Gli accertamenti tecnici si collocano nel titolo V del codice di procedura penale, nella parte relativa alle attività proprie del P.M. nella fase delle indagini preliminari: il P.M. che svolge indagine deve raccogliere tutti gli elementi probatori necessari ad esercitare o meno l’azione penale.
In questa fase la Procura, infatti, ai sensi del combinato disposto degli artt. 50, 358 e 405 c.p.p. deve svolgere indagini a 360° ricercando tutti gli elementi utili ovvero anche quelli a favore della persona che è sottoposta alle indagini.
L’attività di indagine del P.M., a mente del disposto dell’art. 358 c.p.p. (che introduce la parte della quale mi occuperò nel presente paper ovvero gli artt. 359 e 360 c.p.p.), consiste nel compimento di “ogni attività necessaria ai fini indicati nell’art 326 <indagini necessarie per le determinazioni inerenti l’azione penale > e svolge altresì accertamenti su fatti e circostanze a favore della persona sottoposta alle indagini”.
La giurisprudenza ha chiarito che la nozione di accertamento riguarda non la constatazione o la raccolta di dati materiali pertinenti al reato e alla sua prova, che si esauriscono nei semplici rilievi, ma il loro studio e la relativa elaborazione critica, necessariamente soggettivi e per lo più su base tecnico-scientifica. La distinzione trova testuale conferma normativa in ripetute disposizioni del nuovo codice che menzionano separatamente i termini “rilievi” ed “accertamenti”, con l’implicita assunzione, per ciascuno, del significato specifico precedentemente delineato. (Cass. N. 301 del 14.3.1990 sez. 1^).
Le predette attività richiedono una particolare competenza e, non consistendo in una mera raccolta di dati ma richiedendo valutazioni personali, richiede la presenza di “persone idonee”: per l’accertamento tecnico tali persone sono i consulenti tecnici.
Orbene, posta questa premessa in fatto e in diritto, gli artt. 359 e 360 disciplinano due diverse tipologie di accertamenti: ripetibili o irripetibili.
Partiamo dal concetto di “irripetibilità”: l’art. 360 disciplina quegli accertamenti tecnici che coinvolgono persone cose o persone il cui stato è sottoposto a modificazione.
Tali accertamenti prevedono una particolare procedura volta a consentire idonee garanzie difensive: il Pm deve, infatti, avvertire senza ritardo la persona sottoposta alle indagini, la persona offesa e i difensori che possono nominare un proprio consulente tecnico.
Rimangono escluse da tali ipotesi tutte quelle attività di P.G. compiute ex art. 354[1] c.p.p.(articolo innovato dalla L.48/2008) qualora sia necessario svolgere accertamenti urgenti e conservare lo stato dei luoghi prima dell’intervento del P.M.: esse sono una serie di operazioni atipiche tutte da documentare con idoneo verbale[2].
Le altre operazioni considerate ripetibili in un secondo momento, non hanno, invece, tali garanzie.
Posta questa doverosa premessa è ora necessario stabilire come possano essere considerati gli accertamenti tecnici informatici ovvero se essi siano atti avente natura ripetibile o irripetibile.
Il tema è oggetto, da parte di dottrina e giurisprudenza, di un acceso dibattito: le attività di computer forencics sono atti, per loro natura, irripetibili?
Innanzi tutto bisogna specificare che le analisi forensi sono di varia natura e, per questo motivo, è difficile ricondurre tutte le operazioni di forensics in un’unica tipologia.
Partiamo dall’analisi del caso più frequente e comune ovvero all’estrazione di un dato da un hard disk di un pc sottoposto a sequestro: secondo giurisprudenza consolidata tale atto non può considerarsi atto irripetibile (sez. I 25.2.2009 n. 11503, sez. I 5.3.2009 n. 14511).
La Cassazione ha affermato che una attività di questo tipo non comporta alcuna attività di carattere valutativo su base tecnico scientifica né determina alcuna alterazione dello stato delle cose.
Tuttavia non sono mancate le obiezioni dottrinali[3] che hanno posto come obiezione l’ineludibile rilievo secondo il quale ogni accesso ad un file, se effettuato erroneamente, comporta una modifica e/o alterazione di dati.
Si deve considerare però come il testo dell’art. 354 c.p.p. al secondo comma prescrive che la P.G. può effettuare un immediata duplicazione su adeguato supporto: questa disposizione, quindi, metterebbe una insostenibile differenza tra le attività che la P.G. può fare (in via di urgenza come accertamento) e il P.M. non potrebbe fare senza le garanzie di cui all’art. 360 c.p.p..
Nella prassi avviene, infatti, che la Procura, dopo aver effettuato il sequestro del pc, effettui una copia dell’hard disk e poi restituisca il tutto all’indagato: la Corte di Cassazione ha affermato che tale procedura integri un atto ripetibile proprio alla luce delle disposizioni in tema di sequestri della Polizia Giudiziaria.
