Ancora in tema di captatore informatico: i limiti di impiego del Trojan tra questioni sostanziali e procedurali

In tema di intercettazioni di conversazioni o comunicazioni mediante installazione di un captatore informatico (Trojan), la riforma introdotta dal d.lgs. n. 216/2017 si applica a far data dal 1 settembre 2020, con la conseguenza che i procedimenti in materia di criminalità organizzata iscritti anteriormente a tale data sono soggetti alla disciplina precedentemente in vigore, nel rispetto dei principi affermati dalla sentenza delle Sezioni Unite “Scurato” del 2016.

Il Tribunale del riesame di Lecce conferma l'ordinanza cautelare emessa nei confronti dell'indagato in seguito alla contestazione di associazione a delinquere di stampo mafioso finalizzata alla commissione di numerosi reati, tra i quali estorsione, rapina e cessione di sostanze stupefacenti.

Avverso tale provvedimento, il difensore ricorre per cassazione, deducendo quattro distinti motivi, tutti relativi ad errori procedurali implicanti l'inutilizzabilità del contenuto delle intercettazioni eseguite mediante captatore informatico introdotto su un dispositivo elettronico portatile utilizzato dall'indagato.

Con la prima doglianza, il ricorrente denuncia la violazione dell'art. 191 c.p.p. per due differenti ragioni.

In primis, la difesa evidenzia che l'installazione del malware sul dispositivo in uso al ricorrente risulta fraudolenta, posto che l'acquisizione è avvenuta con modalità lesive di diritti fondamentali, garantiti dagli artt. 2 e 15 Cost. Di qui, il relativo risultato probatorio non può trovare ingresso nel processo penale, pena la violazione del disposto di cui all'art. 191 c.p.p.

Inoltre, viene denunciato un pregiudizio alla proprietà privata(art. 42 Cost.), a causa dell'indebita sottrazione di energia alle batterie di alimentazione, inscindibilmente connessa al funzionamento del programma informatico.

Con il secondo motivo, la difesa lamenta la violazione degli artt. 191 e 271 c.p.p., con riguardo alla motivazione del provvedimento con cui si autorizzano le intercettazioni. A parere del ricorrente, infatti, il decreto deve indicare anche il luogo oggetto di intercettazione, dal momento che – in caso contrario – si acconsentirebbe all'espletamento intercettazioni itineranti ubiquitarie, contravvenendo il dictum di cui all'art. 266, comma 2, c.p.p.

Con la terza doglianza viene dedotta l'inosservanza delle norme processuali in tema di inutilizzabilità ex art. 191 c.p.p., dal momento che gli elementi di prova raccolti tramite captatore integrerebbero una forma di prova atipica incostituzionale per i suoi connotati ontologicamente pregiudizievoli.

La quaestio iuris sottesa al caso di specie può compendiarsi nella pretesa dichiarazione di inutilizzabilità dei risultati investigativi acquisiti tramite Trojan, a causa degli errori procedurali che sottendono l'impiego del virus a fini intercettivi.

Se è vero che il denominatore comune delle sopra indicate doglianze è rappresentato dalla sanzione dell'inutilizzabilità da infliggere ai risultati probatori ottenuti mediante l'esperimento del captatore informatico inoculato sul dispositivo in uso al ricorrente, le problematiche che sottendono il quesito principale sono assai ampie, spaziando da questioni strettamente procedimentali fino ad arrivare alle disquisizioni più propriamente dogmatiche.

In rapporto al primo aspetto, l'enigma si concentra sui limiti fattuali del decreto autorizzativo, ovvero se il provvedimento con cui l'autorità giudiziaria acconsente alle intercettazioni a mezzo Trojan debba o meno indicare – in maniera più o meno dettagliata – i luoghi oggetto di captazione (motivo n. 2 del ricorso). Con riferimento alle questioni di natura dogmatica, i quesiti involgono il tema delle intercettazioni fraudolente e la conseguente preclusione del diritto di autodeterminazione, nonché la possibile lesione della prerogativa fondamentale proprietà privata (motivo n. 1 del ricorso), per poi tangere l'annosa querelle della prova incostituzionale, ovvero quella prova inutilizzabile perché contraria ai valori che ispirano il sistema costituito (motivo n. 3 del ricorso).

