La giurisprudenza di merito torna nuovamente sul tema delle intercettazioni e della loro inutilizzabilità, con l’ordinanza del Tribunale di Perugia nel cd. “Caso Palamara”1. La decisione, pronunciata a scioglimento della riserva assunta all’udienza del 13 dicembre 2022, chiarisce indirettamente quale sia e quale debba essere il ruolo delle cd. società di intercettazione nelle operazioni investigative svolte dall’Autorità giudiziaria, rievocando la centralità del controllo dei giudici soprattutto laddove attività di tipo tecnico siano affidate a società terze. Il Tribunale ha ritenuto confinata sul piano meramente congetturale l’ipotesi di pericolo di manipolazione dei dati in quanto la descritta architettura del sistema impiegato dalla società di intercettazione garantisce adeguati protocolli di sicurezza.

  1. Il caso

Nel corso del procedimento penale nei confronti di Luca Palamara, la difesa dell’imputato ha sollevato l’eccezione di inutilizzabilità delle intercettazioni, compiute in fase investigativa, mediante captazione con trojan horse installato sul telefono cellulare dell’imputato. Secondo la difesa tali intercettazioni sarebbero inutilizzabili in quanto i dati captati dal trojan non sarebbero stati trasferiti direttamente sul server installato presso la Procura della Repubblica di Roma (competente per le indagini prima della trasmissione degli atti alla Procura di Perugia), ma sarebbero transitati prima su altri due server esterni, collocati “nel territorio di Napoli”, rischiando prima di tutto di essere compressi nella loro integrità, e in secondo luogo violando la disposizione di cui all’art. 268 comma 3 cod. proc. Pen., secondo cui “le operazioni possono essere compiute esclusivamente per mezzo degli impianti installati nella procura della Repubblica. Tuttavia, quando tali impianti risultano insufficienti o inidonei ed esistono eccezionali ragioni di urgenza, il pubblico ministero può disporre, con provvedimento motivato, il compimento delle operazioni mediante impianti di pubblico servizio o in dotazione alla polizia giudiziaria”. Il collegio, partendo da una descrizione tecnica delle operazioni di intercettazione, ha concluso dichiarando il rigetto dell’eccezione difensiva e, dunque, l’utilizzabilità delle intercettazioni telematiche attive mediante trojan e disponendo il proseguo del processo.

Tale conclusione impone di tracciare, a grandi linee e senza alcuna pretesa di esaustività, la disciplina delle intercettazioni mediante captatore informatico nel nostro ordinamento.

  1. Un breve excursus disciplinare

Negli ultimi anni l’affinamento delle tecniche di utilizzo degli strumenti informatici da parte della criminalità organizzata ha determinato la necessità per gli inquirenti di ricorrere a nuovi mezzi tecnologici, tra cui il trojan horse, da tempo utilizzato e solo recentemente oggetto di pronunce giurisprudenziali e tentativi di normazione.

Analogamente al cavallo astutamente progettato da Ulisse, il trojan horse (detto anche “spia di Stato” o “agente intrusore”) è in grado di introdursi all’interno del dispositivo bersaglio in modo occulto. Tecnicamente, si tratta della versione malevola dei software diretti a consentire il controllo da remoto dei dispositivi sui quali sono installati. Dopo essere stato inoculato e attivato clandestinamente all’interno di un dispositivo elettronico (pc, tablet, smartphone), il trojan è tecnicamente in grado, senza rivelare la propria presenza, di monitorare ogni attività compiuta attraverso il dispositivo bersaglio e di operarvi come se ne avesse la disponibilità fisica. In ambito investigativo alcune operazioni sono disciplinate dal codice di procedura penale, altre vi rientrano attraverso sforzi interpretativi della Suprema Corte di Cassazione, altri ancora non sono consentiti. Non vi è dubbio però che questo strumento ha soddisfatto, innanzitutto, l’esigenza di eseguire operazioni di intercettazione cd. attiva, ossia attività di monitoraggio di tutti i flussi di comunicazione da e verso il device target (anche di scambi di messaggi tramite chat, quali Whatsapp, Telegram, Messenger, attraverso screenshots), nonché di intercettazione di conversazione tra presenti (cd. intercettazioni ambientali), fungendo da nuova e più efficiente microspia “itinerante” tramite l’attivazione da remoto del microfono del dispositivo mobile che per sua natura è utilizzato durante gli spostamenti.

Le innovative caratteristiche del trojan hanno dato luogo ad accesi dibattiti dottrinali giurisprudenziali in ordine alla legittimità di tale strumento dotato di maggiore pervasività rispetto ai tradizionali strumenti di intercettazione, perché in grado di compiere vere e proprie attività di acquisizione e perquisizione dei dati contenuti nel dispositivo bersaglio. Il problema che si è posto all’attenzione della giurisprudenza e della dottrina è relativo alle norme del Codice di procedura penale che legittimano o potrebbero legittimare l’utilizzo di questa tecnologia e i limiti entro i quali tale strumento investigativo tecnologico può essere utilizzato. A partire dalla sentenza cd. Virruso (Cass. Sez. V, 14 ottobre 2009 n. 16556 – dep. 29 aprile 2010), passando – ex multis – per le famose Sezioni Unite “Scurato” (Cass., Sez. un. 28 aprile 2016, n. 26889 – dep. 1° luglio 2016), la Corte di Cassazione si è pronunciata sul captatore informatico per delineare i confini del suo impiego in relazione all’attività captativa, bilanciando l’esigenza pubblica di repressione criminale perseguita tramite l’utilizzo trojan con i principi della Carta Costituzionale in materia di riservatezza delle comunicazioni e inviolabilità del domicilio e individuando ulteriori e precise garanzie giuridiche, solo in parte recepite dal Legislatore. Attualmente, il comma 1 dell’art. 266 c.p.p. consente l’intercettazione di conversazioni o comunicazioni telefoniche e altre forme di telecomunicazione soltanto nelle ipotesi di reati tassativamente previste; il comma 2 dello stesso art. 266 c.p.p. estende la medesima disciplina alle captazioni di comunicazioni tra presenti, contemplando le cd. intercettazioni ambientali, anche mediante l’utilizzo del captatore informatico; da ultimo, l’art. 266 bis c.p.p. contempla l’intercettazione del flusso di comunicazioni relativo a sistemi informatici o telematici ovvero intercorrenti tra più sistemi (cd. intercettazioni informatiche o telematiche). Le operazioni devono essere disposte dal giudice per le indagini preliminare, su richiesta del pubblico ministero, con decreto motivato e, solo in caso di urgenza, il pubblico ministero può disporre l’intercettazione con decreto motivato che va comunicato immediatamente e non oltre le ventiquattro ore al giudice per le indagini preliminari.

Ai sensi dell’art. 267, co. 4 c.p.p. il pubblico ministero procedere alle operazioni personalmente ovvero avvalendosi di un ufficiale di polizia giudiziaria. Tuttavia, trattandosi di operazioni che richiedono competenze tecniche che il più delle volte risiedono esternamente agli ambienti delle Procure, già nel lontano 1973 la Corte costituzionale, in relazione a modalità di intercettazione ormai obsolete, rilevava l’esigenza di prevedere garanzie – ulteriori a quelle giuridiche – in relazione alla predisposizione materiale di servizi tecnici necessari per le intercettazioni, affinché l’Autorità giudiziaria potesse esercitare, non solo formalmente, ma anche di fatto, il controllo necessario ad assicurare che si procedesse solo alle intercettazioni autorizzate nei limiti dell’autorizzazione stessa. Questo principio ha trovato una sua prima espressione legislativa nel codice abrogato all’art. 226-quater, che prescriveva l’obbligo di concentrare le operazioni di intercettazione esclusivamente presso gli impianti installati nelle Procure, proprio al fine di evitare il rischio di abusi. Nel medesimo contesto normativo e tecnologico, il codice del 1988 aveva recepito quasi integralmente i contenuti del precedente art. 226-quater nell’art. 268, di cui la difesa dell’imputato eccepisce la violazione oggi.

  1. La decisione

Il collegio ha, anzitutto, illustrato sotto il profilo tecnico le modalità attraverso cui erano state svolte le operazioni di intercettazione sul telefono dell’imputato, considerando quanto presente nella relazione tecnica della società appaltatrice del servizio captativo e quanto dichiarato da uno dei suoi direttori a confronto con quanto riscontrato dal C.N.A.I.P.I.C. (Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche) della Polizia Postale. Il Tribunale, quindi, ha così ricostruito il flusso dei contenuti intercettati: i dati raccolti dal captatore venivano salvati sul cellulare dell’imputato, generando dal software files audio e altri files contenenti i metadati relativi alle registrazioni; questi files transitavano, previa cifratura, attraverso la rete internet – tramite protocollo di trasferimento sicuro HTTPS (ovvero cifrato) – a due server intermedi, collocati per ragioni tecniche presso la Procura di Napoli, e contestualmente venivano cancellati dalla memoria fisica del cellulare intercettato. In particolare, i dati captati erano tramessi dapprima ad un server intermedio del tipo CSS (Cyber Stealth Surveillance), un server di transito utile alla decriptazione e anonimizzazione dei dati raccolti, tramite la memorizzazione dei dati solo per il tempo necessario alla loro ricomposizione ed invio verso un secondo server intermedio del tipo HDM; trattasi di un server di smistamento che aveva la funzione di raccogliere e riconoscere i vari files intercettati da uno stesso captatore e successivamente trasmetterli al server di tipo IVS (Internet Visualization System) installato presso i locali della Procura di destinazione finale, cancellando automaticamente i dati trasmessi subito dopo (in circa due minuti).

