Il sequestro e l’acquisizione del sistema informatico e del dato digitale

Come si è già anticipato nel paragrafo introduttivo, la legge 48/2008 ha operato un vero e proprio rinnovamento dei classici strumenti di procedura penale, ossia il sequestro, la perquisizione, l’acquisizione, nonché ha introdotto anche obblighi accessori in capo all’autorità giudiziale nella forma della necessaria conservazione di questi beni giuridici.

Per quanto riguarda la materia delle ispezioni, all’art. 244 c.p.p., si è stabilita la possibilità di procedere a ispezioni informatiche attraverso il definitivo richiamo a strumenti informatici o telematici, nonché la contestuale adozione di particolari misure tecniche, finalizzate anche alla conservazione dei dati oggetto di ispezione.

Per quanto riguarda la perquisizione, si è operata un’importante modifica all’articolo 247 del c.p.p., attraverso l’introduzione del comma 1 bis, dedicato esclusivamente alla nuova perquisizione di questi nuovi strumenti informatici, stabilendo quindi la concreta possibilità di procedere, laddove vi sia la fondata ragione di ritenere la presenza, all’interno di sistemi informatici, di dati, informazioni o programmi ritenuti rilevanti per l’indagine stessa.

Con questo riadattamento delle già esistenti misure di ricerca della prova al nuovo contesto informatico, è ben visibile la finalità ultima del legislatore nazionale; infatti, si ritiene di fondamentale importanza la conservazione della “scena criminis informatica”54_,

incorporante tutte le possibili casistiche, sia in presenza di rinvenimento di sistemi informatici o telematici accesi o connessi alla rete internet, ovvero nell’ipotesi di ritrovamento di personal computer spenti, in quanto le ipotesi così individuate sono diverse, poiché in caso di rinvenimento del sistema informatico spento si procederà ad un semplice sequestro di sistema e, senza mai procedere all’accensione, ad accertamento

54 _{S. ATERNO, Digital Forensics (Investigazioni informatiche), Aggiornamento, Digesto Discipline Penalistiche,}

tecnico, ai sensi dell’art. 359 c.p.p., mentre in caso contrario occorrerà procedere ai sensi degli art. 247 e 244 c.p.p., in quanto si tratta di perquisizione informatica vera e propria.

Per quanto riguarda il sequestro, invece, nella sua caratteristica tipica di creazione di un vincolo di indisponibilità che si traduce concretamente in uno spossessamento coattivo del bene colpito, questo strumento viene arricchito dalle disposizioni riguardanti l’esigenza di conservazione dell’integrità non solo degli elementi di prova in formato digitale presenti, ma anche futuri, garantendo loro protezione da elementi esterni che potrebbero deteriorare il dato informatico stesso.

Il sequestro di un sistema informatico, invece, risente della nuova impostazione prevista dalla legge 48/2008, in cui si evidenzia la primazia del dato informatico sull’elemento fisico e a riprova di ciò si dispone infatti come oggetto di sequestro il dato informatico immagazzinato.

Al fine quindi della buona riuscita dell’indagine stessa occorre pertanto assicurare la genuinità del dato contenuto all’interno di esso e per questo motivo si è predisposta la possibilità di poter creare copie cloni del dato sequestrato. Tuttavia, è ormai presente la buona prassi investigativa di restituzione del materiale informatico copiato, mentre rimane in possesso dell’autorità giudiziale, e dunque sottoposto a conservazione, il dato originario. La possibilità di estrarre copia dei dati originari e di restituirli è materia in cui la giurisprudenza, nel corso del tempo, ha cominciato a delineare importanti punti fermi; a tal fine risulta importante la nota sentenza55 _{della Corte di Cassazione penale, la quale,}

deliberando a Sezioni Unite, dispone che in presenza di un sequestro di sistema informatico e contestuale creazione di copie dei dati inseriti all’interno di esso, è necessaria la restituzione non del dato originale ma della copia, in quanto si salvaguarda sia il diritto d’indagine che il diritto del soggetto a continuare a disporre dello strumento di lavoro, ovvero il documento sequestrato; invece, la possibilità di richiesta di riesame del sequestro mediante copia dell’originale, a parere della Corte, è da ritenersi inammissibile per sopravvenuta carenza d’interesse, poiché tale misura “non è configurabile neanche qualora l'autorità̀ giudiziaria disponga, all'atto della restituzione, l'estrazione di copia degli atti o documenti sequestrati, dal momento che il relativo provvedimento è autonomo

rispetto al decreto di sequestro, né è soggetto ad alcuna forma di gravame, stante il principio di tassatività̀ delle impugnazioni”56_.

