Direttore Scientifico: Prof.ssa Avv. Giusella Finocchiaro
Curatrice Editoriale: Dott. Giulia Giapponesi

posted by admin on gennaio 28, 2016

PA telematica

1 comment

Digital-Signature-blueIl 20 gennaio 2016 il Consiglio dei Ministri ha approvato, in esame preliminare, uno schema di decreto legislativo sulle norme di attuazione dell’articolo 1 della legge 7 agosto 2015, n. 124, recante modifiche e integrazioni al CAD.

La riforma del CAD comprenderà disposizioni sul domicilio digitale della persona fisica e la sede legale delle imprese, mantenendo lo SPID quale strumento privilegiato di accesso in rete ai servizi delle pubbliche amministrazioni. Sarà compito delle PA provvedere a garantire l’accesso digitale ai propri servizi tramite il “pin unico” entro dicembre 2017. Per una maggiore trasparenza le amministrazioni saranno obbligate a inserire nei propri siti Internet informazioni esaustive per ciò che concerne appalti, tempi medi di attesa nella sanità, tempestività dei pagamenti nei confronti delle imprese creditrici, risultati di valutazione e piani per la prevenzione della corruzione.

Compito fondamentale delle modifiche sarà quello provvedere alla progressiva eliminazione dei supporti cartacei, per una maggiore efficienza e un significativo risparmio di risorse anche sotto il profilo ambientale. Con l’estinzione del cartaceo, cambierà il valore probatorio del documento informatico.

Ogni atto pubblico formato su documento informatico non sottoscritto da un pubblico ufficiale con firma qualificata o digitale sarà dichiarato nullo. Sembra che le definizioni di firma elettronica, firma elettronica avanzata e firma elettronica qualificata, siano state abrogate dal nuovo CAD rinviando a quelle del Regolamento eIDAS, la firma digitale non apparterrà al novero delle firme elettroniche avanzate, bensì a quello delle firme elettroniche qualificate.

Poiché i documenti informatici saranno conservati per legge dalla pubblica amministrazione, cesserà l’obbligo di conservazione a carico dei cittadini e delle imprese, che potranno richiedere di avervi accesso in qualunque momento. Il Foia (Freedom of Information Act), sarà lo strumento che permetterà al cittadino di fare richiesta di dati alle amministrazioni senza obbligo di motivazioni, ad eccezione dei casi di segreto di divieto di divulgazione.

Il nuovo CAD entrerà in vigore il primo luglio del 2016.

posted by admin on gennaio 26, 2016

Computer Crimes, data breach

(No comments)

Le nuove regole puntano a superare l’attuale frammentazione normativa e stabiliscono un alto livello di sicurezza per le reti e i sistemi informatici comune a tutti i paesi dell’Unione.

Le aziende che si occupano di servizi indispensabili come quelle del settore dell’energia, del trasporto, della salute e dei servizi bancari e le compagnie che operano nell’area dei servizi informativi e delle risorse digitali dovranno intraprendere una serie di azioni volte a contenere possibili cyber-attacchi che possano minarne la sicurezza e la conservazione dei dati. È quanto stabiliscono le nuove regole approvate dai Membri della Commissione Mercato Interno del Parlamento Europeo e dai negoziatori del Consiglio, che devono ora essere confermate dall’intero Parlamento e dal Consiglio Europeo.

La nuova Direttiva è stata ideata per uniformare le singole normative dei 28 stati membri nei settori industriali di importanza critica in cui le aziende dovranno garantire di essere sufficientemente protette e dovranno impegnarsi a comunicare tempestivamente alle autorità nazionali qualunque breccia nei sistemi di sicurezza.

Assicurare la prevenzione di questo tipo di incidenti e garantire una risposta efficiente in caso di attacchi è un tema da tempo dibattuto in sede europea. La prima proposta della Direttiva risale al 2013. La Direttiva creerà un “gruppo di coordinazione” tra gli Stati, istituendo un Segretariato all’interno della Commissione, allo scopo di sostenere e facilitare la cooperazione strategica e lo scambio di informazioni tra le nazioni, sviluppando fiducia reciproca e affidabilità.

