Luisa Grimaldi per la sicurezza CATANIA - Un'avvocata consulente per le intercettazioni

Intervista di Paola Pacifici

CATANIA – Un’avvocata consulente per le intercettazioni

Avvocato e consulente in sicurezza. Come mai scegli questo settore?

La scelta ha radici lontane e familiari. Sono sempre cresciuta con l’idea che tutti noi abbiamo diritto a poter sentire lo spazio in cui viviamo, lavoriamo e ci muoviamo come sicuro e protetto, in tutte le accezioni possibili. Il problema, naturalmente, non è solo di percezione – concetto troppo frammentario, poiché soggetto a tanti “sentire” quante sono le sensibilità individuali – ma di effettività della sicurezza e della protezione e non parlo solo dello spazio fisico ma anche dello spazio “virtuale” o percepito come tale. E’ stato poi approfondendo determinati temi nel corso dei miei studi (e sin dall’ultimo anno di studi universitari) e della mia attività, anche forense, che si è andata modellando la passione per questo settore, tanto da spingermi a rivalutare interamente il mio percorso ed a scegliere ciò che ho capito essere la mia strada principale, pur senza tralasciare le mie passioni.

Cosa vuol dire “intercettare”, quali i metodi, perché e quando si procede?

Partiamo dalla diffusa mancanza di chiarezza circa il termine “intercettazione”. Nel comune sentire si traduce in un modo come un altro per mettere qualcuno alla gogna, in un mezzo per stigmatizzare comportamenti che, ai non addetti ai lavori, possono sembrare non adamantini e forieri di conseguenze al limite del penalmente rilevante, dare giudizi di valore in merito a situazioni di cui si ignora l’effettiva portata e le possibili conseguenze, dando così sfogo a frustrazioni di varia intensità o a semplice curiosità. Dunque, cos’è effettivamente una intercettazione? Innanzitutto, Le dico cosa non è o non dovrebbe essere: esattamente quello che Lei ha elencato. E’, invece e certamente, un mezzo di ricerca della prova nei procedimenti relativi a determinati reati, giusto il disposto dell’art.266 c.p.p. . Il codice di procedura penale italiano, infatti, dedica un intero Capo – il IV, all’interno del Titolo III del Libro III dedicato alle prove – alle intercettazioni di conversazioni o comunicazioni e ricomprende fra questi anche l’utilizzo del famoso trojan (captatore informatico su dispositivo elettronico portatile, ndr). Altra questione è ciò che attiene alla diffusione e divulgazione del contenuto. Esiste, infatti, e deve essere tutelata la riservatezza delle comunicazioni e delle conversazioni delle persone (anche di quelle occasionalmente coinvolte in eventuali indagini) e delle comunicazioni e conversazioni non rilevanti ai fini della giustizia penale. Dal punto di vista tecnico ed in linea generale possiamo definire l’intercettazione come la captazione, ad opera di un terzo e con strumenti tecnologici, delle comunicazioni tra due o più persone. E’ evidente che ci si riferisce a tutte le forme di acquisizione delle comunicazioni – telefoniche, ambientali, informatiche – ed ai diversi tipi di dati scambiati, sia che si tratti di contenuti vocali o di testo (chat ed e-mail) o anche file. A prescindere da tutto, è bene vengano fornite informazioni dirette ed affidabili sulla pratica quotidiana, piuttosto lontana dall’immaginario collettivo. Avrà anche Lei sentito dire da qualcuno “Mi intercettino pure, tanto non ho nulla da nascondere”. In realtà, la domanda giusta da farsi sarebbe la più britannica “Se non ho fatto nulla di male, perché mi vogliono intercettare?”