Il sequestro dei dispositivi informatici e la copia forense dei dati in essi contenuti è argomento d’attenzione della riforma della giustizia con particolare riferimento alla tutela della privacy e della proprietà intellettuale dei dati (e dei dispositivi).
Giudici e legislatore pongono, dunque, attenzione al momento di selezione del materiale d’indagine, in particolare con riferimento alla continenza e proporzionalità nella relativa acquisizione e tempestività nella restituzione delle copie estratte.
Particolare attenzione, peraltro, andrebbe posta, per un verso, alla tecnicalità dell’acquisizione del materiale d’indagine, dunque, alle problematiche tecniche che l’acquisizione (quindi di estrazione di copia forense) comporta e per altro e strettamente connesso verso, alla valenza di mezzi di prova che e copie forensi assumono, argomenti di cui ci si propone di dare il seguito presente.
La copia forense: che cos’è?
Copia forense è tutto ciò che può essere oggetto di acquisizione, sotto forma di copia, mediante tecniche di informatica forense e costituito da informazioni (output) ottenute attraverso l’elaborazione di dati di un dispositivo elettronico a fronte di uno o più dati immessi. Un dispositivo elettronico è un calcolatore diviso in una parte destinata all’elaborazioni, denominata “processore”, ed una parte destinata all’archiviazione dei dati, denominata “memoria centrale”, quest’ultima contenente sia i programmi che forniscono al processore le informazioni necessarie alle sue operazioni sia i dati sui quali tali operazioni vengono svolte (modello semplificato di funzionamento detto di Von Neumann).
Alla “memoria centrale” viene affiancata una “memoria di massa” intesa come spazio di archiviazione destinata a raccogliere quantità di dati molto superiori rispetto alla memoria centrale e, soprattutto, ad archiviarli in maniera non volatile talché il materiale contenuto nella memoria di massa permane anche a fronte dello spegnimento del dispositivo stesso, al contrario di quello contenuto nella memoria centrale. Completano il quadro le c.d. periferiche di input/output (“Periferiche di I/O”) che consentono all’utente l’interazione con il calcolatore: monitor/display, tastiere, mouse, lettori CD/DVD, porte USB, etc..
L’acquisizione forense dei dati operata dall’informatico forense si concentra principalmente sui dati archiviati nella “memoria di massa”, ovvero su quel materiale digitale che pur essendo stato generato dalla rielaborazione del calcolatore permane in maniera non volatile indipendentemente dallo spegnimento/riavvio del dispositivo e può transitare da un elaboratore all’altro. Sino alla fine degli anni Novanta, i componenti descritti dall’architettura di Von Neumann erano presenti e ben separati fra loro nei sistemi digitali, tanto che era possibile sostituirne alcuni senza degradamento del sistema (si pensi ai vecchi computer Desktop), ma l’evoluzione tecnologica verso dispositivi sempre più “portable” (es. cellulari, tablet, ecc) ed ora addirittura “wearable” (smart-watch, AirTag, ecc) ha miniaturizzato la componentistica e ne ha imposto spesso la fusione, complicando il quadro tecnico delle operazioni di informatica forense.
Per inciso, la copia forense si caratterizza per l’attitudine a offrire al giudice risultanze probatorie direttamente utilizzabili in sede di decisione, e costituisce, dunque, un mezzo di prova, argomento di cui si darà seguito di riscontro nel capitolo successivo.
L’importanza dell’impronta di HASH nel processo di acquisizione dei dati
L’elemento che garantisce la ripetibilità degli accertamenti eseguiti è rappresentato dall’impronta di HASH delle c.d. immagini forensi acquisite, da computarsi nella sequenza di seguito elencata:
- impronta di HASH della memoria da acquisire prima dell’operazione di copia per stabilire il punto di partenza;
- impronta di HASH della memoria da acquisire dopo l’esecuzione della copia e confronto con la prima, per garantire di non aver alterato la sorgente;
- impronta di HASH dell’immagine forense ottenuta e confronto con le prime due, per garantire di aver correttamente acquisito il dato tecnico.
La verifica di corrispondenza delle impronte suddette e la loro espressa indicazione nei verbali degli operatori che hanno eseguito l’accertamento tecnico informatico garantiscono la ripetibilità dell’accertamento medesimo, consentendo peraltro all’organo inquirente di restituire i dispositivi ai legittimi proprietari, quando questi non costituiscano corpo di reato (si pensi ai reati di pedopornografia).
