Sebbene gli accertamenti tecnici siano collocati nel libro V del Codice di procedura penale, e più precisamente al titolo V, relativo alle attività proprie del P.M. nella fase delle indagini preliminari, va detto che ai sensi dell’art. 391 decies c.p.p. il difensore, nell’ambito delle indagini difensive, può procedere in piena autonomia e in alternativa al P.M. al compimento di atti irripetibili.
Naturalmente in tal caso il P.M. deve essere avvisato, ed egli, ove lo ritenesse, può esercitare le facoltà di cui all’art. 360 c.p.p., ossia formulare riserva di incidente probatorio.
Ed è qui, dunque, che assume rilievo la distinzione tra ripetibilità e non ripetibilità dell’accertamento tecnico: invero, tra le ipotesi per poter richiedere incidente probatorio rientrano tutte le perizie urgenti basate su accertamenti che “riguardano persone, cose luoghi il cui stato è soggetto a modificazioni”.
E su tale distinzione il codice di rito purtroppo non ci viene in soccorso. L’ irripetibilità degli accertamenti tecnici, infatti può assumere varie accezioni. Si parla infatti di:
- irripetibilità in senso “giuridico” (ex art. 360 c.p.p.) che ricorre allorquando si tratti di accertamenti che “riguardano persone, cose o luoghi il cui stato è soggetto a modificazione” (…) “tali da far perdere loro in tempi brevi, ogni valenza probatoria in relazione ai fatti oggetto di indagini e di eventuale futuro giudizio”, come ad esempio nel caso delle operazioni di rilevazione delle tracce di polvere da sparo;
- irripetibilità nel senso di “indifferibilità” (ex art. 360, 4° Co. c.p.p.) che si verifica allorquando gli accertamenti sono di natura fisica tale che, ove differiti, non possono più essere utilmente compiuti;
- irripetibilità in senso “tecnico” (ex art. 117 disp. att. c.p.p.) che ricorre allorquando gli stessi accertamenti determinano “modificazione delle cose, dei luoghi, o delle persone tali da rendere l’atto non ripetibile”.
Alla luce di tali distinzioni, vi è a allora forse da domandarsi se l’attività di acquisizione e analisi di dati informatici sia accertamento tecnico irripetibile o non ripetibile, nel senso indicato dall’art 117 disp. att. c.p.p.
Per poter rispondere a questa domanda, va però preliminarmente fatta chiarezza sulla natura dell’accertamento tecnico, ed in questo è possibile trovare conforto in un arresto della Suprema Corte di Cassazione nel quale è stato ben chiarito come la nozione di “accertamento riguarda non la constatazione o la raccolta di dati materiali pertinenti al reato e alla sua prova, che si esauriscono nei semplici rilievi, ma il loro studio e la relativa elaborazione critica, necessariamente soggettivi e per lo più su base tecnico-scientifica. La distinzione trova testuale conferma normativa in ripetute disposizioni del nuovo codice che menzionano separatamente i termini “rilievi” ed “accertamenti”, con l’implicita assunzione, per ciascuno, del significato specifico precedentemente delineato. (Cass., Sez. I, 14 marzo 1990 n. 301).
E in ambito informatico/giuridico la fase di “constatazione o raccolta di dati materiali pertinenti al reato e alla sua prova” prende il nome di acquisizione forense. Essa si sostanzia nella realizzazione della copia forense (in particolare doppia copia, se si tratta di memorie di massa) dei dispositivi che si ritiene possano racchiudere elementi di prova utili a fini investigativi. Al termine dell’acquisizione si deve verificare la coincidenza nel risultato del calcolo dell’hash del supporto originale con quello della copia. Una non coincidenza starebbe a significare l’errata acquisizione. Viceversa, la coincidenza del risultato garantisce la certezza matematica che la copia è perfettamente identica all’originale. Ad ogni modo, una volta calcolato l’hash, gli esiti confluiscono nella documentazione relativa all’acquisizione forense effettuata. Terminata questa fase, si apre il momento dell’analisi dei dati sulle copie forensi ottenute dall’acquisizione. E’ qui, dunque, che inizierebbe l’accertamento tecnico.
