e il principio del contraddittorio e le esigenze - aventi pari rango costituzionale - di accertamento dei reati e di salvaguardia degli interessi fondamentali della nazione (tra i quali rientra, appunto, il segreto per la sicurezza nazionale). Il Consiglio ha ricordato che le speciali tecniche di investigazione applicabili alla criminalità organizzata - tra i quali l’impiego del captatore informatico – sono sottoponibili al segreto per la sicurezza nazionale, ma presuppongo una preventiva autorizzazione dell’organo giurisdizionale e devono essere giustificati dalla necessità di un’indagine relativa a crimini di particolare gravità e complessità.

Infine, è stato specificato che il provvedimento motivato del giudice che autorizza l'uso del captatore informatico deve essere inserito nel fascicolo processuale, indicando, a pena di nullità, il reato per il quale si procede, l'esatta ubicazione o la descrizione dettagliata dei sistemi di elaborazione automatica dei dati interessati e il periodo per il quale l’operazione è autorizzata. Suddetto fascicolo comprende anche: il verbale di installazione del sistema, che riporta la data e l'ora di inizio e fine dell'operazione; il verbale di descrizione o trascrizione dei dati registrati ritenuti utili per l'accertamento della verità; tutti gli elementi ottenuti al termine delle operazioni di decriptazione, le quali sono oggetto di un verbale inserito nel fascicolo della procedura e sono accompagnati da un certificato timbrato dal responsabile dell'organismo tecnico che attesta la genuinità dei risultati trasmessi[15].

Successivamente la Corte di Cassazione francese (decisione del 10 maggio 2023)[16] ha operato un distinguo, precisando che gli artt. 230-1 e ss. c.p.p. francese, che imporrebbero gli adempimenti supplementari del certificato attestante l’autenticità dei dati trasmessi, non trovano applicazione rispetto all’acquisizione, a valle, dei dati EncroChat, riguardando tale operazione dati ormai “in chiaro” e non più criptati.

La Corte di giustizia federale tedesca (Bundesgerichtshof), con decisione del 2 marzo 2022[17], ha ritenuto valida l’utilizzazione delle chat acquisite dalla autorità giudiziarie tedesche tramite OIE verso la Francia. Essa ha, in sintesi, affermato che l’atto di indagine originario, adottato dall'autorità giudiziaria francese, non può essere valutato secondo i parametri del diritto tedesco, sicché non ha ritenuto dirimente stabilire se una certa misura investigativa adottata in Francia avrebbe potuto essere ordinata in Germania. I differenti presupposti previsti in Francia e in Germani per l’adozione di una determinata misura investigativa trovano un bilanciamento in base all'art. 261 del codice di procedura penale tedesco, che definisce il principio del libero convincimento del giudice nella valutazione della prova. I giudici tedeschi hanno, altresì, escluso la violazione dei diritti fondamentali o dei principi del diritto europeo, in quanto gli investigatori in Francia non avevano attuato una forma di “sorveglianza di massa” di un largo numero di utenti di telefonia mobile, considerato che EncroChat si era rivelato una piattaforma appositamente studiata quale supporto ad attività criminali.

Tuttavia, permanendo i dubbi interpretativi con riferimento alla direttiva 2014/41/UE, il Tribunale del Land di Berlino (Landgericht Berlin), con decisione del 19 ottobre 2022[18], ha attivato un rinvio pregiudiziale alla Corte di giustizia dell'U.E. (infra par. 6)

La Corte Suprema (Hoge Raad) dei Paesi Bassi, con decisione del 13 giugno 2023[19], ha ricostruito tutti i passaggi dei procedimenti penali olandesi nei quali, a partire da una squadra investigativa comune con la Francia nel caso EncroChat e tra Francia e Belgio nel caso Sky-ECC, sono state effettuate le operazioni di infiltrazione e intercettazione dei server delle due piattaforme. Pertanto, le autorità giudiziarie olandesi sono state coinvolte sin dall’inizio in attività investigative dirette, con rilascio di provvedimenti autorizzatori da parte del giudice competente olandese. La Hoge Raad, muovendo dai ricorsi proposti, ha sviluppato conclusioni più generali, che tengono conto di tutte le possibili opzioni, anche relative all’ipotesi in cui (analogamente al caso italiano) lo Stato non avesse fatto parte delle investigazioni nell’ambito delle quali i risultati erano stati raccolti (par. 6.21 – 6.28):

a) se l’esecuzione di una misura investigativa all'estero avviene sotto la responsabilità di un’autorità straniera, i requisiti previsti dal diritto processuale penale olandese per l’applicazione del relativo potere in un'indagine nazionale devono essere soddisfatti solo se l’operazione avviene su iniziativa delle autorità olandesi. Pertanto, se in base al codice processuale penale olandese è richiesta l’autorizzazione del giudice, tale autorizzazione deve essere ottenuta prima che venga emesso un OEI;

b) il requisito dell’autorizzazione del giudice non si applica nel caso in cui l’indagine si svolga o si sia già svolta su iniziativa delle autorità straniere, ossia nell’ipotesi in cui queste ultime – su richiesta o meno delle autorità olandesi - rendono disponibili i risultati dell'indagine. La legge processuale olandese non richiede il rilascio della suddetta autorizzazione in un caso interno;

c) le decisioni dell'autorità giudiziaria straniera, sulle quali si basano le attività investigative di raccolta dei dati, non possono essere sindacate, salvo che le stesse siano ritenute illegali nell’ambito del procedimento penale in cui originano (i.e. in applicazione del diritto interno allo Stato che ha proceduto alle indagini);

d) il giudice dello Stato che acquisisce i dati deve presumere che la raccolta degli stessi sia avvenuta legittimamente nello Stato richiesto, mentre è tenuto a esercitare un vaglio di affidabilità solo quando, a prescindere dai rilievi delle parti, emergano concrete indicazioni di inaffidabilità;

e) il giudice dello Stato che acquisisce i risultati delle indagini dovrà “prestare attenzione” alle modalità di conseguimento dei dati laddove tali modalità siano rilevanti per la valutazione della prova ai fini del rispetto delle garanzie del giusto processo (sempre con i limiti della valutazione di prove raccolte sotto l’egida di AG straniera);

f) la legislazione olandese non richiede un’autorizzazione preventiva del giudice per la raccolta di dati acquisiti in un autonomo procedimento penale straniero, salva l'ipotesi in cui le intercettazioni si svolgano nei confronti di soggetti allocati sul territorio olandese e pur sempre nei limiti di cui all'art. 31 della Direttiva 2014/41/UE;

Punto rilevante della decisione è sicuramente la precisazione che il pubblico ministero è libero di chiedere al giudice un’autorizzazione preventiva, ancorché non prevista e non imposta dal codice di rito olandese, tenuto conto delle peculiari circostanze del caso come, ad esempio, il ricorso nel cotesto delle investigazioni transfrontaliere a tecnologie non conosciute all'ordinamento olandese.

Infine, è stato precisato - citando la sentenza della CdGUE - Grande Sezione, 6 ottobre 2020, La Quadrature du Net, C. 511-18 - che quando gli Stati membri attuano direttamente misure che derogano alla riservatezza delle comunicazioni elettroniche, senza imporre obblighi di trattamento ai fornitori dei relativi servizi di comunicazione, la protezione dei dati delle persone interessate non ricade nell’ambito della Direttiva 2002/58/CE sul trattamento dei dati personali nel settore delle comunicazioni elettroniche, bensì unicamente in quello del diritto nazionale, fatta salva l’applicazione della diversa Direttiva 2016/680/UE, relativa alla protezione delle persone fisiche nel trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento di reati o esecuzione di sanzioni penali, e i principi della CEDU (par. 102).[20]

Nel caso specifico l’autorità giudiziaria francese non aveva dovuto rivolgersi a EncroChat e SkyECC per ottenere i dati personali dei rispettivi utenti, poiché le captazioni erano state autonomamente effettuate dagli investigatori. D’altronde, i gestori delle piattaforme avevano offerto un servizio di messaggistica criptata nel quale gli utenti non dovevano rivelare la loro identità e, dunque, comunicare i loro dati personali. Le comunicazioni si svolgevano solo tra utenti del medesimo servizio, per cui non venivano in rilievo le previsioni normative sugli obblighi di conservazione dei dati personali gravanti sui fornitori di pubblici servizi di comunicazione elettronica.[21]

Anche in Norvegia, la Corte suprema (30 giugno 2022, HR-2022-1314-A) ha stabilito che le prove recuperate dalle autorità nazionali a seguito della collaborazione con quelle francesi sono da ritenere ammissibili alle seguenti condizioni: a) sono state acquisite in conformità con la procedura penale francese, non potendo sindacare la legittimità di tale procedura; b) l’imputato ha avuto integralmente accesso ai dati acquisiti; c) l’uso delle prove non è stato fatto a detrimento dei diritti umani e dei valori fondamentali dello Stato norvegese.

