Legge 18 marzo 2008, n.

48 di ratifica ed esecuzione della Convenzione di

Budapest sulla criminalità informatica: modifiche al codice di procedura
penale ed al D.Lgs. 196/03
di Monica Alessia SENOR
Relazione presentata all’incontro di studio sul tema del 21 aprile 2008,
organizzato dalla Camera Penale “Vittorio Chiusano” del Piemonte
Occidentale e Valle d’Aosta

Sommario: La Convenzione - La prova elettronica come sottospecie delle

prova scientifica - Le modifiche al codice di procedura penale - La modifica
dell’art. 132, D.Lgs. 196/03 - La modifica dell’art. 51 c.p.p.
La Convenzione
La seconda sezione della Convenzione di Budapest è dedicata a disposizioni
di diritto procedurale.

La Convenzione si muove su tre direttrici:

1. definizione dell’ambito di applicazione delle misure processuali previste (art. 14);

2. previsione di misure per l’acquisizione di dati informatici (artt. 19, 20 e 21);
3. previsione di misure coattive per ottenere tali dati da soggetti terzi (artt. 16, 17 e 18).
L’ambito di applicazione è particolarmente rilevante in quanto comprende oltre ai reati
informatici puri, anche i c.d. reati informatici “spuri”, ovvero quelli comuni commessi
attraverso un sistema informatico, nonché l’insieme delle prove elettroniche di un reato
(rectius, reati che possono essere provati mediante prove elettroniche).
Le misure di acquisizione dei dati informatici si incentrano da un lato su disposizioni in tema
di raccolta in tempo reale di dati sul traffico e dati relativi al contenuto di comunicazioni
(intercettazioni), dall’altro sulla necessità che gli ordinamenti interni adottino misure
legislative per consentire alle proprie autorità l’accesso, la perquisizione ed il sequestro di
dati informatici, incluso il potere di fare e trattenere copie degli stessi mantenendo
l’integrità dei dati originari.

Le misure coattive consistono, invece, in misure legislative che la Parte che aderisce alla
Convenzione deve adottare al fine di garantire la conservazione di dati informatici e di
traffico, anche se detenuti presso terzi (in particolare presso i provider) con relativo obbligo
in capo al soggetto terzo di proteggere e mantenere l’integrità dei dati per il periodo di
tempo necessario alle autorità competenti ad ottenere la loro divulgazione. Il termine è
fissato in 90 giorni, rinnovabili.
I fornitori di servizi possono inoltre essere obbligati a fornire ogni informazione relativa agli
abbonati, dal tipo di servizio di comunicazione utilizzato a qualsivoglia elemento relativo
all’identità dell’abbonato stesso (indirizzo, telefono, dati di fatturazione, etc.).

Le disposizioni sono suggellate da due principi fondamentali, espressi nell’art.15, che

impone alle Parti aderenti da un lato di assicurarsi che le misure adottate negli ordinamenti
interni rispettino i diritti umani e delle libertà di cui alla Convenzione europea dei diritti umani
e alla Convenzione internazionale delle Nazioni Unite del 1966 sui diritti civili e politici,
dall’altro che rispettino il principio di proporzionalità tra misure adottate e natura dei reati.

I principi sono stati introdotti a seguito di un intervento del Gruppo dei Garanti europei per
la protezione dei dati personali i quali avevano sottolineato come le attività di
cooperazione internazionale comportino necessariamente lo scambio di dati personali. Il
tema è ancor più rilevante se si considera che la Convenzione è aperta anche a Stati non
appartenenti all’Unione Europea le cui legislazioni interne possono differire, anche
notevolmente, dalle regole di armonizzazione europee in materia di tutela dei dati
personali1.
La legge di ratifica ha operato sotto due profili: implementazione di alcune disposizioni del
codice di procedura penale già esistenti con espresso riferimento all’ambito informatico
ed introduzione di disposizioni ex novo.
La prova elettronica come sottospecie delle prova scientifica
Prima di passare a vedere come l’Italia ha adeguato l’ordinamento interno ai principi
dettati dalla Convenzione, pare però opportuno fare una premessa di carattere generale
sul concetto di prova informatica e più diffusamente di prova scientifica.

L’importanza che la prova scientifica riveste oggi nel processo è di tutta evidenza.

Le ragioni sono facili da rinvenire nel bisogno di certezza insito in ogni giudizio di
responsabilità, in modo particolare quello penale.

