L'intercettazione delle e-mail (già) ricevute o inviate e l'acquisizione di quelle parcheggiate nella cartella “bozze”

Le e-mail pervenute o inviate al destinatario e archiviate nelle cartelle della posta elettronica possono essere oggetto di intercettazione, trattandosi di un flusso di dati già avvenuto ed essendo irrilevante la mancanza del presupposto della loro apprensione contestualmente alla comunicazione. Esulano, invece, dal materiale intercettabile le e-mail “bozza”, non inviate al destinatario, le quali possono comunque essere acquisite per mezzo di un sequestro di dati informatici.

Nel corso di un'indagine relativa ad un'organizzazione che importava ingenti quantitativi di cocaina dal Sud-America sono state intercettate alcune utenze telefoniche estere ed è stata captata la corrispondenza elettronica di diversi imputati. Quest'ultima attività è stata estesa anche alle e-mail (già) spedite o ricevute dalle persone intercettate, contenute nelle rispettive cartelle della casella di posta elettronica, e a quelle “parcheggiate” nella cartella “bozze” del medesimo account di posta.

Più in particolare, durante le investigazioni, per mezzo di servizi di pedinamento e osservazione, era stato appurato che gli imputati frequentavano alcuni internet point di Roma per accedere ad alcune caselle di posta elettronica attivate presso il provider statunitense hotmail.com, con le quali intrattenevano una corrispondenza con i complici sudamericani. I contatti informatici avvenivano secondo due diverse modalità. In alcuni casi, i messaggi di posta erano normalmente spediti in via telematica; in altri, invece, venivano scritte e-mail che non erano inoltrate al destinatario ma archiviate nella cartella “bozze”. Esse potevano essere lette dai complici che, in possesso di username e password, accedevano successivamente alla casella di posta elettronica. Questo singolare modo di comunicare era impiegato soprattutto per le informazioni più riservate, come quelle che avevano ad oggetto i numeri telefonici “dedicati” allo svolgimento delle singole operazioni di importazione di droga.

Le e-mail sono state oggetto di un provvedimento d'intercettazione di flussi telematici in entrata e in uscita dai computer ubicati nei predetti internet point ai sensi dell'art. 266-bis c.p.p. I messaggi lasciati in “bozza”, invece, sono stati carpiti secondo un sistema più ingegnoso: gli investigatori si sono procurati le credenziali di accesso controllando a distanza gli imputati tramite virus informatici del tipo trojan che, inoculati nei computer, permettevano di conoscere quanto veniva digitato sulla tastiera; quindi, sono entrati direttamente nelle caselle di posta elettronica. In questo modo, hanno preso visione delle predette “bozze” e anche delle e-mail che erano state inviate o ricevute in precedenza, giacenti nelle diverse cartelle.

Con il ricorso per Cassazione, tra l'altro, le difese hanno riproposto l'eccezione di inutilizzabilità dell'intercettazione telefonica delle utenze estere e delle captazioni informatiche appena descritte, rigettata nei giudizi di merito.

Diversi difensori, tra l'altro, hanno rilevato che, poiché il provider che gestisce il servizio aveva sede all'estero e, segnatamente, negli Stati Uniti, per svolgere la complessa attività investigativa che ha riguardato le caselle di posta elettronica sarebbe stato necessario ricorrere a una rogatoria internazionale, avendo un rilievo determinante il luogo in cui sono ubicati i server che permettono le operazioni informatiche.

È stata contestata, inoltre, la legittimità dell'acquisizione di comunicazioni che giacevano nella casella di posta elettronica da un periodo precedente ai provvedimenti di intercettazione e delle e-mail “bozze”. A tale ultimo riguardo, trattandosi dell'apprensione di un file informatico e non di un'intercettazione, come del resto affermato nelle sentenze di merito, sarebbe stato necessario seguire la disciplina dell'art. 254-bis c.p.p. che codifica le modalità per procedere al sequestro di dati informatici presso i fornitori di tali servizi, perché i file erano detenuti dal provider e non dagli utenti, mentre, in mancanza di un decreto motivato di perquisizione, il ricorso agli istituti di cui agli art. 234 e 247, comma 1-bis, c.p.p., evocato nella pronuncia della Corte di appello, sarebbe stato inibito.

