Procedura penale
Intercettazioni
Il messaggio telematico criptato può essere utilizzato come documento del processo
mercoledì 22 febbraio 2023
di Scarcella Alessio Consigliere della Corte Suprema di Cassazione
Secondo la Cassazione penale, sentenza 15 febbraio 2023, n. 6363, in tema di utilizzabilità degli atti nel processo penale, l’attività di acquisizione e di decifrazione di dati comunicativi “criptati” non rientra nel novero delle attività di intercettazione poiché queste ultime postulano la captazione di un flusso di comunicazioni in atto, trovando invece applicazione l’art. 234-bis c.p.p.
Cassazione penale, Sez. I, sentenza 15 febbraio 2023, n. 6363
ORIENTAMENTI GIURISPRUDENZIALI | |
Conformi | Non si rinvengono precedenti in termini |
Difformi | Non si rinvengono precedenti in termini |
La Corte di Cassazione si sofferma, con la pregevole sentenza in commento, su questione particolare interessante sul tema dell’utilizzabilità dei dati comunicativi, fornendo importanti ed utili chiarimenti sul perimetro applicativo della normativa in tema di intercettazioni telefoniche rispetto a quella dei documenti informatici. Sul punto i Supremi Giudici, in una fattispecie nella quale il Tribunale del riesame aveva confermato l’ordinanza con cui il GIP aveva applicato la misura cautelare della custodia in carcere ad un soggetto, gravemente indiziato del tentato omicidio premeditato ai danni di un cittadino extracomunitario e dei connessi reati di porto e detenzione illegali della pistola utilizzata per realizzarlo, utilizzando dati comunicativi informatici, ha disatteso la tesi difensiva, secondo cui si verserebbe in un caso d’inutilizzabilità dei messaggi transitati sul cripto cellulare in uso all’indagato.
Il fatto
La vicenda processuale segue all’ordinanza con cui il tribunale del riesame aveva rigettato la richiesta di riesame del provvedimento con cui il GIP aveva applicato la misura cautelare della custodia in carcere ad un uomo, gravemente indiziato del tentato omicidio premeditato ai danni di un cittadino extracomunitario e dei connessi reati di porto e detenzione illegali della pistola utilizzata per realizzarlo.
Per quanto qui di interesse, il Tribunale aveva ritenuto pienamente utilizzabile la messaggistica o chat Sky Ecc riconducibile all’ID (omissis) in uso all’indagato, acquisita in diverso procedimento penale presso l’autorità giudiziaria francese tramite ordine europeo d’indagine; si trattava di dati non captati in concomitanza con il flusso di comunicazioni, attività quest’ultima che deve essere necessariamente preceduta da un provvedimento di autorizzazione preventiva secondo la disciplina in materia d’intercettazioni telefoniche o telematiche e, pertanto, assimilabili ai documenti, perché fisicamente conservati nel server del gestore.
Il ricorso
Contro l’ordinanza proponeva ricorso per Cassazione la difesa dell’indagato, in particolare sostenendo l’inutilizzabilità dei messaggi transitati sul cripto cellulare in uso all’indagato, ponendo in risalto come le censure difensive avessero trovato recente, autorevole riscontro in una pronuncia in sede di legittimità che, in una situazione analoga a quella in esame aveva determinato l’annullamento con rinvio di un’ordinanza cautelare, riconoscendo alla difesa «il diritto di conoscere le modalità di svolgimento dell’attività investigativa svolta il procedimento di acquisizione di una messaggistica criptata» (Cass. pen. sez. IV, n. 32915 del 15/07/2022).
La decisione della Cassazione
La Cassazione, come anticipato, ha disatteso la tesi difensiva.
In particolare, la S.C., al fine di inquadrare correttamente le questioni giuridiche poste all’attenzione ha evidenziato come il sistema SKY Ecc è una piattaforma di comunicazione criptata che consente lo scambio di comunicazioni utilizzando i cosiddetti criptofonini, ovverosia smartphone opportunamente modificati nel software (prevalentemente con il sistema Android o Blackberry) con l’unico scopo di garantirne l’inviolabilità, poiché il relativo sistema operativo è caratterizzato da particolari requisiti di sicurezza che si possono riassumere nella cifratura dei dati trasmessi e di quelli memorizzati, nella possibilità per l’utilizzatore di cancellare, quasi in tempo reale e anche da remoto l’intera memoria del telefono inserendo un cd. panic code, o nella possibilità di segnalare la presenza di sistemi di individuazione (cd. Imsi Catcher) o di tentativi di aggressione informatica da parte di agenti esterni.
