Il 5 aprile 2008 (quasi diciassette anni fa) entrava in vigore nel nostro ordinamento la legge 18 marzo 2008, n. 48 intitolata “Ratifica ed esecuzione della Convenzione del Consiglio d’Europa sulla criminalità informatica, fatta a Budapest il 23 novembre 2001, e norme di adeguamento dell’ordinamento interno”.
Indice degli argomenti
La Legge 48/2008 e il contesto normativo
Introdotta per recepire la Convenzione di Budapest sul crimine informatico, ha rappresentato una svolta significativa ed epocale nel quadro normativo italiano per quanto riguarda la lotta contro i crimini informatici e l’utilizzo della digital forensics nelle indagini, nonostante i quasi sette anni trascorsi tra la convenzione e la sua ratifica ed esecuzione.
Gestione documentale: Scopri le best practices in questo White Paper
L’intervento legislativo, ha anche interessato, tra l’altro la modifica di alcuni reati informatici e la definizione di alcuni , non prima previsti nel codice penale (cfr. artt. da 3 a 7): come, per esempio, la falsa dichiarazione o attestazione al certificatore di firma elettronica sull’identità o su qualità personali proprie o di altri (art. 495 -bis) – la diffusione di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico (art. 615 -quinquies) – danneggiamento di informazioni, dati e programmi informatici (art. 635-bis) – danneggiamento di informazioni, dati e programmi informatici utilizzati dallo Stato o da altro ente pubblico o comunque di pubblica utilita (art. 635-ter) – danneggiamento di sistemi informatici o telematici (art. 635 – quater) – danneggiamento di sistemi informatici o telematici di pubblica utilita (art. 635 quinquies) – frode informatica del soggetto che presta servizi di certificazione di firma elettronica (art. 640- quinquies).
Ma ciò che ha costituito una svolta significativa ed epocale è rappresentato dalle modifiche al codice di procedura penale (cfr. art. da 8 a 12) in particolare per le considerazioni che proporrò di qui a breve, con specifico riferimento agli articoli 8 e 9[1], cui faccio rimando attraverso la nota a piè di pagina. Mi soffermerò in particolare sulla perquisizione e sequestro di dispositivi informatici, evidenziando, come, nonostante i progressi introdotti dalla Legge 48/2008, il campo della digital forensics presenta ancora oggi, sfide significative, in particolare per quanto riguarda questi due istituti.
Il “polso” è dato da una produzione giurisprudenziale che interviene sempre più spesso proprio su questi due istituti (allorquando oggetto degli stessi vengono ad essere quei dispositivi che contengono la nostra “vita”[2]), e così tanto da sollecitare ormai il legislatore ad una revisione degli stessi[3], in particolare per ciò che attiene il sequestro dei dispositivi e dati.
La distinzione tra ispezione e perquisizione informatica
Ispezione e perquisizione sono due mezzi di ricerca della prova, entrambi disciplinati nel libro terzo delle prove, Titolo III – Mezzi di ricerca della prova (artt. 244-271) pur avendo una medesima “finalità” la ricerca della prova, risultano canonicamente differenti nell’attività realizzata dall’esecutore. Secondo la norma l’attività dell’”inspicere” che caratterizza l’ispezione si concretizza nell’osservazione di persone, luoghi, cose ed è essenzialmente rivolta all’accertamento di tracce o altri effetti materiali del reato, un tradizionale e classico esempio è rappresentato dall’ispezione di un luogo o di una persona alla ricerca di graffi, segni di colluttazione macchie di sangue, laddove attraverso fotografie ed altri rilievi si procede ad accertare e rilevare tracce o altri elementi utili alle indagini.
Differentemente l’attività del “perquirere” si caratterizza, invece, per essere volta all’individuazione e acquisizione del corpo del reato o delle cose ad esso pertinenti e si sostanzia in quella attività propedeutica al sequestro probatorio, tant’è che lo stesso decreto autorizzatorio emesso dal PM, è anche accompagnato da una formula nel dispositivo del decreto stesso, con la quale si dispone il sequestro (cfr. art. 252 c.p.p ) delle cose eventualmente rinvenute a seguito della perquisizione (corpo del reato e di ogni altra cosa pertinenti al reato, ritenuta utile ai fini delle indagini…) .
Volendo ulteriormente approfondire i due “incombenti” potremo sintetizzare che l’ispezione si distingue dalla perquisizione in quanto non finalizzata a rinvenire, trovare, scoprire il corpo del reato o altre cose da sequestrare, ma finalizzata ad osservare, documentare, lo stato dei luoghi, delle persone o degli oggetti e qualora si dovessero rinvenire elementi rilevanti, procedere al loro sequestro con un separato ed apposito provvedimento.
Se tale distinzione trova piena efficacia ed efficienza in molti “ambiti” le cose si complicano non poco allorquando l’oggetto dell’ispezione o della perquisizione viene ad essere un sistema informatico o telematico, tanto da aver scatenato un articolato dibattito[4] cui si fa rimando per ogni utile approfondimento e valutazione, nella considerazione che lo stesso appare tutt’altro che sopito; interrogando ancora oggi gli “operatori del diritto” sulla qualificazione delle attività di volta in volta poste in essere, ossia se le stesse possano ricondursi più all’uno che all’altro istituto.