. Ecco, l’approccio corretto alla questione è tutto qui. Volendo essere più specifici e prendendo in prestito la definizione inglese, potremmo definirle come tre macroaree dell’insieme dell’Intelligence delle Comunicazioni (COMINT). Nel linguaggio comune, per esempio, anche l’analisi dei tabulati telefonici viene fatta rientrare nel termine intercettazione quando, in realtà, è una tecnica da ricondurre a quelle di Analisi del Traffico. Come vede, lascio da parte qualificativi quali “legale-illegale” o “utilizzabile-inutilizzabile”, che attengono a valutazioni estrinseche alla tecnica in sé.  Diverse, peraltro, le tecniche impiegate. Le intercettazioni telefoniche definibili standard sono il metodo più efficace, economico e sicuro per effettuare captazioni delle conversazioni nel corso di indagini (quando applicabile, s’intende). In Italia vengono effettuate nelle quasi totalità dei casi dalle Forze di Polizia con l’assistenza tecnica degli operatori di telefonia. La struttura tecnologica privilegiata in cui viene captato il segnale vocale è rappresentata dai centri di commutazione. In queste strutture le linee telefoniche obiettivo vengono fisicamente interconnesse alle linee degli altri utenti di telefonia. Le linee captate vengono poi criptate verso i centri ascolto (normalmente Procure della Repubblica) che ne fanno richiesta. Naturalmente, tutto ha un costo (in questo caso molto inferiore rispetto a quanto si possa credere). Consideri, comunque, che i tre tipi di intercettazione che le ho indicato possono essere realizzate impiegando varie tecniche con diversità di costi, accessibilità e complessità. Ci sono sempre, però, quattro variabili da tener presente: il tipo di soggetto che esegue l’intercettazione, la presenza di rischi per la segretezza delle captazioni, l’eventuale adozione di contromisure da parte del soggetto obiettivo, l’impiego o meno di un particolare mezzo per la comunicazione da parte dell’obiettivo. Viene quindi privilegiata l’intercettazione telefonica e limitato il ricorso alle intercettazioni ambientali ed a quelle informatiche? Dipende dal caso specifico. Tenga presente che spesso la captazione di conversazione non è così semplice e vanno impiegate diverse modalità. Tautologicamente, possiamo affermare che l’intercettazione ambientale prevede l’intrusione in ambiente frequentato o in ambiente di prossimità dell’obiettivo e con una moltitudine di metodologie. Riguardo le intercettazioni informatiche, invece, bisogna aver riguardo alla cifratura ed alle tecnologie utilizzate. In linea di massima, si tratta di una combinazione di accessi presso i vari punti della rete Internet e di flussi di dati crittografati che solo i soggetti preposti possono “decifrare” e, ad ogni modo, non sono assolutamente di libera consultazione da parte di qualunque interessato. Tra l’altro chi svolge questo genere di mansioni è sottoposto a controlli e valutazioni periodiche e non una volta e per sempre.

