La Cassazione sezione 6 con la sentenza numero 10611/2024 ha stabilito che sono utilizzabili i risultati di intercettazioni ambientali eseguite tramite un captatore informatico che, anziché trasmettere i dati captati immediatamente nel server della Procura della Repubblica per la loro registrazione, li ha inoltrati prima ad un “server di transito” dal quale sono stati poi trasferiti al server installato presso la Procura della Repubblica.
La Suprema Corte in merito alla legittimità della procedura adottata per la registrazione delle captazioni, con quel che ne deriva per la utilizzabilità delle intercettazioni, va osservato che l’art. 268, comma 1, cod. proc. pen. attribuisce precipua rilevanza alla registrazione delle operazioni di intercettazione, stabilendo che «le comunicazioni intercettate sono registrate e delle operazioni è redatto verbale», e che le operazioni di registrazione «possono essere compiute esclusivamente per mezzo degli impianti installati nella Procura della Repubblica».
Poiché gli impianti di registrazione vanno collocati negli uffici della Procura della Repubblica, occorre un dispositivo (il “traslatore”) che devii la comunicazione presso tali locali. L’intercettazione segue fasi con autonoma e diversa rilevanza sul piano giuridico: captazione, registrazione, ascolto, verbalizzazione.
La captazione delle conversazioni (l’intercettazione in senso stretto), non può che effettuarsi fuori dagli uffici della Procura; i file vocali sono immagazzinati in memorie informatiche centralizzate e lo scaricamento dei dati sui supporti è un segmento dell’intercettazione autonomo rispetto alla registrazione, che consiste nella immissione dei dati nella memoria informatica centralizzata (server) che si trova nei locali della Procura della Repubblica a ciò destinati.
A questo segmento della attività di intercettazione si riferiscono l’art. 268, comma 3, cod. proc. pen. — nel disporre che le operazioni possono svolgersi solo per mezzo degli impianti installati nella Procura della Repubblica (mentre le altre attività possono svolgersi ovunque) — e l’art. 268, comma 6, cod. proc pen. nel disporre che «ai difensori delle parti è immediatamente dato avviso che, entro il termine fissato a norma dei commi 4 e 5, hanno facoltà di esaminare gli atti e ascoltare le registrazioni ovvero di prendere cognizione dei flussi di comunicazioni informatiche o telematiche».
Le attività di ascolto, verbalizzazione o eventuale riproduzione dei dati registrati, possono essere eseguite altrove (cd. remotizzazione) perché non pregiudicano le garanzie della difesa, alla quale è sempre consentito l’accesso alle registrazioni originali (Sez. U, n. 36359 del 26/06/2008, Carli, Rv. 240395; Sez. 5, n. 1781 del 28/10/2021, dep. 2022, Rv. 282427; Sez. 6, n. 47504 del 17/11/2015, Rv. 265753).
Né rileva che i files audio registrati non siano trasmessi automaticamente dagli apparecchi digitali adoperati per le captazioni tra presenti, ma siano periodicamente prelevati dalla polizia giudiziaria incaricata delle operazioni e riversati manualmente nel server della Procura della Repubblica (Sez. 6, n. 34671 del 26/10/2020, , Rv. 280113; Sez. 1, n. 52464 del 08/11/2017, Rv. 271541).
Su queste basi, con adeguata motivazione la Corte di appello ha rigettato il primo motivo del ricorso di D. di cui ha ribadito le ragioni nella sentenza impugnata.
La Corte d’appello ha argomentato che l’art. 268, comma 3, cod. proc. pen., quando stabilisce che le operazioni possono compiersi esclusivamente per mezzo degli impianti installati nella Procura della Repubblica si riferisce solo alla attività di registrazione (segmento della più complessa attività di intercettazione) e che i principi espressi dalle Sezioni Unite sono validi anche per le intercettazioni effettuate tramite il captatore informatico (cit., n. 36359 del 26/06/2008).
Inoltre, ha valutato che dagli accertamenti dell’Autorità giudiziaria di Perugia in un procedimento in cui sono state compiute intercettazioni con un trojan horse risulta che i server “CSS” e “HDM” sono meri server di transito, sicché non è violato l’art. 268, comma 3, cod. proc pen.
Su queste basi, ragionevolmente, la Corte ha ritenuto che la richiesta di perizia avanzata dalla difesa del ricorrente fosse meramente esplorativa e generica, perché non supportata da elementi concreti per ipotizzare anomalie nelle intercettazioni e alterazioni dei contenuti delle conversazioni nel presente procedimento.
Questo tanto più vale considerando che la Polizia giudiziaria, al termine delle operazioni di intercettazione, ha attestato che le operazioni di registrazione avvennero nella sala di ascolto della Procura di Palermo, con le apparecchiature della RCS-ETM Sicurezza, come prescritto dall’art. 267, comma 4, cod. proc. pen.
