L'informatica forense e la Legge 48/2008
Articolo 07.05.2012 (Cesare Maioli, Elisa Sanguedolce)
Sommario:
1. Considerazioni introduttive -
2. Gli aspetti processuali più rilevanti della legge n. 48 del 2008 -
2.1. L’ispezione e la perquisizione -
2.2. Il caso della cd perquisizione online -
2.3. Il sequestro -
2.4. Il cd freezing dei dati -
2.5. L’art. 51 c.p.p. e modifiche alla competenza -
3. Conclusioni.
1. Considerazioni introduttive
In data 27 febbraio 2008 è stata ratificata dal Senato la legge di ratifica alla Convenzione di Budapest del 23 novembre 2001 del Consiglio d’Europa; dopo un’appassionata ed elaborata analisi della normativa presso le Commissioni riunite di Giustizia e Senato si è arrivati, frettolosamente anche grazie ad un accordo fra maggioranza e opposizione, sul finire della legislatura all’approvazione del testo definitivo contenuto nella legge 18 febbraio 2008, n. 48. Se da un lato suddetta legge ha avuto il pregio di conformare l’ordinamento italiano agli obblighi pattizi sottoscritti in sede internazionale, dall’altro l’intervento attuativo, tutt’altro che repentino[1], ha deluso in parte le aspettative della dottrina la quale da tempo evidenziava le problematiche connesse all’uso delle tecnologie sia a livello di diritto sostanziale sia a livello di diritto processuale, auspicando un organico intervento del legislatore che tenesse in considerazione le questioni emergenti. Come si legge dalla Relazione di presentazione[2], i Relatori e la Commissione Giustizia hanno accolto le perplessità mostrate nell’ambito dei lavori preparatori da personalità esterne alle funzioni parlamentari che sono state interpellate, in quanto il testo nella prima versione non rimandava a particolari norme tecniche, estendendo semplicemente l’oggetto dei mezzi di ricerca della prova. L’aspetto più delicato ruota attorno all’esigenza di garantire la genuinità della prova digitale, come già traspariva nella Raccomandazione R (95) del 13 settembre 2001 firmata dal Comitato dei Ministri del Consiglio d’Europa, antesignano della Convenzione, nella quale si sottolinea l’esigenza “to collect, preserve, and present electronic evidence in ways that best ensure and reflect their integrity and irrefutable authenticity (…) should be recognized”(art. 13). Se da un lato le riforme introdotte dalla legge n. 48/2008 sono state salutate con favore avendo il merito quanto meno di disciplinare modalità e limiti all’attività investigativa già operante a livello di prassi giudiziaria, dall’altro si è stati indotti a parlare di occasione perduta”[3]. Il legislatore italiano ha “aggiornato” parte delle disposizioni in tema di mezzi di ricerca della prova allargandone l’oggetto attraverso il riferimento a “sistemi informatici o telematici” prevedendo, in parallelo, che tali operazioni assicurino la conservazioni dei dati originali e la non alterabilità dei dati stessi. Ciò genera un richiamo naturale e necessario alle attività connesse alla disciplina della cd digital forensics, definita come “ use of scientifically derived and proven methods toward the preservation, collection, validation, identification, analysis, interpretation, documentation and presentation of digital evidence derived from digital sources for the purpose of facilitating or furthering the reconstruction of events found to be criminal, or helping to anticipate unauthorized actions shown to be disruptive to planned operations”[4]. Assumono quindi rilevanza e considerazione tutte quelle attività che si sostanziano come serie concatenate di azioni volte alla raccolta di potenziali evidenze elettroniche costituite da bit, con lo scopo di ricostruire eventi penalmente rilevanti, secondo metodi scientificamente approvati e validati. L’informatica forense ha come fine ultimo quello di conservare, identificare, acquisire, documentare e interpretare i dati contenuti all’interno dei dispositivi, garantendone la non alterazione del sistema informatico già in sede di acquisizione, proseguendo, poi, in sede di analisi attraverso la genuina rappresentazione dei dati così acquisiti: solo in questo modo si potrà “dar voce alle prove”[5]. Le norme tecniche correlate al materiale informatico si fondono a quelle giuridiche nella sfera delle scienze forensi: in altri termini, “il processo di identificare, preservare, analizzare e presentare la prova digitale deve rappresentarsi come accettabile in un procedimento legale o in un contesto legale”[6] che ai fini di legalità dovrà dirsi conforme alle prescrizioni derivanti dal recepimento italiano della Convenzione di Budapest.
Nel disciplinare il modus operandi delle operazioni può osservarsi come l’attenzione del legislatore si sia focalizzata, giustamente, più sul risultato che deve essere ottenuto piuttosto che sul metodo da seguirsi: chiaramente la canonizzazione all’interno di norme giuridiche di procedure tecniche a livello informatico più che rappresentare una garanzia, avrebbe sicuramente portato, alla lunga, ad effetti contrari e distorsivi rappresentati dall’evoluzione costante della disciplina e dalle peculiarità proprie di ciascun caso[7]. Fra le righe dell’intervento si scorge un richiamo alle cd best practices del settore, volte a delineare i paradigmi dell’agire tecnico in ambito forense, attraverso una metodologia di base che miri: a) all’acquisizione della prova senza alterare o danneggiare il dispositivo originale; b) all’autenticazione del reperto e dell’immagine (bit stream image) acquisita; c) a garantire la ripetibilità dell’accertamento; d) a un’analisi senza modificazione dei dati originari; e) alla massima imparzialità nell’agire tecnico. A livello pratico, tuttavia, l’attuazione e lo sviluppo di procedure condivise si scontrano con due ordini di limiti, riconducibili, da un lato, alla “variabile tecnologica” rappresentata sia dalle caratteristiche dei supporti in cui i dati sono contenuti sia dall’habitat tecnologico cui il dispositivo s’inserisce ed opera (si pensi ad esempio all’acquisizione di dati contenuto all’interno di un hard disk in un ambiente di trust computing, ossia dotato di meccanismi di cifratura del contenuto); dall’altro, rileva la “variabile soggettiva”, costituita dal soggetto che opera e dagli obiettivi ad esso connessi: per le Forze di Polizia il fine sarà quello di acquisire elementi utili alle indagini preservandone l’autenticità, per la Magistratura collegare tali risultanze a fatti penalmente rilevanti, per il Consulente tecnico della difesa o il difensore nell’ambito delle investigazioni difensive controllare che i processi seguiti consentano un idoneo esercizio del diritto di difesa[8].
Prima dell’intervento riformatore del legislatore ad opera della legge n. 48 del 2008, si registravano, purtroppo, prassi non troppo edificanti, spesso mosse da semplificazioni e approssimazioni investigative, che, esaltando fin troppo il ruolo e la portata decisiva assunta dalle digital evidence in alcuni contesti, portavano gli attori mossi dall’entusiasmo ad una crescente disattesa delle procedure, non solo nuove ma anche tradizionali quali, per esemplificare, i riscontri, i pedinamenti, le osservazioni. Il legislatore, già nel 1993, con l’adozione della legge n. 547, era intervenuto principalmente sul piano del diritto sostanziale introducendo nel sistema numerose fattispecie incriminatrici rientranti nella sfera del cd cybercrime, e contestualmente in ambito processuale con l’istituto delle intercettazioni di comunicazioni informatiche o telematiche di cui all’art. 266-bis c.p.p. con le relative modalità attuative previste dal successivo art. 268 c.p.p. in particolare al comma 3-bis. A oggi, combinando le due novelle, è possibile ricreare, all’interno delle disposizioni sui mezzi di ricerca della prova, un sistema accomunato dal particolare mezzo su cui viene a riversarsi l’attività d’indagine rappresentato dal sistema informatico o telematico, consolidandosi “l’interazione fra diritto penale sostanziale e processuale, fra natura giuridica del reato informatico e specialità dell’investigazione digitale.”[9]
2. Gli aspetti processuali più rilevanti delle legge n. 48
Nel dettaglio la legge di ratifica consta di 14 articoli, divisi in quattro capi. Tre, in sostanza, sono i campi di intervento finalizzati rispettivamente al rafforzamento degli istituti rilevanti in sede di cooperazione internazionale, ad una miglior armonizzazione e disciplina in ambito di diritto sostanziale relativa al cybercrime e, in ultimo, alla predisposizione di strumenti processuali comuni e condivisi atti all’acquisizione e conservazione delle evidenze elettroniche. Meritano particolare attenzione, proprio per le novità processuali rappresentate, le norme contenute all’interno del Capo III avente a oggetto le modifiche al codice di procedura penale e al codice di cui al d.lgs. n. 196/2003.
