Rassegna bimestrale di novità in materia di diritto e processo penale e nuove tecnologie
Responsabili scientifici: Prof. Lorenzo Picotti e Prof. Luca Lupária
* In collaborazione con l’Osservatorio Cybercrime dell’Università degli Studi di Verona.
1. Novità sovranazionali
Il 16 dicembre 2020 la Commissione europea e l’alto rappresentante dell’Unione per gli affari esteri e la politica di sicurezza hanno presentato la nuova strategia UE per la cybersecurity. La Commissione, infatti, ha rilevato che le preoccupazioni relative alla sicurezza costituiscono il principale disincentivo rispetto all’utilizzo dei servizi online, motivo per cui è cruciale rafforzare la resilienza collettiva dell'Europa contro le minacce informatiche e contribuire a garantire che tutti i cittadini e tutte le imprese possano beneficiare appieno di servizi e strumenti digitali affidabili. La nuova strategia per la cibersicurezza mira a salvaguardare un Internet globale e aperto, offrendo nel contempo un meccanismo di salvaguardia, non solo per garantire la sicurezza, ma anche per proteggere i valori europei e i diritti fondamentali di tutti. Le aree di azione in cui si articola tale nuova strategia sono tre, ovvero: 1) resilienza, sovranità tecnologica e leadership, nella quale la Commissione propone di riformare le norme sulla sicurezza delle reti e dei sistemi informatici nell'ambito di una direttiva sulle misure dirette a garantire un elevato livello comune di cibersicurezza in tutta l’Unione al fine di aumentare il livello di ciberresilienza dei settori pubblici e privati essenziali e di avviare una rete di centri operativi per la sicurezza in tutta l’UE, alimentati dall'intelligenza artificiale; 2) costruire la capacità operativa necessaria per prevenire, dissuadere e rispondere alle minacce, intensificando la collaborazione con i partner internazionali per promuovere la sicurezza e la stabilità nel ciberspazio e proteggere i diritti umani e le libertà fondamentali online, introducendo norme e standard internazionali che riflettano questi valori fondamentali; 3) promuovere un cyberspace globale e aperto, aggiornando le misure esistenti a livello UE volte a proteggere i servizi e le infrastrutture essenziali dai rischi sia informatici che fisici. Per rendere efficace tale strategia nel contempo la Commissione ha presentato due proposte per rafforzare la resilienza sia informatica che fisica dei soggetti critici e delle reti essenziali, ovvero una nuova direttiva sulle misure per un elevato livello comune di cibersicurezza in tutta l’Unione (c.d. direttiva NIS 2, per sostituire quella del 2016) e una nuova direttiva sulla resilienza dei soggetti critici. (C.C.)
Nel dicembre 2020 la Commissione europea ha pubblicato un report che analizza l’impatto della raccomandazione del 26 marzo 2019 in materia di cybersecurity dei network 5G, nonché i progressi compiuti nell’attuazione del pacchetto strumenti comune dell’UE comprendente le misure di attuazione, c.d. EU Toolbox. In particolare, si evidenzia che gli operatori hanno già lanciato reti commerciali 5G nelle principali città di più della metà dei Paesi membri, mentre ogni Stato membro ha effettuato una valutazione nazionale del rischio delle infrastrutture di rete 5G. Inoltre, la maggior parte degli Stati membri ha compiuto buoni progressi nell'attuazione delle misure tecniche del Toolbox. Si rileva che i processi nazionali sono comunque ancora in corso, ma nella maggior parte degli Stati membri sono sulla buona strada per essere completati nei prossimi mesi. Tuttavia, si evidenzia l’urgenza di ridurre il rischio di dipendenza da fornitori ad alto rischio, anche al fine di ridurre le dipendenze a livello di Unione. Infine, si rileva che gli Stati membri hanno chiesto di procedere con l’approccio coordinato dell'UE sviluppato a seguito della raccomandazione della Commissione, in particolare proseguendo il lavoro del gruppo di cooperazione NIS e di basarsi su di esso per promuovere un'ulteriore convergenza degli approcci nazionali utilizzando le strutture e i canali di cooperazione esistenti. (C.C.)
La proposta di Regolamento denominato Digital Service Act (DSA), che modifica la Direttiva e-commerce (Direttiva 2000/31/EC), compone, assieme al Digital Markets Act (Proposta di Regolamento europeo su mercati equi nel settore digitale), il Digital Services Act Package, un insieme di misure elaborate dalla Commissione Europea rivolte ai prestatori di servizi digitali offerti nell’Unione Europea con l’intento di creare uno spazio (e mercato) unico digitale più sicuro e aperto, modellato secondo principi e regole di diritto certe.
La proposta si concentra soprattutto sulla garanzia di maggiore trasparenza da parte delle piattaforme, le quali dovranno comunicare all’utente le modalità con cui vengono erogati i propri servizi e utilizzati i servizi di pubblicità, nonché sulla previsione di meccanismi di rimozione dei contenuti illeciti online. Il DSA si fonda dunque su un approccio di regolamentazione ex ante delle attività e dei servizi offerti dalle piattaforme online, che prevenga abusi e comportamenti illeciti o scorretti.
Il Regolamento sui servizi digitali contiene obblighi per i diversi operatori online, parametrati in base al loro ruolo, alle loro dimensioni e al loro impatto sull’ecosistema digitale. Risultano interessati dalla proposta del nuovo Regolamento: i servizi di intermediazione, che offrono infrastrutture di rete (come i fornitori di accesso a Internet) e comprendono al loro interno i servizi di hosting (come i servizi cloud e di webhosting), nei quali sono comprese a loro volta le piattaforme online, che riuniscono venditori e consumatori in mercati online, app store, piattaforme dell’economia collaborativa e piattaforme dei social media. In particolare, per le piattaforme online di grandi dimensioni (che raggiungono più del 10% dei 450 milioni di consumatori europei), vengono previste norme specifiche in ragione dei maggiori rischi che comportano di diffusione di contenuti illegali e di danni alla società,.
Tra le novità più significative si segnalano un meccanismo per consentire agli utenti di segnalare beni, servizi o contenuti illeciti online e alle piattaforme di collaborare con “segnalatori attendibili”; nuovi obblighi in materia di tracciabilità degli utenti commerciali nei mercati online, per contribuire a identificare i venditori di beni illegali; la possibilità per gli utenti di contestare le decisioni prese dalle piattaforme in merito alla moderazione dei contenuti; una struttura di vigilanza che rifletta la complessità dello spazio online. (B.P.)
Il 10 novembre 2020 l’European Data Protection Board (EDPB) ha adottato delle raccomandazioni in merito alle misure volte a garantire la sicurezza dei dati personali nei processi di trasferimento degli stessi all’interno o all’esterno dell’Unione Europea, evidenziando che vengono considerati quali trasferimenti anche l’accesso da remoto ai dati eseguito da un paese terzo e/o la conservazione dei dati in un cloud situato all’esterno dell’EEA (European Economic Area). Vengono delineati sei step. Tra questi, oltre al suggerimento di mappare i trasferimenti (operazione che può trovare adempimento anche grazie alla tenuta di un registro dei trattamenti ex art. 30 GDPR) e di identificare gli strumenti normativi ex art. 46 GDPR su cui si basano le proprie operazioni di trasferimento dei dati, assume particolare rilevanza il punto numero quattro, nel quale l’EDPB raccomanda di adottare misure supplementari (di cui fornisce un elenco esemplificativo nell’Allegato 2) con riguardo a tutti gli strumenti ex art. 46 GDPR utilizzati, nel caso in cui la legislazione del paese terzo non garantisca livelli di protezione equivalenti a quelli richiesti dal GDPR, come ad esempio nel caso degli USA, secondo quanto stabilito dalla sentenza Schrems II che ha annullato il Privacy Schield (cfr., in questo Osservatorio, Topic Privacy e Raccolta News del mese di luglio). (B.P.)
Le Linee guida dell’ENISA per la sicurezza dell’IoT
L’Agenzia Europea per la cybersecurity (ENISA) ha definito delle linee guida per la sicurezza della catena di approvvigionamento dell’Internet of Things (IoT). Dal momento che la maggior parte di questi dispositivi è costituita da una moltitudine di componenti (sia hardware che software) provenienti da diversi fornitori, è soprattutto nella catena di approvvigionamento che devono articolarsi i meccanismi diretti a garantire un livello sufficiente ed adeguato di cybersecurity, dal momento che le organizzazioni non possono sempre controllare le misure di sicurezza adottate dai partner della catena di fornitura. Analizzando l’intera catena di approvvigionamento di prodotti e servizi dell’IoT, l’ENISA, con il contributo degli esperti del settore, ha creato delle linee guida di sicurezza per l’intero corso di vita di tali artefatti: dai requisiti e dalla progettazione, alla consegna e alla manutenzione, fino allo smaltimento finale. La sicurezza non riguarda infatti solo il prodotto compiuto, ma anche i processi per lo sviluppo del prodotto. La sicurezza dell’IoT deve essere considerata in tutte le fasi della catena di fornitura, dalla prima progettazione concettuale fino alla consegna e alla manutenzione presso l’utente finale. È quindi importante analizzare le minacce rilevanti per la sicurezza della catena logistica e, di conseguenza, definire misure di sicurezza e linee guida che aiutino ad evitare i rischi che incidono sulla sua affidabilità. (B.P.)
L’adesione del social network TikTok all’iniziativa europea “A Safer Internet for Minors”
Anche il social network TikTok ha aderito all’alleanza per una migliore protezione dei minori online, concordando di presentare alla Commissione Europea una lista di specifici impegni e un calendario per la loro implementazione. Si tratta, in particolare, di impegni relativi a: identificare e promuovere best practice per la comunicazione delle informazioni relative alla privacy degli utenti; prevedere strumenti accessibili, robusti e semplici da utilizzare per fornire le opportune notificazioni; promuovere la consapevolezza e la responsabilizzazione degli utenti ad un corretto comportamento online; operare una classificazione dei contenuti quando e dove risulti appropriato; promuovere la consapevolezza e l’utilizzo degli strumenti di parental control; promuovere l’accesso dei minori a contenuti, opinioni, informazioni e conoscenze online opportunamente diversificati; intensificare la collaborazione con organizzazioni e autorità pubbliche che si occupano della tutela della sicurezza dei minori. (B.P.)
Pubblicato il secondo report annuale SIRIUS EU Digital Evidence
Europol, Eurojust e lo European Judicial Network hanno pubblicato, in data 1 dicembre 2020, il secondo “SIRIUS EU Digital Evidence Situation Report”. Il report, nell’evidenziare la crescente importanza rivestita dalla digital evidence nell’accertamento dei reati, offre una compiuta analisi delle normative previste dai Paesi europei in tema di data retention e analizza i dati statistici relativi alle richieste di disclosure formalizzate dagli Stati membri dell’Unione Europea. Di particolare interesse l’ultima sezione del report, che si chiude con una serie di raccomandazioni rivolte in primis alle autorità giudiziarie europee, volte al rafforzamento della cooperazione giudiziaria in materia, nonché alle law enforcement agencies europee, invitate ad utilizzare le piattaforma SIRIUS per offrire al proprio personale una specifica preparazione tecnica in materia di data retention. (M.P.)
Pubblicato il First Progress Report on the EU Security Union Strategy della Commissione Europea
Nell’ambito del First Progress Report sulla EU Security Union Strategy della Commissione Europea, pubblicato il 9 dicembre 2020, ampio spazio è dedicato al tema delle attività di contrasto al cybercrime sotto il profilo processuale. Preso atto della costante evoluzione delle minacce online, anche in ragione della pandemia da Covid-19, la Commissione invita il Parlamento Europeo a esprimersi in ordine alle proprie Proposte COM/2018/226 e COM/2018/225 relative all’accesso transfrontaliero alla digital evidence.
Inoltre, la Commissione Europea dà atto di due importanti iniziative in corso. La prima concerne i negoziati del Secondo Procollo Addizionalle alla Convezione di Budapest sul Cybercrime, il quale dovrebbe permettere alle law enforcement agencies europee di dotarsi di utili strumenti per la cooperazione giudiziaria in materia di cybercrime, inclusa la possibilità di cooperazione diretta con gli Internet Service Providers. A tale proposito, la Commissione evidenzia l’importanza che, all’interno del Protocollo in via di stipula, si prevedano idonei strumenti funzionali alla protezione del diritto alla riservatezza.
In secondo luogo, la Commissione informa che sono in corso negoziazioni per un accordo tra Unione Europea e Stati Uniti d’America sull’accesso interfrontaliero alla digital evidence, che dovrebbero concludersi nel 2021. (M.P.)
2. Novità giurisprudenziali nazionali
In tema di intercettazioni mediante captatore informatico disposte d’urgenza dal pubblico ministero, l’inutilizzabilità degli esiti dell’attvità investigativa è prevista dall’art. 267 c.p.p. solo nel caso di mancata convalida. Dunque, una volta che la stessa intervenga, assorbendo integralmente il provvedimento originario, resta preclusa ogni discussione sulla sussistenza del requisito dell’urgenza, la cui valutazione è rimessa all’organo procedente.
In senso conforme: il principio di diritto era già stato espresso dai giudici di legittimità con più generale riferimento alle intercettazioni tra presenti fin da Corte di Cassazione, Sez. II, sentenza del 9 gennaio 2007 (ud. 4 dicembre 2006), n. 215/2007, Pres. Giuseppe Maria Cosentino – Rel. Alberto Macchia. Da ultimo, su analoga posizione si era attestata Corte di Cassazione, Sez. VI, 13 dicembre 2017 (ud. 14 settembre 2017), n. 55748/2017, Pres. Francesco Ippolito – Rel. Stefano Mogini. (M.P.)
Chiamata a sindacare la legittimità delle intercettazioni mediante captatore informatico autorizzate anteriormente all’entrata in vigore della novellata disciplina codicistica, la Corte di Cassazione ha ribadito, sulla scorta dei principi dettati dalla nota sentenza Scurato delle Sezioni Unite, che la copertura normativa a simile attività di ricerca della prova era comunque individuabile, anteriormente alla c.d. riforma Orlando (e alla c.d. riforma Bonafede), nell’art. 13 della l. 203 del 1991 di conversione del d.l. n. 152/91. Inoltre, a giudizio della Suprema Corte, sarebbe errato evincere dalla nuova disciplina delle intercettazioni l’inadeguatezza delle previsioni di cui all’art. 13, al fine della protezione e del bilanciamento dei valori di rilievo costituzionale, in relazione all’onere di motivazione “rafforzata” a supporto dei decreti di intercettazione. Invero, pur dando atto della possibile lesione dei diritti dell’individuo in conseguenza dell’impiego del trojan ai fini dell’accertamento, la Corte ha nondimeno affermato che l’attività di intercettazione per l’accertamento di reati di criminalità organizzata non è stata significativamente incisa dalla riforma delle intercettazioni. Già la sentenza Scurato, infatti, aveva rimarcato la necessità che il giudice, nel provvedimento autorizzativo, motivasse adeguatamente le proprie determinazioni, verificando che la qualificazione, pure provvisoria, del fatto come inquadrabile in un contesto di criminalità organizzata, risultasse ancorata a sufficienti, sicuri e obiettivi elementi indiziari.
Da ultimo, a parere della Corte, i risultati delle captazioni sono utilizzabili anche qualora le modalità tecniche dell’inoculazione del virus non siano esplicitate dal provvedimento autorizzativo, anche alla luce della mancata previsione di una sanzione processuale nella nuova normativa prevista dal codice di rito.
In senso conforme: Corte di Cassazione, Sez. Un. penali, 1 luglio 2016 (ud. 28 aprile 2016), n. 26889/2016, Pres. Giovanni Canzio – Rel. Vincenzo Romis.
Per approfondire: P. Felicioni, L’acquisizione da remoto di dati digitali nel procedimento penale: evoluzione giurisprudenziale e prospettive di riforma, in Proc. pen. giust., 2016, n. 5, p. 118 ss.; S. Fùrfaro, Le intercettazioni “ambulanti” nei processi di criminalità organizzata tra garanzie costituzionali ed esigenze di controllo, in Arch. pen. web, 2016, n. 2; T. Alesci, L’intercettazione di comunicazioni o di conversazioni tra presenti con il Trojan horse è ammissibile anche nei luoghi di privata dimora per i reati di criminalità organizzata, in Proc. pen. giust., 2016, n. 5, p. 28 ss.; G. Lasagni, L’uso di captatori informatici (trojans) nelle intercettazioni “fra presenti”, in Dir. pen. cont., 7 ottobre 2016; F. Cajani, Odissea del captatore informatico, in Cass. pen., 2016, p. 4139 ss.; G. Amato, Reati di criminalità organizzata: possibile intercettare conversazioni o comunicazioni con un “captatore informatico”, in Guida dir., 2016, fasc. 34-35, p. 76 ss.; W. Nocerino, Le Sezioni Unite risolvono l’enigma: l’utilizzabilità del “captatore informatico” nel processo penale, in Cass. pen., 2016, p. 3565 ss.; L. Giordano, Dopo le Sezioni Unite sul “captatore informatico”: avanzano nuove questioni, ritorna il tema della funzione di garanzia del decreto autorizzativo, in Dir. pen. cont., 20 marzo 2017; A. Camon, Cavalli di Troia in Cassazione, in Arch. n. proc. pen., 2017, n. 1, p. 97 ss. (M.P.)
Come la sentenza che precede, anche questa pronuncia ribadisce la validità dei principi espressi dalla sentenza Scurato, con particolare riguardo alla compatibilità del captatore informatico con i diritti fondamentali dell’individuo e al suo inquadramento tra i mezzi “tipici” di ricerca della prova. A integrazione e completamento del percorso argomentativo già seguito dalle Sezioni Unite, i giudici di legittimità rilevano, inoltre, che, sebbene è possibile che con il trojan horse vengano apprese conversazioni di cui è vietata la captazione (come quelle tra imputato e suo difensore) o persino si possa pervenire, in casi estremi, a esiti lesivi della dignità umana, tali situazioni non incidono “a monte” sulla legittimità del decreto, mancando a tal proposito una specifica previsione di legge, ma si riverberano, “a valle”, sulla inutilizzabilità delle risultanze di quelle specifiche intercettazioni che abbiano violato precisi divieti di legge o che, nelle loro modalità di attuazione e/o nei loro esiti, abbiano acquisito “in concreto” connotati direttamente lesivi della persona e della sua dignità. (M.P.)
La Corte di cassazione ribadisce la natura “programmatica” delle disposizioni in tema di ricerca della digital evidence, nella parte in cui prevedono che le acquisizioni di materiale digitale debbano essere compiute mediante operazioni tecniche che tutelino la genuinità e l’integrità del dato. In particolare, nel rigettare un’eccezione d’inutilizzabilità di risultanze informatiche (nella specie, si trattava di dati estratti dal sistema informatico di una Prefettura dal personale della amministrazione e poi consegnati agli investigatori), i giudici di legittimità affermano che il carattere “programmatico” dell’art. 247, comma 1-bis c.p.p. comporta, quale conseguenza in punto di diritto, che l’estrazione di dati archiviati in un supporto informatico (nella specie, da floppy disk) non costituisce accertamento tecnico irripetibile anche dopo l’entrata in vigore della l. n. 48/2008, la quale ha introdotto unicamente l’obbligo per la polizia giudiziaria di rispettare determinati protocolli di comportamento, senza prevedere alcuna sanzione processuale in caso di mancata loro adozione, potendone derivare, invece, eventualmente, soltanto effetti sull’attendibilità della prova digitale.
In senso conforme: Corte di Cassazine, sez. V penale, sentenza 21 marzo 2016 (ud. 16 novembre 2015), n. 11905, Pres. Gennaro Marasca – Rel. Grazia Lapalorcia; Corte di Cassazione, sez. II penale, 8 luglio 2015 (ud. 1 luglio 2015), n. 29061, Pres. Antonio Esposito – Rel. Piercamillo Davigo; Corte di cassazione, sez. V penale, 10 maggio 2017 (ud. 3 marzo 2017), n. 22695, Pres. Paolo Antonio Bruno – Rel. Luca Pistorelli.
Per approfondire: R. Del Coco, L’utilizzo probatorio dei dati whatsapp tra lacune normative e avanguardie giurisprudenziali, in Proc. pen. giust, 2018, p. 532 ss.; M. Pittiruti, Digital Evidence e procedimento penale, Torino, 2017. (M.P.)
Con questa pronuncia, i giudici di legittimità hanno espresso tre principi di diritto, tutti afferenti alle modalità tecniche d’impiego del captatore informatico per realizzare un’intercettazione tra presenti. In primo luogo, a parere della Suprema Corte, le questioni relative all’installazione degli strumenti tecnici per l’intercettazione in relazione all’obiettivo da intercettare non attengono alla fase autorizzativa dell'attività investigativa demandata al giudice per le indagini preliminari, né alla verifica dei presupposti di legittimità delle intercettazioni, bensì alla fase esecutiva, già coperta dall'autorizzazione a disporre le stesse intercettazioni.
In secondo luogo, la fase esecutiva è consegnata alle prerogative del pubblico ministero, il quale può delegare la polizia giudiziaria alle operazioni materiali di installazione tecnica degli strumenti (software, hardware, trojan) idonee a dar vita, in concreto, alle intercettazioni. Pertanto, eventuali modifiche degli strumenti già indicati nel decreto autorizzativo del Giudice per le indagini preliminari, come quelli da utilizzare per eseguire le captazioni, possono essere disposte dallo stesso pubblico ministero senza necessità di richiedere una nuova autorizzazione.
Da ultimo, le operazioni di collocazione e disinstallazione del materiale tecnico necessario per eseguire le captazioni mediante virus costituiscono atti materiali rimessi alla contingente valutazione della polizia giudiziaria, consentiti dalla finalità pubblica di procedere ad attivare il mezzo di ricerca della prova anche quando consistono in dispositivi informatici tramite inserimento di un software spia; l’omessa documentazione delle operazioni svolte dalla polizia giudiziaria non dà luogo ad alcuna nullità o inutilizzabilità dei risultati delle intercettazioni ambientali.
Simile assetto, secondo i giudici di legittimità, non contrasta con la riserva di legge di cui all’art. 15 Cost., giacché quest’ultima esige soltanto che siano coperti dalla riserva in parola i mezzi di ricerca della prova e non anche le loro specifiche modalità attuative, influenzate da materiali questioni pratiche o di sviluppo tecnologico.
In senso conforme: Corte di Cassazione, sez. VI penale, sentenza 24 agosto 2017 (ud. 23 giugno 2017), n. 39403, Pres. Giovanni Conti – Rel. Ersilia Calvanese; Corte di Cassazione, sez. VI, sentenza 9 ottobre 2018 (ud. 8 marzo 2018), n. 45486, Pres. Stefano Mogini – Rel. Pietro Silvestri. (M.P.)
In questa pronuncia la Suprema Corte, occupandosi di un caso di diffamazione via posta elettronica certificata, ha confermato l’orientamento secondo cui il requisito della “comunicazione con più persone” sussiste anche nell’ipotesi di invio di e-mail a contenuto diffamatorio direttamente ed esclusivamente destinato ad una sola persona determinata, quando l’accesso alla casella mail sia consentito almeno ad altro soggetto a fini di consultazione, estrazione di copia e di stampa e tale accesso plurimo sia noto al mittente o, quantomeno, prevedibile secondo l’ordinaria diligenza. Questo è quanto si verifica in ipotesi di trasmissione di un messaggio di posta elettronica al responsabile di un pubblico ufficio, salva l’esplicita indicazione di riservatezza. La Corte ha osservato che la casella di posta elettronica certificata non si differenzia da una normale casella di posta elettronica, se non per ciò che riguarda il meccanismo di comunicazione e la presenza delle ricevute inviate dai gestori PEC al mittente e al destinatario: il che non esclude la potenziale accessibilità a terzi, diversi dal destinatario, delle comunicazioni, attenendo la certificazione ai soli elementi estrinseci della comunicazione (data e ora di ricezione) e non già alla esclusiva conoscenza per il destinatario della e-mail originale. Tuttavia, l’utilizzazione della PEC richiede un rafforzato onere di motivazione riguardo l’elemento soggettivo del reato di diffamazione, in specie relativamente alla prevedibilità in concreto dell’accessibilità di terzi al contenuto dichiarativo. In tal senso, indici rivelatori possono essere desunti dalla conoscenza delle prassi in uso presso il destinatario, ovvero dalla natura stessa dell’atto, se destinato all’esclusiva conoscenza del medesimo o se, invece, finalizzato all’attivazione di poteri propri di quest’ultimo che, necessariamente, implichino l’accessibilità delle informazioni da parte di terzi.
In senso conforme: Corte di Cassazione, sez. V penale, sentenza 16 novembre 2012, (ud. 16 ottobre 2012), n.44980/2012, Pres. Gaetanino Zecca – Rel. Gerardo Sabeone; Corte di Cassazione, sez. V penale, sentenza 11 dicembre 2018, (ud. 22 ottobre 2018), n. 55386/2018, Pres. Antonio Settembre – Rel. Luca Pistorelli.
Per approfondire: L. Picotti, Profili penali delle comunicazioni illecite via Internet, in Dir. inf. inf., 1999, n. 2, p. 283 ss.; G. Corrias Lucente, Il diritto penale dei mezzi di comunicazione di massa, Padova, 2000; G. Cassano, M. Sgroi, La diffamazione civile e penale, Milano, 2011; G. De Rosa, Diffamazione tramite e-mail, aggravante del fatto commesso "col mezzo della stampa o con qualsiasi mezzo di pubblicità" ed eventuale competenza del giudice di pace: una sentenza del Tribunale di Milano, in Dir. pen. Cont., 1 marzo 2016. (C.C.)
In tema di atti persecutori ex art. 612 bis c.p. commessi nel Cyberspace, e più precisamente attraverso social network, la Corte di Cassazione ha affermato il seguente principio di diritto: la pubblicazione di post meramente canzonatori ed irridenti su una pagina Facebook accessibile a chiunque non integra la condotta degli atti persecutori di cui all’art. 612-bis c.p., mancando il requisito della invasività inevitabile connessa all’invio di messaggi “privati” (mediante SMS, Whatsapp, e telefonate), e, se rientra nei limiti della legittima libertà di manifestazione del pensiero e del diritto di critica, è legittima. (B.P.)
L’introduzione nel sistema informatico di uno Studio professionale da parte dell’ex socio, per effettuare il backup dei dati in esso inseriti, in vista dello svolgimento di una autonoma attività professionale, integra il reato di accesso abusivo ad un sistema telematico ex art. 615-ter c.p.. Seppur infatti si tratti di soggetto abilitato all’accesso in quanto dotato di password, ciò che rileva ai fini della realizzazione del reato è la finalità perseguita dall’agente, che deve essere confacente alla ratio sottesa al potere di accesso, il quale non può essere esercitato né quando violi i limiti risultanti dal complesso delle prescrizioni impartite dal titolare del sistema, né quando venga mantenuto per porre in essere operazioni di natura “ontologicamente diversa” da quelle di cui sarebbe stato incaricato ed in relazione alle quali l’accesso è a lui consentito.
In senso conforme: Corte di Cassazione, Sez. Un., sentenza 8 settembre 2017 (ud. 18 maggio 2017), n. 41210/2017, Pres. Giovanni Canzio – Rel. Piero Saviani; Corte di Cassazione, Sez. Un., sentenza 7 febbraio (ud. 27 ottobre 2011), n. 4694/2011, Pres. Lupo – Rel. Fiale.
Per approfondire: I. Salvadori, I reati contro la riservatezza informatica, in A. Cadoppi, S. Canestrari, A. Manna e M. Papa (a cura di), Cybercrime, Torino, 2019, p. 656 ss.; R. Flor, La condotta del pubblico ufficiale fra violazione della voluntas domini, “abuso” dei profili autorizzativi e “sviamento di poteri”, in Dir. Pen. Proc., 2018, n. 4, p. 506 ss.; R. Flor, Verso una rivalutazione dell’art. 615-ter c.p.? in Riv. Trim. Dir. Pen. Cont., 2011, p. 126 ss.; I. Salvadori, Quando un insider accede abusivamente ad un sistema informatico o telematico? Le Sezioni Unite precisano l’ambito di applicazione dell’art. 615-ter c.p., in Riv. Trim. Dir. Pen. Economia, 2012, p. 369 ss. (B.P.)
Con questa pronuncia, la Corte di cassazione è tornata ad affrontare il tema dell’acquisizione della digital evidence, fornendo importanti chiarimenti sulle modalità tecniche e sui limiti del sequestro di materiale informatico. Segnatamente, i giudici di legittimità hanno affermato che, qualora il sequestro sia realizzato attraverso l’ablazione “fisica” delle memorie, occorre, in primo luogo, creare una copia integrale (nelle parole della Corte, “copia-mezzo”) del contenuto della strumentazione appresa, funzionale alla restituzione di quest’ultima al legittimo titolare. Successivamente, la copia integrale così ottenuta deve essere sottoposta ad analisi per selezionare i contenuti informativi pertinenti al reato per cui si procede. All’esito di tale selezione, la copia integrale va restituita agli aventi diritto, giacché essa non rileva, di per sé, quale cosa pertinente al reato, trattandosi di «un insieme di dati indistinti e magmatici». Pertanto, la pubblica accusa può trattenere la copia integrale soltanto per il tempo strettamente necessario all’operazione di selezione, dovendo, di conseguenza, predisporre un’adeguata organizzazione per compiere tale attività nel più breve tempo possibile.
