Com’è stato detto nel paragrafo precedente, il concetto di sistema informatico e telematico, in ordine agli istituti giuridici rappresentati dalla ispezione e dalla perquisizione, è stato introdotto dalla legge 18 marzo 2008, n.48. In precedenza l’Autorità giudiziaria, vista la particolarità del bene oggetto d’ispezione e perquisizione, ricorreva a questi istituti attraverso un’interpretazione, a volte estensiva e a volte analogica, delle norme codicistiche che li regolavano. L’attuale normativa distingue l’oggetto dell’ispezione informatica da quello della perquisizione informatica. Infatti, oggetto del primo è un sistema informatico o telematico, mentre oggetto del secondo sono i dati, le informazioni o i programmi, come recita l’art. 247 comma 1 bis c.p.p.. Tale caratteristica appare chiara se ci si sofferma sul fatto che, in caso d’ispezione, l’investigatore osserva, senza necessariamente acquisire alcunché; egli accerta solo l’esistenza, all’interno di un sistema, di dati, informazioni e programmi. Va ricordato che l’ispezione differisce dalla perquisizione in quanto solo quest’ultima è finalizzata alla apprensione del corpo del reato e delle cose ad esso pertinenti293. Di qui appare importante, in tema d’ispezione, stabilire cosa s’intenda per sistema informatico e telematico. Le prime definizioni si rinvengono nei lavori preparatori e nella relazione che accompagna la legge 23 dicembre 1993 n.547294, dove si definisce
293 Nella pratica si riscontra, spesso, un’utilizzazione investigativa progressiva di questi
istituti: s’inizia con l’ispezione, si prosegue con la perquisizione e si conclude con il sequestro probatorio del corpo del reato o degli oggetti ad esso pertinenti.
sistema informatico quello costituito in qualunque modo e dimensione, comprendendo, così, sia i sistemi di scrittura e automazione d’ufficio sia i sistemi complessi di elaborazione dati, idonei a fornire servizi ad un numero rilevante di utenti; nello stesso modo si definisce sistema telematico, non solo quello che serve a collegare più computers ma anche le reti di telecomunicazioni nazionali o internazionali pubbliche o private. Anche la giurisprudenza295, prima della legge n.48/ 2008, aveva dato una definizione di sistema informatico molto generica, lasciando sostanzialmente alla valutazione dei giudici di merito l’individuazione delle tecnologie ed apparecchiature da ricomprendervi, ritenendo tale valutazione alla stregua di un giudizio di fatto insindacabile in Cassazione, se sorretto da motivazione adeguata e immune da errori logici. Di conseguenza, è chiaro che, in tema di perquisizione telematica, se le informazioni e tracce pertinenti al reato siano contenute in un sistema informatico o telematico come sopra definito, la stessa potrà aver luogo ai sensi dell’art. 247, comma 1 bis c.p.p.. E qui il legislatore del 2008 ha imposto sia per l’ispezione che per la perquisizione, un comportamento obbligatorio per gli organi investigativi, e precisamente quello di adottare tutte le misure tecniche idonee per la conservazione dei dati originali al
295 Cass. pen, sez. VI, 4 ottobre 1999, n. 3067, in C.E.D. n. 214945, secondo cui: deve
ritenersi sistema informatico, secondo la ricorrente espressione utilizzata nella legge 23 dicembre 1993 n. 547, che ha introdotto nel codice penale i cosidetti computer’s crimes, un complesso di apparecchiature destinate a compiere una qualsiasi funzione utile all’uomo, attraverso l’utilizzazione di tecnologie informatiche, che sono caratterizzate, per mezzo di un attività di codificazione e decodificazione, dalla registrazione o memorizzazione, per mezzo d’impulsi elettronici, su supporti adeguati, di “dati”, cioè di rappresentazioni elementari di un fatto, effettuato attraverso simboli (bit), in combinazioni diverse, e dalla elaborazione automatica di tali dati, in modo da generare informazioni, costituite da un insieme più o meno vasto da dati organizzati secondo una logica che consenta loro di esprimere un particolare significato per l’utente .
fine di impedirne l’alterazione. Il tutto, chiaramente, in funzione di garanzia preventiva in caso di successivo sequestro probatorio, per preservare l’autenticità delle fonti di prova ed il corretto orientamento del giudicante, elementi essenziali, soprattutto, quando viene disposta l’ acquisizione degli oggetti informatici (sequestro).
