La Cassazione delinea i confini per l’acquisizione legale dei dati digitali nel corso di verifiche penali o fiscali.

L’evoluzione digitale pone sfide inedite al diritto penale, specialmente nell’ambito del sequestro di dati da dispositivi elettronici.

Attualmente, l’articolo 254-bis del codice di procedura penale regolamenta solo il sequestro di dati presso i fornitori di servizi, lasciando un vuoto normativo per i dati custoditi in dispositivi personali come smartphone, pc, tablet. Questa lacuna normativa è stata colmata dalla Cassazione, che, con la sentenza n. 22417 del 2022, ha chiarito quali sono i limiti di legge per il sequestro di computer e cellulari. Secondo la Corte, i dati in dispositivi digitali rinvenuti nel corso di un controllo presso il domicilio o lo studio del contribuente sono da trattarsi come documenti e non come corrispondenza, orientando così la pratica dei sequestri.

Cosa dice la Cassazione sull’uso dei dati digitali come prove?

Come abbiamo anticipato, la legge regolamenta solo le l’intercettazione in tempo reale di conversazioni – telefoniche, ambientali, informatiche o telematiche – o l’acquisizione dei tabulati telefonici. In tali casi è il giudice l’organo deputato al controllo del rispetto dei requisiti previsti dalla legge.

Questa disciplina non può applicarsi ai dati rinvenuti in pc, cellulari, laptop e computer portatili. Difatti, essi non sono da ritenersi conversazioni o corrispondenza ma, come detto sopra, “documenti”.

In assenza di una normativa specifica, il pubblico ministero può disporre il sequestro e la perquisizione di dispositivi informatici.

La Cassazione ha posto l’accento sulla necessità di dettagliare, già nel decreto di perquisizione, gli oggetti illeciti e le attività sospette. Tanto al fine di evitare una illegittima attività di ricerca di notizie di reato, e non di prove di reati per cui già esistono indizi.

Le sentenze della Suprema Corte n. 42058 del 2022 e n. 6623 del 2021 delineano un principio di proporzionalità: il sequestro deve essere adeguato alla gravità del reato e non deve tradursi in una raccolta massiva di dati privi di rilevanza penale.

Così, deve ritenersi illegittimo, perché sproporzionato, il sequestro di un dispositivo informatico che conduca, in assenza di specifiche ragioni, a un’indiscriminata apprensione di tutte le informazioni ivi contenute (Cass. sent. n. 6623/2021).

Come vengono tutelati i diritti individuali durante i sequestri di dati?

È sempre la Cassazione a sottolineare l’importanza della tutela dei diritti fondamentali. La sentenza n. 38456 del 2019 afferma la legittimità del sequestro di un intero PC se vi sono ostacoli tecnici all’estrazione mirata dei dati.

Inversamente, la sentenza n. 30225 del 2020 precisa che il sequestro indiscriminato è illegittimo, ponendo l’accento sulla necessità di specificare nel decreto la correlazione tra i dati sequestrati e l’ipotesi di reato.

Per quanto tempo il dispositivo resta sequestrato?

Secondo la Cassazione (sent. n. 34265/2020), il tempo del sequestro deve essere quello strettamente necessario all’estrazione delle informazioni pertinenti al reato. Terminata tale operazione il dispositivo deve essere restituito, essendo illegittimo trattenere lo stesso e la totalità delle informazioni in esso contenute oltre misura.

Che succede se l’indagato non collabora? 

La Cassazione, nella sentenza n. 17604 del 2023, ha chiarito che il rifiuto di fornire le password, seppur un diritto dell’indagato, non impedisce che la conservazione dei dati sequestrati possa essere prolungata. Ciò è giustificato dall’aumentata difficoltà di accesso ai dati necessari alle indagini.