Blackberry Messenger: l'indisponibilità dell'algoritmo per decriptare i dati informatici non lede il diritto di difesa

28 Aprile 2019

L'attività di messa in chiaro di flussi telematici inviati tra dispositivi elettronici in modo criptato necessita del contributo di ausiliari tecnici di polizia giudiziaria e, sovente, è possibile solo con il ricorso alla collaborazione del produttore del sistema operativo. Le compagnie che offrono i servizi non mettono a disposizione delle parti dell'algoritmo necessario per la decriptazione dei dati, limitandosi a fornire i messaggi interpretati...
Massima

In tema di intercettazioni, è legittima l'attività di decriptazione di messaggi, scambiati mediante sistema Blackberry, compiuta nel corso delle indagini per mezzo della nomina di ausiliari tecnici di polizia giudiziaria e del ricorso alla spontanea collaborazione del produttore del sistema operativo, non determinando alcuna lesione dei diritti di difesa la mancata messa a disposizione delle parti dell'algoritmo necessario per la messa in chiaro dei relativi dati informatici.

Il caso

La Corte di Appello di Roma confermava la condanna degli imputati per i delitti di importazione di sostanze stupefacenti e di tentata importazione di dette sostanze di cui all'art. 73 d.P.R. 309 del 1990, rideterminando la pena loro inflitta dal Tribunale. In particolare, le decisioni di condanna accertavano che gli imputati, unitamente ad altre persone, nel periodo compreso tra il giugno ed il luglio 2013, avevano importato 283 kg. di cocaina, poi risultata tagliata con levamisolo, sostanza ritenuta pericolosa; inoltre, in altre occasioni, avevano tentato di importare numerosi chilogrammi di droga, che sarebbero dovuti giungere all'aeroporto di Fiumicino all'interno di bagagli, sempre prendendo contatti con un fornitore di Santo Domingo, noto con il soprannome di “Er Banana”.

Avverso questa decisione, gli imputati proponevano ricorso per Cassazione.

La difesa di uno di essi, tra l'altro, deduceva l'inutilizzabilità degli esiti delle intercettazioni di comunicazioni effettuate tra apparati cellulari BlackBerry e, in modo specifico, avvenute per mezzo dell'applicazione di messaggistica denominata BlackBerry Messenger senza espletare alcuna procedura di rogatoria.

Al riguardo, osservava che le intercettazioni erano state realizzate grazie alla collaborazione della compagnia canadese che gestisce il servizio e che aveva risposto spontaneamente ad una richiesta di collaborazione investigativa dell'autorità giudiziaria italiana. I circuiti su cui viaggiano le informazioni e avvengono i processi di trattamento dei dati, tuttavia, sarebbero collocati in territorio canadese. L'intera fase di captazione, di decodificazione e di ritrasmissione, cui segue l'instradamento del duplicato del messaggio decriptato, pertanto, sarebbe stata svolta all'estero. La compagnia di servizi informatici italiana avrebbe messo a disposizione delle autorità italiane solo «il risultato algebrico dell'applicazione dell'algoritmo in possesso della casa madre attraverso l'esclusivo utilizzo del software installato sul server canadese».

Secondo la prospettazione difensiva, più specificamente, l'impiego delle tecniche descritte avrebbe precluso alle parti processuali di prendere conoscenza e di verificare, direttamente e senza intermediazioni, l'integrità del contenuto comunicativo oggetto dell'apprensione occulta, ledendo la garanzia minima che deve essere accordata all'indagato in materia di intercettazioni.

La captazione dei messaggi, quindi, non sarebbe avvenuta nel rispetto delle regole previste dall'art. 268 c.p.p., con conseguente inutilizzabilità ex art. 271, comma 1, c.p.p.

In ogni caso, sarebbe stato compiuto un inammissibile aggiramento dei divieti probatori posti dalla disciplina di autorizzazione delle intercettazioni di comunicazione in relazione al combinato disposto degli artt. 189 e 191 c.p.p., oltre che della lesione della riserva di legge prevista dall'art. 15 Cost. in merito al diritto di comunicare in modo riservato.

