L´acquisizione di dati mediante screenshot tra intercettazione telematica e prova atipica

ENG With the sentence n. 3591/2022 the issue of investigations by Trojan Horse makes people talk again. In the present case, the judges of legitimacy configure the acquisition of a ”file” being drawn up on a "personal computer" by means of a "screenshot" performed by a computer detector as an electronic interception pursuant to art. 266 bis of the Criminal Code, "since it is a mere ascertainment of the computer data in progress, the object of" communicative behavior. "Overcoming this approach, the Author dwells on the potential of the computer detector as a special remote surveillance technique not always able to withstand the complaints of constitutionality.

1. Gli screenshot al vaglio della Suprema Corte

Ancora una volta i giudici di legittimità si sono dovuti confrontare sul tema “caldo” delle investigazioni tramite captatore informatico e sull’impiego processuale dei dati acquisiti mediante l’«onnivoro strumento».

In particolare, la Suprema Corte si è pronunciata sull’uso del virus Trojan per acquisire le istantanee dello schermo (c.d. screenshot) di un computer in uso all’indagato. A tal proposito, i giudici chiariscono che «^[È] legittima l'acquisizione di un "file" in corso di redazione su "personal computer" mediante "screenshot" eseguito da un captatore informatico, trattandosi di mera constatazione del dato informatico in corso di realizzazione, oggetto di "comportamento comunicativo", suscettibile di intercettazione ed anche di videoregistrazione ai sensi dell'art. 266 bis c.p.p., e non di perquisizione informatica diretta alla ricerca ed estrapolazione di dati preesistenti».

Per comprendere appieno l’iter logico seguito dalla Corte, si ritiene opportuno ripercorrere brevemente la vicenda giudiziaria che ha dato origine alla quaestio de qua, che prende le mosse da un ricorso cautelare della difesa dell’indagato.

Il Tribunale del riesame di Reggio Calabria confermava l’ordinanza di custodia cautelare in carcere emessa nei confronti dell’indagato per il reato di associazione per delinquere volta alla frode nel pagamento di IVA e accise sui prodotti petroliferi e a riciclaggio dei relativi proventi. Elemento centrale per la sussistenza dei “gravi indizi di reità” era – secondo il Tribunale – il contenuto di alcune intercettazioni telematiche esperite con l’ausilio del virus Trojan relative ad operazioni economiche dalle quali si evinceva che c’erano stati numerosi pagamenti in contanti finalizzati a procurare all’indagato la provvista necessaria al perfezionamento del contratto.

Avverso tale ordinanza ricorreva per Cassazione la difesa dell’indagato, deducendo (tra l’altro) l’inosservanza di norma processuale stabilita a pena di inutilizzabilità, ex art. 606 c.p.p., lett. c) c.p.p., con riferimento all’estrazione di un file excel dal computer in uso all’indagato con l’ausilio del captatore informatico (già impiegato per l’esperimento di intercettazioni ambientali debitamente autorizzate).

A parere del ricorrente, tale attività investigativa – diversamente da come intesa dal Tribunale^[1] – si sarebbe dovuta inquadrare nel genus delle perquisizioni informatiche, ex art. 247, comma 1 bis c.p.p., mentre la relativa acquisizione del documento informatico sarebbe qualificabile quale sequestro. Non essendo state adottate le garanzie tipiche poste a presidio dell’esperimento di tali atti investigativi (principalmente, le norme a tutela dell’intervento del difensore, ossia gli artt. 250, 365 e 369 c.p.p., e la disciplina introdotta dalla l. n. 48 del 2008 a presidio dell’acquisizione dei dati informatici), a parere della difesa l’atto sarebbe stato da qualificare quale perquisizione illegittima, escludendosi peraltro, di poter far rifluire tale “perquisizione da remoto” nella categoria della “prova atipica”, in teoria ammissibile in presenza dei requisiti previsti dall’art. 189 c.p.p.

La Suprema Corte rigetta l’eccezione difensiva, avallando la soluzione offerta dal Tribunale del riesame.

Precisamente, secondo i giudici di legittimità, lo screenshot di un file excel eseguito per mezzo di un captatore informatico non darebbe luogo al sequestro di un documento informatico preesistente all’attività investigativa ma costituirebbe intercettazione mediante captazione di un flusso di dati in fieri e non sarebbe pertanto riconducibile ad una perquisizione. Si sarebbe trattato, perciò, di «una attività di mera “constatazione” dei dati informatici in corso di realizzazione» che, pur non rappresentando una “comunicazione” in senso stretto, costituirebbe, invece, un comportamento c.d. comunicativo del quale è ammessa la captazione previo provvedimento autorizzativo dell’autorità giudiziaria.

2. Le potenzialità funzionali del captatore informatico

Ancor prima di entrare nel merito delle scelte dei giudici di legittimità, lo studioso è chiamato a confrontarsi con le caratteristiche ontologiche del captatore informatico quale prodromo essenziale per cogliere al meglio le riflessioni giuridiche che verranno svolte nel prosieguo della trattazione.

Il captatore informatico è un  malware appartenente alla categoria dei sistemi informatici di controllo da remoto (Remote Control System), dal momento che consente di manovrare a distanza la macchina-bersaglio attraverso una connessione di Rete da un qualsiasi altro calcolatore, sfruttando un’architettura di tipo client/server. Attraverso quest’ultimo, abbattendo la protezione del dispositivo, il captatore penetra nell’apparato oggetto di indagine e, nel mentre, tramite il client, il monitorante ne acquisisce il pieno controllo.

La dottrina maggioritaria distingue le attività esperibili a mezzo Trojan in due macro-aree: le online search e le online surveillance^[2].

I programmi spia appartenenti alla prima categoria consentono di far copia, totale o parziale, delle unità di memoria del sistema informatico attenzionato.

In particolare, tale tipologia di software è tecnicamente in grado di entrare in maniera occulta all'interno del dispositivo bersaglio al fine di estrapolare dati e informazioni che, una volta copiati, vengono trasmessi, in tempo reale o ad intervalli prestabiliti, agli organi di investigazione attraverso un indirizzo Internet, in modalità nascosta e protetta.

Attraverso i programmi spia che realizzano la c.d. online surveillance, invece, è possibile monitorare il flusso di dati che coinvolgono un determinato sistema informatico o telematico (ora e durata delle connessioni, invio e ricezione di e-mail, chat, siti Internet visitati, file scaricati, ecc.).

Tentando di “scomporre” le singole attività esperibili mediante il captatore informatico, può dirsi che il malware è in grado di acquisire flussi di comunicazioni tra sistemi informatici e telematici (posta elettronica, messaggistica come Whatsapp, conversazioni Voip come Skype), attivare microfono e/o telecamera e rilevatori GPS. Può, inoltre, eseguire attività di Trojan, vale a dire entrare nella memoria del dispositivo e acquisire tutte le informazioni ivi giacenti o transitanti. In questo caso, il virus è in grado di registrare tutto quanto digitato sulla tastiera (keylogging) e tutto quanto appare sullo schermo (screenshot).

Ogni singola attività può essere abilitata a distanza e, analogamente, disabilitata, ma solo dal momento in cui il comando arriva al captatore; ciò vuol dire che può avvenire contestualmente all’invio del comando oppure in maniera ritardata. Inoltre, l’esportazione dei dati verso il server può non avvenire in tempo reale (magari per indisponibilità della Rete) e, in questo caso, le informazioni vengono custodite nell’apparato infettato in attesa della disponibilità d’invio^[3].

2.1. Segue: le istantanee di schermo. Una modalità di indagine dai contorni sfumati

L’attività di online search compiuta sulla macchina bersaglio non esaurisce la sua portata nell’osservazione, ricerca e acquisizione dei dati ivi giacenti o transitanti. Il captatore informatico, infatti, può essere impiegato anche in veste di “fotocopiatore” del dispositivo infetto, essendo in grado di captare e registrare l’output video del dispositivo bersaglio, permettendo agli inquirenti di apprendere tutta l’attività visualizzata sullo schermo e di memorizzarla mediante fermo immagine (screenshot).

In tali ipotesi, il malware non funge soltanto da strumento di copia dal server (computer infettato) al client (computer in uso alla p.g.) ma funziona come se fosse un vero e proprio «specchio dello schermo»^[4] del dispositivo infettato, idoneo a riflettere – in tempo pressoché reale – le attività che sono compiute all’interno del sistema, consentendo la graduale acquisizione di ciò che nel tempo si somma al dato già acquisito.

Precisamente, con l’uso del Trojan su questa modalità “screenshot” si acquisisce in chiaro (parte di) ciò che è cifrato e che appare sullo schermo dello smartphone o di un personal computer nel momento in cui l’utente utilizza lo strumento informatico^[5].

