I. Considerazioni generali

1 Nella sezione 2 («Diritto procedurale») del capitolo 2 («Misure da adottare a livello interno»), l'articolo 18 CCC, al titolo 3 («Ordinanza di consegna»), disciplina la consegna di dati da parte delle autorità penali competenti. Si distinguono due casi: da un lato, la consegna di dati informatici da parte di una persona che si trova nel territorio dello Stato contraente interessato (cpv. 1 lett. a), dall'altro, la divulgazione di dati di inventario da parte di fornitori di servizi che offrono i loro servizi nello Stato contraente (cpv. 1 lett. b). Poiché questi ultimi non hanno sede nello Stato contraente interessato e i dati di inventario non devono necessariamente essere memorizzati in tale Stato, l'art. 18 CCC contiene un elemento extraterritoriale (cfr. n. 9 segg.).

2 L'emanazione di un'ordinanza di consegna dei dati costituisce il mezzo meno severo rispetto alle misure coercitive che interferiscono in modo più profondo con i diritti delle persone interessate (spesso non accusate). In conformità con il principio di proporzionalità, la possibilità di un'ordinanza di divulgazione deve sempre essere esaminata prima di ricorrere a misure coercitive di più ampia portata (come ad esempio una perquisizione domiciliare) (cfr. anche art. 265 cpv. 4 CPP). Un aspetto essenziale nella ponderazione degli interessi è il rischio di collusione e di perdita di prove se i dati non vengono immediatamente sequestrati dai membri delle autorità di perseguimento penale.

3 Dal punto di vista del contenuto, l'articolo 18 CCC è limitato alla consegna di dati concretamente determinati o determinabili, già esistenti o memorizzati nell'ambito di un procedimento penale. Non è necessario che si tratti di un reato informatico ai sensi degli articoli 2–11 CCC o di un altro reato commesso con un sistema informatico; è sufficiente che le prove disponibili in forma elettronica servano a provare un reato qualsiasi (art. 14 cpv. 2 CCC). Ciò significa anche che il materiale probatorio richiesto deve essere almeno potenzialmente rilevante, ossia può essere importante per l'indagine penale o non deve apparire manifestamente inidoneo, come risulta già dal principio generale di proporzionalità (presupposto di una misura statale «adeguata»).

4 In base al testo della Convenzione («ciascuna Parte contraente adotta le misure legislative o di altra natura necessarie per autorizzare le proprie autorità competenti»; analogamente anche art. 14 cpv. 1 CCC), l'art. 18 CCC non è una norma «autoesecutiva» che trova applicazione diretta con la ratifica della Convenzione. Essa costituisce piuttosto un obbligo di diritto internazionale che impone l'adozione di norme interne corrispondenti. L'art. 18 CCC non può quindi, contrariamente all'art. 32 CCC, essere invocato direttamente come base per una misura di procedura penale.

5 Tuttavia, nel messaggio il Consiglio federale ha dichiarato che il diritto svizzero soddisfa già i requisiti dell'art. 18 CCC. In tal senso, sia il testo dell'art. 18 CCC che i relativi materiali – in particolare la relazione esplicativa alla CCC e la Guidance Note # 10 del Cybercrime Convention Committee («T-CY») del Consiglio d'Europa – possono essere utilizzati come ausili interpretativi per l'applicazione delle disposizioni nazionali, in primo luogo l'art. 265 CPP. In Svizzera, inoltre, è un principio generale che le norme devono essere interpretate, per quanto possibile, in conformità con le convenzioni.

6 L'art. 18 CCC non stabilisce come le misure debbano essere attuate esattamente nel diritto interno, ma si limita a delineare il contenuto minimo delle norme nazionali in materia di competenza e lascia ai singoli Stati contraenti il compito di integrare le disposizioni della convenzione nel loro sistema di misure di assunzione delle prove. L'art. 18 cpv. 2 CCC rinvia comunque alle ulteriori garanzie minime degli art. 14–15 CCC, che devono essere rispettate anche in questo contesto.

7 L'art. 18 CCC non disciplina nemmeno se e, in caso affermativo, in quale misura i dati debbano essere conservati, né stabilisce termini di conservazione. In particolare, non contiene alcun obbligo per i fornitori di servizi di conservare registrazioni sui propri abbonati, di garantirne l'esattezza, di verificare l'identità degli utenti o di impedire l'uso di pseudonimi. Tali obblighi possono eventualmente derivare da norme interne a livello di legge o di ordinanza.

