-
- Art. 3 Cost.
- Art. 5a Cost.
- Art. 6 Cost.
- Art. 10 Cost.
- Art. 13 Cost.
- Art. 16 Cost.
- Art. 17 Cost.
- Art. 20 Cost.
- Art. 22 Cost.
- Art. 26 Cost.
- Art. 29a Cost.
- Art. 30 Cost.
- Art. 32 Cost.
- Art. 42 Cost.
- Art. 43 Cost.
- Art. 43a Cost.
- Art. 55 Cost.
- Art. 56 Cost.
- Art. 60 Cost.
- Art. 68 Cost.
- Art. 75b Cost.
- Art. 77 Cost.
- Art. 96 cpv. 1 Cost.
- Art. 96 cpv. 2 lett. a Cost.
- Art. 110 Cost.
- Art. 117a Cost.
- Art. 118 Cost.
- Art. 123a Cost.
- Art. 123b Cost.
- Art. 136 Cost.
- Art. 130 Cost.
- Art. 166 Cost.
- Art. 178 Cost.
- Art. 191 Cost.
-
- Art. 11 CO
- Art. 12 CO
- Art. 50 CO
- Art. 51 CO
- Art. 84 CO
- Art. 97 CO
- Art. 98 CO
- Art. 99 CO
- Art. 100 CO
- Art. 143 CO
- Art. 144 CO
- Art. 145 CO
- Art. 146 CO
- Art. 147 CO
- Art. 148 CO
- Art. 149 CO
- Art. 150 CO
- Art. 701 CO
- Art. 715 CO
- Art. 715a CO
- Art. 734f CO
- Art. 785 CO
- Art. 786 CO
- Art. 787 CO
- Art. 788 CO
- Art. 808c CO
- Disposizioni transitorie per la revisione del diritto azionario del 19 giugno 2020
-
- Art. 2 LDP
- Art. 3 LDP
- Art. 4 LDP
- Art. 6 PRA
- Art. 10 LDP
- Art. 10a LDP
- Art. 11 LDP
- Art. 12 LDP
- Art. 13 LDP
- Art. 14 LDP
- Art. 15 LDP
- Art. 16 LDP
- Art. 17 LDP
- Art. 19 LDP
- Art. 20 LDP
- Art. 21 LDP
- Art. 22 LDP
- Art. 23 LDP
- Art. 24 LDP
- Art. 25 LDP
- Art. 26 LDP
- Art. 27 LDP
- Art. 29 LDP
- Art. 30 LDP
- Art. 31 LDP
- Art. 32 LDP
- Art. 32a LDP
- Art. 33 LDP
- Art. 34 LDP
- Art. 35 LDP
- Art. 36 LDP
- Art. 37 LDP
- Art. 38 LDP
- Art. 39 LDP
- Art. 40 LDP
- Art. 41 LDP
- Art. 42 LDP
- Art. 43 LDP
- Art. 44 LDP
- Art. 45 LDP
- Art. 46 LDP
- Art. 47 LDP
- Art. 48 LDP
- Art. 49 LDP
- Art. 50 LDP
- Art. 51 LDP
- Art. 52 LDP
- Art. 53 LDP
- Art. 54 LDP
- Art. 55 LDP
- Art. 56 LDP
- Art. 57 LDP
- Art. 58 LDP
- Art. 59a LDP
- Art. 59b LDP
- Art. 59c LDP
- Art. 60 LDP
- Art. 60a LDP
- Art. 62 LDP
- Art. 63 LDP
- Art. 64 LDP
- Art. 67 LDP
- Art. 67a LDP
- Art. 67b LDP
- Art. 73 LDP
- Art. 73a LDP
- Art. 75 LDP
- Art. 75a LDP
- Art. 76 LDP
- Art. 76a LDP
- Art. 90 LDP
-
- Vorb. zu Art. 1 LPD
- Art. 1 LPD
- Art. 2 LPD
- Art. 3 LPD
- Art. 4 LPD
- Art. 5 lett. d LPD
- Art. 5 lit. f und g LPD
- Art. 6 cpv. 3-5 LPD
- Art. 6 cpv. 6 e 7 LPD
- Art. 7 LPD
- Art. 10 LPD
- Art. 11 LPD
- Art. 12 LPD
- Art. 14 LPD
- Art. 15 LPD
- Art. 19 LPD
- Art. 20 LPD
- Art. 22 LPD
- Art. 23 LPD
- Art. 25 LPD
- Art. 26 LPD
- Art. 27 LPD
- Art. 31 cpv. 2 lit. e LPD
- Art. 33 LPD
- Art. 34 LPD
- Art. 35 LPD
- Art. 38 LPD
- Art. 39 LPD
- Art. 40 LPD
- Art. 41 LPD
- Art. 42 LPD
- Art. 43 LPD
- Art. 44 LPD
- Art. 44a LPD
- Art. 45 LPD
- Art. 46 LPD
- Art. 47 LPD
- Art. 47a LPD
- Art. 48 LPD
- Art. 49 LPD
- Art. 50 LPD
- Art. 51 LPD
- Art. 52 LPD
- Art. 54 LPD
- Art. 55 LPD
- Art. 57 LPD
- Art. 58 LPD
- Art. 60 LPD
- Art. 61 LPD
- Art. 62 LPD
- Art. 63 LPD
- Art. 64 LPD
- Art. 65 LPD
- Art. 66 LPD
- Art. 67 LPD
- Art. 69 LPD
- Art. 72 LPD
- Art. 72a LPD
-
