perquisizioni informatiche

La “copia mezzo” nelle indagini digitali: le regole della giurisprudenza

Home Documenti digitali
Indirizzo copiato

La “copia mezzo” è un concetto giuridico emerso attraverso sentenze piuttosto che norme specifiche. Nonostante la tendenza verso una regolamentazione, persistono criticità nell’applicazione pratica, influenzando magistrati e operatori del diritto. Questo articolo esplora le sfide attuali e i possibili sviluppi normativi

Pubblicato il 6 nov 2024
Pier Luca Toselli

Digital forensics presso Ministero

digital forensics (2)

La “copia mezzo” [1] è stata introdotta non attraverso una apposita norma, ma attraverso diverse sentenze ed è una sorta di “decalogo” ad opera della magistratura e non (come meglio sarebbe stato), attraverso una apposita norma.

Digital forensic, quanti problemi con la copia mezzo: come fare

Invero il legislatore movendosi nella direzione già tracciata dalla giurisprudenza, attraverso il d.d.l. n.806 (Senatori Zanettin e Bongiorno)[2] non senza difficoltà e critiche sta cercando di giungere ad una norma, che attraverso la modifica di diversi articoli del codice di procedura penale eviti e risolva, quella più immediata conseguenza che oggi si riscontra presso le Procure, ossia una non uniformità nell’applicazione di questo ormai consolidato paradigma, non scevro di criticità e problemi.

Tuttavia, non si può negare come anche a seguito di alcune Sentenze che hanno di fatto confermato tale impostazione[3], vi sia una rinnovata sensibilità ed attenzione su questo tema da parte delle Procure della Repubblica e degli operatori del diritto coinvolti nelle perquisizioni e sequestri di materiale informatico, sempre più attenti all’evoluzione giurisprudenziale e normativa che ne sta conseguendo.

Torniamo quindi in maniera più approfondita sulle resistenti criticità che ancora orbitano attorno ai soggetti coinvolti.

Di cosa parliamo quando parliamo di copia mezzo

Con “copia mezzo” ci riferiamo a quanto meglio specificato dalla Corte di cassazione (Cfr. Cass. Pen., Sez. VI, 22 settembre 2020 (dep. 2 dicembre 2020), n. 34265): “”[..], come è stato specificato dalla Corte di cassazione, che la c.d. copia integrale costituisce solo una copia-mezzo, cioè una copia che consente di restituire il contenitore, ma che non legittima affatto il trattenimento dell’insieme di dati appresi (Sez. 6., n. 13165 del 04/03/2020, Scagliarini). La copia integrale consente di fare, dopo il sequestro, ciò che naturalmente avrebbe dovuto essere fatto prima, cioè la verifica di quali, tra i dati contenuti nel contenitore, siano quelli pertinenti rispetto al reato. La c.d. copia integrale è una copia servente, una copia mezzo, e non una copia fine.”” (questa peraltro è la definizione che viene ormai utilizzata anche nelle più recenti Sentenze, allorquando ci si vuole riferire a “copia-mezzo”).  Potremo definire, meglio,  che quella che finora abbiamo definito “copia forense” (quella copia più o meno “integrale” del dispositivo “target”) oggi è divenuta “la copia mezzo” sulla quale in adempimento alle prescrizioni della giurisprudenza procedere a quelle operazioni di “selezione” dei soli dati di interesse al fine di pervenire alla “copia fine” da alcuni definita più direttamente, anche,  copia del “dibattimento”, “copia del fascicolo” (ossia quella copia che “mi sia qui concesso il condizionale” dovrebbe contenere solo i dati relativi al procedimento al netto di tutti gli altri che nello stesso non hanno rilevanza).

In sintesi, la “copia mezzo” interessa tutti i soggetti coinvolti in una perquisizione informatica sia coloro che vi partecipano “attivamente” (gli esecutori dell’incombente) , sia coloro che a seguito della stessa si ritroveranno a “gestire” il risultato (informatico/digitale) che ne è conseguito (consulenti d’ufficio e di parte, difensori, persone sottoposte alle indagini, polizia giudiziaria etc.).

Perquisizioni: possibili scenari di riferimento

Per meglio comprendere l’oggetto di questa mia dissertazione occorre descrivere gli scenari che si possono riscontrare nella predisposizione ed esecuzione di una perquisizione, che  risultano alquanto variabili ed eterogenei tanto che redigerne un “numero chiuso” è pressoché impossibile.

Tuttavia, un elenco dei principali di questi potrà aiutarci nell’approfondire questo delicato tema:

  • Il pubblico ministero delega la perquisizione alla polizia giudiziaria che è in grado di procedere alla perquisizione informatica in assoluta autonomia.

La trasformazione degli scenari operativi (in particolare quelli digitali) ha fatto sì che la polizia giudiziaria consapevole del mutamento in atto, attraverso diverse strutture organizzative, si è dotata di personale tecnico e di strumentazioni per la digital forensics anche di alto livello. In questi casi la polizia giudiziaria agisce in autonomia non avvalendosi se non in rari casi, di ausiliari e non richiedono, salvo diverso avviso del PM, la nomina di un consulente tecnico. È una casistica diffusa soprattutto ove insistono, reparti maggiormente strutturati, ma vedremo non scevra di criticità, in quanto:

  1. Al di là dell’eccellente preparazione tecnica del personale, non sempre le dotazioni tecniche risultano adeguate ad una copertura ad ampio spettro[4] di tutte le situazioni che possono incontrarsi, così da costringere anche questi reparti di alta specializzazione a richiedere consulenti esterni maggiormente preparati e dotati di più efficienti ed efficaci strumenti e conoscenze;
  2. Il personale specializzato e la strumentazione non permettono una capillare diffusione sull’intero territorio nazionale sia per la carenza di questo personale e mezzi[5], sia per le comprensibili difficoltà logistiche.

Lo scenario qui prospettato allorquando gestito in totale autonomia da questa polizia giudiziaria sia sul piano dell’esecuzione della perquisizione informatica, sia sul piano della conseguente analisi dei dati permette di mitigare se non di eliminare buona parte delle criticità legate a quel rapporto sinergico tra la polizia giudiziaria e gli eventuali soggetti “esterni” alla stessa.

  • La polizia giudiziaria richiede al PM la nomina di un consulente tecnico e/o di un ausiliario di PG  che possa coadiuvarla nelle operazioni.

Altro scenario risulta essere quello in cui la polizia giudiziaria fin dall’esecuzione della perquisizione in quanto non dotata e non potendo ricorrere “ai colleghi” di cui al punto 1) che precede, richiede al PM la nomina di un consulente tecnico e/o di un ausiliario di PG  che possa coadiuvarla nelle operazioni. Lo scenario risulta sempre più diffuso anche in virtù di quanto poco sopra anticipato. È il contesto di cui mi occuperò più specificatamente nel prosieguo ovvero quel contesto che vede nell’effettuazione della perquisizione e nella successiva analisi dei dati la compresenza della polizia giudiziaria e di ausiliari di PG /consulenti[6] nominati dalla procura. È il contesto che ricomprende anche quelle situazioni in cui la polizia giudiziaria si occupa della perquisizione e poi affida il risultato al consulente per l’estrazione delle cd. “copie -forensi” e per le conseguenti attività di indicizzazione che ne permettano la successiva analisi da parte della P.G.

  • La polizia giudiziaria non specializzata procede alla perquisizione e poi si avvale dei propri reparti altamente specializzati per la gestione ed analisi di quanto acquisito.

Quest’ultima non vedendo il coinvolgimento al pari della prima di soggetti esterni alla polizia giudiziaria (consulente nominato dal P.M.), è quella che meno (“meno” non significa nulla),  incorre nelle criticità che poi evidenzierò nel prosieguo.  

Esistono molte altre situazioni “ibride” si pensi per esempio ad una PG (es. un piccolo reparto che nel corso di rilievi stradali per un omicidio stradale, sequestra uno smartphone, per il quale la Procura della Repubblica per svariate ragioni[7] affidi l’estrazione ed analisi del dispositivo ad altra PG dotata di un laboratorio tecnico o ad un consulente nominato dalla A.G.).

Sono certo ne esistono molte altre come già premesso e sono certo che i lettori “addetti ai lavori” si sono già ritrovati in alcune di queste e sono altrettanto certo in altre ancora diverse e qui da me, non accennate. In ogni caso al di là di questo, resta un punto fermo, nel momento in cui abbiamo la “copia forense” da parte di chiunque realizzata, scaturisce la necessità di considerare quegli orientamenti dettati da quella che qui riassumiamo “copia-mezzo”.

Limitazioni e complessità tecniche delle perquisizioni informatiche moderne

Prima precisazione: è sempre più improbabile, a cagione della diffusione di strumenti digitali e delle loro sempre più elevate capacità di memoria, considerare possibile procedere “sul posto/on site” ad una perquisizione volta all’individuazione di uno specifico file/artifacts. Le capacità di questi dispositivi quando anche non accompagnate dalla difficoltà di accedervi rendono improbo se non impossibile procedere efficacemente alla perquisizione di quel “contenitore” nell’immediatezza.

Se da una parte esistono numerose “tecniche” e “tool” capaci di “individuare” rapidamente il target (per esempio uno specifico files) dall’altra si frappongono ad ostacolo:

  • Capacità di memoria che al di là dell’efficacia del tool richiedono tempi spesso incompatibili con le condizioni di luogo e di tempo legate ad una perquisizione;
  • Indeterminatezza del target. Spesso il decreto non contiene l’indicazione di uno specifico files o artifacts rifacendosi a formule più generiche “..ed ogni altro elemento ritenuto utile”.

In merito a ciò la giurisprudenza[8] allo stato  risulta consolidata sul fatto che il decreto debba contenere quali sarebbero gli “elementi” ricercati cui viene demandata alla polizia giudiziaria la loro individuazione ed assicurazione. Orbene è evidente che questo sia possibile tutte le volte in cui l’oggetto il “target” della perquisizione venga ad essere uno specifico dispositivo o uno specifico file, si pensi ad un decreto che dispone la perquisizione per l’individuazione ed assicurazione di uno specifico “smartphone” magari utilizzato per la commissione di un certo reato o alla individuazione ed assicurazione di una specifica e-mail utilizzata dalla persona sottoposta alle indagini per “minacciare” un suo concorrente ed ovviamente ben nota ed individuata perché magari esibita in copia dal minacciato stesso. Viceversa, però, la maggior parte delle volte pur non giungendo ai divieti e paletti posti dalla giurisprudenza, accade che il P.M. a ragione,  non conoscendo e non sapendo cosa si troverà davanti la polizia giudiziaria e non sapendo esattamente all’atto dell’emissione del decreto cosa (materialmente) possa costituire corpo del reato /cosa pertinente il reato … si rifà a formule di più ampio respiro, formule che di fatto, però, rimettono in capo all’operatore di polizia giudiziaria che eseguirà l’incombente, il non facile compito di perquisire, identificare (individuare) gli elementi e provvedere alla loro assicurazione dopo un non facile vaglio circa la loro “pertinenza” o meno al decreto in esecuzione.

Con l’ovvia conseguenza che ormai la tendenza è quella (peraltro accettata dalla giurisprudenza) di procedere al sequestro del dispositivo o al più alla realizzazione sul posto di una “copia forense” dello stesso, ove ovviamente per quest’ultimo caso le condizioni tecniche, di luogo e di tempo lo consentano, e poi procedere a quella che viene riassunta nella locuzione “analisi” ma che in realtà comprende la vara e propria “perquisizione informatica” ed analisi degli elementi rinvenuti sui quali procedere alla “selezione” dei soli dati effettivamente rientranti nell’oggetto del decreto.

Seconda precisazione: è altrettanto improbabile anche in virtù dell’ovvia precisazione precedente, che all’interno di quel dispositivo (contenitore) vi siano solo ed esclusivamente file cd. d’interesse sui quali sviluppare le opportune “analisi e ricerche”, ma anche molti altri files, artifacts, elementi che nulla hanno a che vedere con l’indagine in corso[9]. E’ sufficiente osservare il “proprio” smartphone per rendersi conto di come ciò che era nato per le sole “comunicazioni” tra persone lontane oggi abbia raggiunto un tale livello di complessità, tanto da renderlo a solo mero titolo esemplificativo… anche:

  • una chiave di accesso a molteplici servizi (es. 2FA per SPID, banca multicanale etc.);
  • la chiave della nostra auto/casa;
  • il nostro archivio di foto e video;
  • il nostro portafoglio (siamo ormai ad un passo dal poter conservare ed esibire validamente sullo smartphone i nostri documenti di identità); e molto, molto altro.

