Lo scorso 12 maggio l’Italia ha ratificato il Secondo Protocollo Addizionale alla Convenzione di Budapest sulla Criminalità informatica. Com’è noto, la Convention on Cybercrime, firmata nella capitale ungherese nel 2001, rappresenta tutt’oggi una tappa fondamentale nella costruzione di un diritto penale dell’informatica, nonché il punto di riferimento normativo primario per le Legislazioni nazionali di tutti gli Stati firmatari, tra cui l’Italia. Fra i suoi obiettivi si pone la «necessità di perseguire, come questione prioritaria, una politica comune in campo penale, finalizzata alla protezione della società contro la criminalità informatica, adottando una legislazione appropriata e sviluppando una cooperazione internazionale»1.
A vent’anni dalla sua firma, la Convenzione è stata integrata da un Secondo Protocollo Addizionale (il primo, si ricorda, è stato aperto alla firma a Strasburgo nel gennaio del 2003 e concerne la criminalizzazione di atti di natura razzista e xenofoba commessi attraverso sistemi informatici) che ha l’obiettivo di «rafforzare ulteriormente la cooperazione in materia di criminalità informatica e la raccolta di prove in formato elettronico di qualsiasi reato ai fini di specifiche indagini penali o procedimenti»2. Il Protocollo risponde all’ormai improcrastinabile esigenza di potenziare i mezzi a disposizione delle autorità di contrasto nazionali che, nello svolgimento delle proprie indagini investigative, si trovano sempre più spesso ad operare in situazioni transfrontaliere poiché le “prove” di qualsiasi reato, a fortiori quelli informatici, sono per la maggior parte conservate in forma elettronica in un Paese terzo. In un simile scenario i modelli di cooperazione esistenti, come i trattati di mutua assistenza, la rogatoria penale internazionale o, lato sensu, le scelte dei privati su base volontaria (cd. voluntary disclosure), sono messi a dura prova, stante l’estrema volatilità dei dati elettronici.
La nuova normativa internazionale obbliga i Paesi firmatari a creare canali specifici per una cooperazione rapida e diretta tra le autorità statali, nonché tra queste ultime e i soggetti privati stabiliti nel territorio di un altro Stato aderente. In particolare, l’articolo 6 disciplina la procedura attraverso la quale le autorità statali competenti possono richiedere ai fornitori di servizi stabiliti nel territorio di un altro Paese le informazioni necessarie per identificare o contattare il dichiarante di un nome di dominio, in possesso o sotto il controllo del fornitore.
I successivi articoli 7 e 8 del Protocollo, invece, regolano l’iter attraverso cui le autorità statali possono chiedere ad un prestatore di servizi stabilito nel territorio di un altro Paese firmatario la comunicazione delle informazioni di un abbonato, nel possesso o controllo del prestatore di servizi, laddove le informazioni siano necessarie per indagini e procedimenti specifici. L’art. 7 disciplina dettagliatamente il contenuto della richiesta e il termine entro il quale l’ordine deve essere evaso. Se il fornitore di servizi non rivela le informazioni richieste alla scadenza o si rifiuta espressamente di provvedere, le autorità dello Stato richiedente possono cercare di far eseguire l’ordine secondo la procedura compiutamente dettagliata dall’art. 8. In questa ipotesi, la cooperazione si realizza non tra l’autorità e il privato prestatore di servizi, ma tra le autorità nazionali degli Stati interessati (richiedente e richiesto): lo Stato richiesto, infatti, dovrà compiere ogni ragionevole sforzo per costringere il prestatore di servizi nel suo territorio a produrre le informazioni dell’abbonato e i dati sul traffico nel più breve tempo possibile o, comunque, nei termini previsti nella Convenzione.
Ulteriori strumenti di cooperazione in casi di particolare emergenza o urgenza sono previsti dagli articoli 9 e 10, al fine di ottenere rispettivamente la comunicazione accelerata di dati informatici archiviati da un prestatore di servizi e mutua assistenza per indagini congiunte.
Il quadro delineato dal Protocollo getta così le basi per una concreta cooperazione in campo internazionale nella lotta ai crimini informatici (e non solo), realizzabile soltanto grazie ad una semplificazione e armonizzazione delle procedure di richiesta di informazioni e di mutua assistenza, nel rispetto delle libertà e dei diritti umani fondamentali. È auspicabile, quindi, che i Paesi firmatari procedano alla adozione di disposizioni attuative (regolamentari o legislative) del dettato normativo sovrastatale concordando una programmazione comune da parte delle autorità statali investite di tale compito, nonché conformandosi nella scelta di form di richiesta standardizzati, tutti ugualmente efficaci.
D’altro canto anche i soggetti privati dovranno conformarsi alle richieste delle Autorità in subiecta materia. Tali richieste verso i privati in futuro saranno sempre più frequenti visto anche lo sviluppo delle piattaforme informatiche (cloud, Big data, etc) e pertanto sarà necessità delle aziende farsi trovare pronte.
Infine, giusto rilevare che garanzie specifiche sono previste al terzo Capitolo del Protocollo in relazione alla protezione dei dati personali, fatti salvi gli accordi internazionali reciprocamente vincolanti tra le Parti in subiecta materia. Almeno per quanto riguarda i Paesi membri dell’Unione Europea, un’armonizzazione è d’obbligo alla luce dei principi stabiliti dalla già esistente Direttiva europea sulla Protezione dei Dati Personali nelle attività di Polizia e Giudiziarie (2016/680/UE) e delle dichiarazioni del Garante Europeo della Protezione dei Dati Personali3.
Paola Patriarca
1 Preambolo della Convenzione sulla Criminalità informatica, Budapest 2001 (https://www.coe.int/it/web/conventions/full-list?module=treaty-detail&treatynum=185).
2 Preambolo al Secondo Protocollo Addizionale alla Convenzione di Budapest, Strasburgo 2022 (https://www.coe.int/it/web/conventions/full-list?module=treaty-detail&treatynum=224).
3 Per il Parere del Garante Europeo sul progetto di disposizione del Secondo Protocollo Addizionale il Garante europeo si veda https://edps.europa.eu/data-protection/our-work/publications/opinions/edps-opinion-two-proposals-council-decisions_en.