Con la legge n. 48 il legislatore chiude un cerchio delineando un sistema che appresta non solo un’idonea tutela sostanziale ma altresì dota l’intero sistema processuale di strumenti atti all’acquisizione e valutazione della nascente disciplina sulla prova informatica. Ecco quindi che si fa strada sul punto il concetto digital evidence, come risultato di attività d’indagine volta sia all’identificazione dell’autore di crimini informatici, sia all’identificazione dell’autore di reati comuni, commessi col mezzo informatico e non, mediante l’impiego di procedure informatiche proprie della digital investigation. L’ambito di applicazione del nuovo sistema, infatti, si spinge oltre il terreno del cybercrime, aprendosi a qualsiasi tipologia di reato per cui si proceda, in perfetta aderenza sul punto con il dettato internazionale della Convenzione[10], generando quindi un incremento nella domanda d’analisi del dato digitale per fini di giustizia. Si può ben facilmente comprendere come tale intervento abbia portata notevole sulla disciplina generale in tema di prove, soprattutto con riguardo alle garanzie costituzionali e difensive che interessa. “Proprio perché così rilevante, delicata e di “stringente attualità”, la materia avrebbe richiesto un approccio ben più attento, (…) evitando la loro facile “moltiplicazione” o mera “estensione” ai nuovi fenomeni da regolare”[11]. In realtà gli artt. 8, 9 e 11 della legge n 48/2008 si sono limitati ad adeguare attraverso operazioni di “chirurgia lessicale” disposizioni processuali già vigenti, lasciando come unica novità la procedura di “conservazione rapida dei dati”, cd freezing, prevista dall’art. 16 della Convenzione e introdotta mediante l’aggiunta di commi all’art. 132 del cd Codice della privacy. Ci si riferisce in particolare al lessicale intervento a cui sono state sottoposte numerose disposizioni come la materia di ispezioni e rilievi tecnici (art. 244, 2°comma c.p.p.), l’esame di atti, documenti e corrispondenza presso banche (art. 248, 2°comma c.p.p.), i doveri di esibizione e consegna (art. 256, 1° comma c.p.p.), gli obblighi e le modalità di custodia (art. 259, 2° comma c.p.p.), i sigilli e i vincoli delle cose sequestrate (art. 260, 1° e 2° comma c.p.p.), l’acquisizione di plichi e corrispondenza (art. 353, 1° e 2° comma c.p.p.) e, infine, gli accertamenti urgenti e il sequestro (art. 354, 2° comma c.p.p.). Per ogni disposizione qui richiamata il legislatore ha ampliato il mero oggetto della norma attraverso l’inserimento di espressioni che rimandano ad attività connesse a “dati, informazioni e programmi informatici”. Al di là della discutibile scelta sul metodo emendativo seguito, si può notare come tale espressione sia fuorviante, ricomprendendo al suo interno categorie variegate che comportano, ai fini della loro acquisizione, attività diversificate per natura. L’intento dei redattori è stato sicuramente bonario, teso alla ricerca della maggior completezza possibile, ma che appunto a livello pratico risulta ingannevole: sarebbe stato sufficiente il richiamo ai data, eventualmente specificandone la tipologia (stored computer data, traffic data) fugando ogni dubbio circa la necessità a che il dato da acquisire non sia elaborato ma originario.
2.1. L’ispezione e la perquisizione
L’essenza del provvedimento in materia processuale è rappresentata dalla modifica delle disposizioni relative alle ispezioni e alle perquisizioni: in entrambe i casi viene offerto un “paradigma” sul corretto modus operandi da seguirsi nelle operazioni di accesso al computer oggetto d’indagine, sottolineando la necessità alla salvaguardia dell’integrità dei dati digitali che assume, quindi, canone operativo imprescindibile. È frequente, infatti, la precisazione circa la necessità di adottare “misure tecniche dirette ad assicurare la conservazione dei dati originali e ad impedirne l’alterazione” a sostegno di un duplice obiettivo: da un lato, garantire la genuina acquisizione di elementi probatori che potranno assumere successivamente valenza di prova, dall’altro, sul fronte delle garanzie difensive, permettere un controllo sull’operato degli inquirenti, il quale deve necessariamente prendere le mosse dalla verifica sulle procedure acquisitive. Si è osservato[12] che la locuzione sopra richiamata appaia come “norma processuale in bianco” attraverso un implicito richiamo alle best practices del settore, senza però indicare quale fra le molteplici esistenti ci si debba riferire. Il legislatore mostra una certa indifferenza qualitativa fra le plurime procedure, lasciando margine d’azione e di scelta al forenser che concretamente porrà in essere le operazioni secondo la tecnica preferita senza che tale scelta comporti alcuna “trappola della legittimità”[13], sempreché il risultato acquisito rispetti il vincolo della formula normativa sopra richiamata.
Tradizionalmente l’ispezione e la perquisizione sono operazioni classiche di ricerca della prova. L’attività tipica dell’inspicere si sostanzia in un’attività volta all’osservazione di persone, luoghi, cose e volta all’accertamento di tracce o altri effetti materiali del reato (art. 244, comma 1°); di contro l’attività tipica del perquirere si caratterizza per essere volta all’individuazione e acquisizione del corpo del reato o delle cose ad esso pertinenti, spesso qualificandosi come attività prodromica rispetto al sequestro probatorio (art. 247, comma 1°). La novella ha interessato entrambe le disposizioni: tuttavia, il disegno originario di legge approvato dal Consiglio dei Ministri nel maggio 2007 aveva previsto in origine un mero ampliamento circa l’oggetto delle rispettive attività senza prevedere le garanzie di affidabilità imposte dalla Convenzione sul Cybercrime. Fortunatamente, e grazie all’apporto degli specialisti intervenuti in sede di stesura, si è posta concretamente l’attenzione sulla problematica più delicata che si ravvisa in dette operazioni: la preservazione della scena criminis informatica. Si è quindi inserita al 2° comma dell’art. 244 la possibilità per l’autorità giudiziaria di disporre l’ispezione “anche in relazione a sistemi informatici o telematici, adottando misure tecniche dirette ad assicurare la conservazione dei dati originali e la loro inalterabilità”; per quel che riguarda la materia delle perquisizioni, il successivo art. 247, al comma 1-bis stabilisce che “quando vi è fondato motivo di ritenere che dati, informazioni, programmi informatici o tracce comunque pertinenti al reato si trovino in un sistema informatico o telematico, ancorché protetto da misure di sicurezza, ne è disposta la perquisizione, adottando misure tecniche dirette ad assicurare la conservazione dei dati originali e ad impedirne l’alterazione”. In sostanza quindi “qualora l’objectum da “scrutare” o “frugare”, per dirla con Cordero, sia un sistema informatico devono essere adottate misure tecniche dirette ad assicurare la conservazione dei dati originali e a impedirne l’alterazione.”[14] Da qui due corollari di notevole importanza: il primo viene a qualificare l’attività ispettiva o perquisente in ambiente virtuale come attività potenzialmente e concretamente idonea a modificare in maniera irreversibile lo stato e il contenuto interno del dispositivo sottoposto alla misura; il secondo si riconosce “la natura ontologicamente volatile e alterabile del dato digitale, su cui possono spesso incidere condotte involontarie atte a ingenerare fenomeni di “inquinamento” e la conseguente necessità di impiegare standard operating procedure idonee a garantire la genuinità dell’accertamento”[15]. Adattare le due figure all’ambiente virtuale su cui andranno a operare non è sempre agevole, considerando soprattutto che a livello tecnico le attività in esame possono essere attuate attraverso procedure essenzialmente analoghe sfumando in concreto la linea di demarcazione fra i due istituti.
