Focus

Indagini informatiche e acquisizione dei file: accertamento o rilievo?

27 Gennaio 2020 |

Trib. Milano

Prova

Sommario

Abstract | Premessa | Copie e duplicati | La natura dell'attività | Le precisazioni del Tribunale di Milano | In conclusione | Guida all'approfondimento |

Abstract

Le modalità di acquisizione dei file individuati nell'ambito di perquisizioni informatiche possono essere determinate in relazione alla effettiva utilizzabilità - spesso decisiva - degli stessi. In questo senso è indispensabile verificare l'effettiva natura dell'attività in oggetto e se – conseguentemente - debba essere applicata la procedura degli accertamenti tecnici irripetibili ex art 360 c.p.p. o se siano sufficiente l'attività delegata alla P.G.

Premessa

Nell'ambito di un procedimento penale devono essere con sempre maggiore frequenza impiegate conoscenze riconducibili alla categoria generale definita computer forensics” o “informatica forense”, ossia al settore di ricerca che studia le problematiche tecniche e giuridiche correlate alle investigazioni sui dati digitali, ossia su dati conservati e trasmessi con linguaggio binario, come tali caratterizzati da una non immediata percepibilità, la cui fruizione deve trovare luogo mediante specifiche operazioni tecniche, basate su principi informatici. La difficoltà per l'interprete è di conciliare la logica della scienza informatica, in costante evoluzione e ontologicamente “dinamica”, con le esigenze di accertamento e di “certezze” logico argomentative tipiche del diritto penale, che devono a loro volta conciliare esigenze probatorie e garanzie difensive.

In tale ambito, assolutamente centrale, sia sul piano qualitativo che quantitativo, risulta il problema delle modalità di acquisizione agli atti del procedimento dei file individuati in esito alle varie forme di perquisizione informatica che possono essere disposte, ex art 247 comma 1-bis, c.p.p. Si tratta di documenti informatici dei quali il P.M. può chiedere l'acquisizione nel fascicolo del dibattimento, rispetto alla quale non infrequentemente le difese eccepiscono una nullità di ordine generale a regime intermedio o l'inutilizzabilità, assumendo che tali documenti sarebbero stati acquisiti nell'ambito di accertamenti tecnici irripetibili rispetto ai quali non sarebbe stato disposto avviso all'indagato, con inosservanza delle forme di cui all'art. 360 c.p.p.

L'ordinanza del Tribunale che si propone all'attenzione dei lettori affronta in termini organici, completi e corretti tale delicata aspetto, in relazione alla ripetibilità o meno della attività di cosiddetta “estrazione di copia forense” da dispositivi mobili, con le conseguenti ricadute in ordine alla diversa garanzia difensiva approntata dagli artt. 359 e 360 c.p.p. Preliminarmente il Tribunale distingue due differenti aspetti, entrambi connessi a operazioni di estrazione dati su base “logica”:

a)  il possibile verificarsi di modifiche “fisiologiche” – eliminazione dati e mutamento di allocazione dati nei file – dei database oggetto di duplicazione in conseguenza della alimentazione del circuito “PCB” del dispositivo, che determina l'avvio di procedure di eliminazione di files non più ritenuti necessari (es. eliminazione files dal cestino alla scadenza del termine programmato mediante garbage collector, o altre eliminazioni di default impostate dall'utente per SMS, web navigati, ecc.);

b)  le autonome procedure di alterazione dello spazio non allocato avviate dal sistema operativo al momento dell'avviamento del dispositivo.

Il punto di partenza delle argomentazioni del Tribunale deve essere individuato nella fondamentale distinzione, posta nell'ambito delle disposizioni concernenti la ricerca della prova e di assicurazione delle fonti di prova da parte della polizia giudiziaria contenute del codice di rito, tra attività di mero rilievo e attività di vero e proprio accertamento tecnico.

Al riguardo, le indicazioni della S.C. non lasciano spazio a dubbi: la distinzione si fonda non tanto sulla necessità o meno di impiego di mezzi tecnici, quanto “sulla applicazione di strumenti e cognizioni tecniche a fini di studio e valutazione critica del dato acquisito.”

Copie e duplicati

Prima di valutare la condivisibilità delle conclusione alle quali giunge il Tribunale di Milano, occorre verificare cosa debba intendersi per “ copia” o “duplicato” di un file. Precisazione doverosa, in quanto, purtroppo non infrequentemente tali termini vengono intesi –erroneamente - come sinonimi.

