-
- Art. 5a Cost.
- Art. 6 Cost.
- Art. 10 Cost.
- Art. 16 Cost.
- Art. 17 Cost.
- Art. 20 Cost.
- Art. 22 Cost.
- Art. 29a Cost.
- Art. 30 Cost.
- Art. 32 Cost.
- Art. 42 Cost.
- Art. 43 Cost.
- Art. 43a Cost.
- Art. 55 Cost.
- Art. 56 Cost.
- Art. 68 Cost.
- Art. 60 Cost.
- Art. 75b Cost.
- Art. 77 Cost.
- Art. 96 cpv. 2 lett. a Cost.
- Art. 110 Cost.
- Art. 117a Cost.
- Art. 118 Cost.
- Art. 123b Cost.
- Art. 136 Cost.
- Art. 166 Cost.
-
- Art. 11 CO
- Art. 12 CO
- Art. 50 CO
- Art. 51 CO
- Art. 84 CO
- Art. 143 CO
- Art. 144 CO
- Art. 145 CO
- Art. 146 CO
- Art. 147 CO
- Art. 148 CO
- Art. 149 CO
- Art. 150 CO
- Art. 701 CO
- Art. 715 CO
- Art. 715a CO
- Art. 734f CO
- Art. 785 CO
- Art. 786 CO
- Art. 787 CO
- Art. 788 CO
- Art. 808c CO
- Disposizioni transitorie per la revisione del diritto azionario del 19 giugno 2020
-
- Art. 2 LDP
- Art. 3 LDP
- Art. 4 LDP
- Art. 6 PRA
- Art. 10 LDP
- Art. 11 LDP
- Art. 12 LDP
- Art. 13 LDP
- Art. 14 LDP
- Art. 15 LDP
- Art. 16 LDP
- Art. 17 LDP
- Art. 19 LDP
- Art. 20 LDP
- Art. 21 LDP
- Art. 22 LDP
- Art. 23 LDP
- Art. 24 LDP
- Art. 25 LDP
- Art. 26 LDP
- Art. 10a LDP
- Art. 27 LDP
- Art. 29 LDP
- Art. 30 LDP
- Art. 31 LDP
- Art. 32 LDP
- Art. 32a LDP
- Art. 33 LDP
- Art. 34 LDP
- Art. 35 LDP
- Art. 36 LDP
- Art. 37 LDP
- Art. 38 LDP
- Art. 39 LDP
- Art. 40 LDP
- Art. 41 LDP
- Art. 42 LDP
- Art. 43 LDP
- Art. 44 LDP
- Art. 45 LDP
- Art. 46 LDP
- Art. 47 LDP
- Art. 48 LDP
- Art. 49 LDP
- Art. 50 LDP
- Art. 51 LDP
- Art. 52 LDP
- Art. 53 LDP
- Art. 54 LDP
- Art. 55 LDP
- Art. 56 LDP
- Art. 57 LDP
- Art. 58 LDP
- Art. 59a LDP
- Art. 59b LDP
- Art. 59c LDP
- Art. 62 LDP
- Art. 63 LDP
- Art. 67 LDP
- Art. 67a LDP
- Art. 67b LDP
- Art. 75 LDP
- Art. 75a LDP
- Art. 76 LDP
- Art. 76a LDP
- Art. 90 LDP
-
- Vorb. zu Art. 1 LPD
- Art. 1 LPD
- Art. 2 LPD
- Art. 3 LPD
- Art. 5 lit. f und g LPD
- Art. 6 cpv. 6 e 7 LPD
- Art. 7 LPD
- Art. 10 LPD
- Art. 11 LPD
- Art. 12 LPD
- Art. 14 LPD
- Art. 15 LPD
- Art. 19 LPD
- Art. 20 LPD
- Art. 22 LPD
- Art. 23 LPD
- Art. 25 LPD
- Art. 26 LPD
- Art. 27 LPD
- Art. 31 cpv. 2 lit. e LPD
- Art. 33 LPD
- Art. 34 LPD
- Art. 35 LPD
- Art. 38 LPD
- Art. 39 LPD
- Art. 40 LPD
- Art. 41 LPD
- Art. 42 LPD
- Art. 43 LPD
- Art. 44 LPD
- Art. 44a LPD
- Art. 45 LPD
- Art. 46 LPD
- Art. 47 LPD
- Art. 47a LPD
- Art. 48 LPD
- Art. 49 LPD
- Art. 50 LPD
- Art. 51 LPD
- Art. 54 LPD
- Art. 57 LPD
- Art. 58 LPD
- Art. 60 LPD
- Art. 61 LPD
- Art. 62 LPD
- Art. 63 LPD
- Art. 64 LPD
- Art. 65 LPD
- Art. 66 LPD
- Art. 67 LPD
- Art. 69 LPD
- Art. 72 LPD
- Art. 72a LPD
-
- Art. 2 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 3 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 4 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 5 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 6 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 7 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 8 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 9 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 11 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 12 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 25 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 29 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 32 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 33 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 34 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
COSTITUZIONE FEDERALE
CODICE DELLE OBBLIGAZIONI
LEGGE FEDERALE SUL DIRITTO INTERNAZIONALE PRIVATO
CONVENZIONE DI LUGANO
CODICE DI PROCEDURA PENALE
CODICE DI PROCEDURA CIVILE
LEGGE FEDERALE SUI DIRITTI POLITICI
CODICE CIVILE
LEGGE FEDERALE SUI CARTELLI E ALTRE LIMITAZIONI DELLA CONCORRENZA
LEGGE FEDERALE SULL’ASSISTENZA INTERNAZIONALE IN MATERIA PENALE
LEGGE FEDERALE SULLA PROTEZIONE DEI DATI
LEGGE FEDERALE SULLA ESECUZIONE E SUL FALLIMENTO
