SKY-ECC, ordine europeo d’indagine e libertà personale: le sezioni unite riusciranno a fare chiarezza?

Premessa

Sono state rimesse alle Sezioni Unite le seguenti questioni:

a) se in tema di mezzi dí prova l'acquisizione di messaggi su chat di gruppo scambiati con sistema cifrato, mediante [Sky-ECC] presso A.G. straniera che ne ha eseguito la decrittazione, costituisca acquisizione di “documenti e di dati informatici” ai sensi dell'art. 234-bis c.p.p. a mente del quale «è sempre consentita l'acquisizione di documenti e dati informatici conservati all'estero, anche diversi da quelli disponibili al pubblico, previo consenso, in quest'ultimo caso, del legittimo titolare» o di documenti ex art. 234 c.p.p. o sia riconducibile in altra disciplina relativa all'acquisizione di prove;

b) se inoltre, tale acquisizione debba essere oggetto, ai fini della utilizzabilità dei dati in tal modo versati in atti, di preventiva o successiva verifica giurisdizionale della sua legittimità da parte della Autorità giurisdizionale nazionale.

Il caso

Nell'ambito di una indagine che si è sviluppata con l'istituzione di una squadra investigativa comune, composta dalle autorità giudiziarie e da rappresentanti delle forze di polizia di Belgio, Francia e Olanda, che ha operato con il supporto di Eurojust ed Europol, si è proceduto all'acquisizione del contenuto della messaggistica per il tramite delle autorità francesi – luogo in cui il server della società di Sky Ecc è ubicato – secondo la previsione dell'art. 706-102-1 del code de procédure pénale che consente di accedere, conservare, registrare e trasmettere dati archiviati su sistemi informatici.

L'operazione non è rimasta confinata ai Paesi direttamente interessati dall'indagine: infatti, in diversi procedimenti penali nazionali è emersa la necessità di acquisire, mediante OEI, i dati comunicativi ritenuti di interesse per l'accertamento dei reati perseguiti nei singoli procedimenti.

Nella fattispecie sottoposta all'attenzione del giudice di legittimità, l'acquisizione di tali dati ha determinato l'adozione di una misura cautelare inframuraria (confermata dal tribunale del riesame) per il delitto di partecipazione ad associazione dedita al narcotraffico.

Proposto ricorso dall'indagato, la pronuncia in commento ha rimesso alle Sezioni Unite le questioni riguardanti la disciplina applicabile per l'acquisizione di chat criptate dall'estero (Sky-ECC) e la necessità di una verifica di legittimità di tale acquisizione da parte dell'Autorità giurisdizionale italiana.

La decisione della Suprema Corte

Molteplici pronunce di legittimità hanno sostenuto la possibilità di acquisire le chat criptate ai sensi dell'art. 234-bis c.p.p. (che consente l'acquisizione di documenti e dati informatici conservati all'estero), delineando una distinzione tra le intercettazioni, da un lato, e le attività di acquisizione e decifrazione di dati comunicativi dall'altro (Cass. pen., n. 37503/2023; Cass. pen., n. 38002/2023; Cass. pen., n. 16345/2023; Cass. pen., 16347/2023).

Tale orientamento distingue tra l'operazione di captazione del messaggio cifrato in transito verso il destinatario e le operazioni di acquisizione e decriptazione del contenuto inoltrato, ritenendo applicabile solo al primo caso la disciplina delle intercettazioni, in quanto flussi di comunicazioni ex art. 266-bis c.p.p.

I messaggi ormai inviati e ricevuti, pertanto, rappresenterebbero una mera documentazione di tali flussi comunicativi, utilizzabili come prova allorquando vi sia la disponibilità della chiave crittografica che consenta di decifrarne il tenore.

Sulla base di tale distinzione tra dati in itinere e dati cristallizzati sulla memoria di un dispositivo, la giurisprudenza citata ritine possibile l'acquisizione di questi ultimi tramite un Ordine Europeo d'Indagine attivato dal Pubblico Ministero. Infatti, l'art. 234-bis c.p.p. costituirebbe la norma interna che attribuisce il potere necessario per procedere con l'OIE, che può essere utilizzato solo qualora i medesimi atti di indagine richiesti avrebbero potuto essere emessi in un caso interno analogo.