I giudici norvegesi hanno escluso il procedimento di acquisizione delle prove svoltosi in Francia dovesse svilupparsi secondo le medesime modalità previste dal diritto nazionale. Diversa soluzione avrebbe dovuto essere adottata solo qualora la Norvegia avesse chiesto alle autorità francesi di acquisire elementi di prova di questo tipo secondo modalità non contemplate nel diritto interno. Privo di rilevo è stato ritenuto il fatto che gli utenti delle piattaforme interessate dall’attività di indagine francese fossero in Norvegia, poiché i server erano in Francia e i flussi elettronici scorrevano al di là dei confini nazionali, sicché l’accento è stato posto su chi aveva acquisito il materiale probatorio (i.e. A.G. francese). Ad avviso della Corte, inoltre, non era necessario, né utile, procedere ad un controllo circa il rispetto del diritto interno al Paese che aveva operato le acquisizioni, facendo salva l’eventuale sussistenza di elementi specifici giustificanti una tale indagine (es. violazioni dei diritti fondamentali sanciti dalla CEDU).

6. La posizione della Corte di giustizia dell’UE

In materia di OEI è opportuno richiamare la sentenza Staatsanwaltschaft Wien (C-584/19 del 16 luglio 2020), con la quale la Corte di giustizia dell’UE, riunita in Grande Sezione, ha determinato le rispettive responsabilità dello Stato di emissione e dello Stato di esecuzione in base alla direttiva 2014/41/UE (punti da 66 a 83), evidenziando che al momento dell’esecuzione dell’OEI la tutela dei diritti fondamentali e degli altri diritti processuali della persona sottoposta a indagini o imputata ha “già superato una serie di filtri e di «garanzie” che contribuiscono a fugare qualsiasi dubbio al riguardo. Nella stessa sentenza è stato osservato che il cerchio di protezione dei suddetti diritti si chiude, nello schema della direttiva 2014/41/UE, imponendo l’obbligo di istituzione di “mezzi d’impugnazione” effettivi (considerando 22 e art.14 della stessa Direttiva).

Nella successiva sentenza Gavanozov II dell'11 novembre 2021 (C-852/19) la Corte di giustizia dell’UE ha nuovamente dichiarato che gli Stati membri sono tenuti a garantire il rispetto del diritto a un ricorso effettivo (art. 47 CDFUE) nell'ambito della procedura di emissione e di esecuzione di un OEI (§§ da 28-30). I soggetti interessati devono disporre di mezzi di ricorso adeguati che consentano loro sia di contestare la legittimità e la necessità degli atti di indagine, sia di chiedere un risarcimento adeguato qualora tali atti siano stati ordinati o eseguiti illegittimamente (§§ 33-36). È stato sottolineato, inoltre, che i motivi afferenti al merito dell’emissione di un OEI possono essere contestati solo mediante un ricorso proposto nello Stato membro di emissione (art. 14, § 1, Direttiva 2014/41/UE), dovendo il diritto nazionale avere una previsione in tal senso (§ 41). Nella medesima sentenza la Corte ha osservato che l’art. 14 della Direttiva 2014/41/UE si limita a richiedere mezzi di ricorso equivalenti a quelli previsti per procedura interne analoghe, sicché gli Stati membri non sono tenuti a prevedere mezzi di impugnazione ad hoc (§§ da 25-27). In tale sentenza, la Corte di Lussemburgo ha ritenuto che l’impossibilità di contestare nello Stato membro di emissione la necessità e la regolarità di un OEI (nel caso specifico avente ad oggetto lo svolgimento di perquisizioni e di sequestri, nonché l’organizzazione di un’audizione di testimoni mediante videoconferenza), quanto meno alla luce delle ragioni di merito della sua emissione, costituisce una violazione del diritto a un ricorso effettivo sancito all’art. 47 CDFUE, con la conseguenza che principio di mutuo riconoscimento non può trovare applicazione e andare a beneficio di tale Stato membro (§ 56).

Nella più recente sentenza M.N. (EncroChat) del 30 aprile 2024 (C-670/22)[22], la Corte di giustizia dell’U.E., in Grande Sezione, ha esaminato una serie di questioni sollevate dal Tribunale del Land di Berlino, relative all'emissione e all'esecuzione di un OEI finalizzato a ottenere la trasmissione dei dati raccolti dalle autorità francesi nell’ambito delle indagini svolte sulle piattaforme già più volte menzionate.

In primo luogo, la Corte ha ribadito che dalla formulazione dell’art. 2, lett. c), i), della Direttiva 2014/41/UE risulta che il pubblico ministero è da includere tra le autorità che, al pari del giudice, sono intese come un’“autorità di emissione” (così già nella precitata sentenza sul caso Staatsanwaltschaft Wien). Pertanto, qualora, in forza del diritto dello Stato di emissione, un pubblico ministero sia competente, in un caso puramente interno a tale Stato, ad ordinare un atto di indagine diretto alla trasmissione di prove già in possesso delle autorità nazionali competenti, allo stesso modo potrà emettere un ordine europeo di indagini di analogo contenuto (§§ 73-74).

Rammentate le condizioni alle quali è subordinata l’emissione di un OEI (§ 87-88 e 91-93), la Corte ha poi precisato che l’art. 6, paragrafo 1, lett. a), della medesima Direttiva non osta all’emissione di un OEI laddove l’integrità dei dati ottenuti tramite la misura di intercettazione non possa essere verificata a causa della riservatezza delle basi tecniche che ne hanno permesso l’attuazione, purché il diritto a un processo equo venga garantito nel corso del successivo procedimento penale.

La Corte ha precisato che l’autorità di emissione non è autorizzata a controllare la regolarità del distinto procedimento con il quale lo Stato di esecuzione ha raccolto le prove di cui è richiesta la trasmissione, in quando, diversamente opinando, si concretizzerebbe un sistema più complesso e meno efficace, che nuocerebbe all’obiettivo perseguito da detta direttiva (§ 100). Ad ogni modo, se l’acquisizione di prove già in possesso delle autorità competenti di un altro Stato membro dovesse apparire sproporzionata ai fini dei procedimenti penali avviati a carico dell’interessato nello Stato di emissione, ad esempio in ragione della gravità della violazione dei diritti fondamentali di quest’ultimo, oppure essere stata disposta in violazione del regime giuridico applicabile a un caso interno analogo, l’organo giurisdizionale investito del ricorso contro l’OEI che dispone tale trasmissione dovrebbe trarne le conseguenze che si impongono in base al diritto nazionale (§103).

I giudici di Lussemburgo hanno rammentato che l’art. 14, § 7, della Direttiva 2014/41/UE impone agli Stati membri di assicurare che, nel procedimento penale avviato nello Stato di emissione, siano rispettati i diritti della difesa e sia garantito un giusto processo nel valutare le prove acquisite tramite l’OEI. Per quanto riguarda segnatamente il diritto a un processo equo, è stato specificato (§§ 104 e 105) che un organo giurisdizionale, qualora consideri che una parte non sia in grado di svolgere efficacemente le proprie osservazioni in merito a un elemento di prova idoneo ad influire in modo preponderante sulla valutazione dei fatti, deve constatare una violazione del diritto ad un processo equo ed escludere tale mezzo di prova (cfr. in tal senso, CdGUE, sentenza del 2 marzo 2021, Prokuratuur, C-746/18, § 44). Pertanto, l’art. 14, § 7, precitato deve essere interpretato nel senso che esso impone al giudice penale nazionale di espungere, nell’ambito di un procedimento penale avviato a carico di una persona sospettata di atti di criminalità, informazioni ed elementi di prova - idonei ad influire in modo preponderante sulla valutazione dei fatti - rispetto ai quali non è stato possibile per l’interessato svolgere efficacemente le proprie osservazioni a scopo difensivo (§§ 130 e 131).

Nella stessa sostanza la Corte ha ammesso che le conclusioni a cui può giungere il giudice nazionale in ordine alla tutela dei singoli sono le stesse alle quali è giunta la giurisprudenza in materia di data retention (cfr. CdgUE, GS, sent. 6.10.2020, La Quadrature du Net e a. contro Premier ministre e a.). È fatto riferimento, in particolare, al principio di effettività del diritto di difesa, il quale impone al giudice penale nazionale di non tenere conto degli elementi di prova ottenuti nell’ambito di un procedimento penale mediante una conservazione generalizzata e indifferenziata di dati relativi al traffico e all’ubicazione, incompatibile con il diritto dell’Unione, qualora le persone interessate non siano in grado di prendere efficacemente posizione su tali informazioni ed elementi di prova, che provengono da un settore che esula dalla competenza dei giudici e possono influenzare in maniera preponderante la valutazione dei fatti.