La sentenza della Suprema Corte così riportata non risulta essere la prima pronuncia in materia; infatti la Corte di Cassazione si era già espressa in un’altra sentenza, anche se poco conosciuta, ossia la n. 384 del 19 giugno 2000, in cui si era affermato che la copia cartacea dei dati informatizzati non è oggetto di un vero e proprio sequestro, in quanto non si procede alla sottrazione dell’archivio materiale dei dati immagazzinati, ma ad una semplice estrazione dei dati contenuti, ai sensi dell’articolo 244, comma 1, c.p.p. e per questo motivo, in queste particolari casistiche, non è possibile configurare la restituzione delle copie cartacee in quanto non sono propriamente beni sottoposti a sequestro.

Tali posizioni giurisprudenziali sono state ampiamente criticate dalla dottrina57_{, in quanto}

in materia di impugnazione del trattamento della copia clone, si evidenzia la sussistenza di un concreto interesse da parte del proprietario dei dati così clonati, facendo perno proprio sull’attività di clonazione stessa, ritenuta quindi non solo una semplice conservazione di tracce informatiche, ma un vero e proprio sequestro di materiale conoscitivo e per questa ragione possono trovare applicazione le norme in materia di sequestro e quindi procedere al riesame a prescindere dalla reale caratteristica di clone.

Occorre però evidenziale che da tale posizione dottrinale, la stessa giurisprudenza58

sembra a volte aver preso spunto per le più recenti sentenze in materia, in cui si è ritenuto esistente l’interesse all’impugnazione del sequestro gravante sulla copia dell’hard disk del computer di un giornalista, non indagato nel procedimento, nonostante la loro restituzione, previa creazione di copie dei medesimi, in quanto presente l’interesse del richiedente al verificare che l’uso di tali copie sia effettuato nel rispetto dei limiti e termini imposti dalla legge.

Per quanto riguarda invece le metodologie di trattamento delle prove, occorre sottolineare l’inesistenza di standard per la conservazione di questi strumenti digitali, ma

56 _Ibidem

57 _{Per un attento approfondimento si veda in merito, S. CARNEVALE, “Copia e restituzione dei documenti}

informatici sequestrati: il problema dell’interesse ad impugnare”, in “Diritto e Procedura Penale”,2009, 472

si registra la presenza di strumenti, ovvero procedure consolidate mediante esperienza, in cui si prevedono più fasi di trattamento dello strumento informatico.

La prima fase riguarda la delicata individuazione del materiale d’interesse all’interno del sistema informatico, tenendo presente la particolare caratteristica del bene oggetto di trattamento, ossia la particolare suscettibilità del dato all’alterazione o modificazione, anche in fase di accensione del sistema informatico stesso.

Successivamente, subentra la fase acquisitiva attraverso l’estrapolazione e riproduzione, mediante idoneo supporto informatico, del dato oggetto d’indagine ed entrambe le attività devono essere svolte, laddove sia possibile, nel rispetto della piena garanzia d’integrità e non alterabilità del dato informatico; tale fase di acquisizione della prova informatica viene attuata mediante l’utilizzo di specifici software e hardware dedicati effettuando una bit

stream image, ossia una creazione dell’”immagine” del contenuto del sistema informatico

stesso; essa risulta una procedura diversa della semplice copia del dato informatico, in quanto si procede, mendiate una particolare analisi forense su un sistema praticamente identico, all’effettiva acquisizione del dato, senza però modificare in alcun modo il supporto informatico originario.

Una volta acquisiti mediante sequestro i sistemi informatici d’interesse, occorre successivamente individuare quali prove o informazioni, mediante un’attività di analisi forense, potendo anche ricercare i dati informatici cancellati dall’utente.

Occorre tenere presente che in fase di acquisizione delle prove informatiche sono comunque presenti non solo l’obbligo di adozione di adeguate misure di conservazione del dato informatico, ma anche l’utilizzo di ulteriori provvedimenti rivolti alla documentazione, validazione e infine interpretazione delle prove esistenti all’interno del sistema informatico oggetto di sequestro.