II. Ordine di consegna di dati informatici (cpv. 1 lett. a)

8 Dal punto di vista oggettivo, la richiesta di consegna può estendersi ai «dati informatici», definiti all'art. 1 lett. b CCC come «qualsiasi rappresentazione di fatti, informazioni o concetti in una forma adatta al trattamento in un sistema informatico, compreso un programma che può far eseguire una funzione da un sistema informatico». Questo concetto comprende tutti i tipi di dati, in particolare i dati di inventario, di collegamento e di contenuto (cfr. n. 24 segg.). L'art. 18 CCC richiede solo che i dati in questione possano essere richiesti, senza tuttavia pronunciarsi sulla competenza o sulla procedura specifica prevista dall'ordinamento interno. Per questo motivo, ad esempio, è perfettamente compatibile con gli articoli 18 e 15 CCC che la consegna di dati di connessione sia soggetta, secondo il diritto svizzero, a requisiti più severi rispetto alla consegna di dati di inventario o di contenuto e che sia inoltre necessaria l'autorizzazione del tribunale competente in materia di misure coercitive (cfr. n. 27 segg.).

9 Dal punto di vista personale, l'art. 18 cpv. 1 lett. a CCC si applica, secondo il suo testo esplicito, a tutte le persone giuridiche e fisiche che, al momento dell'ordinanza, hanno la loro sede, il loro domicilio o anche solo la loro dimora provvisoria nello Stato contraente. Il rapporto interno richiesto dal diritto sovranitario non è definito in questo caso – contrariamente all'art. 32 CCC, non è definito in base al luogo di memorizzazione dei dati, ma è collegato alla persona in possesso o sotto il controllo della quale si trovano i dati da raccogliere. L'art. 18 cpv. 1 lett. a CCC comprende anche i provider con sede in Svizzera; da questi possono essere resi disponibili non solo i dati di inventario (cfr. art. 18 cpv. 1 lett. b CCC), ma anche i dati relativi al contenuto e alla connessione.

10 Il luogo di memorizzazione dei dati è irrilevante in questo contesto. Di conseguenza, anche i dati memorizzati all'estero possono essere consultati presso una persona residente in Svizzera, a condizione che tali dati siano «in suo possesso o sotto il suo controllo» («computer data in that person's possession or control»). L'art. 18 cpv. 1 lett. a CCC consente quindi, come l'art. 32 CCC, una forma di acquisizione extraterritoriale delle prove. Ciò è in linea con la giurisprudenza del Tribunale federale relativa all'art. 18 CCC e all'art. 265 CPP, secondo cui tali disposizioni consentono l'edizione di tutti i dati a cui il destinatario della decisione può o è autorizzato ad accedere («avoir un pouvoir de disposition, en fait et en droit, sur ces données»).

11 La coppia di concetti «possesso o controllo» si riferisce, da un lato, al possesso fisico dei dati in questione nel territorio dello Stato contraente che ha emesso la decisione (dominio sui dati) e, dall'altro, a situazioni in cui i dati di interesse non si trovano nella sfera di custodia del destinatario della decisione di divulgazione, ma quest'ultimo può liberamente controllarne la consegna (diritto di disposizione). Ciò comprende, ad esempio, una persona che ha memorizzato dati presso un fornitore terzo, ad esempio in un cloud: in questo caso il fornitore terzo è in possesso dei dati e l'utente ne ha il controllo, ed entrambi possono essere chiamati individualmente a rispondere in qualità di destinatari della disposizione. Possesso e controllo possono quindi divergere. Secondo la relazione esplicativa, tuttavia, non è sufficiente disporre della sola capacità tecnica di accedere a dati memorizzati a distanza; i dati devono piuttosto essere sotto il controllo legittimo («legitimate control») del destinatario della disposizione. Il «controllo» presuppone quindi cumulativamente la possibilità di accedere a tali dati e l'autorizzazione ad accedervi. Ciò deve essere chiarito nel dettaglio. Il destinatario del trattamento deve collaborare alla dimostrazione se fa valere la mancanza di controllo o di accesso alle informazioni richieste.

