Facciamo Chiarezza una volta per tutte!
Ripetibilità e irripetibilità degli accertamenti su memorie informatiche
Nella mia esperienza, di Ausiliario di PG, nella maggioranza dei casi capita di non riuscire a chiarire quando la copia forense, di un disco rigido, una chiavetta USB o uno smartphone è ripetibile o irripetibile. Molti PM per evitare la richiesta di incidenti probatori, alla fine convengono con la pratica di notificare, in tempo utile, alle parti il luogo, la data e l’ora di estrazione forense dei digital device, in modo tale, nel dubbio, di scongiurare che gli accertamenti possano essere ripudiati in dibattimento.
La disciplina giuridica è contenuta all’articolo 360 del codice di procedura penale, rubricato “accertamenti tecnici non ripetibili”, che recita:
- Quando gli accertamenti previsti dall’articolo 359 riguardano persone, cose o luoghi il cui stato è soggetto a modificazione, il pubblico ministero avvisa, senza ritardo, la persona sottoposta alle indagini, la persona offesa dal reato e i difensori del giorno, dell’ora e del luogo fissati per il conferimento dell’incarico e della facoltà di nominare consulenti tecnici.
- Si applicano le disposizioni dell’articolo 364 comma 2.
- I difensori nonché i consulenti tecnici eventualmente nominati hanno diritto di assistere al conferimento dell’incarico, di partecipare agli accertamenti e di formulare osservazioni e riserve.
- Qualora, prima del conferimento dell’incarico, la persona sottoposta alle indagini formuli riserva di promuovere incidenti probatori, il pubblico ministero dispone che non si proceda agli accertamenti salvo che questi, se differiti, non possano più essere utilmente compiuti.
4-bis. La riserva di cui al comma 4 perde efficacia e non può essere ulteriormente formulata se la richiesta di incidente probatorio non è proposta entro il termine di dieci giorni dalla formulazione della riserva stessa.
Fuori del caso di inefficacia della riserva di incidente probatorio previsto dal comma 4 bis, se il pubblico ministero, malgrado l’espressa riserva formulata dalla persona sottoposta alle indagini e pur non sussistendo le condizioni indicate nell’ultima parte del comma 4, ha ugualmente disposto di procedere agli accertamenti, i relativi risultati non possono essere utilizzati nel dibattimento.
Essendo il PM il titolare delle indagini, gli è consentito di avvalersi di consulenti in grado di fornire apporti specialistici, che esulano dalle competenze possedute dall’organo inquirente, al fine di contribuire all’attività investigativa.
A prescindere che, al 99,9% delle volte che viene notificato alle parti, l’inizio delle attività di clonazione forense, 359-370 CPP, non si presenta mai nessuno, sia per i costi di un tecnico forense, sia perchè in fin dei conti l’estrazione forense anche su un apparato smartphone o qualsiasi esso sia, come vedremo in seguito, è sempre ripetibile.
Di fatto ciò che è memorizzato su un dispositivo di archiviazione dati vi rimarrà fino a che non interverrà un comando di modifica (compresa la cancellazione) o di un danneggiamento fisico. La fase di acquisizione prevede la generazione di una copia identica all’originale, finalizzata a poter eseguire su di essa l’analisi, che consiste nel produrre una relazione tecnica che risponda ai quesiti posti dal PM o dal cliente, nel caso di una forense difensiva.
L’acquisizione avviene, come best practice, così come dettato dalla Legge 48/2008, tramite strumenti forensi, denominati Write Blocker, dove è impossibile fare errori, a meno che non si scambino i supporti (succede anche questo, purtroppo). Questi dispositivi permettono di fare una copia identica bit a bit della memoria del supporto. Una volta fatta la copia, è possibile lavorare con quest’ultima, senza dover usare l’originale.
L’estrazione di dispositivi come dischi rigidi (o SSD), schede di memoria o chiavette USB, è oramai considerata ripetibile. Questo perchè la copia forense, detta anche volgarmente cristallizzazione (perché ne congela tutti i bit/byte del supporto di memoria, dal primo all’ultimo, allocati e non allocati), non comporta, alterazioni del supporto originale.
