La perquisizione informatica e la perquisizione “da remoto”

18 Ottobre 2017

La perquisizione informatica, quale tipologia particolare di accertamento informatico, è uno strumento di indagine cui l'autorità inquirente fa sempre più spesso ricorso per l'esplorazione di sistemi informatici di interesse investigativo. La possibilità – riconosciuta dalla giurisprudenza – di ricorrere all'ausilio di captatori informatici per eseguire da remoto (e dunque all'insaputa dell'indagato) siffatte operazioni, pone dubbi interpretativi in ordine alla disciplina concretamente applicabile ed alle garanzie difensive che devono essere riconosciute.
Abstract

La perquisizione informatica, quale tipologia particolare di accertamento informatico, è uno strumento di indagine cui l'autorità inquirente fa sempre più spesso ricorso per l'esplorazione di sistemi informatici di interesse investigativo. La possibilità – riconosciuta dalla giurisprudenza – di ricorrere all'ausilio di captatori informatici per eseguire da remoto (e dunque all'insaputa dell'indagato) siffatte operazioni, pone dubbi interpretativi in ordine alla disciplina concretamente applicabile ed alle garanzie difensive che devono essere riconosciute.

Gli accertamenti informatici

Le metodologie utilizzate nelle c.d. indagini informatiche rappresentano una delle ultime frontiere dell'investigazione penale. L'utilizzo dei sistemi informatici e telematici comporta normalmente il rilascio di “tracce” che possono rivelarsi fonti di preziose informazioni, sia per gli organi inquirenti sia per la difesa dell'indagato. Il recupero e la lettura di tali tracce sono possibili attraverso il ricorso a strumenti e tecniche che formano una disciplina denominata computer forensics. Essa è tuttavia anche fonte di dubbi applicativi e contrasti interpretativi, sia per quanto attiene ai metodi e alle procedure per l'acquisizione della prova, sia per quanto riguarda la natura degli accertamenti implicati.
Uno dei problemi più importanti con cui ci si deve confrontare riguarda il rischio, tutt'altro che remoto, che durante le operazioni volte a recuperare e conservare gli elementi di prova digitale, ne vengano compromesse genuinità e integrità, con la conseguente dispersione e inutilizzabilità del risultato così ottenuto.
L'accertamento informatico deve dunque svolgersi o nella prospettiva di una possibile successiva ripetibilità dell'operazione o, comunque, ove la ripetibilità non possa essere garantita, in modo da consentire la verificabilità in contraddittorio della genuinità del dato informatico.
Per minimizzare il rischio di alterazione della fonte di prova, l'accertamento informatico viene di preferenza eseguito su una copia dei dati contenuti nella fonte (c.d. copia forense dei dati), pur essendo possibile – con l'adozione di adeguate precauzioni – eseguire accertamenti e rilievi direttamente sulla fonte originale. Tale esigenza si presenta oggi sempre più frequentemente sia per la diffusione delle apparecchiature informatiche (che impone una selezione anticipata di quelle da sottoporre a sequestro probatorio), sia per la delicatezza delle funzioni ad esse demandate (si pensi ad es. al sistema informativo di un ospedale che non può essere certo sottoposto a sequestro integralmente a fronte della sola necessità di acquisire alcune cartelle cliniche in esso archiviate).

Le copie forensi sono file compressi – tecnicamente analoghi ai file zip comunemente realizzati con l'omonimo software – codificati tuttavia in modo da rendere rilevabili eventuali alterazioni accidentali del loro contenuto. Parliamo in questo caso di integrità tecnica del contenuto della copia, mentre per garantire il requisito della integrità giuridica (richiamato dalle numerose norme introdotte nel codice dalla legge 18 marzo 2008, n. 48 -– ossia la legge attuativa della Convenzione di Budapest sul cybercrime – in tema di ispezioni, perquisizioni e sequestri di dati) è necessario calcolare e mettere a verbale – in sede di esecuzione della copia originale – il c.d. codice hash della copia. È quest'ultimo un numero che identifica univocamente la copia stessa e che permetterà di verificare successivamente in sede di dibattimento, o comunque ove sorgessero contestazioni, l'integrità della copia stessa. Si noti peraltro che secondo la Suprema Corte l'eventuale omessa adozione di tale procedura non comporta di per sé l'inaffidabilità delle operazioni compiute e conseguente inutilizzabilità delle evidenze informatiche raccolte (sul punto vd. Cass. pen., Sez. III, 28 maggio 2015, n. 37644).