Nel ricorso si argomenta, inoltre, che la prima registrazione delle comunicazioni intercettate è stata eseguita dall’impianto gestito dalla RCS, che non può considerarsi un mero «server di transito» perché riceve, ricostruisce, trasferisce e cancella il flusso comunicativo intercettato dal captatore. Ancora, si rileva che diversamente dalle microspie utilizzate per le intercettazioni ambientali (che si attivano autonomamente quando viene captato un rumore nell’ambiente circostante) il trojan virus è azionato dall’operatore (sicché l’Autorità giudiziaria deve indicare tempi e luoghi di attivazione del microfono ex art. 267, comma 1, cod. proc. pen.).
Infine, quando si elabora il dato, per prepararlo alla fruizione umana, lo si espone a attività esterne non autorizzate e la RCS non applica ai dati in transito meccanismi per garantire che non siano modificati nel tragitto i attraverso i vari server.
Su queste basi il ricorrente conclude che l’incertezza sul luogo di effettivo svolgimento delle operazioni di registrazione produce una inutilizzabilità patologica, rilevabile anche nel giudizio abbreviato.
Tuttavia, al riguardo, va chiarito che con l’espressione «server di transito» si intende un server in cui i dati informatici confluiscono e vengono trasferiti da un nodo sorgente a un nodo-destinazione senza che questi possano essere da questo immagazzinati.
Nel caso in esame, il server della RCS ha ricevuto i dati informatici li ha captati e ne ha creato una copia digitale trasferita ai server installati presso i locali della Procura della Repubblica; successivamente ha cancellato i dati acquisiti, svolgendo tutte le operazioni in modo automatico, senza interventi umani.
Siffatta attività rientra nella nozione di server di transito, perché tramite la serie di operazioni che la compongono, i dati transitano all’interno del server prima di arrivare alla destinazione finale, ma senza che possano essere da questo registrati e riutilizzati.
Il server “CSS” gestito dalla “RCS”, come evidenziato anche dall’Autorità giudiziaria di Perugia in un caso analogo, riceve e immagazzina i dati — che poi vengono trasferiti nei server posti nei locali della Procura per la fase di registrazione solo per lo stretto tempo necessario alle operazioni.
L’informativa di polizia giudiziaria richiamata dai ricorrenti, pur segnalando che «a presidio dell’integrità del dato captato, non essendo state implementate nel sistema funzioni di hashing o firma digitale, si pone solo il codice (denominato ID Agent) che contraddistingue il singolo spyware di volta in volta operativo e i protocolli di trasferimento di sicurezza HTTPS, non garantendo univocamente che un determinato dato non possa esser stato modificato», ha evidenziato anche che, per alterarlo, «occorrerebbe aggirare il protocollo di sicurezza ed avere accesso all’interno del sistema stesso, e a tal proposito la circostanza di un accesso abusivo potrebbe verosimilmente essere verificata mediante l’analisi dei files di log presenti sul sistema».
La stessa informativa, come rimarcato dalla Corte di appello, riconosce, poi, che il server “CSS” è un server «di transito» e che il tempo che impiega per cancellare automaticamente i dati dal server di passaggio precedente, «salvo anomalie», è di circa 2-3 minuti.
Ne consegue che l’attività di registrazione, l’unica da effettuarsi necessariamente (a pena di inutilizzabilità dei dati captati) nei locali della Procura della Repubblica, si svolgeva proprio in tale sede, come confermato dal verbale redatto dalla Polizia giudiziaria al termine delle operazioni di intercettazione sopra richiamato.
Relativamente, invece, alla mancata indicazione da parte dell’Autorità giudiziaria dei tempi e dei luoghi di attivazione del microfono ex art. 267, comma 1, cod. proc. pen. occorre ribadire che le modifiche apportate all’art. 89 disp. att. cod. proc. pen. non si applicano al procedimento in esame per il principio tempus regit actum (Sez. 5, n. 38213 del 15/09/2022, Rv. 283875; Sez. 6, n. 39289 del 06/10/2011, Rv. 251057; Sez. 4, n. 27891 del 04/05/2004, Rv. 229075) e comunque per espresse previsioni normative (il d. l. 30 dicembre 2019, n. 161, convertito con modificazioni dalla I. 28 febbraio 2020, n. 7, come modificato dal dl. 30 aprile 2020, n. 28) che hanno disposto (con l’art. 2, comma 8) che «Le disposizioni del presente articolo si applicano ai procedimenti penali iscritti successivamente al 31 agosto 2020, ad eccezione delle disposizioni di cui al comma 6 che sono di immediata applicazione»).
Né il mancato riferimento al luogo di svolgimento dell’intercettazione tra presenti costituisce presupposto di autorizzabilità, necessario per il rispetto dell’art. 8 CEDU, perché è consentito, in alternativa, ricorrere all’indicazione del destinatario di essa, considerando anche la natura itinerante della captazione (Sez. 5, n. 35010 del 30/09/2020, cit.).
TERZULTIMA FERMATA 