L’adozione di una corretta e precisa analisi forense risulta essere di fondamentale importanza in quanto tale strumento permette all’autorità giudiziaria di scansionare l’interno sistema, scovando anche dati apparentemente vuoti, ovvero nascosti dall’utente stesso.

In caso invece di acquisizione del dato informatico compromesso, ovvero non più integro in ogni sua parte, essa risulta essere assolutamente deleteria per l’indagine stessa, in quanto la prova così acquisita, in riferimento alla caratteristica di particolare volatilità del

dato, potrebbe risultare inattendibile e dunque il contenuto stesso potrebbe essere messo in discussione nelle adeguate sedi.

Per questo motivo è possibile ritenere l’integrità del dato informatico come il vero obbiettivo della conservazione, dedicando dunque massima cura alla stessa chain of

custody, nonché alla tipologia di custodia e di trasporto stesso, fisico o virtuale, del dato

d’interesse.

Prima di attuare operazioni tecniche sul dato così individuato, al fine di garantire l’assoluta integrità dell’intero sistema, viene utilizzato un software specifico per la creazione di un’impronta digitale dell’intero hardware per poter dunque contraddistinguere, in modo inequivocabile, la prova informatica immagazzinata attraverso un’operazione di certificazione, che, attraverso specifiche formule matematiche, garantisce la non alterazione del dato stesso; tale operazione di creazione di specifiche tracce viene definita hashing ed è uno strumento di importanza vitale all’interno del procedimento di acquisizione, in quanto è possibile evidenziare l’esistenza di successive modificazioni sul dato acquisito.

L’attività di hashing risulta indispensabile anche al fine di provare l’inattendibilità, in quanto, attraverso la creazione di una nuova copia del dato originale, è possibile confrontare la traccia con quella del dato copia originale e se i due algoritmi combaciano si avrà la prova, scientificamente rilevante, dell’attendibilità della copia originaria.

In materia si è pronunciata anche la giurisprudenza59_{, con la quale si è riconosciuta}

l’esperibilità della procedura di hashing, potendo quindi, in sede di legittimità, deliberare se l’attività della polizia giudiziaria risulti compatibile con i principi di conservazione dell’integrità del dato, riconosciuti in sede internazionale.

Ulteriore elemento di novità introdotto dalla legge del 48/2008 riguarda le modifiche introdotte al codice di rito relative alla richiesta di consegna di dati e programmi prevista all’art. 248 c.p.p., il quale prevede la possibilità di una semplice richiesta di consegna della prova individuata.

Attraverso l’aggiunta di un secondo comma, si prevede la possibilità, in capo alla polizia giudiziaria, laddove si individui una cosa determinata ai sensi del primo comma dell’art. 248 c.p.p., di procedere all’esame di quanto contenuto all’interno di banche dati di documenti,

atti nonché dati informatici e nel caso in cui il possessore della prova specificatamente individuata si rifiuti di consegnarla all’autorità richiedente, si dovrà procedere a normale perquisizione.

Tal previsione, come delineata dal primo comma dell’art. 248 c.p.p., è rimessa alla discrezionalità dell’autorità competente e risulta essere una misura meno intrusiva di una perquisizione e qualora la cosa venga consegnata l’autorità giudiziaria potrà procedere in due sensi, ossia rinunciare alla perquisizione, ritenendo quindi sufficiente il dato acquisito, ovvero procedere a perquisizione, ritenendola necessaria al fine di completezza dell’indagine svolta.

Per quanto riguarda invece il secondo comma dell’art. 248 c.p.p., il principio di fondo risulta piuttosto differente, in quanto si procede alla ricerca di documenti informatici, inseriti all’interno di banche dati, attraverso l’obbligo preventivo di richiesta di consegna da parte della stessa Autorità competente; infatti, non si lascia più libera discrezionalità all’autorità su quale strada percorrere, come invece accade nel primo comma, ma si richiede, quale requisito fondamentale per l’eventuale perquisizione, il rifiuto della società, ovvero del fornitore di servizi, alla richiesta di consegna.

Questa impostazione deriva direttamente dalla preoccupazione del legislatore nazionale della garanzia di riservatezza delle informazioni degli utenti contenute all’interno di queste banche dati.

Ulteriore elemento interessante della modifica, riguarda la mancata enunciazione di dati, informazioni o programmi informatici, all’interno della disposizione stessa, richiedendo quindi, al fine dell’attivazione della richiesta di consegna, la nozione di ricerca di “una cosa determinata”; tuttavia, non risulta facile stabilire se la mancanza della locuzione “dati, informazioni o programmi informatici” sia da considerarsi elemento di separazione fra i due commi presenti con la previsione della consegna di dati informatici solamente in applicazione del secondo comma, ovvero se tale differenziazione è posta al fine di tutelare la riservatezza del mondo delle banche dati. Quest’ultima tesi sembra essere quella preferibile, in quanto risulta ormai pacifica l’estensione dell’applicazione del primo comma anche ai dati informatici, essendo cose determinate.

2.8.2. Ispezione e perquisizione di sistemi informatici non sequestrabili e distinzione fra ispezione informatica e perquisizione informatica

Esiste all’interno della delicata materia del sequestro di sistemi telematici o informatici una duplice casistica che porta con sé particolari problemi, ossia la presenza, per quanto rara, sulla scena del crimine di computer accesi e funzionanti e dunque passabili di sequestro, nonché i casi nei quali si registra l’impossibilità di acquisizione del contenuto del sistema informatico dovuto soprattutto alle circostanze di fatto e di luogo, le quali non consentono il sequestro del dato e del supporto informatico, senza provocare un grave blocco del servizio pubblico, ovvero che sottende un interesse pubblico, come ad esempio succede nel campo della telefonia, oppure del servizio internet.

Questa tipologia di acquisizione di prove risulta essere forse la più complessa nel settore, soprattutto in relazione alla grande mole di dati o informazioni presenti all’interno di ciascun server, ovvero banche dati, sparsi fra diversi fornitori di servizi, i quali gestiscono ad esempio siti internet, posta elettronica e altre prestazioni informatiche; in più, accanto a tale difficoltà concreta nell’individuare il dato d’interesse, occorre tenere presente anche il fatto che, in fase di ricerca della prova, tali servizi non possono essere interrotti, a maggiore ragione se il dato informatico è in possesso di terze persone.

In questo caso, al fine di evitare importanti ritardi nell’indagine, l’autorità competente dovrà preliminarmente individuare cosa sequestrare e successivamente scegliere, nel minor tempo possibile, quali prove siano d’interesse per l’indagine, ovvero cosa scartare.

Per questo motivo l’oggetto della ricerca è collegato, ovviamente, alle particolarità del caso, ma tale elemento non rileva nel solo aspetto della ricerca del corpo del reato, bensì nella ricerca di altre tracce informatiche necessarie al fine del corretto svolgimento dell’investigazione stessa.

Per quanto riguarda le modalità di acquisizione, esse risultano essere diverse a seconda della ripetibilità o meno dell’atto stesso.

Occorre però preliminarmente considerare che una volta individuati i files d’interesse risulta necessario garantire anche per queste prove informatiche la conservazione dell’integrità. Quindi, non è possibile attuare una semplice operazione di salvataggio del dato d’interesse all’interno di un supporto informatico con il comando “salva con nome”, in quanto si comprometterebbero i metadati presenti all’interno del file e dunque la sua

integrità; per quanto riguarda invece l’attività di masterizzazione dell’intera cartella sono presenti in materia alcune pronunce giurisprudenziali; infatti, nella sentenza della Corte di Cassazione, Sezione Penale, n. 11503 del 25 febbraio 2009 si è ritenuto ammissibile l’utilizzo di strumenti di masterizzazione dei documenti presenti all’interno di un sistema informatico acceso, in quanto tale azione costituisce attività ripetibile.

Tuttavia, a tal pronuncia segue la sentenza sempre della Suprema Corte, Seconda Sezione penale, n. 1135 del 13 marzo 2009, la quale riguardava la richiesta da parte del Pubblico Ministero di sequestro presso fornitori di servizi informatici o telematici da parte del pubblico ministero, ex art. 254 c.p.p., in riferimento ai reati di furto d’identità, mal- trattamento dei dati personali e truffa informatica

Tal pronuncia deve essere presa in considerazione, ai fini di completezza, insieme ad un’altra sentenza del 2008 in cui si è affrontata principalmente tale problematica.

