​​​​​​​Le indagini penali telematiche e privacy

Le indagini penali telematiche e la tutela della privacy dei cittadini

Abstract: Il contributo si propone di analizzare le problematiche che ancora oggi caratterizzano le indagini penali finalizzate all’acquisizione di dati presso i fornitori dei servizi telematici, anche alla luce della disciplina in materia di data protection e delle novità legate alla prossima applicazione del Regolamento UE 2023/1543.

Abstract ENG: This paper is aimed at analysing the problems that still characterise criminal investigations involving the acquisition of data from telematic service providers, also in the light of the data protection regulations and the novelties linked to the forthcoming application of EU Regulation 2023/1543.

Premessa

Diversi sono gli strumenti a disposizione della Autorità Giudiziaria per effettuare indagini telematiche.

Nella conduzione di indagini penali per delitti dolosi per i quali è prevista la pena della reclusione superiore nel massimo a cinque anni o per gli altri reati previsti dall’art. 266 c.p.p., l’autorità giudiziaria può innanzitutto ricorrere all’intercettazione “dinamica” di conversazioni o comunicazioni telefoniche e di altre forme di telecomunicazione.

L’attività investigativa, captando le conversazioni in corso di svolgimento ed intaccando la libertà e la segretezza delle comunicazioni (art. 15 Cost.), richiede però l’autorizzazione (o, nei casi d’urgenza, la convalida) del giudice per le indagini preliminari che, ai sensi dell’art. 267 c.p.p., può concederla con decreto motivato per un periodo limitato (non superiore ai 15 giorni, salve proroghe) e soltanto «quando vi sono gravi indizi di reato e l’intercettazione è assolutamente indispensabile ai fini della prosecuzione delle indagini».

La messaggistica, i contatti, i file e ulteriori dati posso essere acquisiti anche mediante il sequestro degli hardware che li contengono.

In particolare, l’autorità giudiziaria – ai sensi dell’art. 253 c.p.p. – può procedere, con “semplice” decreto motivato, al sequestro di dispositivi e sistemi informatici o telematici e i dati ivi contenuti (comprese le comunicazioni già inviate e ricevute) laddove costituiscano il corpo del reato o cose pertinenti al reato necessarie per l’accertamento dei fatti.

Tale sequestro può essere disposto, nei casi di urgenza, d’iniziativa dalla polizia giudiziaria purché intervenga la successiva convalida della Pubblico Ministero (art. 354 c.p.p.).

Tali mezzi di ricerca della prova sono oggetto di particolare attenzione nella dottrina e nella giurisprudenza, oltre che in Parlamento. Basti pensare alla proposta di legge 806 del 19 luglio 2023 in tema di “modifiche al codice di procedura penale in materia di sequestro di dispositivi e sistemi informatici, smartphone e memorie digitali” tendente a parificare parzialmente il regime di questa tipologia di sequestro a quello previsto per le intercettazioni.

Diversamente, l’acquisizione di dati telematici presso i Fornitori di servizi telematici (i cd. Service Provider o in forma abbreviata “SP”) non è stata oggetto di particolari approfondimenti dottrinali o riflessioni giurisprudenziali.

L’acquisizione di dati telematici presso i service provider: gli artt. 254-bis c.p.p. e 132 del codice privacy

L’art. 254-bis c.p.p. prevede che l’autorità giudiziaria può procedere al sequestro presso i fornitori di servizi informatici, telematici e di telecomunicazioni «dei dati da questi detenuti, compresi quelli di traffico o di ubicazione».

Leggendo il solo codice di procedura penale sembrerebbe che tale forma di sequestro non sia soggetta a limiti o condizioni, se non a quelli genericamente previsti all’art. 253 c.p.p. (decreto motivato).

Non è così!

In realtà, l’art. 132 del D.Lgs. 196/03 (cd. codice privacy), così come modificato dal decreto legge del 30 settembre 2021, n. 132, stabilisce che  è possibile acquisire presso i Fornitori/Service Provider dati relativi al traffico telefonico o telematico solo allorquando il decreto di acquisizione dati sia motivato con riguardo alla sussistenza di sufficienti indizi di specifici reati ed alla rilevanza dell’acquisizione dei dati ai fini della prosecuzione delle indagini. L’acquisizione deve inoltre essere autorizzata dal Giudice per le indagini preliminari.

