Crea sito

La Prova informatica e (ir)ripetibilità dell’accertamento tecnico

Un settore della prova scientifica che si avvia a svolgere un ruolo particolarmente importante nel panorama processuale – non esclusivamente penale – è quello riguardante la prova informatica o digitale, definibile come qualunque informazione che può assumere la veste di elemento di prova, memorizzata o trasmessa in un formato digitale.

Rientra, infatti, nella comune esperienza la continua e sempre più larga diffusione di dispositivi digitali (computer, CD, DVD, hard disk, pen drive, telefoni cellulari, iPod, gps, bancomat, Telepass, etc.), in grado di memorizzare una infinita serie di dati, informazioni e rappresentazioni di fatti, leciti o illeciti. Tali apparecchiature costituiscono pertanto fonti di prova, dalle quali è possibile estrapolare dati rilevanti per l’indagine.

Caratteristica dei computer e degli apparecchi informatici in generale è quella di comporsi di due parti distinte: una materiale (l’oggetto fisico che si può vedere e toccare) e una, per così dire, immateriale (i dati contenuti nei supporti di memoria). Proprio la parte “immateriale” contiene una lunghissima serie di dati relativi all’utilizzo del dispositivo, conservando traccia di molte operazioni che l’utente ha eseguito nel corso dell’impiego della macchina.

La particolare natura dei dati contenuti in un dispositivo informatico implica che essi possano essere modificati, alterati, danneggiati o distrutti, anche inavvertitamente. Si comprende, dunque, come la ricerca, l’analisi e l’estrazione della prova digitale costituisca un momento delicato nell’attività di indagine, che richiede sufficiente perizia tecnica, al fine di consentire – oltre all’inalterabilità della memoria del dispositivo – anche la genuinità dei dati estratti.

Prova informatica: disciplina processuale

Con le modifiche apportate dalla Legge 18 febbraio 2008 n. 48 (ratifica della Convenzione del Consiglio d’Europa sulla criminalità informatica firmata a Budapest il 23 novembre 2001), la normativa processuale dettata dal codice in materia di prove e di indagini è stata adattata all’esigenza di sottoporre a ispezioni, perquisizioni, sequestri e accertamenti tecnici sistemi o programmi informatici e telematici, anche ove salvaguardati da misure di sicurezza. E così:

  • in tema di ispezioni, all’art. 244 comma 2 secondo periodo sono state aggiunte le parole: “anche in relazione a sistemi informatici, telematici, adottando misure tecniche dirette ad assicurare la conservazione dei dati originali e a impedirne l’alterazione”;
  • in tema di perquisizioni, all’art. 247 è stato inserito il comma 1 bis: “ Quando vi è fondato motivo di ritenere che dati, informazioni, programmi informatici o tracce comunque pertinenti al reato si trovino in un sistema informatico o telematico, ancorché non protetto da misure di sicurezza, ne è disposta la perquisizione, adottando misure tecniche dirette ad assicurare la conservazione dei dati originali e a impedirne l’alterazione”;
  • in materia di sequestro di corrispondenza, il comma 1 dell’art. 254 è stato sostituito col seguente: “Presso coloro che forniscono servizi postali, telegrafici, telematici o di telecomunicazioni è consentito procedere al sequestro di lettere, pieghi, pacchi, valori, telegrammi e altri oggetti di corrispondenza, anche se inoltrati per via telematica, che l’autorità giudiziaria abbia fondato motivo di ritenere spediti dall’imputato o a lui diretti, anche sotto nome diverso o per mezzo di persona diversa, o che comunque possono avere relazione con il reato”; inoltre, è stato aggiunto l’art. 254 bis (rubr. Sequestro di dati informatici presso fornitori di servizi informatici, telematici o di telecomunicazioni), che dispone: “1. L’autorità giudiziaria, quando dispone il sequestro, presso i fornitori di servizi informatici, telematici o di telecomunicazioni, dei dati da questi detenuti, compresi quelli di traffico o di ubicazione, può stabilire, per esigenze legate alla regolare fornitura dei servizi medesimi, che la loro acquisizione avvenga mediante la copia di essi su adeguato supporto, con una procedura che assicuri la conformità dei dati acquisiti a quelli originali e la loro immodificabilità. In questo caso è, comunque, ordinato al fornitore dei servizi di conservare e proteggere adeguatamente i dati originali”;
  • al comma 1 dell’art. 256, che riguarda il dovere delle persone indicate dagli artt. 200 e 201 (segreto professionale e segreto d’ufficio) di consegnare immediatamente atti e documenti, sono state aggiunte le parole: “nonché i dati, le informazioni e i programmi informatici, anche mediante copia di essi su adeguato supporto”;
  • al comma 2 dell’art. 259, riguardante gli obblighi del custode delle cose sequestrate, è stato aggiunto il periodo: “Quando la custodia riguarda dati, informazioni o programmi informatici, il custode è altresì avvertito dell’obbligo di impedirne l’alterazione o l’accesso da parte di terzi, salva, in quest’ultimo caso, diversa disposizione dell’autorità giudiziaria”; parimenti, l’art. 260 prevede che il sigillo alle cose sequestrate possa essere apposto con mezzi “anche di carattere elettronico o informatico”;
  • in tema di perquisizioni a iniziativa della polizia giudiziaria, all’art. 352 è stato aggiunto il comma 1 bis: “Nella flagranza del reato, ovvero nei casi di cui al comma 2 quando sussistono i presupposti e le altre condizioni ivi previsti, gli ufficiali di polizia giudiziaria, adottando misure tecniche dirette ad assicurare la conservazione dei dati originali e a impedirne l’alterazione, procedono altresì alla perquisizione di sistemi informatici o telematici, ancorché protetti da misure di sicurezza, quando hanno fondato motivo di ritenere che in questi si trovino occultati dati, informazioni, programmi informatici o tracce comunque pertinenti al reato che possono essere cancellati o dispersi”;
  • l’art. 353 prevede che il PM autorizzi la PG a ricercare notizie utili all’assicurazione delle fonti di prova, non solamente con l’immediata apertura di plichi, ma anche con l’“accertamento del contenuto” della corrispondenza informatica;
  • all‘art. 354 è stato aggiunto un secondo periodo:  “In relazione ai dati, alle informazioni e ai programmi informatici o ai sistemi informativi o telematici, gli ufficiali della polizia giudiziaria adottano, altresì, le misure tecniche o impartiscono le prescrizioni necessarie ad assicurare la conservazione e a impedirne l’alterazione e l’accesso e provvedono, ove possibile, alla loro immediata duplicazione su adeguati supporti, mediante una procedura che assicuri la conformità della copia all’originale e la sua immodificabilità”.

Accertamento tecnico-informatico: ripetibilità o irripetibilità?

Il dibattito sulla ripetibilità o irripetibilità degli accertamenti tecnici in ambito informatico è forse fra i più accesi. Generalmente, i dati memorizzati in un dispositivo digitale (hard disk, scheda di memoria, pendrive, etc.) vi rimarrà fino a che non interverrà un ordine esplicito di cancellazione o modifica o un danneggiamento dell’hardware.

L’accertamento tecnico su dispositivi informatici può suddividersi in due fasi: quella dell’acquisizione e quella dell’analisi dei dati. La fase di acquisizione si esaurisce con la generazione di una copia del dispositivo di memoria (c.d. copia forense), successivamente oggetto della fase di analisi, che troverà il proprio epilogo in una relazione tecnica che risponda ai quesiti posti dagli inquirenti o dal cliente.

La fase di acquisizione sui dispositivi “tradizionali” come hard disk, schede di memoria o pendrive viene ormai considerato un accertamento ripetibile, sempre che vengano adottate le necessarie misure tecniche dirette ad assicurare la conservazione dei dati originali e ad impedirne l’alterazione, applicando protocolli che assicurino la conformità dei dati acquisiti a quelli originali e la loro immodificabilità.

Anche la fase di analisi dei dati copiati è, per definizione, un’attività ripetibile, atteso che la stessa non determina alcuna alterazione dello stato delle cose.

Per quanto riguarda gli smartphone invece, la situazione è più complessa. Eseguire una copia forense di tali dispositivi è infatti operazione talvolta impossibile, a seconda del Sistema Operativo installato. In questi casi, pertanto, la ripetibilità o irripetibilità dell’accertamento tecnico dovrà essere valutata caso per caso.

Pubblicato da Valeria Citraro

Laureata in Giurisprudenza con 108/110 presso l'Università degli Studi di Catania, con tesi in Diritto Processuale Penale dal titolo "La chiamata in correità. Struttura e Valutazione Probatoria". Abilitata all'esercizio della professione forense il 30/09/2016 con votazione 405/420.