Con delle vere e proprie fotografie dello schermo effettuate dal software posto all’interno dello smartphone/pc, il malware acquisisce – o può comunque acquisire –  le informazioni più svariate sia dei contenuti comunicativi sia di quelli non comunicativi. Non si tratta di intercettazione ambientale con l’uso del microfono; non si tratta di captare da remoto tutti i file e contenuti del supporto; bensì soltanto di fare una “foto” di ciò che appare a video ovvero di ciò che l’utente del telefono sta facendo. Spesso quello che viene captato è ciò che si è tentato inutilmente di acquisire con le intercettazioni telematiche. A discrezione dell’operatore, ogni “tot” secondi/minuti/ore (è possibile quindi anche variare il tempo) si può impostare uno screenshot che riprende l’attività che appare sullo schermo. Si pensi alla rubrica, alla navigazione web, al contenuto di una email scritta o letta o ad un documento. Se la cadenza degli screen shot è frequente, potrebbe captare anche una conversazione via chat in tempo reale, ovvero in corso tra due soggetti che si stanno scrivendo mediante le App di messaggistica istantanea.

Si tratta, in questi casi, di una vera e propria forma di sorveglianza perpetua che permette di constatare l’evolversi dell’attività criminosa in essere, ma che – allo stesso tempo – incidentalmente coinvolge ogni forma di estrinsecazione dell’attività umana mediante il mezzo informatico, sia essa riconducibile alla vita professionale o a quella privata.

3.  Il (fallace) tentativo di sussumibilità delle investigazioni a mezzo Trojan nelle categorie probatorie

Proprio dalla sua intrinseca poliedricità derivano le maggiori perplessità dei giuristi: posto che la tecnologia consente di modulare l’impiego del Trojan a seconda delle esigenze investigative da soddisfare, sembra imprescindibile qualificare giuridicamente le singole attività riconducibili al sistema di controllo da remoto, in modo da individuare la disciplina cui le stesse devono soggiacere, verificando al contempo la tenuta costituzionale e codicistica degli atti di indagine così raccolti.

Invero, la possibilità di attrarre le plurime attività investigative condotte dal Trojan nel genus dei mezzi di ricerca della prova tipici e atipici sarà oggetto di trattazione autonoma nel prosieguo della trattazione^[6], rappresentando il punctum dolens della disciplina vigente.

In prima approssimazione, potrebbe ritenersi che l’attivazione del microfono del dispositivo infettato consenta al malware di eseguire intercettazioni tra presenti (art. 266, comma 2 c.p.p.), figurando quale nuova tecnica investigativa da impiegare in luogo delle tradizionali microspie^[7]. Inoltre, la captazione del flusso di comunicazioni tra sistemi informatici e telematici potrebbe configurarsi quale intercettazione telematica (art. 266 bis c.p.p.); mentre l’accesso al sistema per ricercare tracce e gli altri effetti materiali del reato che possono giacere nella macchina-bersaglio ed eventualmente acquisire i file di interesse investigativo, potrebbe essere sussunta nell’àmbito delle ispezioni, perquisizioni e sequestri informatici (artt. 244, comma 2, 247, comma 2 bis, 253 e 254 c.p.p.)^[8].

Senza voler approfondire le ragioni che spingono l’interprete a discostarsi da una simile e improvvida parificazione, può anticiparsi che gli esiti investigativi ottenuti tramite captatore sembrano difficilmente riconducibili al catalogo degli atti noti, perché le caratteristiche che potrebbero assimilarli ad essi appaiono sempre cedevoli rispetto ai profili differenziali determinati dalle peculiarità dello strumento tecnico impiegato.

In altri termini, pur potendo prima facie avvicinare i risultati investigativi ottenuti mediante il captatore informatico a quelli  ricavabili dall’esperimento delle intercettazioni, delle ispezioni, delle perquisizioni e dei sequestri informatici, le potenzialità intrinseche dello strumento portano all’esecuzione di atti di indagine completamente inediti che assommano le caratteristiche proprie dei mezzi di ricerca della prova tipici^[9]. A ben guardare, infatti, gli esiti fattuali del Trojan sono così ampi e complessi da delineare figure probatorie amorfe, mai normate dal legislatore, rappresentando (tutt’al più) strumenti di esecuzione di mezzi di ricerca della prova atipici^[10].

Intanto, consentendo l’attivazione della videocamera eventualmente collocata sul dispositivo, il captatore è in grado di effettuare videoriprese investigative “perpetue” e “ubiquitarie”, potendo monitorare costantemente i comportamenti, comunicativi e non, della persona sottoposta a indagine, in ogni momento e in qualsiasi luogo si trovi; l’attivazione del GPS satellitare dell’apparato mobile infetto realizza una forma di pedinamento tecnologico avanzato, “mappando” ogni spostamento del soggetto attenzionato. Infine, l’ipotesi che il Trojan venga abilitato ad un’apprensione generale di tutto ciò che viene digitato sulla tastiera dell’indagato e di tutto quanto compare sullo schermo del dispositivo – anche di testi di tipo comunicativo – sembra di difficile inquadramento se non sul piano dell’atipicità.

In particolare, l’accesso al sistema per la ricerca di tutti dati utili alle indagini, anche se non strettamente connessi alla repressione del reato, determina un’intrusione a fini esplorativi (c.d. perquisizioni online)^[11] che, come evidenziato, «è ^[…] assai più invasiva di un’intercettazione, dato che mentre in quest’ultima ipotesi si capta il contenuto comunicativo che un soggetto ha comunque deciso di rivelare al suo interlocutore, nel caso della visualizzazione dei contenuti digitali si può invadere la sfera più riservata di una persona»^[12], determinando finanche una lesione «all’inviolabilità della psiche»^[13].

Va comunque anticipato che anche la prospettiva per cui il malware può  essere identificato quale strumento di perquisizione online – e, dunque, allocabile nell’àmbito dei mezzi di ricerca della prova atipici – non può essere accolta senza riserve: per evitare censure di incostituzionalità, infatti, anche le categorie probatorie non tipizzate devono garantire la tutela dei diritti inviolabili della persona^[14], quali l’art. 13 Cost., baluardo della libertà di ogni individuo, l’art. 14 Cost., posto a protezione del domicilio, l’art. 15 Cost., che tutela la libertà e la segretezza della corrispondenza e di ogni altra forma di comunicazione.

Come evidenziato dalla giurisprudenza^[15] e dalla dottrina^[16], con il captatore informatico è possibile svolgere (anche contemporaneamente) un’eterogenea congerie di attività tipiche e atipiche di indagine pesantemente intrusive delle libertà del soggetto destinatario, eziologicamente volte, come una sorta di “panopticon” benthamiano^[17], a sorvegliare ogni atto quotidiano della vita. Dunque, «la valenza intrusiva del captatore è elevatissima, potendo esso effettuare contemporaneamente un’intercettazione ambientale, telematica, effettuare riprese audio e video, una geolocalizzazione, un appostamento e un pedinamento informatico, rastrellando una grande quantità di dati e immagini tratti dall’ambiente circostante»^[18].

Ci si trova, dunque, difronte ad uno strumento «onnivoro»^[19], atto a realizzare forme di controllo assai pervasive e, proprio per tale ragione, di «spiccata invadenza»^[20], tali da rendere pienamente comprensibili gli interrogativi da parte di chi sottolinea il potenziale grave vulnus alle garanzie fondamentali dei singoli, con l’aggravante dell’assenza di una rigida forma di regolamentazione delle attività – diverse e altre rispetto all’intercettazione stricto sensu intesa – esperibili tramite il mezzo in esame^[21].

4. L’incompleta manovra legislativa

La materia delle intercettazioni mediante captatore informatico rappresenta il frutto di una stratificazione giurisprudenziale^[22] e legislativa senza precedenti. Nonostante gli sforzi profusi, le nuove disposizioni trovano compiuta realizzazione solo quattro anni dopo il primo intervento riformatore. Questa vicenda, si è detto, «presenta i tratti del grottesco»^[23].

Più nel dettaglio, la riforma operata dal d.lgs. 29 dicembre 2017, n. 216^[24], in attuazione della delega contenuta nell’art. 1 della l. 23 giugno 2017, n. 103^[25], sarebbe dovuta entrare in vigore il 26 luglio 2018 ma subisce nell’immediatezza tre rinvii con altrettanti provvedimenti normativi: la data del 31 marzo 2019 prevista dall’art. 2 del d.l. 25 luglio 2018, n. 91 viene prorogata al 31 luglio 2019^[26] e successivamente rinviata al 31 dicembre 2019^[27]. Poi, proprio nel giorno della sua entrata in vigore, il Consiglio dei Ministri approva la contro-riforma del sistema delle intercettazioni^[28]. Il che, sebbene inaspettato perché improvviso, non ha sorpreso a causa del mutamento della compagine governativa con l’insediamento in Parlamento della nuova legislatura^[29].