Nel dettaglio, la disposizione stabilisce «entro il termine di conservazione imposto dalla legge, se sussistono sufficienti indizi di reati per i quali la legge stabilisce la pena dell’ergastolo o della reclusione non inferiore nel massimo a tre anni, determinata a norma dell’articolo 4 del codice di procedura penale, e di reati di minaccia e di molestia o disturbo alle persone col mezzo del telefono, quando la minaccia, la molestia e il disturbo sono gravi, ove rilevanti ai fini della prosecuzione delle indagini, i dati (relativi al traffico telefonico e telematico ndr) sono acquisiti presso il fornitore con decreto motivato del giudice su richiesta del pubblico ministero o su istanza del difensore dell’imputato, della persona sottoposta a indagini, della persona offesa e delle altre parti private» (comma 3).

Quando ricorrono ragioni di urgenza e vi è fondato motivo di ritenere che dal ritardo possa derivare grave pregiudizio alle indagini, è sufficiente il decreto di acquisizione dati emesso dal Pubblico Ministero, purché sia convalidato nelle successive 48 ore dal Giudice (comma 3-bis).

Trattandosi di norma successiva e speciale, l’art. 132 cod. privacy non può che derogare la generica disposizione di cui all’art. 254-bis c.p.p. (introdotta nel lontano 2008).

La procedura ivi prevista non quindi che imporsi come procedura obbligata per l’acquisizione di dati telematici presso i Service Provider da parte dell’Autorità Giudiziaria.

La disposizione è di quotidiana applicazione, data la crescente importanza delle prove informatiche e delle indagini penali telematiche.

Tuttavia, a distanza di più di due anni dalla sua entrata in vigore, sussistono tra gli operatori giuridici plurimi dubbi interpretativi che, con il presente contributo, si cerca di dissipare.

Il corretto inquadramento storico e normativo dell’art. 132 del codice privacy

Diversamente da quanto comunemente si crede, l’art. 132 del codice privacy non è stata introdotto dal Legislatore italiano per effetto del Regolamento UE 2016/679 (di seguito anche GDPR), che, nel disciplinare la protezione delle persone fisiche con riguardo al trattamento dei dati di carattere personale, non regola direttamente in che modo i Fornitori di servizi informatici/telematici, nella loro qualità (a seconda dei casi) di Titolare o Responsabile del Trattamento, si debbano comportare difronte a richieste di acquisizione dati delle autorità giudiziarie.

Come si evince dal preambolo del decreto legge 30 settembre 2021, n. 132, la novella all’art. 132 del codice privacy è stata introdotta dal Parlamento per soddisfare la «straordinaria necessità ed urgenza di garantire la possibilità di acquisire dati relativi al traffico telefonico e telematico per fini di indagine penale nel rispetto dei principi enunciati dalla Grande sezione della Corte di giustizia dell’Unione europea nella sentenza del 2 marzo 2021, causa C-746/18, e in particolare di circoscrivere le attività di acquisizione ai procedimenti penali aventi ad oggetto forme gravi di criminalità e di garantire che dette attività siano soggette al controllo di un’autorità giurisdizionale».

Con la citata sentenza (n. 746), la Corte di Giustizia UE, Grande Sezione, alla luce di quanto previsto dagli artt. 8 e 15 della direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002 relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche, ha ritenuto che “il diritto dell’Unione Europea osta ad una normativa nazionale, la quale consenta l’accesso di autorità pubbliche ad un insieme di dati relativi al traffico o di dati relativi all’ubicazione, idonei a fornire informazioni sulle comunicazioni effettuate da un utente di un mezzo di comunicazione elettronica o sull’ubicazione delle apparecchiature terminali da costui utilizzate e a permettere di trarre precise conclusioni sulla sua vita privata, per finalità di prevenzione, ricerca, accertamento e perseguimento di reati, senza che tale accesso sia circoscritto a procedure aventi per scopo la lotta contro le forme gravi di criminalità o la prevenzione di gravi minacce alla sicurezza pubblica”.

Secondo la Corte, al fine di garantire il pieno rispetto di tali condizioni, doveva ritenersi “essenziale che l’accesso delle autorità nazionali competenti ai dati conservati sia subordinato ad un controllo preventivo effettuato o da un giudice o da un’entità amministrativa indipendente, e che la decisione di tale giudice o di tale entità intervenga a seguito di una richiesta motivata delle autorità suddette presentata, in particolare, nell’ambito di procedure di prevenzione o di accertamento di reati ovvero nel contesto di azioni penali esercitate. In caso di urgenza debitamente giustificata, il controllo deve intervenire entro termini brevi (v., in tal senso, sentenza del 6 ottobre 2020, La Quadrature du Net e a., C-511/18, C-512/18 e C-520/18, EU:C:2020:791, punto 189 e la giurisprudenza ivi citata)”.

Di qui l’introduzione della specifica disciplina di cui all’art. 132 del codice privacy.