Insomma, è ormai tale la confidenzialità con questi strumenti  che siamo portati ad affidare alla loro portabilità, custodia e conservazione anche i nostri più intimi segreti. Prende sempre più consistenza la loro definizione di “appendici del nostro corpo” tanto che ormai uscire di casa senza lo smartphone ci dà quantomeno una sensazione di smarrimento. In definitiva ormai all’interno di un dispositivo non troviamo solo “documenti”, “rubriche”, “messaggi”, “foto e video”, ma molto di più finanche insignificanti (ai più) database di dati che però nelle mani sapienti di un investigatore possono fornire una serie di informazioni, indizi elementi da cui ormai sempre più spesso può dipendere la condanna o l’assoluzione dall’aver commesso un crimine.

Ne consegue in sintesi,  come già osservato da miglior giurisprudenza, che la copia forense è mezzo per poter effettuare la perquisizione “informatica” di quello specifico contenitore. Ossia la perquisizione informatica  volta all’individuazione delle “digital evidence” (corpo di reato o cose pertinenti al reato)  avviene in una fase successiva a quella della perquisizione  “locale” che di fatto si limitata ad individuare i “potenziali” contenitori dei ricercati elementi.

Perquisizioni e sequestri: analisi delle sentenze recenti

Nel richiamare il percorso giurisprudenziale già brevemente tracciato nel mio precedente articolo, anche di recente, la giurisprudenza, continua nel solco precedentemente tracciato ed ormai consolidato in un cosiddetto “vademecum[10] (di fatto “in commento” alla capostipite delle sentenze in materia da individuarsi nella Cass. Pen., Sez. VI, 22 settembre 2020 n. 34265), destinato agli attori coinvolti (in particolare al PM) circa l’esecuzione della perquisizione informatica e conseguente sequestro.

La Corte di cassazione[11] continua con forza sulla necessità di vagliare attentamente la proporzionalità e l’adeguatezza delle acquisizioni di dati informatici e di evitare inutili sacrifici di diritti costituzionalmente garantiti[12].

Specificatamente le più recenti Sentenze per quanto qui di interesse, possono essere così “evidenziate”.

Cass. pen. Sez. VI, Sent., (ud. 25-10-2023) 03-01-2024, n. 222

    […]La giurisprudenza di legittimità ha, inoltre, affermato, con riferimento al decreto di sequestro probatorio di materiale informatico, che l’acquisizione indiscriminata di un’intera categorie di beni, nell’ambito della quale procedere successivamente alla selezione delle singole res strumentali all’accertamento del reato, è consentita a condizione che il sequestro non assuma una valenza meramente esplorativa e che il pubblico ministero adotti una motivazione che espliciti le ragioni per cui è necessario disporre un sequestro esteso e onnicomprensivo, in ragione del tipo di reato per cui si procede, della condotta e del ruolo attribuiti alla persona titolare dei beni, e della difficoltà di individuare ex ante l’oggetto del sequestro (ex plurimis, Sez. 6, n. 34265 del 22/09/2020, Aleotti, Rv. 279949 -02, fattispecie, in cui la Corte, in relazione al reato di finanziamento illecito ai partiti, ha ritenuto esplorativo e sproporzionato il sequestro indistinto di tutte le mail, personali e della società, riferibile ad un soggetto terzo estraneo al reato, trasmesse e ricevute nei dieci anni precedenti; Sez. 4, n. 29956 del 14/10/2020, Valentino, Rv. 279716 -01; Sez. 6, n. 9776 del 12/02/2020, Morfù, non massimata).[…] In tanto è possibile disporre un sequestro “esteso”, e magari totalizzante, in quanto si spieghi -caso per caso -perché ciò è necessario fare, perché cioè, il nesso di pertinenza tra res, reato per cui si procede e finalità probatoria debba avere -in quella determinata fattispecie -una inevitabile differente modulazione in ragione della fase del procedimento, della fluidità delle indagini e della contestazione provvisoria, del fatto concreto per cui si procede, del tipo di illecito a cui il fatto sembra doversi ricondurre, della difficoltà di individuare nitidamente ex ante l’oggetto del sequestro, della natura del bene che si intende sequestrare (sul tema, ex plurimis: Sez. 6, n. 34265 del 22/09/2020, Aleotti, Rv. 279949 ­02; Sez. 6, n. 56733 del 12/09/2018, Macis, Rv. 274781; Sez. 5, n. 13594 del 27/02/2015, Gattuso, Rv. 262898).[…]

    Cass. pen. Sez. III, Sent., (ud. 08-03-2024) 06-06-2024, n. 22868

    […]Altrettanto correttamente evidenzia il P.G. come inconferente sia il richiamo operato dalla difesa a Sez. 6, Sentenza n. 34265 del 22/09/2020, Rv. 279949 – 01, pronuncia che, occupandosi dell’ipotesi di sequestro probatorio di dispositivi informatici o telematici e della successiva estrazione di copia integrale dei dati contenuti al fine di estrapolare i dati ritenuti di interesse investigativo, indica le regole di legittimità del provvedimento in punto di onere motivazionale e di “proporzionalità” anche temporale della apprensione dell’intero archivio (stabilendo che qualora il sequestro sia realizzato attraverso l’ablazione “fisica” delle memorie, dapprima occorre creare una copia integrale del contenuto della strumentazione appresa, funzionale alla restituzione di quest’ultima al legittimo titolare. Successivamente, la copia integrale così ottenuta va sottoposta ad analisi per selezionare i contenuti informativi pertinenti al reato per cui si procede; all’esito di tale selezione, la copia integrale – c.d. “copia mezzo” – dev’essere restituita agli aventi diritto, giacché essa non rileva, di per sé, quale cosa pertinente al reato, trattandosi di “un insieme di dati indistinti e magmatici”): insegnamento evidentemente differente dalla inesistente regola di inutilizzabilità che il ricorrente pretende di ricavare per effetto dalla supposta violazione delle regole di apprensione dei dati contenuti in una utenza telefonica che – secondo la sua stessa tesi – non sarebbe peraltro nemmeno a lui riferibile.[…]