Secondo la novella del 2019, la normativa avrebbe dovuto trovare applicazione ai procedimenti penali iscritti dopo il 29 febbraio 2020. Naturalmente, si è trattato di un termine irrealistico, «tanto da far sorgere il dubbio che fosse stato inserito solo per asseverare l’urgenza dell’intervento e giustificare il ricorso alla decretazione d’urgenza»^[30].

Puntualmente, in sede di conversione, il Parlamento prospetta tempi ragionevolmente più lunghi, facendo slittare l’entrata in vigore tra il 30 aprile e il 1 maggio^[31]. Ma ulteriori rinvii non tardano ad arrivare. Subito dopo l’approvazione della legge 7/2020, il mondo intero si accinge a combattere la lotta pandemica contro il Covid-19. La nuova emergenza impedisce evidentemente di completare quelle «complesse misure organizzative in atto, anche relativamente alla predisposizione di apparati elettronici e digitali» e di effettuare «le attività di collaudo dei sistemi presso i singoli uffici giudiziari delle procure della Repubblica» in modo da «giungere all’entrata in vigore della disciplina con le misure organizzative completamente dispiegate e funzionanti»^[32]. Così il 30 aprile 2020, viene procrastinata nuovamente l’entrata in vigore della normativa, stabilendo che le nuove disposizione si applicano ai procedimenti penali iscritti dopo il 31 agosto 2020^[33].

Benchè al nuovo legislatore sia stata concessa la chance di “correggere il tiro” rispetto agli errori fatti e rilevati dalla dottrina e dalla giurisprudenza durante quest’ultimo biennio, la riforma sembra acuire le preoccupazioni degli esperti del settore, nascondendo molte insidie per la tenuta del sistema e l’efficacia stessa dello strumento intercettivo.

Al fine di individuare gli elementi di novità apportati dal legislatore del 2020, occorre inevitabilmente richiamare l’impianto normativo su cui si sedimenta la novella.

Come già anticipato, il d.lgs. 216/2017 ha introdotto un nuovo comma 2 bis all’art. 266 c.p.p., prevedendo che sono sempre consentite le intercettazioni tra presenti – anche nei luoghi di privata dimora (art. 614 c.p.), a prescindere dalla sussistenza del fondato motivo di ritenere che in quel luogo si stia svolgendo un’attività criminosa – mediante l’inserimento di captatore informatico solo nel caso in cui si proceda per i delitti di cui all’art. 51, commi 3 bis e 3 quater c.p.p.^[34]; viceversa, per tutte le altre fattispecie delittuose, le captazioni mediante virus informatico in àmbito domiciliare possono essere autorizzate solo ove sussista il sopra indicato requisito, seguendo la regolare disciplina delle intercettazioni.

Su questo impianto è poi intervenuta la l. 3/2019 che, innestando nella disposizione di cui all’art. 266, comma 2 bis c.p.p. una nuova categoria criminosa intercettabile senza limiti con l’ausilio del virus informatico, equipara de facto i procedimenti per i delitti “gravi” dei pubblici ufficiali contro la pubblica amministrazione a quelli di cui all’art. 51, commi 3 bis e 3 quater c.p.p.^[35].

Tali modifiche sono oggetto di ulteriore interpolazione ad opera del d.l. 161/2019 con la specificazione che i delitti contro la pubblica amministrazione per cui si applica la più blanda disciplina di cui all’art. 266, comma 2 bis c.p.p. sono quelli commessi, oltre che dai pubblici ufficiali, anche dagli incaricati di pubblico servizio^[36].

Come precisato, questa interpolazione sembra rivolta ad affrontare uno dei dubbi interpretativi che gli art. 4 e 6 del d.lgs. 216 del 2017 poteva ingenerare^[37].

Una interpretazione letterale di tali disposizioni poteva indurre a ritenere che gli standards richiesti per le indagini in tema di criminalità organizzata fossero stati estesi alle investigazioni che, nell’àmbito dei delitti contro la pubblica amministrazione, riguardavano più precisamente quelli di cui al Capo I – intitolato proprio “Dei delitti dei pubblici ufficiali contro la pubblica amministrazione” – del Titolo II del Libro II c.p.^[38].

La previsione in parola, ai fini del ricorso al captatore informatico nei reati contro la pubblica amministrazione, riconosce rilievo alla qualifica soggettiva riconosciuta all’indagato: come precisato, «^[S]embra sostenibile, pertanto, che lo strumento tecnologico in esame possa essere impiegato per tutti i “delitti contro la pubblica amministrazione”, compresi nel titolo II, del Libro II del codice penale, commessi tanto dai pubblici ufficiali, quanto dagli incaricati di pubblico servizio, ovviamente sempre che sussistano i presupposti di ammissibilità indicati dalla norma ^[…]»^[39].

Allo stato dell’arte, dunque, vige una disciplina “tripartita” in materia di captazioni nei luoghi domiciliari mediante Trojan: da una parte, vi sono i reati di criminalità organizzata ed economica (richiamati dall’art. 266, comma 2 bis c.p.p.), per cui sono sempre consentite le intercettazioni ambientali domiciliari; dall’altra, i reati “comuni”, per i quali, invece, l’impiego dello strumento soggiace ai limiti di cui al comma 2 del medesimo articolo; dall’altra ancora, esiste una normazione ibrida in relazione ai procedimenti facenti capo a un’associazione per delinquere seppur diversa dalle fattispecie contemplate dall’art. 51, commi 3 bis e 3 quater c.p.p.^[40] – nonché quelli la cui disciplina risulta equiparata all’art. 13 del d.l. n. 152/91 – per i quali, invece, pur non essendo previsto un limite all’intrusione domiciliare in ragione del “doppio binario investigativo”, non trova applicazione né la disciplina più estensiva del nuovo comma 2 bis dell’art. 266 c.p.p. né le altre disposizioni derogatorie di cui all’art. 267, comma 1 e 2 bis c.p.p.

In relazione al decreto autorizzativo “rafforzato”, il comma 1 dell’art. 267 c.p.p. viene progressivamente arricchito: prima, dall’art. 4, comma 1, lett. b, punto 1 del d.lgs. 216/2017 che introduce la precisazione dei tempi e dei luoghi oggetto di captazione nel caso in cui si proceda per delitti diversi da quelli di cui all’art. 51, commi 3 bis e 3 quater c.p.p.; poi, dall’art. 1, comma 4, lett. b, l. 3/2019, che amplia la deroga anche ai delitti commessi dai pubblici ufficiali contro la pubblica amministrazione puniti con la pena della reclusione non inferiore nel massimo a cinque anni determinata ai sensi dell’art. 4 c.p.p. Da ultimo, l’art. 2, comma 1, lett. d, punto 1, d.l. 161/2019 prevede che la deroga valga anche nel caso degli stessi delitti commessi dagli incaricati di pubblico servizio^[41].

Occorre solo un’ultima precisazione: come espressamente previsto in sede di conversione del d.l. n. 161/2019, nel caso in cui si proceda per delitti contro la pubblica amministrazione di cui all’art. 266, comma 2 bis, c.p.p., il decreto autorizzativo deve anche specificare le ragioni che giustificano l’impiego del captatore informatico e l’esercizio delle operazioni anche nei luoghi di cui all’art. 614 c.p.^[42].

Tale contenuto non sembra coincidere con il fondato motivo per ritenere che in un ambiente, riconducibile alla previsione dell’art. 614 c.p., sia in corso l’attività criminosa; presupposto richiesto dall’art. 266, comma 2 c.p.p. per lo svolgimento di intercettazioni tra presenti per reati diversi da quelli contemplati dal comma 2 bis dello stesso articolo in simili luoghi. Come sostenuto, si tratta verosimilmente «di qualcosa di meno della dimostrazione che sia in atto l’attività criminosa, ma comunque di un dato che vale a giustificare l’intrusione nel domicilio»^[43].

Così facendo, il legislatore intende diversificare ulteriormente la disciplina prevista per i reati economici rispetto a quella riservata ai reati di cui all’art. 51, commi 3 bis e 3 quater, c.p.p., aggravando gli oneri motivazionali del giudice.

