Atti ripetibili e irripetibili nella digital forensics
Il problema della fragilità del reperto informatico, data l’estrema capacità di modificazione che lo connota, ha interessato i giuristi anche con riguardo al tema della ripetibilità o irripetibilità delle relative operazioni.
In particolare, ci si è chiesti se tali fasi siano assistite dalle tutele previste dall’art. 360 c.p.p. e debbano dunque essere considerate accertamenti irripetibili[1], con la necessità di ricorrere alle conseguenti garanzie procedurali, oppure se siano riconducibili all’art. 359 c.p.p. e quindi da considerarsi accertamenti ripetibili[2]. Ci si è domandati, insomma, se e quali attività debbano essere assistite dalle garanzie proprie degli atti irripetibili (e quali invece no).
Premesso che in determinate situazioni la scelta della modalità attuativa potrebbe essere influenzata dalla tipologia di supporto informatico attenzionato e in altre imposta da un’urgenza improrogabile, che non consentirebbe l’instaurazione del contraddittorio ex art 360 c.p.p., occorre evidenziare una prima distinzione che potrebbe delinearsi tra momento dell’estrazione in copia forense dal supporto originale (fase di acquisizione tout court) – dove la linea di demarcazione tra accertamento ripetibile e irripetibile è meno nitida – e momenti successivi all’estrazione della copia forense, con riguardo agli atti compiuti sulle copie stesse.
Per quanto riguarda questo secondo caso, non sembra esserci dubbio in merito alla ripetibilità delle operazioni: una volta cristallizzate le digital evidence è possibile creare molteplici “cloni da lavoro” direttamente dalla beat stream image stessa, dalla quale si potrà quindi partire per svolgere (e ripetere) tutti gli accertamenti successivi necessari al completamento delle investigazioni, così salvaguardando il supporto originale che potrà essere impiegato per attuare verifiche sulla sua integrità.
La questione diventa più intricata nel momento dell’estrazione della prima copia, che avviene – per l’appunto – direttamente dal supporto originale; momento in cui qualunque errore, anche involontario, potrebbe irrimediabilmente compromettere il contenuto digitale del sistema da acquisire, così falsando inevitabilmente l’acquisizione. Un momento, dunque, dove l’instaurazione del contraddittorio propria degli accertamenti tecnici irripetibili consentirebbe alla difesa di partecipare a tutela dell’indagato.
Esclusi dunque quei casi di assoluta urgenza, nei quali l’esigenza di procedere si paleserebbe improrogabile a causa di situazioni di rischio che non consentirebbero di dilazionare le operazioni in attesa della difesa, occorre capire se le forme contemplate dall’art. 359 c.p.p. siano idonee a salvaguardare la posizione della persona sottoposta alle indagini e, più in generale, il corretto andamento del processo.
Sul piano giuridico, si tratta di capire se l’acquisizione delle digital evidence rientri nella categoria degli “accertamenti tecnici”, cioè quelle operazioni che comportano un’opera di studio critico, valutazione o giudizio dei reperti; oppure se si tratti piuttosto di un’attività di mero “rilievo tecnico”, attinente la semplice individuazione, raccolta e acquisizione del materiale[3].
In proposito parte della dottrina, in ottica garantista e sul presupposto dell’inesistenza di una previsione che comporti l’inutilizzabilità del dato digitale ottenuto in violazione delle best practices, ha prospettato come soluzione migliore quella del ricorso alle procedure imposte dall’art. 360 c.p.p., annoverando l’acquisizione nella categoria degli accertamenti tecnici irripetibili[4].
Effettivamente, in tal maniera alla difesa sarebbe consentito di assistere alle procedure di estrazione: così, da un lato, si tutelerebbero quanto più possibile i diritti difensivi e, dall’altro, si imprimerebbe ai dati informatici acquisiti una certa attendibilità, conferita proprio dal contraddittorio instaurato tra le parti, eventualmente alla presenza di un consulente tecnico nominato dalla difesa[5].
Di impostazione diametralmente opposta, tuttavia, la giurisprudenza maggioritaria.
Per orientamento consolidato della Suprema Corte di Cassazione, infatti, la formazione del contraddittorio nel momento dell’estrazione della copia forense non è condizione essenziale per l’espletazione delle operazioni di digital forensics, giacché la creazione della bit stream image, qualora venisse fatto ricorso a metodi atti ad impedire alterazioni e danneggiamenti dei dati, deve essere ricompresa nella categoria dei semplici “rilievi”. Ciò poiché l’estrazione di dati digitali non presupporrebbe attività valutative o di giudizio critico, non ponendosi quindi problemi in relazione alla ripetibilità ex art. 359 c.p.p.[6].
In buona sostanza, «ciò che sposta il confine tra atto ripetibile e atto irripetibile è l’attenta acquisizione dei dati dal supporto originale e la possibilità di provare successivamente a livello scientifico che i dati della copia effettuata siano identici (in senso informatico) a quelli originali e che il supporto originale nel frattempo o durante le operazioni non sia stato modificato o alterato»[7].