La questione

Le comunicazioni in "chat" sono ormai normalmente protette per mezzo di sistemi di cifratura e sono gestite, in genere, da server collocati in territorio estero. L'attività di messa in chiaro di flussi telematici inviati tra dispositivi elettronici in modo criptato necessita del contributo di ausiliari tecnici di polizia giudiziaria e, sovente, è possibile solo con il ricorso alla collaborazione del produttore del sistema operativo. Le compagnie che offrono i servizi, anche quando prestano spontaneamente assistenza, come è avvenuto nella specie da parte Blackberry, non mettono a disposizione delle parti dell'algoritmo necessario per la decriptazione dei dati, limitandosi a fornire i messaggi interpretati. Si viene a determinare, in tal modo, una lesione dei diritti di difesa? Nonostante l'indisponibilità del sistema di decifrazione, in altri termini, le parti sono in condizione di verificare la correttezza dei risultati dell'attività di decriptazione?

Le soluzioni giuridiche

1. Secondo quanto è possibile desumere sui profili di fatto della vicenda dalla sentenza di legittimità, nel corso delle indagini relative all'importazione di sostanza stupefacente, sono state registrate alcune comunicazioni tra un interlocutore, peraltro soggetto diverso dal ricorrente, che si trovava in Italia, ed il fornitore di cocaina di Santo Domingo. Le comunicazioni avvenivano per mezzo di apparecchi cellulari “BlackBerry” e, in modo specifico, tramite l'applicazione di messaggistica denominata “BlackBerry Messenger” (BBM). Queste comunicazioni, intervenute tra l'Italia ed una nazione estera, sono state ritenute utilizzabili nelle decisioni di merito.

2. La Corte di cassazione ha osservato che, anche alla luce della complessa analisi tecnica compiuta dal ricorrente in ordine al funzionamento della comunicazione a mezzo chat del sistema di messaggistica utilizzato dalla compagnia BlackBerry, è stato accertato un dato di fatto: i messaggi della cui utilizzabilità si discute sono stati inviati dall'Italia ovvero ivi sono giunti. Questa circostanza, secondo la sentenza in esame, rappresenta il profilo determinante per l'individuazione della disciplina giuridica applicabile, essendo irrilevante, invece, il diverso aspetto relativo all'individuazione dei frangenti durante i quali sono avvenute, rispettivamente, le attività di criptazione e di decriptazione degli stessi messaggi da parte dei sistemi informatici contenuti negli apparati telefonici in contatto e nel server dell'azienda che gestisce il servizio di messaggistica in questione.

3. Tanto premesso, la Corte ha rilevato che è consolidato l'indirizzo giurisprudenziale secondo cui sono utilizzabili, senza necessità di rogatoria, gli esiti di intercettazioni di comunicazioni in "chat" protette per mezzo del sistema c.d. "pin to pin" gestito da un "server" collocato in territorio estero, ma i cui dati siano stati registrati nel territorio nazionale, per mezzo di impianti installati presso la Procura della Repubblica (Cass. pen., Sez. VI, n. 1342/2015, dep. 2016; Cass. pen., Sez. VI, n. 52925/2016; Cass. pen., Sez. IV, n. 16670/2016; Cass. pen., Sez. VI, n. 39925/2015; Cass. pen., Sez. III, n. 50452/2015; Cass. pen., Sez. VI, n. 39449 del 22/09/2015). La captazione e la registrazione dei flussi delle comunicazioni, che transitano dalle centrali collocate in Italia, infatti, si svolge sul territorio italiano (Cass. pen., Sez. VI, n. 18480/2015; Cass. pen., Sez. VI, n. 10051/2007).

Il ricorso alla rogatoria, invece, è richiesto solo nell'ipotesi in cui l'attività captativa sia diretta a percepire contenuti di comunicazioni o conversazioni transitanti unicamente su territorio di altro stato (Cass. pen., Sez. IV, n. 9161/2015).

Al riguardo, nella sentenza è aggiunto che l'acquisizione di comunicazioni che avvengono in chat, che è compiuta nelle forme dell'intercettazione dei flussi informatici ex art. 266-bisc.p.p. differisce solo per le modalità tecniche e operative dalla captazione delle conversazioni effettuate attraverso apparati mobili (Cass. pen., Sez. IV, n. 40903/2016). Anche quest'ultima non necessita di rogatoria internazionale, nei casi in cui l'attività di captazione e di registrazione del flusso comunicativo avviene in Italia, essendo indifferente che si tratti di utenza mobile italiana in uso all'estero ovvero di utenza mobile straniera in uso in Italia.