Quali sono i settori fino ad oggi in cui si applica questo sistema ed in Italia le intercettazioni come sono fatte?

Solo ed esclusivamente sotto il controllo dell’Autorità Giudiziaria. Vi è un ben preciso regime autorizzatorio per poter da luogo all’intercettazione: occorre che questa sia autorizzata, dopo debita richiesta del Pubblico Ministero, dal Giudice per le indagini preliminari o, nei casi d’urgenza, disposta dal PM e successivamente autorizzata, in tempi tassativi (quarantotto ore) sempre dal GIP. Non è il caso di dettagliare la normativa vigente, ma casi e modi sono rigidamente e tassativamente indicati dalla legge, a pena d’inutilizzabilità e con rischio disciplinare nelle ipotesi in cui la violazione dell’altrui riservatezza delle comunicazioni sia stata volontariamente lesa. Naturalmente, anche l’impiego del trojan deve essere autorizzato. Il trojan, sostanzialmente, realizza intercettazioni ambientali “itineranti”: la captazione è in grado di avvenire ovunque il dispositivo sia collocato dal suo proprietario. Ne è consentito l’impiego riguardo tutti i reati per cui sono consentite le intercettazioni già normativamente previste. Naturalmente, bisogna sempre rispettare le condizioni poste dalla Costituzione italiana agli artt.14 e 15 e dalla Convenzione Europea dei Diritti dell’Uomo all’art.8: parliamo di compressione del diritto alla riservatezza ed è bene non dimenticarlo. Il ricorso al captatore può avvenire solo in presenza di indizi qualificati di uno dei reati tassativamente elencati dagli artt. 266 e 266 bis Cpp. e deve risultare necessario ai fini delle indagini, in assenza di mezzi investigativi meno invasivi per la privacy in grado di portare al medesimo risultato. La legge richiede una motivazione rafforzata: il decreto autorizzativo deve indicare le ragioni che rendono necessaria tale modalità nonché i luoghi e il tempo, anche indirettamente determinati, in relazione ai quali è consentita l’attivazione del microfono. Quando, poi, la captazione debba avvenire in un luogo privato, vale il generale requisito dell’attuale svolgimento dell’attività criminosa. Di regola, il trojan non è utilizzabile ai fini delle intercettazioni disposte d’urgenza dal solo pubblico ministero e sottoposte al controllo successivo del giudice per le indagini preliminari (decreto motivato sottoposto a convalida, n.d.r.). Ma a questo si affiancano delle eccezioni. Per esempio, è il caso dei procedimenti per i gravi delitti di competenza delle procure distrettuali elencati dall’art. 51 co. 3 bis e 3 quater Cpp: in rapporto a questi ultimi, l’intercettazione con il captatore è sempre consentita (art. 266 co. 2 bis Cpp). Il che non vuol dire, ovviamente, che ci si possa avvalere del trojan liberamente e omettendo di indicare le ragioni che lo rendono necessario. Devono sussistere sufficienti (e non gravi) indizi di reato e le intercettazioni devono essere necessarie per lo svolgimento delle indagini (e non assolutamente indispensabili per la prosecuzione delle medesime). La condizione imprescindibile è che il provvedimento indichi specificamente le ragioni di urgenza che rendono impossibile attendere il provvedimento del giudice. Riguardo, poi, le modalità di svolgimento delle intercettazioni con il captatore nonché gli ulteriori adempimenti finalizzati ad assicurare che i files delle tracce audio riportino fedelmente il contenuto delle conversazioni intercettate, sono previste tutta una serie di indicazioni da seguire strettamente: va indicato nel verbale delle operazioni il tipo di programma impiegato e, ove possibile, dei luoghi in cui si svolgono le comunicazioni o conversazioni. Devono essere impiegati programmi conformi ai requisiti tecnici stabiliti con decreto del Ministro della giustizia e le comunicazioni intercettate vanno conferite – dopo l’acquisizione delle necessarie informazioni in merito alle condizioni tecniche di sicurezza e di affidabilità della rete di trasmissione – esclusivamente negli impianti della Procura della Repubblica, in modo da evitarne una incontrollata circolazione al di fuori dei circuiti istituzionali. Dopo questo trasferimento, inoltre, vanno svolti controlli costanti di integrità, in modo da assicurare l’integrale corrispondenza tra quanto intercettato, registrato e trasmesso. Qualora il contestuale trasferimento dei dati intercettati non sia possibile, andrà data contezza nel verbale delle ragioni impeditive e della successione cronologica degli accadimenti captati e delle conversazioni intercettate. Al termine delle operazioni, il captatore va disattivato con modalità che ne rendano impossibili ed inidonei successivi impieghi e questa disattivazione, neanche a dirlo, va indicata nel verbale. Si tratta semplicemente di modalità tecniche da osservare per garantire l’interesse pubblico al miglior accertamento dei fatti. Un ulteriore aspetto attiene all’utilizzabilità delle comunicazioni e conversazioni acquisite con il captatore. Tralasciando i casi di inutilizzabilità generale normativamente prevista, non sono in ogni caso utilizzabili né i dati acquisiti nel corso delle operazioni preliminari all’inserimento del captatore informatico sul dispositivo elettronico portatile né i dati acquisiti al di fuori dei limiti di tempo e di luogo indicati nel decreto autorizzativo. Sono, comprensibilmente, divieti di uso volti ad impedire che il captatore sia impiegato per acquisire informazioni al di fuori dei limiti fissati nel decreto autorizzativo. Ci sarebbero poi tutta una serie di notazioni da fare circa l’utilizzabilità in altri procedimenti. Può succedere che, nonostante il decreto autorizzativo sia stato disposto in riferimento ad un certo reato, dalle intercettazioni emergano elementi conoscitivi rilevanti ai fini dell’accertamento di un altro reato. Ma non credo sia opportuno dilungarci in proposito.

Si intercetta per sicurezza, per difendere, per tutelare, per…?

Accertare ed in alcuni casi prevenire. Come le dicevo, le intercettazioni sono mezzi di ricerca della prova nei procedimenti relativi a determinati reati ma è innegabile che rivestano un ruolo fondamentale anche sul versante della sicurezza, non solo nell’attività d’indagine post crimen patratum o comunque successiva all’iscrizione della notizia di reato al modello 21.  Tanto che, in alcuni casi, è proprio la legge a prevedere l’impiego di intercettazioni preventive volte a garantire e tutelare la sicurezza prevenendo delitti che destano particolare allarme sociale. Per esempio, quelli di terrorismo. Si tratta di intercettazioni assolutamente non confrontabili con quelle di cui abbiamo discusso sino ad ora, come ha avuto modo di sottolineare anche la Corte Costituzionale italiana. Il loro compito non è “accertare” ma “prevenire” la commissione di reati e sono caratterizzate dall’avere una minore garanzia rispetto alle intercettazioni regolate dall’art. 266 c.p.p. . Non può, quindi, essere applicabile alle intercettazioni preventive la disciplina codicistica nella parte in cui prevede l’inutilizzabilità dei risultati delle intercettazioni. I controlli citati sono autorizzati dal Procuratore della Repubblica presso il tribunale del capoluogo del distretto in cui si trova il soggetto da sottoporre a controllo con decreto motivato, su istanza di vari organi quali, per citarne uno, il Ministro dell’Interno. Oggetto della richiesta è l’autorizzazione al compimento di attività eterogenee per un periodo massimo di quaranta giorni, prorogabili di ulteriori venti in venti indicandone le ragioni. Una volta effettuata l’intercettazione, la stessa viene cristallizzata in un verbale sintetico che è depositato presso la segreteria del magistrato che ha autorizzato le attività, unitamente ai supporti utilizzati, entro cinque giorni dalla fine delle operazioni. Dopo aver verificato la conformità delle attività compiute all’autorizzazione concessa, viene disposta l’immediata distruzione dei supporti e dei verbali. Ma questa è solo la base della pre -inchiesta, volta a ricercare un ulteriore dato che poi possa essere utilizzato come notizia di reato. Secondo quanto dispone l’art. 226, comma 5, disp. att. c.p.p., infatti, i risultati delle intercettazioni preventive hanno una limitata finalità preventiva, restando per il resto del tutto irrilevanti al processo. In sé, quindi, non possono costituire base di informativa o denuncia al PM, né costituire la notizia di reato appresa dal PM di sua iniziativa, né essere menzionati o posti a fondamento di atti di indagine o di provvedimenti dell’autorità giudiziaria né, ancora, costituire oggetti di deposizione testimoniale o di divulgazione extraprocessuale. Anzi, tali atti, devono immediatamente essere distrutti, così che non ne rimanga alcuna traccia. In definitiva, la disposizione esplicita ciò che si ritiene debba avvenire in tema di notizie anonime, o provenienti dai colloqui investigativi “confidenziali”, o, ancora, dalle informazioni dei servizi d’informazione o sicurezza: deve essere reciso ogni riferimento alla fonte che ha dato l’avvio alla ricerca della notizia di reato. Una volta che quest’ultima venga acquisita, la genesi con l’atto preventivo non deve risultare da alcun atto processuale, e quindi, in primo luogo, dalla stessa notizia di reato.

E oggi… e nel futuro quali saranno?