Infine, è da mettere in evidenza la qualificazione delle attività investigative che avevano dato origine al rinvio ex 267 TFUE: ad avviso della Corte, considerato l’art. 31 della direttiva 2014/41/UE, l’infiltrazione in apparecchiature terminali volta ad estrarre non solo dati di comunicazione, ma anche dati relativi al traffico o all’ubicazione, a partire da un servizio di comunicazione basato su Internet, costituisce una “intercettazione di telecomunicazioni” (§ 111-114).[23]

7. La (mancata) soluzione della Corte EDU.

Nel caso A.L. ed E.J. c. Francia (ricorsi nn. 44715/20 e 47930/21) i ricorrenti lamentavano, da un lato, la violazione dell’art. 8 CEDU per avere le autorità francesi proceduto alla raccolta di dati su tutti i dispositivi collegati alla rete EncroChat e, successivamente, per aver trasmesso tali dati al Regno Unito. Invocando gli artt. 6 e 13 CEDU, essi sostenevano, altresì, di non disporre di alcun mezzo di ricorso per contestare utilmente le decisioni che avevano consentito la raccolta delle informazioni, precisando di non essere legittimati ad impugnare le decisioni che avevano disposto il sequestro dei dati nell’ambito del procedimento penale francese.

La Corte EDU ha precisato che il fatto che gli utenti di EncroChat, situati nel Regno Unito, siano stati identificati solo dopo l'esecuzione dell’OEI non eliminava la natura personale dei dati trasmessi e non sollevava la Francia dal suo obbligo di rispettare i diritti delle persone interessate. Tuttavia, la Corte si è soffermata su una delle condizioni di cui all’art 35 CEDU, ossia l'esaurimento dei rimedi interni, rammentando che il meccanismo di salvaguardia istituito dalla Convenzione ha natura sussidiaria rispetto ai sistemi nazionali di garanzia dei diritti umani. L'obbligo scaturente dall’articolo da ultimo citato impone ai richiedenti di ricorrere ai mezzi di ricorso interni, i quali, comunque, devono essere accessibili, effettivi e sufficienti.

Con riferimento alle ipotesi di violazione dell’art. 8 CEDU, la Corte EDU ha stabilito che, nell'ambito di un procedimento penale, l'effettività dei mezzi di ricorso interni dipende essenzialmente dalle peculiarità dell'ordinamento giuridico dello Stato convenuto e dalle circostanze del caso di specie (cfr. Contrada c. Italia (n. 4), n. 2507/19, 23 maggio 2024, § 51; Gernelle e S.A. Société d'exploitation de l'hebdomadaire Le Point c. Francia, n. 18536/18, 9 aprile 2024, § 43). Per essere considerato efficace ai fini dell'esaurimento dei mezzi di tutela interni, un ricorso deve innanzitutto consentire un controllo della legittimità e della necessità della misura (cfr. Gutsanovi c. Bulgaria, n. 34529/10, CEDU 2013, § 210-211). Inoltre, in caso di accertamento di irregolarità, l’azione deve offrire un rimedio adeguato (cfr. Budak c. Turchia, n. 69762/12, 16 febbraio 2021, § 46).

La Corte di Strasburgo ha affermato che ai fini dell’art. 35 CEDU devono essere presi in considerazione solo i mezzi di ricorso disponibili nello Stato contraente contro il quale è stato presentato il ricorso, senza che assuma rilievo il fatto che i ricorrenti risiedono al di fuori del territorio francese; irrilevante è stato ritenuto il fatto che essi non avessero scelto volontariamente di sottoporsi alla giurisdizione dello Stato convenuto, ciò non esonerandoli dal loro obbligo di esperire i mezzi di ricorso interni disponibili in tale Stato. Pertanto, la Corte ha valutato se i ricorrenti avessero o meno avuto a disposizione un ricorso in Francia, giungendo ad una risposta positiva. Infatti, esaminata la normativa francese, è emerso che i ricorrenti disponevano di un mezzo di ricorso per contestare la legittimità e la proporzionalità dell'acquisizione dei dati, nonché la loro trasmissione alle autorità del Regno Unito in esecuzione dell’OEI. Conseguentemente, i ricorrenti non avevano soddisfatto il requisito dell'esaurimento dei mezzi di ricorso interni e il ricorso doveva essere dichiarato inammissibile.

Proprio tale aspetto procedurale non ha consentito di avere una risposta nel merito da parte dei giudici di Strasburgo. Tuttavia, si potrebbe provare ad immaginare quale percorso argomentativo seguirebbe la Corte qualora la questione fosse rimessa nuovamente al suo esame. A tale fine, sebbene sia stato escluso che le operazioni investigative delle autorità francesi possano qualificarsi come “sorveglianza di massa”, sembra comunque utile richiamare alcune sentenze in tema di “bulk interception of data”. In particolare, si pone l’attenzione sulle decisioni relative ai seguenti casi: Big Brother Watch e al. c. Regno unito del 25 maggio 2021 (ricorsi n. 58170/13, 62322/14 e 24960/15); Centrum för Rättvisa c. Svezia, 25 maggio 2021 (ricorso n. 164/2021); Podchasov c. Russia del 13/2/2024 (ricorso n. 33696/19); Yüksel Yalçınkaya,c. Turchia del 26/09/2023 (ricorso n. 15669/2020)

Nelle prime due decisioni la Corte EDU ha affermato che, in linea generale, l’art. 8 CEDU non vieta l’uso del sistema delle intercettazioni di massa per proteggere la sicurezza nazionale o altri interessi di rilevanza generale contro serie minacce esterne, sebbene sia necessaria l’adozione di numerose garanzie per ovviare al rischio di arbitri e abusi. Proprio al fine di ridurre tale rischio, la Corte ha ritenuto che l’attività debba essere soggetta a "garanzie end-to-end", ossia: che si dovrebbe valutare in ogni fase la necessità e la proporzionalità delle misure adottate; che l'intercettazione in massa dovrebbe essere soggetta ad autorizzazione di un organo indipendente, con possibilità anche di un riesame indipendente ex post. Ogni fase del processo di intercettazione di massa – inclusa l’autorizzazione iniziale e qualsiasi successivo rinnovo, la scelta e l’applicazione dei cc.dd. selettori e dei termini di ricerca, nonché l’uso, l’archiviazione, la trasmissione successiva e la cancellazione del materiale intercettato – dovrebbe essere soggetta alla supervisione di un’autorità indipendente e tale supervisione dovrebbe essere sufficientemente solida da limitare l’“interferenza” a quanto “necessario in una società democratica”. La Corte ha precisato, altresì, che nel valutare se lo Stato convenuto abbia agito nell'ambito del suo margine di apprezzamento, si deve tenere conto di una gamma di criteri più ampia rispetto alle cc.dd. “sei garanzie Weber” e, specificamente, è necessario esaminare se il quadro giuridico interno definisca chiaramente:

i motivi per cui può essere autorizzata l'intercettazione in massa;
le circostanze in cui le comunicazioni di un individuo possono essere intercettate;
la procedura da seguire per il rilascio dell’autorizzazione;
le procedure da seguire per la selezione, l'esame e l'utilizzo del materiale di intercettazione;
le precauzioni da adottare nel comunicare il materiale a terzi;
i limiti alla durata dell'intercettazione, alla conservazione del materiale intercettato e alle circostanze in cui tale materiale deve essere cancellato e distrutto;
le procedure e le modalità di supervisione da parte di un'autorità indipendente del rispetto delle garanzie di cui sopra e i suoi poteri per affrontare i casi di non conformità;
le procedure per un riesame ex post indipendente di tale conformità e i poteri conferiti all'organismo competente per affrontare i casi di non conformità.

Da ultimo, è interessante considerare che nella sentenza relativa al caso Big Brother la Corte ha precisato che l’eventuale trasferimento del materiale intercettato ad altre parti deve essere limitata a quello raccolto e conservato in modo conforme alla Convenzione e deve essere soggetta ad alcune ulteriori garanzie specifiche relative al trasferimento stesso: i) le circostanze in cui tale trasferimento può aver luogo devono essere chiaramente stabilite nel diritto interno; ii) lo Stato trasferente deve garantire che lo Stato ricevente, nel trattamento dei dati, disponga di garanzie in grado di prevenire abusi e interferenze sproporzionate; iii) lo Stato ricevente deve garantire la conservazione sicura del materiale e limitarne la successiva divulgazione; iv) sono necessarie maggiori garanzie quando il materiale oggetto di trasferimento richiede una particolare riservatezza. Nel caso specifico lo scambio di informazioni con i servizi segreti americani è stato ritenuto conforme alla Convenzione alla luce delle garanzie adottate.