Sembra opportuno rilevare comunque una difformità di trattamento normativo riservato dal legislatore del 2008 agli istituti dell’ispezione e della perquisizione informatica. Infatti, in tema di perquisizione, l’art. 247, comma 1 bis c.p.p., con il riferimento al sistema informatico o telematico “ancorché protetto da misure di sicurezza” , autorizza gli organi investigativi ad eliminare le barriere informatiche che ostacolerebbero una corretta esecuzione della perquisizione, né più né meno di ciò che avviene nelle perquisizioni di luoghi dove l’autorizzazione della autorità giudiziaria consente alla polizia giudiziaria di abbattere gli ostacoli fissi. L’art. 244 c.p.p., come novellato dalla legge 48/2008 non contiene la predetta autorizzazione, con la conseguenza che la forzatura della protezione dei sistemi informatici sembrerebbe consentita solo in caso di perquisizione informatica e non in caso d’ispezione informatica.
Circa le modalità di esecuzione dell’ispezioni e perquisizioni informatiche, si può confermare che, anche con l’introduzione della legge n.48 del 2008, la scelta dei protocolli investigativi resta affidata alle capacità professionali ed alla discrezionalità degli inquirenti, soprattutto al momento dell’acquisizione dei dati, ma con la conferma normativa dell’obbligo di adeguarsi alle best practices, riconosciute in campo
internazionale, relativamente al momento della conservazione dei dati (data retention). In materia informatica, la pratica investigativa ha ormai indicato come spesso sia preferibile, in materia d’ispezione e perquisizione, effettuare l’accertamento utilizzando una copia del sistema informatico o telematico296. Ciò risulta molto utile se l’accertamento deve essere eseguito su un sistema informatico complesso o che risulta formato da vari sistemi interconnessi tra loro, essendo in questi casi pressoché impossibile procedere alla perquisizione dell’intero sistema ed il suo eventuale sequestro, confliggendo ciò con esigenze di continuità di attività aziendali o di servizi pubblici297. Di qui la particolare utilità dell’ispezione informatica, la quale consente all’investigatore di acquisire copia della memoria degli hard disk, senza procedere al sequestro, procedendo poi all’analisi degli elementi acquisiti direttamente sulla copia e non sull’originale che resterà nella disponibilità del soggetto possessore.
4. IL SEQUESTRO INFORMATICO
Mentre, come abbiamo visto, in caso d’ispezione e perquisizione, la legge del 2008 non ha apportato innovazioni significative, ma ha solo specificato talune modalità da seguire, vista la natura del bene oggetto dell’ispezione e perquisizione, altrettanto non si può dire in tema di sequestro informatico. Infatti, la problematica relativa al sequestro
296 Il bit-‐stream image, detta anche “copia forense”, consiste nel prodotto della
acquisizione di documenti in formato digitale che genera una copia bit a bit da un dispositivo di memoria di massa a un altro.
informatico nasce con l’introduzione delle nuove fattispecie di reati informatici effettuata dalla legge n.547/93, cui non faceva riscontro una correlata modifica delle relative norme processuali, costringendo gli operatori del diritto ad integrare il vuoto normativo con un attività interpretativa, spesso comprimendo alcune garanzie processuali poste a tutela dell’indagato.
In tema di sequestro digitale, uno dei principali problemi dibattuti in dottrina ed al centro di diversi interventi giurisprudenziali, è proprio l’individuazione di quale sia il bene che deve essere oggetto di sequestro. Infatti, sin dai primi casi, sia la dottrina298 che la giurisprudenza299 avevano richiamato l’attenzione sull’importanza di delimitare il sequestro ai soli dati digitali interessanti, e ciò sia per ragioni di carattere tecnico sia per rendere meno invasivo possibile il provvedimento, cercando così di non causare pregiudizi inutili ed evitabili attraverso l’impiego di metodi alternativi di esecuzione.
298 G. BUONOMO, Metodologia e disciplina delle indagini informatiche, in Borruso, R.,
Buonomo G., Corasaniti, G., D'Aietti, G., Profili penali dell'informatica, Giuffrè, Milano 1994, p. 166, secondo cui “la consegna del documento informatico si sostanzia, come per ogni cosa mobile, nel trasferimento di quanto ordinato dal luogo in cui si trova l’oggetto al luogo indicato dal richiedente. Essa consiste, allora, nella rimozione (cancellazione) del documento dalla memoria dell’elaboratore e nel trasferimento su supporto magnetico portatile (disco fisso, rimuovibile, cartucce a nastro, disco ottico riscrivibile ecc.) che verrà consegnato al pubblico ministero. Allo stesso modo deve intendersi la disposizione del sequestro del documento informatico”.
