d) La c.d computer forensic.

In termini estremamente sintetici e generali, per computer forensics si intende “…quella scienza che studia il valore che un dato correlato a un sistema

informatico o telematico può avere in ambito giuridico, o legale che dir si voglia”133. Conseguentemente detta disciplina si occupa della preservazione, dell'identificazione, dello studio e della documentazione dei computer, o dei sistemi informativi in generale, al fine di evidenziare l’esistenza di prove nello svolgimento dell’attività investigativa. La sua vocazione naturale, quindi, è di presentarsi quale

132

Così, L. LUPARIA-G. ZICCARDI, Investigazione penale e tecnologia informatica, op. cit., p.147.

133

P. Perri, La computer forensics, in Manuale breve di informatica giuridica, a cura di G. Ziccardi, Milano, 2006.

vera e propria branca del sapere scientifico134 - e al tempo stesso giuridico - preordinata all'acquisizione, all'analisi ed all'esposizione in sede processuale (e con linguaggio giuridico) di ogni genere d'informazione “probatoria” memorizzata o trasmessa in formato binario (alias digitale).

Ciò che pertanto viene chiesto all’esperto di computer forensics (perito o consulente che sia) è di acquisire le prove senza alterare o modificare il sistema informatico su cui si trovano. Garantire quindi che le prove, acquisite su altro supporto “di massa”, siano identiche a quelle originarie; analizzare i dati avendo cura che l’attività di “discettamento“ (screening probatorio) non alteri, modifichi o corrompa le risultanze digitali utili ai fini probatori.

Per sua stessa definizione la computer forensics è una disciplina estremamente duttile e potenzialmente adattabile ad ogni ritrovato della tecnica che sfrutti, direttamente o indirettamente, le acquisizioni della tecnologia digitale per implementare il suo funzionamento: quindi innanzitutto elaboratori digitali, ma non soltanto: reti internet e router; dispositivi cellulari, PDA ed in generale ogni dispositivo a carattere “mobile”. Presenta quindi una geometria variabile, suscettibile di rifrangersi in molteplici sub categorie quanti sono gli apparati tecnologici di nuova generazione che vengono alla luce nel quadro dell’evoluzione, sempre crescente, delle tecnologie informatiche e digitali.

Più specificatamente, in ragione della sua fonte o ambito di applicazione essa, pertanto, si sostanzia nella network forensic – che ha ad oggetto i dati ricavabili dalle comunicazioni in rete – nella mobile forensic – che riguarda l’impiego dei dispositivi mobili – e nella digital forensic, riservata allo studio del dato digitale quale che ne sia la fonte.

Tale precisazione terminologica è essenziale in quanto consente di individuare i confini esterni della disciplina in trattazione, che si limita unicamente a considerare l’apprensione, l’analisi e la presentazione in giudizio dei dati digitali rinvenibili dalla fonte statica dell’elaboratore senza, peraltro, estendersi alla materia dinamica delle tecnologie di networking, aventi ad oggetto i dati ricavabili dalle comunicazioni in rete (che afferiscono specificatamente all’ambito applicativo delle intercettazioni telematiche ed informatiche disciplinate dall’art. 266 bis c.p.p.).

Come si è accennato in precedenza, il punto più delicato, tra tutte le questioni attinenti alla computer forensics, riguarda proprio la sua attagliabilità alle regole e alle esigenze peculiari del processo penale. Negli ultimi decenni, infatti, l’accertamento penale si è lentamente arricchito di inediti contenuti scientifici e di apporti tecnologici di sempre maggiore complessità ed incisività.

Peraltro, nell’ambito della nostra prassi giudiziale, solo con grave ritardo si è iniziato ad avvertire l’enorme e fortissimo impatto che il proliferare della c.d. scientific

evidence ha sortito sul processo penale; circostanza, quest’ultima, che ha addirittura

indotto ad interrogarsi circa il fatto se abbia ancora senso parlare della prova orale in termini di chiave di volta del processo accusatorio, allorché sempre più giudizi paiono

134

Nel 1992, la disciplina in parola venne battezzata come categoria autonoma nel noto saggio di Collier e Spaul apparso sul Journal of forensic science.

fondarsi su evidenze scientifiche formatesi prevalentemente nella prima fase del procedimento (quella appunto delle indagini preliminari) e che, veicolate nella scansione dibattimentale, riducono il “contraddittorio per la prova” ad un mero esercizio di dialettica su materiali non facilmente decifrabili e già “preconfezionati” in sede appunto di indagini preliminari135.

Le indagini informatiche prodromiche alla presentazione del dato digitale in giudizio, in particolare, si compongono di una prima fase, volta all’individuazione e

all’acquisizione materiale del dato, cui segue la seconda fase, finalizzata all’analisi del

dato in appositi laboratori informatici. Il punto centrale della fase acquisitiva è costituito, in ottemperanza alle guidelines operative vigenti in subiecta materia, dalla creazione di una copia-clone dei supporti formata mediante codici hash136. La tecnica hashing garantisce la conformità assoluta della copia all’originale, e, allo stesso tempo, consente agli operatori di manipolare i dati senza rischi di alterazione degli stessi. Tra l’altro, operando in tal modo, è possibile effettuare la clonazione dell’hard

disk senza che si renda necessario il sequestro del processore, che può pertanto

rimanere nella disponibilità dell’operatore.

Tali conclusioni parrebbero legittimare, a prima vista, l’inclusione delle operazione de

quibus nel novero dei rilievi ed accertamenti urgenti di p.g. ex art. 354 comma 2

c.p.p. Con lo specificare che l’operatore di p.g. deve limitarsi ad assicurare la conservazione e ad impedire l’alterazione dei sistemi informatici, provvedendo, ove possibile, “alla loro immediata duplicazione su adeguati supporti, mediante una

procedura che assicuri la conformità della copia all’originale e la sua immodificabilità”, in effetti, il legislatore parrebbe riferirsi proprio a tali attività.

Sennonché, come è stato acutamente rilevato in dottrina137, tali operazioni conservano sempre, in realtà, un margine intrinseco di rischio di alterazione dei dati, soprattutto ove si consideri che la creazione della copia clone (c.d. bitstream image) avviene mediante l’utilizzo di tools coperti da licenza, e, pertanto, retti da meccanismi di funzionamento non accessibili, e, pertanto, non verificabili, dal giudice

135

In questi termini Luparia, Processo penale e tecnologia informatica in Diritto dell’internet, n°3 del 2008, 221 ss.

136

Hash è un termine della lingua inglese (to hash sminuzzare, pasticciare). Gli algoritmi di hash, in particolare SHA1 e MD5, sono largamente utilizzati nell'ambito dell'informatica forense per validare e in qualche modo "firmare" digitalmente i dati acquisiti, tipicamente le copie forensi. La recente legislazione impone infatti una catena di custodia che permetta di preservare i reperti informatici da eventuali modifiche successive all'acquisizione: tramite i codici hash è possibile in ogni momento verificare che quanto repertato sia rimasto immutato nel tempo. Tratto dal sito: www.wikipedia.org: l’operazione di hashing serve, quindi, a generare una sorta di marchio digitale o impronta che contraddistingue univocamente il dato informatico e ne garantisce l’integrità; consiste nell’applicazione di un formula matematica (algoritmo del tipo “funzione di hash”) al supporto originale e alla copia: i valori dei due calcoli coincidono solo se vi è assoluta rispondenza tra l’originale e la copia.

Va peraltro segnalato che già da alcuni anni la piattaforma comunemente usata per il calcolo dell’hash, l’MD5, è stata dimostrata inaffidabile da un gruppo di scienziati cinesi per la possibilità di c.d. “collisioni”.

137

Così, L. LUPARIA, La ratifica della Convenzione Cybercrime del Consiglio d’Europa. Legge 18 marzo 2008, n. 48, in Dir. pen. proc., 2008, p. 720.

e dalle parti processuali in sede di presentazione138. In tale prospettiva, sarebbe stato preferibile ricorrere allo strumento degli accertamenti tecnici irripetibili al fine di garantire il diritto di difesa, e, soprattutto, di assicurare il contraddittorio fin dalla prima fase di trattamento del dato digitale139.

All’acquisizione della fonte di prova informatica mediante copia-clone, segue, come si diceva supra, la fase tecnica dell’analisi dei dati finalizzata al recupero delle informazioni rilevanti in sede processuale, anche mediante lettura di files cancellati o residuati nell’hard disk o l’analisi dei files di log che consentono di ricostruire sequenze di operazioni e di ricondurle ai loro autori. Anche in questa sede è di estrema importanza per la genuinità del risultato probatorio che gli operatori – i quali, in base alle guidelines operative, dovrebbero lavorare in laboratori certificati ISO – procedano mediante tools che preservino il dato da possibili alterazioni e garantiscano la riproducibilità delle operazioni mediante la registrazione di tutte le attività eseguite in un log o in un report (cd. Logging delle attvità)140. Si noti che la ripetibilità delle operazioni svolte è importante, nella prospettiva di una successiva relazione peritale da presentare in dibattimento, al fine consentire al giudice e alle parti la verifica di ogni step della chain custody.

Quanto all’ingresso della prova informatica in sede processuale, la caratteristica della ripetibilità delle operazione di analisi una volta realizzata la bitstream image condurrebbe a ritenere che, creato il disco clone con la procedura degli accertamenti irripetibili, sia possibile eseguire su di esso una serie di accertamenti ripetibili mediante la consulenza tecnica ex art. 359 c.p.p., in indagini preliminari, e la perizia in sede dibattimentale. In alternativa, è prospettabile la riconducibilità delle attività tecnica di clonazione del supporto e delle analisi in laboratorio nella cornice delineata dall’art. 360 c.p.p., con la duplice conseguenza del riconoscimento del diritto della difesa di sollecitare il ricorso alle forme dell’incidente probatorio141, e dell’inclusione dei risultati della prova informatica nel fascicolo dibattimentale.

Ad ogni modo, in base all’opinione prevalente, l’individuazione della perizia e della

consulenza tecnica – declinabile nella forma della consulenza endoperitale, quando si

inserisca nell’ambito di un accertamento peritale disposto dal giudice, ed

138

Per tale rilievo, L. LUPARIA-G. ZICCARDI, Investigazione penale e tecnologia informatica, cit., p. 153.

139

Ante riforma, la soluzione de qua era stata auspicata da S. ATERNO, Acquisizione e analisi della

prova informatica, cit., p. 68. Per una critica alle scelte legislative post riforma, si veda L. LUPARIA, La ratifica della Convenzione Cybercrime, cit., p. 720. Contro questa impostazione, peraltro, si schierano

recisamente numerose sentenze della Corte di Cassazione. Ex plurimiis, la Sent. del 2 aprile 2009 n. 14511 - Pres. Canzio - Rel. Cassano, in base alla quale “…non rientra nel novero degli atti irripetibili

l’attività di estrazione di copia di file da un computer oggetto di sequestro, dal momento che essa non comporta alcuna attività di carattere valutativo su base tecnico-scientifica, né determina alcuna alterazione dello stato delle cose, tale da recare pregiudizio alla genuinità del contributo conoscitivo nella prospettiva dibattimentale, essendo sempre comunque assicurata la riproducibilità d’informazioni identiche a quelle contenute nell’originale”.

140

L. LUPARIA-G. ZICCARDI, Investigazione penale e tecnologia informatica, cit., p. 153.

141

Nella prassi, tuttavia, la giurisprudenza di merito è orientata verso il diniego della domanda della difesa volta all’instaurazione dell’incidente probatorio. A tal proposito, si consideri che, a differenza della prova del Dna, il ricorso all’istituto de quo è ancorato alla sussistenza dei presupposti ordinari di ammissibilità. Sul punto, anche per i riferimenti giurisprudenziali, si vedano G. CASSANO-I. P. CIMINO, Diritto dell’internet e delle nuove tecnologie telematiche, Padova, 2009, p. 636.

extraperitale, se venga disposta in assenza di perizia – quali veicoli di ingresso nel processo penale della prova informatica, risponde all’esigenza di ricondurre le nuove tecniche di accertamento ai principi di oralità e del contraddittorio; principi che, nella formazione della prova, costituiscono l’asse portante di tutta l’architettura del sistema processuale.

Concludendo, si ponga infine mente sulla circostanza che la vera particolarità di tale fenomeno consiste non soltanto nella necessità di individuare nuovi istituti dogmatici cui affidare l’apprensione del dato digitale (cosa che si riscontra anche nell’ambito della fattispecie delle intercettazioni telematiche), ma altresì nella cernita e nella selezione delle strumentazioni più idonee (nella perenne evoluzione e perfezionamento delle stesse), al compimento di tali operazioni. Lo studio dell’accertamento informatico deve dunque necessariamente essere condotto su due distinti piani: quello della congruità dei nuovi mezzi di prova rispetto ai valori fondamentali dell’ordinamento giuridico e quello della idoneità delle singole attrezzature e dei singoli protocolli applicativi a garantire i diritti della difesa e l’attendibilità dell’accertamento penale. Sta in questa duplice prospettiva la difficoltà nell’affrontare un tema che, come detto, già di per sé possiede, specie in punto di esatta precisazione del concetto di “prova digitale”, una forte carica di nebulosità teorica.