Se c’è una cosa che ho imparato, in questo mestiere, è che non so niente della natura umana” (“La conversazione”, F. F. Coppola). Nemmeno Harry Caul, il buon investigatore privato ossessionato dalla sua stessa privacy, interpretato da Gene Hackman nel lungometraggio “La Conversazione” di Francis Ford Coppola (Palma d’oro nel 1974), avrebbe potuto immaginare le potenzialità raggiunte dagli odierni mezzi di intercettazione. Probabilmente la sua deontologia professionale (d’altri tempi) gli avrebbe persino imposto quella cautela che difficilmente si riscontra nell’attuale contesto sociale. Il tema dell’intercettazione di conversazioni e comunicazioni – disciplinato dagli artt. 266 e segg. c.p.p. – da sempre riveste assoluta rilevanza, poiché riguarda uno dei mezzi di ricerca della prova maggiormente in conflitto con i diritti inviolabili dell’individuo, quali la libertà e la segretezza delle conversazioni (art. 15 Cost.), l’inviolabilità del domicilio (art. 14 Cost.) nonché l’art. 8 della Convenzione EDU; un conflitto superabile – come è noto – solo attraverso le garanzie della riserva di legge e di giurisdizione. Negli ultimi anni tale disciplina ha visto l’introduzione, nel novero degli strumenti atti ad intercettare conversazioni e comunicazioni, del c.d. captatore informatico (Sez. 5 n. 16556 del 14/10/2009, Virruso, Rv. 246954) detto altresì agente intrusore (Sez. 6, n.. 27100 del 26/5/2015, Musumeci, Rv. 265654), uno strumento frutto dell’evoluzione tecnologica e della massiccia diffusione di dispositivi elettronici. E’ infatti superfluo ricordare quanto questa metodologia investigativa sia connotata da una invasività senza precedenti, a tal punto che la sua attuazione presenta risvolti inquietanti per la riservatezza dell’individuo. Proprio grazie alla possibilità di superare tutti quegli ostacoli propri delle ordinarie attività di polizia giudiziaria, questi strumenti oggi permettono di conoscere ogni aspetto della vita di un individuo, anche (e soprattutto) estranei all’oggetto delle investigazioni. Si pensi, ad esempio, alla recente vicenda Palamara, alle indagini condotte dalla Procura di Perugia, alla loro (im)pertinenza e allo spazio che esse hanno occupato sui media nazionali. L’uso del captatore informatico quale strumento di intercettazione è stato inizialmente “legittimato” dalla giurisprudenza e, successivamente, dopo anni di gestazione parlamentare, dalla disciplina codicistica (di cui agli artt. 266 e segg. c.p.p., introdotta con il D.L. vo 29 dicembre 2017, n. 216 (c.d. Decreto Orlando) e, da ultimo, con il D.L. 30 dicembre 2019, n. 161, entrato in vigore dall’1 settembre 2020. Per chiarezza e sintesi, è bene ricordare che lo strumento del captatore informatico consiste nell’utilizzo di un software, definito simbolicamente trojan horse, installato in un dispositivo target (un computer, un tablet o uno smartphone), di norma a distanza e in modo occulto, per mezzo del suo invio con una mail, un sms o un’applicazione di aggiornamento. Il software è costituito da due moduli principali: il primo (server) è un programma di piccole dimensioni che infetta il dispositivo bersaglio; il secondo (client) è l’applicativo che il virus usa per controllare detto dispositivo. Uno strumento tecnologico di questo tipo consente lo svolgimento di varie attività. Precisamente, esso permette di captare tutto il traffico dati in arrivo e in partenza dal dispositivo “infettato” (navigazione e posta elettronica); di attivare il microfono e, dunque, di apprendere per tale via i colloqui che si svolgono nello spazio che circonda il soggetto che ha la disponibilità materiale del dispositivo (ovunque egli si trovi) o di mettere in funzione la web-camera, permettendo di acquisire le immagini (c.d. online surveillance); di perquisire l’hard disk e di fare copia, totale o parziale, delle unità di memoria del sistema informatico preso di mira (c.d. online search); di decifrare tutto ciò che viene digitato sulla tastiera collegata al sistema (c.d. keylogger) e visualizzare ciò che appare sullo schermo del dispositivo bersaglio (c.d. screenshot). Prima dell’introduzione dell’attuale disciplina codicistica, e proprio in considerazione della notevole forza intrusiva di questo mezzo, le Sezioni Unite della Suprema Corte (Cass. SSUU n. 26889, 28 aprile 2016, dep. 1 luglio 2016 rel. Scurato) avevano limitato la sua ammissibilità ai soli delitti di “criminalità organizzata”, rimarcando come la qualificazione del fatto reato, ricompreso nella nozione di criminalità organizzata, debba risultare “ancorata a sufficienti, sicuri e obiettivi elementi indiziari, evidenziati nella motivazione del provvedimento di autorizzazione in modo rigoroso”. E proprio in considerazione della natura “itinerante” (verrebbe da dire incontrollabile) del mezzo intercettivo, che le SSUU Scurato ne avevano inizialmente escluso l’uso per i reati “comuni”, vista l’impossibilità di circoscrivere a priori l’intercettazione ambientale rispetto a determinati luoghi, avendo cura di salvaguardare così la libertà di domicilio dell’individuo. Ebbene, l’attuale configurazione normativa dell’art. 266 c.p.p. ha solo in parte recepito i principi indicati dalle SSUU Scurato, e il legislatore del 2017 ha persino ampliato l’ammissibilità del captatore informatico, consentendone sempre l’uso per i delitti di criminalità organizzata (art. 51, commi 3 bis e 3 quater) e, “previa indicazione delle ragioni che ne giustificano l’utilizzo”, per i delitti dei pubblici ufficiali contro la P.A. puniti con la pena della reclusione non inferiore nel massimo a cinque anni (art. 266, co. 2 bis, c.p.p.). L’utilizzo del trojan è poi consentito anche per i reati “comuni” (di cui all’elenco dell’art. 266, co. 1, c.p.p.), ma solo “al di fuori dei luoghi di privata dimora a meno che non vi sia motivo di ritenere che ivi si stia svolgendo l’attività criminosa” (art. 266, co. 2, c.p.p.).

Tale nuova disciplina ha quindi introdotto, per l’uso del captatore informatico, nuovi presupposti di ammissibilità. Se per la generalità delle intercettazioni il giudice è tenuto ad indicare nel decreto autorizzativo l’esistenza dei “gravi indizi di reato” e dei motivi per cui le intercettazioni sono “assolutamente indispensabili” (art. 267 co. 1, prima parte), i canoni valutativi sull’uso del captatore informatico devono rispondere all’ulteriore requisito della “necessità” e – solo nei casi di reati “comuni” – dell’“indicazione dei luoghi e del tempo in relazione ai quali è consentita l’attivazione del microfono” (art. 267 co. 1, seconda parte). Tuttavia, l’impianto normativo presta subito il fianco ad alcune criticità. Innanzitutto, il requisito della mera necessità, per i delitti di criminalità organizzata, incontra il concreto rischio di una sua potenziale strumentalizzazione, vale a dire un indiscriminato aumento delle intercettazioni mediante trojan fondate su evanescenti ipotesi di reati associativi. Senza voler dubitare a tutti i costi dell’integrità morale e professionale di taluni magistrati, questo aspetto ben potrebbe rappresentare un escamotage per ottenere intercettazioni per altre figure delittuose non annoverate dalla normativa (considerata la loro legittima utilizzabilità; sul punto Cass. Pen. 23 agosto 2016, n. 35536). Inoltre, i presupposti che legittimano il delicatissimo uso dell’agente intrusore hanno certamente un riflesso immediato sul contenuto del decreto autorizzativo del giudice e sulla sua imprescindibile – o meglio, auspicabile – funzione di garanzia, unico presidio di corretto contemperamento dei diritti fondamentali confliggenti. Sulla motivazione di tale provvedimento, la giurisprudenza di legittimità ha da tempo affermato che, trattandosi di decreto motivato, essa possa essere quella “minima necessaria a chiarire le ragioni del provvedimento”, e non semplicemente ripetitiva della formula normativa (ex multis Cass. Pen. Sez. V, 20 aprile 2004, n. 24229). E’ vero che il gip non è tenuto