Tutto quanto sopra descritto è certamente eseguibile inaudita altera parte per tutti quei dispositivi che contengano memorie di massa accessibili senza interazione con il sistema operativo; laddove, in caso contrario, si sia in presenza di memorie alle quali è possibile accedere solo attraverso l’interazione con il sistema operativo del dispositivo, le operazioni peritali potrebbero richiedere il contraddittorio delle parti per l’esecuzione dell’accertamento tecnico ai fini dell’estrazione dei contenuti digitali. L’importante è che sia garantita l’inalterabilità, l’originalità e la genuinità dei dati di cui poi bisognerà servirsi ai fini del procedimento penale.
La copia forense come mezzo di prova nel procedimento penale
Proposta questa doverosa introduzione, occorre sviluppare l’inciso, già proposto, che la copia forense, in quanto caratterizzata dall’attitudine a offrire al giudice risultanze probatorie direttamente utilizzabili in sede di decisione, è un mezzo di prova. Rilevi, a proposito, la distinzione tra il mezzo di prova e il mezzo di ricerca della prova la cui differenza può tradursi nella distinzione tra prove formate nel processo e prove precostituite. Si aggiunga poi che, fatta eccezione per le prove non ripetibili in sede dibattimentale, la prova è unicamente quella assunta nel contradditorio delle parti.
Al fine di garantire la genuinità e l’integrità del dato, per essere “forense” la copia dei dati digitali deve corrispondere all’acquisizione integrale a-critica del materiale digitale oggetto delle operazioni tecniche per poi procedere successivamente all’indicizzazione dei contenuti ed alla creazione degli ambienti di consultazione eventualmente anche parziali se utile ai fini del procedimento penale, in quanto consentono di selezionare solo quegli elementi ritenuti rilevanti ai fini del quesito posto dall’autorità giudiziaria. In ossequio al principio secondo il quale la prova si forma nel dibattimento, tuttavia, l’obiettivo da perseguire dal punto di vista tecnico è che, una volta acquisita la totalità dei dati digitali, le attività di indicizzazione e creazione degli ambienti di consultazione siano ripetibili e verificabili nel contraddittorio delle parti, motivo per cui il trattenimento della “copia mezzo” non può essere un’opzione ma deve essere un obbligo con tutte le tutele che ne conseguono.
Differenze tra “copia mezzo” e “copia fine” e la loro rilevanza nel processo giudiziario
È detta “copia mezzo” la copia integrale non selettiva acritica, veicolo di tutti i contenuti digitali provenienti da una memoria di massa. È strumento per un fine la cosiddetta “copia fine”, che rappresenta una selezione di dati peculiarmente estratti dalla “copia mezzo”, appunto, ai fini delle indagini. Rilevi, a proposito, il dettato dell’art. 358 c.p.p., che impone a colui che le indagini svolge, il Pubblico Ministero, di compiere ogni attività necessaria per le determinazioni inerenti all’esercizio dell’azione penale e di svolgere “altresì, accertamenti sui fatti e circostanze a favore della persona sottoposta alle indagini”ossia, si potrebbe riassumere, a carico del Pubblico Ministero un onere di imparzialità nell’acquisizione dei dati oggetto d’indagine.
A proposito di tale distinzione si dica che è la sola “copia-mezzo” l’unica ad essere realizzata nel rispetto delle garanzie dettate dalla L.48/2008, garanzie previste per la genuinità del dato e della sua immodificabilità durante le operazioni di analisi (c.d. catena di custodia e impronta di HASH). Posto che l’acquisizione del dato informatico rappresenta un “mezzo di prova” (art. 254 bis c.p.p.) e che la prova si forma nel contraddittorio delle parti, destano perplessità alcuni pronunciamenti della Corte di Cassazione (Cass. Sez. VI, 02 dicembre 2020, in CED Cass., n. 34265; Cass. Sez. VI, 15 febbraio 2024 sent. 17312/24) che paiono assumere l’incapacità di custodire le prove digitali da parte degli Uffici preposti quale argomento per giustificare l’acquisizione al dibattimento della sola “copie fine”, ossia una selezione di documenti digitali operata senza contradditorio, a garanzia della tutela dei dati sensibili di cui sono inevitabilmente contenitori. Così la restituzione della “copia mezzo”, che la Suprema Corte statuisce, pare occasione di violazione del principio del contradditorio indotta proprio dal consolidarsi nella “copia fine” dei dati mezzo di prova raccolti, selezionati senza contradditorio.
Ebbene, una selezione così determinata del mezzo di prova lo priva della sua matrice originaria, matrice (“copia mezzo”) che, restituita al soggetto titolare dello strumento informatico da cui è stata acquisita, sfugge alla verifica del soggetto nei cui confronti venga poi utilizzata (non è detto, infatti, che il proprietario del reperto in sequestro e l’indagato corrispondano alla medesima persona) per trarre risultanze probatorie direttamente utilizzabili in sede di decisione.
Tale matrice, si ribadisce, costituisce l’unico “documento digitale” che contiene tutti i dati cristallizzati secondo le regole operative della l. 48/2008 attraverso, fra gli altri, il calcolo dell’impronta di HASH non solo dell’immagine forense già acquisita bensì direttamente del dato originale, a garanzia della genuinità del materiale acquisito. In una simile circostanza, ossia qualora si rinunciasse a mantenere la “copia mezzo” e quindi il dato originale (nella sua interezza, sotto forma di copia-clone), potrebbe capitare, ad esempio in caso di coimputati, che le prove digitali a carico di Tizio vengano reperite sul dispositivo di Caio e se così fosse, nel caso in cui la copia-mezzo sia restituita a Caio o peggio distrutta, la difesa di Tizio non potrebbe esercitare alcun controllo sulla genuinità ed integrità del dato estrapolato dal dispositivo di Caio né tantomeno ricercare elementi utili alla propria linea difensiva semplicemente perché il dato originale (cfr. la copia-mezzo) sarebbe al di fuori della sua disponibilità (appunto restituito a Tizio o peggio distrutto).
Come la giurisprudenza attuale gestisce l’acquisizione dei dati digitali
In considerazione di quelle che sono le caratteristiche tecniche del dato digitale, la stessa Corte (Cass. Sez. VI, 02 dicembre 2020, in CED Cass., n. 34265, p. 12.; Cass. Sez. VI, 15 febbraio 2024 sent. 17312/24) sembra porsi il problema di arginare l’uso indiscriminato delle garanzie cui sottopone l’acquisizione ed il trattenimento dei dati digitali a fini probatori e lo fa consentendo al Pubblico Ministero di opporsi alla restituzione, a patto che motivi la propria richiesta indicando le ragioni della propria opposizione. Peraltro, sarebbe opportuno che la Suprema Corte non si limitasse a sottolineare l’asimmetria strutturale dell’acquisizione dei dati digitali rispetto alla notizia di reato ed al ruolo avuto dagli indagati in quell’ambito ma che individuasse, dato il consolidamento di tale orientamento giurisprudenziale financo a determinare lo stesso orientamento legislativo del parlamento, quali garanzie tecniche e giuridiche siano da applicare alla selezione dei dati digitali ossia della cosiddetta “copia-fine”, in modo da consentire a tutte le parti del procedimento l’esercizio del diritto alla formazione in contradditorio della prova poiché, a giudizio di chi scrive, francamente nel tentativo di garantire la privacy si rischia invece di comprimere fortemente il diritto di difesa a danno non solo della persona offesa ma dello stesso (co-)indagato.
Se la prova digitale diventa dirimente e riduce i tempi processuali, quale soluzione percorrere?
La giurisprudenza e la normativa che ne sta discendendo sembrano proprio voler limitare l’attività di indagine del Pubblico Ministero rispetto all’acquisizione delle prove digitali e lo fanno imponendo al magistrato l’onere di motivare puntualmente e dettagliatamente le ragioni che sottendono la necessità di sequestrare i dispositivi informatici che si ritengano utili ai fini dell’attività investigativa, imponendo l’acquisizione o almeno la conservazione nel fascicolo solo dei dati che è strettamente necessario trattenere ai fini del capo d’accusa e disponendo rapidamente non solo la restituzione dei dispositivi suddetti ma anche della copia integrale dei dati estratti (cosiddetta “copia mezzo”) .
Innegabile, peraltro, è che l’acquisizione di copie forensi è un importante strumento per l’esercizio dell’azione penale, tanto legittimo quanto più rispettoso dell’esercizio di un’azione penale ispirata, così com’è, dal legislatore al giusto processo.
Ciò si dica, in maniera trasversale ai ruoli, dunque, nell’interesse di quel principio che vuole la giustizia penale ispirata, sin dal momento della determinazione inerente all’esercizio dell’azione penale, al compimento di ogni attività che sia necessaria all’accertamento o meno della sussistenza del fatto di reato.
Non definisce, la legislazione imminente e neppure la giurisprudenza consolidata, quali debbano essere i criteri di estrazione dei dati “strettamente necessari” con il rischio di ridurre l’art. 358 c.p.p. c. 2 succitato ad una mera dichiarazione programmatica che non potrà mai essere verificata nei fatti, con buona pace del diritto di difesa del/gli stesso/i indagati i quali dovranno eventualmente rielaborare ciascuno per se e limitatamente ai propri dispositivi i dati digitali integrali, con tutte le criticità derivanti dalla volatilità di tali dati e dovendo anche supportare la strategia difensiva adottata. Viene meno anche per le parti offese la possibilità eventuale di accertare ulteriori elementi a loro favore, non potendo accedere all’integralità dei dati ma dovendo “prendere per buona” e genuina la disanima operata dal Pubblico Ministero e dagli eventuali consulenti di quest’ultimo. Inoltre, se l’analisi e l’estrazione dei dati “strettamente necessari” viene fatta dalla polizia giudiziaria e non sempre da personale specializzato nel settore informatico-forense, che per sua natura è altamente specialistico oltreché trasversale ed interdisciplinare, non è detto che siano stati estratti tutti i dati tecnici poi necessari al dibattimento: si pensi, a titolo di esempio, ai dati provenienti da applicazioni non indicizzate dai software di forensics e che necessitano di particolari competenze tecnico-scientifiche per essere efficacemente resi utilizzabili nel processo e atti a validare gli elementi probatori. Tutte questi elementi non saranno mai più recuperabili né eventualmente verificabili in sede di dibattimento o comunque una volta restituita la “copia mezzo” o copia integrale (che dir si voglia) unitamente al dispositivo di estrazione originale. Se poi dall’analisi dei dati dovessero emergere altri reati (esempio: stupro di gruppo con morte occultata della vittima), questi non sarebbero perseguibili in quanto chi estrae i dati dai dispositivi dovrà limitarsi a quelli pertinenti al reato per cui si procede e per il quale il P.M. ha preventivamente definito e motivato i criteri di selezione.
Se poi la ratio di tutte queste cautele che si vuole adottare è quello di tutelare la pluralità di dati e di soggetti che con quei dati interagiscono al di là delle parti processuali, va da sé che occorre discernere tra la necessità di garantire il “giusto processo” al reo e alla persona offesa, indiscutibilmente facilitato dalla prova digitale spesso dirimente, e la più che legittima pretesa di tutti gli altri terzi che nel processo rischiano di entrare a loro insaputa e loro malgrado. Non solo: se dall’esame dei dati digitali dovessero emergere altri delitti magari anche ben più gravi rispetto all’ipotesi accusatoria principale, come nell’esempio qui sopra, è davvero accettabile limitare e circoscrivere l’obbligo dell’azione penale propria del Pubblico Ministero in spregio a quanto disposto dalla Costituzione stessa (artt. 112 e 132 Cost.), imponendogli di non estendere la propria attività di indagine perché per quel capo di imputazione il soggetto non è stato precedentemente iscritto nel registro degli indagati?
Conclusioni
Forse è opportuno fare qualche riflessione tecnico-giuridica più approfondita anche analizzando l’esperienza derivata da casi d’uso reali quali ad esempio i grandi processi, soprattutto quelli mediatici, dove l’esposizione pubblica a-critica dei dati digitali ha effettivamente rischiato di “tunnellizzare” l’attività di indagine col rischio ben peggiore di condizionare il “libero convincimento” del giudice di merito. La soluzione deve essere condivisa e contemperare il più che legittimo diritto alla privacy senza però privare il processo penale di un sussidio indispensabile e spesso dirimente come quello che la prova digitale è in grado di fornire.