CODICE PENALE SVIZZERO
CYBERCRIME CONVENTION
ORDINANZA SUL REGISTRO DI COMMERCIO
- I. Introduzione
- II. Condizione di doppia incriminazione (art. 29 cpv. 3 e 4 CPC), esclusione del perseguimento politico (art. 29 cpv. 5 lett. a CPC) e violazione dell'ordine pubblico (art. 29 cpv. 5 lett. b CPC)
- III. Sicurezza e raccolta di dati all'estero
- IV. Esecuzione delle richieste di sequestro da parte delle autorità svizzere
- Bibliografia
- I Materiali
I. Introduzione
A. Perseguimento multinazionale e collaborativo della criminalità informatica
1 I criminali utilizzano Internet per commettere reati per due motivi principali. Da un lato, per rimanere anonimi. Dall'altro, per scalare il loro modello di business criminale in modo economicamente vantaggioso, cioè per raggiungere un gran numero di potenziali vittime (in particolare le frodi informatiche). Inoltre, vi sono quei reati informatici in senso stretto che sono inconcepibili nel mondo analogico (ad esempio, hacking, attacchi DDOS, ecc.).
2 In linea con la natura di Internet come rete di comunicazione globale, la criminalità informatica ha sempre luogo a livello internazionale. Di norma, i gruppi criminali organizzati operano in tutto il mondo, o almeno - dal punto di vista svizzero - in tutta Europa, e in alcuni casi solo in specifiche regioni linguistiche (ad esempio i Paesi di lingua tedesca). Ciò significa che nessuno Stato può combattere la criminalità informatica da solo. Le indagini informatiche devono quasi sempre essere condotte a livello internazionale o presentare aspetti transfrontalieri. Le indagini più ampie e complesse vengono definite procedimenti penali internazionali sulla base della divisione dei compiti. Il contrasto con il procedimento penale (svizzero) non potrebbe essere più chiaro. A causa della responsabilità primaria dei Cantoni nel perseguimento penale, in questo Paese si perdono ancora molte risorse per chiarire la giurisdizione nazionale. Un quadro nazionale della situazione dei fenomeni di criminalità informatica esiste al massimo in forma rudimentale.
3 Chi indaga sulla criminalità informatica al di fuori dell'ambito dei reati minori non può generalmente evitare l'art. 29 del Codice penale (richiesta di conservazione / sequestro immediato dei dati).
B. Importanza pratica e articoli correlati
4 L'art. 29 CCC, insieme all'art. 32 lett. b CCC, è una delle disposizioni più rilevanti dal punto di vista pratico della Convenzione sulla criminalità informatica, almeno dal punto di vista delle autorità di contrasto.
5 La richiesta di sequestro conservativo mira a risolvere il problema della volatilità dei dati elettronici, spesso conservati all'estero, ma i procedimenti di assistenza legale sono sempre molto lunghi. Dal punto di vista delle forze dell'ordine, questa situazione è aggravata dal fatto che molti Paesi non riconoscono la cosiddetta "conservazione dei dati", il che può portare alla perdita di dati rilevanti per le indagini prima ancora che possa essere presentata una richiesta di assistenza giudiziaria. Le richieste di conservazione hanno quindi lo scopo di consentire l'acquisizione di dati rilevanti per l'azione penale all'estero in modo rapido e semplice, in modo che lo Stato richiedente abbia il tempo di renderli disponibili attraverso i canali dell'assistenza giudiziaria.
6 A differenza della richiesta di informazioni ai sensi dell'art. 32 lett. b CPC, che può essere effettuata con una soglia bassa e senza svantaggi o costi per lo Stato richiedente, lo Stato richiedente, che invoca l'art. 29 CPC, è obbligato a richiedere effettivamente i dati protetti all'estero in un secondo momento tramite una richiesta di assistenza giudiziaria. La richiesta di assistenza giudiziaria comporta un certo impegno per la Procura richiedente, che quindi non farà richieste di conservazione a cuor leggero.
