inserito in Diritto&Diritti nel novembre 2004

Computer Forensics: il volto digitale della scena criminis necessita di protocolli operativi omogenei.

di Leo Stilo

***

Il processo di neovascolarizzazione informatica ha interessato già da tempo ogni settore dell’attività umana divenendo un aspetto onnipresente nella quotidianità degli ambienti lavorativi e privati. Un esempio per tutti è l’uso dei computer non solo come strumenti di lavoro e svago ma anche come veri e propri mezzi di comunicazione. La diffusione di queste realtà ha fatto aumentare in modo esponenziale le informazioni che vengono create, comunicate ed archiviate in forma digitale. I computer e le altre apparecchiature elettroniche divengono così, sempre con maggiore frequenza, protagonisti e fedeli testimoni del delitto.
I soggetti istituzionalmente chiamati ad indagare sul crimine devono fare i conti, non facili, con questo nuovo e delicato materiale probatorio. Il terreno su cui operare non è dei più semplici in quanto per una corretta manipolazione del materiale informatico sono necessarie delle particolari conoscenze tecniche.
Come mette ben in evidenza il Dott. Gerardo Costabile[1], Guardia di Finanza di Milano e Member of The International Association of Computer Investigative Specialists, in Italia non esistono formali standardizzazioni delle procedure e delle modalità operative di approccio alle c.d. prove digitali presenti nella scena criminis[2].
Questa carenza di comuni e preordinati protocolli operativi determina un approccio alle suddette prove rilasciato alle singole professionalità dei soggetti che di volta in volta si trovano ad essere i protagonisti dell’investigazione. La necessaria padronanza di una materia complessa e in costante evoluzione è elemento essenziale per poter garantire una corretta ricerca ed archiviazione del materiale probatorio spendibile in sede processuale. Le prove digitali sono caratterizzate, quindi, da una intrinseca fragilità che rende le stesse facilmente soggette ad alterazioni e danneggiamenti anche da parte degli stessi investigatori che se non adeguatamente preparati possono compromettere ed inquinare, anche inconsapevolmente, la scena criminis.
Per la polizia giudiziaria la fase più delicata, alla luce di quanto affermato, è quella relativa al reperimento e all'acquisizione degli elementi di prova di natura informatica. Queste difficoltà operative si ripercuotono inevitabilmente sull’interpretazione e sull’applicazione dei diversi istituti giuridici che normalmente vengono utilizzati per acquisire e conservare le prove di un crimine. A ben osservare, la prova informatica può essere definita come la rappresentazione di un insieme di informazioni relative ad un determinato evento criminoso espressa in linguaggio informatico; ossia, in un linguaggio non immediatamente interpretabile dall’uomo attraverso i suoi sensi.
Il primo passo logico da compiere è quello di considerare l’elemento informatico di prova come una rappresentazione “astratta” di informazioni che può essere resa “concreta” utilizzando gli strumenti tecnici opportuni.
Questo modo di procedere non rappresenta un inutile bizantinismo ma una necessaria premessa per comprendere la dimensione “digitale” che la prova sempre con maggiore frequenza assume nelle indagini relative alla ricerca dell’autore del reato.
Nel momento in cui si adotta la tecnologia informatica, memorizzando su supporti ottici o magnetici il contenuto “informativo” (astratto) di un qualsiasi documento[3], diviene necessario distinguere tra “contenuto” e “contenitore”.
Il salto logico da realizzare diviene così quello di superare il binomio, un tempo ritenuto imprescindibile, supporto materiale / contenuto informativo del documento. In questa dimensione il contenuto dell’elemento di prova prescinde dalla sua realtà materiale in quanto quest’ultima ne rappresenta solo il suo contenitore occasionale.
A questa considerazione bisogna aggiungere anche il fatto che gli elaboratori elettronici riescono a comunicare tra loro e a memorizzare le informazioni solo attraverso la “traduzione” delle informazioni in una lunga serie di bit (0 o 1).
Ogni informazione elaborata da un computer deve necessariamente essere tradotta in simboli binari.
In questa prospettiva, quindi, una prova “digitale” non è altro che un’informazione tradotta in un linguaggio comprensibile alla macchina ma non immediatamente percepibile dall’uomo che avrà bisogno di uno strumento “mediatore” (traduttore) per comprenderne il contenuto.
Quello che accade, come in precedenza osservato, è una netta separazione tra l’informazione astratta (il contenuto) e il supporto materiale che di volta in volta potrà contenerla e rappresentarla in forma intelligibile all’essere umano.
La traduzione, da sequenza di bit a forma umanamente comprensibile, può essere attuata attraverso vari modi, si pensi ad esempio ad una rappresentazione del contenuto di un documento digitale su video o su un foglio stampato dalla periferica di stampa. Appare chiaro che l’informazione memorizzata dal computer non è direttamente utilizzabile dall’essere umano divenendo per quest’ultimo, senza il computer mediatore, un’entità “astratta”.
Tuttavia, come si evince chiaramente da quanto detto, la caratteristica principale dell’elemento di prova in questione è quello di essere una realtà facilmente manipolabile ed alterabile.
In virtù di queste particolari caratteristiche la prova informatica per essere tale (prova) in sede processuale dovrà possedere alcune rilevati ed imprescindibili caratteristiche, tra le quali un ruolo di particolare rilevanza è rivestito dall’integrità. Quanto descritto rappresenta il terreno fluido ed in un certo senso immateriale che caratterizza sempre più la ricerca della prova e la stessa scena criminis.
Come messo in evidenza, i momenti critici ruotanti attorno all’utilizzo processuale di queste prove riguardano principalmente la fase della raccolta e della loro conservazione, oggetto spesso di contestazioni e successive verifiche.
L’origine di queste problematiche, anche di natura squisitamente processuale, risiede nel fatto di lavorare su realtà delicate e spesso invisibili alle persone senza specifiche conoscenze in materia. Si pensi, ad esempio, non tanto al caso in cui si deve constatare la presenza o meno su un determinato hard-disk di materiale illecito ma al caso in cui la tracce si trovano relegate nei file di log o nella ram di computer.
In queste condizioni è facile, anche solo per disattenzione della stessa vittima, alterare le già esigue tracce in modo irreversibile.
Gli accorgimenti che devono essere adottati riguardano nella generalità dei casi la predisposizione di un sistema idoneo a garantire l’integrità e la non alterabilità della prova acquisita in modo da poterla usare con sicurezza nell’ambito dell’evolversi dell’indagine.
A queste misure si aggiungono, nel quotidiano approccio alla prova informatica, un secondo tipo di accorgimenti tecnici tendenti a realizzare delle copie dei supporti originali su cui sono presenti degli elementi di interesse.
Occorre però precisare che non si tratta di semplici copie ma di immagini che riproducono esattamente il contenuto, espresso in formato digitale, del supporto di memorizzazione oggetto d’indagine. Si tratterà, quindi, di avere a disposizione una copia non solo fisica ma anche logica del supporto in modo da poter liberamente esaminare anche le eventuali parti di esso che risultano vuote ma che in realtà, ad un esame più approfondito, potrebbero celare file o parti di essi cancellati rilevanti ai fini dell’indagine.
Si può comprendere, anche da questa breve e lacunosa descrizione, che la necessità di elaborare e fissare normativamente dei protocolli operativi comuni da utilizzare in sede di ricerca e conservazione della prova è un’esigenza non più procrastinabile.
A questa considerazione, infine, si deve aggiungere anche quella relativa all’esigenza di riformulare molte delle norme del codice di procedura penale tenendo in considerazione la natura particolare delle prove informatiche.
La disponibilità di strumenti operativi specifici si configura come un momento necessario non solo per consentire alla pubblica autorità di ricercare e conservare la prova informatica in modo da garantirne l’utilizzabilità processuale ma anche per lo stesso soggetto indagato al fine di disporre di un punto di riferimento normativo idoneo a verificare che l’invasione della sua sfera personale e privata non sia stata attuata oltre i limiti necessari e consentiti[4].


NOTE

[*] Il presente articolo è stato pubblicato, con alcune modifiche, in Diritto della Gestione Digitale delle Informazioni, suppl. della Rivista Giuridica "Il Nuovo Diritto" n. 7, 2004.

[1] Per un maggiore approfondimento del pensiero dell'autore sul tema si consiglia di prendere visione degli articoli scritti dal dott. GERARDO COSTABILE consultabili all’interno del sito www.costabile.net

[2] Convegno, Diritto e Processo Penale nell’esperienza delle Nuove Tecnologie, (promosso da www.penale.it), Roma 18-19 giugno 2004, Auditorium della Cassa Nazionale di Previdenza e Assistenza Forense, Via Ennio Quirino Visconti, 8.

[3] Si intende come documento qualsiasi contenuto informativo sia esso testo, immagine, video…

[4] Per un approfondimento dell'argomento si rinvia al contributo dell'Avv. Bruno Fiammella, Problematiche giuridiche legate alla computer forensic (Sintesi dell’intervento svolto durante il Convegno Internazionale “Pedofilia on-line: strategie di contrasto e di prevenzione” Roma, Aula Magna Ministero delle Comunicazioni, 8 luglio 2004) pubblicato in Diritto&Diritti nel settembre 2004.