Il captatore informatico: un Exodus verso “buone pratiche”?

Il c.d. captatore informatico, meglio noto alle cronache giudiziarie con il nome di trojan, è stato recentemente all'attenzione dell'opinione pubblica non solo, e non tanto, per le sue smisurate potenzialità investigative, ma anche per la sua straordinaria pervasività nella vita delle persone sottoposte ad intercettazione in via diretta od indiretta. Questa Rivista si è già ampiamente occupata delle vicende legislative, e giurisprudenziali, che hanno riguardato il trojan. Scopo di questo contributo è quello di esaminarne un aspetto peculiare: quali rischi possono derivare dal ricorso, a fini investigativi, da parte delle società incaricate, a determinati software le cui particolari caratteristiche meriterebbero una disciplina specifica? Si fa riferimento, in modo specifico, a programmi informatici connessi ad app, non direttamente inoculati, quindi, nel solo dispositivo dell'indagato, ma posti su piattaforme (come, ad. es., Google play store) accessibili a tutti. Ove rese disponibili sul mercato, anche solo per errore in assenza dei filtri necessari a limitarne l'acquisizione da parte dei terzi, queste app-spia rischierebbero di trasformarsi in pericolosi strumenti di sorveglianza massiva. Il riferimento diretto è al c.d. malware Exodus.

Il “caso” giudiziario concernente questo malware è stata ripercorso, nei suoi tratti salienti, da due sentenze del Supremo collegio: Cass. pen., Sez. VI, 26 aprile 2019, n. 31576 e Cass. pen., Sez. VI, 26 aprile 2019, n. 31579.

I due arresti aiutano il lettore a comprendere la reazione “diversamente articolata” che la prima Procura interessata dal “caso” Exodus, quella di Benevento, ha intrapreso per contrastarlo.

Con decreto del 19 ottobre 2018 il Giudice per le indagini preliminari del Tribunale di Benevento ha convalidato il sequestro preventivo delle connessioni server di Alfa S.R.L., e del server della piattaforma Amazon relativamente a tutti i dati giudiziari pertinenti alla Procura della Repubblica di Benevento e alla attrezzature strumentali alle connessioni con l'Estero presso le sedi di Alfa S.R.L., affidataria di alcuni servizi di intercettazione presso la Procura della Repubblica di Benevento essendo emerse violazioni dolose e in frode alla Pubblica amministrazione di norme contrattuali relative all'obbligo di riservatezza.. Con ordinanza dell'11 novembre 2018 il Tribunale di Benevento ha rigettato la richiesta di riesame presentata dall'amministratore unico di Alfa S.R.L.

Successivamente, con ordinanza del 4 gennaio 2019, il Tribunale di Benevento rigettava la richiesta di riesame presentata dall'amministratore unico di Alfa S.R.L., e indagato ex artt. 110 e 356 c.p. e d.lgs. 30 giugno 2003, n. 196, art. 167, comma 2, (in relazione agli art. 21, 27 e 45 dello stesso atto normativo) – contro il decreto con cui il 17 dicembre 2018 il Giudice per le indagini preliminari del Tribunale di Benevento aveva disposto il sequestro preventivo della Società Alfa S.R.L. unipersonale e altresì della Società Beta S.R.L.,

Le ordinanze cautelari reali davano luogo ad altrettanti ricorsi per Cassazione.

Il Supremo collegio – Cass. pen., Sez. VI, 26 aprile 2019, n. 31579 – ribaditi i consolidati approdi giurisprudenziali circa i presupposti legittimanti l'emissione di un decreto di sequestro preventivo, ha osservato che, nel caso in esame, il Tribunale aveva considerato i seguenti, pertinenti, elementi di valutazione:

• dati sensibili di carattere giudiziario sono stati allocati all'Estero (in Oregon) su un server cloud utilizzato dalla società Beta S.R.L., estranea al contratto stipulato tra la società Alfa e la Procura della Repubblica di Benevento;
• è stata utilizzata la piattaforma Exodus (applicativo per la gestione delle attività di intercettazione) fornita dalla società Beta e non dalla società Alfa;
• sono state violate le cautele necessarie per impedire l'accesso di operatori privi di titolo o non abilitati a accedere a dati coperti dal segreto investigativo.

Quest'ultimo aspetto è stato esplicitato da Cass. pen., Sez. VI, Sent., 26 aprile 2019, n. 31576 laddove, con riferimento al periculum in mora, si evidenzia che la verificata facilità di accesso al server comporta che la libera disponibilità del bene potrebbe protrarre o aggravare le conseguenze dei reati contestati.

Tali elementi di valutazione, per i giudici di legittimità – Cass. pen., Sez. VI, 26 aprile 2019, n. 31579 – non hanno costituito oggetto di specifica confutazione nel ricorso che avrebbe sviluppato argomentazioni volte a contestarli in maniera del tutto del tutto generica.

Anche secondo Cass. pen. Sez. VI, 26 aprile 2019, n. 31576, «il ricorso per cassazione con cui si lamenta la mancanza, della motivazione per l'omessa valutazione di dati acquisiti agli atti è inammissibile se non indica le ragioni per cui l'atto inficia e compromette, in modo decisivo, la tenuta logica e l'intera coerenza della motivazione e, nel caso in esame, nel ricorso vengono meramente addotte le conclusioni che il consulente della difesa avrebbe raggiunto senza esplicitare i passaggi del ragionamento che lo hanno condotto a tali conclusione e senza argomentare circa la rilevanza delle stesse».

