11 mag 2009

Hashing ed artt. 274 e 354 c.p.p.: prova informatica e sequestro di "elementi digitali"

Corte di Cassazione, n. 11135 del 2008
Con ordinanza in data 8 luglio 2008 il Tribunale di Roma, pronunciandosi sulla richiesta di riesame presentata nell'interesse di XXX avverso il decreto (di perquisizione e) sequestro emesso dalla Procura della Repubblica presso il Tribunale di Roma in data 21 aprile 2008 ed eseguito il 5 giugno 2008, dichiarava inammissibile l'istanza limitatamente ai modelli in scala di aerei e autovetture di cui all'allegato A la verbale di sequestro (trattandosi di beni sequestrati ad iniziativa della polizia giudiziaria) e confermava il decreto di sequestro in relazione alle apparecchiature informatiche e alla documentazione sequestrate.
XXX, dipendente dell'Unicredit, era sottoposto ad indagini, tra l'altro, per i reati di sostituzione di persona, accesso abusivo ad un sistema informatico o telematico e tentata truffa per essersi appropriato dei dati anagrafici di cinque clienti della banca nonché degli user id segreti di due colleghi, utilizzandoli per registrarsi sul sito e-bay ed acquistare modellini di aerei del valore di circa 1.000,00 euro. Il Tribunale riteneva sussistenti i presupposti e le condizioni di legittimità del sequestro, rilevando in particolare l'infondatezza della doglianza difensiva riguardante la mancata applicazione dell'art. 254-bis c.p.p. (sequestro di dati informatici presso fornitori di servizi informatici, telematici e di comunicazioni), introdotto dall'art. 8 co. 5 della legge 18 marzo 2008 n. 48 di ratifica della convenzione di Budapest 23 novembre 2001 sulla criminalità informatica. Secondo il Tribunale la doglianza in questione riguardava essenzialmente i profili dell'esecuzione del sequestro e comunque l'applicazione di una norma che non era ancora entrata in vigore, essendo previsto il deposito della legge di ratifica per tre mesi presso la segreteria del Consiglio d'Europa prima della sua effettiva operatività.
Avverso la predetta ordinanza XXX ha presentato personalmente ricorso per cassazione proponendo, preliminarmente, la questione di legittimità costituzionale - in relazione agli artt. 61, 64, 70, 72, 73 e 80 Cost. - dell'art. 14 legge 18 marzo 2008 n. 48 (legge di ratifica ed esecuzione della Convenzione del Consiglio di Europa sulla criminalità informatica fatta a Budapest il 23 novembre 2001 e norme di adeguamento dell'ordinamento interno), nella parte in cui prevede che l'entrata in vigore della legge avvenga il giorno successivo a quello della pubblicazione sulla Gazzetta Ufficiale, nonché degli articoli da 1 a 14 della suddetta legge con riferimento alla procedura di approvazione seguita dal Parlamento, avendo le Camere approvato la legge, durante il periodo di prorogatio seguito al loro scioglimento, in mancanza dei presupposti previsti dall'art. 61 co. 2 Cost. trattandosi, secondo quanto prospettato dal ricorrente sulla base di una tesi dottrinaria, di legge di autorizzazione alla ratifica di una convenzione risalente nel tempo (approvata in assenza di un'effettiva urgenza che avrebbe potuto comportare, in mancanza di tempestiva approvazione, responsabilità dello Stato italiano per inadempimento di obblighi internazionali).
Con il motivo di ricorso contraddistinto dalla lettera A) il ricorrente deduce l'inosservanza della legge penale (art. 606 co. 1 lett. b c.p.p.) e, in particolare, la mancata applicazione delle norme introdotte con la legge n. 48/2008 che sarebbe entrata in vigore il giorno successivo a quello di pubblicazione nella Gazzetta Ufficiale (5 aprile 2008) e non - come erroneamente affermato nel provvedimento impugnato - una volta decorso il termine di tre mesi dal deposito presso il Segretariato generale del Consiglio di Europa della legge di ratifica (e, quindi, il 1° ottobre 2008 che era il primo giorno del mese successivo alla scadenza del termine); detto termine, previsto dall'art. 36 della Convenzione, riguarderebbe infatti l'entrata in vigore della Convenzione e la sua efficacia nei confronti degli Stati membri per quanto riguarda gli obblighi assunti e non l'entrata in vigore delle norme interne che la legge n. 48/2008 ha introdotto modificando il codice penale e di procedura penale.
