I trojan ed il Re d’Inghilterra – Il captatore informatico e i trojan di Stato

William Pitt il vecchio, conte di Chatham, in un discorso tenuto alla House of Lords nel lontano 1763 disse: “The poorest man may in his cottage bid defiance to all the forces of the Crown. It may be frail: its roof may shake, the wind may blow through it, the storm may enter, the rain may enter, but the King of England cannot enter! All his force dares not cross the threshold of the ruined tenement!”.

A meno di un secolo dalla codificazione dell’habeas corpus, consacrato nel Bill of Rights scaturito dalla Gloriosa Rivoluzione inglese del 1688-89, l’Inghilterra proclamava e riconosceva come fondamentale anche il diritto all’inviolabilità del domicilio dei suoi sudditi.

Tale libertà fondamentale, uno dei pilastri del moderno Stato di diritto, in Italia trova protezione nell’art.14 della Carta costituzionale ma, nonostante l’elevata tutela formale, nel corso degli ultimi due decenni, una assai poco lungimirante interpretazione giurisprudenziale da un lato ha ristretto il livello di tutela effettiva garantita ai cittadini con riferimento al domicilio fisico, dall’altro ha omesso di estendere qualsivoglia copertura costituzionale al concetto di domicilio informatico.

Per quanto concerne il domicilio fisico, il richiamo va alla sentenza Prisco emessa dalla Corte di Cassazione nel 2006 ed alla pronuncia della Corte Costituzionale n.149/2008 .

Con la prima delle due decisioni, le Sezioni Unite della nostra Corte Suprema hanno ridefinito il concetto di domicilio costituzionalmente protetto, affermando che la tutela di cui all’art.14 Cost. scatta solo in relazione a luoghi che possano considerarsi in assoluto inaccessibili ai terzi (tale sarebbe, ad esempio, un’abitazione ma non una toilette pubblica). Laddove, invece, le caratteristiche del luogo non consentano di individuare un rapporto esclusivo tra il luogo stesso ed una specifica persona, la copertura costituzionale sarà garantita solo in termini di riservatezza ai sensi dell’art. 2 della nostra Carta fondamentale (la cui tutela è molto limitata perché non assistita dalla doppia riserva di legge e di giurisdizione).

Sul concetto di domicilio fisico è successivamente intervenuta anche la Corte Costituzionale ristringendone ulteriormente l’area di protezione e con essa della sua inviolabilità, sostenendo che “… affinché scatti la protezione dell’art. 14 Cost., non basta che un certo comportamento venga tenuto in luoghi di privata dimora; ma occorre, altresì, che esso avvenga in condizioni tali da renderlo tendenzialmente non visibile ai terzi. Per contro, se l’azione – pur svolgendosi in luoghi di privata dimora – può essere liberamente osservata dagli estranei, senza ricorrere a particolari accorgimenti (paradigmatico il caso di chi si ponga su di un balcone prospiciente la pubblica via), il titolare del domicilio non può evidentemente accampare una pretesa alla riservatezza”.

Le garanzie di cui all’art.14 Cost., dunque, secondo la più recente giurisprudenza delle nostre corti superiori, non si applicano ad un concetto oggettivo di domicilio fisico, mutuato dal disposto di cui all’art.614 c.p. (violazione di domicilio) che comprende abitazioni, private dimore e relative appartenenze, bensì ad una concezione soggettiva di domicilio, intendendo come tale solo il luogo rispetto al quale una persona possa vantare un rapporto esclusivo ed escludente i terzi in termini assoluti e sempre che detto luogo non sia liberamente visibile dall’esterno (tale non sarebbe dunque un cortile o un balcone sebbene essi siano pacificamente qualificabili, sia per il diritto civile che per quello penale, come pertinenze).

Le sentenze in tema di captatori informatici incidono ancor più profondamente il solco già tracciato, da un lato confermando tali precedenti quanto al domicilio fisico, dall’altro omettendo qualsiasi valutazione sull’uso investigativo dei trojan in termini di potenziale violazione del domicilio informatico.

