Profili tecnico-investigativi e di diritto processuale interno: dal transborder access to data al nuovo art. 234-bis c.p.p.

Le valutazioni che possono essere formulate in relazione all'introduzione, nel sistema processual-penalistico, dell'art. 234-bis c.p.p., vanno ben oltre alla semplice rilevanza della norma in oggetto. La scelta del legislatore è, comunque, epocale da un lato ed altamente simbolica dall'altro.

Sino ad oggi, nella normalità e generalità dei casi, per eseguire un atto di indagine all'estero l'Autorità giudiziaria può procedere con richiesta di assistenza internazionale (ossia una rogatoria); in specifici contesti (es. Unione europea) possono essere utilizzate procedure semplificate e – dal dicembre 2015 – è stata istituita presso il Ministero della Giustizia una commissione chiamata a predisporre – tra l'altro – lo schema per il recepimento della direttiva 41/2014 in tema di ordine di indagine europeo.

In ogni caso, non è possibile compiere atti di indagine direttamente all'estero.

Con la l. 43 del 17 aprile 2015, emanata per fornire una risposta alla pressante esigenza di prevenzione e contrasto delle attività terroristiche, il quadro è in parte mutato: il legislatore, in sede di conversione del decreto legge 18 febbraio 2015, n. 7, ha previsto un nuovo mezzo di prova: l'acquisizione su base consensuale di documenti e dati informatici anche all'estero.

La domanda che l'interprete, a fronte dell'art. 234-bis c.p.p., deve porsi è relativamente semplice: la specificità della ricerca e conservazione della prova informatica e il contesto internazionale (che sia terrorismo o guerra) rendono necessarie “risposte” differenti del sistema? E quanto e come queste risposte possono essere “eccentriche” rispetto alle modalità operative che in condizioni generali – e normali – possono essere utilizzate?

In realtà, il tema era stato già affrontato dalla Convenzione di Budapest del 2001 – Convenzione del Consiglio d'Europa sulla Criminalità Informatica – che all'art. 32 aveva disciplinato il Trans-border access to stored computer data with consent or where publicly available ( Accesso transfrontaliero a dati informatici immagazzinati con il consenso o quando pubblicamente disponibili).

In base a tale norma, Una parte può, senza l'autorizzazione di un'altra Parte:

a. accedere ai dati informatici immagazzinati disponibili al pubblico (fonti aperte), senza avere riguardo al luogo geografico in cui si trovano tali dati; o

b. accedere o ricevere, attraverso un sistema informatico nel proprio territorio, dati informatici immagazzinati situati in un altro Stato, se la Parte ottiene il consenso legale e volontario della persona legalmente autorizzata a divulgare i dati allo Stato attraverso tale sistema informatico.

Tale disposizione non era stata ricompresa dal legislatore italiano al momento del recepimento, con la legge 48/2008, della Convenzione di Budapest. Oggi si può discutere – e certamente le discussioni non mancheranno – sul fatto che l'attuale art. 234-bis c.p.p. sia "attuazione" tardiva e imprecisa della Convenzione di Budapset, piuttosto che strumento di attuazione delle indicazioni del Consiglio di Sicurezza delle Nazioni Unite (resolution 2178/2014) finalizzate ad imporre agli Stati membri l'adozione di misure dirette a combattere il fenomeno terroristico internazionale.

Resta il fatto che la norma è, da ormai un anno, operativa a tutti gli effetti così che con il testo vigente l'interprete – in assenza, per ora e per quanto consta, di indicazioni specifiche della suprema Corte – deve confrontarsi.

Ogni seppure sintetica osservazione sull'impatto dell'art. 234-bis c.p.p. sui delicati equilibri processual-penalistici non può prescindere da una riflessione su un concetto diffuso e popolare, affascinante e fortemente suggestivo: lo spazio virtuale.

Da anni ed incessantemente l'indagine informatica e telematica e l'accertamento delle responsabilità vengono rapportate al c.d. cyberspazio, variamente correlato all'idea di delocalizzazione. Un non luogo di incerto inquadramento ed insondabile, che renderebbe ardui gli accertamenti e per agire nel quale dovrebbero essere riscritte le regole di ingaggio.

Bene: lo spazio virtuale non esiste. Non esiste un mondo virtuale e parallelo – anche se ormai parlare di cloud è abituale; abituale ma fuorviante, in quanto i problemi sulla competenza in relazione al cloud devono essere correttamente impostati in chiave teorica e quindi giuridica.

