Il presente contributo mira a discernere le questioni attinenti alla natura degli accertamenti tecnici in ambito informatico. Fin troppo spesso affiorano incertezze interpretative da parte della giurisprudenza e della dottrina in merito a tale quesito, che dimostra come il legislatore faccia oggettivamente difficoltà a stare al passo con l’implemento costante delle tecnologie.
Due fondamentali accertamenti tecnici: la perizia e la consulenza tecnica.
Con riferimento alla perizia ed alla consulenza tecnica, sia la dottrina che la giurisprudenza ritengono che i presupposti alla base dell’ammissibilità di questi contributi siano gli stessi.
Il codice di procedura penale del 1988 ha ridisegnato la mappa degli apporti scientifici aprendo uno scenario innovativo rispetto al passato. Accanto alla perizia, che rientra fra i mezzi di prova, sono previste altre figure di ausili tecnici.
L’Art. 220 c.p.p. impone infatti che la perizia “sia ammessa quando occorre svolgere indagini o acquisire dati o valutazioni che richiedono specifiche competenze tecniche, scientifiche o artistiche”.
Allo stesso modo, la figura del consulente tecnico viene ammessa, a seconda della natura ripetibile o irripetibile dell’accertamento tecnico, quando “sono necessarie specifiche competenze tecniche”, ed è ormai opinione prevalente anche in giurisprudenza che il codice ne riconosca i medesimi presupposti della perizia[1].
Nel nostro codice di procedura penale, numerosi sono i richiami terminologici ai “rilievi” ed agli “accertamenti”, nomenclature che vengono utilizzate indiscriminatamente e senza alcuna distinzione. Al fine di ripristinare la chiarezza richiesta dal diritto, sarà essenziale palesare il significato di questi termini.
Per “rilievi” si deve generalmente intendere un’attività di individuazione e rilevazione di dati materiali, mentre per “accertamenti” si deve intendere un’attività di studio, di analisi e di giudizio di quegli stessi dati[2].
Detto ciò, sarà possibile definire “rilievo”, ad esempio, l’attività di raccolta dattiloscopica, mentre sarà inteso quale “accertamento”, lo studio di tali impronte ed il confronto con quelle presenti nel “database” delle persone segnalate.
Da questa distinzione, potrebbe dunque concludersi, considerato il silenzio del legislatore in merito, che i rilievi siano prodromici agli accertamenti, e che esista una sorta di rapporto di species at genus degli uni rispetto agli altri[3].
Dopo aver definito il significato proprio degli accertamenti, è importante anche comprendere il senso del termine tecnico riguardante questi ultimi.
Il suddetto termine è chiarito direttamente dal codice di rito al comma 1 dell’art. 359 c.p.p., dal quale si deduce che la tecnicità dell’accertamento si pone in funzione della necessità dell’apporto di competenza specifica che il PM o i suoi ausiliari non hanno.
Per tale ragione, il PM, la PG ed anche la difesa, possono avvalersi della competenza specifica propria di consulenti tecnici, i quali è fondamentale che svolgano la loro attività, secondo elevati standard di qualità e professionalità.
Distinzione tra accertamenti tecnici ripetibili ed irripetibili.
Il dibattito sulla ripetibilità o irripetibilità degli accertamenti in campo di informatica forense è fra i più accesi; la discussione prende origine, essenzialmente, dall’interpretazione di due articoli che vengono citati durante la nomina del consulente e che delineano la forma in cui si svolgeranno le operazioni peritali e quindi la modalità con la quale verranno coinvolte le parti e si formerà la prova[4].
L’art. 359 c.p.p. descrive la possibilità, per il PM, di avvalersi di consulenti per eseguire “accertamenti, rilievi segnaletici, descrittivi o fotografici e ogni altra operazione tecnica per cui sono necessarie specifiche competenze”. L’articolo, implicitamente, annovera fra le attività quelle che non causano modificazioni a persone, cose o luoghi, cioè accertamenti ripetibili.
La ripetizione entra in gioco in quanto si richiede – appunto – che un esame porti agli stessi identici risultati anche se ripetuto più volte e da diversi soggetti. Ovviamente affinché ciò avvenga, la fonte di prova deve innanzitutto rimanere integra e non deteriorarsi o distruggersi.
L’art. 360 c.p.p. precisa, invece, che “quando gli accertamenti previsti dall’art. 359 riguardano persone, cose o luoghi il cui stato è soggetto a modificazione, il Pubblico Ministero avvisa, senza ritardo, la persona sottoposta alle indagini, la persona offesa dal reato ed i difensori del giorno, dell’ora e del luogo fissati per il conferimento dell’incarico e della facoltà di nominare consulenti tecnici”. Si parla in questo caso di accertamenti irripetibili, nei quali cioè lo stato degli oggetti sottoposti ad esame è stato modificato e accertamenti successivi porterebbero a risultati diversi o persino potrebbero non essere più esperibili perché gli oggetti sono andati distrutti.