7 La questione della natura giuridica di una richiesta di conservazione si pone più volte. Ad esempio, se dopo la presentazione di una denuncia penale non è ancora chiaro se i sospetti iniziali siano sufficienti per avviare un procedimento penale (art. 309 cpv. 1 lett. a CPP). Solo in questo caso sono possibili e giustificate misure coercitive da parte del pubblico ministero. Se la richiesta di conservazione non fosse una misura coercitiva, sarebbe possibile per la polizia presentare una richiesta di conservazione di propria iniziativa, il che sarebbe positivo in termini di intenzione, perché più velocemente viene effettuata una conservazione dei dati, più è probabile che abbia successo. La questione della natura giuridica della richiesta non trova risposta nella Convenzione sulla criminalità informatica, ma è disciplinata dalla legge dello Stato richiesto (art. 25 cpv. 4 CCC). La risposta può quindi variare. In Svizzera, si sostiene che la polizia non può, in linea di principio, presentare una richiesta di conservazione senza il consenso del pubblico ministero, poiché quest'ultimo sarebbe obbligato a presentare una richiesta internazionale di assistenza giudiziaria in un secondo momento (possibile solo se è stato aperto un procedimento penale). La richiesta di conservazione immediata dei dati comporta anche un sequestro temporaneo delle registrazioni, che costituirebbe una misura coercitiva nei procedimenti nazionali. Di fatto, una richiesta di conservazione deve essere trattata alla stregua di una misura coercitiva in un procedimento penale. Di conseguenza, una richiesta di conservazione deve essere ordinata dall'ufficio del pubblico ministero, la cui esecuzione può essere delegata alla polizia. Nei casi nazionali, tuttavia, il sequestro temporaneo da parte della polizia è consentito in via eccezionale se sussiste un "pericolo imminente" e il pubblico ministero non può essere informato in tempo utile (nemmeno verbalmente) (art. 263 cpv. 3 CPP). In questi casi eccezionali, la polizia può anche formulare autonomamente richieste ai sensi dell'art. 29 del Codice penale.
8 Va inoltre menzionato l'art. 16 della Convenzione, che impone agli Stati membri di creare le condizioni legislative e organizzative necessarie affinché le richieste di conservazione provenienti da Stati esteri possano essere soddisfatte ai sensi dell'art. 29 della Convenzione. Nel corso dell'attuazione della Convenzione, la Svizzera ha deciso di non emanare alcun nuovo diritto processuale penale in materia (cfr. infra, n. 32).
II. Condizione di doppia incriminazione (art. 29 cpv. 3 e 4 CPC), esclusione del perseguimento politico (art. 29 cpv. 5 lett. a CPC) e violazione dell'ordine pubblico (art. 29 cpv. 5 lett. b CPC)
9 La Convenzione sulla criminalità informatica si sforza di promuovere il più possibile la cooperazione internazionale nel perseguimento dei reati informatici. Per questo motivo, la Convenzione stessa non prevede il requisito della doppia incriminazione, ma lascia agli Stati contraenti la facoltà di fornire assistenza se solo lo Stato richiedente incrimina un reato corrispondente (art. 29 cpv. 3 CCC). Gli Stati contraenti sono liberi di fare una riserva al momento della ratifica sul fatto che la doppia incriminazione è un requisito essenziale. In questo caso, lo Stato richiesto può rifiutare una richiesta di conservazione se è già chiaro a questo punto che i dati richiesti per la conservazione non possono essere rilasciati attraverso l'assistenza giudiziaria (art. 29 cpv. 4 CPC). Dei 70 Stati che hanno ratificato la Convenzione, 23 hanno espresso una riserva corrispondente, tra cui la Svizzera e gli Stati Uniti d'America. Poiché gli Stati Uniti e i loro Stati federati non hanno un reato penale analogo ai nostri reati di diffamazione, l'assistenza legale in questo ambito è sempre esclusa e di conseguenza non viene accettata alcuna richiesta di sequestro conservativo.
10 A prescindere dalla questione della doppia incriminazione, la Convenzione sulla criminalità informatica esclude la richiesta di sequestro conservativo per i procedimenti penali a sfondo politico (persecuzione) (art. 29 cpv. 5 lett. a CCC), il che dovrebbe essere evidente dal punto di vista svizzero. Lo stesso vale se la parte contraente richiesta ritiene che l'esecuzione della richiesta possa pregiudicare la sua sovranità, la sua sicurezza, il suo ordine pubblico o altri interessi essenziali (art. 29 cpv. 5 lett. b CPC).
III. Sicurezza e raccolta di dati all'estero
11 Dal punto di vista della Svizzera, l'art. 29 CPC è particolarmente rilevante per la raccolta di dati informatici all'estero (cfr. infra, n. 12 e segg.). Tuttavia, l'articolo si applica anche alle richieste di Stati esteri alla Svizzera (cfr. infra, n. 31 e segg.).
A. Presentazione di una richiesta di sequestro conservativo
12 Il testo stesso della Convenzione fornisce istruzioni piuttosto dettagliate su come formulare una richiesta di conservazione. Sono esplicitamente menzionati i seguenti requisiti:
1. L'autorità richiedente (lett. a.)
13 In pratica, si tratta di solito di un ufficio del pubblico ministero (cfr. anche il precedente n. 7). Dal punto di vista della Convenzione, tuttavia, nulla impedisce alla polizia di presentare una richiesta di sequestro in stretta consultazione con il pubblico ministero (che dovrà poi presentare la richiesta di assistenza giudiziaria). Dal momento che l'obiettivo è quello di mettere al sicuro i dati volatili in tempo utile, questa soluzione potrebbe anche essere sensata. L'attuazione della richiesta di conservazione o la sua qualificazione giuridica dipendono dal diritto nazionale dello Stato richiesto (art. 25 cpv. 4 CPC). In molti Stati richiesti, l'attuazione della richiesta di conservazione (sequestro dei dati nel luogo di archiviazione) sarà qualificata come misura coercitiva, il che significa che spesso è necessaria una richiesta - o almeno una (co)firma - da parte di un pubblico ministero. Nel complesso, la gestione è molto incoerente.