- Art. 2 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 3 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 4 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 5 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 6 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 7 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 8 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 9 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 11 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 12 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 16 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 18 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 25 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 27 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 28 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 29 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 32 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 33 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 34 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
-
- Art. 2 cpv. 1 LRD
- Art. 2a cpv. 1-2 and 4-5 LRD
- Art. 3 LRD
- Art. 7 LRD
- Art. 7a LRD
- Art. 8 LRD
- Art. 8a LRD
- Art. 14 LRD
- Art. 11 LRD
- Art. 15 LRD
- Art. 20 LRD
- Art. 23 LRD
- Art. 24 LRD
- Art. 24a LRD
- Art. 25 LRD
- Art. 26 LRD
- Art. 26a LRD
- Art. 27 LRD
- Art. 28 LRD
- Art. 29 LRD
- Art. 29a LRD
- Art. 29b LRD
- Art. 30 LRD
- Art. 31 LRD
- Art. 31a LRD
- Art. 32 LRD
- Art. 38 LRD
COSTITUZIONE FEDERALE
ORDINANZA RELATIVA AI DISPOSITIVI MEDICI
CODICE DELLE OBBLIGAZIONI
LEGGE FEDERALE SUL DIRITTO INTERNAZIONALE PRIVATO
CONVENZIONE DI LUGANO
CODICE DI PROCEDURA PENALE
CODICE DI PROCEDURA CIVILE
LEGGE FEDERALE SUI DIRITTI POLITICI
CODICE CIVILE
LEGGE FEDERALE SUI CARTELLI E ALTRE LIMITAZIONI DELLA CONCORRENZA
LEGGE FEDERALE SULL’ASSISTENZA INTERNAZIONALE IN MATERIA PENALE
LEGGE FEDERALE SULLA PROTEZIONE DEI DATI
LEGGE FEDERALE SULLA ESECUZIONE E SUL FALLIMENTO
CODICE PENALE SVIZZERO
CYBERCRIME CONVENTION
ORDINANZA SUL REGISTRO DI COMMERCIO
LEGGE SUL RICICLAGGIO DI DENARO
LEGGE SULLA TRASPARENZA
LEGGE FEDERALE SUL TRASFERIMENTO INTERNAZIONALE DEI BENI CULTURALI
- I. Introduzione
- II. Ambito di applicazione e obiettivi
- III. Attuazione in Svizzera
- Bibliografia
- I materiali
I. Introduzione
1 Il fatto che i criminali informatici professionisti e competenti utilizzino sempre più spesso le tecnologie più recenti e Internet per i loro scopi illegali pone le autorità di fronte a sfide sempre più impegnative. Tuttavia, le possibilità di abuso tecnico non garantiscono una sicurezza permanente e assoluta ai criminali, purché le autorità agiscano in modo mirato. Infatti, sui supporti dati e su Internet vengono lasciate tracce: ogni azione eseguita online, ad esempio la visita di un sito web, la pubblicazione sui social media o gli acquisti online, genera dati che vengono memorizzati e possono essere tracciati. Creando immagini dei supporti dati sequestrati è possibile recuperare i dati cancellati e non sovrascritti. Tali dati, anche se memorizzati solo temporaneamente, possono essere utili alle autorità di polizia per identificare gli autori di reati, chiarire il reato o attuare misure di sorveglianza, a condizione che vengano salvati in tempo utile.