Alcuni esempi tipici sono i rilievi stradali, accertamenti sui corpi umani o in ambienti aperti dove le condizioni meteo possono causare alterazioni.
Tutti i casi nei quali “I difensori nonché i consulenti tecnici eventualmente nominati hanno diritto di assistere al conferimento dell’incarico, di partecipare agli accertamenti e di formulare osservazioni e riserve, a meno che prima del conferimento dell’incarico, la persona sottoposta alle indagini non abbia formulato riserva di promuovere incidente probatorio”.
Accertamenti tecnici: ripetibili o irripetibili?
Partendo ad analizzare gli accertamenti su memoria di massa, nella maggioranza dei casi ciò che è memorizzato su un dispositivo di archiviazione dati (hard disk, scheda di memoria, pendrive) vi rimarrà fino a che non interverrà un ordine esplicito di cancellazione o modifica o un danneggiamento dell’hardware[5].
Tale caratteristica fa sì che si possa innanzitutto dividere in due fasi ben distinte l’accertamento sul materiale informatico:
- L’acquisizione;
- L’analisi dei dati.
L’acquisizione prevede la generazione di una copia il più possibile conforme all’originale, finalizzata a poter eseguire su di essa la successiva fase di analisi, che consiste nell’elaborazione di quanto acquisito per produrre una relazione tecnica che risponda ai quesiti posti dagli inquirenti.
Tale prima fase su di alcuni dispositivi tradizionali come hard disk, schede di memoria o pendrive, viene ormai considerata ripetibile.
Il motivo è che i dispositivi di archiviazione di massa permettono, in genere, all’operatore di eseguire una copia integrale dell’intero spazio disponibile per i dati, siano essi presenti o cancellati. La copia viene chiamata “copia forense” o “copia bit-to-bit” in quanto contiene tutti i bit/byte del supporto di memoria, dal primo all’ultimo, allocati (cioè sui quali sono scritti dei dati ancora presenti) o non allocati (cioè vuoti o sui quali vi sono dati non più considerati presenti).
La seconda fase, quella di analisi del dato copiato, è per definizione ripetibile.
Partendo dalla stessa copia forense, sia il consulente del PM sia quello delle parti e, in un momento successivo anche l’eventuale perito del giudice, sarà in grado di ottenere gli stessi risultati.
Dal punto di vista giuridico, secondo giurisprudenza consolidata[6], “la nozione di atto non ripetibile non ha natura ontologica, ma va ricavata dalla disciplina processuale, caratterizzata dal bilanciamento degli interessi fra la ricerca della verità nel processo ed il sacrificio del principio costituzionale relativo alla formazione della prova nel contraddittorio fra le parti”. Si ritiene, ancora, di escludere che l’attività di estrazione di un file da un computer costituisca un atto irripetibile, atteso che non comporta alcuna attività di carattere valutativo su base tecnico scientifica, né determina alcuna alterazione dello stato delle cose, tale da rendere pregiudizio al contributo conoscitivo nella prospettiva dibattimentale, essendo sempre e comunque assicurata la riproducibilità delle informazioni identiche a quelle contenute nell’originale.
Dunque, andrebbe esclusa dal novero degli atti irripetibili, essendo sempre assicurata la futura riproducibilità di informazioni identiche a quelle contenute nell’originale.
In linea di principio l’accertamento ripetibile è quello finalizzato ad una semplice descrizione oggettiva o statica di una cosa ed è un accertamento che può presentare carattere di ripetitività[7].
Diametralmente opposto è invece un orientamento dottrinale che ravvisa[8], sempre e comunque, il carattere di non ripetibilità delle attività tecniche di natura digitale a causa della potenziale alterabilità dei dati in fase sia di semplice lettura, sia di acquisizione da parte dei software di analisi forense: ciò in quanto la modificabilità degli originali deriva dalla dematerialità dell’oggetto di indagine, con la conseguenza che il rispetto del diritto di difesa esige sempre l’esecuzione di tali operazioni nella forma dell’accertamento tecnico non ripetibile ex art. 360 c.p.p.
Vero è che se le operazioni di estrazioni dei file vengono considerate, come spesso accade, atti aventi natura ripetibile e, quindi, le operazioni sui dati effettuati senza le garanzie previste dal 360 c.p.p., l’attività difensiva si limita ad un’attività postmortem (ovvero su un sistema spento o scollegato), con un supporto dal quale sono estratti dati estrapolati da soggetti, dei quali si deve sempre presumere la competenza.
Tuttavia la cronaca giudiziaria italiana ci ha insegnato che la scena informatica del crimine può ben essere compromessa dagli operanti di Polizia Giudiziaria.
A tal proposito, però, il difensore ha sempre una possibilità difensiva, qualora il computer sia in sequestro e non sia stato disposto un accertamento tecnico ex art. 360 c.p.p., ovvero di richiedere, ex art. 233 c. 1-bis c.p.p. l’effettuazione di una consulenza tecnica assolutamente autonoma sulla copia dei dati estratti.
Accertamenti tecnici su smartphone, cellulari e cloud.
