Per decenni, quando i pubblici ministeri avevano bisogno di prove elettroniche detenute da un fornitore di servizi in un altro paese, avevano solo un'opzione realistica: il Trattato di assistenza giudiziaria (MLAT). Il sistema MLAT ha funzionato - alla fine - ma è stato costruito per le indagini dell'era cartacea, non per la criminalità informatica dell'era cloud, il ransomware, le frodi online o il terrorismo transfrontaliero. Le richieste richiedevano abitualmente dai 6 ai 18 mesi e quando un fornitore tedesco riceveva finalmente una richiesta proveniente dalla Francia, i sospetti erano spesso scomparsi e i dati effimeri erano andati persi.
Il Regolamento UE sulle prove elettroniche (UE) 2023/1543, che diventa direttamente applicabile su 18 agosto 2026, Il programma MLAT cambia radicalmente questo quadro. Sostituisce la via diplomatica e lenta del MLAT con un canale rapido, armonizzato, da giudice a fornitore, che opera in pochi giorni e, in caso di emergenza, in poche ore. Per tutti i fornitori di comunicazioni elettroniche, hosting, cloud, marketplace e piattaforme online che operano nell'UE, si tratta del cambiamento più significativo nel diritto probatorio transfrontaliero da una generazione a questa parte.
Questo articolo spiega, in termini pratici, cosa è cambiato tra il mondo MLAT e il mondo e-Evidence, cosa significa dal punto di vista operativo e come i fornitori di servizi dovrebbero rimodellare i loro programmi di compliance prima della scadenza.
Il vecchio mondo: come funzionavano le MLAT (e perché hanno faticato)
Un MLAT è un trattato bilaterale o multilaterale di diritto internazionale pubblico che consente a uno Stato di richiedere a un altro la cooperazione giudiziaria, compresa la produzione di prove. In pratica, una richiesta di MLAT per ottenere prove elettroniche ha seguito un percorso lungo e a più fasi:
- Un procuratore della Stato richiedente redigere una rogatoria formale e presentarla all'Autorità centrale nazionale (tipicamente il Ministero della Giustizia).
- L'Autorità centrale ha esaminato e tradotto la richiesta, quindi l'ha inoltrata attraverso i canali diplomatici alla sua controparte nel Paese. Stato richiesto.
- L'Autorità centrale ricevente ha trasmesso la richiesta a un tribunale o a un pubblico ministero locale competente.
- L'autorità locale ha emesso un'ordinanza giudiziaria nazionale contro il fornitore di servizi.
- Il fornitore produceva i dati, che venivano poi ritrasmessi in senso inverso attraverso la stessa catena.
Ogni passo aggiungeva settimane o mesi. I requisiti di traduzione e formalità aggiungevano ulteriori ritardi. Quando il fornitore richiesto riceveva finalmente un ordine nazionale esecutivo, l'indagine sottostante era spesso andata avanti, i dati potevano essere scaduti o il sospetto aveva attraversato un altro confine. Gli studi hanno ripetutamente riscontrato tempi medi di ciclo MLAT di circa 10 mesi, in molti casi si protraggono per ben oltre un anno.
Il nuovo mondo: Ordini diretti nell'ambito del regolamento UE sulle prove elettroniche
Il regolamento sulle prove elettroniche introduce due nuovi strumenti: il Ordine di produzione europeo (EPO) e il Ordine di conservazione europeo (EPOC-PR) - che le autorità giudiziarie possono emettere direttamente a un fornitore di servizi in un altro Stato membro, senza passare per intermediari diplomatici o governativi. L'ordine viaggia attraverso il sistema informatico decentralizzato sicuro e-CODEX, utilizzando certificati EPOC ed EPOC-PR standardizzati.
Prendiamo lo stesso scenario: un procuratore francese che indaga su un ransomware che colpisce gli ospedali dell'UE ha bisogno dei dati degli abbonati e del traffico detenuti da un provider di hosting tedesco. Con e-Evidence, il procuratore (con l'appropriata convalida giudiziaria) emette un EPO e lo invia direttamente al punto di contatto designato dal provider. Il provider convalida l'ordine, estrae i dati e li restituisce tramite e-CODEX. La tempistica standard è di 10 giorni. Per le emergenze la tempistica è di 8 ore.
e-Evidence vs MLAT: Un confronto fianco a fianco
| Dimensione | MLAT | Regolamento UE sulle prove elettroniche |
|---|---|---|
| Base giuridica | Trattato bilaterale / multilaterale | Regolamento UE, direttamente applicabile |
| Destinatario della richiesta | Autorità di uno Stato estero | Fornitore di servizi (direttamente) |
| Canale di trasmissione | Autorità diplomatiche e centrali | e-CODEX (sistema informatico sicuro) |
| Tempi tipici | 6-18 mesi | 10 giorni standard / 8 ore di emergenza |
| Formato | Lettera rogatoria in forma libera | Certificati EPOC / EPOC-PR standardizzati |
| Ruolo del fornitore | Destinatario di un ordine domestico | Destinatario diretto dell'ordine estero |
| Sanzioni per i fornitori | Diritto interno dello Stato richiesto | Fino a 2% del fatturato annuo globale |
| Conservazione dei dati | Ad hoc, a seconda della giurisdizione | EPOC-PR armonizzato (60 + 30 giorni) |
| Ambito geografico | Solo da Stato a Stato | Qualsiasi fornitore che offra servizi nell'UE |
Cosa resta invariato e dove le MLAT sono ancora importanti
Il regolamento sulle prove elettroniche non abolisce i MLAT. Essi rimangono il meccanismo principale per le richieste di prove che coinvolgono Paesi non appartenenti all'UE e continuano ad essere applicati in molti scenari giudiziari penali al di fuori dell'ambito di applicazione del regolamento. All'interno dell'UE, i pubblici ministeri possono anche continuare a fare affidamento sull'Ordine europeo di indagine (OEI) ai sensi della direttiva 2014/41/UE per misure investigative più ampie. Il regolamento sulle prove elettroniche è meglio inteso come una strumento specializzato e più veloce per un'esigenza specifica - la produzione e la conservazione di prove elettroniche - sovrapposto al kit di strumenti esistente.
Per i fornitori di servizi non appartenenti all'UE, l'effetto pratico è che le richieste da parte delle autorità dell'UE arriveranno sempre più spesso tramite e-Evidence piuttosto che tramite MLAT, a condizione che il fornitore offra servizi nell'UE e abbia, o nomini, un rappresentante legale in uno Stato membro.
Cosa significa questo per i fornitori di servizi nella pratica
Passare da un processo diplomatico di 10 mesi a un processo diretto di 10 giorni (o 8 ore) non è solo più veloce: è un modello operativo diverso. La conformità non può più essere un compito secondario trimestrale gestito da un singolo avvocato specializzato in privacy. Deve essere integrata nella progettazione, nelle operazioni di sicurezza e nell'assistenza ai clienti. Le implicazioni rientrano in quattro grandi aree.
1. Acquisizione e convalida automatica degli ordini
L'accettazione manuale basata su caselle di posta elettronica non è scalabile. È necessario un endpoint autenticato collegato a e-CODEX (direttamente o tramite un intermediario qualificato) in grado di ricevere, marcare temporalmente, convalidare le firme, controllare le credenziali dell'autorità emittente e indirizzare gli ordini ai risponditori giusti. Soluzioni come la Piattaforma di conformità e-Evidence ICS sono costruiti proprio per questo flusso di lavoro, ma i fornitori possono anche costruirli internamente se hanno la capacità di progettazione.
2. Estrazione dei dati standardizzata tra i sistemi
Il regolamento distingue tra dati relativi agli abbonati, all'identificazione, al traffico e ai contenuti, ciascuno con soglie diverse. L'inventario dei dati deve mappare ogni sistema in base alle categorie di dati in esso contenute e gli strumenti di estrazione devono produrre output nel formato standardizzato definito dagli atti di esecuzione della Commissione.
3. Prontezza operativa 24 ore su 24, 7 giorni su 7
La finestra di emergenza di 8 ore si applica a qualsiasi ora del giorno, in qualsiasi giorno dell'anno. Ciò richiede un numero di operatori legali e ingegneristici nominati a chiamata, manuali di gestione, percorsi di escalation ed esercitazioni tabletop provate. Per le organizzazioni che non sono in grado di sostenere internamente questo impegno, una Stabilimento designato come servizio L'arrangiamento combinato con le operazioni gestite è sempre più la risposta pragmatica.
4. Tracce di audit a prova di manomissione
Ogni azione - ricezione, convalida, instradamento interno, estrazione, revisione e consegna - deve essere catturata in un audit trail sufficientemente solido da poter essere ammesso come prova e dimostrare, a posteriori, il rispetto delle scadenze, della minimizzazione e dell'ambito specifico dell'ordine.
Sanzioni: Perché il margine di manovra dell'era MLAT è scomparso
Nell'ambito del MLAT, le frizioni nel sistema erano tollerate perché tutti - investigatori, fornitori, tribunali - sapevano che era lento. Il regolamento sulle prove elettroniche non prevede questo tipo di lentezza. Gli Stati membri sono tenuti a imporre sanzioni effettive, proporzionate e dissuasive, con ammende amministrative che si aggirano intorno a fino al 2% del fatturato annuo mondiale del fornitore. I fallimenti ripetuti o sistemici possono anche provocare ordinanze di tribunale, azioni di regolamentazione da parte delle autorità nazionali competenti e gravi danni alla reputazione presso i clienti delle imprese e le autorità di regolamentazione.
Interazione con il GDPR, il NIS2 e la legge sui servizi digitali
e-Evidence non annulla il GDPR. Le divulgazioni devono rimanere lecite, ridotte al minimo e adeguatamente registrate nei registri del trattamento. I controlli di sicurezza e la gestione degli incidenti devono essere in linea con la direttiva NIS2 e le piattaforme online di grandi dimensioni devono riflettere l'attività degli ordini governativi nei loro rapporti di trasparenza DSA. Un moderno programma di conformità considera questi regimi come sovrapposti piuttosto che in competizione: la stessa infrastruttura di registrazione, revisione e minimizzazione può servire a tutti.
Domande frequenti
Per un riferimento più lungo, consultare il nostro sito dedicato FAQ su e-Evidence.
Il Regolamento UE sulle prove elettroniche sostituisce i MLAT?
No, li integra. I MLAT rimangono in vigore, in particolare per la cooperazione con i Paesi terzi. All'interno dell'UE, e-Evidence offre un canale specializzato e più rapido per la produzione e la conservazione di prove elettroniche.
Un pubblico ministero di uno Stato membro può davvero ordinare i dati direttamente da un fornitore di un altro Stato membro?
Sì, questa è l'innovazione centrale del regolamento. Fatte salve le garanzie e i motivi di rifiuto previsti dal regolamento, un'autorità giudiziaria competente emette un OPE che il prestatore deve eseguire direttamente, senza passare prima per le autorità dello Stato ricevente.
L'e-Evidence si applica ai fornitori non UE?
Sì - qualsiasi fornitore che offra servizi agli utenti nell'UE rientra nel campo di applicazione e deve designare un rappresentante legale in uno Stato membro per ricevere e dare seguito agli ordini.
Cosa succede se la mia organizzazione non riesce a rispettare la scadenza delle 8 ore?
Il mancato rispetto delle scadenze può portare all'applicazione delle norme da parte dell'autorità competente dello Stato che le applica, con multe che possono arrivare fino al 2% del fatturato annuo globale. Gli sforzi documentati e proporzionati e la chiara causa di ogni ritardo sono fattori critici di mitigazione.
Dalla conformità all'era MLAT alle operazioni pronte per le prove elettroniche
Il passaggio dal MLAT all'e-Evidence è, nella sua essenza, un passaggio da occasionale, lento, cartaceo cooperazione per continuo, veloce, guidato dal software cooperazione. I fornitori di servizi che hanno prosperato con il modello MLAT - affidandosi a code di e-mail tradizionali e a revisioni legali ad hoc - avranno difficoltà a partire dall'agosto 2026. Quelli che investono ora in Operazioni di conformità pronte per l'e-Evidence non si limiteranno a evitare le sanzioni, ma trasformeranno la disponibilità delle forze dell'ordine in un segnale di fiducia per i clienti delle aziende e per le autorità di regolamentazione.
Se desiderate una valutazione indipendente del vostro grado di preparazione, l'ICS vi offre un servizio completo di Valutazione della conformità di e-Evidence che copre l'ambito giuridico, l'infrastruttura tecnica e i processi operativi, insieme a una chiara tabella di marcia verso la scadenza dell'agosto 2026. Contattare ICS oggi per programmare il vostro.