La prova scientifica (dai tradizionali esami medico-legali e balistici alle più recenti analisi
chimiche, biologiche, tossicologiche fino all’analisi del DNA e delle tracce elettroniche)
viene dunque sempre più privilegiata rispetto alla prova dichiarativa e ciò dipende
indubbiamente dal diverso valore probante delle due.
Si pensi, a titolo esemplificativo, che il riconoscimento effettuato mediante ricognizione
personale ha un margine di errore del 4%, mentre l’identificazione a mezzo del profilo
genetico con l’utilizzo di 10 STR contempla un margine di errore di 1/1 Mld2.
L’ordine di grandezza dell’errore scientifico è dunque talmente piccolo se paragonato
all’errore umano da potersi praticamente fregiare di un connotato di quasi certezza tale
da indurre il legislatore a ricorrere sempre più spesso a siffatta opzione probatoria3.
Tuttavia, il rapporto scienza e processo è estremamente delicato, per ragioni
metodologiche, ma anche per l’impossibilità della legge processuale di recepire la legge
scientifica tout court4.
Quanto al metodo, scienza e processo sono in antitesi in quanto mentre la prima procede
per metodo induttivo fondato su esperimenti empirici e la sua evoluzione è data da assunti
(e dal progressivo superamento degli stessi) basati su errore, dubbio e dialettica, il processo
è un metodo deduttivo, prettamente autoritario (autorità della legge e del giudice che la
applica) che impone soluzioni univoche, immutabili ed insindacabili, in cui il dubbio e
l’errore sono elementi disturbanti da estirpare (basti pensare al concetto dell’”al di là di
ogni ragionevole dubbio” sancito dall’art. 533 c.p.p)5.
In ordine invece al recepimento della scienza nel processo, la legge non può per
definizione né fissarne il contenuto epistemologico, né codificarla in protocolli predefiniti.
Del resto, se così non fosse, si tornerebbe all’equazione prova scientifica = prova legale,
principio che, pur rappresentando la più pericolosa delle derive prospettabili, non è oggi
assolutamente ipotizzabile.

Il principio della libertà della prova in materia penale consente, invece, l’ingresso nel
processo di prove tecnico-scientifiche sempre nuove e innovative.

Diventa, tuttavia, dirimente, a garanzia del diritto di difesa, la modalità con cui la prova
viene acquisita, specie laddove il contenuto della prova in sé è talmente tecnico che non
lascia spazio ad argomentazioni difensive di merito.

All’interno del genus prova scientifica, la prova informatica rappresenta una sottospecie
connotata da ulteriori peculiarità che schiudono a loro volta ulteriori questioni giuridiche.
La prova informatica o elettronica (la c.d. digital evidence) è infatti connotata da due
caratteristiche: fragilità e immaterialità.
Le tracce elettroniche sono fragili in quanto facilmente alterabili, danneggiabili e distruttibili.
La fragilità della traccia elettronica è congenita ed intrinseca; prescinde dunque da
ipotetiche manipolazioni dolose ma sin anche da eventuali comportamenti colposi posti in
essere da chi interviene su di esse.

Basta por mente a tutti gli strumenti di back-up e disaster recovery previsti dai sistemi di
sicurezza (alcuni anche imposti per legge a protezione dei dati personali6) per
comprendere che la perdita casuale di dati è talmente frequente da porsi come problema
cogente che necessita di soluzioni ad hoc.
Sotto un profilo più propriamente tecnico-giuridico, va rilevato come anche la sola
accensione di un computer spento o l’apertura di un file comporti l’aggiornamento
dell’orario di accesso compromettendo quello precedente, così come il mancato utilizzo
di un text editor nella fase di copiatura può compromettere la genuinità del testo originario.
Gli argomenti tecnici sono di tutta evidenza ed indiscutibili, tuttavia la giurisprudenza non
sempre si è dimostrata sensibile sul punto. Il risultato è stato un contrasto giurisprudenziale
di non poco conto.

Due sentenze paiono di particolare interesse.

La prima del Tribunale di Bologna7, relativa ad un’imputazione di 615 ter e quinquies c.p.
(l’art. 615 ter è poi caduto in appello) è la sentenza sul noto caso “Vierika”8, in cui i
giudicanti hanno negato una perizia tecnica chiesta dalla difesa sulla scorta dell’assunto
che i metodi usati dalla P.G. per l’acquisizione degli elementi probatori potessero condurre
a risultati non attendibili, osservando come “Non è compito di questo Tribunale determinare
un protocollo relativo alle procedure informatiche forensi, ma semmai verificare se il
metodo utilizzato dalla p.g. nel caso in esame abbia concretamente alterato alcuni dei
dati ricercati”.
La seconda, emessa dal Tribunale di Pescara9, ha invece assolto l’imputato dal reato di cui
all’art. 528 c.p., dopo che il perito nominato in dibattimento aveva concluso di “…essere
impossibilitato ad ogni considerazione, non essendo riuscito ad acquisire le pagine web nel
formato digitale, al fine di valutarne contenuto e caratteristiche tecniche”.
La fragilità del dato informatico impone dunque che venga in primis salvaguardata la sua
integrità.
L’immaterialità del dato dà adito, invece, ad alcune riflessioni in tema di sequestro.
Oggetto di sequestro probatorio, ai sensi dell’art. 253 c.p.p., sono il “corpo del reato” (cioè
le cose sulle quali o mediante le quali il reato è stato commesso nonché le cose che ne
costituiscono il prodotto, il profitto o il prezzo) e le “cose pertinenti al reato”: corpo e cose
sono concetti profondamente materiali e secondo attenta dottrina mal si conciliano con
l’immaterialità tipica delle tracce informatiche10.
Anche sotto questo profilo la giurisprudenza si è dimostrata altalenante.