2 Il fatto che i dati informatici siano stati memorizzati e siano ancora disponibili al momento delle indagini in corso dipende, da un lato, dal comportamento del titolare dei dati in materia di cancellazione e, dall'altro, dalle disposizioni sulla protezione dei dati dello Stato contraente interessato.
II. Ambito di applicazione e obiettivi
3 A causa della loro natura volatile, i dati informatici sono facili da manipolare, modificare e cancellare. Il rischio di perdita o distruzione dei dati è quindi elevato nella pratica. Al fine di non rendere la conservazione di tali dati informatici e dei dati di connessione nei procedimenti penali nazionali dipendente da lunghi processi di raccolta delle prove, ma di impedire tempestivamente la cancellazione e la modifica dei dati rilevanti ai fini probatori mediante un provvedimento di conservazione e di aumentare così l'efficacia dell'azione penale per i reati descritti più dettagliatamente nella Convenzione sulla criminalità informatica, gli Stati contraenti si sono impegnati ad adottare le misure legislative necessarie a livello nazionale. La procedura per garantire la conservazione immediata e tempestiva dei dati informatici memorizzati è denominata in pratica «procedura di congelamento rapido». La procedura di congelamento rapido non deve essere confusa con la conservazione immediata dei dati in un contesto transfrontaliero, la cosiddetta richiesta di conservazione, disciplinata dall'articolo 29 CCC.
4 L'articolo 16 CCC disciplina la salvataggio immediato dei dati, ma non autorizza di per sé gli Stati contraenti a ordinare la consegna dei dati o a prenderne visione, a meno che una norma di competenza interna non lo consenta espressamente. La consegna dei dati è disciplinata dall'articolo 18 CCC, mentre la perquisizione e il sequestro sono trattati nell'articolo 19 CCC.
A. Cpv. 1: immediata conservazione dei dati informatici
5 L'art. 16 cpv. 1 CCC garantisce la rapida conservazione dei dati informatici all'interno di uno Stato contraente al fine di contrastare il rischio di occultamento dovuto alla volatilità dei dati informatici. I dati devono essere protetti «da qualsiasi cosa che possa alterarne o deteriorarne la qualità o lo stato» e quindi in modo completo da modifiche, deterioramenti o cancellazioni. Per salvataggio si intende la conservazione provvisoria dei dati e non il rifiuto dell'accesso ai dati. Gli utenti legittimi devono poter continuare a utilizzare i dati o le loro copie, a meno che non debbano essere sequestrati ai sensi dell'articolo 19 CCC.
6 L'articolo 16 CCC non obbliga gli Stati contraenti a limitare l'offerta o l'utilizzo di servizi, né a introdurre nuove possibilità tecniche per la conservazione e la raccolta di dati. La disposizione non comporta quindi un obbligo di conservazione dei dati. Essa mira semplicemente a garantire che gli Stati contraenti possano disporre a livello nazionale una protezione accelerata dei dati informatici memorizzati al fine di sostenersi reciprocamente a livello internazionale.
7 La configurazione concreta delle misure di sicurezza è lasciata alle parti contraenti. Nella pratica sono possibili due opzioni: la conservazione dei dati originali e la creazione di copie identiche dei dati.