Il sistema di comunicazione di Sky-ECC non è basato sulla tecnologia Pin to Pin (tipo Blackberry, vale a dire su un sistema crittografico dove le chiavi di cifratura sono collocate in un server), bensì sul sistema end to end che prevede la cifratura delle conversazioni mediante l’utilizzo di chiavi depositate esclusivamente sui dispositivi che colloquiano (come avviene nel più comune sistema di messaggistica istantanea WhatsApp, n.d.r.), sicché, in questa modalità, neanche il gestore del servizio è in grado di conoscere le chiavi utilizzate e di conseguenza il contenuto delle comunicazioni.
Tanto premesso, la S.C. ha rilevato come il materiale che è stato posto a disposizione dell’Autorità giudiziaria italiana è costituito dai dati informatici relativi alle conversazioni e alle comunicazioni trasmesse mediante il criptofonino che utilizzava l’indagato, così come è altrettanto pacifico che i file oggetto di esame fossero la copia di quelli trasmessi dall’Autorità giudiziaria francese già decriptati; l’operazione di decriptazione è stata eseguita dalle polizie straniere mediante l’individuazione del necessario algoritmo di criptazione utilizzato dalla società proprietaria del sistema di cifratura SKY ECC.
Riguardo alla questione della natura delle chat la S.C. ha ricordato (Cass. pen. sez. I, n. 34059 del 01/07/2022, M., inedita; Cass. pen. sez. VI, n. 18907 del 20/04/2021, C., CED Cass. 281819 – 01) che occorre distinguere due diversi tipi di operazione che gli inquirenti possono effettuare nello svolgimento delle indagini, segnatamente: le operazioni di captazione e di registrazione del messaggio cifrato nel mentre lo stesso è in transito dall’apparecchio del mittente a quello del destinatario, che viaggia attraverso reti Internet messe a disposizione in ogni paese da gestori di servizi telematici e che, lungo tale ‘tragitto’ transita di regola da un server che non è necessariamente collocato nel paese o in uno dei paesi nei quali si trovano fisicamente i soggetti che stanno comunicando tra loro, e le diverse operazioni di decrittazione del contenuto del messaggio, necessarie per trasformare mere stringhe informatiche in dati comunicativi intellegibili.
È chiaro per la S.C. che solo alla prima delle due appena indicate tipologie di operazioni fa riferimento l’art. 266-bis c.p.p., che estende l’applicabilità delle norme del codice di rito relative alle ‘normali’ intercettazioni di conversazioni o comunicazioni tra soggetti a distanza, alle intercettazioni di flussi di comunicazioni relativi a sistemi telematici ovvero intercorrenti tra più sistemi telematici: flussi che non avvengono in via diretta tra apparecchi informatici, ma che sfruttano la trasmissione dei dati in via telematica, dunque via cavo o ponti radio, ovvero per mezzo di altra analoga strumentazione tecnica (nel senso della qualificazione come intercettazione ai sensi dell’art. 266-bis c.p.p. dell’acquisizione dei contenuti di messaggistica in atto effettuata con sistema Blackberry, cfr. Cass. pen. sez. IV, n. 49896 del 15/10/2019, B., CED Cass. 277949-01; Cass. pen. sez. III, n. 47557 del 26/9/2019, S., CED Cass. 277990-01/02; Cass. pen. sez. III, n. 50452 del 10/11/2015, G., CED Cass. 265615).
Laddove il messaggio telematico sia “in chiaro”, cioè non criptato la sua captazione e la sua registrazione ne rendono immediatamente intellegibile il contenuto e, perciò, direttamente utilizzabile a fini di prova il relativo risultato conoscitivo. Se, invece, il messaggio telematico, come è accaduto nel caso di specie, sia criptato, gli inquirenti ne possono valorizzare il contenuto a fini dimostrativi solo laddove abbiano la disponibilità dell’algoritmo che consente di decriptarne il tenore ovvero se tale ‘chiave’ venga altrimenti messa a disposizione degli investigatori dalla società che ne è proprietaria (e che la sfrutta dal punto di vista commerciale).