A fronte di una tristemente famosa ordinanza del Tribunale del Riesame di Torino (invero
ormai un po’ risalente nel tempo)11, in cui pur disponendo la restituzione di un computer si
giudicava legittimo l’operato della Procura che aveva proceduto a sequestrare
l’intero hard disk, si pone la recente ed interessantissima pronuncia della Suprema
Corte12 sui limiti del ricorso al sequestro della memoria del computer di un giornalista.
Il principio ivi espresso è quello, assolutamente condivisibile, secondo cui il sequestro di un
intero hard disk non può essere avallato poiché consentirebbe anche l’acquisizione di dati
che esulano dal contesto per il quale l’atto è disposto, con potenziale lesione dell’art. 21
Cost. in tema di libertà di stampa e l’art. 15 Cost. in tema di segretezza della corrispondenza.
Oltre alla potenziale lesione di diritti costituzionalmente protetti (si pensi anche alla
riservatezza), va osservato che la perquisizione ed il sequestro probatorio sono mezzi di
ricerca della prova e non strumenti di acquisizione di una notitia criminis e dunque non
possono essere eseguiti indiscriminatamente, necessitando sin dai relativi decreti
autorizzativi l’indicazione delle fattispecie criminose contestate e dei fatti specifici in
relazione ai quali si ricercano corpi del reato o cose ad esso pertinenti13.
Le modifiche al codice di procedura penale
Vediamo quindi se e come la L. 48/08 abbia, con le modifiche apportate al codice di
procedura, introdotto novità che possano incidere sul quadro sopra delineato.
Gli artt. 8 e 9 della legge modificano le disposizioni codicistiche in materia di ispezioni,
perquisizioni e sequestri, operati dal Pubblico Ministero o, in caso di urgenza, dalla Polizia
Giudiziaria adattandoli espressamente alle realtà informatiche.

Particolarmente rilevanti gli incisi aggiunti agli artt. 244, 247 c.p.p. (e parimenti agli artt. 352
e 354 c.p.p.) che impongono all’Autorità Giudiziaria, in sede di ispezioni o perquisizioni di
sistemi informatici o telematici, di adottare “misure tecniche dirette ad assicurare la
conservazione dei dati originali e ad impedirne l’alterazione”.
Si tratta di interventi legislativi non previsti nel disegno di legge emanato dal Governo14 ed
inseriti nel testo rilasciato dal Senato grazie ad emendamenti sollecitati da un gruppo di
giovani esperti all’uopo interpellati dal relatore del testo legislativo15. La loro importanza è
somma atteso che prescrivono l’adozione obbligatoria di procedure che garantiscano
l’integrità dei dati informatici anche a seguito di un intervento da parte dell’Autorità
Giudiziaria, salvaguardando il diritto di difesa.
Come correttamente è stato detto, è una sorta di positivizzazione di prassi investigative
informatiche già in uso ma non standardizzate16.
Certo sarebbe forse stato meglio il riferimento o il richiamo a best practice riconosciute tali
ed espressamente disciplinate - magari con regolamentazione secondaria in grado di
agevolarne l’aggiornamento - tuttavia non v’è dubbio che con tali incisi possano fare
ingresso ufficiale nel processo alcuni strumenti tecnici già utilizzati da personale
investigativo specializzato e sulla cui validità scientifica vi è ampio consenso.
Uno di questi è sicuramente il write blocker17, ovverosia uno strumento hardware che
garantisce la sola lettura del supporto oggetto di investigazione, impedendo qualsivoglia
scrittura, anche inavvertita, su di esso.
Un altro strumento è senza dubbio il calcolo del valore di hash18. Si tratta di una funzione
univoca che calcola mediante algoritmo il valore in bit di un file. Ad ogni file corrisponde
infatti un solo determinato valore di hash che lo contraddistingue; se il file viene modificato,
ricalcolando l’hash, il valore sarà diverso; inoltre, come detto, l’hash è univoco, nel senso
che non è possibile da esso ricostruire il file sottostante19, il che garantisce un buon livello di
sicurezza ed integrità del dato analizzato.
Lo stesso procedimento ha un ulteriore indiscusso vantaggio: consente di creare infinite
perfette clonazioni dell’originale su cui è poi possibile effettuare analisi senza rischio di
contaminazione e/o perdita del materiale originale.