Natura degli accertamenti informatici

La prima questione che occorre affrontare è quella di comprendere fino a che punto le tecniche utilizzate per estrarre la copia di un file dal computer posto sotto sequestro, seppur non distruttive, riescano a garantire la conformità del dato acquisito rispetto all'originale, assicurando che quest'ultimo non venga alterato attraverso contaminazioni tali da impedire ulteriori autonome verifiche. Il rischio sarebbe dunque quello di trovarsi ad analizzare un supporto con tracce modificate in seguito agli accertamenti già esperiti.

Così, autorevole dottrina (RICCI; LUPÀRIA) sostiene, in ciò criticando i più recenti arresti della giurisprudenza della Cassazione, che l'unica via davvero praticabile al fine di evitare la dispersione e l'inutilizzabilità del materiale probatorio informatico raccolto, sarebbe quella di ricorrere all'accertamento tecnico irripetibile, limitando così i pericoli di compromissione della sua genuinità.

Si evidenzia in particolare come il pericolo che il supporto informatico, sul quale si compiono determinate attività, subisca modifiche irreversibili, dimori nella stessa dimensione virtuale in cui si opera. Trattasi, infatti, di tracce immateriali, caratterizzate da evidente fragilità e volatilità, di modo che la loro propensione alla modificazione, alterazione, danneggiamento o distruzione è considerevole.

Tale posizione, che potremmo definire “massimalista”, non sembra tener conto però, da un lato, del fatto che l'attività di estrazione di copia di files, è attività che, proprio perché “ricognitiva” e “meccanica”, di constatazione, raccolta, e prelievo di dati, potrebbe essere ricondotta alla categoria non già degli accertamenti, bensì dei rilievi - o comunque delle operazioni materiali - i quali non sono sussumibili sotto il fuoco del 360 c.p.p. (ex alios: Cass. pen., n. 301/1990, Duraccio; Cass. pen., n. 4017/1997, Pata; e Cass. pen., n. 632/2007, Curcio) e, dall'altro lato, del fatto che lo stesso Legislatore, a torto o a ragione, contempla ipotesi di indagini informatiche che possono ben essere espletate in assenza di previo avviso al difensore, e comunque senza il rispetto delle garanzie del 360 c.p.p. (vds. in particolare artt. 354, comma 2; 247, comma 1-bis; 244, comma 2, ult. periodo; 254-bis e 260, comma 2, c.p.p.).

A ciò si aggiunga che la giurisprudenza della Suprema Corte pare attestarsi pacificamente su posizioni opposte a quelle della citata dottrina, affermando il principio secondo cui «Non dà luogo ad accertamento tecnico irripetibile l'estrazione dei dati archiviati in un computer, trattandosi di operazione meramente meccanica, riproducibile per un numero indefinito di volte» (vds., ex plurimis, Cass. pen., Sez. I, 26 febbraio 2009, n. 11863; Cass. pen., Sez. II, 19 febbraio 2015, n. 8607, Apicella e Cass. pen., Sez. II, 4 giugno 2015, n. 24998, Scanu).

In senso conforme anche Cass. pen., Sez. I, 5 marzo 2009, n. 14511, secondo cui: «Non rientra nel novero degli atti irripetibili l'attività di estrazione di copia di file da un computer oggetto di sequestro, dal momento che essa non comporta alcuna attività di carattere valutativo su base tecnico-scientifica, né determina alcuna alterazione dello stato delle cose, tale da recare pregiudizio alla genuinità del contributo conoscitivo nella prospettiva dibattimentale, essendo sempre comunque assicurata la riproducibilità d'informazioni identiche a quelle contenute nell'originale»; e Cass. pen., Sez. unite, 25 febbraio 2010, n. 15208, Mills, in motivazione.

La giurisprudenza della Suprema Corte pare dunque voler assimilare l'estrazione di copia forense del contenuto di supporti informatici alla effettuazione di semplici rilievi (o operazioni meramente meccaniche), peraltro di regola ripetibili, come tali assoggettati alla disciplina meno garantita di cui agli artt. 354 o 359 c.p.p.