Posto che, come detto, l’attività ispettiva è diretta alla ricerca visiva tesa all’individuazione di tracce o effetti materiali del reato, in quali termini è possibile parlare di ispezione informatica? Quali possono essere le modalità attuative? A livello informatico esplorare un sistema alla ricerca di dati e tracce informatiche inerenti ai fatti oggetto dell’ispezione comporta irrimediabilmente l’alterazione dei dati di sistema e dei metadati relativi ai file oggetto di attenzione da parte degli inquirenti. Parte della dottrina[16] ha infatti sottolineato come l’attività ispettiva in ambiente informatico dovrebbe limitarsi ad osservare il sistema descrivendolo nei suoi particolari, ad esempio rilevando la presenza di periferiche collegate, accesso alla rete attivo, presenza di software in funzione, partizioni logiche nascoste e rese visibili da meccanismi di autorizzazione connessi allo status dell’utilizzatore (ad esempio amministratore di sistema e chiavi di cifratura). Altra parte,[17] invece, ne incoraggia l’utilizzo soprattutto con riguardo a reati di lieve entità (ad esempio diffamazione a mezzo Internet, diffusione di virus) o per casi dove è necessario acquisire solo una piccola parte dei dati contenuti nei dispositivi, rappresentando il sequestro dell’intero contenuto operazione non rispondente al principio di proporzionalità con riguardo al fine (ad esempio nei casi di acquisizione presso terzi di dati rilevanti). Si osserva come questa possibilità soffra comunque di due limiti importanti: il primo, di natura temporale, legato all’impossibilità di poter analizzare in maniera accurata grande quantità di dati, tralasciandone giocoforza l’accuratezza e completezza. Il secondo, legato al rispetto delle garanzie difensive. Rientrando, infatti, nella categoria degli accertamenti irripetibili, le operazioni ispettive dovranno essere condotte secondo lo schema previsto dall’art. 360 c.p.p. Sebbene l’accertamento verrà condotto da operatori tecnici appartenenti alla P. G. in contraddittorio con la parte interessata, eventualmente alla presenza di consulenti tecnici di parte, i risultati così ottenuti saranno cristallizzati in verbali con la conseguente utilizzabilità piena in dibattimento. Resta preclusa la possibilità da parte dell’indagato di esperire ex post una nuova analisi sugli stessi supporti e sullo stesso oggetto, in quanto i risultati saranno necessariamente diversi, stante la modificazione dell’ambiente target operata anteriormente dal cyber investigatore. In realtà, “prevalendo le finalità di descrizione e rilevazione di dati oggettivi, non comportando alcuna apprensione, mediante sequestro, del bene oggetto di ricerca”[18], l’ispezione finalizzata all’acquisizione condotta ex art. 360 c.p.p. appare una via non praticabile, dovendosi quindi preferire la prima soluzione. Ad avallare tale tesi è altresì il dato normativo che individua nel sistema informatico o telematico l’ambito di intervento ispettivo, più ampio rispetto alla disciplina della perquisizione che invece si rivolge a dati, informazioni o programmi: la ratio della norma sembra infatti rimarcare il fine ultimo delle attività dato dall’osservazione del sistema e al più all’accertamento in ordine all’esistenza nel sistema di determinate applicazioni. Il panorama si complica ulteriormente nel caso di utilizzo delle cd preview: attraverso l’utilizzo di software ad hoc viene permesso agli inquirenti in sede d’ispezione, ma anche di perquisizione (fattore, questo, che alimenta ulteriormente la “confusione applicativa” fra i due istituti), di poter analizzare in maniera grossolana il contenuto di un dispositivo per poi scegliere il materiale interessante e, se del caso, procedere a sequestro del dato. Si osserva, tuttavia, come tale operazione debba essere condotta da personale altamente qualificato, stante l’alto rischio di alterazione dei contenuti con conseguente dispersione di una possibile prova e, altresì, debba essere valutata caso per caso non rappresentando ad oggi operazione di routine applicabile indiscriminatamente a qualsiasi fattispecie concreta. Si vedano le riflessioni di parte della dottrina[19] che ne suggerisce un uso attento e calibrato a seconda dell’indagine in essere: ad esempio, se si procede per pedopornografia online, sarà rilevante il materiale detenuto con dolo (presente e non cancellato) all’interno della memoria per cui la preview potrebbe rappresentare un’opportunità utile al fine di evitare il sequestro di materiale “neutro” rispetto al reato per cui si procede; di contro, la confutazione di cd alibi informatici necessita l’apprensione di tutti i dati memorizzati per poter ricostruire, anche attraverso l’ausilio di macchine,[20] le attività poste in essere dalla macchina e sulla macchina e quindi, in questa ipotesi, tale strumento appare inidoneo ai fini dell’accertamento.
L’istituto della perquisizione, come noto, può prodursi in sede d’indagini preliminari a seguito di due distinte modalità: solitamente, avviene d’iniziativa del Pubblico Ministero, il quale, attraverso decreto motivato la dispone prevedendo altresì se eseguirla personalmente o delegarla a ufficiali della Polizia Giudiziaria (P. G.) (art. 247 c.p.p.). Può però accadere che, sempre in sede d’indagini preliminari, la P. G. possa dar luogo personalmente e di propria iniziativa, a perquisizione locale o personale nei casi di flagranza del reato o evasione (art. 352 c.p.p.). In quest’ultimo caso, essendo la perquisizione atto coercitivo potenzialmente lesivo dei diritti costituzionali di cui all’art. 13 e 14 della Costituzione, necessita, ex post, di convalida da parte del P.M. entro le 48 ore successive per accertarne il fondamento: in caso contrario i risultati così ottenuti e cristallizzati all’interno del verbale di perquisizione saranno inutilizzabili. Con la previsione di cui al nuovo comma 1–bis dell’art. 247 c.p.p. il legislatore stabilisce più invasivi poteri da parte degli investigatori prevedendo altresì che “quando vi è fondato motivo di ritenere che dati, informazioni, programmi informatici o tracce comunque pertinenti al reato si trovino in un sistema informatico o telematico, ancorché protetto da misure di sicurezza, ne è disposta la perquisizione, adottando misure tecniche dirette ad assicurare la conservazione dei dati originali e ad impedirne l’alterazione”. Sul punto si rimarca l’importanza rivestita dalla sicurezza informatica, scienza che si pone in un rapporto ambivalente di rimedio-ostacolo alle procedure di informatica forense[21]. Il punto relativo alle misure di sicurezza rende ancor più garantita la figura del “domicilio informatico” alla quale sembrano estendersi tutte le garanzie previste al “domicilio tradizionale”. In parallelo attraverso la modifica all’art. 354 c.p.p. si prevede, in tema di accertamenti urgenti da parte della P. G., che la stessa, prima dell’intervento del Pubblico Ministero sia tenuta alla conservazione dello stato dei luoghi e delle cose pertinenti al reato (1° comma) e, in relazione a dati, informazioni, programmi, sistemi informatici o telematici sia tenuta all’adozione di misure tecniche o prescrizioni necessarie ad assicurarne la conservazione, impedirne l’alterazione e l’accesso e provvedono, ove possibile, alla loro immediata duplicazione su adeguati supporti, mediante una procedura che assicuri la conformità della copia all’originale e la sua immodificabilità (2° comma). In sostanza nell’ambito delle attività in questione dovrà limitarsi a porre in essere azioni volte alla preservazione e assicurazione del quadro probatorio originario.
Ciò che è importante sottolineare, essendo attività prodromica rispetto al sequestro, è la necessità a che la perquisizione, anche in via informatica, sia opportunamente giustificata e legata al thema probandum, attraverso l’individuazione del fatto storico, di natura penalmente rilevante, in cui assume importanza e decisività l’elemento informatico. In mancanza non sarebbe possibile accertare l’esigenza probatoria sottesa al provvedimento, né la riconduzione del dispositivo a corpo del reato o cosa a esso pertinente: si ravviserà quindi non più un mezzo di ricerca della prova bensì uno strumento discutibile di ricerca di notizie di reato. Un’importante possibilità è appunto resa dalla cd preview dei contenuti come sottolineato in precedenza. In ogni caso tali attività, sia di preview sia perquisenti in senso stretto, dovranno essere condotte con le cautele previste dall’art. 247, comma 1-bis c.p.p.: potranno consistere in operazioni di tipo live o dead a seconda dello scenario che concretamente si manifesterà agli occhi degli inquirenti. Diverso, infatti, è il trattamento tecnico da riservare a dispositivi rinvenuti in modalità off o on. Si pensi al caso di ritrovamento sulla scena del crimine di due computer, di cui solo uno acceso. Nel caso di computer spento gli inquirenti, qualora lo ritengano necessario, potranno esaminarne preliminarmente il contenuto e procedere eventualmente a sequestro dell’intero hard-disk o di alcune parti attraverso il ricorso alle procedure previste: ciò che preme rilevare è che in tale ipotesi, il rischio di alterabilità dei dati presenti è più basso rispetto al caso opposto, sempreché in via preliminare siano adottate le cautele previste dalle best practices. La questione risulta invece più complessa nel caso in cui il dispositivo sia acceso e collegato alla rete: in questa ipotesi la prescrizione prevista dall’art. 247, comma 1-bis c.p.p. acquista un peso e una rilevanza ancor più imprescindibile stante l’alto tasso di vulnerabilità del sistema dato dalla sua dinamicità. “Frugare” all’interno di un sistema attivo è attività molto rischiosa che interessa sia la genuinità dei dati rinvenuti al momento dell’atto, sia il tema delle garanzie difensive, rappresentandosi come attività sostanzialmente non ripetibile. Ciò comporta il richiamo all’art. 360 in tema di accertamenti urgenti[22] i quali, tuttavia, non sempre possono essere praticati, vuoi per la natura stessa dell’istituto che è e resta tipico atto d’indagine a sorpresa, vuoi per impossibilità legate al caso concreto (se si proceda contro ignoti, se vi sia una quantità enorme di dati da acquisire, se il target sia rappresentato per esempio da Service Provider, istituti bancari, gestori di telefonia e in generale in tutti i casi in cui possano sorgere problemi sulla qualità del servizio reso dal soggetto interessato a perquisizione).