Con il motivo di ricorso contrassegnato dalla lettera B) si deduce la violazione di legge in relazione all'applicazione dell'art. 254-bis c.p.p., introdotto dall'art. 5 della legge n. 48/2008, con riferimento agli artt. 247 co. 1-bis e 248 co. 2 primo periodo c.p.p. (il primo introdotto e il secondo modificato dalla legge n. 48/2008) in quanto l'art. 254-bis c.p.p. non sarebbe indicato correttamente nel decreto del pubblico ministero e nel verbale di perquisizione e sequestro dovendosi escludere che la Ugis Unicredit Global inform service, presso la quale erano stati sequestrati elementi di prova digitali e informatici, fosse un fornitore di servizi informatici, telematici e di telecomunicazioni; essendo oggetto delle indagini un file di posta elettronica di un dipendente della banca, la modalità appropriata sarebbe stata quella della richiesta di consegna di cui all'art. 248 c.p.p. e comunque si sarebbero dovute adottare le modalità previste dall'art. 247 co. 1-bis oppure dall'art. 354 co. 2 c.p.p., disposizioni modificate dalla legge n. 48/2008, per assicurare la conservazione e impedire l'alterazione e l'accesso provvedendo, ove possibile, all'immediata duplicazione su adeguati supporti mediante una procedura tale da assicurare la conformità della copia all'originale e la sua immodificabilità e, se del caso, sequestrando il corpo del reato e le cose a questo pertinenti; nel caso concreto dal verbale di sequestro non risulterebbe che le operazioni di polizia giudiziaria siano state eseguite nel rispetto delle norme in vigore.
La questione di legittimità costituzionale manifestamente infondata in quanto il ricorrente si limita a richiamare una interessante tesi dottrinaria secondo la quale sarebbe discutibile che le Camere proseguano dopo il loro scioglimento nell'approvazione delle leggi di autorizzazione alla ratifica dei trattati internazionali già stipulati, ove si tratti «di atti che comportano scelte di politica internazionale che non siano imposte dall'urgenza ovvero dall'approssimarsi della scadenza dei termini di perfezionamento imposti dal trattato». La genericità della questione, posta peraltro in termini dubitativi, esime da una compiuta disamina della questione che, anche per come è stata prospettata, appare prima facie priva di fondatezza.
Per il resto il ricorso è infondalo e va rigettato.
Va riconosciuto che le norme della legge n. 48/2008 riguardanti modifiche al codice penale e di procedura penale sono norme interne e, come tali, sono entrate in vigore nel termine previsto dall'art. 14 della stessa legge (il giorno successivo a quello di pubblicazione della legge nella Gazzetta Ufficiale, e quindi il 5 aprile 2008). Il diverso termine previsto dall'art. 36 della Convenzione sulla criminalità informatica riguarda infatti, come correttamente rilevato nel ricorso, l'entrata in vigore della Convenzione (art. 36 Conv.: «Questa convenzione entrerà in vigore il primo giorno del mese successivo alla scadenza dei tre mesi successivi alla data in cui cinque Stati, compresi almeno tre Stati membri dei Consiglio d'Europa avranno espresso il loro consenso ad essere vincolati dalla Convenzione... Nei confronti di ogni Stato firmatario che esprima successivamente il proprio consenso, la Convenzione entrerà in vigore il giorno successivo la scadenza dei tre mesi successivi la data in cui viene espresso il consenso...»). Infatti con la legge n. 48/2008 il Parlamento ha solo autorizzato il Presidente della Repubblica a ratificare la Convenzione, disponendo che alla stessa sarebbe stata data piena e intera esecuzione a decorrere dalla data della sua entrata in vigore, in conformità a quanto disposto dall'art. 36 della Convenzione (artt. 1 e 2 legge n. 48/2008). Conseguentemente, a seguito della pubblicazione della predetta legge nella Gazzetta Ufficiale n. 80 del 4 aprile 2008, si è provveduto a depositare, in data 5 giugno 2008, lo strumento di ratifica della Convenzione che, ai sensi dell'art. 36 paragrafo 4, è entrata in vigore il giorno 1° ottobre 2008. Per le norme di adeguamento all'ordinamento interno comprese nella medesima Legge vale invece, ai fini dell'entrata in vigore, quanto previsto dall'art. 14 della legge n. 48/2008 («La presente legge entra in vigore il giorno successivo a quello della sua pubblicazione nella Gazzella Ufficiate»), per cui deve ritenersi che dette norme siano entrate in vigore il 5 aprile 2008. Ciò posto, la Corte osserva tuttavia che nel caso di specie le doglianze difensive sono destituite di fondamento.
