approfondimento

Digital forensic, quanti problemi con la copia mezzo: come fare



Indirizzo copiato

L’introduzione della cosiddetta copia mezzo nell’ambito digital forensic sta comportando aspetti critici sul fronte giuridico e anche su quello tecnico: ecco la situazione

Pubblicato il 17 ott 2023

Pier Luca Toselli

Digital forensics presso Ministero



Business,,Technology,,Internet,And,Network,Concept.,Labor,Law,,Lawyer,,Attorney

L’avvento della cosiddetta “copia mezzo” nelle attività di digital forensic sta comportando aspetti critici sia di natura giuridica che tecnica. Vedremo nel prosieguo dopo una breve panoramica sui fondamenti della digital forensic quali siano nello specifico queste criticità e quali potrebbero essere gli strumenti di mitigazione di queste ultime.  

Copia mezzo e digital forensic, cosa dice la normativa

Sono trascorsi ormai oltre 15 anni dalla pubblicazione in Gazzetta Ufficiale della legge 48/2008, norma attraverso la quale il legislatore ha statuito e riconosciuto, tra l’altro, l’utilità delle indagini informatiche e della acquisizione della prova digitale, nel processo penale. La norma in questione, nella sua effettività, una legge di recepimento della ben nota Convenzione di Budapest, ha tra l’altro e per quanto qui di specifico interesse, riformulato diversi articoli del codice di procedura penale dedicati ai mezzi di ricerca della prova.

L’introduzione di queste novità ha posto fin dagli albori, giurisprudenza e dottrina dinanzi a nuove considerazioni e sfide nella valutazione delle modalità di ricerca, acquisizione, conservazione e analisi delle prove conservate su supporti digitali, nonché della loro validità ed efficacia nel processo di qualsiasi natura e grado.  Invero, pur venendo quasi sempre associata al “processo penale” la digital-forensic interessa ed abbraccia ormai qualsiasi tipo di processo civile, amministrativo, finanche disciplinare, nella direzione che anche per gli altri processi non penali attenersi alle regole ed indicazioni previste per quest’ultimi, assicuri un più elevato grado di affidabilità, genuinità ed integrità alla prova.

Tornando al tema in trattazione, ho fatto notare più volte ed in diversi consessi come il legislatore nelle modifiche apportate agli articoli “cardine” dedicati ai mezzi di ricerca della prova sia ricorso ad una frase (un mantra) che da sola può ben rappresentare la sintesi dei “principi” di digital forensic introdotti nel nostro ordinamento.

Il legislatore attraverso questa riformulazione ha fatto una scelta ben precisa: piuttosto che disciplinare nel dettaglio le modalità operative dell’intervento sul dato informatico, ha stabilito la necessità di adottare misure tecniche dirette ad assicurare la conservazione dei dati originali e ad impedirne l’alterazione” (artt. 244, comma 2, 247, comma 1-bis, nonché artt. 352, comma l-bis, 354, comma 2, c.p.p.); ma ha anche previsto,  che il dato debba essere trattato con una procedura che assicuri “la conformità dei dati acquisiti a quelli originali e la loro immodificabilità” (artt. 254-bis e, ancora, 354, comma 2, c.p.p.). In estrema sintesi la tutela dell’integrità e dell’autenticità rappresenta, l’obiettivo, il fine la finalità ultima, che deve guidare l’attività di tutti quegli attori/ soggetti che interagiscono col dato digitale sin dal primo contatto con quest’ultimo.

La preservazione del dato accomuna pertanto, le ispezioni, le perquisizioni, nonché tutti i sequestri di dati informatici presso i service provider. In estrema sintesi, la polizia giudiziaria incaricata di eseguire perquisizioni e sequestri comunemente detti “informatici”, deve adottare misure tecniche dirette ad assicurare la conservazione dei dati originali ed impedirne l’alterazione.

Le best practice

L’aver definito un obbiettivo, piuttosto che stringenti modalità operative evidenzia lungimiranza, da parte del legislatore, conscio che in un contesto “digitale” in continua ed inarrestabile evoluzione, l’imposizione di tecniche e procedure potrebbero nel giro di poco tempo dimostrare tutta la loro obsolescenza ed anche inefficacia.

L’assunto, “misure tecniche dirette ad assicurare la conservazione dei dati originali ed impedirne l’alterazione”, viene quindi sintetizzato e tradotto nel fatto che la polizia giudiziaria, che per prima viene a contatto con la digital evidence[1], dovrà porre particolare attenzione a:

  • non disperdere i dati;
  • non alterarli in alcun modo
  • assicurare la loro integrità, genuinità e conservazione.