12 Nelle strutture di gruppo, non si può dare per scontato che una società controllata possa accedere ai dati della società madre o delle società affiliate. Viceversa, le società capogruppo, in virtù della loro posizione, dovrebbero spesso disporre o controllare i dati all'interno del gruppo, sia di fatto che di diritto. Se i dati rimangono presso le società nazionali per motivi normativi o di protezione dei dati e la società madre non ha dimostrabilmente accesso ad essi, i dati possono essere richiesti solo alla società nazionale. Se vengono utilizzate soluzioni di archiviazione o di conservazione interne o esterne all'azienda o centri di dati, il diritto di controllo rimane alla persona che ha esternalizzato il servizio, mentre l'azienda che conserva i dati ne è «proprietaria», poiché questi si trovano nella sua sfera di controllo. Pertanto, anche le società affiliate o partner di fornitori stranieri con sede in Svizzera che memorizzano dati in Svizzera (ad es. in server farm) sono soggette all'obbligo di consegna.

13 È determinante la possibilità di accesso effettiva o giuridica al momento dell'ordine. Limitare l'accesso dopo aver ricevuto una richiesta non solo costituirebbe un abuso di diritto, ma potrebbe anche configurare un reato a seconda della situazione giuridica degli Stati contraenti (cfr. art. 305 CP [favoreggiamento]).

14 Come visto (n. 9 segg.), l'art. 18 cpv. 1 lett. a CCC non si riferisce direttamente al luogo di memorizzazione dei dati. Una decisione di consegna emessa in Svizzera può tuttavia riguardare dati memorizzati in Svizzera indipendentemente dal fatto che le persone aventi diritto ai dati si trovino all'estero (ad esempio se una persona domiciliata all'estero memorizza dati in Svizzera o gestisce un centro dati). Se solo i dati si trovano in Svizzera, ma non le persone aventi diritto ai dati, si pone solo la questione di come la richiesta di consegna possa essere trasmessa alla persona domiciliata all'estero – una questione che diventa attuale anche alla lett. b (cfr. n. 20 seg.).

III. Ordine di consegna di dati di inventario ai provider (cpv. 1 lett. b)

15 L'art. 18 cpv. 1 lett. b CCC si riferisce alla consegna di dati di inventario da parte di fornitori di servizi o «service provider» ai sensi dell'art. 1 lett. c CCC che offrono i loro servizi nel territorio dello Stato contraente. L'articolo ha quindi una portata sia più restrittiva che più ampia rispetto alla lett. a, in quanto da un lato si limita ai fornitori di servizi e alla presentazione di dati relativi agli abbonati («subscriber information») – ad esempio l'identità del cliente o informazioni relative alle operazioni di pagamento (cfr. n. 24 segg.) – e dall'altro non riguarda solo i fornitori svizzeri, ma anche quelli stranieri (cfr. al riguardo n. 17 segg.). Il necessario rapporto interno con la Svizzera è inteso qui, analogamente alla concezione del diritto antitrust, nel senso del principio di effetto, motivo per cui sono contemplati anche i fornitori di servizi stranieri se attivi sul mercato svizzero. Anche in questo caso rimane il presupposto che i dati siano in possesso o sotto il controllo del destinatario della disposizione (cfr. al riguardo n. 11 segg.).

16 Contrariamente all'art. 32 CCC, che si basa sulla volontarietà e presuppone, tra l'altro, un'autorizzazione nelle condizioni generali di contratto o simili per una consegna dei dati conforme alla legge da parte dei fornitori, una richiesta di consegna è vincolante e deve essere eseguita dai fornitori di servizi destinatari, purché sia conforme ai requisiti interni dello Stato contraente in cui sono offerti i servizi e che ha emesso la decisione. L'accesso facilitato ed efficiente ai dati di inventario appare opportuno, poiché l'80-90 % dei dati richiesti a livello internazionale sono dati di inventario; l'art. 18 cpv. 1 lett. b CCC contribuisce quindi ad alleggerire il sistema di assistenza giudiziaria internazionale.

17 Per quanto riguarda la questione di quando un servizio è «offerto» in uno Stato contraente, negli Stati europei esiste già una giurisprudenza in altri contesti: è necessario che le attività del fornitore di servizi siano rivolte agli utenti dello Stato, ovvero che il fornitore di servizi intenda che gli utenti di tale Stato utilizzino i suoi servizi. La semplice accessibilità di un sito web o la possibilità di registrarsi da un altro Paese non è sufficiente a tal fine. Indizi dell'«offerta» di un servizio possono essere, ad esempio, l'uso di lingue o valute diverse da quelle usuali nello Stato di sede, l'uso di domini di primo livello o di un prefisso telefonico di uno Stato. Ad esempio, la Corte suprema belga ha stabilito che Yahoo! Inc. poteva essere obbligata, sotto pena di sanzioni penali, a consegnare i dati relativi ai propri utenti perché, in qualità di fornitore di un servizio di webmail gratuito, partecipava attivamente alla vita economica belga. Ciò è emerso, tra l'altro, dall'uso del dominio «www.yahoo.be», dall'uso della lingua nazionale, dalla pubblicità basata sulla localizzazione degli utenti e dalla creazione di un modulo di reclamo e di una sezione FAQ per gli utenti belgi. Infine, il nuovo art. 3, n. 4, del regolamento (UE) 2023/1543 relativo agli ordini europei di consegna di prove e agli ordini europei di conservazione di prove elettroniche nei procedimenti penali e all'esecuzione di pene detentive a seguito di procedimenti penali del 12 luglio 2023 («regolamento e-evidence») richiede che il criterio della «prestazione di servizi nell'UE» sia cumulativo (a) la creazione di una possibilità per le persone fisiche o giuridiche in uno Stato membro di usufruire dei servizi e (b) un legame sostanziale con tale Stato membro, che si considera sussistere, ad esempio, quando il fornitore di servizi ha una sede o un numero significativo di utenti in tale Stato membro o in più Stati membri o quando la sua attività è orientata verso di essi. Tali criteri possono essere utilizzati anche per l'articolo 18 CCC.

18 Se i fornitori stranieri sono attivi con un servizio nel mercato di uno Stato contraente, sono tenuti a comunicare i dati di inventario relativi agli utenti di tale servizio specifico nello Stato contraente in questione. È il caso, ad esempio, di chi si registra tramite l'indirizzo «.ch» del fornitore di servizi, ha indicato la Svizzera come suo domicilio o sede o ha utilizzato un indirizzo IP svizzero al momento della registrazione o in un momento successivo.

19 Anche all'interno degli organi del Consiglio d'Europa prevale l'opinione che sia possibile richiedere a un provider nazionale i dati di inventario memorizzati all'estero su un sistema di elaborazione dati (purché siano sotto il suo controllo, cfr. anche n. 11 segg.) e che le ordinanze possano essere indirizzate direttamente a un provider estero. Entrambe le posizioni sono in linea con il testo dell'articolo 18 CCC.

20 Anche il Tribunale federale si è già pronunciato su queste due questioni, formulando un giudizio differenziato: In una sentenza del 16 novembre 2016 ha stabilito che l'art. 18 CCC e l'art. 265 CPP consentono la produzione di tutti i dati, purché il destinatario della decisione possa effettivamente e legalmente accedervi («avoir un pouvoir de disposition, en fait et en droit, sur ces données»), quindi anche quelli conservati all'estero. Con sentenza del 14 gennaio 2015 ha invece dichiarato che, sulla base dell'art. 18 CCC, non è possibile rivolgersi direttamente a un provider straniero mediante un'ordinanza di produzione, anche se questi offre i propri servizi in Svizzera – l'art. 32 CCC disciplina quindi in modo esaustivo l'accesso transfrontaliero diretto e l'art. 25 cpv. 4, prima frase, CCC stabilisce che l'assistenza giudiziaria internazionale deve seguire gli strumenti usuali, a meno che la CCC non preveda «espressamente» una disposizione diversa. Il Tribunale federale ha comunque constatato che le filiali o le società partner di provider stranieri con sede in Svizzera che memorizzano dati in Svizzera (come ad esempio le server farm) sono soggette al diritto svizzero. Tuttavia, non ha esaminato né il testo dell'articolo 18 CCC né la relazione esplicativa o il messaggio, secondo cui il legislatore partiva proprio dal presupposto che il diritto interno fosse conforme ai requisiti dell'articolo 18 CCC. Non spetta al Tribunale federale prevalere sulla chiara volontà del legislatore. Inoltre, non si ravvisa alcuna violazione della sovranità quando i servizi sono offerti in Svizzera, poiché in questo caso sussiste proprio un sufficiente legame interno con la Svizzera. Una limitazione ai fornitori di servizi con sede in Svizzera renderebbe obsoleto l'art. 18 cpv. 1 lett. b CCC, poiché i provider con sede in Svizzera sono già contemplati dall'art. 18 cpv. 1 lett. a CCC (cfr. n. 9) e devono quindi fornire non solo i dati relativi all'esistenza, ma anche quelli relativi al contenuto e alla connessione. Pertanto, a ben vedere, anche l'art. 18 cpv. 1 lett. b CCC può essere utilizzato come base per la prassi corrente in Svizzera, che si fonda principalmente sull'art. 32 CCC, secondo cui le autorità di perseguimento penale rivolgono richieste dirette ai provider stranieri («richieste di informazioni»). Ciò vale anche in senso inverso: i provider svizzeri che offrono i loro servizi sui mercati esteri possono essere invitati direttamente dalle autorità di quei paesi a consegnare i dati e, poiché sono fondamentalmente soggetti all'obbligo di consegna, non sono punibili ai sensi dell'articolo 271 CP («Atto proibito a favore di uno Stato straniero») in caso di consegna dei dati.

21 Per quanto riguarda la notifica delle decisioni di divulgazione, i provider di grandi dimensioni mettono a disposizione i cosiddetti «portali di applicazione della legge», attraverso i quali anche le autorità di perseguimento penale svizzere possono registrarsi e inserire direttamente le loro richieste. Nel caso di fornitori di servizi più piccoli, le richieste di consegna possono essere trasmesse tramite la polizia (via Interpol) o, se accettato, anche direttamente (ad esempio via e-mail). L'art. 18 cpv. 1 lett. b CCC consente in tal senso di rinunciare alla via formale dell'assistenza giudiziaria e permette agli Stati contraenti di notificare tali decisioni di divulgazione direttamente ai provider di altri Stati contraenti. Ciò è ammissibile e opportuno, poiché l'obbligo di notificare la decisione di esibizione mediante assistenza giudiziaria vanificherebbe le agevolazioni che l'art. 18 cpv. 1 lett. b CCC intende proprio garantire. Solo la notifica diretta garantisce che le autorità di polizia possano accedere in modo efficiente e rapido ai dati necessari, senza dover ricorrere alla procedura di assistenza giudiziaria, spesso lunga e burocratica. È tuttavia un dato di fatto che la mancanza di cooperazione non può essere imposta direttamente, ma solo attraverso la procedura formale di assistenza giudiziaria mediante misure coercitive che vanno oltre l'art. 18 CCC.

22 Poiché la richiesta di consegna è una misura interna di assunzione di prove, non è determinante il diritto dello Stato contraente in cui ha sede il provider, bensì quello dello Stato contraente in cui il provider offre i propri servizi.

IV. Rinvio agli articoli 14–15 CCC (cpv. 2)

23 Nell'ambito dell'art. 15 CCC, gli Stati possono stabilire condizioni e misure di salvaguardia ed escludere dati dall'ambito di applicazione dell'art. 18 CCC. È giustificato, ad esempio, limitare la consegna dei dati relativi alle comunicazioni a determinati reati e richiedere a tal fine l'autorizzazione del tribunale competente a disporre misure coercitive (art. 273 CPP). È inoltre ammesso subordinare le decisioni di consegna a divieti di comunicazione, come previsto dal diritto svizzero (art. 73 cpv. 2 CPP).

V. Definizione dei dati di inventario (cpv. 3)

24 Sono considerati dati di inventario tutte le informazioni – che non sono qualificabili come dati di collegamento o di contenuto – memorizzate da un fornitore di servizi in relazione a un utente o a un abbonato dei suoi servizi. L'obiettivo principale della richiesta di dati di inventario è determinare l'identità dell'abbonato o dell'utente e individuare i servizi utilizzati dall'utente. Possono inoltre essere rilevanti anche informazioni commerciali quali dati di fatturazione e di pagamento, in particolare in relazione a frodi informatiche e altri reati contro il patrimonio.