    Cass. pen. Sez. III, Sent., (ud. 04-07-2024) 03-10-2024, n. 36775

    Nella recentissima sentenza ormai nota come sentenza eredità Agnelli, gli Ermellini ribadiscono che l’autorità giudiziaria, al fine di esaminare un’ampia massa di dati, può disporre un sequestro dai contenuti molto estesi, purché nel rispetto dei principi di proporzionalità e adeguatezza – si provveda alla immediata restituzione delle cose sottoposte a sequestro non appena venga meno la necessità del vincolo per gli accertamenti. L’acquisizione indiscriminata di un’intera categoria di beni (massa magmatica) – nell’ambito della quale procedere successivamente alla selezione delle singole cose necessarie all’accertamento del reato – deve sempre evitare che il sequestro assuma una valenza meramente esplorativa e che il PM espliciti debitamente le ragioni per cui è stato necessario disporre un sequestro esteso e onnicomprensivo. il PM inoltre non solo dovrà motivare sull’impossibilità di ricorrere a strumenti meno invasivi, ma dovrà anche modulare il sequestro in maniera tale da non arrecare un inutile sacrificio di diritti, il cui esercizio di fatto non pregiudicherebbe la finalità probatoria e cautelare perseguita.

    Analisi del “vademecum” giurisprudenziale 

    È evidente al di là di ogni ulteriore interpretazione come ormai risulti “consolidato”[13], anche quel “vademecum” che prevede che, il Pubblico Ministero:

    1. non può trattenere la cosiddetta copia integrale (copia mezzo)  dei dati appresi se non per il tempo strettamente necessario alla loro selezione;
    2. è tenuto a predisporre una adeguata organizzazione per compiere la selezione in questione nel tempo più breve possibile, soprattutto nel caso in cui i dati siano stati sequestrati a persone estranee al reato per cui si procede;
    3. compiute le operazioni di selezione, la cosiddetta copia – integrale (copia mezzo) deve essere restituita agli aventi diritto[14].

    Cosa accade oggi: le sfide nel processo di selezione dei dati pertinenti

    Stando quindi, agli indirizzi giurisprudenziali, indipendentemente dallo scenario di riferimento è evidente come ottenuta sul posto, ovvero successivamente la cd. “copia mezzo” (copia forense) del dispositivo, il PM non solo è chiamato a restituire il dispositivo, il contenitore alla persona sottoposta alle indagini, ma terminata la selezione dei dati deve restituire anche la copia mezzo, conservando agli atti del procedimento solo la “selezione” di quella massa magmatica di dati che reputa essere pertinenti al reato e quindi rientranti nei binari della proporzionalità e adeguatezza che ormai costituiscono i confini oltre i quali il “sequestro” non può spingersi.

    Il vero momento di criticità è allora rappresentato dal “come fare selezione”.

    Nel mio precedente articolo, in particolare nel sottotitolo “il ruolo delle parole chiave”, avevo già evidenziato quali fossero le criticità insite nella modalità di selezione dei dati, attraverso questo metodo, nel rimarcare alcune di queste vorrei però concentrarmi maggiormente sul rapporto che si instaura tra il PM, la polizia giudiziaria ed il consulente tecnico, allorquando si deve affrontare questo delicato e strategico metodo.

    Difficoltà operative e necessità di collaborazione tra le diverse figure professionali 

    Avviene sempre più spesso, proprio in virtù dei più recenti indirizzi giurisprudenziali, che nell’evidenza della mole di dispositivi e volumi oggi rinvenibili nel corso di una perquisizione, si tenti già in questa preliminare fase di procedere ad una selezione – filtro dei dati di interesse attraverso “parole-chiave”.

    Non è più così raro, infatti, imbattersi in decreti che già in radice al “dispositivo” riportano una serie di parole-chiave che dovrebbero costituire “filtro” circa i “target” da rinvenire e sottoporre a sequestro. Senza entrare nel merito dei vantaggi e svantaggi di tale scelta operativa (ritengo ormai siano ben chiari e noti), richiamerò alcune vecchie e nuove criticità che meglio ci aiuteranno di qui a poco a comprendere meglio la necessità di quella “sinergia” tra gli attori coinvolti (PM, PG e CTU).

    Il briefing

    Prima criticità, “il briefing” : uno dei momenti più strategici è rappresentato sicuramente, dal briefing. Nonostante l’importanza, attribuitagli unanimemente da tutti, purtroppo, sembra aver assunto solo la veste di un qualcosa da fare, indipendentemente dalla qualità, scopo ed esito.

    Il briefing è sempre esistito anche quando le perquisizioni non erano “informatiche” ed ha sempre rappresentato un momento di “raccordo info-investigativo ed informativo” nel corso del quale chi è a conoscenza dell’indagine e delle finalità dell’incombente da eseguirsi ragguaglia, informa chi dovrà operare. Detto ciò, se un tempo una mezz’oretta prima dell’intervento risultava un tempo più che adeguato, oggi la complessità, le variabili ed imprevisti che circondano la “perquisizione informatica” richiederebbero una maggior attenzione e dedizione a questo momento. Soluzioni temperate del tipo la fornitura di un “memorandum” scontano due effetti negativi: il primo per essere precisi si rischia di scrivere “memorandum” così dettagliati ma così complessi che non aiutano l’operatore ad orientarsi in maniera efficiente ed efficace nell’esecuzione della “perquisizione” (per esempio è capitato di avere per le mani “memorandum” con centinaia di “parole chiave” da ricercare, ma qualcuno ha idea di cosi significhi fare oggi sui volumi medi di storage una “decente” indicizzazione e ricerca? Possono volerci ore nella migliore delle ipotesi per ogni parola chiave… risultato opereremo in altro modo.. bene ma non benissimo!); il secondo è a contrario, seguire pedissequamente il memorandum comporta molto spesso che molte cose vengono trascurate, tralasciate, non considerate o peggio alcune richieste del memorandum risultano di impossibile applicazione… altro esempio: invero sempre più spesso se non già indicato nel decreto del PM nel memorandum quasi sempre a “redazione” della PG operante viene indicato che in presenza di “social/messaggistica/email” per le quali non fosse possibile procedere a copia “on site” al fine di assicurarne il contenuto si dovrà procedere al cosiddetto “blocco dell’account” mediante modifica della password di accesso che diventerà di dominio della PG operante; orbene tale operazione di facile esecuzione un tempo (bastava seguire le istruzioni per “ho dimenticato la password”) oggi per “sacrosanti” motivi di sicurezza sono ulteriormente complicate dalla 2FA o altra autenticazione che di fatto, se non vi è una piena “collaborazione” del perquisito , rendono talvolta impossibile questa operazione, ancora una volta il risultato, sarà che opereremo in altro modo…bene ma non benissimo!). Il briefing dovrebbe allora costituire il momento di “confronto” tra tutte le professionalità che verranno coinvolte nell’incombente (ho detto tutte : PG, PM, CTU, Ausiliari ove già nominati) solo in un “trasparente” confronto vi sarà la possibilità attraverso la sinergia di queste professionalità e capacità di pervenire effettivamente all’esecuzione di una perquisizione informatica che caso per caso sarà stata pienamente ponderata e valutata nei suoi effetti e potenziali criticità[15].