Il ricorso ad uno dei principali mezzi di ricerca della prova quale quello della perquisizione, viene allora a richiedere l’adozione di tutte quelle misure tecniche capaci di individuare ed acquisire i dati digitali di interesse, assicurandone nel contempo la conservazione ed impedirne l’alterazione.

Il mancato rispetto di questa prescrizione/previsione generale “rischia” di introdurre nel processo prove che non potrebbero assurgere pienamente alla loro funzione probatoria, in quanto “viziate”, sul piano della loro individuazione, acquisizione, conservazione e produzione nel processo.  Il non aver imposto procedure standardizzate o ancora peggio il ricorso a strumenti, software, hardware e tecniche esclusive, se da un lato, lascia ampi margini di discrezionalità in capo all’operatore circa i mezzi, i software, le tecniche e le procedure da adottare, dall’altra trova comunque “stringenti paletti” in quell’ordine imperativo del legislatore che risuona nel “mantra” di cui sopra.  

Gli articoli riformulati a seguito della novella sopra anticipata non si occupano quindi di disciplinare le modalità tecniche di identificazione, raccolta, acquisizione e conservazione degli elementi informativi contenuti in componenti digitali, limitandosi a richiedere che la copia dei dati avvenga con procedure idonee ad assicurarne la conformità all’originale e ad assicurarne la sua immodificabilità[2].

Specificatamente, la perquisizione informatica deve rispettare delle prassi ben precise per essere eseguita, tanto che in termine alle attività di ricerca ed individuazione dei dispositivi contenenti i dati, occorre creare una copia (bit stream image)[3], che rispecchi fedelmente l’originale, e l’applicazione di un sigillo elettronico, solitamente attraverso l’utilizzo di un hash che permetta di documentare e certificare in ogni fase del successivo processo di analisi e fino al dibattimento processuale, l’integrità e l’autenticità del dato informatico.

Tutte queste “procedure” che vanno, si ricorda, sempre attentamente documentate prendono genericamente il nome di “best-practice”[4]. Lì vengono enunciati dei principi e dei concetti di base a cui ogni operatore dovrebbe attenersi nella gestione delle evidenze digitali: in generale è necessario ovviamente procedere nella maniera meno intrusiva possibile (limitando al minimo la possibilità di modifiche delle evidenze), documentare in dettaglio i metodi applicati e le procedure seguite, compresa la motivazione delle proprie scelte, in modo che il metodo usato sia comprensibili ed anche riproducibile (ove possibile), resistendo altresì ad eventuali eccezioni sulla sua capacità di “restare” e “resistere”  nei limiti di quei “paletti” posti dal legislatore.  

Gli interventi della dottrina e della giurisprudenza

A seguito dell’introduzione nel nostro ordinamento della Legge 48/2008 si è assistito, tuttavia, ad opera della dottrina e giurisprudenza alla creazione di ulteriori linee guida, prescrizioni, da miglior dottrina definite “vademecum[5], dirette agli attori coinvolti (pubblici ministeri, polizia giudiziaria, consulenti, difese etc.) circa l’utilizzo degli istituti della perquisizione e sequestro, dedicati nell’impianto processuale italiano, ai mezzi di ricerca della prova.

Il pensiero giurisprudenziale e dottrinale nella sua continua evoluzione e doveroso fermento nell’affrontare la “novità”, offre diversi esempi e conferme di un rinnovato interesse per il mondo della digital forensic, nella consapevolezza da parte di questi attori che ormai non esiste “fatto” fenomenologico, processualmente rilevante, che non veda direttamente o indirettamente coinvolti dispositivi o dati digitali.

Per citare un esempio, l’evoluzione della giurisprudenza relativa alla rilevanza autonoma dell’interesse a impugnare il sequestro della copia forense di dispositivi informatici restituiti, pur evidenziando nel suo sviluppo  pareri giurisprudenziali talvolta contrastanti,  ha dimostrato da ultimo una comprensione più approfondita dell’ontologia dei dati informatici, superando così l’idea tradizionale che vedeva inammissibile l’impugnazione del provvedimento di sequestro “per sopravvenuta carenza di interesse determinata dalla restituzione del bene sottoposto a sequestro”[6].