Nel caso russo, la Corte ha ribadito che gli utenti dei servizi di telecomunicazione e di Internet devono avere la garanzia che la loro vita privata e la loro libertà di espressione saranno rispettate, sebbene tale garanzia non possa essere assoluta e debba talvolta cedere il passo ad altri imperativi legittimi, quali la prevenzione dell'ordine e della criminalità o la tutela dei diritti e delle libertà altrui. Di particolare interesse è la parte in cui la Corte tratta dell’obbligo di trasmettere ai servizi di sicurezza le informazioni necessarie per decifrare le comunicazioni elettroniche criptate. I giudici di Strasburgo hanno osservato che la crittografia offre solide garanzie tecniche contro l'accesso illecito al contenuto delle comunicazioni ed è stata, pertanto, ampiamente utilizzata come mezzo per proteggere il diritto al rispetto della vita privata e alla riservatezza della corrispondenza online. Per consentire la decifratura delle comunicazioni protette dalla crittografia end-to-end, come le comunicazioni tramite le "chat segrete" di Telegram, sarebbe necessario indebolire la crittografia per tutti gli utenti. Tali misure non potrebbero essere limitate a individui specifici e colpirebbero tutti indiscriminatamente, compresi i soggetti che non rappresentano una minaccia per un legittimo interesse governativo. Indebolire la crittografia creando una backdoor renderebbe tecnicamente possibile effettuare una sorveglianza generale e indiscriminata delle comunicazioni elettroniche personali, sebbene non si escluda che la crittografia possa essere utilizzata anche a scopi criminali, con le connesse difficoltà investigative. La Corte ha, dunque, concluso affermando che una normativa che preveda la conservazione di tutte le comunicazioni Internet di tutti gli utenti, l'accesso diretto dei servizi di sicurezza ai dati memorizzati senza adeguate garanzie contro gli abusi e l'obbligo di decifrare le comunicazioni criptate, non può essere considerata necessaria in una società democratica. Infatti, tale normativa viola l’art. 8 CEDU nella misura consente alle autorità pubbliche di accedere, in modo generalizzato e senza sufficienti garanzie, al contenuto delle comunicazioni elettroniche.

Indicazioni ancora più specifiche possono essere individuate nella decisione della Corte EDU sul caso Yüksel Yalçınkaya,c. Turchia. Il ricorrente era stato condannato in quanto membro di un’organizzazione terroristica armata, il FETÖ/PDY (precedentemente noto come "Movimento Gülen”) ritenuta dalle autorità turche responsabile di un tentato colpo di Stato. La condanna si basava in modo determinante sull’utilizzo da parte del ricorrente dell’applicazione di messaggistica crittografata denominata "ByLock", che i tribunali nazionali avevano ritenuto fosse stata progettata per l'uso esclusivo dei membri del FETÖ/PDY. In effetti, chiunque avesse utilizzato ByLock poteva, in linea di principio, essere già solo per questo condannato per appartenenza a un’organizzazione terroristica armata. La Corte ha osservato che i giudici nazionali non possono utilizzare prove, elettroniche o meno, in modo da minare i principi fondamentali di un processo equo. Infatti, sebbene l’utilizzo di prove elettroniche possa essere importante nella lotta contro il terrorismo, il procedimento nel suo complesso, inclusa l’acquisizione delle suddette prove, doveva essere equo. In particolare, in forza dell’art. 6 CEDU, al ricorrente doveva essere data la possibilità di contestare le prove e di opporsi al loro utilizzo. Tali garanzie non erano state assicurate dai giudici turchi, dal momento che non era stata fornita alcuna spiegazione sulla secretazione dei dati “grezzi” di ByLock, raccolti dai servizi di intelligence.

Inoltre, al ricorrente non era stato consentito di sindacare il materiale decriptato che lo riguardava, il che avrebbe potuto consentirgli di contestare la fondatezza delle deduzioni tratte dall’utilizzo dell’applicazione ByLock. I giudici turchi non avevano accolto la richiesta del ricorrente di sottoporre i dati raccolti a un esame indipendente per verificarne il contenuto e l’integrità. Parimenti, non erano stati tenuti in considerazione una serie di argomenti sollevati dal ricorrente che facevano emergere perplessità circa l'affidabilità della prova (come l'incoerenza tra i diversi elenchi di utenti di ByLock emessi dai servizi di intelligence, nonché tra il numero di utenti identificati, ed eventualmente perseguiti, e il numero di download). Il ricorrente aveva, altresì, osservato che l’applicazione ByLock era stata scaricabile da chiunque fino all'inizio del 2016, vale a dire per circa due anni, senza alcun meccanismo di controllo. Tale argomento avrebbe richiesto ulteriori chiarimenti da parte dei giudici turchi e, in particolare, sul modo in cui era stato accertato che suddetta applicazione non era, e non avrebbe potuto essere, utilizzata da chiunque non fosse un "membro" del FETÖ/PDY.

In sintesi, pertanto, i giudici turchi non avevano garantito al ricorrente una reale opportunità di contestare efficacemente le prove a suo carico, né avevano adeguatamente motivato la decisione di condanna. Tali carenze sono state ritenute incompatibili con l'essenza stessa dei diritti processuali del ricorrente garantiti dall’art. 6 CEDU. Infine, pur richiamando l’art. 15 CEDU (deroga in caso di stato d’urgenza), la Corte ha tenuto a precisare tale disposizione non dà “carta bianca” alle autorità nazionali nel porre in essere condotte che potrebbero portare a conseguenze arbitrarie a pregiudizio dei singoli.

Quanto sopra riportato consente di affermare che, in linea con la giurisprudenza della Corte di Strasburgo, un’attività di indagine, anche se non qualificabile come “sorveglianza di massa” in quanto focalizzata sugli utenti di una specifica piattaforma, non esime le autorità nazionali dall’assicurare le garanzie proprie dell’equo processo e, segnatamente, l’esercizio effettivo del diritto di difesa, soprattutto qualora le prove in questione risultino essere determinanti nell’accertamento della responsabilità penale dell’interessato.

8. Tornando ai confini nazionali

E i nostri giudici?

Certamente non può prescindersi dalle pronunce delle Sezioni Unite della Corte di Cassazione n. 23755 e n. 23756 del 29 febbraio 2024.

Le decisioni precitate sono in parte sovrapponibili, per cui verranno trattate unitariamente, operando le opportune distinzioni ove necessario.

La sentenza n. 23755 ha dovuto dare soluzione alle seguenti domande: i) se l'acquisizione di messaggi su chat di gruppo, scambiati con sistema cifrato, attraverso un ordine europeo di indagine presso un’autorità giudiziaria straniera che ne abbia eseguito la decrittazione costituisca acquisizione di documenti e di dati informatici ai sensi dell'art. 234-bis cpp o di documenti ex art. 234 cpp, ovvero sia riconducibile ad altra disciplina relativa all'acquisizione di prove; ii) se l'acquisizione di cui sopra debba essere oggetto, ai fini della utilizzabilità dei relativi dati, di preventiva o successiva verifica giurisdizionale della sua legittimità da parte della autorità giurisdizionale nazionale.

Le questioni sottoposte e trattate nella sentenza n. 23756, invece, sono state le seguenti: i) se l'acquisizione, mediante ordine europeo di indagine, dei risultati di intercettazioni disposte da un'autorità giudiziaria straniera su una piattaforma informatica criptata integri l'ipotesi disciplinata nell'ordinamento interno dall'art. 270 cod. proc. pen.; ii) se l'acquisizione, mediante ordine europeo di indagine, dei risultati di intercettazioni disposte da un'autorità giudiziaria straniera attraverso l'inserimento di un captatore informatico sui server di una piattaforma criptata sia soggetta nell'ordinamento interno a un controllo giurisdizionale, preventivo o successivo, in ordine all'utilizzabilità dei dati raccolti.

Come precisato dalle stesse Sezioni Unite della Corte di Cassazione, le questioni sono tra loro strettamente connesse, perché le conclusioni sulla natura giuridica da attribuire all’acquisizione, effettuata tramite OEI, di messaggi scambiati su chat di gruppo mediante un sistema cifrato, e già a disposizione dell'autorità giudiziaria straniera, hanno una diretta ricaduta in ordine al tema della necessità di preventiva o successiva verifica giurisdizionale.

Con riferimento ai primi quesiti di ciascuna sentenza, i quali altro non sono che una richiesta di chiarimento circa l’attività di incasellamento della suddetta attività nei modelli tipici previsti dalla legge processuale, i giudici di legittimità, dopo aver ripercorso i diversi orientamenti giurisprudenziali in materia, hanno innanzitutto escluso l’applicabilità della disciplina di cui all'art. 234-bis c.p.p., perché la stessa è alternativa e incompatibile rispetto a quella dettata in tema di OEI. Suddetta disposizione regola non un mezzo di prova, bensì una modalità di acquisizione di particolari tipologie di elementi di prova presenti all’estero, che viene attuata in via “diretta” dall'autorità giudiziaria italiana e prescinde da qualunque forma di collaborazione con le autorità dello Stato in cui tali dati sono custoditi. Il sistema dell’OEI, invece, regola una modalità di acquisizione degli elementi di prova "transfrontalieri" che si realizza nell'ambito di rapporti di collaborazione tra autorità giudiziarie degli Stati membri dell’UE.[24]