Infatti, come rilevato nel provvedimento impugnato, l'art. 254-bis c.p.p. non è stato nemmeno citato dal pubblico ministero nel decreto di perquisizione e sequestro avverso il quale è stata presentata richiesta di riesame, per cui la pur corretta affermazione difensiva secondo la quale detta norma sarebbe nel caso concreto inapplicabile (perché riguarda unicamente il sequestro presso fornitori di servizi informatici, telematici e di telecomunicazioni e tale sicuramente non è l'Ugis Unicredit Global inform service) risulta del tutto irrilevante. La mera citazione dell'art. 254-bis c.p.p. nel verbale di sequestro in data 5 giugno 2008 presso l'Ugis Unicredit Global inform service è, peraltro, trascurabile dovendosi aver riguardo - nella prospettiva difensiva dell'applicabilità nel caso concreto dell'art. 247 co. 1-bis c.p.p. o dell'art. 354 co. 2 c.p.p. alle modalità effettivamente seguite nell'esecuzione del sequestro che nel caso di specie, ad avviso della Corte, risultano conformi alla normativa in vigore. L'art. 247 co. 1-bis c.p.p. prevede infatti che la perquisizione venga eseguita «adottando misure tecniche dirette ad assicurare la conservazione dei dati originali e ad impedire l'alterazione» e l'art. 354 co. 2 c.p.p. che «in relazione ai dati, alle Informazioni e ai programmi informatici o ai sistemi informatici o telematici» vengano adottate le misure tecniche o vengano impartite le prescrizioni necessarie ad assicurarne la conservazione e ad impedirne l'alterazione e l'accesso e si provveda, ove possibile, alla loro immediata duplicazione su adeguati supporti, mediante una procedura che assicuri la conformità della copia all'originale e la sua immodificabilità. Come si evince dal verbale di sequestro, redatto in presenza del ricorrente, nel caso in esame il file oggetto del sequestro è stato masterizzato in quattro copie identiche, su altrettanti Cd-rom non riscrivibili, uno dei quali lasciato a disposizione dell'ausiliario di p.g. (tecnico dell'Ugis) che ha sottoscritto tutti i Cd-rom in questione, e quindi adottando misure tecniche (immediata duplicazione del file su quattro supporti non riscrivibili, assistenza del tecnico Ugis nominato ausiliario di polizia giudiziaria) in astratto idonee ad assicurare la conservazione e l'immodificabilità dei dati acquisiti. Ogni altra valutazione di ordine tecnico circa la necessità di effettuare l'hashing per poter eventualmente verificare se la copia del file nel Cd masterizzato sia uguale all'originale (e, quindi, se il file sia stato modificato o meno) è estranea al giudizio di legittimità, sia perché attiene essenzialmente alle modalità esecutive del sequestro sia perché comunque la normativa richiamata dal ricorrente non individua specificamente le misure tecniche da adottare, limitandosi a richiamare le esigenze da salvaguardare attraverso idonei accorgimenti, e, comunque, nel caso in esame la sezione della Polizia postale di Isernia nell'acquisizione della documentazione informatica relativa all'attività delittuosa oggetto di indagine risulta aver in concreto adottato le cautele prescritte dalla legge n. 48/2008.
Al rigetto del ricorso consegue ex art. 616 c.p.p. la condanna del ricorrente al pagamento delle spese processuali.
P.Q.M.
Dichiara manifestamente infondata la questione di legittimità costituzionale; rigetta il ricorso.

Nessun commento:

Chi legge il mio blog - Blog Visitors