Secondo quanto si legge nelle due sentenze di legittimità – cfr. in particolare Cass. pen. Sez. VI, 26 aprile 2019, n. 31579 – il difensore, quanto al fumus commissi delicti, deduceva violazione di legge per mancanza di motivazione in ordine alla documentazione prodotta dalla difesa in sede di riesame e, in particolare, circa il contenuto della consulenza tecnica di parte – da cui si evinceva che «la società Alfa non è responsabile del trattamento dei dati personali (avendo solo noleggiato le apparecchiature alla Procura della Repubblica di Benevento) e che manca una specificazione della tipologia dei dati e l'indicazione dei fini e del responsabile del trattamento, mentre, per altro verso, la Commissione Europea ha valutato affidabili le tecniche di custodia e conservazione dei dati usate negli Stati Uniti d'America valorizzando soltanto la consulenza di parte del tecnico nominato dal Pubblico Ministero».

Effettivamente tale doglianza, che pur rivela una conoscenza non superficiale della cd. normativa privacy, sarebbe stata meritevole di un “più robusto” apparato argomentativo in grado di spiegare esaustivamente il motivo per cui la mancata “contrattualizzazione” quale “responsabile del trattamento” dei dati avrebbe potuto incidere sugli aspetti penalistici.

Per comprendere, e approfondire, le ragioni di questo assunto occorre soffermarsi sulle criticità fatte rilevare in merito al “caso” Exodus della massima autorità competente in tema di privacy, il Garante.

La vicenda rievoca quel clima già visto più volte in occasione di episodi di spionaggio informatico o di tentativi di controllo e dossieraggio: se ne parla per qualche giorno anche ai massimi livelli e poi alle parole, alle proposte, ai buoni propositi non seguono attività concrete volte a mettere in sicurezza il “sistema trojan” che è un “nuovo” sistema di intercettazione che però pochi hanno compreso essere molto ma molto più invasivo e complesso di quello “tradizionale”.

Si tratta di rischi puntualmente comunicati dal Garante per la privacy al Parlamento e al Governo, in data 30 aprile 2019, all'indomani delle prime notizie stampa sulla vicenda Exodus.

Con la segnalazione, il Garante ha ripercorso gli allarmi più volte sollevati circa l'impiego del captatore informatico, sia in sede di parere sullo schema di decreto legislativo di riforma della disciplina delle intercettazioni, sia sullo schema di decreto ministeriale attuativo.

In sede di parere sullo schema di decreto legislativo il Garante:

• invitava a valutare l'opportunità di includere nel decreto autorizzativo, anche per i delitti di competenza delle Procure distrettuali, l'indicazione dei luoghi e del tempo della captazione al fine di rafforzare, anche in questo ambito, le garanzie connesse ad un più incisivo controllo del giudice sull'attività investigativa;
• rappresentava come tale modifica avrebbe contribuito a sviluppare in tutta la sua portata il criterio di delega di cui all'articolo 1, comma 84, lett. e), della legge 103 del 2017, laddove prescrive di scindere la fase dell´inserimento del captatore da quella della effettiva attivazione del microfono, al fine di circoscrivere per quanto possibile l´invasività di tale mezzo di ricerca della prova e di garantire la dovuta corrispondenza delle operazioni intercettative all´oggetto del decreto autorizzativo;
• invitava il Governo a precisare alcune parti del decreto legislativo che rischiavano di legittimare, in via interpretativa, l'acquisizione (sia pur senza possibilità di utilizzazione in giudizio) di dati personali anche al di fuori dei limiti temporali e spaziali stabiliti dal decreto autorizzativo del Gip;
• ravvisava l'opportunità di introdurre un espresso divieto (con la relativa sanzione in caso di inosservanza) di conoscibilità, divulgabilità e pubblicabilità di intercettazioni realizzate mediante captatori, inerenti soggetti estranei ai fatti per cui si proceda, peraltro in conformità ai criteri di delega.

In sede di parere sullo schema di decreto ministeriale, il Garante:

• sottolineava l'esigenza di specificare con maggiore dettaglio i moduli software suscettibili di utilizzo, tra quelli che, comunemente, compongono un sistema di intercettazione mediante captatore informatico (es. il software che, installato sui dispositivi target, opera l'acquisizione delle informazioni; il sistema di inoculazione; il sistema di gestione; ecc.);
• rilevava la necessità di indicare in modo puntuale le misure tecniche da adottare al fine di garantire la riservatezza dei dati sui sistemi funzionali all'esecuzione delle intercettazioni mediante captatore informatico, specificando ad esempio le modalità di accesso ai sistemi da parte degli operatori autorizzati, le funzionalità di registrazione delle operazioni ivi svolte, le modalità di trasmissione dei dati acquisiti mediante captatore;
• suggeriva di escludere il ricorso a captatori il cui funzionamento possa abbassare il livello di sicurezza del dispositivo-ospite per impedirne la compromissione da parte di terzi, con eventuali riflessi negativi sulla protezione dei dati personali ivi contenuti, nonché sulla stessa riservatezza dell'attività investigativa.

La maggior parte di tali indicazioni non sono state recepite dai testi definitivamente approvati.

In essi manca, soprattutto, la previsione di garanzie adeguate per impedire che, in ragione delle loro straordinarie potenzialità intrusive, questi strumenti investigativi, da preziosi ausiliari degli organi inquirenti, degenerino invece in mezzi di sorveglianza massiva o, per converso, in fattori di moltiplicazione esponenziale delle vulnerabilità del compendio probatorio, rendendolo estremamente permeabile se allocato in server non sicuri o, peggio, delocalizzati anche al di fuori dei confini nazionali.