2. Il reato oggetto dell'indagine o del procedimento penale e una breve esposizione dei fatti (lett. b.)
14 Il punto è che lo Stato richiesto deve essere in grado di riconoscere se sussiste la doppia incriminazione (cfr. sopra, n. 9) e se la richiesta, che può anche comportare un notevole sforzo, è proporzionata (rapporto scopo/mezzi). Per i fenomeni comuni, tuttavia, una descrizione di due o tre frasi è sufficiente a soddisfare il requisito.
3. I dati informatici memorizzati da proteggere e il collegamento tra questi e il reato (lett. c).
15 È necessario motivare quali dati specifici devono essere protetti (ad es. dati di registrazione, file di log/dati di bordo o anche dati di contenuto, se possibile e ragionevolmente indicando anche i formati dei file). In particolare, però, occorre motivare perché questi dati hanno effettivamente un collegamento con i fatti che danno origine al sospetto di reato. Questo criterio è simile alla cosiddetta rilevanza potenziale delle prove nel contesto di una perquisizione nazionale ai sensi dell'art. 246 CPP (secondo cui "si presume" che i registri in questione contengano informazioni che possono essere sequestrate); in questo caso, i dati devono solo essere "potenzialmente rilevanti" o non apparire "palesemente inadatti". Lespedizioni di pesca sono disapprovate. Il criterio è preso molto sul serio ed è richiesta un'attenta giustificazione. Va ricordato che in altri Paesi l'autorità di sequestrare e/o consegnare i dati non spetta all'ufficio del pubblico ministero, ma deve essere ordinata da un tribunale per i provvedimenti obbligatori. Ad esempio, nei rapporti rilevanti per la pratica con gli Stati Uniti, il Dipartimento di Giustizia deve rivolgersi a un tribunale per ordinare la consegna dei dati di un fornitore di servizi mediante un mandato di perquisizione. A tal fine è necessaria una presentazione motivata e (a seconda delle circostanze) comprovata della connessione del reato con i documenti essenziali (in inglese). Il livello di fondatezza richiesto va ben oltre quello a cui sono abituati i pubblici ministeri svizzeri nell'ambito del diritto di procedura penale nazionale. In pratica, le autorità statunitensi consultano almeno l'autorità richiedente se il livello di fondatezza della richiesta non è ancora sufficiente e offrono la possibilità di motivare la richiesta di conservazione in modo più dettagliato.
4. Tutte le informazioni disponibili per identificare il custode dei dati informatici conservati o l'ubicazione del sistema informatico (lett. d.)
16 Di norma, questo dovrebbe riferirsi semplicemente alla società a cui è assegnato lo specifico elemento di indirizzamento. Ad esempio, Google per gli indirizzi e-mail @gmail, Meta (per Facebook, Instagram e WhatsApp) ecc.
5. La necessità della conservazione (lett. e.) e l'intenzione della parte contraente di presentare una richiesta di assistenza giudiziaria (lett. f.).
17 La richiesta deve indicare esplicitamente che la richiesta è necessaria (in termini di sussidiarietà e proporzionalità) e deve essere confermata la volontà dell'autorità richiedente di dare seguito alla richiesta di conservazione mediante una richiesta di assistenza giudiziaria.
B. Inoltro e trattamento della richiesta di conservazione
18 A prescindere dalla formulazione della Convenzione sulla criminalità informatica, nella pratica esistono due modi in cui una richiesta di conservazione può o deve essere presentata. La via tipica è quella della rete 24/7, conformemente al testo della Convenzione (art. 35 CCC). Ogni Stato firmatario si è impegnato a gestire un punto di contatto pronto a ricevere le richieste di conservazione 24 ore su 24, sette giorni su sette. In Svizzera, questo ruolo è assunto dall'Ufficio federale di giustizia insieme all'Ufficio federale di polizia (fedpol).
19 Per ragioni di efficienza (evitare interruzioni dei media, automazione), tuttavia, molti grandi fornitori di servizi di comunicazione basati su Internet hanno iniziato a gestire i propri Law Enforcement Request Systems (LERS), che le autorità preposte all'applicazione della legge possono utilizzare per registrare direttamente le loro richieste in modo standardizzato e seguirne l'avanzamento senza dover coinvolgere altre autorità statali (ad esempio, l'Ufficio federale di giustizia / il Dipartimento di giustizia). È sensato, ed è stato implementato in alcuni cantoni, che un ufficio centrale presso la polizia o la procura gestisca l'accesso a tutti i portali LERS disponibili e presenti e gestisca le richieste di conservazione e di informazioni per conto della direzione del caso. In questo modo, l'esperienza acquisita nel trattare con i vari fornitori di servizi può essere raccolta e analizzata a livello centrale e i case manager hanno contatti competenti per discutere in anticipo le prospettive di successo delle relative richieste.
20 In alternativa, le autorità di polizia possono inviare le loro richieste all'Ufficio federale di polizia (fedpol) via e-mail (crittografata e autenticata). Qui le richieste vengono verificate, se necessario integrate con domande, tradotte e inoltrate all'autorità competente all'estero. L'inglese è generalmente consigliato come lingua per le richieste di conservazione in tutto il mondo. Al centro di coordinamento fedpol si può anche chiedere se altre autorità di polizia svizzere hanno già presentato la stessa richiesta di conservazione, il che può fornire informazioni preziose per quanto riguarda il coordinamento delle indagini in corso (o la possibilità di presentare una richiesta di giurisdizione all'altro Cantone).