Nella specie, la S.C. ha ritenuto applicabile l’art. 234-bis, c.p.p., disposizione applicabile anche nel caso de quo, nel quale l’acquisizione ha riguardato non un documento cartaceo o analogico, bensì un documento inteso come «rappresentazione comunicativa incorporata in una base materiale con un metodo digitale», ovverosia dati informatici che hanno consentito di rendere intellegibile il contenuto di stringhe redatte secondo il sistema binario. Vi era stato, altresì, il consenso all’acquisizione da parte del “legittimo titolare” di quei documenti o dati conservati all’estero, da intendersi come persona giuridica che di quei documenti o di quei dati poteva disporre in forza di un legittimo titolo secondo l’ordinamento giuridico del paese estero, identificabile non soltanto nella persona fisica e\o giuridica che procede alla trasmissione e alla conservazione dei dati, ma anche nella polizia giudiziaria, nell’autorità giudiziaria, nella persona offesa, nell’amministrazione pubblica, nella società che gestisce il servizio telefonico, nell’internet service provider.
La sentenza, di pregevole fattura, merita ampia e convinta condivisione.
Ed invero, l’attività di acquisizione di dati in giacenza (definiti freddi) o l’intercettazione di dati telematici in transito permette l’acquisizione, qualora il messaggio telematico sia criptato mediante un impiego di un algoritmo o di una chiave di cifratura e trasformato in un mero dato informatico, di una stringa informatica composta da un codice binario. In questo caso, l’intelligibilità del messaggio è subordinata all’attività di decriptazione che presuppone la disponibilità dell’algoritmo che consente di trasformare il codice binario in un contenuto dimostrativo, ma ogni messaggio cifrato è inscindibilmente accoppiato alla sua chiave di cifratura, sicché la sola chiave esatta produrrà una decifratura corretta, dovendosi escludere che possa decifrarne una parte corretta e uno non corretta; né vi sono possibilità che una chiave errata possa decrittare il contenuto, anche parziale, del codice umano contenuto.
Si richiama in proposito quanto chiarito dalla Cassazione (Cass. pen. sez. II, n. 30395 del 21/04/2022, C., CED Cass. 283454 – 01; Cass. pen. sez. VI, n. 14395 del 27/11/2018, T., CED Cass. 275534 – 01) secondo cui, in assenza dell’algoritmo necessario alla decrittazione, secondo la scienza informatica, risulta impossibile ottenere un testo difforme dal reale, potendosi al più imbattersi in una sequenza alfanumerica o simbolica (detta stringa) priva di senso alcuno. A ciò va aggiunto come la metodica dell’algoritmo di Hash non è l’unica, sebbene sia la più diffusa, idonea a garantire una corretta catena di custodia, ben potendosi la stessa ottenere legandola al contenitore, invece che al contenuto (come nel caso della stringa di HASH, progettata in modo da poter fungere da sigillo digitale), attraverso l’uso di contenitori non modificabili, ovverosia l’uso di supporti di memoria a tecnologia ottica non riscrivibile (CD e DVD).
Infine, correttamente è stata ritenuta non pertinente la citazione del precedente giurisprudenziale (Cass. pen. sez. IV, n. 32915 del 15/07/2022, L., inedita), richiamato dalla difesa. Diversamente dal caso qui esaminato, infatti, in quella occasione la difesa aveva svolto una specifica richiesta al Pubblico Ministero di messa a disposizione della «documentazione (comprensiva dei file) consegnata da Europol nel mese di marzo 2021, a seguito dell’accesso ai server di Sky ECC, con indicazione delle modalità di acquisizione da parte della stessa Europol dei dati in oggetto dai server, con annessi verbali, nonché i verbali delle attività compiute dagli investigatori italiani per fini di polizia di cui alla dichiarata analisi preliminare»; richiesta che era stata respinta con la motivazione che si trattava di atti estranei al fascicolo processuale, trattandosi di «scambi informativi tra forze di polizia di paesi diversi che, in quanto tali non sono processualmente utilizzabili». La necessità di acquisire tale documentazione nella citata sentenza era stata posta dalla Corte alla base di una più ampia valorizzazione del contraddittorio.
Nel caso qui in esame, nessuna richiesta di tale genere era stata prospettata dalla difesa, fermo restando, quanto invece all’utilizzabilità degli atti trasmessi a seguito di attività di cooperazione internazionale (rogatoria, O.I.E.), che la stessa non è condizionata a un accertamento da parte del giudice italiano inerente la regolarità delle modalità di acquisizione esperite dall’autorità straniera, atteso il pieno vigore della presunzione della regolarità dell’attività svolta, spettando al giudice straniero verificare la correttezza della procedura e la competenza a risolvere qualsiasi questione in ordine ad eventuali irregolarità lamentate.
Riferimenti normativi: