Acquisizione e utilizzazione della messaggistica crittografata end-to-end – la Cassazione ancora sul caso Sky ECC

Nuovo intervento della Cassazione (Sezione 4 depositata il 13.06.2023 n. 25361) in tema di modalità di acquisizione ed analisi dell’utilizzabilità delle risultanze delle chat criptate tramite SKY ECC acquisite nel corso delle indagini.

Anche in questa occasione i giudici di legittimità ribadiscono una soluzione restrittiva con riguardo ai temi proposti dalla difesa dell’imputato attinto da misura custodiale quale partecipe di un’associazione per delinquere ai sensi dell’art. 74, commi 1, 2 3 e 4, d. P.R. 9 ottobre 1990, n. 309, aggravato ai sensi degli artt. 61 bis e 416 bis.1, cod. pen. e di ulteriori reati fine ai sensi degli artt. 81, 110 cod. pen., 73, comma 1, 6 e 80 T.U. stupefacenti, 61 bis e 416 bis.1 cod. pen. per concorso in importazione di ingenti quantitativi di cocaina.

Il compendio indiziario era prevalentemente costituito dal contenuto di comunicazioni tra gli indagati scambiate tramite messaggistica crittografata end-to-end «Sky ECC», oltre che da intercettazioni, controllo dei tabulati telefonici, geolocalizzazioni, riprese video e attività di riscontro della P.G.

Le risultanze della chat criptate erano state acquisite in forza di specifici ordini europei di indagine emessi dal PM procedente e indirizzati all’Autorità giudiziaria francese di Parigi.

Secondo i decidenti quegli OEI non avevano avuto ad oggetto un’attività investigativa da compiere ma, piuttosto, l’acquisizione di esiti di attività d’indagine che l’autorità francese aveva già svolto nel corso di autonome investigazioni; né avevano riguardato la captazione e la registrazione del messaggio cifrato in tempo reale, ma piuttosto la documentazione a posteriori di flussi di comunicazioni già memorizzate nel server allocato in Francia, inquadrabili nella disciplina dettata dall’art. 234 bis cod. proc. pen.

Nel rigettare le doglianze difensive la Cassazione ha affermato che l’Autorità giudiziaria italiana non ha il potere di verificare la legittimità del procedimento di acquisizione di documenti eseguito da un’Autorità estera.

L’utilizzazione degli atti trasmessi, infatti, non sarebbe condizionata da un accertamento da parte del giudice italiano concernente la regolarità delle modalità di acquisizione esperite dall’Autorità straniera, in quanto vige la presunzione di legittimità dell’attività svolta e spetta al giudice straniero la verifica della correttezza della procedura e l’eventuale risoluzione di ogni questione relativa alle irregolarità lamentate nella fase delle indagini preliminari (in Sez. 4, nn.16347 e 16348 del 5/04/2023; Sez. 4 n.16345 del 5/04/2023).

Testualmente la Cassazione afferma che “il diritto straniero è un fatto e spetta a chi eccepisce il difetto di compatibilità delle norme di quell’ordinamento con quelle interne dimostrarne il contenuto, e ciò tanto più laddove si tratti, come nel caso di specie, del diritto di un Paese membro dell’Unione Europea (Sez. 4, n. 19216 del 6/11/2019, dep. 2020, Rv. 274296, principio affermato in materia di intercettazioni, ma ancor più valido nel caso di acquisizione di documentazione)“.

Altrettanto, sostiene la Corte (in termini opinabili, ndr), non può essere accolta la doglianza difensiva circa l’assenza in atti delle conversazioni criptate (c.d. stringhe) in quanto rimasta in generica: secondo i giudici di legittimità, la verifica della corrispondenza tra il dato originale e quello trasmesso sarebbe risultata non astratta se la difesa avesse addotto elementi concreti quali «messaggi troncati, incompleti o dissonanti o ancor peggio non riferibili all’odierno indagato», comunque tali da far dubitare della compromissione del dato.

L’algoritmo che consente la decriptazione dei messaggi non altererebbe il contenuto del dato, essendo nozione acquisita alla scienza informatica che in assenza dell’algoritmo necessario alla decodificazione è impossibile ottenere un testo intellegibile con contenuto in lingua italiana difforme dal reale, potendosi al più avere una sequenza alfanumerica o simbolica priva di alcun senso: “la decriptazione del dato informatico è attività distinta dalla captazione e le operazioni di decodificazione del significato delle comunicazioni intercettate sono da tenere distinte dai requisiti di utilizzabilità della prova“.

La Cassazione ha concluso affermando, pertanto, che le incertezze circa la correttezza della decodificazione delle intercettazioni utilizzabili attengono al valore e alla portata probatoria delle comunicazioni decriptate e quindi non possono avere ingresso nel giudizio ove la difesa non alleghi argomenti a sostegno di errori nella lettura e/o nella interpretazione dei messaggi captati (in tal senso anche Sez. 1, n. 6364 del 13/10/2022, dep. 2023; Sez. 4, n. 29866 del 08/07/2022).

Un’altra pronuncia che sembra interpretare in senso sicuramente restrittivo il diritto al contraddittorio espressamente previsto dall’art. 111 c. 2 Cost. e che trova concreta attuazione attraverso la possibilità di piena partecipazione all’attività istruttoria ovvero, secondo la più ampia accezione elaborata dalla Corte Europea dei Diritti dell’Uomo in applicazione dell’art. 6 Cedu, attraverso la possibilità di controllo sul procedimento di formazione della prova quando la partecipazione non sia possibile in ragione della natura dell’attività svolta.

L’impossibilità di controllo sulle modalità acquisitive incide sulla garanzia di verifica della genuinità del dato informatico, perché ostacola, oltre che il riscontro sulla natura dell’attività investigativa concretamente svolta, anche l’accertamento della corrispondenza tra il dato originario criptato e il messaggio di testo reso intellegibile.