In forza di decreto del Gip e senza ricorrere a una rogatoria, è legittima l'intercettazione telefonica di utenze telefoniche estere? Occorre esperire un'attività di cooperazione giudiziaria internazionale per captare e-mail spedite o ricevute tramite un provider che utilizza server ubicati all'estero?

Superato questo primo tema, concernente i limiti della giurisdizione, la Corte si è soffermata sull'intercettazione di flussi di comunicazioni telematiche, chiedendosi se possa estendersi alle e-mail spedite o ricevute e giacenti nella casella di posta elettronica. In questo caso, il problema consiste nella necessità, ai fini della qualificazione di un atto come intercettazione, di ravvisare un requisito di natura temporale, rappresentato dall'attualità della comunicazione rispetto all'atto acquisitivo, oppure nella sufficienza del mero invio del messaggio, anche avvenuto in un momento precedente rispetto al decreto autorizzativo.

La decisione, infine, ha analizzato le modalità dell'acquisizione delle e-mail “bozza”. L'apprensione di tali messaggi rientra nella nozione di intercettazione? In caso contrario, qualora cioè si sostenga che detta attività d'indagine esuli dall'intercettazione, può ritenersi che si tratti documenti acquisiti all'esito di una perquisizione di un sistema informatico o telematico ai sensi degli artt. 234 e 247, comma 1-bis, c.p.p., potendo prescindersi, pertanto, da un provvedimento autorizzativo del Gip, ovvero si tratta di corrispondenza, sottoposta alla tutela costituzionale di cui all'art. 15 Cost., da sottoporre a sequestro con le garanzie di cui all'art. 254 c.p.p.?

Ove si escludesse che la “bozza” possa qualificarsi come corrispondenza, come pure sostenuto nella decisione di appello impugnata, il sequestro non dovrebbe rispettare le forme di cui all'art. 254-bisc.p.p. che concernono i dati informatici detenuti dal fornitore dei servizi? In quest'ultima ipotesi, è necessaria l'attivazione di una rogatoria, se il service provider (ed il relativo server) si trova all'estero?

La prima questione, dunque, riguarda la legittimità dell'intercettazione di utenze telefoniche estere senza l'attivazione di una rogatoria. Sul punto, la suprema Corte ha ribadito l'indirizzo consolidato secondo cui il ricorso alla procedura dell'instradamento e cioè il convogliamento delle chiamate in partenza dall'estero in un nodo situato in Italia (e a maggior ragione di quelle in partenza dall'Italia verso l'estero, delle quali è certo che siano convogliate tramite gestore sito nel territorio nazionale) non comporta la violazione delle norme sulla cooperazione giudiziaria internazionale, in quanto tutta l'attività d'intercettazione, ricezione e registrazione delle telefonate viene interamente compiuta nel territorio italiano. Tale tecnica rispetta la sovranità di ogni Stato perché le intercettazioni sono eseguite esclusivamente se la telefonata, pur relativa ad utenza straniera, si avvale di una delle centrali telefoniche poste in Italia, non verificandosi alcuna intrusione nel territorio di uno Stato estero (cfr. ex plurimis, Cass. pen. n. 32924/2004).

Le medesime argomentazioni sono state adoperate dalla Corte con riferimento al secondo quesito che attiene alla captazione dei flussi informatici relativi a una casella di posta elettronica allocata su un server estero. Anche in questo caso, infatti, la necessità di una rogatoria internazionale è stata esclusa perché, mediante il meccanismo dell'instradamento, su linee telefoniche, sono stati intercettati i flussi informatici che partivano da un'utenza estera - nella specie quella del provider statunitense - e pervenivano a quella italiana in uso all'internet point ubicato in Roma. I dati, quindi, transitavano su linee telefoniche che nell'ultimo tratto erano sul territorio italiano.

Il ricorso al sistema dell'instradamento, inoltre, non viola l'art. 8 Cedu, come affermato anche dalla Corte Edu nella sentenza del 23 febbraio 2016 - Ricorso n. 28819/12 - nel caso Capriotti c. Italia.