Ogni cloud è collocato su un server ed ogni server ha un indirizzo; se questo indirizzo è ignoto, il problema è diverso. È ignoto ma esiste ed è collocato in uno Stato, così che, per eseguire atti di indagini, occorre “fare i conti” con la giurisdizione di tale Stato.

In linea teorica, anche se è una scelta inefficace, non semplice e non rapida, se l'Autorità giudiziaria conosce l'indirizzo di un server per acquisire un documento potrà disporre la perquisizione dello stesso (se è in Italia) o inoltrare richiesta di perquisizione se si trova all'estero. Di fatto, è una scelta spesso non compatibile con le esigenze e i tempi dell'indagine informatica penale.

La prospettiva per superare questa – oggettiva – criticità è di considerare il rapporto con il gestore del server.

Ovunque sia il server, il gestore lo sa; certo, il gestore può essere anche all'estero (frequentemente lo è) ma tale soggetto è spesso, spessissimo, identificabile, contattabile e legittimamente “aggredibile”. Potrebbe avere – non necessariamente ma potrebbe averlo – un interesse a collaborare e nei suoi confronti possono essere utilizzati tutti gli strumenti di acquisizione della prova, nazionali come internazionali.

Il punto è allora non dove sono i dati ed i documenti ma quali strumenti di acquisizione possono essere utilizzati per acquisire dati e documenti telematicamente accessibili anche da territorio nazionale.

Ciò, ovviamente, nel caso in cui il gestore dei dati non possa/voglia collaborare all'acquisizione e ci si debba confrontare con un'estensione del concetto di domicilio informatico che includa anche le aree a disposizione sul cloud (rectius su un server estero non direttamente raggiungibile con strumenti “fisici” ma solo per via telematica).

Quali strumenti giuridici sono legittimamente, concretamente ed efficacemente utilizzabili in questi casi per acquisire in tempi accettabili i documenti informatici?

L'art. 234-bis c.p.p. è sostanzialmente, la risposta (un tentativo di risposta?) a questa domanda.

Il legislatore del 2015 ha inserito la disposizione di cui all'art.234-bis c.p.p. tra i mezzi di prova; probabilmente avrebbe potuto inserire tale articolo tra i mezzi di ricerca della prova, sottolineando la finalità dell'atto più che l'esito della ricerca stessa.

Apparentemente, nel codice vi era già una disposizione sovrapponbile a quella del 234-bis: l'art. 234 c.p.p., in tema di prova documentale.

Confrontiamole:

Ora, se il legislatore ha ritenuto di affiancare all'art. 234 c.p.p. l'art. 234-bis c.p.p. una ragione ci deve essere. Un documento anche informatico poteva già essere acquisito in base all'art. 234 c.p.p., così che la chiave di lettura della nuova disposizione è, sostanzialmente, tutta in un avverbio: sempre.

Il sempre si riferisce non all'oggetto ma alla collocazione del documento o del dato e, soprattutto, allo strumento di acquisizione. Non più e non solo lo strumento dell'assistenza internazionale nelle sue varie forme. Il consenso – vedremo quale e di chi – rende legittima l'acquisizione ( con alcuni limiti estrinseci) in tutti i casi.

Inoltre, ciò che non è sottointeso dalla norma è di maggiore importanza rispetto al contenuto espresso. L'uso del sempre esclude che l'acquisizione su base consensuale all'estero possa determinare certamente una nullità dell'atto (atteso che le nullità devono essere comunque tassative) e pone le basi per escludere anche ipotesi di inutilizzabilità. C'è, casomai, un problema di effettività della norma: ma di nuovo è un problema diverso.

Si tratta quindi di una disposizione nuova – anzi dirompente – in quanto legittima un nuovo strumento di acquisizione, avente un oggetto, al contrario, non troppo dissimile a quello già previsto dall'art. 234 c.p.p.

Alcune riflessioni devono essere proposte in relazione al concetti di acquisizione di dati e documenti conservati – ossia memorizzati – anche all'estero.

L'art. 234-bis c.p.p., usando il termine acquisizione esclude la necessità che il dato o documento debba essere oggetto di sequestro; sequestro che poi difficilmente potrebbe essere ritenuto compatibile con il “rispetto” della giurisdizione di altri stati. Al contrario, l'acquisizione su base consensuale potrà essere effettuata anche dalla P.G. di iniziativa ovvero dal difensore nell'ambito delle indagini difensive (oltre che dall'Autorità giudiziaria).

