Sommario
Introduzione
La sentenza della Corte di Giustizia dell’Unione Europea (CGUE), Grande Sezione, del 30 aprile 2024, nel caso EncroChat (rubricato C-670/22), consente di analizzare un punto di svolta nella giurisprudenza penale degli ultimi anni, nel campo delle comunicazioni telefoniche e telematiche.
Tali mezzi di comunicazione sono diventati il principale strumento utilizzato dalle organizzazioni criminali del XXI secolo e coinvolgono inevitabilmente la giurisdizione di vari paesi.
Il punctum dolens riguarda l’acquisizione e l’utilizzo dei dati relativi alle comunicazioni sui cosiddetti “criptofonini”.
Nella vicenda esaminata in sentenza, l’Autorità giudiziaria francese aveva acquisito tali dati, in quanto già esistenti al momento delle attività delle squadre investigative comuni, e non come flussi di comunicazione attivi. I dati erano archiviati sulla piattaforma criptata Sky ECC, gestita dalla società canadese Sky Global, e conservati nei server della stessa azienda.
Si trattava delle conversazioni, intercorse sulla detta piattaforma.
Solo dopo la registrazione, queste chat sono state trasferite all’Autorità giudiziaria italiana sulla base di un Ordine europeo d’indagine (OEI) emesso dai Procuratori della Repubblica.
La CGUE, nella richiamata decisione, ha segnatamente emesso cinque statuizioni.
In sintesi, ha ritenuto, in primo luogo, che un OEI finalizzato ad ottenere la trasmissione di prove già in possesso delle Autorità competenti del paese di esecuzione (Francia, nella vicenda in esame) possa, a determinate condizioni, essere adottato anche da un Pubblico Ministero in qualità di autorità di emissione.
Ha poi chiarito che la sua emissione non richiede che siano rispettate necessariamente le stesse condizioni applicabili alla raccolta di prove nello Stato di emissione.
Ha però specificato che deve sussistere la possibilità di un controllo giurisdizionale successivo sul rispetto dei diritti fondamentali delle persone interessate.
Inoltre, ha statuito che una misura di intercettazione, eseguita da uno Stato membro sul territorio di un altro Stato membro, deve essere tempestivamente notificata a tale Stato, non solo nell’ottica di garantire il rispetto della sovranità, ma anche per finalità di tutela dei diritti delle parti interessate.
Infine, ha indicato che il Giudice penale deve, in presenza di determinate condizioni, escludere gli elementi di prova raccolti mediante OEI se la persona interessata non è in grado di controdedurre le proprie osservazioni su di essi.
Le Sezione Unite Penali
La sentenza europea contiene rilevanti indicazioni per il Giudice italiano che ha già affrontato tali questioni con riferimento a due pregresse ordinanze di rimessione alle Sezioni Unite Penali della Corte di Cassazione.
Il provvedimento n. 47798/2023 della Terza Sezione Penale aveva rimesso al vaglio supremo una serie di questioni che avevano generato interpretazioni divergenti nella giurisprudenza di legittimità.
La prima, se il trasferimento all’autorità giudiziaria italiana, in esecuzione di un Ordine europeo di indagine, del contenuto delle comunicazioni effettuate tramite criptofonini, già acquisite e decrittate dall’Autorità giudiziaria estera, nell’ambito di un proprio procedimento penale, costituisse acquisizione di documenti e dati informatici ai sensi dell’articolo 234-bis C.p.p. o di documenti secondo l’articolo 234 C.p.p., oppure rientri in altra disciplina relativa all’acquisizione delle prove.
La seconda, se tale trasferimento dovesse essere sottoposto a una verifica giurisdizionale preventiva della sua legittimità, nello Stato di emissione dell’ordine europeo di indagine.
La terza, se la stessa utilizzabilità degli esiti investigativi andasse soggetta a un vaglio giurisdizionale nello Stato di emissione dell’ordine europeo di indagine.
Nella camera di consiglio del 29 febbraio 2024 – con una decisione separata, ma relativa agli stessi temi del primo provvedimento di rimessione – le Sezioni Unite hanno affrontato le ulteriori seguenti questioni, sollevate con l’ordinanza n. 2329/2024 della Sesta Sezione Penale, portando all’emissione delle sentenze nn. 23755 e 23756.