C. Differenza dalla richiesta di informazioni
21 Qual è la differenza tra una richiesta di sequestro conservativo e una richiesta di informazioni ai sensi dell'art. 32 lett. b CPC? A questo proposito, occorre innanzitutto fare riferimento al commento all'art. 32 CPC. In breve, la richiesta di informazioni comporta la divulgazione volontaria di dati a uno Stato partner del CCC direttamente da parte del fornitore di servizi. In pratica, la "volontarietà" si riferisce al fornitore di servizi e solo indirettamente all'utente/cliente del servizio. Gli utenti stabiliscono regolarmente nei loro termini di utilizzo che i dati possono essere trasmessi alle autorità di polizia; in casi specifici, i clienti interessati non vengono più interpellati. La volontarietà degli utenti è relativa, in quanto molti servizi non possono essere utilizzati senza il consenso alle condizioni d'uso (e quindi alla trasmissione dei dati alle forze dell'ordine).
22 Sebbene la Convenzione sulla criminalità informatica non riconosca questa restrizione, secondo il diritto nazionale degli Stati partner interessati, una richiesta di informazioni può generalmente includere solo i dati di registrazione (anche "informazioni sull'abbonato") ai sensi dell'art. 18 cpv. 3 lett. b del Codice penale (ad esempio nome, data di nascita, indirizzo, nome utente, indirizzo di fatturazione, indirizzi e-mail, indirizzo IP al momento della registrazione) e i dati marginali ("dati sul traffico", ad esempio la cronologia IP), ma generalmente nessun dato sul contenuto. Il termine "dati sul contenuto" si riferisce al contenuto di una comunicazione, ad esempio un messaggio, un post, file multimediali, ecc. I dati di registrazione sono di gran lunga i più frequentemente chiariti. Le richieste di informazioni e di conservazione sono spesso presentate contemporaneamente, poiché non si sa quali dati il fornitore di servizi fornirà volontariamente.
23 In pratica, le richieste di informazioni vengono effettuate a una soglia molto più bassa, perché ciò non obbliga la Procura a presentare una richiesta di assistenza giudiziaria. Tale richiesta non è necessaria nemmeno perché la divulgazione dei dati è volontaria e la risposta viene fornita direttamente dal fornitore di servizi. La disponibilità dei fornitori di servizi a collaborare dipende in larga misura dal tipo di reato. I servizi sono regolarmente particolarmente disposti a collaborare in caso di reati sessuali, soprattutto quelli che coinvolgono i minori. I reati contro la proprietà sono più problematici. All'estremità inferiore della scala ci sono i reati di diffamazione, dove la cooperazione fallisce regolarmente a causa del requisito della doppia incriminazione (si veda sopra, n. 9 e n. 14).
D. Procedimenti penali tramite rogatoria
24 Come già detto più volte ed esplicitamente indicato nel testo della Convenzione, con la richiesta di sequestro il pubblico ministero si impegna a richiedere i dati sequestrati attraverso l'assistenza giudiziaria. Non mancano certo i casi in cui successivamente si scopre che i dati inizialmente sequestrati sono diventati obsoleti. Inoltre, non vi sono conseguenze dirette della mancata richiesta di assistenza legale reciproca (ad esempio, non vi sono implicazioni di costo). Tuttavia, in generale ci si aspetta che le procure rispettino questo obbligo previsto dal diritto della Convenzione, per non mettere a repentaglio la buona cooperazione tra gli Stati della Convenzione.
25 I dati sono congelati per almeno 60 giorni (cfr. art. 29 cpv. 7 CPC). La durata specifica è specificata nella conferma scritta della richiesta di conservazione e di solito è più lunga. Di solito l'autorità richiedente può anche richiedere una proroga del termine. La richiesta di assistenza legale deve essere presentata formalmente entro la scadenza.
E. Migliori prassi per le rogatorie verso gli USA
26 Data la loro grande importanza pratica, di seguito vengono illustrate le migliori pratiche per le rogatorie negli Stati Uniti. Le spiegazioni che seguono si basano sulla "Practical Guide for Requesting Electronic Evidence Across Borders", pubblicata da UNODC, CTED e IAP, nonché sulla nostra esperienza personale.
27 Le richieste di assistenza giudiziaria rivolte alle autorità straniere in casi di criminalità informatica devono contenere le seguenti informazioni:
Lingua della richiesta: le richieste di assistenza legale reciproca dovrebbero idealmente essere inserite direttamente in inglese, altrimenti dovrebbero essere tradotte;
Fatti del caso: devono essere descritti brevemente ma in modo essenziale, indicando il luogo del reato (o del successo), l'ora esatta del reato e le modalità con cui è stato commesso;
Eventuale modus operandi: deve essere descritto in modo dettagliato;
Descrizione giuridica del reato, compresa la formulazione degli articoli di legge applicabili;
Motivi della richiesta, in particolare la connessione tra il procedimento in corso e le misure richieste;
Le prove ricercate o le azioni richieste devono essere descritte in dettaglio (ad esempio, consegna degli estratti conto relativi al conto X per il periodo da A a B, ottenimento di documenti dal provider Y da cui si possano vedere i dati di registrazione e i file di log dell'ID remoto 12345678 per il periodo tra A e B, ecc;)
Spiegazioni relative a qualsiasi richiesta di conservazione già presentata, per cui tutti i numeri di riferimento comunicati a seguito della richiesta di conservazione devono essere elencati nella richiesta (CCIPS e numeri di riferimento di fedpol, dell'autorità di polizia straniera richiesta e della procura straniera richiesta).