    Ma torniamo alle nostre “parole-chiave”, il briefing può essere una delle occasioni in cui stilare la lista di “parole-chiave” da ricercare, se si tende a dar per scontato che a tale selezione delle parole chiave partecipino il PM e la PG, quando si sia già optato per il coinvolgimento di un CTU, sarebbe meglio far partecipare anche quest’ultimo e ciò sia perché nessuno meglio di lui (gli sono indirettamente riconosciute se è stato chiamato) ha le competenze tecniche ed operative per consigliare, guidare, sulla scelte di quelle più efficaci ed efficienti, ovviamente dopo aver avuto conoscenza (nei limiti della riservatezza) degli obbiettivi e scopi della ricerca. Vanno pertanto evitati anche quando il coinvolgimento del CTU avvenga dopo le operazioni di perquisizione quegli incarichi che si limitano ad ordinare l’effettuazione di copia forense (copia-mezzo) sulla quale poi selezionare una serie di parole-chiave, spesso di dubbia efficacia ed efficienza, tanto da risultare inefficaci nel rispettare i rigidi paletti oggi imposti dalla giurisprudenza.

    La parola-chiave

    Seconda criticità, “la parola-chiave”: già ho detto e scritto molto anche nel precedente articolo che sempre richiamo. Vorrei però qui approfondire un aspetto ulteriore già allora anticipato. Mi riferisco in particolare a questo passaggio: “ultimo, ma non ultimo, difficilmente chi vuole occultare qualcosa la chiama con il proprio nome o con nomi che possano facilmente evidenziarla, la fantasia umana e la creatività di ciascuno non ha regole o limiti[16]”. Su questo punto vi è molto di più! È esperienza operativa,  di chi opera in questi contesti, rilevare come molto spesso solo a seguito di una “preliminare e-discovery” dei dispositivi si può essere più agevolmente ed efficacemente in grado di stilare una seconda “lista di parole chiave” utile ad individuare quello che si sta cercando. Si vuole significare che prendere una massa di dati ricercare su questa per un prima lista di parole chiave, pur rispondendo alle esigenze dettate dalla giurisprudenza, potrebbe risultare inefficace. Invero accade sempre più spesso che nell’esercizio di selezione “sulla prima lista” ci si accorga che le parole chiave che avrebbero fatto selezione sul materiale fornendo la massa di dati utili al prosieguo dell’analisi sono altre. In sintesi,  fatta la prima selezione ci si accorge che, pur essendovi un “match” con la  prima “lista delle parole chiave” le stesse sono del tutto inutili. Si pensi ad un traffico di stupefacenti ora la lista delle parole chiave sarà compendiata sulla scorta delle conoscenze fino ad allora apprese circa anche il modo di chiamare lo stupefacente. Orbene, nulla vieta di chiamare lo stupefacente “bamba” nel parlato e per varie ragioni di lessico, scritto, lingua, scriverlo come “bimba” sui dispositivi (ritengo l’esempio sufficientemente chiaro). Ma vi è di molto peggio, quando si ha a che fare con criminalità straniera i nomi cognomi  possono assumere “traduzioni” molto strane con il risultato o di restringere tanto lo spettro, da tralasciare proprio quella conversazione che si cercava, ovvero tanto largo da doverle prendere quasi tutte con il risultato di porgere il fianco ancora una volta alla scure giurisprudenziale.   Possiamo concludere che al di là delle sollecitazioni e “vademecum” quel più breve tempo possibile non deve indurre a selezioni e soluzioni  frettolose, ma va calibrato caso per caso, giungendo ove necessario anche ad un doppio passaggio. Del resto, è impensabile giungere al paradosso che quella “copia-mezzo” debba essere “selezionata” sulla scorta di un’unica lista/passaggio, impedendo di “scoprire” quali siano gli stratagemmi posti in essere per l’occultamento delle diverse attività illecite anche solo e semplicemente attraverso un “lessico”, “codice” creato ad hoc.

    Il rischio che incombe è quello di una sollecitazione, pressione sul PM, PG e CTU volto non a tutelare i propri diritti ma a sottrarre il prima possibile “materiale compromettente” che ben si sa essere stato abilmente “occultato” attraverso “parole chiave” per l’investigatore sconosciute o non significanti.

    Ne consegue che solo una profonda sinergia capace di unire e potenziare le professionalità di PM, PG e CTU risulta sempre più indispensabile e necessaria a fronteggiare tali insidie.

    Solo una piena, consapevole e trasparente condivisione delle informazioni e dettagli fino a quel momento acquisiti sul caso potrà aiutare tutti gli attori coinvolti in tale complicato compito.