Ciò non toglie tuttavia che il pubblico ministero, nonostante l'acclarata ripetibilità dell'accertamento, possa ugualmente optare per lo svolgimento delle operazioni nelle forme più garantite di cui all'art. 360 c.p.p., consentendo all'indagato ed al suo difensore di intervenire nominando un proprio consulente: tale soluzione è a nostro avviso consigliabile in tutti i casi in cui la partecipazione dell'indagato non sia di ostacolo alla segretezza dell'indagine, sia perché consente all'organo inquirente di beneficiare dell'apporto delle altre parti nella scelta delle modalità più sicure per l'espletamento dell'operazione, sia perché in tal modo verrebbe evitato il pericolo di una successiva declaratoria dibattimentale di nullità, per omissione degli avvisi ex art. 360 c.p.p., sulla base di una presunta irripetibilità dell'accertamento, con conseguenti negative ricadute sull'intera indagine: pericolo ad oggi apparentemente solo teorico ma pur sempre concretizzabile, anche a motivo di possibili revirements giurisprudenziali.

Perquisizione informatica

Vi sono casi in cui, anziché procedere attraverso l'estrazione di copia forense del contenuto di sistemi informatici, appare preferibile, vuoi per ragioni tecniche vuoi per motivi di urgenza o di opportunità, procedere direttamente all'analisi del contenuto di un sistema informatico, senza estrarne preliminarmente copia. In tali casi, di regola, si procederà attraverso l'esecuzione di una perquisizione informatica.

Secondo quanto previsto dal comma 1-bis dell'art. 247 c.p.p. «quando vi è fondato motivo di ritenere che dati, informazioni, programmi informatici o tracce comunque pertinenti al reato si trovino in un sistema informatico o telematico, ancorché protetto da misure di sicurezza, ne è disposta la perquisizione, adottando misure tecniche dirette ad assicurare la conservazione dei dati originali e ad impedirne l'alterazione».

Inoltre, è anche previsto che la polizia giudiziaria possa procedere di iniziativa a perquisizione informatica, sia nei casi di flagranza di reato, sia nel caso in cui si debba procedere all'esecuzione di un'ordinanza che dispone la custodia cautelare o di un ordine che dispone la carcerazione nei confronti di persona imputata o condannata per uno dei delitti previsti dall'art. 380 c.p.p., sia ancora nel caso di esecuzione del fermo di indiziato di delitto, e sempreché sussistano particolari motivi di urgenza che non consentano l'emissione di un tempestivo decreto di perquisizione da parte del P.M. In siffatte ipotesi, ai sensi dell'art. 352, comma 1-bis, c.p.p. «gli ufficiali di polizia giudiziaria, adottando misure tecniche dirette ad assicurare la conservazione dei dati originali e ad impedirne l'alterazione, procedono altresì alla perquisizione di sistemi informatici o telematici, ancorché protetti da misure di sicurezza, quando hanno fondato motivo di ritenere che in questi si trovino occultati dati, informazioni, programmi informatici o tracce comunque pertinenti al reato che possono essere cancellati o dispersi».

Le garanzie richieste sono naturalmente quelle previste per la perquisizione “ordinaria”, quali disciplinate dagli artt. 247 e segg., c.p.p., nonché dagli artt. 352, 356, 365, 366, 369 e 369-bis, c.p.p., e 114 disp. att. c.p.p.

Occorrerà quindi un decreto motivato (Cass. pen., Sez. VI, 6 aprile 1993, n. 1012, Caputi) dell'autorità giudiziaria che indichi la sommaria enunciazione dei fatti reato per i quali si procede (ex alios: Cass. pen., Sez. I, 14 gennaio 1994, ord. n. 195, Corona) e la sussistenza dei presupposti legittimanti l'esecuzione dell'atto, salvi i casi di perquisizione eseguita di iniziativa dalla polizia giudiziaria, per i quali comunque il pubblico ministero dovrà procedere, ricorrendone i presupposti, alla convalida della perquisizione nei termini ristretti di cui all'art. 352, comma 4,c.p.p. (48 ore dalla trasmissione del verbale da parte della polizia giudiziaria, che a sua volta dovrà averlo trasmesso al P.M. entro 48 ore dall'esecuzione). Il difensore dell'indagato nei cui confronti viene eseguita la perquisizione, ha facoltà di assistere al compimento dell'atto, senza diritto di essere preventivamente avvisato, sia nel caso di perquisizione disposta dal p.m. (art. 365, comma 2, c.p.p.) sia in quello di perquisizione eseguita di iniziativa dalla polizia giudiziaria (art. 356 c.p.p.). Inoltre, in entrambe le ipotesi, l'indagato, se presente, dovrà essere avvisato della sua facoltà di farsi assistere dal difensore nel corso del compimento dell'atto (art. 365, comma 1, c.p.p., per la perquisizione del P.M., e art. 114 disp. att.c.p.p., per quella di P.G.), benché lo stesso non abbia diritto al preavviso: nel caso il difensore, contattato dal suo assistito, manifesti l'intenzione di presenziare all'esecuzione della perquisizione, non sarà comunque necessario attendere il suo arrivo per dare inizio all'espletamento dell'atto (Cass. pen., Sez. I, 20 gennaio 1993, n. 205, Mattiuzzi e Cass. pen., Sez. I, 20 gennaio 1993, n. 205, Torcaso).