28 Per ottenere i dati sui contenuti dai fornitori di servizi statunitensi, il Dipartimento di giustizia deve ottenere un mandato di perquisizione da un tribunale ai sensi della legge statunitense. Lo standard di prova è la "probabile causa". Ciò significa che il tribunale deve essere convinto che l'account utente in questione contenga probabilmente ancora prove rilevanti per il reato (a meno che i dati non siano già stati sequestrati provvisoriamente sulla base di una richiesta di conservazione). Inoltre, è necessaria una solida base di prove per supporre che un reato sia stato o sarà commesso e che le prove del reato si trovino nell'account utente richiesto. Le fonti di prova presentate devono essere attendibili (ad esempio, rapporti di polizia, fonti private attendibili). Devono essere fornite prove centrali. Se vengono fornite prove indiziarie, queste devono essere tradotte in inglese. In sintesi, occorre spiegare perché il titolare dell'account è l'obiettivo dell'indagine, perché si presume che l'account utente in questione appartenga a questa persona e quali prove si prevede di ottenere da questo account utente.
29 La richiesta di assistenza giudiziaria deve essere inviata per via diplomatica tramite l'Ufficio federale di giustizia oppure - se concordato e previsto - direttamente alla Procura all'estero. La guida all'assistenza giudiziaria dell'Ufficio federale di giustizia contiene informazioni più dettagliate sui canali di trasmissione specifici.
30 Nota bene:
Per le richieste di assistenza giudiziaria in casi di criminalità informatica, è necessario indicare come base giuridica anche la CCC (a condizione che il Paese destinatario abbia ratificato la Convenzione).
L'esposizione dei fatti, la sussunzione dei fatti nei reati e le ragioni della richiesta sono l'elemento fondamentale di una richiesta di assistenza giudiziaria internazionale.
Informazioni dettagliate sull'assistenza giudiziaria sono disponibili nella Guida all'assistenza giudiziaria dell'Ufficio federale di giustizia, con modelli in varie lingue e un indice dei Paesi.
Una richiesta di assistenza giudiziaria a seguito di una richiesta di sequestro conservativo deve essere presentata il prima possibile e al più tardi entro il termine di esecuzione della richiesta (art. 29 cpv. 7 CPC).
IV. Esecuzione delle richieste di sequestro da parte delle autorità svizzere
A. Procedura e responsabilità
31 Tutti gli Stati che hanno ratificato la Convenzione sulla criminalità informatica hanno indicato quale delle loro autorità funge da punto di contatto centrale per gli Stati richiedenti ("rete 24/7", art. 35 CCC). Secondo la dichiarazione della Svizzera, si tratta principalmente dell'Ufficio federale di giustizia. Tuttavia, la Polizia giudiziaria federale (fedpol) è responsabile delle questioni relative alla Convenzione sulla criminalità informatica, in particolare delle richieste di conservazione (l'Ufficio federale di giustizia inoltra tali richieste a fedpol). Fedpol riceve circa 200 richieste all'anno dall'estero, che a sua volta inoltra alle forze di polizia cantonali per l'elaborazione.
B. Attuazione del diritto svizzero
32 Il processo di elaborazione di una richiesta di sequestro conservativo dall'estero in Svizzera non è regolato dalla legge. È notevole quanto poco il messaggio sull'attuazione della Convenzione sulla criminalità informatica si occupi di questioni procedurali e pratiche. Si limita a menzionare che gli Stati contraenti non sono obbligati a creare ulteriori strumenti giuridici oltre al sequestro e alla divulgazione.
33 Il diritto processuale penale svizzero non riconosce le "ordinanze di conservazione" ai sensi della Convenzione sulla criminalità informatica. Un ordine di conservazione sarebbe un ordine ufficiale a un fornitore di servizi di mantenere i dati disponibili per un certo periodo di tempo (tipicamente nel senso di un back-up). Poiché questo strumento non è previsto dal Codice di procedura penale, la disponibilità a lungo termine dei dati deve essere garantita in altro modo, il che può essere fatto solo attraverso un'edizione (art. 265 del Codice di procedura penale). Poiché le polizie cantonali non sono autorizzate a modificare i dati, devono trasmettere le relative richieste ricevute da fedpol alla Procura competente, che emette un ordine di edizione. Mentre il Codice di procedura penale non prevede alcuna base per gli ordini di conservazione, la conservazione dei dati prescritta dalla legge nel settore delle telecomunicazioni è stata attuata in modo simile. Sono gli stessi fornitori di servizi di telecomunicazione a dover conservare per le autorità giudiziarie i dati di registrazione e di bordo delle comunicazioni dei loro clienti per un periodo di sei mesi (art. 21 cpv. 2, art. 22 cpv. 2 e art. 26 cpv. 5 BÜPF).