Ora, è proprio muovendo da questa particolare complessità dell’acquisizione forense che alcune considerazioni dottrinarie e giurisprudenziali propendono per l’irripetibilità dell’accertamento tecnico. In particolare si fa riferimento al fatto che a seguito di ogni accensione dei supporti vi è la modifica automatica dei parametri di sistema, quindi basterebbe semplicemente spegnere un dispositivo trovato acceso, o accenderne uno trovato spento per alterare irrimediabilmente lo stato dei parametri. Da qui poi derivano tutta una serie di ulteriori considerazioni che tengono in considerazione per esempio la modifica automatica di diversi file, e l’alterazione della timeline come mezzo di ricostruzione della stratificazione della memorizzazione di dati su un supporto e quindi delle modifiche che i dati su quel supporto hanno subito. Ancora, chi propende per l’irripetibilità considera anche l’alta probabilità dell’alterabilità accidentale dei file (dolosa o colposa che sia), e la parimenti alta probabilità di malfunzionamento o di rottura dei supporti hardware, e dell’alterabilità dei metadati. Vengono poi presi in considerazione il rischio di perdita di mezzi di prova a favore dell’ indagato e della violazione dei dati da parte di terzi estranei all’indagine, che ben potrebbero modificare i dati archiviati senza lasciare alcuna traccia dell’avvenuta modifica.
A supporto di tale tesi, vi è la convenzione di Budapest e la relativa Legge 48/2008, che, assumendo la fragilità e la facile modificabilità del dato informatico, ha modificato il Codice di procedura penale (vedasi artt. 244, 247, 248, 254, 254 bis ecc.) imponendo alla Polizia Giudiziaria di adottare misure tecniche adeguate per la conservazione dei dati digitali. E da tali presupposti è partita anche l’ISO/IEC nella pubblicazione delle amplissime e specifiche “Linee guida 27037:2012 regolamentazioni tecniche su base scientifica per il trattamento della digital evidence“.
Per tale tesi propendono, tra gli altri, anche il Tribunale del riesame di Torino che nell’ordinanza del 7/2/2000, riportata di seguito, bolla come “inutili” i sequestri di hard disk in quanto nulla osta a “procedere ad una copia integrale dell’hard disk, con specificazione verbale di ogni singola operazione. Inoltre qualora vi fossero stati problemi di irripetibilità, nulla impediva al P.m. di procedere ex art. 360 c.p,p. anche a seguito del sequestro ovvero in assenza dei problemi suddetti ex art 359 c.p.p..(…)” e il Tribunale di Vigevano (sul caso Garlasco) che in antitesi all’assunto della ripetibilità delle operazioni, ha elencato tutti i presupposti che caratterizzano l’irripetibilità degli accertamenti, mettendo in evidenza il principio della fragilità del contenuto dei documenti informatici e quindi dei bit, nonché la conseguente necessità di prevenire ed evitare l’alterazione e la dispersione dei dati adottando le tecniche scientifiche messe a punto e già operanti prima della L. 48/08 come normale metodologia scientifica di trattamento dei dati a fini processuali.
Ora, sebbene tali tesi trovino, almeno in chi scrive, molto favore, vi è da dire che, forse per ragioni economiche e di tempistiche, la giurisprudenza dominante ritiene invece che l’acquisizione e analisi di dati informatici rientri nella categoria degli accertamenti ripetibili.
Nello specifico, la I^ sezione della Cassazione, con la sentenza n. 11863 del 26 febbraio 2009 (pubblicata il 18 marzo 2009) affrontando il tema della qualificabilità delle operazioni di “estrazione di copia di “file” da un computer oggetto di sequestro”, ha stabilito che: ”L’estrazione dei dati contenuti in un supporto informatico, se eseguita da personale esperto in grado di evitare la perdita dei medesimi dati, costituisce un accertamento tecnico ripetibile”, riversando quindi il fulcro del problema dalla natura fisica dei dati e dei relativi supporti, alle abilità personali dei tecnici (come se le qualità fisiche oggettive dei bit potessero essere preservate dalle qualità soggettive dell’operatore – sic!).