Il Garante rilevava le particolari modalità di realizzazione delle captazioni mediante il malware Exodus, da parte delle società incaricate ex art. 348, comma quarto, c.p.p.

Le notizie stampa sulle indagini in corso, poi confermate dalle sentenze della Cassazione sopra riportate, ad avviso del Garante, hanno fatto emergere l'estrema pericolosità dell'utilizzo di sistemi cloud per l'archiviazione, addirittura in Stati extraeuropei, dei dati captati.

La delocalizzazione dei server in territori non soggetti alla giurisdizione nazionale costituisce, infatti, un evidente vulnus non soltanto per la tutela dei diritti degli interessati, ma anche per la stessa efficacia e segretezza dell'azione investigativa. Il ricorso a tali due tipologie di sistemi (app o comunque software che non siano inoculati direttamente sul dispositivo-ospite, ma scaricati da piattaforme liberamente accessibili a tutti e, per altro verso, archiviazione mediante sistemi cloud in server posti fuori dal territorio nazionale) dovrebbe, dunque, essere oggetto di un apposito divieto.

A tal fine, secondo il Garante, si potrebbe ricorrere all'integrazione del decreto ministeriale del 20 aprile 2018, ovvero si potrebbe novellare il decreto legislativo n. 216 del 2017, la cui efficacia in parte qua era originariamente differita ai provvedimenti autorizzativi emessi dopo il 31 luglio prossimo, termine poi prorogato dal cd. decreto sicurezza bis, decreto legge, 14 giugno 2019 n. 53, , convertito dalla l. 8 agosto 2019, n. 77, al 31 dicembre 2019.

In subordine, prosegue il Garante, ove non si ritenesse di sancire un divieto espresso di ricorso a tali tecniche, si potrebbe prevedere – anche in tal caso, preferibilmente con norma primaria – che l'effettiva installazione nel dispositivo elettronico portatile e le conseguenti funzionalità acquisitive del captatore informatico possano compiutamente realizzarsi solo dopo aver verificato l'univoca associazione tra il dispositivo interessato dal software e quello considerato nel provvedimento giudiziale autorizzativo.

Il Garante ha fornito un vero e proprio “decalogo” di misure da adottare, anche in ragione della rapida evoluzione delle caratteristiche e delle funzionalità dei software disponibili a fini intercettativi.

Per il Garante:

• sarebbe opportuno introdurre, in sede legislativa o anche soltanto novellando il citato decreto ministeriale, un espresso divieto di ricorso a captatori idonei a cancellare le tracce delle operazioni svolte sul dispositivo ospite. Ai fini della corretta ricostruzione probatoria e della completezza e veridicità del materiale investigativo raccolto è, infatti, indispensabile disporre di software idonei a ricostruire nel dettaglio ogni attività svolta sul sistema ospite e sui dati ivi presenti, senza alterarne il contenuto. Si potrebbe esplicitare, in questo senso, il requisito della “integrità, sicurezza e autenticità dei dati captati” che, ai sensi dell'art. 4, comma 1, del decreto ministeriale, i software utilizzati devono assicurare, garantendo così effettivamente la completezza della “catena di custodia della prova informatica”;
• sul piano applicativo, se non attraverso una specifica integrazione del decreto ministeriale stesso, si potrebbe anche prevedere l'adozione di un unico protocollo di trasmissione e gestione dei dati destinati a confluire sui server installati nelle sale intercettazioni delle Procure della Repubblica per la loro conservazione, evitando possibili disomogeneità nei livelli di sicurezza;
• si potrebbe inoltre valutare l'opportunità di rendere disponibili software gestionali idonei a consentire l'analisi dei dati inerenti alle caratteristiche dell'accesso ai server utilizzati per l'attività intercettativa da parte dei fornitori privati, per la realizzazione delle attività di manutenzione. Si eviterebbe, in tal modo, di rendere accessibili, alle aziende stesse, i sistemi di conservazione dei log di accesso alla strumentazione mediante cui è svolta l'attività captativa, rafforzando le garanzie di segretezza della documentazione investigativa;
• sarebbe, peraltro, opportuno definire i criteri di gestione, da parte di ciascun Procuratore della Repubblica, delle intercettazioni eseguite da altri uffici giudiziari e relative a procedimenti gli atti dei quali siano stati successivamente trasmessi per competenza ovvero comunque acquisiti per l'utilizzazione in procedimenti diversi ex art. 270, comma3, c.p.p.

Tali sollecitazioni hanno trovato parziale recepimento in una comunicazione del Ministro della Giustizia al Garante in data 18 luglio 2019, con cui sono state indicate alcune delle linee di riforma che il Guardasigilli intende seguire per limitare i rischi di un uso distorsivo dei software-spia, emersi, da ultimo, nel caso “Exodus": in particolare, si propone l'adozione di misure volte ad indirizzare le conversazioni intercettate esclusivamente verso gli impianti della Procura, con adeguati controlli sull'integrità dei contenuti, nonché requisiti tecnici dei captatori tali da garantire che essi si limitino effettivamente ad eseguire le sole operazioni autorizzate. Pur apprezzando tale indirizzo, il Garante lo ritiene ancora insufficiente a “ricomprendere le varie e più complesse implicazioni che uno strumento tanto prezioso quanto invasivo – quale quello delle intercettazioni – ha sul sistema delle libertà individuali”.

Il Guardasigilli pare aver recepito una delle sollecitazioni del Garante particolarmente allarmante: la proposta volta a prevedere un espresso divieto di ricorso a captatori idonei a cancellare le tracce delle operazioni svolte sul dispositivo ospite.

