::: HOME
 ::: ATTIVITA'
 :: Campi di applicazione
 :: Procedure
 :: A chi si rivolge
 ::: LABORATORIO
 ::: CHI SIAMO
 ::: CONTATTI
 ::: LINK
 ::: DOWNLOAD
 

PROCEDURE PER L'ESECUZIONE DELLE PERIZIE E CONSULENZE TECNICHE

Oltre all'impiego di hardware e software dedicati, sono stati messi a punto, tra gli altri, i seguenti protocolli operativi:

  • utilizzo di speciali dispositivi hardware o software che impediscono qualunque modifica nei supporti originali durante il loro esame (write block);

  • esecuzione direttamente sul posto (nei limiti imposti dalle condizioni logistiche contingenti) di una copia "forensic" degli hard disk, CD, DVD o altri supporti di memorizzazione, cioè una copia ("immagine bitstream") assolutamente identica all'originale sulla quale svolgere poi gli accertamenti del caso;

  • calcolo dell'hash dell'intero contenuto di ogni supporto acquisito, ed allegazione di tale valore al verbale redatto dalla P.G. in sede di intervento, in modo da garantire la non ripudiabilità dei dati acquisiti;

  • pianificazione delle attività in base alla complessità in modo da rispettare i tempi previsti.

   

 

APPROFONDIMENTI: L'ACQUISIZIONE DELLA PROVA DIGITALE

La pervasività della tecnologia elettronico-informatica ha comportato, tra l’altro, un sensibile aumento dei casi in cui i computer e gli apparati di comunicazione digitali vengono utilizzati come mezzo per commettere reati o dove si trovano le prove dell’illecito, e spesso si tratta di reati non prettamente informatici. Accade quindi che gli elementi idonei ad accertare il reato siano costituiti da files contenuti nei vari tipi di supporti di memorizzazione, dai comuni hard disk, CD/DVD, floppy, USB pen drive, fino agli smartphone, tablet, navigatori satellitari (e dispositivi GPS in genere), e ai molteplici tipi di memory card, nastri magnetici, smart card, SIM card ecc.

La particolarità di questi strumenti, in quanto corpo del reato o cose pertinenti al reato, offre spunti di riflessione non di poco conto, sia dal punto di vista tecnico che giuridico. Si pone infatti, quanto meno, un duplice ordine di problemi: quello relativo alle modalità tecniche di acquisizione, trattamento e custodia delle prove che risiedono in memorie di massa, e quello inerente gli strumenti giuridici più opportuni che la procedura penale mette a disposizione per la ricerca della prova, tenendo conto dei diritti e delle garanzie dell’indagato.

Tecnicamente, si può osservare che i dati memorizzati su di un hard disk o qualunque altro supporto riscrivibile sono per loro natura facilmente alterabili, quindi i principali problemi che si pongono sono:

  • evitare modifiche nel supporto "originale";

  • garantire in ogni momento la perfetta identità tra i dati presenti nel supporto in sequestro e la copia da utilizzare per gli accertamenti.

La stessa distinzione tra originale e copia perde il senso che assume nella riproduzione ad esempio di documenti cartacei, dato che una sequenza di bit scritta con identico ordine e posizione su due memorie digitali non presenta alcuna differenza, ma continueremo ad usarla per comodità, tornando utile per fare riferimento ai dati sottoposti a sequestro rispetto a quelli da utilizzare per lo sviluppo delle indagini ed eventualmente da produrre in giudizio.

Trattandosi di cose immateriali, i files contenenti prove del reato devono essere necessariamente sempre "appoggiati" ad un supporto di memorizzazione, per cui al momento del sequestro si può porre il problema di quale sia l’oggetto del provvedimento. Escludendo, se non in casi particolari, di estendere il sequestro a tutto l’apparato informatico e periferiche (come pure spesso è accaduto) l’asportazione materiale riguarderà normalmente solo le memorie di massa.