A fattor comune l’evoluzione giurisprudenziale cui stiamo assistendo continua ad accendere i riflettori sulla necessità di vagliare attentamente la proporzionalità e l’adeguatezza delle acquisizioni di dati informatici e di evitare inutili sacrifici di diritti costituzionalmente garantiti[7].

L’ambito penale

Nel contesto penale, si sviluppano invero, molte sfide relative al bilanciamento tra l’esigenza di acquisire i dispositivi informatici e i vincoli di proporzionalità, adeguatezza e pertinenza imposti dalle misure cautelari, soprattutto laddove si consideri che ormai qualsiasi dispositivo digitale che accompagni la nostra vita è anche scrigno non solo dei nostri segreti ma anche di tutte quelle informazioni attinenti la nostra sfera personale che molto spesso poco o per nulla rilevano nella specifica “causa” processuale, attingendo peraltro con molta facilità alla sfera di “terzi” estranei al procedimento.

La selezione del materiale

Sul presupposto di questo bilanciamento, scaturisce, quindi la necessità di effettuare una selezione del materiale che ormai “magmaticamente” occupa le memorie dei nostri dispositivi.

Chi si occupa di digital forensic, sa che la selezione del materiale “pertinente il procedimento/caso” richiede una preparazione tecnico-informatica particolare, oltre ad un impegno significativo in termini di risorse, strumenti e tempo; e talvolta può essere difficile se non impossibile da realizzare immediatamente durante l’esecuzione della perquisizione. Ciò è principalmente dovuto alle attuali capacità di memorizzazione dei dati, che sono notevolmente aumentate nel corso degli anni, complicate peraltro da una maggior diffusione delle tecniche di crittografia dei dischi[8] ed altre quasi sempre dirette ad una maggiore e più sicura conservazione,  tutela dei dati e riservatezza.

Nel perseguire un adeguato equilibrio tra gli interessi coinvolti e confliggenti, si sta progressivamente definendo, grazie soprattutto alla giurisprudenza, una serie di prassi e modalità operative uniformi per la perquisizione e il sequestro di dati informatici. Spicca il ruolo della Suprema Corte, che ha emanato recenti decisioni che in sintesi richiedono l’acquisizione dei dati informatici di interesse, conformemente alle migliori pratiche (best-practices) del settore e nel rispetto delle garanzie processuali a tutela dei diritti costituzionali coinvolti, tenendo conto, nelle proprie considerazioni delle difficoltà sopra tratteggiata ed ormai ampiamente note.  

Queste prassi e modalità, tenendo conto delle limitazioni nella selezione dei dati durante la perquisizione sul posto, prevedono nei loro tratti essenziali la creazione di una copia forense bit a bit – bit stream image del dispositivo (che rappresenta la massa dei dati “magmatica” , nota come “copia mezzo”), con una selezione successiva dei dati di interesse e la creazione di una copia “definitiva” che verrà utilizzata nelle fasi processuali successive, con l’esclusione e la restituzione/distruzione degli altri dati non pertinenti al caso/procedimento/processo per cui si procede.

La Suprema Corte di Cassazione, con sentenza n. 12094/2020[9], ha confermato che le modalità di acquisizione consistenti nell’estrazione di una copia forense e successiva selezione dei dati mediante parole chiave, selezione temporale e comparazione dei digest, sono da considerarsi legittime, proporzionali e garanti di un equilibrio tra le finalità investigative e le tutele processuali previste, principi peraltro di lì a poco affermati anche in altra sentenza n. 13165/2020[10]. In quest’ultima oltre ad affermare la legittimità e proporzionalità della metodologia già descritta, la Corte si è calata ulteriormente nell’approfondire la proporzionalità della misura adottata e i limiti operativi nell’acquisizione di materiale informatico. Nello specifico, la Corte, nel riconoscere il bilanciamento tra le finalità investigative e le esigenze di tutela, richiede anche adeguate valutazioni sotto il profilo quantitativo, qualitativo e temporale della proporzionalità della misura adottata.

Come funziona la copia mezzo

Tuttavia il “velo viene squarciato” sulla copia-mezzo dalla sentenza n. 34265/2020[11]. La pronuncia in questione delinea i parametri di legittimità del sequestro probatorio, in cui il collegamento di pertinenza e strumentalità tra il dispositivo informatico, i fatti contestati e l’obiettivo probatorio deve essere valutato caso per caso.

Per questo occorre secondo gli Ermellini verificare la proporzionalità e la ragionevolezza della motivazione alla base della misura adottata e l’esistenza del nesso funzionale tra la stessa e l’accertamento dei fatti. Questo diviene particolarmente necessario e rilevante nell’ambito degli accertamenti informatici, in cui l’interesse investigativo si confronta e si misura con la tutela di diversi diritti fondamentali del soggetto sottoposto alla misura.

Nel dispositivo la Suprema Corte evidenzia: “Non rileva in sé come cosa pertinente al reato in quanto essa contiene un insieme di dati indistinti e magmatici rispetto ai quali nessuna funzione selettiva è stata compiuta al fine di verificare il nesso di strumentalità tra res, reato ed esigenza probatoria. Ne deriva, come è stato specificato dalla Corte di cassazione, che la c.d. copia integrale costituisce solo una copia-mezzo, cioè una copia che consente di restituire il contenitore, ma che non legittima affatto il trattenimento dell’insieme di dati appresi (Sez. 6., n. 13165 del 04/03/2020, Scagliarini). La copia integrale consente di fare, dopo il sequestro, ciò che naturalmente avrebbe dovuto essere fatto prima, cioè la verifica di quali, tra i dati contenuti nel contenitore, siano quelli pertinenti rispetto al reato. La c.d. copia integrale è una copia servente, una copia mezzo, e non una copia fine[12] ”.

Il giudice delle leggi, non si limita tuttavia a questa considerazione, stabilendo altresì (e di qui l’attribuzione a tali ulteriori considerazioni di un vero e proprio “vademecum” per il tratto a venire) che, restituito il contenitore, il Pubblico Ministero può trattenere la copia integrale solo per il tempo strettamente necessario per selezionare, tra la molteplicità delle informazioni in essa contenute, quelle che davvero assolvono alla funzione probatoria sottesa al sequestro.

Completata questa operazione di selezione si impone la restituzione della copia integrale il cui trattenimento andrebbe viceversa a realizzare un’elusione ed uno svuotamento della portata dell’art. 253, comma 1, c.p.p. che legittima il sequestro probatorio solo delle cose “necessarie” per l’accertamento dei fatti.

Vademecum per i PM

In sintesi volendolo schematizzare quale “vademecum”, il Pubblico Ministero:

  1. non può trattenere la c.d. copia integrale dei dati appresi se non per il tempo strettamente necessario alla loro selezione;
  2. è tenuto a predisporre una adeguata organizzazione per compiere la selezione in questione nel tempo più breve possibile, soprattutto nel caso in cui i dati siano stati sequestrati a persone estranee al reato per cui si procede;
  3. compiute le operazioni di selezione, la c.d. copia – integrale deve essere restituita agli aventi diritto[13].

Va altresì evidenziato l’approfondimento, svolto dalla stessa Sentenza in ordine alle misure tecniche volte a garantire l’acquisizione legittima di dati informatici, (che si rammenta devono essere caratterizzate ed avere quale obbiettivo l’inalterabilità e la conformità all’originale del contenuto acquisito), la Cassazione qui ci fornisce una lucida interpretazione dell’assetto normativo introdotto dalla legge 48/ 2008; e dopo aver richiamato i vari metodi di acquisizione di dati informatici, sottolinea come la creazione della copia del dispositivo informatico (copia mezzo) sia la procedura più adeguata per garantire l’integrità dei dati (e le esigenze investigative).

Fronti critici e le possibili soluzioni

Ritornando al vademecum si intravedono, però, alcune criticità meritevoli a parere dello scrivente di essere prese attentamente in considerazione, o quantomeno di costituire uno spazio di dibattito ed approfondimento, tra gli attori coinvolti.

Viene indicato al Pubblico Ministero di non trattenere la c.d. copia integrale dei dati appresi (la bit-stream image) se non per il tempo strettamente necessario alla loro selezione. Il termine “tempo strettamente necessario” sembrerebbe, poter abbracciare, tra le altre, quelle criticità che potrebbero emergere in ordine alla presenza di volumi o dati crittografati per i quali l’indagato legittimamente rifiuti di fornire le password di decrittazione. La mancata collaborazione dell’indagato nel fornire password, e chiavi di accesso nel rispetto di un noto principio giuridico che viene sintetizzato nel brocardo latino “Nemo tenetur se detergere” è un comportamento giuridicamente tutelato ed inquadrabile come esercizio di una facoltà difensiva, che trova supporto nella ampia tutela Costituzionale che il codice di rito fornisce all’indagato, riconoscendogli, tra l’altro, non solo il “diritto al silenzio”, ma finanche quello di mentire.  Tale comportamento (non fornire le password/chiavi di accesso) andrà ovviamente ad influire sulla valutazione della legittimità della protrazione del vincolo da parte del Pubblico Ministero, trovando giustificazione nella accresciuta difficoltà di accesso ai potenziali dati di interesse investigativo a cagione della crittografia che tutela gli stessi.