L’applicabilità della normativa privacy

Ciò doverosamente premesso, bisogna ciò non dimeno evidenziare che la trasmissione di dati all’autorità giudiziaria richiedente costituisce un’attività di trattamento ai sensi della normativa privacy.

Ed invero, l’art. 4, par. 1, n. 1 del GDPR definisce “dato personale” «qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»)», precisando che «si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online», ecc.

Nel concetto di “dato personale” rientrano pertanto anche i dati relativi al traffico o i dati relativi all’ubicazione, di cui parlando gli artt. 254-bis c.p.p. e 132 del codice privacy.

Inoltre, l’art. 4 citato, al punto 2), definisce “trattamento” «qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, (…), la conservazione, (…) la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione…», con ciò includendo anche la trasmissione di dati all’Autorità Giudiziaria (così come all’INPS, all’Agenzia delle Entrate, ecc.).

Non è infatti un caso che l’art. 132, pur disciplinando un atto d’indagine penale, sia stato inserito nel d.lgs. 196/2003 in materia di protezione dei dati personali.

Il concetto di dati relativi al traffico telematico

Chiarito che i “dati relativi al traffico” costituiscono una species del genus “dati personali”, ci si chiede cosa rientri in questa particolare categoria di dati.

E’ pacifico che nei dati di traffico telefonico rientrano i dati di geocalizzazione relativi a cellulari contenuti nei tabulati telefonici (cfr. Cass., sez. VI pen., 11 gennaio 2023, n. 15836).

Non è invece chiaro cosa rientri nei “dati relativi al traffico telematico” e, in particolare, se nella sottocategoria possano rientrare i file di log e cioè gli indirizzi IP registrati dal Service Provider al momento dell’accesso (login) dell’utente a un servizio specifico.

Ed infatti, a fronte di Corti per la maggior parte orientate a considerare tali informazioni come dati di traffico, ve ne sono altre che non le ritengono tali (cfr. dispositivo 12944/21 Reg. GIP del Tribunale di Brescia per cui la “richiesta di File di Log non è contemplata dall’art. 132 del D.lgs.vo. m. 196/2003 modificato dall’art. 1 del D.L. n. 132/2021”).

La normativa italiana non è chiarissima sul punto.

Ed infatti, l’oggi abrogato art. 4, comma 2,  lett. h), del codice privacy, in linea con l’articolo 2 della direttiva 2002/58, definiva i “dati relativi al traffico” come «qualsiasi dato sottoposto a trattamento ai fini della trasmissione di una comunicazione su una rete di comunicazione elettronica o della relativa fatturazione» (lett. h) e i “dati relativi all’ubicazione” come «ogni dato trattato in una rete di comunicazione elettronica o da un servizio di comunicazione elettronica che indica la posizione geografica dell’apparecchiatura terminale dell’utente di un servizio di comunicazione elettronica accessibile al pubblico» (lett. i).

E’ opinioni di chi scrive, un’indicazione esemplificativa si può a dire il vero rintracciare nell’art. 5 della Direttiva 24/2006, riguardante la conservazione di dati generati o trattati nell’ambito della fornitura di servizi di “comunicazione elettronica”, ove tra i dati sottoposti a trattamento vengono indicati:

1. i dati necessari per rintracciare e identificare la fonte di una comunicazione ed in particolare, per la posta elettronica, l’“identificativo/i dell’utente” (let.a), 2.i);
2. i dati necessari per rintracciare e identificare la destinazione di una comunicazione,  tra cui “nome/i e indirizzo/i dell’abbonato/i o dell’utente/i registrato/i e identificativo del presunto destinatario della comunicazione” (lett. b), 2.ii).
3. i dati necessari per determinare la data, l’ora e la durata di una comunicazione, ed in particolare, “per l’accesso Internet, la posta elettronica via Internet e la telefonia via Internet”: i) “data e ora del log-in e del log-off del servizio di accesso Internet sulla base di un determinato fuso orario, unitamente all’indirizzo IP, dinamico o statico, assegnato dal fornitore di accesso Internet a una comunicazione e l’identificativo dell’abbonato o dell’utente registrato”; ii) “data e ora del log-in e del log-off del servizio di posta elettronica su Internet o del servizio di telefonia via Internet sulla base di un determinato fuso orario” (let. c), i e ii).

Pertanto, alla luce di tali disposizioni, sembrerebbe che nel concetto di “dati relativi al traffico” di cui all’art. 132 D.lgs. 196/03 debbano rientrare certamente i File di Log e cioè il registro delle connessioni IP con data e ora.

D’altronde questi dati consentono – al pari dei tabulati telefonici – di individuare il luogo in cui si trovi l’apparecchio impiegato nell’utilizzo di servizi telematici (posta elettronica, ecc.)

