Gli screenshot al vaglio della giurisprudenza di legittimità

Cass., Sez. I, 7 ottobre 2021 (dep. 1 febbraio 2022), n. 3591

Con la pronuncia n. 3591/2022, il tema delle investigazioni a mezzo Trojan torna a far parlare di sé. Nel caso di specie, i giudici di legittimità configurano quale intercettazione telematica, ex art. 266 bis c.p.p., l’acquisizione di un “file” in corso di redazione su “personal computer” mediante “screenshot” eseguito da un captatore informatico, «trattandosi di mera constatazione del dato informatico in corso di realizzazione, oggetto di “comportamento comunicativo».

Per comprendere appieno l’iter logico seguito dalla Corte, si ritiene opportuno ripercorrere brevemente la vicenda giudiziaria che ha dato origine alla quaestio de qua, che prende le mosse da un ricorso cautelare della difesa dell’indagato.

Il Tribunale del riesame di Reggio Calabria confermava l’ordinanza di custodia cautelare in carcere emessa nei confronti dell’indagato per il reato di associazione per delinquere volta alla frode nel pagamento di IVA e accise sui prodotti petroliferi e a riciclaggio dei relativi proventi. Elemento centrale per la sussistenza dei “gravi indizi di reità” era – secondo il Tribunale – il contenuto di alcune intercettazioni telematiche esperite con l’ausilio del virus Trojan relative ad operazioni economiche dalle quali si evinceva che c’erano stati numerosi pagamenti in contanti finalizzati a procurare all’indagato la provvista necessaria al perfezionamento del contratto.

Avverso tale ordinanza ricorreva per Cassazione la difesa dell’indagato, deducendo (tra l’altro) l’inosservanza di norma processuale stabilita a pena di inutilizzabilità, ex art. 606 c.p.p., lett. c) c.p.p., con riferimento all’estrazione di un file excel dal computer in uso all’indagato con l’ausilio del captatore informatico (già impiegato per l’esperimento di intercettazioni ambientali debitamente autorizzate).

A parere del ricorrente, tale attività investigativa – diversamente da come intesa dal Tribunale (che aveva qualificato tale attività quale intercettazione di atti comunicativi, dal momento che il file era stato fotografato nel corso della sua stessa formazione) – si sarebbe dovuta inquadrare nel genus delle perquisizioni informatiche, ex art. 247, comma 1 bis c.p.p., mentre la relativa acquisizione del documento informatico sarebbe qualificabile quale sequestro. Non essendo state adottate le garanzie tipiche poste a presidio dell’esperimento di tali atti investigativi (principalmente, le norme a tutela dell’intervento del difensore, ossia gli artt. 250, 365 e 369 c.p.p., e la disciplina introdotta dalla l. n. 48 del 2008 a presidio dell’acquisizione dei dati informatici), a parere della difesa l’atto sarebbe stato da qualificare quale perquisizione illegittima, escludendosi peraltro, di poter far rifluire tale “perquisizione da remoto” nella categoria della “prova atipica”, in teoria ammissibile in presenza dei requisiti previsti dall’art. 189 c.p.p.

La Suprema Corte rigetta l’eccezione difensiva, avallando la soluzione offerta dal Tribunale del riesame.

Precisamente, secondo i giudici di legittimità, lo screenshot di un file excel eseguito per mezzo di un captatore informatico non darebbe luogo al sequestro di un documento informatico preesistente all’attività investigativa ma costituirebbe intercettazione mediante captazione di un flusso di dati in fieri e non sarebbe pertanto riconducibile ad una perquisizione. Si sarebbe trattato, perciò, di «una attività di mera “constatazione” dei dati informatici in corso di realizzazione» che, pur non rappresentando una “comunicazione” in senso stretto, costituirebbe, invece, un comportamento c.d. comunicativo del quale è ammessa la captazione previo provvedimento autorizzativo dell’autorità giudiziaria.

Al fine di prendere posizione sul caso de quo, sembra doveroso comprendere le posizioni della giurisprudenza che – nei suoi illustri e isolati precedenti – tende ad assimilare due funzionalità del Trojan in modalità di online search, ossia il keylogging e gli screenshot.

