1. INTRODUZIONE: PROVA DIGITALE E LIBERTA’ INFORMATICA
Una delle principali declinazioni della democrazia nel XXI secolo[1] sfocia nel diritto alla libertà informatica, che si articola su un duplice versante: da un lato quello conservativo, oggetto di tutela penalistica (si pensi esemplificativamente alla norma contenuta nell’art. 615 ter c.p., che, sanzionando la condotta di accesso abusivo ad un sistema informatico, è volta a proteggere la sicurezza informatica intesa quale integrità dei sistemi informatici), dall’altro quello promozionale, oggetto di tutela penalistica e processualpenalistica mediante il complesso di disposizioni tese a garantire la riservatezza informatica. Quest’ultima va interpretata quale autonomo interesse giuridicamente protetto a non subire intercettazioni o interferenze nelle proprie comunicazioni informatiche, ancorché non connotate dal carattere della segretezza e riservatezza, dunque anche oltre gli stretti confini di tutela del segreto epistolare[2]; tanto sull’assunto che il nascere e lo svilupparsi di relazioni interne al cyberspace abbia generato un nuovo bene giuridico della persona a vedersi garantita una sfera esclusiva di controllo sulla manifestazione della propria personalità attraverso la rete, in tutte le forme in cui quest’ultima lo consenta, quali comunicazioni di posta elettronica, messaggi istantanei visuali e vocali, addirittura memorizzazioni di password e aggiornamenti di semplici status on e off line. Tale rapida rassegna permette dunque di comprendere come nello spazio virtuale si concentri e raccolga una congerie di dati che afferisce all’intera esplicazione della personalità nel dispiegarsi delle sue molteplici articolazioni quotidiane (inviare una foto, localizzare una posizione, memorizzare un appuntamento, in sostanza tutti i dati che l’inoculazione di un virus spia permetterebbe di raccogliere)[3] e ciò pone all’operatore del diritto un serio dilemma ermeneutico, che giustifica l’esistenza di argini anche processuali a garanzia di tale ampio e nuovo diritto di libertà: come conciliare la tutela di tale posizione giuridica soggettiva, suscettibile di rientrare in termini generali nell’alveo della tutela della riservatezza della vita privata (art. 2 Cost.) e di volta in volta in quelli della libertà personale (art. 13 Cost.) e di manifestazione del pensiero (art. 18 Cost.) o della libertà e segretezza della corrispondenza (art. 15 Cost.) e del domicilio (art. 14 Cost.), con lo sviluppo vertiginoso della tecnologia, che offre nuovi mezzi di raccolta dei dati, suscettibili di costituire oggetto di prove caratterizzate da spiccata e continua innovatività e ammesse dall’ordinamento in virtù della clausola generale contenuta nell’art. 189 c.p.p., che, nel fondare il principio di atipicità delle prove, è generalmente ritenuta fondare anche, ed a fortiori, quello di atipicità degli atti di indagine.
Dal momento che, nelle moderne democrazie costituzionali, l’assolutezza del libero convincimento del giudice è contemperata con la previsione di paradigmi probatori che delineano le modalità di raccolta dei dati empirici o quantomeno ne conformano i principi ispiratori (quali i diritti inviolabili della personalità)[4], sancendo così una regola di utilizzabilità o inutilizzabilità del materiale istruttorio conseguito, deve ritenersi che l’unico modo per assicurare una compatibilità fra l’ammissibilità delle nuove prove atipiche e la tutela della riservatezza informatica si fondi sulla procedimentalizzazione delle modalità di assunzione delle prime. Se infatti il potere è la forma della funzione[5], la positivizzazione delle modalità di raccolta della prova acquisita in ambito informatico consente di arginare il potere tendenzialmente illimitato dell’organo inquirente[6] di avere accesso al complesso dei dati riversati sui dispositivi informatici di cui possa conseguire la materiale disponibilità mediante una semplice attività di perquisizione e sequestro[7], in tal modo salvaguardando anche in questo delicato settore il bilanciamento tra efficienza e libertà che conforma di sé il modello costituzionale[8].