2.2. Il caso della perquisizione online
A seguito della sentenza della Corte Costituzionale Tedesca (Bundesverfassungsgericht) del 27 febbraio 2008 è esplosa una nuova questione legata alla legittimità circa l’utilizzo di tecnologie sempre più evolute e invisibili in sede d’indagine, rappresentate nel caso concreto dalle cd perquisizioni online. La vicenda ha destato una forte attenzione non solo a livello nazionale ma anche europeo, costituendo un notevole precedente legato al discutibile utilizzo di avanzate tecnologie di controllo da parte degli apparati statali.
Più nel dettaglio, la vicenda ha per oggetto una norma di legge contenuta all’interno della Legge sulla protezione della Costituzione del North Rhein Westfalia (VSG), in particolare il § 5 co. 2, n°11 che autorizzava il Verfassungsschutzbehörde, organismo di intelligence a “protezione della Costituzione”, a effettuare due tipi di attività: un monitoraggio segreto su quanto accadesse in Internet e l’accesso a sistemi informatici attraverso un meccanismo di intrusione a mezzo Trojan, sempre in modalità silente.[23] A livello tecnico, esistono essenzialmente due modelli di monitoraggio delle attività che più si avvicinano al concetto di perquisizione virtuale: la cd online search o one time copy ovvero la online surveillance. La prima si caratterizza per consentire l’acquisizione mediante copia di dati contenuti all’interno delle memorie dei dispositivi oggetto di attenzione; la seconda permette un monitoraggio costante delle attività in rete poste in essere da un soggetto associato a un determinato account. Grazie all’utilizzo di cd sniffer[24] o attraverso l’intrusione di “programmi spia”, come appunto il trojan-horse oggetto della vicenda, tali operazioni sono rese tecnicamente possibili. È ben evidente come tali strumenti siano fortemente invasivi nella sfera privata e di libertà dei soggetti sottoposti a tale misura, tenuto conto, fra l’altro, della loro caratteristica peculiare rivestita dal fatto di essere, informaticamente parlando, innocua. Il soggetto “attenzionato”, infatti, nulla può sospettare in tal senso, non provocando alcun tipo di interferenza qualitativa sulle prestazioni rese dal dispositivo interessato, computer o connessione Internet che sia, sollevando quindi forti perplessità circa il loro utilizzo, soprattutto da un punto di vista difensivo.
Numerose infatti sono state le censure mosse dalla Corte Costituzionale che con la ricordata sentenza del 27 febbraio 2008 ha dichiarato incostituzionale la norma che consentiva l’utilizzo di quello che è stato ribattezzato dalla cronaca come “Trojan di Stato”. In primis la Corte ha sottolineato come l’utilizzo delle nuove tecnologie, quindi non solo quelle oggetto della sentenza, debba necessariamente bilanciarsi con la necessità alla salvaguardia dei diritti fondamentali della persona, riconducibili per l’ordinamento tedesco all’art. 10 della Legge Fondamentale. Successivamente esamina la relazione fra l’art. 13 della Legge Fondamentale (inviolabilità del domicilio) e una sua possibile estensione al sistema informatico: posto che la norma costituzionale garantisce uno spazio di dignità ai singoli, indipendentemente dalla sua ubicazione, e che l’intrusione prevista dal VSG va oltre ai dati privati permettendo una completa profilazione dell’utente, deve necessariamente estendersi la protezione sopra richiamata. Ciò rafforza quel “diritto all’autodeterminazione informativa” che “va oltre la tutela della privacy e non si limita a informazioni sensibili per natura ma conferisce alla persona, in linea di principio, il potere di determinare, in sé, la divulgazione e l’utilizzo dei suoi dati personali, anche se connotati da un contenuto informativo minimo, che amplia la tutela della libertà della vita privata.”[25] Sul punto la Corte ne amplia il contenuto, creando, di fatto, un “nuovo” diritto alla riservatezza e integrità del sistema informatico o telematico, ai quali viene offerta una “prosecuzione della tutela” proprio perché attraverso gli stessi l’individuo moderno traspone ed esplica parte della propria personalità e in forza di ciò deve essere tutelato contro l’accesso segreto.
Per quanto riguarda la seconda attività assimilabile alla one time copy la Corte ha censurato il dettato normativo, non rispondente a “chiarezza e determinatezza” stante l’impossibilità di ricavarne i presupposti applicativi dalla formulazione che si risolve in una “clausola di salvezza” inidonea a regolarne gli effetti in un caso delicato come questo. Si ravvisa un controllo smodato e pervasivo dei sistemi informatici dei cittadini senza che ciò venga a essere sufficientemente giustificato, anche alla luce del principio di proporzionalità. Di per sé ciò non implica l’impossibilità totale da parte delle Autorità di avvalersene; al contrario, tale eventualità deve rappresentare un’eccezione per cui deve essere necessaria un’idonea giustificazione, rappresentata da idonei beni giuridici primari da tutelare come la vita, l’incolumità fisica, la libertà personale e collettiva la cui minaccia può provocare serie ricadute sulle fondamenta dello Stato. Qualora ciò avvenga, e si renda quindi necessario il ricorso a tali procedure investigative invasive, si dovrà comunque procedere a una sorta di “compensazione di rappresentanza” degli interessi da parte del soggetto sottoposto a procedimento.
La vicenda della Online Durchsuchung può essere assimilata, volendo tentare un parallelismo con la disciplina processuale italiana, alle attività di contrasto alla pedopornografia online, pur rappresentandosi come “tertium genus” fra ispezione e perquisizione[26]. Alcuni studiosi si sono interrogati all’indomani della sentenza a commento, sulla possibile cittadinanza all’interno del panorama giuridico italiano di dette perquisizioni online. A tale quesito hanno dato risposta negativa stante non solo l’attuale panorama legislativo previsto dal codice di procedura ma anche, e soprattutto a seguito delle sentenze della Corte Costituzionale n. 348 e n. 349 del 2007 nonché n. 39 del 2008 riconoscendo ai principi CEDU valore di norma interposta rispetto alle leggi ordinarie. A livello codici stico, non rientrando in alcuna delle categorie tipizzate dal legislatore, potrebbero al limite rientrare in attività di indagine atipiche o innominate. Poiché come visto sopra tali procedure minano la riservatezza della vita privata, bene giuridico protetto da riserva di legge, il ricorso a tali procedure si porrebbe in contrasto con l’orientamento prevalente di legittimità rappresentato dal famoso “Caso Prisco” nel quale si è stabilita l’illegittimità di una determinata attività investigativa qualora ne assuma i caratteri dell’atipicità andando a incidere su un bene giuridico protetto da riserva di legge. A fortiori, le richiamate sentenze di legittimità sui principi Convenzione Europea dei Diritti dell’Uomo, in particolare per quel che qui ci riguarda il principio derivante dall’art. 8 sul rispetto alla vita privata e familiare, assumono un’ulteriore valenza rafforzatrice di tale indirizzo. Segue quindi che “se le perquisizioni online fossero effettuate in un procedimento penale italiano, dovrebbero essere dichiarate inammissibili come prova perché, non previste dalla legge, verrebbero a incidere su un bene giuridico - la riservatezza della vita privata - la cui lesione, alla luce del nuovo combinato costituzionale-sovranazionale (…) esige la previa determinazione, da parte del legislatore ordinario, dei casi e dei modi di aggressione a quel bene.”[27]
2.3. Sequestro
Altra importante modifica va segnalata nel settore del sequestro probatorio, istituto anch’esso interessato dall’intervenuta evoluzione tecnologica. In particolare all’art. 260 c.p.p. si prevede la possibilità da parte delle autorità di assicurare le cose sequestrate anche attraverso l’apposizione si sigilli di carattere elettronico o informatico, idoneo a indicare il vincolo imposto a fini di giustizia. Tale previsione recepisce anche a livello processuale la certificazione fra copia e originale tramite procedure informatizzate, ossia le cd hash functions; inoltre, al 2° comma, estende la presunzione di deperibilità e alterazione prevedendo la possibilità di effettuarne copia che deve essere realizzata su adeguati supporti mediante procedura che assicuri la conformità della copia all’originale e la sua immodificabilità. Il sequestro rappresenta l’istituto processuale che più ha fatto discutere, e, che continua tutt’oggi a generare profili di maggior criticità. Per molto tempo dottrina e giurisprudenza si sono confrontate, in momenti diversi, sulla possibile qualifica del computer quale corpo del reato o cosa pertinente al reato. È chiaro che il vincolo pertinenziale fra reato e supporto informatico sussisterà ogni qualvolta esso potrà qualificarsi come “arma del delitto” (si pensi ai cd reati informatici propri, in cui la condotta avviene ed, è diretta a dispositivi informatici). Di contro, nei casi in cui il calcolatore rappresenti cosa pertinente al reato, ossia strumento per risalire attraverso le tracce ivi presenti alle fasi preparatorie e alla condotta assunta in concreto dal soggetto indagato tale automatismo non può operare, dovendosi caso per caso analizzare il ruolo giocato all’interno della vicenda. La questione ruota attorno al cd “vincolo pertinenziale” esistente fra i dati digitali e i supporti in cui risultano memorizzati. In passato la giurisprudenza dominante affermava come “non sarebbe possibile individuare supporti o elementi informatici che, sottoposti a sequestro, si possano ritenere non necessari per gli accertamenti di natura tecnica”[28]. Ciò avallava prassi distorsive e ingiustificate che, basandosi su asseriti vincoli pertinenziali[29], conducevano a sequestri indiscriminati di materiale neutro rispetto al computer come stampanti, tastiere, schermi, mouse fino addirittura ai tappetini mouse-pad. Ciò ha portato alcuni autori a ironizzare su tale condotta, definendola attinente a un principio di precauzione secondo cui “ non sapendo bene con cosa si ha a che fare, meglio eccedere e prendere tutto ciò che, genericamente, ricade nella nozione di hardware”[30]. La giurisprudenza minoritaria, aveva a suo tempo avvertito come “gli accessori non possono ritenersi rientranti nel concetto di corpo del reato, non essendo cose mediante le quali è stato commesso il reato”[31]. Inoltre può osservarsi come estendere il sequestro all’intero elaboratore risulti lesivo sotto due aspetti: il primo di natura economico-sociale, stante il ruolo decisivo che tale strumento assume nella quotidiana vita di ciascuno di noi. Il secondo è legato alla potenziale incidenza (anche negativa per l’indagato) dei dati rinvenuti all’interno che non si pongano in un rapporto di connessione rispetto ai fatti contestati. Si osserva quindi come più che di sequestro fisico legato al disco rigido (unità sola rilevante ai fini dell’acquisizione) si debba correttamente parlare di sequestro logico di dati, attraverso la creazione di bit stream image capaci di riportare fedelmente il contenuto dello stesso attraverso una sorta di fotografia dell’intero sistema.
Essendo ormai consolidato a livello di prassi il ricorso alla duplicazione garantita da possibili alterazioni e immodificabilità del contenuto delle memorie, sorge un’ulteriore questione legata ai contenuti rinvenuti. Sul punto si scontrano diverse esigenze: da un lato, l’interesse pubblico all’acquisizione di elementi utili per l’indagine nell’ottica della ricerca della verità processuale, dall’altro il diritto dell’indagato al rispetto dei suoi diritti, difensivi, ma anche e soprattutto legati alle libertà costituzionalmente previste. Netta è la posizione della Cassazione che nella sentenza n. 735/2007 afferma come l’acquisizione indiscriminata di informazioni, rectius dati, contenuti all’interno della memoria di un computer non può e non deve risolversi in una distorsione delle attività d’indagine volte alla ricerca della notitia criminis. In un caso analogo ha sostenuto ad ampie lettere come “l’atto acquisitivo, non individuando in maniera chiara e specifica il legame intercorrente fra il reato per cui si procedeva e l’azione di sequestro dell’intera memoria informatica, si è risolto in una acquisizione indiscriminata (…)”[32] generando l’illegittimità del sequestro stesso.
La legge n. 48 è intervenuta altresì in tema di sequestro di corrispondenza sia all’art. 254 c.p.p. (sequestro di corrispondenza) sia all’art. 353 c.p.p. (acquisizione di plichi o corrispondenza). Come noto il tema è di grande delicatezza, stante la protezione costituzionale rappresentata dall’art. 15 della Costituzione che impone il rispetto di una duplice garanzia rappresentata dalla riserva di legge e dalla riserva di giurisdizione. In particolare l’art. 254 c.p.p. prevede la possibilità da parte dell’autorità giudiziaria di disporre il sequestro di corrispondenza quando abbia fondato motivo di ritenere che la corrispondenza diretta o riferibile all’imputato possa avere una qualche relazione con il reato per cui si procede. Le novità apportate dalla legge n. 48 possono essere lette sotto tre differenti aspetti della questione. In primo luogo vi è stato un ampliamento dei soggetti coinvolti dal sequestro, nel senso che accanto ai tradizionali servizi postali e telegrafici sono stati richiamati più genericamente i “fornitori di servizi postali, telegrafici, telematici e di telecomunicazione”, poiché sempre più non solo gli Internet Service Provider ma anche i tradizionali servizi postali sono offerti al grande pubblico mediante la modalità elettronica. Si veda, infatti, come sul punto anche la stessa normativa internazionale accolga una definizione “omnicomprensiva” di fornitore di servizi quale “any public or private entity that provides to users of its service the ability to communicate by means of a computer system, and any other entity that processes or stores computer data on behalf of such communication service or users of such service.” (art. 1 CoC). In seconda battuta si stabilisce a chiare lettere l’equiparazione fra inoltro tradizionale e inoltro telematico (letteralmente (…) “anche se inoltrati per via telematica”): alla luce di ciò, potrà qualificarsi legittimo il provvedimento di sequestro che abbia per oggetto qualsiasi comunicazione inviata o ricevuta dall’indagato mediante l’utilizzo di strumento elettronici. In ultimo, il secondo comma, fa riferimento al caso in cui qualora al sequestro provveda un ufficiale di P. G., questi è tenuto alla sola presa in consegna, “senza aprirli o alterarli o prendere altrimenti conoscenza del loro contenuto”. Con l’espressione “alterarli” vi è un implicito rinvio alla forma informatica della comunicazione e, in conseguenza, anche alle norme forensi che ne permettono l’acquisizione mediante procedure che ne garantiscano l’immodificabilità del contenuto (una su tutte la funzione di hashing). Sul fronte del sequestro a iniziativa della P. G., l’art. 353 c.p.p. prevede in generale la facoltà per la stessa di acquisire plichi sigillati. Nel caso di comunicazioni elettroniche è interessante la novità rappresentata dall’apprensione del contenuto della comunicazione in casi urgenti: qualora, infatti, sussista un pericolo di dispersione a causa del ritardo, l’ufficiale di P.G. può chiedere al P.M. l’autorizzazione all’apertura “e l’accertamento del contenuto”; sul punto la dottrina lamenta “un vuoto difficilmente colmabile”[33] rappresentato dalla mancanza del richiamo alla forma elettronica, non praticabile mediante interpretazione estensiva del successivo terzo comma. Qui si prevede, infatti, in maniera esplicita che in caso di “oggetti di corrispondenza, anche se in forma elettronica o inoltrati per via telematica”, qualora sussistano ragioni di urgenza, gli agenti possono ordinare al gestore del servizio di sospenderne l’inoltro per poterli “congelare”. Se entro le quarantotto ore successive il P.M. non ne dispone il sequestro, potrà proseguirsi con l’ordinaria trasmissione.