Più in generale, quanto ai limiti del sequestro informatico, i giudici di legittimità hanno affermato che, per essere legittimo, il provvedimento ablativo deve essere improntato al rispetto dei principi di adeguatezza e proporzionalità. Dunque, seppure sia astrattamente possibile ipotizzare sequestri omnibus di strumentazione informatica e telematica, il pubblico ministero deve specificamente motivare, in sede di decreto ex art. 253 c.p.p., in ordine al nesso di pertinenza tra bene appreso e ipotesi investigativa, in relazione alla tipologia di operazioni tecniche da svolgere sul dato e con riguardo alla durata temporale del vincolo.
In senso conforme: Corte di Cassazione, sez. VI penale, sentenza 28 aprile 2020 (ud. 4 marzo 2020), n. 13165/2020, Pres. Giorgio Fidelbo – Rel. Massimo Ricciarelli; Corte di Cassazione, sez. VI penale, sentenza 17 luglio 2019 (ud. 2 luglio 2019), n. 31593, Pres. Stefano Mogini – Rel. Ercole Aprile; Corte di Cassazione, sez. VI penale, sentenza 26 settembre 2019 (ud. 24 ottobre 2019), n. 43556, Pres. Andrea Tronci – Rel. Ercole Aprile.
Per approfondire: L. Nullo, Sequestro probatorio di materiale documentativo e principi di adeguatezza e proporzionalità, in Proc. pen. giust., 2020, p. 660 ss.; M. Pittiruti, Adeguatezza e proporzionalità nel sequestro di un sistema informatico, in Dir. internet, 2019, p. 777 ss. (M.P.)
Il delitto di frode informatica di cui all'art. 640-ter c.p. ha la medesima struttura ed i medesimi elementi costitutivi della truffa, dalla quale si differenzia solamente perché l'attività fraudolenta dell'agente investe non la persona, di cui difetta l'induzione in errore, bensì il sistema informatico di pertinenza di quest'ultima attraverso la sua manipolazione, onde, come la truffa, si consuma nel momento e nel luogo in cui l'agente consegue l'ingiusto profitto con correlativo danno patrimoniale altrui. In particolare, quando il profitto è conseguito mediante accredito su carta di pagamento ricaricabile (nella specie “Postepay”), il tempo e il luogo di consumazione del reato di truffa sono quelli in cui la persona offesa ha proceduto al versamento del denaro sulla carta, atteso che tale operazione, in ragione della sua irrevocabilità, realizza contestualmente sia l'effettivo conseguimento del bene da parte dell'agente - che ottiene l'immediata disponibilità della somma versata, e non un mero diritto di credito - sia la definitiva perdita dello stesso bene da parte della vittima.
In senso conforme: Corte di Cassazione, Sez. II penale, sentenza 17 marzo 2020 (ud. 5 febbraio 2020) n. 10354/2020, Pres. Giovanni Diotallevi – Rel. Sandra Recchione; Corte di Cassazione, Sez. II penale, sentenza 21 novembre 2016 (ud. 25 ottobre 2015) n. 49321/2016, Pres. Piercamillo Davigo – Rel. Cosimo D’Arrigo. (B.P.)
In materia di sexting, la Cassazione conferma l’orientamento secondo cui risponde del reato di produzione di materiale pedopornografico ex art. 600-ter c. 1 n. 1 c.p. colui che, pur non realizzando materialmente la condotta di produzione del materiale, trattandosi di autoscatti realizzati da un minore, abbia istigato o indotto il minore stesso a farlo, facendo sorgere in questi il relativo proposito, prima assente, ovvero rafforzando l'intenzione già esistente, ma non ancora consolidata, in quanto tali condotte costituiscono una forma di manifestazione dell'utilizzazione del minore, che implica una strumentalizzazione del minore stesso, sebbene l'azione sia posta in essere solo da quest'ultimo.
In senso conforme: Corte di Cassazione, Sez. III penale, sentenza 18 aprile 2019 (ud. 18 aprile 2019) n. 26862/2019, Pres. Vito Di Nicola – Rel. Stefano Corbetta.
Per approfondire: L. Picotti, La pedopornografia nel Cyberspace: un opportuno adeguamento della giurisprudenza allo sviluppo tecnologico ed al suo impatto sociale, in Diritto di Internet, 2019, n. 1, pp. 177-192.; I. Salvadori, Sexting, minori e diritto penale, in A. Cadoppi, S. Canestrari, A. Manna, M. Papa (a cura di), Cybercrime, Torino, 2019, p. 567 ss.; I. Salvadori, I minori da vittime ad autori di reati di pedopornografia? Sui controversi profili penali del sexting, in Ind. pen., 2017, n. 3, p. 789 ss. (B.P.)
In questa pronuncia la Suprema Corte ha analizzato il rapporto tra i reati di violazione di corrispondenza ex art. 616 c.p. e intercettazione delle comunicazioni di cui all’art. 617-quarter c.p., evidenziando che non possono concorrere tra loro in quanto i loro ambiti operativi sono differenti. Infatti, nell’ambito dell’art. 616 c.p. il termine “corrispondenza” risulta funzionale ad individuare la comunicazione nel suo profilo “statico”, vale a dire il pensiero, già comunicato o da comunicare, fissato su un supporto fisico o comunque rappresentato in forma materiale, mentre nell’art. 617-quater c.p. tale termine non comprende ogni forma di comunicazione, ma assume un significato più ristretto, riferibile alla comunicazione nel suo momento “dinamico”, ossia in fase di trasmissione, come si ricava anche dai termini impiegati per definire la condotte alternative a quella di intercettazione, ovvero “impedisce” e “interrompe”. Ne consegue che se le mail vengono intercettate e poi divulgate nel momento in cui la loro trasmissione è in corso non si configura il reato di cui all’art. 616, poiché il co. 4 della medesima disposizione si riferisce alla divulgazione della corrispondenza di cui al comma 1, ossia di quella “statica”.
