L'acquisizione dei file di log dopo la conversione del decreto sui tabulati

30 Maggio 2022

Se sussistono sufficienti indizi di reati per i quali la legge stabilisce la pena dell'ergastolo o della reclusione non inferiore nel massimo a tre anni (e di reati di minaccia e di molestia o disturbo alle persone col mezzo del telefono, quando la minaccia, la molestia e il disturbo sono gravi), ove rilevanti per l'accertamento dei fatti, i dati del traffico telefonico e telematico - esclusi comunque i contenuti delle comunicazioni - sono acquisiti previa autorizzazione rilasciata dal giudice con decreto motivato...
Introduzione

L'art. 132 del d.lgs. n. 196 del 2003 (Codice della Privacy), che disciplina l'acquisizione dei dati di traffico telefonico e di quelli del traffico telematico, come è noto, è stato modificato di recente dall'art. 1 del decreto-legge 30/09/2021, n. 132, convertito con modificazioni dalla legge 23/11/2021, n. 178. Il comma 3 di questa norma prevede che, se sussistono sufficienti indizi di reati per i quali la legge stabilisce la pena dell'ergastolo o della reclusione non inferiore nel massimo a tre anni (e di reati di minaccia e di molestia o disturbo alle persone col mezzo del telefono, quando la minaccia, la molestia e il disturbo sono gravi), ove rilevanti per l'accertamento dei fatti, i dati del traffico telefonico e telematico - esclusi comunque i contenuti delle comunicazioni - sono acquisiti previa autorizzazione rilasciata dal giudice con decreto motivato, su richiesta del pubblico ministero o su istanza del difensore dell'imputato, della persona sottoposta a indagini, della persona offesa e delle altre parti private. Quando ricorrono ragioni di urgenza e vi è fondato motivo di ritenere che dal ritardo possa derivare grave pregiudizio alle indagini, il pubblico ministero provvede all'acquisizione dei dati con decreto motivato, soggetto alla convalida

Nulla è stato esplicitamente precisato nella disposizione citata sul tema dell'acquisizione dei file di log, ingenerando il dubbio che, anche in questo caso, sia necessario il provvedimento autorizzativo del giudice.

I file di log

Il termine “log”, con il significato di “giornale di bordo” o, più semplicemente, giornale su cui vengono registrati gli eventi in ordine cronologico è stato importato nell'informatica per indicare sia la registrazione cronologica delle operazioni man mano che vengono eseguite, sia il file su cui tali registrazioni sono memorizzate. Nel gergo nautico inglese del 1700 log era il pezzo di legno fissato ad una fune con nodi a distanza regolare, lanciato in mare e lasciato galleggiare. Il numero di nodi fuori bordo, entro un intervallo fisso di tempo indicava, approssimativamente la velocità della nave (da qui la convenzione di indicare la velocità di una nave in nodi). Il logbook era il registro di navigazione, presente in ogni nave, su cui veniva segnata, ad intervalli regolari la velocità, il tempo, la forza del vento, oltre a eventi significativi che accadevano durante la navigazione (G. Specchio, L'attività investigativa in internet, in www.carabinieri.it, Rassegna dell'arma 2012).

Nel gergo informatico, il termine “loggare” significa registrare all'esito di un'attività di monitoraggio.

L'opportunità di operare un tale monitoraggio può derivare da molteplici esigenze, tecniche (in caso di errore di un programma informatico, per esempio, ai fini del ripristino, è necessario conoscere le operazioni compiute dallo stesso nel momento immediatamente precedente), statistiche ed ovviamente di sicurezza (interna al sistema ed esterna allo stesso) (così, S. Aterno, F. Cajani, L'Acquisizione dei dati del traffico, in S. Aterno, F. Cajani, G. Costabile, D. Curtotti (a cura di), Cyber forensics e indagini digitali, 334).