In primis, se l’acquisizione, tramite Ordine europeo d’indagine, dei risultati di intercettazioni disposte da un’autorità giudiziaria straniera, in un proprio procedimento, su una piattaforma informatica criptata e su criptofonini, integrasse l’ipotesi disciplinata, nell’ordinamento nazionale, dall’art. 270 C.p.p..
In secondo luogo, se, ai fini dell’emissione dell’Ordine europeo di indagine finalizzato al suddetto trasferimento, fosse necessaria la preventiva autorizzazione del giudice.
Infine, se l’utilizzabilità dei predetti esiti investigativi fosse soggetta a un previo vaglio giurisdizionale nello Stato di emissione dell’ordine europeo di indagine.
Criptofonini e piattaforma Sky ECC
Per comprendere la rilevanza transnazionale delle questioni affrontate, è necessario partire – seguendo quanto indicato nella memoria della Procura Generale – da una descrizione del funzionamento dei “criptofonini” operanti sulla piattaforma Sky ECC.
Tale rete utilizza sofisticati metodi crittografici con più livelli di sicurezza, attivi sia sui dispositivi mobili sia sui server intermediari, per resistere ai tentativi di intercettazione.
Come specificato nelle suindicate ordinanze di rimessione alle Sezioni Unite, gli indagati utilizzavano “criptofonini anti-intercettazione”, smartphone con hardware standard (Apple, Android o BlackBerry) modificati con una scheda SIM e un sistema operativo dedicato che disabilita servizi di localizzazione (GPS, Bluetooth, fotocamera, scheda SD e porta USB).
Le chiamate, con tali sistemi e dispositivi, funzionano solo in modalità Voice over IP (VoIP), senza utilizzare la rete ordinaria (GSM), tramite applicazioni proprietarie delle piattaforme stesse.
Lo spiraglio aperto dagli inquirenti in queste protezioni ha permesso la raccolta delle chat, poi acquisite dall’Autorità italiana.
I “criptofonini” garantiscono, in tal modo, la riservatezza delle comunicazioni attraverso una dotazione di server forniti dalla compagnia che gestisce il servizio in abbonamento.
Ciò consente agli utenti di scambiare messaggi e chat tramite un’architettura informatica di tipo “peer-to-peer”, che archivia i dati non solo sul dispositivo criptato, ma anche sui server dedicati e protetti da algoritmi di alta sicurezza.
L’architettura informatica “client-server” impone che qualsiasi messaggio inviato attraverso questo sistema debba necessariamente passare attraverso il server centrale per arrivare dal terminale del mittente al “criptofonino” del destinatario.
In ordine all’utilizzabilità come prova delle chat ottenute dal Pubblico Ministero nella forma già decriptata, tramite Ordine europeo d’indagine (OEI) rivolto all’Autorità giudiziaria francese, si è rilevato un contrasto giurisprudenziale.
L’orientamento prevalente nella giurisprudenza di legittimità considerava tali messaggi utilizzabili nel procedimento penale, sebbene ci fossero divergenze sulla disciplina applicabile come parametro di riferimento per tale giudizio.
Un altro indirizzo giurisprudenziale, in particolare riguardo al rispetto del “principio di equivalenza” escludeva il ricorso all’art. 234-bis C.p.p.
Tale indirizzo richiedeva al Giudice del rinvio di chiarire la natura dell’attività svolta all’estero e di attribuirle la corretta qualificazione giuridica, riconducendola al sequestro di cui all’art. 254-bis C.p.p. oppure alle intercettazioni previste dall’art. 266 C.p.p.
Pertanto, il contrasto interpretativo riguardava sia l’individuazione dello strumento processuale “interno” da utilizzare come parametro per l’importazione delle chat decriptate richieste con OEI, sia l’ambito del controllo giurisdizionale sull’utilizzabilità dei dati probatori raccolti all’estero nel nostro ordinamento.
In particolare, sul punto, le Sezioni Unite, nella suindicata sentenza n. 23755 del 29 febbraio 2024, hanno stabilito che “la trasmissione, richiesta con ordine europeo di indagine, del contenuto di comunicazioni scambiate mediante criptofonini, già acquisite e decrittate dall’autorità giudiziaria estera in un procedimento penale pendente davanti ad essa, non rientra nell’ambito di applicazione dell’art. 234-bis cod. proc. pen., che opera al di fuori delle ipotesi di collaborazione tra autorità giudiziarie, bensì nella disciplina relativa alla circolazione delle prove tra procedimenti penali, quale desumibile dagli artt. 238 e 270 cod. proc. pen. e 78 disp. att. cod. proc. pen.“
A sostegno delle conclusioni sopra indicate, è intervenuta la Corte di Giustizia dell’Unione Europea sulla materia, sebbene connessa e non coincidente, dell’acquisizione dei tabulati telefonici nel procedimento penale, regolata dall’art.132 del D.Lgs. n. 196/2003.
Tale disposizione è stata recentemente modificata dal legislatore italiano con il D.L. 30 settembre 2021, n. 132, in virtù del quale è ora necessario un provvedimento autorizzativo da parte del Giudice per acquisire i dati, e l’acquisizione dei tabulati telefonici è limitata ai procedimenti per i “reati per i quali la legge stabilisce la pena dell’ergastolo o della reclusione non inferiore nel massimo a tre anni, determinata a norma dell’art. 4 del C.p.p., e per i reati di minaccia e di molestia o disturbo alle persone mediante telefono, quando la minaccia, la molestia e il disturbo sono gravi”.
Ai sensi del citato art. 132, l’autorizzazione deve essere concessa in presenza di “sufficienti indizi di reati” e se i dati richiesti sono “rilevanti ai fini dell’accertamento del reato“.
Ciò significa che i Giudici italiani non hanno alcun potere di valutazione discrezionale sulla gravità concreta del reato oggetto dell’indagine, poiché tale valutazione è stata effettuata, a monte, dal Legislatore quando ha stabilito che l’autorizzazione all’acquisizione dei dati dovesse essere concessa per tutti i reati punibili con la pena della reclusione non inferiore nel massimo a tre anni.
L’art. 15 della Direttiva 2002/58/CE prevede che: “gli Stati membri possono adottare disposizioni legislative volte a limitare i diritti e gli obblighi di cui agli artt. 5 e 6, all’art. 8, par. da 1 a 4, e all’art. 9 della presente direttiva, qualora tale restrizione costituisca, ai sensi dell’art. 13, par. 1, della Direttiva 95/46/CE, una misura necessaria, opportuna e proporzionata all’interno di una società democratica per la salvaguardia della sicurezza nazionale (cioè della sicurezza dello Stato), della difesa, della sicurezza pubblica; e la prevenzione, ricerca, accertamento e perseguimento dei reati, ovvero dell’uso non autorizzato del sistema di comunicazione elettronica. A tal fine, gli Stati membri possono tra l’altro adottare misure legislative che prevedano che i dati siano conservati per un periodo di tempo limitato per i motivi enunciati nel presente paragrafo. Tutte le misure di cui al presente paragrafo sono conformi ai principi generali del diritto comunitario, compresi quelli di cui all’articolo 6, par. 1 e 2, del TUE“.
La questione posta dal Giudice italiano, dunque, afferisce al se la limitazione dei reati presupposto per l’acquisizione dei tabulati telefonici, stabilita dal Legislatore italiano, sia conforme ai principi di necessità, proporzionalità e opportunità richiesti dall’articolo 15 della Direttiva 2002/58/CE, nonché al rispetto dei diritti fondamentali garantiti dalla Carta dei Diritti Fondamentali dell’Unione Europea.
La fattispecie concreta
Il Pubblico Ministero, per ciascuno dei telefoni cellulari oggetto di furto, aveva richiesto al Giudice del rinvio, ai sensi dell’art. 132, comma 3, del D.lgs. n. 196/2003, l’autorizzazione ad acquisire tutti i dati in possesso delle compagnie telefoniche.
Tali dati, ottenuti mediante tracciamento e localizzazione delle conversazioni e comunicazioni telefoniche, comprendevano le utenze e i codici IMEI dei dispositivi chiamati o chiamanti, i siti visitati e raggiunti, l’orario e la durata delle chiamate e delle connessioni, l’indicazione delle celle o dei ripetitori interessati, nonché le utenze e i codici IMEI dei dispositivi mittenti e destinatari degli SMS o MMS.
La Grande Sezione ha stabilito che la disciplina italiana può essere considerata compatibile con la normativa europea a condizione che, di fronte a una richiesta di acquisizione di dati “idonei a permettere di trarre precise conclusioni sulla vita privata dell’utente di un mezzo di comunicazione elettronica“, il Giudice “abbia la possibilità di negare detto accesso se quest’ultimo è richiesto nell’ambito di un’indagine vertente su un reato manifestamente non grave, alla luce delle condizioni sociali esistenti nello Stato membro interessato“.
Per approdare a tale soluzione, la Corte di Lussemburgo ha chiarito un principio fondamentale nella discussione che investe anche il caso Sky ECC: è irrilevante, ai fini della valutazione dell’esistenza di una grave ingerenza nei diritti garantiti dagli articoli 7 e 8 della Carta, la circostanza che i dati, cui il Pubblico Ministero ha chiesto di poter accedere, non siano quelli dei proprietari dei telefoni cellulari in questione, bensì quelli delle persone che hanno comunicato tra loro utilizzando tali telefoni dopo i presunti furti.
Infatti, secondo la sentenza in commento, dall’art.5 par. 1 della Direttiva 2002/58/CE emerge che l’obbligo di garantire la riservatezza delle comunicazioni elettroniche, effettuate mediante una rete pubblica di comunicazione e servizi di comunicazione elettronica accessibili al pubblico, nonché la riservatezza dei dati relativi al traffico correlati, riguarda le comunicazioni effettuate dagli utenti di tale rete.
L’art. 2 lett. a della stessa Direttiva definisce la nozione di “utente” come qualsiasi persona fisica che utilizzi un servizio di comunicazione elettronica accessibile al pubblico, per motivi privati o commerciali, senza esservi necessariamente abbonata.
Il sindacato giurisdizionale
La CGUE ha sottolineato che il controllo giurisdizionale ai sensi del citato art. 132 non è limitato alla verifica della sussistenza dei sufficienti indizi di reato o della rilevanza dei dati per l’accertamento dei fatti.
Deve anche garantire un giusto equilibrio tra gli interessi legittimi connessi alle esigenze dell’indagine nella lotta alla criminalità, da un lato, e i diritti fondamentali al rispetto della vita privata e alla protezione dei dati personali delle persone interessate dall’accesso, dall’altro.
Deve esserci una proporzionalità dell’ingerenza nei diritti fondamentali. Ciò significa che il Giudice italiano deve essere in grado di valutare se la richiesta di accesso ai dati è proporzionata rispetto alla gravità del reato e alla necessità di tutelare i diritti fondamentali delle persone interessate.
Deve verificare che il reato oggetto del procedimento rientri tra quelli per cui l’articolo 266 C.p.p. ammette le intercettazioni, accertare che sussistano gravi indizi di reato (non semplicemente “sufficienti”) e che tale mezzo di ricerca della prova sia “assolutamente indispensabile ai fini della prosecuzione delle indagini” (non semplicemente “rilevante”).
Conclusioni
Alla luce di quanto sopra, è chiaro che il principio di proporzionalità richieda una valutazione più approfondita e specifica da parte dei Giudici italiani.
Essi devono garantire che qualsiasi ingerenza nei diritti fondamentali sia giustificata, necessaria e proporzionata rispetto alla gravità del reato e alle esigenze dell’indagine.
Ciò implica che, sia per l’acquisizione dei tabulati telefonici sia per le intercettazioni, il Giudice deve avere la possibilità di negare l’accesso ai dati se il reato non sia sufficientemente grave da legittimare l’adozione di tale misura, in linea con le condizioni sociali e legali dello Stato membro interessato.