299 Il tribunale del riesame di Venezia, nell’ordinanza del 6 ottobre 2000 (in A. MONTI, La nuova disciplina del sequestro informatico, in L. LUPARÌA, Sistema penale e criminalità informatica, cit., p.199) relativa al procedimento penale n. 13120/2000, afferma che
“solo l’hard disk e i floppy disk possono peraltro configurarsi come corpo del reato, giacché il primo è indispensabile al funzionamento del software che consente il collegamento a internet e i secondi a memorizzare i dati. È pertanto indispensabile mantenere il sequestro su di essi quanto meno fino a quando l’autorità procedente non avrà provveduto a copiare tutti i dati utili alle indagini… deve invece disporsi il dissequestro e la restituzione degli altri oggetti sequestrati, trattandosi di accessori del computer che non possono ritenersi rientranti nel concetto di corpo del reato, non essendo cose mediante le quali è stato commesso il reato”.
Ma queste prime indicazioni non sono state sufficienti a evitare che, invece, il maggior numero di procedimenti penali, in cui entrava in gioco l’esistenza di un computer, desse luogo al sequestro di quest’ultimo nella sua interezza300 (includendo a volte perfino la cavetteria elettrica e i tappetini dei mouse) sulla base del principio, stabilito dalla Corte di Cassazione del “vincolo pertinenziale”301, che lega i dati contenuti nella memoria di massa di un elaboratore con l’elaboratore stesso. Salvo qualche caso isolato302, la prassi era perfino giunta a ritenere ammissibile l’acquisizione di elementi informatici senza alcun rispetto dei metodi scientifici in uso nella computer forensics303.
Si può dire, quindi, che il merito della legge n. 48 del 2008 è stato quello di costringere gli inquirenti a porsi, oltre il problema di utilizzare, in sede di sequestro informatico, regole e tecnologie rispettose dei principi di individuazione, conservazione ed inalterabilità del dato informatico, anche quello di restringere e identificare un oggetto ben preciso da
300 A. MONTI, No ai sequestri indiscriminati di computer, nota a Trib. Brescia, sez. II, 9
ottobre 2006, in Dir. internet, 2007, p.269.
301 È stato costantemente affermata dalla Cassazione l’esistenza di un vincolo
pertinenziale tra i dati contenuti nella memoria di massa di un elaboratore e l’elaboratore stesso: per tutti Cass. pen, Sez. V, 2 marzo 1995, n. 649.
302 Cass. pen., sez. I, 16 febbraio 2007, n. 25755, in CED Cass.pen., 2007, che ha preso in
considerazione la pubblicazione arbitraria, su taluni quotidiani, del contenuto di un interrogatorio reso da un agente del SISMI e secretato, nell’ambito del famoso processo Abu Omar. In particolare la polizia giudiziaria aveva sequestrato a un giornalista, non indagato e anche assente al momento della perquisizione degli uffici, il computer e altri supporti magnetici; nella fattispecie la Corte ha dichiarato l’illegittimità del sequestro e la clonazione dell’hard disk del giornalista a causa della eccessiva genericità del decreto, in quanto il P.M non aveva individuato le cose da acquisire e adeguatamente motivato il collegamento tra il bene da acquisire e il reato oggetto delle indagini preliminari, riconoscendo che in questo caso la generica ricerca aveva come conseguenza l’aggiramento dei vincoli derivanti dal segreto professionale (art. 200 e 256 c.p.p.).
303 Significativa è la sentenza della Corte di appello di Milano del 1 aprile 2008 n. 1360, in
http://www.ictlex.net/?p=937, che, pur assolvendo gli imputati, non si è pronunciata sulla questione inerente alle modalità di acquisizioni dei dati informatici su cui si fondava l’accusa ed oggetto di particolare attenzione durante l’istruttoria dibattimentale. Nel caso di specie nessuno dei server che si ritenevano coinvolti nell’azione presunta illecita era stato sottoposto a sequestro probatorio e fatto oggetto di accertamenti tecnici.
