-
- Art. 5a Cost.
- Art. 6 Cost.
- Art. 10 Cost.
- Art. 16 Cost.
- Art. 17 Cost.
- Art. 20 Cost.
- Art. 22 Cost.
- Art. 29a Cost.
- Art. 30 Cost.
- Art. 32 Cost.
- Art. 42 Cost.
- Art. 43 Cost.
- Art. 43a Cost.
- Art. 55 Cost.
- Art. 56 Cost.
- Art. 68 Cost.
- Art. 60 Cost.
- Art. 75b Cost.
- Art. 77 Cost.
- Art. 96 cpv. 2 lett. a Cost.
- Art. 110 Cost.
- Art. 117a Cost.
- Art. 118 Cost.
- Art. 123b Cost.
- Art. 136 Cost.
- Art. 166 Cost.
-
- Art. 11 CO
- Art. 12 CO
- Art. 50 CO
- Art. 51 CO
- Art. 84 CO
- Art. 143 CO
- Art. 144 CO
- Art. 145 CO
- Art. 146 CO
- Art. 147 CO
- Art. 148 CO
- Art. 149 CO
- Art. 150 CO
- Art. 701 CO
- Art. 715 CO
- Art. 715a CO
- Art. 734f CO
- Art. 785 CO
- Art. 786 CO
- Art. 787 CO
- Art. 788 CO
- Art. 808c CO
- Disposizioni transitorie per la revisione del diritto azionario del 19 giugno 2020
-
- Art. 2 LDP
- Art. 3 LDP
- Art. 4 LDP
- Art. 6 PRA
- Art. 10 LDP
- Art. 11 LDP
- Art. 12 LDP
- Art. 13 LDP
- Art. 14 LDP
- Art. 15 LDP
- Art. 16 LDP
- Art. 17 LDP
- Art. 19 LDP
- Art. 20 LDP
- Art. 21 LDP
- Art. 22 LDP
- Art. 23 LDP
- Art. 24 LDP
- Art. 25 LDP
- Art. 26 LDP
- Art. 10a LDP
- Art. 27 LDP
- Art. 29 LDP
- Art. 30 LDP
- Art. 31 LDP
- Art. 32 LDP
- Art. 32a LDP
- Art. 33 LDP
- Art. 34 LDP
- Art. 35 LDP
- Art. 36 LDP
- Art. 37 LDP
- Art. 38 LDP
- Art. 39 LDP
- Art. 40 LDP
- Art. 41 LDP
- Art. 42 LDP
- Art. 43 LDP
- Art. 44 LDP
- Art. 45 LDP
- Art. 46 LDP
- Art. 47 LDP
- Art. 48 LDP
- Art. 49 LDP
- Art. 50 LDP
- Art. 51 LDP
- Art. 52 LDP
- Art. 53 LDP
- Art. 54 LDP
- Art. 55 LDP
- Art. 56 LDP
- Art. 57 LDP
- Art. 58 LDP
- Art. 59a LDP
- Art. 59b LDP
- Art. 59c LDP
- Art. 62 LDP
- Art. 63 LDP
- Art. 67 LDP
- Art. 67a LDP
- Art. 67b LDP
- Art. 75 LDP
- Art. 75a LDP
- Art. 76 LDP
- Art. 76a LDP
- Art. 90 LDP
-
- Vorb. zu Art. 1 LPD
- Art. 1 LPD
- Art. 2 LPD
- Art. 3 LPD
- Art. 5 lit. f und g LPD
- Art. 6 cpv. 6 e 7 LPD
- Art. 7 LPD
- Art. 10 LPD
- Art. 11 LPD
- Art. 12 LPD
- Art. 14 LPD
- Art. 15 LPD
- Art. 19 LPD
- Art. 20 LPD
- Art. 22 LPD
- Art. 23 LPD
- Art. 25 LPD
- Art. 26 LPD
- Art. 27 LPD
- Art. 31 cpv. 2 lit. e LPD
- Art. 33 LPD
- Art. 34 LPD
- Art. 35 LPD
- Art. 38 LPD
- Art. 39 LPD
- Art. 40 LPD
- Art. 41 LPD
- Art. 42 LPD
- Art. 43 LPD
- Art. 44 LPD
- Art. 44a LPD
- Art. 45 LPD
- Art. 46 LPD
- Art. 47 LPD
- Art. 47a LPD
- Art. 48 LPD
- Art. 49 LPD
- Art. 50 LPD
- Art. 51 LPD
- Art. 54 LPD
- Art. 57 LPD
- Art. 58 LPD
- Art. 60 LPD
- Art. 61 LPD
- Art. 62 LPD
- Art. 63 LPD
- Art. 64 LPD
- Art. 65 LPD
- Art. 66 LPD
- Art. 67 LPD
- Art. 69 LPD
- Art. 72 LPD
- Art. 72a LPD
-
- Art. 2 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 3 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 4 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 5 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 6 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 7 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 8 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 9 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 11 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 12 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 25 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 29 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 32 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 33 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 34 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
COSTITUZIONE FEDERALE
CODICE DELLE OBBLIGAZIONI
LEGGE FEDERALE SUL DIRITTO INTERNAZIONALE PRIVATO
CONVENZIONE DI LUGANO
CODICE DI PROCEDURA PENALE
CODICE DI PROCEDURA CIVILE
LEGGE FEDERALE SUI DIRITTI POLITICI
CODICE CIVILE
LEGGE FEDERALE SUI CARTELLI E ALTRE LIMITAZIONI DELLA CONCORRENZA
LEGGE FEDERALE SULL’ASSISTENZA INTERNAZIONALE IN MATERIA PENALE
LEGGE FEDERALE SULLA PROTEZIONE DEI DATI
LEGGE FEDERALE SULLA ESECUZIONE E SUL FALLIMENTO
CODICE PENALE SVIZZERO
CYBERCRIME CONVENTION
ORDINANZA SUL REGISTRO DI COMMERCIO
- I. Generale
- II. Accesso a dati pubblicamente accessibili conservati in un altro Stato contraente ("open source") (lett. a)
- III. Accesso ad altri dati conservati in un altro Stato contraente (lett. b)
- IV. Conservazione delle prove al di là dell'art. 32 CPC secondo il principio dell'accesso
- V. Conseguenze della violazione del diritto di sovranità straniera
- VI. Necessità di una riforma
- Bibliografia
- I materiali
I. Generale
A. Introduzione, storia, finalità e critica
1 Dato il crescente spostamento della comunicazione verso i servizi Internet (come e-mail, social media e telefonia via Internet) e lo sviluppo tecnologico che ha spostato l'archiviazione locale verso il "cloud computing", è cambiato anche l'obiettivo investigativo delle forze dell'ordine. Il loro lavoro sta diventando sempre più complesso a causa dello spostamento delle prove nel mondo digitale. Questa complessità è dovuta, da un lato, al fatto che i dati sono di natura volatile, possono essere facilmente spostati oltre confine (cosa che può avvenire anche automaticamente, ad esempio per motivi di migliore utilizzo dei sistemi informatici) e sono accessibili alla crittografia. D'altra parte, i principali fornitori di servizi Internet (come Google, Facebook o Meta, WhatsApp, X o Microsoft), che sono diventati quasi indispensabili, operano di solito dall'estero (soprattutto dagli Stati Uniti) e da lì offrono i loro servizi a persone fisiche e giuridiche in Svizzera, mentre i dati degli utenti sono conservati all'estero. Di conseguenza, le autorità investigative devono regolarmente rivolgere la loro attenzione oltre i confini nazionali, anche nei casi nazionali. Negli Stati membri dell'UE, oltre il 50% di tutte le indagini penali prevede una richiesta transfrontaliera per ottenere dati elettronici. Ciò pone alle autorità di contrasto alcune sfide, non da ultimo di diritto internazionale, in quanto la raccolta extraterritoriale di prove costituisce a prima vista un'invasione della sovranità dell'altro Stato (cfr. infra, n. 10 e segg.).
2 In questo contesto transfrontaliero, le autorità devono essere dotate di poteri di intervento efficaci che consentano loro di ottenere le prove necessarie per i procedimenti penali nazionali. Nel frattempo, l'assistenza giudiziaria come meccanismo tradizionale di cooperazione internazionale è considerata inefficiente e lenta, soprattutto quando si tratta di dati volatili o che possono essere spostati, cancellati o manipolati senza particolare sforzo. Di norma, gli inquirenti non sanno in quale Stato siano archiviati i dati o, a seconda del fornitore di servizi Internet, i dati siano archiviati affatto, il che significa che al momento dell'accesso spesso non sono in grado di giudicare se stanno attraversando il "confine digitale dello Stato", né di capire in quale Stato debba essere richiesta l'assistenza giudiziaria - e anche se gli inquirenti hanno identificato uno Stato, hanno bisogno di un minimo di informazioni (ad esempio, un account utente o un indirizzo IP) per giustificare una richiesta di assistenza giudiziaria in modo promettente. un account utente o un indirizzo IP), che a volte può rivelarsi difficile.
3 La necessità di una conservazione transfrontaliera delle prove era già stata riconosciuta negli anni '90 e l'11.9.1995 - quando le possibilità tecniche odierne erano prevedibili solo in una certa letteratura popolare - il Consiglio d'Europa ha adottato la Raccomandazione n. R (95) 13 sui problemi del diritto processuale penale in relazione alle tecnologie dell'informazione. Il suo paragrafo 17 recita come segue: "Il potere di estendere una ricerca ad altri sistemi informatici dovrebbe essere applicabile anche quando il sistema si trova in una giurisdizione straniera, a condizione che sia necessaria un'azione immediata". Al fine di evitare possibili violazioni della sovranità dello Stato o del diritto internazionale, è necessario stabilire una base giuridica inequivocabile per tale estensione della ricerca e del sequestro. Pertanto, è urgente negoziare accordi internazionali su come, quando e in quale misura tali perquisizioni e sequestri dovrebbero essere consentiti". In attuazione di questa raccomandazione, sono stati avviati i negoziati per una convenzione sulla criminalità informatica. L'accelerazione della cooperazione internazionale e la possibile concessione di poteri transfrontalieri in violazione del principio di sovranità sono stati tra i temi centrali.
4 L'articolo 32 della Convenzione sulla criminalità informatica ("CCC"), che è stato infine adottato, consente l'accesso ai dati memorizzati in altri Stati contraenti in due costellazioni, senza la necessità di una richiesta di assistenza legale reciproca rivolta alle autorità dell'altro Stato: da un lato, se i dati accessibili al pubblico sono interessati (lett. a), e dall'altro, se la persona autorizzata ha dato il suo consenso all'accesso (lett. b). In altre parole, l'art. 32 del Codice penale consente in questi casi un sequestro diretto dei dati conservati all'estero senza dover prima ottenere il consenso dello Stato interessato e senza dover percorrere la (difficile) strada dell'assistenza legale prima o dopo il sequestro. La zavorra amministrativa è completamente eliminata, poiché l'altro Stato non deve essere informato della raccolta di prove. Se i requisiti dell'art. 32 CP non sono soddisfatti, ossia se l'avente diritto non collabora, o se la raccolta è tecnicamente impossibile o non può essere eseguita per altri motivi, la procedura ordinaria di assistenza giudiziaria deve essere seguita come misura sussidiaria in applicazione dell'art. 31 CP, se necessario combinata con una richiesta di conservazione immediata delle prove ai sensi dell'art. 29 CP se vi è il rischio di perdita delle prove.
5 Nel processo di consultazione e di legiferazione per l'attuazione del CPC in Svizzera, l'art. 32 CPC non ha dato adito a commenti, nonostante i termini utilizzati che sono aperti all'interpretazione e la relativa violazione della sovranità.
6 L'impostazione dell'art. 32 CDC non è rimasta esente da critiche altrove, da un lato a causa dell'abolizione della tutela dei diritti fondamentali garantiti dalla sovranità territoriale che ne consegue, senza che le autorità nazionali si rendano conto di tali violazioni dei diritti fondamentali. A questo proposito, l'art. 32 del Codice penale consente atti sovrani stranieri incontrollati sul territorio di uno Stato, che interferiscono con i diritti costituzionali delle persone interessate e di terzi, e sono sproporzionati e delicati, soprattutto per quanto riguarda gli Stati con una situazione dei diritti umani offuscata. Tuttavia, la facilitazione della raccolta di prove nei procedimenti penali associata all'art. 32 CPC è indispensabile nel perseguimento di reati con una componente digitale: le nostre vite - e quindi anche quelle degli indagati - sono diventate digitali e si svolgono sempre più in uno spazio digitale che non può essere attribuito al territorio svizzero. È vero che la maggior parte dei dispositivi elettronici oggi ha ancora una propria memoria locale, spesso generosa, che, se il dispositivo può essere sequestrato in Svizzera, può essere sequestrata, perquisita (art. 246 CPP) e confiscata (art. 263 CPP) sulla base delle regole generali di procedura penale. La tendenza, tuttavia, è quella di abbandonare l'archiviazione locale per passare a soluzioni basate su cloud o dislocate, il cui luogo di archiviazione sarà da qualche parte nel mondo, o almeno solo in parte in Svizzera (ad eccezione di settori particolari come quello bancario e della consulenza). Al giorno d'oggi le comunicazioni avvengono regolarmente anche attraverso i social media e servizi Internet analoghi, e il contenuto a volte non viene nemmeno memorizzato localmente sul proprio dispositivo. Consentendo alle autorità nazionali preposte all'applicazione della legge di uno Stato contraente di richiedere i dati direttamente ai fornitori stranieri di servizi Internet, evitando la via dell'assistenza giudiziaria (cfr. infra, nn. 48 e 55), si garantisce almeno in parte che l'accertamento sostanziale della verità nel caso di reati con una componente digitale non diventi del tutto illusorio.
