I sequestri informatici in Italia

Una lettrice scrive a PI per chiedere come funziona e cosa accade nel caso in cui una indagine sfoci nel sequestro di materiale informatico. Risponde il dott. Gerardo Costabile, esperto di privacy computer forensic nonché IACIS member
Una lettrice scrive a PI per chiedere come funziona e cosa accade nel caso in cui una indagine sfoci nel sequestro di materiale informatico. Risponde il dott. Gerardo Costabile, esperto di privacy computer forensic nonché IACIS member


Roma – Pubblichiamo una sintesi di una preoccupata email inviata in redazione da Elisabetta R. e, di seguito, la risposta e i chiarimenti forniti su una questione scottante: quella delle perquisizione e/o sequestro dei materiali informatici in corso di indagine (Note al testo in ultima pagina)

“Caro PI, ti leggo per lavoro e per piacere tutti i giorni, e più passa il tempo e più la lettura mi preoccupa. Mi spiego: come milioni di persone in tutto il mondo mi piace il sesso e mi piace la pornografia; come milioni di persone uso WinMx per scaricare tonnellate di video, approfittando di una connessione veloce e sempre collegata. Inoltre lavoro da casa, con lo stesso computer che uso per scaricare. E qui viene il panico.
Premesso che non mi è mai capitato di scaricare “per sbaglio” file pedofili eppure scarico in un modo o nell’altro dai tempi delle BBS) e che comunque miei gusti sono ben diversi e del tutto legali, a leggere certe notizie mi viene il dubbio che qualche carabiniere un giorno decida di mettermi sotto inchiesta per file sharing “pedo”. Sono tranquilla e innocente, però resta il fatto che sul mio Pc ci sono 80 giga di film e foto erotiche e pornografiche, più una ventina di file “a metà scaricamento”.

Ora: diciamo che mi suonano alla porta dello studio/casa (come per tanti piccoli cococo italiani) di mattina per fare una perquisizione perché un appuntato si è confuso, perché sono stata vittima di delazione o per mille altri motivi. La mia domanda è: che succede? Considerando che col computer ci lavoro giorno dopo giorno.

Elisabetta R.”

Sequestri di hardware: cosa dice la legge?
Risponde il dott. Gerardo Costabile, Iacis Member , esperto di Privacy e Computer Forensics, che affronterà anche questo argomento il prossimo 7 maggio a Verona .

Premessa
Il problema segnalato è enormemente discusso tra i giuristi. Accesi sono i dibattiti nelle molte mailing list di settore (cito a mò di esempio le mailing del Circolo dei Giuristi Telematici, del Centro Studi di Informatica Giuridica, di Penale.it ).

E’ palese che ormai i computer e le altre apparecchiature elettroniche sono presenti in ogni momento della nostra vita. L’uso dei nuovi metodi di comunicazione digitale, come ad esempio internet e le e-mail, ha drammaticamente incrementato l’ammontare delle informazioni che sono ordinariamente conservate e trasmesse solo in forma digitale.

I computer quindi, i nuovi “protagonisti” nella nostra vita -personale e professionale-, come un “pezzo di noi” possono contenere le prove per crimini di tipo comune -sia come attori che come parte lesa- oppure possono essere essi stessi obiettivi di atti criminali. Ed è in tale contesto che si pone il cyber-investigatore , il quale ha l’esigenza e il dovere di valutare prima di tutto il ruolo e la natura delle “impronte elettroniche” , individuare quali supporti informatici possano contenere potenziali tracce nella scena criminis , acquisire e preservare le stesse fino alla loro successiva analisi, laddove non fosse possibile od opportuno espletare i dovuti accertamenti direttamente sul posto.

La standardizzazione delle procedure: il sequestro di hardware
In Italia, purtroppo, non esiste formalmente una standardizzazione delle procedure e le modalità operative vengono demandate alla naturale professionalità degli operatori e della magistratura delegante, tentando affannosamente di non allontanarsi dalla sottilissima linea immaginaria, costituita dai quei principi generali del codice di procedura penale.

L’esperienza processuale ha però talvolta insegnato che è facile trasformare quella padronanza del thema probandum in un boomerang, vanificando in dibattimento tutta l’onerosa attività di indagine della fase preliminare.