In effetti, individuato il materiale da sequestrare in esito alla perquisizione, si pone il problema delle copie forensi, ossia dell'acquisizione di documenti in formato digitale con formazione di una copia preferibilmente bit a bit da un dispositivo di memoria di massa a un altro. Cosa deve intendersi per acquisizione? Si tratta del duplicato o della copia?

Una distinzione la troviamo nel d.lgs. 7 marzo 2005, n. 82), all'art. 1:

lett:i-quater) copia informatica di documento informatico: il documento informatico avente contenuto identico a quello del documento da cui e' tratto su supporto informatico con diversa sequenza di valori binari;

i-quinquies) duplicato informatico: il documento informatico ottenuto mediante la memorizzazione, sullo stesso dispositivo o su dispositivi diversi, della medesima sequenza di valori binari del documento originario.

Al fine di procedere all'acquisizione delle memorie di cui sono provvisti telefoni cellulari, PC, Tablet, Ipad, ecc… la P.G. deve seguire rigorosamente le linee guida adottate a livello internazionale e comunque finalizzate a impedire che la fonte di prova venga alterata utilizzando dispositivi hardware certificati (write blocker, workstation) e software certificati anche per i telefoni cellulari.

In primo luogo l'acquisizione della memoria deve essere effettuata creando una row image, che costituisce una copia fisica bit a bit della memoria originale (mentre per quei dispositivi dove tale modalità non è consentita, si dovrà procedere con le forme dell'art. 360 c.p.p.). La copia fisica bit a bit – detta anche clonazione- è qualcosa di differente dalla semplice formazione di copia dei file contenuti nella memoria; la clonazione (rectius duplicazione) a differenza della semplice copia determina la formazione di un duplicato dei singoli file presenti sulla memoria, ossia di tutte le zone del disco, anche quelle che non contengono alcun file direttamente visibile all'utente, definite tecnicamente aree non allocate, senza riorganizzazione o compressione di quanto scritto. In questo modo è possibile il recupero di file cancellati o di informazioni ormai non più disponibili all'utilizzatore del sistema.

La natura dell'attività

La procedura di acquisizione e di conseguente formazione di copia ha natura di rilievo tecnico o accertamento? La duplicazione non implica di regola un'elaborazione critica di dati, anche se il costante, progressivo e irreversibile progresso tecnico non consente di escludere che in specifiche situazioni tale eventualità possa presentarsi. Deve comunque farsi riferimento ai principi generali espressi dall'art. 354, comma 2, c.p.p.: “In relazione ai dati, alle informazioni e ai programmi informatici o ai sistemi informatici o telematici, gli ufficiali della polizia giudiziaria adottano, altresì, le misure tecniche o impartiscono le prescrizioni necessarie ad assicurarne la conservazione e ad impedirne l'alterazione e l'accesso e provvedono, ove possibile, alla loro immediata duplicazione su adeguati supporti, mediante una procedura che assicuri la conformità della copia all'originale e la sua immodificabilità. Se del caso, sequestrano il corpo del reato e le cose a questo pertinenti.”

Nel codice vigente la nozione di "accertamento" riguarda non la constatazione o la raccolta di dati materiali pertinenti al reato e alla sua prova - che si esauriscono nei semplici rilievi - ma il loro studio e la relativa elaborazione critica, necessariamente soggettivi e per lo più su base tecnico- scientifica; la distinzione trova testuale conferma normativa in ripetute disposizioni codicistiche ad es., negli artt.354, 359, 360) che menzionano separatamente i termini "rilievi" e "accertamenti", con implicita assunzione, per ciascuno, del significato specifico precedentemente delineato (Cass., Sez. I, n. 301/1990 , CED 183648).

La distinzione tra accertamento e rilievo viene così a costituire la “linea di demarcazione” tra l'attività in senso stretto del consulente e tutta una serie di attività dirette soltanto a “cristallizzare” e raccogliere elementi in fatto, senza alcuna forma di rielaborazione “critica” delle medesime, demandate alla p.g..

Trasponendo tali principi nel settore informatico, emergono due esigenze. Da un lato, in generale, qualora il P.M. debba procedere ad accertamenti tecnici non ripetibili ai sensi dell'art. 360 c.p.p., ricorre l'obbligo di dare l'avviso al difensore solo nel caso in cui al momento del conferimento dell'incarico al consulente sia già stata individuata la persona nei confronti della quale si procede mentre tale obbligo non ricorre nel caso che la persona indagata sia stata individuata solo successivamente all'espletamento dell'attività peritale. (Cass. Sez I, n. 18246/2015, CED 263858)

Il problema si pone in quanto ben difficilmente una perquisizione/sequestro presso una società o un privato potrebbe avvenire senza porsi il dubbio di ritenere identificabile in soggetto da iscrivere (e, come tale, da ritenere destinatario) degli avvisi.

In relazione alla necessità del ricorso all'accertamento irripetibile, non pare decisiva la valutazione sulla cd “alterazione”. L'accertamento tecnico che impone di assolvere agli adempimenti richiesti dall'art. 360 c.p.p. è solo quello che, in forza di una valutazione "ex ante", e sulla base di una ragionevole prevedibilità, sia causa di alterazione della cosa, del luogo o della persona sottoposta all'esame medesimo. (Cass., Sez. III, n. 46043/2018, CED 274519)

Secondo la S.C., non dà luogo ad accertamento tecnico irripetibile la lettura dell' "hard disk" di un computer sequestrato, trattandosi di attività di polizia giudiziaria volta, anche con urgenza, all'assicurazione delle fonti di prova; in particolare, la masterizzazione di file rinvenuti all'interno di un PC rinvenuto acceso durante una perquisizione non costituirebbe attività irripetibile bensì attività ripetibile, come tale formalmente corretta. La S.C. ritiene che sia “da escludere che l'attività di estrazione di copia di file da un computer costituisca un atto irripetibile… atteso che non comporta alcuna attività di carattere valutativo su base tecnico-scientifica né determina alcuna alterazione dello stato delle cose, tale da recare pregiudizio alla genuinità del contributo conoscitivo nella prospettiva dibattimentale, essendo sempre comunque assicurata la riproducibilità di informazioni identiche a quelle contenute nell'originale”. (Cass., Sez I, n. 11503/2009, CED 243495)

L'affermazione, per quanto condivisibile, è stata (e rimarrà, verosimilmente) fonte di discussioni: l'intervento in sé sul sistema non può che modificarlo, per quanto di tale modifica si abbia specifica e riconoscibile traccia; il punto, allora, non è tanto nella riconoscibilità di tale intervento, quanto nella qualità- in termini di completezza e affidabilità- dell'oggetto dello stesso.

Un aspetto è fondamentale: ogni analisi successiva all'acquisizione dovrà essere svolta non sulla copia/duplicato originario, la cui autenticità e integrità deve essere garantita dall'impressione di un algoritmo (codice hash).

Da questa bitstream image deve essere estratto un ulteriore duplicato sul quale si svolgono le indagini. Ottenuta l'immagine della memoria si procede alla ricostruzione dei contenuti secondo modalità post mortem: dunque non sul reperto ma sulla copia della memoria dello stesso. Operazione che deve essere effettuato da personale appositamente formato per svolgere le corrette attività volte al mantenimento dell'integrità della chain of custody così come della complessa architettura dell'elettronica digitale di cui si costituiscono i reperti oggetto di analisi.

È opportuno ricordare che la funzione crittografica di hash consiste nell'utilizzare un algoritmo matematico che mappa dati di lunghezza arbitraria (messaggio = stringa binaria che costituisce il file) in una seconda stringa binaria di dimensione fissa (digest) chiamata valore di hash. Tale funzione matematica è progettata per essere unidirezionale (quindi da messaggio a valore e giammai da valore a messaggio originario), per essere sufficientemente robusta alle collisioni (messaggi diversi con stesso valore di hash) da garantire l'integrità della prova e ,non ultimo, assolutamente ripetibile. I valori di HASH calcolati nel corso delle operazioni di copia devono essere menzionati all'interno dei verbali redatti dalla P.G.

Nell'ordinanza in commento, rileva il Tribunale che l'attività di estrazione di dati informatici (c.d. “copia forense”) da dispositivi elettronici (computer, tablet, smartphone ecc.), presuppone “l'impiego di nozioni e strumenti tecnici sofisticati, adattabili di volta in volta a consentire l'acquisizione della maggior parte dei dati contenuti nel device la cui memoria viene specificamente sottoposta a duplicazione. Una volta tuttavia perfezionatasi l'attività di estrazione dei dati, non occorre procedere per l'acquisizione del dato probatorio ad alcuna ulteriore fase di studio o valutazione critica, demandata eventualmente ad una successiva fase di perizia dibattimentale.”

