Negli ultimi anni è cresciuta in maniera esponenziale la diffusione ed utilizzo di dispostivi mobili, piattaforme criptate (WhatsApp e altri sistemi di messaggistica istantanei) nonché di canali telematici (social network) e video per le comunicazioni personali nonché di sistemi di videosorveglianza. Conseguentemente l’utilizzo di tecnologie dell’informazione e della comunicazione (denominate ICT, acronimo dall’inglese Information and Communication Technology), hanno assunto un rilievo fondamentale anche nella raccolta delle prove in sede giudiziaria e in particolare in materia penale sia per l’acquisizione di documenti informatici, sia per le intercettazioni.
La prima disciplina organica relativa alla raccolta delle prove informatiche trova la sua fonte nella Convenzione del Consiglio d’Europa sulla Criminalità Informatica firmata a Budapest il 23 novembre 2001 ratificata Legge 18 marzo 2008, n. 48.
La legge di ratifica consta di 14 articoli, divisi in quattro capi. Tre, in sostanza, sono i campi di intervento finalizzati rispettivamente al rafforzamento degli istituti rilevanti in sede di cooperazione internazionale, ad una miglior armonizzazione e disciplina in ambito di diritto sostanziale relativa al cybercrime e, in ultimo, alla predisposizione di strumenti processuali comuni e condivisi atti all’acquisizione e conservazione delle evidenze elettroniche.
Proprio in relazione a tale ultimo punto, il legislatore ha posto l’accento sulla necessità di adottare procedure e misure tecniche in grado di assicurare la conservazione dei dati originali, di impedirne l’alterazione, e assicurare la conformità dei dati acquisiti a quelli originali e la loro immodificabilità, così come dell’eventuale copia effettuata. Si è trattato, finalmente, di un deciso intervento del legislatore (in esecuzione di quanto disposto nell’art. 19, par. 3, della Convenzione) su un profilo determinante per assicurare pieno valore probatorio ai dati informatici acquisiti, recependo di fatto gli argomenti dibattuti da tempo nella scienza denominata Computer Forensics.
In base a quanto stabilito dalla suddetta legge sono stati fissati i seguenti principi di diritto:
1. La copia forense deve avere impatto minimo, se non nullo, sulla fonte originale dei dati, così come tra l’altro indicato dalla Legge n. 48 del 2008, che prescrive che le attività di acquisizione forense dei dati devono essere svolte “adottando misure tecniche dirette ad assicurare la conservazione dei dati originali e ad impedirne l’alterazione”.
2. La copia conforme deve essere identica all’originale, identità se possibile dimostrabile tramite metodologie scientifiche, come prescrive la Legge 48 del 2008 che precisa come le copie forensi devono essere eseguite “con una procedura che assicuri la conformità dei dati acquisiti a quelli originali e la loro immodificabilità”.
3. La copia bit-stream o immagine forense deve essere “statica”, cioè una volta generata deve essere immodificabile ovvero qualunque modifica deve poter essere rilevata e identificata, proprietà questa ribadita dalla Legge 48 del 2008 e realizzata in genere tramite il calcolo di funzioni matematiche chiamate “hash” sul dato originale e sul dato acquisito, con verbalizzazione delle attività e confronto dei valori hash calcolati sui due supporti.
4. La copia forense deve essere il più completa possibile e riprodurre il dato originale acquisendone non soltanto i contenuti ma anche eventuali metadati o informazioni di contorno, come possono essere i dati del filesystem (nome file, attributi, data di creazione, modifica e accesso ai file) o le aree non allocate del sistema (dalle quali è poi possibile recuperare file cancellati ma non ancora sovrascritti).
5. La “copia bitstream” prodotta tramite acquisizione forense deve essere verbalizzata in modo da poter reggere eventuali opposizioni su metodi, strumenti o tecniche utilizzate, riportando dati relativi alla catena di conservazione dei reperti e ai vari calcoli di valori hash che garantiscono l’integrità dei dati nei vari passaggi.