Nella sentenza n. 23755, le Sezioni Unite hanno, altresì, analizzato la tesi (avanzata nel ricorso) secondo al quale gli atti acquisiti mediante OEI dall'autorità giudiziaria francese, pur non costituendo risultati di intercettazioni di conversazioni o comunicazioni, attengono a dati concernenti il traffico, l'ubicazione, e il contenuto di comunicazioni elettroniche, e, quindi, avrebbero dovuto essere sottoposti alla relativa disciplina, la quale richiede, come presupposti necessari per la loro acquisizione, sia la necessità degli stessi ai fini dello svolgimento di indagini per un reato “grave”, sia la preventiva autorizzazione del giudice (art. 132 D.lgs. n. 196/2003, come modificato dall’art. 1, co. 1, D.L. n. 132/2021, convertito, con modificazioni, dalla L. n. 178/2021).[25]Tuttavia, le Sezioni Unite hanno posto in rilievo che la disciplina de qua si riferisce all’acquisizione dei dati presso il gestore dei servizi telefonici e telematici, ma non anche all'utilizzazione dei dati in un procedimento penale diverso da quello in cui sono stati già acquisiti. Questa lettura dell'art. 132 citato non si pone in contrasto con il diritto euro-unitario, dal momento che la Corte di giustizia ha chiarito che l'art. 15, §1, della Direttiva 2002/58/CE, letto alla luce degli artt. 7, 8 e 11, nonché dell'art. 52, §1, della CDFUE, osta ad una normativa nazionale che renda il pubblico ministero competente ad autorizzare l’accesso di un’autorità pubblica ai dati relativi al traffico e ai dati relativi all’ubicazione ai fini di un’istruttoria penale (Corte giustizia, Grande Sezione, 02/03/2021, H.K./Prokuratuur, C-706/18); quando, però, i dati in questione sono già stati acquisiti in un procedimento penale, non si pone più la questione dell'autorizzazione all’accesso di un’autorità pubblica, sicché, nel sistema processuale italiano, il pubblico ministero può acquisire da un’altra autorità giudiziaria dati relativi al traffico o all’ubicazione, concernenti comunicazioni effettuate da un utente di un mezzo di comunicazione elettronica, senza dover chiedere una preventiva autorizzazione al giudice competente.

Nel ricorso trattato nella sentenza n. 23756, gli atti acquisiti mediante OEI dall'autorità giudiziaria francese sono stati qualificati come risultati di intercettazioni di conversazioni o di comunicazioni[26], effettuate anche mediante un captatore informatico inserito sui server della piattaforma del sistema Sky-Ecc, al fine di acquisire le chiavi di cifratura custodite nei dispositivi dei singoli utenti. Seguendo tale qualificazione, il parametro di riferimento interno è stato individuato nell’art. 270 cpp, con conseguente esclusione della necessità di una preventiva autorizzazione del giudice.

Sebbene la Direttiva 2014/41/UE (artt. 30 e 31) e il D.lgs. n. 108/2017 (artt. 23 e 24; artt. 43 e 44) prevedano regole specifiche per il caso che l'atto investigativo richiesto sia costituito da intercettazioni di telecomunicazioni, tuttavia mancano disposizioni espresse per la trasmissione e l'utilizzazione dei risultati già acquisti nell’ambito di un’attività investigativa di questo tipo. In particolare, l’art. 30, § 7, della Direttiva (e analogamente l’art. 43 del D.lgs. n. 108/2017) prevede lo Stato di emissione può altresì richiedere, se ne ha particolare motivo, una trascrizione, una decodificazione o una decrittazione della registrazione, fatto salvo l'accordo con lo Stato di esecuzione. Anche sotto questo profilo, pertanto, la Corte ha escluso che il pubblico ministero fosse tenuto a chiedere e ottenere un provvedimento autorizzatorio preventivo da parte del GIP.

Interessante è considerare l’attenzione posta dalla Corte sull’asserita atipicità delle modalità operative delle autorità francesi. I giudici di legittimità hanno escluso che l’inserimento di un captatore informatico sul server della piattaforma costituisca mezzo "atipico", non consentito dall'ordinamento italiano perché incidente sui diritti fondamentali della persona. Tale strumento, infatti, non è un autonomo mezzo di ricerca della prova, e tanto meno un mezzo di prova, bensì uno strumento tecnico attraverso il quale esperire il mezzo di ricerca della prova costituito dalle intercettazioni di conversazioni o di comunicazioni, per cui non è indispensabile che il legislatore preveda dove lo stesso possa essere inserito. La Corte ha anche escluso che l'utilizzo del captatore informatico per acquisire le chiavi di cifratura presenti sui dispositivi mobili dei singoli utenti possa costituire un mezzo "atipico" di indagine o di prova non consentito, richiamando l'art. 30, § 7, della direttiva 2014/41/UE e l’art. 43, co. 4, del D.lgs. n. 108/2017, in forza dei quali è possibile chiedere, mediante l’OEI, anche la decodificazione o la decrittazione delle comunicazioni intercettate, con conseguente ammissibilità degli strumenti a tale fine necessari.

Individuate nella Direttiva 2014/41/UE e nel D.lgs. n. 108/2017 le coordinate della disciplina in tema di acquisizione di elementi istruttori effettuata dall'autorità giudiziaria italiana mediante OEI, i giudici hanno condotto il loro esame valutando la sussistenza delle condizioni di ammissibilità dell’OEI, ossia il rispetto dei principi di proporzionalità ed equivalenza. Il giudizio sulla sussistenza della prima condizione (necessità e proporzionalità) deve essere compiuto avendo riguardo al procedimento nel cui ambito è emesso l’OEI. Relativamente alla verifica della sussistenza della seconda condizione (ammissibilità dell'atto richiesto alle stesse condizioni in un caso interno analogo) costituisce un passaggio preliminare l'individuazione del "tipo" di atto oggetto di OEI.

Nel caso di specie, considerato l’oggetto dell’OEI, il parametro di riferimento interno è stato individuato nella disciplina relativa alla circolazione delle prove tra procedimenti penali, quale desumibile dagli artt. 238 e 270 c.p.p. e 78 disp. att. c.p.p. Proprio sulla base di tale soluzione, le Sezioni Unite hanno escluso che l’emissione di un ordine diretto a ottenere il contenuto di comunicazioni veicolate da criptofonini debba essere preceduta da un’autorizzazione del giudice italiano, quale condizione necessaria a norma dell’art. 6 della Direttiva 2014/41/UE, poiché tale autorizzazione, nella disciplina interna in materia di circolazione delle prove, non è richiesta. Seppur rammentate dalla Corte, nel caso specifico non hanno assunto rilievo diretto le regole e gli orientamenti giurisprudenziali formatisi in merito alle garanzie a tutela della libertà e segretezza della corrispondenza.[27]

La Corte di Cassazione ha precisato, altresì, che il giudice al quale si chiede di utilizzare le prove - già in possesso delle autorità competenti dello Stato di esecuzione, ed ottenute dal pubblico ministero mediante OEI - conserva integro il potere di valutare se vi siano i presupposti per ammetterle ed utilizzarle ai fini delle decisioni di sua spettanza. Segnatamente, l’organo giudicante controlla la sussistenza delle condizioni di ammissibilità per l’emissione di un OEI e l’eventuale violazione dei diritti fondamentali riconosciuti dalla Costituzione e dalla CDFUE. Tuttavia, proprio su tale ultimo punto, i giudici di legittimità hanno precisato che l’onere di allegare e dimostrare i fatti dai quali desumere una tale violazione grava sulla parte interessata (i.e. sulla difesa dell’imputato).

Le Sezioni Unite, infine, hanno affrontato la questione relativa alla possibile violazione del diritto della difesa in ragione della mancata disponibilità dei messaggi originali e dell’algoritmo utilizzato dagli investigatori francesi per la decrittazione delle comunicazioni captate, affermando che l’impossibilità, per la difesa di accedere alle suddette informazioni non determina, almeno in linea di principio, una violazione di diritti fondamentali, salvo specifiche allegazioni di segno contrario, in quanto il contenuto di ciascun messaggio è inscindibilmente abbinato alla sua chiave di cifratura, per cui una chiave errata non ha alcuna possibilità di decifrarlo.

Sul punto è certamente interessante considerare che nella relazione presentata in occasione dei giudizi definiti con le sentenze citate, la Procura generale ha richiamato la sentenza della Corte E.D.U. del 13 febbraio 2024, sul caso Podchasov c. Russia (ric. n. 33696/19). In tale decisione i giudici di Strasburgo si sono occupati delle chat dell’applicativo Telegram, riconoscendo che l’uso della crittografia nelle comunicazioni pone un dilemma per gli Stati democratici, tenuti a ricercare l’equilibrio corretto tra la necessità di proteggere i cittadini da gravi crimini e minacce alla sicurezza e quella di non pregiudicare i diritti fondamentali. La crittografia, infatti, costituisce un fattore chiave per la privacy e la sicurezza online. Tuttavia, come nel caso che ha interessato le indagini da parte delle autorità francesi, le comunicazioni crittografate si prestano facilmente anche ad un uso per finalità criminali. La Procura ha tentato un discrimine tra le ipotesi di impiego di piattaforme informatiche per comunicare in modo criptato installate su “normali” cellulari (es. Telegram o WhatsApp) e l’utilizzo di sistemi come Sky-ECC o EncroChat che, proprio perché installati su apparecchi telefonici specifici, non possono consentire le operazioni di intercettazione se non mediante una previa intrusione nel server utilizzato per trasmettere i messaggi. Proprio le caratteristiche della fattispecie renderebbero evidente l’imprescindibilità di una “invasione” più penetrante, in difetto della quale le attività di indagine sarebbero ab initio inefficaci e, di fatto, inutili.