In particolare, la Corte ne consacra la legittimità ritenendo che tali attività rappresentino solo una modalità nuova, stravagante e diversa di istituti giuridici tradizionali (Cass., sez. V, 21 novembre 2017, n. 1822, in Giur. it., 2018, f. 7, p. 1817).

In relazione al keylogging, una recente pronuncia della Suprema Corte chiarisce che «l’uso del Trojan […] è [volto] all’acquisizione delle password di accesso agli account di posta elettronica. Ottenute queste password, gli inquirenti […] prendono visione dei messaggi che vengono via via inviati o ricevuti e dei messaggi che vengono salvati nella cartella “bozze”». Di conseguenza, «si è usato il programma informatico […] così come si è da sempre usata la microspia per le intercettazioni» (Cass., sez. IV, 28 giugno 2016, n. 40903, in C.E.D. Cass., n. 268228).

In sostanza, a parere della Suprema Corte, la funzione di keylogging rappresenta solo una modalità alternativa alle tradizionali microspie, idonea a compiere intercettazioni telematiche (art. 266 bis c.p.p.) o ambientali (art. 266, comma 2 c.p.p.).

Sul punto, tuttavia, si avanzano delle riserve. Non sembra, invero, che il software sia adoperato per cogliere comunicazioni, quanto piuttosto per individuare ciò che viene digitato sul computer; in questo modo vengono acquisite le password che consentono l’accesso agli account di posta elettronica ed alle mail contenute.

In questi casi, «[A]ppare arduo ricomprendere la digitazione sulla tastiera di un computer necessaria per accedere ad una casella di posta elettronica nel concetto di comunicazione» (GIORDANO, 2017) , rappresentando un flusso unidirezionale di dati.

D’altra parte, l’attività acquisitiva delle credenziali di accesso alla casella di posta elettronica, prodromica all’attività intercettiva stricto sensu intesa, non così agevolmente può essere sussunta nell’àmbito di un’ispezione o una perquisizione di tipo elettronico che ha condotto al sequestro della password. Come già più volte chiarito, a fronte di un’incompatibilità intrinseca tra il captatore informatico – che determina un monitoraggio occulto e totalizzante del soggetto attenzionato – e i mezzi di ricerca della prova tipici – che si traducono in atti investigativi palesi –, sembra che l’attività de qua rappresenti un’indagine “scomposta” nella quale i risultati investigativi tipici sono il frutto di atti di indagine atipici.

Il ragionamento or ora condotto può essere in parte esteso anche all’impiego degli screenshot nel procedimento penale.

Di recente, la Corte di Cassazione ha previsto che l’acquisizione degli screenshot o dei singoli file può essere assimilata «alla captazione in tempo reale di flussi informatici transitati sul computer dell’indagato, ovvero di flussi informatici transitati sui dispositivi, rientrante, quest’ultima, nel concetto di intercettazione» (Cass., sez. V, 20 ottobre 2017, n. 48370, in Giur. it., 2017, f. 2 p. 2498 ss.).

Anche in questo caso, l’assimilazione di questa peculiare tecnica investigativa alle intercettazioni telematiche appare eccessivamente semplicistica. Pur potendo captare anche un flusso comunicativo, «[N]on si tratta di intercettazioni ambientali con l’uso del microfono; non si tratta di captare da remoto tutti i file e contenuti del supporto, bensì […] di fare una “foto” di ciò che appare a video ovvero di ciò che l’utente del telefono sta facendo» (Aterno, 1069).

Pur sussistendo un decreto con cui si autorizza l’intercettazione telematica, avvalendosi del Trojan in modalità screenshot si acquisisce in chiaro (parte di) ciò che è cifrato e che appare sullo schermo dello smartphone o di un computer nel momento in cui l’utente utilizza lo strumento informatico: con delle vere e proprie fotografie dello schermo effettuate dal software posto all’interno del dispositivo elettronico il malware acquisisce – o può comunque acquisire – le informazioni più svariate sia dei contenuti comunicativi sia di quelli non comunicativi, nonché quelle che esulano dall’interesse investigativo concretamente perseguito dagli inquirenti.