Per quanto riguarda gli smartphone la situazione è più complicata, l’acquisizione, di questi dispositivi, infatti, a parte i casi in cui può essere fatta una rilevazione FISICA, identica all’assunzione di un disco rigido, richiede l’assimilazione LOGICA o FILESYSTEM, che quasi sempre forza l’accensione del device con la modifica di alcuni dati, come i registri interni o allocazioni di memoria che comunque non hanno nessun interesse probatorio, (tranne quando in una forense difensiva troviamo traccia che il device è stato acceso, quando questo doveva stare spento e custodito in cassaforte), cioè i dati di interesse, quali messaggi, registro chiamate, chat, foto e video, celle telefoniche agganciate, dati di geolocalizzaizone e altro, non vengono alterati. E’ vero che l’HASH di una estrazione logica, con la stessa estrazione effettuata dopo qualche minuto risulterà diverso, ma tutti i dati di interesse probatorio resteranno immutati, facilmente confrontabili durante l’analisi degli stessi.
E’ vero che molti avranno a che ridire in quanto l’acquisizione LOGICA o FILESYSTEM non potrebbe permettere il recupero di file cancellati che potrebbero essere interessanti sia per gli inquirenti ma anche per gli indagati.
La soluzione DEFINITIVA ce la da la lettura di una Sentenza di Cassazione.
Penale Sent. Sez. 6 Num. 15838 Anno 2019
Che potete trovare a questo link: https://dirittodiinternet.it/wp-content/uploads/2019/05/Cassazione-10.04.2019-n.15838.pdf
In sintesi il ricorrente chiede l’annullamento della condanna perchè:
Il ricorrente premette che agli atti del procedimento non sono stati acquisiti i filmati e le immagini del sistema di videosorveglianza in uso al Tribunale e alla Procura della Repubblica di Trani, luogo ove si è svolta la vicenda in esame, bensì copia di parte di file memorizzati nel server dell’impianto e, quindi, documenti informatici. Tale circostanza avrebbe imposto, onde evitarne la manipolazione ovvero l’alterazione, di effettuare un clone di tale materiale attraverso la procedura c.d. «bit to bit», unica operazione che garantisce una replica integrale di tutti i dati contenuti su un disco o partizione di un disco, idonea a riprodurre una copia identica all’originale. Nel caso in esame, invece, le copie sono state effettuate da un cancelliere in servizio nell’ufficio attraverso l’estrapolazione di dati dal sistema poi inseriti all’interno di un supporto mobile (c.d. «chiavetta USB») e “masterizzati” su due DVD, senza procedere a realizzare una copia forense in contraddittorio con la difesa. È stata reiteratamente eccepita l’inutilizzabilità dei filmati in quanto l’attività irripetibile era stata posta in essere in violazione degli artt. 360, 247, comma 1- bis, e 354, comma 2, cod. proc. pen., in considerazione del fatto che il sistema informatico del servizio di video sorveglianza avrebbe sovrascritto dopo alcuni giorni sui pregressi dati conservati nella memoria, andando così a cancellare quanto necessario all’accertamento della cronologica sequenza dei fatti. Evenienza questa che avrebbe compromesso in maniera irreparabile la conservazione dei dati originali, estrapolati unilateralmente dagli organi inquirenti ed in assenza di contraddittorio.
