PROCEDURE

APPROFONDIMENTI: L'ACQUISIZIONE DELLA PROVA DIGITALE

La pervasività della tecnologia elettronico-informatica ha comportato, tra l’altro, un sensibile aumento dei casi in cui i computer e gli apparati di comunicazione digitali vengono utilizzati come mezzo per commettere reati o dove si trovano le prove dell’illecito, e spesso si tratta di reati non prettamente informatici. Accade quindi che gli elementi idonei ad accertare il reato siano costituiti da files contenuti nei vari tipi di supporti di memorizzazione, dai comuni hard disk, CD/DVD, floppy, USB pen drive, fino ai molteplici tipi di memory card, nastri magnetici, smart card ecc.

La particolarità di questi strumenti, in quanto corpo del reato o cose pertinenti al reato, offre spunti di riflessione non di poco conto, sia dal punto di vista tecnico che giuridico. Si pone infatti, quanto meno, un duplice ordine di problemi: quello relativo alle modalità tecniche di acquisizione, trattamento e custodia delle prove che risiedono in memorie di massa, e quello inerente gli strumenti giuridici più opportuni che la procedura penale mette a disposizione per la ricerca della prova, tenendo conto dei diritti e delle garanzie dell’indagato.

Tecnicamente, si può osservare che i dati memorizzati su di un hard disk o qualunque altro supporto riscrivibile sono per loro natura facilmente alterabili, quindi i principali problemi che si pongono sono:

1.       evitare modifiche nel supporto “originale”;

2.       garantire in ogni momento la perfetta identità tra i dati presenti nel supporto in sequestro e la copia da utilizzare per gli accertamenti.

La stessa distinzione tra originale e copia perde il senso che assume nella riproduzione ad esempio di documenti cartacei, dato che una sequenza di bit scritta con identico ordine e posizione su due memorie digitali non presenta alcuna differenza, ma continueremo ad usarla per comodità, tornando utile per fare riferimento ai dati contenuti nei supporti sottoposti a sequestro rispetto a quelli da utilizzare per gli accertamenti del caso (tipicamente la consulenza tecnica).

Trattandosi di cose immateriali, i files contenenti prove del reato devono essere necessariamente sempre “appoggiati” ad un supporto di memorizzazione, per cui al momento del sequestro si può porre il problema di quale sia l’oggetto del provvedimento. Escludendo, se non in casi particolari, di estendere il sequestro a tutto l’apparato informatico e periferiche (come pure spesso è accaduto) l’asportazione materiale riguarderà normalmente solo le memorie di massa.

Spesso, in luogo del sequestro, lo strumento dell’ispezione può ugualmente soddisfare le esigenze di ricerca della prova, con un minore impatto sull’ordinaria attività del soggetto (specie quando il computer è utilizzato anche per motivi di lavoro), mediante l’effettuazione sul posto della copia “bitstream” (oppure di una analisi "live") delle memorie digitali da parte di un esperto di “computer forensics” (informatica giudiziaria e/o forense) in veste di ausiliario di P.G. o C.T., compatibilmente con la situazione logistica e temporale contingente.

Vi è poi la possibilità di acquisire copia degli hard disk anziché procedere al loro sequestro. Questa opzione procedurale, pur presentando indubbi vantaggi, richiama i problemi tecnici di cui si è fatto cenno. Se eventuali modifiche del supporto originale in fase di copia possono essere evitate anche grazie a specifici strumenti hardware, più problematico, visto che il supporto rimane nella disponibilità dell’abituale utilizzatore, potrebbe essere garantire la perfetta identità tra originale e copia sia al momento dell’operazione che in tutte le fasi successive, fino all’eventuale dibattimento. In particolare, per tutta la durata del procedimento bisognerà essere in grado di dimostrare che la copia sulla quale si eseguono gli accertamenti e che fornirà eventuali prove del reato è perfettamente identica a quella in possesso dell’indagato (o del terzo non sottoposto ad indagini ma in possesso di materiale probatorio) al momento dell’intervento.