8 Secondo il testo dell'art. 16 cpv. 1 CCC, la conservazione riguarda «determinati dati informatici, compresi i dati relativi al traffico, che sono stati memorizzati mediante un sistema informatico». Sono compresi tutti i tipi di dati informatici già raccolti e memorizzati dai titolari dei dati o dai fornitori di servizi, i cosiddetti «stored computer data». Sono esplicitamente menzionati anche i dati di connessione e di traffico, i cosiddetti «traffic data». Il riferimento ai dati di traffico serve a stabilire un collegamento tra le misure di cui all'articolo 16 e all'articolo 17 CCC. Per i dati di traffico, quest'ultima disposizione prevede alcune particolarità. Non sono contemplate le raccolte di dati informatici in tempo reale orientate al futuro né la conservazione dei dati, denominata «data retention». Queste sono disciplinate dagli articoli 20 e 21 CCC.
9 La conservazione può essere ordinata o effettuata in modo analogo.
a) Il termine «ordinare» comprende sia l'ordine giudiziario o amministrativo di conservare i dati sia l'obbligo di cooperazione attiva da parte del destinatario dell'ordine. Quest'ultima deve avvenire in modo tale che il destinatario dell'ordine conservi i dati inalterati e senza perdite (cfr. a questo proposito l'art. 16 cpv. 2 CCC).
b) La formulazione «o in modo analogo» consente agli Stati contraenti di organizzare la conservazione dei dati in modo flessibile e con i propri mezzi, in conformità al loro diritto procedurale.
10 Gli Stati contraenti dovrebbero stabilire misure di sicurezza in particolare quando vi è motivo di ritenere che i dati informatici siano particolarmente suscettibili di perdita o alterazione. Ciò può riferirsi, ad esempio, a situazioni in cui i dati sono soggetti a un breve periodo di conservazione in base alla politica aziendale, vengono cancellati a intervalli regolari o sono conservati in modo non sicuro.
B. Cpv. 2: Salvataggio dei dati mediante ordine di conservazione
11 L'art. 16 cpv. 2 CCC stabilisce che nei casi in cui i dati informatici sono protetti ai sensi dell'art. 16 cpv. 1 CCC mediante un ordine impartito a un'altra persona, gli Stati contraenti possono adottare misure e introdurre «Preservation Orders» per garantire l'integrità di tali dati informatici per un periodo di tempo limitato. Tuttavia, gli Stati contraenti non sono tenuti ad adottare tali misure. Gli Stati contraenti devono garantire che le loro autorità investigative possano ordinare o ottenere la conservazione immediata/tempestiva, indipendentemente dalla procedura scelta.
12 Sono destinatari dell'ordine le persone che sono in possesso di dati informatici memorizzati o che hanno il potere di disporne.
13 Gli Stati contraenti possono, nel diritto interno, come misura ai sensi dell'art. 16 cpv. 2 CCC, obbligare i destinatari dell'ordine a conservare, per tutto il tempo necessario, ma al massimo per 90 giorni, l'integrità dei dati informatici oggetto dell'ordine. Possono tuttavia prevedere una proroga di tale termine di conservazione. La fissazione di un termine come misura serve a garantire alle autorità competenti il tempo necessario per ottenere le autorizzazioni richieste e avviare procedimenti legali quali perquisizioni, sequestri, confische o l'emissione di un ordine di consegna, affinché possano successivamente, in una seconda fase, prendere conoscenza del contenuto dei dati, in particolare anche nell'ambito dell'assistenza giudiziaria ai sensi dell'articolo 29 CCC.
C. Cpv. 3: Obbligo di segretezza
14 L'art. 16 cpv. 3 CCC impone agli Stati contraenti di adottare le misure legislative necessarie affinché, in caso di ordine rivolto al depositario o a un terzo, questi ultimi siano tenuti, per un periodo determinato dal diritto interno, a garantire la riservatezza delle operazioni di conservazione dei dati. Questa misura tiene conto, da un lato, dell'esigenza delle autorità di perseguimento penale di impedire che i sospetti e i terzi vengano a conoscenza delle indagini e, dall'altro, tutela la sfera privata delle persone interessate, in particolare di quelle menzionate nei dati o che possono essere identificate.