La corte rigetta il ricorso e condanna il ricorrente
In ordine al primo motivo di ricorso per mezzo del quale si deduce l’inutilizzabilità dei filmati videoregistrati dall’impianto di sorveglianza degli Uffici giudiziari di Trani, deve rilevarsene l’infondatezza, risultando il motivo, sotto alcuni profili anche aspecifico laddove non consente di comprendere se si sia inteso censurare l’utilizzazione delle immagini perché le stesse sarebbero state acquisite attraverso una non corretta metodica, ovvero se le stesse, originariamente contenute del server dell’impianto di videosorveglianza, in quanto destinate alla definitiva cancellazione e conseguente dispersione dopo alcuni giorni, dovevano essere estrapolate esclusivamente per mezzo della procedura prevista dall’art. 360 cod. proc. pen. in quanto atto irripetibile. Logicamente preliminare risulta comunque l’esame del secondo profilo connesso alla dedotta violazione dell’art. 360 cod. proc. pen. 2.1. Per “atto irripetibile” deve intendersi l’atto contraddistinto da un risultato estrinseco ed ulteriore rispetto alla mera attività investigativa, non più riproducibile in dibattimento se non con la definitiva perdita dell’informazione probatoria o della sua genuinità (v. Sez. 1, n. 14511 del 05/03/2009, Stabile Aversano, Rv. 243150). Ed invero, gli accertamenti ex art. 360 cod. proc. pen. devono connotarsi per il loro avere carattere valutativo su base tecnico-scientifica; in tal senso depone ormai datata giurisprudenza di questa Corte secondo cui la nozione di “accertamento” non riguarda la constatazione o la raccolta di dati materiali pertinenti al reato ed alla sua prova, che si esauriscono nei semplici rilievi, ma il loro studio e la relativa elaborazione critica, necessariamente soggettivi e per lo più su base tecnico-scientifica; tale distinzione trova testuale conferma normativa negli artt. 354, 359 e 360 cod. proc. pen. che menzionano separatamente i termini “rilievi” e “accertamenti” (Sez. 1, n. 301 del 09/02/1990, Duraccio, Rv. 183648). La nozione di accertamento tecnico, alla base della disciplina degli artt. 359 e 360 cod. proc. pen. che alla prima norma rinvia quanto a nozione, allora, concerne non l’attività di raccolta o di prelievo dei dati pertinenti al reato, bensì soltanto il loro studio e la loro valutazione critica (Sez. 1, n. 2443 del 13/11/2007, dep. 2008, Pannone, Rv. 239101; Sez. 1, n. 14852 del 31/01/2007, Piras, Rv. 237359). E che non sia sufficiente la mera irripetibilità del dato probatorio affinché l’attività posta in essere sia valutata quale accertamento tecnico, in generale, e qualificato come irripetibile, in particolare, lo si comprende se solo si analizzano i 5 principi di diritto fissati da questa Corte in ordine a quei rilievi che, seppur caratterizzati da una loro logica dispersione ovvero da un certa professionalità nella attività di recupero dei dati probatori al fine di assicurare gli stessi al procedimento, non sono ritenuti idonei a mutarne la natura. In tal senso depone quanto affermato in tema di prelievi di polvere da sparo, operazione che necessita di un tempestivo intervento e, nonostante siano prodromici all’espletamento di accertamenti tecnici, non sono qualificabili quali accertamenti tecnici e, conseguentemente, non devono essere effettuati secondo quanto previsto dall’art. 360 cod. proc. pen. (Sez. 1, n. 45437 del 30/11/2005, Fummo, Rv. 233354). Analogamente è a dirsi in ordine all’esaltazione e successiva estrazione delle impronte digitali, specie se effettuata su oggetti che sono esposti all’esterno e, quindi, di certa irreversibile dispersione: anche se tale operazione necessita di elevate professionalità ai fini di una sua visualizzazione attraverso l’impiego di sofisticate strumentazioni scientifiche, non perde mai il connotato del rilievo; è stato, infatti, affermato che l’attività di individuazione delle impronte digitali mediante un sistema che, attraverso l’uso di un prodotto chimico, evidenzia e fissa le stesse non è assoggettato alla disciplina prevista per gli accertamenti non ripetibili (Sez. 6, n. 10350 del 06/02/2013, Granella, Rv. 254589). Del tutto logico e consequenziale, quindi, circa l’ambito di applicazione della previsione che disciplina l’accertamento tecnico irripetibile ex art. 360 cod. proc. pen, risulta l’esclusione dell’attività di estrazione di copia di file da un computer. Ormai da tempo, infatti, la tecnica consente di acquisire il dato attraverso operazioni meramente esecutive e materiali, il cui unico scopo è quello di assicurare alla fase processuale quanto di rilevante è contenuto all’interno dello stesso in formato digitale, operazione che non necessita di perizia o consulenza tecnica. In tal senso depone ormai consolidata giurisprudenza di questa Corte, che il Collegio condivide, secondo cui, seppur nell’esame di un’ipotesi parzialmente differente, ha avuto modo di affermare che non ha natura di accertamento tecnico irripetibile ex art. 360 cod. proc. pen. l’attività di estrapolazione di fotogrammi da un supporto video (Sez. 6, n. 41695 del 14/07/2016, Bembi, Rv. 268326; Sez. 2, n. 4523 del 10/11/1992, Arena, Rv. 192570), atteso che essa non comporta alcuna attività di carattere valutativo su base tecnico-scientifica né determina alcuna alterazione dello stato delle cose, tale da recare pregiudizio alla genuinità del contributo conoscitivo nella prospettiva dibattimentale, essendo sempre comunque assicurata la riproducibilità di informazioni identiche a quelle contenute nell’originale (Sez. 1, n. 14511 del 05/03/2009, Stabile Aversano, Rv. 243150).