Spostando l’attenzione sugli accertamenti compiuti su smartphone, cellulari o sul cloud, invece, dal punto di vista dell’acquisizione, la differenza con un hard disk consiste nel fatto che eseguire copie forensi bit-to-bit del primo è sostanzialmente più difficile, mentre sul secondo la pratica è ormai consolidata sia dal punto di vista tecnico che giuridico.
Per alcuni telefoni sono disponibili delle procedure che permettono tramite bootloader di avviare il dispositivo e acquisire copia della memoria così come si farebbe con un hard disk, dal primo all’ultimo byte, senza modificare nessuna area della memoria di massa contenente i dati.
Ciò che incontra più difficoltà interpretativa e la copia forense di dispositivi che:
- Richiedono l’avvio del sistema operativo per poter permettere le operazioni di copia;
- Possono non permettere acquisizione “physical”, ma soltanto “logical”.
Il primo punto già di per sé implica un qualche tipo di modifica all’oggetto che viene copiato.
Il secondo punto, invece, implica che, non potendo eseguire operazioni di copia in modalità “physical”, qualche informazione non possa essere acquisita[9].
Fondamentale in tale situazione è la distinzione fra “dato” e “contenitore” e la precisazione di quale subisce eventuali alterazioni.se operazioni di copia successiva, anche in modalità “logical” non implicano modifiche ai dati (ad esempio agli SMS, messaggi WhatsApp, foto, e-mail, video) l’attività può essere ripetuta a piacere e produrrà sempre gli stessi risultati. Certamente non saranno acquisiti dati cancellati e informazioni come file di log degli avi del dispositivo che potranno subire modifiche, ma il dato estratto sarà sempre lo stesso.
L’acquisizione così realizzata viene definita “physical” perché, a differenza delle acquisizioni che avvengono in modalità “logical”, comporta la copia di tutto il supporto su cui vengono scritti i dati.
La ripetibilità delle operazioni di acquisizione di questi dispositivi si riconduce a quella della copia di hard disk, ormai pacifica.
Per quanto concerne invece il cloud, la situazione non è molto diversa da quanto descritto per i telefoni. Una modificazione dell’ambiente è possibile ma va valutato, caso per caso, il contesto sul quale il quesito pone l’attenzione. Il fine è capire se le attività possano non essere irripetibili a fronte dell’analisi dell’impatto sui dati e dell’affidabilità e conformità di quanto acquisito con l’originale.
In conclusione, appare necessario collocare la natura di irripetibilità dell’atto, al momento e al caso specifico nel quale esso viene svolto.
Ciò dipende dalla tipologia del sistema informatico (server o semplice computer), dal suo stato (acceso spento) e dal momento storico delle attività investigative.
Volume consigliato
L’accertamento tecnico preventivo: le principali applicazioni settoriali – e-Book in pdf
L’ebook tratta dell’accertamento tecnico preventivo, a partire dalla sua funzionalità per arrivare alle applicazioni concrete in diversi ambiti settoriali. Con un taglio pratico, l’analisi abbraccia le problematiche connesse al relativo procedimento, sia nelle ipotesi di svolgimento obbligatorio, che in quelle di ricorso facoltativo allo strumento. Completa l’opera, il raffronto con altri istituti simili ma che perseguono diverse finalità, come la consulenza tecnica ai fini della composizione della lite. Maria Teresa De Luca, Avvocato cassazionista. Si occupa di diritto civile e, in particolare, di diritto bancario ed esecuzioni immobiliari. Svolge la funzione di Professionista delegato alle vendite immobiliari presso il Tribunale di Taranto. Autrice di volumi e contributi su riviste giuridiche e portali on line.
Maria Teresa De Luca | 2020 Maggioli Editore
12.90 € 10.32 €
Note
[1] G. D’aiuto, L. Levita, I reati informatici, disciplina sostanziale e questioni processuali, Milano, Giuffrè, 2012.
[2] Cass. Pen., Sez. I, 2 aprile 2009 n. 14511.
[3] S. Sottani, Rilievi e accertamenti sulla scena del crimine, in Arch. pen, 2011.
[4] F. Novario, L’attività d’accertamento tecnico difensivo disposta su elementi informatici e la sua ripetibilità̀, in Ciberspazio e diritto, 2011.
[5] A. Scalfati, Le indagini atipiche. Leggi penali tra regole e prassi, Giappichelli, Torino, 2014.
[6] Cass. Pen., Sez. I, 25 febbraio 2009 n. 11503.
[7] Cass. Pen., Sez. II, 8 novembre 2017 n. 54537.
[8] L. Luparia, G. Ziccardi, Investigazione penale e tecnologia informatica. L’accertamento del reato tra progresso scientifico e garanzie fondamentali, Giuffrè, Milano, 2007.
[9] G. Costabile, R. Rasetti, Scena crimins, tracce informatiche e formazione della prova, in Cyberspazio e diritto, 2003.
Scrivi un commento
Accedi per poter inserire un commento