D. Cpv. 4
15 Con i riferimenti all'art. 16 cpv. 4 CCC, gli Stati contraenti si impegnano a garantire che i poteri e le procedure di cui all'art. 16 CCC siano soggetti alle condizioni e alle garanzie stabilite agli art. 14 e 15 CCC.
III. Attuazione in Svizzera
16 La protezione dei dati informatici memorizzati ai sensi dell'articolo 16 CCC costituisce un importante strumento investigativo per la lotta contro i reati informatici e informatici. Gli Stati contraenti, compresa la Svizzera, sono tenuti a creare le condizioni quadro legislative e organizzative necessarie a tal fine.
17 La Svizzera non ha inserito nella vigente procedura penale svizzera la «procedura di congelamento rapido» prevista dall'articolo 16 CCC come misura autonoma. Il diritto svizzero rispetta invece in generale le disposizioni dell'art. 16 CCC, in quanto i fornitori di servizi di telecomunicazione sono tenuti, da un lato, ai sensi dell'art. 21 cpv. 2 e dell'art. 22 cpv. 2 LSCPT, a garantire che al momento dell'instaurazione del rapporto con il cliente vengano raccolti i dati identificativi e che questi rimangano accessibili per tutta la durata del rapporto e per sei mesi dopo la sua cessazione e, dall'altro, e, dall'altro, ai sensi dell'articolo 26 cpv. 5 LSCPT, di conservare i dati secondari per sei mesi.
18 Anche da un punto di vista specifico, il diritto svizzero vigente soddisfa i requisiti della disposizione della Convenzione di cui all'articolo 16 CCC. Secondo il codice di procedura penale svizzero, i dati informatici possono essere acquisiti mediante un ordine scritto del pubblico ministero nell'ambito di una perquisizione ai sensi dell'articolo 246 segg. CPP o essere inseriti nel fascicolo mediante un'ordinanza di produzione ai sensi dell'articolo 265 CPP. In Svizzera, la conservazione dei dati informatici memorizzati può essere suddivisa in due categorie: la conservazione da parte delle autorità di perseguimento penale e la richiesta di conservazione a persone private. Entrambe le misure possono essere adottate dalla polizia, senza mandato del pubblico ministero, in caso di pericolo imminente, garantendo così una conservazione accelerata e proporzionata dei dati informatici memorizzati.
A. Salvaguardia da parte delle autorità di perseguimento penale
19 In Svizzera, la salvaguardia temporanea di materiale informatico è disposta, ai sensi dell'art. 198 in combinato disposto con l'art. 241 cpv. 1 e l'art. 246 CPP, con un'ordinanza del pubblico ministero (o, se del caso, del tribunale competente) al fine di perquisire registrazioni. Questo ordine garantisce che i dati possano essere esaminati per quanto riguarda il loro contenuto o la loro natura, al fine di determinarne l'idoneità come prova e, se del caso, di sequestrarli. Tali perquisizioni e la conservazione dei dati sono ordinate nella prassi della polizia ai sensi dell'art. 312 CPP. La polizia procede quindi alla perquisizione secondo le istruzioni del pubblico ministero (o del tribunale competente) e sequestra il supporto dati o esegue una copia forense dei dati presenti sui supporti da perquisire (cosiddetta «copia speculare»). La copia garantisce che i dati vengano copiati su un supporto esterno e siano protetti da manipolazioni. In particolare nei procedimenti penali in materia economica, ciò garantisce che i dati ai sensi dell'art. 16 cpv. 1 CCC possano essere immediatamente messi in sicurezza. D'altra parte, ciò consente alle persone interessate dalla perquisizione di continuare a utilizzare i propri dispositivi per proseguire la propria attività commerciale, nel rispetto del principio di proporzionalità, fintantoché i dispositivi non devono essere sequestrati ai sensi dell'art. 263 CPP in combinato disposto con l'art. 69 cpv. 1 CP.