Tale esigenza di procedimentalizzazione della prova atipica[9] appare particolarmente cogente invero rispetto alla prova cosiddetta “digitale”, per tale dovendosi intendere quella rappresentativa di un contenuto che non è vincolata ad un determinato contenitore, ben potendo essere trasferita da un supporto all’altro senza subire alcuna alterazione della propria identità, diversamente da quanto avviene con la tradizionale prova documentale, precostituita rispetto alla res che la incorpora e sostanzia invariabilmente. La digital evidence “in sostanza, è duplicabile una serie infinita di volte, senza differenza qualitativa dall’originale”[10]; paradossalmente, però, tale ostinata costanza rispetto alla molteplicità delle sue forme di manifestazione differenzia la prova elettronica dal contenuto che essa dimostra, che al contrario si manifesta quale dato intrinsecamente fragile e aperto. Basti pensare a un messaggio di testo, suscettibile di cambiare i suoi dati identificativi in virtù del mero inoltro pur in assenza di alterazioni puramente contenutistiche: di talché ogni contenuto digitale, prima che sia assunto come oggetto di prova, diventando così infinitamente esportabile ad altri supporti, “diventa un turno che attende il suo completamento nella mossa successiva dell’interlocutore.”[11]
Tale osservazione permette di comprendere a quale ulteriore finalità sia precipuamente asservita la ricordata procedimentalizzazione della prova elettronica: quella di apprestare le necessarie cautele per garantire la genuinità del dato raccolto, di per sé ontologicamente fragile, alterabile e falsificabile[12]. “Più precisamente, nel settore dell’accertamento informatico tendono ad acuirsi le intersezioni, comunque tipiche del diritto delle prove penali, tra il piano della tutela della purezza del dato epistemico e quello della salvaguardia del diritto di difesa, giacché ogni dinamica di raccolta di una digital evidence sottende un periculum tanto per la prima quanto per la seconda. Del resto, rispetto a contesti che presentano affinità, come appunto l’apprensione dei reperti a fini di profilatura genetica, le criticità appaiono decisamente accresciute, sia per la maggiore attendibilità delle evidenze (a seguito di condotte anche inconsapevoli), sia per una distanza ancora più accentuata tra senso comune e tecnologia per attori e comprimari del rito, sia, infine, per una vastità di approcci sedimentata quanto a teorie e tecniche condivise.”[13]
Da ciò il tenore degli artt. 254 bis c.p.p. e 260 comma 2 c.p.p., che, nel disciplinare la perquisizione e il sequestro dei dati informatici detenuti da fornitori di servizi informatici, telematici o di telecomunicazioni, prevedono che per esigenze legate alla regolare fornitura dei servizi medesimi la loro acquisizione avvenga mediante copia di essi su un adeguato supporto, tramite una procedura che assicuri la conformità dei dati acquisiti a quelli originali, consentendo dunque di salvaguardarne l’immodificabilità, “in ossequio al rilievo per cui l’attività di acquisizione di copie e di conservazione dei dati digitali, pur non rientrando tra gli atti irripetibili, esige delle particolari cautele tecniche, che devono essere adottate in conformità delle best practices della computer forensic: la volatilità dei dati informatici può esser infatti conseguita solamente evitando il ricorso a condotte non sufficientemente professionali.”[14]
Tale esigenza di procedimentalizzazione ha ormai assunto carattere generalizzato, e non soltanto perché la prova dell’illecito “finisce sempre più abitualmente con l’annidarsi nel computer anche in tutte quelle ipotesi in cui il sistema informatico non costituisce il destinatario dell’offesa o l’elemento costitutivo della fattispecie, né tanto meno il mezzo attraverso cui si è perpetrato l’illecito. L’evidenza digitale può infatti essere determinante ormai in ogni inchiesta criminale, dalle indagini per terrorismo a quelle per reati associativi o dei colletti bianchi.”[15] La diffusione del tema delle modalità di assunzione della prova informatica ha altresì assunto carattere transnazionale dal momento che molte di esse sono generate da soggetti privati, fornitori di servizi o gestori di server, istituiti all’estero, come tali dunque sottratti alla competenza giurisdizionale dell’autorità giudiziaria procedente; tale circostanza però non può essere una ragione sufficiente per arrestare al confine nazionale le attività di indagine, dal momento che “non possiamo permettere che i criminali e i terroristi sfruttino le moderne tecnologie di comunicazione […] per occultare le loro azioni criminali e sottrarsi alla giustizia.”[16]
Da ciò la presentazione, nell’aprile 2018, di un pacchetto di interventi da parte del Vicepresidente della Commissione Europea volti a semplificare la circolazione transfrontaliera delle prove digitali nei procedimenti penali all’interno dello spazio di libertà, sicurezza e giustizia dell’Unione Europea, fra cui rientra una proposta di Regolamento del Parlamento Europeo e del Consiglio, relativo agli ordini europei di produzione e di conservazione delle prove elettroniche in materia penale[17], che verrà dettagliatamente illustrato nel prossimo paragrafo.
2. L’ORDINE EUROPEO DI PRODUZIONE E DI CONSERVAZIONE DELLE PROVE ELETTRONICHE
All’indomani degli attentati di Bruxelles del 2016[18] i ministri della giustizia e degli affari interni per il Consiglio GAI e i rappresentanti delle altre istituzioni dell’Unione hanno rilasciato una dichiarazione congiunta, nella quale hanno evidenziato la necessità di trovare più rapidamente ed efficacemente prove digitali, intensificando la cooperazione con i Paesi terzi e con i fornitori di servizi operanti nel territorio europeo; a tal fine la Commissione ha dichiarato di voler attivarsi mediante la presentazione di un provvedimento nel 2017 ed ha intrapreso, su sollecitazione del Consiglio dell’Unione, una consultazione con i soggetti interessati (industrie, fornitori di servizi, accademici, rappresentanti di istituzioni e organizzazioni non governative). Un’importante accelerazione ai lavori è giunta dal Consiglio europeo del 22 e 23 giugno 2017, dove si è formalizzato il principio per cui l’accesso alle prove elettroniche è essenziale per combattere le gravi forme di criminalità ed il terrorismo; già alla fine dell’anno, dunque, l’iniziativa in materia di circolazione delle prove digitali veniva inserita nella dichiarazione congiunta di Parlamento, Consiglio e Commissione fra le priorità legislative dell’Unione per il biennio 2018-2019, da approvare possibilmente prima delle elezioni europee del 2019, alla luce del dato statistico di non trascurabile rilievo che più della metà delle investigazioni penali svolte nello spazio di libertà, sicurezza e giustizia dell’Unione (SLSG) necessiterebbero di una richiesta transnazionale di accesso a materiale probatorio elettronico. Infatti l’esperienza concreta insegna che ad esempio i messaggi di posta elettronica o scambiati attraverso i sistemi di messaggistica istantanea quali MSN o WhatsApp sono spesso detenuti su un cloud o su un server localizzato in un altro Paese o gestito da amministratori sottoposti alla legislazione di un altro Stato; il ricorso alle tradizionali forme di cooperazione giudiziaria, che transita per i meccanismi di assistenza giudiziaria bilaterale o multilaterale con gli Stati interessati o finanche per il recente strumento dell’ordine di indagine europeo (O.E.I.), si rivela da un lato troppo lento rispetto alle urgenti esigenze punitive avanzate a fronte di reati caratterizzati da elevato allarme sociale quali quelli concernenti il terrorismo e più in generale il crimine transnazionale, dall’altro si rivela infruttuoso, se solo si tenga a mente come molte delle società che gestiscono i dati abbiano sede in alcuni Stati (come l’Irlanda) che non hanno aderito ad importanti strumenti legislativi quali la direttiva che ha introdotto l’O.E.I.. Anche il Cybercrime Convention Committee, istituito dall’art. 46 della Convenzione di Budapest del Consiglio d’Europa sulla criminalità informatica, ha manifestato il suo rincrescimento per un uso delle risorse messe a disposizione degli Stati parti dalla Convenzione obiettivamente non rispondente allo scopo.