Sicché nel delineare il regime di utilizzabilità della messaggistica scambiata su sistema cifrato Sky Ecc ed Encrochat, tali pronunce hanno chiarito che l'acquisizione dei dati decriptati e conservati all'estero non soggiace alle regole previste in materia di intercettazioni informatiche o telematiche, ex art. 266-bis c.p.p., trovando invece applicazione il dettato di cui all'art. 234-bis c.p.p.

Peraltro, rispetto alla seconda questione sottoposta al vaglio delle Sezioni Unite, la giurisprudenza in parola ha sostenuto che nessun controllo deve essere effettuato dal Giudice italiano rispetto alla prova acquisita nell'ambito del procedimento giurisdizionale estero; ciò sulla base del presupposto che l'attività di acquisizione sia e debba essere eseguita secondo la legislazione dello Stato estero, in quanto svolta di propria iniziativa e non su richiesta dell'A.G. italiana. Pertanto, la tutela giurisdizionale rispetto a tale attività può essere rinvenuta solo nell'ambito dell'ordinamento estero.

E' irrilevante, pertanto, stabilire se quei dati siano stati acquisiti dalla magistratura francese ex post o in tempo reale (quindi come "dati freddi" o come "flussi di comunicazioni"). Infatti, quando la magistratura italiana chiede di ottenere quei dati e (a maggior ragione) quando quei dati le sono stati trasmessi, i flussi di comunicazione non erano più in corso. La situazione non è dissimile, dunque, da quella che si verifica quando viene acquisito ex post un flusso di comunicazioni, scritte o per immagini, memorizzato sulla memoria di un apparecchio telefonico. In questi casi, la giurisprudenza ha costantemente ritenuto che la disciplina dell'art. 266 c.p.p., e s.s. non possa trovare applicazione essendo destinata ad operare solo con riferimento a flussi di comunicazioni in atto (Cass. pen., n. 22417/2022; Cass. pen., n. 29426/2019; Cass. pen., n. 1822/2017).

Da quanto precede, appare evidente che il richiamo alla sentenza della Corte di Giustizia del 2 marzo 2021 (C-746/18) che ha previsto che solo con decreto motivato del giudice, su richiesta del pubblico ministero o su istanza del difensore, si possono acquisire presso il fornitore i dati del traffico telefonico o telematico, ai fini dell'accertamento del reato, non sembra tenere conto della circostanza che per dare attuazione alla Direttiva 2014/41/UE, in coerenza con quanto previsto nella stessa, il legislatore ha rafforzato la cooperazione giudiziaria in materia penale, che si fonda – ai sensi dell'art. 82, paragrafo 1, TFUE – «sul principio di riconoscimento reciproco delle sentenze e delle decisioni giudiziarie».

Tale principio è fondato, a sua volta, sulla fiducia reciproca nonché sulla presunzione relativa che gli altri Stati membri rispettino il diritto dell'Unione e, in particolare, la Carta dei diritti fondamentali.

In coerenza con queste premesse, la Direttiva 2014/41 prevede: all'art. 2, che gli Stati membri eseguano gli O.I.E. “in base al principio del riconoscimento reciproco” e conformemente alle previsioni della Direttiva stessa; all'art. 9, che l'autorità di esecuzione riconosca un O.I.E. trasmesso conformemente alle disposizioni della Direttiva, “senza imporre ulteriori formalità” e ne assicuri «l'esecuzione nello stesso modo e secondo le stesse modalità con cui procederebbe se l'atto d'indagine in questione fosse stato disposto da un'autorità dello Stato di esecuzione, a meno che non decida di addurre uno dei motivi di non riconoscimento o di non esecuzione ovvero uno dei motivi di rinvio previsti dalla (…) Direttiva»; all'art. 11, che l'esecuzione possa essere rifiutata in via eccezionale, e a seguito di una valutazione caso per caso, ove sussistano seri motivi per ritenere che la stessa sarebbe incompatibile con i diritti fondamentali garantiti dalla Carta.

L'ordine deve pertanto riguardare un'indagine consentita nello Stato di emissione, ma l'indagine non può che essere svolta secondo le regole proprie dello Stato richiesto «potendosi presumere il rispetto da parte dell'Autorità delegata, nel sistema Unionale, della relativa disciplina e dei diritti fondamentali stabiliti dalla CDFUE, nonchè del principio di proporzione, salvo concreta verifica di elementi di segno contrario» (Cass. pen., n. 48330/2022).