Nella decisione, poi, è precisato che alla tecnica dell'instradamento è stato fatto riferimento di recente dalla giurisprudenza per la captazione di messaggi tra apparecchi Blackberry. E' stata esclusa la necessità di esperire la rogatoria internazionale allorquando l'attività di captazione del flusso comunicativo avviene in Italia, perché i telefoni sono localizzati nella nostra nazione o almeno uno di essi impiega un nodo interno per le comunicazioni (Cass. pen., n. 39925/2015), a nulla rilevando che per decriptare i dati identificativi associati ai codici identificativi dell'apparecchio Blackberry (che si chiamano “pin”) sia necessario ricorrere alla collaborazione del produttore del sistema operativo avente sede all'estero (Cass. pen. n. 16670/2016).

Superato il tema del rispetto dei limiti della giurisdizione, la sentenza si è soffermata sull'intercettazione di flussi di comunicazioni telematiche, per verificare se possa ricomprendere anche le e-mail “già” spedite o ricevute e conservate nelle rispettive cartelle della casella di posta elettronica.

Al riguardo, la Corte rileva che, secondo un indirizzo dottrinale, la captazione delle e-mail dovrebbe avvenire contestualmente alla loro trasmissione. Quest'impostazione mutua dalla disciplina delle intercettazioni il presupposto dell'apprensione in tempo reale rispetto alla comunicazione, ritenuto tratto qualificante del mezzo di ricerca della prova in esame. Di conseguenza, sarebbe ammissibile l'acquisizione di messaggi già inoltrati solo ricorrendo a istituti diversi e in particolare al sequestro.

La decisione non accoglie questa tesi, evidenziandone taluni limiti individuati, per esempio, nella difficoltà di inquadrare i casi di ritardo nella consegna della e-mail dal server del mittente a quello del destinatario ovvero la situazione che si verifica quando la e-mail è stata scaricata sul personal computer del destinatario, ma non è stata ancora letta da costui.

La sentenza, inoltre, non ritiene possa applicarsi l'orientamento che qualifica il mezzo di ricerca della prova posto in essere in base alle modalità impiegate per l'acquisizione della e-mail: se l'apprensione del messaggio avviene in modo occulto – in sostanza duplicando la casella di posta elettronica con la mediazione del gestore del servizio che invia tutte le e-mail sul server della procura della Repubblica – si tratterebbe di un'intercettazione; se l'intervento degli investigatori è compiuto direttamente sul computer dell'interessato, a sorpresa, ma in modo palese, invece, integrerebbe un sequestro.

Sostiene la Corte, al contrario, che il discrimine perché ci sia stato o meno "flusso informatico" - e quindi debba essere applicata la disciplina delle intercettazioni e non quella del sequestro - è nell'avvenuto inoltro dell'e-mail da parte del mittente. Ne consegue che possono essere oggetto di intercettazione anche le e-mail inviate o ricevute e giacenti nelle specifiche cartelle della casella di posta elettronica perché, essendo state spedite, è intervenuto un flusso informatico.

Nella decisione, al riguardo, si aggiunge che la medesima soluzione è stata offerta dalla giurisprudenza di legittimità per le cd. chat tra telefoni Blackberry, per le quali è stato reputato legittimo il ricorso alla disciplina delle intercettazioni, anche se lo scambio di messaggi non è contestuale alla captazione (cfr. Cass. pen., n. 50452/2015).

Con motivazione logica e congrua, pertanto, i giudici del merito hanno ritenuto che i messaggi di posta in entrata ed in uscita costituissero un flusso telematico, come tale intercettabile. A questa conclusione, però, la Corte aggiunge una chiosa finale, sostenendo che in ogni caso, c'era stato un decreto autorizzativo del GIP che, anche a voler ritenere che quelle già spedite e/o ricevute fossero sequestrabili e non intercettabili, “copriva” in termini di garanzie anche tale acquisizione.

Definito l'aspetto delle e-mail ricevute o inviate, la sentenza si sofferma sui messaggi non spediti, ma salvati nella cartella “bozze”. In quest'ipotesi, come è stato evidenziato, si verificava uno scambio comunicativo differito, nonostante il mancato inoltro della e-mail al destinatario.