In sostanza, il decreto autorizzativo, pur non dovendo indicare i luoghi e i tempi delle captazioni in ragione del disposto di cui all’art. 267, comma 1 c.p.p., deve, per converso, prevedere i motivi che giustificano il ricorso allo strumento per le captazioni domiciliari che, è bene ribadirlo, non soggiace ad alcuna limitazione, secondo il disposto di cui all’art. 266, comma 2 bis c.p.p.

Discutibile appare la scelta di aggravare l’onere motivazione da parte del giudicante allorquando autorizza il compimento delle operazioni di intercettazione mediante captatore informatico all’interno del domicilio qualora si proceda per reati contro la pubblica amministrazione.

Come osservato, l’“utilità” richiesta «appare difficilmente rinnegabile, posto che ^[…] è facilmente intuibile l’utilità di una intercettazione all’interno dell’abitazione, specialmente laddove si ipotizzino confidenze dell’indagato con i familiari conviventi. Se si considera poi che, non trattandosi di un presupposto di ammissibilità, l’eventuale omessa indicazione delle suddette ragioni non sconta certamente la sanzione di inutilizzabilità dei risultati, di cui al comma 1 dell’art. 271 c.p.p., in quanto non eseguita al di fuori dei casi consentiti dalla legge, la novità appare, francamente, di modesta portata innovativa»^[44].

In relazione, invece, ai profili “tecnici”, vanno segnalate, le modifiche apportate all’art. 89 disp. att. c.p.p. Si interviene sul comma 2, prevedendo che, ai fini dell’installazione e dell’intercettazione attraverso captatore informatico in dispositivi elettronici portatili devono – anziché possono – essere impiegati soltanto programmi conformi ai requisiti tecnici stabiliti con decreto del Ministero della giustizia. Si tratta di una modifica che, nel voler rafforzare il divieto d’uso di programmi non conformi, appare di scarso impatto rispetto a quanto già era previsto dal “decreto Bonafede”.

Al comma 3 del medesimo articolo, viene introdotta una nuova procedura di trasferimento e custodia dei dati appresi, per cui gli stessi devono essere “conferiti” presso gli impianti della procura della Repubblica^[45] e ivi trasmessi ricorrendo a procedure tecniche idonee a garantire l’integrale corrispondenza tra quanto registrato e trasmesso^[46]. Se, tuttavia, appare impossibile procedere al contestuale trasferimento dei dati intercettati, il verbale deve anche indicare le ragioni tecniche impeditive e della successione cronologica degli accadimenti captati e delle conversazioni intercettate.

L’aspetto maggiormente rilevante della novella del 2020 inerisce alle riforme che intaccano la disciplina dei divieti di utilizzazione probatoria dei dati illegittimamente appresi (art. 270 c.p.p.)^[47].

Più precisamente, il comma 1 dell’art. 270 c.p.p., rimasto immune ai ritocchi normativi pregressi, subisce una modifica in sede di conversione sotto un duplice profilo: da un lato, si rafforzano le condizioni che legittimano l’impiego dei risultati captativi in procedimenti diversi da quelli indicati nel decreto autorizzativo; dall’altro, viene introdotta un’ulteriore ipotesi derogatoria al regime di inutilizzabilità, prevedendo che la trasmigrazione del captato possa considerarsi legittima allorquando risulti «necessaria e indispensabile» non solo per l’accertamento dei delitti per i quali l’arresto in flagranza è obbligatorio, ma anche dei reati di cui all’art. 266, comma 1 c.p.p.^[48].

L’inserimento, a distanza di meno di due mesi dalla pronuncia delle Sezioni Unite “Cavallo”^[49], del riferimento all’art. 266 c.p.p. potrebbe indurre a ritenere, in sede di prima ma poco attenta esegesi della norma, che il legislatore abbia inteso positivizzare le condizioni indicate dalla Suprema Corte ai fini dell’impiego extraprocedimentale delle risultanze intercettive.

In questo senso, potrebbe propendersi per l’utilizzabilità delle captazioni in procedimenti diversi sempre che si tratti di fattispecie ricomprese nel catalogo declinato dal comma 1 dell’art. 266 c.p.p., ovverosia di reati per i quali sarebbero comunque state consentite ab origine le operazioni di intercettazione. 

Come anche sostenuto dalla dottrina^[50], una simile lettura non può essere avallata, in quanto il riferimento all’art. 266 c.p.p. nell’attuale formulazione dell’art. 270 c.p.p. è accostato non all’indicazione del divieto di utilizzazione in procedimenti diversi quanto piuttosto alle ipotesi dei reati per i quali sia previsto l’arresto obbligatorio in flagranza e per i quali l’utilizzabilità è invece ammessa senza limiti.

Di conseguenza, la nuova disciplina ammette l’impiego dei risultati delle intercettazioni in procedimenti diversi non soltanto qualora le captazioni risultino necessarie ed indispensabili per l’accertamento dei delitti per i quali sia previsto l’arresto obbligatorio in flagranza ma anche, in alternativa, per i reati indicati nel corpo del comma 1 dell’art. 266 c.p.p. La bontà di tale soluzione interpretativa trova conferma, peraltro, proprio nei lavori parlamentari^[51], laddove si indica che tale modifica estende l’utilizzabilità delle intercettazioni in procedimenti diversi anche nei casi indicati dall’art. 266 c.p.p. per i quali non sia previsto l’arresto obbligatorio in flagranza^[52]. 

Per quanto concerne il comma 1 bis dell’art. 270 c.p.p., nella formulazione originaria del 2017, si era previsto che i risultati raccolti mediante captatore informatico non potessero essere utilizzati per la prova di delitti diversi da quelli autorizzati, «salvo che gli stessi siano necessari per l’accertamento dei delitti per i quali l’arresto in flagranza è obbligatorio».

Anche sul punto, il legislatore del 2020 interviene in maniera assai incisiva, ribaltando la struttura della disposizione che, da norma di divieto, si trasforma in una norma di autorizzazione, con l’unica condizione che i reati da provare rientrino nella categoria di quelli per i quali il ricorso al captatore è autorizzato dal relativo decreto.

Ai sensi della nuova normativa, fermo restando il divieto di impiego del prodotto delle captazioni in procedimenti diversi da quelli nei quali le stesse sono state disposte^[53], «^[…] i risultati delle intercettazioni tra presenti operate con captatore informatico su dispositivo elettronico portatile possono essere utilizzati anche per la prova di reati diversi da quelli per i quali è stato emesso il decreto di autorizzazione, se compresi tra quelli indicati dall’articolo 266, comma 2 bis» c.p.p.^[54], condizionando il loro impiego al canone della “indispensabilità”^[55].

Allo stato, dunque, è possibile utilizzare le risultanze delle attività captative condotte mediante Trojan per la prova di reati diversi da quelli contemplati dal decreto autorizzativo, purché ricompresi tra i gravi crimini di cui all’art. 51, commi 3 bis e 3 quater c.p.p. e quelli commessi dai pubblici ufficiali o gli incaricati di pubblico servizio contro la pubblica amministrazione, nonché per la prova dei delitti per i quali è obbligatorio l’arresto in flagranza.

A ben guardare, la contro-riforma tende a sgretolare la regola dell’inutilizzabilità, estendendo il perimetro di operatività del regime derogatorio: nell’ottica di un coordinamento con l’interpretazione fornita dalla Suprema Corte al concetto di “diverso reato” e “diverso procedimento”^[56], si deve ritenere che il divieto di circolazione delle informazioni apprese mediante captatore non opera (oltre che in relazione ai casi espressamente previsti dal dettato normativo di cui al comma 1 dell’art. 270 c.p.p., espressamente richiamato nell’incipit del comma 1 bis del medesimo articolo), con riferimento ai reati diversi ma connessi ex art. 12 c.p.p.^[57], nonché ai reati diversi non connessi che rientrano nei casi di cui all’art. 266, comma 2 bis c.p.p.

La novella apre, dunque, la strada “libera” circolazione probatoria delle risultanze della captazione digitale determinando una sostanziale violazione della garanzia della riserva di giurisdizione prevista dall’art. 15 Cost.^[58], con riferimento all’intercettazione confluita nel “procedimento diverso”, in assenza di qualsivoglia controllo da parte del giudice procedente.

In sostanza, il rischio è che una volta ottenuta l’autorizzazione all’impiego del virus informatico in riferimento ad un certo reato all’interno di un determinato procedimento – e quindi anche sulla base di motivi concernenti la posizione dell’indagato in quel procedimento per quella specifica fattispecie delittuosa – le informazioni ottenute possano essere utilizzate anche in indagini diverse per la prova di reati differenti, benché, in questi non sussistano o comunque non siano stati verificati i presupposti per l’emissione di un analogo provvedimento autorizzativo.