Il problema, inutile negarlo, non è tanto di chi chiede ma di chi decide di rispondere.

Sul punto vale la pena di ricordare che la suprema Corte, in epoca remota, già si era espressa nei seguente termini, su un tema analogo: Qualora […] si tratti semplicemente di apprendere o conservare cose pertinenti al reato che non sono di proprietà altrui ovvero si tratti di conservare cose spontaneamente consegnate da altri, che non ne pretenda la restituzione, non è necessario procedere al sequestro, non occorrendo porre su di esse un vincolo di indisponibilità in contrasto con l'altrui proprietà o possesso: in tali ipotesi la polizia giudiziaria, nell' esercizio dei poteri conferiti della legge, procede all'apprensione e conservazione delle cose pertinenti al reato in piena libertà di forme purché idonee allo scopo e previa verbalizzazione delle relative attività. Ne consegue che i reperti così appresi e conservati sono utilizzabili in giudizio come fonti di prove (Cass. pen., n. 6252/1994).

Ovviamente, P.G. e difensore dovranno garantire l'autenticità dei dati e la provenienza dei medesimi, assicurando la “catena di custodia” di quanto acquisito. L'acquisizione deve pertanto avvenire con modalità forensi, utilizzando sistemi software in grado di garantire l'integrità e la genuinità del dato informatico acquisito da remoto.

In effetti, per il documento “tradizionale” la fase acquisitiva era fondamentalmente irrilevante, sul piano tecnico/operativo, trattandosi di una mera “apprensione”. Al contrario per il documento informatico l'aspetto tecnico dell'acquisizione e le garanzie che devono essere assicurate costituiscono temi assolutamente nuovi e significativi.

Almeno due le questioni che in prima battura devono essere affrontate. In primo luogo per acquisizione deve intendersi la formazione della copia o del duplicato del documento informatico? L'art. 1, lett. i), rispettivamente quater e quinquies del d.lgs. 82/2005 prevede la definizione di copia e di duplicato informatico. Per la prima si intende il documento informatico avente contenuto identico a quello del documento da cui è tratto su supporto informatico con diversa sequenza di valori binari, laddove la seconda è il documento informatico ottenuto mediante la memorizzazione, sullo stesso dispositivo o su dispositivi diversi, della medesima sequenza di valori binari del documento originario. Una definizione, quest'ultima, che verosimilmente risulta maggiormente rispondente alle finalità della acquisizione di cui all'art. 234-bis c.p.p.

Il secondo problema riguarda la natura dell'acquisizione: si tratta di un rilievo tecnico o accertamento? In concreto: si tratta di attività che non implica un'elaborazione critica di dati, che si sostanzia in una semplice osservazione, misurazione e descrizione di dati e dei documenti o di attività che comporta valutazioni ed elaborazioni critiche? La risposta non può, in realtà, essere univoca per il semplice fatto che il costante, progressivo ed irreversibile progresso tecnico può rendere in un breve arco temporale “seriale” ed acritico ciò che sino a oggi può non apparire tale. Deve comunque farsi riferimento ai principi generali espressi dall'art. 354 c.p.p.

Il confronto tra la disposizione dell'art. 234-bis c.p.p. e l'art. 32 della Convenzione di Budapest assume particolare interesse considerando anche l'ambito di applicazione – in effetti l'art 234-bis c.p.p. è norma generale del sistema, utilizzabili per gli accertamenti su qualsiasi reato – e le indicazioni in tema di legittimazione a prestare il consenso.

In tema di legittimazione al consenso, secondo il richiamato art. 32 il richiedente può ottenere i dati informatici se: ottiene il consenso lecito e volontario del soggetto legalmente autorizzato a trasmettere tali dati attraverso detto sistema informatico. Differente la formula dell'art 234-bis c.p.p.: l'acquisizione è consentita sempre ed a chiunque sulla base del consenso prestato dal legittimo titolare.

Chi è il titolare: il soggetto che detiene e gestisco o quello che genera ed al quale è riferibile il dato?

Secondo il c.d. codice della privacy (segnatamente art. 4 lett. f) d.lgs. 196/2003) è titolare la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza.

Il riferimento alle indicazioni del d.lgs. 196/2003 ha suscitato alcune legittime critiche: si tratterebbe di un concetto di derivazione europea (dalla direttiva sulla protezione dei dati personali 95/46 Ce) applicabile solo ad contesto europeo, non applicabile ai soggetti non propriamente titolari del trattamento (si pensi ai dati informatici associati ad account email non riconducibili direttamente a persone fisiche individuate o individuabili, come tali anonimi; dati tra l'altro spesso di grande interesse investigativo). Inoltre, la scelta di indicare nella norma non il titolare del trattamento ma solo il semplice titolare potrebbe non essere stata casuale.