Ne consegue: che, nell'esecuzione di un ordine di indagine europeo, le concrete modalità di assistenza difensiva sono regolate, di volta in volta, dalla legge dello Stato in cui l'atto viene compiuto; che spetta al giudice straniero la verifica della correttezza della procedura e la soluzione di eventuali questioni relative alla conformità dell'attività svolta ai principi inderogabili del proprio ordinamento interno; che il giudice italiano non è tenuto ad accertare la correttezza di tale attività ed è legittimato a presumerla.

A fronte di tali indirizzi, due recenti sentenze della Cassazione hanno tuttavia dato luce ad un orientamento difforme (Cass. pen., n. 44155/2023; Cass. pen., 44154/2023).

Tali pronunce hanno affermato, nella parte loro comune, che:

a) l'oggetto dell'acquisizione all'estero della messaggistica criptata sulla piattaforma SKY-ECC non costituisce dato informatico utilizzabile ai sensi dell'art. 234-bis c.p.p., sicché, in tale ipotesi, l'attività acquisitiva, se riguardante comunicazioni avvenute nella fase “statica”, dev'essere inquadrata nelle disposizioni dettate in materia di perquisizione e sequestro e, in particolare, in quella prevista dall'art. 254-bis c.p.p. mentre se, avente ad oggetto comunicazioni avvenute nella fase “dinamica”, dev'essere inquadrata nella disciplina degli artt. 266 e ss. c.p.p., in materia di intercettazioni telematiche;

b) la questione dell'illegittima emissione dell'ordine europeo di indagine da parte del pubblico ministero italiano non può essere dedotta dinanzi al giudice italiano, nel caso in cui tale ordine sia stato emesso per acquisire una prova già disponibile nello Stato di esecuzione e la stessa sia stata definitivamente trasmessa da tale Stato (in tal caso, la difesa può soltanto far valere la mancanza delle condizioni di ammissibilità della prova secondo l'ordinamento processuale italiano);

c) l'utilizzabilità di prove acquisite all'estero a seguito della sua emissione è subordinata all'accertamento, da parte del giudice italiano, delle condizioni di ammissibilità dell'atto di indagine secondo le regole dell'ordinamento nazionale e del rispetto delle norme inderogabili e dei relativi principi fondamentali.

I giudici ammettono che, oltre a raccogliere dati “freddi” precostituiti, gli inquirenti francesi – una volta avviato il procedimento penale – hanno acquisito le chat e la messaggistica giacente sui server e appreso i flussi di comunicazione in transito avviato tra i fruitori del servizio.

A parere della Corte di cassazione, quindi, non è sempre possibile applicare il dettato di cui all'art. 234-bis c.p.p., posto che il ricorso alla norma in esame può ritenersi giustificato esclusivamente nell'ipotesi di acquisizione di dati e documenti informatici – intesi come elementi informativi “dematerializzati” – che preesistono rispetto all'avvio delle indagini. In quest'ottica, qualora l'attività investigativa si concretizzi nell'apprensione occulta del contenuto archiviato nel server nel corso dell'investigazione, la relativa acquisizione va inquadrata nella disposizione di cui all'art. 254-bis c.p.p.; qualora, poi, l'attività consista nella captazione e registrazione del messaggio cifrato nel mentre lo stesso è in transito dall'apparecchio del mittente a quello del destinatario, il mezzo di ricerca della prova più congeniale è quello dell'intercettazione telematica, ex art. 266-bis c.p.p. (tale differenza è stata sottolineata, tra le altre, anche da Cass. pen., n. 49896/2019; Cass. pen., n. 47557/2019).

Ciò significa che l'inquadramento normativo delle investigazioni sulle piattaforme criptate non può essere “standardizzato” e va inteso come “relativo”, mutando di volta in volta in base al tipo di attività per cui viene concessa l'autorizzazione a procedere.

Pertanto, secondo questo formante giurisprudenziale la disciplina dell'art. 234-bis può applicarsi solo limitatamente all'acquisizione di elementi informativi dematerializzati, preesistenti rispetto al momento di avvio dell'indagine francese o, comunque, formati al di fuori di essa e non ai risultati di un'attività acquisitiva concretizzatasi nell'apprensione occulta o nel sequestro del contenuto di un server.

In altri termini, la qualificazione giuridica delle investigazioni svolte all'estero sulle piattaforme criptate dipende dal tipo di atto condotto e, dunque, varia in base all'oggetto e alle modalità acquisitive dell'elemento probatorio, oscillando tra la categoria delle intercettazioni telematiche e quella dei sequestri presso gli Internet Service Providers.

In tali ultimi casi dovrà, invece, applicarsi la disciplina in tema di perquisizioni e sequestri (art. 254-bis c.p.p.), quella di cui all'art. 132 d.lgs. 196/2003 e s.m.i. per l'acquisizione dei soli dati “esterni” e, invece, quella di cui agli artt. 266 ss.c.p.p. per la captazione, in fase “dinamica”, di conversazioni telefoniche o ambientali o di flussi telematici.

E proprio il riferimento alla disciplina dell'acquisizione dei dati di traffico (art. 132 d.lgs. 196/2003) consente alla Corte di affermare che «l'acquisizione all'estero di documenti e dati informatici inerenti a corrispondenza o ad altre forme di comunicazione debba essere sempre autorizzata da un giudice». La sentenza richiama, infatti, la progressiva giurisdizionalizzazione che ha caratterizzato la procedura di acquisizione dei tabulati, sulla scorta di alcune sentenze della CGUE (in particolare, quella del 2 marzo 2021, C 746-18) che hanno poi indotto il legislatore interno, con il d.l. 132/2021, a subordinarla al decreto motivato del giudice, oltre che alla sussistenza di un quadro indiziario connotato in termini di sufficienza rispetto a reati selezionati quoad poenam. Sarebbe dunque singolare – osserva la Corte – escludere, per il sequestro di dati informatici inerenti il contenuto di comunicazioni, quel vaglio autorizzativo del giudice richiesto, invece, per i meri dati esterni, che attingono a un livello di riservatezza certamente inferiore rispetto ai dati “comunicativi”.

In particolare, in ordine alla verifica della sussistenza delle condizioni per l'emissione dell'Ordine Europeo di Indagine (OEI) al fine di acquisire prove in territorio unionale e sulla legittimazione del p.m. ad autorizzare l'acquisizione di “documenti” informatici all'estero, si evidenzia un'aporia sistemica laddove per l'apprensione dei dati esterni del traffico telefonico e telematico (c.d. tabulati), il d.l. n. 132/2021 richiede l'intervento preventivo dell'organo giurisdizionale.

In favore di questa conclusione, la Corte di cassazione richiama anche la sentenza n. 170/2023 della Consulta che, pur pronunciata in sede di conflitto interorganico di attribuzioni (e dunque ai fini dell'applicazione delle autorizzazioni ad acta ex art. 68 Cost.), ha fornito indicazioni importanti sulla tipologia di comunicazioni protette dalle garanzie (riserva di giurisdizione, oltre che di legge) di cui all'art. 15 Cost. Esse si applicano, infatti, prescindendo dalle “caratteristiche del mezzo tecnico utilizzato”, estendendosi a ogni «strumento che l'evoluzione tecnologica mette a disposizione a fini comunicativi, compresi quelli elettronici e informatici» e, in particolare, alla corrispondenza «ivi compresa quella elettronica, anche dopo la ricezione da parte del destinatario, almeno fino a quando, per il decorso del tempo, essa non abbia perso ogni carattere di attualità, in rapporto all'interesse alla sua riservatezza». Analoga lettura evolutiva dell'art. 15 Cost. è stata offerta dalla Consulta, anche a proposito del visto di censura sulla corrispondenza dei detenuti (C. cost., 20/2017) e, più recentemente, della misura amministrativa inibitoria del possesso e dell'utilizzo di apparecchi di comunicazione (C. cost. n. 2/2023).

Peraltro, si richiamano anche le recenti pronunce della Corte EDU (Corte EDU, 5 settembre 2017, Barbulescu c. Romania, § 72; Corte EDU, 3 aprile 2007, Copland c. Regno Unito, § 41; Corte EDU, 17 dicembre 2020, Saber c. Norvegia, § 48) che hanno esteso la protezione dell'art 8 CEDU (Diritto al rispetto della vita privata e familiare) ai messaggi inviati e ricevuti tramite internet e la sentenza della Corte costituzionale n. 170/2023 rispetto all'estensione delle garanzie dell'art. 15 della Costituzione rispetto ad ogni forma di comunicazione.