Gli ambiti operativi delle intercettazioni come tipizzate dal legislatore italiano saranno questi sino a che non verranno introdotte o riconosciute nuove fattispecie penalmente rilevanti, anche oggetto di cooperazione internazionale e di “game changing”, per così dire. Penso, ad esempio, a tutti i reati informatici, che si inscrivono nello spazio virtuale o nello spazio cyber ma con ripercussioni nella vita reale e che sconfinano nell’hacking “non etico” quando, cioè, la conoscenza della vulnerabilità di un’organizzazione o di un’azienda viene sfruttata per guadagnare soldi in maniera illegale. Ricordiamo, infatti, che l’attività di hacking è anche perfettamente legittima e professionale. L’obiettivo è vendere soluzioni a problemi. In buona sostanza, si individuano le vulnerabilità nei sistemi informativi dopo aver studiato le difese informatiche e quando si trova una falla o un punto debole si vende la soluzione. Si vende, specificamente, una consulenza che l’azienda o l’organizzazione è libera di acquistare o meno. Se la conoscenza della vulnerabilità è, invece, sfruttata per guadagnare illegalmente l’attività di hacking dà origine a crimini informatici veri e propri, che si sostanziano o sferrando l’attacco o vendendo ad altri l’informazione per poter sferrare l’attacco (che in questo modo evitano un’attività di ricerca ed informazione che può durare mesi). Il prezzo è rapportato alle dimensioni dell’organizzazione o dell’azienda: chi vende la vulnerabilità è, in linea di massima, a conoscenza del giro d’affari e, conseguentemente, del vantaggio che economico che può portare la conoscenza dell’informazione. E attenzione: “vulnerabilità” può voler dire tante cose. Dalle attività commissionate da aziende per spionaggio industriale o semplicemente per sabotare i concorrenti bloccando il loro sistema informativo, al ransomware, al phishing. Ma l’elenco è davvero lungo. Non dimentichiamo, poi, la bozza della Legge di Bilancio 2021 – allo stato accantonata – che prevedeva la creazione dell’Istituto Italiano di Cybersicurezza (IIC), una fondazione coordinata dal DIS che ne avrebbe monitorato l’operato nella promozione della cultura della sicurezza cibernetica. Alla fondazione sarebbe andato il ruolo di controllare e collaborare con i vari dipartimenti dei servizi informativi su sicurezza informatica ed asset che legano sempre più PA, aziende, protezione di infrastrutture strategiche aziendali e formazione sul campo. Cionondimeno, non tutto è intercettazione o COMINT, sebbene non se ne possa prescindere come avrà ben inteso. Non possiamo cadere nella trappola secondo cui tutto è intercettazione o tutto è intelligence: vi è una diffusa integrazione tra le due componenti. Spesso, poi, il concetto di intelligence viene malinteso. Genericamente viene accompagnato da aggettivi che ne specificano finalità (strategica, tattica, operativa), natura (situazionale o previsionale), fonte di provenienza o settore (economico-finanziario, militare e così via). Tecnicamente è “l’insieme delle funzioni, delle attività e degli organismi coinvolti nel processo di pianificazione, ricerca, elaborazione di informazioni di interesse per la sicurezza nazionale” e affonda le sue radici nel metodo analitico, quantitativo e qualitativo. Diventa importante, come da tanti sottolineato, la promozione e la conoscenza di alcuni strumenti per condividere sicurezza e protezione in un percorso – anche storico – di consapevolezza (qualcuno direbbe, giustamente, che “la conoscenza genera coscienza”). Il rapporto si gioca nella percezione dello stesso concetto di sicurezza (soprattutto dopo il caso Snowden), percepita finalmente come necessaria per il bene comune e con sbocco naturale nella condivisione della conoscenza. Un altro aspetto riguarda, come Le ho accennato prima, il perimetro cibernetico. La tecnologia si evolve con estrema rapidità e chi ha il compito di mantenere attivi i sistemi di sicurezza ha sempre dovuto adattare strategie e strumenti. La possente digitalizzazione che ha interessato l’intero tessuto produttivo e la società in generale è stato un vero salto di qualità che ha cambiato totalmente le carte in tavola anche per chi si occupa di cyber security. Tradizionalmente incentrata sul concetto di perimetro grazie ad una logica che distingue nettamente tra risorse interne alle reti ed esterne, oggi deve fare i conti con un focus transnazionale ed i pericoli che si corrono anche solo semplicemente acquistando un software da un Paese “non amico”. Di questo, però, ne potremo parlare più compiutamente se e quando l’Istituto vedrà la luce.

Le leggi italiane in merito sono “europee”?