Dunque, seppur il trend seguito dalla giurisprudenza sia volto a legittimare l’impiego del captatore a prescindere dalla funzione utilizzata, l’attività svolta con il captatore informatico realizza qualcosa di «trasversale» (Conti-Torre, 562) rispetto al panorama giuridico esistente; attività che solo in parte, con interpretazioni estensive ai limiti della forzatura, è possibile far rientrare nel concetto di prova tipica.

In questi casi, si ritiene preferibile l’impostazione per cui l’attività de qua sia assimilabile alle perquisizioni online, avendo ad oggetto il monitoraggio occulto dei “movimenti” in rete atto all’acquisizione di informazioni – anche e molto spesso – non comunicative.

Non si può tuttavia negare che l’acquisizione di dati informatici condotta mediante l’impiego del malware rappresenti qualcosa di più e di diverso rispetto un’investigazione atipica “tradizionale”: controllare in modo occulto e continuativo ciò che una persona digita sulla tastiera e ciò che visualizza sullo schermo del proprio device, non solo mette a repentaglio la riservatezza genericamente intesa del soggetto monitorato ma qualcosa di molto più profondo e intimo. Il dispositivo elettronico, soprattutto se mobile, rappresenta un’appendice della persona, in grado di rivelarne i segreti più nascosti ed inconfessabili. Di qui, può sostenersi che la videoregistrazione della successione della schermata di un computer e lo spionaggio della digitazione della tastiera rappresentano attività che giungono ad un livello di invasività tale da «aggredire il foro interno di una persona» Conti-Torre, 564), riferibile a quel complesso di diritti espressamente tutelato dagli artt. 14 e 15 Cost., anche con precipuo riferimento alla protezione della proiezione dell’individuo nell’etere digitale, presidiando la sua soggettività in rapporto a qualunque dato o attività svolta nell’àmbito di un sistema informatico e della Rete.

Dalla ricostruzione or ora effettuata, emerge che gli screenshot assumano sembianze diverse a seconda dell’oggetto captato e, dunque, i risultati investigativi appresi seguono discipline diversificate con altrettanti regimi di utilizzabilità a seconda della qualifica assunta.

In particolare, nel caso in cui l’oggetto della videoripresa sia rappresentato da sole immagini (ovvero da comportamenti non comunicativi, quali, ad esempio, i movimenti dei soggetti in un ambiente), il dato probatorio acquisito soggiace alla disciplina di cui all’art. 189 c.p.p.; viceversa, allorquando vengano appresi anche contenuti comunicativi (ad esempio, due persona che dialogano tra loro a gesti), tale attività è inquadrabile nel genus delle intercettazioni ambientali, ex art. 266, comma 2 c.p.p.

In questa prospettiva, le videoriprese effettuate in un luogo pubblico, sono legittime e pienamente utilizzabili anche in assenza di un decreto autorizzativo, purché le modalità di assunzione previste dall’art. 189 c.p.p. siano state oggetto di contraddittorio, sia pure posticipato.

Nei luoghi “riservati”, soggetti alla tutela della privacy ma non a quella offerta al domicilio, la videoripresa deve essere autorizzata con apposito decreto, desumendo tale necessità dall’art. 2 Cost.

Infine, nei luoghi domiciliari gli elementi di prova acquisiti ex art. 189 c.p.p., sono inutilizzabili, in quanto basati su un’attività che la legge vieta.

La fragilità di una disciplina così congegnata – non fondata su basi normative stabili ma su interpretazioni giurisprudenziali e dottrinali peraltro ondivaghe – determina effetti perniciosi sui limiti stessi del divieto introdotto, finendo per legittimare tutte quelle attività investigative dai contorni più sfumati, al limite tra acquisizione di immagini aventi ad oggetto comportamenti comunicativi e non, anche in luoghi non perfettamente inquadrabili nelle categorie sopra indicate.

