Sei sulla pagina 1di 40

I CAPITOLO – NORMATIVA EUROPEA IN MATERIA DI

REATI INFORMATICI

SOMMARIO: 1. R(89) 9: Il primo approccio europeo ai reati informatici – 2. R(95)


13: Tecnologia dell’informazione e procedura penale – 3. Convenzione di Budapest –
4. L’accesso tran frontaliero diretto ai dati informatici – 5. Cooperazione giudiziaria
europea in materia penale – 6. Direttiva 2013/40 UE: tutela dei sistemi di
informazione – 7. Ordine di indagine europeo (OEI) – 8. Procura europea

1. Raccomandazione R (89) 9: il primo approccio normativo ai reati


informatici
Come è sotto gli occhi di tutti, negli ultimi decenni, la nascita e lo sviluppo della rete
ha sortito, potremmo dire, una rivoluzione copernicana ridisegnando ogni ambito del
nostro vivere quotidiano. Se indiscutibili sono le enormi opportunità di crescita che le
nuove tecnologie portano in dote, non vanno tuttavia sottaciuti i lati negativi del
progresso, primo fra tutti, la nascita di nuove categorie di comportamenti delittuosi,
i cosiddetti computer crimes: l’avvento del digitale, oltre a creare nuova criminalità,
ha per così dire rivisto la fisionomia di quella vecchia, determinando un aumento
esponenziale della frequenza con la quale gli illeciti classici sono commessi
attraverso lo strumento informatico1.
La prima risposta in ambito europeo ai “delitti della modernità” viene data il 13
settembre del 1989 dal Consiglio d’Europa con la Raccomandazione R (89) 92.
Il documento, pur avendo valore meramente esortativo3, è di grande interesse poiché,
nel redigere due liste differenti, elabora una doppia tipologia di reato informatico,
distinguendo le condotte che gli Stati devono reprimere senz’altro penalmente da
quelle per le quali si rimanda alla valutazione discrezionale del legislatore nazionale
la scelta del tipo di tecnica sanzionatoria.

Al primo gruppo, inserito all’interno della “lista minima”, appartengono:


1
S.W. BRENNER, in Defining Cybercrime: a review of Federal and State law, 2004, si chiede se i cybercrimes
rappresentino nuove forme di criminalità oppure se la novità non stia tanto nel fatto che le nuove
tecnologie ed Internet costituiscano l’obiettivo delle attività criminali, quanto che i computer e le nuove
forme di comunicazione interattiva rappresentino solo nuove forme strumentali per commettere o
preparare reati di tipo tradizionale, tanto da poter parlare di «old wine in new bottles».
2
Cfr. Council of Europe Recommandation Nº R (89) 9, in Riv. Trim. Dir. Pen. Econ., 1992, 378.
3
Come noto, nel diritto comunitario la raccomandazione, insieme al parere, è un atto privo di efficacia
vincolante, diretto agli Stati membri e contenente l’invito a conformarsi a un certo comportamento. E’ una
delle fonti di cui il Trattato non impone la pubblicazione sulla Gazzetta Ufficiale.
 La frode informatica, consistente nella «introduzione, alterazione,
cancellazione o soppressione di dati o programmi o in qualsiasi altra ingerenza
in un procedimento di elaborazione di dati che, influenzandone il risultato,
cagioni ad altri un pregiudizio economico o materiale, al fine di procurare a sé
o ad altri un ingiusto profitto»;
 Il falso in documenti informatici, ovverosia l’«introduzione, l’alterazione, la
cancellazione, o la soppressione di dati o programmi informatici o con
qualsiasi altra ingerenza in un procedimento di elaborazione di dati, in maniera
o in condizione tale che, in base al diritto nazionale, sarebbe stato integrato un
reato di falso se l’azione avesse riguardato un oggetto tradizionale»;
 Il danneggiamento di dati o programmi, che avviene tramite «cancellazione,
alterazione, deterioramento o soppressione senza diritto»;
 Il sabotaggio informatico, che diversamente dall’ipotesi precedente, si ravvisa
nella «introduzione, alterazione, cancellazione o soppressione di dati o
programmi, ovvero nell’ingerenza in un sistema informatico, avendo
l’intenzione di ostacolare il funzionamento di un sistema informatico o di un
sistema di telecomunicazione»;
 L’accesso non autorizzato «ad un sistema informatico o ad una rete
informatica, violando delle misure di sicurezza»;
 L’intercettazione non autorizzata «con l’impiego di mezzi tecnici, di
comunicazioni destinate a, provenienti da, o nell’ambito di, un sistema o una
rete informatici»;
 La riproduzione non autorizzata di un programma protetto, fattispecie che
contempla anche la «diffusione o comunicazione al pubblico» di tale
programma;
 La riproduzione non autorizzata di una topografia «protetta dalla legge, di un
prodotto a semiconduttori, ovvero allo sfruttamento commerciale o
all’importazione a tal fine di una topografia o di un prodotto a semiconduttori,
fabbricato usando quella topografia».
Al secondo gruppo, incluso nella “lista facoltativa”, si trovano:
 L’alterazione di dati o di programmi informatici non autorizzata (e sempre che
il fatto non costituisca un danneggiamento di dati e programmi);
 Lo spionaggio informatico che si verifica nel «conseguire attraverso mezzi
illeciti ovvero nel divulgare, trasferire o utilizzare senza averne diritto e senza
alcuna giusta causa un segreto commerciale o industriale, avendo l’intenzione
di cagionare un pregiudizio economico al titolare del segreto o di ottenere per
sé o per altri un ingiusto profitto»;
 L’utilizzazione non autorizzata di un elaboratore (o di una rete informatica),
quando chi agisce «accetti un rischio non indifferente di cagionare un
pregiudizio al legittimo utente del sistema o di danneggiare il sistema o il suo
funzionamento, oppure abbia l’intenzione di cagionare un pregiudizio al
legittimo utente del sistema o danneggi il sistema o il suo funzionamento»;
 L’utilizzazione non autorizzata di un programma informatico protetto, che sia
stato (da altri) abusivamente riprodotto «avendo l’intenzione di ottenere per sé
o per altri un ingiusto profitto, o di cagionare un pregiudizio al titolare dei
diritti sul programma».
All’organismo europeo non premeva dare una definizione univoca al fenomeno:
voleva piuttosto sottolineare l’esigenza di armonizzare le normative dei vari Stati,
indispensabile per contrastare efficacemente una gamma di crimini strutturalmente
transfrontalieri e sovranazionali.

2. Raccomandazione R (95) 13
A seguito delle difficoltà avvertite da più parti nell’utilizzo di procedure ad hoc per la
prevenzione degli illeciti informatici, il Consiglio d’Europa è costretto ad intervenire
di lì a breve con una nuova Raccomandazione che viene approvata l’11 settembre
1995 e riguardante le procedure del diritto nei casi di crimini commessi nell’ambito
dell’Information Technology (IT)4.
Nel documento vi è esplicita consapevolezza, da una parte, del rischio che i sistemi
elettronici di informazione possano essere usati per commettere dei reati, e, dall’altra,
che gli Stati membri non dispongano ancora di mezzi appropriati per la raccolta delle
prove nel corso delle investigazioni5. Su questo punto, l’Unione afferma l’importanza
dell’adozione di un adeguato apparato normativo che permetta agli organi inquirenti
di avvalersi di tutte le misure tecniche necessarie per rendere possibile la raccolta del
traffico di dati nell’investigazione di gravi offese alla riservatezza, all’integrità e alla
sicurezza delle comunicazioni telematiche ed informatiche.
La Raccomandazione, inoltre, suggerisce la creazione di specifici obblighi per gli
operatori di networks pubblici e privati (service provider) 6, con attenzione particolare
all’obbligo di dotarsi di qualsiasi dispositivo tecnico necessario a favorire
l’intercettazione delle telecomunicazioni e l’eventuale identificazione degli utenti.

4
Per Information Technology (IT) si intende letteralmente la tecnologia dell’informazione, ovvero la
tecnologia usata dai computer per creare, memorizzare e utilizzare l’informazione nelle sue molteplici
forme (dati, immagini, presentazioni multimediali, ecc.). Sull'applicazione in seguito più ampia del termine,
Keary, in A. RALSTON, D. HEMMENDINGER, E.D. REILLY, (a cura di), Encyclopedia of Computer Science, 2000,
p. 869, commenta: «Nella sua accezione originaria, l'espressione "tecnologia dell'informazione" descriveva
la convergenza delle tecnologie con applicazioni nell'ampio campo della memorizzazione, recupero,
elaborazione e disseminazione di dati. Quest'uso concettuale del termine da allora è stato convertito in ciò
che si presuppone essere l'uso concreto, senza il rinforzo di una definizione. Il termine TI manca di sostanza
quando viene applicato al nome di una qualsiasi funzione, disciplina o posizione».
5
Cfr. L. AUDIA, I crimini informatici, in M. MEGALE (a cura di), ICT e diritto nella società dell'informazione,
2016, p. 189.
6
L’ISP, o Internet Service Provider, è un'azienda che, a pagamento, fornisce ai clienti registrati (privati o
aziende) l'accesso ad Internet e ad altri servizi web. Fornendo il software necessario, parole chiave, user
account e numero di telefono di connessione, gli ISPs offrono ai loro clienti la possibilità di navigare sul WEB
e di scambiare e-mail con gli altri. Alcuni ISPs offrono inoltre servizi supplementari. I provider più noti in
Italia sono Telecom, Tiscali, Fastweb e tutti, oltre alla possibilità di accedere a internet, offrono spazi web
per costruire un sito e registrare il proprio dominio, nonché caselle di posta elettronica.
In chiusura, ma non per minore importanza, si deve sottolineare il richiamo al
principio secondo cui le norme di legge di carattere procedurale, inerenti il valore
probatorio dei documenti tradizionali, dovrebbero essere applicate ai dati e alle
informazioni contenute negli elaboratori informatici.
Il sempre più frequente utilizzo delle tecnologie informatiche ha convinto nel
febbraio del 1997 il Consiglio d'Europa a costituire un Comitato di esperti che, in
circa quattro anni di lavoro, ha elaborato una Convenzione7 che esaminasse assieme
questioni tanto di diritto penale sostanziale che di diritto procedurale: si considerino
su tutti i profili riguardanti le infrazioni commesse in ambito informatico e quelli
relativi alla determinazione della competenza nei confronti di questi illeciti.

3. La Convenzione di Budapest
Con queste premesse, a Budapest, il 23 Novembre 2001, si giunge all’adozione della
Convenzione sulla Criminalità Informatica che, in 46 articoli raggruppati in 4 capitoli
e un preambolo, rappresenta il primo accordo multilaterale pensato per affrontare
giuridicamente i problemi posti dall’espansione delle attività criminali aventi ad
oggetti reati informatici8.
L’accezione del sintagma “reati informatici” deve essere ritenuta onnicomprensiva,
in quanto nel documento vengono presi in esame tutti i reati in qualunque modo
commessi mediante un sistema informatico e quelli di cui si debbano, o possano,
raccogliere prove in forma elettronica.
Concordemente alla miglior dottrina, si può ritenere che «l’obiettivo primario della
Convenzione risiede[sse] nell’esigenza di introdurre un minimum target di tutela dei
beni giuridici offesi dai cybercrimes ed un livello minimo essenziale comune di
strategie di contrasto a tali illeciti, soprattutto in ragione della loro natura
tendenzialmente trans-nazionale, che comporta chiaramente la necessità
dell’armonizzazione della relativa normativa di contrasto nell’ambito dei vari
ordinamenti»9.
Le principali direttrici del trattato si possono così sintetizzare:
1. Uniformare gli elementi fondamentali delle fattispecie di reato nei singoli
ordinamenti per realizzare una migliore tutela dei beni giuridici offesi;
2. Dotare ciascun Paese di un corpus legislativo efficace per lo svolgimento delle
indagini ed il perseguimento dei crimini correlati all’area informatica;
3. Costruire un efficace regime di cooperazione internazionale.

7
Alla preparazione di tale Convenzione hanno contribuito anche Paesi non appartenenti al Consiglio
d’Europa: Stati Uniti, Canada, Sudafrica e Giappone.
8
Cfr. C. BLENGINO, I reati informatici, in M. DURANTE – U. PAGALLO (a cura di) Manuale di informatica
giuridica e diritto delle nuove tecnologie, 2012, p. 224 ss.; F.R. FULVI, La convenzione cybercrime e
l`unificazione del diritto penale dell`informatica, in Dir. Pen. Proc., n. 5, 2009, p. 639.
9
F. RESTA, Cybercrime e cooperazione internazionale nell’ultima legge della legislatura, in Giur. Merito, n. 9,
2008, cit., p. 2159. Sugli obiettivi della convenzione si vedano anche: C. PARODI - A. CALICE, Responsabilità
penali ed Internet, 2001, p. 167 ss.; L. PICOTTI, Internet e diritto penale: il quadro attuale alla luce
dell’armonizzazione internazionale, in Dir. Internet, n.2, 2005, pp. 189 ss.; SARZANA, La Convenzione
europea sulla cyber criminalità, in Dir. Pen. Proc., n.4, 2002, p. 806 ss.
Per conseguire siffatti traguardi, dopo aver individuato nella sicurezza informatica
il bene giuridico da proteggere10, onde incrementare la fiducia nel cyberspazio quale
terreno propizio per un fecondo sviluppo culturale e socio-economico, l’art. 1 della
Convenzione offre alcune definizioni così da omogeneizzare le nozioni di “sistemi
informatici”, “dati informatici”, “fornitori di servizi” e “dati relativi al traffico”.
Quanto al “sistema informatico”, si intende come tale qualsiasi apparecchiatura o
gruppo di apparecchiature, interconnesse o collegate, una o più delle quali, compiono
l’elaborazione sistematica dei dati. Si tratta di una formulazione talmente ampia da
poter includere ogni strumento elettronico, informatico o telematico 11, nonché tutti i
dispositivi di ultima generazione che, per mezzo di un software o soltanto di un
firmware12, riescano ad elaborare informazioni o comandi13.
10
Riguardo l’identificazione del bene giuridico tutelato dal diritto penale informatico, è stata rimarcata in
dottrina «l'impossibilità di delineare un bene giuridico tutelabile che sia ad esse direttamente riconducibile.
Più correttamente dovremmo parlare di un collegamento tra le suddette discipline ed i beni
dell'ordinamento già considerati meritevoli di tutela, per i quali devono semplicemente essere introdotte,
ove necessario, nuove fattispecie di reato alle quali non sia applicabile la norma penale neppure mediante
una lettura estensiva, in chiave tecnologica, della sua portata». Del resto, si aggiunge che «Internet ha
segnato la nascita di un nuovo interesse degno di tutela, che potremmo definire come bene giuridico
informatico, nozione ampia ed eterogenea che ricomprende qualunque “oggetto”, anche immateriale,
giuridicamente rilevante nella sua dimensione tradizionale, suscettibile però di digitalizzazione […] oppure
di lesione digitale, cioè di offesa diretta tramite la tecnologia informatica». Così, F. BOEZIO – G. BRUSTIA,
I crimini informatici, in S. DI GUARDO - P. MAGGIOLINI - N. PATRIGNANI (a cura di), Etica e responsabilità
sociale delle tecnologie dell'informazione, vol. I, 2010, pp. 261-310.
11
Per sistema informatico si intende il complesso delle apparecchiature di raccolta e di elaborazione di dati,
composto sia da elementi hardware (il computer e, in particolare, il suo hard disk) che da elementi
software (i programmi installati nel computer). Un contributo significativo per l’inquadratura del concetto è
stato dato da una pronuncia piuttosto risalente della Corte di Cassazione, secondo la quale è sistema
informatico «un complesso di apparecchiature destinate a svolgere qualsiasi funzione utile all’uomo
attraverso l’utilizzazione, anche solo parziale, di tecnologie informatiche, che sono caratterizzate per mezzo
di un’attività di “codificazione” e “decodificazione” dalla “registrazione” o “memorizzazione” […] di “dati”,
cioè di rappresentazioni elementari di un fatto». Così, Cass. pen., sez. VI, 4.10-14.12 1999 n. 3067. Si può,
invece, ritenere telematico un sistema formato da un insieme di sistemi informatici connessi tra loro
attraverso una rete elettrica ovvero mediante un sistema di trasmissione via etere al fine di trasmettere e
ricevere informazioni (l’esempio classico è quello di Internet). Con riguardo al fattore discriminante, si è
osservato che «l’elemento che consente di ravvisare un sistema «telematico» in luogo di un mero
dispositivo di trasmissione a distanza di segnali (come il telefono o il fax) è dato proprio dal fatto che ad
essere collegati tra loro sono due (o più) sistemi «informatici» : tipico è il caso dei sistemi di posta
elettronica o di connessioni tramite terminali remoti (per esempio il bancomat)». Così, G. STALLA, L’accesso
abusivo ad un sistema informatico o telematico.
12
Il firmware, crasi dei due termini inglesi firm (stabile) e ware (componente), è un programma integrato
direttamente all'interno di un componente elettronico (non solo dispositivi “completi” come computer o
smartphone ma anche schede di espansione, integrati e periferiche varie). Il suo compito è “avviare”
il componente e permettere a quest'ultimo di entrare in comunicazione con altre schede o componenti del
dispositivo su cui sono installate. Il firmware, quindi, non contiene solamente istruzioni operative sul
funzionamento del dispositivo ma anche protocolli di comunicazione che rendono possibile lo scambio di
informazioni tra varie parti del sistema. Il nome stesso, cioè “componente stabile”, sta a indicare che il
codice del firmware è “bloccato” e non direttamente modificabile dall'utente finale, trattandosi del
delicatissimo punto di incontro tra componenti logiche e componenti fisiche (ovvero tra la componente
hardware e la componente software) del dispositivo.
13
Rientrano pertanto nella nozione il più piccolo personal computer ma anche un telefono cellulare
Con dato informatico si indica qualunque rappresentazione di fatti, informazioni o
concetti in forma idonea per l’elaborazione con un sistema informatico, incluso un
programma in grado di consentire ad un sistema informatico di svolgere una
funzione. In questo caso, la definizione consta di due elementi, il dato in senso stretto
ed i programmi, entrambi memorizzati in forma digitale di byte all’interno di file, ma
caratterizzati da funzioni differenti: i primi sono i dati dell’utente, generati e salvati
con l’uso di un applicativo e che costituiscono la rappresentazione digitale di un
documento (testo, immagine); i secondi, normalmente coincidenti con i software,
sono invece un insieme di files che vengono richiamati gli uni dagli altri a seconda
dei comandi impartiti dall’utente.
Il dato informatico è sempre incorporato in un supporto fisico, anche se la sua
fruizione tramite la rete fa perdere di vista la sua “fisicità”. La visualizzazione del suo
contenuto avviene con l’aiuto del programma browser che lo rende visibile.
L’art. 1, proseguendo, parla poi di service provider e di trasmissione di dati.
Il “prestatore di servizi” è qualunque entità pubblica o privata che fornisce agli utenti
dei propri servizi la possibilità di comunicare attraverso un sistema informatico; come
pure qualunque altra entità che processa o archivia dati informatici per conto di tale
servizio di comunicazione o per utenti di tale servizio.
La “trasmissione di dati” è infine ogni informazione computerizzata relativa ad una
comunicazione avvenuta con un sistema informatico che costituisce una parte nella
catena di comunicazione, indicando l'origine della comunicazione, la destinazione,
il percorso, il tempo, la data, la grandezza, la durata o il tipo del servizio.