Sotto questo profilo, le modifiche apportate dalla L. 48/08 non paiono però soddisfacenti.
Il dettato del nuovo art. 254 bis, e gli artt. 256, 260 e 354 c.p.p. prescrivono, infatti,
l’acquisizione di dati informatici “mediante copia…su adeguato supporto, con una
procedura che assicuri la conformità dei dati acquisiti a quelli originali e la loro
immodificabilità”.
Orbene, tecnicamente il termine copia non è affatto rassicurante.
La copia infatti consente di duplicare il dato, o meglio il suo contenuto, da un supporto
(ovverosia qualsivoglia memoria di massa: dall’hard disk alla pen drive) ad un altro, ma non
garantisce, ad esempio, la stessa collocazione del dato sul supporto.
Il metodo più sicuro è invece quello dell’immagine in bitstream, un sistema cioè capace di
creare un duplicato perfettamente identico all’originale sia dal punto di vista logico che
fisico (nel senso che rispetta l’esatta allocazione dei file e delle parti prima facie vuote).
La legge parla di copia, il che potrebbe suggerire eventuali interpretazioni tese a
legittimare procedure non rispettose delle migliori soluzioni informatiche in materia, pericolo
che una terminologia tecnica più precisa avrebbe evitato.

Un riferimento più esplicito alla bistream image sarebbe stato auspicabile perché in caso
di copia anche il calcolo del valore di hash può non essere una procedura sufficientemente
sicura.
Infatti, se si interviene con un semplice copia/incolla o con un trascinamento, il valore di
hash del secondo file sarà identico al primo, ma diversi saranno i c.d. metadata, come ad
esempio l’orario di creazione del file20: come dire, l’hash garantisce il contenuto ma non i
dati esterni del file che pure potrebbero essere utili a fini investigativi.
Sempre in tema di perquisizioni, particolare attenzione merita il nuovo comma 1 bis dell’art.
352 c.p.p. laddove prevede che gli ufficiali di P.G., nella flagranza di reato e nell’ipotesi di
esecuzione di un’ordinanza di custodia cautelare o di un ordine di esecuzione, possano
procedere alla perquisizione di sistemi informatici, ancorché protetti da misure di sicurezza.
Ci si chiede se la norma consenta agli operanti di accedere ad un sistema violandone le
misure di sicurezza.

La questione è particolarmente delicata in quanto la norma potrebbe legittimare anche

perquisizioni on line, ovvero l’accesso degli operanti ad un sistema informatico all’insaputa
del destinatario21.
La risposta alla domanda non è di poco conto se solo si pensa alla possibilità di eseguire
da parte della P.G. attività di perquisizione per reati pedopornografici con disapplicazione
di fatto del disposto di cui all’art. 14, L. 269/98 (attività di contrasto sotto copertura), ovvero
in materia di diritto d’autore.
Vedremo quale sarà l’applicazione concreta della norma, ma a tal proposito, pare
opportuno menzionare una recentissima sentenza con cui la Corte Costituzionale tedesca22
ha dichiarato l’incostituzionalità della legge di un land che prevedeva la possibilità, anche
in capo alle forze dell’ordine, di effettuare accessi occulti ai sistemi informatici degli utenti
per monitorarne il contenuto23.
Passiamo ad analizzare le novità legislative in materia di sequestro.

L’art. 253 c.p.p. non è stato oggetto di intervento per cui rimane irrisolto il problema della
sequestrabilità del dato informatico ex se, soprattutto alla luce del fatto che la L. 48/08 da
un lato ha abrogato il secondo comma dell’art. 491 bis c.p. che dava una definizione in un
certo senso “fisica” di documento informatico, legandolo strettamente ad un supporto su
cui era registrato (“il documento informatico è …il supporto”), dall’altro non ha recepito la
definizione di dato informatico fornito dalla Convenzione di Budapest, se non in maniera
indiretta dando esecuzione cioè all’intera Convenzione.
Il legislatore è invece intervenuto massicciamente sull’art. 254 c.p.p. (sequestro di
corrispondenza), riscrivendone il primo comma, con la previsione in capo all’Autorità
Giudiziaria di procedere al sequestro presso i fornitori di servizi postali, telegrafici, telematici
o di telecomunicazioni di lettere, pieghi, pacchi, valori, telegrammi e altri oggetti di
corrispondenza, anche se inoltrati per via telematica.

Orbene, è stato osservato24 come la norma in esame ponga un problema interpretativo di

non poco conto: possono essere oggetto di sequestro e-mail o messaggi SMS/MMS?
Il dettato letterale del nuovo art. 254 c.p.p., in effetti, parrebbe consentire siffatta
interpretazione, ma, trattandosi del contenuto di comunicazioni telematiche non si
comprende, anche alla luce dei severi orientamenti giurisprudenziali in materia, come
potrebbe essere superato il più garantista regime di acquisizione previsto dall’art. 266 bis,
c.p.p. Con il che sfugge, però, l’esatta portata dell’intervento legislativo.
È poi stato introdotto un nuovo articolo, il 254 bis c.p.p., il quale prescrive che quando
l’Autorità Giudiziaria dispone un sequestro presso i fornitori di servizi informatici, telematici o
di telecomunicazioni dei dati da questi detenuti, compresi quelli di traffico e di ubicazione,
può stabilire per esigenze di regolare fornitura dei servizi medesimi, di acquisire tali dati
mediante copia lasciando al fornitore l’onere della conservazione degli originali.
Sono doverose tre osservazioni:

1. innanzitutto la procedura prevista è facoltativa e non obbligatoria;

2. se si adottano le tecniche di acquisizione di cui si è prima parlato (bitsteam image), non

ha più senso far riferimento ad un originale e quindi stabilire un onere di conservazione
 perché tutte le c.d. copie sono di fatto tanti originali e l’unico elemento che potrebbe
contraddistinguere l’originale sarebbe l’elemento temporale di creazione su un
determinato supporto e dunque comunque un elemento esterno rispetto al dato
acquisito e pertanto irrilevante;
3. non si comprende perché siffatta procedura, invero molto intelligente, non sia stata
prevista per l’acquisizione di dati informatici anche presso altri soggetti che potrebbero
subire disagi in caso di sequestro.

Dalla disamina emerge dunque un quadro, in tema di sequestro, che poco differisce
rispetto al precedente e non risolve i problemi che si sono spesso verificati in passato.

Verosimilmente nell’intenzione del legislatore il nuovo approccio ai mezzi di ricerca della

prova è nel senso di favorire senza ombra di dubbio l’attività di ispezione, atto irripetibile, i
cui verbali potrebbero far diretto ingresso in dibattimento a discapito di un sequestro mirato
che consentirebbe invece di procedere in un secondo momento con un accertamento
tecnico ex art. 360 c.p.p. con maggiori garanzie per l’indagato.
Nella pratica, considerate le scarse risorse a disposizione della Giustizia (la L. 48/08 non
prevede oneri per la sua attuazione se non a favore del CNCPI, il Centro nazionale per il
contrasto della pedopornografia sulla rete internet), è probabile che si procederà, come
oggi, ad ispezione solo in casi rarissimi (in costanza di arresto o quando si tratti di dati
conservati presso terzi che non possono fermare la loro attività produttiva, ad es. ISP o
banche), mentre nell’ordinaria amministrazione si continuerà a procedere col sequestro
dell’intero materiale di supporto, con buona pace dell’esigenza di salvaguardia dei diritti
costituzionalmente protetti di cui si è sopra parlato.
Ma vi è di più.

Quid juris se ispezioni e perquisizioni non venissero eseguiti con le garanzie di integrità dei
dati previsti dalla legge?
La risposta è sconfortante se è vero che la giurisprudenza si è più volte pronunciata25
ritenendo che l’esigenza di assicurare al processo il corpo del reato o delle cose ad esso
pertinenti supera anche il limite di una perquisizione illegittima effettuata senza
l’autorizzazione del magistrato e fuori dei casi e dei modi stabiliti dalla legge.
Come dire, tutta la portata positiva a livello tecnologico anche a fini difensivi potrebbe
risultare vanificata da un’interpretazione giurisprudenziale restrittiva.
La modifica dell’art. 132, D.Lgs. 196/03
La L. 48/08 interviene poi sul codice privacy modificando l’art. 132 relativo alla
conservazione dei dati di traffico da parte dei fornitori di servizi informatici e telematici,
introducendo un comma 4 ter che prevede in capo al Ministro dell’Interno o, su sua delega,
alle forze dell’ordine, il potere di ordinare, anche su richiesta avanzata da un’autorità
straniera, ai fornitori e agli operatori di servizi informatici o telematici di conservare e
proteggere per 90 giorni, prorogabili fino a sei mesi, i dati di traffico telematico, escluso il
contenuto, per lo svolgimento delle investigazioni di cui all’art. 226 norme coord. c.p.p.
ovvero per l’accertamento e la repressione di “specifici reati”.
L’art. 132, D.Lgs. 196/03 è norma fondamentale nella disciplina di tutela dei dati personali
ma assai poco conosciuta.
Spesso non si sa che quando si parla di data retention ci si riferisce alla conservazione dei
dati di traffico telefonico e telematico, così come spesso sfugge, anche all’informazione di
settore, l’importanza di alcuni interventi del Garante per la protezione dei dati personali a
tutela dei cittadini in un campo come quello delle comunicazioni che interessa tutti da
vicino26.
Vediamo, dunque, in sintesi, l’esegesi e l’attuale contenuto dell’art. 132, D.Lgs. 196/03.
La norma, nella sua versione originale, constava di un solo comma che imponeva al
fornitore di servizi la conservazione dei dati di traffico telefonico (i c.d. tabulati telefonici)
per finalità di accertamento e repressione di reati per trenta mesi.

La disposizione era perfettamente in linea con il principio sancito dalla direttiva 2002/58/CE
sul trattamento dei dati personali e sulla tutela della vita privata nel settore delle
comunicazioni elettroniche, secondo cui i dati di traffico devono essere cancellati o resi
anonimi quando non sono più necessari ai fini della trasmissione della comunicazione, salve
eccezioni correlate alla salvaguardia dell’ordine pubblico, della repressone di reati o uso
non autorizzato del sistema di comunicazione elettronica.

