Una volta analizzate le procedure tecnico – informatiche per la salvaguardia della genuinità del dato, occorre esaminare come queste pratiche di informatica forense incidano sui mezzi di ricerca della prova e quale sia la risposta dell’ordinamento alle problematiche che sorgono ogni qual volta subentra nella fase investigativa l’elemento digitale.
Dovuto è un accenno alle regole di giurisdizione e competenza; da tenere presente che l’immaterialità della rete consente di far sì che i dati incriminanti possano trovarsi ovunque, ad ovviare questa difficoltà investigativa vi è l’art. 51 c.p.p. novellato dalla L. 48/2008, dove il comma 3–quinquies dispone che la competenza della pubblica accusa è dell’ufficio del pubblico ministero presso il tribunale del capoluogo del distretto nel cui ambito ha sede il giudice competente. Questo nuovo comma introduce un accentramento della competenza presso l’Autorità giudiziaria meglio radicata sul territorio nazionale o internazionale, a seconda del tipo di reato e del luogo di commissione42. In ambito internazionale, per quanto attiene ai problemi di giurisdizione, va rimarcato che la Convenzione di Budapest prevede agli artt. 23 e ss. il sistema del “mutuo soccorso tra Stati membri” (in particolare vi sono disposizioni in materia di cooperazione, estradizione, conservazione e divulgazione dei dati di traffico o privati,
42 F.CASSIBBA, L’ampliamento delle attribuzioni del pubblico ministero distrettuale, in Sistema penale e criminalità informatica, in L.LUPARIA, (a cura di), Milano
accesso ai dati informatici presenti all’estero e intercettazioni telematiche): in buona sostanza fra gli Stati vi è un approccio unitario nella repressione della criminalità informatica43.
Venendo ai mezzi di ricerca della prova, secondo l’ordine del codice di rito, il primo fra essi nel sistema domestico, è quello dell’ispezione,art. 244.e ss. la L. 48/2008 lo ha modificato al secondo comma prescrivendo all’ultimo periodo che “l'Autorità giudiziaria può disporre rilievi segnaletici, descrittivi e fotografici e ogni altra operazione tecnica, anche in relazione a sistemi informatici o telematici, adottando misure tecniche dirette ad assicurare la conservazione dei dati originali e ad impedirne l’alterazione”. Questa disposizione sembrerebbe rimandare e conciliarsi con le tecniche di acquisizione della copia digitale conforme al dato analizzate nei paragrafi precedenti e questa previsione offrirebbe all’indagato la garanzia della non manipolazione dei dati44.
43 F.CERQUA, Il difficile equilibrio tra la protezione dei dati personali e le indagini
informatiche, in L.LUPARIA, (a cura di), Sistema penale e criminalità informatica, Milano 2009, 223.
Parte della dottrina45, però, ritiene che questa sia una norma processuale in bianco, poiché l’allusione alle tecniche di informatica forense sarebbero vagamente richiamate senza un preciso riferimento di disciplina: da ciò conseguirebbe che le indagini effettuate mediante ispezione (ma anche mediante perquisizione) sarebbero condotte in base alle conoscenze tecniche personali dell’investigatore digitale e quindi la prova che ne deriverebbe sarebbe da considerare quale prova scientifica46. Secondo la stessa dottrina47, il fatto che la norma non richiami espressamente una disciplina e che ci si affidi alle tecniche di digital forensics, non assicurerebbe l’inutilizzabilità dibattimentale, se queste non venissero adoperate correttamente, proprio perché il secondo comma dell’art. 244 c.p.p. non richiamerebbe esplicitamente alla nozione di inutilizzabilità dell’art. 191 c.p.p.. Tutt’al più, se manchevoli dell’utilizzazione di best practices, tali modilità di
45 G.BRAGHÒ, L’ispezione e la perquisizione dei dati, ifnormazioni, e dati informatici, in Sistema penale e criminalità informatica, L.LUPARIA (a cura di) Milano 2009,
189.
46 Contra, cfr. VACIAGO, nota 1, 647; NOVARIO, nota 6, 134. 47 BRAGHÒ, nota 46, 190.
acquisizione probatoria potranno essere considerate solo poco attendibili, con la conseguenza che da sole non saranno idonee a fondare un giudizio di colpevolezza. Anche altra dottrina48 ritiene che le prove ottenute difformemente dalle migliori pratiche di informatica forense siano da ritenersi tutt’al più poco attendibili e che sia onere della difesa provare la difformità della prova digitale raccolta.
Tuttavia si è dell’avviso che la tecnica legislativa dell’art. 244 c.p.p. sia volutamente ampia e senza particolari vincoli di disciplina, sia tecnica che normativa, posto che la scienza informatica è in continuo mutamento e che la relativa legge potrebbe risultare obsoleta nel giro di poco tempo, mentre le best practices, anche e soprattutto a livello internazionale, vengono affinate di continuo.