I file di log, in particolare, sono costituiti dalla registrazione sequenziale e cronologica da parte del sistema informatico delle operazioni effettuate da un utente o da un amministratore ovvero anche dalla registrazione delle operazioni compiute in automatico da un sistema e costituisce una sorta di “registro degli eventi” (Così R. Flor, La legge penale nello spazio, fra evoluzione tecnologica e difficoltà applicative, in A. Cadoppi, S. Canestrari, A. Manna, M. Papa (diretto da), Cybercrime, Milano, 2019, 182, n. 100. È stato affermato che “Un log … è una registrazione cronologica di una operazione eseguita da un sistema informatico; può essere considerato come una sorta di corrispondente elettronico di un'impronta digitale” (L. Marafioti, Digital evidence e processo penale, in Cass. pen. 2011, 12, 4509, n. 26).

Questi file, dunque, registrano anche le operazioni compiute dall'utente su un computer durante una sessione di lavoro, secondo modalità idonee a garantire la conservazione dei dati e a verificare l'assenza di manipolazione (Trib. Chieti 30.5.2006, in Dir. Internet, 2006, 572).

Il file di log è “un documento che rappresenta la lunghezza del file, le modifiche nel tempo apportate (di cui spesso rimane traccia), la macchina su cui è stata utilizzata, la data e ora di prima creazione, la data e ora di ultimo accesso, il programma utilizzato e la licenza d'uso, etc. Questi file sono l'attuazione della volontà del programmatore, che ha voluto che il programma rappresentasse, indipendentemente dalla volontà dell'utilizzatore, determinate informazioni” (Così P. Tonini, L'evoluzione delle categorie tradizionali: il documento informatico, in A. Cadoppi, S. Canestrari, A. Manna, M. Papa (diretto da), Cybercrime, Milano, 2019, 1315, n. 29).

Tali file rientrano a pieno titolo nel concetto di “prova digitale”. Tale concetto può essere applicato al solo materiale probatorio digitale formatosi al di fuori del procedimento, in modo automatico (come proprio i file di log di un sistema) o a seguito dell'intervento di un soggetto (es. una mail trasmessa), ma non nei casi in cui il dato digitale derivi da un'attività della polizia giudiziaria o dell'Autorità giudiziaria (cfr. C. Parodi, V. Sellaroli, S. Lombardo, L. Ghirardi, Le indagini: ricerca e utilizzo delle prove digitali, in C. Parodi, V. Sellaroli (a cura di), Diritto penale dell' informatica, I reati della rete e sulla rete, Milano, 2021, 3).

File di log e navigazione in rete

Quando un utente si "collega" a un Internet Service Provider per avere la connessione ad internet e un indirizzo IP per navigare, viene "loggato.

L'analisi dei file di log, pertanto, consente di ottenere una serie di informazioni, utili nel procedimento penale e relative al “traffico di dati telematici” come:

  • se un determinato utente in un particolare giorno ed ora si è collegato alla rete tramite un provider;
  • la data ed ora della sessione di navigazione;
  • quale indirizzo IP temporaneo ha avuto in assegnazione per la durata della connessione;
  • l'indirizzo IP utilizzato per la sessione di navigazione;
  • quali informazioni (strutturate in "pacchetti") ha inviato o ricevuto per mezzo dell'indirizzo IP assegnato (accessi ai siti, scaricamento di pagine web o di specifici file, conversazioni in chat, partecipazioni a newsgroup, trasmissione o ricezione di posta elettronica).
  • l'anagrafica dell'intestatario di un contratto di utenza intenet (Cfr. C. Parodi, V. Sellaroli, S. Lombardo, L. Ghirardi, Le indagini: ricerca e utilizzo delle prove digitali, cit., 11).

Almeno per quanto riguarda i dispositivi mobili, i file di log non contengono informazioni dirette, in merito al soggetto titolare dell'IP, né dell'ubicazione del dispositivo, pur potendo contribuire alla determinazione di tali dati (Cfr. F. De Martis, La nuova disciplina sui tabulati: un completo adeguamento agli standard europei?, in Dir. pen. proc. 2022, 3, 299, n. 2, secondo cui “il discorso varia per quanto riguarda i files di log relativi a dispositivi fissi, poiché, relativamente a questi, è possibile conoscere, indirettamente, l'ubicazione del dispositivo”).

La conservazione dei file log

Secondo il regime giuridico, attualmente tratteggiato nel d.lgs. n. 196 del 2003, i "dati relativi al traffico telefonico" (c.d. tabulati) e i "dati relativi al traffico telematico" (c.d. log files) devono essere conservati dai gestori di telecomunicazione. Il periodo di conservazione di tali dati è pari a ventiquattro mesi per i tabulati del traffico telefonico, a dodici mesi per i log file e trenta giorni per le chiamate senza risposta; se si tratta di procedimenti penali relativi a reati di terrorismo, i termini di conservazione sono maggiori (Sull'evoluzione normativa si veda S. Aterno, F. Cajani, L'Acquisizione dei dati del traffico, cit., 270 e ss. Per l'irragionevolezza della previsione di un termine di conservazione diverso di tali dati, cfr. F. Cajani, Internet protocol. Questioni operative in tema di investigazioni penali e riservatezza, in Dir. internet 2008, 6, 554).

Il decreto del pubblico ministero di acquisizione dei file di log

L'acquisizione dei file di log, dunque, è utile nel procedimento penale e può anche servire per identificare il soggetto registrato presso un servizio di accesso o di comunicazione e la fonte da cui ha avuto origine una comunicazione (identificativo unico, indirizzo di protocollo internet IP, numero telefonico assegnato). Tale acquisizione avveniva con decreto motivato del pubblico ministero, per finalità di giustizia, ai sensi del combinato disposto degli artt. 256 c.p.p. e 132, d.lgs. n. 196/2003, escludendosi dunque la possibilità che fosse invece la polizia giudiziaria in via autonoma a poter richiedere tali tipi di informazioni (S. Aterno, F. Cajani, L'Acquisizione dei dati del traffico, cit., 322; G. Vaciago, Digital evidence, I mezzi di ricerca della prova digitale nel processo penale e le garanzie dell'indagato, Torino, 2012, 24).
Sul tema di recente si vedano Cass. pen., sez. V, 21 ottobre 2021, n. 4239 che, in sostanza, ha ritenuto applicabile l'art. 132 del d.lgs. 30 giugno 2003, n. 196 per l'acquisizione dei file di Log di un account Facebook; Cass. pen., 26 ottobre 2021 n. 45278, che ha mostrato di ritenere applicabile la medesima disposizione per l'acquisizione dei file di log di un account Instagram).

Si riteneva infatti che “Con la tradizionale locuzione “dati esteriori di comunicazioni” – conservati dai competenti gestori telefonici, anzitutto, a fini di gestione e fatturazione verso gli abbonati, quindi a prescindere dall'instaurazione di un procedimento penale – si designa una serie di elementi eterogenei attestanti il fatto storico di una comunicazione già avvenuta e coessenziali alla stessa, che consentono a forze dell'ordine e magistratura inquirente di ricostruire – necessariamente a posteriori e senza il consenso dell'abbonato – dati cd. “esterni” relativi al flusso di traffico telefonico (“in entrata” ed “in uscita”, comprese le chiamate perse) e telematico (files di log) intercorso con riguardo ad una certa utenza” (Così A. Natalini, Misure urgenti in tema di acquisizione dei dati relativi al traffico telefonico e telematico a fini di indagine penale, relazione del Massimario della Corte di cassazione n. 55 del 2021).

È stato anche affermato che il pubblico ministero, con lo strumento del sequestro dei dati informatici presso i fornitori dei servizi ai sensi dell'art. 254-bis c.p.p. poteva ottenere - ove ricorressero i presupposti generali dell'art. 253 c.p.p., ed in particolare, il nesso di pertinenza con il fatto – reato - i dati del traffico anche oltre il termine di cui all'art. 132 d.lgs. n. 196 del 2003, sempre che gli stessi siano rimasti nella disponibilità dei relativi gestori per le necessità di cui all'art. 123, commi 1 e 2, del medesimo d.lgs.( S. Aterno, F. Cajani, L'Acquisizione dei dati del traffico, cit., 336).

La tesi che esclude la necessità dell'autorizzazione del gip

Nell'art. 132 del d.lgs. n. 196 del 2003, come modificato di recente dall'art. 1 del d.l. 30 settembre 2021, n. 132, convertito con modif. dalla legge 23 novembre 2021, n. 178, che disciplina l'acquisizione dei dati di traffico telefonico e di quelli del traffico telematico, nulla è stato esplicitamente precisato sul tema dell'acquisizione dei file di log. Tale omissione ha generato il quesito circa la necessità dell'autorizzazione del giudice per le indagini preliminari anche per l'acquisizione di questi file.

Secondo un orientamento, tali dati non devono essere richiesti in forza di autorizzazione del giudice per le indagini preliminari, in quanto essi non rientrano nell'area operativa dell'art. 132 del d.lgs. n. 196 del 2003.

E' stato affermato, in particolare, che “i c.d. files di log IP, nella misura in cui consentono di rintracciare e identificare il soggetto registrato presso un servizio di accesso o di comunicazione e la fonte da cui ha avuto origine una comunicazione (identificativo unico, indirizzo di protocollo internet IP, numero telefonico assegnato, nome e indirizzo dell'abbonato o dell'utente, data e ora del log-in), esulano dal novero tanto dei “dati di traffico” quanto dei “dati di contenuto”, giacché nulla dicono in merito alla dinamica o al contenuto di una comunicazione e all'identità dei soggetti coinvolti in essa (identificativo, numero, nome e indirizzo dell'utente destinatario, data, ora e durata di una comunicazione, numeri telefonici chiamanti e chiamati, IMSI e IMEI degli stessi) […] (In questi termini, G. Pestelli, Convertito in legge il D.L. 132/2021: le modifiche apportate (e quelle mancate) in materia di tabulati, in www.quotidianogiuridico.it, 18 novembre 2021).

Secondo questa prospettazione, il dato ermeneutico fondamentale è rappresentato dal fatto che le norme del d.lgs. n. 196 del 2003 si applicano ai soli dati relativi alla trasmissione sulla rete internet delle comunicazioni. Invero, “il fatto che le norme che disciplinano l'ambito e le modalità di acquisizione dei dati di traffico ai fini delle indagini penali (artt. 121 e 132 d.lgs. n. 196/2003) parlino solo dei dati relativi alla “trasmissione” delle comunicazioni sulla rete – e, dunque, dei dati che attengono alla dinamica della comunicazione (che implica un'interazione tra due soggetti) – e non ricomprendano invece anche i dati che consentono di risalire alla mera identificazione dell'utente registrato che ha generato quell'attività sulla rete, induce a ritenere che a questi ultimi non si applichi la nuova disciplina in materia di acquisizione di tabulati dettata dall'art. 132 d.lgs. n. 196/2003, esulando appunto dal suo raggio d'azione” (così G. Pestelli, Convertito in legge il D.L. 132/2021, cit.).

Da questa impostazione conseguirebbe la possibilità per il pubblico ministero di continuare a richiedere in via del tutto autonoma tali dati, senza passare per una autorizzazione del giudice (cfr. C. Gittardi, Sull'utilizzabilità dei dati del traffico telefonico e telematico acquisiti nell'ambito dei procedimenti pendenti alla data del 30 settembre 2021, in www.giustiziainsieme.it, 7 ottobre 2021, secondo il quale le informazioni ricavabili dall'analisi delle tipologie di file di log “appaiono strettamente riconducibili al legittimo utilizzatore del profilo (fatta eccezione per i casi di accesso abusivo ex art. 615-ter c.p.), di cui è possibile rilevare, al massimo e non direttamente, l'eventuale impiego di una connessione assegnata ad un'utenza domestica, del luogo di lavoro o mobile”. In tale documentazione, “non è pertanto contenuta alcuna informazione che consenta di ricostruire direttamente l'interazione del soggetto con terzi e/o di geolocalizzare direttamente le attività svolte”. Ciò perché con le acquisizioni dei file di log non si acquisiscono dati relativi al traffico telematico o dati relativi all'ubicazione idonei a “fornire informazioni sulle comunicazioni effettuate da un utente” di comunicazione telematica (posto che la comunicazione implica interazione con altro soggetto) o “sull'ubicazione delle apparecchiature terminali da costui utilizzate”, che sono le informazioni a cui si riferisce la citata sentenza della Corte di Giustizia dell'Unione europea Grande Camera), per mezzo di un ordine di esibizione ex art. 256 c.p.p. (dal momento che l'art. 132 del d.lgs. n. 196 del 2003 ormai non prevede più il decreto motivato del pubblico ministero di acquisizione di dati di traffico telematico).