4. Diverso è il profilo relativo alla successiva attività di “messa in chiaro” dei flussi comunicativi registrati.

Al riguardo, la Corte ha ribadito l'indirizzo secondo cui è legittima l'operazione di decriptazione, effettuata dalla polizia giudiziaria delegata dal pubblico ministero per mezzo della nomina, anche senza particolari formalità, di ausiliari tecnici e ricorrendo alla spontanea collaborazione da parte del produttore del sistema operativo per l'utilizzo dall'algoritmo necessario per la decifrazione (Cass. pen., Sez. III, n. 5818/2015, dep. 2016).

5. La Corte, poi, ha affrontato il tema più delicato. La deduzione del ricorrente secondo cui, non disponendo dell'algoritmo con il quale interpretare i dati informatici connessi alle comunicazioni contenute nelle conversazioni della messaggistica oggetto di intercettazioni, non potrebbe verificarne la corrispondeva all'originale, è stata ritenuta generica.

Sul punto, la sentenza ha rilevato che tutti i flussi di comunicazioni, da quando gli stessi sono stati digitalizzati, sono costituiti dalla trasmissione di meri dati informatici (bit), che solo grazie ad adeguati sistemi possono essere resi intellegibili.

Taluni flussi di dati informatici, come è noto, sono criptati.

Per la loro messa in chiaro, pertanto, è necessario impiegare sistemi informatici ulteriori, non di libero accesso, essendo di esclusiva proprietà dei soggetti che ne sfruttano il potenziale economico e commerciale.

Tale circostanza, tuttavia, non esclude che la correttezza della trasposizione dei messaggi sia verificabile.

Se l'azienda che gestisce il servizio, infatti, non intende cedere a terzi i sistemi e i codici di cui si serve, ciò non impedisce che, nel corso del procedimento penale, l'indagato possa comunque giovarsi della sua collaborazione, facendone richiesta all'autorità giudiziaria nell'ambito della procedura incidentale di selezione del materiale intercettato ex art. 268, commi 6 e 7, c.p.p.

Nel caso di specie, tale richiesta non è stata formulata, essendosi il ricorrente limitato a mettere in dubbio l'autenticità del contenuto delle comunicazioni o di non averle potute direttamente controllare, non avendo potuto utilizzare in prima persona l'algoritmo di decriptazione.

L'uso di un sistema di cifratura, inoltre, consente di criptare i messaggi; la successiva decifrazione li rende intellegibili. Queste attività non determinano alcuna modifica del contenuto del messaggio, neppure nell'ipotesi di un'erronea decriptazione.

Non impiegando l'algoritmo necessario alla decriptazione, secondo la scienza informatica, infatti, semplicemente non è possibile ottenere un testo intellegibile, con contenuto in lingua italiana, difforme da quello reale, potendosi al più ottenere una sequenza alfanumerica o simbolica (una c.d. "stringa") priva di senso compiuto, analogamente a quanto avverrebbe nell'ipotesi di mera trascrizione dei flussi criptati.

Osservazioni

1. La sentenza in esame presenta un profilo di novità nella parte in cui afferma che, in tema di intercettazioni di flussi comunicativi, non determina alcuna lesione dei diritti di difesa l'indisponibilità dell'algoritmo che occorre per la decrittazione dei relativi dati informatici, del quale il gestore del sistema di messaggistica si sia riservata la proprietà esclusiva, pur avendo, invece, accettato di collaborare spontaneamente con l'autorità giudiziaria italiana per la messa in chiaro delle captazioni.

Per apprezzare pienamente il senso di questa affermazione, peraltro, occorre procedere con ordine, seguendo il percorso della motivazione.

La sentenza in esame, infatti, in primo luogo ha ribadito l'indirizzo giurisprudenziale secondo cui sono utilizzabili, senza necessità di rogatoria, gli esiti di intercettazioni di comunicazioni in "chat" realizzate per mezzo del sistema c.d. "pin to pin" gestito da un "server" collocato in territorio estero, ma i cui dati siano stati registrati nel territorio nazionale, per mezzo di impianti installati presso la Procura della Repubblica (Cass. pen., Sez. VI, n. 1342/2015; Cass. pen., Sez. VI, n. 52925/2016; Cass. pen., Sez. IV, n. 16670/2016; Cass. pen., Sez. VI, n. 39925/2015; Cass. pen., Sez. III, n. 50452/2015; Cass. pen., Sez. VI, n. 39449/2015).

