L’avvento delle tematiche connesse alla sicurezza informatica ha creato non poche difficoltà, in termini di adattamento, nell’ambito della giustizia italiana, non tanto e non solo per le necessità di un adeguamento cd. “interno”, trattandosi comunque di un settore che necessita di un rinnovamento procedurale orientato verso la digitalizzazione, pur con le dovute cautele per i dati e le informazioni che circolano al suo interno, quanto piuttosto per la necessità di confrontarsi, nella quotidiana opera di ricerca della verità processuale, con vicende e fattispecie che richiedono sempre più di frequente un confronto/scontro con i temi legati alla cybersecurity.
Sono diversi anni ormai che sono state introdotte, nel nostro sistema giuridico, nuove fattispecie di reato atte a fronteggiare i cd. crimini informatici o ad “aggiornare” le modalità operative idonee a descrivere preesistenti figure di reato, nel caso in cui le stesse vengano poste in essere mediante l’uso di mezzi informatici[1] secondo una evoluzione dettata dalle opportunità fornite dalla moderna tecnologia sempre più presente in ogni ambito sociale.
Se, tuttavia, il processo legislativo, pur riscontrando notevoli difficoltà di adattamento e di interpretazione delle rinnovate figure di reato, derivante dal definire elementi connotati da un forte dinamismo, può dirsi ormai avviato verso una normativizzazione del fenomeno della cd. criminalità informatica e di tutte le fattispecie ad esso connesse, altrettanto non può dirsi per il sistema giudiziario italiano, ove tali norme, cristallizzate dal legislatore, devono essere adoperate per classificare determinati fenomeni nell’ambito delle fattispecie di reato delineate, per giungere ad una corretta ricostruzione delle vicende. Ed è nelle aule di giustizia che le dinamiche connesse al perseguimento della verità processuale devono fondersi con le novità tracciate dalle vie del crimine informatico, pena l’impossibilità di giungere a coerenti e corrette conclusioni.
Cybersecurity e procedure processuali sono due mondi che non viaggiano alla stessa velocità e questo è certamente un elemento che emerge sin dal primo confronto. Basta una sia pur osservazione superficiale per percepire questa profonda distanza e, tenuto conto che la velocità ed il dinamismo rappresentano un qualcosa che è connaturale ai fenomeni che ruotano attorno al mondo cibernetico per le potenzialità che lo stesso riesce ad esprimere in un continuo rinnovarsi e trovare nuove strade, giocoforza dovrà essere il sistema processuale, per sua natura strumento posto al servizio delle altre scienze, ad adattarsi ed a trovare il modo di stare al passo con la prima.
Come è stato osservato: “il dinamismo insito nello sviluppo accelerato e costante delle nuove tecnologie non consente, talvolta, al legislatore di prevedere norme pienamente affidabili, così come agli operatori giuridici di fornire adeguata interpretazione, e conseguentemente applicazione univoca, alle disposizioni che hanno per oggetto quelle tecnologie” [2].
Si pensi ai crimini informatici, all’accesso abusivo ad un sistema informatico, alla detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici o anche alla frode e al falso informatico. In tutti questi casi, posta la regola (rectius la norma) e stabilito il fine (perseguimento dei reati ed accertamento della verità attraverso l’analisi della fondatezza dell’ipotesi avanzata dall’accusa) ciò che cambia sono le modalità di perseguimento dello stesso, ossia le modalità attraverso le quali si compie l’attività di analisi che conduce l’operatore giuridico alla formazione del proprio convincimento e ad emettere una sentenza, debitamente motivata.
Data la struttura del processo, gli spazi che si prestano maggiormente a subire gli effetti di adattamento nell’esame della perpetrazione di figure di reato attinenti al mondo delle tecnologie informatiche sono certamente quelli finalizzati alla ricerca ed alla formazione della prova, nel rispetto del contraddittorio, nonché la fase dell’attività investigativa.
Indagini forensi e individuazione degli elementi di prova in ambito processuale
Il momento delle indagini rappresenta la fase in cui nuove tecniche e nuovi strumenti di ricerca trovano spazio nell’ambito del processo. Ciò è determinato, fondamentalmente, da due ordini di considerazioni. La prima è connaturata all’evoluzione legislativa ed alla conseguente contestazione di figure di reato che richiedono, per loro stessa natura, modalità di accertamento e di indagine ben diverse da quelle svolte secondo i tradizionali canoni di ricerca ed accertamento. La seconda impatta direttamente sulla struttura del processo ed individua in questa fase la giusta finestra per introdurre sistemi innovativi di indagine pur senza alterare o modificare l’intero assetto processuale. In sintesi, trattandosi di attività demandate a tecnici esperti in determinati settori, l’introduzione di procedure con rinnovato valore investigativo si svolge in un ambito che è esterno o, al più, parallelo al procedimento, e delle quali si valuterà soltanto l’esito finale, conferendo allo stesso un valore di elemento probatorio atto a giustificare o meno l’esercizio dell’azione penale.
La fase investigativa che si apre, nel caso di indagini su presunti crimini informatici, siano essi rappresentati da attacchi a sistemi informatici, furto di dati o di identità, frodi informatiche o quant’altro, è, pertanto, quella cui è deferito l’impegno a tenere il passo con i tempi ed a seguire l’evoluzione ed il dinamismo della materia legata alla sicurezza informatica. È questo il cuore pulsante della ricerca, dell’indagine che segue le tracce lasciate attraverso i pc, delle scansioni, dello studio delle mosse degli hacker e dello spionaggio cibernetico. Conoscere per smascherare, seguire le modalità operative di chi si muove in rete, per apprendere tecniche e regole di linguaggio, stare al passo, ma anche anticipare, per poi ottenere conferma dei dati acquisiti. Il tutto seguendo modalità che non possono essere più quelle tradizionali. Occorre formazione specialistica, occorrono investimenti e risorse.