7 D'altro canto, soprattutto gli ambienti delle forze dell'ordine considerano l'art. 32 CCC troppo restrittivo: come "minimo comune denominatore", l'art. 32 CCC rappresenta un compromesso in definitiva meno rivoluzionario. Le discussioni sull'ammissibilità della raccolta di prove transfrontaliere al di là dell'art. 32 CCC sono fallite, tuttavia, a causa della mancanza di consenso all'interno del Consiglio d'Europa. Anche nelle discussioni che sono proseguite da allora, non c'è stato in gran parte alcun consenso, sebbene la maggioranza degli Stati consideri il trasferimento delle prove al di là dei confini statali come una delle sfide centrali dell'azione penale dello Stato territoriale. Anche con il II Protocollo aggiuntivo alla Convenzione sulla criminalità informatica, adottato il 12.5.2022 e già ratificato da due Stati e firmato da altri 40 (a ottobre 2023), non è stato raggiunto un accordo. Tuttavia, deve essere consentito richiedere ai fornitori di servizi all'estero, direttamente e senza deviazioni tramite l'assistenza legale reciproca, di consegnare le informazioni di registrazione dei nomi di dominio e i dati di inventario (artt. 6 e 7 ZP II-CCC). La Svizzera non ha ancora firmato o ratificato lo ZP II-CCC, cosa che, secondo fonti dell'Ufficio federale di giustizia, non è prevista a breve - da un lato, perché la nuova normativa incide ancora una volta sul principio di sovranità, dall'altro, perché sono in corso discussioni su questo tema a livello di Nazioni Unite, che vanno attese. Infatti, le consultazioni su una Convenzione delle Nazioni Unite per contrastare l'uso delle tecnologie dell'informazione e della comunicazione a fini criminali ("Trattato delle Nazioni Unite sulla criminalità informatica") sono in fase avanzata. Tuttavia, l'attuale bozza, sostenuta dalla maggioranza, non prevede la raccolta transfrontaliera di prove, motivo per cui non sembra opportuno attendere la firma e la ratifica della ZP II-CCC.
8 Il Regolamento (UE) 2023/1543 sulle ordinanze europee di consegna e sulle ordinanze europee di conservazione delle prove elettroniche nei procedimenti penali e nell'esecuzione delle pene detentive a seguito di procedimenti penali del 12 luglio 2023 ("e-Evidence"), recentemente adottato, fa un passo avanti rispetto all'art. 32 del Codice penale. 2023 ("Regolamento e-Evidence"), secondo il quale le autorità giudiziarie di uno Stato membro possono richiedere prove elettroniche direttamente a un fornitore di servizi di un altro Stato membro (art. 1 cpv. 1 del Regolamento e-Evidence) e i fornitori di servizi sono legalmente obbligati a modificare i dati entro 10 giorni o il termine stabilito (art. 10 del Regolamento e-Evidence). L'art. 32 CCC, invece, si basa sulla natura volontaria dei fornitori di servizi stranieri: se non soddisfano la richiesta o non la soddisfano completamente, deve essere intrapresa la via dell'assistenza reciproca, anche in caso di rifiuto arbitrario, opaco o immotivato di collaborare. L'art. 18 cpv. 1 lett. b CDC prevede almeno che il fornitore di servizi Internet che offre i propri servizi "sul territorio della parte contraente" debba consegnare su richiesta i dati di inventario relativi a tali servizi. Tuttavia, il Tribunale federale non ammette l'ordine di rivelare i dati a un provider straniero sulla base dell'art. 18 cpv. 1 CPC, o al massimo considera tale ordine legittimo se rivolto alla sua filiale svizzera, a condizione che quest'ultima possieda o controlli i dati.
9 La critica alle limitazioni dell'art. 32 CPC, che è stata espressa soprattutto negli ambienti delle forze dell'ordine, è diventata un po' più silenziosa in Svizzera. Il fatto che la comunità internazionale non abbia ancora trovato una soluzione consensuale non ha impedito al Tribunale federale (probabilmente per motivi di praticabilità, anche se in spregio al principio di sovranità) di consentire anche la raccolta transnazionale di prove dai dati senza il consenso delle persone autorizzate, con un ricorso implicito al cosiddetto principio dell'accesso (cfr. infra, n. 63 ss.).
B. Fondamento del diritto internazionale: principio di territorialità e sovranità (art. 31 CPC) e loro violazione (art. 32 CPC)
10 Il principio di territorialità rappresenta una barriera all'azione dello Stato che si sottrae alla sovranità del diritto internazionale. Non serve solo a limitare l'applicabilità del diritto penale interno a situazioni straniere - sebbene vi siano delle eccezioni - ma limita anche l'azione dello Stato al proprio territorio. Il compimento di atti ufficiali in territorio straniero non è completamente vietato. Tuttavia, a meno che tale comportamento non sia espressamente consentito da accordi internazionali (di mutua assistenza legale), da trattati bilaterali o almeno da autorizzazioni ad hoc, costituisce un'inammissibile violazione della sovranità dello Stato e può essere punito di conseguenza secondo il diritto straniero. Anche gli atti ufficiali non autorizzati in territorio straniero sono sanzionati dal diritto svizzero (art. 299 CP; cfr. anche art. 271 CP). Anche le prove raccolte in violazione del principio di territorialità non possono essere utilizzate nei procedimenti penali nazionali (cfr. infra, n. 69 e segg.).
11 In particolare, gli "atti arbitrari di coercizione e di intervento sul territorio straniero" violano la sovranità dello Stato e sono quindi contrari al diritto internazionale. Pertanto, a meno che non si ricorra all'assistenza legale dello Stato estero, l'arresto di persone all'estero da parte di funzionari svizzeri è altrettanto inammissibile quanto lo svolgimento di interrogatori, l'esecuzione di esami visivi o l'esecuzione diretta di sentenze. Secondo il Tribunale federale, lo stesso vale per l'invio di convocazioni a imputati domiciliati all'estero, che non possono essere accompagnate da minacce di coercizione, cioè devono essere semplicemente inviti. Sembra quindi chiaro che le autorità giudiziarie non possono raccogliere fisicamente prove all'estero o compiere atti processuali in loco senza passare attraverso il canale dell'assistenza legale o senza che tali atti siano esplicitamente consentiti in un accordo. Le perquisizioni domiciliari arbitrarie o il sequestro e la perquisizione di dispositivi elettronici o documenti in territorio straniero sono quindi indubbiamente vietati.
12 Non sono diverse le situazioni di raccolta delle prove in cui le autorità giudiziarie penali non sono fisicamente presenti sul territorio straniero, ma svolgono azioni investigative in Svizzera che incidono sulla sovranità territoriale straniera. Ciò include, ad esempio, l'osservazione di persone sulla sponda tedesca del Reno da parte di agenti di polizia svizzeri di Sciaffusa, così come l'interrogatorio video di un imputato all'estero da parte di un tribunale svizzero. Anche questo comportamento viola il diritto internazionale, poiché i suoi effetti sono equivalenti a un atto di sovranità direttamente sul territorio straniero.
13 Anche l'accesso a sistemi informatici all'estero da una sede in Svizzera e quindi il sequestro di dati archiviati all'estero sono da considerarsi atti di sovranità extraterritoriale. La comunità degli Stati rivendica la propria sovranità anche per quanto riguarda i sistemi di elaborazione dati situati sul proprio territorio e i dati ivi memorizzati. I poteri di ricerca nazionali non possono legittimare tali sconfinamenti nei diritti sovrani stranieri. Ciò è stato riconosciuto in linea di principio dal Tribunale federale (cfr. tuttavia infra, n. 63 e segg.) e si riflette in particolare nelle (intense) discussioni sul contenuto e sull'ulteriore sviluppo del CCC.
14 Nel momento in cui la sovranità di uno Stato straniero viene invasa in tal senso, esso deve di conseguenza acconsentire, fornendo assistenza legale su richiesta individuale o concedendo ai partner internazionali il diritto di agire di conseguenza tramite un trattato o un accordo ad hoc. Esempi di cessione parziale della sovranità svizzera si possono trovare negli accordi con i Paesi limitrofi in materia di "hot pursuit" di polizia o, in misura limitata, nel contesto della Convenzione sulla criminalità informatica. La creazione dell'art. 32 CCC ha infatti eliminato la necessità di una richiesta di assistenza reciproca in due costellazioni: Da un lato, l'accesso ai dati informatici memorizzati accessibili al pubblico è consentito, indipendentemente dalla loro ubicazione geografica (lett. a). Dall'altro lato - e in modo molto esteso rispetto ad altri accordi di assistenza reciproca - secondo l'art. 32 lett. b CCC, una parte contraente può "accedere a dati informatici memorizzati situati nel territorio di un'altra parte contraente per mezzo di un sistema informatico nel suo territorio o ricevere tali dati se ottiene il consenso legittimo e volontario della persona che è legittimamente autorizzata a comunicarle i dati per mezzo di tale sistema informatico". Ciò legittima non solo la richiesta diretta ai provider stranieri di consegnare le informazioni, ma anche l'accesso delle autorità stesse attraverso gli account utente esistenti (cfr. infra, n. 55). In altre parole, il Codice penale stabilisce in termini vincolanti per gli Stati contraenti in quali circostanze le autorità possono accedere direttamente ai dati situati all'estero (cioè alle condizioni dell'art. 32 del Codice civile) e quando sono obbligate a presentare una richiesta formale di assistenza reciproca (in tutti gli altri casi; art. 31 del Codice civile). Ciò dimostra che l'accesso a dati stranieri, indipendentemente dal fatto che i membri delle autorità di polizia non siano fisicamente presenti sul territorio straniero durante tali misure di raccolta delle prove, è considerato una violazione fondamentale della sovranità. Nel corso della stesura del CCC, è emerso chiaramente che "non è stato possibile raggiungere un consenso su norme di più ampia portata in base alle quali le condizioni di accesso unilaterale da parte di uno Stato ai dati situati in un altro Stato parte possano avvenire senza l'autorizzazione di quest'ultimo".
C. Materiali e interpretazione
15 I termini utilizzati dall'art. 32 CDC e le costellazioni da esso contemplate sono stati solo parzialmente spiegati in modo più dettagliato nella relazione esplicativa del CDC - mutatis mutandis il "messaggio" del Consiglio d'Europa sul CDC - il che comporta il rischio che le autorità degli Stati contraenti li interpretino in modo diverso. Tuttavia, questa sembra essere una decisione deliberata. Dopotutto, un gruppo di lavoro sull'accesso transfrontaliero ai dati ("Gruppo transfrontaliero T-CY") del Comitato delle Parti ("Comitato della Convenzione sulla criminalità informatica", "T-CY") ha pubblicato il 3.12.2014 una nota orientativa sull'accesso transfrontaliero ai dati ai sensi dell'art. 32 del TCC, che può essere utilizzata come ausilio interpretativo. Tuttavia, i presupposti dell'art. 32 CDC - come ad esempio la questione di chi sia legittimato a concedere il consenso ai sensi dell'art. 32 lett. b CDC - devono essere determinati in ultima analisi in base al diritto nazionale (cfr. infra, n. 41 e segg.); a questo proposito, una definizione nazionale e quindi possibili opinioni divergenti tra gli Stati contraenti sono inevitabili.
16 Secondo il Consiglio federale, la disposizione dovrebbe essere interpretata in modo restrittivo "per contrastare il pericolo di abusi che eludano l'assistenza reciproca o che violino la privacy di terzi". Tuttavia, se si tiene conto dell'effetto che l'art. 32 CPC si prefigge - l'accelerazione del procedimento o la semplificazione della raccolta delle prove - si lascia spazio a interpretazioni pratiche e praticabili.
D. Natura giuridica
17 L'art. 32 CDC è una norma di diritto internazionale "self-executing", direttamente applicabile al momento della ratifica. Le parti contraenti concedono così agli altri Stati contraenti il diritto di accedere direttamente ai dati presenti sul loro territorio, evitando il canale dell'assistenza giudiziaria. In altre parole, la disposizione prevede una "rinuncia alla procedura interna nello Stato richiesto". Le autorità giudiziarie degli Stati contraenti possono avvalersi direttamente dell'art. 32 CCC, sia nei procedimenti penali interni per legittimare la corrispondente raccolta di prove all'estero (per cui devono continuare a rispettare le norme procedurali interne, cfr. infra, n. 56) - l'art. 32 CCC non costituisce una misura coercitiva originaria a questo riguardo - sia per invocare l'assenza di interferenze illecite con la sovranità straniera in relazione allo Stato contraente interessato. In relazione all'IMAC, le disposizioni del CCC prevalgono su quelle dell'IMAC (art. 1 cpv. 1 IMAC).