25 Ai sensi dell'art. 18 cpv. 3 CCC, i dati di inventario comprendono tutte le informazioni relative (a) al tipo di servizio di comunicazione utilizzato, alle misure tecniche adottate a tal fine e alla durata del servizio; (b) all'identità dell'utente, il suo indirizzo postale o domiciliare, i numeri di telefono e altri numeri di accesso, nonché le informazioni relative alla fatturazione e al pagamento disponibili sulla base del contratto o dell'accordo relativo al servizio; nonché (c) altre informazioni relative all'ubicazione dell'impianto di comunicazione disponibili sulla base del contratto o dell'accordo relativo al servizio. In Svizzera, le informazioni che possono essere comunicate ai sensi dell'art. 22 cpv. 1 LSCPT sono concretizzate in particolare negli articoli 36-38 dell'ordinanza del 15 novembre 2017 concernente la sorveglianza della corrispondenza postale e del traffico delle telecomunicazioni («OSCT», RS 780.11). Sono considerati dati di inventario in particolare gli elementi di indirizzamento quali l'assegnazione di nomi, numeri di telefono e indirizzi dell'utente a un indirizzo IP noto, nonché i contratti originali e le copie dei documenti d'identità presentati al momento della conclusione del contratto e le informazioni tecniche relative alle telecomunicazioni.

26 I dati di inventario devono essere distinti dai dati di contenuto, che comprendono il contenuto della comunicazione o i file memorizzati, nonché dai dati di connessione o di traffico, che sono generati in relazione a una comunicazione e dai quali è possibile determinare l'origine, la destinazione, l'itinerario, l'ora, la data, l'entità o la durata della comunicazione (art. 1 lett. d CCC). Il Tribunale federale distingue i dati di inventario dai dati marginali in base al criterio di demarcazione secondo cui, se le autorità di perseguimento penale sono già a conoscenza di un collegamento Internet o di un indirizzo e-mail che deve solo essere attribuito a una persona specifica, si tratta di una richiesta di dati di inventario. Se invece le autorità di perseguimento penale sono a conoscenza solo di attività di comunicazione Internet punibili e gli indirizzi IP assegnati e i clienti registrati devono essere determinati solo tramite i dati marginali di connessione della comunicazione in questione, si tratta di una raccolta retroattiva (soggetta ad autorizzazione) di dati marginali ai sensi dell'art. 273 CPP. Secondo la giurisprudenza, ciò vale in linea di principio anche per la richiesta di consegna di una cronologia IP. Correttamente, la distinzione va operata a seconda che si tratti di stabilire chi ha comunicato con chi e quando (dati di connessione ai sensi dell'art. 273 CPP) o piuttosto chi ha utilizzato un determinato servizio in un momento noto (dati di inventario ai sensi dell'art. 22 cpv. 1 LSCPT). Gli indirizzi IP di registrazione per un account già noto devono quindi essere considerati chiaramente come dati di inventario e non come dati di traffico, poiché servono esclusivamente all'identificazione di un partecipante e non hanno alcun riferimento alla successiva comunicazione tramite l'account. Anche altri «access data» (ad es. la cronologia IP degli accessi a un servizio non destinato alla comunicazione, come l'accesso a un portafoglio crittografico o a un cloud) non possono essere considerati dati marginali di connessione. Questi dati non riguardano né direttamente né indirettamente la comunicazione tra persone e la sua sorveglianza. In tali casi, gli indirizzi IP sono piuttosto paragonabili a tracce lasciate sulla scena del crimine, simili a un'impronta digitale o al DNA, e non costituiscono dati accessori nel contesto della comunicazione umana, ma piuttosto dati di inventario. La sentenza del Tribunale federale sulla qualificazione delle cronologie IP come dati di traffico ai sensi dell'art. 273 CPP è in tal senso troppo poco differenziata.