La mancanza di trasparenza nella delicata materia delle intercettazioni telematiche, che si può spingere fino alla cancellazione delle tracce dell'avvenuta captazione, lascia intendere che ciò possa essere avvenuto, proprio nella vicenda Exodus, con grave pregiudizio per le esigenze connesse alle garanzie difensive, dal momento che ne può derivare l'eliminazione di elementi di prova a favore dell'indagato, nonché di riscontri positivi, o negativi, in merito alla correttezza del percorso investigativo seguito.

Secondo il Garante, assume rilievo in tal senso il delicato rapporto che intercorre con le società incaricate per il servizio di intercettazione a mezzo captatore ex art. 348, comma quarto, c.p.p.

Come noto, l'art. 348, quarto comma, c.p.p., prevede che la polizia giudiziaria, quando di propria iniziativa o a seguito di delega del pubblico ministero, compie atti od operazioni che richiedono specifiche competenze tecniche, può avvalersi di persone idonee le quali non possono rifiutare la propria opera.

Anche secondo autorevole dottrina, particolarmente attenta alle questioni della cd. Amministrazione digitale, risulta imprescindibile il potenziamento delle norme sugli appalti e sub appalti nel settore delle intercettazioni con il captatore informatico prevedendo, anche con l'aiuto delle norme del d.lgs. n. 51 del 2018 (art.18 per esempio in tema di nomina di responsabili del trattamento e di sub responsabili), una serie di garanzie sulle misure tecniche e organizzative adeguate ad assicurare la protezione dei dati personali e la tutela dei diritti dell'interessato.

Oltre alle misure tecniche – aggiornamento e miglioramento del Regolamento tecnico dell'aprile del 2018 sull'uso di questi strumenti – il modello di tutela preventiva, predittiva e proattiva deve mettere ai primi posti il fattore umano, la formazione quindi del personale finalizzata a migliorare la cultura della sicurezza dei dati e delle informazioni e quindi soprattutto la tutela dell'individuo, anche se delinque o è indagato in un procedimento penale.

In tale prospettiva, l'innalzamento delle misure di protezione e di sicurezza dei sistemi in uso presso le società private non renderebbe le fasi investigative e il processo farraginosi o difficili, anzi al contrario garantirebbe il sistema dai rischi di compromissione e di alterabilità dei dati giudiziari che, con il progredire della tecnologia, richiederanno sempre di più l'innalzamento della soglia di attenzione e di prevenzione ad opera di tutti le parti interessate.

Oltre alle evidenti lacune regolatorie, questi commentatori lamentano una pressoché completa mancanza di governance delle modalità di acquisizione delle tecnologie rivolte e destinate alla captazione informatica, che si sostanziano nella richiesta di approcci “chiavi in mano” a singoli fornitori che intervengono secondo il loro, legittimo, interesse imprenditoriale privato.

Ad analoga conclusione sono prevenute autorevoli fonti giornalistiche, che, a seguito di un'approfondita indagine condotta a livello nazionale, hanno potuto verificare che nei rapporti con le società di intercettazione manca una linea guida, in quanto ogni Procura si regola come meglio crede: formando short list, affidandosi alle scelte della polizia giudiziaria, e risparmiando il più possibile sul budget, sempre più risicato. A Torino, però, Exodus, proposto da una ditta diversa da quella di Benevento, come si legge nel reportage, «è stato bocciato senza appello per il fiuto e i dubbi sollevati da un fidatissimo funzionario appassionato di informatica: la ditta non era proprietaria del software; non dava garanzie totali di riservatezza nel riversamento dei dati al server della procura; non c'era la certezza che fosse "mirato" ai soggetti sotto indagine». È agevole constatare come si tratti di alcuni dei rilievi mossi dal Garante.

Per comprendere l'inadeguatezza della norma di cui all'art. 348, quarto comma, c.p.p., a disciplinare la materia degli appalti in tema di intercettazioni è sufficiente rinviare ai “virtuosismi” delle Linee Guida su acquisizione e riuso di software, rilasciate dall'Agenzia per l'Italia Digitale (AGID) e obbligatorie secondo il Codice dell'AmministrazioneDigitale (CAD), art 69 comma 2: queste costituiscono nella materia de qua un notevole passo avanti.

Difatti ciò limiterebbe le possibilità di “lock-in”, ovvero il rapporto di dipendenza che si instaura tra un cliente e il fornitore di tali tecnologie, agevolerebbe l'interoperabilità dei dati fra sistemi eterogenei, aumenterebbe in modo significativo la trasparenza e rendicontabilità d'uso, ma soprattutto definirebbe chiaramente di chi sia la proprietà intellettuale dei sistemi di captazione informatica, consentendone il riuso, addirittura abbracciando l'opensource, cioè il software non coperto da copyright e liberamente modificabile dagli utenti.

Invero, al contrario di quanto viene normalmente considerato dai non specialisti di settore, in un sistema di captazione informatica solo una piccola parte del codice software deve rimanere oggetto di segretezza per mantenere la sua efficacia rimanendo fuori dai “radar” dei sistemi antivirus e simili.

La corretta applicazione di tali “virtuosismi”, obbligatori ex lege per la Pubblica Amministrazione, può essere rimessa alla sola Polizia giudiziaria ex art. 348, quarto comma, c.p.p.?