La V Sezione della Suprema Corte di Cassazione – su parere difforme del Procuratore generale, che aveva concluso chiedendo che il ricorso fosse dichiarato inammissibile – rigetta l'impugnazione, condannando il ricorrente al pagamento delle spese processuali.

Nella lucida motivazione fornita, la Corte procede a scardinare i singoli motivi di doglianza posti dal ricorrente.

In rapporto al primo quesito, ovvero quello delle intercettazioni fraudolente, la Corte ripropone i motivi che, già con riferimento alle intercettazioni “tradizionali”, hanno consentito di ritenere legittima l'attività investigativa. Così, senza particolari slanci innovativi, i giudici chiariscono che «la finalità di intercettare conversazioni telefoniche e ambientali consente all'operatore la materiale intrusione, per la collocazione dei necessari strumenti di rilevazione, negli ambiti e nei luoghi di privata dimora, oggetto di tali mezzi di ricerca della prova, senza che il pubblico ministero sia tenuto a precisare le modalità di intrusione delle microspie in tali luoghi e senza che la relativa omissione determini alcuna nullità» (Cass. pen., sez. V, 30 settembre 2020, n. 10981, p. 7, che riprende i moniti di Cass. pen., sez. VI, 25 settembre 2012, n. 41514; Cass. pen.,sez. VI, 31 gennaio 2011, n. 14547).

In rapporto alla presunta illiceità delle intercettazioni per violazione della prerogativa di cui all'art. 42 Cost., i giudici evidenziano la necessità di operare un bilanciamento tra gli interessi in gioco: «le conseguenze di perdita di una quota del proprio diritto di proprietà da parte del soggetto intercettato, peraltro non particolarmente consistente dal punto di vista patrimoniale, appaiono recessive, rispetto all'obiettivo, egualmente legittimo, del soddisfacimento dell'interesse pubblico all'accertamento di gravi delitti, tutelato dal principio, di pari rango costituzionale, dell'obbligatorietà dell'azione penale di cui all'art. 112 Cost.» (Cass. pen., sez. V, 30 settembre 2020, n. 10981).

Con riferimento alle altre due doglianze, il punto di partenza dell'analisi della Corte è rappresentato dall'inapplicabilità della disciplina così come novellata nel 2017 (d.lgs. n. 216/2017). Poiché tale normativa ha tardato ad “ingranare” – essendo entrata in vigore solo il 1 settembre 2020 a causa delle innumerevoli proroghe che ne hanno procrastinato l'attuazione – i giudici chiariscono che il punto di riferimento per la disciplina da adottare nel caso di specie è rappresentato dal dictum delle Sezioni Unite “Scurato” (Cass. pen., Sez. Un., 28 aprile 2016, n. 26889) per cui «In tema di intercettazioni di conversazioni o comunicazioni tra presenti, eseguite per mezzo dell'installazione di un “captatore informatico” in dispositivi elettronici portatili deve escludersi la possibilità di compiere intercettazioni nei luoghi indicati dall'art. 614 c.p., con il mezzo indicato in precedenza, al di fuori della disciplina derogatoria per la criminalità organizzata di cui all'art. 13 d.l. n. 152/1991, convertito in l. n. 203/1991, non potendosi prevedere, all'atto dell'autorizzazione, i luoghi di privata dimora nei quali il dispositivo elettronico verrà introdotto, con conseguente impossibilità di effettuare un adeguato controllo circa l'effettivo rispetto del presupposto, previsto dall'art. 266, comma 2 c.p.p., che in detto luogo si stia svolgendo l'attività criminosa».

Di qui, la Corte chiarisce che il decreto autorizzativo non deve specificare i luoghi oggetto di captazione, posto che – nel caso di specie – si tratta di procedimenti relativi a delitti di criminalità organizzata: in tali ipotesi, «il Trojan permette la captazione anche nei gruppi di privata dimora, prescindendo dall'indicazione di questi come sede di attività criminosa in atto. (…) Il riferimento al luogo non integra un presupposto dell'autorizzazione, ma rileva solo per delimitare i margini della motivazione del decreto, nella quale, quindi, si dovranno indicare le situazioni ambientali oggetto di captazione» (Cass. pen., sez. V, 30 settembre 2020, n.10981).