La Corte rileva che, secondo una tesi, nella fattispecie descritta sarebbe possibile ravvisare un flusso di dati numerici captabile in tempo reale in occasione dell'accesso alla casella di posta elettronica per la lettura della “bozza”. Questa ricostruzione del fenomeno, tuttavia, non è reputata convincente, ritenendosi piuttosto che si sia in presenza di un'attività che ricorda quella del sequestro di dati informatici e, quindi, di un'attività d'indagine che non rientra nella disciplina delle intercettazioni e non necessita di alcuna autorizzazione del Gip.

Non si tratta, però, di sequestro di corrispondenza, perché detto concetto implica un'attività di spedizione in corso o comunque avviata dal mittente mediante consegna a terzi per il recapito. Ne consegue che questo sequestro è sottratto alla disciplina dettata dall'art. 254 c.p.p.

Anche nel caso delle “bozze”, tuttavia, secondo la Corte, il problema principale riguarda il rispetto dei limiti della giurisdizione. L'accesso al messaggio, infatti, secondo l'impostazione propugnata dai ricorrenti, postulerebbe l'intervento su un server che, nella fattispecie in esame, si trova all'estero. Il messaggio, quindi, sarebbe detenuto dal service provider straniero. Ne conseguirebbe che, per non violare la sovranità straniera, sarebbe imprescindibile la collaborazione giudiziaria dell'autorità estera per lo svolgimento della descritta.

La suprema Corte non accoglie questa ricostruzione, secondo la quale, in ultima istanza, basterebbe che l'utente si “poggi” su un server straniero per potersi sottrarre alla giurisdizione del proprio Paese. Ritiene, invece, che i file contenenti le e-mail custoditi nella cartella “bozze” non siano detenuti dal gestore del servizio in quanto rimanevano nella esclusiva disponibilità dell'intestatario della casella di posta elettronica». Se per un verso, infatti, per accedere al proprio account di posta elettronica è necessario collegarsi al server straniero, per altro verso nemmeno al provider è lecito entrare nella casella di posta elettronica concessa al singolo utente. La sentenza, pertanto, perviene alla conclusione secondo cui la detenzione dei file all'interno del singolo account protetto da password (come all'interno del proprio spazio cloud) è dell'utente che dispone di quella password. Nei confronti di quest'ultimo viene compiuto il sequestro del documento informatico (nel caso che ci occupa la bozza di e-mail), nel luogo in cui lo stesso accede alla casella di posta digitando la password. L'attività investigativa, pertanto, esula dall'istituto disciplinato dall'art. 254-bis c.p.p., non trattandosi di dati informatici sequestrati presso il gestore del servizio.

Correttamente, dunque, secondo la suprema Corte i giudici del merito hanno ritenuto che l'acquisizione delle “bozze” integrasse un sequestro di un documento informatico. Anche in questo caso, però, la Corte aggiunge una chiosa finale: laddove si ravvisasse la violazione delle formalità previste dalle disposizioni sul sequestro, ciò comunque non comporterebbe l'inutilizzabilità dei risultati della perquisizione o del sequestro medesimo, in quanto non si tratterebbe di prove acquisite in violazione di un divieto di legge (ex art. 191 c.p.p.) ma eventualmente di prove raccolte senza il rispetto delle formalità previste per la loro acquisizione.

Risolvendo il primo quesito, dunque, la Corte ha ribadito l'indirizzo consolidato. La procedura dell'istradamento non comporta la violazione delle norme sulle rogatorie internazionali, perché l'intercettazione e la registrazione delle telefonate viene interamente realizzata sul territorio italiano. Tale tecnica rispetta la sovranità di ogni Stato: le operazioni di intercettazione sono eseguite solo se la telefonata, pur se relativa ad utenza straniera, si avvale di una delle centrali telefoniche poste in Italia e non si verifica, pertanto, alcuna intrusione nella giurisdizione di uno Stato estero.

Il ricorso alla rogatoria, invece, è necessario solo per gli interventi da compiere integralmente all'estero e, in modo specifico per l'intercettazione di conversazioni captate solo da una compagnia telefonica straniera (cfr., di recente, Cass. pen., n. 7634/2014; Cass. pen., n. 9161/2015).