    Andrà pertanto evitata (anche se sembra essere la più comune) quell’operazione di selezione da chiunque svolta dal CTU sulla scorta di parole chiave individuate dal PM e dalla PG e che si traducono in una lista di parole di chiave individuate dalla PG (quasi sempre “troppo” ampia, si sa è il nostro mestiere…) ma che viene “tagliata” dal PM (nel giusto “timore” di uscire da quei binari oggi tracciati dalla giurisprudenza) e che fornite al CTU trovano poi scarsa applicazione, perché non comprese nella loro “logica” dal CTU che nel corso della selezione si accorge che quelle parole non sono solo “inefficaci” allo scopo ma addirittura fuorvianti.[17]

    Proposte di miglioramenti operativi e utilizzo di tecnologie avanzate 

    Penso che soluzioni “radicali” al problema non esistano. Sarei certo brillante nel richiamare l’intervento della A.I. (Intelligenza Artificiale) che ormai sembra essere la panacea di molti problemi, ma onestamente non saprei davvero da dove cominciare pur attribuendole un certo grado di fiducia ed affidabilità. Invero diversi produttori di software “forensi” stanno investendo pesantemente sulla possibilità di fornire soluzioni software capaci attraverso l’A.I. di giungere in tempi rapidi e con efficienza ed efficacia al “target” ricercato. Tuttavia quale soluzione più immediata introdurrei una potenziale soluzione nel ricorso ad una più attenta e-discovery da sviluppare su tutte le copie mezzo del “caso” e capace prima di procedere alla redazione della lista delle “parole chiave” di avere una visione di insieme del linguaggio, semantica, abitudini, estro che al di là di una mera individuazione “tradizionale”[18] delle parole chiave, possa davvero aiutare gli attori in gioco (PM,PG, CTU) all’individuazione più probabile di quella “massa di dati” che potrebbe contenere i “target” ricercati.

    Implicazioni giuridiche e operative della “copia mezzo”

    Le conclusioni della giurisprudenza non possono comunque non essere condivise in punto di principio ed ormai costituiscono più di un “vademecum” potendosi leggere quali un “binario” all’interno del quale gli attori debbono muoversi, senza uscirne.

    Se da un lato va evidenziato e segnalato che al momento la giurisprudenza non si è mai espressa in termini perentori, sul tema ma anzi è finora ricorsa a formule di più ampio respiro (per es.  “ l’autorità giudiziaria, al fine di esaminare un’ampia massa di dati, può disporre un sequestro dai contenuti molto estesi, provvedendo tuttavia – nel rispetto del principio di proporzionalità ed adeguatezza – alla immediata restituzione delle cose sottoposte a vincolo non appena sia decorso il tempo ragionevolmente necessario per gli accertamenti.” – Cass. pen. Sez. III, Sent., (ud. 04-07-2024) 03-10-2024, n. 36775); dall’altro occorre porre particolare attenzione all’evoluzione normativa, attualmente al Senato – vedi DDL n. 806 Sen. Zanettin – Bongiorno «Modifiche al codice di procedura penale in materia di sequestro di dispositivi, sistemi informatici o telematici o memorie digitali» passato al Senato della Repubblica il 10 aprile 2024, di cui si riporta allo stato l’art. 1 , per quanto qui di interesse:

    “””Dopo l’articolo 254-bis del codice di procedura penale è inserito il seguente:

        Art. 254-ter. (Sequestro di dispositivi e sistemi informatici, smartphone e memorie digitali) – (“DDL S. 806 – Senato della Repubblica”)

    • 1. Al sequestro di dispositivi e sistemi informatici, smartphone e memorie digitali l’autorità giudiziaria può procedere mediante decreto motivato che indichi espressamente:

    “a) le ragioni che rendono necessario il sequestro in relazione al nesso di pertinenza fra il bene appreso e l’oggetto delle indagini;”

    b) le operazioni tecniche da svolgere sul bene appreso e i criteri che saranno utilizzati per selezionare, nel rispetto del principio di proporzione, i soli dati effettivamente necessari per il prosieguo delle indagini.

    2. Nel caso in cui vi sia pericolo che il contenuto dei dispositivi possa essere cancellato, alterato o modificato, l’autorità giudiziaria adotta le misure tecniche e impartisce le prescrizioni necessarie ad assicurarne la conservazione e a impedirne a chiunque l’analisi e l’esame fino all’espletamento, in contraddittorio con gli interessati, delle operazioni di selezione dei dati di cui al comma 3; a tale fine l’autorità giudiziaria può disporre che si proceda alla duplicazione integrale dei suddetti dispositivi su adeguati supporti informatici mediante una procedura che assicuri la conformità della copia all’originale e la sua immodificabilità.

    3. Entro cinque giorni dal sequestro il pubblico ministero avvisa la persona sottoposta alle indagini, la persona alla quale la cosa è stata sequestrata, la persona alla quale la cosa dovrebbe essere restituita e la persona offesa dal reato e i relativi difensori del giorno, dell’ora e del luogo fissato per l’affidamento dell’incarico da espletare ai sensi dell’articolo 360 e della facoltà di nominare consulenti tecnici. I difensori e i consulenti tecnici eventualmente nominati hanno diritto di assistere al conferimento dell’incarico e di partecipare alle operazioni di selezione ed estrazione dei dati, da effettuare eventualmente mediante l’utilizzo di parole chiave, formulando eccezioni o riserve, anche sui criteri utilizzati. Non si applica la disposizione di cui al comma 4 dell’articolo 360.

    4. Sulle eventuali questioni concernenti il rispetto dei princìpi di necessità e di proporzione nella selezione e nell’apprensione dei dati ovvero l’apprensione di dati sensibili, il pubblico ministero decide entro 48 ore con decreto motivato. Entro le 48 ore successive il giudice per le indagini preliminari, con decreto motivato, convalida in tutto o in parte il provvedimento del pubblico ministero, eventualmente limitandone gli effetti solo ad alcuni dei dati selezionati, ovvero dispone la restituzione all’avente diritto del dispositivo informatico e dell’eventuale copia informatica nel frattempo realizzata.

    5. Contro il decreto di convalida, la persona nei cui confronti sono svolte le indagini e il suo difensore, la persona alla quale le cose sono state sequestrate e quella che avrebbe diritto alla loro restituzione possono proporre, entro dieci giorni dalla notifica del decreto, ovvero dalla diversa data in cui l’interessato ha avuto conoscenza dell’avvenuto sequestro, richiesta di riesame anche nel merito a norma dell’articolo 324.

    6. Dopo la convalida, il pubblico ministero dispone che, in contraddittorio con i difensori e gli eventuali consulenti nominati, si proceda alla duplicazione dei soli dati selezionati nel contraddittorio delle parti ovvero indicati dal giudice per le indagini preliminari nel decreto di convalida, su un autonomo e idoneo supporto informatico con procedure che assicurino la conformità della copia ai dati fonte e l’immodificabilità della medesima. Una volta eseguita la copia dei dati di interesse, il dispositivo informatico o l’eventuale copia integrale del medesimo, eseguita a norma del comma 2, sono immediatamente restituiti all’avente diritto.

    7. I dati informatici appresi dal pubblico ministero senza il rispetto delle formalità previste dal presente articolo sono inutilizzabili ».

    2. All’articolo 354, comma 2, del codice di procedura penale, dopo il secondo periodo sono inseriti i seguenti: « La copia così realizzata è immediatamente trasmessa al pubblico ministero affinché, ove lo ritenga necessario, proceda ad attivare senza ritardo e, comunque, nelle 48 ore successive, le procedure di selezione dei dati di eventuale interesse investigativo previste dall’articolo 254-ter, commi 3 e seguenti. In caso contrario il pubblico ministero procede all’immediata restituzione della copia informatica all’avente diritto ».

    La comparsa di “termini” nella proposta, al di là della procedura scelta per la selezione dei dati che a parere dello scrivente è condivisibile (360 c.p.p / intervento del G.I.P) non aiuteranno certo gli attori (PM,PG, CTU) chiamati in gioco che verranno chiamati al rispetto di termini oggi poco “conciliabili” con la realtà.

    Il tutto non fa che sollecitare e richiamare, in attesa delle evoluzioni normative che ne seguiranno, gli attori ad una rinnovata attenzione e sensibilizzazione su questo delicato tema, che solo attraverso una piena e completa sinergia tra PM, PG e CTU potrà quantomeno essere mitigato.

    Se da un lato sono ampiamente condivisi e comprensibili i “paletti” e limiti posti dalla “giurisprudenza” dall’altro occorre particolare attenzione nell’evitare che in una continua rincorsa alla tutela dei diritti, non si sfoci in una totale “castrazione” dell’attività investigativa che potrebbe rendere sempre più complicata e difficoltosa l’attività di contrasto alla criminalità già oggi complessa e resa difficile dall’utilizzo di strumenti digitali sempre più evoluti e di difficile “analisi” nei termini imposti senza una vera e completa cognizione delle reali capacità di “storage” di un dispositivo da 1TB di dati.

    Note

    [1] https://www.agendadigitale.eu/documenti/digital-forensic-quanti-problemi-con-la-copia-mezzo-come-fare/

    [2] https://www.senato.it/leg/19/BGT/Schede/FascicoloSchedeDDL/ebook/57327.pdf . Qui per chi volesse approfondire l’analisi l’iter legislativo ed il testo del d.d.l. n. 806 (si veda in particolare pag. 275 e 352 che effettuano un preciso collegamento e richiamo a quella qui di seguito definita “copia mezzo”).

    [3] Cass. Pen. Sez. VI Sent. 05.01.2023 n. 180; Cass.Pen. Sez. VI Sent. 03.01.2024 n. 222 e Cass.Pen. Sez. III Sent. 06.06.2024 n. 22868. Le già menzionate a fattor comune si rifanno al concetto di copia mezzo richiamando la sentenza Cass. Pen. Sez. VI Sent. 19.02.2021 n. 6623, che a sua volta richiama espressamente le originarie sentenze sul tema da individuarsi in Cass. Pen. Sez. VI Sent. 22.09.2020 n. 34265 e Cass. Pen. Sez. VI Sent. 04.03.2020 n. 13165.

    [4] In particolare, per quanto attiene il mondo della “mobile forensics” si assiste ad una continua competizione tra innovazioni e strumenti forensi capaci di superarle onde permettere agli investigatori di accedere ed estrarre i dati di interesse, tale contesto si sostanzia in una rapida “obsolescenza” di queste strumentazioni che fino a qualche giorno prima capaci, efficienti ed efficaci, si rivelano inidonee, talvolta anche solo a seguito di un aggiornamento del sistema operativo. L’ovvia conseguenza è che anche i reparti più specializzati e dotati di strumentazioni, devono rivolgersi a consulenti/società esterne dotate di più recenti e moderne apparecchiature e conoscenze. Inoltre, appare evidente come costosissime strumentazioni non siano appannaggio di tutti i reparti specializzati e spesso vengano concentrate in solo pochi reparti che a livello nazionale devono occuparsi delle più complicate acquisizioni forensi; anche qui l’ovvia conseguenza è che tali “rare” apparecchiature vengono ovviamente riservate solo a casi di maggior rilevanza e risonanza, rappresentando comunque un “deficit” rispetto le concrete ed attuali esigenze ben maggiori e pressanti.

    [5] La capillare diffusione ed uso di dispositivi informatici, ha fatto sì che oggi, come ho già sottolineato più volte, non esiste contesto investigativo scevro della presenza di dati digitali e della necessità di una loro individuazione, assicurazione e conservazione, nella loro veste di corpo del reato o cose pertinenti al reato, ovvero anche solo di elementi indiziari utili alle indagini. Ne deriva che possiamo affermare senza smentita che oggi non esiste decreto di perquisizione che non preveda anche la cd. “perquisizione informatica”, con la conseguenza che oggi al di là della formula codicistica (che si riferisce “agli ufficiali di P.G.”), oggi sarebbe necessaria la presenza in ogni perquisizione di personale specializzato/qualificato in digital-forensics.

    [6] Per chi volesse approfondire la tematica sulla differenza tra le due figure qui richiamate, rimando a questo mio articolo che risulta sostanzialmente ancora aggiornato nei tratti essenziali: https://www.ictsecuritymagazine.com/articoli/lintervento-dellausiliario-di-polizia-giudiziaria-ex-art-348-c-p-p-nelle-perquisizioni-informatiche/ .

    [7] Le motivazioni possono essere alquanto diversificate e spaziare da scelte di “competenza” non solo professionale ma anche per materia e territoriale a scelte di opportunità rimesse al dominus dell’indagine il PM per altrettante svariate ragioni (affidamento dell’incarico a persona “esterna” rispetto alla P.G. operante).

    [8] Cass. pen. Sez. II, Sent., 8 novembre 2022 – 20 maggio 2022, n. 42058. Pres. Imperiali – Rel. Nicastro.

    [9] Per un approfondimento su questi concetti rimando al d.d.l. n. 806 (si veda in particolare pag. 275 e 352) ove nella discussione da parte dei diversi Senatori, emerge chiaramente quell’aspetto particolarmente sensibile che è stato riassunto dal Ministro Nordio in : “Una vita dentro lo smartphone”. https://newsmondo.it/nordio-sequestro-telefono-pm/politica/.

    [10] M. Pittiruti “Dalla Corte di cassazione un vademecum sulle acquisizioni probatorie informatiche e un monito contro i sequestri digitali omnibus” in Sistema Penale 14 gennaio 2021 . https://sistemapenale.it/it/scheda/cass-sez-vi-sent-22-settembre-2020-dep-2-dicembre-2020-n-34265-pres-di-stefano-rel-silvestri?out=print

    [11] “Tra le principali funzioni che le sono attribuite dalla legge fondamentale sull’ordinamento giudiziario del 30 gennaio 1941 n. 12 (art. 65) vi è quella di assicurare “l’esatta osservanza e l’uniforme interpretazione della legge, l’unità del diritto oggettivo nazionale, il rispetto dei limiti delle diverse giurisdizioni” – fonte:

    https://www.cortedicassazione.it/it/le_funzioni_della_corte.page

    [12] Cass.Pen., Sez. VI, n. 24617/2015.; Cass. Pen., Sez. VI, n. 9989/2018; Cass. Pen., Sez. VI, n. 43556/2019; Cass. Pen., Sez. VI, n. 3794/2020; Cass. Pen., Sez. VI, n. 30225/2020; Cass. Pen., Sez. VI, n. 10815/2021.

    [13] Tra le due Sentenze qui citate si inserisce una più ampia espressione giurisprudenziale ormai comune e trasversale alle diverse Sezioni della Corte di cassazione che ormai conformemente si rifanno ai principi della cosiddetta “copia-mezzo” – Cfr. Cass. pen., Sez. III, Sent., (data ud. 15/02/2024) 05/03/2024, n. 9354; Cass. pen., Sez. V, Sent., (data ud. 10/01/2024) 12/03/2024, n. 10454; Cass. pen., Sez. V, Sent., (data ud. 10/01/2024) 28/03/2024, n. 13018; Cass. pen., Sez. VI, Sent., (data ud. 15/02/2024) 24/04/2024, n. 17312; Cass. pen., Sez. IV, Sent., (data ud. 17/04/2024) 05/06/2024, n. 22595.

    [14] Si veda in merito anche la nota 22.10.2021 del Procuratore Generale della Procura della Repubblica di Trento diretta al Procuratore Generale della Repubblica presso la Corte Suprema di Cassazione e per conoscenza ai Procuratori Generali della Repubblica presso le Corti di Appello, integralmente scaricabile qui: https://www.giurisprudenzapenale.com/wp-content/uploads/2021/11/PG-trento-sequestro.pdf ; che ripropone gli stessi orientamenti.

    [15] Si pensi anche alla possibilità nell’ambito del briefing di svolgere attività O.S.Int sul soggetto “target” finalizzate a meglio apprendere una serie di informazioni che potrebbero rivelarsi strategiche per l’operazione.

    [16] Chiamereste “nero” una contabilità parallela o scrivereste nell’oggetto della e-mail “ecco la bustarella”?

    [17] Accade che il CTU nel corso della selezione affidatagli dal PM previa realizzazione delle cd. copie-mezzo si renda conto che la lista di parole chiave è del tutto fuorviante ed inefficace. Per esempio, è stato deciso dalla PG e dal PM che il “target” siano fatture in formato .pdf ed il consulente si accorge che in realtà parte delle fatture non è in formato .pdf ma .jpeg …. E mille altre esempi che sono sicuro ognuno di voi hanno già sperimentato.

    [18] Solitamente ci si basa sull’esperienza, ma non è detto che chi sta dall’altra parte non la conosca e non abbia adottato specifiche “contromisure”.

    @RIPRODUZIONE RISERVATA

    Valuta la qualità di questo articolo

    La tua opinione è importante per noi!

    T
    Pier Luca Toselli
    Digital forensics presso Ministero

    Argomenti

    Canali

    EU Stories - La coesione innova l'Italia

    Tutti
    Iniziative
    Analisi
    Iniziative
    Parte la campagna di comunicazione COINS
    Analisi
    La politica di coesione europea: motore della transizione digitale in Italia
    Politiche UE
    Il dibattito sul futuro della Politica di Coesione
    Mobilità Sostenibile
    L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
    Iniziative
    Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
    Politche ue
    Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
    Finanziamenti
    Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
    Analisi
    Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
    Politiche UE
    Innovazione locale con i fondi di coesione: progetti di successo in Italia
    Iniziative
    Parte la campagna di comunicazione COINS
    Analisi
    La politica di coesione europea: motore della transizione digitale in Italia
    Politiche UE
    Il dibattito sul futuro della Politica di Coesione
    Mobilità Sostenibile
    L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
    Iniziative
    Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
    Politche ue
    Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
    Finanziamenti
    Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
    Analisi
    Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
    Politiche UE
    Innovazione locale con i fondi di coesione: progetti di successo in Italia

    Articoli correlati

    • scenari

      Come l'IA plasmerà il mondo: più opportunità o problemi?

      02 Lug 2024

      di Marino D'Amore

      Condividi

    • sicurezza e privacy

      Spionaggio cinese, più controlli in Silicon Valley e più razzismo

      02 Lug 2024

      di Marco Santarelli

      Condividi

    • oltre la black box

      Interpretabilità dell'IA: ecco i primi passi per risolvere un grosso problema

      14 Giu 2024

      di Luigi Mischitelli

      Condividi

    Prossimo

    Come l'IA plasmerà il mondo: più opportunità o problemi?

    Articolo 1 di 4