avv. Jennifer Basso Ricci – Associate Partner at Partners4Innovation
avv. Alessia De Matola – Legal Consultant at Partners4Innovation
I dispositivi tecnologici hanno assunto un ruolo di fondamentale importanza per le indagini giudiziarie, trovandosi sempre più spesso sulle “scene del crimine” e diventando – a vario titolo- un vero e proprio «archivio di informazioni» per la Polizia giudiziaria, consentendo al Giudice di raggiungere la verità processuale.
Come può una prova digitale (per sua natura “atipica”) essere considerata alla stessa stregua di una prova “tipica”?
Per contestualizzare e comprendere meglio il tema che stiamo trattando, si deve partire dalla nozione di “prova”. La funzione principale della prova è quella di consentire al Giudice di ricostruire nel modo corretto i fatti che si è riusciti a dimostrare nel corso del processo.
In linea generale, non è consentito dal nostro ordinamento il ricorso a mezzi probatori non previsti o difformi dal catalogo legale: si chiama «principio di legalità». Questo principio, però, è mitigato dalla possibilità che il Giudice, quando è richiesto, possa assumere prove non disciplinate dalla legge, nel caso risultino idonee ad assicurare l’accertamento dei fatti e non pregiudichino la libertà morale della persona. Si tratta della cosiddetta «prova atipica», contemplata in via generale dall’art. 189 cod. proc. pen., che richiede una condizione specifica per essere ammessa in sede processuale: il giudice provvede all’ammissione della prova atipica solo dopo avere sentito le parti sulle “modalità di assunzione” della prova stessa.
Un esempio di prova “atipica” é quella informatica, trattandosi di un’informazione tradotta nel linguaggio utilizzato dalle strumentazioni informatiche non immediatamente intelligibili dall’uomo, memorizzata o trasmessa in un formato digitale, che assolve alla medesima funzione di tutte le altre prove anche se, per le sue caratteristiche intrinseche, presenta problematiche delicate e complesse.
Per propria natura, infatti, i dati contenuti in un dispositivo tecnologico possono essere modificati, alterati, danneggiati, distrutti anche inavvertitamente, da un’errata operazione di estrazione, specialmente da chi non è tecnicamente preparato a cercare, esaminare ed estrarre elementi di prova da un apparecchio digitale. Risulta quindi essenziale adottare cautele e procedure atte ad individuare ed acquisire una prova che possa superare il giudizio di idoneità da parte del Giudice.
Tale attività di acquisizione e duplicazione di dati informatici richiede specifiche regole (di digital forensics) quale conseguenza dell’eventuale irripetibilità della prova stessa.
In tale contesto è indispensabile quindi procedere per fasi
FASE 1. Riconoscimento ed individuazione delle fonti di informazione, dalle più comuni (quali computer, tablet, cellulari e smartphone e oggi anche Fit-bit o braccialetti elettronici) alle apparecchiature elettroniche domestiche, agli impianti di allarme o di videosorveglianza.
FASE 2. Acquisizione delle fonti di informazione potenzialmente rilevanti per il procedimento penale: il momento più delicato dell’attività della Polizia Giudiziaria coincide proprio con il momento di acquisizione della prova digitale in maniera tecnicamente idonea, così da garantire la inalterabilità della memoria del dispositivo o dei dati archiviati.
FASE 3. Conservazione del dato o del sistema che deve poter garantire anch’esso la inalterabilità nel tempo
FASE 4. Analisi e valutazione delle evidenze informatiche: il contenuto, che verrà introdotto nel processo sottoforma documentale (la digital evidence ) è un documento informatico che dovrà essere in grado di attestare la chain of custody (o “catena di custodia”) della digital evidence e assicurarne validità probatoria.
Va subito detto che, dal punto di vista tecnico, esiste una numerosa serie di protocolli operativi standardizzati, riguardanti la procedura di acquisizione della prova scientifica digitale. Il problema è che tali protocolli, oltre a dover essere sempre sottoposti ad aggiornamenti indotti dal rapido mutamento delle scienze e delle tecnologie, non sono omogenei, né allineati.
In Italia, possiamo contare sulla Circolare 1/2018 pubblicata dalla GdF Manuale operativo in materia di contrasto all’evasione e alle frodi fiscali.
In Europa, nel 2015, invece, l’Agenzia dell’Unione Europea per la cybersicurezza (ENISA) ha pubblicato un documento che mira a spiegare i principi della raccolta di solide prove e cerca di sollevare le giuste domande che devono essere poste da coloro che, per primi, intervengono nelle indagini forensi. A livello Europeo, ci sono diverse Guide pubblicate dal Consiglio d’Europa quali:
- The Electronic evidence guide (rev.2022)
- Guide for First Responders to Cybercrime Investigations (2021)
- Guide on Seizing Cryptocurrencies (2021)
- Guidelines of the Committee of Ministers of the Council of Europe on electronic evidence in civil and administrative proceedings (2019)
- Digital Forensics – A basic guide for the management and procedures of a digital forensics laboratory (2018)
L’Organizzazione Internazionale per la normazione (ISO), a sua volta, nel 2012, ha pubblicato una Guideline (Guidelines for identification, collection, acquisition and preservation of digital evidence ISO 27037:2012), uno standard estremamente utile, in quanto garantisce un framework condiviso a livello internazionale. Lo standard fornice una guida dettagliata sull’identificazione, la raccolta/acquisizione, etichettatura, trasporto e conservazione delle prove elettroniche, in particolare per garantirne l’integrità. Lo standard copre i sistemi IT c.d. ‘tradizionali’ ma anche i sistemi più complessi e specifici quali, ad esempio, il cloud computing ed è rivolto principalmente ai primi soggetti che si imbattono nella fonte di prova digitali e quindi devono subito garantirne la inalterabilità.
Altri standard ISO rilevanti sono:
- ISO 27042:2015 che norma le attività di analisi ed interpretazione;
- ISO 27050:2020 che riguarda l’e-discovery, ovvero il processo che, nell’ambito delle attività di informatica forense, consente di cercare e individuare dati informatici presenti in archivi digitali.
Passando a trattare le forme più evolute di digital forensics, come la Cloud Forensics, si riscontra un altro problema di natura legale: la carenza di standard internazionali.
Se consideriamo l’ambito IoT, ad esempio, i metodi tradizionali di estrazione delle prove digitali entrano ulteriormente in difficoltà. Negli ultimi anni i ricercatori hanno cercato di sviluppare dei framework specifici per l’IoT così da garantire l’integrità dei dati raccolti dagli investigatori. Ad esempio, alcuni ricercatori hanno proposto un framework specifico per l’IoT, ma compatibile con gli standard ISO 27043:2015. Si tratta del «Generic digital forensic investigation framework for IoT» edito nel 2016.
Tutta questa frammentazione di giurisdizioni e protocolli tecnici ci porta a capire l’importanza delle prospettive internazionali, in particolari europee, in materia di cooperazione giudiziaria.
In questi termini, l’autorizzazione alla ratifica del Secondo Protocollo addizionale alla Convenzione di Budapest da parte del Consiglio d’Europa lo scorso 14 febbraio (che dovrebbe migliorare l’accesso transfrontaliero alle prove elettroniche) e l’approvazione del Regolamento e-evidence (relativo agli ordini di produzione e di conservazione di prove elettroniche in materia penale) potrebbero rappresentare un passo avanti significativo.
Non resta che attendere gli sviluppi da parte del Legislatore europeo, che sembra essere ancora un passo indietro, rispetto all’avanzare della tecnologia e alle esigenze processuali.