Nella sezione prima del capitolo secondo (articoli 2 a 11), sono previste un certo
numero di misure normative di diritto penale sostanziale che le parti devono adottare
a livello nazionale per contrastare quelle condotte di aggressione ai sistemi
informatici, purché tenute intenzionalmente e senza autorizzazione.
Si specificano, in altrettanti titoli, quattro categorie di reati:
1. Reati contro la riservatezza, l’integrità e la disponibilità dei dati e dei sistemi
informatici14:

14
L’Unione Europea ha peraltro adottato due direttive per riavvicinare le disposizioni nazionali in materia di
tutela della riservatezza con riguardo al trattamento dei dati personali: la Direttiva 2002/58/CE relativa alla
vita privata e alle comunicazioni elettroniche del 12 luglio 2002 garantisce il trattamento dei dati personali
e la tutela della vita privata nel settore delle comunicazioni elettroniche, mentre la Direttiva 95/46/CE del
Parlamento europeo e del Consiglio del 24 ottobre 1995 (Direttiva sulla protezione dei dati personali)
armonizza le norme nazionali che impongono ai “responsabili del trattamento” pratiche di gestione dei dati
di elevata qualità e il rispetto di una serie di diritti degli individui. Quest’ultima è stata abrogata dal
Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio, entrato in vigore nel maggio 2016
insieme ad un altro importante atto alla Direttiva (UE) 2016/680, che invece si occupa della protezione delle
persone fisiche con riguardo al trattamento dei dati personali da parte della autorità competenti a fini di
prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali – incluse la
salvaguardia contro e la prevenzione di minacce alla sicurezza pubblica, nel rispetto della natura specifica di
tali attività – nonché alla libera circolazione di tali dati. La direttiva dovrà essere recepita dagli Stati entro
due anni; il Regolamento diventerà definitivamente applicabile in via diretta in tutti i Paesi UE a partire dal
25 maggio 2018.
Art. 2: accesso illegale, intenzionale e senza diritto, a tutto o parte di un
sistema informatico;
Art. 3: intercettazioni illegali e cioè intercettazioni di dati informatici,
intenzionali ed illecite, effettuate, mediante mezzi tecnici, durante trasmissioni
non pubbliche;
Art. 4: attentato all'integrità dei dati, (danneggiamento, cancellazione,
deterioramento, alterazione e soppressione dei dati informatici) fatto
intenzionalmente e senza diritto;
Art. 5: attentato all'integrità dei sistemi, risolventesi in un impedimento grave
al funzionamento di un sistema informatico, effettuato intenzionalmente e
senza diritto mediante il danneggiamento, la cancellazione il deterioramento,
l'alterazione e la soppressione dei dati informatici;
Art. 6: abuso intenzionale e senza diritto di dispositivi (e cioè la produzione,
la vendita, l'ottenimento per l'uso, l'importazione, la diffusione e altra forma di
messa a disposizione,) compresi i programmi informatici, specialmente
concepiti per permettere la commissione dei delitti sopraccitati, nonché di
password o di codici di accesso o di sistemi analoghi che consentano di
accedere a tutto o in parte ad un sistema informatico
2. Reati contro il patrimonio, accesso non autorizzato e sabotaggio15:
Art. 7: falsificazioni informatiche, ossia l'introduzione, l'alterazione, la
cancellazione, la soppressione intenzionale e senza diritto, di dati informatici
non autentici con l'intenzione che siano usati a fini legali come se fossero
autentici.
Art. 8: frode informatica, e cioè il fatto di causare intenzionalmente e senza
diritto un pregiudizio patrimoniale ad altri.
3. Reati relativi ai contenuti (soprattutto mediante Internet) della pornografia16:
Art. 9: produzione, intenzionale ed illecita, mediante un sistema informatico, di
materiale pornografico minorile, nonché offerta, messa a disposizione,
trasmissione o procacciamento per sé o altri o possesso di siffatto materiale.
4. Reati contro la proprietà intellettuale17:
Art. 10: attentati alla proprietà intellettuale e altri delitti commessi
deliberatamente a livello commerciale mediante sistemi informatici.

15
Diversi Paesi hanno introdotto disposizioni riguardanti i reati contro il patrimonio specificamente connessi
agli strumenti informatici e, allo stesso tempo, definiscono nuove fattispecie legate all’acceso non
autorizzato ai sistemi informatici (ad esempio, spionaggio informatico, diffusione di virus informatici,
pirateria) e nuove modalità di violazione. Attualmente, non esistono strumenti dell’Unione relativi a tali tipi
di attività illegale.
16
Il Consiglio ha adottato il 29 maggio 2000 una decisione per combattere la pornografia infantile su
Internet, richiedendo la collaborazione di tutti gli Stati membri per promuovere l’arresto di “web-pedofili”
anche attraverso anonime segnalazioni reciproche sulla diffusione di materiale pornografico sul web che
dovranno poi essere accettate come denunce anonime dalle autorità competenti.
17
Sul tema, per prima è intervenuta la Direttiva 2000/31/CE (“Direttiva sul commercio elettronico”)
disciplinante la responsabilità dei prestatori di servizi nell’attività di semplice trasporto dei dati.
Successivamente, la Direttiva 2004/48/CE ha provveduto all’enforcement dei diritti d’autore, disciplinando
gli aspetti sanzionatori e i rimedi giurisdizionali in tema di tutela dei diritti di proprietà intellettuale.
Per tutti i tipi di reati sopraccitati, tranne quelli menzionati dall'art. 2, dall'art. 9 lett.
b) ed e), sono previste anche la repressione del tentativo, il concorso nel reato e la
responsabilità (penale, civile o amministrativa) delle persone giuridiche, quando detti
reati sono commessi da una persona fisica esercitante poteri direttivi al suo
interno. E’ stabilito, in chiusura, che le sanzioni da adottare da parte degli Stati
devono essere effettive, proporzionate, dissuasive e comportanti pure pene detentive.
Una disposizione che, nel presente lavoro interessa da vicino, è l’art. 11 con la quale
la Convenzione ha suggerito agli Stati nazionali di prevedere una forma di
responsabilità delle persone giuridiche allorquando i delitti informatici siano
commessi da persone fisiche nell’intento di soddisfare un interesse o far perseguire
un vantaggio all’ente collettivo cui appartengono o di cui sono dipendenti.
La sezione seconda del capitolo secondo si sposta sul piano procedurale: vengono qui
analizzate le modalità d’indagine che andrebbero seguite per un’effettiva repressione
dei cybercrime.
L’ambito di applicazione (art. 14) è particolarmente esteso in quanto comprende,
in aggiunta ai reati precedentemente considerati, tutti gli altri illeciti commessi con
l’ausilio di un sistema informatico.
L’art. 15. 2 delinea il perimetro dell’attività investigativa, invitando i legislatori
nazionali a: prevedere una “supervisione” giudiziaria o di altra natura purché affidata
a un organo indipendente, limitare l’ambito di operatività delle indagini informatiche,
specificare la durata delle stesse e disciplinarne le modalità di svolgimento. Legalità e
riserva giudiziaria devono pertanto permeare questa particolare forma di ricerca e di
assunzione della prova secondo modalità che tengano conto di due imprescindibili
principi: da un lato, il rispetto dei diritti e delle libertà di cui alla Convenzione
europea dei diritti umani e alla Convenzione internazionale delle NU del 1966 sui
diritti civili e politici, e dall’altro l’osservanza del principio di proporzionalità tra
misure adottate e natura dei reati.
Definita la portata delle operazioni, la Convenzione tratta poi dei mezzi di raccolta
della prova digitale, distinguendo tra modelli “classici” – per i quali si rende
inevitabile un sapiente adattamento delle regole classiche al nuovo ambiente
tecnologico – e modelli nuovi. In ordine di esposizione:
 Art. 18: ingiunzione a produrre da parte dell’autorità giudiziaria e rivolta a
soggetti e a fornitori di servizi situati sul territorio e che siano in possesso di
prove contenute in un sistema o su supporti informatici;
L’ingiunzione a produrre è un mezzo di estrema importanza perché impone ai
providers di fornire ogni informazione relativa agli utenti, dal tipo di servizio
di comunicazione utilizzato a qualsivoglia elemento relativo all’identità
dell’utente stesso (indirizzo, telefono, dati di fatturazione). In questo modo,
anziché ricorrere a misure coattive, le autorità procedenti potranno giovarsi di
strumenti meno intrusivi ma comunque in grado di reperire informazioni
rilevanti per le indagini penali.
 Art. 19: perquisizioni e sequestri di sistemi e supporti informatici, con
possibilità di effettuare e conservare copie dei dati, da mantenere integri e
inaccessibili a estranei;
 Art. 20: raccolta in tempo reale dei dati di traffico;
 Art. 21: intercettazione dei dati digitali relativi al contenuto di comunicazioni
effettuate per via telematica autorizzata, però, in relazione a una gamma di
infrazioni di particolare gravità che devono essere definite dal legislatore
nazionale e sempre che quest’ultimo ammetta questo tipo di attività istruttoria.
Entrambi i modelli consentono ai soggetti inquirenti di ordinare la raccolta in tempo
reale tanto dei dati sul traffico quanto dei dati inerenti al contenuto di comunicazione:
tali misure vanno esercitate attraverso la creazione di una copia di quei dati
informatici, avendo cura di assolvere l’essenziale tutela della genuinità del dato
originale.
Grava sulle parti aderenti alla Convenzione l’obbligo di adottare provvedimenti per
garantire la salvaguardia del materiale informatico, anche laddove detenuto presso
terzi: questi soggetti sono comunque tenuti a mantenere segreto il fatto che siano stati
esercitate attività d’indagine e ogni informazione al riguardo relativa.
L'assunzione di tali procedure mira a individuare e raccogliere prove elettroniche,
correlate alle ipotesi esaminate dalla convenzione o riferite ad altre condotte
delittuose.
La sezione procedimentale, più ampia di quella riguardante il diritto sostanziale, non
è andata esente da critiche18, portate avanti soprattutto da chi sospettava la creazione
di un sistema “grande fratello” (di orwelliana memoria) sulla sorveglianza elettronica.
Il documento di Budapest, contrariamente a siffatte vedute, si limita solo a prevedere
determinati ed efficaci poteri di contrasto alla criminalità informatica, ma non
giustifica, e del resto non richiede, il controllo sistematico delle comunicazioni
interpersonali, a meno ciò non occorra per un’indagine specifica. Nel corso dei lavori
preparatori, per la verità, si è discusso sull’opportunità di un obbligo di conservazione
dei dati di traffico e di contenuto a carico dei fornitori di servizi, ma alla fine non se
ne è fatto nulla per mancanza di consenso.
Sembrava che l’orientamento sul punto fosse cambiato con la direttiva 2006/24/CE
sulla la conservazione di dati generati o trattati nell’ambito della fornitura di servizi
di comunicazione elettronica accessibili al pubblico o di reti pubbliche di
comunicazione19.

18
Ventotto gruppi membri della Global Internet Liberty Campaign (GILC), una coalizione internazionale
composta da organizzazioni per le libertà civili e i diritti umani, hanno inviato una lettera al Consiglio
d’Europa per invitarlo a respingere la versione, all’epoca più recente, della Convenzione europea sul
cybercrime. Secondo i gruppi della coalizione, la bozza di accordo era contraria alle norme, riconosciute a
livello internazionale, sulla privacy e la libertà di espressione degli utenti di Internet. A parere di questi
soggetti, la Convenzione avrebbe esteso, in maniera impropria l’autorità di polizia dei governi nazionali,
frenato lo sviluppo delle tecniche di sicurezza di rete e ridotto la responsabilità dei governi nella futura
gestione delle leggi. In particolare si criticavano le norme degli articoli 17, 18, 24 e 25, che impongono ai
fornitori di servizi Internet di conservare le registrazioni delle attività dei loro clienti. Queste norme
sarebbero state causa - ad avviso della GILC - di un significativo attentato alla privacy e ai diritti umani degli
utenti di Internet, essendo contrarie ai principi sulla protezione dei dati stabiliti nella Direttiva europea sulla
protezione dei dati.
19
Tale direttiva ha modificato la direttiva 2002/58/CE concernente il trattamento dei dati personali e la
tutela della vita privata nel settore delle comunicazioni elettroniche.
L’8 aprile 2014, tuttavia, la Corte di Giustizia ne ha dichiarato l’invalidità per
violazione del principio di proporzionalità nel bilanciamento tra diritto alla
protezione dei dati personali ed esigenze di pubblica sicurezza, con le decisioni
riunite C-293/12 e C-594/12 dell’8 aprile 201420.
Come osserva la Corte, sebbene gli artt. 1 e 5 della direttiva 2006/24 affermino il
divieto di conservazione del contenuto delle comunicazioni avvenute utilizzando
canali elettronici, dall’insieme dei dati sottoposti all’obbligo di conservazione risulta
alquanto agevole tracciare profili assai precisi riguardo alle persone che adoperano
certi mezzi. La legittimità di una simile operazione va verificata alla luce degli
art. 7, 8 e 11 della Carta di Nizza poiché essa può senza dubbio entrare in rotta di
collisione con la libertà di espressione, la riservatezza della vita privata e con la
protezione dei dati personali.
Constatata l’ingerenza delle misure previste dalla direttiva in oggetto nei confronti
dei diritti fondamentali delle persone coinvolte, la Corte ne vaglia una possibile
giustificazione alla luce dell’art. 52 della Carta dei diritti fondamentali dell’UE, il cui
paragrafo 1 consacra tre parametri: 1) tutela del nucleo essenziale dei diritti coinvolti;
2) finalità legittima dell’ingerenza; 3) proporzionalità e stretta necessità della misura.
Riguardo al primo criterio, si esclude che il provvedimento analizzato possa intaccare
il nucleo essenziale dei diritti coinvolti: quanto all’art. 7, «poiché, come deriva
dall’art. 1, paragrafo 2, della stessa direttiva, quest’ultima non permette di venire a
20
Per un primo commento della sentenza, v. E. COLOMBO, “Data retention” e Corte di Giustizia: riflessioni a
prima lettura sulla declaratoria di invalidità della direttiva 2006/24/CE, in Cass. pen., n. 7-8, 2014, p. 2705,
nonché R. FLOR, La Corte di Giustizia considera la direttiva europea 2006/24 sulla c.d. “data retention”
contraria ai diritti fondamentali. Una lunga storia a lieto fine?, in Dir. pen. cont., n. 2, 2014. Le sentenze in
oggetto originano da due distinte domande di pronunce pregiudiziali presentate dalla High Court irlandese
e dal Verfassungsgerichtshof austriaco, riunite poi, con decisione del presidente della Corte di giustizia del 6
giugno 2013, ai fini della fase orale del procedimento e della sentenza. In primo luogo, è stata la Corte
suprema irlandese che, per risolvere un caso in cui una ONG contestava la direttiva e l’atto nazionale di
recepimento, ha sollevato una serie di questioni pregiudiziali e ha chiesto al giudice del Lussemburgo di
verificare se la disciplina europea abbia compiuto un bilanciamento adeguato tra la necessità di garantire la
sicurezza e il corretto funzionamento del mercato interno e la necessità di garantire la libertà di circolazione
, il rispetto della vita privata, la protezione dei dati personali, la libertà di espressione e il diritto ad una
buona amministrazione. La stessa Corte irlandese ha poi richiesto in che misura il principio di leale
collaborazione imponga al giudice nazionale di valutare in autonomia la compatibilità tra i diritti e le libertà
affermati dalla Carta europea dei diritti fondamentali (interpretate alla luce della Convenzione) e le norme
nazionali di attuazione dei provvedimenti di origine sovranazionale. Nella seconda causa, la Corte
costituzionale austriaca, investita di numerose azioni riguardanti l’incostituzionalità dell’art. 102 bis della
legge austriaca sulle telecomunicazioni del 2003, nella versione risultante dalla trasposizione della direttiva
2006/24, chiedeva alla Corte di giustizia UE se la direttiva in questione fosse compatibile con la Carta dei
diritti fondamentali dell’UE, nella misura in cui consente la conservazione di una quantità piuttosto ampia di
dati in relazione ad un numero illimitato di soggetti e per un tempo abbastanza lungo. A tal proposito, la
Corte costituzionale austriaca ha anche espresso il proprio avviso sulla questione, ritenendo che la
conservazione di un tale quantitativo di dati finirebbe col riguardare quasi esclusivamente soggetti la cui
condotta non giustificherebbe la conservazione di dati nei loro confronti. La medesima istituzione
giudiziaria ha chiesto inoltre alla Corte del Lussemburgo di verificare se il quadro normativo europeo
rispetti il contenuto essenziale del diritto alla protezione dei dati personali, se le limitazioni imposte siano
conformi al principio della protezione dei dati personali e se la conservazione dei dati sia compatibile con le
tradizioni costituzionali comuni e con l’art. 8 della Convenzione europea.
conoscenza del contenuto delle comunicazioni elettroniche»21; quanto all’art. 8,
poiché «i fornitori di servizi di comunicazione elettronica accessibili al pubblico o di
una rete pubblica di comunicazione sono tenuti a rispettare taluni principi di
protezione e di sicurezza dei dati, principi in base ai quali gli Stati membri assicurano
l’adozione di adeguate misure tecniche e organizzative contro la distruzione
accidentale o illecita, la perdita o l’alterazione accidentale dei dati22».
Andando oltre, a parere del giudice del Lussemburgo, è pacifico che «la
conservazione dei dati per permettere alle autorità nazionali competenti di disporre di
un accesso eventuale agli stessi, come imposto dalla direttiva 2006/24, risponda
effettivamente a un obiettivo di interesse generale» 23: i dati digitali «costituiscono
uno strumento particolarmente importante e valido nella prevenzione dei reati e nella
lotta contro la criminalità, in particolare della criminalità organizzata»24.
Il tallone d’Achille è rappresentato dalla violazione del principio di proporzionalità
nel bilanciamento tra diritto alla protezione dei dati personali ed esigenze di pubblica
sicurezza: violazione che deriverebbe dall'avere la direttiva: 1) ignorato la fissazione
dei limiti di natura spaziale, temporale, soggettiva o oggettiva alla conservazione;
2) omesso di stabilire alcun criterio oggettivo adatto a regolare l'accesso e l’uso dei
dati da parte delle competenti autorità nazionali (per fini di prevenzione o repressione
di reati considerati sufficientemente grafi da giustificare siffatta ingerenza);
3) trascurato di sancire i presupposti sostanziali e procedurali ai quali subordinare
l'accesso ai dati in esame da parte delle competenti autorità nazionali che, comunque,
non possono prescindere da un controllo preventivo ad opera di un giudice o di
un'entità amministrativa indipendente che limiti l'operazione a quanto strettamente
necessario a raggiungere l'obiettivo perseguito; 4) dimenticato di differenziare la
durata della conservazione dei a seconda dell’obiettivo perseguito o della persona
interessata, limitandosi a stabilirne i soli termini minimi e massimi; 5) omesso di
imporre che i dati acquisiti siano conservati solo per scopi specifici; 6) non aver
introdotto misure che potessero impedire eventuali accessi abusivi e impieghi illeciti
delle informazioni25. In sintesi, l’aver predisposto obblighi indiscriminati di
conservazione dei dati di traffico dell'intera popolazione significa per la Corte
eccedere i limiti imposti dal necessario rispetto del principio di proporzionalità, e, per
tale ragione, la Grande Sezione ha dichiarato l’invalidità della direttiva 2006/24.