In alternativa rimarrebbe applicabile l'art. 254-bis c.p.p. (su questa disposizione, cfr. S. Aterno, Cloud forensics: aspetti giuridici e tecnici, in A. Cadoppi, S. Canestrari, A. Manna, M. Papa (diretto da), Cybercrime, Milano, 2019, p. 1702), potendo acquisirsi ad esempio, con provvedimento di sequestro e con ampie garanzie, tutti i file di log di navigazione sul web se e in quanto ancora esistenti e non cancellati, garantendo al tempo stesso sia la regolare fornitura del servizio di Internet Service Provider (che può continuare a svolgere le normali attività nonostante il provvedimento acquisitivo), sia le esigenze di indagine, sia l'adempimento degli obblighi derivanti dalla normativa sulla data retention (d.lgs. n. 109/2008 e art. 131 d-lgs. n. 196/2003 sulla cancellazione da parte del gestore dei dati nei casi e nei tempi previsti dalla legge).

La soluzione che richiede l'intervento del gip

Diversamente, è stato rilevato che l'art. 132 d.lgs. n. 196/2003 menziona espressamente “i dati di traffico telematico”, che affianca a quelli del “traffico telefonico.
L'art. 1 del d.l. n. 132 del 2021 non ha modificato le locuzioni appena citate; anzi, nel titolo è precisato che le disposizioni riguardano tanto i dati del “traffico telefonico”, quanto quelli del “traffico telematico”. Sulla base di tale premessa, ci si chiede: “Quali sarebbero i dati sul traffico telematico - escludendo i file di log - la cui acquisizione sarebbe subordinata al provvedimento del GIP? Difficile trovarne” (Così, C. Parodi, Convertito il decreto in tema tabulati: (quasi) tutto chiaro).

Ed allora, provando a proporre una soluzione mediana, è stato rilevato che i file di log, in realtà, svolgono più di una funzione.

Essi consentono di rintracciare e identificare il soggetto registrato presso un servizio di accesso o di comunicazione. In questa prospettiva – che è stata definita “statica”- è ancora ipotizzabile una richiesta a mezzo di ordine di esibizione da parte del pubblico ministero. Come è stato già precisato, i file di log contengono i tempi e gli orari di connessione ad internet. Sono molto utili nelle indagini, perché permettono di identificare l'intestatario dell'abbonamento e quindi contribuiscono a consentire di individuare l'eventuale responsabile del reato. Una volta che si rintraccia l'indirizzo IP, che viene assegnato ad ogni utente in via esclusiva nel momento in cui si connette, si può risalire al provider che ha fornito l'accesso al web e di conseguenza al titolare dell'utenza telefonica collegata. Tramite l'IP di destinazione si identifica il sito collegato (così, F. Rinaldini, La nuova disciplina del regime di acquisizione dei tabulati telefonici e telematici: scenari e prospettive, in Giurisprudenza penale, 16 ottobre 2021).

Nondimeno, nell'assoluta maggioranza dei casi, all'identificazione segue la necessità di documentare l'attività per così dire “dinamica” dell'utente così identificato nella rete internet, ossia il “traffico telematico” dello stesso. “Ed allora, per questa richiesta pare ragionevolmente indispensabile l'autorizzazione dell'organo giudicante (C. Parodi, Convertito il decreto in tema tabulati: (quasi) tutto chiaro, cit.), ritenendosi, pertanto, applicabile l'art. 132 d.lgs. n. 196 del 2003..