Infine, in rapporto alla censura di incostituzionalità la Corte precisa che non sussistono dubbi di incompatibilità con il precetto di cui all'art. 15 Cost., posto che il captatore informatico rappresenta uno strumento messo a disposizione della moderna tecnologia, attraverso il quale possibile effettuare una intercettazione ambientale (art. 266, comma 2, c.p.p.) e, dunque, rappresenta solo una nuova modalità attraverso cui esperire un “vecchio” mezzo di ricerca della prova, non venendo in rilievo la prova atipica.

Seppur chiara e logica nei passaggi motivazionali, la pronuncia in esame appare impenetrabile, quasi ermetica, e ciò in netta antitesi con gli importanti risvolti dogmatici che derivano dall'impostazione prescelta.

Per dovere di sistematicità l'interprete si sofferma sui singoli motivi di doglianza e sulle (criticabili) impostazioni seguite dalla Corte.

In rapporto al tema delle intercettazioni fraudolente, la Corte appare alquanto superficiale nel non affrontare le questioni che derivano dal dato propriamente tecnico e che ineriscono alle modalità di inoculamento del virus.

Sembra, quindi, doveroso spiegare brevemente in che modo il malware può aggredire il sistema.

In particolare, l'aggressione del dispositivo da “attenzionare” viene tecnicamente definita “inoculamento”. Esso può avvenire a distanza, sfruttando come veicolo programmi ingannevoli, oppure mediante un contatto fisico diretto sulla macchina bersaglio. Nel primo caso, il malware viene installato con la collaborazione attiva e inconsapevole del soggetto da monitorare, sfruttando tecniche di social engineering. Nella seconda ipotesi, invece, l'inoculazione avviene tramite un intervento tecnico materiale a livello hardware sul dispositivo da controllare. Anche in tal caso la buona riuscita del monitoraggio deriva dalla collaborazione (“passiva”) del soggetto, il quale deve lasciare incustodito l'apparecchio per il tempo necessario per l'intervento fisico da parte dell'operatore di p.g. o del suo ausiliario.

Da quanto detto, è indubbio l'inoculamento del virus possa facilitare il rischio di intercettazioni “fraudolente”: se non si dubita della legittimità dell'inserimento manuale del captatore da parte dell'operatore di polizia che riesce materialmente a disporre del dispositivo elettronico da infettare, «non è da escludere che possano profilarsi aspetti di criticità in rapporto all'inoculazione occulta, in quanto atto che richiede una cooperazione del soggetto attenzionato che, tuttavia, è contra se» (S. SIGNORATO, Le indagini digitali. Profili strutturali di una metamorfosi investigativa, Giappichelli, 2018, p. 238 s. Contra, la giurisprudenza di legittimità che esclude che si tratti di intercettazioni fraudolente: cfr. Cass. pen., sez. V, 30 settembre 2020, n. 10981).

A ben riflettere, il principio nemo tenetur se detegere non esaurisce la sua portata nella protezione del soggetto sottoposto ad interrogatorio, espandendo i suoi confini fino a consacrare il precetto per cui nessuno può essere costretto ad agire a proprio danno.

In un simile contesto, non si può non ritenere che tale attività, interamente incentrata sulla collaborazione attiva del monitorato, integri una violazione del diritto riconosciuto ad ogni individuo per cui lo stesso non può essere obbligato a compiere azioni che possano ledere la sua persona.

Non sembra, invece, condivisibile la censura mossa dal ricorrente in rapporto al diritto di proprietà, posto che il maggior consumo di batteria nei dispositivi mobili infettati e l'incremento della banda trasmissiva (a causa della trasmissione dei dati verso il server in ascolto) è una caratteristica funzionale che esorbita dall'area giuridica (Cass. pen., sez. V, 30 settembre 2020, n. 35010). Si tratta, in sostanza, di una caratteristica tecnica connaturata al funzionamento del malware e che prescinde dalle competenze strettamente giuridiche. D'altra parte, il diritto di proprietà, anche per la sua minima compressione, è destinato a soccombere rispetto all'esigenza di soddisfacimento dell'interesse pubblico all'accertamento di gravi delitti, tutelato dal principio di obbligatorietà dell'azione penale di cui all'art. 112 Cost.