Per approfondire: I. Salvadori, I reati contro la riservatezza informatica, in A. Cadoppi, S. Canestrari, A. Manna, M. Papa (a cura di), Cybercrime, Torino, 2019, p. 656 ss.; L. Picotti, Sistematica dei reati informatici, tecniche di formulazione legislativa e beni giuridici tutelati, in Id. (a cura di), Il diritto penale dell’informatica nell’epoca di Internet, Padova, 2004, p. 21 ss. (C.C.)
3. Novità legislative e normative nazionali
È stata pubblicata nella Gazzetta Ufficiale n. 300 del 3 dicembre 2020 la Legge 27 novembre 2020, n. 159, approvata il 25 novembre scorso dalla Camera, di conversione in legge, con modificazioni, del D.L. 7 ottobre 2020, n. 125, recante misure urgenti connesse con la proroga della dichiarazione dello stato di emergenza epidemiologica da COVID-19 e per la continuità operativa del sistema di allerta COVID, nonché per l'attuazione della direttiva (UE) 2020/739 del 3 giugno 2020. La legge di conversione ha aggiunto all’art. 1 del citato decreto un inedito co. 4-undecies, che, in considerazione della crescente diffusione dell'accesso ai servizi finanziari in modalità digitale da parte di cittadini e imprese durante l'emergenza epidemiologica da COVID-19, prevede nuove disposizioni in materia di servizi finanziari. In particolare, modifica l’art. 36 del D.L. n. 34 del 2019 (cd. Decreto Crescita), convertito nella Legge n. 58 del 2019, i cui commi dal 2-bis al 2-decies mirano a creare uno spazio tecnico-normativo sperimentale per le imprese del settore finanziario che operano attraverso la tecnologia (settore cd. Fintech), con una regolamentazione semplificata, ma garantendo un livello di protezione adeguato per gli investitori. La nuova norma del D.L. posticipa al 31 gennaio 2021 il termine per regolamentare l’avvio della sperimentazione, ne amplia la durata massima potenziale, che potrà essere prorogata per ulteriori dodici mesi, e stabilisce che i regolamenti devono definire i limiti di operatività, i casi in cui un'attività possa essere ammessa a sperimentazione e i casi in cui possa dirsi consentita una proroga. Inoltre, è stato sostituito quasi interamente il comma 2-sexies dell'art. 36 cit., che stabilisce ora che la Banca d'Italia, la Consob e l’Ivass, nell’ambito delle proprie competenze e delle materie seguite, adottano i provvedimenti per l'ammissione alla sperimentazione, ed ogni altra iniziativa propedeutica. Nel rispetto della normativa inderogabile dell'Unione Europea, si stabilisce poi che l’ammissione alla sperimentazione potrà comportare la deroga o la disapplicazione temporanee degli orientamenti di vigilanza o degli atti di carattere generale emanati dalle autorità di vigilanza, nonché delle norme o dei regolamenti emanati dalle medesime autorità nella specifica materia. Invece, per quanto riguarda le attività della Banca d'Italia, della Consob e dell'Ivass relative alla sperimentazione si prevede l’applicazione delle norme sulla collaborazione fra autorità e sul segreto d’ufficio. Infine, con riferimento alla possibile responsabilità civile delle autorità di vigilanza, si prevede che la colpa grave venga valutata tenendo conto anche del carattere innovativo e sperimentale dell'attività oggetto di sperimentazione. (C.C.)
Il Rapporto sull’applicazione della Legge 96/2019: un anno di “Codice Rosso”
È stato pubblicato sul sito del Ministero della Giustizia il rapporto sull’applicazione della Legge 69/2019, che ha apportato «modifiche al codice penale, al codice di procedura penale e altre disposizioni in materia di tutela delle vittime di violenza domestica e di genere» (c.d Codice Rosso). Il rapporto si prefigge di fornire un primo quadro di informazioni relative all’applicazione della riforma sia con riferimento ai nuovi reati introdotti, che con riguardo ai corrispondenti elementi processuali di rilievo in termini di denunce, pendenze e condanne. Tra i dati maggiormente significativi, si segnala che nel periodo compreso tra il 1° agosto 2019 e il 31 luglio 2020 risultano essere stati iscritti ben 1083 procedimenti per il nuovo reato di diffusione illecita di immagini o video sessualmente espliciti (art. 612-ter c.p.).
Con riguardo, dunque, ai nuovi reati introdotti dal c.d. Codice Rosso, sulla base dei flussi procedimentali, emerge che le nuove fattispecie rispondono ad una reale esigenza sociale se si considera l’elevato numero di procedimenti iscritti rilevati nel primo anno. In particolare, il dato corposo delle iscrizioni di notizie di reato e quello dei procedimenti già approdati alla condanna in primo grado, consentono di rilevare l’utilità concreta dell’approccio basato sull’introduzione dei nuovi reati e sulla corsia preferenziale garantita, unitamente all’ascolto della persona offesa, perché capaci di descrivere tecnicamente e di perseguire concretamente comportamenti diffusi e connotati da particolare disvalore. Il dato complessivo delle richieste di rinvio a giudizio riguardanti i nuovi reati appare significativo dell’opportunità dell’intervento normativo del cd. Codice Rosso, in mancanza del quale le gravi condotte ivi tipizzate non avrebbero avuto risposta adeguata. (B.P.)