Invero se le “finalità” appaiono così chiare, le azioni concrete che le precedono appaiono molto spesso più ibride, sfumate e non sempre così chiare e delineate allorquando ci si ritrovi nei classici contesti dell’ispezione o perquisizione informatica contraddistinti più che in altri “ambiti” da elementi “fragili”, “volatili” e facilmente, (troppo facilmente)… alterabili[5].
Si comprende così meglio come il legislatore attraverso un “mantra” costituito dalla locuzione “misure tecniche dirette ad assicurare la conservazione dei dati originali e ad impedirne l’alterazione” fornisce agli operatori di polizia giudiziaria chiamati ad eseguire la perquisizione informatica un “modello/paradigma/canone” cui conformarsi che tuttavia attiene evidentemente ad una “finalità” e non ad un “modus operandi” da doversi adottare ( e di qui l’ulteriore “confusione” già sopra evidenziata). Invero la prescrizione legislativa mira essenzialmente a garantire la genuina acquisizione di elementi probatori che potranno assumere successivamente valenza di prova in un procedimento, prevedendo contestualmente un controllo sull’agire degli operatori di polizia giudiziaria circa la verifica delle procedure adottate per l’individuazione, acquisizione e trattamento della “digital evidence”.
Nuove tecniche e il futuro della perquisizione informatica
L’uscita della legge 48/2008 ed in particolare le modifiche normative apportate al codice di procedura penale vennero lette come la soluzione ad un problema che andava delineandosi a seguito della diffusione, ormai inarrestabile dei sistemi informatici o telematici. Chi è più “canuto” ricorderà la fine del secolo scorso e i primi anni 2000 caratterizzati da un modus operandi che vedeva la polizia giudiziaria procedere al sequestro di tutto ciò che risultava munito di un “led” lampeggiante e che anche solo apparentemente potesse contenere un supporto di memoria. Allora erano la mancanza di strumentazioni e di specializzazioni e professionalità che “costringevano” gli operatori a procedere ad un sequestro indiscriminato di tutto ciò che risultava collegato ad una presa elettrica e lampeggiava attraverso un led, riservando poi ad una fase successiva, l’effettuazione di una copia forense sulla quale procedere ad una attenta e minuziosa analisi magari accompagnata anche da operazioni di “carving” volte al recupero di eventuali files cancellati/non allocati … (bei tempi!). Chiedendo scusa per il paradosso, resta evidente che la scelta del legislatore di quell’adottare ““misure tecniche dirette ad assicurare la conservazione dei dati originali e ad impedirne l’alterazione” se da un lato richiama le modalità di assicurazione e conservazione dall’altro si richiama comunque ad “perquirere” o, meglio, come “perquirere” , richiamando per quanto indirettamente ma in modo evidente che prima di procedere al sequestro occorre per l’appunto perquisire.
La lettura dell’articolo stesso risolve qualsiasi dubbio interpretativo laddove viene indicato: …”Quando vi è fondato motivo di ritenere che dati, informazioni, programmi informatici o tracce comunque pertinenti al reato si trovino in un sistema informatico o telematico, ancorché protetto da misure di sicurezza, ne è disposta la perquisizione, adottando misure tecniche dirette ad assicurare la conservazione dei dati originali e ad impedirne l’alterazione.”
La “preview” e la difficoltà di perquisizione informatica on-site
Evidenziato che la “perquisizione del sistema informatico o telematico” va fatta, qualcuno avrà letto o sentito parlare della cd. “preview” ovvero di quell’operazione che permette all’operatore di polizia giudiziaria di eseguire per l’appunto una ricognizione, ricerca sul dispositivo individuato volta a verificare se anche solo potenzialmente quel dispositivo possa contenere i dati ricercarti. Rimando ad un mio breve ma ritengo esaustivo articolo, qualora qualcuno volesse approfondire il tema[6]. Una preview costituisce a parere dello scrivente un momento di apprensione del contenuto del dispositivo “target” in esame che porta ad una “prognosi” circa la possibilità che lo stesso possa o meno contenere dati di interesse con riferimento al decreto di perquisizione in esecuzione.
Di fatto, la vera e propria “perquisizione-informatica” viene di fatto differita alle successive operazioni che interesseranno la copia forense effettuata “on-site” (ove possibile) ovvero la copia forense successivamente realizzata ex art. 359/360 cpp sul “target” (reperto) sequestrato.
Resta a parere dello scrivente molto “azzardato” negli attuali contesti “eseguire ed esaurire la perquisizione-informatica” on site /sul posto, ciò che di fatto avviene è una individuazione dei “potenziali” target che ove possibile vengono si immediatamente sottoposti a copia-forense sul posto (caso vedremo sempre più raro e remoto) , ma il cui esame è poi differito a strumenti e tecniche (di laboratorio) che permettono con operazioni spesso molto lunghe (di giorni) di pervenire ad una effettiva “prognosi” circa la “positività” o “negatività” di quel target rispetto all’eseguito decreto di perquisizione.
Tuttavia, è evidente come tali considerazioni ci riportano (nonostante l’impegno del legislatore) in un ritorno al passato, quando si prendeva tutto ciò che aveva un LED lampeggiante … e poi si vedeva se era utile o meno.
Il tentativo di uscire da tale “aberrazione giuridica” attraverso la legge 48/2008 che ha tentato di imporre “la perquisizione informatica” del dispositivo quale “requisito” a giustificazione (qualora positiva) del suo sequestro, viene oggi di fatto a identificarsi in quella “preview” ovvero nel saper documentare attentamente (e questa è operazione tutt’altro che facile) il perché si proceda al sequestro di quel dispositivo.