Con riguardo alla seconda doglianza, in rapporto al contenuto del provvedimento autorizzativo, la Corte – su insegnamento delle Sezioni Unite “Scurato” – chiarisce che il giudice risulta esonerato dalla preventiva indicazione dei luoghi oggetto di captazione, non potendo seguire la più “garantita” disciplina introdotta dal d.lgs. n. 216/2017.

Per comprendere i termini della questione, occorre ripercorrere brevemente l'intricato iter legislativo che caratterizza la “storia” del Trojan nel processo penale.

Secondo un consolidato approdo giurisprudenziale, l'indicazione di uno specifico luogo non risulta inserita né nell'art. 266, comma 2, c.p.p., né nella giurisprudenza della Corte europea dei diritti dell'uomo, diventando indispensabile solo nella misura in cui concorre ad individuare la disciplina applicabile al caso concreto. Seguendo una simile distinzione, l'indicazione del luogo rileva solo in relazione all'eventuale coinvolgimento di un domicilio privato, dal momento che in tale ipotesi l'attività intrusiva è consentita solo a condizione che sussista un fondato motivo di ritenere che in quel luogo si stia svolgendo un'attività criminosa. Con una precisazione. Una simile condizione non è richiesta nel caso in cui si proceda per delitti di criminalità organizzata, anche terroristica. Avallando un'interpretazione assai ampia della categoria in esame, già nel 2016 i giudici chiariscono che la nozione di criminalità organizzata deve ricomprendere «non solo i reati indicati nell'art. 51, commi 3 bis e 3 quater, c.p.p., ma anche quelli comunque facenti capo ad un'associazione per delinquere, ex art. 416 c.p., correlata alle attività criminose più diverse, con esclusione del mero concorso di persone nel reato», per cui vige la speciale norma derogatrice dettata dall'art. 13, d.l. n. 152/1991.

In ragione del possibile “abuso” di intercettazioni itineranti ubiquitaria, negli anni successivi il legislatore corregge il tiro: attraverso una modifica dell'art. 267, comma 1, c.p.p., si precisa che il provvedimento con cui si autorizzano le operazioni di intercettazione tramite captatore informatico deve indicare «i luoghi e il tempo, anche se indirettamente determinati, in relazione ai quali è consentita l'attivazione del microfono». Tuttavia, un simile dispendio di energie giurisdizionali viene meno nel caso in cui si proceda per reati di cui all'art. 51, commi 3 bis e 3 quater, c.p.p., nonché per quelli commessi dai pubblici ufficiali e dagli incaricati di pubblico servizio contro la pubblica amministrazione, puniti con la pena della reclusione non inferiore nel massimo a cinque anni, determinata ai sensi dell'art. 4 c.p.p., per cui, invece, l'intercettazione mediante captatore informatico «è sempre consentita», senza che il decreto indichi i luoghi e i tempi dell'intrusione (cfr. d.lgs. n. 216/2017; l. n. 3/2019; l. n. 7/2020).

Nel caso di specie, trattandosi di procedimenti iscritti anteriormente alla deadline fissata per l'entrata in vigore della disciplina “riformata”, la Corte a ragione ritiene superflua l'indicazione del luogo in cui si svolge la captazione, trattandosi di reati che rientrano nella nozione di criminalità organizzata.

Tuttavia, la quaestio non è così semplice come appare.

In questo senso, rileva la pronuncia della Corte edu “Zakharov c. Russia” (Corte EDU, Grande Camera, 4 dicembre 2015, Roman Zakharov c. Russia, n. 66610/10) che, nel delineare un nuovo statuto europeo delle intercettazioni, indica tra i requisiti fondamentali che le legislazioni nazionali devono esibire per dirsi rispettose degli standard convenzionali perché un'intercettazione possa considerarsi legittima, la previsione della necessaria individuazione delle persone a controllare e, in alternativa, la precisazione dei luoghi in cui l'intercettazione può essere effettuata.