Nella medesima direzione, è stato evidenziato che “anche i files di log rivelano dati della vita privata di un soggetto, perché indicano gli accessi effettuati, i siti visitati e la durata di essi, quindi dati della vita privata che la Grande Camera della Corte europea tutela con la riserva di legge e di giurisdizione, oltre che con il principio della proporzionalità dell'ingerenza” (L. Filippi, Tabulati telefonici e telematici e rispetto della vita privata, in Diritto di difesa, 15 febbraio 2022).

Questa soluzione appare ispirata ad una logica di equilibrio che sottende la considerazione secondo cui le regole sull'acquisizione dei dati di traffico telefonico e telematico sono state dettate, nel rispetto di indicazioni provenienti anche all'Europa, a salvaguardia del diritto alla riservatezza, più che a garanzia della libertà di comunicare in modo riservato. L'acquisizione della documentazione del traffico telematico, infatti, non costituisce un accesso ai “contenuti delle comunicazioni”, che esulano dall'area operativa dell'art. 132 d.lgs. n. 196 del 2003, rappresentando solo la registrazione della “navigazione” in internet della persona che ha usato il sistema informatico, se si vuole, la documentazione del rapporto tra l'uomo e la macchina, ma non la rilevazione di una dinamica intersoggettiva.

Riferimenti
  • G. Specchio, L'attività investigativa in internet, in www.carabinieri.it, Rassegna dell'arma 2012).
  • S. Aterno, F. Cajani, L'Acquisizione dei dati del traffico, in S. Aterno, F. Cajani, G. Costabile, D. Curtotti (a cura di), Cyber forensics e indagini digitali, 334.
  • R. Flor, La legge penale nello spazio, fra evoluzione tecnologica e difficoltà applicative, in A. Cadoppi, S. Canestrari, A. Manna, M. Papa (diretto da), Cybercrime, Milano, 2019, 182.
  • L. Marafioti, Digital evidence e processo penale, in Cass. pen. 2011, 12, 4509.
  • P. Tonini, L'evoluzione delle categorie tradizionali: il documento informatico, in A. Cadoppi, S. Canestrari, A. Manna, M. Papa (diretto da), Cybercrime, Milano, 2019, 1315.
  • C. Parodi, V. Sellaroli, S. Lombardo, L. Ghirardi, Le indagini: ricerca e utilizzo delle prove digitali, in C. Parodi, V. Sellaroli (a cura di), Diritto penale dell' informatica, I reati della rete e sulla rete, Milano, 2021.
  • F. De Martis, La nuova disciplina sui tabulati: un completo adeguamento agli standard europei?, in Dir. pen. proc. 2022, 3, 299.
  • F. Cajani, Internet protocol. Questioni operative in tema di investigazioni penali e riservatezza, in Dir. internet 2008, 6, 554.
  • G. Vaciago, Digital evidence, I mezzi di ricerca della prova digitale nel processo penale e le garanzie dell'indagato, Torino, 2012.
  • A. Natalini, Misure urgenti in tema di acquisizione dei dati relativi al traffico telefonico e telematico a fini di indagine penale, relazione del Massimario della Corte di cassazione n. 55 del 2021.
  • S. Aterno, Cloud forensics: aspetti giuridici e tecnici, in A. Cadoppi, S. Canestrari, A. Manna, M. Papa (diretto da), Cybercrime, Milano, 2019, p. 1702.
  • L. Filippi, Tabulati telefonici e telematici e rispetto della vita privata, in Diritto di difesa, 15 febbraio 2022.

*Fonte: ilprocessotelematico.it

Vuoi leggere tutti i contenuti?

Attiva la prova gratuita per 15 giorni, oppure abbonati subito per poter
continuare a leggere questo e tanti altri articoli.

Sommario