La prima pronuncia in materia risale al 2009. La fattispecie oggetto di giudizio riguardava un trojan atto a rilevare i file memorizzati nel PC in uso all’indagato presso l’ufficio pubblico in cui lavorava. Il captatore in questione, sebbene in grado di effettuare un monitoraggio occulto e continuativo (è stato in esecuzione per ben otto mesi!) dell’attività di memorizzazione eseguita sul PC infettato, era un malware dalle capacità assai più limitate rispetto ai trojan utilizzati dalle Procure negli ultimissimi anni, atteso che poteva eseguire una sola specifica funzione e non era controllabile da remoto. L’arresto del 2009, tuttavia, è particolarmente interessante perché incardina il principio, poi avallato dalla successiva giurisprudenza di legittimità, secondo cui la potenziale lesione del diritto all’inviolabilità del domicilio non concerne affatto il domicilio informatico, ma solo quello fisico. La Corte di Cassazione, infatti, nel caso di specie, respingeva la tesi difensiva volta a far dichiarare l’inutilizzabilità ex art.191 c.p.p. della prova acquisita tramite il captatore come prova incostituzionale in quanto non vi sarebbe stata nessuna violazione dell’art.14 Cost. semplicemente perché il PC su cui era stato installato il trojan non si trovava in un luogo di privata dimora bensì in un luogo di lavoro aperto al pubblico.

Le più recenti sentenze della Corte di Cassazione – Sezioni Unite n.26889/16 e la successiva pronuncia n.27404/16 – sviluppano percorsi logico-argomentativi analoghi.

Come noto, le Sezioni Unite hanno sancito la legittimità, limitatamente ai procedimenti di criminalità organizzata, dell’uso dei captatori informatici per effettuare intercettazioni di conversazioni tra presenti nei luoghi di privata dimora.

A suffragio di tale assunto, i Giudici di legittimità hanno fornito una motivazione giuridica strettamente ancorata al concetto di domicilio fisico previsto dall’art.13, D.L. 13 maggio 1991, n.132, convertito con modificazioni nella legge 12 luglio 1991, n.203, in base al quale, quando si tratta di intercettazione di comunicazioni tra presenti disposta in un procedimento relativo a un delitto di criminalità organizzata che avvenga nei luoghi indicati dall’articolo 614 del codice penale, l’intercettazione è consentita anche se non vi è motivo di ritenere che in tali luoghi si stia svolgendo l’attività criminosa, condizione invece da rispettare, ai sensi dell’art.266, ult. co., c.p.p., con riferimento alle intercettazioni ambientali in generale.

Con la sentenza n.27404/16 la sesta sezione penale della Corte ha compiuto un ulteriore passo in direzione dell’esclusione di qualsiasi tutela del domicilio fisico ritenendo legittime le intercettazioni ambientali a mezzo trojan eseguite su di un dispositivo intestato all’indagato, ma in uso a soggetti terzi (nel caso di specie si trattava di intercettazioni ambientali eseguite mediante un captatore installato sul telefono cellulare di un indagato rimasto nelle mani della moglie dopo il suo arresto), sostenendo che le intercettazioni debbono considerarsi riferite al reato e non ad una specifica persona sottoposta ad indagini.

La giurisprudenza in tema di captatori informatici, dunque, si è barricata dietro un’interpretazione letterale delle norme processuali poste a presidio del domicilio fisico e relative deroghe, senza (pre)occuparsi di esaminare se il particolare mezzo di ricerca della prova usato dalle Procure potesse comportare un’eventuale, ben più grave, lesione dei diritti fondamentali dei cittadini con riferimento al loro domicilio informatico.

I giudici di legittimità non hanno, infatti, mai affrontato le peculiarità dello strumento di indagine utilizzato. Sebbene, come noto, l’introduzione di un trojan in un dispositivo elettronico consenta agli inquirenti di assumere il totale controllo da remoto dell’apparecchio infettato con conseguente possibilità di accedere a tutto il suo contenuto (contatti, e-mail, dati di navigazione, comunicazioni telefoniche, chat, file, foto, etc.), storico e live, l’unica funzione presa in esame dalla Cassazione è stata quella che consente, attivandone da remoto il microfono, di trasformare il device in una “cimice”. In sintesi, dopo aver riduttivamente qualificato i device infettati da un trojan alla stregua di una qualsiasi microspia ambientale, la Corte ha risolto la questione giuridica sottesa al loro utilizzo semplicemente applicando i vigenti canoni processual-penalistici.