In sintesi per superare diverse sentenze che “cassavano” ( e cassano tutt’ora) pesantemente quello che in gergo viene definito “il sequestro indiscriminato”[7] (quello ciò che avveniva quasi sempre ante L. 48/2008) ci si è affidati alla “preview” che permette alla polizia giudiziaria (anche al fine di superare eventuali contestazioni al “Riesame”) di confermare che sul dispositivo oggetto del sequestro è stata effettuata una preview o comunque una prognosi basata su altri elementi, che ha permesso di ritenere che il dispositivo “può/è potenzialmente idoneo, vi è un elevata possibilità” che lo stesso possa contenere i dati ricercati ma che[8]:
– data la mole dei dati rinvenuti;
- l’impossibilità di procedere sul posto ad una analisi approfondita (sia per mole) che magari anche per la mancanza di idonee strumentazioni (software e hardware) per l’effettuazione della perquisizione informatica;
- l’assenza di personale idoneo e qualificato a svolgere la perquisizione informatica; e riservandosi peraltro la possibilità di recuperare ed analizzare anche i files cancellati;
si procede al sequestro del dispositivo riservando poi dette operazioni ad una fase successiva all’incombente perquisizione.
Tali considerazioni permettevano una certa “resistenza” al riesame dato che anche la giurisprudenza riconosceva che nell’immediatezza della perquisizione non era sempre possibile pervenire in tali contesti all’individuazione del corpo del reato o cose pertinenti al reato.
Ho usato il condizionale perché all’epoca[9] era ancora possibile, procedere ad una “copia forense” sul posto del dispositivo, non procedendo al sequestro dello stesso ma solo di copia forense dello stesso, riservando poi l’analisi ad una fase successiva ovvero in taluni (per la mia esperienza molto sporadici) casi procedere sul posto ad una vera e propria “perquisizione” analisi sul posto del dispositivo attraverso appositi tool e tecniche e pervenire ad una immediata prognosi circa se lo stesso o il suo contenuto[10] costituissero il corpo del reato o cose pertinenti al reato.
Ma poi le cose sono radicalmente cambiate, come vedremo meglio nel prosieguo tanto da richiedere come approfondirò nelle conclusioni un vero e proprio cambio di paradigma sul come svolgere oggi una proficua perquisizione informatica.
Al di là delle innumerevoli difficoltà che oggi costellano una perquisizione informatica, resta fermo che la giurisprudenza nell’evidenza che di fatto “oggi” perquisire un sistema informatico o telematico sul posto alla ricerca di quanto ricercato sia cosa pressoché impossibile, ha contemplato la possibilità di procedere al sequestro del dispositivo (dopo la preview che ne giustifichi l’apprensione) prevedendo poi un’articolata procedura copia mezzo capace di contemperare le diverse e confliggenti esigenze e diritti costituzionali coinvolti[11], tra i quali spiccano i “principi” di proporzionalità ed adeguatezza “cardini” a legittimità del sequestro[12].
Invero anche di recente[13]la Cassazione ha stabilito che l’autorità giudiziaria, al fine di esaminare un’ampia massa di dati, può disporre un sequestro dai contenuti molto estesi, purché nel rispetto dei principi di proporzionalità e adeguatezza – si provveda alla immediata restituzione delle cose sottoposte a sequestro non appena venga meno la necessità del vincolo per gli accertamenti .
Le sfide tecniche e giuridiche nelle perquisizioni informatiche
Le perquisizioni informatiche rappresentano ancora uno degli ambiti più complessi della digital forensics, nonostante l’intervento normativo della Legge 48/2008 ed i successivi interventi giurisprudenziali.
L’inarrestabile evoluzione tecnologica, un’accresciuta sensibilità verso le potenzialità, pericolosità ed importanza dei dispositivi che ormai contengono le nostre “vite” (non solo digitali), il tutto accompagnato da una crescente complessità dei dispositivi, fa sì che oggi sia sempre più complesso e non scontato avere un accesso completo, tempestivo e sicuro ai dati rilevanti. Tra le molteplici “criticità” (è diventato complesso e difficile individuarne un numero chiuso) vorrei soffermarmi sulle seguenti premesso che:
- Le criticità seppur “infinite” hanno tutte una radice comune essenzialmente legata ad aspetti giuridici, tecnologici e direi di tempo e luogo, molto spesso legati ed interconnessi tra di loro;
- Se molte hanno trovato più che soluzione una mitigazione, attraverso diversi interventi giurisprudenziali, resta mia convinzione personale che nel nostro ordinamento “il libero convincimento del giudice” e l’ovvia considerazione che ogni “caso è un caso a se” possa confortare gli operatori di polizia giudiziaria talvolta troppo presi ed influenzati da sentenze e titoli giornalistici non sempre corretti (che giungono persino ad essere “fuorvianti”) circa l’effettivo contenuto della sentenza (peraltro riferita a quello specifico caso!). Insomma, il consiglio è quello di non limitarsi mai a commenti e titoli ma approfondire sempre criticamente il contenuto della sentenza, accorgendosi così che poi : “se non è tutto oro quello che luccica” – “spesso l’oro luccica davvero!”.
L’inarrestabile evoluzione tecnologica e l’ormai crescente ed incontrollabile digitalizzazione delle attività umane ha determinato un incremento esponenziale della quantità e della complessità dei dati che le autorità deputate per esempio all’esecuzione di una perquisizione di un comune cittadino si ritrovano a dover affrontare. Pensiamo per un attimo a tutto ciò che di digitale ci circonda e ci renderemo subito conto di questa spesso “indefinita” mole di dati.
Quando si realizza un fatto dal quale derivi la necessità nei confronti di un soggetto di “perquirere” il “digitale” che lo circonda, ci si rende subito conto di come questo confine non solo sia spesso indeterminato ma anche di come i confini che potenzialmente rileviamo (i contenitori) siano comunque così densi e pieni di dati da rendere spesso impossibile realizzare quell’azione di “perquirere” che il legislatore non solo impone ma che si rende necessaria quale operazione di ricerca e selezione in una massa magmatica di dati nell’ambito della quale non tutti i dati costituiscono elementi di interesse… anzi!
Tali contesti pongono grandi problematiche, significative sotto molteplici profili, che spaziano dall’efficacia delle operazioni investigative alla tutela dei diritti fondamentali degli individui coinvolti. Infatti, l’aumento dei volumi di dati ha reso evidente e richiederà sempre di più, la necessità di strategie investigative innovative ed avanzate, capaci di gestire un’enorme mole di informazioni senza compromettere l’integrità e la validità probatoria degli elementi raccolti, sempre nel rispetto di quei “principi” fondamentali a “garanzia” dell’equità, giusto processo, proporzionalità e adeguatezza, già ormai consolidati e qui più volte richiamati.
Specificatamente, la diversificazione eterogenea delle fonti digitali e la proliferazione di dispositivi interconnessi rendono sempre più difficile la distinzione tra dati “rilevanti” ai fini investigativi e informazioni che, seppur presenti nei supporti digitali oggetto di perquisizione, risultano comunque estranee alle finalità dell’indagine. Tale criticità si manifesta in modo particolarmente acuto nelle indagini che coinvolgono sistemi di cloud computing, architetture distribuite e tecnologie di cifratura avanzata, le quali ostacolano l’accesso diretto ai dati e richiedono strumenti forensi altamente specializzati, tempistiche e tecniche spesso “incompatibili” con i tempi e le modalità fino ad oggi adottate per una “perquisizione informatica”[14].
Se da un lato è vero che non esiste un “termine” per l’esecuzione della perquisizione, dall’altro è evidente come molteplici variabili rendano di fatto molto difficile se non impossibile la prosecuzione dell’incombente per un tempo indefinito. Si pensi a mero titolo di esempio alle difficoltà insite nell’assicurare per il perdurare della perquisizione la conservazione dei dati digitali al momento dell’accesso, ovvero impedire che nel corso della stessa la persona sottoposta alle indagini possa (anche da remoto) procedere ad una loro cancellazione o modifica. Invero l’effettuazione della cd. “copia forense” permette, anche[15], la cristallizzazione di uno stato di fatto con possibilità poi in una fase successiva di analizzare più approfonditamente lo stesso.
L’odierna complessità dei dati digitali da acquisire si traduce, anche, in un problema di natura giuridica e procedurale, ne è riprova che il “germoglio” di quella che oggi definiamo “copia mezzo”, derivi proprio da un cd. sequestro indiscriminato che coinvolse non solo dati ma anche dispositivi che, se non poco, nulla, avevano a che vedere con l’oggetto, lo scopo delle perquisizioni in radice a quei sequestri.
La necessità di bilanciare le esigenze investigative con la tutela di altri diritti costituzionalmente previsti impone, sempre più sulla scorta delle premesse poco fa avanzate, un’accurata selezione dei criteri di ricerca e acquisizione, evitando per l’appunto raccolte indiscriminate di informazioni che potrebbero risultare sproporzionate, inopportune, rispetto all’oggetto dell’indagine.
Su tali presupposti, appare evidente anche al profano come l’aumento ormai esponenziale delle capacità di memoria, accompagnato da una distribuzione dei sistemi (in primis Cloud) spesso dai confini indefiniti o comunque di non sempre facile “individuazione fisica”, va a complicare ulteriormente un quadro d’insieme già complesso. Operazioni quali quelle della perquisizione informatica e realizzazione di una copia forense on-site in tempi e modalità accettabili, non solo sono ormai rare, ma spesso del tutto impossibili! Oggi, affermare che nei confronti di un “soggetto” si è proceduto a perquisizione informatica risulta essere spesso una “chimera” per due aspetti, tutt’altro che secondari:
- Il primo, risulta sempre più complesso e complicato stabilire quale sia “lo spazio” da perquisire, della serie, “ma siamo sicuri di aver individuato e valutato tutto l’ecosistema digitale utilizzato dal soggetto?”;
- Il secondo, molto più tecnico ed oggettivo, della serie, “ma quando avrò individuato i dispositivi e quell’ecosistema sarò in grado di perquisirlo, acquisirlo, sottoporlo a sequestro?” Con specifico riferimento alle complessità legate al volume di dati complessivo e alla sua natura e collocazione (dati su supporti fisici, on Cloud, dispositivi non sequestrabili, per es. militari, sanitari, strategici[16], ma anche circa gli aspetti più squisitamente giuridici rispetto la loro collocazione “territoriale” per es. server all’estero, in paesi non collaborativi, al di fuori delle convenzioni di collaborazione di contrasto al crimine).
L’introduzione di tecniche di analisi automatizzata e di intelligenza artificiale possono probabilmente attenuare solo alcune di queste criticità, facilitando per esempio l’individuazione di elementi pertinenti, ma solleva al tempo stesso diversi interrogativi in merito all’affidabilità, trasparenza efficacia ed efficienza di tali strumenti, soprattutto in relazione ai criteri di selezione e classificazione delle informazioni stesse[17].
Restano comunque “piene” ed efficaci, ulteriori problematiche connesse alla mole di dati digitali dinanzi alla quale, l’operatore, è chiamato ad intervenire, mi riferisco qui alle problematiche riguardanti la conservazione e l’analisi forense.
L’integrità e l’autenticità delle prove informatiche devono essere garantite attraverso processi rigorosi, che evitino il rischio di alterazione o contaminazione delle informazioni acquisite. L’utilizzo di strumenti di hashing, la registrazione delle operazioni di acquisizione e l’adozione di procedure standardizzate rappresentano misure essenziali ed ormai “fondamentali” per assicurare la validità probatoria dei dati raccolti. Tuttavia, si assiste sempre di più ad una crescente sofisticazione delle tecniche di offuscamento e anonimizzazione (talora imposte da diverse normative[18]) che impongono agli investigatori una costante evoluzione delle competenze, tecniche e strumenti impiegati. Tutto ciò incide anche sulla durata delle operazioni di perquisizione informatica. Il tempo necessario per individuare, acquisire e analizzare le informazioni di interesse investigativo si è notevolmente allungato, dilatato, e complicato, con il rischio di ritardi che possono compromettere l’efficacia dell’azione investigativa. Anche in questo contesto, l’adozione di metodologie di triage digitale, che consentano un’analisi preliminare immediata e selettiva dei dati, può rappresentare una “parziale” soluzione ad un problema che comunque persiste! E che dire di quei “volumi” e files che non possono essere neppure “perquisiti” perché protetti[19]?
Alla luce di queste considerazioni, emerge con chiarezza come l’aumento dei volumi e della complessità dei dati digitali nelle perquisizioni informatiche costituisca una sfida cruciale per gli operatori del diritto e per gli esperti di informatica forense.
Una sfida irrisolta: la perquisizione completa e tempestiva
Nel panorama delle indagini informatiche, la possibilità di effettuare una perquisizione completa e tempestiva di un dispositivo rappresenta, come abbiamo appena visto una delle sfide più complesse e (mi si permetta) irrisolte!
Nonostante le moderne tecniche di digital forensics abbiano fatto significativi progressi, e passi in avanti eterodiretti ad una riduzione dei tempi necessari per l’individuazione e la ricerca degli elementi che possono costituire il corpo del reato o cose pertinenti al reato, permangono limiti strutturali e giuridici che ostacolano l’efficacia e l’efficienza[20] delle investigazioni.
Invero, la rapidità con cui i dati possono essere modificati, cancellati o distribuiti su infrastrutture globali solleva questioni di ordine tecnico, normativo e giuridico che impongono una costante riflessione su strumenti, metodologie e garanzie procedurali.
Uno degli aspetti più critici è rappresentato dai tempi di analisi, spesso incompatibili con le esigenze investigative. La perquisizione di un dispositivo informatico, specialmente se dotato di grande capacità di archiviazione, richiede “oggi” processi di acquisizione e analisi approfonditi che possono estendersi per settimane o mesi (si pensi alle implicazioni legate a necessità di decrittazione dei dati).
Rammento, che l’estrazione di informazioni digitali, infatti, non si limita alla copia forense dei dati visibili, ma implica il recupero di dati cancellati, la decodifica di contenuti cifrati e l’analisi di metadati per ricostruire il contesto d’uso. Questo processo diventa particolarmente problematico nei casi in cui la tempestività dell’analisi sia essenziale, come nelle indagini su reati in corso, flagranti o su incombenti minacce di diversa natura (ordine pubblico, terroristiche, alla persona etc.).
Altro aspetto irrisolto e critico, attiene la fragilità / volatilità dei dati e le tecniche di cancellazione remota.
Molti dispositivi moderni sono progettati per eliminare automaticamente i dati in caso di accesso non autorizzato o per effetto di impostazioni di sicurezza avanzate, o altro[21]. Sistemi di crittografia end-to-end, meccanismi di auto-distruzione e funzionalità di wipe remoto rendono spesso molto difficoltosa, se non impossibile l’acquisizione completa di informazioni prima che esse vengano irreversibilmente rimosse. Tale circostanza evidenzia la necessità di strumenti investigativi e giuridici che permettano un intervento immediato, riducendo al minimo il rischio di perdita di prove rilevanti.
Ma non dobbiamo, poi sottovalutare, un’altra questione di particolare rilevanza, quella legata alla diffusione delle infrastrutture distribuite e al crescente utilizzo del cloud computing. I dati ormai si trovano “distribuiti” tra il dispositivo (sono memorizzati sullo stesso) ma potrebbero anche non essere fisicamente memorizzati al suo interno, ma distribuiti su server remoti sottoposti a giurisdizioni diverse. Ciò complica ulteriormente le perquisizioni, poiché la possibilità di accedere ai dati è spesso vincolata a normative transnazionali, accordi di cooperazione giudiziaria e politiche di accesso dei fornitori di servizi cloud. L’assenza di un quadro normativo unificato a livello globale comporta, di fatto, una frammentazione delle possibilità investigative, con il rischio che elementi probatori fondamentali restino inaccessibili o molto peggio posso tecnicamente essere “acquisiti” ma poi vengono invalidati giuridicamente.
Il bisogno di una revisione legislativa e un aggiornamento normativo
Affrontare le criticità già menzionate è tutt’altro che semplice e rapido, ritengo tuttavia che rammentare, riflettere, ricordare le stesse possa comunque richiamare gli operatori del diritto ad una rinnovata attenzione che quant’anche risolutiva possa temperare, attenuare, le stesse.
Affrontare tali criticità, richiede un aggiornamento normativo che tenga conto delle evoluzioni tecnologiche e garantisca al tempo stesso un equilibrio tra efficacia delle indagini e tutela dei diritti fondamentali, bilanciamento di atavica complessità e che ben sappiamo “altalenante” e legato quasi sempre ad “emergenze” che spostano l’ago della bilancia “giustizia” da una parte all’altra[22].
L’attuale quadro giuridico europeo, con il Regolamento Generale sulla Protezione dei Dati (GDPR), le normative NIS e la Direttiva sulla Cybercrime, forniscono tra le righe alcuni strumenti, ma la rapidità dell’innovazione digitale impone un costante adeguamento delle normative nazionali e sovranazionali che segnano spesso “il passo” dinanzi ad un’evoluzione che non si muove di pari passo.
Risulta allora “strategico e fondamentale” che la disciplina delle perquisizioni informatiche contempli strumenti operativi idonei a fronteggiare le nuove sfide emergenti, garantendo procedure standardizzate e protocolli di intervento chiari adeguati e “al passo” con un mondo che cambia in modo rapido e repentino.
In un tale contesto, connaturato da una rapida, nuova ed inarrestabile evoluzione, altrettanto rilevante è l’investimento in tecnologia e formazione. La polizia giudiziaria deve essere dotata di strumenti avanzati per l’analisi forense, capaci di velocizzare i processi di acquisizione e decodifica dei dati e parallelamente, è essenziale garantire ed assicurare una formazione continua a tutti agli operatori del settore, affinché possano padroneggiare le tecniche più avanzate e adattarsi rapidamente alle innovazioni.
Senza adeguate risorse tecnologiche, competenze specifiche, e nuovi strumenti legislativi , l’efficacia delle perquisizioni informatiche rischia di essere gravemente compromessa. Il legislatore “attento” dovrà confrontarsi con chi da tempo affronta quotidianamente queste criticità e difficoltà non affidandosi esclusivamente all’ultima “chiamata ai diritti”, nell’evidenza che una compressione dei diritti “alle indagini” significa una compressione verso i diritti di molti!
L’importanza della cooperazione internazionale
Anche la cooperazione internazionale costituisce un importante elemento chiave, in un mondo “iperconnesso” dove ormai il digitale pervade i nostri più intimi ambiti. Considerata la natura transnazionale della criminalità informatica e la distribuzione globale dei dati, è necessario rafforzare la collaborazione tra Stati, promuovendo accordi che facilitino l’accesso a dati ospitati nelle diverse giurisdizioni estere, evitando la creazione di altri “paradisi” che di certo non aiuteranno il contrasto a quel crimine ormai “transnazionale” che germina in uno Stato ma si espande più rapidamente di quanto pensiamo a molti, molti altri. L’armonizzazione delle normative, la creazione di canali di comunicazione rapidi e la definizione di protocolli condivisi per la gestione delle prove digitali sono passaggi ormai indispensabili per superare le barriere giurisdizionali che ostacolano le indagini.
Ultimo ma non ultimo, va sollecitato ed incrementato il progresso delle investigazioni digitali, che ormai non può prescindere dalla ricerca e sviluppo nel settore della digital forensics. L’incentivazione della ricerca accademica e industriale in ambito di acquisizione, analisi e protezione dei dati forensi rappresenta un fattore determinante per la creazione di nuove efficienti ed efficaci soluzioni investigative. Con particolare attenzione e cura verso la definizione di standard unificati e linee guida operative condivise, che permetterebbero di garantire un approccio sistematico e coerente nelle indagini, evitando discrepanze procedurali che potrebbero compromettere l’affidabilità delle prove raccolte.
Conclusioni
La sfida della perquisizione informatica completa e tempestiva rimane, dunque, un problema aperto che richiede un approccio multidimensionale e multidisciplinare. L’adeguamento normativo, il rafforzamento delle capacità tecnologiche, la cooperazione internazionale e l’investimento nella ricerca sono elementi “oggi” imprescindibili per colmare il divario tra le esigenze investigative e le complessità tecniche del mondo digitale.
Solo attraverso un’efficace “sinergia” tra questi fattori sarà possibile garantire indagini forensi rapide, affidabili, efficaci ed efficienti, ma soprattutto rispettose dei principi dello stato di diritto, ai quali nessuno intende rinunciare pur nella consapevolezza delle diverse e spesso confliggenti prerogative di investigazione e difesa. Ragioniamoci su!
Note
[1] https://www.normattiva.it/uri-res/N2Ls?urn:nir:stato:legge:2008-03-18;48!vig=
[2] https://newsmondo.it/nordio-sequestro-telefono-pm/politica/
[3] https://www.senato.it/leg/19/BGT/Schede/FascicoloSchedeDDL/ebook/57327.pdf
[4] Tra i diversi contributi, segnalo in particolare : S. Aterno, Modifiche la titolo III del terzo libro del codice di procedura penale, in G. Corasaniti, G. Corrias Lucente (a cura di), Cybercrime, responsabilità degli enti, prova digitale, CEDAM, 2008, pag. 206 e ss. ed anche G. Costabile, Scena criminis, documento informatico e formazione della prova penale, in Diritto dell’informatica, 2005, pag. 531 e ss.
[5] L. Lupària, Ratifica della Convenzione Cybercrime del Consiglio d’Europa, in Diritto Penale e Processo, 6, 2008, p. 697.
[6] https://www.ictsecuritymagazine.com/articoli/peculiarita-delle-perquisizioni-dirette-alla-ricerca-di-evidenze-informatiche-la-preview/
[7] Sez. 6 n. 53168 del 11/11/2016 Amores, Rv. 268489 – Sez. 6 n. 4857 del 14/11/2018 – 30/01/2019, Pres. Fidelbo.
[8] Una di queste o più in combinazione.
[9] Mi riferisco all’epoca in cui era ancora possibile in tempi “accettabili” procedere ad una copia forense/clone di un intero disco ossia quando i dischi da clonare/duplicare erano uno o due al massimo, di capacità non superiore ai 512 GB e i sistemi “Cloud” distribuiti non erano ancora così diffusi ed utilizzati. Insomma, gli “albori” della L.48/2008.
[10] Sulla differenza contenuto/contenitore con specifico riferimento al sequestro che ne consegue faccio rimando all’eccellente Monografia – Digital Forensics di Roberto Murenec – C3 Disciplina della prova elettronica a livello nazionale pag. 99 e ss. – Egaf editore.
[11] https://www.agendadigitale.eu/documenti/digital-forensic-quanti-problemi-con-la-copia-mezzo-come-fare/
[12] Cass.pen.Sez. VI, Sent., (ud. 12-11-2024) n. 1280 anno 2025 Pres. Villoni Orlando.
[13] Cass. pen. Sez. III, Sent., (ud. 04-07-2024) 03-10-2024, n. 36775 (eredità AGNELLI).
[14] https://www.agendadigitale.eu/documenti/giustizia-digitale/perquisizioni-e-sequestri-nel-cloud-i-problemi-tecnici-e-giuridici/ ed anche https://www.agendadigitale.eu/sicurezza/investigare-nel-mondo-digitale-le-sfide-delle-perquisizioni-online-e-cross-border/
[15] Anche … la copia forense viene imposta essenzialmente quale strumento che impedisca di “operare” sul dispositivo e dati in esso contenuti con il rischio di alterare o modificare gli stessi. Ovviamente questi principi ben fissi ed ormai assodati tendono a “segnare il passo” dinanzi a sistemi cloud distribuiti, main- server ed altri sistemi che per esempio per svariate ragioni non possono essere “congelati”.
[16] Dispositivi riferibili a reti “strategiche” es. ferrovie, aeroporti, porti etc.
[17] https://www.agendadigitale.eu/documenti/la-sfida-dei-dati-nella-digital-forensics-la-svolta-dellia-e-tutti-i-suoi-limiti/
[18] Es. : D.Lgs. 65/2018, attuazione della Direttiva NIS che richiede misure di sicurezza adeguate, tra cui la protezione dei dati tramite anonimizzazione o cifratura; ma anche il Regolamento Generale sulla Protezione dei Dati (GDPR) – Regolamento UE 2016/679.
[19] L’adozione di tecniche di crittografia sempre più sofisticate rappresenta una sfida fondamentale. Dispositivi protetti da algoritmi di crittografia avanzata, come l’AES a 256 bit, possono essere virtualmente impossibili da decriptare entro tempi accettabili, anche con risorse avanzate.
[20] Nel contesto delle perquisizioni informatiche, un’indagine è efficace se permette di acquisire tutte le prove necessarie per supportare il procedimento penale in radice a quel decreto. Tuttavia, può non essere efficiente se richiede mesi di analisi, bloccando risorse investigative che potrebbero essere utilizzate altrove, o è reso impossibile da una delle criticità che spero di aver ben evidenziato. L’obiettivo ideale è quindi combinare efficacia ed efficienza, ossia ottenere prove affidabili (efficacia) nel minor tempo e con il minor dispendio di risorse possibile (efficienza).
[21] https://www.macitynet.it/gli-iphone-in-attesa-di-analisi-forense-si-riavviano-complicando-le-indagini-delle-forze-dellordine/
[22] La teoria dell’emergenza è un principio giuridico e politico secondo cui, in situazioni eccezionali e straordinarie (come guerre, pandemie, crisi economiche o disastri naturali), l’equilibrio tra diritti fondamentali può essere temporaneamente modificato per garantire la sicurezza, la stabilità o il bene comune. In altre parole, il “peso” della bilancia tra tutela dei diritti e loro compressione può spostarsi, giustificando restrizioni che in tempi normali sarebbero considerate inaccettabili.
[1] https://www.normattiva.it/uri-res/N2Ls?urn:nir:stato:legge:2008-03-18;48!vig=
[2] https://newsmondo.it/nordio-sequestro-telefono-pm/politica/
[3] https://www.senato.it/leg/19/BGT/Schede/FascicoloSchedeDDL/ebook/57327.pdf
[4] Tra i diversi contributi, segnalo in particolare : S. Aterno, Modifiche la titolo III del terzo libro del codice di procedura penale, in G. Corasaniti, G. Corrias Lucente (a cura di), Cybercrime, responsabilità degli enti, prova digitale, CEDAM, 2008, pag. 206 e ss. ed anche G. Costabile, Scena criminis, documento informatico e formazione della prova penale, in Diritto dell’informatica, 2005, pag. 531 e ss.
[5] L. Lupària, Ratifica della Convenzione Cybercrime del Consiglio d’Europa, in Diritto Penale e Processo, 6, 2008, p. 697.
[6] https://www.ictsecuritymagazine.com/articoli/peculiarita-delle-perquisizioni-dirette-alla-ricerca-di-evidenze-informatiche-la-preview/
[7] Sez. 6 n. 53168 del 11/11/2016 Amores, Rv. 268489 – Sez. 6 n. 4857 del 14/11/2018 – 30/01/2019, Pres. Fidelbo.
[8] Una di queste o più in combinazione.
[9] Mi riferisco all’epoca in cui era ancora possibile in tempi “accettabili” procedere ad una copia forense/clone di un intero disco ossia quando i dischi da clonare/duplicare erano uno o due al massimo, di capacità non superiore ai 512 GB e i sistemi “Cloud” distribuiti non erano ancora così diffusi ed utilizzati. Insomma, gli “albori” della L.48/2008.
[10] Sulla differenza contenuto/contenitore con specifico riferimento al sequestro che ne consegue faccio rimando all’eccellente Monografia – Digital Forensics di Roberto Murenec – C3 Disciplina della prova elettronica a livello nazionale pag. 99 e ss. – Egaf editore.
[11] https://www.agendadigitale.eu/documenti/digital-forensic-quanti-problemi-con-la-copia-mezzo-come-fare/
[12] Cass.pen.Sez. VI, Sent., (ud. 12-11-2024) n. 1280 anno 2025 Pres. Villoni Orlando.
[13] Cass. pen. Sez. III, Sent., (ud. 04-07-2024) 03-10-2024, n. 36775 (eredità AGNELLI).
[14] https://www.agendadigitale.eu/documenti/giustizia-digitale/perquisizioni-e-sequestri-nel-cloud-i-problemi-tecnici-e-giuridici/ ed anche https://www.agendadigitale.eu/sicurezza/investigare-nel-mondo-digitale-le-sfide-delle-perquisizioni-online-e-cross-border/
[15] Anche … la copia forense viene imposta essenzialmente quale strumento che impedisca di “operare” sul dispositivo e dati in esso contenuti con il rischio di alterare o modificare gli stessi. Ovviamente questi principi ben fissi ed ormai assodati tendono a “segnare il passo” dinanzi a sistemi cloud distribuiti, main- server ed altri sistemi che per esempio per svariate ragioni non possono essere “congelati”.
[16] Dispositivi riferibili a reti “strategiche” es. ferrovie, aeroporti, porti etc.
[17] https://www.agendadigitale.eu/documenti/la-sfida-dei-dati-nella-digital-forensics-la-svolta-dellia-e-tutti-i-suoi-limiti/
[18] Es. : D.Lgs. 65/2018, attuazione della Direttiva NIS che richiede misure di sicurezza adeguate, tra cui la protezione dei dati tramite anonimizzazione o cifratura; ma anche il Regolamento Generale sulla Protezione dei Dati (GDPR) – Regolamento UE 2016/679.
[19] L’adozione di tecniche di crittografia sempre più sofisticate rappresenta una sfida fondamentale. Dispositivi protetti da algoritmi di crittografia avanzata, come l’AES a 256 bit, possono essere virtualmente impossibili da decriptare entro tempi accettabili, anche con risorse avanzate.
[20] Nel contesto delle perquisizioni informatiche, un’indagine è efficace se permette di acquisire tutte le prove necessarie per supportare il procedimento penale in radice a quel decreto. Tuttavia, può non essere efficiente se richiede mesi di analisi, bloccando risorse investigative che potrebbero essere utilizzate altrove, o è reso impossibile da una delle criticità che spero di aver ben evidenziato. L’obiettivo ideale è quindi combinare efficacia ed efficienza, ossia ottenere prove affidabili (efficacia) nel minor tempo e con il minor dispendio di risorse possibile (efficienza).
[21] https://www.macitynet.it/gli-iphone-in-attesa-di-analisi-forense-si-riavviano-complicando-le-indagini-delle-forze-dellordine/
[22] La teoria dell’emergenza è un principio giuridico e politico secondo cui, in situazioni eccezionali e straordinarie (come guerre, pandemie, crisi economiche o disastri naturali), l’equilibrio tra diritti fondamentali può essere temporaneamente modificato per garantire la sicurezza, la stabilità o il bene comune. In altre parole, il “peso” della bilancia tra tutela dei diritti e loro compressione può spostarsi, giustificando restrizioni che in tempi normali sarebbero considerate inaccettabili.
Esplora come l'AI impatta sulla sicurezza dati. Guida essenziale per la DPIA