La domanda appare tanto più rilevante dal momento che tutta l'infrastruttura di backend (l'insieme delle applicazioni e dei programmi con cui l'utente non interagisce direttamente, ma che sono essenziali al funzionamento del sistema), di normalizzazione dei dati, di gestione delle procedure di autorizzazione, raccolta, certificazione, esportazione, traduzione, ricerca, generazione agenti software, valutazione preliminare degli obiettivi e molto altro potrebbero essere oggetto di riuso software senza compromettere in alcun modo la segretezza, e quindi l'efficacia investigativa, delle operazioni tecniche di acquisizione dati.

Infatti, solo le componenti software “attive” che operano sui dispositivi informatici richiedono una, seppur parziale, segretezza per mantenere la propria efficacia: il resto potrebbe essere standard, aperto, orientato al riuso secondo quanto già previsto dal CAD.

Ci si potrebbe domandare per quale motivo, ad esempio, la Procura di Torino debba comprare una infrastruttura e relative licenze software di captazione informatica per condurre le medesime operazioni della Procura di Napoli, e non si colga invece l'occasione per l'acquisizione della tecnologia secondo le regole delle linee guida in tema di riuso, con tutto ciò che comportano in termini di risparmi, efficienza e trasparenza.

Quali motivi possono ostare a tale best practice?

La risposta fornita da tale dottrina altamente qualificata si discosta, quanto meno in parte, dalle indicazioni dal Garante: si tratterebbe infatti della mancanza di governance e della mancanza di volontà di realizzare tavoli di lavoro multi-stakeholder che guardino oltre la limitata e obsoleta visione di “security trough obscurity”, secondo la quale solo mantenendo la segretezza delle capacità degli strumenti investigativi, questi garantiranno la loro efficacia operativa.

Tutte le questioni sin qui poste e le considerazioni critiche mosse all'indirizzo dell'art. 358 quarto comma, c.p.p., devono necessariamente essere “filtrate” attraverso una seria valutazione del d.lgs. n. 51 del 2018, richiamato sia dallo stesso Garante sia dalla dottrina sopra menzionata.

Il d.lgs. 18 maggio 2018, n. 51 – Attuazione della direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio. (18G00080) – al Capo III, Titolare del trattamento e responsabile del trattamento, si limita, all'art. 15, a fissare gli obblighi del titolare del trattamento dei dati, e, allo stesso modo, all'art. 18, a delineare i doveri del responsabile del trattamento.

Nulla si dice circa la concreta individuazione delle figure dei “titolari del trattamento dei dati” in ambito giudiziario.

Viceversa, l'art. 46 del Codice della privacy, abrogato dal d.lgs. 10 agosto 2018, n. 101 (di adeguamento del Codice privacy al regolamento UE 2016/679), prevedeva che «gli uffici giudiziari di ogni ordine e grado, il Consiglio superiore della magistratura, gli altri organi di autogoverno e il Ministero della giustizia sono titolari dei trattamenti di dati personali relativi alle rispettive attribuzioni conferite per legge o regolamento»”.

Era dunque prevista una dettagliata ricognizione dei titolari del trattamento in ambito giudiziario: se tale norma fosse tutt'ora vigente, pacifica dovrebbe essere la “responsabilizzazione” di tali soggetti alla luce dei principi fissati dal GDPR e ripresi tanto dal d.lgs. 10 agosto 2018, n. 101, tanto dal d.lgs. n. 51 del 2018.

In tal senso basti pensare al contenuto dell'art. 15 d.lgs. 51 del 2018: «il titolare del trattamento, tenuto conto della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi per i diritti e le libertà delle persone fisiche, mette in atto misure tecniche e organizzative adeguate per garantire che il trattamento sia effettuato in conformità alle norme del presente decreto; tali misure sono riesaminate e aggiornate qualora necessario e, ove proporzionato rispetto all'attività di trattamento, includono l'attuazione di politiche adeguate in materia di protezione dei dati da parte del titolare del trattamento».

La norma di cui all'art. 15 va letta in combinato disposto con quella di cui al successivo art. 18: «qualora un trattamento debba essere effettuato per conto del titolare del trattamento, quest'ultimo ricorre a responsabili del trattamento che garantiscono misure tecniche e organizzative adeguate ad assicurare la protezione dei dati personali e la tutela dei diritti dell'interessato; il responsabile del trattamento non può ricorrere a un altro responsabile senza preventiva autorizzazione scritta del titolare del trattamento».

Ove applicate in capo agli uffici giudiziari di ogni ordine e grado, tali norme di “responsabilizzazione” avrebbero indubbi riflessi sulla scelta dei fornitori, in particolare per quanto concerne l'individuazione del fornitore negli appalti e sub appalti nel settore delle intercettazioni con il captatore informatico.

Tale virtuoso processo pare, però, essere ostacolato dalla mancanza di un chiaro, e riconosciuto, quadro di responsabilità in tema di trattamento dei dati personali in ambito giudiziario.

Si badi bene: in questo caso non si avrebbe alcuna indebita ingerenza della normativa privacy rispetto all'esercizio delle attività giurisdizionali dal momento che l'intervento avverrebbe “a monte” dell'attività investigativa, sulla scelta dei soggetti cui affidare solo gli aspetti tecnici del concreto svolgimento delle stesse.

Mentre il codice Privacy, nella sua previgente formulazione era assai esplicito nell'individuare i profili di titolarità del trattamento dei dati, il combinato disposto del codice della privacy, come riformato dal d.lgs. n. 101/2018, e del d.lgs. n. 51/2018 pare ritagliare per l'autorità giudiziaria ampi spazi di esenzione rispetto alle norme europee sul trattamento dei dati.