Dopo l’approvazione formale del testo la Direttiva sarà pubblicata nella Gazzetta ufficiale Europea ed entrerà in vigore. Da quel momento gli Stati Membri avranno 21 mesi per integrare la Direttiva nella legislazione nazionale e 6 mesi in più per identificare gli operatori dei servizi essenziali dei settori coinvolti.

La nuova normativa richiede agli Stati comunitari di definire politiche, misure regolatorie e obiettivi strategici per la sicurezza delle reti e dei sistemi informativi (Network and Information systems – NIS). Ogni singolo stato dovrà designare un’ autorità competente nazionale  per l’implementazione e l’enforcement della Direttiva, così come dovrà organizzare le squadre speciali (Computer Security Incident Response Teams – CSIRTs) responsabili di gestire gli incidenti e i rischi.

Le squadre CSIRT di ogni stato si coordineranno all’interno di una rete comunitaria, la CSIRTs Network, allo scopo di promuovere gli scambi e la cooperazione effettiva sulla cybersicurezza, condividendo le informazioni sui rischi. L’ENISA si occuperà del Segretariato del CSIRTs Network.

Ulteriori informazioni sulla Direttiva sono disponibili sul sito del Parlamento Europeo. La bozza di testo approvata è disponibile QUI.

In data 18 dicembre 2015 il COREPER ha approvato il testo del compromesso finale del Regolamento europeo “concernente la tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati”, frutto dei negoziati in forma di trilogo tra il Consiglio, il Parlamento europeo e la Commissione.

Prende così vita la tanto attesa riforma in materia di protezione dei dati personali, i cui primi passi risalgono alla Proposta della Commissione europea di Gennaio 2012. Da allora sono trascorsi quattro anni di intenso lavoro delle istituzioni europee, determinate a conservare il ruolo di prim’ordine conquistato dall’Unione in tale ambito, attraverso l’elaborazione di una normativa al passo con gli sviluppi tecnologici finalizzata a rafforzare i diritti fondamentali dei cittadini nell’era digitale. Il nuovo Regolamento europeo andrà ad aggiornare e modernizzare i principi in materia di tutela dei dati personali sanciti dalla Direttiva 95/46/CE, secondo un quadro coerente e armonizzato valido per tutto il territorio europeo che consentirà, tra l’altro, di porre fine alla corrente frammentazione normativa in materia.

In attesa dell’approvazione definitiva, è interessante esaminare i capisaldi che il Regolamento pone a tutela della protezione dei dati personali contestualizzata nell’ambiente di Internet.

Particolare attenzione è dedicata ai diritti degli interessati in un’ottica di rafforzamento e conferimento di un maggior potere di controllo sui propri dati personali circolanti nella Rete: sono da segnalare il diritto di rettifica dei dati, il diritto all’oblio, il diritto a restringere il campo del trattamento al ricorrere di determinate evenienze, il diritto alla portabilità dei dati e il diritto ad opporsi a determinati trattamenti.

I controllers (titolari del trattamento) vengono maggiormente responsabilizzati, dovendo predisporre misure tecniche ed organizzative di sicurezza adeguate in funzione del rischio associato alle operazioni di trattamento e dovendo obbligatoriamente comunicare alle autorità e agli interessati i c.d. data breaches, ossia le violazioni dei dati avvenute durante tali operazioni.

Un secondo ordine di controlli viene affidato alle figure del Data Protection Officer (già previsto, a livello europeo, dal Reg. UE n. 44/2001) e di una supervisory authority indipendente a livello nazionale, poste a presidio del rispetto dei diritti dei cittadini e a garanzia della conformità delle operazioni di trattamento alle disposizioni del Regolamento. Al fine di coordinare l’azione delle Autorità di vigilanza nazionali sarà poi istituito il Comitato europeo per la protezione dei dati, che assicurerà a sua volta il funzionamento di meccanismi di mutua assistenza.

Infine, la legittimità dei trasferimenti di dati verso Paesi extra-UE sarà subordinata ad una valutazione di adeguatezza da parte della Commissione europea circa il livello di protezione assicurato in quel determinato Stato. In assenza di una decisione di tale ordine, il trasferimento potrà avvenire solo in presenza di garanzie adeguate (ad esempio, clausole tipo di protezione dei dati, norme vincolanti d’impresa, clausole contrattuali) o al ricorrere di particolari evenienze.