È stato pubblicato il provvedimento del Direttore Generale dei Sistemi Informativi Automatizzati che, in attuazione dell’art. 23, co. 2, 4, 5 e 9 del D.L. 28 ottobre 2020, n. 137, individua gli strumenti di partecipazione a distanza per lo svolgimento delle udienze civili, delle udienze penali e degli atti di indagini preliminari, nonché i sistemi telematici per le comunicazioni o notificazioni relative agli avvisi ed ai provvedimenti adottati nei procedimenti penali ai sensi dell’art. 83, commi 13, 14 e 15, D.L. n. 18/2020. In particolare, si prevedono quattro strumenti di partecipazione a distanza per lo svolgimento delle udienze penali e degli atti delle indagini preliminari. Per le comunicazioni e le notificazioni relative agli avvisi e ai provvedimenti adottati nei procedimenti penali, invece, si prevede l’utilizzo del Sistema di notificazioni e comunicazioni telematiche penali di cui alla Circolare 11 dicembre 2014, nonché del sistema ministeriale PEC TIAP-Document@ di cui ai provvedimenti DGSIA n. 1593.U del 26 gennaio 2016 e n. 19717.U del 29.9.2016. Inoltre, si assicura un collegamento riservato per il colloquio tra imputato e difensore. (C.C.)
In data 4 novembre 2020 è stato pubblicato il provvedimento del Direttore Generale dei Sistemi Informativi Automatizzati del Ministero della Giustizia, col quale è stato individuato il portale del processo telematico di cui all’art. 24, comma 1, D.L. n. 137/2020 e sono state stabilite le modalità telematiche di deposito di memorie, documenti, richieste e istanze indicate dall'art. 415-bis, comma 3, c.p.p. presso gli uffici del Pubblico Ministero. In particolare, si prevede che per il deposito degli atti di cui all’art. 1, comma 2, del presente provvedimento si debba utilizzare esclusivamente il Portale Deposito atti Penali di cui al provvedimento direttoriale n. 5477 dell’11 maggio 2020 (C.C.)
I consigli del Garante Privacy sulla pubblicazione di immagini online e tutela della privacy
Il 24 novembre 2020 il Garante della Privacy ha diffuso un vademecum coi consigli per gli utenti che decidono di pubblicare online immagini o video propri o che ritraggano anche altre persone, con particolare riguardo alla gestione dei tag a proprio nome associati a foto o immagini. Il Garante invita principalmente gli utenti a pubblicare immagini ritraenti altre persone solo dopo aver ottenuto il loro consenso, soprattutto prima di inserire l’apposito tag col loro nome. Inoltre, consiglia di controllare le autorizzazioni in merito alla possibilità di accesso alle proprie immagini e di controllare i tag a proprio nome associati a foto o immagini. (C.C.)
4. Segnalazioni bibliografiche
Agostino L., Art. 24 del decreto “ristori”: l'interpretazione restrittiva della Cassazione in tema di deposito telematico degli atti durante il periodo emergenziale, in questa Rivista, 2 dicembre 2020
Andolina E., La raccolta dei dati relativi alla localizzazione del cellulare ed al traffico telefonico tra inerzia legislativa e supplenza giurisprudenziale, in Arch. pen. web, 17 dicembre 2020
Caccavella D.E., Ferrazzano M., L’accertamento dei reati attraverso i tabulati telefonici, in Dir. internet, 2020, n. 4, p. 751 ss.
Caterini M., Il giudice penale robot, in La legislazione penale, 19 dicembre 2020
Daniele M., L’illusione di domare il captatore informatico, in La legislazione penale, 24 novembre 2020
Gennari G., Oscillazioni neuro...scientifiche: test a-IAT e macchina della verità, in questa Rivista, 10 dicembre 2020
Gialuz M., Della Torre J., D.l. 28 ottobre 2020, n. 137 e processo penale: sulla “giustizia virtuale” servono maggiore cura e consapevolezza, in questa Rivista, 9 novembre 2020
Giostra G., La nuova tutela della privacy ovvero l'assai scadente traduzione giuridica di un proponimento condivisibile, in questa Rivista,11 dicembre 2020
Gramuglia V., La natura (ir)ripetibile dell’attività d’indagine sul reperto digitale, in Dir. internet, 2020, n. 4, p. 692 ss.
Maestri E., Giustizia digitale. Tecnologia cyber-giudiziaria e accesso alla giustizia nell’era della digitalizzazione, in Arch. pen. web, 26 dicembre 2020
Marshall, P., Christie, J., Ladkin, B., Littlewood, B. , Mason, S., Newby, M., Rogers, J., Thimbleby, H. and Thomas, M., Recommendations for the probity of computer evidence, in Digital Evidence and Electronic Signature L. Rev., 18, 2021, p. 18 ss.
Monzillo B., L’utilizzazione in altri procedimenti dei risultati di intercettazioni eseguite mediante captatore informatico tra Sezioni Unite e novelle, in Dir. internet, 2020, n. 4, p. 716 ss.
Polidoro D., Tecnologie informatiche e procedimento penale: la giustizia penale “messa alla prova” dall’intelligenza artificiale, in Arch. pen. web, 2020, 16 novembre 2020
Procaccino A., Le nuove investigazioni nei reati corruttivi informatici, in Dir. pen. proc., 2020, n. 12, p. 1623 ss.
Rosani D., Cessione di immagini pedopornografiche autoprodotte ('selfie'): la Cassazione rivede la propria lettura dell’art. 600-ter c.p., in questa Rivista, 4 dicembre 2020
Rueda Martìn A.M., La confidencialidad, integridad y disponibilidad de los sistemas de información como bien jurídico protegido en los delitos contra los sistemas de información en el código penal español, in Dir. pen. cont. – Riv. trim., 2020, n. 3, p. 199 ss.
Soriano O.F., The (Future) European Electronic Evidence Delivery Order, in The Journal of Applied Business and Economics, vol. 22, fasc. 8, 2020, pp. 194-204.
Ubertis G., Intelligenza artificiale, giustizia penale, controllo umano significativo, in questa Rivista, 11 novembre 2020.