20 Per garantire la salvaguardia dei dati su server digitali o nel cloud, è assolutamente necessario effettuare immediatamente una copia dei dati in loco, al fine di impedire che questi dati vengano modificati o cancellati tramite vie di accesso alternative. La base giuridica per la realizzazione di copie di tali registrazioni e dati nell'ambito di una perquisizione è costituita dall'art. 247 cpv. 3 CPP.
B. Richiesta di conservazione a persone
21 Per quanto riguarda la perquisizione e il sequestro di materiale informatico, il pubblico ministero (e, se del caso, anche il tribunale competente) ha inoltre la possibilità, ai sensi degli articoli 263 e 265 CPP, di ordinare con decisione la consegna e il sequestro di dati, ovvero di obbligare concretamente il detentore, sotto pena delle sanzioni previste dall'art. 292 CP e fissando un termine, a consegnare i supporti elettronici e i dati in originale o in copia come mezzi di prova. Questa procedura è denominata «edizione» e «editare». L'ordine di tale consegna è tuttavia possibile solo se il detentore non è né la persona imputata né una persona con diritto di rifiuto di testimoniare o di non rispondere né un'impresa che potrebbe essere ritenuta responsabile penalmente o civilmente in caso di consegna (art. 265 cpv. 2 CPP). Un ulteriore presupposto per l'emanazione di un'ordinanza di edizione è che l'ordinanza sia diretta al titolare effettivo dei dati con domicilio in Svizzera, altrimenti deve essere seguita la via dell'assistenza giudiziaria internazionale in materia penale.
22 Se una persona è tenuta, ai sensi dell'articolo 2 LSCPT, a trasmettere i dati accessori di cui dispone relativi a una persona sorvegliata, si applicano gli articoli 269 segg. CPP. Se sono soddisfatti i presupposti di cui all'art. 269 cpv. 1 lett. b e c CPP e sussiste l'autorizzazione del tribunale delle misure di coercizione, non è possibile procedere a un sequestro ai sensi dell'art. 263 CPP, tuttavia i fornitori di servizi di telecomunicazione con sede in Svizzera, in qualità di titolari dei dati accessori, possono essere tenuti a effettuare una copia di sicurezza dei dati ai sensi dell'art. 273 CPP. L'acquisizione di dati di inventario non costituisce una misura di coercizione e non richiede l'autorizzazione del tribunale delle misure di coercizione.
C. Mancanza di disposizioni legislative in materia di ordine di conservazione
23 In Svizzera, solo i fornitori di servizi di telecomunicazione sono tenuti per legge, ai sensi dell'articolo 2 LSCPT, a conservare i dati identificativi e i dati accessori per un periodo di sei mesi. In relazione a questi dati conservati, diverse autorità federali e cantonali hanno il diritto, ai sensi dell'art. 15 LTC, di ottenere informazioni sui servizi di telecomunicazione ai sensi dell'art. 21 LTC e sull'identificazione degli autori di reati ai sensi dell'art. 22 LTC. Tale comunicazione di informazioni è equiparabile a un obbligo di consegna ai sensi dell'art. 265 CPP. Non si tratta di un «preservation order» ai sensi dell'art. 16 cpv. 2 CCC.
24 Ratificando la Convenzione sulla criminalità informatica, la Svizzera non si è impegnata a introdurre i «preservation order» nel diritto interno. Attualmente, il codice di procedura penale svizzero non offre alcuna base giuridica per obbligare i titolari dei dati e i fornitori di servizi a proteggere i dati dalla perdita o dalla modifica e a tenerli a disposizione delle autorità di perseguimento penale senza doverli consegnare immediatamente. Il messaggio parte dal presupposto che la possibilità di obbligare chiunque a conservare dati mediante una decisione sarebbe eccessiva e difficilmente compatibile con il principio di proporzionalità. Questa valutazione non è più attuale: grazie alla digitalizzazione in continua evoluzione, oggi anche i privati dispongono di notevoli capacità di archiviazione sui propri supporti dati. Numerose aziende affidabili e disposte a collaborare dispongono volontariamente e in conformità con le disposizioni svizzere sulla protezione dei dati (LPD) di dati rilevanti a fini probatori, come ad esempio dati dei clienti e dati tecnici (non soggetti alla LSCPT), senza essere vincolate a un termine di conservazione. L'obbligo per i titolari di tali dati di prorogare il termine di conservazione al massimo di 90 giorni costituisce una misura molto più blanda rispetto all'ordine di perquisire i registri presso i titolari dei dati (cfr. supra N. 19 seg.) o di obbligarli a consegnare immediatamente tutti i dati (cfr. supra N. 21 seg.). In caso di proroga del termine di conservazione, i destinatari della decisione non sono soggetti a un onere sproporzionato, date le possibilità tecniche attualmente disponibili, e sussiste un interesse pubblico a garantire che i dati raccolti volontariamente da privati possano essere conservati come prove ai fini dell'accertamento della verità prima di essere cancellati.