Giusella Finocchiaro

Laura Greco

posted by admin on gennaio 22, 2016

identità digitale

(No comments)

persuasive-landing-pages-words-have-powerSplashData ha stilato per il quinto anno la classifica delle password più utilizzate. Nel 2015, come nei cinque anni precedenti, la password più utilizzata è stata “123456″.

SplashData è un’azienda californiana specializzata in applicazioni di password management che comunica i dati in questione con l’intento di dimostrare la pericolosità delle password semplici e prevedibili, seppure facili da ricordare. Le prime dieci posizioni della lista sono pressoché identiche a quelle dell’anno precedente, con “password” al secondo posto, “12345678″ al terzo e l’inossidabile “qwerty” al quarto. Nella top 25, si registra l’ingresso di alcune novità, tra le quali “Star Wars”, collocatasi al 25 posto.

La storia della classifica sembrerebbe evidenziare un certo grado di affezione da parte degli utenti per le soluzioni più vulnerabili. Alle infelici scelte di password contenenti soli numeri, e tutte le combinazioni di lettere realizzate digitando tasti in sequenza, alle parole prese dal gergo sportivo, o in riferimento a hobby, atleti famosi, titoli di film, alle date di nascita e nomi di persona, specie se riconducibili a membri della propria famiglia, dovremmo infatti aggiungere la pericolosa tendenza al riutilizzo delle stesse password per più account e perduranti nel tempo. Un’abitudine che di solito subisce significativi stravolgimenti solo in seguito al furto dell’identità digitale.

Sarebbe importante imparare a compilare parole chiave più di almeno 8 caratteri alternati tra numeri, lettere e segni tipografici, evitando allo stesso tempo combinazioni difficili da memorizzare. È consigliabile ideare vere e proprie frasi separate da spazi o caratteri speciali, meglio se in sequenze di parole appartenenti allo stesso campo semantico: “cane_4zampe_coda”, per esempio. Inoltre, è bene differenziare le password per i siti o i programmi di intrattenimento da quelle usate per veicolare dati più importanti, come caselle email o account bancari.

Ecco l’elenco delle 25 peggiori password del 2015 (tra parentesi la posizione rispetto l’anno passato):

  • 123456 (stabile)
  • password (stabile)
  • 12345678 (più 1)
  • qwerty (più 1)
  • 12345 (meno 2)
  • 123456789 (stabile)
  • football (più 3)
  • 1234 (meno 1)
  • 1234567 (più 2)
  • baseball (meno 2)
  • welcome (nuova)
  • 1234567890 (nuova)
  • abc123 (più 1)
  • 111111 (più 1)
  • 1qaz2wsx (nuova)
  • dragon (meno 7)
  • master (più 2)
  • monkey (meno 6)
  • letmein (meno 6)
  • login (nuova)
  • princess (nuova)
  • qwertyuiop (nuova)
  • solo (nuova)
  • passw0rd (nuova)
  • starwars (nuova)

I cittadini che denunceranno illeciti compiuti da colleghi di lavoro saranno tutelati da eventuali misure di discriminazione riconducibili alla propria segnalazione.

Il testo approvato alla camera mira a permettere una segnalazione tempestiva degli illeciti, prevedendo un rapido riscontro delle autorità e  impedendo al contempo eventuali ritorsioni per la figura del whistleblower, giuridicamente protetta e ritenuta di utilità pubblica. Il termine whistleblower (soffiatore nel fischietto) si riferisce al lavoratore che si trovi a segnalare possibili frodi, pericoli o rischi di danneggiamento di persone e attività, rilevati all’interno dell’ambiente di lavoro.

Il testo prevede che la denuncia dell’illecito sia rivolta all’Autorità Nazionale Anticorruzione (Anac) o alla magistratura ordinaria e contabile. La segnalazione dell’illecito sarà ritenuta valida se fatta in “buona fede” e senza dolo o colpa grave, cioé motivata dalla “ragionevole convinzione fondata su elementi di fatto, che la condotta illecita segnalata si sia verificata”. L’identità del whistleblower non potrà essere rivelata, e non saranno ammesse segnalazioni anonime.