Quest’ultima pronuncia possiede una certa importanza, in quanto si afferma che ogni valutazione di ordine tecnico su dati o programmi informatici mediante attività di hashing, al fine di verificare l‘effettiva integrità delle prove così acquisite mediante masterizzazione dell’hard disk originale, risulta essere estranea al giudizio di legittimità, in quanto attinente alle modalità di esecuzione del sequestro e non prevedendo alcuna individuazione degli strumenti tecnici che devono essere adottati; infatti, si prevede semplicemente la necessità di salvaguardare l’integrità del dato così acquisito.

Tuttavia, la Corte di Cassazione in queste due sentenze ha purtroppo ritenuto a priori adeguati gli strumenti utilizzati dall’autorità giudiziaria, sebbene siano stati disattesi gli accorgimenti presenti negli artt. 241, comma 1 bis e 354, comma 2, c.p.p., in quanto entrambe le disposizioni prevedono l’adozione di misure dirette alla conservazione dei dati originali, per evitarne l’alterazione. Con la scelta operata dalla Corte di Cassazione di non pronunciarsi sulla mancanza della valutazione tecnica si è persa un’importante occasione al fine della precisa individuazione degli obblighi gravanti sul giudice ordinario al fine del rispetto delle misure di conservazione, ritenute come essenziali dalle disposizioni richiamate, in quanto risulta essere indubbia, in entrambi i casi di specie, l’assenza di modalità di conservazione dei files originali.

Anche se le disposizioni richiamate non prevedono precisamente le misure tecniche che devono essere adottate, esiste però una finalità ultima, ossia la conservazione e l’integrità del dato e la riproduzione di esso mediante masterizzazione, che a detta dei maggior

esperti del settore60_{, non risulta essere mezzo idoneo al fine di tutela degli accorgimenti}

previsti all’interno di entrambe le prescrizioni.

La legge 48/2008 ha introdotto, accanto al concetto di perquisizione informatica, il concetto d’ispezione informatica e tale misura risulta essere differente in alcune ed importanti sfumature rispetto alla misura della perquisizione informatica.

L’ispezione “tradizionale” consiste semplicemente in una sommaria percezione visiva di tutto ciò che risulta essere inerente all’indagine attuata attraverso una semplice rilevazione che può essere di tipo fotografico o descrittivo e tal misura può evolversi, laddove vengano soddisfatti determinati requisiti, in perquisizioni, ossia attività di ricerca attiva e apprensione dell’elemento ritenuto rilevante.

Una volta definito, per sommi capi, cosa deve essere inteso come ispezione è necessario successivamente porsi la domanda di come tale misura possa essere applicata all’interno della materia informatica.

Per poter meglio delineare tale attività è necessario partire da un esempio.

Poniamo il caso in cui degli ispettori, osservando un personal computer accesso, ipotizzino, grazie alla loro conoscenza tecnica, che su tale sistema è stato attuato un tipo di operazione informatica e che l’autorità competente sia interessata all’acquisizione del maggior numero possibile di informazioni, senza però ricorrere ad una effettiva perquisizione.

Potere operare sul computer acceso non risulta essere in linea con i principi di conservazione e integrità del dato, in quanto si potrebbe innescare tutta una serie di operazioni avverse ai principi individuati dall’art. 244, comma 1 bis, c.p.p. Per questo motivo gli ispettori dovrebbero limitarsi alla semplice osservazione del computer rimasto accesso e non procedere ad altre operazioni senza il mandato di perquisizione.

Tuttavia, ad una più attenta lettura dell’art. 244 c.p.p., si potrebbe obiettare che la misura prevista di ispezione informatica sembra essere qualcosa di più di un semplice “sguardo” indagatore sul contenuto del sistema informatico e così facendo si creerebbe una evidente sovrapposizione con la misura di perquisizione informatica. Per questo motivo è forse necessario ricercare un’ulteriore caratteristica di differenziazione fra i due istituti, ossia l’oggetto stesso della ricerca della prova; infatti, l’ispezione si rivolge ad un numero

imprecisato nonché indefinito di elementi presenti all’interno di un sistema informatico, mentre la perquisizione necessita di una precisa concretizzazione dell’oggetto contenuto in un personal computer, ovvero di un server.

In ultima istanza, avendo quindi presente tale decisiva caratteristica di differenziazione, l’ispezione informatica avviene mediante la semplice presa di visione di tracce del reato