5. Tra tipicità e atipicità

Lo si è anticipato sin dalle prime battute del lavoro^[59]; il più complesso problema da risolvere è la tassonomia probatoria in cui ascrivere il captatore informatico. Date le sue potenzialità tecnologiche dirompenti è suscettibile di molteplici inquadramenti, ben potendo appartenere a ciascuna categoria dei mezzi di ricerca della prova a disposizione del codice di procedura penale italiano.

Si sa che il legislatore – tra le diverse alternative prospettabili – ha scelto di limitare le funzionalità del virus, di modo che, attraverso l’attivazione del microfono del dispositivo “infetto”, si potesse procedere alla sola captazione delle registrazioni audio. L’obiettivo è quello di attribuire al captatore elettronico un preciso volto, quello di una «cimice informatica»^[60], ossia di uno strumento inedito per dare esecuzione ad un mezzo tradizionale di ricerca della prova, rappresentato dall’intercettazione di conversazioni e comunicazioni tra presenti (art. 266, comma 2 c.p.p.)^[61].

Probabilmente (ma più che una supposizione è una certezza) il legislatore ha cercato la soluzione più agevole, quella che comporta meno sacrificio in termini di utilità investigativa, senza rinunciare – almeno formalmente – alla tutela dei diritti inviolabili.

Se l’impiego del Trojan Horse fosse davvero limitato a quanto or ora descritto non ci sarebbero problemi né questioni di cui parlare. Tuttavia, così non è.

L’introduzione di una legge ad hoc volta a disciplinare l’impiego del captatore informatico nel processo penale quale strumento tecnico di intercettazione ambientale non esaurisce né l’impiego che se ne fa quotidianamente né la querelle processuale. Il Trojan continua a suscitare forte disagio tra gli studiosi e gli operatori, spiegabile con la congenita illimitatezza delle sue funzioni, da un lato, e l’inquietante silenzio legislativ^o, dall’altro.

Sul punto, si registrano due orientamenti dottrinali antitetici: c’è chi^[62] propende per l’illiceità della “altre” attività che il virus – almeno in potenza – è in grado di dispiegare e chi^[63], al contrario, ne ammette una qualche forma di utilizzo in ragione della “tipicità” dei risultati probatori ottenuti.

Più in particolare, stante l’incidenza sul piano dei diritti fondamentali di una simile tecnica investigativa, secondo alcuni parrebbe necessario limitarne il più possibile la sfera operativa, restringendo il campo di azione alle sole intercettazioni di comunicazioni tra presenti, come previsto nella novella del 2017: la mancanza di una previsione legislativa espressa delle funzioni diverse dalla captazione di conversazioni e comunicazioni ex art. 266, comma 2 c.p.p., «potrebbe suonare come un’esclusione»^[64].

Contrariamente, si sostiene che la lacuna legislativa non permette di ritenere che le attività investigative di cui si discute debbano ritenersi vietate e, come tali, insuscettibili di fornire materiali probatori utilizzabili in giudizio. Ciò «perché alcune di tali attività ^[…] sono riconducibili a strumenti di ricerca della prova già disciplinati dalla legge (segnatamente, l’intercettazione di comunicazioni) e comunque, perché nel sistema processuale penale italiano non esiste un principio di tassatività della prova, essendo il giudice espressamente autorizzato ad assumere anche “prove non disciplinate dalla legge” (art. 189 c.p.p.)»^[65].

A ben riflettere, dalle impostazioni dottrinali richiamate emerge che la legittimità degli atti di indagine provenienti dagli usi ultronei del Trojan è strettamente interconnessa alla qualifica giuridica ad essi riconosciuta: qualora tali atti dovessero rientrare nell’àmbito delle categorie probatorie più o meno note al sistema processuale, non sarebbe preclusa la possibilità di utilizzare le altre funzioni del captatore informatico che esulano dall’attivazione del microfono del dispositivo; se, invece, il polimorfismo del virus desse luogo ad atti di indagine non sussumibili in nessun mezzo di ricerca della prova (tipico o atipico), allora si dovrebbe ritenere che il software possa assumere solamente la fisionomia di una cimice informatica.

6. Le posizioni pregresse sulle funzioni atipiche

Delineato lo stato dell’arte, sembra doveroso comprendere le posizioni della giurisprudenza che – nei suoi illustri e isolati precedenti – tende ad assimilare due funzionalità del Trojan in modalità di online search, ossia il keylogging e gli screenshot.

In particolare, la Corte ne consacra la legittimità ritenendo che tali attività rappresentino solo una modalità nuova, stravagante e diversa di istituti giuridici tradizionali^[66].

In relazione al keylogging, una recente pronuncia della Suprema Corte chiarisce che «l’uso del Trojan ^[…] è ^[volto] all'acquisizione delle password di accesso agli account di posta elettronica. Ottenute queste password, gli inquirenti ^[…] prendono visione dei messaggi che vengono via via inviati o ricevuti e dei messaggi che vengono salvati nella cartella “bozze”». Di conseguenza, «si è usato il programma informatico ^[…] così come si è da sempre usata la microspia per le intercettazioni»^[67].

In sostanza, a parere della Suprema Corte, la funzione di keylogging rappresenta solo una modalità alternativa alle tradizionali microspie, idonea a compiere intercettazioni telematiche (art. 266 bis c.p.p.) o ambientali (art. 266, comma 2 c.p.p.).

Sul punto, tuttavia, si avanzano delle riserve. Non sembra, invero, che il software sia adoperato per cogliere comunicazioni, quanto piuttosto per individuare ciò che viene digitato sul computer; in questo modo vengono acquisite le password che consentono l’accesso agli account di posta elettronica ed alle mail contenute.

In questi casi, «^[A]ppare arduo ricomprendere la digitazione sulla tastiera di un computer necessaria per accedere ad una casella di posta elettronica nel concetto di comunicazione»^[68], rappresentando un flusso unidirezionale di dati.

D’altra parte, l’attività acquisitiva delle credenziali di accesso alla casella di posta elettronica, prodromica all’attività intercettiva stricto sensu intesa, non così agevolmente può essere sussunta nell’àmbito di un’ispezione o una perquisizione di tipo elettronico che ha condotto al sequestro della password^[69]. Come già più volte chiarito, a fronte di un’incompatibilità intrinseca tra il captatore informatico – che determina un monitoraggio occulto e totalizzante del soggetto attenzionato – e i mezzi di ricerca della prova tipici – che si traducono in atti investigativi palesi –, sembra che l’attività de qua rappresenti un’indagine “scomposta” nella quale i risultati investigativi tipici sono il frutto di atti di indagine atipici.

Il ragionamento or ora condotto può essere in parte esteso anche all’impiego degli screenshot nel procedimento penale.

Di recente, la Corte di Cassazione ha previsto che l’acquisizione degli screenshot o dei singoli file può essere assimilata «alla captazione in tempo reale di flussi informatici transitati sul computer dell’indagato, ovvero di flussi informatici transitati sui dispositivi, rientrante, quest’ultima, nel concetto di intercettazione»^[70].

Anche in questo caso, l’assimilazione di questa peculiare tecnica investigativa alle intercettazioni telematiche appare eccessivamente semplicistica^[71]. Pur potendo captare anche un flusso comunicativo, «^[N]on si tratta di intercettazioni ambientali con l’uso del microfono; non si tratta di captare da remoto tutti i file e contenuti del supporto, bensì ^[…] di fare una “foto” di ciò che appare a video ovvero di ciò che l’utente del telefono sta facendo»^[72].

Pur sussistendo un decreto con cui si autorizza l’intercettazione telematica, avvalendosi del Trojan in modalità screenshot si acquisisce in chiaro (parte di) ciò che è cifrato e che appare sullo schermo dello smartphone o di un computer nel momento in cui l’utente utilizza lo strumento informatico: con delle vere e proprie fotografie dello schermo effettuate dal software posto all’interno del dispositivo elettronico il malware acquisisce – o può comunque acquisire – le informazioni più svariate sia dei contenuti comunicativi sia di quelli non comunicativi, nonché quelle che esulano dall’interesse investigativo concretamente perseguito dagli inquirenti^[73].

Dunque, seppur il trend seguito dalla giurisprudenza sia volto a legittimare l’impiego del captatore a prescindere dalla funzione utilizzata, l’attività svolta con il captatore informatico realizza qualcosa di «trasversale»^[74] rispetto al panorama giuridico esistente; attività che solo in parte, con interpretazioni estensive ai limiti della forzatura, è possibile far rientrare nel concetto di prova tipica.

