APPROFONDIMENTI:
L'ACQUISIZIONE DELLA PROVA
DIGITALE
La pervasività
della
tecnologia elettronico-informatica ha comportato, tra l’altro, un
sensibile aumento dei casi in cui i computer e gli apparati di
comunicazione digitali vengono utilizzati come mezzo per commettere reati
o dove si trovano le prove dell’illecito, e spesso si tratta di reati non
prettamente informatici. Accade quindi che gli elementi idonei ad
accertare il reato siano costituiti da files contenuti nei vari tipi di
supporti di memorizzazione, dai comuni hard disk, CD/DVD, floppy, USB pen
drive, fino agli smartphone, tablet, navigatori
satellitari (e dispositivi GPS in genere), e ai molteplici tipi di memory card, nastri magnetici, smart
card, SIM card ecc.
La particolarità di
questi strumenti, in quanto corpo
del reato o cose pertinenti al reato,
offre spunti di riflessione non di poco conto, sia dal punto di vista
tecnico che giuridico. Si pone infatti, quanto meno, un duplice ordine di
problemi: quello relativo alle modalità tecniche di acquisizione,
trattamento e custodia delle prove che risiedono in memorie di massa, e
quello inerente gli strumenti giuridici più opportuni che la procedura
penale mette a disposizione per la ricerca della prova, tenendo conto dei
diritti e delle garanzie dell’indagato.
Tecnicamente, si può
osservare che i dati memorizzati su di un hard disk o qualunque altro
supporto riscrivibile sono per loro natura facilmente alterabili, quindi i
principali problemi che si pongono sono:
La stessa distinzione
tra originale e copia perde il senso che assume nella riproduzione ad
esempio di documenti cartacei, dato che una sequenza
di bit scritta con
identico ordine e posizione su due memorie digitali non presenta alcuna
differenza, ma continueremo ad usarla per comodità, tornando utile per
fare riferimento ai dati sottoposti a sequestro rispetto a quelli da
utilizzare per lo sviluppo delle indagini ed eventualmente da produrre in
giudizio.
Trattandosi di cose
immateriali, i files contenenti prove del reato devono essere
necessariamente sempre "appoggiati" ad un supporto di memorizzazione, per
cui al momento del sequestro si può porre il problema di quale sia
l’oggetto del provvedimento. Escludendo, se non in casi particolari, di
estendere il sequestro a tutto l’apparato informatico e periferiche (come
pure spesso è accaduto) l’asportazione materiale riguarderà normalmente
solo le memorie di massa.
Spesso, in luogo del
sequestro, lo strumento dell’ispezione (art. 244 c.p.p.) può ugualmente soddisfare le
esigenze di ricerca della prova, con un minore
impatto sull’ordinaria
attività del soggetto (specie quando il computer è utilizzato anche per
motivi di lavoro, mediante l’effettuazione sul posto dell'analisi "live"
(preview) ed eventualmente della copia
"bitstream" delle memorie digitali da parte di un esperto di "computer forensics" (informatica
forense) in veste di ausiliario di P.G., compatibilmente con la
situazione logistica e temporale contingente. Ovviamente, per tutta la durata del procedimento
bisognerà essere in grado di dimostrare che la copia sulla quale si
eseguono gli accertamenti e che fornirà eventuali tracce del reato è
rimasta inalterata
rispetto al momento
dell’intervento.
Anche quando si
procede con sequestro, può essere opportuno lasciare il materiale in
giudiziale custodia a chi lo detiene. Con ciò si ottiene il duplice
risultato di:
-
evitare
il rischio di danneggiamento (e di richieste di risarcimento) degli
apparati durante il trasporto e la custodia da parte della P.G. o presso
gli uffici giudiziari;
-
facilitare le operazioni dell’eventuale dissequestro.
Sia in caso di
sequestro senza asportazione del materiale che in caso di ispezione, è
importante documentare l’assoluta identità tra dati originali e dati
copiati.
A tal fine, bisognerà
acquisire sul posto l’immagine bitstream di ogni memoria di massa,
calcolando il valore di hash sia dell’originale che dell’immagine
(ovviamente i due valori dovranno coincidere); tutti i valori di
hash calcolati dovranno essere
stampati, formando parte integrante del
verbale redatto dalla P.G. operante, nel quale risulterà anche
l’indicazione del dispositivo hardware o software write
block utilizzato per
la copia. Con questa procedura difficilmente potranno essere mosse fondate
contestazioni circa la genuinità, l’integrità e l’uguaglianza
all’originale della copia acquisita. Tale copia potrà anche essere
utilizzata come riscontro per successivi accertamenti tecnici da parte di consulenti
della difesa o periti nominati dal giudice.
L’unico limite della
tecnica descritta, tenuto conto delle dimensioni dei moderni hard disk, può essere costituito dalla quantità di dati
da acquisire, e quindi dal tempo
necessario. Si può comunque affermare che
protraendo per più giorni le operazioni (mantenendo le opportune cautele
sui supporti ancora da acquisire) e disponendo di adeguata capacità di storage mobile, non vi sono praticamente limiti insormontabili.
Per velocizzare le
varie operazioni (acquisizione immagine bitstream, calcolo dell’hash di
originale e copia, stampa degli allegati) è opportuno
utilizzare un
software specifico in grado di eseguire in modo efficiente tutti i
passaggi.
La scelta della
procedura andrà comunque valutata dagli organi inquirenti in relazione
alle peculiarità dell’indagine, ma occorre sottolineare che anche nel caso
di sequestro con asportazione del materiale, il metodo descritto
(copia in loco) garantisce la non
ripudiabilità, da parte dell’indagato, dei dati
acquisiti. Il differimento della copia ad un’epoca successiva (normalmente
all’esecuzione della consulenza tecnica per il P.M.) comporta invece la
consegna dei supporti originali al C.T., il quale eseguirà la copia nel
proprio laboratorio, di solito senza la presenza dell’indagato o
del suo difensore.
Un compromesso tra
l’esigenza di una corretta ricerca della prova e l’eventuale
difficoltà nel compiere le operazioni di copia sul posto, ma attuabile
solo in caso di sequestro con asportazione dei supporti, può consistere
nell’eseguire in sede di intervento (alla presenza dell’indagato ed
eventualmente di una persona di sua fiducia e del suo difensore) solo il
calcolo
dell’hash dei supporti da acquisire (operazione più veloce ma che
soprattutto richiede pochissime risorse di memorizzazione rispetto alla
copia contestuale, rimandando ad un secondo momento (in condizioni
logistiche più favorevoli presso il laboratorio del C.T.) la copia e
l’esame dei dati. In questo modo l’uguaglianza tra il valore di hash
calcolato al momento del sequestro e quello calcolato sullo stesso
supporto al momento della copia (verifica ripetibile in ogni momento
successivo) fugherà ogni dubbio circa la correttezza della procedura e la
genuinità dell'eventuale prova. |