Si legge nella motivazione della più importante sentenza sul tema: “ la lettura dell’hard disk non integra affatto atto irripetibile perché l’attività svolta al riguardo dalla P.G. rientra tra quelle svolte dalla stessa ai sensi dell’art. 348 c.p.p. e art. 354 c.p.p. comma 2”; e ancora “correttamente invero per l’estrazione dei dati contenuti nel supporto informatico-essendo l’accertamento all’evidenza ripetibile se eseguito, come non è dubbio sia avvenuto nel caso di specie, da personale esperto perfettamente in grado di evitare la perdita dei dati medesimi– è stato applicato l’art. 359 c.p. e non l’art. 360 c.p.p.[4]”.
La frase sopra evidenziata lascia, come è ovvio che sia, un dubbio nello scrivente: in che modo è possibile confidare così “ciecamente” nell’abilità di personale e dei programmi utilizzati per l’estrazione dei files?
Altra giurisprudenza ritiene che la procedura de qua non sia neppure assimilabile al sequestro ma rientri nei casi della copia di documenti (informatici) ex art. 258 c.p.p..
Ed ancora, in relazione al delicato aspetto del programma utilizzato per l’estrazione dei files raffinata e puntuale dottrina[5] ha anche evidenziato che i programmi informatici per le analisi forensi “sono quasi sempre coperti da licenza, in quanto commercializzati da grandi aziende informatiche. Ciò impedisce di poter accedere ai c.d. codici sorgente, vale a dire alle vere e proprie fondamenta che sorreggono l’intelaiatura del programma e ne condizionano il funzionamento. L’eccezione difensiva che voglia far leva sulla impossibilità, per giudice e avvocato, di esaminare il concreto funzionamento di quel programma e quindi di poter monitorare la correttezza dell’iter da esso seguito, con conseguente garanzia di fedeltà della copia effettuata, parrebbe, quindi, del tutto fondata”.
Da quanto finora visto le garanzie difensive, alla luce della Giurisprudenza, appaiono fortemente limitate.
Se le operazioni di estrazioni dei files vengono considerate, come spesso accade, atti avente natura ripetibile e quindi le operazioni sui dati effettuati senza le garanzie previste dal 360 c.p.p., l’attività difensiva si limita ad una attività post mortem con un supporto entro il quale sono estratti dati estrapolati da soggetti dei quali si deve sempre presumere la competenza.
Tuttavia la cronaca giudiziaria italiana ci ha recentemente insegnato, con il caso Garlasco, che la scena “informatica” del crimine può essere compromessa dagli operanti di Polizia Giudiziaria.
Mi preme ricordare in questa sede che il difensore ha sempre una possibilità difensiva, qualora il computer sia in sequestro e non sia stata disposto un accertamento tecnico ex art. 360 c.p.p., ovvero di richiedere, ex art. 233 co. 1 bis c.p.p.[6], la possibilità di effettuare consulenze tecniche di parte in assoluta autonomia ricevendo copia dei dati estratti e riversati su idonei supporti.
La disposizione dell’art. 360 c.p.p. deroga ai principi codicistici secondo i quali la prova si forma nel dibattimento dinnanzi al giudice, consente di anticipare il contraddittorio (un contraddittorio altamente tecnico) tra le parti nella fase delle indagini preliminari; le parti hanno, infatti, la facoltà di partecipare agli atti di indagine svolti dal consulente del P.M. anche mediante propri consulenti di parte.
Il P.M. nell’assumere la scelta se effettuare un accertamento ai sensi dell’art. 360 deve valutare da un lato, le circostanze del caso concreto e, dall’altro, le implicazioni procedurali[7]:, accedere a tale procedura “mette al riparo” da eventuali eccezioni difensive dibattimentali in relazione all’inutilizzabilità di quanto raccolto in fase di indagini se ritenuto atto irripetibile o anche se lo stesso atto è divenuto tale per svariate possibilità; le circostanze del caso sono indubbiamente il rischio che le caratteristiche tecniche della macchina o della operazione tecnica da compiere sulla stessa possano comportare una modifica o, ancora peggio, la distruzione dei dati.
Gli atti dichiarati irripetibili, proprio per la loro tipologia di assunzione in contraddittorio, entrano direttamente nel fascicolo del dibattimento ex art. 431 c.p.p.; l’eccezione circa la loro mancata assunzione determina una nullità a regime intermedio, eccepibile fino alla deliberazione della sentenza di primo grado.
Un esempio[8] di una scelta puramente strategica e difensiva in tal senso è quella assunta dalla procura di Milano nel 2006 in relazione agli accertamenti effettuati sull’archivio informatico del Sismi nell’indagine relativa al rapimento di Abu Omar: attesa la presenza di un archivio contenente numerosissimi files, molti dei quali crittografati, il Pubblico Ministero decise di procedere ai sensi dell’art 360 c.p.p. anche se nella richiesta dell’atto motivava “pur potendosi considerare ripetibili gli accertamenti in questione, appare opportuno procedere ex art. 360 c.p.p. onde prevenire possibili questioni procedurali”.
Una scelta sicuramente all’avanguardia e ancora oggi le intuizioni svolte dalla magistratura inquirente sono valide: è necessario, alla luce di quanto fin qui esposto, collocare la natura di irripetibilità dell’atto al momento e al caso specifico nel quale esso viene svolto.
Sarà compito del Pubblico Ministero (e dei propri consulenti tecnici) stabilire con una valutazione ex ante se il tipo di accertamento riguarda una situazione che possiamo definire “informaticamente soggetta a modificazione” tale da consentire alla difesa di eccepibile la nullità dell’atto per violazione dell’art. 360 c.p.p. preferendo, nel dubbio, sempre tale strada.
Può accadere, infatti, che l’indagato utilizzi degli accorgimenti di anti-forencics, ad esempio alcune tecniche di wiping[9], che possono compromettere per sempre i supporti che contengono elementi probatori rendendoli inutilizzabili: un semplice programma da remoto (ad es. computrace)[10] che, se attivato, distrugga completamente i dati contenuti nel supporto o un programma installato sul supporto che ne distrugga il contenuto dopo che sia digitata la password erroneamente un dato numero di volte.
Da ultimo si evidenzia che l’unico caso nel quale si può presumente che i dati estratti con copia forense siano conservati pressoché inalterati, è il caso di una analisi “post mortem” ovvero a sistema spento o scollegato: nei sistemi ancora attivi (anche in stato di stand-by), infatti, ogni operazione effettuata potenzialmente comporta una modificazione dei dati.
Tuttavia se il sistema è ancora attivo attendere che il P.M. svolga gli avvisi di legge ex art. 360 c.p.p. è sicuramente una ipotesi non perpetrabile: da qui la necessità di compenetrare, nel singolo caso, le esigenze di conservazione della fonte di prova e le garanzie difensive dell’indagato.
[1] 1.Gli ufficiali e gli agenti di polizia giudiziaria curano che e tracce e le cose pertinenti al reato siano conservate e che lo stato dei luoghi e delle cose non venga mutato prima dell’intervento del pubblico ministero .
2. Se vi e` pericolo che le cose, le tracce e i luoghi indicati nel comma 1 si alterino o si disperdano o comunque si modifichino e il pubblico ministero non puo` intervenire tempestivamente, ovvero non ha ancora assunto la direzione delle indagini, gli ufficiali di polizia giudiziaria compiono i necessari accertamenti e rilievi sullo stato dei luoghi e delle cose. Se del caso, sequestrano il corpo del reato e le cose a questo pertinenti. In relazione ai dati, alle informazioni e ai programmi informatici o ai sistemi informatici o telematici, gli ufficiali della polizia giudiziaria adottano, altresì, le misure tecniche o impartiscono le prescrizioni necessarie ad assicurarne la conservazione e ad impedirne l’alterazione e l’accesso e provvedono, ove possibile, alla loro immediata duplicazione su adeguati supporti, mediante una procedura che assicuri la conformità della copia all’originale e la sua immodificabilità.
3.Se ricorrono i presupposti previsti dal comma 2, gli ufficiali di polizia giudiziaria compiono i necessari accertamenti e rilievi alle persone diversi dalla ispezione personale .
[2]Cassazione Penale sez. III, Sentenza 1935 del 30.7.1994:” L’articolo 354 codice procedura penale consente alla polizia giudiziaria gli accertamenti urgenti sui luoghi, sulle cose e sulle persone, onde assicurare che “le tracce e le cose pertinenti al reato siano conservate e che lo stato dei luoghi e delle cose non venga mutato prima dell’intervento del Pubblico Ministero”. Trattasi di attivita` di accertamento e rilevazione che spetta alla Polizia Giudiziaria organizzare secondo ragionevoli modalita`, considerate le condizioni di tempo e di luogo e la natura delle indagini in corso. Se il Pubblico Ministero non puo` intervenire tempestivamente, la polizia giudiziaria non e` affatto obbligata a disporre subito il sequestro, ma come bene indica l’art. 354, secondo comma cod. proc. pen. puo` provvedere solo “se del caso” ed intanto rientra nella sua facolta` tenere sul posto le cose oggetto dell’accertamento, informandone il P.M.”.
[3] Tonini- Documento informatico e giusto processo , in Diritto penale e processo, 2009 n. 405)
[4] Cass. Sez. I 18.3.2009 n. 11863;
[5] L.Luparia, G.Ziccardi, “investigazione penale e tecnologia informatica”, Milano 2007 pag. 152 e ss.
[6] Art. 233 co. 1 bis c.p.p.” Il giudice, a richiesta del difensore, può autorizzare il consulente tecnico di una parte privata ad esaminare le cose sequestrate nel luogo in cui esse si trovano, ad intervenire alle ispezioni, ovvero ad esaminare l’oggetto delle ispezioni alle quali il consulente non è intervenuto. Prima dell’esercizio dell’azione penale l’autorizzazione è disposta dal pubblico ministero a richiesta del difensore”.
[7] AA.VV. Computer Forencics e indagini digitali, Experta Edizioni, pag. 386.
[8] Ibidem
[9] Sono le tecniche che permettono la cancellazione definitiva di dati informatici.
[10] http://www.absolute.com/shared/datasheets/asd-ds-e.pdf;