21
Cfr. C. Giust. UE, 8 aprile 2014, cit., par. 39.
22
Ivi, par. 40.
23
Ivi, par. 44.
24
Ivi, par. 43.
25
Ed infatti, i fornitori di servizi di telecomunicazione sono imprenditori e seguiranno verosimilmente criteri
di economia, non necessariamente sintomo di alti standard di sicurezza. Così, F. IOVENE, Data retention tra
passato e futuro. Ma quale presente?, cit., la quale sottolinea come proprio il fatto che i costi della
conservazione siano a carico dei fornitori di servizi ha determinato il successo di tale strumento di indagine
che per gli investigatori, e quindi per lo Stato, è molto più economico delle intercettazioni. V. ZÖLLER, Die
Vorratsspeicherung von Telekommunikationsdaten – (Deutschen) Wege und Irrwege, Congress on the
Criminal Law Reforms in The World and in Turkey, Atti del convegno internazionale svoltosi a Istanbul-
Ankara dal 26 maggio al 4 giugno 2010, Istanbul, 2010, p. 33.
Completa la sezione sul diritto procedurale, l’art. 22, in materia di giurisdizione che,
al fine di circoscrivere l’area delle fattispecie non punibili a causa dell’ontologica
delocalizzazione del crimine informatico26, prevede che per i reati indicati dalla
Convenzione, ciascun ordinamento debba prevedere la possibilità di perseguire
penalmente detti reati, non solo quando siano stati consumati nel proprio territorio,
ma anche quando siano stati commessi «da un proprio cittadino, se l’infrazione è
penalmente punibile là dove è stata commessa, o se l’infrazione non rientra nella
competenza territoriale di alcuno Stato».Si configura pertanto un’estensione della
giurisdizione nazionale per siffatti illeciti e, nella non remota eventualità di fori
concorrenti, la citata norma impone alle diverse autorità statuali di provvedere ad una
consultazione preventiva per stabilire la competenza più appropriata per l’esercizio
dell’azione penale.

Il terzo capitolo è dedicato alla cooperazione interstatale per lo svolgimento delle


indagini e la raccolta transnazionale delle prove digitali27 che deve avvenire «nella
misura più ampia possibile» (art. 23).
Le disposizioni del presente segmento putano alla realizzazione di un sistema veloce
ed efficace: è infatti disposto che, in casi di urgenza, la richiesta di mutua assistenza
possa essere formulata, anche mediante «strumenti rapidi di comunicazione, come il
fax o la posta elettronica, a condizione che tali strumenti diano appropriate garanzie
di sicurezza e autenticazione (inclusa la criptazione, se necessaria), seguite da
conferma ufficiale ulteriore se lo Stato richiesto lo esige» (art. 25. 3) 28; oltre a ciò, la
prontezza del sostegno inquisitorio è soddisfatta altresì quando si ha motivo di
ritenere che il dato possa andare perduto o possa subire modificazioni (art. 31. 2).
Obbligo di vicendevole aiuto e favor per la rapidità delle operazioni costituiscono
la ratio dell’art. 35 che impone ai Paesi aderenti di designare un punto di contatto fra
le autorità giudiziarie, sempre disponibile 24 ore su 24 e sette giorni su sette: si tratta
di uno strumento che incoraggia aiuti meno formalizzati, anche precedenti l’inoltro
della richiesta ufficiale di assistenza giudiziaria. La cosiddetta rete 27/4 «deve
includere la facilitazione o, se il diritto interno e la prassi nazionale lo consentono,
l’applicazione diretta delle seguenti misure:
a) Apporto di consigli tecnici;
b) Conservazione dei dati in base agli articoli 29 e 30;
c) Raccolta di prove, trasmissione di informazioni di carattere giuridico e
localizzazione dei sospetti»29.
Qualora non sussista alcun trattato o accordo, l’art. 27 prescrive che ciascuno Stato
«designi un’autorità centrale responsabile dell’invio e delle risposte alle richieste di
26
Come ricordato da L. CUOMO - R. RAZZANTE, La nuova disciplina dei reati informatici, 2009, p. 18.
27
Il tema della cooperazione internazionale nell’ambito della criminalità informatica è stato indagato,
recentemente, da E. COLOMBO, La cooperazione internazionale nella prevenzione e lotta alla criminalità
informatica: dalla Convenzione di Budapest alle disposizioni nazionali, in Ciberspazio e diritto, 2009, n. 3/4,
pp. 285-304, a cui si rinvia.
28
In questo caso la richiesta può essere trasmessa direttamente all’autorità giudiziaria (art. 27.9) anziché
all’autorità centrale che ogni Stato deve designare ai sensi dell’art. 27.2.
29
L’Italia ha designato a tal fine una struttura operativa presso il Servizio di polizia postale.
mutua assistenza, dell’esecuzione di tali richieste o della loro trasmissione alle
autorità competenti per la loro esecuzione» (art. 27. 2); le domande di reciproca
collaborazione devono «essere eseguite in conformità alle procedure specificate dalla
Parte richiedente, salvo che siano incompatibili con la legislazione della Parte
richiesta» (art. 27. 3)30.
È, inoltre, possibile sospendere l’esecuzione di una richiesta se la stessa possa
pregiudicare indagini o procedimenti già in corso nello Stato richiesto (art. 27.5);
le Parti possono comunque subordinare la comunicazione di informazioni alla
condizione che vengano mantenute confidenziali (art. 26. 2 e art. 27. 8).
La cooperazione investigativa può consistere tanto nell’adozione di misure
provvisorie e “stravaganti” (artt. 29 e 30) quanto nell’effettuazione di vere e proprie
attività d’indagine (artt. 31-34): entrambe presuppongono la localizzazione del dato
informatico che si vuole acquisire. Le prime riguardano la richiesta di conservazione
e divulgazione rapida di dati informatici; le seconde concernono sequestro,
perquisizione e ogni altra attività lecita e aggiornata di apprensione della prova
digitale. Il data freezing (art. 29) 31 è ancillare alla successiva richiesta di strumenti di
perquisizione, sequestro o analoghi mezzi di ricerca della prova, nonché della
divulgazione dei dati. Una richiesta in tal senso deve indicare: l’autorità che richiede
la conservazione; il reato che costituisce oggetto di indagine cui la prova informatica
inerisce, con annessa breve esposizione dei fatti relativi; i dati informatici già
immagazzinati da conservare e il loro legame con il reato; tutte le informazioni utili
ad identificare il custode di tali dati o il luogo dove questi si trovano; le ragioni che
impongano la conservazione e la specificazione che lo Stato intenda successivamente
presentare una richiesta di mutua assistenza per una perquisizione, un sequestro o un
altro mezzo di ricerca della prova.
Qualora, nel corso di una richiesta effettuata sulla base dell’art. 29 per conservare i
dati relativi ad una specifica comunicazione, la Parte richiesta scopra che un service
provider di un altro Stato sia coinvolto nella trasmissione della comunicazione,
a norma dell’art. 30, deve procedere alla c.d. expedite disclosure of preserved traffic
data, ossia alla trasmissione dei dati di traffico relativi a tale comunicazione, al fine
di consentire alla Parte richiedente di identificare, e quindi localizzare, il service
provider e la via attraverso la quale la comunicazione è stata effettuata, per il
successivo inoltro di un’ulteriore richiesta di assistenza giudiziaria.
Tra le attività d’indagine, vengono in rilievo la richiesta di assistenza finalizzata alla
perquisizione, al sequestro o alla divulgazione di dati immagazzinati in un sistema

30
Le possibilità di rifiuto di assistenza vengono prese in considerazione dagli artt. 25. 4 e 27. 4 e riguardano:
incompatibilità con la legge dello Stato richiesto, reati considerati dalla parte politici o aventi con essi una
connessione e ipotesi ove l’esecuzione della richiesta possa arrecare pregiudizio alla sovranità oppure
minare la sicurezza o l’ordine pubblico dello Stato; viene esclusa l’eventualità che la Parte richiesta possa
rifiutare l’assistenza adducendo il fatto che il reato per cui procede la Parte richiedente sia da considerarsi
di natura fiscale (art. 25. 4).
31
Il data freezing è cosa ben distinta dalla data retention, espressione che si riferisce al tempo di
conservazione dei dati di backup. Questa, almeno nella sua fase preliminare, prescinde da esigenze
investigative. Il freezing, viceversa, viene ordinato proprio in previsione dello svolgimento delle indagini.
informatico, inclusi i dati conservati in base all’art. 29 (art. 31) 32; la richiesta di
assistenza per la raccolta in tempo reale di dati di traffico (art. 33), la richiesta di
assistenza per la raccolta e la registrazione, in tempo reale, di comunicazioni
trasmesse attraverso l’uso di un sistema informatico (art. 34).
Particolare attenzione merita l’accesso diretto – ossia senza autorizzazione – a dati
immagazzinati in sistemi informatici situati all’estero (art. 32)33. Esso concerne sia i
dati pubblicamente disponibili (le c.d. fonti aperte/open source) – per i quali risulta
indifferente il luogo geografico in cui si trovano – sia quelli che, non essendo
pubblici34, necessitano del preventivo consenso «legale e volontario» della persona
autorizzata a divulgarli. In entrambe le ipotesi, l’accesso transfrontaliero si realizza
senza alcun contributo da parte dello Stato ove il dato si trova, o quantomeno,
limitatamente ai dati non pubblici, ricorrendo a un dialogo diretto fra autorità
interessata alla raccolta e “persona legalmente autorizzata”. Sono queste modalità che
con sicura evidenza derogano ai principi generali in materia di assistenza giudiziaria:
incidere sì sulla sovranità dello Stato dove è locato il provider ma nel suo pieno
rispetto in virtù dell’adesione al dettato convenzionale. Non è peregrino affermare di
essere innanzi a una cooperazione di “terzo tipo” che sigla il passaggio dalla
cooperazione “mediata” dal controllo politico-amministrativo, alla cooperazione
“diretta” fra autorità giudiziarie, fino ad approdare a una cooperazione filtrata dal
solo “consenso” del soggetto che può legalmente disporre del dato da acquisire35.

Il capitolo quarto della Convenzione ha od oggetto le clausole finali relative alla:


firma ed entrata in vigore (art. 36); modalità di adesione alla Convenzione (art. 37);
applicazione territoriale (art. 38); effetti della Convenzione (art. 39)36; possibilità di
apporre riserve (art. 42); regolamentazione o ritiro delle riserve (art. 43);
emendamenti (art. 44); regolamento delle eventuali controversie (art. 45); modalità
della consultazione periodica delle Parti al fine di facilitare l'uso e la messa in opera
della Convenzione e di scambiare informazioni sulle novità politiche, giuridiche o
32
Questa disposizione suggerirebbe che, conosciuta la sede del sistema informatico, l’intrusione in esso
dovrebbe avvenire mediante i canonici mezzi di cooperazione giudiziaria, anche quelli di ultima
generazione, se previsti nello Stato di esecuzione, come potrebbe essere il captatore informatico.
33
Si è sostenuto che questo istituto costituisce una sorta di applicazione informatica dell’inseguimento
transfrontaliero di cui all’art. 41 C.A.A.S. Cfr. C.M. PAOLUCCI, Cooperazione giudiziaria e di polizia in
materia penale, 2011, p. 241.
34
«Non sono disponibili al pubblico tutti quei dati informatici che un soggetto non ha voluto condividere
pubblicamente con una pluralità di individui, non ha voluto diffondere nella rete, che ha voluto mantenere
riservati, protetti, conservati nel cyberspazio in apposite aeree accessibili on line con l’utilizzo di credenziali
di autenticazione o con tecniche di cifratura. Certamente in questa categoria rientrano anche tutti quei dati
e quelle informazioni che il soggetto ha voluto condividere solo con una ristretta cerchia di utenti ». Così,
S. ATERNO, L’acquisizione dei dati personali tra misure antiterrorismo e intromissioni nella privacy, in Arch.
pen., n. 1, 2016, p. 166.
35
F. SIRACUSANO, La prova informatica transnazionale: un difficile “connubio” fra innovazione e tradizione ,
in Proc. pen e giustizia, n. 1, 2017, cit., p. 186.
36
L’articolo in questione precisa che ogniqualvolta le Parti vogliano stabilire le loro relazioni concernenti la
materia oggetto della Convenzione in modo differente da quello in essa prevista, esse lo dovranno fare in
modo non incompatibile con gli obblighi e i principi della Convenzione stessa.
tecniche nel settore della criminalità informatica (l'art. 46); denuncia della
Convenzione e infine le forme della notificazione di ogni atto di qualsivoglia natura
avente ad oggetto il seguente documento da parte del Segretario Generale ad ogni
Stato membro del Consiglio d’Europa, agli Stati non membri che hanno partecipato
nell’elaborazione della presente Convenzione e ad ogni Stato che vi ha aderito o è
stato invitato ad aderirvi.

Più di un decennio è passato dall’adozione della Convenzione Cybercrime e il


contesto tecnologico è mutato radicalmente. A causa dell’incessante progresso,
è inevitabile che i risultati raggiunti a Budapest siano destinati a essere messi di
frequente in discussione alla luce delle nuove frontiere raggiunte dalla tecnica.
Nella cyber-society, si assiste a quella che è stata a rigore definita una perdita della
dimensione fisica: concetti quali sovranità, territorio, giurisdizione diventano sempre
più sfumati, fino a perdere la tradizionale funzione di principi fondamentali della
materia penale. L’accesso transfrontaliero diretto ai dati determina l’urgenza di
pensare nuove regole che assicurino l’accesso al materiale probatorio superando il
limite della sua previa localizzazione.
L’esigenza di garantire la cooperazione internazionale deve procedere tenendo
presenti le problematiche del rispetto dei diritti fondamentali. Definire procedure
uniformi è pertanto fondamentale non solo da un punto di vista garantista ma anche
per la stessa utilizzabilità della prova raccolta.

