Il potenziamento della cooperazione internazionale in materia di cybercrime e prove elettroniche
INTRODUZIONE
Evento centrale del semestre di Presidenza Italiana del Consiglio d’Europa, il 13 maggio 2022 si è tenuta a Strasburgo, alla presenza del Ministro della Giustizia Marta Cartabia, la cerimonia di apertura per la firma del Secondo Protocollo Addizionale alla Convenzione di Budapest.
La Convenzione – trattato internazionale di riferimento per l’azione di autorità giudiziarie e forze dell’ordine in materia di cybercrime – si è quindi arricchita di ulteriori, importanti strumenti operativi per ottenere accesso a prove elettroniche in differenti giurisdizioni in modo rapido ed efficiente, anche tramite la cooperazione diretta con i service provider stranieri o la trasmissione di dati e informazioni in situazioni di emergenza.
Allo stesso tempo, il Secondo Protocollo garantisce un forte sistema di salvaguardie e condizioni che tutelano i diritti fondamentali degli individui eventualmente coinvolti nelle attività investigative, inclusa la protezione dei dati personali nel momento in cui questi, per esigenze investigative, debbano essere trasferiti da un Paese all’altro.
Il Protocollo è il risultato di oltre 4 anni di negoziazioni coordinate dal Consiglio d’Europa, che hanno coinvolto 75 nazioni per un totale di oltre 600 contributi. Nella stessa giornata in cui è stato dichiarato aperto, oltre 20 Paesi hanno proceduto alla sottoscrizione del Protocollo, primo tra i quali l’Italia.
Nel presente contributo è inquadrato il contesto di questo nuovo strumento legale internazionale e i suoi elementi qualificanti per una cooperazione internazionale più efficiente in materia di cybercrime e prove elettroniche. Viene poi analizzato un caso di studio relativo all’accesso alle informazioni di registrazione di un nome di dominio (ex WHOIS).
LA CONVENZIONE DI BUDAPEST E I PROTOCOLLI ADDIZIONALI
La Convenzione sul Cybercrime (ETS N. 185) venne aperta per la firma e la ratifica nel 2001 a Budapest. Da allora ha rappresentato il primo – e unico, ad oggi – trattato internazionale su criminalità informatica e prove elettroniche.
La Convenzione fornisce strumenti di diritto sostanziale, diritto procedurale e cooperazione giudiziaria internazionale per indirizzare il fenomeno del cybercrime secondo schemi operativi condivisi, con il triplice obiettivo di:
- definire un gruppo di condotte illecite comuni da criminalizzare come reati;
- identificare le procedure per la cooperazione tra forze dell’ordine e settore privato;
- istituire dei meccanismi di accesso transfrontaliero a prove elettroniche da parte delle autorità giudiziarie, che preservi i diritti fondamentali delle persone e garantisca l’applicazione delle norme dello Stato di diritto.
Ad oggi sono 66 i Paesi membri della Convenzione di Budapest, mentre altri 13 si trovano all’ultimo step prima della ratifica. Secondo recenti studi, sono comunque più di 120 i Paesi che utilizzano la Convenzione come standard di riferimento per le norme di diritto sostanziale e procedurale applicate nel contesto del cybercrime e della prova elettronica. Numeri cresciuti sensibilmente nell’ultimo quinquennio, anche grazie all’intensa attività di capacity building condotta dal Consiglio d’Europa e supportata dall’Unione Europea.
Quello aperto per la firma il 12 maggio è il Secondo Protocollo Addizionale, che si aggiunge quindi al Primo, concernente la criminalizzazione di atti di razzismo e xenofobia online, redatto e aperto per la firma in parallelo con la Convenzione (nel 2001).
I Protocolli Addizionali costituiscono delle estensioni della Convenzione, con un numero di previsioni addizionali che vanno a giustapporsi agli articoli della Convenzione e che quindi non ne alterano né la sostanza, né la validità operativa. Vanno pertanto intesi come strumenti supplementari che si aggiungono a quelli stabiliti dalla Convenzione di Budapest.