Trattandosi comunque di atto al quale il difensore ha diritto di assistere, il verbale della perquisizione dovrà essere depositato entro il terzo giorno successivo al compimento dell'atto, ai sensi dell'art. 366 c.p.p., presso la segreteria del P.M., con facoltà per il difensore di esaminarlo ed estrarne copia nei cinque giorni successivi. Nel caso poi in cui il difensore non sia stato avvisato del compimento dell'atto (come di regola accade, specie allorché l'indagato non sia presente nel momento in cui viene eseguita la perquisizione), il P.M. dovrà notificargli l'avviso di deposito e il termine di cinque giorni decorrerà dal ricevimento della notificazione.

Inoltre, ove non sia già stata inviata precedentemente (ove cioè nel corso delle indagini preliminari sia già stato precedentemente compiuto un atto al quale il difensore aveva diritto di assistere), il pubblico ministero deve inviare all'indagato l'informazione di garanzia (art. 369 c.p.p., secondo il quale tale comunicazione deve essere inviata anche alla persona offesa) nonché, a pena di nullità di tutti gli atti successivi, l'informazione sul diritto di difesa (art. 369-bis c.p.p.), tradotta in una lingua comprensibile allo stesso, in caso di indagato alloglotta (art. 143, comma 2, c.p.p.). Secondo l'insegnamento della Suprema Corte non sarebbe necessario il previo inoltro dell'informazione di garanzia in caso di compimento di atti a sorpresa quale la perquisizione (Cass. pen., Sez. unite, 23 feabbraio 2000, n. 7, Mariano; conf. ex multis Cass. pen.,Sez. II, 10 giugno 2008, n. 25694, Caruso e Cass. pen.,Sez. II, 17 marzo 2009,n. 13678, Zaccaria), essendo sufficiente il successivo invio della stessa.

Non è chiaro infine se, all'atto di iniziare la perquisizione informatica, copia del decreto debba essere consegnata all'indagato, se presente, e a chi abbia la disponibilità del luogo, con l'avviso della facoltà di farsi rappresentare o assistere da persona di fiducia, purché questa sia prontamente reperibile. Il dubbio sorge dal fatto che la garanzia in parola è specificamente prevista dall'art. 250 c.p.p. per le perquisizioni locali, tra le quali a rigore non rientrano le perquisizioni informatiche, previste quale autonoma categoria dal co. 1-bis dell'art. 247 c.p.p., a fianco di quelle personali e, appunto, locali (entrambe contemplate al comma 1 della stessa norma). È vero che molto spesso le perquisizioni informatiche vengono disposte ed eseguite contestualmente ad una perquisizione locale, nei luoghi ove si ipotizza che si trovino i sistemi informatici di interesse investigativo (e in tal caso il problema ovviamente non si pone) ma ciò non è sempre necessario: si pensi ad una perquisizione informatica eseguita su computer rinvenuti in luoghi liberamente accessibili, oppure da remoto (su cui v. infra). Vero è peraltro che il codice prevede analoghe garanzie anche per la perquisizione personale (v. art. 249 c.p.p.), dal che si desume che verosimilmente il legislatore del 2008, allorché ha introdotto il comma 1-bis nell'art. 247 c.p.p., ha dimenticato di introdurre altresì una specifica norma – in ipotesi un art. “251-bis c.p.p.” – che disciplinasse le modalità esecutive della perquisizione informatica, al pari di quanto in precedenza già previsto per le altre specie di perquisizione, ossia quella personale (art. 249 c.p.p.) e locale (artt. 250 e 251 c.p.p. per quella domiciliare, quale ipotesi speciale di perquisizione locale). Riteniamo quindi, in virtù di un'interpretazione sistematica delle norme del codice relative alla perquisizione, che anche nel caso di perquisizione informatica l'indagato, se presente, abbia diritto di ricevere copia del decreto di perquisizione e di farsi assistere da persona di fiducia, purché prontamente reperibile.

La norma che disciplina la perquisizione informatica – art. 247, comma 1-bis, c.p.p. – richiede anche che sia assicurata – adottando misure tecniche idonee – la conservazione dei dati originali impedendone l'alterazione. Quid iuris in caso di alterazione del dato originale? La norma in parola non riconnette espressamente ipotesi di nullità o di inutilizzabilità alla violazione del precetto, né sembra applicabile al caso di specie l'art. 191 c.p.p. che, decretando l'inutilizzabilità delle prove acquisite in violazione dei divieti disposti dalla legge, non pare riferirsi al caso di specie dove non è posto alcun divieto bensì è prescritta un'attività in positivo (l'adozione di misure tecniche adeguate). In virtù del principio di tassatività delle cause di nullità (e delle ipotesi di inutilizzabilità) vigente nel nostro sistema, la perquisizione informatica effettuata “maldestramente” – ad esempio provocando negligentemente l'alterazione di alcuni dati presenti sul sistema informatico perquisito, per un uso scorretto degli strumenti o per scarsa conoscenza del sistema – non dovrebbe, a rigore, determinare di per sé l'inutilizzabilità degli elementi di prova cionondimeno raccolti, ma certamente suggerirebbe quanto meno una scarsa affidabilità del risultato acquisito e dunque, in definitiva, la sua inattitudine ad essere speso efficacemente nella dialettica processuale.

Si è accennato al fatto che la perquisizione informatica costituisce un mezzo di ricerca della prova che può rivelarsi molto utile per le indagini, quale alternativa all'acquisizione diretta del sistema informatico mediante effettuazione di copia forense. In particolare ciò si verifica in quanto in tal modo, potendo accedere direttamente al sistema informatico, si assicura un importante risparmio di tempo (la copia forense di un sistema informatico può richiedere anche molte ore) e un'accelerazione delle indagini dovuta alla potenziale raccolta immediata di informazioni utili per il prosieguo dell'attività investigativa, arrecando al contempo un minor pregiudizio al soggetto che subisce la perquisizione (che nel caso di perquisizione su sistemi informatici di grandi dimensioni, quali ad es. quelli installati presso enti pubblici o aziende, potrebbe essere anche ingente: nel caso di un ospedale ad esempio il sequestro del relativo sistema informatico potrebbe creare danni incalcolabili per i pazienti ricoverati o in attesa di cure).

La perquisizione informatica inoltre potrebbe rivelarsi utile in tutti i casi in cui in un determinato luogo si rinvengano numerose apparecchiature informatiche, alcune delle quali soltanto di verosimile interesse investigativo (ad esempio perché la perquisizione viene effettuata in un luogo nella disponibilità di più persone e solo alcune delle apparecchiature rinvenute siano riconducibili all'indagato): un esame sommario del contenuto dell'apparecchiatura – c.d. triage – eseguito in loco (naturalmente adottando procedure che assicurino la non alterazione del sistema) permetterà di verificare se la stessa possa offrire informazioni utili per le indagini (per tornare all'esempio, si potrà accertare, ad es. verificando la cronologia degli accessi in rete e delle pagine consultate, se l'apparecchiatura in esame sia stata utilizzata dall'indagato e se contenga file di interesse). Solo in tal caso si procederà al sequestro del supporto informatico o al sequestro dei dati informatici ivi contenuti attraverso acquisizione di copia forense.

Vi è poi la possibilità che, nel corso di operazioni di polizia giudiziaria, quale ad esempio una perquisizione domiciliare, venga rinvenuto un computer acceso e si sospetti che lo stesso contenga informazioni importanti per il prosieguo delle indagini. In tali casi la sottoposizione a sequestro del computer (spento) e la successiva effettuazione di copia forense, potrebbe risultare non adeguata ad assicurare l'acquisizione di tutti gli elementi di prova in astratto ricavabili dall'analisi di quel computer. Vi sono infatti informazioni allocate sulla memoria temporanea (Ram) del P.C. che andrebbero perse nel caso di spegnimento del dispositivo. Ecco allora che tecniche di analisi applicate a sistemi attivi (live forensics analisys) si possono rivelare molto utili per ovviare all'inconveniente in parola, specialmente nei casi di flagranza di reato, ad esempio per il reato di accesso abusivo a sistema informatico (art. 615-ter c.p.), o per verificare informazioni inserite dall'utente su pagine web dallo stesso visitate (ad esempio in caso di ricerca di uno scomparso che abbia lasciato acceso il computer prima di allontanarsi da casa). In tal caso la polizia giudiziaria delegata per la perquisizione, anziché spegnere il computer, potrà – eventualmente avvalendosi di ausiliario esperto in informatica forense – svolgere accertamenti immediati, avvalendosi di software che assicurino la non alterazione dei dati presenti nel computer oggetto di esame, ed eventualmente ricavare informazioni che sarebbero andate perse altrimenti.

In tali ipotesi non vi è dubbio che l'accertamento assuma i caratteri dell'irripetibilità, stante la difficoltà di assicurare la non alterazione del sistema informatico nel momento in cui si effettua l'analisi. Ecco allora che le norme sopra menzionate che consentono l'effettuazione di perquisizioni su sistemi informatici – ma può venire in rilievo, in caso di urgenza, anche l'art. 354, comma 2, c.p.p. (accertamenti urgenti) o, in caso di attività di mera osservazione, l'art. 244, comma 2, c.p.p. (ispezione) – si rivelano di grande utilità permettendo di fatto – se del caso previa adozione di apposito decreto da parte del P.M. – l'acquisizione e l'analisi della memoria volatile del computer rinvenuto acceso.

Di contro le attività compiute in sede di perquisizione informatica non potranno essere precise come quelle compiute nel corso di un'attività di analisi eseguita in laboratorio, che può richiedere anche mesi: vi può essere cioè il rischio che la perquisizione eseguita in loco non consenta di esaminare in modo esaustivo il contenuto del p.c. o del sistema informatico, con conseguente perdita di informazioni probatoriamente utili.

Perquisizione da remoto

La perquisizione di un sistema informatico può avvenire non solo accedendo in locale sulla macchina il cui contenuto si vuole esplorare, bensì anche in remoto, senza alcun materiale accesso all'hardware di interesse investigativo.

In tali casi ci si avvale di uno specifico software, denominato captatore informatico, o agente intrusore, o trojan (detto anche, in tali casi, trojan di Stato), che, approfittando della connessione internet, viene installato sul computer che si intende perquisire ed ha la capacità di acquisirne il controllo. Tali software sono tecnicamente analoghi ai malware (dall'inglese malicious software) che infestano il cyberspazio, ma sono sotto il controllo della polizia giudiziaria. Attraverso questo strumento è dunque possibile ottenere copia dell'hard disk oggetto di osservazione, monitorare le connessioni internet effettuate dall'utente e i siti web visitati, registrare i tasti digitati sulla tastiera (ad es. per apprendere le password di accesso a determinati siti protetti da misura di sicurezza), intercettare comunicazioni VoIP, e.mail e chat, o attivare le periferiche audio e video per sorvegliare il luogo in cui si trova il computer (ed effettuare quindi un'intercettazione ambientale).

Spesso si è discusso della legittimità del ricorso a tali strumenti per intercettare comunicazioni, anche tra presenti, in modo indiscriminato, al punto che nel 2016 sono intervenute le Sezioni Unite della Suprema Corte (vds. Cass. pen., Sez. unite, 28 aprile 2016, n. 26889, Scurato), precisando che «l'intercettazione di comunicazioni tra presenti mediante l'installazione di un captatore informatico in un dispositivo elettronico è consentita nei soli procedimenti per delitti di criminalità organizzata per i quali trova applicazione la disciplina […] che consente la captazione anche nei luoghi di privata dimora»).

In questa sede peraltro vogliamo soffermarci sul diverso problema della legittimità dell'utilizzazione di trojan di Stato al fine di eseguire, non già intercettazioni ambientali, bensì perquisizioni da remoto (c.d. remote computer searches o online searches), ossia per verificare il contenuto di un hard disk, eventualmente effettuare copia dei files ivi contenuti o dei messaggi di posta elettronica archiviati nel computer, ma non anche per intercettare comunicazioni.