Si tratta di un indirizzo ormai consolidato che fa leva sulla destinazione della comunicazione ad uno specifico "nodo", posto in Italia, e che è indicato con la locuzione “Instradamento”, che vale a descriverne il fondamento. I flussi delle comunicazioni transitano dalle centrali collocate in Italia. La loro captazione e la loro registrazione si svolge sul territorio italiano (Cass. pen., Sez. VI, n. 18480/2015; Cass. pen., Sez. VI, n. 10051/2007).

Il ricorso alla rogatoria, difatti, è richiesto solo nell'ipotesi in cui l'attività captativa sia diretta a percepire contenuti di comunicazioni o conversazioni transitanti unicamente su territorio di altro Stato (Cass. pen., Sez. IV, n. 9161/2015).

Sotto questo profilo, la disciplina delle intercettazioni telematiche di cui all'art. 266-bisc.p.p. non differisce da quella dell'acquisizione di comunicazioni o conversazioni telefoniche che transitano su apparati mobili (cfr. ex plurimis, Cass. pen., Sez. IV, n. 40903/2016). Anche in questo caso, il ricorso alla procedura di assistenza giudiziaria internazionale è necessario solo nel caso in cui l'attività di captazione e di registrazione del flusso comunicativo avviene esclusivamente all'estero.

Del tutto indifferente, poi, è la circostanza che l'utenza mobile oggetto dell'attività investigativa sia italiana o estera. Ciò che conta ai fini del rispetto dei limiti della giurisdizione nazionale è solo che il flusso comunicativo transiti su una centrale che si trova nel territorio italiano.

L'indirizzo giurisprudenziale illustrato è stato ritenuto conforme all'art. 8, par. 2, della CEDU, come interpretato dalla sentenza della Corte EDU 23 febbraio 2016 - ricorso n. 28819/12, caso Capriotti c/ Italia, nella parte in cui la norma convenzionale afferma il diritto a che le disposizioni limitative della propria sfera della riservatezza siano accessibili alla persona interessata, che deve poterne prevedere le conseguenze per sé. La presenza di una affidabile descrizione dei nodi della rete telefonica mondiale, infatti, permette di prevedere che il passaggio dei dati trasmessi in occasione di una determinata connessione telefonica, attraverso il nodo posto nel territorio di uno Stato diverso da quello di invio e ricezione del dispositivo, rende tecnicamente possibile e giuridicamente lecita la captazione (Cass. pen., n. 24305/2017).

2. Secondo l'orientamento giurisprudenziale illustrato, dunque, il ricorso alla rogatoria internazionale è imposto dalla necessità di rispettare i limiti della giurisdizione nazionale solo allorché l'attività captativa sia diretta a percepire contenuti di comunicazioni o conversazioni su utenze estere che transitino unicamente su territorio straniero.

Questo orientamento, tuttavia, si presenta in conflitto con la disciplina introdotta dal d.lgs. 108/2017, recante Norme di attuazione della direttiva 2014/41/UE del Parlamento europeo e del Consiglio, del 3 aprile 2014, relativa all'ordine europeo di indagine penale, (o quanto meno è destinato ad essere limitato nella sua area operativa. Le norme del d.lgs. indicato impongono l'obbligo di ricorrere all'assistenza giudiziaria internazionale quando l'autorità giudiziaria procedente abbia notizia che la persona intercettata o il dispositivo controllato si trovi sul territorio di un altro Stato. In tal caso il procuratore della Repubblica provvede a darne immediata comunicazione, mediante notifica ex art. 44 del d. lgs. n. 108 del 2017, all'autorità giudiziaria competente ed è tenuto, inoltre, a disporre l'immediata cessazione delle operazioni di intercettazione quando l'autorità giudiziaria dello Stato membro, ricevuta l'informazione della presenza dell'utenza da intercettare sul proprio territorio, comunica che le operazioni non possono essere proseguite. La sanzione prevista per le intercettazioni per le quali l'autorità richiesta ha comunicato il divieto di prosecuzione è l'inutilizzabilità.

La procedura dell'instradamento, pertanto, dovrebbe conservare un limitato ambito applicativo con riferimento ad utenze bersaglio localizzate nel territorio di Stati estranei all'ambito applicativo della direttiva europea che ha introdotto l'ordine europeo di indagine penale (o che, pur facendo parte dell'Unione, non abbiano ancora provveduto a darvi attuazione nell'ordinamento interno).