Gli articoli del codice di procedura penale modificati dalla Legge n. 48/2008 sono:
- all’art 247 c.p.p. comma 1-bis: “Mezzi di Ricerca della Prova” e l’art. 352 c.p.p.: Perquisizioni “che le attività di copia forense e acquisizione di elementi probatori deve essere svolta «adottando misure tecniche dirette ad assicurare la conservazione dei dati originali e ad impedirne l’alterazione”, “con una procedura che assicuri la conformità dei dati acquisiti a quelli originali e la loro immodificabilità»;
- all’art. 254-bis c.p.p.: “Sequestro di dati informatici presso fornitori di servizi informatici, telematici e di telecomunicazioni” e nell’art. 354 c.p.p.: “Accertamenti urgenti sui luoghi, sulle cose e sulle persone. Sequestro” ove si precisa – parlando della fase di sequestro o acquisizione di dati informatici presso fornitori di servizi o su luoghi, cose e persone: “che la loro acquisizione avvenga mediante copia di essi su adeguato supporto, con una procedura che assicuri la conformità dei dati acquisiti a quelli originali e la loro immodificabilità” aggiungendo che gli operatori “adottano, altresì̀, le misure tecniche o impartiscono le prescrizioni necessarie ad assicurarne la conservazione e ad impedirne l’alterazione e l’accesso e provvedono, ove possibile, alla loro immediata duplicazione su adeguati supporti, mediante una procedura che assicuri la conformità della copia all’originale e la sua immodificabilità”;
- all’art. 260, c.p.p.: “Apposizione dei sigilli alle cose sequestrate. Cose deperibili” per cui «le cose sequestrate si assicurano con il sigillo dell'ufficio giudiziario e con le sottoscrizioni dell'autorità giudiziaria e dell'ausiliario che la assiste ovvero, in relazione alla natura delle cose, con altro mezzo, anche di carattere elettronico o informatico, idoneo a indicare il vincolo imposto a fini di giustizia. 2. L'autorità giudiziaria fa estrarre copia dei documenti e fa eseguire fotografie o altre riproduzioni delle cose sequestrate che possono alterarsi o che sono di difficile custodia, le unisce agli atti e fa custodire in cancelleria o segreteria gli originali dei documenti, disponendo, quanto alle cose, in conformità dell'articolo 259. Quando si tratta di dati, di informazioni o di programmi informatici, la copia deve essere realizzata su adeguati supporti, mediante procedura che assicuri la conformità della copia all’originale e la sua immodificabilità; in tali casi, la custodia degli originali può essere disposta anche in luoghi diversi dalla cancelleria o dalla segreteria».
La disciplina delle intercettazioni invece è attualmente disciplinata dal D.lgs. 216/2019, convertito con modifiche dalla L. n.7 del 2020 intitolata: “Modifiche urgenti alla disciplina delle intercettazioni di conversazioni e comunicazioni” intervenuto sul D.lgs. 216/2017, entrato in vigore, a seguito dell’emergenza epidemiologica dovuta al Covid-19, il 1° settembre 2020.
Tralasciando le disposizioni che riguardano, la creazione di un archivio digitale, i soggetti che possono accedere all’archivio digitale, la conservazione e distruzione delle intercettazioni, che esulano dalla presente trattazione, di particolare interesse risulta l’art. 2, co.1, lett. C) del ridetto D.L. n. 161/2019, sull’utilizzo di captatori informatici c.d. “Trojan horse”. A tal proposito il novellato art. 266 del codice di procedura penale (n.d.r. – la cui rubrica recita “Limiti di ammissibilità”) recita testualmente:
“[…] 2. Negli stessi casi è consentita l'intercettazione di comunicazioni tra presenti, che può essere eseguita anche mediante l'inserimento di un captatore informatico su un dispositivo elettronico portatile. Tuttavia, qualora queste avvengano nei luoghi indicati dall'articolo 614 del codice penale, l'intercettazione è consentita solo se vi è fondato motivo di ritenere che ivi si stia svolgendo l'attività criminosa.
2-bis. L'intercettazione di comunicazioni tra presenti mediante inserimento di captatore informatico su dispositivo elettronico portatile è sempre consentita nei procedimenti per i delitti di cui all'articolo 51, commi 3-bis e 3-quater, e, previa indicazione delle ragioni che ne giustificano l'utilizzo anche nei luoghi indicati dall'articolo 614 del codice penale, per i delitti dei pubblici ufficiali o degli incaricati di pubblico servizio contro la pubblica amministrazione per i quali è prevista la pena della reclusione non inferiore nel massimo a cinque anni, determinata a norma dell'articolo 4”.
Da evidenziare che l’art. 268 del codice di procedura penale, in aderenza ai dettami della Legge n. 48 del 2008 e del Codice dell’Amministrazione Digitale, stabilisce che il relativo verbale deve indicare il decreto che dispone l’intercettazione, le modalità di registrazione, il tipo di programma utilizzato, il giorno l’ora di inizio e della fine dell’attività di intercettazione, i soggetti che hanno preso parte all’intercettazione, e se possibile, l’indicazione dei luoghi in cui si sono svolte le comunicazioni o conversazioni.