Una più che ragionevole alternativa – che tiene conto in termini realistici dei rapporti di forza, a livello nazionale come internazionale, tra autorità giuidiziarie e operatori del settore dell'informatica e delle comunicazioni – può derivare dall'identificazione del titolare sulla base degli accordi contrattuali tra società e clienti. Un titolare quindi individuabile sulla base del contenuto degli accordi e dei contratti stipulati tra utenti e società in occasione dell'attivazione del servizio.

Accordi e contratti nell'ambito dei quali i grandi player internazionali del settore comunicazioni ed i più diffusi internet service provider delineano e regolamentano il potere ed il diritto di disporre dei dati informatici degli utenti.

In tale logica, indipendentemente dal soggetto materialmente inserisce dati, se il contratto prevede che il provider sia autorizzato a divulgare dati in determinate occasioni, il legittimo titolare, ai sensi dell'art. 234-bis c.p.p., deve essere individuato nel provider stesso, in quanto gestore dei dati, in quanto si tratta del soggetto al quale competono le decisioni in ordine al trattamento dei dati.

Inoltre, se il consenso potesse essere prestato dal soggetto sul quale vertono le indagini- laddove quest'ultimo abbia immesso i dati e/o documenti, quando potrebbe esserci in concreto il consenso e che significato assumerebbe la norma? Si tratterebbe di una disposizione sostanzialmente priva di efficacia, specie se rapportata alla effettive ragioni (contrasto al terrorismo internazionale) per la quale la stessa è stata introdotta.

Si deve pertanto prendere atto che l'art. 234-bis c.p.p. è non contiene solo una alternativa istituzionalizzata allo strumento della rogatoria internazionale ma anche una deroga al sistema di cooperazione in ambito europeo e internazionale, che pure già consente una rapida circolazione di prove documentali di questo genere.

L'art.234-bis c.p.p. prescinde da ogni accordo/coordinamento tra Stati ma ha una base “privatistica” modulata sul rapporto tra l'autorità giudiziaria che svolge le indagini e la società privata o l'ente che detiene i dati all'estero.

La società che detiene legittimamente – ovunque fisicamente si trovino – dati o documenti potrà decidere di consentirne l'acquisizione. È un problema di scelte aziendali e di riflessi che tali scelte potranno avere sul mercato: il titolare/detentore dei dati dovrà decidere aprioristicamente se collaborare con le Autorità giudiziarie e in base a tale scelta ( formalizzata negli accordi con i clienti) potrà avere/non avere un numero elevato di fruitori di servizi. In questa prospettiva la collocazione fisica del server è scarsamente rilevante, perché ciò che conta è l'interlocutore dell'Autorità giudiziaria che a quel server può accedere e la “politica” che tale interlocutore vorrà attuare.

In generale, l'art. 1 lett. p) d.lgs. 7 marzo 2005, n. 82 (Codice dell'amministrazione digitale) definisce documento informatico la rappresentazione informatica di atti, fatti o dati giuridicamente rilevanti.

A sua volta l'art. 1 lett. b). della Convenzione di Budapest definisce dato informatico qualunque presentazione di fatti, informazioni o concetti in forma suscettibile di essere utilizzata in un sistema computerizzato, incluso un programma in grado di consentire ad un sistema computerizzato di svolgere una funzione.

L'art. 234-bis c.p.p. consente l'acquisizione di documenti e dati informatici conservati all'estero, anche diversi da quelli disponibili al pubblico.

È quindi possibile acquisire:

• dati disponibili al pubblico
• dati non disponibili al pubblico.

I primi sono quelli che, ovviamente, non suscitano sostanziali problemi. In base al d.lgs. 82/2005, art. 1 lett. o) si intende per disponibilità la possibilità di accedere ai dati senza restrizioni non riconducibili a esplicite norme di legge. Il dato pubblico è quello, ex art. 1 lett. n) cit. – conoscibile da chiunque.