4. L’accesso transfrontaliero diretto a dati informatici


Già all’epoca della Convenzione di Budapest si avvertiva l’esigenza di permettere
l’accesso diretto ai dati informatici oltre i confini territoriali di ciascuna giurisdizione:
si comprendevano d’altro canto gli effetti che una simile previsione potesse avere sui
tradizionali principi di cooperazione giudiziaria in materia penale. Non essendo il
contesto tecnologico tale da far apparire come urgente la messa a punto di una
disciplina di dettaglio in questo particolare settore, ci si accontentò di una norma di
compromesso quale l’art. 3237.
Come sottolineato nella relazione esplicativa della Convenzione, si tratta di uno
strumento aperto a successive modifiche: se è vero che ipotesi di accesso
transfrontaliero diverse da quelle menzionate dall’art. 32 “non sono autorizzate”,
è altresì vero che non vengono “precluse”38.
Preso atto del fatto che molti Stati sperimentavano modalità di accesso
transfrontaliero non approvate39, la Commissione per la Convenzione Cybercrime
37
Cfr. supra, par. 3, p. 14.
38
Cfr. Par. 293 Relazione esplicativa della convenzione di Budapest dove si legge che «le Parti si impegnano
a discutere ulteriormente e prendere in considerazione situazioni diverse da quelle disciplinate dall’art. 32
in un momento successivo, quando avranno ottenuto più informazioni e avranno più esperienza».
39
Giova ricordare che, durante i negoziati precedenti l’adozione della Convenzione del 2001, non è stato
possibile raggiungere un consenso su misure di più ampia portata che consentissero a una Parte di
accedere, per decisione unilaterale, ai dati situati in un altro Stato aderente alla Convenzione senza il
consenso di quest’ultimo e senza, quindi, rispettare la normale procedura dell’assistenza giudiziaria e
amministrativa. La Convenzione, infatti, all’art. 39.3 non autorizza altre modalità di accesso “diretto”.
istituiva nella VI sessione plenaria del 23-24 Novembre 2011 un’apposita sub-
commissione (sub-group of the T-CY on jurisdiction and transborder access to data
and data flows - c.d. “Transborder Group”) per verificare l’uso che veniva fatto
dell’art. 32 in particolare e delle investigazioni transfrontaliere in Internet in
generale40.
Lo studio condotto dal Transborder Group mostrava come in molti Paesi gli
inquirenti accedessero ai dati salvati nel cyberspace41, senza preoccuparsi prima di
localizzarli: in alcuni casi, addirittura, si procedeva all’accesso diretto, senza prima
ottenere il consenso richiesto dall’art. 32, lett. b) della Convenzione di Budapest.
Sulla base di tali rilevazioni, sono state prospettate quattro diverse soluzioni: una
modifica dell’art. 32, lett. b)42, una raccomandazione del Comitato dei ministri del
Consiglio d’Europa43, l’aggiunta di un protocollo addizionale44 oppure
un’interpretazione autentica della Convenzione45. Tra queste, sono ritenute
percorribili solo le ultime due perché conformi ai dettami di diritto internazionale.
In un successivo documento del 5 novembre 201346 – Transborder access to data –
sono contenute le linee guida per l’interpretazione dell’art. 32. Mentre l’ipotesi di cui
alla lettera a) – accesso transfrontaliero diretto a dati disponibili pubblicamente, c.d.
open content – non presenta, secondo la sottocommissione, difficoltà interpretative né
dà luogo a problemi di utilizzo, quella di cui alla lettera b) – accesso con il consenso
della persona che può disporre dei dati – merita alcune puntualizzazioni. Innanzitutto
si precisa che l’accesso transfrontaliero diretto, ossia senza una formale richiesta di
40
L’originario mandato si esauriva il 31 dicembre 2012. Esso è stata prorogato una prima volta fino al 31
dicembre 2013 e una seconda fino al 31 dicembre 2015 per permettere al Transborder Group di presentare
le sue proposte di modifica alla Convenzione .
41
Lo studio si basa sulle risposte pervenute da diciotto Stati Parte della Convenzione (Bosnia Erzegovina,
Cile, Cipro, Repubblica Ceca, Finlandia, Estonia, Germania, Ungheria, Giappone, Lituania, Moldavia,
Montenegro, Norvegia, Portogallo, Polonia, Svezia, Turchia, Stati Uniti d’America).
42
Questa prima soluzione si articolerebbe in vari sottopassaggi: dall’accesso ai dati con il consenso della
persona che può divulgarli - anche quando non sia noto dove siano i dati da acquisire -, all’accesso diretto
senza alcun consenso ma attraverso l’uso di credenziali legittimamente ottenute; dall’accesso diretto senza
consenso nelle situazioni di urgenza, all’estensione del modello della perquisizione informatica (prevista
dall’art. 19.2 che consente l’estensione della perquisizione a un altro sistema informatico o parte di esso
purché questo sia presente nel territorio nazionale) anche ai dati che si trovino in sistemi informatici
collocati al di fuori del territorio nazionale. Lo svantaggio di simile soluzione sarebbe che la nuova
disposizione avrebbe efficacia vincolante per gli Stati parte solo dopo che tutti l’abbiano ratificata. E tale
procedimento potrebbe durare anni. Cfr. Report of the Transborder Group: Transborder Access and
Jurisdiction: which are the options? p. 49-50
43
Si tratterebbe di un atto di limitata portata vincolante che presenterebbe l’inconveniente di non
permettere agli Stati non membri dell’Unione, firmatari però della Convenzione, di partecipare
all’elaborazione finale della Raccomandazione del Comitato dei ministri del Consiglio d’Europa. Cfr. Report
of the Transborder Group: Transborder Access and Jurisdiction: which are the options? p. 52
44
Questa soluzione sarebbe soddisfacente in vista dell’adozione di misure ulteriori a quelle già contenute
nella Convenzione, ammesso che non vi sia alcun obbligo per tutte le Parti di accettare tale protocollo.
Cfr. Report of the Transborder Group: Transborder Access and Jurisdiction: which are the options? p. 52
45
Questa soluzione si risolverebbe o nell’adozione del protocollo addizionale di cui sopra o nell’adozione di
linee guida o direttrici in grado di facilitare l’applicazione di alcune disposizioni della Convenzione.
Cfr. Report of the Transborder Group: Transborder Access and Jurisdiction: which are the options? p. 53
46
Report of the Transborder Group for 2013, T–CY (2013)30, reperibile all’indirizzo www.coe.int.
assistenza giudiziaria, ai dati informatici di cui all’art. 32 lett. b) presuppone che sia
noto il luogo in cui essi si trovano. Non è poi necessario notificare allo Stato-sede dei
dati l’avvenuto accesso, anche se nulla vieta di farlo. Inoltre, viene chiarito che la
procedura e le garanzie applicabili all’attività investigativa in questione sono quelle
vigenti nello Stato procedente. Infine, per quanto riguarda la persona autorizzata a
divulgare i dati, potrà trattarsi sia di una persona fisica – ad esempio il titolare di una
casella di posta elettronica – sia di una persona giuridica. Tra queste ultime la
sottocommissione non ritiene rientrino gli Internet Service Providers, visto che non
sono «legalmente autorizzati a divulgare i dati degli utenti» secondo quanto richiede
l’art. 32 lett. b).
I service provider sono quindi tenuti a fornire i dati richiesti (generalmente si tratterà
di traffic data, network data o dati di registrazione degli utenti, e non di content data)
dall’autorità giudiziaria dello Stato in cui hanno sede oppure nell’ambito di una
formale richiesta di assistenza giudiziaria.
Alla luce di tale interpretazione dell’art. 32, la sottocommissione riteneva quindi
necessario adottare un protocollo addizionale per fronteggiare, tra le altre, quelle
situazioni in cui non fosse noto il locus dei dati da acquisire (protocollo, messo poi
a punto nel corso del biennio 2014-2015): in questa prospettiva, la sottocommissione
anticipava quali potessero essere le possibili soluzioni: introdurre una disposizione
che consentisse di accedere direttamente ai dati con il consenso della parte che
potesse divulgarli, pur nell’ignoranza della loro localizzazione; prevedere l’accesso
diretto senza bisogno di alcun consenso, ma attraverso credenziali legittimamente
ottenute; consentire l’accesso diretto senza consenso in presenza di situazioni
d’urgenza; modificare l’art. 19, par. 2 della Convenzione in modo da permettere di
estendere la perquisizione informatica ivi disciplinata anche a dati che si trovino in
sistemi informatici al di fuori del territorio nazionale; basare la cooperazione nel
contesto del cloud computing non più sul principio di territorialità, ma sul “potere di
disposizione dei dati”.

5. Evoluzione della cooperazione giudiziaria in materia penale nell’UE


La creazione di uno spazio senza frontiere interne nel quale assicurare la libera
circolazione di merci, persone, servizi e capitali ha contribuito a provocare la crescita
della criminalità. Ciò premesso, è vera anche la circostanza inversa: se da un lato
i progressi dell’integrazione europea hanno aperto spazi nuovi per attività illegali di
varia natura, al tempo stesso, loro tramite, si è data una spinta in senso inverso alla
profonda trasformazione che negli anni ha subito il diritto penale europeo, divenuto
inevitabilmente di interesse comune47.
Prima del 1992, la materia della cooperazione giudiziaria era pressoché estranea alle
competenze comunitarie: solo con la firma del trattato di Maastricht trovò
riconoscimento all’interno del più ampio settore Giustizia e Affari Interni (GAI).

47
Approfonditamente, su questo tema si rinvia su tutti a A. WEYEMBERGH, Storia della cooperazione
giudiziaria e di polizia in materia penale, in R.E. KOSTORIS (a cura di), Manuale di procedura penale
europea, pp. 143-163.
Dopo l’entrata in vigore di questo atto per molti aspetti rivoluzionario 48, la
cooperazione giudiziaria non venne “comunitarizzata” ma solo istituzionalizzata,
restando confinata nel campo del diritto internazionale generale: a differenza cioè del
Primo Pilastro, disciplinato dalle disposizioni contenute nei trattati istitutivi delle
Comunità europee (CEE, CECA ed Euratom), rimaneva sottoposta al metodo
intergovernativo, assieme al Secondo Pilastro (Politica Estera e di Sicurezza Comune
– PESC)49.
Le disposizioni sulla cooperazione nei settori della giustizia e degli affari interni non
erano inserite dunque nei trattati istitutivi, né apportavano modifiche alle norme in
essi contenute.
Il Titolo VI – quello dedicato al Terzo Pilastro – pur annoverandosi tra le politiche e
gli obiettivi dell'Unione, disciplinava un settore che, sulla base dell'originaria
impostazione del trattato di Maastricht, esulava dall'alveo delle competenze
comunitarie in senso stretto. Ciò causava, tra le altre, due rilevanti conseguenze:
l'impossibilità di far ricorso in tale settore ai tipici strumenti normativi del diritto
europeo rappresentati dai regolamenti, dalle direttive e dalle decisioni
e l'impossibilità per la Corte di Giustizia di esercitare qualsiasi giurisdizione in tale
settore.
Il Trattato sull’Unione europea così concepito fu oggetto di diverse modifiche ed
integrazioni: da ultimo, con la firma del Trattato di Amsterdam 50, il Terzo Pilastro
48
Il Trattato di Maastricht venne sottoscritto il 7 febbraio 1992 dai dodici Paesi membri dell’allora Comunità
Europea ed entrò in vigore l’1 Novembre 1993. Esso comprendeva 252 articoli nuovi, 17 protocolli e 31
dichiarazioni. Tale Trattato istituì l’Unione Europea, una nuova struttura che combinava classici elementi di
cooperazione intergovernativa ad altri straordinariamente innovativi di sovranazionalità. Per un’analisi
approfondita dell’iter che ha portato alla nascita del Trattato sull’Unione europea, si rinvia a F. POCAR,
Diritto dell’Unione europea, 2010, p. 46 ss.
49
All’interno dell’Unione europea si distinguevano tre diversi settori, indicati come “pilastri”: il primo,
costituito dalle Comunità europee, era regolato dal Trattato CE e dal Trattato EURATOM (nonché, fino alla
sua estinzione, dal Trattato CECA) e aveva ad oggetto le numerose materie che erano state oggetto di
trasferimento di sovranità da parte degli Stati membri nei settori disciplinati dal trattato (circolazione delle
merci e delle persone, politica dell’ambiente e della concorrenza, etc..); il secondo, regolato dal titolo V del
TUE, riguardava la politica estera e di sicurezza comune (la cosiddetta PESC); il terzo, regolato anch’esso dal
TUE, concerneva la “Giustizia e affari interni”. La principale differenza tra i tre pilastri consiste nel fatto che
alle competenze del primo pilastro si applica il cosiddetto metodo comunitario che marginalizza il ruolo dei
governi nazionali a favore delle istituzioni comunitarie. La collaborazione nell'ambito degli altri due pilastri
è, invece, di carattere tipicamente intergovernativa attribuendo tutto il potere decisionale agli Stati
membri. La ragione che aveva portato a realizzare tale complessa “architettura” risiedeva nel fatto che
nelle materie oggetto del secondo e del terzo pilastro gli Stati membri non avevano voluto attribuire
competenze alla Comunità, ma preferivano cooperare in base a regole che consentivano loro di mantenere
un ruolo decisionale più importante. La “struttura a tempio” fu il risultato di un compromesso fra Stati che
propendevano per un testo giuridico unitario e altri e sostenevano invece la necessità di salvaguardare
l’autonomia decisionale degli Stati membri in alcuni settori. Cfr. U. VILLANI, Istituzioni di Diritto dell’Unione
europea, 2013, p. 18; F. SUCAMELI, L’Europa e il dilemma della Costituzione. Norme, strategie e crisi del
processo di integrazione, 2007, p. 55.
50
Il Trattato di Amsterdam venne firmato  firmato il 2 ottobre 1997 dagli allora 15 Stati membri dell’Unione
Europea ed entrò in vigore l’1 maggio 1999. Esso è nato sulla base di una specifica disposizione contenuta
già nel Trattato di Maastricht che prevedeva la convocazione, per il 1996, di una Conferenza
intergovernativa (CIG) per la sua revisione. Nel dicembre 1995, le istituzioni comunitarie avevano
subì una contrazione e una specializzazione, divenendo l’ambito politico-istituzionale
deputato esclusivamente alla “cooperazione di polizia e giudiziaria in materia
penale”. Si sciolse pertanto quell'associazione, compiuta dal Trattato di Maastricht,
tra politica migratoria e politica criminale, che rifletteva una percezione indistinta
delle minacce esterne alla sicurezza interna europea. L’azione dell’Unione in questo
settore fu così indirizzata verso un preciso obiettivo: la realizzazione di uno spazio
di libertà, sicurezza e giustizia» finalizzato ad assicurare il contrasto alla criminalità e
a prevenirla51.
Per il raggiungimento di questo obiettivo venne predisposto un ventaglio di strumenti
non alternativi, ma complementari che comprendeva:
 Una più stretta cooperazione fra le forze di polizia, le autorità doganali e le
altre autorità competenti degli Stati membri, sia direttamente che tramite
l'Ufficio europeo di polizia;
 Una più stretta cooperazione tra le autorità giudiziarie e altre autorità
competenti degli Stati membri;
 Il ravvicinamento, ove necessario, delle normative degli Stati membri in
materia penale.
Un ruolo decisivo nel processo sin qui descritto è stato svolto dal vertice tenutosi
a Tampere tra il 15 e il 16 ottobre 1999 ove si individuò nel mutuo riconoscimento
delle sentenze e delle altre decisioni delle autorità giudiziarie il principio da porre a
fondamento nella cooperazione giudiziaria in materia civile e in materia penale52.
Nel contesto europeo, questo principio non nasce nel campo dello SLSG ma discende
dalla giurisprudenza della Corte di Giustizia, elaborata in relazione alla libera
circolazione delle merci nel mercato interno: in particolare, la sua origine si fa
coincidere con la celebre sentenza Cassis de Dijon. La legittimazione di tale
meccanismo veniva rinvenuta tanto nella funzionalità rispetto al mercato e alla libera
presentato le proprie riflessioni al Consiglio europeo di Madrid, che recepiva la volontà di «andare oltre
Maastricht». La CIG, incaricata di negoziare il nuovo trattato, diede inizio ai lavori nel corso del Consiglio
europeo di Torino del 29 marzo 1996, per concluderli in occasione del Consiglio europeo informale di
Noordwijk del 23 maggio 1997. Una delle novità più rilevanti di questo atto è stata l’integrazione
dell’«acquis di Schengen» nel quadro dell’Unione europea, ossia l’insieme delle disposizioni volte a favorire
la libera circolazione dei cittadini all'interno del cosiddetto Spazio Schengen, quell’area di cui fanno parte
i Paesi che hanno abolito i controlli sulle persone alle frontiere comuni. A formare l’acquis di Schengen sono
l’accordo firmato il 14 giugno 1985 dal Benelux, Francia e Germania, la Convenzione di applicazione
dell’Accordo firmata dagli stessi cinque Paesi il 19 giugno 1990, gli accordi di adesione alla Convenzione di
applicazione dell’Accordo di Schengen e le decisioni del Comitato esecutivo e del gruppo centrale.
51
L’art. 29 TUE stabilisce infatti che «l'Unione si prefigge è fornire ai cittadini un livello elevato di sicurezza
in uno spazio di libertà, sicurezza e giustizia, sviluppando tra gli Stati membri un'azione in comune nel
settore della cooperazione di polizia e giudiziaria in materia penale e prevenendo e reprimendo il razzismo
e la xenofobia».
52
CGCE, sentenza 20 febbraio 1979, Rewe Zentral AG, C-120/78. in cui la Corte negò alla Germania la
possibilità di impedire, in deroga al divieto di restrizione della libera circolazione delle merci, l’importazione
sul territorio di un liquore francese la cui gradazione era inferiore rispetto alla soglia minima stabilita dalla
normativa tedesca sulla base dell’assunto che imporre ai prodotti degli altri Stati membri le norme tecniche
dello Stato di importazione equivale a stabilire una misura equivalente in quanto si penalizzano i prodotti
importati obbligandoli ad un adeguamento oneroso. Per un’analisi più dettagliata della sentenza si rinvia a
G. TESAURO, Diritto dell’Unione Europea, 2010, pp. 409-411.
concorrenza, quanto nella promozione della coesione mediante la produzione di un
diritto comune.
L’estensione del medesimo principio ad una materia qualitativamente diversa e
intrinsecamente sensibile come quella penale poneva molti dubbi, essendo ispirata ad
una logica radicalmente opposta a quella caratterizzante il mutuo riconoscimento
quale strumento per promuovere la libertà di circolazione delle persone e delle merci.
Le numerose critiche si indirizzavano sia sul fronte del dibattito giuridico che di
quello ideologico: sotto il primo profilo, la perplessità maggiore era legata al presunto
«deficit di democraticità»53 dell’Unione che le impedirebbe di dotarsi di poteri
relativi allo ius puniendi; sotto il secondo profilo, invece, la censura principale
muoveva dall’assunto che un intervento di politica criminale estraneo alla potestà
statale colpisse al cuore un settore nel quale gli Stati conservavano gelosamente la
propria sovranità.
In definitiva, la perplessità principale riguardava la possibilità che i diritti
fondamentali dell’individuo potessero essere compressi in forza del mutuo
riconoscimento di atti e provvedimenti giurisdizionali adottati sul territorio
dell’Unione: non già, quindi, in applicazione di una previa legge penale interna
contenente la previsione tassativa della fattispecie penalmente sanzionata, ma, anzi,
al di fuori della stretta applicazione del quadro di garanzie giurisdizionali previste
dagli ordinamenti interni.

Dunque, si comprendeva perfettamente che per applicare il principio del reciproco


riconoscimento delle decisioni giudiziarie si doveva promuovere l’armonizzazione
delle legislazioni penali54.