Identiche considerazioni si potrebbero fare per l’istituto delle perquisizioni, anch’esso modificato dalla L. 48/2008 con l’introduzione del comma 1-bis nell’art. 247 c.p.p.. Tale
48 F.M.GRIFANTINI, Commento sub art. 191, inG.CONSO,G.ILLUMINATI (a cura di), Commentario breve al codice di procedura penale, Padova 2015, 700-701.
mezzo di ricerca della prova è sicuramente più invasivo dell’ispezione, che si limita a una mera osservazione delle cose, nel caso di specie file, quindi ad una descrizione di quanto rinvenuto. Anche in questo caso la lettera della norma prescrive l’utilizzo di tecniche idonee alla conservazione del dato dove si pongono le stesse problematiche incontrate con l’ispezione. La differenza fondamentale tra ispezione e perquisizione dal punto di vista nella materia che ci occupa risiede nel fatto che con la perquisizione l’Autorità giudiziaria può superare qualunque protezione posta in essere dall’indagato quali password e crittografie49, cosa che non è possibile ottenere con la mera ispezione. Di regola tuttavia, nella prassi investigativa si utilizzano contestualmente questi mezzi di ricerca della prova data la funzionalità reciproca. Le cose rinvenute a seguito della perquisizione sono sottoposte a sequestro ai sensi dell’art. 252 c.p.p.. anche per il sequestro si pongono problemi interpretativi relativi alla digital forensics.
49 Cfr. VACIAGO, nota 1, 654-656.
Il sequestro probatorio, art. 253 c.p.p., come noto assicura lo spossessamento coattivo della cosa al fine di conservare immutate le caratteristiche dell’oggetto sequestrato per l’accertamento dei fatti.
Orbene, si pone il problema di capire se nel sequestro sia ricompreso anche il dispositivo contenente i file che si presumono traccia del reato. È stato più volte affermato a riguardo che i dati digitali si contraddistinguono per la loro immaterialità e quindi se oggetto del sequestro è la “cosa” nel senso di res si dovrebbe dedurre la non sequestrabilità del supporto dove i dati risiedono50; il problema verrebbe risolto
con l’ausilio delle attività di digital forensics, copiando dal dispositivo dell’indagato51,con i dovuti sistemi, i dati che si ritengono di dover ispezionare.
Se si ritiene però che il corpo del reato sia, ad esempio, anche il computer, a norma del 253 c.p.p. si procederà, con decreto
50 A.MONTI, La nuova disciplina del sequestro informatico, in L.LUPARIA (a cura di) Sistema penale e criminalità informatica, Milano 2009, 202-203.
51 S.VENTURINI, Sequestro probatorio e fornitori di servizi telematici, in L.LUPARIA (a cura di) Internet provider e giustizia penale, Milano 2012, 110-111.
motivato, che dovrà spiegare perché si è proceduto a sequestro materiale dell’elaboratore anziché acquisirne la sola copia forense, e dovranno essere rese esplicite le finalità probatorie.
Secondo la dottrina52,tutti i dati relativi alle e-mail, istant – messaging, account di varia natura e conversazioni mediante sistema VoIP, sono da ricomprendere nella disciplina degli artt. 254 e 254-bis, anche se nel caso delle comunicazioni VoIP i dati verranno analizzati in sede di intercettazioni telematiche. Dette informazioni sono detenute dagli internet service provider che, come spiegato nei paragrafi precedenti, dovranno esibire, secondo le normative di rito , i dati relativi al traffico.
Le problematiche digitali investono, ovviamente, anche la disciplina delle intercettazioni la cui ultima novella risale alla L. 547/1993 che introdusse l’art. 226-bis, secondo cui è
possibile intercettare il flusso di comunicazioni relativo a sistemi telematici o intercorrente tra più sistemi.
In merito, una delle problematiche più spinose, che verrà analizzata nel prossimo capitolo, è quella relativa all’uso del malware del Trojan, che ha suscitato non poche perplessità a seguito della decisione n. 26889/2016 delle Sezioni Unite della Suprema Corte53.
In conclusione, soprattutto per quanto riguarda la disciplina novellata dalla L. 48/2008, si è ritenuto che le formulazioni così aggiornate non aiutano a risolvere definitivamente i problemi di interpretazione e applicazione che sono emersi, lasciando così spazio alla giurisprudenza e alla prassi, nonché un raggio di manovra del pubblico ministero ritenuto troppo ampio e a scapito delle garanzie dell’indagato54.
53 V. nota 38, cap. 1.