sottoporre al sequestro. E ciò perché la modifica normativa ha precisato che l’oggetto del sequestro devono essere i dati, le informazioni ed i file di programma e non certo il computer, essendo ormai consolidata la consapevolezza della caratteristica fondamentale del dato elettronico, rappresentata dalla separabilità dello stesso rispetto al supporto che lo trasmette. Infatti, è possibile trasferire il dato senza che il supporto segua la stessa sorte e senza perdere alcuna informazione. Una volta chiarito che oggetto del sequestro informatico non deve essere il computer ma il dato o file informatico, resta da valutare se il metodo della clonazione dell’hard disk possa essere ricondotto oppure no nell’ambito dell’ipotesi dell’art. 258 c.p.p., come acquisizione di copia di documento304. Che il tema sia sentito è testimoniato dal dibattito giurisprudenziale sorto intorno alla questione della persistenza o meno, dopo la restituzione dell’hard disk clonato, dell’interesse all’impugnazione di cui all’art. 257 c.p.p. (riesame del decreto di sequestro). Sull’argomento si è dovuta pronunciare la Corte di Cassazione a Sezioni Unite305 che ha affermato che “una volta restituita la cosa sequestrata, la richiesta di riesame del sequestro o l’eventuale ricorso per Cassazione contro la decisione del Tribunale del riesame è inammissibile per sopravvenuta carenza d’interesse, che non è configurabile neanche qualora l’Autorità giudiziaria disponga, all’atto della restituzione, l’estrazione di copia degli atti o
304 Il problema assume rilevanza, se pensiamo al pericolo, di consentire per giusto
tramite un facile aggiramento della norma sul sequestro probatorio, soprattutto nella parte che pone un freno nell’acquisizione indiscriminata di dati rappresentato dal vincolo di pertinenzialità del dato con il reato per il quale si procede.
305 Cass. pen., sez. Un., 7 maggio 2008, T. A., in Dir. pen. proc., 2009, p.472ss., con nota di
CARNEVALE, Copia e restituzione dei documenti informatici sequestrati: il problema dell’interesse a impugnare.
documenti sequestrati, dal momento che il relativo provvedimento è autonomo rispetto al decreto di sequestro, ne è soggetto ad alcuna forma di gravame, stante il principio di tassatività delle impugnazioni”. Ma questa decisione non è stata accolta positivamente dalla dottrina306, poiché si sostiene, che le S.U. non hanno valutato che esiste e permane in capo al soggetto interessato (che non sempre è l’indagato) un interesse attuale all’impugnazione, nonostante la restituzione dell’originale: l’interesse ad impedire la successiva perquisizione del clone dell’hard disk. Infatti, un conto è il mantenimento di copie di semplici documenti cartacei, un conto è invece il trattenimento in copia dell’intera memoria di un computer che potrebbe essere stata effettuata illegittimamente. La conferma che questa clonazione non costituisce una semplice acquisizione di copia del documento ai sensi dell’art. 258 c.p.p. è ulteriormente confermato dal fatto che il nuovo art. 254 bis c.p.p., in tema di apprensione di dati presso fornitori di servizi, ad opera espressamente il termine di sequestro che può avvenire anche mediante copia su supporto adeguato. In sostanza si può affermare che l’effettuazione del sequestro informatico non è altro che la clonazione di un hard disk sequestrato307.
306 F. M. MOLINARI, Questioni in tema di perquisizioni e sequestro di materiale informatico,
op. cit.
307 S. CARNEVALE, Copia e restituzione dei documenti informatici sequestrati: il problema dell’interesse a impugnare, cit., p.484, secondo cui anche il nuovo art. 256 c.p.p. rende
“plausibile qualificare la clonazione di memorie elettroniche non come una semplice attività di conservazione di tracce, ma piuttosto come un vero e proprio sequestro di materiale conoscitivo”.
Ultimamente anche la Cassazione308 sembra essere tornata sui suoi passi, facendo in qualche modo proprie le osservazioni della dottrina sopra riportate. Infatti, la Corte, sul presupposto che la legge n. 48/ 2008 riconosce, non solo al supporto che contiene il dato informatico, ma anche al dato stesso la caratteristica di oggetto del sequestro, ha affermato che, in sede sequestro probatorio, la restituzione, previo trattenimento di copia dei dati informatici estratti, dal server, computer e hard disk coercitivamente acquisiti, per effettuare le operazioni di trasferimento dei dati, non comporta il venir meno del vincolo del sequestro, con la conseguenza che permane l’interesse a richiedere il controllo giurisdizionale sulla legittimità dello stesso al competente Tribunale del riesame.
A questo punto restano da chiarire alcune ipotesi pratiche di sequestro informatico, dove l’oggetto dello stesso, pur rientrando nel concetto di “dati, informazioni o programmi”, di cui parlano gli articoli 254 bis, 256, comma 1, e 259, comma 2, presentano alcune peculiarità.