Nel sistema delineato dal d.lgs.n. 51/2018 tutto ruota intorno all'art. 37, ultimo comma: il legislatore “nostrano”, facendo valere la clausola di flessibilità prevista all'art. 45, comma 2, della direttiva 2016/680, ha scelto di non sottoporre i trattamenti effettuati dall'autorità giudiziaria, nonché di quelle giudiziarie del Pubblico ministero, nell'esercizio delle sue funzioni giurisdizionali, al controllo del Garante per la protezione dei dati personali al fine di salvaguardarne l'indipendenza.

Gli artt. 23 e 24 (che riprende l'art. 37, ultimo comma,d.lgs. 51/2018) prescrivono, sulla scorta degli stessi presupposti del GDPR (uso di nuove tecnologie, natura, ambito di applicazione, contesto e finalità del trattamento, da un lato e rischio elevato per i diritti e le libertà delle persone fisiche, dall'altro), l'obbligo in capo al titolare del trattamento di procedere ad una valutazione di impatto sulla protezione dei dati e di ricorrere alla consultazione preventiva del Garante, salvo per i trattamenti effettuati dall'autorità giudiziaria nell'esercizio delle sue funzioni giurisdizionali, in caso di trattamenti di dati destinati ad un archivio, qualora il trattamento presenti un rischio elevato per i diritti e le libertà degli interessati in ragione dell'utilizzo di tecnologie, procedure o meccanismi innovativi, ovvero si tratti di dati genetici o biometrici.

Ai sensi del successivo art. 26 tutti i data breach, salvo per i trattamenti effettuati dall'autorità giudiziaria nell'esercizio delle sue funzioni giurisdizionali, in virtù del richiamo all'art. 37, ultimo commad.lgs. n. 51/2018, debbono essere notificati al Garante senza alcuna eccezione e, se si tratta di dati trasmessi o ricevuti da un altro Stato membro, la notifica deve essere fatta anche al relativo titolare in tale Stato membro. Nel caso in cui la violazione comporti un rischio elevato per i diritti e le libertà delle persone fisiche, la comunicazione dovrà essere inviata anche agli interessati, salvo sia necessario un suo differimento nel tempo per ragioni di tutela della sicurezza pubblica o nazionale, dei diritti e delle libertà altrui ed al fine di non compromettere il buon esito di un'attività di prevenzione, indagine o accertamento in corso.

A tale regime di esenzione, si aggiunge l'art. 2-duodecies (Limitazioni per ragioni di giustizia) del codice privacy conseguente alla novellazione del 2018: in relazione ai trattamenti di dati personali effettuati per ragioni di giustizia nell'ambito di procedimenti dinanzi agli uffici giudiziari di ogni ordine e grado nonché dinanzi al Consiglio superiore della magistratura e agli altri organi di autogoverno delle magistrature speciali o presso il Ministero della giustizia, i diritti e gli obblighi di cui agli articoli da 12 a 22 e 34 del Regolamento sono disciplinati nei limiti e con le modalità previste dalle disposizioni di legge o di Regolamento che regolano tali procedimenti, nel rispetto di quanto previsto dall'articolo 23, paragrafo 2, del Regolamento. L'esercizio dei diritti e l'adempimento degli obblighi di cui agli articoli da 12 a 22 e 34 del Regolamento possono, in ogni caso, essere ritardati, limitati o esclusi, con comunicazione motivata e resa senza ritardo all'interessato, a meno che la comunicazione possa compromettere la finalità della limitazione, nella misura e per il tempo in cui ciò costituisca una misura necessaria e proporzionata, tenuto conto dei diritti fondamentali e dei legittimi interessi dell'interessato, per salvaguardare l'indipendenza della magistratura e dei procedimenti giudiziari.

Chiude il “quadro” di deroghe l'art. 37 del Regolamento europeo: il Data Protection Officer (DPO) deve essere nominato, tra gli altri casi, quando il trattamento è effettuato da un'autorità pubblica o da un organismo pubblico (e tali sono le Autorità giudiziarie, compreso il Pubblico ministero) ad eccezione delle autorità giurisdizionali, nell'esercizio di tali funzioni.

Dunque tutti i trattamenti effettuati dall'autorità giudiziaria nell'esercizio delle sue funzioni giurisdizionali sono esenti dai rigori della normativa sul trattamento dei dati.

Tuttavia proprio l'art. 2-duodecies ha cura di precisare che «ai fini del presente articolo si intendono effettuati per ragioni di giustizia i trattamenti di dati personali correlati alla trattazione giudiziaria di affari e di controversie, i trattamenti effettuati in materia di trattamento giuridico ed economico del personale di magistratura, nonche' i trattamenti svolti nell'ambito delle attività ispettive su uffici giudiziari. Le ragioni di giustizia non ricorrono per l'ordinaria attività amministrativo-gestionale di personale, mezzi o strutture, quando non è' pregiudicata la segretezza di atti direttamente connessi alla trattazione giudiziaria di procedimenti».

Pare potersi affermare, senza tema di smentite, che rientra in questa ipotesi proprio il caso degli appalti concernenti le intercettazioni che, tuttavia, l'art. 358, ultimo comma, c.p.p. riconduce ad una competenza pressoché esclusiva della Polizia giudiziaria. Non solo, ma anche che in tutti i casi contemplati dall'art. 2-duodecies – ordinaria attività amministrativo-gestionale di personale, mezzi o strutture – non ricorrono i casi di esenzione sopra menzionati.