9. Mutual admissibility of evidence[28] o “atto di fede”?

Tenuto fermo quanto sopra, non è di poco conto considerare che le conclusioni alle quali sono giunti i giudici di legittimità presuppongono l’operatività di una presunzione relativa circa la conformità delle operazioni investigative delle autorità francesi non solo alla lex loci (aspetto non sindacabile, in quando non potrebbe pretendersi una piena corrispondenza con il diritto processuale interno), ma anche ai principi posti a tutela dei diritti fondamentali, sub specie il diritto ad un equo processo e, dunque, alla difesa e al contraddittorio nella formazione della prova.

I dati informatici sono stati trasmessi già decriptati, sicché, al di là della regola della mutual admissability of evidence (i.e. fiducia reciproca tra le autorità nazionali), si richiede al giudice una sorta di “atto di fede” relativamente al rispetto, da parte dell’autorità francese, delle regole tecniche da seguire nell’operazione di decriptazione. Infatti, è rimasto inibito il controllo dell’esatta corrispondenza dell’interpretazione del dato nel passaggio da elemento non intellegibile a prova “in chiaro” e, conseguentemente, anche la verifica del processo di produzione del risultato probatorio (recte la “tracciabilità” della catena di conservazione del dato).

Nel caso Yüksel Yalçinkaya c. Turchia, già citato, la Corte EDU ha riconosciuto la violazione dell’art. 6 della Convenzione proprio in ragione delle gravi carenze informative in pregiudizio dell’imputato. Questo tipo di approccio, tra l’altro, non è esclusivo dei giudici sovranazionali. La stessa Corte di Cassazione ha annullato il provvedimento di conferma di un’ordinanza applicativa della custodia cautelare in carcere emessa dal tribunale del riesame, in quanto quest’ultimo aveva ritenuto del tutto ininfluente accertare le modalità con cui l’autorità straniera aveva acquisito e decriptato le conversazioni intercorse fra gli indiziati. Senza il positivo accertamento delle concrete modalità di estrazione, duplicazione e conservazione dei dati, i giudici di legittimità hanno ritenuto interrotta e non garantita la “catena di custodia”,[29] precisando che il diritto di difesa si esplica anche nella possibilità di ottenere i files integrali delle “ordinarie” intercettazioni, così da consentire il confronto di quanto captato e registrato con il materiale trascritto, per cui difficilmente si comprenderebbe una soluzione sottostimante gli effetti della negazione del controllo di parte sull’operazione di decriptazione. In questo modo, inoltre, non verrebbe garantito il diritto al controllo giurisdizionale attraverso un mezzo specifico di impugnazione[30].

Diversamente opinando, la disciplina italiana in materia di intercettazioni contenuta nel D.lgs. n. 108/2017 sarebbe da ritenere in contrasto con la sentenza Gavanozov II, in quanto, sebbene richieda l’autorizzazione preventiva di un giudice, tuttavia non prevede anche un mezzo di impugnazione ad hoc. Pertanto, una volta ottenuti i risultati probatori, non resterebbe che il vaglio alla luce della lex fori.

Nelle sentenze delle Sezioni Unite sopra richiamate, l’utilizzabilità dei dati informatici trasmessi in esecuzione dell’OEI è stata subordinata al rispetto dei diritti fondamentali. Di fatto, però, l’operatività della presunzione relativa di conformità ha ricondotto in capo alla difesa l’onere di allegare e provare i fatti da cui inferire la violazione dei suddetti diritti[31], il che appare evidentemente non particolarmente agevole se consideriamo il deficit conoscitivo determinato dal segreto nazionale opposto dalle autorità dello Stato di esecuzione. L’impasse sembrerebbe giustificato da un dato prettamente tecnico: il pericolo di alterazione dei dati è tendenzialmente da escludere in quanto il contenuto di ciascun messaggio è abbinato in modo inscindibile alla sua chiave di cifratura, ed una chiave errata non ha alcuna possibilità di decriptarlo anche solo parzialmente.[32]

10. Diritto di difesa, secretazione e conservazione del dato probatorio: un bilanciamento possibile?

Nel caso esaminato nelle sentenze delle Sezioni Unite, quando il giudice italiano potrebbe dichiarare inutilizzabili i risultati trasmessi dalle autorità francesi?

Riprendendo le garanzie minime sopra già indicate, la cui inosservanza determinerebbe violazioni del diritto di difesa e dell’equo processo, l’inutilizzabilità potrebbe essere dichiarata: i) qualora la raccolta delle prove non sia stata ab origine autorizzata da un giudice straniero ii) qualora le prove siano state acquisite nell’ambito di procedimenti non attinenti ad uno dei gravi reati elencati dall’art. 270 c.p.p.; iii) qualora la raccolta all’estero delle prove sia avvenuta sulla base di un provvedimento autorizzativo privo di una motivazione dotata di logicità intrinseca.

Inoltre, riprendendo la sentenza del 30 aprile 2024 della Corte di giustizia dell’UE, dovrebbe essere dichiarata l’inutilizzabilità anche se il giudice ritenga che una parte non sia in grado di svolgere in modo efficace le proprie osservazioni in merito a un mezzo di prova che possa influenzare in modo preponderante la valutazione dei fatti, ciò determinando una violazione del diritto a un processo equo[33].

Sebbene l’onere dell’allegazione e della prova della lesione di diritti fondamentali gravi sulla parte interessata, il giudice non potrebbe non tenere conto delle difficoltà incontrate dalla difesa a causa dell’(incolpevole) ignoranza di quanto accaduto nel corso delle attività di acquisizione delle prove. Tuttavia, non possono sottacersi le possibili conseguente di un tale ragionamento. Infatti, un divieto probatorio del genere porrebbe di fronte ad una scelta inevitabile: il palesare le tecniche investigative adottate, con il conseguente rischio di pregiudicare gli interessi che possono giustificarne la secretazione (primo tra tutti l’efficacia di successive operazioni investigative); oppure dichiarare l’inutilizzabilità delle prove, con vanificazione delle attività d’indagine già svolte (ed eventuale impunità delle condotte criminose ove manchino ulteriori prove a sostegno della responsabilità penale). Le difficoltà nell’individuare un giusto bilanciamento tra gli opposti interessi in gioco è palmare.

La soluzione selezionata dalle Sezioni Unite, come già sopra riportato, si fonda su una presunzione relativa[34], restando ferma la possibilità per la difesa di dedurre, sulla base di ragioni specifiche, anomalie tecniche in grado di fare dubitare della correttezza delle acquisizioni e dell’inquinamento del risultato probatorio (es. allegazione di una foto dello schermo del criptofonino dalla quale emergano difformità rispetto ai messaggi estrapolati dalle autorità giudiziarie).[35]

Ci si chiede, però, se il giudice possa comunque procedere ad un bilanciamento degli interessi coinvolti a prescindere da un’eccezione di parte idonea a superare la suddetta presunzione. I parametri da seguire si estrapolerebbero dalla giurisprudenza sovranazionale in materia di diritto di difesa ed equo processo, ossia: l’influenza preponderante delle prove nell’accertamento dei fatti, che tuttavia trascina con sé un certo livello di discrezionalità, suscettibile di creare non poche incertezze; gli interessi giustificanti la secretazione degli algoritmi di decriptazione; il principio di proporzionalità, segnatamente sotto il profilo della restrizione del segreto a quanto strettamente necessario alla salvaguardia degli interessi in questione; l’individuazione di misure di controbilanciamento alle restrizioni imposte alla difesa; la ricerca di riscontri esterni (anche se per situazioni non riconducibili all’art. 192, commi 3 e 4 c.p.p.).[36]

Per concludere, gli sviluppi tecnologici applicati all’attività di indagine consentono certamente di oltrepassare i nuovi limiti – altrettanti avanzati dal punto di vista tecnico – creati dalla criminalità organizzata e non solo. Il rischio, però, è quello di concentrare l’attenzione sul dato probatorio anziché sulle modalità della sua acquisizione, soprattutto se particolarmente intrusive. Ciò si porrebbe in netto contrasto con quello che è il modello epistemologico seguito dal legislatore nel nostro codice di rito. Tuttavia, anche una chiusura netta all’utilizzabilità non sembra una soluzione auspicabile.