Tuttavia, una simile scelta sembra incompatibile con la virtuale ubiquità della cimice. Non può essere, infatti, sottaciuto che le intercettazioni tramite Trojan non consentono di individuare ab origine né i luoghi oggetto della captazione, né tantomeno le categorie di soggetti che potrebbero essere coinvolti: come rilevato, «il carattere itinerante delle nuove spie elettroniche, combinato alla loro potenza d'azione, comporta il rischio di introdursi nella sfera personale di chiunque si trovi ad una certa distanza dal target, di captare fortuitamente conversazioni intercorrenti tra terzi, di penetrare in imprevedibili spazi domiciliari di chiunque (non soltanto del soggetto controllato), finanche di intercettare inopinatamente su territorio estero» (P. BRONZO, L'impiego del trojan horse informatico nelle indagini penali, in Riv. it. sc. giur., 2017, f. 8, p. 329).

Anche il terzo motivo di censura – ritenuto non fondato dalla Corte – richiede un'attenzione particolare posta la rilevanza del tema con riferimento alla compatibilità delle attività de quibus rispetto alla prerogativa fondamentale di cui all'art. 15 Cost. e che finisce per intaccare la spinosa questione della c.d. prova incostituzionale.

Come noto, l'art. 15 Cost. tutela due situazioni distinte ma complementari, ovvero «il diritto di poter comunicare e corrispondere con altri soggetti, senza che sia portata alcuna interruzione o sospensione al corso “normale” della comunicazione» e «la pretesa a che soggetti diversi dai destinatari determinati non prendano illegittimamente conoscenza del contenuto della corrispondenza o di una comunicazione» (V. ITALIA, Libertà e segretezza della corrispondenza e delle comunicazioni, Giappichelli, 1963, p. 91). Al fine di evitare sconvenienti irrigidimenti, la Carta fondamentale, prevede che l'ingerenza al diritto di libertà e segretezza è ammessa solo in presenza di due condizioni complementari e non alternative.

In primis, è indispensabile la presenza di una norma giuridica che legittimi la preclusione (c.d. riserva di legge) al fine di contenere il potere discrezionale del magistrato e, al contempo, scongiurare il rischio di eventuali abusi da parte degli organi inquirenti. In secondo luogo, si richiede la sussistenza di provvedimento giurisdizionale corredato di congrua motivazione (c.d. riserva di giurisdizione).

Ciò posto, nel caso di intercettazioni tramite captatore informatico l'ingerenza alla vita privata e alle libertà fondamentali non può essere giustificata in ragione della sussistenza dei presupposti derogatori.

In primis, seppur allo stato non sussistono dubbi di compatibilità con la riserva di legge – dal momento che il legislatore ha normato (seppur impropriamente) la funzionalità intercettativa del virus informatico – si rilevano perplessità in rapporto alla riserva di giurisdizione, lì dove il malware risulta ex se è refrattario alle predeterminazioni spazio-temporali: l'itineranza intrinseca del virus informatico, infatti, non consente in alcun modo di rispettare i limiti prefissati dal provvedimento con cui l'autorità giudiziaria acconsente all'uso delle captazioni tramite Trojan.

In questo contesto, «l'idea di un controllo quasi totale della persona da parte di sistemi privi di specifica disciplina e quasi del tutto incontrollabili sul piano tecnico possa apparire oltre che paradossale, non collimante con le stesse garanzie offerte dall'art. 15 Cost., (…) facendo della bulimia investigativa la regola» (L. FILIPPI, L'ispe-perqui-intercettazione “itinerante”: le Sezioni unite azzeccano la diagnosi ma sbagliano la terapia (a proposito del captatore informatico), in Arch. pen., 2016, f. 2, p. 352).

In conclusione, può dirsi che le investigazioni a mezzo Trojan non soddisfano i requisiti necessari che rendono legale un'attività intercettiva: se, infatti, può ritenersi rispettato il criterio della riserva di legge – almeno con riferimento all'attivazione del microfono del dispositivo infetto per condurre intercettazioni ambientali –, altrettanto non può dirsi in rapporto alla riserva di giurisdizione.

A ciò si aggiungano i limiti imposti all'impiego delle intercettazioni nelle investigazioni penali da parte della giurisprudenza della Corte EDU, per cui si prevede che il legislatore nazionale abbia il dovere di definire l'ambito di applicazione delle operazioni captative, in modo da dare ai cittadini un'adeguata indicazione delle circostanze in presenza delle quali la pubblica autorità ha il potere di disporle, non solo per quanto attiene alla natura dei reati, ma pure in riferimento ai potenziali destinatari delle captazioni.

Invece, il carattere itinerante delle nuove spie elettroniche, combinato alla loro potenza d'azione, comporta il rischio di introdursi nella sfera personale di chiunque si trovi ad una certa distanza dal target e di captare fortuitamente conversazioni intercorrenti tra terzi.

Di conseguenza, il loro uso come mezzi di intercettazione permette di sottoporre l'individuo ad un penetrante controllo della sua vita, fino a sfociare in una vera e propria attività di sorveglianza; sorveglianza che si estende, eventualmente, ai soggetti vicini alla persona interessata che, in tal modo, potrebbero essere raggiunti da una misura restrittiva delle libertà fondamentali senza nemmeno ricoprire benché minimo ruolo nell'ambito del procedimento penale.

In sintesi, il rischio dell'impiego dei sistemi di remote forensics è quello di trasformare un'intercettazione in un controllo occulto e continuativo della vita privata di qualsivoglia soggetto, pur estraneo al processo, in assenza di un'adeguata motivazione giurisdizionale indispensabile a garantire la legittimità dell'ingerenza nel pieno rispetto del principio della riserva di giurisdizione.

Sotto altro profilo, non può negarsi che il captatore informatico dia luogo a plurimi sospetti di incostituzionalità, offrendo al processo elementi raccolti con modalità non disciplinate dal codice di rito e lesive dei diritti dell'individuo, dei quali gli artt. 14 e 15 Cost. rappresentano solo una porzione.

Segue il corollario: in un sistema governato dal canone di stretta legalità, deve ritenersi illegittimo qualsivoglia uso del captatore, in quanto, diversamente opinando, si determinerebbe una violazione degli artt. 13, 14 e 15 Cost. e, si potrebbe aggiungere, dei diritti “nuovi” o “semi nuovi” che ne rappresentano una naturale proiezione funzionale ad adattare il sistema alle sfide proprie dell'era moderna.

Con ciò non si vuole intendere che qualsiasi attività che incida sulla privatezza – genericamente intesa – risulta ex se vietata; tuttavia, al fine di non incappare in censure di incostituzionalità, sembra doveroso che ogni forma di investigazione “invasiva” risulti espressamente normata con riferimento ai casi, tempi e ai modi dell'ingerenza, nella convinzione per cui già la “mera” intrusione nella sfera privata digitale del soggetto possa ledere – per il solo fatto dell'accesso – alla riservatezza e alla privacy dell'individuo che proietta la sua personalità anche sulla rete.

AA. VV., Revisioni normative in tema di intercettazioni. Riservatezza, garanzie difensive e nuove tecnologie informatiche, a cura di G. Giostra-R. Orlandi, Giappichelli, 2021;

AA. VV., La nuova disciplina delle intercettazioni. Legge 20 febbraio 3030, n. 7, a cura di A. Diddi-L. Filippi-A. Marandola, Pacini, 2020;

AA. VV., Il fragile mosaico delle strategie difensive. Dalla legge Orlando all'esordio della XVIII legislatura, a cura di S. Lorusso, Giappichelli, 2020;

CAPRIOLI F., Il “captatore informatico” come strumento di ricerca della prova in Italia, in Rev. Bras. de Direito Processual Penal, Porto Alegre, 2017, f. 2, p. 483;

CONTI C., Prova informatica e diritti fondamentali: a proposito di captatore e non solo, in Dir. pen. proc., 2018, f. 9, p. 1210;

CURTOTTI D., Il captatore informatico nella legislazione italiana, in Riv. di Scienza giuridiche, 2017, f. 3, p. 382;

MARANDOLA A., Sicurezza e diritti fondamentali: aspetti processuali, in Proc. pen. giust., 2019, f. 11, p. 1553;

NOCERINO W., Le Sezioni Unite risolvono l'enigma: l'utilizzabilità del “captatore informatico” nel processo penale, in Cass. pen., 2016, f. 10, p. 3566;

SPANGHER G., La (contro)riforma delle intercettazioni telefoniche, in Studium Iuris, 2020, f. 5, p. 529;

TESTAGUZZA A., voce Virus informatico, in Dig. disc. pen., X, Utet, 2018, p. 931;

TORRE M., Il captatore informatico. Nuove tecnologie investigative e rispetto delle regole processuali, Giuffrè, 2017.