Le precisazioni del Tribunale di Milano

Una conferma della distinzione posta dalla S.C. e sopra richiamata tra accertamento e rilievo, è tratta dal Tribunale di Milano dalla lettura sistematica degli artt. 359 e 360 c.p.p.: “mentre infatti l'art. 359 c.p.p. attribuisce al Pubblico Ministero il potere di procedere in assenza di garanzie di contraddittorio ad accertamenti e rilievi, anche di natura tecnica, il successivo art. 360 ha cura di precisare che, diversamente, nel caso in cui gli “accertamenti previsti dall'art. 359” riguardino “persone, cose e luoghi in cui stato è soggetto a modificazione”, la menzionata esigenza di garanzia riemerge nella forma dell'onere di previo avviso e del diritto di assistenza a favore delle altre parti processuali. Come noto, la previsione dettata dall'art. 117 disp. att. c.p.p. estende tale apparato di garanzia anche all'ipotesi di “accertamento tecnico” tale da determinare di per sé effetti modificativi su cose, luoghi e persone. L'interpretazione del dato normativo sembra pertanto suggerire che l'attività di rilevamento posta in essere dal Pubblico Ministero non richieda garanzie di contraddittorio, riservate invece all'attività di accertamento tecnico c.d. “irripetibile””.

In particolare, ad assumere rilievo dirimente a fini della distinzione non è la necessità di conoscenza e applicazione di regole tecniche nell'espletamento di attività, talora connotate da profili di elevata delicatezza quanto il contenuto e la natura dell'attività medesima. L'attività di formazione della c.d. “copia forense” di dati estratti da un dispositivo informatico, rientrando nella categoria del mero “rilievo”, non pone pertanto alcun problema di applicabilità delle garanzie previste dall'art. 360 c.p.p., ben potendo il P.M. delegare alla Polizia Giudiziaria, ai sensi dell'art. 370 c.p.p., operazioni di mero rilievo, pur di natura tecnica, senza le garanzie del contraddittorio contemplate dall'art. 360 c.p.p.

In questo senso il Tribunale trae un elemento di conferma alla propria tesi dalla modifica apportata dalla l. 48/2008 al secondo comma dell'art. 354 c.p.p., laddove sottolinea che “nell'ambito di un sistema pacificamente improntato alla rigida sottrazione alla Polizia Giudiziaria di ogni attività di accertamento tecnico che non abbia natura strettamente materiale – con le eccezioni tassativamente previste dall'art. 77 disp. att c.p.p. – la scelta di esplicita attribuzione agli ufficiali di Polizia Giudiziaria dell'attività di duplicazione di “dati, informazioni e programmi informatici e sistemi informatici e telematici (…) mediante una procedura che assicuri la conformità della copia all'originale e la sua immodificabilità” non può che essere letta altrimenti che quale conferma della natura di mero “rilievo tecnico” dell'attività in questione.”

In tale prospettiva, infine, viene esclusa una specifica significatività al fatto che in alcuni procedimenti il P.M. abbia fatto ricorso, per l'attività in oggetto, alla procedura di cui all'art. 360 c.p.p., in quanto si sarebbe trattato di scelta precauzionale – come tale certamente legittima- ma non tale da imporre in termini generali un'applicazione generalizzata della predetta procedura.

In conclusione

  • La copia di documento informatico è il documento avente contenuto identico a quello da cui è tratto, con diversa sequenza di valori binari, mentre il duplicato informatico è il documento informatico ottenuto mediante la memorizzazione della medesima sequenza di valori binari
  • L'attività di formazione di copia o duplicato di un documento informatico non richiede una valutazione critica, così che può essere considerato rilievo e non accertamento.
  • La formazione delle copie o duplicato non impone il ricorso alla procedura di cui all'art. 360 c.p.p.

Guida all'approfondimento

L. Luparia, La disciplina processuale e le garanzie difensive, in L. Luparia-G. Ziccardi, Investigazione penale e tecnologia informatica, Giuffrè, Milano, 2007

S. Aterno, Digital Forensics (Investigazioni informatiche), in Dig. pen., Agg. VIII, Torino, 2014, p. 217. L. Chirizzi, Computer forensics: brevi cenni tecnici e procedurali sulla ricerca della fonte di prova informatica, in Ciberspazio e diritto, 2006, 4, p. 463;

S. Aterno, Le investigazioni informatiche e l'acquisizione della prova digitale, in Giur. merito, 2013, 4, p. 955;

L. Mara­fioti, Digital evidence e processo penale, in Cass. pen., 2011, p. 4509;

G. Costabile, Computer forensics e informatica investigativa alla luce della Legge n. 48 del 2008, in Ciberspazio e diritto, 2010, 3, p. 465.

Leggi dopo