Il ricordato regime di deroghe trova una singolare eccezione nell'art. 2-sexiesdecies codice privacy (Responsabile della protezione dei dati per i trattamenti effettuati dalle autorità giudiziarie nell'esercizio delle loro funzioni) inserito dall'art. 2, comma 1, lett. f), d.lgs. 10 agosto 2018, n. 101 e in vigore dal 19 settembre 2018: il responsabile della protezione dati è designato, a norma delle disposizioni di cui alla sezione 4 del capo IV del Regolamento, anche in relazione ai trattamenti di dati personali effettuati dalle autorità giudiziarie nell'esercizio delle loro funzioni. Quindi la nomina del DPO, in Italia, sfugge alla regola di esenzione europea che dispensa le autorità giurisdizionali dalla nomina di questa figura nell'esercizio di tali funzioni.

Nonostante ciò, proprio la vicenda Exodus dimostra come, fin qui, l'Autorità giudiziaria non sia stata in grado di assimilare le notevoli potenzialità che la pur farraginosa normativa in tema di protezione dei dati personali potrebbe offrire per prevenire possibili episodi di spionaggio informatico o di tentativi di controllo e dossieraggio.

Emblematica in tal senso è la già citata sentenza Cass. pen., Sez. VI, 26 aprile 2019, n. 31579.

Come rammentato, il Giudice per le indagini preliminari del Tribunale di Benevento disponeva il sequestro preventivo di ben due società. Il Tribunale del riesame confermava il provvedimento impositivo osservando che la società Alfa «risulta effettuare attività di intercettazioni anche per altre Procure sul territorio nazionale, sussistendo quindi la necessità di evitare che “i dati giudiziari trattati dalla società possano venire nella disponibilità di soggetti non aventi titolo o possano essere nuovamente illegittimamente allocate all'Estero».

Una volta investita del ricorso avverso il provvedimento del Tribunale, la Cassazione, ha premesso che, per essere legittimo, il sequestro preventivo deve rispettare il principio di proporzione tra esigenze generali di prevenzione e salvaguardia dei diritti fondamentali dell'individuo, determinandosi, in difetto, la violazione del principio di proporzionalità nella limitazione dei diritti, previsto dall'art. 52 della Carta dei diritti fondamentali dell'Unione Europea, riconosciuta dal Trattato di Lisbona del 13 dicembre 2007, ratificato con L. 2 agosto 2008, n. 130 e del principio di pertinenza del bene sequestrato rispetto alle esigenze cautelari.

Su queste basi, l'ordinanza impugnata è stata annullata perché l'ampliamento del sequestro – esteso dai server (oggetto del primo provvedimento) alle intere società – non è risultato giustificato da specifiche esigenze cautelari, rispetto alle quali il provvedimento impugnato in effetti nulla esprimeva, mentre la libertà d'impresa è espressamente considerata (art. 16) nella Carta dei diritti fondamentali dell'Unione Europea, conformemente al diritto dell'Unione e alle legislazioni e prassi nazionali in accordo con l'art. 41 Cost. che tutela la libertà della d'iniziativa economica privata.

Non può sfuggire che tale parte della motivazione della sentenza echeggia proprio quanto rilevato dalla citata dottrina laddove fa riferimento alla richiesta di approcci “chiavi in mano” a singoli fornitori che intervengono secondo il loro, legittimo, interesse imprenditoriale privato.

Una ricostruzione non superficiale della vicenda processuale, di merito e di legittimità, fa dunque trasparire profili di criticità nella risposta apprestata a livello giudiziario:

• una Procura dapprima ha affidato ad una società alcuni servizi di intercettazione;
• non risulta essere stata applicata la parte “responsabilizzante”, e, per questo, preventiva introdotta dalla normativa privacy;
• invece ne è stato applicato solo l'apparato repressivo, con l'“aggravante” di un eccessivo ricorso alla risposta sanzionatoria che ha comportato il sequestro delle società, mentre sarebbe stato sufficiente il vincolo imposto al server.

Va, sommessamente, rilevato che il riferimento, contenuto nella sentenza di legittimità, agli art. 21, 27 e 45 del d.lgs. 30 giugno 2003, n. 196, asseritamente richiamati dall'art. 167, comma 2, non pare pertinente dal momento che gli art. da 3 a 45 sono stati abrogati, mentre la nuova formulazione dell'art. 167, comma 2, fa riferimento al fatto di chi, «al fine di trarre per sé o per altri profitto ovvero di arrecare danno all'interessato, procedendo al trattamento dei dati personali di cui agli articoli 9 e 10 del Regolamento in violazione delle disposizioni di cui agli articoli 2-sexies e 2-octies, o delle misure di garanzia di cui all'articolo 2-septies ovvero operando in violazione delle misure adottate ai sensi dell'articolo 2-quinquiesdecies, arrechi nocumento all'interessato».

Al di là di questa puntualizzazione, preme rilevare che proprio l'attenta applicazione della normativa privacy, nella corretta prospettiva di governance imposta dal combinato disposto degli artt. 2-duodecies e 2-sexiesdecies codice privacy,avrebbe comportato la nomina presso quella Procura, nonché presso le altre Procure dove pur è stato adottato il sistema Exodus, di un efficiente DPO, il cui compito sarebbe stato proprio quello di segnalare la mancanza di garanzie offerte da quel fornitore nonché la connessa possibilità di un data breach, poi puntualmente verificatosi nella sua forma più grave.

Ancora, la puntuale applicazione dell'art. 18 del d.lgs. n. 51/2018 – il responsabile del trattamento non può ricorrere ad un altro responsabile senza preventiva autorizzazione scritta del titolare – avrebbe reso impossibile, o quanto meno più difficile, che dati sensibili di carattere giudiziario fossero allocati all'Estero su un server utilizzato da una società estranea al rapporto contrattuale intercorrente tra la società affidataria e la Procura, con l'utilizzo della piattaforma Exodus.