E. Ambito di applicazione
18 L'art. 32 CPC consente il sequestro di dati informatici memorizzati in un altro Stato contraente.
19 Ai sensi dell'art. 1 lett. b CPC, per dati informatici si intendono tutte le rappresentazioni "di fatti, informazioni o concetti in una forma adatta all'elaborazione in un sistema informatico, compreso un programma in grado di avviare l'esecuzione di una funzione da parte di un sistema informatico". L'art. 32 del Codice Civile copre quindi l'accesso ai dati di inventario, di traffico o marginali, nonché ai dati di contenuto memorizzati o in fase di trasmissione al momento dell'accesso. In virtù della loro qualificazione giuridica di dati elettronici, anche i beni crittografati, ad esempio, possono essere sequestrati in applicazione dell'art. 32 lett. b CCC, a condizione che le persone autorizzate concedano la loro autorizzazione.
20 L'art. 32 CCC fa esplicito riferimento al luogo di archiviazione dei dati specificamente previsti (art. 32 lett. b CCC: "[...] dati informatici archiviati situati nel territorio di un'altra Parte"; cfr. anche art. 31 CCC: "[...] archiviati per mezzo di un sistema informatico situato nel territorio della Parte richiesta"). Nel caso di dati archiviati in più luoghi, è determinante il luogo di archiviazione dell'insieme di dati che deve essere specificamente sequestrato. Di conseguenza, l'accesso in applicazione di questa disposizione è consentito solo se il CCC è applicabile nel luogo in cui i dati sono memorizzati. Poiché nessuno dei 68 Stati contraenti ha formulato una riserva all'art. 32 CCC, l'esame può limitarsi a verificare se lo Stato del luogo di conservazione da colpire è parte contraente della Convenzione sulla criminalità informatica, ossia se l'ha firmata e ratificata.
21 L'art. 32 CCC non è applicabile a circostanze puramente nazionali: Se i dati sono memorizzati localmente su un terminale o un server situato in Svizzera e qui protetti, si applica il diritto nazionale svizzero (in particolare l'art. 246, l'art. 263 e l'art. 265 CPP, per i dati marginali si veda l'art. 273 CPP). Ciò vale anche se le registrazioni di dati stranieri si trovano nella cache del dispositivo sequestrato qui al momento dell'accesso. Tuttavia, se il dispositivo viene utilizzato come "chiave" o "gateway" per accedere a servizi che hanno memorizzato i propri dati all'estero (ad es. cloud, webmail, ecc.) senza che questi siano memorizzati localmente sul dispositivo, si tratta di un sequestro transnazionale di dati e deve essere osservato l'art. 32 CPC (cfr. tuttavia di seguito, n. 63 e segg.). Il diritto nazionale svizzero è applicabile anche se i fornitori stranieri hanno filiali o partner svizzeri che memorizzano i dati in Svizzera. In questo caso, l'accesso può avvenire presso questi ultimi. Tuttavia, i centri dati non rientrano solitamente in questa categoria, in quanto i dati memorizzati presso di essi sono spesso criptati e difficilmente possono essere letti senza la collaborazione o la raccolta forzata dei dati presso le persone autorizzate a riceverli. Le persone straniere devono quindi essere invitate a consegnare i dati o le chiavi in applicazione dell'art. 32 lett. b CPC o in via sussidiaria tramite l'assistenza giudiziaria. L'art. 32 lett. b CPC si applica anche se le filiali nazionali o i partner di fornitori stranieri sono invitati dal pubblico ministero a consegnare i dati che hanno memorizzato all'estero. Correttamente, a una persona nazionale non può essere ordinato, sotto minaccia di coercizione, di ottenere prove a disposizione delle autorità giudiziarie all'estero, anche se queste dovessero riguardare dati ai quali ha diritto di accedere. A questo proposito, il Tribunale federale ha ritenuto che un ordine di rivelare dati ai sensi dell'articolo 265 del CPP a una filiale svizzera di un fornitore di servizi Internet fosse ammissibile se aveva accesso ai dati in questione ed era autorizzato ad accedervi ("pouvoir de disposition, en fait et en droit, sur ces données"). Ciò non è in contrasto con quanto appena detto, in quanto l'ordine di divulgazione non costituisce ancora una misura coercitiva e può essere inteso e valutato in questo contesto come una richiesta di divulgazione volontaria ai sensi dell'art. 32 del CDC.
22 Per quanto riguarda i Paesi terzi che non hanno aderito alla Convenzione, si deve presumere che la sovranità dello Stato vieti qualsiasi accesso online ai dati (non pubblici, cfr. infra, n. 35) e che quindi l'unica possibilità sia quella di seguire la via dell'assistenza reciproca.
23 È ovvio basarsi sul luogo di archiviazione, perché gli Stati possono invocare il principio di sovranità anche per quanto riguarda l'infrastruttura informatica situata sul loro territorio. Tuttavia, è problematico che al momento dell'accesso, spesso non è noto né all'autorità di contrasto né alla persona autorizzata ad accedere ai dati e nemmeno al custode dei dati dove questi siano conservati in un determinato momento. Ad esempio, i fornitori di servizi Internet a volte non conservano i dati dei loro clienti nel loro paese di residenza, ma altrove. Il luogo di archiviazione può anche cambiare nel tempo a causa di ristrutturazioni tecniche o trasferimenti in altri luoghi (più economici). In ogni caso, spesso non è possibile determinare con certezza il luogo di conservazione al momento dell'accesso ai dati. Ciò solleva la questione di come affrontare il caso standard in cui l'autorità di contrasto non è in grado di determinare, al momento del sequestro previsto, se i dati sono archiviati in uno Stato contraente del CCC, in un Paese terzo o addirittura nel proprio Paese. I materiali sull'art. 32 del TCC non trattano questo aspetto in modo definitivo; la nota orientativa del T-CY si limita a prevedere che, in situazioni in cui il luogo di archiviazione è sconosciuto o incerto, gli Stati contraenti stessi dovrebbero valutare la legittimità dell'accesso alla luce del diritto interno, dei principi di diritto internazionale pertinenti o di considerazioni sulle relazioni internazionali ("[...] le parti possono dover valutare esse stesse la legittimità di una perquisizione o di un altro tipo di accesso alla luce del diritto interno, dei principi di diritto internazionale pertinenti o di considerazioni sulle relazioni internazionali"). Nel caso di un luogo di stoccaggio sconosciuto, si suggerisce quanto segue: Se per l'applicabilità dell'art. 32 CPC fosse richiesta la conoscenza certa che il luogo di archiviazione si trova in uno Stato contraente, l'art. 32 lett. b CPC perderebbe il suo significato e il sequestro dei dati cloud sarebbe ridotto all'assurdo. "La mera possibilità di un luogo di archiviazione in un Paese terzo non può far scattare l'obbligo di fornire assistenza reciproca, soprattutto perché non è chiaro a quale Paese ci si debba rivolgere a tal fine. Chiarimenti dettagliati sul luogo di stoccaggio sono spesso impossibili prima dell'accesso o richiedono troppo tempo - è vero: se non c'è urgenza e il luogo di stoccaggio può essere determinato tecnicamente senza particolari sforzi, si dovrebbe fare uno sforzo. In considerazione dell'idea di accelerazione del CCC, tuttavia, non sarebbe consigliabile aspettare di conoscere con certezza il luogo, soprattutto se si rischia di perdere delle prove. Se a posteriori dovesse emergere che il luogo di conservazione si trovava effettivamente in un Paese terzo, sarà necessario ottenere una successiva autorizzazione per l'accesso ai dati attraverso l'assistenza giudiziaria (cfr. infra, n. 71).
24 Per quanto riguarda i grandi fornitori di social media, la situazione è un po' più complicata. Hanno la loro sede centrale negli Stati Uniti, ma le loro sedi europee sono spesso in Irlanda e, secondo le loro stesse informazioni (che non sono necessariamente corrette alla luce del Cloud Act statunitense), hanno accesso ai dati dei clienti europei e svizzeri solo dall'Irlanda (cosa che i provider giustificano con il Regolamento generale europeo sulla protezione dei dati del 27 aprile 2016 ["DSGVO"]), anche se i dati sono regolarmente archiviati in altri Paesi (ad esempio in Svezia). Tuttavia, l'Irlanda non ha ancora ratificato il CCC. Di conseguenza, ci si chiede se le richieste ai sensi dell'art. 32 lett. b del CDC di dati europei all'attenzione della filiale irlandese siano ammissibili e se i dati raccolti possano essere utilizzati. In alternativa, si deve considerare la Svezia come possibile luogo di archiviazione, anche se i dati possono essere accessibili lì, ma è probabile che siano criptati e quindi inutilizzabili? Oppure si dovrebbe intervenire sulla società madre americana, che dovrebbe ottenere i dati dalla sua filiale europea? In pratica, l'esplosività di questa domanda è mitigata dal fatto che le richieste di informazioni possono essere effettuate tramite "portali per le forze dell'ordine" forniti dai fornitori di servizi Internet - da quale società del gruppo i fornitori mettano poi a disposizione delle autorità i dati richiesti o come si siano organizzati internamente dipende da loro e non è necessario esaminare ulteriormente, soprattutto perché le autorità di polizia non hanno modo di verificare dove i dati modificati siano stati effettivamente archiviati e quale società del gruppo vi abbia avuto accesso.
25 Alla luce di tutte queste difficoltà, il luogo di conservazione ha poco senso come criterio decisivo. De lege ferenda, il criterio del luogo di conservazione dovrebbe quindi essere abbandonato per l'art. 32 del TCC ed essere invece collegato alla sede legale o al luogo di residenza della persona che ha accesso legittimo ai dati. In alternativa (in conformità al Regolamento UE sulle prove elettroniche e all'Art. 18(1)(b) del CPC), potrebbe anche essere sufficiente che la società in questione offra i propri servizi nello Stato in questione.
F. Rilevanza pratica
26 L'art. 32 CPC si è sviluppato come un mezzo indispensabile per perseguire i reati con una componente digitale. Le autorità svizzere preposte all'applicazione della legge si avvalgono regolarmente dell'Art. 32 CCC, sia attraverso la raccolta di informazioni open source ("OSINF") in applicazione dell'Art. 32 lett. a CCC, sia attraverso l'accesso ai dati in seguito alla divulgazione volontaria dei dati di accesso da parte della persona svizzera avente diritto ai dati ai sensi dell'Art. 32 lett. b CCC o, in particolare, attraverso l'accesso ai dati in seguito alla divulgazione volontaria dei dati di accesso. b CCC o, in particolare, attraverso richieste dirette ("richieste di informazioni") a fornitori di servizi Internet esteri per la divulgazione di dati di inventario, marginali o di contenuto (in pratica, di solito vengono forniti solo dati di inventario e marginali, mentre per i dati di contenuto è necessario seguire la via dell'assistenza reciproca, se necessario in combinazione con una "richiesta di conservazione" ai sensi dell'art. 29 CCC). Le cifre relative alle richieste dirette di informazioni sono notevoli: nella prima metà del 2022, solo Google ha ricevuto oltre 422.000 richieste dirette, di cui 1.357 dalle forze dell'ordine svizzere, il 90% delle quali è stato approvato. Tuttavia, i provider non sono responsabili se rifiutano una richiesta; possono stabilire loro stessi le condizioni di consegna, possono anche modificarle più volte e, inoltre, le condizioni variano notevolmente a seconda del provider. Ciò è accettabile nell'ambito del regime attuale, poiché l'art. 32 del Codice Civile si basa sulla volontarietà.
II. Accesso a dati pubblicamente accessibili conservati in un altro Stato contraente ("open source") (lett. a)
A. Dati accessibili al pubblico
27 La raccolta e l'analisi di "informazioni di fonte aperta" è definita nel settore dell'intelligence come "OSINT" ("Open Source Intelligence"). L'uso di dati accessibili al pubblico si è sviluppato anche nelle forze dell'ordine come metodo investigativo utile e non invasivo. Questo è supportato dall'industria tecnologica, che ha sviluppato strumenti con i quali i dati non devono più essere raccolti manualmente, ma vengono raccolti automaticamente: Ad esempio, fornendo un software con cui è possibile estrarre tutte le informazioni pubblicamente accessibili da Facebook e visualizzarle in alberi di relazioni e sulla timeline, oppure strumenti tecnici per poter tracciare il flusso di denaro delle criptovalute (la cui blockchain è pubblicamente accessibile). Anche l'uso dell'intelligenza artificiale non è più un sogno del futuro.
28 I dati sono pubblici se sono liberamente accessibili attraverso un sistema di elaborazione dati e non sono sottratti all'accesso generale da speciali misure di sicurezza. È sufficiente che siano resi accessibili a una cerchia indefinita di utenti, anche se è richiesto un login, "ma questo è in linea di principio concesso a ogni utente se è stato compilato un modulo di login corrispondente". Un sistema può anche essere solo parzialmente pubblico. I dati che "possono essere consultati solo attraverso l'interfaccia di un dispositivo terminale situato nell'oggetto di ricerca - non accessibile al pubblico", invece, non sono "open source".
29 Esempi di dati accessibili al pubblico sono - nel senso di un elenco non esaustivo - i mezzi di comunicazione di massa liberamente accessibili (stampa [anche se protetta da un paywall], radiodiffusione), tutte le informazioni che possono essere reperite su Internet (clearnet così come darknet), le applicazioni basate sul web (come Google Earth), le informazioni sulla blockchain accessibili al pubblico (ad esempio nel caso di Bitcoin), su Internet (ad esempio nel caso di Bitcoin), su Internet (ad esempio nel caso di Bitcoin). Bitcoin), dati pubblicamente accessibili sul sito web sotto l'indirizzo di dominio di un'azienda o di un'amministrazione, webcam liberamente accessibili, una mailing list aperta a tutti gli interessati, dati liberamente disponibili su una piattaforma di condivisione, l'attingimento di dati tecnici da un server web, la determinazione di informazioni sul dominio tramite database "WhoIs", informazioni su debitori, catasto, registro delle imprese e anagrafe dei residenti liberamente accessibili all'estero o a pagamento o atti disponibili di procedimenti penali, amministrativi e civili, osservazione di chat pubbliche, forum aperti su Internet e social network a commutazione pubblica (utilizzo di dati pubblici, foto e relazioni su Facebook, informazioni da X, Instagram, LinkedIn ecc.) ). Un post in un gruppo chiuso (forum online, Facebook o simili) può essere qualificato come pubblico anche nel caso di gruppi con un numero elevato di membri o con accesso di fatto illimitato, a meno che il gruppo di persone non sia specificamente delimitato e le persone siano personalmente collegate tra loro. Di conseguenza, "i gruppi di utenti chiusi in cui gli amministratori del sito verificano l'identità degli utenti caso per caso e un investigatore potrebbe accedere solo, ad esempio, falsificando una legenda, non possono più essere definiti pubblici".
30 A seconda delle circostanze, non solo i dati di contenuto (dati personali o di altro tipo), ma anche i dati di inventario (ad esempio le informazioni di registrazione da database "WhoIs") o (raramente) anche i dati marginali possono essere pubblici e quindi raccolti in applicazione dell'art. 32 lett. a CCC.
31 Ai fini della qualificazione come dati accessibili al pubblico, è irrilevante che i dati siano stati pubblicati senza autorizzazione o con il consenso della persona interessata. Se la pubblicazione è avvenuta illegalmente (ad esempio, violando gli obblighi di segretezza legale), i dati possono essere utilizzati nei procedimenti penali nazionali se possono essere ottenuti legittimamente dalle autorità giudiziarie e se la ponderazione degli interessi depone a favore del loro utilizzo. Di conseguenza, per quanto riguarda il primo criterio, è necessario chiarire se i dati avrebbero potuto essere ipoteticamente sequestrati anche se non fossero stati pubblici, ossia se avrebbero potuto essere ottenuti ai sensi dell'art. 32 lett. b del Codice penale o tramite l'assistenza giudiziaria.
B. Natura giuridica: qualificazione come interferenza con i diritti fondamentali?
32 È discutibile fino a che punto la raccolta e l'analisi di dati accessibili al pubblico possano essere qualificate come un'interferenza con i diritti fondamentali e, di conseguenza, come una misura coercitiva ai sensi dell'art. 196 CPP. La risposta a questa domanda è fondamentale, da un lato per determinare la misura in cui è possibile accedere a dati pubblici situati in un Paese terzo, dall'altro perché, in caso di risposta affermativa, deve esistere una base giuridica sufficientemente concreta (art. 197 cpv. 1 lett. a CPP). Quest'ultima, tuttavia, è già realizzata dall'art. 95 CPP (acquisizione di dati personali).
33 Ai sensi dell'art. 196 CPP, le misure coercitive sono definite come atti procedurali delle autorità penali che servono, tra l'altro, ad assicurare le prove, nella misura in cui interferiscono con i diritti fondamentali delle persone interessate. L'art. 196 CPP quindi (contrariamente alla formulazione ["misura coercitiva"]) non presuppone necessariamente la coercizione, ma piuttosto si basa in modo decisivo sul fatto che la misura debba essere considerata una violazione dei diritti fondamentali delle persone interessate. Oltre al diritto alla libertà personale e alla garanzia della proprietà, è in primo piano la protezione della privacy ai sensi dell'articolo 13 della Cost. e dell'articolo 8 della CEDU, o più specificamente il diritto all'autodeterminazione informativa ivi sancito. Gli interventi su questo diritto costituzionale comprendono la sorveglianza telefonica, la raccolta di dati di telecomunicazione, il prelievo e l'analisi del DNA e delle impronte digitali, l'osservazione (compresa la sorveglianza sistematica da parte di detective privati), le registrazioni video da parte della polizia, l'uso di un IMSI catcher e le ricerche online protette da password o il sequestro di messaggi di chat.
34 Per quanto riguarda la sorveglianza automatizzata del traffico, la Corte Suprema Federale ha affermato che la protezione della privacy non si limita ai locali privati, ma si estende anche alla sfera pubblica privata; l'articolo 13 della Costituzione Federale copre anche le questioni di vita con contenuto personale che si verificano nella sfera pubblica. Secondo la Corte costituzionale federale tedesca, l'accesso a "contenuti di comunicazione e informazioni disponibili su Internet che sono rivolti a tutti o almeno a un gruppo di persone non ulteriormente delimitato" non può ancora essere definito correttamente come una violazione del diritto all'autodeterminazione informativa. I contenuti riservati a un determinato gruppo di utenti su blog, forum o social media e quindi rivolti a un ambiente caratterizzato da relazioni personali o da una particolare fiducia sono da attribuire alla sfera privata ai sensi dell'art. 13 cpv. 1 Cost. e il loro accesso è da considerarsi una violazione dei diritti fondamentali. I dati che sono accessibili a tutti gli utenti di Internet senza condizioni preliminari o che possono essere visualizzati da tutti gli utenti registrati su una piattaforma (indipendentemente da un rapporto stretto con la persona che divulga le informazioni) non possono più essere classificati come "privati", indipendentemente dal contenuto. Le informazioni che sono già di dominio pubblico non sono più protette (ad eccezione del "diritto all'oblio" previsto dalla legge sulla protezione dei dati).
35 Se l'accesso ai dati generalmente accessibili non è una misura coercitiva, ciò significa anche che l'art. 32 lett. a CDC non ha natura costitutiva ma puramente dichiarativa: se l'accesso alle fonti pubbliche non viola la sovranità dello Stato a causa della mancanza di un effettivo esercizio di coercizione, non è nemmeno necessario un accordo intergovernativo. Di conseguenza, anche i dati accessibili al pubblico provenienti da Paesi terzi che non hanno ratificato il CCC possono essere consultati senza problemi. Quest'ultimo aspetto è talvolta giustificato anche dal fatto che l'accesso transnazionale ai "dati open source" è una questione di diritto internazionale consuetudinario; tali atti di indagine sono considerati incontestabili.
36 Anche se questo non fosse seguito in termini così assoluti, l'intercettazione di dati divulgati volontariamente - come i contenuti delle comunicazioni nei social media - non potrebbe essere considerata una violazione dei diritti fondamentali. Infatti, decidendo consapevolmente di condividere informazioni personali, le persone interessate rinunciano alla loro autodeterminazione informativa in merito a questi dati specifici, o in altre parole: rilasciandoli nel pubblico dominio, hanno appena esercitato la loro autodeterminazione informativa. Lo stesso vale per la traccia di dati pubblici lasciata dai loro stessi input, come le transazioni effettuate con Bitcoin che sono tracciabili sulla blockchain pubblica. Inoltre, i dati che non possono essere attribuiti direttamente a una persona specifica non sono degni di essere protetti da alcun titolo di diritti fondamentali. Ciò include, ad esempio, l'uso di "Google Earth" o i dati tecnici che un server web rivela. Di conseguenza, l'acquisizione e l'analisi di informazioni personali non volontariamente divulgate è il massimo che si possa considerare una misura coercitiva; in questo caso si potrebbe legittimamente sostenere che le persone interessate non hanno alcun controllo sulle informazioni che le riguardano disponibili su Internet. Tuttavia, anche in questo caso si dovrebbe tenere conto del fatto che l'OSINT è un intervento relativamente meno invasivo e quindi proporzionato, poiché si limita a informazioni accessibili a chiunque senza particolari restrizioni di accesso.
C. Prerequisiti per l'accesso ai dati consentito dal diritto processuale penale svizzero
37 L'accesso ai dati "open source" è consentito per qualsiasi reato (crimine, delitto o infrazione) nella misura in cui la raccolta di prove disponibili in forma elettronica sia utile per il suo perseguimento (cfr. art. 25 cpv. 1 e art. 14 cpv. 2 lett. c CP). Nella misura in cui la legge sulla polizia cantonale lo consente, è possibile accedere alle informazioni pubbliche anche nell'ambito dell'attività di polizia preventiva.
38 A causa dell'assenza di violazione dei diritti fondamentali, le indagini "open source" non devono essere classificate come misure coercitive ai sensi dell'art. 196 e seguenti del CPP (cfr. sopra, n. 32 e seguenti). Di conseguenza, non sono applicabili né le disposizioni formali e sostanziali sulle perquisizioni (art. 246 e segg. CPP) né quelle sui sequestri (art. 263 CPP). Piuttosto, l'"OSINF" o "OSINT" è considerata una raccolta di prove consentita in base all'art. 95 CPP ai sensi dell'art. 139 cpv. 1 CPP.
39 L'accesso ai social media o alle chat room sotto falsa identità da parte di membri delle forze dell'ordine per accedere ai contenuti ivi pubblicati non deve essere classificato come una ricerca sotto copertura (art. 298a CPP) o un'indagine sotto copertura (art. 285a CPP), poiché in questo caso non si stabilisce un contatto diretto con la persona oggetto dell'indagine. La situazione sarebbe diversa se l'investigatore inviasse attivamente all'obiettivo una richiesta di amicizia o simili per prendere nota anche dei suoi contributi (privati), o se accedesse a una chat o a un forum non generalmente accessibili creando una leggenda.
40 Il valore probatorio dei dati disponibili al pubblico deve essere esaminato in dettaglio nell'ambito della libera valutazione delle prove (art. 10 cpv. 2 CPP). A questo proposito, sono diverse le considerazioni da fare, in primo luogo l'origine della prova, la sua autenticità e affidabilità, il rapporto del suo autore con le parti del procedimento, ma soprattutto il fatto che la fonte sia anonima o nota, soprattutto perché i dubbi sono grandi in caso di origine sconosciuta e i dati sono relativamente facili da manipolare. È inoltre importante che i dati siano protetti dal punto di vista forense secondo l'attuale stato dell'arte, poiché i metadati possono essere utilizzati per trarre conclusioni sul valore delle prove; a tal fine non è sufficiente prendere semplicemente degli screenshot.
III. Accesso ad altri dati conservati in un altro Stato contraente (lett. b)
A. Consenso legittimo e volontario della persona legittimamente autorizzata a divulgare i dati
1. Diritto alla divulgazione
41 L'art. 32 del CDC regola solo l'ammissibilità dell'accesso ai dati ai sensi del diritto internazionale; "le norme nazionali in base alle quali deve essere valutato il trasferimento dei dati, ossia in base alle quali si deve decidere se il consenso al trasferimento è stato legittimamente dato da una persona legittimamente autorizzata a farlo, non sono influenzate dalla Convenzione". Il Consiglio d'Europa si è astenuto dal definire il concetto di autorizzazione al trasferimento in modo più dettagliato nella Convenzione. La relazione esplicativa afferma che chi può dare il consenso "può variare a seconda delle circostanze, della natura della persona e della legge applicabile".
42 La questione di chi sia "legalmente autorizzato a divulgare i dati [...]" è determinata dal diritto interno dello Stato richiedente, ossia quello in cui si svolge l'indagine. Ciò sembra ragionevole anche perché spesso non è possibile, o non senza grandi sforzi, localizzare con precisione i dati prima di accedervi. Sarebbe inoltre impraticabile e incompatibile con l'idea di accelerazione del CCC richiedere alle autorità svizzere di verificare separatamente la situazione delle autorizzazioni per ogni Stato contraente prima di poter effettuare il backup dei dati.
43 L'autorizzazione a trasmettere i dati è necessaria. Necessario, ma anche sufficiente, è il consenso di una persona legittimamente autorizzata a comunicarli alle autorità di contrasto. L'autorizzazione può essere di natura legale o obbligatoria.
44 Contrariamente al messaggio, non è un requisito aggiuntivo che il consenso debba essere dato da "una persona nel paese"; l'art. 32 lett. b CPC non conosce un criterio così restrittivo, che peraltro sarebbe in contrasto con lo spirito e lo scopo della Convenzione.
45 Il Rapporto esplicativo e il Dispaccio citano come soggetti legittimati al consenso le persone che hanno la propria posta elettronica archiviata presso un fornitore di servizi in un altro Paese o altri dati archiviati all'estero. Nella letteratura, il cliente che affitta lo spazio di archiviazione è indicato come persona autorizzata nel caso di dati archiviati su server cloud, la banca nel caso di dati su transazioni finanziarie, il datore di lavoro per l'account di posta elettronica aziendale e, nel caso di persone giuridiche, le persone dichiarate responsabili internamente, in mancanza di tali regolamenti interni, il consiglio di amministrazione (AG) o la direzione (GmbH); è probabile che gli amministratori o altre persone autorizzate all'accesso manchino di tale autorizzazione su base regolare.
46 Un aspetto che non è stato discusso in modo conclusivo nella relazione esplicativa riguarda la questione se il consenso debba sempre essere dato dagli interessati (responsabili del trattamento) o se sia sufficiente l'autorizzazione di altri organismi che trattano i dati personali (in primo luogo il fornitore di servizi Internet come responsabile del trattamento). L'estensione ai fornitori di servizi Internet è vista in modo critico, perché essi si limiterebbero a esercitare la custodia dei dati e non sarebbero quindi in grado di dare un consenso legalmente valido.
47 La questione del diritto di trasmettere i dati deve essere considerata nel contesto più ampio in cui, secondo la situazione giuridica attuale in Svizzera, non esiste un diritto di proprietà sui dati: Il diritto di proprietà ai sensi dell'art. 641 del CC si estende solo alla "cosa", che la dottrina intende come "un oggetto fisico, distinto dagli altri, che sia accessibile a un controllo effettivo e legale". Poiché i dati sono beni immateriali, non è possibile stabilire una proprietà ai sensi dell'art. 641 CC su di essi (ma certamente non sui sistemi di elaborazione dati o sui supporti di dati). Inoltre, la legge sul diritto d'autore copre solo le creazioni intellettuali a carattere individuale in forma di dati ed è applicabile solo in casi eccezionali. Tuttavia, il diritto di accesso ai dati è riconosciuto dalla legge sulla protezione dei dati, almeno per quanto riguarda i dati personali, per i quali il diritto di accesso è normato dall'art. 25 della Legge federale sulla protezione dei dati del 25.9.2020 ("LPD", RS 235.1). L'art. 28 LPD garantisce inoltre agli interessati il diritto alla cessione e al trasferimento dei dati personali (portabilità dei dati) se sono soddisfatte determinate condizioni, a condizione che abbiano comunicato tali dati ai responsabili del trattamento. Inoltre, i dati personali "possono essere ottenuti solo per uno scopo specifico e riconoscibile dall'interessato; possono essere trattati solo in modo compatibile con tale scopo" (art. 6 cpv. 3 LPD). La consegna dei dati personali alle autorità di polizia è una forma di trattamento dei dati (cfr. art. 5 lett. d LPD). In altre parole: La persona autorizzata può acconsentire alla divulgazione da parte del responsabile del trattamento.
48 La Svizzera, in linea con altri Stati contraenti, consente quindi che il consenso dei fornitori di servizi Internet sia sufficiente come conseguenza del loro rapporto di diritto privato con la persona interessata, se i fornitori di servizi hanno previsto un diritto di trasmissione alle autorità di contrasto straniere nelle loro condizioni generali di utilizzo o nelle linee guida sull'utilizzo dei dati. La maggior parte dei fornitori di servizi Internet prevede nei propri contratti d'uso che i dati possano essere divulgati non solo in presenza di un'ordinanza giudiziaria valida, ma anche su semplice richiesta delle autorità di polizia o che i fornitori collaborino con le autorità di polizia. In questi casi, la divulgazione è conforme alla legge.
2. Consenso
49 Il fatto che una società estera interessata abbia in linea di principio il diritto di dichiarare il proprio consenso alla divulgazione diretta dei dati nel senso descritto non è sufficiente (secondo la chiara formulazione dell'art. 32 lett. b del Codice civile) per l'accesso transfrontaliero: Occorre piuttosto verificare se l'autorità di contrasto richiedente ha ottenuto un "consenso legittimo e volontario" giuridicamente efficace.
50 Allo stato attuale, una persona giuridica o una persona fisica capace di intendere e di volere, che sia autorizzata a disporre dei dati sulla base di un'autorizzazione legale o obbligatoria e a consentire a terzi di accedervi, è in grado di dare il proprio consenso (cfr. anche sopra, n. 43 e segg.). Se vi sono più persone autorizzate a divulgare i dati, è sufficiente il consenso di una sola persona. Se, ad esempio, il titolare del conto ha dato la sua autorizzazione, non è necessario un ulteriore consenso da parte della società estera fornitrice. Al contrario, è sufficiente che il provider straniero, sulla base di una corrispondente autorizzazione del cliente nelle condizioni generali di utilizzo, rilasci i dati (per il consenso da parte dei fornitori di servizi Internet, si veda sopra, n. 46 e seguenti).
51 Secondo i principi generali di procedura penale, il consenso può essere dichiarato espressamente (per il quale non esiste un requisito formale) o implicito. Quest'ultimo caso si verifica se la persona richiesta dalle autorità di contrasto - ad esempio un fornitore di servizi o il proprietario dell'account in questione - fornisce i dati su richiesta.
52 Allo stesso tempo, ciò significa che le corrispondenti "richieste di informazioni" possono essere fatte all'estero senza che ciò si qualifichi come un atto inammissibile in uno Stato estero. In pratica, le richieste dirette ai provider stranieri sono diventate uno standard internazionale, che può essere inserito attraverso i portali di applicazione della legge gestiti dai provider stessi o, nel caso di altri provider (più piccoli), può essere consegnato anche attraverso la polizia (tramite Interpol). Diversi trattati internazionali consentono la notifica diretta di documenti ufficiali all'estero, almeno in linea di principio, primo fra tutti l'art. 52 cpv. 1 della Convenzione di Schengen del 19 giugno 1990 ("CISA"). Tuttavia, questa Convenzione prevede che ogni Stato possa o debba dichiarare quali documenti possono essere inviati a persone sul suo territorio. Di conseguenza, occorre verificare separatamente per ogni Stato contraente se la notificazione diretta è consentita e, in caso affermativo, in quale misura. Nella misura in cui i destinatari vengono informati che la collaborazione è volontaria e che un eventuale rifiuto non comporta conseguenze negative dirette, non è chiaro in che misura ciò possa essere considerato una violazione della sovranità territoriale straniera e quindi un caso di applicazione dell'art. 52 cpv. 1 della Convenzione di Schengen - si tratta di semplici inviti senza alcuna minaccia di coercizione e senza conseguenze negative legate a un eventuale rifiuto di collaborare. Non avrebbe quindi molto senso se l'eccezione di cui all'art. 32 lett. b CDC fosse intesa ad aumentare l'efficienza della macchinosa procedura formale di assistenza reciproca, ma allo stesso tempo venisse silurata dall'obbligo di chiarire la volontà delle persone interessate di cooperare volontariamente attraverso questa stessa procedura formale di assistenza reciproca. A questo proposito, l'art. 32 lett. b CPC prevale sull'art. 52 CAAS.
53 Il consenso deve essere volontario; la persona interessata non deve essere ingannata o costretta a consegnare i dati. Spesso vi è una pressione indiretta, in quanto l'ufficio del pubblico ministero può richiedere il sequestro e il trasferimento dei dati in questione attraverso l'assistenza giudiziaria se la persona si rifiuta. Tuttavia, ciò non è sufficiente a compromettere la formazione della volontà. Lo stesso vale, ad esempio, nel caso di una situazione di detenzione, in cui l'imputato potrebbe sentirsi soggettivamente costretto a collaborare a causa delle circostanze e a fornire i dati conservati all'estero per essere rilasciato dalla detenzione il più rapidamente possibile. Tuttavia, anche una situazione di pressione generale di questo tipo non impedisce all'imputato di dare il proprio consenso in conformità alla legge. Ciò che è vietato, invece, è la minaccia concreta di possibili ulteriori svantaggi. Di conseguenza, una persona domiciliata in Svizzera non può essere costretta a produrre i dati archiviati all'estero a cui ha accesso. Tuttavia, può essere invitata a farlo mediante un ordine di divulgazione (art. 265 CPP).
54 Infine, il consenso può essere revocato in qualsiasi momento, ma la revoca è valida solo ex nunc. Una revoca successiva al salvataggio dei dati è pertanto irrilevante.
B. Conseguenze di un consenso legalmente valido
55 Se la persona autorizzata a disporre divulga volontariamente i propri dati di accesso a servizi Internet di derivazione straniera o acconsente alla ricerca online, le autorità preposte all'applicazione della legge, in applicazione dell'art. 32 lett. b CPC, possono accedere direttamente alle informazioni e metterle al sicuro utilizzando i dati di accesso. Inoltre, ogni persona privata è libera di mettere a disposizione delle autorità di polizia copie dei propri dati archiviati presso un provider estero (come e-mail o messaggi di chat). È anche possibile che l'autorità giudiziaria chieda direttamente a un fornitore di servizi Internet domiciliato all'estero di consegnare i dati (cfr. sopra, n. 48, 51 s.).
C. Presupposti per l'accesso ai dati consentito dal diritto processuale penale svizzero
56 L'accesso a dati non pubblici in Svizzera non è possibile senza condizioni preliminari. Nel caso dei dati relativi al contenuto, i dati devono essere sequestrati (ad esempio tramite un ordine di edizione [art. 265 CPP] o durante una perquisizione domiciliare [art. 244 CPP]), perquisiti (art. 246 CPP) e quindi, se rilevanti ai fini della prova, sequestrati (art. 263 CPP). Per i dati sul traffico, una raccolta marginale retroattiva di dati (Art. 273 CPP) deve essere ordinata e approvata dal tribunale dei provvedimenti coercitivi (Art. 274 CPP). L'art. 32 lett. b CPC non costituisce una misura indipendente per la conservazione o la raccolta di prove che superi i requisiti nazionali. La disposizione prevede solo che, in presenza di un consenso legalmente valido, si possa rinunciare a una procedura di assistenza giudiziaria. L'accesso ai dati, anche se avviene a livello transnazionale, costituisce quindi una misura coercitiva nazionale che deve soddisfare le leggi nazionali. Il sequestro di dati all'estero deve quindi soddisfare - oltre al consenso descritto - le stesse condizioni che si avrebbero se i dati fossero conservati in Svizzera. Una "richiesta di informazioni" a un fornitore di servizi Internet deve quindi essere qualificata come un ordine di divulgazione ai sensi dell'art. 265 CPP.
57 In primo luogo, ne consegue che, in linea di principio, l'apertura di un'indagine penale ai sensi dell'art. 309 cpv. 1 CPP e quindi un sufficiente sospetto di reato sono un prerequisito, per cui un procedimento penale non ancora formalmente aperto si considera automaticamente aperto con l'intercettazione dei dati (art. 309 cpv. 1 lett. b CPP). Nei procedimenti d'indagine di polizia indipendenti, l'art. 32 lett. b CPC non può essere invocato. Anche i servizi di intelligence non possono invocarlo.
58 Il CCC serve a raccogliere le prove di un reato che sono disponibili in forma elettronica (cfr. art. 25 cpv. 1 e art. 14 cpv. 2 lett. c CCC). Il sospetto sufficiente può quindi estendersi in linea di principio a qualsiasi reato, purché vi sia almeno il sospetto criminologico che sia stato commesso con un dispositivo tecnico. La gravità del reato è irrilevante: l'accesso transnazionale ai dati è in linea di principio aperto ai reati, alle infrazioni e alle trasgressioni (nei casi minori, tuttavia, la proporzionalità dell'accesso ai dati può essere oggetto di discussione).
59 Per il sequestro dei dati sui contenuti, è necessario presupporre che essi contengano informazioni soggette a sequestro (art. 246 CPP). Ai sensi dell'art. 263 cpv. 1 lett. a CPP, gli oggetti appartenenti a un imputato o a terzi possono essere sequestrati in particolare se sono necessari come prova. Per il sequestro e la perquisizione di registri, è sufficiente una potenziale rilevanza come prova, che è data se i dati "possono essere importanti per il chiarimento dei presunti reati" o non appaiono "palesemente inidonei". La giurisprudenza non stabilisce standard elevati in merito. Infine, il sequestro e la perquisizione devono essere proporzionati (art. 197 cpv. 1 lett. c e d CPP) e quindi adeguati, necessari e appropriati. Soprattutto nel perseguimento dei reati, la proporzionalità può essere discutibile. Da un punto di vista formale, il sequestro e la perquisizione da parte del pubblico ministero devono di norma essere ordinati in un mandato scritto (art. 241 cpv. 1 CPP). Per la raccolta dei dati di inventario, invece, l'unico requisito è che vi sia il sospetto che sia stato commesso un reato tramite Internet (art. 22 cpv. 1 della Legge federale sull'intercettazione del traffico postale e delle telecomunicazioni del 18.3.2016 ["BÜPF"; RS 780.1]).
60 Se i dati della cronologia/log IP o altri dati marginali sono raccolti all'estero, si pone la questione se l'ufficio del pubblico ministero possa rendere disponibili tali registrazioni di propria competenza o se debba essere ottenuta l'autorizzazione dal tribunale per i provvedimenti coercitivi in applicazione dell'art. 273 cpv. 2 CPP. Il Tribunale federale ha stabilito che l'art. 273 CPP consente la raccolta retroattiva di dati marginali sul traffico delle telecomunicazioni solo "presso i fornitori di servizi di telecomunicazione o di accesso a Internet domiciliati in Svizzera e soggetti al diritto svizzero". Ha quindi escluso la sua applicabilità a situazioni internazionali, con la conseguenza che per la raccolta non dovrebbe essere necessaria l'autorizzazione del tribunale dei provvedimenti coercitivi; in altre parole, l'art. 32 lett. b CPC consente "uno scambio internazionale facilitato di dati marginali". In un'altra decisione, tuttavia, il Tribunale federale ha respinto una richiesta di autorizzazione da parte dell'ufficio del pubblico ministero sulla base del fatto che i requisiti dell'art. 32 lett. b CPC non erano stati soddisfatti in questo caso, aggiungendo che l'accesso diretto transfrontaliero avrebbe dovuto essere autorizzato dal tribunale per i provvedimenti obbligatori ai sensi dell'art. 273 CPP. Inoltre, in un'ulteriore sentenza, ha espressamente affermato che l'autorizzazione del tribunale dei provvedimenti coercitivi deve essere ottenuta anche per le cronologie IP interrogate da provider stranieri e che, poiché ciò non è stato fatto nel caso specifico, le conoscenze ottenute dalle interrogazioni erano assolutamente inutilizzabili. Il fatto che il Tribunale federale si sia occupato dell'art. 273 CPP può sembrare comprensibile a prima vista se si considera la natura giuridica dell'art. 32 lett. b del CPP, che si limita a dichiarare ammissibile l'accesso transnazionale in base al diritto internazionale, ma non incide sulle disposizioni nazionali, in particolare per quanto riguarda la competenza a raccogliere dati. Occorre tuttavia considerare che le disposizioni sulla raccolta retroattiva di dati marginali non sono attivate unicamente dal tipo di dati da raccogliere (traffico o dati marginali), ma i dati devono essere ottenuti da un fornitore di telecomunicazioni o essere protetti dal segreto delle telecomunicazioni (art. 321ter CP e art. 43 della legge sulle telecomunicazioni del 30.4.1997 ["TCA"; RS 784.10]). Tuttavia, il segreto sulle telecomunicazioni si applica (nella misura in cui è di interesse in questo caso) solo ai fornitori che offrono accesso a Internet o trasmissione di telecomunicazioni. I fornitori di servizi Internet o di servizi di comunicazione derivati che non offrono accesso a Internet ma solo servizi forniti via Internet ("servizi over-the-top") non sono considerati fornitori di telecomunicazioni. Per questo motivo, né il sequestro di dati marginali di tali società in patria né all'estero è soggetto a un obbligo di licenza. A tal fine è sufficiente un ordine di modifica all'attenzione del fornitore di servizi Internet (art. 265 CPP). Di conseguenza, se le cronologie IP e altri dati marginali vengono raccolti da fornitori di servizi non di telecomunicazione all'estero sulla base dell'art. 32 lett. b CPC, non è necessario ottenere un'autorizzazione dal tribunale per i provvedimenti coercitivi.
61 Infine, ci si chiede in che misura gli altri requisiti per l'assistenza giudiziaria, ossia i motivi di rifiuto e la necessità della doppia incriminazione, si applichino anche all'art. 32 lett. b CPC. L'art. 25 par. 4 CPC prevede, al titolo 3 ("Principi generali dell'assistenza giudiziaria"), che, a meno che il CPC non disponga espressamente altrimenti, "l'assistenza giudiziaria è soggetta alle condizioni previste dalla legge della Parte richiesta o dai trattati di assistenza giudiziaria applicabili, compresi i motivi per cui la Parte richiesta può rifiutare di cooperare". Tuttavia, l'art. 32 lett. b CPC consente l'accesso diretto prima dell'assistenza reciproca; in questo caso non è necessaria una "richiesta" all'altro Stato contraente, come invece prevede l'art. 25 cpv. 4 CPC. Di conseguenza, l'accesso concesso volontariamente non richiede la doppia incriminazione, né devono essere soddisfatte ulteriori condizioni che altrimenti si applicherebbero ai procedimenti di assistenza giudiziaria. Questo ammorbidimento è giustificato, da un lato, dalla natura volontaria dei consenzienti e, dall'altro, dalla natura giuridica dell'art. 32 lett. b CPC, che estende il braccio territoriale delle autorità giudiziarie, pur continuando a essere una misura nazionale di conservazione delle prove. Se il tentativo di sequestrare le registrazioni sulla base dell'art. 32 lett. b CPC fallisce, si deve percorrere la via dell'assistenza giudiziaria ordinaria, per la quale si applicano nuovamente le relative limitazioni.
62 L'interessato non può difendersi dal sequestro diretto in quanto tale o dall'indagine del provider; tuttavia, il rimedio legale del sigillo (art. 248 CPP) è a sua disposizione contro la perquisizione, nella misura in cui può dimostrare in modo credibile un divieto di sequestro (art. 264 CPP). L'effetto dell'apposizione del sigillo è che le autorità giudiziarie non possono consultare i documenti fino a quando il tribunale per i provvedimenti coercitivi non si sia pronunciato sull'ammissibilità della raccolta e della ricerca dei dati.
IV. Conservazione delle prove al di là dell'art. 32 CPC secondo il principio dell'accesso
63 In attrito con il principio di territorialità, che si basa sul luogo di conservazione delle prove e quindi, nel caso dei dati, sul luogo fisico di conservazione, il Tribunale federale consente l'accesso anche in assenza di consenso, indipendentemente dal luogo in cui i dati sono conservati al momento dell'accesso; il fattore decisivo è che i dati siano accessibili dalla Svizzera: "Chiunque utilizzi un servizio Internet derivato offerto da una società estera tramite un accesso Internet in Svizzera non agisce all'estero. Anche il semplice fatto che i dati elettronici del relativo servizio Internet derivato siano gestiti su server (o supporti di memorizzazione cloud) all'estero non fa sì che una ricerca online condotta dalla Svizzera in conformità alla legge appaia come un atto investigativo inammissibile in territorio straniero (ai sensi della prassi esposta) [...]".
64 L'oggetto della valutazione era l'accesso all'account Facebook di una persona accusata di traffico qualificato di stupefacenti, i cui dati di accesso erano stati messi a disposizione dalle autorità giudiziarie. L'ufficio del pubblico ministero ha quindi fatto cercare l'account Facebook utilizzando i dati di accesso identificati e ha sequestrato i messaggi di chat rilevanti per le prove. All'epoca il luogo di archiviazione di questi dati non si trovava - e non si trova tuttora - in Svizzera. Nella sentenza citata, il Tribunale federale ha stabilito che gli account di imputati o di terzi su servizi Internet stranieri possono essere consultati direttamente se sono soddisfatti i requisiti generali di una perquisizione ai sensi del CPP e se gli investigatori agiscono "da computer, server e infrastrutture informatiche situati in Svizzera", ossia se rimangono fisicamente in Svizzera.
65 La prassi ha accolto con favore questa giurisprudenza. È applicabile non solo a Facebook, ma a un'ampia gamma di servizi nazionali ed esteri, quali host provider, servizi di comunicazione, servizi cloud, fornitori di outsourcing di dati, forum di chat, piattaforme di scambio di documenti, portali di shopping e fornitori di servizi di posta elettronica. Anche i beni in criptovaluta detenuti in un hot wallet possono essere sequestrati (cioè solitamente trasferiti a un wallet delle forze dell'ordine) in applicazione di questa giurisprudenza. Anche la giurisprudenza del tribunale federale sta diventando sempre più importante. La tendenza generale per i dispositivi elettronici è quella di abbandonare l'archiviazione individuale e di metterli al sicuro nel cloud. I telefoni cellulari, in particolare, vengono spesso utilizzati dagli utenti solo come "chiavi" per vari servizi, per cui i dati in questione non vengono più memorizzati sul dispositivo fisico. Se un telefono cellulare o un tablet viene sequestrato durante una perquisizione domiciliare o un fermo di polizia e si scopre che i dati non sono memorizzati sul dispositivo ma nel cloud, o se sul dispositivo vengono trovate applicazioni di servizi di comunicazione o provider di e-mail web, tutti questi dati possono essere sequestrati in base alla giurisprudenza della Corte Suprema Federale. In pratica, questa procedura è facilitata dal fatto che gli utenti spesso salvano i propri dati di accesso ai servizi Internet nel gestore di password o in un browser Internet per motivi di comodità o utilizzano la stessa password per diversi servizi. Inoltre, durante le perquisizioni domiciliari presso le aziende, si scopre sempre più spesso che queste non ospitano o archiviano più i propri dati presso la sede centrale o il luogo di gestione, ma hanno esternalizzato l'elaborazione e l'archiviazione dei dati a fornitori di servizi esterni. In queste situazioni, anche la decisione del Tribunale federale citata è utile, in quanto consente il backup dei dati anche in questi casi.
66 Nella decisione citata, il Tribunale federale ha implicitamente invocato il cosiddetto "principio di accesso". In base a questo principio, nel caso dei dati informatici, non si fa affidamento sull'ubicazione del supporto su cui sono memorizzate le informazioni, ma piuttosto su chi ha accesso ai dati rilevanti per il procedimento e da dove. Il controllo sui dati spetta alla persona che ha l'autorizzazione all'accesso e non alla persona che è in possesso fisico del supporto dati. Alcuni autori citano questo aspetto come una ragione per cui la ricerca e il sequestro di dati archiviati all'estero da parte delle autorità svizzere in Svizzera non dovrebbero essere considerati una violazione della sovranità. In altre parole, l'ammissibilità dell'accesso online dovrebbe dipendere esclusivamente dalla legalità dell'atto investigativo nazionale.
67 Tuttavia, l'accesso a fonti estere non accessibili al pubblico, in particolare quelle protette da password o altre barriere, ha un forte impatto sul territorio estero ("digitale"). Per questo motivo, l'accesso delle autorità investigative ai dati all'estero è talvolta visto come una violazione della sovranità dello Stato in questione; tali prove possono essere ottenute solo attraverso l'assistenza giudiziaria internazionale o direttamente se ciò è esplicitamente previsto da accordi internazionali. In realtà, il principio dell'accesso non cambia gli effetti dell'accesso online dello Stato sulla sovranità straniera, dove si verifica l'effettivo successo della misura. Certo, l'assenza di azioni fisiche da parte di funzionari sul territorio straniero non dovrebbe ancora superare i limiti tracciati dall'art. 299 CP. Tuttavia, per quanto riguarda l'intensità del loro intervento, essi non sono affatto inferiori ad attività investigative fisiche equivalenti (la ricerca del supporto di memorizzazione all'estero da parte di funzionari svizzeri), che sarebbero chiaramente inammissibili. Inoltre, il reperimento online dà il via a operazioni di elaborazione dei dati all'estero; l'accesso lascia tracce rintracciabili nello Stato di destinazione. Nel peggiore dei casi, l'agente investigativo può essere perseguito per intrusione non autorizzata in un sistema di elaborazione dati, acquisizione non autorizzata di dati o inosservanza di diritti sovrani stranieri, a seconda della legislazione nazionale. Inoltre, la raccolta di prove digitali dalla Svizzera avviene in segreto per lo Stato estero, il che - visti gli scandali dei servizi segreti del recente passato - la rende ancora più pericolosa dal suo punto di vista. È sorprendente che, secondo uno studio dell'ONU, il diritto nazionale di diversi Stati consenta comunque una sorta di accesso diretto ai dati archiviati all'estero, mentre la percentuale di Stati che consente tale accesso diretto da parte delle forze dell'ordine straniere è notevolmente inferiore, secondo lo stesso studio. Il sensore del diritto internazionale sembra quindi essere maggiore quando viene colpita la propria sovranità rispetto a quando si dipende dall'ottenimento di prove all'estero. In ogni caso, la Convenzione sulla criminalità informatica consente già l'accesso diretto ai dati stranieri in modo limitato all'art. 32 CCC; un ulteriore reperimento di prove - almeno nei rapporti tra gli Stati della Convenzione - deve essere visto al contrario come un'invasione della sovranità statale. Non a caso il Consiglio d'Europa ha previsto espressamente l'art. 31 CPC, intitolato "Assistenza reciproca nell'accesso ai dati memorizzati". Una proposta avanzata dagli Stati membri dell'UE nel contesto dei negoziati, secondo la quale le ricerche online transnazionali dovrebbero essere consentite in casi urgenti, non è stata accolta - a causa della mancanza di consenso, si è deciso di non regolamentare tali situazioni. Anche gli sforzi ripresi da allora sono rimasti in gran parte infruttuosi; anche il 2° Protocollo aggiuntivo al TCC non è un grande successo in questo senso. L'accesso diretto transnazionale ai dati senza il consenso di una persona autorizzata non è quindi ancora oggetto di un consenso internazionale, viola la sovranità dello Stato interessato ed è quindi contrario al diritto internazionale fino a quando non ci saranno ulteriori sviluppi degli attuali accordi bilaterali o multilaterali.
68 Questo risultato è insoddisfacente. In primo luogo, soprattutto quando c'è il rischio che i dati vadano persi senza un'azione immediata. È quindi concepibile consentire il congelamento transnazionale provvisorio dei dati in costellazioni eccezionali in cui vi è un rischio di collusione o di perdita di prove, se anche una "richiesta di conservazione" ai sensi dell'art. 29 del Codice penale sarebbe presentata troppo tardi. In questo caso, i dati conservati dovrebbero essere conservati separatamente e non potrebbero essere consultati fino alla successiva richiesta di autorizzazione allo Stato contraente interessato. In secondo luogo, la critica di cui sopra si basa sul presupposto che le autorità di contrasto siano a conoscenza, al momento dell'accesso, del fatto che i dati non sono conservati nel loro Paese. Tuttavia, spesso non è chiaro fin dall'inizio dove siano conservati i dati, se localmente sul dispositivo o nel cloud. Anche in questi casi deve essere consentito conservare le prove, se necessario con una successiva richiesta di assistenza reciproca nel caso in cui si scopra che i dati sono archiviati all'estero (cfr. sopra, n. 23).
V. Conseguenze della violazione del diritto di sovranità straniera
69 Se i poteri del CCC vengono oltrepassati, l'assistenza giudiziaria in materia penale viene aggirata attraverso l'accesso diretto a vettori di dati stranieri e viene così violato il principio di territorialità o di sovranità, si pone la questione dell'inutilizzabilità delle prove così ottenute. In linea di principio, l'elusione del canale di assistenza giudiziaria può essere contestata nei procedimenti penali nazionali.
70 I tribunali cantonali si sono finora pronunciati a favore di un divieto relativo di sfruttamento ai sensi dell'art. 141 cpv. 2 CPP, in base al quale la prova in questione può essere sfruttata nella misura in cui è necessaria per chiarire un reato grave. È tuttavia discutibile se il principio di territorialità del diritto internazionale e l'obbligo di ricorrere alla via dell'assistenza giudiziaria siano in realtà solo disposizioni valide o se, in considerazione della loro importanza, si debba presumere un divieto assoluto di utilizzo delle prove (ad esempio sotto forma di violazione dell'ordine pubblico). Il Tribunale federale ha deciso in questa direzione quando ha ritenuto assolutamente inutilizzabile una misura di sorveglianza segreta (localizzatore GPS e dispositivi di ascolto in un veicolo utilizzato anche per viaggi all'estero) per quanto riguarda i viaggi all'estero. Tuttavia, sembra possibile e ragionevole adottare l'opinione sostenuta in Germania, secondo la quale la questione dell'utilizzabilità dipende dal fatto che l'investigatore fosse consapevole, al momento della raccolta dei dati, che l'accesso non sarebbe stato conforme al diritto internazionale. Se non ne era a conoscenza, deve essere possibile far eseguire una successiva procedura formale di assistenza reciproca (nel senso di una procedura di autorizzazione) per le prove (oggettivamente ottenute in modo illegale) al fine di evitare l'inutilizzabilità delle prove.
71 Quest'ultimo punto è particolarmente applicabile ai casi in cui non è chiaro fin dall'inizio dove siano conservati i dati: Se non è possibile escludere un luogo di conservazione all'interno del Paese, l'accesso per preservare le prove deve essere consentito; la conoscenza positiva del luogo di conservazione non è un prerequisito. "La mera possibilità di un luogo di archiviazione all'estero non può far scattare l'obbligo di assistenza reciproca, soprattutto perché in questi casi non è possibile determinare quale paese sarà effettivamente interessato". Se successivamente dovesse risultare (ad esempio anche a seguito di corrispondenti reclami da parte della difesa) che i dati intercettati non sono stati memorizzati in Germania e nemmeno in uno Stato contraente, sarà necessario ottenere una successiva autorizzazione nello Stato interessato tramite l'assistenza reciproca.
VI. Necessità di una riforma
72 Il Consiglio d'Europa ha riconosciuto la necessità di ammorbidire tempestivamente i principi territoriali a causa degli sviluppi tecnologici e ha emanato una disposizione progressiva nell'art. 32 CCC rispetto alle tradizionali convenzioni di assistenza giudiziaria. Idee più avanzate erano altrettanto visionarie, poiché non erano (ancora) in grado di ottenere il sostegno della maggioranza a causa dell'idea fortemente ancorata di sovranità. Tuttavia, se la comunità degli Stati vuole un'applicazione della legge efficace e in grado di svolgere i propri compiti anche nel XXI secolo, sembra necessario e sensato rinunciare completamente alla sovranità in materia di dati in rete. Oggi non si tratta più solo di criminalità transfrontaliera, che è sempre stata difficile da comprendere per le forze dell'ordine nazionali, ma anche i casi puramente nazionali non possono più essere risolti in breve tempo a causa dello spostamento delle prove oltre i confini nazionali, e tanto meno con un adeguato rapporto costi-benefici.
73 Certo, per il momento sembra più promettente preparare dei panetti più piccoli: in primo luogo, la Svizzera dovrebbe firmare e ratificare al più presto il 2° Protocollo aggiuntivo al CCC, anche se non si tratta di quello più grande. In secondo luogo, molto sarebbe già fatto se, nel contesto dell'art. 32 lett. b CDC, ci si mettesse al passo con la realtà giuridica e non ci si limitasse più a collegare il luogo di conservazione, ma piuttosto (anche) al domicilio della persona avente diritto all'accesso o al fatto che un'azienda offra i propri servizi nello Stato in questione (cfr. sopra, n. 25). In terzo luogo, la Svizzera dovrebbe cercare di associarsi al sistema e-Evidence dell'UE (anche se ciò sarà politicamente difficile da attuare). In quarto luogo, le ricorrenti discussioni sull'accesso unilaterale ai dati all'estero dovrebbero essere riprese e portate a termine. Come minimo, in futuro si dovrebbe considerare sufficiente un luogo di accesso nazionale per non dover più classificare l'accesso ai dati come una violazione della sovranità dello Stato nel luogo di conservazione. In questo contesto, per aumentare l'accettazione di tale soluzione si potrebbero includere misure e garanzie di protezione (ad esempio, l'obbligo di informare lo Stato interessato dell'accesso, la necessità di un'autorizzazione successiva, i requisiti per lo Stato di diritto e la protezione dei diritti fondamentali, ecc.
Bibliografia
Abo Youssef Omar, Smartphone-User zwischen unbegrenzten Möglichkeiten und Überwachung, ZStrR 130 (2012), S. 92 ff.
Aepli Michael, Die strafprozessuale Sicherstellung von elektronisch gespeicherten Daten, Unter besonderer Berücksichtigung der Beweismittelbeschlagnahme am Beispiel des Kantons Zürich, Zürich 2004.
Bangerter Simon, Hausdurchsuchungen und Beschlagnahmen im Wettbewerbsrecht unter vergleichender Berücksichtigung der StPO, Zürich 2014.
Bär Wolfgang, Transnationaler Zugriff auf Computerdaten, ZIS 2 (2011), S. 53 ff., abrufbar unter https://www.zis-online.com/dat/artikel/2011_2_525.pdf, besucht am 17.10.2023.
Biaggini Elena, Strafrechtlicher Schutz des E-Mail-Verkehrs post mortem?, sui generis 2021, S. 321 ff., abrufbar unter https://doi.org/10.21257/sg.196, besucht am 17.10.2023.
Bonnici Jeanne Pia Mifsud et al., The European Legal Framework on Electronic Evidence: Complex and in Need of Reform, in: Biasiotti Maria Angela/Bonnici Jeanne Pia Mifsud/Cannataci Joe/Turchi Fabrizio (Hrsg.), Handling and Exchanging Electronic Evidence Across Europe, 2018, S. 189 ff., abrufbar unter https://link.springer.com/chapter/10.1007/978-3-319-74872-6_11, besucht am 17.10.2023.
Bottinelli Nicolas, L’obtention par l’autorité pénale des données informatiques situées à l’étranger, AJP 2016, S. 1327 ff.
Brodowski Dominik, Der «Grundsatz der Verfügbarkeit» von Daten zwischen Staat und Unternehmen, ZIS 8-9/2012, S. 474 ff., abrufbar unter https://zis-online.com/dat/artikel/2012_8-9_703.pdf, besucht am 17.10.2023.
Brodowski Dominik/Eisenmenger Florian, Zugriff auf Cloud-Speicher und Internetdienste durch Ermittlungsbehörden, Sachliche und zeitliche Reichweite der «kleinen Online-Durchsuchung» nach § 110 Abs. 3 StPO, ZD 2014, S. 119 ff.
Burgermeister Daniel, Beweiserhebung in der Cloud, Luzern 2015, abrufbar unter https://www.unilu.ch/fileadmin/fakultaeten/rf/institute/staak/MAS_Forensics/dok/Masterarbeiten_MAS_5/Burgermeister_Daniel.pdf, besucht am 17.10.2023.
Capus Nadja, Strafrecht und Souveränität: Das Erfordernis der beidseitigen Strafbarkeit in der internationalen Rechtshilfe in Strafsachen, Basel 2010.
Cartner Anna/Schweingruber Sandra, Strafbehörden dürfen googeln, AJP 2021, S. 990 ff.
De Busser Els, Open Source Data and Criminal Investigations: Anything You Publish Can and Will Be Used Against You, Groningen Journal of International Law 2/2 (2014): Privacy in International Law, S. 90 ff., abrufbar unter https://www.researchgate.net/publication/328962642_Open_Source_Data_and_Criminal_Investigations_Anything_You_Publish_Can_and_Will_Be_Used_Against_You, besucht am 17.10.2023.
Dombrowski Nadine, Extraterritoriale Strafrechtsanwendung im Internet, Potsdam 2011/2012.
Donatsch Andreas/Lieber Viktor/Summers Sarah/Wohlers Wolfgang (Hrsg.), Schulthess Kommentar zur Schweizerischen Strafprozessordnung, 3. Aufl., Zürich 2020 (zit. SK-Bearbeiter/in, Art. … StPO N. …).
Eckert Martin, Digitale Daten als Wirtschaftsgut: digitale Daten als Sache, SJZ 112 (2016), S. 245 ff.
Forster Marc, Marksteine der Bundesgerichtspraxis zur strafprozessualen Überwachung des digitalen Fernmeldeverkehrs, in: Gschwend Lukas/Hettich Peter/Müller-Chen Markus/Schindler Benjamin/Wildhaber Isabelle (Hrsg.), Recht im digitalen Zeitalter, Festgabe Schweizerischer Juristentag 2015 in St. Gallen, Zürich/St. Gallen 2015, S. 613 ff.
Fröhlich-Bleuler Gianni, Eigentum an Daten?, Jusletter 6.3.2017.
Geiser Thomas/Wolf Stephan (Hrsg.), Basler Kommentar zum Zivilgesetzbuch II, Art. 457-977 ZGB, Art. 1-61 SchlT ZGB, 7. Aufl., Basel 2023 (zit. BSK-Bearbeiter/in, Art. ... ZGB N. …).
Gercke Björn, Straftaten und Strafverfolgung im Internet, GA 2012, S. 474 ff.
Glassey Ludwiczak Maria, Mesures de surveillance suisses et résultats obtenus à l’étranger, Remarques à propos de l’ATF 146 IV 36, forumpoenale 5 (2020), S. 410 ff.
Gless Sabine, Beweisverbote in Fällen mit Auslandsbezug, JR 2008, S. 317 ff.
Graf Damian K. (Hrsg.), Annotierter Kommentar zum Schweizerischen Strafgesetzbuch, Bern 2020 (zit. AK-Bearbeiter/in, Art. … StGB N. …).
Graf Damian K., Praxishandbuch zur Siegelung, StPO inklusive revidierter Bestimmungen – VStrR – IRSG – MStP, Bern 2022 (zit. Praxishandbuch).
Graf Damian K., Strafverfolgung 2.0: Direkter Zugriff auf im Ausland gespeicherte Daten?, Jusletter IT 21.9.2017 (zit. Strafverfolgung 2.0).
Graf Jürgen-Peter (Hrsg.), BeckOK StPO mit RiStBV und MiStra, 47. Edition, München, Stand: 1.1.2023 (zit. BeckOK-Bearbeiter/in, § … StPO N. …).
Grassle Christian/Hiéramente Mayeul, Praxisprobleme bei der IT-Durchsuchung, CB 2019, S. 191 ff.
Grave Carsten/Barth Christoph, Von «Dawn Raids» zu «eRaids», Zu den Befugnissen der Europäischen Kommission bei der Durchsuchung elektronischer Daten, EuZW 2013, S. 360 ff.
Hansjakob Thomas, Die Erhebung von Daten des Internetverkehrs – Bemerkungen zu BGer 6B_656/2015 vom 16.12.2016, forumpoenale 4 (2017), S. 252 ff.
Heimgartner Stefan, Die internationale Dimension von Internetstraffällen, in: Schwarzenegger Christian/Arter Oliver/Jörg Florian (Hrsg.), Internet-Recht und Strafrecht, Bern 2005, S. 117 ff. (zit. Internationale Dimension).
Heimgartner Stefan, Strafprozessuale Beschlagnahme, Wesen, Arten und Wirkungen, Zürich 2011 (zit. Strafprozessuale Beschlagnahme).
Hess-Odoni Urs, Die Herrschaftsrechte an Daten, Jusletter 17.5.2004.
Hiatt Keith, Open Source Evidence on Trial, 125 Yale Law Journal Forum (2016), S. 323 ff., abrufbar unter https://www.yalelawjournal.org/pdf/Hiatt_PDF_zxz3ufoz.pdf, besucht am 17.10.2023.
Hürlimann Daniel/Zech Herbert, Rechte an Daten, sui-generis 2016, S. 89 ff., abrufbar unter https://doi.org/10.21257/sg.27, besucht am 17.10.2023.
Karagiannis Christos/Vergidis Kostas, Digital Evidence and Cloud Forensics: Contemporary Legal Challenges and the Power of Disposal, Information 12 (2021), 181, S. 1 ff., abrufbar unter https://www.mdpi.com/2078-2489/12/5/181, besucht am 17.10.2023.
Knauer Christoph/Kudlich Hans/Schneider Hartmut (Hrsg.), Münchener Kommentar zur Strafprozessordnung, Band 1: §§ 1-150 StPO, 2. Aufl., München 2022 (zit. MK-Bearbeiter/in, § … StPO N. …).
Kohler Patrick, Rechte an Sachdaten, sic! 2020, S. 412 ff.
Largiadèr Albert, Vorladungen ins Ausland nur Einladungen?, forumpoenale 5 (2014), S. 293 f.
Marberth-Kubicki Annette, in: Auer-Reinsdorff Astrid/Conrad Isabell (Hrsg.), Handbuch IT- und Datenschutzrecht, 2. Aufl., München 2016.
Moreillon Laurent/Parein-Reymond Aude, Petit commentaire du Code de procédure pénale, 2. Aufl., Basel 2016.
Niggli Marcel Alexander/Wiprächtiger Hans (Hrsg.), Basler Kommentar zum Strafrecht II, 4. Aufl., Basel 2019 (zit. BSK-Bearbeiter/in, Art. … StGB N. …).
Niggli Marcel Alexander/Heer Marianne/Wiprächtiger Hans (Hrsg.), Basler Kommentar zur Strafprozessordnung/Jugendstrafprozessordnung, 3. Aufl., Basel 2023 (zit. BSK-Bearbeiter/in, Art. … StPO N. …).
Obenhaus Nils, Cloud Computing als neue Herausforderung für Strafverfolgungsbehörden und Rechtsanwaltschaft, NJW 2010, S. 651 ff.
Osula Anna-Maria, Remote search and seizure in domestic criminal procedure: Estonian case study, International Journal of Law and Information Technology 24 (2016), S. 343 ff.
Pfeffer Kristin, Die Regulierung des (grenzüberschreitenden) Zugangs zu elektronischen Beweismitteln, abrufbar unter https://eucrim.eu/articles/die-regulierung-des-grenzuberschreitenden-zugangs-zu-elektronischen-beweismitteln/, besucht am 17.10.2023.
Riedi Claudio, Auslandsbeweise und ihre Verwertung im schweizerischen Strafverfahren, Zürich 2018.
Roth Simon, Die grenzüberschreitende Edition von IP-Adressen und Bestandesdaten im Strafprozess, Direkter Zugriff oder Rechtshilfe?, Jusletter 17.8.2015.
Ryser Dominic, «Computer Forensics», Eine neue Herausforderung für das Strafprozessrecht, in: Schwarzenegger Christian/Arter Oliver/Jörg Florian (Hrsg.), Internet-Recht und Strafrecht, Bern 2005, S. 553 ff.
Sampson Fraser, Intelligence evidence: Using open source intelligence (OSINT) in criminal proceedings, The Police Journal 90(1) 2017, S. 55 ff.
Schmid Alain/Schmidt Kirsten Johanna/Zech Herbert (Hrsg.), Rechte an Daten – zum Stand der Diskussion, sic! 11/2018, S. 627 ff.
Schmid Niklaus, Strafprozessuale Fragen im Zusammenhang mit Computerdelikten und neuen Informationstechnologien im allgemeinen, ZStrR 111 (1993), S. 81 ff.
Schomburg Wolfgang/Lagodny Otto (Hrsg.), Internationale Rechtshilfe in Strafsachen, Beck’scher Kurz-Kommentar, 6. Aufl., München 2020 (zit. Schomburg/Lagodny-Bearbeiter/in).
Schweingruber Sandra, Cybercrime-Strafverfolgung im Konflikt mit dem Territorialitätsprinzip, Jusletter 10.11.2014.
Seger Alexander, «Grenzüberschreitender» Zugriff auf Daten im Rahmen der Budapest Konvention über Computerkriminalität, Praxisbericht zum Stand der Arbeiten des Europarats, Zeitschrift für öffentliches Recht 73 (2018), S. 71 ff.
Seitz Nicolai, Transborder Search: A New Perspective in Law Enforcement?, Yale Journal of Law & Technology 2004-2005, S. 24 ff., abrufbar unter https://yjolt.org/transborder-search-new-perspective-law-enforcement, besucht am 17.10.2023.
Singelnstein Tobias, Möglichkeiten und Grenzen neuerer strafprozessualer Ermittlungsmassnahmen – Telekommunikation, Web 2.0, Datenbeschlagnahme, polizeiliche Datenverarbeitung & Co., NStZ 2012, S. 593 ff.
Svantesson Dan, Preliminary Report: Law Enforcement Cross-Border Access to Data, 12.11.2016, abrufbar unter https://ssrn.com/abstract=2874238, besucht am 17.10.2023.
Unseld Lea, Internationale Rechtshilfe im Steuerrecht, Akzessorische Rechtshilfe, Auslieferung und Vollstreckungshilfe bei Fiskaldelikten, Zürich 2011.
Velasco Cristos, Cybercrime jurisdiction: past, present, future, ERA Forum (2015) 16, S. 331 ff., abrufbar unter https://rm.coe.int/16806b8a7a, besucht am 17.10.2023.
Wabnitz Heinz-Bernd/Janovsky Thomas (Hrsg.), Handbuch des Wirtschafts- und Steuerstrafrechts, 4. Aufl., München 2014 (zit. Wabnitz/Janovsky-Bearbeiter/in).
Walden Ian, Accessing Data in the Cloud: The Long Arm of the Law Enforcement Agent, Queen Mary School of Law Legal Studies Research Paper No. 7 (2011), abrufbar unter https://papers.ssrn.com/abstract=1781067, besucht am 17.10.2023.
Walder Stephan, Grenzüberschreitende Datenerhebung: Ist und Soll, Kriminalistik 8-9/2019, S. 540 ff.
Weber Amalie M., The Council of Europe’s Convention on Cybercrime, Berkeley Technology Law Journal 18 (2003), S. 425 ff., abrufbar unter https://lawcat.berkeley.edu/record/1118718, besucht am 17.10.2023.
Wicker Magda, Durchsuchung in der Cloud, Nutzung von Cloud-Speichern und der strafprozessuale Zugriff deutscher Ermittlungsbehörden, MMR 2013, S. 765 ff.
Zerbes Ingeborg/El-Ghazi Mohamad, Zugriff auf Computer: Von der gegenständlichen zur virtuellen Durchsuchung, NStZ 2015, S. 425 ff.
I materiali
Botschaft des Bundesrates an die Bundesversammlung zu einem Bundesgesetz über internationale Rechtshilfe in Strafsachen und einem Bundesbeschluss über Vorbehalte zum Europäischen Auslieferungsübereinkommen vom 8.3.1976, BBl 1976 II 444 ff., abrufbar unter https://www.fedlex.admin.ch/eli/fga/1976/2_444_430_443/de, besucht am 17.10.2023.
Botschaft über die Genehmigung und die Umsetzung des Übereinkommens des Europarates über die Cyberkriminalität vom 18.6.2010, BBl 2010 4697 ff., abrufbar unter https://www.fedlex.admin.ch/eli/fga/2010/813/de, besucht am 17.10.2023.
Botschaft zum Bundesgesetz betreffend die Überwachung des Post- und Fernmeldeverkehrs (BÜPF) vom 27.2.2013, BBl 2013 2683 ff., abrufbar unter https://www.fedlex.admin.ch/eli/fga/2013/512/de, besucht am 17.10.2023.
Botschaft zur Vereinheitlichung des Strafprozessrechts vom 21.12.2005, BBl 2006 1085 ff., abrufbar unter https://www.fedlex.admin.ch/eli/fga/2006/124/de, besucht am 17.10.2023.
Bundesamt für Justiz, Zusammenfassung der Ergebnisse des Vernehmlassungsverfahrens zum erläuternden Bericht und zum Vorentwurf über die Änderung des Schweizerischen Strafgesetzbuches und des Rechtshilfegesetzes, Genehmigung und Umsetzung des Übereinkommens des Europarates über die Cyberkriminalität, Bern, 10.4.2010, abrufbar unter https://www.bj.admin.ch/bj/de/home/sicherheit/gesetzgebung/archiv/cybercrime-europarat.html, besucht am 17.10.2023.
Europäische Union, Common Position of 27 May 1999 adopted by the Council on the basis of Article 34 of the Treaty on European Union, on negotiations relating to the Draft Convention on Cyber Crime held in the Council of Europe, Official Journal of the European Communities, L 142/1 vom 5.6.1999, abrufbar unter https://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:1999:142:0001:0002:EN:PDF, besucht am 17.10.2023.
Europarat, Cybercrime Convention Committee (T-CY), The Budapest Convention on Cybercrime: benefits and impact in practice, Strassburg, 13.7.2020, abrufbar unter https://rm.coe.int/t-cy-2020-16-bc-benefits-rep-provisional/16809ef6ac, besucht am 17.10.2023 (zit. T-CY, Benefits).
Europarat, Cybercrime Convention Committee (T-CY), T-CY Guidance Note # 3, Transborder access to data (Article 32), Strassburg, 3.12.2014, abrufbar unter https://www.ccdcoe.org/uploads/2019/09/CoE-141203-Guidance-Note-on-Transbprder-access-to-data.pdf, besucht am 17.10.2023 (zit. T-CY Guidance Note # 3).
Europarat, Cybercrime Convention Committee (T-CY), Ad-hoc Sub-group on Jurisdiction and Transborder Access to Data, Transborder Access and jurisdiction: What are the options?, Strassburg, 6.12.2012, abrufbar unter https://rm.coe.int/16802e79e8, besucht am 17.10.2023 (zit. T-CY, Transborder Access).
Europarat, Cybercrime Convention Committee (T-CY), T-CY Cloud Evidence Group, Criminal justice access to electronic evidence in the cloud: Recommendations for consideration by the T-CY, Final report, Strassburg, 16.9.2016, abrufbar unter https://rm.coe.int/16806a495e, besucht am 17.10.2023 (zit. T-CY, Cloud).
Europarat, Cybercrime Convention Committee (T-CY), T-CY assessment report: The mutual legal assistance provisions of the Budapest Convention on Cybercrime, Strassburg, 3.12.2014, abrufbar unter https://rm.coe.int/16802e726c, besucht am 17.10.2023 (zit. T-CY, Assessment Report).
Europarat, Draft Explanatory Memorandum Regarding on Draft Recommendation No. R (95) Concerning Problems of Criminal Procedural Law Connected with Information Technology vom 31.7.1995 (zit. Explanatory Memorandum).
Europarat, Economic Crime Division, Project on Cybercrime, Cloud Computing and cybercrime investigations: Territoriality vs. the power of disposal?, Discussion Paper, Strassburg, 31.8.2010, abrufbar unter https://rm.coe.int/16802fa3df, besucht am 17.10.2023 (zit. Economic Crime Division).
Europarat, Explanatory Report to the Convention on Cybercrime, Budapest, 23.11.2001, abrufbar unter https://rm.coe.int/16800cce5b, besucht am 17.10.2023 (zit. Explanatory Report).
United Nations, Ad Hoc Committee to Elaborate a Comprehensive International Convention on Countering the Use of Information and Communication Technologies for Criminal Purposes, Consolidated negotiating document on the general provisions and the provisions on criminalization and on procedural measures and law enforcement of a comprehensive international convention on countering the use of information and communications technologies for criminal purposes vom 21.1.2023, abrufbar unter https://www.unodc.org/documents/Cybercrime/AdHocCommittee/4th_Session/Documents/CND_21.01.2023_-_Copy.pdf, besucht am 17.10.2023 (zit. United Nations, Consolidated Negotiating Document).
United Nations, Group of Governmental Experts on Developments in the Field of Information and Telecommunications in the Context of International Security, Note by the Secretary-General vom 24.6.2013, UN Doc A/68/98, abrufbar unter https://documents-dds-ny.un.org/doc/UNDOC/GEN/N13/371/66/PDF/N1337166.pdf, besucht am 17.10.2023 (zit. Developments).
United Nations Office on Drugs and Crime (UNODC), Comprehensive Study on Cybercrime, Draft February 2013, abrufbar unter https://www.unodc.org/documents/organized-crime/UNODC_CCPCJ_EG.4_2013/CYBERCRIME_STUDY_210213.pdf, besucht am 17.10.2023 (zit. UNODC).