Il legislatore ha pertanto evocato materiale informatico (informazioni, documenti, foto, e messaggi in chiaro dei social network, ovunque allocati) disponibile e fruibile on line ogni qual volta il proprietario o l'interessato abbia ritenuto di condividerli con un numero indeterminato di soggetti. Si pensi, ad esempio, ai dati relativi ai profili pubblici sui social network, ai messaggi nei gruppi di discussione, al contenuto di un sito web o di un blog o alle immagini pubblicate su piattaforme di condivisione

Per tutti questi dati e documenti si pongono indubbiamente due problemi, per altro non specifici dell'attività delineata dall'art. 234-bis c.p.p. Da un lato, la riferibilità soggettiva degli stessi (tema non affrontato, neppure indirettamente dall'art. 234-bis c.p.p. ma comune per altro a tutti gli accertamenti informatici/telematici). Dall'altro, le modalità di acquisizione e le garanzie connesse a tale acquisizione; nondimeno, la norma non ha indicato o richiamato standard tecnici espressi.

Non possono esservi dubbi sul fatto he l'attenzione sul piano ermeneutico debba concentrarsi sui dati non pubblici.

Questi ultimi possono essere individuati nei dati informatici non condivisi pubblicamente con una pluralità di individui, in quanto allocati in aree accessibili on line solo a mezzo di credenziali di autenticazione o comunque protetti a mezzo di tecniche di cifratura (es. dati gestiti tramite aree cloud).

Tra questi rientrano indubbiamente i c.d. metadati, ossia le informazioni, memorizzate sui server dei soggetti che forniscono servi informativi, con oggetto, tra l'altro la struttura tecnica di un file, la creazione, modifica, scambio, cancellazione, diffusione di file, ed i dati relativi alle connessioni, all'accesso, alla durata e all'attività di un utente su una piattaforma informatica.

Grande rilievo assumono in tale ambito i dati relativi a comunicazioni e corrispondenza (es. chat) e quelli relativi alle caselle di posta elettronica. Il dubbio, apparentemente legittimo riguarda la possibilità, con il consenso del gestore, di acquisire dati relativi alle comunicazioni collocati su server esteri.

Al riguardo, tuttavia, se consideriamo i dati scambiati in tempo reale e relativi a contenuti di comunicazioni con riguardo al principio di cui all'art. 15 Cost., pare arduo ritenere – anche sul piano sistematico – che l'art 234-bis c.p.p. consenta deroghe alla disciplina in tema di acquisizione dei file di log ed ai limiti temporali stabiliti dall'art. 132 d.lgs. 196/2003, come modificato dall'art. 2 d.lgs. 109/2008, in base al quale sono acquisibili file di log risalente ad un periodo massimo, risalente nel tempo, di mesi 12. Sarebbe singolare poter acquisire da un server estero dati su comunicazioni con maggiore “ampiezza” rispetto alla disciplina specifica di cui al d.lgs. 196/2003.

I dubbi non si fermano ovviamente al tema dei file di log. Vi è – almeno – ancora un aspetto di grande rilievo da affrontare: è possibile utilizzare l'art. 234-bis c.p.p. per acquisire anche da una società estera i dati e le informazioni oggetto di comunicazione o di corrispondenza scambiati in tempo reale tra due o più soggetti, ovunque gli stessi si trovino ?

Il problema si pone in quanto vi è la possibilità – in molto casi la certezza – che le comunicazioni ed i messaggi on line restino memorizzati sui server delle società di gestione dei servizi prima della lettura da parte dei destinatari ed a volte anche in seguito. Peraltro, ogni sistema di posta elettronica è caratterizzato da differenti funzionalità al riguardo, così che non è possibile, sul piano tecnico, fornire una risposta univoca. Risposta che al contrario deve essere fornita sul piano normativo: con quali strumenti procedurali sarà possibile fare “entrare” nel procedimento tali comunicazioni Solo nell'ambito di intercettazione telematica ex art. 266-bis c.p.p.? Utilizzando l'art. 254-bis c.p.p. o proprio l'art. 234-bis c.p.p.?

Occorre partire dalla distinzione tra intercettazione telematica e sequestro della posta elettronica. Una distinzione ipotizzata in base a due criteri alternativi; da un lato un criterio temporale, in base al quale la disciplina delle intercettazioni sarebbe applicabile solo quando la captazione dell'email avviene in tempo reale o in maniera contestuale alla sua trasmissione. Dall'altro, una distinzione legata alla natura dell'attività: la disciplina delle intercettazioni dovrebbe essere utilizzata a fronte di acquisizioni occulte, mentre il sequestro sarebbe indubbiamente atto a sorpresa, ma evidente e garantito.