3. La sentenza, poi, ha ribadito che la “messa in chiaro” dei flussi di dati informatici intercettati è attività diversa dalla captazione degli stessi e successiva alla intercettazione.

Per cogliere pienamente la portata del tema, appare utile premettere che le comunicazioni e le conversazioni, invero, sia quelle vocali, sia che avvengono nelle forme della cd. messaggistica, sono ormai digitalizzate. Esse consistono nell'invio di flussi di dati informatici. Tali flussi devono essere decifrati per mezzo di programmi informatici, risolvendosi, altrimenti, in sequenze alfa-numeriche incomprensibili.

La gran parte dei flussi comunicativi in "chat", invero, sono ormai protette per mezzo di sistemi di cifratura.

In particolare, l'indirizzo, ormai inarrestabile, è verso l'impiego nelle comunicazioni informatiche di sistemi di cifratura evoluti per aumentare la privacy. Si allude alla cifratura end-to-end (cioè punto-punto) che interviene fra i due dispositivi coinvolti nella conversazione e non sui server. E' il sistema utilizzato da WhatsApp, Messenger e Telegram. Esso consiste nella cifratura delle comunicazioni impiegando una doppia chiave crittografica. Ogni utente, infatti, utilizza una chiave pubblica e una chiave privata, legate tra loro in maniera indissolubile. La seconda è destinata a rimanere sul dispositivo dei due “comunicanti” e serve a decrittare i messaggi in arrivo; la chiave pubblica, invece, è condivisa con l'interlocutore ed è utilizzata per crittografare i messaggi in uscita. Così facendo le comunicazioni, pur viaggiando attraverso canali “scoperti” e potenzialmente intercettabili, sono leggibili solo dal dispositivo che ospita la chiave privata legata alla chiave pubblica utilizzata nel processo di crittografia.

L'impiego di questo meccanismo, comunque, segna un ulteriore passo in avanti nella direzione della tutela della riservatezza: la sicurezza della conversazione si sposta dall'inviolabilità del server a quella del dispositivo “servito”; la chiave di cifratura è nota solo agli interlocutori, cioè agli apparecchi in contatto; il server non archivia e non legge i messaggi (o, quanto meno, dichiara di non farlo).

Nelle “FAQ” di WhatsApp dedicate alle risposte alle domande più comuni in tema di sicurezza e privacy, agevolmente reperibili nella rete inernet, sul punto, è precisato che “La crittografia end-to-end di WhatsApp assicura che solo tu e la persona con cui stai comunicando possiate leggere ciò che viene inviato, e nessun altro, nemmeno WhatsApp. I messaggi sono protetti con dei lucchetti, e solo tu e il tuo destinatario avete le chiavi speciali necessarie per sbloccarle e leggere i messaggi. Per una maggiore protezione, ogni messaggio inviato ha un proprio lucchetto e una propria chiave unici. Tutto questo avviene automaticamente: non c'è bisogno di attivare alcuna impostazione o creare speciali chat segrete per proteggere i messaggi”.

Tali considerazioni permettono di comprendere chiaramente l'importanza di utilizzare sistemi per l'intercettazione come il captatore informatico. Si tratta, come è noto, di programmi informatici, del tipo definito in gergo “trojan”, che penetrano uno dei due dispositivi in contatto e che, di conseguenza, sono in grado di captare le comunicazioni o le conversazioni prima della criptazione o dopo la decriptazione.

Tenuto conto che la gran parte delle comunicazioni o delle conversazioni avviene tramite sistemi di messaggistica del tipo indicato, deve concludersi che ormai il ricorso al captatore informatico è indispensabile. Semmai il tema attuale è solo quello di definire le garanzie che, in uno stato democratico, devono essere riconosciute ai cittadini dinanzi a strumenti tecnologici tanto evoluti. Nel nostro ordinamento, il tema attuale consiste nel valutare se le garanzie previste dal d.lgs. 261/2017, recante la riforma delle intercettazioni, successivamente modificato dalla legge 9 gennaio 2019, n. 3, assicurino un adeguato bilanciamento tra le prerogative individuali di cui agli artt. 2, 14 e 15 Cost. nonché all'art. 8 CEDU e l'esigenza di prevenire e reprimere i reati. Ma questo tema esula dal presente lavoro.