25 Ai sensi dell'attuale codice di procedura penale svizzero, la conservazione dei dati in possesso di persone che non rientrano nell'ambito di applicazione della LSCPT può essere garantita, in base al principio giuridico argumentum a maiore ad minus, anche mediante una decisione graduale: Può essere emanata una decisione ai sensi dell'art. 263 segg. CPP, con la quale il detentore dei dati è inizialmente obbligato, sotto minaccia della pena per disobbedienza ai sensi dell'art. 292 CP, a fornire informazioni, conservare i dati e mantenerne il segreto, al fine di raccogliere in una seconda fase i dati rilevanti per l'indagine e di trasmetterli agli atti d'indagine. Un tale obbligo graduale non è in contrasto con il principio del numerus clausus in materia di misure coercitive (art. 197 cpv. 1 lett. a CPP), poiché già il primo obbligo di conservazione dei dati ha lo scopo di richiedere successivamente i dati rilevanti ai fini probatori ai sensi dell'art. 263 CPP. Un obbligo graduale di questo tipo interferisce meno con i diritti del titolare dei dati rispetto all'ordine di perquisizione ai sensi degli articoli 246 segg. CPP o a un ordine di produzione di prove ai sensi dell'articolo 265 CPP. Il termine di conservazione massimo di 90 giorni previsto dall'art. 16 cpv. 2 CCC deve essere rispettato affinché la misura non vada oltre il testo della convenzione.
D. Blocco della conservazione da parte del Tribunale federale in caso di richiesta di sigillatura valida
26 Negli ultimi anni il Tribunale federale ha dovuto pronunciarsi più volte sulla situazione in cui, dopo il sequestro di apparecchi elettronici nonostante la sigillatura, le autorità inchiesta o un servizio specializzato incaricato hanno effettuato una copia di sicurezza forense (copia speculare) dei dati in essi contenuti. Il Tribunale federale ritiene inammissibile che, dopo una richiesta di sigillatura, un'autorità inchiesta disponga la duplicazione dei dati o la trasferisca a una persona o autorità da essa incaricata e vincolata alle sue istruzioni. L'autorità inquirente deve invece, dopo aver sigillato i supporti dati, presentare una richiesta di duplicazione al tribunale delle misure coercitive, anche se la duplicazione è urgentemente necessaria per proteggere i dati dalla perdita. La richiesta può essere presentata insieme alla domanda di rimozione del sigillo o, in caso di urgenza, con effetto superprovvisorio. Dopo la sigillatura, l'ordine di duplicazione spetta esclusivamente al tribunale delle misure coercitive.