I periodi di data retention

I Service Provider situati in Italia sono tenuti a conservare, ai sensi dell’art. 132, comma 1, del codice privacy, i dati relativi al traffico telefonico per ventiquattro mesi dalla data della comunicazione e quelli relativi al traffico telematico (esclusi comunque i contenuti delle comunicazioni) per dodici mesi.

Questo periodo di data retention non è ovviamente vincolate per i Service Provider stranieri, soggetti alle leggi dell’Unione Europea e a quelle dello Stato di stabilimento.

Gli ISPs stranieri possono quindi conservare i dati di traffico per un periodo di tempo più limitato.

D’altronde, ai sensi dell’art. 5, par. 1, GDPR i dati personali dovrebbero essere conservati «per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati» (principio della limitazione della conservazione).

La sussistenza (o meno) in capo ai fornitori dell’obbligo di eseguire i decreti di acquisizione dati. La voluntary disclosure dei Service Provider stranieri

I servizi telematici possono essere forniti da qualsiasi luogo e non necessitano di un’infrastruttura fisica, di locali o personale nel paese in cui è offerto il pertinente servizio. Pertanto, i dati di traffico sono spesso conservati al di fuori dei confini nazionali.

A stretto rigore, i decreti di acquisizione dati telematici possono essere destinati ai soli Service Provider italiani che, soggiacendo alla normativa nazionale, sono certamente obbligati a fornire i dati richiesti ai sensi dell’art. 132 del codice privacy, pena altrimenti la commissione di un illecito penale.

Ed invero, ai sensi dell’art. 650 c.p. «chiunque non osserva un provvedimento legalmente dato dall’Autorità per ragione di giustizia … è punito, se il fatto non costituisce un più grave reato, con l’arresto fino a tre mesi o con l’ammenda fino a euro 206».

Quando si tratta di Service Provider stranieri, gli organi inquirenti italiani dovrebbero invece procedere all’acquisizione dei dati tramite gli strumenti di cooperazione internazionale.

Dovrebbero in particolare procedere tramite rogatoria internazionale ex art. 727 c.p.p. o, quando si tratta di SP situati negli Stati membri dell’Unione Europea che hanno recepito la Direttiva 2014/41/UE, tramite Ordine Europeo di Indagine (OEI) ai sensi del decreto legislativo 108 del 21 giugno 2017. 

Entrambi gli strumenti di cooperazione internazionale richiamati prevedono che le richieste di assistenza giudiziaria siano trasmesse alle autorità estere (governative o giudiziarie) che successivamente provvedono all’esecuzione dell’atto d’indagine secondo le regole e modalità del rispettivo ordinamento.

Tuttavia, le procedure e le scadenze previste per questi strumenti di cooperazione sono generalmente inadeguate per l’acquisizione di dati di traffico telematico, che sono più volatili e potrebbero essere cancellati più facilmente e rapidamente.

Nella prassi le autorità italiane rivolgono pertanto i decreti di acquisizione dati telematici direttamente ai Service Provider che li detengono, chiedendone la voluntary disclosure.

Queste richieste non trovano alcun fondamento normativo e non possono certamente ritenersi vincolanti per gli SP stranieri che, se decidono di rilasciare le informazioni, lo fanno esclusivamente su base volontaria.

Generalmente, gli SP acconsentono al rilascio di informazioni relativi ai dati di registrazione e di traffico (cd. subrscriber information), mentre richiedono il ricorso agli strumenti di assistenza giudiziaria (rogatoria o OEI) per acquisire i cd. content data (ad es. i messaggi di posta elettronica scambiati da un account email).

Alcuni SP, per agevolare le forze dell’ordine, hanno addirittura implementato delle piattaforme ove le autorità possono inoltrare le richieste e scaricare le informazioni di interesse investigativo.

Non essendo i Service Provider obbligati ad adempiere ai decreti di acquisizione trasmessi dalle autorità italiane, ci si chiede se la trasmissione dei dati su base volontaria possa dirsi “autorizzata” secondo la legislazione in materia di data protection.

Ed invero, ai sensi dell’art. 6 del GDPR, i Fornitori possono procedere al trattamento (e quindi al trasferimento) di dati personali soltanto se e nella misura in cui ricorre almeno una delle seguenti  condizioni:

1. l’interessato ha espresso il consenso al trattamento;
2. il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte;
3. il trattamento «è necessario per adempiere un obbligo di legge al quale è soggetto il titolare del trattamento»;
4. il trattamento è necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica;
5. il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri;
6. il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali.