4. Nel caso della messaggistica Blackberry, come risulta anche dalla decisione in esame e dalle precedenti sentenze della Corte di cassazione che si sono occupate del tema, tuttavia, il meccanismo operativo per realizzare le comunicazioni risulta diverso.

La “chat pin to pin” tra dispositivi BlackBerry consente ai detentori di tali apparecchi di scambiarsi comunicazioni scritte per mezzo di un particolare programma che sfrutta il sistema telematico creato dalla casa produttrice dei medesimi dispositivi, la società RIM, Research in motion, società con sede in Canada. In estrema sintesi, il soggetto che invia un messaggio ad un altro utente dà avvio ad una sequenza di questo tipo: il messaggio è cifrato dal suo smartphone, spedito al server della RIM, allocato in Canada e comunque non in Italia e da qui inviato all'apparecchio destinatario, che decomprime il messaggio e lo rende intelligibile. Questa tecnologia rende inutile intercettare le chat attraverso i tradizionali canali delle compagnie telefoniche, perché i dati che vi transitano non possono essere decifrati, senza possedere il programma informatico della Compagnia canadese. Nel contempo, però, la stessa società canadese, come è dimostrato proprio dalle vicende giudiziarie oggetto delle sentenze della Corte di cassazione, ha conservato la possibilità di decriptare i messaggi che transitano sui propri server.

Ed infatti, detta società ha offerto collaborazione all'autorità giudiziaria italiana.

L'attività di messa in chiaro di flussi telematici inviati in modo criptato tra dispositivi elettronici, pertanto, è stata possibile con la collaborazione del produttore del sistema operativo, che ha prestato spontaneamente assistenza all'autorità giudiziaria italiana.

Sembra abbastata chiaro, leggendo le sentenze che si sono occupate del tema, che l'operazione di decriptazione avvenga grazie ad una richiesta degli investigatori inviata alla “consorella” italiana della società RIM canadese e da questa, verosimilmente inviata alla “Casa madre”.

Il dato di fatto che anche la sentenza in esame valorizza, tuttavia, è che solo l'operazione di messa in chiaro è avvenuta all'estero, perché l'intercettazione ha riguardato un flusso dati transitato sul territorio nazionale. Nella sentenza, infatti, si legge: «… la complessa analisi tecnica del ricorrente in ordine al funzionamento della comunicazione a mezzo chat del sistema di messaggistica utilizzato dalla Blackberry, non riesce a contrastare il dato incontestato relativo alla circostanza che il messaggio sia stato, o inviato dall'Italia, o ivi giunto».

Tanto premesso, la Corte ha ribadito l'indirizzo già espresso in precedenza secondo cui è legittima l'operazione di decriptazione, effettuata dalla polizia giudiziaria delegata per mezzo del contributo di ausiliari tecnici, nominati anche senza particolari formalità, e ricorrendo alla spontanea collaborazione da parte del produttore del sistema operativo per l'utilizzo dall'algoritmo necessario per la decifrazione (Cass. pen., Sez. III, n. 5818 del 10/11/2015, dep. 2016).

Anzi, la sentenza in esame, al fine di sostenere la legittimità dell'attività posta in essere, ha affermato che l'uso del sistema di decriptazione «è stato adeguatamente autorizzato ex art. 268, comma 3-bis, c.p.p. tramite impianti appartenenti a privati».

5. Come è stato anticipato, peraltro, la sentenza in esame contiene un profilo di novità.

La Corte, infatti, ha affrontato la deduzione del ricorrente, secondo cui non disponendo dell'algoritmo con il quale interpretare i dati informatici intercettati, non potrebbe verificare la correttezza della decriptazione.

Questa eccezione è stata ritenuta generica.

Al riguardo, è stato precisato che tutti i flussi di comunicazioni, da quando gli stessi sono stati digitalizzati, sono costituiti dalla trasmissione di meri dati informatici (bit). La sequenza di dati può essere resa intellegibile sono utilizzando adeguati sistemi. Il flusso di dati, in altri termini, deve essere “letto” utilizzando un programma informatico. Talvolta, questo programma è di libero accesso e chiunque può averne una copia. Quando invece i flussi di dati informatici sono criptati, per la loro messa in chiaro, è necessario avvalersi di sistemi diversi, non di libero accesso, ma di esclusiva proprietà dei soggetti che ne sfruttano il potenziale economico e commerciale.