53
Sul «deficit di democratico» dei processi decisionali comunitari cfr. E.W. BÖCKENFÖRDE, Die  Zukunft
politischer  Autonomie. Demokratie und Staatlichkeit im Zeichen von Globalisierung,  Europäisierung und
Individualisierung, in BÖCKENFÖRDE,  Staat, Nation, Europa, 1999, p. 107; M. CARTABIA, L. VIOLINI, Le
norme generali sulla partecipazione dell’Italia al processo normativo dell’Unione europea e sulle procedure
di esecuzione degli obblighi comunitari. Commento alla legge 4 febbraio 2005, n. 11, in Le regioni, n. 4,
2005, p. 488; F. LANCHESTER, Lo Stato sovrano dopo l’affermazione del modello democratico, in
Federalismi.it, n. 21, 2011, p. 7 ss; F. PALERMO, La forma di Stato dell’Unione europea. Per una teoria
costituzionale dell’integrazione sopranazionale, 2005; P. RIDOLA, Il principio democratico fra Stati nazionali
e Unione europea, in Nomos, n. 2-3, 2000, p. 75 ss. Sottolinea che il deficit democratico rappresenta un
riflesso del «deficit rappresentativo» L. VIOLANTE, Raccordo legislativo fra Unione europea e Parlamenti
nazionali, in Quad. Cost., n. 3, 1999, p. 726, secondo cui «questo deficit ha due facce: da un lato, i limitati
poteri del Parlamento europeo e la limitata incidenza dei Parlamenti nazionali nei processi decisionali;
dall’altro, la scarsa partecipazione dei cittadini alle vicende politiche dell’Unione europea». In particolare,
quest’ultimo profilo ha costituito in materia il principale nodo da dipanare con il pericolo che «i cittadini
divengano consumatori di prodotti politici più che attivi partecipanti del processo politico », così come
affermato da M. CARTABIA, J.H.H.WEILER, L’Italia in Europa. Profili istituzionali e costituzionali, 2000, pp. 45
ss.
54
Sottolinea N. PARISI, Riconoscimento reciproco delle decisioni giudiziarie penali, confiance mutuelle e
armonizzazione delle garanzie procedurali negli Stati membri dell’Unione europea, in N. PARISI, M.
FUMAGALLI MERAVIGLIA, D. RINOLDI, A. SANTINI (a cura di), Scritti in onore di Ugo Draetta, 2011, p. 505,
«le garanzie procedurali individuali assicurate entro gli ordinamenti nazionali ai fini della celebrazione del
processo penale rappresent[a]no il banco di prova del funzionamento del reciproco riconoscimento».
La funzione delle misure di armonizzazione sarebbe stata quella di sostenere ed
accompagnare l’applicazione del principio del mutuo riconoscimento delle decisioni
giudiziarie55, consolidando quella “fiducia reciproca” da parte di ciascuno Stato nella
qualità del sistema penale e giudiziario degli altri Stati senza la quale il mutuo
riconoscimento sarebbe difficilmente praticabile.
Il rafforzamento della confiance mutuelle rappresentava un passaggio obbligatorio
per avvicinare i sistemi penali e giudiziari degli Stati dell’Unione 56, soprattutto con
riguardo all’individuazione di principi comuni di fondo sul piano processuale57.
Per la vera e propria codificazione del principio del mutuo riconoscimento si è dovuto
attendere il Trattato di Lisbona che, abolendo la struttura a pilastri, ha trasferito
nell’alveo del diritto comunitario il settore della cooperazione giudiziaria penale 58:
ivi, l’art. 82 par. 1 TFUE espressamente stabilisce che «la cooperazione giudiziaria in
materia penale nell'Unione è fondata sul principio di riconoscimento reciproco delle
sentenze e delle decisioni giudiziarie e include il ravvicinamento delle disposizioni
legislative e regolamentari degli Stati membri nei settori di cui al paragrafo 2 e
all'articolo 83».
L’abolizione della struttura a pilastri ha permesso al legislatore europeo di legiferare
anche nell’ambito della cooperazione giudiziaria in materia penale attraverso gli atti
giuridici tipizzati dall’art. 288 TFUE. In quest’ottica,  laddove necessario per
facilitare il riconoscimento reciproco delle sentenze e delle decisioni giudiziarie e la
cooperazione di polizia e giudiziaria nelle materie penali aventi dimensione
transnazionale, il Parlamento europeo e il Consiglio possono stabilire, deliberando
mediante direttive secondo la procedura legislativa ordinaria, “norme minime”
in tema di ammissibilità reciproca delle prove tra gli Stati membri; diritti della
persona nella procedura penale; diritti delle vittime della criminalità; altri elementi
specifici della procedura penale. Queste misure tengono conto delle differenze tra le
tradizioni giuridiche e gli ordinamenti giuridici degli Stati membri (art. 82 par. 2
TFUE).

55
G. DE AMICIS – G. IUZZOLINO, Lo spazio comune di libertà, sicurezza e giustizia nelle disposizioni penali
del Trattato che istituisce una Costituzione per l’Europa, in Cass. pen., n. 10, 2004, cit., p. 3074.
56
Cfr. I. IZZO, Spazio europeo di giustizia e cooperazione giudiziaria, in L. KALB – S. NEGRI (a cura di), Studi in
materia di cooperazione giudiziaria penale, 2013, p. 51.
57
Ivi, p. 52.
58
Il Trattato di Lisbona, firmato il 13 dicembre 2007, è entrato in vigore il 1° dicembre 2009, dopo un
complesso iter di ratifica. Tale atto ha introdotto rilevanti modifiche che intendono fissare i principi
essenziali attorno ai quali far ruotare il funzionamento dell’Unione, garantendo un ruolo centrale alla
protezione dei diritti fondamentali, rafforzando la legittimità democratica del sistema, portando a termine i
percorsi istituzionali avviati con i Trattati di Amsterdam e Nizza. Il trattato inoltre organizza e chiarisce per la
prima volta le competenze dell'Unione, suddividendole in tre categorie distinte: la competenza esclusiva, in
base a cui solo l'Unione può emanare leggi dell'UE, mentre gli Stati membri si limitano alla messa in atto; la
competenza concorrente, in base a cui gli Stati membri possono adottare atti giuridicamente vincolanti
nella misura in cui l'Unione non ha esercitato la propria competenza; e la competenza di sostegno, in base a
cui l'UE adotta misure volte a sostenere o a completare le politiche degli Stati membri.
Una cooperazione così delineata59 richiede, per essere perseguita, non soltanto
l’osservanza del mutuo riconoscimento60, ma pure, il ravvicinamento delle
disposizioni legislative e regolamentari degli Stati membri.
Ebbene, scopo ultimo di Lisbona è «la creazione di un’area giudiziaria europea,
all’interno della quale l’interesse alla collaborazione prevale sull’interesse del singolo
Stato ad estrinsecare la sua potestà punitiva, evitando di scivolare, come nel passato,
in un miope nazionalismo chiuso a qualsiasi deroga al criterio di sovranità
giurisdizionale, perseverando in concezioni stantie, che vedono la cooperazione
internazionale come alcunché di inessenziale e accessorio»61.
Queste intenzioni programmatiche devono però ancora scontrarsi con le resistenze
dei singoli Stati, restii a cedere una porzione della loro sovranità in un settore che
esprime il complesso dei valori e delle tradizioni giuridico-culturali caratterizzanti
ciascun ordinamento.
Per tali ragioni, i criteri di ammissibilità ed utilizzabilità della prova ultra fines
formata continuano ad essere affidati all’opera interpretativa dei giudici nazionali62.
Con il duplice rischio di pregiudicare, da un lato, i diritti e le garanzie dell’imputato;
dall’altro lato, il promovimento di un sistema processuale unitario ed identitario
dell’organismo sovranazionale63.
59
Sull’incidenza del Trattato di Lisbona sulla cooperazione in materia penale, si rimanda a S. ALLEGREZZA,
L’armonizzazione della prova penale alla luce del Trattato di Lisbona, in Cass. Pen., n. 10, 2008, p. 3882;
C. AMALFITANO, Commenti agli artt. 82-83 TFUE, in A. TIZZANO (a cura di), Trattati dell’Unione europea,
2014; E. APRILE – F. SPIEZIA, Cooperazione giudiziaria penale nell’Unione europea prima e dopo il Trattato
di Lisbona, 2009; A. BALSAMO – L. TRIZZINO, Processo penale e Trattato di Lisbona, in A. SCALFATI (a cura
di), Digesto del Processo Penale, 2012; S. CAMPAILLA, La “circolazione” giudiziaria europea dopo Lisbona, in
Proc. pen e giustizia, n. 5, 2011, p. 90 ss.; V. MUSACCHIO, Il Trattato di Lisbona e le basi per un nuovo diritto
penale europeo, in Riv. pen., n. 5, 2008; C. SOTIS, Il Trattato di Lisbona e le competenze penali dell’Unione
europea, in Cass. pen., n. 3, 2010, p. 1147; G. TIBERI, Le nuove fonti del diritto nella cooperazione giudiziaria
in materia penale dopo il Trattato di Lisbona e il loro impatto sull’ordinamento interno, in T. RAFARACI
(a cura di), La cooperazione di polizia e giudiziaria in materia penale nell’Unione europea dopo il Trattato di
Lisbona, 2011, p. 17.
60
Analoghi obiettivi si rinvengono anche nel programma di Stoccolma del 10-11 dicembre 2009, in G.U.U.E.,
4 maggio 2010, C 115/1., il quale oltre ad auspicare l’estensione del principio di mutuo riconoscimento
a tutti i tipi di sentenze e decisioni di natura giudiziaria, ipotizza nuove iniziative normative riguardo alla
materia probatoria. La Commissione viene infatti invitata a proporre un sistema generale di acquisizione
delle prove, nelle cause aventi dimensione transfrontaliera, che possa sostituire gli strumenti caratterizzati
da una disciplina frammentaria e che sia capace di valorizzare contemporaneamente il principio di
riconoscimento reciproco e gli elementi di flessibilità del sistema tradizionale di assistenza giudiziaria
reciproca. Tale nuovo modello dovrebbe poi essere di ampia portata e potersi pertanto applicare a più
tipologie di prove. A seguito del Programma di Stoccolma, la Commissione ha avviato un programma di
consultazione all’interno dei Paesi dell’Unione europea, tramite il Libro verde sulla ricerca delle prove in
materia penale tra Stati membri e sulla garanzia della loro ammissibilità, 11 novembre 2009 (COM [2009]
624 def.).
61
A. GAITO, L’adattamento del diritto interno alle fonti europee, in AA.VV., Procedura penale, 2017, cit.,
p. 42.
62
R. DEL COCO, Circolazione della prova e poteri sanzionatori del giudice, in. T. BENE – L. LUPARIA – L.
MARAFIOTI (a cura di), L’ordine europeo di indagine penale, 2016, cit., p. 171.
63
Ibidem. Osserva al riguardo S. GLESS, Mutual Recognition, Judicial Inquiries, Due Process and
Fundamental Rights, in J. A. E. VERVAELE (a cura di), European Evidence Warrant. Transnational Judicial
Inquiries in the EU, 2005, p. 121 ss., che le regole di acquisizione e ammissibilità delle prove una specifica
Allo stato attuale, il quadro degli strumenti esistenti a livello di Unione europea in
materia di cooperazione investigativa si rivela ampiamente insoddisfacente,
soprattutto con riferimento alle indagini informatiche, e le relazioni tra gli Stati
membri sono ancora in prevalenza affidate al complesso meccanismo delle rogatorie
(salva l’applicabilità della Convenzione di Budapest)64. Nessun accenno a esse nella
Decisione quadro n. 978 del 2008 sul mandato europeo di ricerca della prova (MER),
atto che né comprende la possibilità di emettere un euro mandato per adottare misure
investigative “coercitive” e forme di sorveglianza in tempo reale, né si applica a
forme di sorveglianza in tempo reale, né all’acquisizione di dati di traffico telefonico
o telematico65; ma neppure nella Convenzione sull’assistenza giudiziaria di Bruxelles
– peraltro, non entrata ancora in vigore per la mancata ratifica da parte degli Stati che
vi hanno aderito – che disciplina le intercettazioni transfrontaliere, le comunicazioni
via Internet66 e, secondo taluno, anche l’acquisizione dei tabulati di traffico67.

6. Direttiva 2013/40UE: nuova tutela penale europea dei sistemi di


informazione
Il 3 settembre 2013 è entrata in vigore la direttiva 2013/40/UE del Parlamento
europeo e del Consiglio relativa agli attacchi contro i sistemi di informazione, che
sostituisce la decisione quadro 2005/222/GAI, documento che faceva esclusivamente
riferimento agli attacchi informatici senza prendere in considerazione l’intera e più
vasta categoria dei reati commessi attraverso le tecnologie informatiche.
conseguenza delle caratteristiche di un determinato ordinamento e variano da Stato a Stato: per tali motivi,
mostra il suo scetticismo nei confronti del funzionamento del principio del mutuo riconoscimento delle
prove. Infatti, «il mutuo riconoscimento può dare buoni frutti con riferimento a decisioni “finali”, come le
sentenze, mentre le decisioni che riguardano le prove – la loro acquisizione, utilizzabilità, ammissibilità –
sono parte di un procedimento penale in corso, disciplinate da un complesso e delicato sistema di checks
and balances. […] La validità di un sistema processuale può essere valutata solo nel suo complesso, e non
con riferimento a sue singole sequenze».
64
Più avanzato appare il panorama degli strumenti europei sul versante della c.d. cooperazione informativa,
ossia dello scambio di informazioni tra le autorità di law enforcement. Si veda pure G. DI PAOLO,
La circolazione dei dati personali nello spazio giudiziario europeo dopo Prüm, in Cass. pen., n. 2, 2010, p.
1969 ss.
65
DQ 2008/978/GAI, in GUUE del 30 dicembre 2008, L 350/72. Il MER è «una decisione giudiziaria [basata
sul principio del mutuo riconoscimento] emessa da un’autorità giudiziaria di uno Stato membro allo scopo
di acquisire oggetti, documenti e dati da un altro Stato membro [al fine di un loro utilizzo nell’ambito di un
procedimento penale]» (art. 1). Esso può essere utilizzato solo per acquisire prove già esistenti,
precostituite. Come anticipato, non può quindi essere emesso per l’espletamento di forme di sorveglianza
in tempo reale, né per «ottenere dati sulle comunicazioni conservati dai fornitori di servizi di comunicazioni
elettroniche accessibili al pubblico o di una rete pubblica di comunicazione», a meno che essi non siano
«già in possesso dell’autorità di esecuzione prima dell’emissione del MER» (art. 4, paragrafi 2 e 4).
66
Così già la Relazione esplicativa della Convenzione, in GUCE del 29 dicembre 2000, C 379, p. 7 ss.
67
L. SALAZAR, La nuova convenzione sull’assistenza giudiziaria in materia penale, in Dir. pen. proc., n. 1,
2000, p. 1664-1667.
Gli obiettivi del presente documento sono ravvicinare il diritto penale degli Stati
membri nel settore degli attacchi contro i sistemi di informazione, stabilendo norme
minime relative alla definizione dei reati e delle sanzioni rilevanti, e migliorare la
cooperazione fra le autorità competenti, compresi la polizia e gli altri servizi
specializzati degli Stati membri incaricati dell’applicazione della legge, nonché le
competenti agenzie e gli organismi specializzati dell’Unione, come Eurojust, Europol
e l’Agenzia europea per la sicurezza delle reti e dell’informazione (ENISA).
La selezione delle condotte da sottoporre a sanzione penale viene operata mediante
una previsione in un certo senso restrittiva, giacché ricadono nell’ambito di
operatività della direttiva i soli comportamenti connotati da dolo 68 e commessi su
larga scala, con l’esclusione quindi dei casi di minore gravità69.
La direttiva mantiene la maggior parte delle disposizioni contenute nella decisione
quadro 2005/222/GAI:
 La penalizzazione dell'accesso illecito (art. 3);
 La penalizzazione dell'interferenza illecita relativamente ai sistemi (art. 4) e
dell'interferenza illecita relativamente ai dati (art. 5);
 La penalizzazione dell'istigazione, del favoreggiamento, del concorso e del
tentativo di commettere tali reati (art. 8).
Essa contiene inoltre le seguenti previsioni:
 La penalizzazione dell'intercettazione illecita (art. 6);
 Il rafforzamento della rete esistente di punti di contatto, come quella del G8 o
quella del Consiglio d'Europa, disponibili ventiquattro ore su ventiquattro e
sette giorni su sette, con l'obbligo di rispondere entro otto ore alle richieste
urgenti (art. 13)70;
Inedita è la penalizzazione della produzione o della messa a disposizione di
strumenti, quali programmi o password di computer, «senza diritto e con l'intenzione
di utilizzarli al fine di commettere uno dei reati di cui agli articoli da 3 a 6» (art. 7): ci
si riferisce ai reati associati all’utilizzo delle «botnet» che, per le loro caratteristiche
costitutive, assumono respiro internazionale con conseguente aggravamento della
propria portata71.
68
Non è prevista responsabilità ad esempio qualora una persona non sappia che l’accesso non è autorizzato
o nel caso di incarichi di collaudo o di protezione di sistemi di informazione.
69
Gli Stati membri possono stabilire cosa costituisce un caso di minore gravità ai sensi del loro diritto e della
loro prassi nazionali. Un caso può essere considerato di minore gravità, ad esempio, qualora il danno
provocato dal reato e/o il rischio per gli interessi pubblici o privati, ad esempio per l’integrità di un sistema
di informazione o per dati informatici, sia insignificante o di natura tale da non rendere necessario imporre
una sanzione penale entro i limiti di legge o stabilire una responsabilità penale.
70
Nel corso di una riunione tenutasi a Washington il 9 e il 10 dicembre 1997, i ministri della giustizia e affari
interni del G8 adottarono i principi fondatori della cosiddetta rete 24/7 – meccanismo atto ad accelerare i
contatti tra gli Stati partecipanti, grazie a punti di contatto consultabili giorno e notte per casi implicanti la
produzione di prove elettroniche o richiedenti l'assistenza urgente di autorità di contrasto straniere –
nell’ambito di un piano d’azione volto a combattere il cybercrime, piano poi sottoscritto dai rappresentanti
riuniti al vertici di Birmingham del maggio 1998. Nell’ambito della Convenzione di Budapest, tale strumento
è recepito dall’art. 35.
71
Una «botnet» è una rete formata da computer collegati a Internet e infettati da malware, controllata da
un'unica entità, il botmaster; a causa di falle nella sicurezza o per mancanza di attenzione da parte
A proposito delle sanzioni applicabili (art. 9), gli Stati membri dovranno assicurare72:
 Una pena detentiva massima non inferiore a 2 anni, almeno per i casi che non
sono di minore gravità;
 Una pena di detenzione massima di almeno 3 anni, qualora un numero
significativo di sistemi di informazione sia stato colpito avvalendosi di uno
degli strumenti di cui all'art. 7;
 Una pena detentiva non inferiore a 5 anni, qualora i reati di interferenza illecita
siano stati commessi nell'ambito di un'organizzazione criminale73, o abbiano
causato gravi danni, o siano stati commessi ai danni di un sistema di
informazione di un'infrastruttura critica.
L’art. 10 riconosce poi la responsabilità delle persone giuridiche in due ipotesi:
 Commissione a loro vantaggio di uno dei reati di cui agli articoli da 3 a 8 da
parte di qualsiasi persona, che agisca a titolo individuale o come membro di un
organismo della persona giuridica, e che detenga una posizione dominante;
 Commissione da parte di un dipendente dell’ente di uno dei reati di cui agli
articoli da 3 a 8 a vantaggio dell’ente medesimo, qualora la commissione sia
stata favorita dalla mancata sorveglianza o dal mancato controllo di uno dei
soggetti apicali.
L’art. 12 attribuisce la competenza ai giudici dello Stato sul cui territorio il reato è
stato commesso o di cui l’autore è cittadino, «quanto meno nei casi in cui l’atto
costituisce un reato nel luogo in cui è stato commesso».
Lo Stato, inoltre, deve esercitare la propria competenza giurisdizionale qualora
«l’autore abbia commesso il reato mentre era fisicamente presente nel suo territorio,
indipendentemente dal fatto che il reato sia stato o meno commesso contro un sistema
di informazione nel suo territorio o qualora il reato sia stato commesso contro un
sistema di informazione nel suo territorio, indipendentemente dal fatto che l’autore
del reato fosse o meno fisicamente presente nel suo territorio al momento della
commissione del reato».
Tenendo conto delle particolarità del reato che non richiede la presenza del reo sul
territorio, l’art. 12 consente agli Stati, previa comunicazione alla Commissione, di
stabilire la competenza giurisdizionale per un reato di cui agli articoli da 3 a 8
commesso al di fuori del suo territorio, «anche qualora: a) l’autore del reato risieda
abitualmente nel suo territorio; o b) il reato sia commesso a vantaggio di una persona
giuridica che ha sede nel suo territorio».
Le ultime disposizioni della direttiva sono rivolte all’esigenza di rafforzare la
cooperazione tra le autorità giudiziarie e le forze di polizia: al riguardo, si sollecita la

dell'utente e dell'amministratore di sistema, i computer vengono infettati da virus informatici o trojan i


quali consentono ai loro creatori di controllare il sistema da remoto; i controllori della botnet possono in
questo modo sfruttare i sistemi compromessi per scagliare attacchi distribuiti del tipo distributed denial of
service - DDoS - contro qualsiasi altro sistema in rete oppure compiere altre operazioni illecite, in taluni casi
agendo persino su commissione di organizzazioni criminali. Sul tema si rinvia a P. LORUSSO, L’insicurezza
dell’era digitale. Tra cybercrimes e nuove frontiere dell’investigazione, 2011, pp. 108-110.
72
L’art. 9 dispone che le sanzioni siano «effettive, proporzionate e dissuasive».
73
Quale definita nella decisione quadro 2008/841/GAI.
predisposizione di un punto di contatto nazionale operativo, l’utilizzo di una rete
esistente di punti di contatto 24/7, la risposta a richieste di aiuto urgenti entro 8 ore
per indicare se e quando può essere fornita una risposta e, infine, la raccolta di dati
statistici sulla criminalità informatica.
Il 13 settembre 2017 la Commissione ha presentato al Parlamento europeo e al
Consiglio una Relazione che valuta in quale misura gli Stati membri abbiano adottato
le misure necessarie per conformarsi alla direttiva74.
E’ stato riportato che, entro il termine stabilito per il recepimento (4 settembre 2015),
22 Stati membri avevano comunicato alla Commissione di aver portato a termine il
recepimento della direttiva. Nel novembre 2015 la Commissione aveva perciò avviato
procedimenti di infrazione per mancata comunicazione delle misure nazionali di
recepimento nei confronti di Belgio, Bulgaria, Grecia, Irlanda e Slovenia: al 31
maggio 2017 sono ancora in corso quelli riguardanti Belgio, Bulgaria e Irlanda.
Nelle conclusioni, si legge che «la direttiva ha determinato progressi sostanziali in
termini di penalizzazione degli attacchi informatici a un livello analogo in tutti gli
Stati membri, facilitando la cooperazione transfrontaliera fra le autorità di contrasto
che indagano su questo tipo di reati. Gli Stati membri hanno modificato i codici
penali e altre normative pertinenti, semplificato le procedure e avviato o migliorato
programmi di cooperazione. La Commissione riconosce i grandi sforzi compiuti dagli
Stati membri per dare attuazione alla direttiva. Tuttavia, esistono ancora ampi
margini d’azione perché la direttiva possa raggiungere le sue piene potenzialità, se gli
Stati membri garantiranno l'attuazione completa di tutte le sue disposizioni».
E’ stata poi confermata da parte della Commissione la volontà di non proporre al
momento modifiche della direttiva. Sono invece in corso di studio eventuali misure
volte a migliorare l'accesso transfrontaliero alle prove elettroniche per le indagini
penali, compresa la proposta di misure legislative entro l'inizio del 2018.

 
7. L’Ordine di Indagine europeo

74
COM (2017) 474 def.
Su iniziativa di alcuni Stati membri75, è stata avanzata la richiesta di introdurre uno
strumento unico per la raccolta eurounitaria delle prove: siffatta proposta ha trovato
accoglimento nella Direttiva 2014/41/UE – relativa all’ordine europeo di indagine –
con cui si è inteso realizzare una mono fonte di disciplina per tutte le vicende attinenti
alle prove76, siano esse precostituite o costituende, fatta eccezione soltanto per gli atti
istruttori compiuti nell’ambito delle squadre investigative comuni77.
Risultato principale del presente atto è la sostituzione di tutti i preesistenti strumenti
di cooperazione giudiziaria al fine di porre fine alla frammentarietà del quadro
normativo in materia probatoria78.
L’OEI consiste in una decisione giudiziaria emessa o convalidata 79 da un’autorità
competente di uno Stato membro (“Stato di emissione”) affinché siano compiuti in un
altro Stato membro (“Stato di esecuzione”) uno o più atti di indagine 80 o di
assunzione probatoria aventi ad oggetto persone o cose che si trovano nel territorio di
un altro Stato membro ovvero per acquisire informazioni o prove già disponibili.
75
La proposta per l’adozione di una direttiva riguardo all’OEI da parte del Parlamento europeo e del
Consiglio è stata presentata il 29 aprile 2010 da Austria, Belgio, Bulgaria, Estonia, Lussemburgo, Spagna,
Slovenia e Svezia. Su tale proposta di direttiva, cfr. G. FIORELLI, Nuovi orizzonti investigativi. L’ordine
europeo di indagine penale, in Dir. pen. proc., n. 6, 2013 p. 705 ss.; A. MANGIARACINA, A New and
Controversial Scenario in the Gathering of Evidence at the European level: The Proposal for a Directive on
the European Investigation Order, in Utrecht Law Review, n. 1, 2014, p. 119; M.M. PISANI, Problemi di
prova in materia penale. La proposta di direttiva sull'Ordine europeo di indagine, in Arch. pen., n. 3, 2011, p.
925 ss.
76
Cfr. considerandum n.5,6. Sul carattere «omnicomprensivo» dell’Ordine europeo di indagine,
M. CAIANIELLO, La nuova direttiva UE sull’ordine europeo di indagine, in Proc. pen e giustizia, n. 3, 2015,
p. 3, evidenzia che il nuovo strumento è adottabile «per le prove reali e per quelle in senso lato
documentali (così coprendosi l’area delle due decisioni quadro sul congelamento e la confisca dei beni, e
sul mandato di ricerca delle prove); ancora, può essere emesso per acquisire una prova dichiarativa – da un
potenziale testimone o da un imputato – così come per ottenere dati in tempo reale (ivi comprese le
intercettazioni di comunicazioni). Infine, all’OEI si può ricorrere per effettuare un’operazione sotto
copertura».
77
Per questa ipotesi specifica, continua ad essere valida la  Decisione quadro 2002/465/GAI del Consiglio,
del 13 giugno 2002, relativa alle squadre investigative comuni, in GUUE, 20 giugno 2002, L 162/1.
78
Tale direttiva va a sostituire perciò una lunga serie di atti: la Convenzione di Strasburgo sulla mutua
assistenza giudiziaria penale del 20 aprile 1959 e i relativi due protocolli addizionali del 17 marzo 1978 e
dell’8 novembre 2001 (oltre agli accordi bilaterali conclusi a norma dell’art. 26 di tale Convenzione);
la Convenzione di applicazione degli Accordi di Schengen del 19 giungo 1990, la Convenzione sulla mutua
assistenza giudiziaria in materia penale tra gli Stati membri dell’UE del 29 maggio 2000 e il relativo
protocollo del 16 ottobre 2001; la decisione quadro 2003/577/GAI del 22 luglio 2003 sul congelamento dei
beni da sottoporre a sequestro e confisca (limitatamente al sequestro probatorio) e la decisione quadro
2008/978/GAI sul Mandato Europeo di Ricerca della Prova. Tali fonti conserveranno efficacia limitatamente
ai rapporti tra l’Unione e Paesi terzi. Così testualmente statuisce l’art. 34 della Direttiva 2014/41/UE.
Quest’articolo non include la Convenzione di Budapest del 2001: ciò significa che in relazione a strumenti
non espressamente indicati dalla Direttiva 2014/41/UE continuerebbero a trovare applicazione le regole
Convenzionali.
79
La convalida è prevista quando un’autorità “competente” per l’investigazione distinta da quella
giudiziaria, per esempio la polizia giudiziaria, ordini l’ottenimento di prove. In questo caso l’OEI dovrà
sempre essere convalidato dall’autorità giudiziaria (art. 2, lett. c), ii D. OEI).
80
Desta perplessità tanto fatto che la direttiva non contenga alcuna definizione chiara di “atto di indagine”
quanto che una autorità distinta dal giudice possa sollecitare un atto investigativo.
Tale strumento può essere emesso da qualsiasi organo giurisdizionale, magistrato
inquirente o da ogni altra autorità competente, definita dallo Stato di emissione che,
nel caso di specie, agisca in qualità di autorità inquirente nel procedimento penale e
sia competente a disporre l'acquisizione di prove in conformità del diritto nazionale.
Quid novi è la possibilità che anche l’indagato o l’imputato, direttamente o con il
tramite del difensore, possa richiedere l’OEI, nel quadro dei diritti della difesa
applicabili conformemente al diritto e alla procedura penale nazionale81.
Duplice l’ordine delle condizioni da soddisfare per l’emissione del provvedimento:
necessità dell’attività richiesta ai fini del procedimento e proporzionalità della stessa
in merito allo scopo al quale è diretta da un parte; rispetto delle regole nazionali
applicabili in un caso interno analogo dall’altra82. L’osservanza di entrambi i requisiti
verrà valutata sia dall’autorità di emissione che da quella di esecuzione che potrà
consultarsi con la prima se ritiene che la richiesta non sia completa, così come potrà
decidere di ritirarla.
In virtù di una forma di applicazione del criterio di proporzionalità, qualora l'atto di
indagine richiesto nell'OEI non sia previsto dal diritto dello Stato di esecuzione,
oppure non sia disponibile in un caso interno analogo, l'autorità di esecuzione può
suggerire di eseguire un atto diverso da quello richiesto, purché assicuri il medesimo
risultato; tale facoltà è comunque espressamente esclusa in relazione ad alcuni atti
d’indagine che devono sempre essere disponibili in base al diritto dello Stato membro
di esecuzione.
 L’acquisizione di prove che sono già in possesso dell'autorità di esecuzione;
 L'acquisizione di informazioni contenute in banche dati della polizia o delle
autorità giudiziarie;
 L'audizione di un testimone, di un esperto, di una vittima, di una persona
sottoposta ad indagini, di un imputato o di terzi;
 L’acquisizione di qualunque atto di indagine non coercitivo quale definito dal
diritto dello Stato di esecuzione;
 L'individuazione di un titolare di un abbonamento telefonico o indirizzo IP.
Il limite al ricorso ad uno strumento alternativo è talmente vasto da rendere difficile
l'individuazione concreta degli atti di indagine che siano sottratti a tali obbligazioni
come previste nel par. 2 art. 10.

81
Quella che sembra una grande conquista sulla via del riconoscimento dei diritti difensivi e dell'esercizio
delle facoltà ad essi connesse subirà giocoforza nella pratica, delle limitazioni, ove gli ordinamenti nazionali
non prevedano o non riconoscano la possibilità di effettuare indagini difensive, o lo prevedano
limitatamente ad alcuni atti o in relazione a specifiche fasi processuali, con modalità e garanzie differenti da
un ordinamento all'altro, creando, così, un mosaico procedurale difficilmente comprensibile o accessibile, a
parità di condizioni, a tutti i cittadini europei. Cfr. A. MANGIARACINA, op. cit., p. 124.
82
Secondo alcuni autori, questa condizione serve a impedire che l’acquisizione della prova in un altro Stato
si trasformi in un modo per eludere l’applicazione della normativa interna. Cfr. L. CAMALDO – F. CERQUA,
La Direttiva sull´ordine europeo di indagine penale: le nuove prospettive per la libera circolazione delle
prove, in Cass. pen., 2014, p. 3512; M. DANIELE, Ricerca e formazione della prova, in R. E. KOSTORIS (a cura
di), op. cit., p. 311.
La direttiva richiama il criterio di proporzionalità in due occasioni 83: esplicitamente
nell’art. 6 ove si richiede che l’emissione dell’OEI sia “necessaria” e “proporzionata” ,
cioè idonea in astratto a raggiungere l’obiettivo prefissato; implicitamente nell’art. 10
par. 3 ove si impone allo Stato di esecuzione di verificare la possibilità di raccogliere
le informazioni attraverso mezzi meno intrusivi. Si configura a ben vedere un doppio
controllo sulla proporzionalità, valorizzato per di più dalla previsione di un’eventuale
consultazione fra i due Stati implicati allorquando sussistano delle perplessità sul
rispetto del principio.
Il requisito della proporzionalità è stato introdotto a fronte del “cattivo esempio”
rappresentato dal MAE, misura cui si è fatto ricorso spesso e volentieri pure per reati
di natura bagatellare84; ma anche in considerazione del fatto che non in tutti gli Stati
la fase di istruzione prevede lo stesso tipo di controllo giudiziale e anzi, in alcuni, gli
atti di investigazione vengono ordinati e svolti dalla polizia85.
Alcuni autori annoverano le ripetute menzioni alla proporzionalità tra gli aspetti più
virtuosi della direttiva: il suo richiamo costante eliminerebbe in partenza la possibilità
di ricorrere a misure intrusive come l’OEI per ipotesi di modesta rilevanza ma, anzi,
andando oltre il mero raffronto del rapporto tra mezzi e fini, arriverebbe a delineare
un sindacato complesso e articolato sulla bontà del dato probatorio nell’intenzione
di fare da scudo a possibili lesioni dei diritti fondamentali86.
Ciononostante, bisogna condividere l’impostazione di quegli autori che invece
ritengono che la proporzionalità non centri l’obiettivo cui mira: la possibilità che
l’autorità di esecuzione possa consultare quella di emissione in caso di dubbi sulla
proporzionalità e sulla legalità, e che all’esito del confronto, si possa optare per il
ritiro dell’OEI, configurerebbe l’ingerenza di un’autorità esterna all'ordinamento
giuridico in cui quel procedimento viene celebrato. Quella che sarebbe una chance di
dialogo finirebbe per introdurre un vaglio in grado di determinare un autonomo
motivo di rifiuto, che risulta incompatibile con lo spirito di assistenza giudiziaria 87. 
In definitiva, non sarebbe opportuna una tanto ampia discrezionalità in capo
all’autorità di esecuzione nella valutazione di ciò che compete a quella di emissione88.
L'OEI è trasmesso dall'autorità di emissione a quella di esecuzione con ogni mezzo
che consenta di conservare una traccia scritta in condizioni che permettano allo Stato
di esecuzione di stabilirne l'autenticità (art. 7). Per la trasmissione della richiesta, si
83
Cfr. M. CAIANIELLO, op. cit., p. 6.
84
Nonostante la previsione di fattispecie già modeste (l’art. 2 par. 1 decisione quadro 2002/584/GAI
statuisce che il MAE «può essere emesso per dei fatti puniti dalle leggi dello Stato membro emittente con
una pena privativa della libertà o con una misura di sicurezza privativa della libertà della durata massima
non inferiore a dodici mesi oppure, se è stata disposta la condanna a una pena o è stata inflitta una misura
di sicurezza, per condanne pronunciate di durata non inferiore a quattro mesi»), nella prassi si è registrato
un ricorso alla misura per reati non sufficientemente gravi da giustificarne l’utilizzo.
85
A. TINOCO PASTRANA, L’ordine europeo di indagine penale, in Proc. pen e giustizia, n. 2, 2017, cit., p. 351.
86
In tal senso, M. CAIANIELLO, op. cit., p. 6.
87
In tal senso, R. BELFIORE, Riflessioni a margine della Direttiva sull´ordine europeo di indagine penale, in
Cass. pen., n. 9, 2015, p. 3296, secondo la quale, inoltre, il test di proporzionalità è vano poiché  è destinato
a essere condotto in ciascuno Stato membro secondo canoni diversi, sui quali un'influenza decisiva esercita
l'obbligatorietà dell'azione penale.
88
Così, A. TINOCO PASTRANA, op. cit., p. 351.
potrà utilizzare il sistema delle telecomunicazioni della Rete Giudiziaria Europea,
dell’Eurojust e delle altre reti di collaborazione esistenti.
L'autorità competente dello Stato di esecuzione che riceve un OEI trasmette una
comunicazione di ricevuta, senza ritardo, e comunque entro una settimana dalla
ricezione, compilando e inviando il modulo allegato alla direttiva (allegato B).
Il riconoscimento e l'esecuzione dell'OEI avvengono senza alcuna ulteriore formalità,
adottando immediatamente tutte le misure necessarie, secondo le stesse modalità che
sarebbero osservate qualora l'atto di indagine fosse stato disposto da un'autorità dello
Stato di esecuzione (art. 9), salvo che quest'ultima adduca uno dei motivi di non
riconoscimento o di non esecuzione, indicati tassativamente dall'art. 11.
La tempistica della procedura deve garantire la «stessa celerità e priorità usate in un
caso interno analogo» e, in ogni caso, deve rispettare i termini previsti dall'art. 12.
Secondo tale disposizione, la decisione sul riconoscimento o sull'esecuzione è
adottata «il più rapidamente possibile» e comunque entro 30 giorni dalla ricezione
dell'OEI, eventualmente prorogabili per ulteriori 30 giorni, previa informativa
all'autorità emittente, tenendo conto delle specifiche esigenze eventualmente indicate
da quest'ultima. Salvo che sussista un motivo di rinvio o che la prova sia già in
possesso dello Stato di esecuzione, l’autorità porterà a compimento l’atto senza
ritardo e, al massimo entro e non oltre 90 giorni dall’adozione del provvedimento.
Dopo aver compiuto l'atto di indagine, l'autorità di esecuzione deve trasferire «senza
indebito ritardo» all'autorità di emissione le prove acquisite o già in suo possesso.
Se le autorità competenti dello Stato di emissione partecipano all'esecuzione dell'OEI,
le prove sono trasferite loro «immediatamente», qualora ciò sia richiesto nell'OEI e
consentito dalla legislazione nazionale dello Stato di esecuzione (art. 13).
All'atto del trasferimento delle prove acquisite, l'autorità di esecuzione indica se
voglia la restituzione delle stesse non appena cessino di essere necessarie nello Stato
di emissione.
Sono previste soltanto due ipotesi di sospensione del trasferimento delle prove:
anzitutto, quando sia pendente un giudizio d'impugnazione, a meno che nell'OEI
siano indicati motivi per i quali il trasferimento immediato è essenziale al fine del
corretto svolgimento delle indagini ovvero della tutela dei diritti individuali; in
secondo luogo, se il trasferimento può provocare danni gravi e irreversibili alla
persona interessata.
Sono piuttosto scarne le previsioni relative ai mezzi di impugnazione. Gli Stati
membri devono garantire, ad ogni soggetto interessato, la facoltà di attivare nei
confronti dell'OEI gli stessi mezzi di impugnazione disponibili nella legislazione
nazionale avverso un atto di indagine analogo a quello richiesto. Le ragioni attinenti
al merito dell'OEI possono, tuttavia, essere fatte valere soltanto mediante
un'impugnazione presentata nello Stato di emissione, salve le garanzie dei diritti
fondamentali nello Stato di esecuzione (art. 14).
Nella procedura volta ad acquisire la prova deve essere, in ogni caso, assicurata la
riservatezza dell'indagine (art. 19) e il rispetto dei diritti fondamentali e dei principi
sanciti dall'art. 6 TUE, compresi i diritti della difesa delle persone sottoposte a
procedimento penale.
Per concludere una breve disamina dei motivi di non riconoscimento 89 o non
esecuzione che riguardano ipotesi diverse tra loro indicate specificamente nell’art. 11:
a) La legislazione dello Stato di esecuzione prevede immunità o privilegi che
rendono impossibile l'esecuzione dell'OEI, ovvero norme sulla determinazione
e limitazione della responsabilità penale relative alla libertà di stampa e alla
libertà di espressione in altri mezzi di comunicazione che renderebbero
impossibile l'esecuzione dell'OEI;
b) L'esecuzione lede interessi essenziali di sicurezza nazionale, mette in pericolo
la fonte delle informazioni o comporta l'uso di informazioni classificate
riguardanti attività di intelligence specifiche;
c) L'OEI è stato emesso nel quadro dei procedimenti avviati da una autorità
amministrativa nei casi previsti dall'art. 4, lettere b) e c), e l'atto investigativo
non è ammesso a norma del diritto dello Stato di esecuzione in un caso interno
analogo;
d) L'esecuzione dell'OEI è contraria al principio del ne bis in idem90;
e) L'OEI si riferisce a un reato che si presume commesso fuori dal territorio dello
Stato di emissione e interamente o parzialmente nel territorio dello Stato di
esecuzione, e la condotta per la quale l'OEI è emesso non costituisce reato
nello Stato di emissione91;
f) Sussistono seri motivi per ritenere che l'esecuzione dell'atto di indagine
richiesto nell'OEI sia incompatibile con gli obblighi dello Stato di esecuzione
ai sensi dell'art. 6 TUE e della Carta;
g) La condotta riguardo alla quale è stato emesso l'OEI non costituisce reato in
base al diritto dello Stato di esecuzione, a meno che riguardi un reato elencato
nelle categorie dell'allegato D, come indicato dall'autorità di emissione
nell'OEI, qualora sia punibile nello Stato di emissione con una pena o una
misura di sicurezza detentiva della durata massima di almeno tre anni;
h) Il ricorso all'atto di indagine richiesto nell'OEI è limitato dal diritto dello Stato
di esecuzione a un elenco o a una categoria di reati o a reati punibili entro una
certa soglia fra cui non figura il reato oggetto dell'OEI.
Alla luce di quanto precede, della direttiva 2014/41UE se ne può parlare in termini di
“occasione mancata”: sebbene le si debba riconoscere il pregio di aver ricondotto ad
unità un sistema frastagliato, introducendo un unico strumento acquisitivo, valevole
per qualsiasi tipo di prova e in grado di sostituire le classiche rogatorie, il suo

