Topics

Cyber-Investigation

Legge 20 novembre 2017, n. 167 Disposizioni per l’adempimento degli obblighi derivanti dall’appartenenza dell’Italia all’Unione europea – Legge europea 2017

L’articolo 24 fissa in settantadue mesi il termine di conservazione dei dati di traffico telefonico e telematico, nonché dei dati relativi alle chiamate senza risposta, al fine di garantire strumenti di indagine efficaci a fronte delle straordinarie esigenze di contrasto al fenomeno del terrorismo, anche internazionale.

Article 24 sets a seventy-two months deadline for the retention of telephone /telematic data and unanswered calls data, in order to ensure effective investigative tools in response to the extraordinary needs of countering the phenomenon of national and international terrorism.

Corte di Giustizia dell’Unione europea, 8 aprile 2014, cause riunite C-293/12 e C-594/12, Digital Rights Ireland Ltd/Minister for Communications, Marine and Natural Resources e altri; Kärntner Landesregierung e altri

A commento R. Flor

 La Corte ha dichiarato non valida la direttiva europea 2006/24/CE che impone agli operatori di telefonia di memorizzare i dati di traffico per un periodo che va dai 6 mesi ai 2 anni e consente alle competenti autorità di potervi accedere, proprio per violazione del principio di proporzionalità nel bilanciamento tra diritto alla protezione dei dati personali ed esigenze di pubblica sicurezza.

La violazione del principio di proporzionalità deriverebbe, secondo la Corte, dall’avere la direttiva: 1) previsto le misure di conservazione dei dati come applicabili in via indifferenziata e generalizzata all’insieme degli individui, dei mezzi di comunicazione elettronica e dei dati relativi al traffico, senza che venga operata alcuna differenziazione, limitazione o eccezione in ragione dell’obiettivo della lotta contro i reati gravi; 2) omesso di prevedere un criterio oggettivo che limiti l’accesso a tali dati per sole esigenze di accertamento di reati sufficientemente gravi da giustificare una simile ingerenza; 3) omesso di sancire i presupposti sostanziali e procedurali ai quali subordinare l’accesso, da parte delle competenti autorità nazionali, ai dati in esame, in particolare non richiedendo in ogni caso il previo controllo dell’autorità giudiziaria o di un’autorità amministrativa indipendente; 4) omesso di prevedere criteri necessari a differenziare la durata della conservazione dei dati, limitandosi a stabilirne i soli termini minimi e massimi; 5) omesso di imporre che i dati così acquisiti siano conservati nel solo territorio della Ue.

Anche il settore del contrasto al crimine quindi, pur ammettendo in astratto per esigenze di interesse generale connesse alla pubblica sicurezza maggiori limitazioni alle libertà individuali, non sfugge al controllo di proporzionalità: le restrizioni dei diritti fondamentali non possono essere previste in maniera indifferenziata rispetto a qualsiasi reato ma richiedono l’autorizzazione dell’autorità giudiziaria sulla base di una previsione legislativa che le disciplini in modo differenziato in base al tipo di delitto, alle esigenze investigative, al tipo di dato e di mezzo di comunicazione utilizzato.

Gli obblighi di archiviazione e di controllo dei dati di traffico telematico e telefonico, pur non permettendo l’accesso al contenuto delle conversazioni, forniscono comunque indicazioni importanti sulle comunicazioni intrattenute che comportano una forte ingerenza nella vita privata dei cittadini e, avvenendo la conservazione e il successivo utilizzo dei dati a loro saputa, «ingenerano la sensazione che la loro vita privata sia oggetto di costante sorveglianza».

La Corte di giustizia dell’Unione europea quindi ha sottolineato la non neutralità dei dati di traffico e la pericolosità cui è esposta la vita privata nel caso di una indifferenziata conservazione di questi dati per periodi molto lunghi, rafforzando la tutela della riservatezza.

Cyber-Investigation & Trojan

D.lgs. 29 dicembre 2017, n. 216 

Corte di Cassazione, sez. V penale, 15 maggio 2018 (ud. 13 dicembre 2017), n. 21521/2018, Pres. Grazia Lapalorcia, Rel. Eduardo De Gregorio

Sussistendo il “fumus commissi delicti” ed il “periculum in mora”, il sequestro preventivo (tramite l’imposizione al fornitore dei servizi internet dell’oscuramento di una risorsa elettronica o l’impedimento dell’accesso agli utenti ai sensi degli artt. 14, 15 e 16 D.Lgs. n. 70/2003.), di un sito web o di una pagina telematica per mezzo dei quali è stata commessa diffamazione deve considerarsi legittimo.

Assuming the “fumus commissi delicti” and “periculum in mora”, the preventive seizure (through the imposition to the ISP of the obscuration of an electronic resource or impeding the access to users in accordance with articles 14 , 15 and 16 of Legislative Decree No. 70/2003), of a website or of a telematic page  through which defamation has been committed, must be considered legitimate.

 Corte di Cassazione, sez. V penale, 22 febbraio 2018 (ud. 16 gennaio 2018), n. 8736/2018 , Pres. Maurizio Fumo, Rel. Francesca Morelli

La copia cartacea delle schermate telematiche di un sito internet può costituire prova documentale anche in assenza di una vidimazione notarile. Come tutti i dati informatici essa è soggetta alla libera valutazione del giudice ed è onere della parte che ne abbia interesse dimostrarne l’eventuale alterazione.

The hard copy of a website screenshots can constitute documentary proof even in the absence of a notarial validation. As any computer data, this is subject to the free evaluation by the judge and it is the responsibility of the interested party to demonstrate its possible altera

Corte di Cassazione, sez. V penale, 22 febbraio 2018 (ud. 16 gennaio 2018), n. 8736/2018 – Pres. Maurizio Fumo, Est. Francesca Morelli

L’estrazione dei dati archiviati in un supporto informatico non costituisce accertamento tecnico irripetibile ma operazione meramente meccanica che non deve essere assistita da particolari garanzie.

The extraction of the data stored in a computer does not constitute unrepeatable technical assessment but merely a mechanical operation that must not be backed by particular guarantees.

Corte di Cassazione, sez. III penale, 21 febbraio 2018 (ud. 26 settembre 2017), n. 8409/2018 – Pres. Vito Di Nicola, Est. Angelo Matteo Socci

La Corte conferma il proprio orientamento secondo cui, in tema di intercettazioni telefoniche, ove la registrazione sia avvenuta nei locali della Procura, l’ascolto può avvenire “in remoto” presso gli uffici della polizia giudiziaria senza l’autorizzazione di cui all’art. 268 c.p.p., e la “masterizzazione delle registrazioni”, in quanto operazione estranea alla nozione di “registrazione”, può essere svolta anche da soggetti diversi dagli ufficiali di polizia giudiziaria.

The Court confirms its orientation according to which, on the subject of wiretapping, if the registration has taken place at the Public Prosecutor’s Office, the listening from “remote” can take place at the police authority offices, without the authorization ex art. 268 c.p.p., and the “burning of registrations”, as an operation which is not part of the concept of “registration”, may also be performed by persons other than the police authority.

Corte di Cassazione, sez. I penale, 19 febbraio 2018 (ud. 13 dicembre 2017), n. 7966/2018 – Pres. Domenico Carcano, Est. Antonio Minchella 

Il provvedimento di sequestro di cellulari disposto al fine di estrarre copia del materiale utile per l’accertamento del reato contenuto nella memoria, può essere emesso in ogni tempo anche qualora la polizia giudiziaria, dopo l’apprensione, non abbia rispettato i termini previsti per la richiesta di convalida.

The mobile phones’ seizure issued in order to extract a copy of the material contained in the memory, useful for ascertaining the offense, can be given at any time even if the police authority has not complied with the deadlines for the request for validation.

Corte di Cassazione, sez. un. penali, 7 settembre 2017 (ud. 20 luglio 2017),n. 40963/2017 – Pres. Giovanni Canzio, Est. Luca Remacci

Il sequestro probatorio può avere ad oggetto il computer, il dato informatico riversato nella “copia-immagine” estratta, ovvero il dato informatico quale contenitore di informazioni. Nel secondo caso e terzo caso la restituzione del computer/supporto informatico non può essere considerata come esaustiva restituzione della “cosa” sequestrata.

The seizure may concern the computer, the computer data transferred to the extracted “copy-image”, or the computer data as a container of information. In the second and third cases, the computer’s restitution can not be considered as an exhaustive restitution of the seized thing.

Corte di Cassazione, sez. IV penale, , 12 ottobre 2017 (ud. 5 aprile 2017), n. 46968/2017- Pres. Luisa Bianchi, Est. Daniele Cenci

L’intercettazione delle chat pin-to-pin tra dispositivi Blackberry non necessita di rogatoria internazionale qualora le comunicazioni siano avvenute in Italia, non rilevando l’intervento della casa madre (estera) per decriptare i dati.

No international letter rogatory is necessary to allow the interception of pin-to-pin chat among Blackberry mobiles, if these communications took places in Italy. The intervention of the foreign Parent Company to decrypt the signals is not influent.

Corte di Cassazione, sez. V penale, 25 ottobre 2017 (19 giugno 2016),n. 49016/2017 – Pres. Maria Vessichelli, Est. Irene Scordamaglia

Le registrazioni di conversazioni svoltesi su “whatsapp”, possono costituire prova documentale ma la loro utilizzabilità è condizionata dall’acquisizione del supporto telematico che le contiene, onde verificarne con certezza la paternità e l’attendibilità.

Recorded “whatsapp” conversations may be considered as a documentary evidence but their admissibility depends upon the availability of the information technology support containing the conversations in order to determine the paternity and the reliability of such data.

“Covert surveillance measures” (BverG, 20 aprile 2016 – 1 BVR 966/09, 1 BVR 1140/09)
Sentenza

On-line Durchsuchung (BverG – 2008)
Sentenza

References:

Flor
Flor
Iovene
Marcolini

“Captatore informatico” (Cass., Sez. Un., c.c. 28 aprile 2016, Pres. Canzio, Rel. Romis, Ric. Scurato)

“Captatore informatico” (Trib. Palermo, Sez. riesame, ord. 11 gennaio 2016, Pres. est. Gamberini), con nota di Lorenzetto

Corte europea dei diritti dell’uomo, 18.12.2012, Yildrim v. Turchia:

“Block Access”

Ahmet Yildirim, cittadino turco, è un ricercatore del dipartimento di Ingegneria Informatica all’Università Boğaziçi in Turchia. Appassionato d’informatica, ha creato un sito su Google Sites ove pubblica il proprio lavoro accademico nonché personali opinioni in merito a svariate tematiche. Il 24 giugno 2009, tale blog venne improvvisamente bloccato: a causa di una presunta pubblicazione di materiale offensivo e denigratorio di Kemal Atatürk, l’eroe nazionale turco fondatore e primo presidente della Repubblica Turca, il tribunale distrettuale di Denizli emise un provvedimento ai sensi dell’art. 8 § 1, lettera b) della legge n. 5651 sulla regolamentazione delle pubblicazioni in Internet, mediante il quale si bloccò l’accesso al blog. Il provvedimento, secondo procedura, venne quindi notificato alla Presidenza delle telecomunicazioni e informatica (PTI), che il giorno seguente ordinò il blocco dell’intero Google Sites, essendo questa l’unica modalità per impedire totalmente la visualizzazione e l’accesso al blog. Dopo che il ricorso avverso tale provvedimento venne respinto dal tribunale, Ahmet Yildirim si rivolse alla Corte europea dei diritti dell’uomo lamentando la violazione dell’art. 10 CEDU.

La Corte ha dichiarato il contrasto con l’articolo 10  CEDU in materia di libertà di espressione, del provvedimento giurisdizionale turco che, per violazione della legge in materia di diffamazione, aveva inibito l’accesso all’intero sito Internet.

Il caso è di fondamentale importanza perchè affiora in esso una nuova sfumatura della libertà di espressione ovvero il diritto di accesso illimitato ad Internet.

In particolare la Corte ha ritenuto che le basi legali offerte dalla legge turca per il blocco del sito, vale a dire l’esistenza di “sufficienti elementi” per “sospettare” che la pubblicazione su Internet contenesse contenuti illegali, rappresenta una cornice eccessivamente fragile per giustificare la restrizione alla luce dell’art. 10 della Convenzione.

Da segnalare come, mascherate da azioni necessarie per la tutela dei minori e per difesa della privacy e dei diritti individuali, recentemente sono state apportate modifiche alla regolamentazione di Internet che consentono al TIB (autorità governativa nell’ambito delle telecomunicazioni) controlli sempre più invasivi e maggiore possibilità di blocco e censura di pagine Web senza la necessità di un ordine del tribunale.

Numerosi sono stati i blocchi ordinati a seguito dell’approvazione di tali riforme: da twitter a youtube.

Nell’ottobre 2014 la Coste Costituzionale turca ha dichiarato l’incostituzionalità di tali misure ma nuove proposte di legge tentano un loro rafforzamento.

Puntuale quindi la nuova pronuncia di condanna della Corte EDU per violazione dell’art. 10 CEDU con sentenza 1 dicembre 2015, n. 376/15, Cengiz and Others v. Turkey, (C-48226/10; C-14027/11).

Article 29 Data Protection Working Party – Guidelines on the implementation of the Court of Justice of the European Union – judgment on “Google Spain and inc v. Agencia española de protección de datos (aepd) and Mario Costeja González” c-131/12,  26.11.2014

CLICK HERE (pdf)

Commission Nationale de l’Informatique et des Libertés (CNIL), 10.3.2016

CLICK HERE  (pdf)

×