La Cassazione, rinunciando a prendere in esame le caratteristiche peculiari dei captatori, non ha minimamente analizzato il fatto che, in questo tipo di indagini, la violazione del domicilio fisico è secondaria ed indiretta rispetto alla violazione del domicilio informatico che inevitabilmente la precede e la determina.

Eppure il concetto di domicilio informatico non è affatto avulso dal nostro ordinamento giuridico.

Già nella relazione alla legge 23 dicembre 1993, n.547, la cd. legge sui computer crime, il legislatore lo definiva come un’estensione del domicilio materiale ed i sistemi informatici venivano a loro volta qualificati come “un’espansione ideale dell’area di rispetto pertinente al soggetto interessato, garantito dall’art.14 della Costituzione”.

Più di recente, il domicilio informatico ha trovato riconoscimento, seppure in via di puro principio, nella Dichiarazione dei diritti in internet, adottata dalla Commissione per i diritti e i doveri in Internet istituita presso la Camera dei Deputati il 28 luglio 2015, il cui articolo 7, titolato “Diritto all’inviolabilità dei sistemi, dei dispositivi e domicili informatici”, prevede che i sistemi e i dispositivi informatici di ogni persona e la libertà e la segretezza delle sue informazioni e comunicazioni elettroniche sono inviolabili, salvo deroghe disciplinate per legge ed autorizzazione motivata. È noto che la Dichiarazione non ha valore di norma cogente, ma astrattamente si tratta di una tutela molto forte in quanto alla riserva di legge prevista dall’art.14 Cost. viene affiancata una riserva di giurisdizione, attualmente garantita dalla nostra Carta fondamentale solo a presidio della libertà individuale e di comunicazione.

Anche la relazione di accompagnamento alla proposta di legge Quintarelli che si propone di regolamentare l’uso giudiziario dei captatori informatici, presentata lo scorso 31 gennaio alla Camera, fa riferimento al domicilio informatico definendolo come “quello spazio immateriale, delimitato da informazioni, nel quale una persona esplica attività legate alla vita privata e di relazione, e dall’accesso al quale il titolare ha diritto di escludere terzi”.

Noi siamo, oggi, non solo corpo fisico ma anche corpo digitale: quest’ultimo rappresenta una dimensione nuova del nostro io, una dimensione reale, inevitabile ed irreversibile.

Il nostro corpo digitale è costituito ed alimentato dai dati personali che ci riguardano pubblicati da noi stessi o da altri sul Web, è un corpo che vive in domicili digitali, rappresentati dai nostri smartphone, dai nostri tablet e dai nostri computer ed è un corpo che comunica nel mondo digitale attraverso le reti di Internet.

La nostra Costituzione riconosce i diritti fondamentali dell’uomo sancendo l’inviolabilità del corpo fisico (art.13), del domicilio (art.14), della corrispondenza e di ogni altra forma di comunicazione (art.15). La Carta dei diritti fondamentali dell’Unione europea, di più giovane concezione, riconosce anche il diritto alla vita privata e familiare (art.7) ed alla protezione dei dati personali (art.8).

E’ tempo che il nostro legislatore, ma soprattutto la giurisprudenza, comincino a declinare tali diritti fondamentali anche nella loro accezione digitale.

Altrimenti il Re d’Inghilterra (lo Stato) continuerà a non poter entrare nelle nostre case, ma vento, pioggia e trojan sì. Solo che i trojan, a differenza del vento e della pioggia, li manda il Re!

A cura di: Monica A. Senor

 

Profilo Autore

Monica A. Senor è avvocato penalista del Foro di Torino, con specializzazione in diritto penale delle nuove tecnologie, privacy e data protection.
E' fellow di NEXA, il Centro per Internet & Società del Politecnico di Torino, membro della Commissione informatica dell'Ordine degli avvocati di Torino, del comitato scientifico dello CSIG, Centro studi di informatica giuridica Ivrea-Torino e del CSPT, Centro Studi per il Processo Telematico.
Ha partecipato, quale relatore, a numerosi convegni nelle materie di specializzazione e tiene corsi di formazione ed aggiornamento professionale alla classe forense.

Condividi sui Social Network:

Articoli simili