A ben vedere, non essendo gli SP stranieri vincolati ai decreti di acquisizione emessi dall’Autorità italiana ai sensi dell’art. 132 del codice privacy, la procedura di voluntary disclosure non può trovare fondamento sulla base giuridica dell’obbligo legale di cui all’art. 6, lett. c), del GDPR.

Il trasferimento dei dati in questione potrebbe certamente essere autorizzato dall’utente in fase di adesione al servizio prestando apposito consenso.

A giudizio di chi scrive, in mancanza di consenso, la voluntary disclosure può però ritenersi fondata sulla base giuridica del legittimo interesse (art. 6, lett. f).

Potrebbe infatti ritenersi che l’interesse del titolare a cooperare con le forze dell’ordine anche straniere o quello generale della collettività (terzi) alla repressione dei reati debba prevalere rispetto al diritto/interesse alla riservatezza dell’utente.

Tale bilanciamento può essere giudicato a maggior ragione verosimile nella misura in cui si consideri che i Service Provider stranieri, quand’anche dovessero non ottemperare al decreto di acquisizione di dati telematici, potrebbero essere comunque obbligati al rilascio dei dati di interesse investigativo tramite le procedure di cooperazione internazionale, quale che sia il relativo Stato di stabilimento.

Il potere/dovere del fornitore di sindacare la legittimità dell’ordine ricevuto

Si ritiene in ogni caso che il Fornitore, sia esso italiano o straniero, ha il potere/dovere di sindacare la legittimità (secondo l’ordinamento di emissione) dell’ordine ricevuto ed in particolare il rispetto delle condizioni di cui all’art. 132, commi 3 e 3-bis, del codice della privacy.

Nel dettaglio, si ritiene che i Service Provider non siano tenuti ad eseguire richieste di acquisizioni provenienti dalla Polizia Giudiziaria o decreti di acquisizione emessi dalla Procura della Repubblica in assenza della preventiva convalida del Giudice procedente.

D’altronde, l’art. 650 c.p. punisce soltanto chi non osserva un provvedimento «legalmente dato» dall’Autorità per ragioni di giustizia.

Inoltre, la collocazione dell’art. 132 all’interno del codice privacy induce a ritenere che la norma sia prioritariamente finalizzata alla protezione delle persone fisiche con riguardo a questa particolare attività di trattamento dei dati personali. Protezione che – come noto – deve essere garantita dal titolare del trattamento e, per suo conto, dal responsabile del trattamento.

Ciò senza contare che l’esecuzione di ordini illegittimi esporrebbe il Service Provider a una responsabilità risarcitoria, atteso che il trasferimento di dati all’Autorità Giudiziaria richiedente non sarebbe sorretto da una valida base giuridica (mancando  le condizioni di legge) e che ai sensi dell’art. 82 GDPR «chiunque subisca un danno materiale o immateriale causato da una violazione del … regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento»

II non-disclosure order e la responsabilità penale conseguente alla loro violazione

L’acquisizione di dati telematici, al pari dell’intercettazione, è un atto a sorpresa, nel senso che il Pubblico Ministero non è tenuto ad informare l’interessato (per esempio il titolare dell’account di posta elettronica) dell’avvenuta acquisizione.            

I Service Provider, allorché rivestono la qualifica di responsabili del trattamento (ad es. per le email di posta elettronica aziendale), possono essere tentati di rivolgersi al titolare del trattamento (nell’esempio, l’azienda) per essere autorizzati alla trasmissione dei dati oggetto del decreto di acquisizione ricevuto.

Ed infatti, ai sensi dell’art. 29 GDPR «il responsabile del trattamento …che abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri».

Tale consultazione però determinerebbe la rivelazione a terzi non interpellati dell’esistenza di indagini destinate a rimanere segrete.

Potrebbe inoltre frustare gli obiettivi delle indagini penali: si pensi al caso di reati commessi dai vertici aziendali, allertati dalla segnalazione del responsabile del trattamento.

Anche per questa ragione, i decreti di acquisizione sono generalmente accompagnati da un ordine di non divulgazione (non-disclosure order) e cioè dall’ordine di mantenere il segreto sull’atto investigativo.

Tali ordini trovano fondamento negli artt. 329 e 391-quinquies c.p.p. per le richieste di acquisizione e nel art. 132, comma 4-ter, codice privacy per le richieste di conservazione di dati telematici (cd. preservation request) emesse ai sensi dell’art.  226 disp. att. c.p.p. per reati di terrorismo, associazione per delinquere, mafia e assimilati.

Generalmente, gli atti di indagine sono infatti coperti dal segreto fino a quando l’imputato non ne possa avere conoscenza e, comunque, non oltre la chiusura delle indagini preliminari (v. art. 329, comma 1, c.p.p.). Inoltre, se sussistono specifiche esigenze attinenti all’attività di indagine, il pubblico ministero, con decreto motivato, può comunque vietare alle persone sentite di comunicare i fatti e le circostanze oggetto dell’indagine di cui hanno conoscenza (v. art, 391-quinquies c.p.p.).

La indebita divulgazione/comunicazione degli atti secretati può determinare, a seconda dei casi, l’integrazione dei reati di: rivelazione di notizia di cui sia stata vietata la divulgazione (art. 262 c.p.); rivelazione di segreti d’ufficio (art.  326 c.p., così come richiamato dall’art. 132, comma 4-ter per le preservation request); o rivelazione di segreti inerenti a un procedimento penale (art. 379-bis c.p.).

Discussa però è l’applicabilità di queste fattispecie incriminatrici ai Service Provider stranieri che dovessero violare il non-disclosure order.

Ed infatti, la legge penale italiana obbliga tutti coloro (cittadini o stranieri) che commettono un reato nel territorio dello Stato, secondo il principio di territorialità previsto dal codice penale di cui agli artt. 3 e 6 del codice penale.

Tale principio è derogato per alcuni tipi reati (elencati agli artt. 7 e 8 c.p.) punibili incondizionatamente in Italia anche se commessi all’estero. Ai sensi dell’art. 10 c.p., il principio di territorialità è inoltre derogato per i delitti puniti con la reclusione non inferiore nel minimo ad un anno commessi dallo straniero nei confronti dello Stato o di un cittadino italiano, sempre che il colpevole si trovi nel territorio dello Stato e vi sia richiesta del Ministro della giustizia o denuncia-querela della persona offesa.

A primo acchito, non essendo i reati di cui agli artt. 326 e 379-bis c.p. elencati negli artt. 7 e 8 c.p. ed essendo puniti con pena inferiore nel massimo ad un anno, sembrerebbe che i Service Provider stranieri che violino un no-disclosure order non siano punibili in Italia.

A bene vedere tuttavia, l’art. 6, comma 2, codice penale precisa che «il reato si considera commesso nel territorio dello Stato, quando l’azione o l’omissione, che lo costituisce, è ivi avvenuta in tutto o in parte, ovvero si è ivi verificato l’evento».

Da questo punto di vista, i delitti di rivelazione di segreti (segreti d’ufficio ai sensi dell’art. 326 c.p. o 132 codice privacy, segreti professionali ex art. 622 c.p., segreti industriali ex art. 623 c.p., ecc.) si considerano, per pacifica giurisprudenza, commessi nel luogo in cui il destinatario riceve le informazioni che dovevano tenersi segrete (cfr. Cass. Pen., Sez. Un., 28 novembre 1981).

Pertanto, sussiste l’astratta possibilità di perseguire penalmente in Italia la violazione di ordini di non divulgazione commessa da SP stranieri.

Occorre infatti evidenziare che, in un caso riguardante l’indebita rivelazione di segreti industriali riguardante il direttore generale di un’acciaieria indiana, la Corte di Cassazione ha confermato la giurisdizione del giudice italiano, evidenziando “che parte della condotta – ossia la illecita acquisizione delle notizie riservate (…)- fosse avvenuta … in Italia” (Cass., sez. V pen., 16 febbraio 2016, n.29205).

Pertanto, laddove il Service Provider straniero, a fronte di un non-disclosure order dell’Autorità Giudiziaria italiana, dovesse rivelare l’atto di indagine al titolare del trattamento situato in Italia, si potrebbe astrattamente sostenere che il reato sia stato commesso nel territorio italiano.

I diritti dell’interessato/indagato ai sensi della normativa in materia di data protection

Per garantire la protezione e la riservatezza dei propri dati personali, il Regolamento 2016/679 (GDPR) conferisce ai soggetti interessati (le persone fisiche alle quali si riferiscono i dati personali) determinati diritti, elencati agli art. 15-22 (diritto di informazione, di accesso, di rettifica, ecc.).

Attraverso tali diritti, gli interessati possono assicurarsi che i propri dati non vengano utilizzati in modo improprio per finalità diverse dagli scopo per i quali sono stati originariamente forniti o raccolti.

Tra i diritti dell’interessato rientra anche il diritto ad ottenere la cancellazione dei dati personali che lo riguardano, esercitabile nei casi previsti all’art. 17.

Si potrebbe quindi pensare che i criminali informatici possano neutralizzare le indagini penali relative ai computer crimes da loro commessi esercitando nei confronti dei Service Provider titolari del trattamento il diritto alla cancellazione dei dati da questi ultimi detenuti che potrebbero ricondurre alla loro persona, file di log inclusi.

Non è così.

L’art. 23 GDPR prevede infatti che «il diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento o il responsabile del trattamento può limitare, mediante misure legislative, la portata degli obblighi e dei diritti di cui agli articoli da 12 a 22 (…), qualora tale limitazione rispetti l’essenza dei diritti e delle libertà fondamentali e sia una misura necessaria e proporzionata in una società democratica per salvaguardare» tra le altre cose (d) «la prevenzione, l’indagine, l’accertamento e il perseguimento di reati o l’esecuzione di sanzioni penali, incluse la salvaguardia contro e la prevenzione di minacce alla sicurezza pubblica».

In Italia, restrizione specifiche sono state in particolare previste dal combinato disposto degli artt. 2-undecies, comma 3, terzo, quarto e quinto periodo, 132, comma 3-ter e 160 del codice privacy.

Alla luce di queste disposizioni, i diritti di cui agli articoli da 12 a 22 del Regolamento (informazione, accesso, rettifica, cancellazione, limitazione, portabilità) possono essere esercitati rispetto ai dati conservati (ai sensi dell’art. 132, comma 1, codice privacy) per le finalità di accertamento e repressione dei reati solo tramite di un componente designato dal Garante Privacy.

Se il trattamento non risulta conforme alle norme del Regolamento ovvero alle disposizioni di legge o di Regolamento, il Garante indica al titolare o al responsabile le necessarie modificazioni ed integrazioni e ne verifica l’attuazione.

Se l’accertamento è stato richiesto dall’interessato, a quest’ultimo è fornito in ogni caso un riscontro circa il relativo esito, solo «se ciò non pregiudica azioni od operazioni a tutela dell’ordine e della sicurezza pubblica o di prevenzione e repressione di reati o ricorrono motivi di difesa o di sicurezza dello Stato» (v. art. 160).

L’inutilizzabilità dei dati acquisiti in violazione dell’art. 132 del codice privacy

La limitazione dei diritti dell’interessato non esclude tuttavia che le indagini penali telematiche debbano essere eseguite nel rispetto delle tempistiche e delle particolari procedure (ordinaria e d’urgenza) previste dall’art. 132 del codice della privacy.

Si ritiene invero che i dati acquisiti oltre il termine di conservazione stabilito dalla legge, quelli acquisiti in procedimenti per reati puniti con pena inferiore nel massimo a tre anni o senza l’autorizzazione o convalida del giudice per le indagini preliminari non siano utilizzabili nel procedimento penale a carico dell’indagato/imputato.

Ed infatti, l’art. 132, comma 3-quater, del codice privacy stabilisce espressamente che «i dati acquisiti in violazione delle disposizioni dei commi 3 e 3-bis non possono essere utilizzati».

Non solo. Come precisato dalle Sezioni Unite di Cassazione “la disciplina di cui all’art. 132 D.Lgs. n. 196 del 2003 non può reputarsi derogata da quella di cui all’art. 45 D.Lgs. n. 108 del 2017, la quale prevede che l’Ordine Europeo di indagine «al fine di ottenere i dati esterni relativi al traffico telefonico o telematico nonché l’acquisizione di ogni altra informazione utile in possesso degli operatori di telecomunicazioni» possa essere presentato sia dal giudice, sia dal pubblico ministero”.

Invero, secondo la Corte “ritenere che il pubblico ministero abbia l’obbligo di ottenere la preventiva autorizzazione del giudice del procedimento nel quale intende utilizzare i dati relativi al traffico telefonico o telematico, quando occorre richiederli ad un gestore operante in Italia, e non anche quando sia necessario richiederli ad un gestore estero, sarebbe in contrasto con la prescrizione dell’art. 6, paragrafo 1, lett. b), Direttiva 2014-41-UE, la quale esige che l’autorità di emissione abbia il potere di disporre «l’atto o gli atti di indagine richiesti nell’o.e.i. (…) alle stesse condizioni in un caso interno analogo»” (Cass., SS.UU, 29 febbraio 2024, n. 23755)

Il regolamento UE 2023/1543

Giova in ogni caso segnalare che le problematiche evidenziate circa l’inadeguatezza delle procedure di cooperazione internazionale, la non vincolatività dei decreti di acquisizione dei dati telematici che varcano i confini nazionali e i non-disclosure order sono destinate a risolversi con l’entrata in vigore del Regolamento UE 2023/1543 (cd. Regolamento E-evidence), prevista per il 18 agosto 2026 (v. art. 34, par. 2).

Tale Regolamento, come precisato all’art. 1,  «stabilisce le norme in base alle quali un’autorità di uno Stato membro può, nell’ambito di un procedimento penale, emettere un ordine europeo di produzione o un ordine europeo di conservazione e ingiungere pertanto a un prestatore di servizi che offre servizi nell’Unione e che è stabilito in un altro Stato membro o, alternativamente, rappresentato da un rappresentante legale in un altro Stato membro, di produrre o conservare prove elettroniche, indipendentemente dall’ubicazione dei dati».

L’art. 3, par. 1, del Regolamento definisce in particolare “prove elettroniche”:

• «i dati relativi agli abbonati» (i dati riguardanti l’identità di un abbonato o di un cliente, come il nome, la data di nascita, l’indirizzo postale o geografico, i dati di fatturazione e pagamento, il numero di telefono o l’indirizzo e-mail forniti e quelli riguardanti il tipo di servizio e la sua durata, compresi i dati tecnici);
• «i dati sul traffico» (i dati riguardanti la fornitura di un servizio offerto da un prestatore di servizi, che servono per fornire informazioni di contesto o supplementari sul servizio e che sono generati o trattati da un sistema di informazione del prestatore di servizi, come la fonte e il destinatario di un messaggio o altro tipo di interazione, sull’ubicazione del dispositivo, la data, l’ora, l’inizio e alla fine di una sessione di accesso utente a un servizio)
• e «i dati relativi al contenuto» (qualsiasi dato in formato digitale, come testo, voce, video, immagini o suono, diverso dai dati relativi agli abbonati o dai dati sul traffico).

L’art. 5 prevede un regime diversificato a seconda che l’ordine europeo di produzione sia finalizzato ad ottenere dati sugli abbonati (o dati richiesti al solo scopo di identificare l’utente) o ad ottenere dati relativi al traffico o al contenuto.

Nel primo caso l’ordine europeo di produzione «può essere emesso per qualsiasi reato e per l’esecuzione di una pena o di una misura di sicurezza detentiva di almeno quattro mesi, a seguito di un procedimento penale, irrogata con decisione non pronunciata in contumacia, nei casi in cui la persona condannata è latitante».

Nel secondo può essere emesso solo per i reati punibili nello Stato di emissione con una pena detentiva della durata massima di almeno tre anni oppure per i seguenti reati specificamente indicati alla lett. b) del par. 4 della disposizione richiamata.

Come evidenziato ai considerando nn. 32 e 33, evidenzia che gli indirizzi IP, trattandosi di informazioni correlate sull’inizio e la fine di una sessione di accesso utente a un servizio, quali porte sorgenti e marche temporali o equivalenti, possono rappresentare un punto di partenza fondamentale per le indagini penali in cui l’identità di un indagato. Ma non solo.

Pertanto, laddove siano richiesti al solo scopo di identificare l’utente in una specifica indagine penale devono essere equiparati ai dati degli abbonati.

Quando invece siano richiesti al fine di ottenere informazioni più invasive della vita privata, come quelle sui contatti dell’utente e sul luogo in cui questo si trova, devono essere trattati alla stregua dei dati di traffico.

Ad ogni modo, gli Stati membri dovranno stabilire sanzioni pecuniarie applicabili in caso di violazione del Regolamento e dovranno adottare tutti i provvedimenti necessari per assicurarne l’applicazione.

Il Regolamento fa in ogni caso salvi i diritti nazionali che prevedono l’irrogazione di sanzioni penali (v. considerando n. 69).

Come precisato al considerando n. 71, i prestatori di servizi non dovrebbero essere ritenuti responsabili negli Stati membri per i pregiudizi causati agli utenti o a terzi derivanti esclusivamente dall’ottemperanza in buona fede degli ordini di produzione europei.

Ed infatti, la responsabilità di garantire la legittimità dell’ordine in questione dovrebbe spettare all’autorità di emissione.

In ogni caso, la procedura prevista consente al destinatario di opporsi all’esecuzione, sulla base di un elenco di motivi specifici previsti Regolamento (immunità o privilegi, violazione manifesta di un pertinente diritto fondamentale sancito dall’articolo 6 TUE e dalla Carta, ne bis in idem, reato non punibile nello Stato di esecuzione), compreso il fatto che l’ordine non è stato emesso o convalidato da un’autorità competente come previsto dal Regolamento (v. considerando n. 73 e art. 12).

Infine, all’art. 5, par. 7, viene previsto espressamente che «il responsabile del trattamento che conserva o altrimenti tratta i dati per conto del titolare del trattamento informa il titolare del trattamento in merito alla produzione dei dati, a meno che l’autorità di emissione non abbia chiesto al prestatore di servizi di astenersi dall’informare il titolare del trattamento, per il tempo necessario e proporzionato, al fine di non ostacolare il procedimento penale pertinente».