Il quadro descritto, tuttavia, potrebbe assumere tratti di incertezza allorché da una parte la giurisprudenza ammette la ripetibilità dell’acquisizione della copia forense – a patto che sia stata ottenuta con procedure che tutelino l’integrità dei dati – mentre dall’altra parte, come visto con il caso Vierika, accetta di far pervenire all’attenzione del giudice elementi ottenuti in omissione del rispetto delle best practices internazionali richiamate dalla legge n. 48/2008. Nuovamente, quindi, si correrebbe il rischio di lasciare al giudice il compito di valutare un materiale probatorio che potrebbe essere frutto di una raccolta erronea, lasciando alla difesa l’onere di dover “smontare” un quadro accusatorio costituito da elementi informatici, già per loro natura estremamente fragili, acquisiti senza la sua partecipazione.
Questo articolo è stato estratto dal white paper “La Digital forensics nel processo penale” disponibile in maniera libera e gratuita al seguente link: https://www.ictsecuritymagazine.com/pubblicazioni/digital-forensics-nel-processo-penale/
Note
[1] Per accertamenti irripetibili si fa riferimento a quel tipo di accertamento da eseguire su «persone, cose o luoghi il cui stato è soggetto a modificazioni» (art. 360, co. 1, c.p.p.). Si tratta pertanto di quegli accertamenti che, sussistente un rischio concreto di modificazione, non consentono di essere rinviati ad altro momento, o che possono essere eseguiti una volta sola e che per poter essere espletati necessitano della messa in essere di dettagliate procedure poste a garanzia della difesa, prima fra tutte l’instaurazione del contraddittorio.
[2] Per accertamenti ripetibili ci si riferisce a quelle attività consistenti in «accertamenti, rilievi segnaletici, descrittivi o fotografici e ad ogni altra operazione tecnica per cui sono necessarie specifiche competenze tecniche…» (art. 359 c.p.p.) che possono essere ripetuti più volte e che pertanto non necessitano della formazione del contraddittorio per essere espletati.
[3] Una simile distinzione tra il concetto di accertamenti tecnici e rilievi tecnici è stata formulata dalla Suprema Corte già a partire dai primi periodi di vita dell’attuale codice di procedura penale, con un orientamento pressoché costante, anche con riferimento alla prova scientifica. Per una delle prime pronunce si veda Cass. Pen., Sez. I, n. 301 del 14 marzo 1990. Tra le altre, anche Cass. Pen., Sez. I, n. 239101 del 16 gennaio 2008 e Cass. Pen., Sez. IV, n. 637 del 14 aprile 2004.
[4] Tra le altre voci in tal senso si veda F. GIUNCHEDI, op. cit., pp. 828 e 829, dove il ricorso alla procedura dell’accertamento tecnico non ripetibile viene descritta come una via «precauzionale».
[5] Ibidem, dove ci si sofferma sul verbo “assistere” utilizzato dall’art. 360 c.p.p. e al significato da attribuirvi in sede di acquisizione. Per l’autore, in particolare, quando si procede ad acquisizione di dati digitali «Il punto è chiarire il significato da attribuire al verbo «assistere» ed in particolare se poterlo ritenere quale prologo al successivo diritto di formulare osservazioni e riserve. Se, infatti, lo si intende come attività di osservazione passiva, volta sul piano processuale a verificare la regolarità del compimento degli atti, è ovvio che il diritto di difesa risulta seriamente compromesso; diverso è il caso in cui l’accertamento tecnico ex art. 360 c.p.p. sia da assimilarsi per analogia alla perizia; qui il termine assistenza va letto in termini più ampi – di contraddittorio – e in correlazione logica con i diritti successivamente assicurati (partecipazione agli accertamenti, formulazione di osservazioni e riserve). L’art. 226, co. 2 c.p.p. prevede, infatti, un contraddittorio nella formulazione dei quesiti («Il giudice formula quindi i quesiti, sentiti il perito, i consulenti tecnici, il pubblico ministero e i difensori presenti»)».
[6] Fra le altre pronunce che aderiscono all’orientamento maggioritario si vedano Cass. Pen., Sez. I, n. 14511 del 5 marzo 2009; Cass. Pen., Sez. V, n. 11905 del 16 novembre 2011; Cass. Pen., Sez. I, n. 23035 del 30 aprile 2009. Più recentemente anche Cass. Pen., Sez. V, n. 8736 del 16 gennaio 2018 e Cass. Pen., Sez. VII, n. 11066 del 10 febbraio 2021 dove si legge che «i dati di carattere informatico contenuti in un computer rientrano tra le prove documentali e per l’estrazione di questi dati non occorre alcuna particolare garanzia; di conseguenza ogni documento acquisito liberamente ha valore di prova, anche se privo di certificazione; sarà poi il giudice a valutarne liberamente l’attendibilità».
[7] D. CURTOTTI, “Attività di acquisizione della digital evidence: ispezioni, perquisizioni e accertamenti tecnici”, in “Cyber forensics e indagini digitali Manuale tecnico-giuridico e casi pratici”, cit., p. 445, dove l’autrice, dopo aver analizzato la massima pronunciata da Cass. Pen., Sez. V, n. 11905 del 16 novembre 2011, elabora il passaggio su riportato a sua volta citando S. ATERNO, op. cit., pp. 775 e ss.
Articolo a cura di Francesco Lazzini
Laureato in giurisprudenza con successivo conseguimento dei master in Scienze Forensi (Criminologia-Investigazione-Security-Intelligence) e in Informatica giuridica, nuove tecnologie e diritto dell’informatica. Attività di studio postuniversitario focalizzata in materia di indagini con l’utilizzo del captatore informatico e digital forensics.