Un ultimo orientamento si è invece formato con due recenti sentenze (Cass. pen., n. 46482/2023; Cass. pen., n. 46833/2023), pubblicate nel corso della redazione delle motivazioni dell'ordinanza in commento. Alla luce della pronuncia 170/2023 della Corte costituzionale, si è sostenuto, da ultimo, che la natura di corrispondenza della messaggistica informatica (anche quando conservata dopo la ricezione) escluderebbe l'applicabilità dell'art. 234-bis c.p.p., rientrando invece nell'ambito dell'acquisizione di prove documentali ex art. 234 c.p.p.

Osservazioni

I confliggenti orientamenti di legittimità sottendono alla complessità delle questioni che la giurisprudenza si trova ad affrontare: da una parte, si profilano criticità di natura classificatoria, determinate dalla difficoltà di individuare la categoria probatoria in cui ascrivere le attività espletate su tali sistemi e, di conseguenza, emergono dubbi circa la diagnosi di utilizzabilità processuale dei dati ottenuti a seguito di decriptazione dei dati giacenti sui server; dall'altra, si tratta di comprendere se e a quali condizioni sia legittimo il ricorso all'OEI per acquisire dati e documenti informatici raccolti all'estero, posto che non sempre l'atto di indagine richiesto nell'ordine è svolto nelle medesime forme previste dalla normativa interna.

Il più complesso problema da risolvere è la tassonomia probatoria in cui ascrivere le attività di indagine esperite sulle piattaforme criptate: la qualificazione giuridica delle attività esperite sulle piattaforme criptate sia strettamente interconnessa al tipo di dati oggetto di adprehensio e al “momento” in cui questa si realizza, dovendosi distinguere a seconda che l'acquisizione abbia ad oggetto dati precostituiti all'avvio del procedimento ovvero dati che si sono formati nell'ambito di iniziative istruttorie in atto.

Intanto, occorre verificare se l'acquisizione di comunicazioni avvenga contestualmente alla trasmissione dell'informazione ovvero in un momento successivo allo scambio comunicativo.

In forza di un'interpretazione “evolutiva” del dettato normativo, peraltro suggerita dalla giurisprudenza della Corte EDU, per cui deve ritenersi sufficiente che il decreto autorizzativo indichi il destinatario della captazione e la tipologia di ambienti ove questa viene condotta (Corte EDU, 4 dicembre 2015, Roman Zakharov c. Russia). E, allora, così ragionando, il server potrebbe essere considerato come un contenitore su cui transitano flussi comunicativi da attenzionare, non dissimile dallo smartphone o dal computer.

Si potrebbe, in altri termini, arrivare ad affermare che tale captazione rappresenti un'evoluzione dell'intercettazione telematica “tradizionale” avendo ad oggetto flussi comunicativi transitanti su un nuovo “sistema informatico”, ossia il server, posto che è proprio quello spazio a dover essere “monitorato” perché è sul nuovo ambiente virtuale che (presumibilmente) si consuma il fatto di reato.

In dottrina si osserva che la posizione di legittimità non sembra poi così difforme dagli arresti precedenti: a ben guardare, infatti, la giurisprudenza di legittimità non ha mai escluso tout court la possibilità di sussumere l'attività investigativa nel novero delle intercettazioni telematiche o del sequestro, ex art. 254-bis c.p.p. (Cass. pen., n. 16347/2023). Se fino a questo momento nelle diverse ordinanze impugnate non veniva fatto cenno alle altre attività – diverse ed ultronee dall'acquisizione di dati formati prima ed indipendentemente dall'avvio delle indagini sul territorio nazionale –, i giudici non avrebbero potuto intravedere nessun'altra copertura normativa se non quella fornita dall'art. 234-bis c.p.p.

Circoscrivendo l'analisi al caso in cui la captazione avvenga nel momento in cui la comunicazione transita nell'etere digitale, la categoria probatoria con cui sembra opportuno confrontarsi è rappresentata dalle intercettazioni telematiche, regolate dall'art. 266-bis c.p.p.

Sicuramente, sotto il profilo tecnico-operativo, l'accesso ad un server per captare comunicazioni in atto può essere ricompreso nell'alveo delle intercettazioni telematiche, venendo in rilievo il carattere della contestualità della captazione di un flusso comunicativo tra sistemi collegati in Rete.