La considerazione è già stata oggetto della Cassazione ed è confortata da una recente sentenza[14] che ha ritenuto legittimo (se giustificato dalle difficoltà tecniche di estrapolazione) il sequestro di un intero personal computer sul quale non si poteva per l’appunto procedere all’estrapolazione dei soli dati di interesse. Se ne deduce che la valutazione della “ragionevole durata del vincolo” debba essere effettuata in coerenza con le difficoltà tecniche di estrazione dei dati, in ipotesi accresciute dalla indisponibilità delle chiavi di accesso alle banche dati contenute nei supporti sequestrati.

Viene tuttavia da domandarsi se “alla luce” di nuovi strumenti[15] capaci di superare coercitivamente,  le password poste dall’utente, (laddove ovviamente  vi siano queste possibilità), il Pubblico Ministero abbia nel rispetto di questa impostazione giurisprudenziale l’obbligo di ricorrervi indipendentemente dalla collaborazione dell’indagato e provvedere così alla restituzione del device e dei dati non “rilevanti”  il prima possibile, ovvero se sia legittimo palesare le difficoltà sopra evidenziate e trattenere il device quale “ostaggio” in attesa della probabile collaborazione dell’indagato.  

Prendendo invece in considerazione il secondo punto del vademecum (lettera b.)  nella sua genericità, paradossalmente si trascina maggiori problematiche e criticità. Qui il Pubblico Ministero è chiamato a predisporre una adeguata organizzazione per compiere la selezione dei dati nel tempo più breve possibile, soprattutto allorquando (e ciò accade più spesso di quanto si pensi) i dati siano stati sequestrati a persone estranee al reato per cui si procede.

Il ruolo delle parole chiave

Al Pubblico Ministero è richiesto di predisporre, ciò che nella realtà fattuale, si traduce nel delegare ad un C.T.U. o alla polizia giudiziaria la selezione dei dati sulla scorta di date, parole chiave, ed altri elementi a seconda dei casi. Tale delega spesso si traduce nell’ordinare al C.T.U. o alla P.G. di procedere sulla scorta (quasi sempre) di parole chiave una selezione di tutti i files che le contengono, escludendo di converso gli altri files che a questo punto divengono di conseguenza, “non rilevanti”. Allo stato la predisposizione, scelta, delle parole chiave è rimessa agli investigatori in collaborazione con il PM. La ragione facilmente comprensibile essendo questi coloro i quali, hanno una completa conoscenza dell’indagine ovvero del patrimonio investigativo e probatorio fino quel momento raccolto.

La principale criticità insiste proprio sull’utilizzo di questo metodo delle cd. parole chiave. Ogni qual volta ci ritrova a non dover individuare file specifici ma ci ritrova in quelle situazioni (sono la maggior parte) in cui si ricercano all’interno dei dispositivi elementi di prova o indiziari non sempre così facilmente individuabili ed identificabili[16], questa criticità incombe sull’esito della ricerca e successiva analisi. Invero con specifico riferimento ad una parola chiave si consideri che:  

  • termini troppo generici come termini troppo specifici[17] rischiano di inglobare o escludere files ed altri elementi che potrebbero poi rivelarsi utili e strategici. E ‘evidente come il ricorso a termini molto generici rischia di allargare talmente lo spettro di “rilevanza” tanto da vanificare di fatto i principi e lo scopo della selezione[18]; e a contrario il tentativo di restringere il più possibile il campo di interesse attraverso la combinazione di più parole o altri elementi rischia di escludere dati ed informazione di interesse;
  • nello stilare una lista vi sarà sempre la tendenza a ricomprendere quanti più parole chiave attesa la criticità precedente, il coinvolgimento della P.G. nel timore che qualcosa possa sfuggire alla sua attenzione e ci si consenta, per “deformazione professionale” tende ad allargare il più possibile lo spettro delle potenziali parole chiave[19], ricadendo nuovamente e più abbondantemente nella precedente criticità di allargare troppo lo spettro e vanificare lo scopo della selezione;
  • sul piano poi squisitamente più tecnico, si scontano ulteriori e diverse criticità, sia sul piano dell’indicizzazione (non tutti i files sono indicizzabili) e l’utilizzo di un software di indicizzazione rispetto ad un altro dà quasi sempre risultati molto differenti con gli evidenti rischi di sottovalutare, tralasciare elementi “strategici” per gli esiti di quella indagine;
  • ultimo, ma non ultimo, difficilmente chi vuole occultare qualcosa la chiama con il proprio nome o con nomi che possano facilmente evidenziarla, la fantasia umana e la creatività di ciascuno non ha regole o limiti[20].

La selezione dei dati

Sulle azioni da parte del Pubblico Ministero di predisporre una adeguata organizzazione per compiere la selezione dei dati, vanno poi espresse alcune considerazioni sempre in ordine a chi debba partecipare alla selezione dei dati di interesse. Il vademecum emerso dalla giurisprudenza tende ad escludere la partecipazione della difesa a tali operazioni, del resto pensare che l’operazione di selezione dei dati possa avvenire alla presenza della difesa, rischia di scatenare un enorme dibattito e contenzioso su ogni parola chiave utilizzata, non essendo disciplinato chi decide cosa sia pertinente e cosa no nelle contrapposte esigenze investigative e di difesa.

Tuttavia, qualora si volesse giungere, ad una sorta di contraddittorio anticipato[21] occorrerebbe ovviamente prevedere anche l’intervento di un giudice (il giudice delle indagini preliminari) che quale terzo sarebbe legittimato a derimere le eventuali questioni sollevate. Pensare che P.G. e difesa dibattano sull’opportunità dell’una o dell’altra parola chiave penso sia davvero una chimera in assenza di un terzo ed imparziale che si ponga quale arbitro della partita.

Ulteriori elementi affliggono poi la copia-mezzo, e probabilmente sono quelli che rappresentano le maggiori e più evidenti criticità. Realizzata la selezione dei dati rilevanti per il procedimento con le difficoltà sopra evidenziate, si prevede la restituzione non solo del device (qualora prelevato per l’effettuazione della copia mezzo post-perquisizione) ma anche dei dati “residui” che vengono ritenuti NON rilevanti per il procedimento.

Tralasciando le problematiche pratiche (ma non di minore importanza) ovvero su quale disco (di chi) è stata effettuata la copia mezzo? Se dell’indagato non vi sarebbero particolari problemi nella restituzione dell’intera copia-mezzo con tutti i dati presenti, viceversa se della Procura o della polizia giudiziaria probabilmente si dovrebbero trovare altre soluzioni (riversamento dei dati non rilevanti) su di un disco mezzo a disposizione dell’incombente dalla parte, riversamento dei dati rilevanti su di un disco A.G./P.G. e successiva distruzione (cancellazione sicura mediante tecniche di erase) dell’intera copia-mezzo.

Tale considerazione nasce dal fatto che la parte, abbiamo visto, ha diritto alla restituzione dei dati e non solo alla loro distruzione.

I rischi

Ma qui vorrei evidenziare che la restituzione dei dati e la distruzione di quelli prima facie estranei al procedimento, impediscono di fatto quella che sul piano investigativo potremo definire “escalationinvestigativa”, cioè la possibilità che nel corso dell’analisi, l’esame di alcuni file, possano suggerire a vario titolo (contenuto, metadati, altri elementi insiti negli stessi) la necessità di esaminare, analizzare altri files che potrebbero non essere più presenti in quanto restituiti alla parte e non più presenti sulla copia “definitiva” sulla quale la P.G. si ritrova ad operare.

Il tutto può risolversi in un grave impoverimento sul piano investigativo. Dall’altro lato va anche considerato sul piano della catena di custodia dei dati che la primitiva (copia-mezzo) sulla quale è stato calcolato quell’hash messo a verbale a tutela della genuinità, inalterabilità, immodificabilità dei dati viene di fatto ad esaurire la sua valenza di anello della catena di custodia. Invero a seguito della selezione ci si rifarà ad un nuovo e diverso hash calcolato sui singoli files oggetto della selezione della copia definitiva; tuttavia, come abbiamo già accennato detta operazione avviene a cura del C.T.U. o P.G. e che, per quanto documentato e verbalizzato (allo stato di redazione di questo articolo) non prevede tuttavia la presenza dell’indagato e della difesa[22].

Di converso, del resto, non si può neppure escludere che perso l’anello costituito dalla “originaria” copia-mezzo, la difesa presenti al dibattimento o chieda quale ammissione di prova altri files adducendo la loro presenza in quella originaria copia mezzo e non correttamente valutati dagli investigatori.

In questo caso distrutta o restituita la copia mezzo come potrebbe la polizia giudiziaria ed il P.M. accertare che i dati ora presentati erano effettivamente contenuti nella primitiva copia mezzo? Come si vede problematiche non di poco conto che possono riverberare molto pesantemente nell’ambito del processo conseguente all’acquisizione di quella copia mezzo.

Chi volesse proporre a soluzione, la conservazione della copia mezzo fino alla conclusione del processo, verrebbe di fatto, ad aggirare l’impianto imposto dalla giurisprudenza che dopo l’acquisizione della copia-mezzo giustificata dalla possibilità di poter “perquisire” il tutto, richiede che in termine all’operazione tutto ciò che non è inerente/riconducibile/ attinente il processo ed al fatto per cui si procede, venga restituito all’avente diritto con conseguente distruzione della copia mezzo. Ovviamente qui prende vigore quel concetto di “inerente/riconducibile/ attinente al processo” non meglio definito e determinato ed ovviamente assai diverso per le legittime prerogative della difesa e della polizia giudiziaria quasi sempre “confliggenti”.

Conclusioni

In conclusione, probabilmente sul piano tecnico/ giuridico, la soluzione potrebbe per l’appunto risiedere nella realizzazione di un “contraddittorio anticipato”, adeguatamente disciplinato e normato, alla presenza del giudice per le indagini preliminari finalizzato allo stilare un elenco “concordato” delle parole chiave da utilizzarsi, e la realizzazione di una cd.  “copia per il dibattimento” che farebbe così ingresso nel processo, ma senza dimenticare la “copia mezzo” che a parere del sottoscritto andrebbe comunque cautelata e conservata ad opera del giudice o PM sino alla fine del processo nei suoi tre gradi di giudizio, realizzando così una sorta di copia “garanzia”. Ovviamente, quest’ultima andrebbe conservata adeguatamente cautelata, sigillata e conservata e dovrebbe costituire oggetto di analisi e riscontro solo laddove emergano “contenziosi” sull’origine dei files contenuti nella cd.  copia del dibattimento (selezione della copia-mezzo).  

 La Cassazione[23] è tornata proprio sul concetto di copia mezzo e leggendo i motivi della decisione, si può rilevare come nel caso di specie venga evidenziato un principio di contraddittorio tra le parti, che tuttavia, come già sopra evidenziato, richiede una maggiore regolamentazione, normazione ed attenzione.

_____


Note

[1]Cit. “ogni informazione probatoria la cui rilevanza processuale dipende dal contenuto del dato o dalla particolare allocazione su una determinata periferica, oppure dal fatto di essere stato trasmesso secondo modalità informatiche o telematiche” (L. MARAFIOTI, “Digital evidence e processo penale”, in Cass. Pen., 2011, p. 4509).

[2] Cass. Sez. III, n. 37644, 28/5/2015, CED 265180.

[3] Operazione che potrà avvenire nell’immediatezza delle operazioni di perquisizione (sul posto) ovvero a seguito del sequestro operato da parte di quel personale che per motivi tecnici-opportunità- capacità non vi abbia provveduto all’atto dell’incombente.  

[4] Per un esempio qui.

[5] M. Pittiruti “Dalla Corte di Cassazione un vademecum sulle acquisizioni probatorie informatiche e un monito contro i sequestri digitali omnibus” in Sistema Penale 14 gennaio 2021 – Commento a Cass. Pen., Sez. VI, 22 settembre 2020 n. 34265.

[6] Cass. Pen.,  Sezioni Unite, n. 40963 del 20/07/2017, Rv. 270497.

[7] Cass.Pen., Sez. VI, n. 24617/2015. Nella Sentenza si dichiara l’illegittimità del sequestro indiscriminato di un sistema informatico in difetto di specifiche ragioni per l’apprensione indiscriminata dei contenuti memorizzati all’interno e di stesso orientamento risultano anche le successive pronunce: Cass. Pen., Sez. VI, n. 9989/2018; Cass. Pen., Sez. VI, n. 43556/2019; Cass. Pen., Sez. VI, n. 3794/2020; Cass. Pen., Sez. VI, n. 30225/2020; Cass. Pen., Sez. VI, n. 10815/2021.