La scelta di molti Stati è stata dunque quella di ricorrere, per la necessità di acquisizione della prova informatica, al contatto diretto con i service provider situati in Stati stranieri senza transitare per il tramite delle autorità del Paese di esecuzione; si è preferito optare, in sostanza, per un’adesione alla richiesta di assistenza nell’acquisizione del materiale investigativo o istruttorio del tutto spontanea e volontaria da parte del gestore del server, interpellato direttamente dall’autorità giudiziaria dello Stato rogante. Tale meccanismo, seppur dotato di maggiore flessibilità ed efficienza, si è rivelato tuttavia foriero di grandi incertezze giuridiche, oltre che minato nella sua efficacia dalla sua inadeguatezza a salvaguardare i diritti delle persone fisiche e giuridiche interessate dalle richieste, disposte in assenza di qualsivoglia tipizzazione o, come si diceva supra, procedimentalizzazione. La conseguenza è stata che nello spazio di libertà, sicurezza e giustizia meno della metà delle richieste probatorie ai service provider hanno oggi effettivamente esito positivo, di modo che almeno due terzi dei reati, che necessiterebbero di prove digitali raccolte all’estero, non possono essere perseguiti efficacemente. Tale conclusione è stata ritenuta non accettabile dall’Unione, dal momento che sottende come, mentre le autorità continuino a lavorare con metodi proceduralmente gravosi di accesso alla prova, i criminali operino usando tecnologie veloci e all’avanguardia; “come i criminali, anche le autorità di contrasto devono poter ricorrere a metodi propri del XXI secolo per combattere la criminalità.”[19]
Da ciò la scelta di introdurre uno strumento che, sotto forma di ordine, ingiunga direttamente ai service provider che operano nello SLSG (pur avendo la loro sede centrale in un Paese terzo) di ottenere o far conservare il materiale probatorio di cui necessitano[20]; “l’Unione ha quindi deciso di puntare sulla cooperazione diretta tra soggetti pubblici e fornitori di servizi internet, manifestando oltretutto il proposito di stabilire un corposo apparato di garanzie processuali, volte ad assicurare il pieno rispetto dei diritti fondamentali dei soggetti coinvolti nella procedura.”[21]
Tale scelta ha evidentemente sollevato alcune criticità, in primis relative al fondamento normativo dell’intervento: il richiamato art. 82(1) del Trattato sul Funzionamento dell’Unione Europea, infatti, sancisce il principio di mutuo riconoscimento, che però vige soltanto fra le autorità giudiziarie degli Stati membri. Nel caso di specie, invero, ci si trova al cospetto di uno strumento che prevede forme di collaborazione fra le autorità giudiziarie e di polizia dello Stato richiedente ed un soggetto privato (la persona fisica o giuridica che detiene il dato informatico), rispetto al quale non può ipotizzarsi alcun tipo di endorsement fondato su un presunto mutual trust.
Peraltro, consentendo ad uno Stato richiedente di esigere una forma di collaborazione da un soggetto privato all’interno di uno Stato terzo, senza transitare per le autorità giurisdizionali di quest’ultimo, si finirebbe per assegnare al primo una inammissibile giurisdizione extraterritoriale, tanto più forzata quanto più si tenga conto che, diversamente da quanto avvenuto in tema di O.I.E., il legislatore eurounitario ha scelto in materia di prova digitale di conseguire lo scopo dell’armonizzazione non già per il tramite di una direttiva ma di una proposta di regolamento. La decisione di ricorrere ad una tale fonte insinua il rischio di una armonizzazione verso il basso, in presenza di Stati membri che si caratterizzano per differenti standard probatori in materia, nonché di una violazione del principio di sussidiarietà, che richiederebbe invece la scelta dello strumento meno invasivo ma ugualmente efficiente.[22]
In attesa che tali dubbi vengano sciolti in sede di approvazione definitiva della proposta, se ne traccerà sommariamente nel paragrafo seguente il contenuto.