Inquadrati i termini del problema dal punto di vista normativo, non ci resta che analizzare la questione del sequestro di corrispondenza da un punto di vista pratico. Ci si riferisce in particolare alle problematiche connesse all’utilizzo di programmi di gestione della posta elettronica (Outlook Express nella versione Windows, Mail nella versione Macintosh). Il frequente utilizzo delle e-mail ha portato, infatti, accanto all’utilizzo delle tradizionali applicazioni live fornite dai gestori di posta elettronica (msn-hotmail, yhaoo-yhaoomail, google-googlemail), alla diffusione di numerosi software ad hoc per la ricezione e gestione della posta in entrata e in uscita, attraverso meccanismi di transito diretto al computer. La questione ruota intorno al trattamento giuridico da riservarsi in sede d’acquisizione del dato mediante tecniche forensi. In particolare, l’acquisizione di messaggi di posta contenuti all’interno di programmi subiscono lo stesso trattamento se contrassegnati come “letti” o “nuovi”? La dottrina, sul punto, argomenta in maniera diversa: tuttavia è concorde nel ritenere che l’acquisizione di messaggi “in uscita” debba avvenire nel rispetto degli art. 254 e 353 del codice. Lo scontro di posizioni è dato dal rinvenimento di messaggi aperti e nuovi presenti sul programma gestionale o su browser aperto all’indirizzo legato al gestore di posta elettronica in modalità remota. La posizione più garantista[34] ritiene applicabile ai messaggi non letti la procedura dettata dall’art 254 c.p.p. con conseguente acquisizione garantita contro alterazioni e trasmissione al P. M., il quale, successivamente ne valuterà la sequestrabilità. Di contro per i messaggi aperti, la garanzia sopra ricordata non sembrerebbe applicabile in quanto non integrerebbe l’ipotesi di corrispondenza “chiusa” o “sigillata”. Per arginare in parte la lacuna e per ragioni di coerenza si è argomentato come anche la password inserita all’interno delle impostazioni relative al programma gestionale di posta possa assumere valore di “sigillo”, estendendo anche a questa ipotesi l’applicabilità dell’art. 353 c.p.p. . L’argomentazione, forzata, parte del presupposto che, nel configurare il programma, l’utente fornirà id e password d’accesso corrispondenti all’account di posta creato presso il proprio gestore: nei successivi accessi il programma non richiederà nuovamente tali informazioni, poiché saranno memorizzate come impostazioni di configurazione di base. È chiaro che qualora la P. G. acceda al dispositivo o rinvenga lo stesso già in funzione, potrà rilevare la presenza del programma gestionale in uso già impostato, libero da qualsiasi misura di sicurezza atta a prevenirne l’apprensione. La tesi sicuramente è forzata ma, in ragione della delicatezza della materia, risulta per i sostenitori l’unica via percorribile per non creare trattamenti differenziati ingiustificati in un settore così delicato come quello della segretezza delle comunicazioni. Da un diverso punto di vista, forse più “inquisitorio” altra parte distingue nettamente il trattamento. Seguendo l’impostazione della Cassazione[35], la distinzione fra mail aperta e mail chiusa così come visivamente rappresentato dal programma, in termini giuridici, risulta fuorviante. L’evidenziazione grafica della “posta in arrivo” non fornisce, da un punto di vista giuridico, certezza sull’intervenuta conoscenza o meno del contenuto da parte del destinatario[36]. Sul punto, infatti, sembrerebbe potersi applicare l’art. 45, comma 2° del CAD il quale prevede che “Il documento informatico trasmesso per via telematica si intende spedito dal mittente se inviato al proprio gestore, e si intende consegnato al destinatario se reso disponibile all'indirizzo elettronico da questi dichiarato, nella casella di posta elettronica del destinatario messa a disposizione dal gestore.” Sulla base di queste considerazioni non vi sono elementi a contrario che possano giustificare un diverso trattamento, e quindi in conseguenza si esclude l’applicabilità dell’art. 254 c.p.p. Di questo avviso è la stessa giurisprudenza di Cassazione, la quale ritiene che “in materia di sequestro di corrispondenza l’art. 254 c.p.p. è norma speciale rispetto alla disciplina dei sequestri, in quanto attiene a materia presidiata dall’art. 15 Costituzione e dall’art. 8 della Convenzione Europea dei Diritti dell’Uomo e pertanto è applicabile al solo sequestro della corrispondenza “in corso di spedizione”. In sostanza, quindi, qualora in occasione di un sequestro le autorità ritrovassero all’interno di computer elementi di corrispondenza telematica pertinenti all’indagine potranno liberamente prenderne visione ed estrarne copia alla stregua di qualsiasi altro dato informatico presente nel dispositivo. Diversamente, in ordine all’applicabilità delle garanzie previste dell’art. 254 c.p.p. e 353 c.p.p. è necessario che la corrispondenza di cui al sequestro sia “trasmessa nel sistema di telecomunicazione e che, temporaneamente e prima dell’invio del destinatario, si trovi conservata e memorizzata presso il fornitore di servizio.”[37]
In ultimo si segnala un’ulteriore possibilità di sequestro rappresentata dal nuovo art. 254-bis c.p.p. come sequestro di dati presso fornitori di servizi. Si prevede un onere di collaborazione fra autorità giudiziaria e gestori di servizi informatici, telematici o di telecomunicazioni, soggetti all’azione coattiva di apprensione dei dati mediante copia degli stessi su adeguato supporto e, in conseguenza, sempre più destinatari di obblighi di collaborazione, consegna, e conservazione prolungata dei dati di traffico. Diverse sono le critiche che vengono mosse: si sottolinea da un lato, come tale soluzione appaia discutibile addossando, di fatto, “incombenti “investigativi” a soggetti che assumono una posizione delicata quali individui a rischio di concorso nel reato commesso dal cliente (...), facendosi portatori di quel privilege against self-incrimination di chi rischia di far emergere la propria responsabilità”[38]. Dall’altro la norma presenta disappunto nella parte in cui si riferisce al sequestro di dati di traffico o ubicazione sovrapponendosi alla disciplina contenuta nel Codice della Privacy all’art. 132 in tema di data retention. Si è proposta quindi una interpretazione restrittiva, in realtà forzata, secondo cui “l’art. 254-bis c.p.p. disciplinerebbe il quomodo, ma non l’an del decreto di sequestro, andando solamente a riempire i contenuti operativi dell’art. 254 c.p.p. di cui costituirebbe una specificazione.
2.4. Il cd freezing dei dati
L’art. 10 della legge n. 48/2008 è intervenuto altresì su una norma molto travagliata, spesso ritoccata da legislatore nazionale, estranea al codice di procedura penale ma che assume estrema rilevanza in ordine alla tutela della privacy, in particolare in ambito di data retention ex art. 132 del d.lgs. n. 196/2003. Si è intervenuti attraverso l’introduzione del comma 4-ter, 4-quater, 4-quinquies, istituzionalizzando il cd congelamento dei dati per ragioni urgenti, il quale conferisce ampi poteri alle forze di polizia e ai servizi segreti. Tale potere sembra limitato ai casi eccezionali e urgenti di cui all’art. 226 del dlgs n. 271 del 1989 in tema di indagini e intercettazioni preventive, anche se in realtà si aggiunge una formula di fatto generica indicante “finalità di accertamento e repressione di specifici reati”. Questa apertura mal si concilia con tale previsione che assume carattere eccezionale, rappresentandosi come eccessivamente fluida in un settore così delicato come quello delle comunicazioni salvaguardate come sopra ricordato dall’art. 15 della Costituzione. Inoltre il richiamo all’art. 226 disposizioni attuative c.p.p. fa sì che tale norma “già delicata sul piano delle garanzie fondamentali del cittadino (...) non dovrebbe neppure trovare spazio nelle pieghe del codice, in quanto strumento estraneo al procedimento penale”[39]. Gli obblighi previsti possono essere così riassunti: a) obbligo di conservazione dei dati di traffico per un periodo di novanta giorni prorogabile fino a sei mesi, su richiesta dei soggetti indicati al comma 4-ter per finalità di indagine essenzialmente preventiva; b) applicabilità nei confronti del Service Provider dell’art. 326 c.p. in ipotesi di rivelazione del segreto connesso all’ordine di conservazione ricevuto; c) convalida di detto provvedimento entro 48 ore da parte del Pubblico Ministero. L’ultimo punto merita un’ulteriore riflessione sulla scelta del soggetto processuale a cui affidare la convalida del provvedimento ex art. 132, comma 4-ter: trattandosi si indagini (o intercettazioni) preventive ex art. 226 disp. att. c.p.p. fa presume l’insussistenza al momento di un procedimento penale in corso con conseguente assenza di un P.M. deputato all’indagine. Sarebbe forse stato più opportuno delegare tale funzione al giudice del luogo dell’esecuzione del congelamento dei dati ovvero del luogo in cui i dati sono conservati in funzione di giudice per le indagini preliminari, così da assicurare la necessità di tale strumento valutata da un organo terzo.
