Criptofonini: analisi di una decisione destinata a far discutere
Le Sezioni Unite, le questioni controverse, gli algoritmi di decrittazione e la memoria della Procura generale della Cassazione
Di Claudia Morelli Pubblicato il 11 marzo 2024 In principio è stato il trojan (da ultimo in Stretta sui Trojan: decreti autorizzativi più specifici). Ora è la volta dei criptofonini, gli smartphone anti-intercettazione. La tecnologia sta plasmando il codice di procedura penale e il diritto di difesa deve trovare nuovi spazi di garanzia tra l’acquisizione, sempre più potente grazie alle tecnologie, di elementi di prova e l’asseverazione in contraddittorio. Ne ha parlato il professor Giorgio Spangher nel podcast Criptofonini: non sono prove informatiche. La Corte di Cassazione ha fatto nei giorni scorsi un ulteriore importante passo avanti, che i commentatori esperti certamente potranno analizzare con dovizia. Qui raccontiamo cosa hanno deciso le Sezioni Unite, in attesa che vengano depositate le motivazioni. È molto interessante infatti verificare perché la difesa debba (sempre?) accettare “acriticamente” il risultato della decrittazione delle conversazioni effettuata dalla autorità giudiziaria. Ed è molto interessante interrogarsi su quello che specifica la Procura generale nella sua memoria: “La qualificazione giuridica dell’attività investigativa, in breve, non può prescindere da uno sforzo di comprensione del sistema tecnologico sul quale essa si è innestata e, per un ovvio quanto doveroso rispetto del “principio di realtà”, non può che considerare tale sistema quale variabile indipendente, così evitando di ragionare per archetipi astratti”.
IL FUNZIONAMENTO DEI CRIPTOFONINI
Dalla memoria della Procura generale presso la Corte di Cassazione traiamo queste informazioni sul meccanismo di funzionamento dei “criptofonini” operanti sulla piattaforma Sky ECC, gestita dalla società canadese Sky Global.
“Essa utilizza sofisticati metodi crittografici a più livelli di sicurezza, attivi sia sui dispositivi mobili, sia sui server intermediari, per resistere ai tentativi di intercettazione. Come è stato specificato nelle ordinanze di rimessione alle Sezioni unite e nelle ordinanze impugnate in entrambi i procedimenti, gli indagati facevano uso di “criptofonini anti-intercettazione” da intendersi come smartphone che impiegano un hardware standard (in genere Apple, Android o Black Berry), ma che, rispetto agli apparecchi mobili tradizionali, si connotano per l’installazione di un’apposita scheda SIM e di un sistema operativo dedicato, avente particolari requisiti di sicurezza, in quanto disabilita i servizi di localizzazione (GPS, Bluetooth, fotocamera, scheda SD e porta USB).
Le chiamate rimangono attive solo in modalità Voice over IP (VoIP), non avvalendosi della rete GSM, ed impiegano applicazioni di cui sono proprietarie le piattaforme stesse (Encrochat, Sky ECC, Anom, No1bc, etc.), che permettono lo scambio di dati crittografati con una cifratura a più livelli.
I “criptofonini”, per assicurare la riservatezza delle comunicazioni, necessitano di una dotazione di “server”, messi a disposizione dalla compagnia che gestisce il servizio in abbonamento e che abilita gli utenti a scambiare messaggistica o chat, secondo una architettura informatica del tipo “peer-to-peer”, che archivia i dati – oltre che sul dispositivo criptato – anche sui server, dedicati e protetti da algoritmi ad elevata sicurezza.
Sky ECC è costruito mediante architettura “client-server”, con la conseguenza che qualunque messaggio telematico basato su tale applicativo, per poter approdare dal terminale del mittente sul “criptofonino” del destinatario, deve necessariamente transitare attraverso il server centrale. I dati in cui si risolvono le chat scambiate su Sky ECC viaggiano cifrati sulla rete internet”.
Criptofonini: le decisioni delle Sezioni Unite della Cassazione
Leggendo Sistema penale si apprende che “Secondo l’informazione provvisoria diffusa dalla Suprema Corte, ai quesiti sottoposti dalla terza sezione sono state date le seguenti soluzioni:
- Il trasferimento di cui sopra rientra nell’acquisizione di atti di un procedimento penale che, a seconda della loro natura, trova alternativamente il suo fondamento negli 78 disp. att. cod. proc. pen., 238, 270 cod, proc. pen. e, in quanto tale, rispetta l’art. 6 della Direttiva 2014/41/UE;
- Rientra nei poteri del pubblico ministero quello di acquisizione di atti di altro procedimento penale;
- L’Autorità giurisdizionale dello Stato di emissione dell’ordine europeo di indagine deve verificare il rispetto dei diritti fondamentali, comprensivi del diritto di difesa e della garanzia di un equo processo.
Ai quesiti sottoposti dalla sesta sezione penale sono state fornite queste risposte:
- L’acquisizione, mediante ordine europeo d’indagine, dei risultati di intercettazioni disposte da un’autorità giudiziaria straniera, in un proprio procedimento, su una piattaforma informatica criptata e su criptofonini integri l’ipotesi disciplinata, nell’ordinamento nazionale, dall’art. 270 cod. proc. pen.;
- Ai fini dell’emissione dell’ordine europeo di indagine finalizzato al suddetto trasferimento, non occorre la preventiva autorizzazione del giudice;
- L’Autorità giurisdizionale dello Stato di emissione dell’ordine europeo di indagine deve verificare il rispetto dei diritti fondamentali, comprensivi del diritto di difesa e della garanzia di un equo processo.
Si tratta ora di attendere il deposito delle motivazioni.
Le questioni controverse
Semplificando, centro dell’analisi dei giudici di legittimità era la contemperazione di diritti quali quello di difesa e di contraddittorio con riguardo anche al metodo di decrittazione delle chat seguito dal giudice straniero.
La difesa aveva infatti eccepito la violazione dell’articolo 6 della Convenzione europea dei diritti dell’uomo in merito alla esclusione dell’accesso ai file originari e alla chiave di cifratura (utilizzata dalla autorità giudiziaria straniera), lamentando la violazione del diritto di difesa per aver impedito la verifica delle modalità con le quali era stato acquisito il dato, poi oggetto di prova in Italia.
Non solo. L’altra questione sottoposta alle Sezioni Unite ha riguardato la natura documentale o captativa (cioè di intercettazione) dell’acquisizione dei dati effettuate con ordine di indagine europeo, individuando nel giudice straniero il garante della legittimità anche procedurale della acquisizione.
Algoritmi di decrittazione, la memoria della Procura generale della Cassazione
In attesa di leggere le motivazioni, possiamo anticipare che le Sezioni Unite hanno deciso sulla base delle conclusioni conformi della Procura generale, che aveva evidenziato che:
- a) le modalità con le quali l’autorità giudiziaria straniera (francese) ha acquisito i messaggi presenti sulla piattaforma Sky ECC, nel caso di specie, non hanno comportato alcuna violazione dei principi fondamentali e inderogabili dell’ordinamento giuridico italiano;
- b) Il diritto di difesa, inoltre, non può essere ritenuto leso per effetto della mancata conoscenza (e, dunque, dell’indisponibilità per la difesa) dell’algoritmo utilizzato per la decriptazione della messaggistica acquisita. “Costituisce principio consolidato quello per cui, in tema di intercettazioni di flussi comunicativi, l’indisponibilità dell’algoritmo utilizzabile per la decriptazione dei dati informatici non determina alcuna lesione del diritto di difesa, perché l’interessato può avvalersi della procedura prevista dall’ 268, commi 6 e 7, cod. proc. pen. per verificare il contenuto delle captazioni, ma non può anche pretendere un controllo diretto mediante l’utilizzo esclusivo e non mediato del programma di decriptazione (Sez. 6, n. 14395 del 27/11/2018 dep. 2019);
- c) In ogni caso, la violazione dell’art. 268, commi 6 e 7, cod. proc. pen. non rientra tra le cause di inutilizzabilità dell’intercettazione contemplate dall’art. 271 cod. proc. pen. Resta ferma la possibilità per la difesa di dedurre, sulla base di ragioni specifiche, anomalie tecniche in grado di fare dubitare della correttezza delle acquisizioni e dell’inquinamento del risultato probatorio e, in tal caso, il correlativo obbligo, per l’autorità giudiziaria, di promuovere accertamenti sul punto;
- d) la correttezza dell’algoritmo utilizzato nel caso di specie nell’operazione di decodificazione, del resto, è attestata dalla stessa intellegibilità delle chat acquisite. Secondo l’orientamento giurisprudenziale consolidato, qualora il messaggio telematico sia criptato mediante un impiego di un algoritmo o di una chiave di cifratura e trasformato in un mero dato informatico, l’intelligibilità del messaggio è subordinata all’attività di decriptazione che presuppone la disponibilità dell’algoritmo che consente di trasformare il codice binario in un contenuto dimostrativo. Ogni messaggio cifrato è inscindibilmente accoppiato alla sua chiave di cifratura. Pertanto, solo la chiave esatta produrrà una decifratura, necessariamente l’unica possibile e, per ciò stesso, necessariamente quella corretta e necessariamente quella ‘integrale’;
- e) Nel caso in cui si individuasse nell’art. 270 cod. proc. pen. la disposizione che, in un caso interno analogo, avrebbe giustificato l’importazione degli esiti di intercettazioni svolte in un diverso procedimento, il riferimento alla direttiva 2002/58/CE, relativa alla vita privata e alle comunicazioni elettroniche non sarebbe pertinente. Essa riguarda solo il caso in cui le autorità pubbliche chiedono l’accesso ai dati trattati dai fornitori di servizi di telecomunicazione, dovendo ricomprendersi nel concetto di “trattamento dei dati personali”, di cui all’ 4, § 2, del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche, in special modo la conservazione di detti dati. Qualora, invece, l’intercettazione sia effettuata direttamente dagli Stati membri, con accesso diretto alle utenze con provvedimento mirato, senza che sia imposto alcun obbligo di trattamento dei dati ai fornitori di servizi di telecomunicazione, la direttiva relativa alla vita privata e alle comunicazioni elettroniche non trova applicazione;
- f) lo stesso meccanismo di funzionamento del sistema di comunicazione criptato è tale che, senza intercettare prima il server e, poi, inoculare in esso un trojan, non si può realizzare l’attività investigativa in modo utile sui singoli apparecchi, apprendendo le chiavi di cifratura necessarie a decodificare quanto acquisito.
L’intercettazione dei telefoni criptati nel nostro ordinamento, in altri termini, può avvenire anche quando, come nel caso di specie, il meccanismo tecnologico adoperato implica necessariamente l’inoculazione di un captatore informatico nel server utilizzato per le comunicazioni al fine di cogliere le chiavi di cifratura che sono tanto negli apparecchi, quanto nel server.
La qualificazione giuridica dell’attività investigativa, in breve, non può prescindere da uno sforzo di comprensione del sistema tecnologico sul quale essa si è innestata e, per un ovvio quanto doveroso rispetto del “principio di realtà”, non può che considerare tale sistema quale variabile indipendente, così evitando di ragionare per archetipi astratti.