Suscita dubbi, peraltro, l'indirizzo giurisprudenziale, richiamato incidentalmente nella sentenza, secondo il quale, al fine della individuazione della giurisdizione competente, non rileva il luogo dove sia in uso il relativo apparecchio, ma esclusivamente la nazionalità dell'utenza, essendo tali apparecchi soggetti alla regolamentazione tecnica e giuridica dello Stato cui appartiene l'ente gestore del servizio (cfr. Cass. pen., n. 9161/2015). Quest'impostazione, infatti, conduce a ritenere legittima la captazione di conversazioni “estero su estero” nelle quali sia impegnata almeno un'utenza telefonica italiana. Si tratta di casi in cui la registrazione è possibile senza attivare meccanismi di collaborazione internazionale solo se per una qualche ragione tecnica (per esempio per la contabilizzazione ed il pagamento dei servizi resi) le compagnie estere interessate procedono all'instradamento della comunicazione su una centrale italiana.

Non provoca particolari perplessità, invece, l'estensione dell'instradamento alla captazione dei flussi informatici relativi ad una casella di posta elettronica allocata su un server estero. La necessità di una rogatoria internazionale è esclusa perché il flusso informatico in entrata ed in uscita è captato, mediante il meccanismo descritto, sulle linee telefoniche in uso all'internet point ubicato in Italia.

Appare molto delicato, invece, l'aspetto dell'intercettazione delle e-mail “già” spedite o ricevute e conservate nelle rispettive cartelle della casella di posta elettronica. La loro acquisizione integra un'intercettazione? La Corte risponde positivamente al quesito. Per giungere a questa conclusione svaluta uno degli elementi costitutivi del mezzo di ricerca della prova, cioè la contestualità della captazione alla comunicazione. Perché sia integrata un'intercettazione non è necessaria l'attualità della comunicazione rispetto all'atto acquisitivo, essendo sufficiente che ricorra il dato storico dell'inoltro del messaggio, anche se precedente al decreto autorizzativo.

In questo modo, la sentenza in esame aderisce ad un indirizzo giurisprudenziale che sembra essere sorto con le chat di Blackberry. È stata ritenuta legittima l'acquisizione di contenuti di tali messaggi mediante intercettazione operata ai sensi dell'art. 266 c.p.p. poiché le chat, anche se non contestuali, costituiscono un flusso di comunicazioni (cfr. Cass. pen., n. 50452/2015; Cass. pen., n. 39925/2015).

Gli argomenti offerti a sostegno di queste affermazioni, peraltro, appaiono poco persuasivi. Non sembrano insormontabili le conseguenze di un ritardo nella trasmissione da parte del server, ben potendo essere confermata la contestualità della captazione alla trasmissione, ancorché quest'ultima sia stata differita da problemi tecnici. La mancata lettura della e-mail non appena scaricata nel computer del destinatario, poi, sembra una situazione del tutto irrilevante, essendo sufficiente, come del resto precisa la stessa sentenza, che sia stata “inoltrata” perché possa correttamente ravvisarsi una comunicazione “intercettabile”.

Il profilo più opinabile, però, è che, superando il presupposto della necessaria captazione in tempo reale rispetto alla comunicazione, si finisce con ritenere legittima anche un'intercettazione che opera “per il passato”: il provvedimento adottato in una certa data consente di acquisire pure le comunicazioni avvenute in precedenza.

Orbene, che una simile proiezione a ritroso possa riguardare anche l'intercettazione e che quest'azione rispetti la tipicità di un mezzo di ricerca della prova per definizione rivolto “al futuro” è discutibile in un sistema processuale, peraltro, che prevede altri strumenti tipici (i sequestri), che sono circondati da specifiche garanzie. Ed è appena il caso di precisare che questi ultimi consistono in atti “a sorpresa” ma che non possono essere compiuti in modo occulto.

Che la soluzione offerta lasci adito a perplessità sembra trasparire anche dalla stessa sentenza, nella parte in cui contiene una motivazione subordinata richiamando l'istituto del sequestro: In ogni caso c'era stato un decreto autorizzativo del Gip che, anche a voler ritenere che quelle già spedite e/o ricevute fossero sequestrabili e non intercettabili, "copriva" in termini di garanzie anche tale acquisizione.

Con queste considerazioni, peraltro, non si intende negare che nella situazione descritta si ponga per gli investigatori un notevole problema di tempestività dell'intervento: una e-mail contenuta nella cartella “ricevute” o “inviate” deve essere acquisita rapidamente perché può essere cancellata in qualsiasi momento dell'utente dell'account. È questo, molto probabilmente, il profilo pratico che induce a ricondurre l'acquisizione delle e-mail “passate” all'istituto delle intercettazioni informatiche piuttosto che alla disciplina del sequestro.

Una riflessione suscita anche l'uso nel caso in esame del virus del tipo cd. trojan. L'impiego di questo strumento è stato ritenuto legittimo nei procedimenti di criminalità organizzata da una recente decisione delle Sezioni Unite (Cass. n. 26889/2016), che ha rilevato come si risolva in una moderna microspia che permette di compiere intercettazioni ambientali, cioè di carpire comunicazioni o comportamenti comunicativi. Nel caso di specie, però, il mezzo non sembra sia stato adoperato per cogliere comunicazioni, quanto piuttosto per individuare ciò che era digitato sul computer. In questo modo sono state acquisite le password che hanno consentito l'accesso agli account di posta elettronica. Si può sostenere che sia captata una comunicazione quando si apprende ciò che è digitato sul computer per accedere ad una casella di posta elettronica? Rientra nel concetto di comunicazione lo scambio che interviene tra l'utente e la tastiera del suo personal computer? Qualora si rispondesse negativamente a questo quesito, dovrebbe concludersi che il software è stato usato per realizzare una ispezione o una perquisizione, di tipo elettronico, che ha condotto all'acquisizione (sequestro) della password.

Rimane da ultimo il tema delle e-mail “bozza”.

La sentenza in esame confuta la tesi secondo cui un flusso informatico (intercettabile) sarebbe ravvisabile quando si apre la casella di posta elettronica. Questo indirizzo ha il pregio di salvaguardare il profilo della contestualità della captazione rispetto alla trasmissione.

La decisione, invece, sceglie la strada del sequestro del dato informatico, che assicura le garanzie individuali, escludendo, in modo condividibile, che l'apprensione riguardi una corrispondenza, perché il messaggio, essendo una mera “bozza”, non è stato spedito al destinatario.

Pare convincente, infine, l'affermazione secondo cui la detenzione di tale “bozza” sia dell'utente e non del gestore del servizio informatico. Quest'ultimo, infatti, è l'unico abilitato all'accesso per mezzo delle sue credenziali personali e esercita quello che appare il principale potere: usare il tasto canc.

ATERNO, Le investigazioni informatiche e l'acquisizione della prova digitale, in Giur. merito 2013, pag. 955;

CAMON, Le intercettazioni nel processo penale, Milano, 1996;

FILIPPI, Intercettazioni, tabulati ed altre limitazioni della segretezza delle comunicazioni, in Spangher, Marandola, Garuti, Kalb, Procedura penale. Teoria e pratica del processo, Vol. I, 973, Torino, 2015

IOVENE, Le cd. perquisizioni on line: tra nuovi diritti fondamentali ed esigenze di accertamento penale, in Dir. pen. cont.;

LORENZETTO, Il perimetro delle intercettazioni ambientali eseguite mediante ''captatore informatico'', in Dir. pen. cont.;

MARCOLINI, Le cosiddette perquisizioni on line (o perquisizioni elettroniche), in Cass. pen. 2010, 2855;

MARCOLINI, Le indagini atipiche a contenuto tecnologico nel processo penale: Una proposta, in Cass. pen. 2015, 760 e ss.;

TESATGUZZA, I sistemi di controllo remoto: tra normativa e prassi, in Dir. pen. proc. 2014, 759;

TORRE, Il virus di Stato nel diritto vivente tra esigenze investigative e tutela dei diritti fondamentali, in Dir. pen. proc. 2015, 1163.