3. I NUOVI O.P.E. E O.C.E.
L’intervento in materia di accesso alla prova digitale che la Commissione Europea ha inteso lanciare si fonda sulla cooperazione diretta fra soggetti pubblici e fornitori di servizi internet e dunque si articola, secondo il ricordato modulo procedimentalizzato prima evocato, su una rigorosa tipizzazione dei casi e modi in cui le autorità nazionali possono rivolgersi direttamente ai service provider che operano nello SLSG, indipendentemente dalla circostanza che la loro sede centrale sia costituita o localizzata presso uno Stato terzo. D’altro canto nella proposta di regolamento è stato previsto un apparato di garanzie processuali, finalizzate ad assicurare il rispetto dei diritti di libertà informatica dei soggetti coinvolti dalla procedura di emissione dei due nuovi strumenti normativi: l’O.P.E. (ordine europeo di produzione) e l’O.C.E. (ordine europeo di conservazione delle prove elettroniche nei procedimenti penali.
Preliminarmente la proposta di intervento della Commissione chiarisce come le sue previsioni siano applicabili solo alle fattispecie connotate dal carattere transfrontaliero, lasciando dunque intendere come ai fini della richiesta di assistenza giudiziaria mediante il nuovo strumento dell’O.P.E. e dell’O.C.E., diversamente da quanto avvenga in tutti gli altri casi di cooperazione giudiziaria, il dato della transnazionalità non debba attenere soltanto alla diversa origine dei soggetti (pubblici ma ora anche privati) coinvolti nella raccolta dell’atto investigativo o del mezzo probatorio richiesto, ma debba colorare di sé anche la natura della controversia.
In secondo luogo la proposta chiarisce come si possa fare ricorso ai due nuovi strumenti solo nel corso di un procedimento penale già avviato e tale previsione assume carattere fondamentale ai fini dell’interpretazione del corretto raggio d’azione delle nuove norme, che non potranno mai essere utilizzate per fondare una legittimazione statuale ad esigere forme di collaborazione da privati volte alla fornitura di evidenze in relazione ad un attività di monitoraggio preventivo di eventuali attività illecite che non hanno trovato una preliminare consacrazione in un provvedimento di iscrizione nel registro del tipo di quello di cui all’art. 335 c.p.p.; è infatti da tale momento che i diritti di difesa assumono una loro autonomia, tale da giustificare anche le garanzie procedurali previste dalla Commissione.
Inoltre chiarisce la proposta come i nuovi strumenti possano valere soltanto per richiedere la consegna o la conservazione di prove elettroniche già esistenti e non per l’intercettazione in tempo reale di dati informatici, dovendo tale attività essere richiesta mediante le preesistenti forme di cooperazione giudiziaria fra cui l’O.E.I.
Secondo l’impostazione tipica degli atti normativi dell’Unione Europea, la proposta di direttiva contiene una serie di definizioni, volte innanzitutto a chiarire quale forma debbano assumere i nuovi “ordini”, essendo tale ultima dizione del tutto generica; la tipologia di provvedimento scelta dalla Commissione rimanda alle injunction di origine anglosassone, ossia alle decisioni vincolanti promananti da un’autorità di emissione, finalizzate alla produzione di una prova elettronica o alla sua conservazione in vista di una successiva richiesta di produzione.
Per prova elettronica si intende quella volta a dimostrare quattro tipi di contenuti[23]:
- dati relativi agli abbonati (subscriber data);
- dati relativi agli accessi (access data);
- dati relativi alle operazioni (transactional data);
- dati relativi al contenuto (content data).
La diversa natura dei dati possibile oggetto di una prova digitale giustifica, da un lato, una diversa legittimazione attiva all’emissione del relativo ordine e, dall’altro, una diversa base giuridica quale suo presupposto: quanto al primo versante giova notare come quanto più si allarga la sfera dei legittimati passivi (che include ormai soggetti privi di personalità giuridica di diritto pubblico) tanto più si restringe quella dei legittimati attivi, dal momento che, diversamente da quanto previsto in materia di O.E.I., soltanto l’autorità inquirente (e non anche la difesa dell’indagato e men che meno la persona offesa) può emettere gli O.P.E. e gli O.C.E.
Tenuto conto della circostanza che, all’interno dell’Unione, il concetto di autorità giudiziaria non ha la stessa estensione in tutti gli Stati membri, la direttiva ha opportunamente puntualizzato come gli O.C.E., avendo un contenuto precettivo meno intrusivo[24] sulla libertà informatica del soggetto titolare dei dati, possano essere emessi da un pubblico ministero senza necessità di convalida da parte del giudice, indipendentemente dal loro contenuto.
Diversamente, per gli O.P.E., si pone una distinzione: quelli aventi ad oggetto le operazioni ed i contenuti necessitano della validazione di un giudice.
Dal punto di vista della legittimazione passiva, destinatari degli ordini saranno i rappresentanti legali dei soggetti interessati, specificamente designati dai service provider al fine di rispondere alle richieste di assistenza giudiziaria. È ragionevole ritenere che a breve potrà sorgere il problema della eventuale responsabilità dell’ente per violazione dell’ordine in assenza di adeguati modelli di controllo, trattandosi di attività di gestione dei dati personali.
È previsto altresì un presupposto legittimante la emissione di ordini: mentre gli O.C.E. e gli O.P.E riguardanti gli accessi e gli abbonati possono essere emessi per qualsiasi tipo di reato, gli O.P.E. riguardanti i contenuti e le operazioni possono essere emessi solo per alcune tipologie di reato normativamente previste (sintomatico il caso della pornografia minorile) oppure per reati puniti con pena nel massimo pari ad almeno tre anni di pena detentiva (che tuttavia nell’ordinamento italiano sanziona anche reati di ridotto allarme sociale, rendendo molto ampio il campo di applicazione anche di questa tipologia di O.P.E.).