Nel provvedimento è prevista una “Clausola anti-calunnie”: nel caso si accerti la mancanza di buona fede o l’infondatezza della segnalazione sarà avviato un procedimento disciplinare e l’eventuale licenziamento in tronco. Le misure di discriminazione verificate nei confronti del whistleblower saranno sanzionate dall’Anac con multe da 5 a 30mila euro. Per l’autore della segnalazione non è invece previsto alcun genere di premio.

La proposta di legge approvata alla Camera comprenderà gli uffici pubblici, enti pubblici economici, gli enti di diritto privato sotto controllo pubblico e il settore privato.

La Direttrice dell’Antitrust dell’Unione Europea, ha recentemente affermato che la raccolta di ingenti quantità di dati personali d a parte di un ridotto numero di colossi di internet potrebbe essere in violazione delle norme comunitarie.

In un intervento durante la DLD conference, un incontro di politici e dirigenti di industrie digitali Margrethe Vestager, Commissario Europeo per la Concorrenza, esprimendo le sue preoccupazioni per l’attuale scenario internazionale in materia di big data ha dichiarato “Se i dati necessari per tagliare i costi sono detenuti da poche aziende, queste aziende hanno il potere di tagliare fuori dal mercato tutte le altre”.

La Commissaria ha aggiunto inoltre che i consumatori devono essere trattati in maniera più equa perché attualmente gli utenti di internet non riescono a capire quale sia la quantità di dati che vengono dati alle aziende quando, ad esempio, si utilizza un servizio di online messaging. “E’ una transazione di affari e non una donazione” ha sottolineato la Vestager.

Le dichiarazioni giungono in un periodo in cui sul tema della privacy e della raccolta e trattamento dei dati sono sorte delle conflittualità fra Stati Uniti ed Unione Europa. Lo scorso ottobre la Corte di giustizia dell’UE ha stabilito che gli accordi per la gestione e il trasferimento dei dati personali tra aziende americane ed europee potranno essere sospesi dai singoli stati membri quando non sussistano le garanzie di un livello adeguato di protezione delle informazioni. L’abolizione del Safe Harbor ha quindi evidenziato che ad oggi gli Stati Uniti non sono considerati un Paese che, ai sensi della dir. 95/46, la direttiva-madre in materia di protezione dei dati personali, garantisce un livello di tutela adeguato.

Su questo tema, le negoziazioni tra la Commissione Europea e il Dipartimento per il Commercio degli Stati Uniti stanno proseguendo, nonostante esperti legali, ufficiali governativi e osservatori del settore siano convinti che un nuovo accordo non sarà raggiunto in tempi brevi.

posted by admin on gennaio 15, 2016

Diritto d'autore e copyright

(No comments)

Rojadirecta-calcio-streamingIl giudice, dando ragione a Mediaset,  impone al fornitore di connessione internet di disabilitare qualsiasi tipo di collegamento al sito pirata che viola il copyright delle gare di Serie A e Champions League.

Il 13 gennaio 2016 è stata confermata la decisione della Sezione Specializzata Impresa del Tribunale di Milano che il 18 novembre 2015 aveva ordinato, in via cautelare, il blocco ad ogni accesso al popolare sito pirata Rojadirecta che mette a disposizione degli utenti liste di indirizzi di siti che trasmettono eventi sportivi in streaming.

Il provvedimento cautelare giungeva a seguito di un esposto inoltrato nel 2013 da Mediaset e Lega Calcio, che si era concluso con un ordine di sequestro del portale Rojadirecta. L’ordine obbligava gli Internet Service Provider italiani a rendere il sito irraggiungibile dai loro utenti, tramite inibizione dei DNS, un’ingiunzione a cui avevano dato seguito tutti i fornitori di connettività del nostro paese tranne Fastweb.

Nel novembre del 2015, il tribunale di Milano aveva disposto che Fastweb provvedesse a oscurare qualunque dominio riconducibile a Rojadirecta, indipendentemente dal fatto che fosse o meno in violazione delle leggi. Una penale di 30.000 euro sarebbe stata versata per ogni giorno di ritardo nell’esecuzione del blocco. Dal 18 novembre Fastweb aveva provveduto al blocco all’accesso del sito.