L'approccio è parzialmente difforme nel caso in cui gli investigatori acquisiscano dati informatici “freddi” dal contenuto comunicativo. In questo caso, occorre distinguere a seconda che l'apprensione abbia ad oggetto dati precostituiti (ossia formati al di fuori del procedimento), ovvero dati giacenti sul server.

Tradizionalmente, come chiarito dalla giurisprudenza di legittimità (Cass. pen., n. 12975/2020; Cass. pen., n. 28269/2019), i messaggi conservati nella memoria di un cellulare devono essere considerati documenti, ai sensi dell'art. 234 c.p.p., posto che gli stessi “non rientrano nel concetto di “corrispondenza”, in quanto quest'ultima implica un'attività di spedizione in corso o comunque avviata dal mittente mediante consegna a terzi per il recapito […]”; e nemmeno può ritenersi che si tratti degli esiti di un'attività di intercettazione «la quale postula, per sua natura, la captazione di un flusso di comunicazioni in atto. […] i dati presenti sulla memoria del telefono acquisiti ex post costituiscono mera documentazione di detti flussi”.

Di conseguenza, non può dubitarsi del fatto che i messaggi decriptati rientrino nel novero dei documenti informatici dal contenuto comunicativo, trattandosi di rappresentazioni comunicative incorporate su base materiale con metodo digitale. Dunque, allorquando si procede ad acquisire dati informatici che preesistono rispetto al momento dell'avvio delle indagini, il relativo atto investigativo non può che soggiacere alla disciplina di cui all'art. 234-bis c.p.p. che, come noto, consente l'acquisizione di documenti e dati informatici conservati all'estero, previo consenso del legittimo titolare.

Allorquando, però, si procede ad acquisire dati informatici dal contenuto comunicativo archiviati nel server nell'ambito di un procedimento penale, la relativa attività di indagine non può che avvenire secondo le previsioni di cui all'art. 254-bis c.p.p., riguardante le ipotesi di sequestro presso fornitori di servizi informatici, telematici e di comunicazioni.

In attesa dell'intervento nomofilattico si osserva che le questioni interpretative rilevanti rispetto all'acquisizione, con ordine europeo di indagine (di seguito: “o.e.i.”), di messaggistica criptata sulla piattaforma SKY-ECC sono state oggetto di rinvio pregiudiziale ex art. 267 TFUE alla CGUE da parte del Tribunale del Land di Berlino (C 670/22), relativamente ad alcuni aspetti tra i quali la rilevanza dell'impossibilità di conoscere le modalità tecniche di acquisizione dei dati trasmessi sulla piattaforma Encrochat (analoga a SKY-ECC) e il relativo regime di utilizzabilità. Le particolari caratteristiche tecniche di questo sistema di messaggistica e dei dispositivi utilizzati (i “criptofonini”), volti a occultare le comunicazioni effettuate hanno, infatti, determinato il ricorso a modalità investigative del tutto peculiari. L'acquisizione e la successiva decrittazione delle chat parrebbero, infatti, avvenute dapprima a livello centrale, con l'inoculamento di un malware nel server anziché nei singoli dispositivi e, quindi, con alcune notifiche inviate a questi ultimi per ottenere la chiave di decrittazione delle conversazioni.

Tuttavia, sul trojan utilizzato sarebbe stato apposto il segreto di Stato da parte della Francia, con conseguente compressione del contraddittorio sulle modalità di formazione della prova.

Il Conseil constitutionnel francese, con decisione n. 2022-987 QPC dell'8 aprile 2022, M. Saïd Z, aveva peraltro rigettato la questione di costituzionalità sollevata rispetto alla generale previsione dell'utilizzabilità di strumenti di captazione coperti dal segreto di Stato. Il tema della conoscibilità da parte della difesa delle modalità di formazione della prova era stato invece risolto nel nostro ordinamento, rispetto a questo sistema di messaggistica, nel senso della rilevanza della garanzia del contraddittorio sulle modalità di acquisizione del materiale probatorio (oltre che sugli esiti delle attività investigative), anche rispetto all'effettiva corrispondenza delle trascrizioni dei messaggi al tenore delle conversazioni intercettate, rilevante ai sensi dell'art. 191 c.p.p. (Cass. pen., n. 32915/2022; per l'esclusione della violazione del diritto di difesa a fronte dell'impossibilità di verificare la corrispondenza tra il dato originale e quello trasmesso, dovendosi presumere quella dell'algoritmo una riproduzione fedele salva l'allegazione di elementi di segno contrario: Cass. pen., n. 16347/2023).