[8] Le attuali capacità di memorizzazione dei dati non sono più quelle di qualche anno fa. L’aumento delle qualità audio/video/immagine ha da sola, fatto si, che oggi non è raro imbattersi in “sistemi” casalinghi costituiti da decine di terabyte di dati. Non va poi dimenticato il mondo “mobile” che a scapito di un massiccio ricorso allo storage “cloud” ci ha portato comunque a smartphone con capacità ormai di 1 tb di dati. In tali condizioni è ben noto agli addetti come, anche una mera ricerca di specifici dati, effettuata sul posto all’atto dell’incombente, richieda tempi molto lunghi e spesso incompatibili da sviluppare nel contesto della perquisizione sul posto.

[9] Cass. Pen., Sez. VI, 19 febbraio  2020 n.12094.

[10] Cass.Pen., Sez. VI,  04 marzo 2020 n. 13165.

[11] Cass.Pen., Sez. VI, 22 settembre 2020 n. 34265. Cfr. in particolare pag. 11 e ss. qui.

[12] Cfr. Cass. Pen., Sez. VI, 22 settembre 2020 (dep. 2 dicembre 2020), n. 34265.

[13] Si veda in merito anche la nota 22.10.2021 del Procuratore Generale della Procura della Repubblica di Trento diretta al Procuratore Generale della Repubblica presso la Corte Suprema di Cassazione e per conoscenza ai Procuratori Generali della Repubblica presso le Corti di Appello, integralmente scaricabile qui ; che ripropone gli stessi orientamenti.

[14] Cass. Pen., Sent. 23 marzo 2023 (dep. 27 aprile 2023) n. 17604.

[15]  Per quanto costosi e non così diffusi (es. UFED Premium – GreyShift etc.).

[16] Si pensi alla differenza tra l’individuazione di un file determinato attraverso l’utilizzo di uno degli elementi identificativi dello stesso (metadati, quali nome, estensione, data creazione, hash etc.)

[17] Si pensi ad una ricerca per data o range di date, che potrebbe escludere elementi essenziali all’indagine avvenuti prima e dopo la data/range di riferimento.

[18] L’utilizzo della parola “nero” anche nella traduzione anglosassone di “black” alla ricerca di eventuali contabilità parallele e non dichiarate può rendere l’idea di cosa si voglia qui intendere per termini troppo generici che vanno di fatto a vanificare gli scopi della selezione. A seguito della ricerca vi troveremo sicuramente qualche testo di un libro giallo, un trattato sulla schiavitù, i consigli dell’armocromia.

[19] Cfr. L. Bartoli “Parità delle armi e e-Discovery nel processo penale: quali indicazioni da Strasburgo?” pag. 83-100 in Nuove questioni di informatica forense – Aracne – Roma 2022.

[20] Chiamereste “nero” una contabilità parallela o scrivereste nell’oggetto della email “ecco la bustarella”?

[21] Cfr. M.Ferrazzano, L. Summa  “La selezione dei dati informatici in ambito giudiziario: prassi e modalità operative” pag. 61-82 in Nuove questioni di informatica forense – Aracne –  Roma 2022.

[22] Invero nel caso di copia mezzo realizzata all’atto della incombente (sul posto all’atto della perquisizione) vi può essere la presenza dell’indagato o del suo difensore che assistono a detta operazione da parte della P.G. e spesso sottoscrivono il verbale di perquisizione che riporta “in calce” l’hash della copia.

[23] Cfr. Cass.Pen., Sez. VI Sent. 21.11.2022 (dep. 05.01.2023) n. 180, che nei motivi della decisione riporta testualmente: “Tale copia, veniva consegnata al consulente tecnico per la estrazione degli artifacts, operazione che costituisce oggetto del decreto di sequestro e delle successive attività di estrazione del contenuto dei file che sono oggetto specifico degli ulteriori verbali di sequestro (via via redatti dal consulente tecnico su delega del Pubblico Ministero), in coincidenza con le analisi sviluppate nel contraddittorio tra le parti, fino a quello del 26 maggio 2022, data di ultimazione delle operazioni”.

EU Stories - La coesione innova l'Italia

Tutti
Iniziative
Analisi
Iniziative
Parte la campagna di comunicazione COINS
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Iniziative
Parte la campagna di comunicazione COINS
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati