Conseguenze in caso di violazione delle best practices: la sentenza Vierika

Oltre a non aver disciplinato in dettaglio il processo di digital forensics ma avendo scelto, come visto, di lasciare libero ingresso nell’ordinamento alle c.d. best practices, il legislatore non si è nemmeno preoccupato di fare riferimento a conseguenze specifiche in caso di violazione delle medesime durante il trattamento del reperto informatico.

Infatti mancano, tra le novità apportate dalla legge del 2008, delle previsioni specifiche concernenti le conseguenze in caso di violazione delle misure tecniche cui il codice fa riferimento al fine di garantire la protezione e l’integrità delle digital evidence. Norme peraltro non rinvenibili nemmeno all’interno di interventi legislativi successivi.

Di conseguenza la dottrina, sin dal primo momento, si è posta il problema della validità processuale delle evidenze digitali trattate in violazione delle best practices comunemente accettate dalla comunità di settore. Nello specifico ci si è domandati quale potesse essere la sanzione da applicare nei confronti di elementi probatori ottenuti mediante “malpractices”.

Un primo filone di pensiero ipotizza, al riguardo, la sanzione giuridica della nullità a norma dell’art. 178, lett. c) c.p.p.^[1] in quanto l’impiego di evidenze estratte o conservate in difformità rispetto ai canoni standardizzati dalle “migliori procedure” arrecherebbe un grave pregiudizio alle garanzie difensive del soggetto sottoposto a processo.

Secondo una visione più “morbida”, in questi casi non andrebbero automaticamente applicate delle sanzioni processuali ma il giudizio sulla validità della prova informatica andrebbe lasciato all’apprezzamento dell’organo giudicante, in sede di valutazione della prova ex art. 192 c.p.p.^[2] Posizione nei confronti della quale è stata mossa la netta opposizione per cui, in caso di malpractices, il libero convincimento del giudice verrebbe influenzato da una raccolta probatoria eseguita non correttamente e che, dunque, sottoporrebbe al suo vaglio decisionale degli elementi probatori erronei^[3].

Un’ultima prospettiva dottrinale ha ravvisato nell’inutilizzabilità processuale ex art. 191 c.p.p. la sanzione maggiormente adeguata, giacché le modifiche apportate con l. 48/2008 non andrebbero considerate «mere indicazioni operative prive di alcuna sanzione, ma veri e propri divieti impliciti presidiati dalla sanzione dell’inutilizzabilità»^[4].

Di tutt’altro avviso la giurisprudenza, dove si è registrata una tendenza favorevole al riconoscimento della piena validità e utilizzabilità, “fino a prova contraria”, del dato informatico seppure ricavato con procedure che non collimano con quelle enunciate dagli standard internazionali.

Per chiarire meglio, secondo la giurisprudenza prevalente i dati acquisiti e conservati con l’utilizzo di metodologie non indicate in protocolli riconosciuti possono comunque avere una piena validità processuale, fintanto che non siano portati all’attenzione del giudice elementi idonei a dimostrare come dette procedure abbiano compromesso in qualche modo l’integrità della prova informatica. In buona sostanza, l’unico modo per inficiare il valore probatorio delle evidenze digitali sarebbe provare che le attività degli inquirenti, per come svoltesi, abbiano concretamente potuto alterare la genuinità del reperto digitale. Ovviamente, in questa visione prospettica, il compito di scovare eventuali falle nell’operato degli inquirenti spetterebbe alla difesa, la quale fisiologicamente interviene (quasi sempre) a operazioni già concluse.

Per la giurisprudenza, dunque, almeno in linea teorica, non sono gli organi inquirenti a dover dimostrare di aver agito correttamente seppure senza aver seguito le prassi indicate dalle best practices, bensì, mediante una sorta di inversione dell’onere della prova, spetta all’imputato, ex post, il compito di far emergere eventuali errori nell’operato dell’accusa, oppure direttamente al giudice medesimo in fase di valutazione della prova. Tali errori, peraltro, devono “concretamente” aver inciso negativamente sull’evidenza informatica, dovendosi palesare il rischio di una sua avvenuta adulterazione.

In tal senso appaiono emblematiche le pronunce relative alla vicenda processuale del noto caso Vierika, con riguardo sia al primo grado^[5] che al relativo appello^[6]: entrambe antecedenti (anche se di soli pochi giorni per la sentenza di appello) all’effettiva entrata in vigore della legge n. 48/2008 ma contenenti soluzioni giuridiche che hanno segnato un punto di riferimento per la giurisprudenza successiva.

Il caso in esame verteva sulle modalità con cui era stata condotta l’estrazione di dati informatici dai supporti interessati dall’indagine, in un procedimento penale concernente un’ipotesi di accesso abusivo a sistema informatico o telematico ex art. 615 ter c.p. e per danneggiamento di sistema informatico o telematico ex art. 615 quinquies c.p., mediante l’utilizzo di un virus informatico che sarebbe stato creato dall’imputato e denominato per l’appunto “Vierika”.

L’acquisizione dei dati era stata effettuata mediante estrazione di copia degli stessi, direttamente sul luogo ove i supporti erano ubicati, ad opera del soggetto indagato, sotto la sorveglianza degli operanti di polizia giudiziaria che avevano accordato tale modalità assecondando la richiesta dell’indagato.

È proprio sulla peculiarità di tale modalità procedurale che si fondavano le tesi difensive. Per la difesa, infatti, questa modalità non sarebbe stata tale da garantire la genuinità delle informazioni copiate e portate in dibattimento per sostenere gli assunti dell’accusa, trattandosi di una procedura connotata da spiccata singolarità, tale da lasciare dubbi sull’integrità dei dati acquisiti e svolta in assenza di un reale contraddittorio con gli esponenti della difesa. Veniva pertanto richiesto l’espletamento di ulteriori accertamenti peritali; richiesta disattesa dal giudice, che valutava il materiale probatorio così reperito come attendibile e pienamente utilizzabile.

In particolare, usando le parole della sentenza «non è compito di questo Tribunale determinare un protocollo relativo alle procedure informatiche forensi, ma semmai verificare se il metodo utilizzato dalla p.g. nel caso in esame abbia concretamente alterato alcuni dei dati ricercati».

Altrettanto significativo il passaggio in cui il magistrato, riferendosi alle affermazioni della difesa circa l’esistenza di procedure migliori rispetto a quelle adottate, chiariva che «non è permesso al Tribunale escludere a priori i risultati di una tecnica informatica utilizzata a fini forensi solo perché alcune fonti ritengono ve ne siano di più scientificamente corrette, in assenza della allegazione di fatti che suggeriscano che si possa essere astrattamente verificata nel caso concreto una qualsiasi forma di alterazione dei dati e senza che venga indicata la fase delle procedure durante la quale si ritiene essere avvenuta la possibile alterazione».

In estrema sintesi, stando alla pronuncia, in assenza della prova che i dati repertati abbiano subito effettivamente delle alterazioni i medesimi sono pienamente utilizzabili e devono essere lasciati alla valutazione del giudice, anche qualora il metodo di acquisizione adottato non sia stato tra i migliori.

In termini più generali, quindi, il materiale probatorio raccolto dagli inquirenti è da considerarsi valido anche in caso di discostamento dalle best practices, a meno che, in qualche modo, non si riesca a dimostrarne l’adulterazione. Ciò poiché il giudice è esclusivamente tenuto a verificare che durante l’acquisizione non si siano prodotte alterazioni, non dovendo invece sindacare sulla procedura materialmente adottata. Ragionamento che, per estensione, potrebbe essere applicato a tutte le fasi del processo di digital forensics.

La tesi accolta nel primo grado di giudizio veniva sostanzialmente accolta anche nel relativo appello, attivato su ricorso presentato dalla difesa, ove il collegio, oltre a rigettare la richiesta di nuova perizia e a pronunciarsi in senso favorevole alla corretta formazione del contraddittorio giacché «con l’accordo delle parti, sono state acquisite ex art. 493, c.3, c.p.p., e dichiarate utilizzabili per la decisione le annotazioni di polizia giudiziaria», ribadiva che «non è compito del giudicante determinare una sorta di protocollo delle procedure informatiche forensi, ma solo verificare se nella fattispecie l’acquisizione probatoria sia fidefaciente, o se abbia subito alterazioni».

Come anticipato, l’interpretazione fornita dalle pronunce relative al caso Vierika ha rappresentato un punto di riferimento anche per la giurisprudenza successiva.

Vista con sguardo critico tale posizione lascerebbe trasparire la non necessità, nello svolgimento delle varie fasi della digital forensics, di attenersi forzatamente alle pratiche migliori tracciate dagli standard internazionalmente riconosciuti, così riducendo la rilevanza delle best practices all’interno dell’ordinamento nazionale. Per altri versi, invece (come già paventato da parte della dottrina^[7]), si rischierebbe di far penetrare all’interno del giudizio degli elementi di prova che potrebbero essere frutto di una raccolta erronea, difficilmente verificabile e di conseguenza tale da poter influenzare il convincimento del giudice, anche in considerazione delle conoscenze tecniche, spesso aliene alle competenze di figure esterne al settore digitale, che servono per poter valutare il corretto svolgimento di procedure informatiche.

Questo articolo è stato estratto dal white paper “La Digital forensics nel processo penale” disponibile in maniera libera e gratuita al seguente link: https://www.ictsecuritymagazine.com/pubblicazioni/digital-forensics-nel-processo-penale/

Note

^[1] A. VITALE, “La nuova disciplina delle ispezioni e delle perquisizioni in ambiente informatico o telematico”, in Dir. Internet, 2008, p. 509, come citato in F. CAJANI, “Il vaglio dibattimentale della digital evidence”, in Archivio Penale, settembre-dicembre 2013, fasc. 3, anno LXV, pp. 838 e 839, dove l’autore osserva che la sanzione della nullità in una simile situazione sarebbe stata già propugnata prima dell’entrata in vigore della legge n. 48 del 2008 dal Tribunale di Vigevano in merito al caso Garlasco.

^[2] Si vedano M. DANIELE, op. cit., pp. 288 nonché ss., F. CAJANI, op. cit. e G. BRAGHÒ, “L’ispezione e la perquisizione di dati, informazioni e programmi informatici”, in L. LUPARIA, op. cit., p. 190, come citati in A. COLAIOCCO, op. cit., p. 3.

^[3] Si vedano L. MARAFIOTI, op. cit., p. 4517 nonché E. LORENZETTO, “Le attività urgenti di investigazione informatica e telematica”, in L. LUPARIA, op. cit., p. 162, come citati in A. COLAIOCCO, op. cit., p. 3.

^[4] M. PITTIRUTI, op. cit., p. 159 come citato in A. COLAIOCCO, op. cit., p. 4.

^[5] Tribunale di Bologna, Sent. n. 1823 del 22 dicembre 2005.

^[6] Corte di Appello di Bologna, Sent. n. 369 del 27 marzo 2008.

^[7] Si vedano L. MARAFIOTI, op. cit., p. 4517 e E. LORENZETTO, op. cit., p. 162, come citati in A. COLAIOCCO, op. cit., p. 3.

 

Articolo a cura di Francesco Lazzini