La sentenza del 13 gennaio impone  a tutti i provider la disabilitazione all’accesso “sia ai DNS, sia agli indirizzi IP associati”. La novità in fatto di tutela del copyright online sta nell’imposizione rivolta al fornitore di connessione internet di inibire totalmente ai propri clienti l’accesso a tutti gli indirizzi IP collegati al sito in questione.

In un recente comunicato, Mediaset spiega che «mai prima d’ora, infatti, la magistratura civile aveva imposto a un fornitore di connessione internet di inibire ai propri clienti l’accesso a tutti gli indirizzi Ip collegati a un sito, Rojadirecta nel caso in oggetto. In questo modo, il provvedimento del Tribunale di Milano fornisce una tutela effettiva ai diritti esclusivi degli editori, individuando nei fornitori di connettività gli operatori più idonei a contrastare la pirateria digitale». Mediaset ha annunciato che «farà valere questa decisione anche presso le Autorità regolamentari dove il tema del blocco degli Ip è fondamentale per evitare che i provvedimenti del Garante possano essere facilmente aggirati».

mobile-tablet-ss-1920Con provvedimento n. 523 del giorno 8 ottobre 2015 (GU Serie Generale n. 257 del 4 novembre 2015), il Garante per la protezione dei dati personali ha autorizzato l’istituzione di una banca dati con il fine di permettere agli operatori telefonici di condividere tra loro informazioni sulle insolvenze dei propri utenti.

Negli ultimi anni, il settore delle telecomunicazioni ha riscontrato un incremento del numero degli utenti morosi. Sempre più di frequente si assiste al fenomeno denominato “turismo telefonico”, consistente nell’indiscriminato cambio di operatore telefonico senza aver interamente adempiuto al contratto con il precedente operatore. Nel tentativo di arginare tale fenomeno ASSTEL, quale associazione rappresentativa delle imprese esercenti servizi di telecomunicazione, ha proposto al Garante la costituzione di una banca dati che permetta agli operatori telefonici di verificare, al momento della stipula del contratto di utenza, se il nuovo cliente si trovi in una condizione di insolvenza con un precedente operatore.

I soggetti coinvolti dalla banca dati, denominata “Sistema informativo sulle morosità intenzionali nel settore telefonia” (S.I.Mo.I.Tel.), sono sia gli operatori di telefonia fissa o mobile titolari del trattamento dei dati degli utenti interessati raccolti attraverso i contratti di telefonia, sia il “gestore” del sistema, scelto dagli operatori quale autonomo titolare del trattamento dei dati inseriti nella banca dati.

I dati raccolti e trattati dal S.I.Mo.I.Tel. sono le sole informazioni di carattere negativo connesse all’inadempimento intenzionale dell’utente, persona fisica o giuridica, nei confronti dell’operatore telefonico. Con inadempimento intenzionale si intendono i mancati pagamenti non dovuti a circostanze impreviste e contingenti, ma ad una precisa volontà del soggetto. Non ogni inadempimento intenzionale comporta tuttavia l’iscrizione dell’utente alla banca dati, ma solo quelli che soddisfino contemporaneamente i seguenti requisiti:

1) recesso dal contratto da non meno di tre mesi;

2) importo insoluto per non meno di 150 euro;

3) presenza di fatture non pagate nei primi sei mesi successivi alla stipula del contratto;

4) assenza di altri rapporti contrattuali attivi e regolari nei pagamenti con lo stesso operatore.

I dati sono conservati per un periodo di 36 mesi dalla data di recesso del contratto in caso di inadempimenti non regolarizzati. Tuttavia, nel caso in cui il debito venga regolarizzato o le parti stipulino un accordo per il rientro rateizzato, la cancellazione dei dati dell’interessato avverrà entro 7 giorni.