Verosimilmente, senza voler “peccar” di presunzione, erano proprio queste le ragioni di doglianza meritevoli di specificazione nei ricorsi in Cassazione che pur paiono evocare quella mancanza di governance segnalata dalla dottrina.

Proprio tale lacuna ha impedito ai Supremi giudici di affrontare la rilevanza di tali profili in modo senz'altro più autorevole di quanto può fare chi scrive.

È possibile svolgere un duplice ordine di conclusioni finali.

In primo luogo, l'art. 358, ultimo comma, c.p.p. ritaglia uno spazio eccessivo “di manovra” alla Polizia giudiziaria. Un sicuro rimedio sembra offerto dall'art. 109 della Costituzione: l'autorità giudiziaria dispone direttamente della polizia giudiziaria. L'applicazione congiunta di quanto disposto dai padri costituenti e dal Dlgs. 51/2018 consentirebbe ad ogni Procura della Repubblica di riassumere nella materia de qua quel ruolo “direttivo” che le compete, anche attraverso la nomina del DPO, così dando risposta a quell'esigenza di governance, la cui abdicazione può comportare il verificarsi di casi tanto gravi quali quelli di Exodus.

In secondo luogo, nel corso di questi ultimi anni gli operatori privati sono stati “terrorizzati” dalla sanzioni milionarie previste dal GDPR. Un simile rigore non è stato preteso dalle Pubbliche amministrazioni, soprattutto laddove agiscono sul delicato versante dell'attività d'indagine penale.

Il legislatore pare aver delineato un regime di “doppio binario”: massimo rigore per i privati, massima indulgenza per le Pubbliche amministrazioni, con l'eccezione del già ricordato art. 2-sexiesdecies codice privacy, norma che pare sin qui disapplicata.

L'ennesima riprova si rinviene nel c.d. decreto sicurezza bis, decreto Legge, 14 giungo 2019, n. 53, convertito dalla l. 8 agosto 2019, n. 77: l'articolo 9 ripristina la vigenza – fino al 31 dicembre 2019 – dell'articolo 57 del decreto legislativo n. 196 del 2003, dopo che l'articolo 49 del decreto legislativo n. 51 del 2018ne aveva prevista l'abrogazione con effetto differito al decorso un anno dalla data di entrata in vigore del medesimo decreto. La norma concerne il trattamento dei dati effettuato dal Centro elaborazioni dati del Dipartimento di pubblica sicurezza e da organi, uffici o comandi di polizia, per finalità di tutela dell'ordine e della sicurezza pubblica, prevenzione, accertamento o repressione dei reati, ed in particolare prevede che le modalità di attuazione dei principi del Codice della privacysiano da definirsi con specifico decreto del Presidente della Repubblica, con particolare riguardo ad alcuni profili e principi.

L'art. 57 aveva trovato attuazione, dopo “soli” 15 anni, con il regolamento recato dal d.P.R. n. 15 del 15 gennaio 2018.

Evidentemente tale D.P.R. non aveva ancora tenuto conto del combinato disposto del regolamento (UE) 2016/679 e della direttiva 2016/680: ciò si desume dalla lettura del dossier Senato Servizio studi Ufficio ricerche sulle questioni istituzionali, giustizia e cultura, 26 luglio 2019, Disposizioni urgenti in materia di ordine e sicurezza pubblica, che, nel riportare il contenuto della relazione illustrativa del disegno di legge di conversione, sottolinea che il maggiore lasso di tempo, fino al 31 dicembre 2019, si rende necessario per evitare un vuoto normativo in attesa di un emanando D.P.R. in materia, conforme alla svolta imposta a livello europeo.

Se questi sono i presupposti del differimento del termine, sia consentito dubitare della costituzionalità del ricorso allo strumento del decreto legge per consentire l'adeguamento, nel 2019, della norma di cui all'art 57 Codice privacy a quanto era già previsto, a livello europeo, a partire dal lontano 2016. L'unica esigenza di “straordinaria necessità ed urgenza” (art. 77 Cost.) che si può ravvisare in tale vicenda normativa è quella di porre rimedio alla persistente inerzia del legislatore.

A questo punto ci si può domandare: a quando il prossimo caso Exodus, nonostante i buoni propositi del Guardasigilli?

F. LAI, L'utilizzo del captatore informatico tra lotta alla criminalità e tutela della privacy. Uno sguardo alle esperienze straniere, 25 Settembre 2017, Il Penalista

E. PRIOLO, A proposito del trojan di Stato, le investigazioni altamente tecnologiche ci portano verso una “costituzione infinita”?, 13 dicembre 2018, Il Penalista

C. PARODI, Intercettazioni. Come è cambiata (ri)cambiata la disciplina dopo i decreti sicurezza e anticorruzione, 25 Gennaio 2019, Il Penalista.it

L. FILIPPI, I moniti del Garante privacy sul trojan horse, 13 Maggio 2019, Il Penalista

S. ATERNO, F. PIETROSANTI, Intercettazioni via trojan, come evitare un nuovo caso Exodus: i problemi da risolvere, 9 Aprile 2019, www.agendadigitale.eu

M. GABANELLI, M. GEREVINI, Intercettazioni: la posta in gioco quando il gioco è sporco, in https://www.corriere.it/dataroom-milena-gabanelli/intercettazioni-giustizia-smartphone-posta-gioco-sporco/