VI. Presupposti per la liceità della raccolta dei dati secondo il diritto processuale penale svizzero

27 Per i dati di inventario ai sensi dell'art. 18 cpv. 3 CCC – ossia in particolare le indicazioni (anche retroattive) relative a chi è o era registrato come titolare o destinatario della fattura del collegamento presso i fornitori di servizi soggetti al diritto svizzero (cfr. n. 24 segg.) – può essere presentata una semplice richiesta ai sensi dell'art. 22 cpv. 1 LSCPT presso l'autorità di sorveglianza della corrispondenza postale e della telecomunicazione (servizio ÜPF). Tali informazioni possono essere ottenute anche mediante edizione (art. 265 CPP), in particolare se il provider estero che offre i propri servizi ai sensi dell'art. 18 cpv. 1 lett. b CCC in Svizzera non è soggetto alla LSCPT. La richiesta di informazioni tramite il servizio PTIP costituisce solo una norma di procedura; né il CPP né la LSCPT o la relativa ordinanza prevedono che le informazioni non comunicate tramite il servizio PTIP siano inutilizzabili. Una richiesta di dati di inventario presuppone il sospetto che sia stato commesso un reato (delitto, contravvenzione o infrazione) tramite Internet (art. 22 cpv. 1 LSCPT), la potenziale rilevanza per l'indagine o l'ammissibilità come prova delle informazioni richieste, nonché la proporzionalità. Contro una consultazione di dati di inventario non è ammesso alcun ricorso ordinario; in particolare, la sigillatura (art. 248 CPP) non è pertinente, poiché non è riconoscibile a priori in che misura i dati di inventario richiesti potrebbero essere soggetti a un divieto di sequestro ai sensi dell'art. 264 CPP. I provider sono soggetti all'obbligo di fornire informazioni; se si rifiutano, può essere inflitta un'ammenda d'ordine o un'ammenda ai sensi dell'articolo 292 CP (purché ne siano stati informati in precedenza) oppure possono essere adottate misure coercitive (analogamente all'articolo 265 cpv. 3 e 4 CPP). Per i provider stranieri che offrono i loro servizi in Svizzera, la minaccia di una pena ai sensi dell'art. 292 CP dovrebbe essere ammessa, ma le misure coercitive per l'esecuzione della richiesta di dati relativi al traffico dovrebbero essere richieste allo Stato competente in via di assistenza giudiziaria.

28 Per i dati relativi al contenuto e alla connessione, che possono essere richiesti ai sensi dell'art. 18 cpv. 1 lett. a CPP, occorre poi operare una distinzione: i dati relativi al contenuto che possono essere rilevanti ai fini probatori devono essere consegnati ai sensi dell'art. 265 CPP, purché siano memorizzati («in storage») al momento dell'ordinanza e non si trovino ancora in fase di trasmissione («in traffic»). Di rilevanza pratica sono ad esempio i dati relativi al contenuto dei gestori di webmail, come l'account di posta elettronica di un indirizzo «@bluewin.ch» presso Swisscom. Il presupposto per la consegna dei dati relativi al contenuto è un sospetto fondato di un reato qualsiasi, la potenziale rilevanza probatoria o la possibile rilevanza delle registrazioni consegnate per il procedimento penale, nonché il rispetto del principio di proporzionalità. La decisione di divulgazione può essere accompagnata da un divieto di comunicazione ai sensi dell'art. 73 cpv. 2 CPP, il che significa che il gestore del servizio non può informare il titolare dell'account fino a nuovo ordine. Contro un'ordinanza di produzione è possibile ricorrere alla sigillatura (art. 248 CPP) da parte dei titolari e delle altre persone aventi diritto, sempre che possano far valere propri interessi al segreto. Il provider ha formalmente il diritto alla sigillatura, ma non può richiederla in vece dei propri clienti e difficilmente potrà mai far valere propri divieti di sequestro ai sensi dell'art. 264 CPP. Per i dati di collegamento o marginali (cfr. n. 26), il pubblico ministero non deve disporre la produzione, bensì emanare un'ordinanza ai sensi dell'art. 273 CPP, soggetta a requisiti più severi: (1) deve sussistere un forte sospetto di un crimine o di un delitto; (2) la gravità del reato deve giustificare la sorveglianza; (3) gli atti d'indagine compiuti finora devono essere rimasti infruttuosi o le indagini sarebbero altrimenti senza prospettive o sarebbero rese eccessivamente difficili (art. 273 cpv. 1 in combinato disposto con l'art. 269 cpv. 1 CPP). L'ordinanza deve inoltre essere approvata dal tribunale delle misure di coercizione (art. 274 CPP), altrimenti le prove raccolte sono assolutamente inutilizzabili (art. 277 cpv. 2 CPP). L'approvazione del tribunale delle misure coercitive può essere impugnata dalla persona sorvegliata, eventualmente anche dal provider, con ricorso ai sensi dell'art. 393 segg. CPP (art. 279 cpv. 3 CPP).

Bibliografia

Betschmann Simon, Randdatenerhebung im Fernmeldeverkehr gemäss Art. 273 StPO, AJP 2019, S. 358 ff.

Donatsch Andreas/Lieber Viktor/Summers Sarah/Wohlers Wolfgang (Hrsg.), Schulthess Kommentar zur Schweizerischen Strafprozessordnung, 3. Aufl., Zürich 2020 (zit. SK-Bearbeiter/in, Art. … StPO N. …).