Non solo. L’erosione dei confini del divieto, combinato all’itineranza ontologica del virus informatico, potrebbe determinare l’apprensione di una mole di dati che non sempre sono esclusi dagli esiti procedimentali. A ben guardare, infatti, non sono mancate decisioni della giurisprudenza di legittimità in cui si è affermata la piena utilizzabilità delle videoriprese di comportamenti materiali realizzate in àmbito domiciliare, allorquando tale captazione fosse avvenuta “incidentalmente”, nel corso di un’attività di un’indagine volta, in base ad una valutazione ex ante, alla registrazione di comportamenti comunicativi e, dunque, autorizzata ai sensi dell’art. 266, comma 2 c.p.p.
Nel caso di specie, il fermo immagine non capta un “flusso di comunicazioni” in transito. Esso acquisisce un “flusso unidirezionale di dati” confinato all’interno dei circuiti del personal computer, ossia una relazione operativa tra microprocessore e video del sistema elettronico.
In altri termini, non sembra che il software sia adoperato per cogliere comunicazioni, quanto piuttosto per individuare ciò che viene digitato sul computer.

Non dissimilmente da una ripresa fotografica, lo screenshot acquisice dati che – in questo caso – non hanno carattere comunicativo, all’interno del domicilio informatico quale può essere comunemente definito il dispositivo elettronico infetto.

Da ciò, seguendo l’insegnamento delle Sezioni unite “Prisco” del 2006 (Cass., sez. un., 28 luglio 2006, n. 26795, in Arch. nuova proc. pen., 2006, f. 6, p. 621 ss.), si ricava un sillogismo perfetto: se lo screenshot è una videoripresa investigativa e posto che esso non acquisisce comportamenti non comunicativo nel domicilio, il dato acquisito deve ritenersi inutilizzabile[1].
Ma, si sa, l’inutilizzabilità costituisce una risposta inadeguata alla violazione dei diritti fondamentali, i cui esiti non verrebbero così scongiurati.

Bibliografia essenziale

139. ATERNO, La Cassazione, alle prese con il captatore informatico, non convince sull’acquisizione mediante screen shot, in Dir. pen. proc., 2018, f. 8, 1065 ss.; A. CAMON, voce Captazione di immagini, in Enc. dir., VI, Giuffrè, 2013, p. 143 s.; C. CONTI-M. TORRE, Spionaggio digitale nell’àmbito dei social network, in AA. VV., Le indagini atipiche, a cura di A. Scalfati, Giappichelli, II ed., 2019, p. 562; P. FELICIONI, L’acquisizione da remoto di dati digitali nel procedimento penale: evoluzione giurisprudenziale e prospettive di riforma, in Proc. pen. giust., 2016, f. 5, p. 124; L. GIORDANO, Dopo le Sezioni Unite sul “captatore informatico” avanzano nuove questioni, ritorna il tema della funzione di garanzia del decreto autorizzativo, in Dir. pen. cont., 2017, f. 3, p. 188; M. GRIFFO, Una proposta costituzionalmente orientata per arginare lo strapotere del captatore, in Dir. pen. cont., 2018, f. 2, p. 23; M. MINAFRA, Sul giusto metodo acquisitivo della corrispondenza informatica “statica”. (Prove e messaggi telematici remoti), in Giur. it., 2018, f. 7, p. 1817; W. NOCERINO, Il captatore informatico nelle indagini penali interne e transfrontaliere, Cedam, 2021; M. TORRE, Il captatore informatico. Nuove tecnologie investigative e rispetto delle regole processuali, Milano, 2017, 12 s.; G. VARRASO, Le intercettazioni e i regimi processuali differenziati per i reati di “grande criminalità” e per i delitti dei pubblici ufficiali contro la pubblica amministrazione, in AA. VV., Le nuove intercettazioni, a cura di O. Mazza, Giappichelli, 2018, p. 139.

[1] Come precisato dalla giurisprudenza di legittimità, «[L]e videoriprese effettuate “da remoto”, mediante l’attivazione attraverso un virus informatico della telecamera di un apparecchio telefonico smartphone, possono ritenersi legittime quali prove atipiche ai sensi dell’art. 189 c.p.p. salvo che siano effettuate all’interno di luoghi di privata dimora, e ferma la necessità di autorizzazione motivata dall’autorità giudiziaria per le riprese che, pur non comportando una intrusione domiciliare, violino la riservatezza personale». Così Cass., sez. VI, 26 maggio 2015, n. 27100, in Guida dir., 2015, f. 41, p. 83