Ai fini dell’intercettazione, possono essere impiegati solo programmi conformi ai requisiti tecnici stabiliti dal Ministero della Giustizia e tali comunicazioni intercettate devono essere trasferite solo nell’archivio digitale, così come deve essere assicurato il costante controllo dell’integrità relativo all’esatta e integrale corrispondenza tra quanto intercettato e quanto trasmesso. Al termine delle intercettazioni, il captatore informatico, dovrà essere disattivato rendendolo inidonei a successivi impieghi.
Un cenno a parte merita la questione relativa all’acquisizione e alla validità come prova nel processo penale di messaggi SMS, foto e chat scaricati dalla memoria interna di Smartphone o da sistemi di videosorveglianza ed in generale di documenti informatici assunti al di fuori del procedimento penale.
All’uopo infatti secondo un recente orientamento espresso dalla Corte di Cassazione, Sesta Sezione Penale, con la sentenza 10 aprile 2019 n. 15838, in materia di copia digitale effettuata dalla memoria di un impianto di videosorveglianza la Suprema Corte ha statuito che la materia delle riprese visive e delle prove non è regolata specificamente dalla legge, tuttavia conformemente all’orientamento delle Sezioni Unite (Vd. Sez. U., n. 26795 del 28/03/2006, Prisco, Rv. 234267), le immagini tratte da video riprese in luoghi pubblici effettuate al di fuori delle indagini preliminari, cioè al di fuori del procedimento penale ed indipendentemente da esso, non possono essere considerate prove atipiche ex art. 189 c.p.p., ma devono essere qualificate come documenti da utilizzare quali prove documentali nel processo.
L’art. 234 c.p.p. dispone che “è consentita l’acquisizione di scritti o di altri documenti che rappresentano fatti persone o cose mediante la fotografia, la cinematografia, la fonografia e qualsiasi altro mezzo”, con ciò implicitamente escludendo che possa assumere rilevanza l’utilizzazione della modalità analogica ovvero digitale per mezzo della quale è avvenuta la videoregistrazione e la successiva conservazione.
La norma, invero, per mezzo dell’enunciazione di cosa debba intendersi per documento, non si interessa della concreta modalità di conservazione dello stesso, indicandone esclusivamente le caratteristiche oggettive (“documenti che rappresentano fatti, persone o cose”). Secondo l’interpretazione dei giudici di legittimità l’evoluzione tecnologica che ha consentito, grazie al processo di digitalizzazione, la minimizzazione fisica del supporto su cui le immagini possono essere conservate e la facilitazione delle modalità di archiviazione e successiva estrapolazione dei documenti, non autorizza a ritenere mutata tale natura, certamente conforme a quanto previsto dall’art. 234 c.p.p. quanto a disciplina delle acquisizioni documentali.
I problemi connessi all’eventuale non genuinità di tali documenti, di conseguenza, sono estranei al tema dell’utilizzabilità o meno degli stessi, dovendosi invece accertare se essi siano stati, se del caso, manipolati; evenienza comune alla corrispondente acquisizione di documenti in formato analogico o cartaceo.
A parere di chi scrive detti principi sono condivisibili con alcune precisazioni. Come è noto per avere la certezza che una o più copie digitali sono dei cloni dell’originale deve trattarsi di una cd. copia forense ottenuta quindi attraverso il procedimento di copia “bit to bit”, che garantisce una replica integrale di tutti i dati contenuti su un disco o partizione di un disco, ovverosia una copia identica all’originale. Oppure si dispone della “copia originale” contenuta nella memoria di massa posta a servizio delle videocamere al fine di poter verificare che le due copie siano identiche.
Ne consegue che nel caso sottoposto all’attenzione del giudice nomofilattico per una verifica sulla genuinità della copia alla copia originale vi era la memoria posta al servizio del sistema di videosorveglianza, con la conseguenza che in questi casi è necessario disporre o delle memorie di massa originali sulla quale poter effettuare una verifica sulla genuinità, integrazione e mancanza di manipolazione delle copie da acquisire agli atti, oppure di copie forensi delle stesse.
A conclusione di questa breve disamina abbiamo visto che l’utilizzo di tecnologie dell’informazione e della comunicazione sta guadagnando sempre di più una importanza fondamentale in ambito giudiziario, nella raccolta delle prove e nel determinare l’esito dei processi e conseguentemente nello sviluppo dell’attività forense, impensabili solo pochi anni fa.
Avv. Fabio Sarra