Riguardo talune tipologie di reato, i reati informatici e la tutela dello spazio di cyber sicurezza il percorso di adeguamento è ancora incompiuto, a mio avviso. Riguardo le intercettazioni, invece, e più in generale gli strumenti di cooperazione giudiziaria in ambito penale direi che definirle tali non è certamente una chimera o una aspirazione di là dal concretizzarsi. Mi viene in mente, ad esempio, l’introduzione dell’Ordine Europeo di Indagine penale (d’ora in poi, OEI), strumento di cooperazione giudiziaria e di polizia di derivazione europea, riconosciuto ed introdotto in Italia dal luglio 2017 in seguito al Decreto Legislativo n.108 che ha attuato la Direttiva 2014/41/UE del Parlamento europeo e del Consiglio del 3 aprile 2014. Con questa Direttiva, le istituzioni europee, seguendo le indicazioni del Programma di Stoccolma del 2009, hanno elaborato un nuovo strumento ispirato al principio del mutuo riconoscimento con cui si è voluto realizzare un sistema globale di acquisizione delle prove nelle fattispecie avanti una dimensione transfrontaliera, tale da sostituire tendenzialmente tutti gli strumenti già esistenti nel settore e da potersi utilizzare per quasi tutti i tipi di prova. Ed un campo di osservazione privilegiato dell’efficacia dell’OEI nel campo delle investigazioni di polizia giudiziaria è proprio quello delle intercettazioni. Bisogna evidenziare che la Direttiva (agli art. 30 e 31), nel delineare il regime di collaborazione tra Stati membri in materia di intercettazioni, riprende la distinzione già contenuta nella Convenzione di Bruxelles del 2000, fondata sulla necessità o meno dell’assistenza tecnica di un altro Stato membro per l’esecuzione delle attività di intercettazione, indipendentemente dal luogo in cui si trovi la persona da intercettare. Riguardo le concrete modalità di espletamento delle intercettazioni in territorio straniero, bisogna partire dall’imprescindibile presenza di una “stazione di ingresso” nello Stato in cui si svolgono le attività, salvo che l’utenza mobile oggetto dell’intercettazione sia riferibile ad un gestore telefonico che abbia stipulato accordi di data roaming tali da assicurare in automatico il servizio sul territorio dello Stato nel quale l’atto deve essere eseguito. In pratica, nel caso di utenza di un gestore italiano utilizzata in un altro Stato, all’atto della chiamata il cellulare “aggancia” la cella più vicina sita nel territorio estero, che riconosce il numero telefonico (caratterizzato dal prefisso +39 nel caso di utenza italiana) ed i numeri IMSI e IMEI che caratterizzano la chiamata. La conversazione e/o comunicazione, quindi, potrà essere dirottata in Italia solo nel caso in cui sia stato siglato un accordo di attivazione dei meccanismi automatici di data roaming tra il gestore della scheda telefonica ed il gestore del sistema della stazione (cd. instradamento). L’art. 43 del Decreto, poi, regola specificamente il caso in cui sia necessario procedere ad intercettazione delle conversazioni o comunicazioni o del flusso di comunicazioni relativo a sistemi informatici o telematici in uno Stato estero che, tuttavia, non abbia in essere un accordo di data roaming con il gestore nazionale della stazione di rete. In questo caso è necessaria l’assistenza tecnica dello Stato estero in cui si trova il target dell’investigazione, che dovrà essere richiesta dal Pubblico Ministero procedente, il quale emetterà apposito OEI contenente le circostanziate informazioni previste dal Decreto n.108/2017. Dunque, nel caso in cui le operazioni di intercettazione dovessero necessitare di assistenza tecnica per l’instradamento, occorrerà che l’Autorità Giudiziaria procedente emetta una precisa richiesta all’omologa controparte estera. Di altro tenore operativo è, al contrario, l’impatto dell’OEI qualora le attività di cui si discute non richiedano l’assistenza tecnica dello Stato in cui è localizzata l’utenza intercettata. In tale ipotesi, difatti, l’art. 44 del Decreto, pone sul PM procedente un obbligo di informazione nei confronti dell’autorità giudiziaria dello Stato membro nel cui territorio si trova il dispositivo o il sistema da controllare, mediante trasmissione – avente valore di notifica – del modello che costituisce l’allegato C del Decreto in parola (c.d. Modello C). Qualora le operazioni di intercettazione siano già in corso, il PM, non appena ha notizia che il dispositivo o il sistema controllato si trovi nel territorio di altro Stato membro, provvede immediatamente a dare informazione all’Autorità Giudiziaria competente dello Stato membro interessato che le operazioni di intercettazione sono state avviate e sono in corso, mediante trasmissione del già richiamato Modello C. Infine, il PM dispone l’immediata cessazione delle operazioni di intercettazione quando l’autorità giudiziaria dello Stato membro, ricevuto il Modello C, comunica che non possono essere eseguite o proseguite. In tal caso, l’ultimo comma dell’art. 44 del decreto, dispone significativamente che i risultati dell’intercettazione possono comunque