Aprire le porte alla prova digitale non è certo semplice, per tutte le peculiarità che si celano dietro una ricerca in settori ove la materialità non è così accentuata come nei reati tradizionali e l’acquisizione dei beni o delle informazioni debba avvenire secondo modalità peculiari.
Si pensi, ad esempio, alle criptovalute, in particolare ai bitcoin, ed alla possibilità di procedere al sequestro e/o al pignoramento degli stessi. In linea teorica, sulla base della normativa, bisogna riconoscere che nulla osta alla possibilità di sottoporre anche questo tipo di moneta a sequestro. Ciò che fa la differenza è la modalità da seguire, non trattandosi di valuta gestita da enti centralizzati in possesso delle relative chiavi e che, pertanto, renda possibile il blocco di trasferimenti o il sequestro di bitcoin. Si potrà agire mediante le attività di bitcoin forensics, che si estrinseca attraverso una indagine condotta su indirizzi, wallet e transazioni anche tramite analisi di PC o smartphone, o con la bitcoin intelligence, attraverso la quale verranno ricostruiti wallet, transazioni, collegamenti tra indirizzi giungendo ad identificare nomi, cognomi o indirizzi IP.
La stessa attività di intercettazione diviene, per forza di cose, un’attività libera da schemi e da condizionamenti. Certo molto più delicata e rischiosa nelle stesse modalità di acquisizione e che richiede competenze specialistiche al fine di evitare errori comuni che potrebbero compromettere definitivamente l’acquisizione delle informazioni[3]. Occorre raccogliere dati, indicazioni e rapporti, procedere in tutte le direzioni possibili anche se poi possono rivelarsi false piste. Nessun dato va sottovalutato a priori ed anche l’informazione più banale, di un contatto o un legame all’apparenza insignificante, può invece consentire di procedere verso sviluppi interessanti. Ciò in quanto il mondo digitale ben si presta a seguire le svariate direzioni e dinamiche della mente umana. Il rischio di simili indagini resta quello di non oltrepassare alcuni confini, a fronte di altri diritti da tutelare, primo tra tutti quello della privacy ed intimità personale. Per l’analisi ed estrazione di dati da dispositivi mobili, a livello internazionale sono stati messi a punto sistemi ormai ampiamenti diffusi tra cui, ad esempio, l’UFED Physical Analyzer, l’EnCase forensic o Ultimate Toolkit (UTK).
Avere un’attività investigativa che segue queste procedure, in ambito giudiziario, comporta un ulteriore rischio per il rapporto che si stabilisce tra esiti delle indagini, risultanze delle attività e libero convincimento del giudice.
Il convincimento del giudice: sino a che punto siamo in grado di staccarci dal tecnicismo ed elaborare un libero convincimento?
Si tratta di un interrogativo che probabilmente non avrà risposta: nel momento in cui il tecnicismo riesce ad entrare in maniera prepotente nel sistema processuale, seguendo processi incomprensibili ai più, sembra normale chiedersi sino a che punto il giudice, investito della decisione, sarà in grado di stabilire il giusto peso delle cd. “risultanze informatiche”?
Sul tema già si possono registrare due differenti orientamenti tra chi predilige il dato informatico e, pertanto, conferisce agli argomenti tecnici un valore superiore rispetto alle mere risultanze investigative e chi, invece, predilige il ragionamento giuridico. La linea di confine non è semplice, soprattutto nei casi, non rari, in cui l’attività investigativa stravolge, in tutto o in parte, in maniera radicalmente significativa o solo in via incidentale, il ruolo delle indagini nell’ambito del processo. Ciò in quanto non sempre, adoperando tali tecniche, si riesce a rispettare la cd. catena di custodia (acquisizione, analisi e conservazione del dato) propria della fase acquisitiva (assunzione) e valutativa (orientata ad ottenere un risultato processualmente valido). Il rischio è fondamentalmente quello di raccogliere, nella fase delle indagini, dati che potrebbero, già di per se stessi, rappresentare prova.
Nel caso delle criptovalute, ad esempio, a differenza di quanto accade per il denaro ordinario ove il ritrovamento rappresenta un indizio, l’individuazione degli indirizzi può costituire fonte di prova. Ma anche l’ispezione informatica, nel caso in cui non si limiti, per forza di cose, a descrivere a verbale quello che si vede, ma “esplori”, potrebbe comportare una alterazione dei dati. In questo caso si passerebbe ad un atto irripetibile con la necessità che sia posto in essere nel rispetto di tutte le garanzie difensive.
Posto dinanzi a questo rischioso scenario, il libero convincimento del giudice non può non tener conto di tutte le variabili, anche nel valutare l’efficacia probante del mezzo istruttorio assunto. La stessa motivazione del provvedimento, obbligo costituzionale, lo indurrà ad enucleare i passaggi logici e giuridici che lo hanno condotto ad emettere la decisione finale. Quello che si può riscontrare, allo stato, è una evoluzione che si discosta sempre più dalle massime d’esperienza, per accogliere metodi maggiormente scientifici.