Questa sentenza fuga tutti i dubbi e rende cristallino che qualsiasi acquisizione informatica è sempre RIPETIBILE.
In breve per chi non mastica la materia:
La “digital forensic” è una branca della scienza digitale forense legata alle prove acquisite da computer e altri dispositivi di memorizzazione digitale. Il suo scopo è quello di esaminare dispositivi digitali seguendo processi di analisi forense al fine di identificare, preservare, recuperare, analizzare e presentare fatti riguardanti le informazioni raccolte.
La riconducibilità di un determinato fatto, in un preciso arco temporale, è, senza ombra di dubbio, uno degli elementi primari per la corretta interpretazione degli eventi che hanno determinato un fatto, in quanto consente di rivelare la dinamica degli accadimenti nell’ordine in cui gli stessi si sono verificati, è quindi d’interesse vitale per la risoluzione di un qualsiasi caso, di natura legale o professionale, indipendentemente dal contesto di riferimento.
Le due anime professionali che necessariamente costituiscono la forensics sono i giuristi e gli investigatori. I primi esperti della legge e dei procedimenti e procedure penali, i secondi i tecnici capaci di specializzarsi nelle modalità di indagine su ogni ambito digitale da cui sia necessario estrarre evidenze e prove da portare in dibattimento.
Questo fa sì che si faccia largo uso di tale scienza nelle indagini riguardanti una varietà di crimini informatici nei quali le prove raccolte, soggette alle stesse pratiche e linee guida di ogni altra prova digitale, saranno usate in ambito di processo. A tal scopo sono utilizzate tecniche e principi legati al recupero dei dati, affiancati però da procedure designate alla creazione di un percorso di revisione e analisi che sia legale.
Nell’ambito dell’informatica forense un aspetto fondamentale è la salvaguardia dei dati presenti sui supporti di archiviazione posti sotto il vincolo del sequestro, dunque non nella disponibilità del proprietario.
A salvaguardia dei dati e della garanzia di inalterabilità di questi ultimi, gli operatori preposti all’analisi dei dispositivi di archiviazione utilizzano determinate metodologie volte a garantire e provare l’esatta corrispondenza dei contenuti in qualsiasi momento dell’analisi. Per rendere possibile ciò occorre “congelare” il dato, ossia porre in essere gli accorgimenti tecnologici atti ad impedire scritture (anche accidentali) di bit e a verificare che in un momento successivo i dati presenti siano gli stessi. Per adempiere a tali obblighi, oltre all’utilizzo di strumenti hardware o software che inibiscano qualsiasi scrittura sui dispositivi di archiviazione, vengono impiegati algoritmi di hash (solitamente MD5 o SHA1) allo scopo di generare una sorta di impronta digitale di ciascun file e/o dell’intero contenuto del dispositivo, permettendo quindi di verificarne l’integrità in qualsiasi momento successivo al sequestro.
I dispositivi hardware che permettono di accedere al disco in modalità di sola lettura sono detti write blocker, tramite essi è possibile leggere i dati presenti nel dispositivo, estraendo quelli di interesse o procedendo alla copia forense.
Un’altra tipologia di dispositivo hardware è il clonatore il cui unico scopo è copiare bit per bit il disco “suspect” (oggetto di sequestro) su un altro disco, o su un file immagine, preservandone nello stesso tempo l’integrità così come avviene per il write blocker.
In Italia, la legge di riferimento che definisce come utilizzare a livello giuridico i risultati di un’attività di analisi forense in tribunale, è la legge 18 marzo 2008 n. 48, che ha ratificato la Convenzione del Consiglio d’Europa sulla criminalità informatica, stipulata a Budapest il 23 novembre 2001.
grazmo (Massimo Graziani – massimo.graziani@gmail.com)