In questi casi, si ritiene preferibile l’impostazione per cui l’attività de qua sia assimilabile alle perquisizioni online, avendo ad oggetto il monitoraggio occulto dei “movimenti” in rete atto all’acquisizione di informazioni – anche e molto spesso – non comunicative.

Non si può tuttavia negare che l’acquisizione di dati informatici condotta mediante l’impiego del malware rappresenti qualcosa di più e di diverso rispetto un’investigazione atipica “tradizionale”: controllare in modo occulto e continuativo ciò che una persona digita sulla tastiera e ciò che visualizza sullo schermo del proprio device, non solo mette a repentaglio la riservatezza genericamente intesa del soggetto monitorato ma qualcosa di molto più profondo e intimo. Il dispositivo elettronico, soprattutto se mobile, rappresenta «un’appendice della persona, in grado di rivelarne i segreti più nascosti ed inconfessabili»^[75]. Di qui, può sostenersi che la videoregistrazione della successione della schermata di un computer e lo spionaggio della digitazione della tastiera rappresentano attività che giungono ad un livello di invasività tale da «aggredire il foro interno di una persona»^[76], riferibile a quel complesso di diritti espressamente tutelato dagli artt. 14 e 15 Cost., anche con precipuo riferimento alla protezione della proiezione dell’individuo nell’etere digitale, presidiando la sua soggettività in rapporto a qualunque dato o attività svolta nell’àmbito di un sistema informatico e della Rete.

7. Gli screenshot quale modalità tecnologicamente avanzata di videoripresa investigativa nel domicilio

Dalla ricostruzione or ora effettuata, emerge che gli screenshot assumano sembianze diverse a seconda dell’oggetto captato e, dunque, i risultati investigativi appresi seguono discipline diversificate con altrettanti regimi di utilizzabilità a seconda della qualifica assunta.

In particolare, nel caso in cui l’oggetto della videoripresa sia rappresentato da sole immagini (ovvero da comportamenti non comunicativi, quali, ad esempio, i movimenti dei soggetti in un ambiente), il dato probatorio acquisito soggiace alla disciplina di cui all’art. 189 c.p.p.; viceversa, allorquando vengano appresi anche contenuti comunicativi (ad esempio, due persona che dialogano tra loro a gesti), tale attività è inquadrabile nel genus delle intercettazioni ambientali, ex art. 266, comma 2 c.p.p. ^[77].

In questa prospettiva, le videoriprese effettuate in un luogo pubblico^[78], sono legittime e pienamente utilizzabili anche in assenza di un decreto autorizzativo, purché le modalità di assunzione previste dall’art. 189 c.p.p. siano state oggetto di contraddittorio, sia pure posticipato.

Nei luoghi “riservati”^[79], soggetti alla tutela della privacy ma non a quella offerta al domicilio, la videoripresa deve essere autorizzata con apposito decreto, desumendo tale necessità dall’art. 2 Cost.

Infine, nei luoghi domiciliari^[80] gli elementi di prova acquisiti ex art. 189 c.p.p., sono inutilizzabili, in quanto basati su un’attività che la legge vieta.

La fragilità di una disciplina così congegnata – non fondata su basi normative stabili ma su interpretazioni giurisprudenziali e dottrinali peraltro ondivaghe – determina effetti perniciosi sui limiti stessi del divieto introdotto, finendo per legittimare tutte quelle attività investigative dai contorni più sfumati, al limite tra acquisizione di immagini aventi ad oggetto comportamenti comunicativi e non^[81], anche in luoghi non perfettamente inquadrabili nelle categorie sopra indicate. In questo senso, è stato osservato come «residuano “zone grigie”, dove la prassi è incline ad aperture in chiave autoritaristica»^[82].
Non solo. L’erosione dei confini del divieto, combinato all’itineranza ontologica del virus informatico, potrebbe determinare l’apprensione di una mole di dati che non sempre sono esclusi dagli esiti procedimentali. A ben guardare, infatti, non sono mancate decisioni della giurisprudenza di legittimità in cui si è affermata la piena utilizzabilità delle videoriprese di comportamenti materiali realizzate in àmbito domiciliare, allorquando tale captazione fosse avvenuta “incidentalmente”, nel corso di un’attività di un’indagine volta, in base ad una valutazione ex ante, alla registrazione di comportamenti comunicativi e, dunque, autorizzata ai sensi dell’art. 266, comma 2 c.p.p.
Nel caso di specie, il fermo immagine non capta un “flusso di comunicazioni” in transito. Esso acquisisce un “flusso unidirezionale di dati” confinato all’interno dei circuiti del personal computer, ossia una relazione operativa tra microprocessore e video del sistema elettronico.
In altri termini, non sembra che il software sia adoperato per cogliere comunicazioni, quanto piuttosto per individuare ciò che viene digitato sul computer.

Non dissimilmente da una ripresa fotografica, lo screenshot acquisice dati che – in questo caso – non hanno carattere comunicativo, all’interno del domicilio informatico quale può essere comunemente definito il dispositivo elettronico infetto.
Da ciò, seguendo l’insegnamento delle Sezioni unite “Prisco” del 2006, si ricava un sillogismo perfetto: se lo screenshot è una videoripresa investigativa e posto che esso non acquisisce comportamenti non comunicativo nel domicilio, il dato acquisito deve ritenersi inutilizzabile^[83].
Ma, si sa, l’inutilizzabilità costituisce una risposta inadeguata alla violazione dei diritti fondamentali, i cui esiti non verrebbero così scongiurati.

8. Conclusioni: tentativi di tipizzazione e nuove patologie

Dopo aver ripercorso le tappe salienti della tormentata e convulsa legislazione in materia di intercettazioni tramite captatore informatico ed evidenziate le falle esistenti in rapporto alle funzioni atipiche esperibili mediante ricorso alle tecniche di remote forensics, possono trarsi alcune considerazioni che provano a spingersi fino ad avanzare possibili soluzioni giuridiche.

Allo stato dell’arte, il nobile tentativo di legalizzare l’ingresso del captatore informatico nelle indagini penali si scontra con l’irresolutezza del prodotto legislativo che non spicca per completezza e coerenza normativa. Sono tante le lacune e altrettanti i difetti metodologici; molteplici sono, poi, le incongruenze nella trasposizione, sul piano normativo, dei principi messi in luci dal delegante già nel 2017.

Nel complesso può dirsi che si tratta di una riforma che, tradendo gli originari intenti, finisce per scontentare tutti gli interpreti del diritto, non essendo riuscita a coniugare le esigenze di sicurezza sociale con le istanze difensive.

Diverse ragioni fanno propendere l’interprete per una simile conclusione, compendiate in un’espressione che, forse, più di tutte può dettare la misura dell’insoddisfazione: la normativa così congegnata rappresenta uno dei più grandi ossimori ordinamentali offerti nell’ultimo tempo, dal momento che al caos generato degli spasmodici interventi riformatori non corrisponde la completezza della disciplina offerta. Nel marasma che di recente ha colpito la disciplina delle intercettazioni, infatti, si avverte come persa l’occasione per una ridefinizione costituzionalmente orientata delle altre attività (diverse dall’intercettazione di conversazioni e comunicazioni tra presenti) che il malware, almeno in potenza, è in grado di svolgere. E, come acutamente osservato, «^[S]orge ^[…] il dubbio che l'indeterminatezza del presupposto sia tale da alimentare pratiche investigative idonee a scalfire anche il nucleo più intimo e inviolabile del diritto alla riservatezza»^[84]. 

Probabilmente il legislatore nazionale preferisce tacere più che normare, lasciare agli interpreti del diritto l’arduo compito di definire i limiti e la portata dell’istituto piuttosto che fornire criteri e parametri di legalità per indirizzare le scelte dei pratici, consapevole che le ingerenze ai diritti fondamentali non hanno alcuna ripercussione in sede procedimentale in ragione dell’inutilizzabilità dei dati raccolti ultra vis, disattendendo, così, i dettami della giurisprudenza europea la quale, per contro, ritiene che «^[O]gni intromissione riveste di per sé la caratteristica di ingerenza della pubblica autorità nella sfera privata e ciò anche quando di essa non si sia fatto un uso processualmente rilevante»^[85].

In un contesto come questo, ricorrere alla pars construens, senza rimanere soffocati dalla pars destruens, non è cosa agevole; così come non è cosa agevole avanzare proposte de jure condendo e intravedere soluzioni adeguate a contemperare le esigenze di sicurezza, tutela delle prerogative individuali e rispetto delle regole su cui si fonda il processo penale, perché si rischia di scivolare in una realtà astratta e poco concreta.