a svolgere l’intero esame del contesto investigativo, ma non può esimersi dal dare spiegazioni sulle ragioni che giustificano la violenta intrusione nella sfera più intima di un individuo, illustrando quale sia la stretta congiunzione tra il soggetto intercettato e le investigazioni in corso, evitando di formulare prognosi di colpevolezza (deve cioè compiere una “autonoma valutazione delle richieste degli organi investigativi e non limitarsi ad espressioni che costituiscono perifrasi del contenuto delle norme che disciplinano l’assunzione del mezzo probatorio”). Sul punto, uno dei maggiori problemi riscontrabili riguarda infatti la concreta individuazione dei “luoghi ed il tempo in cui l’intercettazione con captatore è consentita” nei casi di reati “comuni”. Per quanto il giudice possa vincolare tempi e luoghi di intercettazione, il connotato “itinerante” del mezzo comporta la materiale impossibilità (e vien da pensare utopica speranza) che nel novero degli elementi raccolti dalla polizia giudiziaria non rientrino anche intercettazioni, perquisizioni informatiche, backup di email/chat/file ecc., formatesi all’interno della privata dimora e coperti da tutela costituzionale, dunque da palese illiceità. Non è un caso che, proprio per tale ragione, prima dell’introduzione dell’attuale disciplina codicistica, la giurisprudenza di legittimità a Sezioni Unite non aveva affatto avallato l’adozione di autorizzazioni ad intercettare “al buio”, valutando come ampiamente insufficiente la tutela “postuma” delle prerogative individuali, essendo questa costituita unicamente dalla sanzione dell’inutilizzabilità delle sole intercettazioni avvenute in luoghi di privata dimora. A destare ulteriore preoccupazione è poi il recente approdo a cui è giunta la Sez. V della Corte di Cassazione Penale, con la sentenza n. 32428 del 18 novembre 2020, in tema di utilizzo del captatore informatico. In primo luogo, la Corte ritiene legittima la sovrapposizione, nei confronti dello stesso soggetto, di (nuovi) decreti autorizzativi di intercettazioni tramite trojan ad altri già in esecuzione (mediante i tradizionali strumenti di captazione di conversazioni), affermando dunque la liceità della loro contestuale esistenza. Tuttavia, il ragionamento che porta a questa conclusione appare contraddittorio e non condivisibile.

In particolare, si legge che “la disposizione di un diverso decreto di intercettazione sul medesimo bersaglio/dispositivo elettronico colpito dalle investigazioni, motivata dalla necessità di fare ricorso, per ragioni investigative, allo strumento di captazione informatica sviluppato tramite virus trojan, configura, un nuovo e autonomo mezzo di ricerca della prova, perfettamente legittimo in presenza del rispetto dei presupposti di legge per la sua autorizzazione, che non presenta interferenze con le intercettazioni telefoniche e/o ambientali già disposte con i mezzi ordinari, pur se l’oggetto sul quale sono installati i captatori informatici coincide con quello su cui sono state disposte altre intercettazioni”. Proprio in virtù di questa ontologica diversità del mezzo captativo, la Suprema Corte afferma la potenziale sovrapponibilità degli strumenti captativi – avallando dunque la loro moltiplicazione nei confronti di un medesimo individuo –, ma evidentemente tralasciando il fatto che l’ordinario sistema intercettivo, abbinato al captatore informatico, svuota completamente di significato la motivazione di indispensabilità. Peraltro la medesima Corte, qualche paragrafo prima, affermava proprio il contrario richiamando testualmente l’insegnamento delle SSUU Scurato: “la disciplina in tema di intercettazioni ambientali è omogenea a quella delle intercettazioni disposte tramite captatore informatico […]”. In questo modo, poteva così giustificare e ratificare l’uso del captatore sulla base dell’impianto motivazionale di precedenti decreti attuativi, affermando che la valutazione di ammissibilità del captatore informatico non attiene