Il cavallo di Troia ora ha anche il server di transito

La questione

La sentenza in esame afferma l'utilizzabilità dei risultati delle intercettazioni tra presenti realizzate per mezzo di un captatore informatico, nonostante sia emerso che il programma non trasmetteva direttamente i dati captati al server installato nei locali della Procura della Repubblica per la loro registrazione, ma compiva un passaggio intermedio, di natura tecnica, in un server definito “di transito”. In tale sistema informatico, di proprietà della società privata che, per incarico della Procura, realizzava l'intercettazione, si svolgevano, in modo automatico, diverse operazioni: la ricezione dei dati informatici captati dal trojan; la creazione di una copia digitale di tali dati; il trasferimento di questa copia al server installato presso i locali della Procura della Repubblica; la successiva cancellazione dei dati ricevuti. Tutte queste operazioni avvenivano in modo automatico, senza interventi umani, in un breve arco temporale, apprezzato di circa 2 o 3 minuti. La garanzia dell'integrità dei dati captati sarebbe assicurata dall'impiego di un protocollo di sicurezza, teso ad impedirne l'alterazione, sempre che non si verifichi un accesso abusivo al sistema informatico. 

La ratio dell'impiego degli impianti della Procura

Si tratta di un principio nuovo e inquietante.

Infatti, il divieto di utilizzazione di cui all'art. 271, comma 1, c.p.p. è chiaro: si riferisce all'inosservanza dell'art. 268, comma 3, c.p.p., cioè alla precisa prescrizione che «le operazioni possono essere compiute esclusivamente per mezzo degli impianti installati nella procura della Repubblica».

Si è detto e scritto dall'avvento del codice del 1988 che la scelta di riservare l'impiego degli impianti presso la procura della Repubblica era stata voluta per evitare eventuali illeciti. Dai lavori preparatori della Costituzione emerge con chiarezza la preoccupazione per eventuali abusi perpetrabili con gli impianti della polizia giudiziaria e la stessa preoccupazione fu manifestata durante l'iter legislativo che approdò nella l. 18.5.1978, n. 191. Anche l'utilizzazione degli impianti di pubblico servizio destava preoccupazioni per la tutela della segretezza delle comunicazioni e per la riservatezza dei comunicanti a causa del gran numero di persone addette agli uffici delle telecomunicazioni. Da parte sua, la Consulta aveva precisato che l'intercettazione deve attuarsi «sotto il diretto controllo del giudice» in modo da assicurare che «si proceda alle intercettazioni autorizzate, solo a queste e solo nei limiti dell'autorizzazione» (C. cost. n. 34/1973), sicché l'art. 268 comma 3, c.p.p., in quanto attribuisce il controllo sull'esecuzione al pubblico ministero, anziché al giudice, non attua compiutamente la riserva di giurisdizione di cui all'art. 15 Cost.

Ma, se qualche dubbio residuasse, basterebbe leggere l'art. 89, comma 3, disp. att. c.p.p., laddove statuisce che, nei casi di impiego di captatore informatico, le comunicazioni intercettate devono essere conferite (…) «esclusivamente negli impianti della Procura della Repubblica» per avere la conferma che la ratio del divieto di utilizzazione è proprio quella di garantire la legittimità e l'integrità delle registrazioni ed evitarne illecite divulgazioni. E poco importa che il menzionato art. 89 non sia presidiato dalla clausola di inutilizzabilità; anzi non deve proprio esserlo, poiché è una disposizione di attuazione dell'art. 268 c.p.p., che si limita a spiegare dettagliatamente come deve essere interpretato l'art. 268 c.p.p. in tema di esecuzione delle operazioni di intercettazione.

L'interpretazione riduttiva della sentenza in commento

La sentenza in commento dà invece una lettura riduttiva delle modalità di esecuzione dell'intercettazione, sostenendo che la sola registrazione deve essere effettuata con gli impianti installati presso la Procura della Repubblica, mentre tutti i diversi segmenti delle operazioni di intercettazione potrebbero essere compiute altrove. Afferma la Sesta Sezione che «l'intercettazione segue fasi con autonoma e diversa rilevanza sul piano giuridico: captazione, registrazione, ascolto, verbalizzazione. La captazione delle conversazioni (l'intercettazione in senso stretto), non può̀ che effettuarsi fuori dagli uffici della Procura; i files vocali sono immagazzinati in memorie informatiche centralizzate e lo scaricamento dei dati sui supporti è un segmento dell'intercettazione autonomo rispetto alla registrazione, che consiste nella immissione dei dati nella memoria informatica centralizzata (server) che si trova nei locali della Procura della Repubblica a ciò destinati», per giungere alla conclusione che solo al segmento della registrazione si riferirebbe l'art. 268, comma 3, c.p.p. – nel disporre che le operazioni possono svolgersi solo per mezzo degli impianti installati nella Procura della Repubblica – mentre le altre attività̀ potrebbero svolgersi ovunque .

A seguire questa tesi, i files vocali intercettati potrebbero transitare per un numero indefinito e incontrollabile di server, amministrati da soggetti privati, ognuno dei quali, non essendo controllabile e anzi addirittura ignoto, potrebbe ascoltare, manomettere, cancellare o anche aggiungere e pure  divulgare le conversazioni: esattamente quello che i Padri costituenti paventavano e che il codice del 1988 ha voluto evitare quando ha imposto il controllo del pubblico ministero su tutte le fasi delle operazioni di intercettazione.

Invece la sentenza qui commentata, nella sua miopia interpretativa, aggancia le modalità di esecuzione delle intercettazioni esclusivamente al diritto di difesa, quasi che la legittimità, l'integrità e la riservatezza delle conversazioni intercettate siano di esclusivo interesse del difensore.

La sentenza è categorica nell'affermare che «le attività di ascolto, verbalizzazione o eventuale riproduzione dei dati registrati, possono essere eseguite altrove (c.d. remotizzazione ) perché non pregiudicano le garanzie della difesa, alla quale è sempre consentito l'accesso alle registrazioni originali».

Lo sdoganamento del server di transito

La sentenza puntualizza che con l'espressione «server di transito» si intende «un server in cui i dati informatici confluiscono e vengono trasferiti da un nodo-sorgente a un nodo-destinazione senza che questi possano essere da questo immagazzinati. Nel caso in esame, il server della RCS ha ricevuto i dati informatici captati e ne ha creato una copia digitale trasferita ai server installati presso i locali della Procura della Repubblica; successivamente ha cancellato i dati acquisiti, svolgendo tutte le operazioni in modo automatico, senza interventi umani. Siffatta attività rientra nella nozione di server di transito, perché tramite la serie di operazioni che la compongono, i dati transitano all'interno del server prima di arrivare alla destinazione finale, ma senza che possano essere da questo registrati e riutilizzati. Il server "CSS" gestito dalla "RCS" (…) riceve e immagazzina i dati — che poi vengono trasferiti nei server posti nei locali della Procura per la fase di registrazione solo per lo stretto tempo necessario alle operazioni».

La trasmissione “a mano” dei dati intercettati

Non allarma i Supremi Giudici neppure la circostanza che, mentre di regola la trasmissione dei dati avviene automaticamente da server a server, nel caso concreto «i files audio registrati non siano trasmessi automaticamente dagli apparecchi digitali adoperati per le captazioni tra presenti, ma siano periodicamente prelevati dalla polizia giudiziaria incaricata delle operazioni e riversati manualmente nel server della Procura della Repubblica».

Anche tali passaggi di mano in mano che nessuno può controllare, prima tra gli ignoti soggetti della società privata che ha effettuato l'intercettazione, poi da uno di loro alla polizia giudiziaria, suscita ulteriori perplessità.

Una perizia che non s'ha da fare

La Corte ha ritenuto ragionevole il rigetto della richiesta della difesa di effettuare una perizia sulle registrazioni per accertarne genuinità e integrità, ritenendo l'istanza «meramente esplorativa e generica, perché non supportata da elementi concreti per ipotizzare anomalie nelle intercettazioni e alterazioni dei contenuti delle conversazioni nel presente procedimento. Questo tanto più vale considerando che la polizia giudiziaria, al termine delle operazioni di intercettazione (…), ha attestato che le operazioni di registrazione avvennero nella sala di ascolto della Procura di Palermo, con le apparecchiature della RCS-ETM Sicurezza, come prescritto dall'art. 267, comma 4, c.p.p.». Eppure era agli atti una informativa di polizia giudiziaria che avrebbe dovuto allarmare i giudici, perché segnalava che «a presidio dell'integrità del dato captato, non essendo state implementate nel sistema funzioni di hashing o firma digitale, si pone solo il codice (denominato ID Agent) che contraddistingue il singolo spyware di volta in volta operativo e i protocolli di trasferimento di sicurezza HTTPS, non garantendo univocamente che un determinato dato non possa esser stato modificato». Ma la Corte si è tranquillizzata perché, per alterare i dati captati, occorrerebbe aggirare il protocollo di sicurezza ed avere accesso all'interno del sistema stesso e un accesso abusivo, secondo la stessa polizia giudiziaria, «potrebbe verosimilmente essere verificato mediante l'analisi dei files di log presenti sul sistema». Proprio per questa ragione i difensori avevano sollecitato una perizia che accertasse eventuali accessi abusivi, che però, come si è detto, è stata ritenuta “meramente esplorativa e generica”.

Una pronuncia isolata?

Non resta che concludere con la speranza che il principio enunciato dalla sentenza in commento resti isolato e non diventi un orientamento consolidato. Altrimenti, il trojan presenterà un ulteriore profilo di illegittimità e inaffidabilità sia sul contenuto della conversazione intercettata e sia sul pericolo di indebite propalazioni delle intercettazioni.