In ottemperanza dell’art. 13 del Codice in materia di protezione dei dati personali, in ogni caso gli utenti saranno informati dagli operatori, al momento della stipula del contratto, della possibilità di trattamento dei loro dati nell’ambito S.I.Mo.I.Tel., nel caso si realizzino i presupposti sopra individuati. Ai fini del trattamento delle informazioni relative a morosità intenzionali, tuttavia non sarà necessario raccogliere il relativo consenso. In virtù del principio di bilanciamento dei diritti, all’interesse dell’utente di prestare il proprio espresso consenso al trattamento, si ritiene prevalente l’interesse degli operatori, ma anche degli altri utenti regolarmente adempienti, al corretto funzionamento di un sistema volto a favorire l’esatta gestione dei rapporti contrattuali alle migliori condizioni praticabili sul mercato. Gli interessati potranno comunque esercitare i loro diritti secondo le modalità stabilite dagli artt. 7 e ss. del Codice.

Avv. Alessandro Candini

Dott.ssa Maria Chiara Meneghetti

posted by admin on gennaio 8, 2016

Libertà di Internet

(No comments)

Cine_InternetLa Electronic Frontier Foundation denuncia il caso di alcuni cittadini nella provincia dello Xinjiang, obbligati a cancellare i servizi di messaggistica istantanea per mantenere il servizio di connessione internet.

L’obbligo di rimozione delle app di messaggistica istantanea sarebbe stato imposto dalle autorità cinesi per garantire il controllo delle attività degli smartphone di alcuni cittadini. Stando a quanto riferito dalla Electronic Frontier Foundation (Eff), alcuni utenti dello Xinjiang avrebbero subito un’interruzione improvvisa del servizio telefonico: i fornitori interpellati per il disguido li avrebbero indirizzati alle forze dell’ordine per eventuali spiegazioni.

A quanto si apprende, l’interruzione sarebbe il risultato di un ordine di blocco impartito dalle autorità in seguito alla verifica d’uso di reti private virtuali (Vpn) e del download di app di messaggistica istantanea da parte alcuni utenti. Per riottenere la connessione, i cittadini coinvolti dovranno provvedere alla rimozione dei software incriminati.

La gestione della censura da parte del governo Cinese ha più volte destato l’attenzione degli osservatori internazionali. Lo Xinjiang è già stato al centro dell’attenzione per la repressione che negli anni recenti ha portato all’incarcerazione di blogger e giornalisti accusati di terrorismo, separatismo ed estremismo; mentre nel 2009 una vasta porzione del territorio era stata isolata con un “provvedimento di interruzione delle reti”.

Con la diffusione degli smartphone, l’argine della censura ha dovuto fare i conti con software versatili e di ampia diffusione, come Telegram e WhatsApp. Le forze dell’ordine hanno perciò deciso di ricorrere alle ispezioni più accurate degli strumenti tecnologici anche ai posti di blocco autostradali, con il conseguente provvedimento di sequestro nel caso ad esempio di rilevazione di software di cifratura, e adesso anche per alcuni software di uso generico.

Attualmente, il governo Cinese blocca l’accesso ad alcuni dei più importanti siti mondiali, come Google, Facebook, Youtube e Twitter, a scapito dei servizi omologhi offerti all’interno dei confini del paese, come Weibo, Youku e Baidu. A questo si aggiunge il blocco permanente di siti ritenuti ostili al governo, come nel caso di Amnesty International, o sospesi per via di pubblicazioni sgradite, come per il sito del New York Times, bloccato nel 2012 per la pubblicazione di un dettagliato articolo incentrato sul patrimonio del primo ministro Cinese Wen Jiabao.

Dati i limiti imposti per l’accesso alla rete, accade che alcuni utenti cinesi decidano di eludere la censura scaricando software VPN che consentono di sfruttare il collegamento alla rete privata di un altro paese per navigare eludendo i blocchi di stato. Il software provvede a mascherare l’indirizzo IP offrendo un ampio numero di protocolli di connessione e rendendo possibile l’accesso a qualsiasi sito internet.

Tuttavia, la larga parte dei 650 milioni di Cinesi che naviga quotidianamente su internet si limita a utilizzare siti nazionali in lingua cinese, sconosciuti al pubblico occidentale e agevolmente monitorati dalle autorità. Il motore di ricerca cinese Baidu, è stato più volte accusato di censurare contenuti e siti non graditi al governo: alla richiesta di notizie riguardanti fatti storici controversi, una eloquente frase del motore di ricerca ricorderà all’utente che, in accordo con le leggi e le politiche in vigore, non è possibile mostrare alcuni dei risultati inerenti alla ricerca intrapresa.