34 Questa formulazione svizzera della richiesta di conservazione ai sensi dell'art. 29 CPC è relativamente lontana dallo spirito della Convenzione, che prevedeva una misura rapida, non complicata e con il minor numero possibile di restrizioni per tutte le parti coinvolte. Il processo sopra descritto coinvolge almeno tre autorità e la società destinataria, ovvero numerose interfacce, il che comporta ritardi e aumenta inevitabilmente la possibilità di errori. Un ordine di divulgazione, combinato con la consegna e l'archiviazione fisica o digitale di volumi di dati, probabilmente molto consistenti, comporta anche una notevole mole di lavoro per i fornitori di servizi e le autorità responsabili dell'archiviazione dei dati. È in corso un dibattito internazionale per stabilire se i Paesi che non hanno introdotto ordini di conservazione ai sensi della Convenzione e si accontentano invece di ordini di divulgazione (come la Svizzera) soddisfino i requisiti della Convenzione. Sebbene la maggioranza degli intervistati sia apparentemente favorevole, vi sono ancora punti critici, in particolare per quanto riguarda gli ostacoli legali più elevati (non in Svizzera), i procedimenti più lunghi e il possibile aumento del rischio che le persone interessate vengano a conoscenza della misura, il che può vanificare lo scopo dell'indagine.
35 L'esecuzione di richieste di sequestro conservativo all'estero in Svizzera non fa ancora parte di un procedimento formale di assistenza giudiziaria e non è nemmeno una misura cautelare ai sensi dell'AIMP (o di altri principi del diritto dell'assistenza giudiziaria). È a monte di qualsiasi procedimento di assistenza giudiziaria. Infatti, non tutte le richieste di sequestro conservativo saranno probabilmente seguite da una richiesta formale di assistenza giudiziaria. La richiesta di conservazione trova la sua base nella stessa Convenzione sulla criminalità informatica (che è direttamente applicabile nel sistema monistico svizzero nella misura in cui è sufficientemente specifica). L'attuazione della richiesta di conservazione in questo caso non è sufficientemente specifica, motivo per cui - come già accennato - è necessario ricorrere agli istituti giuridici del diritto processuale penale nazionale, ossia il Codice di procedura penale (ad es. art. 265 CPP, edizione) nonché la Legge federale sulla polizia di transito e le sue ordinanze (ad es. art. 38 VÜPF, IR_8_IP (NAT): titolari di indirizzi IP). Il tutto sempre nell'ottica di rispettare il più possibile lo spirito della Convenzione sulla criminalità informatica (prevenzione rapida, non complicata ed efficace della perdita di prove). Ciò significa anche che gli ordini di divulgazione emessi in esecuzione di una richiesta di conservazione devono essere accompagnati da un divieto di divulgazione al destinatario della divulgazione, in modo da non compromettere il successo dell'indagine (art. 29 cpv. 6 CPC; art. 73 cpv. 2 CPP in combinato disposto con l'art. 292 CPC; cfr. art. 292 CPC; cfr. art. 292 CPP; cfr. art. 292 CPC). Art. 292 CP; cfr. analogamente anche l'Art. 11b comma 2 lett. c AIMP e l'Art. 80b comma 2 lett. a AIMP). La conseguenza è che le persone interessate non sono ancora in grado di impugnare l'esecuzione stessa al momento dell'esecuzione a causa della mancanza di conoscenza. Non appena (se) viene avviata una procedura formale di assistenza legale, i proprietari dei dati (i clienti interessati del servizio) devono essere informati del loro diritto al sigillo (art. 9 AIMP in combinato disposto con l'art. 248 cpv. 2 CPP). Tuttavia, se non viene ricevuta alcuna richiesta di assistenza legale reciproca entro 60 giorni ai sensi dell'art. 29 cpv. 7 CPC e di eventuali solleciti/proroghe del termine, i dati devono essere cancellati irrevocabilmente per mancanza di una base giuridica per una conservazione più lunga.
36 In base alla situazione giuridica attuale, il fornitore di servizi ha il diritto di sigillare i dati in quanto custode degli stessi (cfr. art. 248 cpv. 1 CPP). Tuttavia, la sigillatura da parte del fornitore di servizi potrebbe comportare spese inutili, in particolare nel caso in cui si debba eseguire una procedura di cancellazione che richiede molto tempo e lo Stato richiedente rinunci successivamente alla procedura di assistenza giudiziaria. Inoltre, gli interessi di riservatezza del fornitore di servizi spesso non vengono intaccati dalla divulgazione. Tuttavia, questo sarebbe un prerequisito per una richiesta di sigillo valida, in quanto il sigillo non può essere richiesto per conto di una terza parte (come il titolare del conto). D'altro canto, se i dati vengono raccolti da fornitori di servizi che, per la natura del loro servizio, dovrebbero regolarmente avere dati protetti dal segreto, ci si chiede se l'ufficio del pubblico ministero, che esegue la richiesta di conservazione (emette l'ordine di divulgazione), non debba già sigillare i dati d'ufficio al momento della divulgazione. In entrambi i casi, tuttavia, il pubblico ministero dovrebbe presentare una richiesta di dissequestro entro 20 giorni per eseguire la richiesta di sequestro (art. 248 cpv. 3 CPP), in un momento in cui il titolare dei dati non dovrebbe ancora essere a conoscenza della richiesta di sequestro e non dovrebbe quindi essere incluso nella procedura di dissequestro (a parte il fatto che di norma non ha un domicilio per le notifiche in Svizzera).