L'Unione europea pare voler avallare tale possibilità: si segnala in particolare come la direttiva 2011/92/Ue (G.U.Ue., 17.12.2011, L 351/1, considerandum 27) sulla lotta alla pedopornografia, contenga un invito rivolto agli Stati membri affinché mettano a disposizione dei rispettivi organi inquirenti degli strumenti investigativi efficaci, tra cui controlli a distanza anche con uso di strumenti elettronici di sorveglianza, ossia, almeno così pare, perquisizioni da remoto.

La dottrina prevalente ha peraltro più o meno aspramente criticato la possibilità di compiere siffatte operazioni, ritenendo che in tal modo non venisse riconosciuta adeguata tutela al domicilio informatico (o riservatezza informatica), quale bene della persona, sussumibile nel catalogo delle libertà fondamentali di rilievo costituzionale, come tale non comprimibile neppure dall'autorità giudiziaria, in assenza di una disciplina legislativa che ne indichi modalità, presupposti, e garanzie, contro arbitrarie intromissioni, anche da parte dei pubblici poteri (GIORDANO; IOVENE; MARCOLINI). Si menziona in proposito – per l'indubbia autorevolezza dell'organo dal quale promana la decisione, benché priva di rilevanza per il nostro ordinamento – una sentenza pronunciata dalla Corte Costituzionale tedesca nel 2008 (Sentenza del Bundesverfassungsgericht, del 27 febbraio 2008, sulla .cd. Online Durchsuchung), la quale, riconoscendo che i dispositivi informatici hanno acquisito un'importanza fondamentale quali strumenti di sviluppo della personalità, ha affermato che, così come il domicilio è tutelato in quanto proiezione spaziale della persona, luogo in cui essa svolge la propria vita privata lontano da occhi indiscreti, anche i “luoghi” informatici o virtuali in cui sono salvati dati, meritano protezione costituzionale.

La nostra Corte di cassazione, nell'unico caso a noi noto in cui si è confrontata specificamente con la questione (Cass. pen., Sez. V, 14 ottobre 2009,n. 16556, Virruso), sembra aver ammesso la legittimità di tale procedura, considerandola quale mezzo di ricerca della prova atipico. In realtà però, nel caso esaminato dalla Corte, la perquisizione era stata effettuata su un sistema informatico che non si trovava all'interno di un domicilio privato bensì era presente in un luogo aperto al pubblico (ufficio pubblico) e dunque rispetto al quale vi era una minore aspettativa di riservatezza.

Il problema secondo noi è che in siffatti casi l'operazione compiuta – i.e. esplorazione di un sistema informatico, vuoi per osservarne il contenuto, vuoi per ricercare tracce o effetti materiali di un reato, vuoi ancora per ricercare (e apprendere mediante acquisizione di copia informatica) cose pertinenti al reato – appare sussumibile a tutti gli effetti nel genere perquisizione informatica (o, a seconda dei casi, ispezione informatica) dalla quale si differenzia unicamente per le modalità occulte con le quali viene attuata. In altre parole l'operazione non viene definita propriamente quale “perquisizione” per il solo motivo che le relative disposizioni codicistiche non risulterebbero facilmente applicabili (si pensi alla facoltà riconosciuta al difensore di assistere al compimento delle operazioni o alla necessità di inviare all'indagato l'informazione di garanzia e sul diritto di difesa, o a quella di effettuare il deposito del verbale in segreteria, o ancora, alla previsione di cui all'art. 250 c.p.p., secondo cui copia del decreto che dispone la perquisizione deve essere consegnato all'interessato o a chi ha la disponibilità dei luoghi) o, ove applicate, vanificherebbero gli scopi dell'operazione stessa, il cui reale vantaggio rispetto ad una perquisizione informatica “tradizionale” è proprio quello di consentire un'acquisizione occulta dei dati informatici di interesse investigativo.

In conclusione

In ogni caso, anche a voler considerare l'attività di esplorazione mediante captatore informatico quale modalità atipica di indagine ex art. 189 c.p.p. (come sostanzialmente ritenuto dalla Cassazione nella citata sentenza Virruso), come tale sottratta alle garanzie partecipative dettate dal legislatore per la perquisizione, riteniamo che il verosimile rilievo costituzionale del bene coinvolto, ossia il domicilio informatico (il quale trova specifica tutela normativa nell'art. 615-ter c.p., come anche riconosciuto dalla Suprema Corte: v. Cass. pen.,Sez. V, 8 maggio 2012, n. 42021), suggerisce l'opportunità che il ricorso al captatore informatico per l'esplorazione dei contenuti di un sistema informatico sia sempre accompagnata dall'adozione, da parte del pubblico ministero (o anche del GIP, se specificamente richiesto dal p.m., ad esempio contestualmente alla richiesta di autorizzazione alle intercettazioni di comunicazioni a mezzo trojan), di uno specifico decreto motivato, non diversamente da quanto già a suo tempo previsto dalle Sezioni Unite della Suprema Corte nei casi – differenti ma analoghi – di acquisizione di tabulati contenenti i dati identificativi delle comunicazioni telefoniche (Cass. pen., Sez. unite, 23 febbraio 2000, n. 6, D'Amuri) e di effettuazione di videoriprese relative a comportamenti non comunicativi in luoghi nei quali vi sia un'aspettativa di riservatezza (Cass. pen., Sez. unite, 28 marzo 2006, n. 26795, Prisco), dove pure, venendo in rilievo la lesione di un bene della persona di rilievo costituzionale ex art. 2 Cost. (nella specie, la riservatezza), ancorché non specificamente presidiato da garanzie esplicite quali la riserva di legge o di giurisdizione invece previste a tutela di altri beni garantiti dalla Costituzione (quali lalibertà personale – art. 13 – la libertà del domicilio – art. 14 – e la libertà e segretezza delle comunicazioni – art. 15), la Corte ha comunque richiesto che fosse assicurato un livello minimo di garanzie.

Guida all'approfondimento

Stefano ATERNO, Acquisizione e analisi della prova informatica, in Dir. Pen. Proc., Dossier Processo Penale, 06/2008, 61;

Gianluca BRAGHÒ, Le indagini informatiche fra esigenze di accertamento e garanzie di difesa (testo della relazione presentata al Convegno I delitti dell'informatica. Problemi aperti e prospettive di riforma), in Dir. Inf. 2005, 517;

Gianluca BRAGHÒ, L'ispezione e la perquisizione di dati, informazioni e programmi informatici, in Sistema Penale e criminalità informatica, a cura di Luca Lupària, Giuffrè, 2009, p. 190;

Gerardo COSTABILE Computer Forensics e informatica investigativa alla luce della legge n. 48 del 2008, in Ciberspazio e diritto 2010, vol. 11, n. 3, p. 465

Marcello DANIELE, Il diritto al preavviso della difesa nelle indagini informatiche, in Cass. Pen. 2012, 2, 441;

Luigi GIORDANO, Dopo le Sezioni Unite sul “captatore informatico”: avanzano nuove questioni, ritorna il tema della funzione di garanzia del decreto autorizzativo, in dir. pen. cont. 2017;

Federica IOVENE, Le cd perquisizioni online tra nuovi diritti fondamentali ed esigenze di accertamento penale, dir. pen. cont., 3-4/2014, 335;

Stefano MARCOLINI, Le cd perquisizioni online (o perquisizioni elettroniche), in Cass. Pen., 2010, 2855;

Silvia FASOLIN, La copia di dati informatici nel quadro delle categorie processuali, in Dir. Pen. Proc. n. 3/2012, p. 372

Luca LUPÀRIA, Sull'ipotesi di una irripetibilità intrinseca delle attività di Computer Forensics, in L. Lupària, G. Ziccardi, Investigazione Penale e Tecnologia informatica. L'accertamento del reato tra progresso scientifico e garanzie fondamentali, Giuffrè, 2007, 152;

Luca MARAFIOTI, Digital evidence e processo penale, Cass. pen. 2011,12, 4509;

Filippo MORLACCHINI, Perquisizioni, in G. Spangher, Procedura penale. Teoria e pratica del processo, Vol. 1, Padova, 2015, 1168

Alessia Ester RICCI, Digital Evidence e irripetibilità delle operazioni acquisitive”, nota a Cass. pen. Sez. I, 2 aprile 2009, n. 14511, in Dir. Pen. Proc. 3/2010, 337;

Roberto V. O. VALLI, Indagini scientifiche e ambito applicativo delle garanzie partecipative. L'esclusione dei rilievi e delle altre operazioni materiali, in questa rivista;

Roberto V. O. VALLI, Le indagini scientifiche nel procedimento penale, Giuffré, 2013.

Vuoi leggere tutti i contenuti?

Attiva la prova gratuita per 15 giorni, oppure abbonati subito per poter
continuare a leggere questo e tanti altri articoli.