essere utilizzati alle condizioni stabilite dall’autorità giudiziaria dello Stato membro. L’impianto procedurale è coerente con l’impostazione derivante dall’applicazione del principio del mutuo riconoscimento che permea la Direttiva europea: il decreto del GIP che dispone le intercettazioni, in assenza di impedimenti tecnici (la sussistenza dei quali, come detto, richiede al contrario una specifica richiesta di assistenza), non ha infatti bisogno di essere riemesso dal collaterale estero nelle forme di un’assistenza giudiziaria, ma degrada all’obbligo di una doverosa informazione che consenta all’Autorità Giudiziaria notificata dell’attività in atto di vagliarne la compatibilità dello strumento di ricerca della prova con il proprio diritto interno. Specularmente rispetto alla procedura di emissione di un OEI contenente la richiesta di effettuazione di intercettazioni in territorio di altro Stato membro UE, l’art. 23 del Decreto prevede che al riconoscimento dell’OEI emesso per le operazioni di intercettazione da un’autorità giudiziaria estera provveda, sempre che sussistano le condizioni di ammissibilità previste dall’ordinamento interno, il Procuratore della Repubblica presso il tribunale del capoluogo del distretto nel quale devono essere compiuti gli atti richiesti. In dettaglio: il Procuratore della Repubblica dovrà trasmettere al GIP l’ordine di indagine con richiesta di esecuzione, dopo aver provveduto al riconoscimento e dopo aver specificamente verificato che siano indicati tutti gli elementi richiesti espressamente dalla normativa. Il GIP, a sua volta, rifiuta l’esecuzione quando l’atto richiesto per l’esecuzione dell’OEI non è previsto dalla legge italiana o non ricorrono i presupposti che la legge italiana impone per il suo compimento (ed in tal caso, il Procuratore della Repubblica provvede, previa comunicazione all’autorità di emissione, mediante il compimento di uno o più atti diversi e comunque idonei al raggiungimento del medesimo scopo) oppure l’OEI integri una delle ipotesi disciplinate dall’art. 10 del Decreto (ad esempio, sia inammissibile, violi il principio del ne bis in idem o i diritti sanciti dalla Carta dei diritti fondamentali dell’Unione europea) e non rientri in uno dei casi tassativamente previsti dall’art. 11 del medesimo Decreto contenente le deroghe al principio di cd. doppia incriminazione. Il rifiuto del GIP è immediatamente comunicato all’autorità di emissione a cura del Procuratore della Repubblica. L’art. 24, infine, disciplina l’ipotesi della notifica da parte dell’Autorità Giudiziaria estera (speculare a quella disciplinata dall’art. 44 del decreto, sul versante attivo) dell’intercettazione di un dispositivo, o anche di sistema informatico o telematico, in uso a persona che si trovi nel territorio dello Stato, per la quale si sta procedendo senza necessità di assistenza tecnica. In tal caso, il Procuratore della Repubblica trasmette immediatamente al GIP la notificazione dell’avvio delle operazioni effettuata dall’autorità giudiziaria dello Stato membro che procede, che – a sua volta – ordina l’immediata cessazione delle operazioni se le intercettazioni sono state disposte in riferimento a un reato per il quale, secondo l’ordinamento interno, le intercettazioni non sono consentite e ne dà contestuale comunicazione al Procuratore della Repubblica. Il Procuratore della Repubblica senza ritardo, e comunque non oltre 96 ore dalla ricezione della notifica, dà infine comunicazione all’autorità giudiziaria dello Stato membro del provvedimento di cessazione delle operazioni e della non utilizzabilità a fini di prova dei risultati delle intercettazioni eseguite. In sintesi, quindi, la ricezione dell’OEI emesso dall’autorità giudiziaria estera pone sul GIP un vero e proprio “ordine di esecuzione” che potrà essere disatteso solo qualora tale ordine si traduca nell’emissione di un decreto di intercettazione che a parità di condizioni non avrebbe potuto essere emesso in Italia: l’OEI, in questo caso, servirà a dare attuazione alle forme di assistenza tecnica necessarie per l’instradamento della comunicazione target. Caso diverso qualora si versi nel caso in cui l’espletamento dell’intercettazione non richieda l’assistenza tecnica delle autorità italiane: in tale ipotesi il GIP – entro 96 ore dalla ricezione dell’informazione che le operazioni di polizia sono in corso – potrà infatti disporne le cessazione solo nel caso in cui l’ipotesi illecita per cui si procede all’estero non rientri nel numero chiuso dei reati per i quali possono essere disposte le intercettazioni in Italia, in violazione del principio di diritto pubblico internazionale della doppia incriminazione. Come vede, non è peregrino definire “europea” la legge italiana riguardo questo settore: è già un ottimo punto di partenza attuativo, per così dire. Certo, si può sempre fare di più e meglio. Si potrebbe cercare un modo per poter “snellire” lo stretto ed imprescindibile regime autorizzatorio ma questo finirebbe poi per incidere su altri aspetti, ancor più rilevanti.