né alla fase autorizzativa né alla verifica dei presupposti, bensì alla mera fase esecutiva, già coperta dall’autorizzazione ad effettuare le stesse intercettazioni. Di tutta evidenza, una siffatta fluidità valutativa sulla natura dei mezzi captativi (diversi od omogenei?) non pare in alcun modo condivisibile. Nella medesima pronuncia viene inoltre affrontato un altro tema delicatissimo e che troppo spesso passa sotto traccia: il ricorso ad operatori privati per l’installazione del software trojan. Il Supremo Collegio reputa la norma di cui all’art. 267 co. 4 c.p.p. – “il pubblico ministero procede alle operazioni personalmente ovvero avvalendosi di un ufficiale di polizia giudiziaria” – riferibile alle sole “operazioni previste dal precedente art.266 ossia le intercettazioni di conversazioni o comunicazioni telefoniche […] con la conseguenza che qualsiasi altra “operazione” diversa ancorché correlata, dalle suddette non rientra nella previsione normativa evocata e legittimamente può essere svolta da personale civile”. Da qui, la diretta conseguenza che il PM e la polizia giudiziaria possono tranquillamente avvalersi di operatori e ditte private per le operazioni di collocazione e installazione del materiale tecnico necessario per eseguire le captazioni tramite virus trojan, ampliando a dismisura la discrezionalità della polizia giudiziaria o addirittura di soggetti privati la cui opera è priva di controllo giurisdizionale. I problemi che ne seguono in prima battuta paiono molteplici: esiste un protocollo per la selezione dei fornitori privati? Con quali regole vengono trasferiti i dati raccolti dai server privati a quelli della Procura della Repubblica? Questi dati vengono poi rimossi definitivamente dai server privati? E’ legittimo che spetti ad un operatore privato la libertà di attivare o disattivare il funzionamento del trojan? Da ultimo, è necessario sottolineare che l’omessa documentazione delle operazioni svolte dalla polizia giudiziaria e dai suoi delegati non dà luogo a nessuna nullità o inutilizzabilità dei risultati delle intercettazioni, poiché le uniche nullità previste dal codice riguardano solo il rispetto delle disposizioni di cui agli art. 267 e 268 co. 1 e 3 c.p.p. Non pare accettabile, a maggior ragione vista la straordinaria intrusività del mezzo, che la tutela della riservatezza e della libertà domiciliare possano dipendere dalla sostanziale discrezione della polizia giudiziaria e dei soggetti privati delegati, investiti di un indiscriminato e incontrollato potere nel procedere alle operazione di installazione, inoculamento del trojan nel target di riferimento e raccolta di informazioni in ogni fase di tale procedimento. Ciò, con il rischio (o la certezza) che giudice e pubblico ministero (figuriamoci il difensore!) possano o debbano sapere alcunché in ordine alla legittimità o illegittimità di tali operazioni (ad esempio, con quale delle multiformi modalità può essere ingannato il soggetto target per inoculare il trojan nel suo dispositivo elettronico; si veda il caso Palamara), considerato che viviamo in un periodo storico in cui sembra contare soltanto il risultato ottenuto, anche a discapito del rispetto della procedura. A ben vedere, la sensazione è che quei diritti inviolabili dell’individuo menzionati in apertura rischiano di essere oltremodo compressi in nome dell’efficienza del sistema della giustizia, e che ad essi venga anteposta (costi quel che costi) la ricerca della prova (rectius della condanna). E’ pertanto evidente che in assenza di correttivi, l’attuale disciplina rischia di veicolare principi interpretativi che fanno emergere numerose zone d’ombra (per non dire serie incompatibilità con norme costituzionali) proprio nella fase più delicata dell’intercettazione – quella esecutiva, gestionale e organizzativa –, a tal punto da lasciare spazio a derive assolutamente illiberali, favorite dall’uso distorto del mezzo più invasivo della sfera personale che sia mai esistito.