Purtroppo, le indicazioni che giungono dalla giurisprudenza non consentono di fugare ogni dubbio: ma forse almeno uno si.

Nel caso di duplicazione della casella di posta elettronica da parte del gestore del relativo servizio, con l'inoltro di tutte l'email direttamente sul server della Procura della Repubblica, (c.d. reindirizzamento) ci troviamo davanti ad una intercettazione.

In tempi non lontanissimi la suprema Corte (Cass. pen., 24919/2014) ha precisato che non sarebbe applicabile la disciplina dettata dall'art. 254 c.p.p., bensì quella ordinaria in materia di sequestro, con riferimento a lettere o pieghi non ancora avviati dal mittente al destinatario o già ricevuti da quest'ultimo, poiché tali oggetti non costituirebbero "corrispondenza", implicando tale nozione un'attività di spedizione in corso o comunque avviata dal mittente mediante la consegna del plico a terzi per il recapito. Un principio apparentemente trasponibile anche alle comunicazioni telematiche.

Sul punto, per altro, la l. 48/2008 ha inserito l'art. 254-bis c.p.p. che estende l'applicabilità del sequestro di corrispondenza alle missive inviate anche per via telematica: la posta elettronica ed i suoi surrogati rientrano nel concetto di corrispondenza tradizionalmente intesa. Stabilisce la norma (Sequestro di dati informatici presso fornitori di servizi informatici, telematici e di telecomunicazioni) che l'autorità giudiziaria, quando dispone il sequestro, presso i fornitori di servizi informatici, telematici o di telecomunicazioni, dei dati da questi detenuti, compresi quelli di traffico o di ubicazione, può stabilire, per esigenze legate alla regolare fornitura dei medesimi servizi, che la loro acquisizione avvenga mediante copia di essi su adeguato supporto, con una procedura che assicuri la conformità dei dati acquisiti a quelli originali e la loro immodificabilità. In questo caso è, comunque, ordinato al fornitore dei servizi di conservare e proteggere adeguatamente i dati originali.

Una disposizione che implica la possibilità – nei casi previsti dall'art. 366, comma 2, c.p.p. – per il P.M. di disporre, con decreto motivato, per gravi motivi che in caso di sequestro, il deposito degli atti per il difensore e l'esercizio della facoltà per quest'ultimo siano ritardati, senza pregiudizio di ogni altra attività del difensore, per non oltre trenta giorni.

La situazione si è “complicata”, nel momento in cui la suprema Corte, (Cass. pen., 50452/2015, nota di PARODI, Intercettazioni di blackberry: una risposta e molte altre domande) ha affermato che in materia di utilizzazione di messaggistica con il sistema BlackBarry PIN to PIN, sarebbe corretto acquisire i contenuti mediante intercettazione ex art. 266-bis c.p.p. delle chat anche se non contestuali. La chat dovrebbe essere così assimilata ad un flusso di comunicazioni, non potrebbe essere considerata alla stregua di una corrispondenza privata e non potrebbe – conseguentemente – poter essere oggetto di un semplice sequestro.

Un aspetto, nondimeno, parrebbe difficilmente indiscutibile: non può ritenersi possibile acquisire la posta elettronica in “giacenza” a mezzo dell'art. 234-bis c.p.p., in quanto sia che le stessa sia ricondotta alla categoria flusso di comunicazioni che corrispondenza deve ritenersi applicabile la disciplina specifica – e garantita – prevista per la presa di “conoscenza” del contenuto delle stesse ( ossia intercettazioni o sequestro).

• Con l'art. 234-bis c.p.p. è possibile effettuare acquisizioni di dati e documenti informatici anche all'estero e anche se non pubblici.
• Condizione per l'acquisizione è il consenso del titolare, da intendersi allo stato come soggetto individuato su base contrattuale per il trattamento e la gestione dei dati .
• La norma non prevede ipotesi di nullità o inutilizzabilità, anche se deve essere sottoposta ancora la vaglio della suprema Corte.
• È difficilmente ipotizzabile la possibilità di acquisire sulla base dell'art 234-bis c.p.p. file di log o comunicazioni telematiche in deroga ai principi previsti dal codice di procedura penale o dal d.lgs. 196/2003

ATERNO, L'acquisizione di dati personali tra misure antiterrorismo e intromissioni nella privacy, in archiviopenale.it;

KOSTORIS, Il nuovo 'pacchetto' antiterrorismo, tra prevenzione, constrasto in retee centralizzazione delle indagini, in Dir. pen. cont.