Ma il giurista non può rimanere inerte, dovendo «scendere nell’arena»^[86] dove il diritto processuale penale deve fare i conti con le resistenze culturali di un sistema che ricerca soluzioni più nette, polarizzatesi intorno a due estremi: negare completamente cittadinanza, nel circuito investigativo, al captatore informatico e, più in generale, ai nuovi ritrovati della tecnologia in nome della tutela delle garanzie inviolabili inevitabilmente compresse dall’uso di strumenti così tanto incidenti per le prerogative individuali; ovvero accogliere, senza riserve, l’impiego del virus quale strumento di esecuzione delle categorie probatorie tradizionali, intravedendo nella sicurezza collettiva l’unico valore per cui vale la pena comprimere i diritti e i valori costituzionalmente protetti.

A questo punto, ci si chiede se il sistema costituito possa offrire spazi per una diversa ricostruzione della disciplina, capace di tutelare, ad un tempo, i principi del giusto processo e le esigenze di sicurezza individuale e collettiva.

Probabilmente, come spesso accade, la strada maestra potrebbe essere quella intermedia, di equilibrio tra le due soluzioni antitetiche.

In questo senso, la dichiarazione di illegittimità per incostituzionalità delle attività di online surveillance condotte dal captatore informatico – con conseguente inutilizzabilità dei risultati acquisiti – non può (e non deve) rappresentare una conclusione ma un punto di partenza. L’obiettivo non è negare cittadinanza a tale strumento ma stabilire a quali condizioni possa considerarsi legittimo, tenuto conto dell’importanza che lo stesso va acquisendo ai fini delle indagini e della crescente attenzione che a livello europeo e internazionale viene dedicata al tema. 

In altre parole, non potendo a priori considerarsi incostituzionale ogni strumento tecnico attraverso cui realizzare le indagini moderne, occorre che questo sistema venga minuziosamente regolamentato, tenendo conto del bilanciamento tra i vari interessi che possono venire in contrasto.

Inevitabile appare l’intervento normativo del legislatore, chiamato a tipizzare il complesso di attività esperibili attraverso l’impiego di strumenti di investigazione digitale ad alto contenuto tecnologico in forma chiara e compiuta, di modo tale da rendere le limitazioni alle prerogative individuali “tollerabili” secondo i parametri propri di una società democratica.

Sono sempre attuali le considerazioni del teorizzatore del positivismo giuridico, per cui «^[Q]uanto maggiore sarà il numero di quelli che intenderanno e avranno fra le mani il sacro codice delle leggi, tanto men frequenti saranno i delitti, perché non v'ha dubbio che l'ignoranza e l'incertezza delle pene aiutino l'eloquenza delle passioni»^[87].

Nonostante la normativizzazione delle tecniche di investigazioni digitale rappresenti un baluardo ineludibile contro gli arbìtri del giudicante, anche le modalità di intervento legislativo non risultano di immediata soluzione.

Prima facie, si potrebbe prospettare una soluzione “radicale”, un intervento riformatore che consenta di innovare completamente la disciplina de qua attraverso la normazione di tutte le singole attività esperibili dall’agente intrusore. Così, da un lato, in ragione della legittimazione giurisprudenziale all’esecuzione di intercettazioni telematiche mediante virus informatico^[88], si potrebbe prospettare un “correttivo” al dettato di cui all’art. 266 bis c.p.p., rimasto immune alla smania riformatrice dell’ultimo tempo, in modo da tipizzare l’uso del Trojan quale nuova tecnica di esecuzione delle captazioni di flussi di comunicazioni relativi a sistemi informatici o telematici.

Per altro verso, a fronte delle molteplici funzionalità del captatore informatico, si potrebbe prevedere un intervento legislativo additivo delle norme disciplinanti i singoli mezzi di ricerca della prova, atto a tipizzare le svariate attività di indagine derivanti dall’impiego del malware e che risultano diverse e/o aggiuntive rispetto alla “mera” intercettazione di conversazioni e comunicazioni tra presenti^[89].

Non vanno, tuttavia, sottaciuti i rischi che possono derivare da un simile approccio “attivista”, fondato, cioè, sulla convinzione per cui la positivizzazione dell’istituto rappresenti la soluzione ai mali del sistema.

Come sempre accade quando il processo penale si confronta con i nuovi ritrovati della scienza e della tecnica, il pericolo è di intervenire su una materia già diventata obsoleta, perché – si sa – i tempi delle riforme non coincidono con la velocità propria del progresso e dell’evoluzione tecnologica, condannando la legge ad una obsolescenza precoce.

Così, probabilmente, si potrebbe preferire una soluzione meno rigorosa ma assolutamente efficace in punto di “certezza del diritto”. Si potrebbe pensare alla predisposizione di una norma “aperta”, sulla falsariga del dictum di cui all’art. 189 c.p.p., che, subordinando gli strumenti di ricerca della prova a condizioni tassative, consente di vincolare l’ingresso di nuove e sempre più evolute tecniche di indagine e di investigazione al rispetto delle garanzie fondamentali costituzionalmente riconosciute, in modo tale da ripristinare un sistema informato al principio di legalità della prova.

Seguendo una simile impostazione, «il legislatore non dovrebbe soffermarsi sulla disciplina dei singoli strumenti informatici – sempre potenzialmente in evoluzione e dunque suscettibili di creare un vuoto di tutela in caso di mancato tempestivo intervento legislativo – ma dovrebbe piuttosto identificare le garanzie fondamentali che devono essere sempre tutelate indifferentemente dallo strumento impiegato»^[90].

In realtà, questa soluzione non appare del tutto soddisfacente. Da una parte, non si può negare la circostanza per cui al variare delle tecniche intrusive varia inevitabilmente anche il complesso di garanzie nelle quali si possono iscrivere i nuovi ritrovati della tecnologia, con ciò determinando l’insorgere di nuove criticità poste proprio dai progressi tecnici. Dall’altro, se è vero che l’esperimento delle attività di perquisizione occulta da remoto – mai disciplinata da alcuna norma giuridica – determina un vulnus ai principi fondanti l’assetto costituito, in questi casi il rischio da scongiurare è consentire alla prassi giurisprudenziale di ricorrere all’atipicità per giustificare e legittimare il compimento di attività che, per converso, risultano ai limiti della costituzionalità.

Al fine di arginare simili pericula, si potrebbe propendere per l’introduzione di un nuovo mezzo di ricerca della prova (“intrusione informatica”, potrebbe definirsi) per regolare le attività di accesso, osservazione e acquisizione di dati e informazioni da remoto, esperibile mediante l’impiego di sempre più sofisticate tecniche di indagine.

In questi casi, non sarebbe tipizzato lo strumento con cui condurre le indagini informatiche quanto piuttosto le regole cui ricorrere ogni qual volta si proceda ad attività di sorveglianza occulta e continuativa da remoto, predisponendo le garanzie fondamentali che devono essere sempre riconosciute all’indagato e ai soggetti terzi occasionalmente coinvolti, a prescindere dalla tecnica investigativa impiegata.

In altre parole, l’obiettivo potrebbe essere quello di introdurre una nuova categoria probatoria, con la quale verrebbero individuati i “casi” e i “modi” dell’ingerenza nella sfera privata degli individui, così da ritenere il sacrificio dei diritti inviolabili assolutamente rispettoso del principio di stretta legalità e del principio di proporzione.

Con ciò non si intende “imbrigliare” in un eccessivo formalismo giuridico le attività di polizia ma solo rendere conforme ai principi propri di uno Stato di diritto un sistema che, ad oggi, è ancora orfano di regole^[91].

La previsione di un intervento legislativo in materia non rappresenta, tuttavia, l’unico rimedio alla capacità intrusiva del malware. Alle carenze normative, infatti, si aggiungono anche le disfunzioni di ordine pratico derivanti dall’uso di strumenti di indagine dalla portata dirompente e che, si pronostica, non possono che acuirsi in ragione dell’avanzamento della tecnologia.

Proprio in ragione del carattere ubiquitario e totalizzante che caratterizza le nuove tecniche di indagine, al di là della formalistica sanzione comminata alle acquisizioni ultra moenia (art. 270, comma 1 bis c.p.p.) e ultra vis (art. 271, comma 1 bis c.p.p.) già predisposta dal legislatore con riferimento al captatore informatico, occorre soffermarsi sui rivolti prasseologici che l’atto inutilizzabile produce sul procedimento, a partire dalle indagini preliminari fino a condizionare la decisione giudiziale.