Ci sono leggi che cambieresti in merito? E se sì, quali e come?

Tutto è perfettibile: dall’aspetto sostanziale a quello procedurale. Sono sempre più necessari interventi legislativi al passo con i tempi e che non lascino fuori fattispecie con cui ormai ci si deve necessariamente confrontare giorno dopo giorno, sia nella vita privata sia nella vita professionale. Però, se proprio dovessi scegliere un aspetto che mi sta particolarmente a cuore, le direi che l’intervento legislativo avvertito sempre come necessario e mai completo è quello riguardante intercettazioni, informazioni e fughe di notizie. E’ pur sempre della vita delle persone che si sta parlando ed alcune logiche ed accadimenti sono, francamente, inaccettabili. Non si può prescindere dal diritto alla riservatezza e non si può neanche prescindere dalla qualità dell’informazione. Chi informa i cittadini esercita un compito insostituibile costituzionalmente garantito. Ma, per dirla con il Garante della Privacy, non si può sfregiare la vita delle persone ed in ogni caso anche un indagato ha diritto al rispetto della propria dignità. E’ sempre necessario il bilanciamento e l’equilibrio tra sicurezza, privacy e libertà d’informazione. Ed in assenza (o in presenza di laconicità) della norma, l’autodisciplina diventa fondamentale. Il più delle volte la pubblicazione di parti di intercettazione non aggiunge nulla alla qualità dell’informazione. Tendono ad essere distorsive e ad assecondare le curiosità, anche morbose, di chi legge, senza riflettere su quanto si possa danneggiare (qualche volta, purtroppo, anche in modo irreparabile) la dignità e la vita di una persona e pregiudicare per sempre la sua vita di relazione. Ed a volte neanche l’oblio ed il miglior analista possono aiutare. Con le persone ci vuole cura ed umanità: sempre.

E quanto è importante per un’azienda avere una consulente che si occupi della sicurezza?

E’ fondamentale ed imprescindibile, più che importante. Ancor di più se si tratta di aziende estere o che operano per lo più in ambito estero. Non si tratta di consulenza o di sicurezza in senso tipico ed ordinario. Al di là dell’aspetto di self empowerment e competenza, sono necessari anche tutta una serie di requisiti umani e collaterali, come serietà, riservatezza, la capacità di evolversi e di tenersi costantemente aggiornati senza appiattirsi su un target. Una consulente che abbia nella sicurezza il suo core business è un grande valore aggiunto anche in termini di competitività, efficienza ed efficacia dell’azienda in cui e per cui opera. 

Il tuo CV non è solo importante professionalmente ma anche ricco di esperienze. Quali quelle che ti sono state e sono più significative?

Essendo legata da vincolo di segretezza e riservatezza non posso parlare né di peccati né, tantomeno, di peccatori. Una cosa, però, mi sento di affermare: non esiste solo la luce, esistono anche le ombre. Tante, e a volte troppe e pesanti. L’importante è non giocarci mai troppo e saper discernere le une dalle altre.