37 Al fine di non compromettere il successo dell'indagine e di evitare inutili tempi morti, l'unico approccio appropriato nel contesto della Convenzione sulla criminalità informatica sarebbe quindi quello di applicare il sigillo/dissequestro solo nel contesto di un procedimento formale di assistenza giudiziaria. In ogni caso, la sigillatura può essere possibile solo una volta completata la raccolta dei dati in quanto tale. Ad esempio, la raccolta di dati che si basa su un'unica richiesta di conservazione ma che richiede diverse fasi consecutive in Germania, ad esempio diverse richieste di informazioni al PTSS (prima identificazione dell'elemento di indirizzamento in base all'indirizzo IP, seconda identificazione dell'abbonato in base all'elemento di indirizzamento).
38 Ci si chiede se sia lecito, in base al diritto svizzero, obbligare i fornitori di servizi che non rientrano nell'ambito di applicazione del BÜPF a conservare semplicemente alcuni dati invece di consegnarli. Questo allevierebbe molti dei problemi di editing precedentemente discussi e sarebbe quindi favorevole. Tuttavia, un reale aumento dell'efficienza potrebbe essere ottenuto soprattutto se l'esecuzione delle richieste di conservazione estere fosse centralizzata a livello federale (fedpol), per la quale attualmente non esiste alcuna base nel Codice di procedura penale (cfr. art. 22 e segg. CPP e contrario). Tuttavia, una base giuridica comparabile si trova già nell'art. 18 cpv. 2 AIMP, secondo cui l'Ufficio federale di giustizia può ordinare esso stesso misure cautelari in caso di pericolo imminente.
Bibliografia
Bommer Felix/Goldschmid Peter, Kommentierung zu Art. 265 StPO, in: Niggli Heer/Wiprächtiger (Hrsg.), Schweizerische Strafprozessordnung, Strafprozessrecht I + II, 3. Aufl., Basel 2023.
Graf Damian K., Praxishandbuch zur Siegelung, StPO inkl. revidierter Bestimmungen – VStrR – IRSG – MStP, Bern 2022.
Thormann Oliver/Brechbühl Beat, Kommentierung zu Art. 248 StPO, in: Niggli Heer/Wiprächtiger (Hrsg.), Schweizerische Strafprozessordnung, Strafprozessrecht I + II, 3. Aufl., Basel 2023.
I Materiali
Botschaft über die Genehmigung und die Umsetzung des Übereinkommens des Europarates über die Cyberkriminalität vom 18.6.2010, BBl 2010 4697 ff., abrufbar unter https://www.fedlex.admin.ch/eli/fga/2010/813/de, besucht am 24.1.2024.
Council of Europe, The 24/7 Network established under the Convention on Cybercrime (known as the Budapest Convention), What is the 24/7 Network?, abrufbar unter: https://www.coe.int/en/web/cybercrime/24/7-network-new-, zuletzt besucht am 24.1.2024 (zit. CoE 24/7).
Cybercrime Convention Committee (T-CY), Assessment report, Implementation of the preservation provisions of the Budapest Convention on Cybercrime, Supplementary report, 15/16.06.2015, abrufbar unter: https://rm.coe.int/CoERMPublicCommonSearchServices/DisplayDCTMContent?documentId=090000168044be2b, zuletzt besucht am 24.1.2024 (zit. T-CY, Preservation Assessment).
Europarat, Cybercrime Convention Committee (T-CY), T-CY assessment report: The mutual legal assistance provisions of the Budapest Convention on Cybercrime, Strassburg, 3.12.2014, abrufbar unter: https://rm.coe.int/16802e726c, besucht am 17.10.2023 (zit. T-CY, Assessment Report).
Europarat, Cybercrime Convention Committee (T-CY), T-CY Cloud Evidence Group, Criminal justice access to electronic evidence in the cloud: Recommendations for consideration by the T-CY, Final report, Strassburg, 16.9.2016, abrufbar unter: https://rm.coe.int/16806a495e, besucht am 17.10.2023 (zit. T-CY, Cloud).
Europarat, Cybercrime Convention Committee (T-CY), The Budapest Convention on Cybercrime: benefits and impact in practice, Strassburg, 13.7.2020, abrufbar unter: https://rm.coe.int/t-cy-2020-16-bc-benefits-rep-provisional/16809ef6ac, besucht am 17.10.2023 (zit. T-CY, Benefits).
Opinion of the T-CY on the competent authority for issuing a preservation request under Articles 29 and 35 Budapest Convention, 28.11.2017, abrufbar unter: https://rm.coe.int/t-cy-2017-18-opinion-article29-/168076cf95, zuletzt besucht am: 19.1.2024 (zit. T-CY, Competent Authority).
Reservations and Declarations for Treaty No.185 - Convention on Cybercrime (ETS No. 185), Status as of 09/03/2024, abrufbar unter: https://www.coe.int/en/web/conventions/full-list?module=declarations-by-treaty&numSte=185&codeNature=0, besucht am 9.3.2024 (zit. Reservations and Declarations).
United Nations Office on Drugs an Crime (UNDOC), Sharing Electronic Resources and Laws on Crime (SHERLOC), The Practical Guide for Requesting Electronic Evidence across Borders, für Strafbehörden abrufbar unter: https://sherloc.unodc.org/cld/en/st/evidence/practical-guide.html, besucht am 27.09.2023, zuletzt besucht am 24.01.2024 (zit. Practical Guide for Requesting Evidence).