Quanto alla necessità del vaglio giurisdizionale interno in merito all'utilizzabilità della prova acquisita con o.e.i., le conclusioni dell'AG depositate il 26 ottobre 2023, nell'ambito del rinvio pregiudiziale proposto dal Tribunale di Berlino (causa C 670/22), valorizzando parimenti il principio di reciprocità, affermano che lo Stato di emissione dovrebbe attribuire alla fase autorizzatoria giurisdizionale realizzata nello Stato di esecuzione lo stesso valore che avrebbe a livello interno. In particolare, l'AG esclude che, rispetto a un o.e.i. diretto al trasferimento di prove esistenti, l'autorità di emissione possa valutare la legittimità della raccolta, nello Stato di esecuzione, delle prove delle quali richieda il trasferimento.

La disciplina delle conseguenze di una genesi patologica della prova ottenuta mediante o.e.i. è, invece, secondo l'AG rimessa all'autonomia procedurale degli Stati, pur nel rispetto dei diritti della difesa sanciti dagli artt. 47 e 48 CDFUE.

La sentenza n. 44154/2023 ha interpretato questo margine nazionale di apprezzamento argomentando dal bilanciamento tra i principi del mutuo riconoscimento (centrale nella direttiva o.e.i.) e di legalità della prova (che è non solo espressione di un diritto del singolo ma forma dell'agire procedimentale secondo le garanzie del corretto processo). Il punto di sintesi è individuato - in linea con la giurisprudenza sulle rogatorie attive e nel solco dell'art. 191 c.p.p. - nei principi fondamentali dell'ordinamento tra i quali, in primo luogo, il diritto di difesa e il contraddittorio per la prova, costituenti limite inderogabile anche rispetto al principio di equivalenza. Rispetto a prove, quali quelle in esame, acquisite all'estero con il ricorso (parrebbe) a metodi (algoritmici) di decrittazione in parte coperti da segreto di Stato, la sentenza n. 44154/2023 rileva, quindi, come vada riconosciuto, alla difesa, il diritto di ottenere la versione originale dei messaggi e i dati necessari alla loro decrittazione.

Spetterà alle Sezioni Unite la decisione sulla conferma della linea proposta dalle sentenze più recenti, ma ciò che più rileva sono le riflessioni, di ordine generale, da esse indotte.

Così, in particolare, l'esclusione dell'applicabilità dello schema dell'acquisizione documentale ad attività limitative della riservatezza quali quelle oggetto dell'o.e.i. sembra cogliere quell'invito, nelle conclusioni dell'AG (punto 86) a considerare l'impatto, su tale diritto, degli strumenti investigativi, nell'ambito del complessivo giudizio di ammissibilità interno delle prove.

Tuttavia, è auspicabile un intervento legislativo volto ad introdurre – al pari di quanto accaduto in altri Paesi europei (art. 706-102-1 del code de procédure pénale francese) – un nuovo mezzo di ricerca della prova (accesso e acquisizione di big data su sistemi informatici o telematici, potrebbe chiamarsi) per regolare le attività di accesso, osservazione e acquisizione di dati e informazioni rinvenuti sui nuovi spazi virtuali: in questi casi, non sarebbe tipizzato lo strumento con cui condurre le indagini informatiche quanto piuttosto le regole cui ricorrere ogni qual volta si proceda ad attività di sorveglianza occulta e continuativa da remoto, predisponendo le garanzie fondamentali che devono essere sempre riconosciute all'indagato e ai soggetti terzi occasionalmente coinvolti, a prescindere dalla tecnica investigativa impiegata.

Riferimenti

F. Agnino, A cquisizione all'estero della messaggistica criptata sulla piattaforma SKY-ECC, in www.ius.giuffrefl.it;

F. Resta, Criptofonini e ordine europeo d'indagine: le questioni poste alle Sezioni Unite, in www.giustiziainsieme.it;

W. Nocerino, Ancora in tema di criptofonini: nuovi arresti giurisprudenziali in attesa delle Sezioni Unite, in www.penaledp.it.