Anche quando si procede con sequestro, può essere opportuno lasciare il materiale in giudiziale custodia a chi lo detiene. Con ciò si ottiene il duplice risultato di:

-         evitare il rischio di danneggiamento (e di richieste di risarcimento) degli apparati durante il trasporto e la custodia da parte della P.G. o presso gli uffici giudiziari;

-          facilitare le operazioni dell’eventuale dissequestro.

Sia in caso di sequestro senza asportazione del materiale che in caso di acquisizione in copia dei supporti di memorizzazione, è importante documentare l’assoluta identità tra dati originali e dati copiati.

A tal fine, bisognerà acquisire sul posto l’immagine bitstream di ogni memoria di massa, calcolando il valore di hash sia dell’originale che dell’immagine (ovviamente i due valori dovranno coincidere); tutti i valori di hash calcolati dovranno essere stampati, formando parte integrante del verbale redatto dalla P.G. operante, nel quale risulterà anche l’indicazione del dispositivo hardware write block utilizzato per la copia. Con questa procedura difficilmente potranno essere mosse fondate contestazioni circa la genuinità, l’integrità e l’uguaglianza all’originale della copia acquisita. Tale copia potrà anche essere utilizzata per successivi accertamenti tecnici da parte di consulenti della difesa o periti nominati dal giudice.

L’unico limite della tecnica descritta, tenuto conto delle dimensioni dei moderni hard disk e che per l’effettuazione della copia si utilizzeranno workstation mobili o dispositivi portatili di "forensic imaging", può essere costituito dalla quantità di dati da acquisire, e quindi dal tempo necessario. Si può comunque affermare che protraendo per più giorni le operazioni (mantenendo le opportune cautele sui supporti ancora da acquisire) e disponendo di adeguata capacità di storage mobile, non vi sono praticamente ostacoli insormontabili.

Per velocizzare le varie operazioni (acquisizione immagine bitstream, calcolo dell’hash di originale e copia, stampa degli allegati) è opportuno utilizzare un software specifico in grado di eseguire in modo efficiente tutti i passaggi.

La scelta di questa procedura andrà comunque valutata dagli organi inquirenti in relazione alle peculiarità dell’indagine, ma occorre sottolineare che anche nel caso di sequestro con asportazione del materiale, il metodo descritto garantisce la non ripudiabilità, da parte dell’indagato, dei dati acquisiti. Il differimento della copia ad un’epoca successiva (normalmente all’esecuzione della consulenza tecnica per il P.M.) comporta invece la consegna dei supporti originali al C.T., il quale eseguirà la copia nel proprio laboratorio, da solo o comunque senza la presenza dell’indagato o del suo difensore. In questa procedura vi è un intervallo di tempo, quello compreso tra la consegna del plico sigillato al C.T. ed il calcolo dell’hash sull’originale, che sfugge alla catena di custodia della prova digitale, prestando il fianco a possibili (anche se improbabili) contestazioni o dubbi sul valore probatorio della consulenza.

Una via di mezzo tra l’esigenza di una corretta acquisizione della prova e l’eventuale difficoltà nel compiere le operazioni di copia sul posto, ma attuabile solo in caso di sequestro con asportazione dei supporti, può consistere nell’eseguire in sede di intervento (alla presenza dell’indagato ed eventualmente di una persona di sua fiducia e del suo difensore) solo il calcolo dell’hash dei supporti da acquisire (operazione più veloce ma che soprattutto richiede pochissime risorse di memorizzazione rispetto alla copia contestuale), rimandando ad un secondo momento (in condizioni logistiche più favorevoli presso il laboratorio del C.T.) la copia e l’esame dei dati. In questo modo l’uguaglianza tra il valore di hash calcolato al momento del sequestro e quello calcolato sullo stesso supporto al momento della copia (verifica ripetibile in ogni momento successivo) fugherà ogni dubbio circa la correttezza della procedura e la genuinità della prova.