Graf Damian K., Corona- und Crypto-Leaks – die Strafverfolgung bewegt sich nicht im rechtsfreien Raum, Gastkommentar, NZZ vom 17.2.2023, abrufbar unter https://www.nzz.ch/meinung/was-darf-die-staatsanwaltschaft-die-corona-und-crypto-leaks-ld.1725348, besucht am 31.3.2025 (zit. Crypto-Leaks).

Graf Damian K., Kommentierung zu Art. 32 CCC, in: Graf Damian K. (Hrsg.), Onlinekommentar, Übereinkommen über die Cyberkriminalität (Cybercrime Convention), abrufbar unter https://onlinekommentar.ch/de/kommentare/ccc32, besucht am 31.3.2025 (zit. OK).

Forster Marc, Marksteine der Bundesgerichtspraxis zur strafprozessualen Überwachung des digitalen Fernmeldeverkehrs, in: Festgabe Schweizerischer Juristentag 2015, Zürich 2015, S. 615 ff.

Hansjakob Thomas, Die Erhebung von Daten des Internetverkehrs – Bemerkungen zu BGer 6B_656/2015 vom 16.12.2016, forumpoenale 4 (2017), 252 ff. (zit. Erhebung).

Hansjakob Thomas, Überwachungsrecht der Schweiz, Kommentar zu Art. 269 ff. StPO und zum BÜPF, Zürich/Basel/Genf 2017 (zit. Überwachungsrecht).

Niggli Marcel Alexander/Heer Marianne/Wiprächtiger Hans (Hrsg.), Basler Kommentar zur Strafprozessordnung/Jugendstrafprozessordnung, 3. Aufl., Basel 2023 (zit. BSK-Bearbeiter/in, Art. … StPO N. …).

Roth Simon, Die grenzüberschreitende Edition von IP-Adressen und Bestandesdaten im Strafprozess, Direkter Zugriff oder Rechtshilfe?, Jusletter vom 17.8.2015.

Schweingruber Sandra, Cybercrime-Strafverfolgung im Konflikt mit dem Territorialitätsprinzip, Jusletter vom 10. November 2014.

Seger Alexander, «Grenzüberschreitender» Zugriff auf Daten im Rahmen der Budapest Konvention über Computerkriminalität, Praxisbericht zum Stand der Arbeiten des Europarats, Zeitschrift für öffentliches Recht 73 (2018), S. 71 ff.

Walder Stephan, Grenzüberschreitende Datenerhebung: Ist und Soll, Kriminalistik 8-9/2019, S. 540 ff.

I materiali

Botschaft über die Genehmigung und die Umsetzung des Übereinkommens des Europarates über die Cyberkriminalität vom 18.6.2010, BBl 2010 4697 ff., abrufbar unter https://www.fedlex.admin.ch/eli/fga/2010/813/de, besucht am 31.3.2025.

Botschaft zum Bundesgesetz betreffend die Überwachung des Post- und Fernmeldeverkehrs (BÜPF) vom 27.2.2013, BBl 2013 2683 ff., abrufbar unter https://www.fedlex.admin.ch/eli/fga/2013/512/de, besucht am 31.3.2025.

Europarat, Cybercrime Convention Committee (T-CY), The Budapest Convention on Cybercrime: benefits and impact in practice, Strassburg, 13.7.2020, abrufbar unter https://rm.coe.int/t-cy-2020-16-bc-benefits-rep-provisional/16809ef6ac, besucht am 31.3.2025 (zit. T-CY, Benefits).

Europarat, Cybercrime Convention Committee (T-CY), T-CY Guidance Note # 10, Production orders for subscriber information (Article 18 Budapest Convention), Strassburg, 28.2.2017, abrufbar unter https://rm.coe.int/16806f943e, besucht am 31.3.2025 (zit. T-CY Guidance Note # 10).

Europarat, Cybercrime Convention Committee (T-CY), T-CY Cloud Evidence Group, Criminal justice access to electronic evidence in the cloud: Recommendations for consideration by the T-CY, Final report, Strassburg, 16.9.2016, abrufbar unter https://rm.coe.int/16806a495e, besucht am 31.3.2025 (zit. T-CY, Cloud).

Europarat, Explanatory Report to the Convention on Cybercrime, Budapest, 23.11.2001, abrufbar unter https://rm.coe.int/16800cce5b, besucht am 31.3.2025 (zit. Explanatory Report).