2.5. Art. 51 c.p.p. e modifiche alla competenza
A chiusura del capo III, l’art. 11 prevede la modifica all’art. 51 del codice di procedura penale in materia di competenza. La modifica ha interessato l’art. 51 c.p.p. al quale è stato aggiunto il nuovo comma 3-quinquies in cui si prevede che “ Quando si tratta di procedimenti per i delitti, consumati o tentati, di cui agli articoli 600-bis, 600-ter, 600-quater, 600-quinquies, 615-ter, 615-quater, 615-quinquies, 617-quater, 617-quinquies, 617-sexies, 635-bis, 635-ter, 635-quater, 640-ter e 640-quinquies del codice penale, le funzioni indicate nel comma 1, lettera a), del presente articolo sono attribuite all’ufficio del pubblico ministero presso il tribunale del capoluogo del distretto nel cui ambito ha sede il giudice competente.” Si è deciso di dar vita alle cd “Procure Informatiche Distrettuali” con l’intento di creare pool investigativi specializzati perseguendo lo schema vincente delle procure antimafia sorte negli anni ’90. Da più parti si è sostenuto come tale modifica risulti “priva di alcuna utilità sostanziale”[40] che porterà nel futuro sicuramente problematiche serie rappresentate dal carico di lavoro sproporzionato cui saranno sottoposte le procure. L’eterogeneità dei reati informatici richiamati non permette lo sviluppo di modalità investigative comuni ma al più settoriali, peraltro già in via di sviluppo e sostenute da alcune importanti procure italiane come quella milanese[41]. Inoltre la mancanza di organi interni di raccordo simili alla DNA, DDA o alla DIA ostacolano lo sviluppo di una vera e propria rete nazionale dedicata a tali aspetti. Forse il legislatore non ha ben riflettuto sui possibili riflessi che anziché incentivare l’efficienza potrebbero portare a una effettiva paralisi dell’azione penale. Il “gigantismo” degli uffici non è solo una ipotesi remota e disfattista ma, al contrario una realtà che deve essere portata a conoscenza. Si vedano sul punto le perplessità espresse dal coordinatore del pool reati informatici di Milano, il quale in occasione dell’inaugurazione dell’anno giudiziario 2010 scriveva:
“Parlando di reati informatici non può tacersi il grave e ingiustificato aggravio di lavoro per questa Procura della Repubblica determinato dall’introduzione dell’art. 51 quinquies del codice di procedura penale a seguito del quale una qualsiasi intrusione informatica (per esempio quella di un marito geloso di Sondrio che “sbircia” nel computer della moglie), una qualsiasi frode informatica commessa a Pavia, Varese, Como, una qualsiasi captazione di dati da un qualsiasi apparecchio Bancomat di Busto Arsizio dovrà essere trattata, investigativamente parlando e senza alcuna seria e plausibile ragione, da questa Procura della Repubblica di Milano. Il disegno normativo avrebbe forse potuto avere una sua ragion d’essere solo ove finalizzato a migliorarne le attività di contrasto nei confronti di fenomeni di criminalità informatica riconducibili alle attività di gruppi organizzati strutturati in ambito associativo.”[42]
All’indomani della modifica legislativa si segnalò altresì la difficoltà di individuare l’Ufficio del Giudice per le indagini preliminari territorialmente competente e non considerato dal legislatore della novella. Per fortuna vi si provvide velocemente con gli artt 2 e 12-bis della l. n. 125 del 2008 in cui viene formalizzato il corretto raccordo delle norme interessate.
3. Conclusioni
L’esame degli emendamenti previsti dalla legge di ratifica della Convenzione sul Cybercrime mostra come l’intervento del legislatore, benché apprezzabile non sia stato del tutto soddisfacente e convincente. Altrove si è paragonato l’impatto della digital evidence in ambito giudiziario pari all’uragano Katrina[43]. L’unico mezzo per non uscirne devastati è rappresentato da un’imprescindibile diffusione di cultura informatica che coinvolga non solo le parti in gioco ma anche la stessa società che spesso attirata dalla nascente cultura social la cui parola d’ordine è “condividere”, non sembra farne un uso critico indirizzato ad una autodeterminazione informativa consapevole. Nel nostro caso le istanze di formazione dovrebbero partire dalle autorità stesse che come si è visto spesso non sanno o non possono fronteggiare adeguatamente il fenomeno. È ormai cosa nota il fatto che le forze dell’ordine fatichino a trovare fondi da destinare a specifiche attività di formazione, quando già le odierne attività d’indagine sono a rischio. Su un altro fronte ciò che è chiesto al giurista al fine di affrontare in modo soddisfacente la materia, è di comprendere il fenomeno informatico: solo allora, purtroppo, avrà senso parlare di strategie processuali. Il legislatore, dal canto suo, ha dato un segnale: con la legge n. 48/2008 si è cercato di andare incontro a quella parte della dottrina che da tempo sollecitava un intervento a causa dei fenomeni distorsivi che si registravano, segno inequivocabile della concretezza con cui si manifesta l’argomento. Forse si è persa l’occasione per regolamentare fenomeni che di fatto e alla luce della legge a commento non trovano una loro collocazione né disciplina specifica: si pensi alla captazione di comunicazioni vocali tramite sistemi VoIP (es. Skype), all’acquisizione in tempo reale della posta elettronica, alle problematiche relative ai limiti del sequestro nei confronti dell’indagato o del terzo fino all’emergente fenomeno del cloud computing, nonché al peso e al ruolo assunto dai social network come Facebook, Twitter veri e propri focolari informativi da cui attingere elementi utili alle ricostruzioni processuali. Ciò dimostra come finora non vi sia una vera e propria presa di coscienza da parte delle istituzioni interessate circa l’impatto sociale e giuridico derivante dall’utilizzo dei nuovi media e delle tecnologie ad esse connesse: già a oggi, e sempre più nel futuro, nel divenire processuale le prove informatiche faranno sentire la loro voce, lasciando agli interpreti l’arduo compito di definire i contorni di una realtà giuridica tuttora troppo mutevole.
(Altalex, 7 maggio 2012. Articolo di Cesare Maioli ed Elisa Sanguedolce. Gli autori ringraziano per la collaborazione Antonio Gammarota, Donato E. Caccavella, Michele Ferrazzano, Ulrico Bardari, Corrado Federici, Andrea Paselli)
_____________
[Nota degli autori] Tutti i siti citati sono stati visitati il 15 marzo 2012. L’articolo è stato preparato in piena collaborazione tra gli autori; in particolare Cesare Maioli ha redatto i punti 1, 2, 2.2, 3 ed Elisa Sanguedolce ha redatto i punti 2.1, 2.3, 2.4, 2.5.[1] L’art. 36, 3° comma della Convenzione di Budapest stabiliva ai fini dell’entrata in vigore la necessaria ratifica da parte di almeno cinque Stati, dei quali almeno tre facenti parte del Consiglio d’Europa. Come rilevato nell’explanatory report si è scelto di elevare l’accettazione a cinque Paesi in luogo dei tre generalmente previsti, in modo da permettere la produzione di un’area sufficientemente estesa su cui porre le basi per la futura copertura. Siffatto avvertimento fu preso davvero in parola se si pensa che in appena tre anni successivi alla firma, l’accordo divenne esecutivo. Il 1°luglio 2004 Albania, Croazia, Estonia Ungheria e Lituania si conformarono alla Convenzione di Budapest, coprendo di fatto una grande fetta dell’Europa dell’Est segno della forte attenzione con cui questi Paesi guardano al fenomeno. Ad oggi sono 47 i Paesi che hanno sottoscritto la Convenzione, di cui 15 ancora senza ratifica (Dati consultati in marzo 2012 disponibili al lquink).[2]Si veda il link consultato nel marzo 2011.[3] L. Lupària, La ratifica della Convenzione Cybercrime del Consiglio d’Europa, in Diritto Penale e Processo, 6, 2008 pag. 697.[4] E. Casey, Digital evidence and computer crime, Elsevier, 2011 pag. 7.[5] Così C. Maioli, Dar voce alle prove: elementi di informatica forense, in P. Pozzi (a cura di), Crimine virtuale, minaccia reale, , Franco Angeli, 2004, pag. 43. [6] L. Lupària, G. Ziccardi Investigazione penale e tecnologia informatica, Giuffrè, 2007, pag. 39.