Nel World Press Freedom Index, rapporto annuale sulla libertà di stampa e d’informazione pubblicato da Reporters Sans Frontieres, la Cina si colloca al 176 posto dei 180 paesi esaminati.

posted by admin on gennaio 5, 2016

Professione forense

(No comments)

BLACKBERRY-chatNon è necessario il ricorso ad una rogatoria internazionale per le intercettazioni delle chat relative ai sistemi mobili Blackberry, né tantomeno è necessario ricorrere al sequestro.

Questo quanto stabilito dalla Corte di Cassazione, terza sezione penale, nella sentenza n. 50452/15 relativa al ricorso di alcuni imputati a cui il Tribunale di Roma ha imposto la custodia cautelare per concorso in traffico di sostanze stupefacenti. L’ordinanza cautelare era basata su varie evidenze probatorie fra cui alcune chat via Blackberry aventi come oggetto l’importazione in territorio italiano di un quantitativo di 10 kg di cocaina.

Gli imputati coinvolti in queste intercettazioni si sono rivolti alla Suprema Corte italiana affermando che le chat intercettate non sarebbero prove ammissibili in giudizio in quanto effettuate tramite dispositivi Blackberry. La società che gestisce il servizio ha infatti sede in Canada e perciò per procedere all’acquisizione dei dati sarebbe stata necessaria la rogatoria internazionale. Inoltre, secondo la difesa, le conversazioni via chat non possono essere ritenute “conversazioni” alla stregua di quelle telefoniche, perché sono in realtà un flusso di dati informatici. Pertanto la procedura che avrebbe dovuto essere attuata è quella relativa  sequestro dei dati informatici (art. 254 bis c.p.p.) e non quella relativa alle intercettazioni.

La Cassazione ha risposto al primo punto che è principio consolidato che l’instradamento delle telefonate estere ad uno specifico “nodo” telefonico posto in Italia non rende necessaria la rogatoria internazionale in quanto l’intera attività di captazione e registrazione avviene sul territorio dello Stato.  Questo principio è stato correttamente attuato dal Collegio di Cautela anche in relazione all’utilizzo di chat del Blackberry. A tal proposito la Corte ha sottolineato che le intercettazioni telematiche erano state disposte correttamente sui codici PIN mentre la successiva richiesta alla società canadese in merito ai dati identificativi associati ai codici PIN intercettati aveva riguardato dati che non godono di una particolare protezione. La Cassazione ha dunque considerato irrilevante il fatto che la società del Blackberry sia canadese, in quanto le comunicazioni avvenivano in Italia per effetto del convogliamento in un nodo telematico situato in Italia.

Per quanto riguarda invece l’obiezione posta dalla difesa sul mancato utilizzo della procedura di sequestro dei dati informatici, la Corte la considera infondata. La sentenza chiarisce infatti che il sequestro probatorio di supporti informatici o documenti informatici, anche detenuti da fornitori di servizi telematici, esclude, di per sé, il concetto di comunicazione e va disposto quando è necessario acquisire documenti a fine di prova, mediante accertamenti che devono essere svolti sui dati in essi contenuti. La cassazione afferma il principio di diritto secondo cui “in materia di utilizzazione della messaggistica con sistema Blackberry è corretto acquisirne i contenuti mediante intercettazione ex artt. 266bis c.p.p. e seguenti, atteso che le chat, anche se non contestuali, costituiscono un flusso di comunicazione.”

Pur accogliendo il ricorso degli imputati sulla base di considerazioni che esulano dall’analisi di questo post, la Corte ha rigettato le specifiche obiezioni tecniche di cui sopra, ricordando che: “anche la dottrina più attenta ai delicati rapporti tra sistema delle intercettazioni telematiche e nuove tecnologie  ha osservato che per la chat del Blackberry, l’intercettazione avviene con il tradizionale sistema, ossia monitorando il codice PIN del telefono (ovvero il codice IMEI), che risulta associato in maniera univoca ad un nickname, sottolineando come ad un livello tecnico l’intercettazione sia gestita nella sede italiana della società.

Il testo della sentenza di cassazione è consultabile QUI.