Secondo la decisione in esame, tuttavia, tale circostanza non conduce alla conclusione che l'azione di decifrazione non sia verificabile o, meglio, che possa essere messa in dubbio la correttezza dei risultati di tale attività.

Per sostenere tale conclusione, la sentenza ha utilizzato due argomenti che appaiono condivisibili.

Il primo è di ordine processuale.

L'azienda che gestisce il servizio, per comprensibili ragioni di natura commerciale, non cede i sistemi e i codici a terzi. Essa, tuttavia, ha prestato collaborazione, ritenendo, evidentemente, che la repressione di reati sia pienamente conforme alla propria politica aziendale. La mancata messa a disposizione dell'algoritmo necessario per la decriptazione non impedisce che, nel corso del procedimento penale, l'indagato possa giovarsi della collaborazione della stessa azienda (rectius, degli ausiliari di polizia giudiziaria), facendone richiesta all'autorità giudiziaria nell'ambito della procedura incidentale di selezione del materiale intercettato ex art. 268, commi 6 e 7, c.p.p.

Nel caso di specie, tale richiesta non è stata formulata, essendosi il ricorrente limitato a mettere in dubbio l'autenticità del contenuto delle comunicazioni. Anzi, il ricorrente, più semplicemente, ha dedotto solo di non aver potuto direttamente controllare i messaggi intercettati, utilizzando in prima persona il sistema di decriptazione. In questa prospettiva, l'eccezione proposta si è rivelata generica.

Il secondo argomento, invece, consiste nel richiamo al funzionamento del sistema di criptazione e di decriptazione.

L'uso di un meccanismo di cifratura, invero, consente di codificare i messaggi; la successiva decifrazione li rende intellegibili, ma non ne può modificare il contenuto.

Non impiegando l'algoritmo necessario alla decriptazione, infatti, secondo la scienza informatica, non è possibile ottenere un testo intellegibile, con contenuto in lingua italiana, difforme dal reale. Si può ottenere, al più, una sequenza alfanumerica o simbolica (una cd. "stringa") priva di senso compiuto, analogamente a quanto avverrebbe nell'ipotesi di una mera trascrizione di flussi criptati.

6. Con riferimento a tale ultimo punto, la sentenza in esame, in modo opportuno, ha compiuto un efficace riferimento alla trasmissione di immagini criptate. Nel caso di captazione di immagini trasmesse attraverso sistemi informatici, qualora non fosse utilizzato il programma di decriptazione necessario, così come nel caso in cui non fosse utilizzato alcun sistema di decriptazione, non si perverrebbe alla riproduzione di una immagine diversa da quella trasmessa; più semplicemente, si otterrebbe una “non immagine”.

7. Anche dopo la sentenza in esame, resta aperto un tema di fondo.

Non è dato comprendere, perché sul punto non è stata dedotta alcuna questione, se la captazione dei flussi informatici sia avvenuta contestualmente alla loro trasmissione, come ragionevolmente è avvenuto nel caso di specie, oppure sia stata realizzata dopo la trasmissione degli stessi, magari avvalendosi delle opportunità di accedere al server della Compagnia che gestisce il servizio.

Sul punto, secondo un indirizzo giurisprudenziale sorto proprio con riferimento alle “chat” di Blackberry, è legittima l'acquisizione di contenuti di messaggi mediante intercettazione operata ai sensi dell'art. 266 c.p.p. poiché le conversazioni, anche se non contestuali, costituiscono un flusso di comunicazioni (cfr. Cass. pen., Sez. III, 10 novembre 2015, n. 50452; Cass. pen., Sez. IV, 8 aprile 2016, n. 16670).

Il superamento del presupposto della necessaria captazione “in tempo reale” rispetto alla comunicazione, tuttavia, conduce a ritenere legittima anche un'intercettazione che opera “per il passato”: il provvedimento adottato in una certa data consentirebbe di acquisire pure le comunicazioni avvenute in precedenza. Quest'azione non sembra rispettare la tipicità delle intercettazioni, mezzo di ricerca della prova per definizione rivolto “al futuro”, in un sistema processuale che prevede altri strumenti tipici, come i sequestri, che sono circondati da specifiche garanzie, che consistono in atti “a sorpresa”, ma che non possono essere compiuti in modo occulto.

Vuoi leggere tutti i contenuti?

Attiva la prova gratuita per 15 giorni, oppure abbonati subito per poter
continuare a leggere questo e tanti altri articoli.