Già nel dicembre 200327 la disposizione veniva modificata nel senso di prevedere la
conservazione per 24 mesi, prorogabili di ulteriori 24 esclusivamente per l’accertamento e
la repressione dei delitti di cui all’art. 407, 2° co., lett. a), c.p.p28.
La norma fu aspramente criticata29 in quanto prevedeva la conservazione dei soli dati di
traffico telefonico e non di quelli di traffico telematico con grave detrimento per le indagini
informatiche in cui i c.d. file di log (indirizzo IP, data, ora e durata dell’accesso, destinatario
in caso di posta elettronica e telefonia a mezzo internet) sono dati fondamentali specie per
l’identificazione dell’autore dell’azione criminosa.
Nel luglio 2005 interveniva il c.d. decreto PISANU30, che sotto l’egida della lotta al terrorismo,
inseriva nella norma i dati di traffico telematico (ovviamente escludendone i contenuti,
sempre sottoposti alla disciplina rigorosa delle intercettazioni) e le chiamate senza risposta
e prevedeva due diversi regimi temporali di conservazione: 24 mesi + 24 per i dati di traffico
telefonico; 6 mesi + 6 per dati di traffico telematico.
Il decreto stabiliva, inoltre:

1. maggiori poteri alla magistratura inquirente prevedendo l’acquisizione dei dati di traffico
con semplice decreto motivato del P.M. anziché del G.I.P.31;
2. un obbligo di identificazione e monitoraggio dei clienti in capo ai gestori di esercizi
pubblici o circoli privati che mettono a disposizione del pubblico terminali utilizzabili per
comunicazioni telematiche;

3. sospensione dell’applicazione delle disposizioni di legge che prevedono la

cancellazione dei dati di traffico telefonico e telematico sino al 31 dicembre 2007,
termine che è stato prorogato con decreto “MILLEPROROGHE” 200732 a tutto il 31
dicembre 2008.
Ebbene, come sottolineato con apprensione dal Garante per la protezione dei dati
personali con lettera al Parlamento e al Governo del gennaio 200833, il periodo di
conservazione può oggi arrivare quasi sino a otto anni, un lasso di tempo che non è
assolutamente conforme con i termini previsti dalla direttiva 2006/26/CE (c.d. direttiva
Frattini) in tema di conservazione dei dati di traffico a fine di indagine, che prevede per la
conservazione dei dati un termine minimo di sei mesi e massimo di 2434.
All’interno di questo quadro assai complesso ed articolato, si pone ora (a complicare le
cose!) il nuovo comma 4 ter, L. 48/08 che apre nuove problematiche tra cui pare doveroso
fare cenno a tre:
1. è pacifico35 che l’art. 132, D.Lgs. 196/03 si applica ai fornitori di una rete pubblica di
comunicazioni o di un servizio di comunicazione elettronica accessibile al pubblico (c.d.
access e service provider), mentre l’art. 4 ter, L. 48/08 cita non soli i fornitori ma anche gli
operatori di servizi informatici o telematici, il che significa che sono destinatari della
norma anche i c.d. content provider36;
2. l’art. 4 ter parla di “specifici reati” ma non indica quali ed è dunque norma troppo
generica in relazione al tipo di diritto (alla riservatezza) compresso;
3. l’art. 4 ter impone ai fornitori di servizi particolari modalità di custodia dei dati e,
eventualmente, la loro indisponibilità sin anche ai fornitori stessi. La disposizione può
leggersi in correlazione con la nuova formulazione dell’art. 259 c.p.p. che prevede in
capo al custode di dati informatici sequestrati dell’obbligo di impedirne l’alterazione e
l’accesso da parte di terzi. Le due norme pongono a carico dei fornitori di servizi di
comunicazione (la seconda a carico di chiunque, ma verosimilmente saranno gli ISP i
più interessati) oneri di carattere tecnico non indifferenti, ma che si rendono necessari
proprio perché si demanda a privati un’attività di supporto all’Autorità Giudiziaria37.
Ovviamente, la legge nulla dice in merito alle procedure da seguire, ma sul tema è,
fortunatamente, intervenuto il Garante privacy stabilendo, con provvedimento
generale del 17 gennaio 200838, misure e accorgimenti, anche di carattere tecnico
(sistemi di autenticazione e autorizzazione, conservazione separata, audit log, cifratura
e protezione dei dati) a garanzia degli interessati.
La modifica dell’art. 51 c.p.p.
Da ultimo, l’art. 11, L. 48/08 aggiunge all’art. 51 c.p.p. il comma 3 quinquies che attribuisce
all’ufficio del P.M. presso il Tribunale del capoluogo del distretto le funzioni per i reati
informatici puri e per i reati di prostituzione e pornografia minorile.
A commento può dirsi che, a parte il fatto che il legislatore ha incautamente dimenticato
di inserire nell’elenco, peraltro tassativo, dei reati il nuovo art. 635 quinquies c.p., si tratta di
una disposizione la cui efficacia potrebbe essere fortemente ridotta dalla mancata
previsione di un coordinamento nazionale paragonabile alla Direzione nazionale antimafia,
nonché dal mancato richiamo al comma 3 ter dell’art. 51 che prevede la possibilità che
per il dibattimento le funzioni di pubblico ministero possano essere esercitare dal P.M. presso
il giudice competente.
__________________