89
Durante i negoziati, la volontà era quello di non inserire alcun motivo di non riconoscimento, eccetto
quelli legati all'esistenza di immunità, privilegi e motivi di sicurezza nazionale. Nel testo finale si è invece
giunti a riconoscere l'esistenza di motivi di non esecuzione legati a principi riconosciuti e consolidati, quali la
violazione di diritti fondamentali, ne bis in idem ed il principio di territorialità.
90
Bisogna verificare in quali termini e con quali caratteristiche ostative al bis in idem saranno riconosciuti i
precedenti provvedimenti, riguardanti i procedimenti di tipo amministrativo cui si applica l’OEI nei termini
richiesti dall’art. 54 della CAAS.
91
Questa ipotesi, ancorata al principio di territorialità, viene criticata in dottrina perché contraddice la
costruzione ideale dello spazio giudiziario europeo che, al contrario, si vuole abbattere alla radice e non
tiene conto del carattere ormai transnazionale delle condotte criminali. In questi termini, M. CAIANIELLO,
op. cit., p. 8.
contenuto non può però dirsi straordinario92. Il contesto è sempre quello di tipo
orizzontale e non verticale, per cui ciascuno Stato mantiene il proprio diritto delle
prove. Orbene, come già sottolineato in dottrina, «balza all'evidenza come la direttiva
in esame – analogamente alla decisione quadro sul mandato europeo di ricerca della
prova – trascuri le implicazioni legate alle differenze tra i diversi ordinamenti
nazionali, assicurando il trasferimento di materiale probatorio senza definire i
caratteri minimi che deve possedere per esser utilizzabile nel processo di destinazione
e poter circolare liberamente nell'intero territorio europeo»93.
Contrariamente agli intenti espressi durante i negoziati94, l’armonizzazione delle
regole di acquisizione e di utilizzazione delle prove, con l'adozione di norme comuni,
è passata da elemento principale a tema di secondo piano, essendosi ogni attenzione
concentrata sulla realizzazione della fase iniziale della catena probatoria, ovverosia
sulla decisione di intraprendere un'indagine e sulla scelta dell'atto di indagine. E ciò
avviene nonostante il costante richiamo al “rispetto delle tradizioni giuridiche” e delle
“differenze tra gli ordinamenti” degli Stati membri e perfino alle garanzie di tutela
dei diritti fondamentali.
Prendendo atto che le regole di ammissibilità della prova rimangono stabilite dal
diritto interno, constatando quindi che l'Unione europea continua a lavarsene le mani,
si ricava la presenza di un sistema instabile, ben potendo la trasmigrazione della
prova allogena causare vere e proprie «crisi di rigetto»95.
L'efficacia di una collaborazione interstatuale per la traslazione del materiale
probatorio dipende soprattutto dal fatto di trasmettere materiale suscettibile di
utilizzazione nel Paese richiedente.
A nulla servirebbe, infatti, assicurare il trasferimento del dato probatorio se poi
questo non potesse essere utilizzato nel processo di destinazione.96
Utilizzare un unico e rigido contenitore che non distingue tra tipi diversi di atti
d’indagine e tra fasi processuali, contribuisce inoltre ad aumentare la fragilità e
92
In tal senso anche T. BENE, L’ordine europeo di indagine penale: criticità e prospettive, in T. BENE –
L. LUPARIA – L. MARAFIOTI, L’ordine europeo di indagine penale: criticità e prospettive, p. 2.
93
V. CAMPILONGO, La circolazione della prova nel contesto europeo, tra mutuo riconoscimento delle
decisioni giudiziarie ed armonizzazione normativa, in Cass. pen., n. 2, 2014, cit., p. 715 ss.
94
Il dibattito, iniziato nel solco delle linee guida adottate dalla Commissione nel Libro Verde dell’11
novembre 2009, trovò il suo sbocco naturale nel programma di Stoccolma, approvato nel dicembre 2009
dal Consiglio europeo. Quest’ultimo delineava le priorità dell'Unione europea (UE) per lo spazio di libertà,
sicurezza e giustizia per il periodo 2010-2014. E’ stato sostituito dal “Programma Giustizia 2014-2020” il cui
obiettivo generale è contribuire all'ulteriore sviluppo di uno spazio europeo di giustizia basato sul
riconoscimento reciproco e la fiducia reciproca, in particolare attraverso la promozione della cooperazione
giudiziaria in materia civile e penale.
95
L’espressione è di S. ALLEGREZZA, Cooperazione giudiziaria, mutuo riconoscimento e circolazione della
prova nello spazio giudiziario europeo, in T. RAFARACI (a cura di), L’area di libertà, sicurezza e giustizia, alla
ricerca  di  un equilibrio fra priorità repressive ed esigenze  di garanzia. Atti del Convegno. Catania, 9-11
giugno 2005, 2007, p. 712, la quale rileva correttamente che «il sistema nazionale costretto a dare
applicazione a un provvedimento estero che sente estraneo non per la provenienza, ma per le regole che
ne hanno retto la genesi, non può che rifiutarlo».
96
G. DARAIO, La circolazione della prova nello spazio giudiziario europeo,  in L. KALB (a cura di),  Spazio
europeo di giustizia e procedimento penale italiano, 2012, cit., p. 580. Sul tema, cfr. M.M. PISANI, op cit., p.
925.
l’incoerenza del quadro di riferimento che le istituzioni comunitarie vorrebbero
invece modificare.
Così, la mancata previsione di una disciplina della mutual admissibility of evidence,
prima della individuazione di un congegno omnicomprensivo, potrebbe certamente
pregiudicare il raggiungimento di una struttura processuale identitaria dell’organismo
sovranazionale e, verosimilmente, rappresentare un pericolo per la reale efficacia
degli atti d’indagine: infatti, le prove ottenute conformemente alla lex loci (quella
dello Stato ove sono situate) potrebbero non avere successivamente validità nello
Stato di emissione, nel caso in cui questo abbia una regolamentazione più stringente
relativamente alla protezione dei diritti fondamentali, con la conseguenza che il
materiale raccolto sarebbe inutilizzabile97.
Come è stato efficacemente rilevato, per circolare la prova deve essere compatibile
non soltanto con le norme del paese in cui viene raccolta, ma anche con i principi del
paese in cui viene utilizzata ai fini decisori98.
In definitiva, occorre ribadire con forza che solo un’armonizzazione preventiva della
disciplina probatoria potrà essere funzionale al miglioramento della cooperazione
giudiziaria. Deve tuttavia precisarsi che «quando si parla di armonizzazione della
prova, da simile opera deve senz’altro ritenersi esclusa la disciplina in tema di regole
di valutazione. In effetti, la prova è una costruzione giuridica il cui apprezzamento,
fondato sul principio del libero convincimento, spetta in ogni caso al giudice,
risultando assai arduo ed illusorio precostituire il valore conoscitivo dell’elemento di
prova addotto all’esito della procedura di cooperazione 99». Ciò che va ravvicinato
sono le regole di ammissibilità onde poter accogliere il dato probatorio allogeno
coniato secondo schemi procedurali che mostrino «la medesima attenzione verso
regole dettate dal legislatore nazionale, non solo in una chiave di tutela di garanzie
soggettive, ma anche quale baluardo di garanzie epistemiche»100.
In aggiunta a quanto osservato sinora, vale la pena fare delle riflessioni sulla sorte del
diritto di difesa. Ora, nonostante sia prevista la facoltà dell'indagato ovvero
dell'imputato, nonché del difensore che agisca per conto di questi ultimi, di chiedere
che venga emesso un OEI nel quadro dei diritti della difesa applicabili fedelmente al
diritto e alla procedura penale nazionale, non sembra profilato un pieno equilibrio tra
le parti processuali101.
Difatti, nell’avanzare istanza per l’emissione di un OEI, la difesa sarebbe costretta
a palesare la propria strategia alla controparte anche in un momento antecedente a

97
Si pensi ad esempio alla possibilità di emettere l’atto istruttorio indicato nell’OEI “solamente” “alle stesse
condizioni in un caso interno analogo” (art. 6 lett. b): questa disposizione si traduce nell’obbligo di
rispettare tutte le regole di ammissibilità previste dalla lex fori, a pena dell’inutilizzabilità delle prove
raccolte in violazione di siffatte raccomandazioni.
98
E. AMODIO, Diritto di difesa e diritto alla prova nello spazio giudiziario europeo, in A. LANZI – F. RUGGIERI
– L. CAMALDO (a cura di), Il difensore e il pubblico ministero europeo, 2002, cit., p. 107.
99
Così, L. MARAFIOTI, Orizzonti investigativi europei, assistenza giudiziaria e mutuo riconoscimento, in T.
BENE – L. LUPARIA – L. MARAFIOTI (a cura di), op. cit., p. 16.
100
F. SIRACUSANO, Tra mutuo riconoscimento e armonizzazione preventiva: quali prospettive per la
circolazione della prova dichiarativa nell’ambito dell’Unione europea?, in Arch. pen., 2012, n. 1, cit., p. 5.
101
Parzialmente diverse le considerazioni di M. CAIANIELLO, op. cit., p. 7. 
quello della formale discovery. Questa chance è del resto più simbolica che reale 102.
Non va dimenticato che la posizione di svantaggio di chi è accusato, ove la
dimensione del caso sia transnazionale, è pesantemente accentuata da un deficit
informativo strutturale103; in altre parole, per promuovere una richiesta “sensata”, si
dovrebbe poter conoscere, attraverso adeguate reti di informazione, quali prove
sarebbe opportuno e necessario raccogliere all’estero104.
L’obbligo del rispetto dei principi giuridici e dei diritti fondamentali ex art. 6 TUE,
nonché, in particolar modo dei diritti di difesa, contenuto nel disposto dell’art. 1,
par. 4 della direttiva 2014/41/UE, corre il rischio di rimanere lettera morta: laddove,
la partecipazione del difensore alla formazione di un certo atto sia requisito
indispensabile a norma del diritto interno dello Stato di emissione, l'assenza della
difesa nel corso dell'esecuzione di un OEI è suscettibile di inficiare il procedimento
di esecuzione nel suo insieme, pregiudicando l'utilizzabilità dell'atto nel
procedimento di destinazione105. A questo rischio si potrebbe ovviare in due modi non
alternativi ma complementari106: o interpolando l’art. 10 della direttiva 2013/48/ UE,
sull’accesso a un difensore, con il quale, per la prima volta, si impone la nomina di un
difensore nello Stato di esecuzione del mandato, e si dettano, sia pur molto
genericamente, le linee di un coordinamento tra difese operanti nell’ordinamento
a quo e in quello ad quem107; inoltre, una modifica dell’art. 7 della direttiva
2012/13/UE sul diritto all’informazione nei procedimenti penali, oltre a rendere
concretamente fruibile un diritto cardine dell’accusato, avrebbe, almeno
parzialmente, potuto porre rimedio a quella situazione di squilibrio poc’anzi
illustrata.
Anche sotto il profilo della tutela dei diritti, il legislatore eurounitario ha perso
un’occasione per riconoscere all’indagato/imputato un’incidenza effettiva nei
procedimenti penali aventi dimensione transnazionale: sia sotto il profilo dell’accesso
agli elementi alla base delle richieste veicolate dall’OEI; che in relazione alla facoltà
di partecipare alle operazioni istruttorie. Permarrebbe, così, un assetto ad oggi
profondamente squilibrato in favore dell’organo inquirente108.
Il tema della raccolta transnazionale della prova informatica non ha trovato adeguato
spazio nella direttiva 2014/41/UE. Il capo IV, dedicato alle “disposizioni specifiche
per determinati atti di indagine”, disciplina le operazioni di acquisizione di elementi

102
L’espressione è di R. BELFIORE, op. cit., p. 3292.
103
Così, M. CAIANIELLO, op. cit., p. 11.
104
M. CAIANIELLO, op. cit.,, cit., p. 8, evidenzia che «la difesa non può strutturalmente essere al corrente di
quella comunicazione di informazioni spontanee tra le autorità inquirenti che […] tipicamente antecede
l’emissione di atti di assistenza giudiziaria a carattere probatorio. Né essa ha alcun accesso ai dati scambiati
nel corso dell’attività di coordinamento favorita e supportata da Eurojust».
105
Così, R. BELFIORE, op. cit., p. 3293.
106
Cfr. F. SIRACUSANO, Tra semplificazione e ibridismo, cit., in Arch. pen., 2017, n. 2, p. 16.
107
Di quest’avviso, M. CAIANIELLO, op. cit., p. 9. Scettica al riguardo, R. BELFIORE, op. cit., p. 3293, secondo
la quale tale opzione è rimessa alla discrezionalità dell’autorità procedente.
108
Così, F. SIRACUSANO, Tra semplificazione e ibridismo, cit., p. 16.
di prova in tempo reale. L’inclusione sembra tuttavia avere occhio di riguardo solo
per lo specifico settore delle indagini bancarie109.
Secondo l’art. 28 l’OEI può essere emesso per il controllo in tempo reale di
operazioni bancarie o altre operazioni finanziarie effettuate tramite uno o più conti
specificati. L’acquisizione può avvenire per un tempo determinato e l’autorità di
emissione deve indicare i motivi per cui considera le informazioni richieste utili
al procedimento penale nazionale; questo requisito, nell’orbita del giudizio di
proporzionalità, deve andare identificato con la necessità e non con la mera rilevanza
delle medesime. «Trattandosi di un modello d’indagine qualificabile come
“coercitivo”, ne conosce le medesime ipotesi di rifiuto ivi compresa l’ineseguibilità
qualora non previsto (non consentito) per casi analoghi nell’ambito della procedura
nazionale dello Stato richiesto»110.
«Fuori dal ristretto circuito di specificità offerto dall’art. 28 della direttiva
2014/41/UE, ogni altra attività volta alla raccolta di dati contenuti in un qualche
sistema informatico, situato fuori dai confini nazionali, andrà veicolata dall’inoltro
dell’OEI teso all’esecuzione di uno dei tradizionali modelli di ricerca della prova e
secondo modalità – magari risultanti dall’incrocio della lex loci con la lex fori e con
la possibilità che partecipino una o più autorità dello Stato di emissione – elaborate di
volta in volta fra le autorità giudiziarie coinvolte nel rapporto di cooperazione»111.
Si segnala, infine, la facoltà di avvalersi dell'OEI anche per le operazioni
di intercettazione di telecomunicazioni (artt. 30). In tal caso, l'OEI dovrà contenere:
informazioni necessarie ai fini dell'identificazione della persona sottoposta
all'intercettazione; la durata auspicata dell'intercettazione; sufficienti dati tecnici,
in particolare gli elementi di identificazione dell'obiettivo, per assicurare che l'OEI
possa essere eseguito. Esso sarà attuato o trasmettendo le telecomunicazioni
immediatamente allo Stato di emissione o intercettando, registrando e trasmettendo
successivamente il risultato dell'intercettazione delle telecomunicazioni allo Stato di
emissione.
Quanto alla prova informatica, si registra in ultima analisi un sostanziale vuoto di
disciplina a livello sia sostanziale che procedurale112.

8. La Procura europea
Il 12 ottobre 2017 il Consiglio dei Ministri della Giustizia dell’Unione Europea ha
deliberato il testo definitivo del Regolamento che istituisce la Procura Europea –
EPPO – European Public Prosecutor’s Office113. All’iniziativa prendono attualmente
109
Cfr. artt. 26 e 27. In questo senso, anche L. LUPARIA, Contrasto alla criminalità economica e ruolo del
processo penale: orizzonti comparativi e vedute nazionali, in Proc. pen e giustizia, n. 5, 2015, p. 7.
110
Così, F. SIRACUSANO, La prova informatica, cit.,p. 188.
111
Ibidem
112
Nessuna menzione viene del resto fatta alle esigenze di tutela dei dati personali.
113
L’idea di istituire un Pubblico Ministero Europeo, responsabile delle indagini relative ai reati lesivi gli
interessi finanziari dell’Unione, risale al progetto Corpus Juris ed è stata portata avanti dalla Commissione
nel Libro Verde del 2001 sulla tutela penale degli interessi finanziari comunitari e sulla creazione di una
parte 20 Stati membri: oltre Danimarca e Irlanda – i quali si erano in virtù dei
rispettivi statuti speciali si erano da subito tirati indietro, non venendo computati per
il raggiungimento dell’unanimità necessaria – hanno deciso di rimanere per il
momento fuori pure Polonia, Ungheria, Malta, Svezia e Olanda.
L’EPPO avrà sede in Lussemburgo.
La struttura dell’organo sarà collegiale e decentrata. Infatti, sebbene trattasi di un
organo operante come unico ufficio, esso è organizzato su un livello centrale ed un
livello decentrato.
Il livello centrale si articola in tre unità: il Collegio, formato dal Procuratore capo
europeo e da un Procuratore europeo per Stato membro, avente funzioni di controllo
generale dell’attività dell’EPPO; le Camere permanenti, presiedute dal Procuratore
capo (o da un suo sostituto) e da altri due membri, le quali monitorano e indirizzano
le indagini e le azioni penali condotte dai procuratori europei delegati; i Procuratori
europei, che supervisionano le indagini e le azioni penali di cui sono responsabili
i procuratori europei incaricati del caso nel rispettivo Stato membro e fungono da
collegamento tra le Camere permanenti e i Procuratori europei delegati.
Il livello decentrato è costituito da due o più Procuratori europei delegati (PED) per
ogni Stato Membro. Questa figura inizia e conduce per conto dell’EPPO le indagini e
le azioni penali e ne è responsabile, potendo al tempo stesso ricoprire la funzione di
Pubblico Ministero nazionale114.
La competenza materiale è determinata con il richiamo della direttiva 2017/1371/UE
(cosiddetta direttiva PIF): questo atto normativo include, condotte di truffa ai danni
dell’Unione Europea, malversazione di fondi europei, riciclaggio di proventi di reato,
corruzione attiva e passiva di funzionari europei, delitti di frode relativi all’imposta
sul valore aggiunto, condotte indebitamente appropriative di pubblici funzionari
europei, nonché quelle di partecipazione ad un'organizzazione criminale115 quando
l'attività dell’organizzazione criminale sia incentrata sulla commissione dei reati PIF. 
L’EPPO dovrebbe avere il diritto di esercitare competenza nei confronti di tutti i reati
indissolubilmente connessi a un reato PIF, specialmente quando quest’ultimo sia
prevalente in termini di gravità.
In riferimento ai suddetti fatti, la Procura europea è dotata di poteri d’indagine e
esercita l’azione penale conformandosi ai principi di proporzionalità, imparzialità ed
equità nei confronti dell'indagato o dell'imputato.
Per ciò che riguarda gli atti di indagine, l’EPPO potrà disporre perquisizioni locali e
sequestri probatori, acquisizioni di qualsiasi oggetto o documento pertinente al reato,
produzione di dati informatici archiviati, cifrati o decifrati, intercettazioni di

procura europea (COM (2001) 715 def.). Con il Trattato di Lisbona è stata infine introdotta la base giuridica
per la creazione del Pubblico Ministero Europeo e il 17 luglio 2013 la Commissione ha presentato una
proposta di Regolamento del Consiglio che istituisce la Procura europea (COM (2013) 534 def.).
114
Il numero di questi procuratori sarà lasciato alla decisione degli Stati membri. I procuratori delegati
saranno parte integrante dell'EPPO ma continueranno ad esercitare le loro funzioni come procuratori
nazionali. Quando agiranno, per l'EPPO saranno tuttavia completamente indipendenti dagli organi giudiziari
nazionali.
115
Quale definita dalla decisione quadro 2008/841/GAI.
comunicazioni elettroniche di cui l’indagato è destinatario o mittente, nonché il
tracciamento di oggetti mediante mezzi tecnici.
Inoltre, in tema di libertà personale, in ossequio al diritto nazionale applicabile in casi
analoghi, i PED potranno richiedere o disporre direttamente misure cautelari o di
arresto preventivo, anche tramite lo strumento del mandato di arresto europeo.
Ogni Procuratore europeo opererà in ogni caso una supervisione delle indagini
effettuate a livello nazionale dai rispettivi PED, fungendo da trait d’union tra l'ufficio
centrale e il livello decentrato dei rispettivi Stati membri, agevolando così il
funzionamento dell'EPPO in quanto ufficio unico.
Il baricentro dell’attività inquirente e del complesso di regole che sovrintendono
il giudizio rimane comunque a livello nazionale: il procuratore dello Stato membro
coinvolto svolge un ruolo protagonista, essendo fondamentalmente preclusa agli altri
procuratori europei la possibilità di seguire direttamente casi di Stati diversi dal loro,
salvo eccezioni espressamente previste dal Regolamento116; d’altro canto, in caso di
conflitto di attribuzioni, sono le autorità giudiziarie nazionali a risolvere in ultima
istanza le questioni di competenza.
Concluse le indagini, il PED presenta al procuratore europeo incaricato della
supervisione, una relazione contenente una sintesi del caso, chiedendo se esercitare
l'azione penale dinanzi a un giudice nazionale, di valutare un eventuale rinvio, di
archiviare il caso od ancora di fare ricorso ad una “procedura semplificata”: questi
documenti sono poi trasmessi alla camera permanente competente che potrà imporre
al PED di procedere ad un riesame del caso; non potrà invece disporre l’archiviazione
se era stato proposto il rinvio a giudizio.
Quanto alle garanzie procedurali, ogni indagato/imputato in un procedimento penale
dell'EPPO gode dei diritti sanciti nella Carta dei diritti fondamentali dell’UE e nelle
cinque direttive adottate dall’Unione sul diritto di difesa 117 e di tutte le ulteriori
garanzie riconosciute dal diritto interno.
Benché il Regolamento sia entrato in vigore dopo 20 giorni dalla sua pubblicazione,
bisognerà attendere almeno 3 anni per il concreto avvio del funzionamento della
nuova Procura europea. La data di assunzione da parte dell’EPPO dei propri compiti
sarà fissata da una separata decisione della Commissione su proposta del procuratore
capo europeo, una volta ultimata a livello nazionale l’adozione del regolamento
interno e degli altri atti di normazione secondaria, volti a rifinire la disciplina di

116
Un procuratore europeo può chiedere, in via eccezionale e per ragioni attinenti al carico di lavoro
derivante dal numero di indagini e azioni penali nel proprio Stato d’origine o a un personale conflitto di
interessi, che la supervisione delle indagini e azioni penali relative a singoli casi trattati da procuratori
europei delegati nel proprio Stato membro di origine sia assegnata ad altri procuratori europei, fatto salvo
l'assenso di questi ultimi. Nel caso di un conflitto di interessi riguardante un procuratore europeo, il
procuratore capo europeo accoglie la richiesta. Il regolamento interno stabilisce i principi che disciplinano
tale decisione e la procedura per la successiva assegnazione dei casi in questione.
117
Le cinque direttive in oggetto sono: direttiva 2010/64/UE sul diritto all'interpretazione e alla traduzione;
direttiva 2012/13/UE sul diritto all'informazione e all’accesso alla documentazione relativa all'indagine;
direttiva 2013/48/UE sul diritto di accesso a un difensore e sul diritto di comunicare e informare terzi in
caso di detenzione; direttiva 2016/343/UE sul diritto al silenzio e alla presunzione di innocenza; direttiva
(UE) 2016/1919/UE sul diritto al patrocinio a spese dello Stato.
diverse questioni legate all’esercizio dell’azionale penale. Verosimilmente, dunque,
l’EPPO sarà a pieno regime a partire dal 2021.
Nella lunga marcia che ha portato alla nascita della Procura europea, una menzione
speciale va fatta Model Rules for Procedure of the European Public Prosecutor’s
Office118, le quali costituiscono un primo sforzo volto a individuare norme comuni per
lo svolgimento di indagini nel territorio dell’Unione (limitatamente ai reati che ne
ledano gli interessi finanziari) e rappresentano una sintesi delle diverse tradizioni
giuridiche degli Stati membri119.
«Il progetto, con un approccio del tutto evolutivo, considera l’incidenza che le
“innovative” tecniche d’indagine, che sfruttano il progresso tecnologico, e di raccolta
delle “nuove” fonti di approvvigionamento probatorio, rinvenibili nei sistemi
informatici, assumono sui diritti fondamentali della persona e li vaglia e classifica
alla luce del grado d’intrusione e coercizione delle stesse misure»120.
«La premessa è costituita dall’esigenza che vi sia una necessaria proporzione fra il
sacrificio dei diritti del singolo e presupposti e condizioni per l’adozione della
misura»: in altre parole, ad un maggior grado di intrusività devono corrispondere
maggiori garanzie sul piano processuale.
Da questa premessa deriva un’apprezzabile classificazione dei mezzi di ricerca della
prova in tre macro categorie in corrispondenza della crescente incidenza dell’atto
d’indagine sui diritti fondamentali: si hanno quindi misure non coercitive; misure
coercitive senza autorizzazione; misure coercitive con previa autorizzazione
giudiziaria. E’ di tutta evidenza che ove la compressione dei diritti fondamentali è
massima, massimo deve essere il suo rispetto e, in questa direzione, si ritiene lecito
richiedere un controllo ex ante, a livello nazionale.
Le Model Rules calibrano l’esigenza di ricorrere al modello più garantito, anche in
relazione alle investigazioni informatiche, proprio sulla scorta della maggiore o
minore invasività del modello di indagine rispetto al diritto inciso 121. E’ compito di
ciascuno Stato membro individuare il giudice competente a concedere la prescritta
autorizzazione122.
Tra le misure disponibili senza autorizzazione rientrano l’ordine di congelamento dei
dati per un periodo massimo di novanta giorni e la localizzazione del cellulare,
limitatamente ad una solo occasione; se invece il controllo è prolungato, occorre
l’autorizzazione del giudice. L’autorizzazione è necessaria anche per le perquisizioni
dei computer e dei sistemi informatici e le intercettazioni di telecomunicazioni,

118
Si tratta di uno studio condotto sotto la direzione della prof.ssa Katalin Ligeti, attuato nel quadro del
programma finanziato dalla Commissione europea Hercules II e cofinanziato dall’Università del
Lussemburgo, con l’intento di delineare uno statuto operativo del Pubblico Ministero Europeo (PME).
Hanno collaborato al progetto, in quanto membri dello Steering Committee il Dr. Charles Elsen, il Prof.
Ulrich Sieber, il Prof. John R. Spencer, il Prof. John A. E. Vervaele e il Prof. Thomas Weigend.
119
Così la Relazione introduttiva alle Model Rules.
120
Così, F. SIRACUSANO, La prova informatica transnazionale, cit., p. 189.
121
Ibidem.
122
Le Model Rules seguono la direttrice del Corpus juris che prevedeva l’istituzione di un “judge of
freedoms” a livello nazionale.
incluse le e-mail. Le misure quindi che esigono l’autorizzazione comprendono
prevalentemente forme di sorveglianza tecnologicamente assistita.
Delle misure investigative utilizzabili si occupa anche la Proposta della Commissione
per l’istituzione della Procura Europea, la quale si differenzia per un approccio nel
complesso meno ardito e organico rispetto al tentativo compiuto dalle Model Rules.
La Proposta predispone un lungo elenco gli strumenti d’indagine da mettere a
disposizione della Procura Europea123, avendo cura di differenziare quelli che devono
sempre essere autorizzati dall’autorità giudiziaria dello Stato membro ove deve
compiersi l’attività, indipendentemente da quanto prescritto dalla disciplina
nazionale124, da quelli che richiedono l’autorizzazione preventiva solo se così è
espressamente previsto dalla legislazione nazionale125.
Nonostante questa capillare sistematizzazione, il disegno della Proposta rimane
incompiuto poiché non vengono dettate regole circa le modalità di espletamento delle
indagini: infatti, premesso che il modello processuale da applicare deve essere,
di volta in volta, quello dello Sato membro ove l’attività del PME si svolge (secondo
il principio della lex loci affermato nell’art. 11), ciò significa, ragionevolmente, che
una stessa attività investigativa sarà condotta secondo procedure diverse a seconda
del luogo in cui deve essere svolta, eventualità questa non auspicabile per possibili
rischi di forum shopping e di conseguente diminuzione delle garanzie per l’indagato,
anche in riferimento agli strumenti di indagine di nuova generazione.
Ai sensi del testo Regolamento istitutivo della Procura europea, per quanto attiene
alle misure investigative che possono venire direttamente ordinate oppure richieste da
parte del procuratore delegato, si assiste a una retrocessione rispetto all’originaria
proposta della Commissione e a un pressoché totale disinteresse verso le linee guida
suggerite dallo studio elaborato dall’Università del Lussemburgo.
L’art. 30 del Regolamento sancisce che, per i reati sanzionati con una pena massima
di almeno quattro anni, gli Stati membri debbano in ogni caso porre a disposizione
dei PED un “pacchetto minimo” di misure investigative; ad esse potranno aggiungersi
le ulteriori misure che ogni diritto interno assicura ai propri procuratori in casi
nazionali analoghi, fermo restando che «le procedure e le modalità per l'adozione
delle misure sono disciplinate dal diritto nazionale applicabile» (art. 30 par. 5).
Siffatto pacchetto racchiude:
 Perquisizioni, estese anche ai sistemi informatici, nonché qualsiasi misura
cautelare necessaria a preservare l'integrità delle prove;
 Produzione di oggetti o documenti;
123
L’art. 26 contempla ben 21 misure investigative.
124
Fanno parte di questo gruppo le misure previste dall’art. 26 par. 1, lettere da a) a j), ovverosia i mezzi di
ricerca della prova informatica in senso stretto, tra cui: perquisizioni informatiche, l’ordine di produzione
dei dati memorizzati nel computer, il data freezing, le intercettazioni di telecomunicazioni, la sorveglianza
in tempo reale delle telecomunicazioni con ordine di immediata trasmissione dei dati di traffico al fine della
localizzazione dell’indagato.
125
Fanno parte di questo gruppo le misure previste dall’art. 26 par. 1, lettere da k) a u), ovverosia mezzi per
così dire più classici di raccolta della prova, tra cui: sequestro, sorveglianza dell’indagato in luoghi pubblici,
interrogatorio di indagati e testimoni, nomina di esperti, d’ufficio o su istanza dell’indagato, ove siano
necessarie conoscenze specializzate.
 Produzione di dati informatici, inclusi i dati relativi a conti bancari e quelli
relativi al traffico, con espressa esclusione però dei dati conservati per motivi
legati alla salvaguardia della sicurezza dello Stato, della difesa, della sicurezza
pubblica o della prevenzione, ricerca, accertamento e perseguimento dei reati,
ovvero dell’uso non autorizzato del sistema di comunicazione elettronica;
 Congelamento dei proventi o degli strumenti di reato, anche al fine di
assicurarne la successiva confisca;
 Intercettazione delle comunicazioni elettroniche;
 Tracciamento e rintracciamento di un oggetto mediante mezzi tecnici,
comprese le consegne controllate di merci.
Una riduzione drastica emerge dal confronto con la Proposta della Commissione che
conteneva una lista di notevole portata.
Strettoia aggiuntive sono determinate per le misure relative alla produzione di dati
informatici, all’intercettazione delle comunicazioni elettroniche ed al tracciamento, le
quali potrebbero subire limitazioni supplementari in forza delle normative nazionali
applicabili126.
L’approvazione del testo che istituisce la Procura europea segna un passaggio storico
essendo l’EPPO il primo organismo giudiziario inquirente a livello sovranazionale.
Non si può né deve nascondersi tuttavia che la strada da compiere è ancora lunga.
Numerose sezioni del Regolamento lasciano sicuramente insoddisfatti: dal baricentro
della competenza teso verso il livello nazionale, al risicato apparato di misure
investigative messe a disposizione dell’EPPO, dal confuso sistema di scambio delle
informazioni, agli insufficienti poteri di iniziativa della sede centrale rispetto a quella
decentrata.

126
Intercettazioni e tracciamento inoltre potrebbero essere circoscritti dal diritto interno solo a specifici
reati gravi, con il solo onere, per lo Stato che intenda avvalersi di tale facoltà, di notificare all'EPPO l’elenco
di questi reati.