I dati intercettati – audio e metadati -, quindi, venivano immagazzinati in maniera stabile e potevano essere visualizzati e ascoltati dalla Polizia Giudiziaria operante soltanto una volta giunti al server IVS.

Alla luce della descritta architettura del sistema impiegato dalla società di intercettazione, quanto alla prima questione legata al rischio di compromissione dell’integrità dei dati nei passaggi intermedi, il Tribunale di Perugia ha ritenuto confinata sul piano meramente congetturale l’ipotesi di pericolo di manipolazione dei dati in quanto il sistema è dotato di adeguati protocolli di sicurezza, il cui eventuale aggiramento potrebbe comunque essere verosimilmente accertato mediante l’analisi dei file di log presenti nel sistema. Inoltre, dalle circostanze evidenziate anche dagli accertamenti tecnici irripetibili disposti dal giudice dell’udienza preliminare di Perugia sul server CSS, onde verificare la quantità e la qualità dei dati eventualmente rimasti su quel sistema è emerso che il sistema si fonda sulla progressiva cancellazione del dato da ciascun server pochi attimi dopo il suo invio al server immediatamente successivo.

Quanto alla questione del transito delle informazioni su server terzi rispetto alla Procura competente in violazione dell’art. 268, co. 3 c.p.p. il Tribunale ha richiamato il principio già espresso dalla Suprema Corte, in tema di intercettazione, secondo cui «condizione necessaria per l’utilizzabilità delle intercettazioni è che l’attività di registrazione – che, sulla base delle tecnologie attualmente in uso, consiste nella immissione dei dati captati in una memoria informatica centralizzata – avvenga nei locali della Procura della Repubblica mediante l’utilizzo di impianti ivi esistenti, mentre non rileva che i file audio registrati non siano trasmessi automaticamente dagli apparecchi digitali adoperati per le captazioni tra presenti, ma siano periodicamente prelevati dalla polizia giudiziaria incaricata delle operazioni e riversati “a mano” nel server dell’ufficio requirente» (Cass. sez. I, 8/11/2017, n. 52464; cfr. anche Cass. sez. un., 26/06/2008, n. 36359). Nel caso in esame i dati, pur transitando attraverso canali esterni, confluivano in maniera stabile unicamente sul server installato presso la procura della Repubblica competente non determinando alcuna violazione normativa. In aggiunta, il collegio ricorda che, secondo giurisprudenza dominante, neppure è necessario che gli impianti installati nella procura della Repubblica richiamata nella seconda metà del co. 3 dell’art. 268 c.p.p. debbano essere quelli della singola procura della Repubblica che procede, essendo sufficiente anche l’utilizzazione degli impianti di una qualsivoglia altra Procura.

  1. Conclusioni

Dall’analisi dell’ordinanza del Tribunale di Perugia è emerso che il supporto di tecnici, per le attività tecniche di investigazione giudiziaria, è fondamentale per il corretto ed efficace svolgimento di tali operazioni. In particolare, con riferimento alle attività di intercettazione, la prassi prevede il ricorso a società d’intercettazione che possano mettere a disposizione della polizia giudiziaria le proprie risorse tecnologiche e competenze tecniche. In effetti, la maggior complessità delle tecnologie utilizzate oggigiorno richiede la necessaria intermediazione di soggetti tecnici competenti. Tuttavia, in tale contesto, non viene meno il principio affermato dalla Corte costituzionale del 1973 circa la necessità di garantire un controllo efficace e costante dell’Autorità giudiziaria sulle operazioni svolte, onde evitare abusi. Al contrario, tale principio assume un ruolo quanto mai fondamentale, laddove l’evoluzione tecnologica non può e non deve determinare la mancanza di controllo da parte dei poteri pubblici competenti! L’esternalizzazione di un servizio, si badi bene, non esonera il principale titolare di quel servizio dal verificare come il soggetto fornitore svolga le attività affidategli. A fortiori, il titolare assume l’obbligo giuridico di monitorare costantemente il livello di garanzia e di efficienza offerto dal fornitore e l’aderenza di quest’ultimo alle istruzioni fornite dal titolare stesso.

In conclusione, quindi, pur riconoscendo un ruolo fondamentale alle società di intercettazione, per le competenze e risorse tecniche necessarie ad eseguire tali operazioni, de iure condendo, si avverte fortemente l’esigenza di prevedere specifici e periodici controlli da parte dell’Autorità giudiziaria, con l’ausilio e il supporto dei reparti competenti, nonché di stabilire standard e protocolli di sicurezza.

Paola Patriarca

1 L’ordinanza è consultabile al seguente link: https://www.giurisprudenzapenale.com/wp-content/uploads/2023/01/ORD.-PAL..pdf

Author Paola Patriarca

More posts by Paola Patriarca