1 Cfr. www.garanteprivacy.it/garante/doc.jsp?ID=42363.
2 Cfr. Cocito, La sicurezza del DNAbase: dall’infrastruttura fisica a quella logica, relazione svolta
al convegno IBLC Gen-Etica e Biobanche: tra mercato e schedatura giudiziaria, Milano 8 aprile 2008.

3 Si pensi al nuovo reato di guida in stato di ebbrezza e alla capacità probante assegnata all’alcol-test.
4 Cfr. Dominioni, La prova penale scientifica, Giuffrè, 2005, pagg. 26 e ss.
5 Cfr, sul punto l’attenta analisi di D’Auria, Prova penale scientifica e “giusto processo”, inGiust.
Pen., 2004, I, 20.
6 Il riferimento è alle misure di sicurezza previste dal disciplinare tecnico, All.B, delD.Lgs. 196/03.
7 Cfr. Tribunale di Bologna, sez. I pen. monocratica, 21 luglio-22 dicembre 2005, pubblicata sul sito Penale.it al
link http://www.penale.it/stampa.asp?idpag=182.

8 Vierika è un programma informatico rientrante nella categoria dei virus (programmato in Visual Basic Script) che
funzionava grazie all’interazione di due scriptdifferenti: il primo era allegato apparentemente come un file di

immagine (jpg) ad unae-mail e, una volta eseguito, agiva sul registro di configurazione di Windows, abbassando al

livello minimo le impostazioni di protezione del browser Internet Explorer ed inserendo come home page una
determinata pagina web. Il secondo scriptera contenuto in un documento html e si attivava quando l’utente,

collegandosi in internet, veniva automaticamente indirizzato alla pagina che il primo script aveva impostato come

home page. L’effetto di questo secondo script era di creare un file nel disco rigido e di produrre un effetto di mass-

mailing, inviando a tutti gli indirizzi contenuti nella rubrica di Outlook una e-mail con il primo script in modo tale
da autoreplicare Vierika all’infinito.

9 Cfr. Tribunale di Pescara, 3 novembre 2006, pubblicata

suhttp://www.ictlex.net/index.php/2006/11/03/trib-pescara-sent-136906.

10 Cfr. Costabile, Scena criminis, documento informatico e formazione della prova penale,
in Diritto Inf. e Informatica, 2005, 531 e ss.; Marcellino, Principio di pertinenza e sequestri di
computer… in Italia lo scandalo continua?, al linkhttp://www.erasmi.it/monografie/sequestri-
computer.html.
11 Cfr. Tribunale di Torino, ord. 7 febbraio 2000, suhttp://www.ictlex.net/index.php/2000/02/07/trib-
torino-sez-riesame-ord-7-febbraio-2000.
12 Cfr. Cass., sez. I pen., 16 febbraio-4 luglio 2007, n. 25755, in Guida al Diritto, 2007, n. 31, pag. 57 e ss, con
nota di Cisterna; cfr. anche l’ordinanza impugnata, emessa dal Tribunale di Brescia in data ottobre 2006, pubblicata

suhttp://www.ictlex.net/index.php/2006/10/04/trib-riesame-di-brescia-ord-4-ottobre-2006,

nonché il commento di Falcone, Segreto giornalistico ed esigenze processuali,

suhttp://www.altalex.com/index.php?idnot=39939.

13 Cfr. Cass, Sez. V penale, 2 marzo 1995, n. 649, in Cass. Pen., 1996, 892, con nota di Baccari.
14 Cfr. www.governo.it/GovernoInforma.
15 Cfr. Cuniberti, Gallus, Micozzi, Aterno, Commento alla legge di ratifica della Convenzione di
Budapest, al linkhttp://www.giuristitelematici.it/modules/bdnews/article.php?storyid=1353.
16 Cfr. Monteleone, L’ammissibilità delle prove elettroniche in Italia,
suhttp://www.scintlex.it/documenti/cybex.doc.
17 Cfr. la definizione su http://it.wikipedia.org/wiki/Write_blocker.
18 Cfr. http://it.wikipedia.org/wiki/Hash.
19 Va peraltro segnalato che già da alcuni anni la piattaforma comunemente usata per il calcolo dell’hash, l’MD5, è
stata dimostrata inaffidabile da un gruppo di scienziati cinesi per la possibilità di collisioni e si è passati dunque al

SHA-256 che genera una stringa di 256 bit; per maggiori informazioni sul punto, cfr. Giustozzi, Hash vulnerabili,
ma la firma digitale resta sicura, al link http://www.interlex.it/docdigit/corrado19.htm.
20 Il dettaglio tecnico è stato messo in evidenza da Costabile nel suo intervento (attualmente non pubblicato) all’
IISFA Forum 2008, Bologna 18/19 aprile 2008.

21 L’osservazione è stata sollevata da Gammarota nel suo intervento (attualmente non pubblicato) all’IISFA Forum
2008, sopra cit.

22 Cfr., tra i vari commenti alla pronuncia della Corte tedesca, http://punto-informatico.it
23 La pronuncia tedesca si pone nella scia dell’animata discussione in sede europea in ordine al caso “Peppermint” che
in Italia ha trovato soluzione con un provvedimento di divieto di trattamento dei dati personali relativo a soggetti

ritenuti responsabili di aver scambiato file protetti da diritto d’autore tramite reti peer-to-peer emesso dal garante in

data 28 febbraio 2008, al linkhttp://www.garanteprivacy.it/garante/doc.jsp?ID=1495246; per un ampio

commento al caso cfr. Blengino-Senor, Il caso “Peppermint”: il prevedibile contrasto tra protezione
del diritto d’autore e tutela della privacy nelle reti peer-to-peer, in Dir. Inf. e Informatica,
2007, 835.

24 Cfr. Cisterna, Perquisizioni in caso di fondato motivo, in Guida al Diritto, 2008, 16, pag. 67.
25 Cfr. Cass, Sez. un. penali, 27 marzo 1996, in Dir. Pen. e Processo, 1996, 1122, con nota di Lupacchini; id.,
sez. V, 13 febbraio 2004, n. 15092, in Giur. It., 2005, 809, con nota di Saponaro.
26 Il rilievo è di Montuori, Responsabile dipartimento comunicazioni e reti telematiche presso l’Autorità Garante, con
espresso riferimento ai provvedimenti emanati nei confronti di Telecom, Vodafone e H3G i quali, sebbene in diversa

misura, hanno conservato, in violazione di legge, dati che riguardano la navigazione in internet e l’uso di motori di

ricerca da parte degli utenti: cfr.http://www.garanteprivacy.it/garante/doc.jsp?ID=1481285.

27 D.L. 24 dicembre 2003, n. 354, convertito con modificazioni in L. 26 febbraio 2004, n.45.
28 Il che significa 48 mesi perché è impossibile sapere preventivamente quali reati i dati possono riguardare.
29 Cfr. Braghò, Le indagini informatiche tra esigenze di accertamento e garanzie di difesa,
in Dir. Inf. e Informatica, 2005, pag. 524 e ss.
30 D.L. 27 luglio 2005, n. 144, convertito con modificazioni in L. 31 luglio 2005, n. 155.
31 La questione era anche stata oggetto su eccezione di legittimità costituzionale da parte dei Tribunali di Pavia, Cuneo
e Palmi, questione rigettata per la sopravvenuta modifica legislativa dalla Corte Costituzionale con una bella sentenza

interpretativa di rigetto, in data 14 novembre 2006, n.372, in Dir. Inf. e Informatica, 2007, pag. 133.
32 D.L. 31 dicembre 2007, n. 248, convertito con modificazioni in L. 28 febbraio 2008, n. 31.
33 Vedi: www.garanteprivacy.it/garante/doc.jsp?ID=1479338.
34 Per un’ampia e precisa disamina della data retention italiana in rapporto alla direttiva Frattini, si legga
Marcoccio, Data retention: che cosa prevede la direttiva europea, al
link http://www.interlex.it/675/marcoccio2.htm.

35 Sia per la collocazione normativa (Titolo X, capo I, D.Lgs. 196/03) che per quanto stabilisce espressamente il
decreto Pisanu.

36 Ai sensi degli artt. 14, 15 e 16, D.Lgs. 70/2003 l’attività dei prestatori di servizi è suddivisa in mere
conduit, caching e hosting, le cui definizioni corrispondono a quelle diaccess, service e content
provider.
37 La necessità di prevedere best practice in capo agli ISP era stata da tempo segnalata da attenta dottrina, cfr.
Monti, L’acquisizione della digital evidence da parte della polizia giudiziaria, al
link http://www.ictlex.com/?p=48; si veda anche la sentenza con cui il Tribunale di Chieti ha assolto un

imputato di art. 615 quater c.p. perché l’acquisizione dei file di log presso il provider era avvenuta senza verifica
da parte della P.G. delle modalità di conservazione ed estrazione dei dati da parte della società terza, cfr. Tribunale di

Chieti, 30 maggio 2006, n. 175, al linkhttp://www.interlex.it/Testi/giurisprudenza/ch060530.htm.

38 Vedi: www.garanteprivacy.it/garante/doc.jsp?ID=1482111.