Ancora, poco più tardi, sempre la I^ sezione, con la sentenza n. 14511 del 5 marzo 2009 (pubblicata il 2 aprile 2009) ha stabilito che: ”Non rientra nel novero degli atti irripetibili l’attività di estrazione di copia di “file” da un computer oggetto di sequestro, dal momento che essa non comporta alcuna attività di carattere valutativo su base tecnico-scientifica, né determina alcuna alterazione dello stato delle cose, tale da recare pregiudizio alla genuinità del contributo conoscitivo nella prospettiva dibattimentale, essendo sempre comunque assicurata la riproducibilità d’informazioni identiche a quelle contenute nell’originale”.
Successivamente, è stata la II^ sezione ad occuparsi del tema, con la sentenza n. 24998 del 4 giugno 2015 (pubblicata il successivo 16 giugno) nella quale viene affermato con decisone come non dia luogo ad “accertamento tecnico irripetibile la mera estrazione dei dati archiviati in un computer, trattandosi di operazione meramente meccanica, riproducibile per un numero indefinito di volte; poiché non esiste, ad oggi, uno standard prestabilito per la metodologia di trattamento ed analisi delle prove informatiche, l’eventuale alterazione dei dati informatici – e, quindi, la loro inutilizzabilità – a seguito di operazioni effettuate sugli hard disk o su altri supporti informatici, costituisce oggetto di un accertamento di fatto da parte del giudice di merito che, se congruamente motivato, non è suscettibile di censura in sede di legittimità”.
Segno inequivocabile del consolidamento dell’orientamento, è la sentenza della V^ sezione, n. 11905 del 21 marzo 2016 con la quale la Suprema Corte ha affermato ulteriormente che “l’estrazione di dati archiviati in un supposto informatico non costituisce accertamento tecnico irripetibile anche dopo l’entrata in vigore della legge 18 marzo 2008, n. 48, che ha introdotto unicamente l’obbligo per la polizia giudiziaria di rispettare determinati protocolli di comportamento, senza prevedere alcuna sanzione processuale in caso di mancata loro adozione, potendone derivare, invece, eventualmente, effetti sull’attendibilità della prova rappresentata dall’accertamento eseguito”.
Va detto comunque che per lo meno la Suprema Corte in motivazione ha precisato che è fatta salva la necessità di verificare in concreto la sussistenza di eventuali alterazioni dei dati originali e la corrispondenza ad essi di quelli estratti.
Detto ciò, in chi scrive sorgono tutta una serie di dubbi di non poco momento. Se infatti si aderisce a tale impostazione voluta dai Giudici di Legittimità, il difensore, allora, nell’ambito delle sue investigazioni difensive non può dirsi soggetto a quanto disposto dal richiamato art. 391 decies c.p.p. e dunque non è tenuto ad avvisare il P.M. allorquando dovesse duplicare supporti informatici a discarico. Tuttavia è il P.M. stesso che deve preservare i supporti e i dati originari ed esibirli per provare la conformità dei dati acquisiti. E qualora, come è facile che avvenga, si dovesse riscontrare difformità tra gli hash dei dati originari e della copia, sarà onere di chi intende utilizzarli dimostrare quali dati siano stati modificati o che i dati rilevanti non siano stati modificati!
Insomma, una tale impostazione genera non poche contraddizioni, ed allora, muovendo dalla richiamata definizione di accertamento tecnico espressa dalla Suprema Corte di Cassazione nella richiamata sentenza n. 301 del 14 marzo 1990, ed ampliandola, non sarebbe forse tutto più semplice se gli atti di acquisizione forense dei dati informatici venissero considerati come accertamenti tecnici non ripetibili ex art. 117 disp. att. c.p.p. mentre invece le operazioni di analisi dei dati venissero considerate accertamenti tecnici ripetibili?
Ai posteri l’ardua sentenza.
Nicola Nappi
Ultimi post di Nicola Nappi (vedi tutti)
- Sui profili del trasferimento dei dati nell’ambito del cloud computing - Luglio 14, 2024
- Riflessioni a margine del convegno di Informatica Giuridica dell’Osservatorio permanente delle novità giurisprudenziali di legittimità del Consiglio dell’Ordine degli Avvocati di Napoli - Luglio 10, 2024
- Sulla nozione di trasferimento dei dati personali - Luglio 1, 2024
- Sul principio della net neutrality - Giugno 24, 2024
- Quando è obbligatorio nominare il D.P.O. - Giugno 17, 2024