Spesso, in luogo del sequestro, lo strumento dell’ispezione (art. 244 c.p.p.) può ugualmente soddisfare le esigenze di ricerca della prova, con un minore impatto sull’ordinaria attività del soggetto (specie quando il computer è utilizzato anche per motivi di lavoro, mediante l’effettuazione sul posto dell'analisi "live" (preview) ed eventualmente della copia "bitstream" delle memorie digitali da parte di un esperto di "computer forensics" (informatica forense) in veste di ausiliario di P.G., compatibilmente con la situazione logistica e temporale contingente.  Ovviamente, per tutta la durata del procedimento bisognerà essere in grado di dimostrare che la copia sulla quale si eseguono gli accertamenti e che fornirà eventuali tracce del reato è rimasta inalterata rispetto al momento dell’intervento.

Anche quando si procede con sequestro, può essere opportuno lasciare il materiale in giudiziale custodia a chi lo detiene. Con ciò si ottiene il duplice risultato di:

  • evitare il rischio di danneggiamento (e di richieste di risarcimento) degli apparati durante il trasporto e la custodia da parte della P.G. o presso gli uffici giudiziari;

  • facilitare le operazioni dell’eventuale dissequestro.

Sia in caso di sequestro senza asportazione del materiale che in caso di ispezione, è importante documentare l’assoluta identità tra dati originali e dati copiati.

A tal fine, bisognerà acquisire sul posto l’immagine bitstream di ogni memoria di massa, calcolando il valore di hash sia dell’originale che dell’immagine (ovviamente i due valori dovranno coincidere); tutti i valori di hash calcolati dovranno essere stampati, formando parte integrante del verbale redatto dalla P.G. operante, nel quale risulterà anche l’indicazione del dispositivo hardware o software write block utilizzato per la copia. Con questa procedura difficilmente potranno essere mosse fondate contestazioni circa la genuinità, l’integrità e l’uguaglianza all’originale della copia acquisita. Tale copia potrà anche essere utilizzata come riscontro per successivi accertamenti tecnici da parte di consulenti della difesa o periti nominati dal giudice.

L’unico limite della tecnica descritta, tenuto conto delle dimensioni dei moderni hard disk, può essere costituito dalla quantità di dati da acquisire, e quindi dal tempo necessario. Si può comunque affermare che protraendo per più giorni le operazioni (mantenendo le opportune cautele sui supporti ancora da acquisire) e disponendo di adeguata capacità di storage mobile, non vi sono praticamente limiti insormontabili.

Per velocizzare le varie operazioni (acquisizione immagine bitstream, calcolo dell’hash di originale e copia, stampa degli allegati) è opportuno utilizzare un software specifico in grado di eseguire in modo efficiente tutti i passaggi.

La scelta della procedura andrà comunque valutata dagli organi inquirenti in relazione alle peculiarità dell’indagine, ma occorre sottolineare che anche nel caso di sequestro con asportazione del materiale, il metodo descritto (copia in loco) garantisce la non ripudiabilità, da parte dell’indagato, dei dati acquisiti. Il differimento della copia ad un’epoca successiva (normalmente all’esecuzione della consulenza tecnica per il P.M.) comporta invece la consegna dei supporti originali al C.T., il quale eseguirà la copia nel proprio laboratorio, di solito senza la presenza dell’indagato o del suo difensore.

Un compromesso tra l’esigenza di una corretta ricerca della prova e l’eventuale difficoltà nel compiere le operazioni di copia sul posto, ma attuabile solo in caso di sequestro con asportazione dei supporti, può consistere nell’eseguire in sede di intervento (alla presenza dell’indagato ed eventualmente di una persona di sua fiducia e del suo difensore) solo il calcolo dell’hash dei supporti da acquisire (operazione più veloce ma che soprattutto richiede pochissime risorse di memorizzazione rispetto alla copia contestuale, rimandando ad un secondo momento (in condizioni logistiche più favorevoli presso il laboratorio del C.T.) la copia e l’esame dei dati. In questo modo l’uguaglianza tra il valore di hash calcolato al momento del sequestro e quello calcolato sullo stesso supporto al momento della copia (verifica ripetibile in ogni momento successivo) fugherà ogni dubbio circa la correttezza della procedura e la genuinità dell'eventuale prova.