Nonostante l’intento encomiabile del legislatore – che rimodula la portata delle patologie, sia con riguardo all’inutilizzabilità delle informazioni apprese tramite un’intercettazione illegittima (art. 271 c.p.p.), che in rapporto al divieto di trasmigrazione del captato (art. 270 c.p.p.) – sembra indispensabile tratteggiare i futuribili risultati della nuova normativa, interrogandosi sugli effetti che l’atto illegittimo produce sulla prova ulteriore di cui ha favorito l’acquisizione.

Senza entrare nel merito del complesso dibattito relativo alla “portata” della c.d. “teoria dei frutti dell’albero avvelenato”^[92], occorre circoscrivere – seppur brevemente – il convulso contesto giurisprudenziale e dottrinale in cui si insinua la questione.

Sul punto, si delineano due orientamenti contrastanti: nonostante una parte minoritaria della giurisprudenza e della dottrina ammetta il propagarsi dell’invalidità in questione^[93], sostenendo la tesi della c.d. inutilizzabilità derivata^[94], le tendenze maggioritarie spingono sul versante opposto. Infatti, nel rispetto degli insegnamenti della Consulta^[95], si ammette che per la prova inutilizzabile non possa operare il principio dell’estensione del vizio agli atti consecutivi e dipendenti^[96], posto che il legame tra la prova inutilizzabile e quella successiva sarebbe meramente psicologico e non giuridico e il vizio colpisce i risultati dell’atto e non l’atto in sé^[97].

Lo stesso principio – si è detto – trova applicazione nel caso delle intercettazioni mediante Trojan, per cui sarebbe impensabile una «propagazione illimitata del vizio dell’inutilizzabilità»^[98].

Seguendo una simile impostazione, considerato che l’inutilizzabilità colpisce l’idoneità della prova a produrre risultati conoscitivi valutabili dal giudice per la formazione del suo libero convincimento, i risultati inutilizzabili a fini probatori non perderanno valore a fini investigativi^[99], potendo comunque essere utilizzati dagli inquirenti come “spunti” per l’avvio di ulteriori indagini.

Da tale assunto dipendono scenari assai inquietanti circa la possibilità di aggirare il divieto consentendo un ingresso “forzato” delle informazioni non utilizzabili, come dati “per” la formazione della notitia criminis, oppure per motivare il ricorso ad altri atti investigativi considerati legittimi anche se causalmente originati da intercettazioni ex se inutilizzabili^[100]. Ad esempio, rischia di essere ammesso il ricorso a detto materiale per autorizzare ulteriori intercettazioni o per disporre una perquisizione.

Di qui, sulla base delle informazioni acquisite, la polizia giudiziaria potrà compiere tutti quegli atti “atipici” di indagine per i quali non è prevista una «possibile partecipazione del difensore al compimento dell’atto»^[101] ed il pubblico ministero potrà fare ricorso agli «strumenti più appropriati, modellati sulla struttura degli atti di indagine che vengono compiuti durante le attività amministrative o procedimentali»^[102].

La questione diventa ancor più preoccupante nel caso di investigazioni atipiche esperite tramite Trojan.

In effetti, a ben riflettere, il divieto di utilizzo dei risultati inerisce solo al contenuto delle conversazioni e delle comunicazioni apprese mediante il virus, non estendendosi al ben più ampio novero di operazioni che possono essere esperite tramite il captatore che, si ribadisce, non trovano alcuna regolamentazione nell’articolato legislativo.

Di conseguenza, i divieti posti dal legislatore contemporaneo sono come sterilizzati al di fuori della disciplina delle intercettazioni, dal momento che i dati appresi con tecniche non riconducibili, neppure lato sensu, alla captazione rischiano di avere ingresso nel processo penale attraverso i “tradizionali” canali di acquisizione delle prove atipiche.

Sulla base di simili premesse, sembra doveroso proporre un ripensamento, almeno in materia di inutilizzabilità delle conversazioni carpite mediante virus, dell’opzione tradizionale secondo cui le uniche conseguenze della fattispecie dovrebbero prodursi esclusivamente in àmbito probatorio. Tale impostazione poteva forse essere sostenuta in un mondo in cui la pervasività della raccolta era già capillare, ma non ancora totalizzante: nel caso delle intercettazioni telefoniche non era possibile carpire conversazioni al di fuori della chiamata, eccezion fatta per i marginali casi delle captazioni “a cornetta sollevata”; in quello delle intercettazioni ambientali, il ricorso alle “tradizionali” microspie esauriva la loro portata operativa al solo ambiente di collocazione. Ancora più problematico, invece, accettare il medesimo ragionamento quando le comunicazioni (ma non solo) possono essere incamerate grazie a dispositivi informatici da cui ormai ogni cittadino è accompagnato in ogni momento della vita quotidiana, pronti a divenire sentinelle al servizio dell’autorità giudiziaria; in questo senso, peraltro, il Trojan è solo il più conosciuto tra numerosi strumenti che consentono una raccolta indiscriminata e illimitata di informazioni^[103].

D’altra parte, le recenti pronunce della Consulta lasciano aperti alcuni spiragli per prevedere regimi differenziati di invalidità in rapporto alla tipologia di atti investigativi^[104]; il che significa che «ad un “massimo” di illegalità dell’atto probatorio, perché compiuto in violazione di divieti di elevato spessore deve corrispondere dunque una equivalente “estensione” dell’area di inutilizzabilità processuale»^[105].

In tale contesto, a tutela dei fondamentali diritti della persona, è opportuno chiedersi se sia necessario far cadere alcuni tabù^[106]. Nel tema che qui occupa, là dove riconducibili alla categoria dell’inutilizzabilità, potrebbe essere opportuno precludere qualsiasi impiego dei risultati delle intercettazioni eseguite mediante captatore informatico: le conseguenze derivanti dal divieto di utilizzo non dovrebbero, quindi, essere scontate dalla sola prova ma dall’intero novero di attività procedimentali che da quegli elementi possa trarre beneficio.

Da ultimo, sembra doveroso confrontarsi con un dato – a nostro avviso inconfutabile – derivante dall’imprinting che l’inesauribile compendio probatorio (ottenuto proprio mediante il ricorso a strumenti investigativi itineranti) ha sulle logiche decisionali dell’autorità giudiziaria.

Seppur non utilizzabili formalmente ai fini dell’emanazione della sentenza, la mole di informazioni risultanti dalle investigazioni tramite captatore informatico inevitabilmente plasmano, forgiano e modellano il giudicante e il suo convincimento che da “libero” diventa “prigioniero” di bias cognitivi derivanti dagli effetti che il materiale spurio raccolto ha sulla mente dell’organo giudiziario.

Di qui, si ritiene necessario non solo ridefinire i ruoli tra i diversi protagonisti delle indagini preliminari, ma anche propendere per l’istituzione di specifici organi con competenze riservate alla sola fase di selezione del materiale probatorio rilevante ai fini processuali, funzionale a garantire la legittimità della procedura esecutiva e, al contempo, evitare ingressi “indiretti” del materiale probatorio acquisito contra legem.

In questi casi, si potrebbe paventare la possibilità di attribuire ad un giudice diverso il compito di procedere alla selezione del materiale “rilevante” ai fini investigativi, depurandolo dagli orpelli di cui si arricchisce grazie alla forza intrusiva ubiquitaria e continuativa del malware.

Si supererebbero in tal modo le criticità di natura più strettamente operativa, determinate dai possibili condizionamenti investigativi di un organo che, dismessi i panni di “controllore” della regolarità dell’attività investigativa, una volta iniziato il processo penale dirige le indagini “tradizionali” con un background di informazioni che ne condizionano le scelte investigative e, quindi, gli esiti processuali.

Nonostante gli sforzi profusi per tentare di fornire adeguati rimedi ai problemi posti dall’impiego del captatore informatico nel processo penale, l’indagine non consente di addivenire ad una soluzione condivisa.

Rispettando i crismi propri di qualsivoglia ricerca, l’analisi lascia ancora imbattute e inesplorate diverse rotte. L’irrefrenabile velocità con cui gli strumenti investigativi si evolvono apre, infatti, la strada all’impiego di ulteriori tecniche di indagini (intelligenza artificiale, droni, robot) che, spingendosi assai oltre i confini legislativi previsti in relazione all’uso del captatore informatico, sono destinati a comprimere – inevitabilmente – fondamentali diritti degli individui, nel frattempo privati di adeguate forme di tutela nell’assenza di una normativa che li contempli. Ecco allora, che le riflessioni condotte – che sembravano poter rappresentare il punto di arrivo nella materia delle investigazioni tramite Trojan – non possono che essere il nuovo punto di partenza per un sistema processuale penale “informatizzato” ancora allo stato embrionale.