Ancora una volta il giudice non può “adagiarsi” sulle comodità garantite dai principi di diritto espressi dalla più pregevole giurisprudenza, ma è costantemente chiamato ad un bilanciamento degli interessi ritagliato sul singolo caso trattato. Non può, in ogni caso, negarsi che le questioni potranno costituire oggetto di nuovi rinvii pregiudiziali o ricorsi innanzi alla Corte EDU, considerato che le risposte già fornite frustano le aspettative di chi, in trepidante attesa, sperava nella delineazione di coordinate interpretative più nette. In particolare, ad avviso di chi scrive, sembra imprescindibile tornare sul problema dell’esercizio del diritto di difesa[37] e, dunque, sul contradditorio nella formazione della prova, dal momento che l’opposizione del segreto per ragioni di sicurezza statale conduce, di fato, ad un vicolo cieco, con limitazione di un’effettiva capacità di contestazione del dato probatorio. Il famoso bilanciamento tra gli interessi in gioco rischia di ridursi ad una partita unilaterale, con vincitore già decretato anche se non platealmente annunciato.[38]

[1] A. GIULIANI, La Prova, Enc. Dir. (col. XXXVII, Milano, Giuffrè, 1988, p. 524

[2] G. DE LUCA, La cultura della prova e il nuovo processo penale, in Evoluzione e riforma del diritto della procedura penale, in Scritti in onore di G. Vassalli, vol. II, Milano, Giuffré, 1991, p. 210.

[3]A. GAITO, Procedura penale e garanzie europee, UTET (2006) p. 48; G. Guagliardi, Utilizzo nel processo penale di messaggi criptati ottenuti tramite una operazione di hacking massiva all’estero e acquisiti in Italia tramite Ordine Europeo di Indagine. Il fine giustifica i mezzi?, in Giurisprudenza penale web, 2024, 6.

[4] C. CONTI, Il principio di non sostituibilità: il sistema probatorio tra Costituzione e legge ordinaria, in Cass. pen., vol. 64, n. 2, 2024, pp. 451 ss.

[5] Riportando l’attenzione al codice di procedura penale, gli artt. 266 ss. costituiscono sicuramente un esempio di regolamentazione in tal senso dello strumentario investigativo.

[6] L. BATTIMERI, La perquisizione online tra esigenze investigative e ricerca atipica della prova, in www.sicurezzaegiustizia.it.

[7] Cfr. Corte Cost., sent. n. 20/2017: il giudice delle leggi ha dichiarato non fondate le questioni di legittimità costituzionale dell’art. 266 c.p.p. e degli artt. 18 (nel testo anteriore alle modifiche introdotte dall’art. 3, co. 2 e 3, l. 8 aprile 2004, n. 95, recante «Nuove disposizioni in materia di visto di controllo sulla corrispondenza dei detenuti») e 18-ter, della L. n. 354/1975 sollevate, in riferimento agli artt. 3 e 112 Cost., dalla Corte di assise di appello di Reggio Calabria, nella parte in cui tali disposizioni non consentono di intercettare il contenuto della corrispondenza postale del detenuto, così evitando che il mittente e il destinatario ne vengano a conoscenza.

[8] C. CONTI, Nuove tecnologie e “tipicità” procedurale del sistema probatorio: il principio di non sostituibilità, in G.M. BACCARI, C. CONTI, La corsa tecnologica tra Costituzione, codice di rito e norme sulla privacy: uno sguardo d’insieme, in Dir. pen. proc., 2021, pp. 717 ss.

[9] Cfr. Corte Cost. n. 170/2023: il giudice delle leggi ha segnato il confine tra l’attività di intercettazione e il sequestro di corrispondenza, specificando, altresì, che “…Degradare la comunicazione a mero documento quando non più in itinere, è soluzione che, se confina in ambiti angusti la tutela costituzionale prefigurata dall’art. 15 Cost. nei casi, sempre più ridotti, di corrispondenza cartacea, finisce addirittura per azzerarla, di fatto, rispetto alle comunicazioni operate tramite posta elettronica e altri servizi di messaggistica istantanea, in cui all’invio segue immediatamente – o, comunque sia, senza uno iato temporale apprezzabile – la ricezione”. Si veda anche: V. Sellaroli La perquisizione informatica, il trojan e la tutela del domicilio informatico, in Scienza e diritto penale, SSM, Quaderno n. 21, pp. 93 ss.; L. Filippi, Il cavallo di Troia e l’ispe-perqui-intercettazione, in Pen. Dir. e Proc., 21 Marzo 2022

[10] G. DI PAOLO, La circolazione transfrontaliera delle prove elettroniche, in Pen. Dir. e Proc., 13 maggio 2024

[11] La crittografia, in termini semplici, è la trasformazione di informazioni leggibili, note come “testo in chiaro”, in un formato illeggibile, definito “testo cifrato”. Questo processo è impiegato per proteggere informazioni sensibili e per ovviare al rischio derivante da accessi non autorizzati. L’uso della crittografia è rinvenibile già presso gli antichi greci con la “scitala” (Plutarco ne descrive il funzionamento nelle Vite parallele).

[12] D. CURTOTTI, V. RIZZI, W. NOCERINO, A. RUSSITTO, G. GILIBERTI, G. SCARPA, Piattaforme criptate e prova penale, in Sist. Pen., 6/2023 pp. 173 ss.

[13]S. Ragazzi e F. Spiezia, Un veloce sguardo oltre i confini nazionali - decifrare, acquisire e utilizzare le comunicazioni criptate in uso alla criminalità organizzata: uno sguardo europeo, in attesa del count-down italiano, in Sist. Pen., 2/2024 pp 203 ss.

[14] https://www.conseil-constitutionnel.fr/decision/2022/2022987QPC.htm

[15] Proprio in tema di acquisizione di chat criptate, la Cour de cassation ha avuto modo di censurare l’assenza di un’attestazione tecnica che “certificasse” la genuinità delle operazioni compiute mediante dispostivi tecnici informatici (Chambre criminelle, 11 ottobre 2022, 21-85.148, in www.legifrance.gouv.fr).

[16] Cour de cassation, criminelle, Chambre criminelle, 10 mai 2023, 22-84.475, in www.legifrance.gouv.fr

[17] https://www.bundesgerichtshof.de/SharedDocs/Pressemitteilungen/EN/2022/2022038.html)

[18] https://www.hrr-strafrecht.de/hrr/lg/22/279-js-30-22.php

[19] https://uitspraken.rechtspraak.nl/#!/details?id=ECLI:NL:HR:2023:913

[20] Cfr.: T. RUSSO, Ancora in materia di esecuzione dell’ordine europeo d’indagine (oei) tra formazione della prova e sorveglianza di massa: due questioni aperte, in Sist. Pen., n. 4/2025 pp. 27 ss. Secondo l’autore, l’utilizzabilità dei risultati probatori di indagini transfrontaliere, conseguenti all’accesso a sistemi informatici, dovrebbe richiedere la certezza di principi condivisi e di parametri di controllo sul rispetto del principio di proporzionalità non solo quando l’accesso sia richiesto ai fornitori privati, ma anche quando lo stesso sia effettuato direttamente dalle autorità di polizia e giudiziarie.

[21] Per un approccio critico: J.J. OERLEMANS – D.A.G.VAN TOOR, Legal Aspects of the EncroChat Operation: A Human Rights Perspective, in European Journal of Crime, Criminal Law and Criminal Justice, vol. 30, 2022, pp. 309-328.

[22] Si vedano anche le conclusioni dell’Avvocato Generale Tamara Ćapeta, presentate il 26 ottobre 2023:https://curia.europa.eu/juris/document/document.jsf;jsessionid=EEF3F45D476085A9ADBA8A86C66FF78D?text=&docid=279144&pageIndex=0&doclang=IT&mode=req&dir=&occ=first&part=1&cid=100225

[23] In relazione alla notifica, prevista dal medesimo art. 31, è stato precisato essa deve essere avere come destinatario l’autorità che a tal fine è stata designata dallo Stato membro sul cui territorio si trova la persona sottoposta all’intercettazione. In caso di mancata identificazione di tale soggetto, la notifica può essere inviata a qualsiasi autorità dello Stato membro notificato ritenuta a tale fine idonea (§119). Si veda anche: Cass. pen. sez. VI, n. 35038 del 10/07/2024.

[24] Ulteriore conferma del rapporto di alternatività tra acquisizione di elementi istruttori operata in via diretta dall'autorità giudiziaria procedente e acquisizione di elementi istruttori sulla base di rapporti di collaborazione con autorità giudiziarie di altri Stati è stata individuata negli artt. 31 e 32 della Convenzione del Consiglio d'Europa sulla criminalità informatica (i.e. Convenzione di Budapest).

[25] In materia, la giurisprudenza euro-unitaria ha precisato che “il riconoscimento da parte dell'autorità di esecuzione di un ordine europeo di indagine, emesso per l'acquisizione dei dati relativi al traffico e all'ubicazione connessi alle telecomunicazioni, non può sostituire i requisiti previsti nello stato di emissione nel caso in cui tale ordine sia stato emesso indebitamente dal pubblico ministero, quando, nell'ambito di una procedura nazionale analoga, l'adozione di un atto di indagine per l'acquisizione di dati siffatti rientra nella competenza esclusiva del giudice” (CdG dell’UE, 16/12/2021, HP, C-724/19).