Ad esempio, i contenuti di posta elettronica, sicuramente rientrano nel concetto sopracitato e rappresentano uno degli elementi più interessanti nelle indagini informatiche. In poche parole un’e-mail può essere oggetto di sequestro o deve essere considerata una forma d’intercettazione ai sensi dell’art. 266 bis, con tutte le conseguenze del caso? In dottrina si sostiene309 che il sequestro del contenuto di un e-mail è possibile nella misura in cui esso abbia ad oggetto il “biglietto elettronico” che si trova
308 Cass pen sez. III , 23 giugno 2015, n. 38148, in C.E.D. Cass., 2015.
309 F. ZACCHÈ, L’acquisizione della posta elettronica nel processo penale, in Proc. pen. giust.,
in modo statico nella memoria del computer, mentre, se l’apprensione avviene in contemporanea con la trasmissione della e-mail, ci ritroveremo di fronte ad un caso di intercettazione da assoggettare necessariamente alla disciplina dell’art. 266 bis c.p.p..
Di conseguenza, nel primo caso, il sequestro potrà essere disposto per qualsiasi fattispecie di reato e senza necessità di un sindacato giurisdizionale preventivo, dato che esso potrà esserci solo dopo il compimento dell’atto a seguito di un istanza di riesame310.
La distinzione temporale relativa all’apprensione, in effetti, deriva dal fatto che è necessario stabilire la categoria processuale entro cui ricondurre l’e-mail. La sua peculiarità, rispetto al concetto classico di corrispondenza, sta nel fatto che ogni e-mail costituisce un documento digitale autonomo, documento che muta il suo aspetto ogni volta che il destinatario del messaggio opera un invio o una risposta, generando un nuovo documento che presenta dati esterni identificativi nuovi e distinti311. Così, questo modo di presentarsi di una e-mail, consente di modificare il testo iniziale con gli interventi successivi del destinatario ogni volta che si instaura la conversazione elettronica fra due o più soggetti. Pertanto sia la citata dottrina che il recente orientamento della Cassazione 312 hanno considerato il dato informatico pienamente assimilabile ad un oggetto fisico, confermando l’indicazione che “cioò che
310 Così L. CORDÌ, sub art.8 l. 18.3.2008 n.48, in Legisl. Pen. 2008, p.293, che afferma inoltre come, in caso di sequestro probatorio informatico non è necessario che sussistono “gravi indizi di reato né che il ricorso allo strumento sia assolutamente indispensabile ai fini della prosecuzione delle indagini.
311 E. M. MANCUSO, L’acquisizione di contenuti e-‐mail, in Scalfati (a cura di), Le indagini
atipiche, Torino, 2014, p.57.
costituisce il documento è, anzitutto, la cosa che incorpora i segni e che può essere del materiale più diverso: pietre, nastro magnetofonico, pellicola cinematografica o fotografica e simili, sino alle moderne memorie informatiche ed elettroniche”.
Con l’evidente conseguenza che è possibile ricondurre l’e-mail nella categoria dei documenti di posta tradizionale e che la loro differenza è rappresentata essenzialmente dalla separabilità del contenuto rappresentativo dal supporto su cui è stato originariamente impresso e, di conseguenza, la sua modificabilità.
In sostanza, nel documento tradizionale “la rappresentazione è incorporata in
modo inscindibile sulla res che la memorizza e conserva e ogni copia sarà sempre qualcosa d’altro rispetto all’originale. La e-mail, al contrario, non è vincolata ad un determinato contenitore e può essere trasferita da un soggetto ad un altro senza perdere alcune delle proprie caratteristiche e senza subire alcuna modificazione: in sostanza è duplicabile una serie infinite di volte, senza differenze qualitative dall’originale”313.
5. UN’IPOTESI PARTICOLARE: L’OSCURAMENTO.
Altra ipotesi particolare è data dalla prassi utilizzata frequentemente dall’Autorità giudiziaria di “oscurare” una risorsa di rete al fine di eseguire il sequestro probatorio dei contenuti pubblicati tramite siti internet. E qui l’anomalia appare chiara perché un sequestro effettuato tramite oscuramento, per rimanere nell’ambito della conformità al codice, dovrebbe avvenire attraverso l’accesso alla memoria di massa che
313 ZACCHÈ, La prova documentale, in Ubertis-‐ Voena (diretto da), Trattato di procedura
contiene i files oggetto del provvedimento; bisognerebbe disporre la loro copia sicura, modificare e cifrare gli accessi al loro contenitore; il tutto in forma diretta e non a distanza. Solo in questo modo il sequestro appare conforme alla previsione normativa, mentre non lo è, invece, l’utilizzo dello strumento del sequestro probatorio effettuato attraverso il blocco delle richieste di accesso alla risorsa di rete incriminata per il tramite di un filtraggio imposto ai fornitori d’accesso314.
Ma sul tema è importante richiamare una recente pronuncia delle Sezioni unite della Cassazione315 in tema di sequestro di testate giornalistiche