Tuttavia permangono due limiti invalicabili, sia per gli O.P.E. che per gli O.C.E, indipendentemente dal loro contenuto: innanzitutto possono essere emessi solo se una misura dello stesso tipo sia disponibile per lo stesso reato in una situazione nazionale comparabile nello Stato di emissione. Per la prima volta non si prevede come requisito legittimante la doppia incriminazione, piuttosto si esprime un mutual trust a che la fattispecie connotata dai ricordati elementi transfrontalieri possa godere delle stesse risorse investigative di quella domestica.
Dall’altro gli ordini possono essere emessi solo se la loro emissione appaia proporzionale e necessaria ai fini del conseguimento del risultato investigativo, secondo il principio dell’equo bilanciamento con i diritti di libertà dell’indagato o imputato; tuttavia è ancora incerto come e chi possa verificare ed eventualmente contestare la proporzionalità e necessità dell’ordine. Se questo vaglio è infatti rimesso all’autorità ricevente nel caso dell’O.E.I., trattandosi di autorità giurisdizionale, nel caso in esame non potrà essere di certo affidato ad un soggetto privato, che per di più, come chiarito in sede di consultazione con le parti sociali interessate, non avrà accesso all’ordine, quanto piuttosto ad un certificato[25] (compilato secondo i format che saranno messi a disposizione e tradotto nella lingua del destinatario), nel quale sarà richiesta solo la natura dell’ingiunzione, con il relativo contenuto, senza necessità di discovery di tutti gli atti di indagine. È dunque ragionevole ritenere che l‘unico vaglio che potrà essere avanzato concernente l’ordine sia quello rimesso alle difese, che potranno impugnarlo secondo gli ordinari rimedi previsti avverso il provvedimento (ordinanza o decreto) che lo contiene.
Esclusa dunque ogni possibilità di vaglio da parte del destinatario dell’ordine, questi, nel caso dell’O.P.E., sarà tenuto a spedire (tramite sistemi di sicurezza che verranno indicati e messi a disposizione dall’Unione, come ad esempio quello assicurato tramite l’European Judicial Network) la prova informatica richiesta nel termine massimo di dieci giorni, a meno che l’autorità emittente non richieda per motivate ragioni d’urgenza un’accelerazione del termine che non potrà comunque superare le sei ore. Per quanto riguarda invece l’esecuzione degli O.C.E., essi determineranno un congelamento della prova digitale per un termine massimo di sessanta giorni, estensibile solo l’intimato venga informato della successiva emissione di un O.P.E.. Trattasi dunque di termini dimezzati rispetto a quelli previsti in tema di O.E.I., che possono estendersi fino a centoventi giorni.
Un’ulteriore peculiarità della proposta di regolamento è che la stessa rimetta al soggetto privato titolare del dato digitale la tutela dei diritti della difesa: infatti spetterà al service provider opporsi alla consegna dei dati richiesti, allorché l’ordine appaia lesivo della Carta dei diritti fondamentali dell’Unione Europea o risulti manifestamente abusivo, concetto evidentemente più ampio rispetto a quello di non necessario o non proporzionale[26]. In nessun caso, però, il soggetto destinatario dell’ordine potrà informare della sua emissione i destinatari, ove ciò si richiesto dall’autorità emittente per preservare l’efficienza delle indagini. In ogni caso sarà l’autorità emittente a dover informare senza ritardo gli interessati, una volta che avrà ricevuto l’ordine, potendo però la stessa posticipare questo adempimento per il tempo necessario e proporzionato per non ostacolare il procedimento penale[27].
Nel caso di inadempimento degli ordini è imposto ad ogni Stato di prevedere sanzioni pecuniarie per i propri gestori; inoltre è previsto un potere di supplenza delle autorità giudiziarie dello Stato nazionale del service provider (opportunamente azionate da quelle dello Stato di emissione) ove lo stesso non ottemperi all’ingiunzione. Se tale inottemperanza sia giustificata dal contrasto con norme relative alla sicurezza o alla difesa nazionale o ai diritti fondamentali dell’individuo, nel procedimento di esecuzione potranno essere coinvolte le autorità centrali dello Stato di appartenenza del gestore, individuate tramite gli ordinari canali di assistenza giudiziaria.
Nel caso infine in cui dall’esecuzione dell’ordine, imposta dallo Stato di residenza, derivi al gestore la violazione della normativa del Paese di incorporazione, ove ancora diverso, anche le autorità centrali di quest’ultimo, attivate secondo i meccanismi di cooperazione giudiziaria, potranno essere convolte nella procedura: ciò costituirà uno stimolo virtuoso per incoraggiare anche altri Stati, avanzati sul piano economico ed informatico ma arretrato su quello dei diritti, a prevedere livelli di tutela di questi ultimi di livello analogo a quello previsto dall’Unione.
Il tutto secondo un bilanciamento di interessi fra inseguimento del progresso tecnologico ed arroccamento sulla difesa dei diritti fondamentali dell’individuo che costituisce il portato della proposta di regolamento sugli ordini di produzione e conservazione delle prove digitali, ispirata al principio per cui la scienza è progresso solo se avanza in direzione delle libertà.
BIBLIOGRAFIA:
CARINGELLA, F., Manuale di diritto amministrativo, XII Edizione, DIKE Giuridica Editrice, 2018;
CERQUA, F., 2015, Ancora dubbi e incertezze sull’acquisizione della corrispondenza elettronica, in Diritto Penale Contemporaneo, pp. 1-12;
DANIELE, M., 2019, Ordine europeo di indagine e ritardata comunicazione alla difesa del decreto di riconoscimento: una censura della Cassazione, in Diritto Penale Contemporaneo;
DI CHIARA, G., Atipicità e sistemi probatori: linee per una fenomenologia generale, in MILITELLO, V., SPENA, A. (a cura di), Mobilità, sicurezza e nuove frontiere tecnologiche, G. Giappichelli Editore, Torino, 2018, pp. 372-389;
FLOR, R., Riservatezza informatica e sicurezza informatica quali nuovi beni giuridici penalmente protetti, in MILITELLO, V., SPENA, A. (a cura di), Mobilità, sicurezza e nuove frontiere tecnologiche, G. Giappichelli Editore, Torino, 2018, pp. 463-481;
FROSINI, V., La democrazia nel XXI secolo, Macerata, 2010;
GIALUZ, M., DELLA TORRE, J., 2018, Lotta alla criminalità nel cyberspazio: la Commissione presenta due proposte per facilitare la circolazione delle prove elettroniche nei processi penali, in Diritto Penale Contemporaneo, n. 5/18, pp. 277-294;
LUPARIA, L., Computer crimes e procedimento penale, in GARUTI, G., (a cura di), Modelli differenziati di accertamento, in SPANGHER, G. (diretto da), Trattato di procedura penale, Vol. II, Tomo I, Torino, 2011;
LORENZETTO, E., Le attività urgenti di investigazione informatica e telematica, in LUPARIA, L, (a cura di), Sistema penale e criminalità informatica. Profili sostanziali e processuali nella legge attuativa della Convenzione di Budapest sul cyber crime, Padova, 2009;
LUPARIA, L., La disciplina processuale e le garanzie difensive, in LUPARIA, L., ZICCARDI, G., Investigazione penale e tecnologia informatica, Milano, 2007;
MAGGIO, P., L’ascolto occulto delle conversazioni tra atipicità e illiceità probatoria, in MILITELLO, V., SPENA, A. (a cura di), Mobilità, sicurezza e nuove frontiere tecnologiche, G. Giappichelli Editore, Torino, 2018, pp. 391-420;
MANGIARACINA, A., Nuovi scenari nell’accesso transfrontaliero alla prova elettronica, in MILITELLO, V., SPENA, A. (a cura di), Mobilità, sicurezza e nuove frontiere tecnologiche, G. Giappichelli Editore, Torino, 2018, pp. 421-440;
NEUMEIER, M. M., 2004, Preservation orders: navigating an electronic mainfield, in Mealey’s Litigation Report, n. 1 #5, pp. 1-5;
PARLATO, L., Le perquisizioni on line: un fenomeno sfuggente e in continua evoluzione, in MILITELLO, V., SPENA, A. (a cura di), Mobilità, sicurezza e nuove frontiere tecnologiche, G. Giappichelli Editore, Torino, 2018, pp. 441-462.
[1] Dal nome dell’opera omonima di FROSINI, V. (2010), La democrazia nel XXI secolo, Macerata, p. 41.
[2] Tali riflessioni sono tratte da FLOR, R., Riservatezza informatica e sicurezza informatica quali nuovi beni giuridici penalmente protetti, in MILITELLO, V., SPENA, A. (a cura di), Mobilità, sicurezza e nuove frontiere tecnologiche, G. Giappichelli Editore, Torino, 2018, p. 467.
[3] Per un’approfondita riflessione comparatistica si veda PARLATO, L., Le perquisizioni on line: un fenomeno sfuggente e in continua evoluzione, in MILITELLO, V., SPENA, A. (a cura di), cit., p. 443.
[4] Si veda in tal senso DI CHIARA, G., Atipicità e sistemi probatori: linee per una fenomenologia generale, in MILITELLO, V., SPENA, A. (a cura di), cit., p. 372, che ricorda l’insegnamento di Francesco Carrara secondo cui “intuito degli ordinamenti procedurali – aveva scritto in uno dei valichi più noti della trattatistica del secondo ottocento – è di frenare la violenza dei magistrati. Il conoscere giudiziale implica, dunque, esercizio del potere; spetta al diritto processuale – e, anzitutto, alle dimensioni di law of evidence – incanalare quel potere entro dispositivi di garanzia strumentali al conseguimento di finalità di giustizia.”
[5] CARINGELLA, F., Manuale di diritto amministrativo, XII Edizione, DIKE Giuridica Editrice, 2018.
[6] Secondo LORENZETTO, E. Le attività urgenti di investigazione informatica e telematica, in LUPARIA, L., (a cura di), Sistema penale e criminalità informatica. Profili sostanziali e processuali nella legge attuativa della Convenzione di Budapest sul cyber crime, Padova, 2009, p. 141, l’intento legislativo di procedimentalizzazione dell’indagine digitale trae la sua giustificazione dall’esigenza di interrompere usanze investigative devianti e dimentiche di ogni garanzia sotto i profili della genuinità del risultato e del contraddittorio paritetico.
[7] Si noti come, in attuazione del principio di proporzionalità di cui all’art. 275 c.p.p., ritenuto dalla giurisprudenza di legittimità applicabile alle cautele reali oltre che personali, CERQUA, F., 2015, Ancora dubbi e incertezze sull’acquisizione della corrispondenza elettronica, in Diritto Penale Contemporaneo, p. 5, derivi la conseguenza che l’acquisizione attraverso il sequestro dell’intero personal computer deve considerarsi un’ipotesi residuale, che può essere impiegata ad esempio nel caso in cui lo stesso venga impiegato quasi esclusivamente per l’archiviazione del materiale illecito; tanto perché “il legislatore del 2008, recependo la Convenzione di Budapest, ha chiaramente distinto tra l’apprensione del singolo dato informatico (il contenuto) ed il personal computer (il contenitore), stabilendo che per l’autorità giudiziaria non è possibile acquisire in modo indiscriminato un intero archivio elettronico, sulla scorta della facilità di accesso al sistema, che consenta di effettuare agevolmente la copia ed il trasferimento fisico dei dati rispetto alla massa di documenti cartacei corrispondenti.”
[8] PARLATO, L. cit., in MILITELLO, V., SPENA, A. (a cura di), cit., p. 444.
[9] Secondo MAGGIO, P., L’ascolto occulto delle conversazioni tra atipicità e illiceità probatoria, in MILITELLO, V., SPENA, A. (a cura di), Mobilità, sicurezza e nuove frontiere tecnologiche, G. Giappichelli Editore, Torino, 2018, p. 408, “le incessanti conquiste tecnologiche, presenti nella mens dei codificatori del 1988, hanno assegnato all’art. 189 c.p.p. l’indubbio compito di evitare eccessive restrizioni ai fini dell’accertamento della verità, tenuto conto del continuo sviluppo tecnologico che estende le frontiere dell’investigazione, senza mettere in pericolo le garanzie difensive.”
[10] Si veda CERQUA, F., 2015, cit., p. 6.
[11] Ibidem.
[12] Mediante il semplice spegnimento del computer, ad esempio; si veda CERQUA, F., 2015, cit., p. 4.
[13] Si veda CERQUA, F., cit., p. 6, che riporta il pensiero di LUPARIA, L., Computer crimes e procedimento penale, in GARUTI, G. (a cura di), Modelli differenziati di accertamento, in SPANGHER, G., (diretto da), Trattato di procedura penale, Vol. II, Tomo I, Torino, 2011, p. 373.
[14] Si veda ancora CERQUA, F., cit., p. 8.
[15] LUPARIA, L., La disciplina processuale e le garanzie difensive, in LUPARIA, L., ZICCARDI, G., Investigazione penale e tecnologia informatica, Milano, 2007, p. 130.
[16] Commissione Europea, Comunicato Stampa, Unione della sicurezza: la Commissione facilita l’accesso alle prove elettroniche, IP/18/3343.
[17] Proposta di Regolamento del Parlamento Europeo e del Consiglio, relativo agli ordini europei di produzione e di conservazione delle prove elettroniche in materia penale, COM (2018) 225 final.
[18] Per una lettura diacronica dello sviluppo dello strumento si veda GIALUZ, M., DELLA TORRE, J., 2018, Lotta alla criminalità nel cyberspazio: la Commissione presenta due proposte per facilitare la circolazione delle prove elettroniche nei processi penali, in Diritto Penale Contemporaneo, n. 5/18, pp. 277-294.
[19] Si vedano GIALUZ, M., DELLA TORRE, J., 2018, cit., p. 281, che citano le parole della Commissaria alla Giustizia Vera Jourova.
[20] I preservation order sono strumenti tipici dei sistemi di common law, che, nel loro approccio al fenomeno giuridico fondato sulla esperienza empirica di tipo casistico, si sono trovati ad affrontare il principale problema legato alla prova elettronica: la sua vulnerabilità, consistente nell’attitudine del contenuto digitale ad essere, anche innocentemente, continuamente mutato, alterato, lavorato (“by its nature, electronic information often is countinuously, and innocently, processed and altered”), che è tale per cui, sebbene nel mondo degli affari la digitalizzazione abbia comportato effetti benefici, sul piano del diritto si sia tradotta in una incertezza di tipo speculativo sull’esito della vicenda processuale, irrimediabilmente appesa al severo rischio della distruzione della prova madre (“any modification or addition to a database or website technically may constitute destroying or altering electronic evidence”). Si veda in tal senso NEUMEIER, M. M., 2004, Preservation orders: navigating an electronic mainfield, in Mealey’s Litigation Report, n. 1 #5, p. 1: “electronic information is very mutable. It generally is easily accessed, created or altered, even from remote locations. While these characteristics are an advantage in the business world, they also fuel speculation about a perceived hazard in the litigation context: evidence destruction. Recent corporate scandals involving the destruction or attempted destruction of e-mails and other electronic evidence have only increased counsel’ fears that key evidence will disappear long before trial. One common solution sought by opposing counsel to combat their fears is the preservation order. Although it often may seem harmless, an unbridled electronic evidence preservation order can have far-reaching and potentially drastic consequences to the business operations of a company.” A tale scopo dunque l’ordine di conservazione altro non è se non “a motion to preserve evidence […] an injunctive remedy and should issue only upon an adequate showing that equitable relief is warranted.” La necessità di una qualche forma di garanzia per il destinatario dell’ordine deriva dalla consapevolezza che, sebbene l’ingiunzione a non distruggere una fonte di prova appaia ragionevole e sensata nel corso del processo, essa potrebbe comportare perdite economiche rilevanti per la società o per il gestore del servizio, impossibilitato ad utilizzare in toto i propri dati; per tale ragione “courts generally look at three factors in determining whether a preservation order is warranted in a given case: 1 Whether the movant can demostrate that an opponent likely will destroy relevant information without a preservation order; 2. Whether the movant will suffer irreparably harm if a preservation order is not entered; and 3. The burden imposed upon the parties by granting the preservation order.” Come si vedrà tale giudizio di necessità e proporzionalità è stato conservato nella Proposta di Regolamento.
[21] Si vedano GIALUZ, M., DELLA TORRE, J., 2018, cit., p. 282.
[22] Per questi ed altri dubbi sulla validità della proposta di regolamento si veda CCBE position on the Commission proposal for a Regulation on European Production and Preservation Orders for electronic evidence in cirminal matters.
[23] MANGIARACINA, A., Nuovi scenari nell’accesso transfrontaliero alla prova elettronica, in MILITELLO, V., SPENA, A. (a cura di), Mobilità, sicurezza e nuove frontiere tecnologiche, G. Giappichelli Editore, Torino, 2018, pp. 421-440.
[24] Non si dimentichi, tuttavia, come il costo anche del mero ordine di conservazione sia sempre molto elevato dal punto di vista economico-finanziario: chiarisce infatti NEUMEIER, M. N. cit., p. 3, come “most business rely on the dynamic nature of electronic information in some facet of their business. For example, many companies maintain additive costumers databases, continuously update and modify web pages, digitally image key documents, or routinely purge e-mail or other digital communication mediums in the ordinary course of their business. A seemingly harmless generic preservation order precluding a business from “altering or modifying” any electronic information literally can bring an entire business to a standstill. In addition to business disruption, compliance with a broadly-worded preservation order literally could be impossible. For example, a preservation order that encompasses all “computer memory”, if taken literally, would be violated at the moment it was entered because computers constantly, consistently, and automatically dispose of data in their random access memory.
In addition to the business disruption issues frequently caused by electronic preservation orders, compliance with such orders can be extremely costly. One Fortune 500 company estimated that compliance with a preservation order would cost it over $750,000. The cost in employees hours required to comply with electronic information preservation orders also can be substantial. For example, a preservation order may require a company to undertake certain obligations it otherwise would not implement, such as monitoring certain computer systems or maintaining an extensive computer activity log, all of which require additional employee hours or the engagement of a consultant or expert. Thus, the burden on a party stemming from an electronic evidence preservation order may be significant. By challenging the entry of such an order, a party is not tacitly admitting that it intends to destroy evidence. To the contrary, a party may need to challenge a preservation order to continue its ordinary business operations.” Ciò induce a ritenere come, sebbene dal punto di vista giuridico l’ordine di conservazione avrà effetti limitati, dal punto di vista patrimoniale sarà suscettibile di produrre effetti rilevanti per il soggetto destinatario, che pertanto sarà indotto ad avanzare con sempre maggiore convinzione forme di verifica (anche a carattere censorio, in un regime di responsabilità civile dei magistrati per l’esercizio delle loro funzioni) della effettiva necessità e proporzionalità dell’ordine, che di esso costituiscono i presupposti tipizzati dal legislatore eurounitario. In ogni caso la proposta di regolamento prevede come i fornitori potranno richiedere allo Stato di emissione il rimborso dei costi sostenuti per l’esecuzione dell’ordine, solo ove ciò sia previsto dalla normativa interna per i corrispondenti atti di indagine nel corso di procedimenti domestici.
[25] Si vedano le Conclusions of the 2nd meeting of the EJN e-Evidence Working Group on the proposal for the Production and Preservation orders, 28 and 29 January 2019, The Hague.
[26] GIALUZ, M., DELLA TORRE, J., cit., p. 286, citano il caso dell’ordine che ingiunga la produzione indiscriminata di dati che riguardino una categoria indeterminata di persone o che risultino del tutto sganciati da un procedimento penale di riferimento: “si tratta, come è ovvio, di una disposizione chiave, posto che è idonea a evitare che gli O.P.E. si trasformino in una trappola lesiva dei più basilari principi dell’Unione racchiusi nella Carta di Nizza.”
[27] Trattasi di una norma simile a quella prevista in tema di O.E.I. (art. 4 del d.lg.s 21 giugno 2017, n. 108, di recepimento della direttiva 2014/41 dell’Unione), che impone allo Stato richiesto di comunicare all’interessato il provvedimento di riconoscimento dell’ordine nel momento in cui l’atto è compiuto o perlomeno immediatamente dopo, non potendo tale adempimento, come chiarito da ultimo da Cass. Pen., Sez. VI, sent. 31 gennaio 2019 n. 8320, essere supplito da altre forme di avviso come quello conseguente al sequestro. Sebbene la comunicazione non abbia effetti sospensivi e quantunque l’ordinamento appresti rimedi ad hoc avverso l’atto di indagine compiuto (come il riesame avverso il provvedimento cautelare reale adottato in esecuzione dell’O.E.I.), non può farsi applicazione del principio generale di conservazione degli atti giuridici o di quello più spiccatamente civilistico per cui utile per inutile non vitiatur (rispetto all’atto di indagine in sé); intento del legislatore eurounitario, all’interno di una disciplina che tace rispetto al regime di utilizzabilità della prova compiuta, pare infatti essere stato quello di lasciare al vaglio dell’autorità dello Stato richiesto di sindacare, dapprima tramite il decreto di riconoscimento e poi in sede di impugnazione, la conformità dell’ordine al principio di proporzionalità e ai principi fondamentali dell’ordinamento di esecuzione, rimarcando dunque come l’esecuzione dell’ordine non sia un fatto automatico, ma rimesso alla valutazione insolitamente discrezionale del P.M. (solitamente abituato a confrontarsi invece con il principio di legalità e di sottoposizione solo alla legge). Si veda in tal senso DANIELE, M., 2019, Ordine europeo di indagine e ritardata comunicazione alla difesa del decreto di riconoscimento: una censura della Cassazione, in Diritto Penale Contemporaneo.