[26] A. GAITO, Comunicazioni criptate ed esigenze difensive (da Blackberry a Sky-ECC), in Arch. Pen., fasc. 1, gennaio-aprile 2024. Secondo l’autore, “ove e quando le usuali operazioni di intercettazione travalichino la semplice problematica dell’instradamento, dell’ascolto o della visione o della lettura, per entrare nel terreno sofisticato della decifratura dei messaggi criptati, non si può negare che si entri nel diverso di attività non meramente esecutive che comportano l’intervento di esperti, per di più stranieri. E allora, in situazione di fatto e di diritto assolutamente identica, non ci si può discostare dal sopravvenuto insegnamento della Corte costituzionale, in quanto non si può più affermare semplicisticamente che le operazioni conseguenti ad attività di intercettazione sono tutte ugualmente semplici: quando le operazioni si discostano dall’usuale, imponendo l’interpello di esperti per elaborare il dato telematico essenziale per le indagini, allora le operazioni di decifrazione delle chats utili per le indagini devono essere in ogni caso assimilate a un accertamento tecnico non ripetibile. Ed in tal senso sarebbe auspicabile che fosse prospettata una nuova questio de legitimitate, in riferimento agli artt. 3, 24, 111 e 117 Cost., degli artt. 266-271 e 360 c.p.p., nella parte in cui non prevedono che alle operazioni collegate e conseguenti alle intercettazioni telematiche complesse si applicano le garanzie difensive previste per gli accertamenti tecnici dall’art. 360 c.p.p. così come interpretato da Corte cost., sent. n. 239 del 2017” (pag. 13).

[27] Corte EDU, Grande Camera, 05/09/2017, Barbulescu c. Romania; Corte EDU, 17/12/2020, Saber c. Norvegia; Cass. pen., sez. VI, n. 13585 del 01/04/2025. Si segnala, altresì, il progetto di legge A.C. 1822 – “Modifiche al codice di procedura penale in materia di sequestro di dispositivi, sistemi informatici o telematici o memorie digitali”.

[28] L. BACHMAIER, Mutual Admissibility of Evidence and Electronic Evidence in the EU - A New Try for European Minimum Rules in Criminal Proceedings?, eucrim.eu, Issue 2/2023, pp. 223 ss.

[29] Cfr. Cass. pen. sez sez. IV, n. 32915/2022: “…occorre sottolineare come il principio del contraddittorio implichi che la dialettica procedimentale non si esplichi soltanto relativamente al vaglio del materiale acquisito ma si estenda alle modalità di acquisizione del predetto materiale. Ciò è funzionale al controllo della legittimità del procedimento acquisitivo, anche nell'ottica delineata dall'art. 191 cod. proc. pen., il quale stabilisce l'inutilizzabilità delle prove acquisite in violazione dei divieti stabiliti dalla legge, proiettando i propri effetti anche nello specifico contesto del procedimento incidentale de libertate, a condizione, naturalmente, che, come nel caso di specie, risulti l'effettiva incidenza dell'elemento dimostrativo in disamina sul convincimento del giudice (Cass., Sez. 4, n. 18232 del 2 -5-2016, Rv. 266644). Le modalità di acquisizione del materiale probatorio rilevano, inoltre, nell'ottica della valutazione della valenza epistemica di quest'ultimo, sotto il profilo, per quanto inerisce alla specifica problematica sub iudice, della corrispondenza della testualità di tale messaggistica al tenore letterale dei messaggi originariamente inviati e ricevuti nonché delle utenze dei mittenti e dei destinatari individuati con quelli effettivi, ragion per cui la problematica in disamina dispiega la propria rilevanza anche relativamente alla fase della captazione e della decrittazione dei flussi telematici. Tutto ciò comporta imprescindibilmente la possibilità di conoscere le modalità di svolgimento dell'attività investigativa svolta e il procedimento di acquisizione di tale messaggistica, onde consentire la piena esplicazione del diritto di difesa, attraverso l'instaurazione di una proficua dialettica procedimentale in ordine ad ogni profilo di ritualità, rilevanza, attendibilità e valenza dimostrativa che possa venire in rilievo, nell'ottica dell'imputazione. Ciò che nel caso in esame non è stato consentito ai difensori. Si impone pertanto, nel caso di specie, un pronunciamento rescindente volto a consentire al giudice del rinvio di chiarire, nel contraddittorio delle parti, tutti i segmenti dell'iter di acquisizione della messaggistica, onde procedere alle valutazioni di competenza in ordine ai profili appena evidenziati (annullamento dell’ordinanza del Tribunale del riesame”.

[30] Cfr. anche Cass. pen. sez. IV, n. 49896 del 15/10/2019.

[31]Questo principio, operante anche nel settore delle rogatorie, è in linea con le regole processuali, considerato che spetta a chi afferma l’esistenza di un’invalidità processuale addurre i fatti che ne sono a fondamento.

[32] Critico sul punto: M. DANIELE, Le sentenze “gemelle” delle Sezioni Unite sui criptofonini, in Sist. Pen., 17 Luglio 2024. Secondo l’autore è opinabile nella sua astrattezza, per quanto non escluda la possibilità della prova contraria. Non è detto che l’intellegibilità delle comunicazioni sia sempre un segno sicuro della correttezza delle tecniche informatiche utilizzate per ottenerle. Tutto dipende dalle specificità di ciascuna situazione concreta; in certi casi, è opportuno che il giudice disponga una perizia al riguardo, in modo tale da rafforzare la propria motivazione in merito al valore delle comunicazioni. Si veda anche: P. PUJIA, L’acquisizione della messaggistica criptata conservata su server straniero tra classificazioni concettuali e divergenze giurisprudenziali, in Arch. Pen., 2024, 2.

[33] Il diritto dii accesso alle prove è formulato in termini analoghi anche dalla Corti sovranazionali: Corte EDU., 26 settembre 2023, Yüksel Yalçinkaya c. Turchia, § 306 ss.; CdgUE, La Quadrature du Net, 6 ottobre 2020, § 226 s.; CdgUE Prokuratuur, 2 marzo 2021, § 44; CdgUE, MN, 30 aprile 2024, § 104 ss. e 130 ss.

[34] L. MARAFIOTI, Sezioni unite e tirannie tecnologiche: diritto di difesa, contraddittorio e “criptofonini”, in dirittodifesa.eu, 18 settembre 2024. Secondo l’autore l’argomento delle Sezioni Unite sarebbe viziato da “tirannia tecnologica”.

[35] Fatta salva la necessità del relativo bilanciamento con interessi quali la sicurezza nazionale o la segretezza dei metodi di indagine della polizia, infatti, occorre verificare se gli atti istruttori richiesti siano stati acquisiti nel rispetto delle garanzie procedimentali che, anche alla luce del diritto interno (art. 268, commi 6, 7 e 8, c.p.p.), obbligano a mettere la difesa nelle condizioni di conoscere le modalità di acquisizione delle comunicazioni scambiate mediante il sistema Sky-ECC, per verificare la corrispondenza dei testi acquisiti in originale e dei testi decodificati, nonché la coincidenza delle utenze dei soggetti identificati come mittenti e destinatari. In questi termini: V. Virga, Criptofonini e indagini digitali transfrontaliere su larga scala : un difficile equilibrio tra privacy, fairness processuale ed esigenze di repressione dei reati, in Il Foro italiano, Vol./Nr. 10, 2024, col. 566-574

[36] M. DANIELE, Oei e messaggi digitali già acquisiti all’estero. Riflessioni a partire dal caso Sky ECC, in Sist. Pen., 27 Marzo 2025.

[37] A. BARBIERI, I limiti di utilizzabilità dei messaggi crittografati scaricati da un server estero ed acquisiti mediante ordine europeo di indagine, in Giurisprudenza Penale WEB, 2023. L’autore osserva che la violazione del contraddittorio nella formazione della prova non si identifica con la violazione del diritto di difesa, intesa come violazione del diritto di partecipazione e assistenza tecnica dell’imputato, ma offre una garanzia ulteriore e più ampia rispetto alla formale partecipazione della parte o alla presenza del difensore. Il contraddittorio non attiene, infatti, alla garanzia di partecipazione e assistenza in sé dell’imputato o delle altre parti, ma al quomodo della formazione della prova che caratterizza il processo penale secondo un modello conforme alla costituzione e alla CEDU.

[38] Per prospettive iure condendo: O. MURRO, W. NOCERINO, Più ombre che luci nelle sentenze delle Sezioni Unite in tema di criptofonini, in Penale diritto e procedura, 21 Ottobre 2024

Scarica l'articolo

LA SORTE DEL DIRITTO DI DIFESA NEL COMPLICATO RAPPORTO TRA EVOLUZIONE TECNOLOGICA ED ESIGENZE INVESTIGATIVE| 806 Kb

PENALE

LA SORTE DEL DIRITTO DI DIFESA NEL COMPLICATO RAPPORTO TRA EVOLUZIONE TECNOLOGICA ED ESIGENZE INVESTIGATIVE

Penale

sabato, 21 giugno 2025

OVVERO A PROPOSITO DELL’UTILIZZABILITÀ DEI RISULTATI DELLE INTERCETTAZIONI DISPOSTE DA UN’AUTORITÀ GIUDIZIARIA STRANIERA SU UNA PIATTAFORMA INFORMATICA CRIPTATA E SU CRIPTOFONINI