27 Questa giurisprudenza è stata giustamente oggetto di critiche. Essa risulta inoltre contraria al diritto internazionale alla luce della Convenzione sulla criminalità informatica. Il Tribunale federale ignora infatti che la Svizzera si è impegnata a garantire, nei procedimenti interni, la conservazione immediata dei dati informatici rilevanti ai fini della prova, al fine di evitare la perdita di prove. Con la sua giurisprudenza, il Tribunale federale introduce non solo una procedura superprovvisoria finora sconosciuta dinanzi al tribunale delle misure coercitive, ma anche una procedura in cui, anche in caso di ordinanza del giudice delle misure coercitive, l'acquisizione di dati rilevanti ai fini probatori può essere compromessa in modo significativo nel giro di poche ore: finché l'autorità inchiesta non può effettuare o far effettuare una copia dei dati durante una perquisizione in loco e deve invece rivolgersi al tribunale delle misure coercitive e attendere la sua decisione, nella prassi attuale non è possibile scongiurare il rischio considerevole che le persone autorizzate ad accedere ai dati conservati nei server digitali o nei cloud possano modificarli o cancellarli prima che il tribunale delle misure coercitive abbia deciso in merito alla copia. . I nuovi sviluppi offrono anche una maggiore protezione dall'accesso delle autorità, a meno che non si reagisca immediatamente. Recentemente, una delle più grandi aziende tecnologiche ha introdotto sui propri dispositivi (mobili) una funzione di sicurezza che blocca la porta USB 60 minuti dopo l'ultimo sblocco del dispositivo, con la conseguenza che da quel momento in poi non è più possibile leggere i dati né installare sul dispositivo un software che ne consenta la lettura successiva. È presumibile che altre aziende seguiranno questo esempio. Di conseguenza, determinate situazioni di pericolo – sia nuove che quelle prese in considerazione nella relazione esplicativa – possono essere evitate solo con l'intervento immediato dell'autorità inquirente, ovvero della polizia o della persona incaricata da quest'ultima durante la perquisizione in loco. La procedura stabilita dal Tribunale federale, che prevede la presentazione di una richiesta di mirroring superprovisorio al tribunale delle misure coercitive dopo la sigillatura, aumenta notevolmente il rischio di perdita di prove. Non si può quindi parlare di un'efficace perseguimento penale ai sensi della Convenzione sulla criminalità informatica.
Bibliografia
Burgermeister Daniel, Beweiserhebung in der Cloud, Master of Advanced Studies in Forensics (MAS Forensics), August 2015.
Graf Damian K., Praxishandbuch zur Siegelung, StPO inklusive revidierter Bestimmungen – VStrR – IRSG – MStP, Bern 2022.
Graf Damian K./Günal Rütsche Serdar, Datensicherung von Mobiltelefonen und Tablets – technische und (siegelungs-)rechtliche Herausforderungen im Strafverfahren, SJZ 121 (2025), S. 604 ff.
Hansjakob Thomas, Überwachungsrecht der Schweiz, Kommentar zu Art. 269 ff. StPO und zum BÜPF, Zürich 2018.
I materiali
Bundesamt für Justiz, Vernehmlassungsentwurf, Genehmigung und Umsetzung des Übereinkommens des Europarates über die Cyberkriminalität, Vorentwurf und Erläuternder Bericht, Bern, März 2009, abrufbar unter https://www.bj.admin.ch/bj/de/home/sicherheit/gesetzgebung/archiv/cybercrime-europarat.html, besucht am 4.5.2025.
Botschaft über die Genehmigung und die Umsetzung des Übereinkommens des Europarates über die Cyberkriminalität vom 18.6.2010, BBl 2010 4697 ff., abrufbar unter https://www.fedlex.admin.ch/eli/fga/2010/813/de, besucht am 4.5.2025.
Botschaft zur Änderung des Schweizerischen Strafgesetzbuches (Allgemeine Bestimmungen, Einführung und Anwendung des Gesetzes) und des Militärstrafgesetzes sowie zu einem Bundesgesetz über das Jugendstrafrecht vom 21.9.1998, BBl 1999 II 1979 ff., abrufbar unter https://www.fedlex.admin.ch/eli/fga/1999/1_1979_1787_1669/de, besucht am 4.5.2025.
Europarat, Explanatory Report to the Convention on Cybercrime, Budapest, 23.11.2001, abrufbar unter https://rm.coe.int/16800cce5b, besucht am 4.5.2025 (zit. Explanatory Report).
Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27.4.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), abrufbar unter https://eur-lex.europa.eu/legal-content/de/TXT/?uri=CELEX%3A32016R0679, besucht am 4.5.2025.