[7] G.Costabile afferma: “ Stabilire così analiticamente il da farsi in casi che per esperienza sono certamente poco schematizzabili in una griglia rigida, può in breve tempo rendere la procedura obsolescente e limitare quindi la portata dell’azione di formazione della prova esperta, ancor più la cd. prova digitale. (…) Laddove si rendesse necessaria secondo la maggioranza una presa di posizione normativa, consiglierei di evitare troppi tecnicismi e precisazioni di sorta, definendo al massimo alcuni principi cardine sull’integrità dei dati, la ripetibilità degli accertamenti ed altro ancora, lasciando allo stato dell’arte la parte tecnica di esecuzione delle operazioni per raggiungere i citati obiettivi.” Ecco come procedono al sequestro di un pc in Punto informatico del 23/05/2006, sito consultato nel marzo 2012.[8] Così O. Signorile, Computer Forensics Guidelines: un approccio metodico - procedurale per l’acquisizione e analisi delle digital evidence, in Cyberspazio e Diritto, 10, 2, 2009, pagg. 197-209.[9] G. Braghò, L’ispezione e la perquisizione di dati, informazioni e programmi informatici in L. Lupària (a cura di), Sistema penale e criminalità informatica, Giuffrè, 2009, pag. 184.[10] Così l’art 14 Convenzione di Budapest: “… each Party shall apply the powers and procedures referred to in paragraph 1 of this article to: a) the criminal offences established in accordance with articles 2 through 11 of this Convention; b) other criminal offences committed by means of a computer system; c) the collection of evidence in electronic form of a criminal offence”.[11] L.Picotti, Ratifica della Convenzione cybercrime e nuovi strumenti di contrasto contro la criminalità informatica e non solo, in Diritto dell’Internet, 5, 2008, p. 345.[12] G. Braghò, L’ispezione e la perquisizione di dati, informazioni e programmi informatici in L. Lupària (a cura di), Sistema penale e criminalità informatica, Giuffrè, 2009.[13] Così G. Braghò, L’ispezione e la perquisizione di dati, informazioni e programmi informatici in L. Lupària (a cura di), Sistema penale e criminalità informatica, Giuffrè, 2009, pag. 186.[14] L. Lupària, Ratifica della Convenzione Cybercrime del Consiglio d’Europa, in Diritto Penale e Processo, 6, 2008, p. 697.[15] L. Lupària, Ratifica della Convenzione Cybercrime del Consiglio d’Europa, in Diritto Penale e Processo, 6, 2008, pag. 670.[16] S. Aterno, Modifiche la titolo III del terzo libro del codice di procedura penale, in G. Corasaniti, G. Corrias Lucente (a cura di), Cybercrime, responsabilità degli enti, prova digitale, CEDAM, 2008, pag. 206 e ss.[17] Cfr. G. Costabile, Scena criminis, documento informatico e formazione della prova penale, in Diritto dell’informatica, 2005, pag. 531 e ss.[18] G. Costabile, Computer forensics e informatica investigativa alla luce della Legge n°48 del 2008, in Cyberspazio e diritto, 11, 3, 2010, pag. 478.[19] S. Aterno, F. Cajani, G. Costabile, M. Mattiucci, G. Mazzaraco, Computer Forensics e indagini digitali, Vol. 1, Experta 2011, pag. 20.[20] Utilizzate per ricostruire fedelmente attività o comportamenti hardware e software al fine di avallare o contestare fatti a carico (tesi accusatorie) o a discarico (tesi difensive) dell’imputato. Cfr. più diffusamente G. Nicosia, D. Caccavella, Macchine virtuali e sistema della prova nel processo civile e penale, in Diritto dell’Internet, 5, 2008 pag. 525 e ss.[21] Si può pensare alla sicurezza informatica come ostacolo, rappresentato dallo studio di sistemi di sicurezza sempre più sicuri eventualmente in uso sui dispositivi interessati; o come rimedio, rappresentato dallo studio di tecniche hacking utili per forzare dette misure e acquisire più informazioni possibili.[22] Apre l’ampio dibattito sulla ripetibilità o meno degli accertamenti. Cfr. più diffusamente S. Aterno, F. Cajani, G. Costabile, M. Mattiucci, G. Mazzaraco, Computer Forensics e indagini digitali, Vol. 1, Experta, 2011; F. Novario, L’attività d’accertamento tecnico difensivo disposta su elementi informatici e la sua ripetibilità, in Cyberspazio e diritto, 12, 1, pagg. 75-87; S. Aterno, La computer forensics tra teoria e prassi: elaborazioni dottrinali e strategie processuali, in Cyberspazio e diritto, 7, 4 pagg. 425-440.[23] Così R.Flor, Investigazioni ad alto contenuto tecnologico e tutela dei diritti fondamentali della persona nella recente giurisprudenza del Bundesverfassungsgericht, in Cyberspazio e diritto, 11, 2, pag. 363.[24] Per sniffing si intende l’attività di intercettazione passiva dei dati che transitano in una rete telematica. Tale attività può essere svolta sia per scopi legittimi, come l’individuazione di problemi di comunicazione o la prevenzione di tentativi di intrusione, che per scopi illeciti, come la intercettazione fraudolenta di dati personali). I programmi utilizzati a tali scopi, detti sniffer, offrono inoltre funzionalità di analisi del traffico. [25] R. Flor, Investigazioni ad alto contenuto tecnologico e tutela dei diritti fondamentali della persona nella recente giurisprudenza del Bundesverfassungsgericht, in Cyberspazio e diritto, 11, 2, pag. 369.[26] In realtà si è osservato come anche nel caso tedesco sia improprio parlare di perquisizione, in quanto la vicenda appare come attività di vera e propria “intrusione autorizzata dall’ordinamento”, così S.Aterno in F. Corasaniti, G. Corrias Lucente (a cura di), Cybercrime, responsabilità degli enti, prova digitale, CEDAM, 2008, pag. 214.[27] D. Buso, D. Pistolesi, Le perquisizioni e i sequestri informatici, in F.Ruggeri, L. Picotti (a cura di), Nuove tendenze della giustizia penale di fronte alla criminalità informatica, Giappichelli, 2011, pag. 200.[28] Tribunale Riesame, Perugia, ord. 25 ottobre 2006.[29] Cfr. Cass. Pen., sentenza n°13792 del 5 marzo 2008; Cass. Pen., sentenza n°18897 del 3 aprile 2008.[30] A. Monti, No ai sequestri indiscriminati di computer, in Diritto dell’Internet, 3, 2007, pag. 268.[31] Tribunale Riesame, Venezia, ord. 6 ottobre 2000.[32] A. Logli, Commento alla sentenza n°753/2007, in Cassazione Penale, 7-8, 2008 pagg. 2956-2957.[33] F.Cajani, S.Aterno, Aspetti giuridici comuni delle indagini informatiche, in S. Aterno, F. Cajani, G. Costabile, M. Mattiucci, G. Mazzaraco (a cura di), Computer forensics e indagini digitali, Experta, 2011, pag. 484.[34] A. Logli, Commento alla sentenza n° 753/2007, in Cass. Pen. n°7-8, 2008, pagg. 2957-2958.[35] Cassazione, Sez. VI, 10 dicembre 2009, n° 47009.
[36] Si veda l’opzione permessa dalla maggior parte dei programmi di gestione di contrassegnare, anche in un momento successivo, posta aperta come “messaggio non letto”, ricostruendo visivamente la busta chiusa accanto al messaggio selezionato.[37] F.Cajani, S.Aterno, Aspetti giuridici comuni delle indagini informatiche, in S. Aterno, F. Cajani, G. Costabile, M. Mattiucci, G. Mazzaraco (a cura di), Computer forensics e indagini digitali, Experta, 2011, pag. 487.[38] L. Lupària, La ratifica della Convenzione Cybercrime del Consiglio d’Europa, in Diritto Penale e Processo, 6, 2008, pag. 699.[39] L. Lupària, La ratifica della Convenzione cybercrime del Consiglio d’Europa, in Diritto Penale e Processo, 6, 2008, pag. 700.[40] F.Cajani, S.Aterno, Aspetti giuridici comuni delle indagini informatiche, in S. Aterno, F. Cajani, G. Costabile, M. Mattiucci, G. Mazzaraco (a cura di), Computer forensics e indagini digitali, Experta, 2011 pag. 245.[41] Già dal 2004 la procura di Milano aveva sviluppato all’interno dell’VIII dipartimento una squadra specializzata nell’investigazione informatica, denominata pool reati informatici.[42] Tratta da F. Cajani, Appunti per una strategia globale di contrasto del cybercrimine, in A. Attanasio, G. Costabile (a cura di), IISFA Memberbook 2011, Experta, 2011.
[43] Bhaskar Rahul, State and local law enforcement is not ready for a cyber Katrina, Communication ACM, 49, 2, 2006, pagg. 81-83.
/ricerca della prova /informatica forense /Cesare Maioli /Elisa Sanguedolce /
fonte originale: http://www.altalex.com/index.php?idnot=18096
Commenti
Posta un commento