IL SECONDO PROTOCOLLO ADDIZIONALE PER IL RAFFORZAMENTO DELLA COOPERAZIONE INTERNAZIONALE IN MATERIA DI CYBERCRIME E PROVE ELETTRONICHE
Il Secondo Protocollo Addizionale prende le mosse da due considerazioni di scenario:
- in prima battuta, come riscontrato anche da studi condotti dalla Commissione Europea, le prove della quasi totalità dei crimini commessi – non solo di natura cyber, ma anche di tipo fisico – è incrementalmente prodotta e archiviata in forma elettronica, su sistemi che si trovano in giurisdizioni straniere o in località non identificabili, come avviene sempre più spesso nel caso dei sistemi cloud;
- risulta poi necessario rendere più efficiente la cooperazione internazionale tra Stati e settore privato, in particolar modo garantendo un quadro più chiaro sulla certezza del diritto per i fornitori di servizi su Internet, nel caso in cui debbano decidere se e come rispondere a richieste dirette di accesso a prove elettroniche provenienti da forze dell’ordine di altre giurisdizioni.
In considerazione di quanto sopra il Comitato della Convenzione di Budapest (T-CY), in cui siedono tutti i Paesi membri, ha avviato già nel 2015 un gruppo di studio sull’efficacia delle procedure di cooperazione internazionale previste nella Convenzione e, sulla base delle evidenze riscontrate, ha deliberato nel 2017 circa l’opportunità di non emendare la Convenzione ma di introdurre misure addizionali, avviando contestualmente le negoziazioni per il Secondo Protocollo Addizionale, conclusesi nel 2021 con il testo adottato dal Consiglio d’Europa, aperto per la firma e la ratifica nel mese di maggio 2022.
Il cuore operativo del Protocollo è costituito da un numero consistente di articoli divisi in sezioni, ciascuna delle quali focalizzata su un ambito specifico:
- procedure per il potenziamento della collaborazione diretta con fornitori di servizio e ulteriori entità di altri Paesi, nello specifico l’acquisizione di informazioni sulla registrazione di nomi di dominio e l’accesso alle informazioni di registrazione degli utenti;
- procedure per il potenziamento della cooperazione internazionale tra autorità competenti per l’accesso a dati in altre giurisdizioni, nello specifico le condizioni di obbligatorietà a dare seguito alle richieste di perquisizione e confisca dei dati provenienti da altri Paesi nonché le procedure per la collaborazione sull’accesso ai dati in caso di emergenza;
- procedure per l’assistenza mutua tra autorità competenti in situazioni di emergenza;
- procedure per la cooperazione internazionale in assenza di un quadro di accordi internazionali tra Stati che sia applicabile, in cui sono incluse le previsioni per la raccolta di testimonianze in videoconferenza e, di fondamentale rilevanza, le norme per costituire i gruppi congiunti di investigazione (JIT – Joint Investigation Team) e per la conduzione delle investigazioni congiunte;
- norme per garantire la protezione dei dati personali nel corso di investigazioni transfrontaliere sul cybercrime, o che comunque includono l’utilizzo di prove elettroniche.
Non è negli scopi di questo articolo approfondire nel dettaglio ciascuna previsione ma, con l’obiettivo di illustrare la portata di questo nuovo strumento legislativo, si enucleeranno le caratteristiche principali di uno di essi: quello relativo all’accesso alle informazioni di registrazione dei nomi di dominio (Art. 6).
CASO DI STUDIO: LE INFORMAZIONI DI REGISTRAZIONE DEI NOMI DI DOMINIO NELLE INVESTIGAZIONI IN MATERIA DI CYBERCRIME
Il contesto operativo entro cui si collocano le previsioni dell’art. 6 del Secondo Protocollo Addizionale alla Convenzione di Budapest è quello dell’accesso, da parte di forze dell’ordine e autorità giudiziarie, alle informazioni che permettono l’identificazione del titolare di un nome di dominio Internet.
È questa un’informazione essenziale in particolare nella fase iniziale di un’investigazione in materia di criminalità informatica, quando le prime risultanze a disposizione sono spesso relative a nomi e indirizzi di siti Internet che siano stati usati – ad esempio – per condurre un attacco informatico (e.g. uso di botnet, phishing, ransomware, etc.).
Al momento della registrazione del nome di dominio presso il prestatore di servizi designato, ciascun titolare è obbligato a fornire un certo numero di informazioni che includono anche dati personali, quali il nome, l’indirizzo, l’indirizzo di posta elettronica e il numero di telefono. Tali informazioni sono conservate in un archivio digitale mantenuto dal prestatore di servizi.
Fino all’entrata in vigore del Regolamento Europeo in materia di Protezione dei Dati Personali (GDPR, 25 maggio 2018), tali informazioni erano rese disponibili dai prestatori di servizi di registrazione a chiunque ne facesse richiesta attraverso un servizio gratuito denominato WHOIS. In termini investigativi i casi d’uso per tale tipo di informazione sono molteplici, come ad esempio:
- l’identificazione di un punto di contatto per uno specifico dominio;
- la raccolta di informazioni preliminari sul possessore di un dominio;
- l’identificazione di correlazioni e collegamenti con altri dominii che sono stati registrati con le stesse informazioni (e.g. lo stesso indirizzo email);
- la determinazione delle azioni di cooperazione internazionale da attivare;
- l’identificazione delle eventuali controparti da citare in giudizio;
- l’utilizzo per supportare le richieste di mandati di perquisizione;
- l’utilizzo come prova elettronica.
Tale pubblicazione su fonti aperte di dati personali, però, è stata considerata in molti Paesi in potenziale conflitto con i principi di protezione dei dati personali e per questo più volte criticata dalla comunità internazionale. L’entrata in vigore del GDPR poi, riconfermando il ruolo cardine di questi principi, ha introdotto un significativo regime sanzionatorio e accentuato i requisiti relativi al consenso.
In considerazione di questi elementi, l’ICANN ha emesso delle “Specifiche Temporanee” con le quali ha sospeso, nel maggio 2018, l’obbligatorietà per i prestatori di servizi di registrazione di rendere disponibili i dati personali dei titolari dei nomi di dominio tramite fonti aperte (e pertanto della loro disponibilità tramite servizio WHOIS) e ha avviato un percorso all’interno della propria comunità multi-stakeholder per la definizione di una nuova policy per il trattamento di dette informazioni da parte dei soggetti legittimati al loro utilizzo (incluse forze dell’ordine e autorità giudiziarie) con le relative soluzioni tecniche e organizzative.
Ad oggi, il percorso intrapreso da ICANN non si è ancora concluso e ogni richiesta di accesso alle informazioni di registrazione di un dominio è gestita dal singolo prestatore di servizi sulla base di considerazioni di opportunità e circostanza.
L’impatto della redazione delle informazioni reperibili tramite WHOIS su forze dell’ordine e altri utenti è tutt’oggi molto rilevante, sia in termini di informazioni effettivamente disponibili e sia dei tempi necessari per evadere una singola richiesta.
A prescindere dagli sviluppi dell’azione di ICANN sotto il profilo procedurale e tecnico, risulta comunque evidente la necessità di poter disporre di nuovi strumenti legislativi che consentano alle FDO di accedere a questo tipo di prove elettroniche (che spesso si trovano in giurisdizioni diverse da quella di appartenenza) e agli erogatori di servizi che le custodiscono di fornirle senza incorrere in violazioni della normativa vigente in materia di protezione dei dati personali.
L’ARTICOLO 6 DEL SECONDO PROTOCOLLO ADDIZIONALE ALLA CONVENZIONE DI BUDAPEST
L’art. 6 rientra nelle misure di cooperazione rafforzata introdotte dal Secondo Protocollo Addizionale e pertanto, come specificato nei principi generali (art. 5), tali procedure si applicano indipendentemente dall’esistenza o meno di un trattato di assistenza giudiziaria o di un accordo fondato su normative uniformi o reciproche fra le Parti interessate.
L’obiettivo è definire le basi legali e le procedure da adottare per la cooperazione diretta tra le autorità competenti di una Parte e un prestatore di servizi di registrazione di nomi di dominio nel territorio di un’altra Parte; e si pone in complementarità con le policy e le buone pratiche in corso di definizione nel contesto del governo di Internet.
Il primo paragrafo dell’articolo richiede a ciascuna Parte di adottare le necessarie misure per autorizzare le proprie autorità competenti a inviare una richiesta relativa a informazioni di registrazione dei nomi di dominio per identificazione o contatto del titolare.
Si noti, inoltre, che non si richiede che il fornitore di servizi sia fisicamente presente nella giurisdizione verso la quale si effettua la richiesta ma solamente che esso fornisca i propri servizi su quel territorio.
La richiesta è inviata direttamente dalle autorità competenti al fornitore di servizi, senza pertanto passare attraverso l’autorizzazione o l’intermediazione delle autorità giudiziarie della giurisdizione di destinazione. L’esecuzione della richiesta – che può includere anche un’ingiunzione, se la normativa domestica lo consente – avviene però sempre solo
Il potenziamento della cooperazione internazionale in materia di cybercrime e prove elettroniche su base volontaria e non viene fornito alcun meccanismo di vigilanza sulla sua applicazione.
Specularmente a quanto previsto nel primo paragrafo, nel secondo si prevede che ciascuna Parte adotti le misure necessarie per consentire ai fornitori di servizi di registrazione dei nomi di dominio presenti sul suo territorio di rispondere a richieste a norma del paragrafo 1. Tale misura non è da intendersi come impositiva di un obbligo a fornire una risposta, che altresì può essere prodotta alle “condizioni ragionevoli previste dal diritto nazionale”; inclusa, ma non limitatamente a, la normativa sulla protezione dei dati personali.
Il Secondo Protocollo Addizionale pone un forte accento sul tema delle salvaguardie e del bilanciamento necessario tra protezione dei diritti umani e libertà fondamentali, imponendo condizioni che limitano sia lo scopo di applicazione sia la quantità di dati che possono essere trasmessi, perimetrando le condizioni di applicazione del potere procedurale secondo principi di necessità e proporzionalità.
RILEVANZA DELL’ARTICOLO 6 E PROSPETTIVE DI UTILIZZO
L’art. 6 del Secondo Protocollo Addizionale alla Convenzione risponde all’esigenza pressante di predisporre strumenti efficaci di cooperazione internazionale tra autorità inquirenti e settore privato, in un contesto di rilevante utilità e attualità per le indagini informatiche.
L’esistenza di un quadro legislativo di riferimento che abiliti le autorità competenti a richiedere le informazioni di registrazione dei nomi di dominio – nello scenario attuale, in cui tali informazioni non sono più disponibili su fonti aperte – è un fattore che si prevede possa incrementare sensibilmente l’efficacia delle investigazioni e della cooperazione tra le Parti che ratificheranno il Secondo Protocollo Addizionale alla Convenzione di Budapest.
La disposizione preserva, comunque, l’elemento di volontarietà della cooperazione tra autorità competenti e fornitori di servizi in un’altra giurisdizione, così riaffermando un principio base che questi 20 anni di vita della Convenzione hanno dimostrato in numerosissime occasioni: un’azione di contrasto realmente efficace ad un fenomeno in continua evoluzione e per sua natura cross-nazionale, come quello del cybercrime, può svilupparsi solo sulla base di una cooperazione forte e convinta tra le Parti, nonché tra autorità pubbliche ed entità private.
Articolo a cura di Matteo Lucchetti
Matteo Lucchetti è Direttore Operativo di Cyber 4.0, il Centro di Competenza nazionale ad alta specializzazione sulla cybersecurity, promosso e co-finanziato dal Ministero dello Sviluppo Economico. Fino ad Aprile 2021 è stato Programme Manager Cybercrime al Consiglio d’Europa, responsabile del programma Global Action on Cybercrime Extended (GLACY+), iniziativa globale di capacity building su criminalità informatica a supporto di entità governative, autorità giudiziarie e forze dell’ordine in Africa, America Latina, Asia-Pacifico. Precedentemente ha lavorato presso l’Agenzia della Commissione Europea sui Diritti Fondamentali, su temi di protezione dei dati personali nei programmi di surveillance, dopo una carriera di oltre dieci anni nel settore bancario italiano come esperto di cyber security e cybercrime. Matteo Lucchetti è membro dell’Advisory Board del Global Forum for Cyber Expertise (GFCE) e collabora con l’Unione Europea e altre organizzazioni internazionali come esperto in ambito cyber security e cybercrime.