Il mondo giuridico e giudiziario, come accennato, appare diviso sulla necessità o meno di acquisire il supporto informatico nella fase di sequestro penale. Molteplici sono state le posizioni, più o meno condivise dalla giurisprudenza, di coloro che indicavano come oggetto del sequestro non il contenitore in se, ma i dati informatici ivi contenuti. Le critiche più articolate, da parte della dottrina(1), hanno preso le mosse da un attento esame dell’istituto del sequestro probatorio, approfondendo le nozioni di corpo del reato e cose pertinenti al reato. Infatti l’art. 253 comma 2 cpp indica quale corpo del reato quelle cose sulle quali o mediante le quali il reato è stato commesso, includendo altresì quelle che ne costituiscono il prodotto, il profitto o il prezzo.
Secondo la citata dottrina, non sarebbe conciliabile la definizione marcatamente materiale del legislatore con la natura immateriale delle tracce informatiche(2).

D’altro canto la giurisprudenza non sembra aver dato adeguate risposte, riconoscendo alternativamente ad un computer(3) la qualità di corpo del reato, ovvero il mezzo attraverso il quale viene consumata l’azione criminosa, oppure di cosa pertinente al reato, in quanto elemento esterno dell’ iter criminis , con l’esame del quale può essere dimostrato il fatto criminoso, comprese le modalità di preparazione ed esecuzione(4).

E’ palese che tale vincolo pertinenziale non sembra sussistere sempre tra il reato e l’intero supporto informatico, in luogo delle sole tracce ivi contenute, almeno nei casi in cui il computer non può essere semplicisticamente considerato come “l’arma del delitto”.

Per questo motivo appare fondamentale valutare il “ruolo” del computer nell’attività illecita, per motivarne l’eventuale sequestro.

In generale infatti l’hardware di un computer può essere osservato sotto due distinti profili. Il computer, e non solo quello ovviamente, può assumere la veste di mero contenitore della prova del crimine, ad esempio può immagazzinare il piano di una rapina o le mail intercorse tra i complici. In tal caso non sarà necessaria un’azione di sequestro, ma potrà essere operata in contraddittorio una semplice masterizzazione delle tracce pertinenti al reato, con lo strumento di polizia giudiziaria più appropriato, come ad esempio un’ispezione delegata ex art. 246 cpp.

L’ispezione è una particolare attività tipica di polizia giudiziaria volta all’esame di persone, cose o luoghi, allo scopo di accertare le tracce e gli altri effetti materiali del reato (ad esempio impronte sul pavimento, macchie di sangue).

Questa attività di polizia giudiziaria, poco utilizzata nel settore dei reati informatici in quanto esigente di specifiche competenze tecniche e variegato materiale software, è caratterizzata dall’irripetibilità degli atti, con la conseguente utilizzabilità piena originaria nel dibattimento.
Tale procedura, molto incoraggiata da parte della dottrina, appare consigliabile esclusivamente per piccoli reati (ad esempio in presenza di dialer , diffamazione, virus ), in quanto, come già accennato, si tratta di un’attività particolarmente tecnica dove l’operatore deve, in contradditorio con la parte, “esplorare” i supporti informatici dell’indagato, (o talvolta dello stesso esponente) alla ricerca di dati e tracce informatiche inerenti i fatti oggetto dell’ispezione, che saranno cristallizzati con i dovuti metodi in supporti durevoli allegati al verbale.

Pare meritevole ivi segnalare due limiti: uno di natura meramente temporale, in quanto non è sempre possibile analizzare sul posto una grande mole di dati, considerando anche quelli cancellati che dovranno, ove possibile, essere opportunamente recuperati.
Un altro problema invece è l’impossibilità, da parte dell’indagato, di esperire in un secondo momento una nuova analisi ad opera di un perito di parte, in quanto il supporto prodotto in sede di ispezione, oppure l’hard disk stesso oggetto dell’attività, non saranno i medesimi sui quali il “cyber-investigatore” aveva operato(5).

Dovrà quindi essere valutata preventivamente l’opportunità dell’ispezione, consigliabile preferibilmente quando un sequestro indiscriminato sarebbe sproporzionato al fatto contestato, ovvero quando l’hard disk è stimabile solo come contenitore di documenti informatici inerenti alle indagini, oppure nel caso di attività presso terzi (banche, provider, etc.) estranei di fatto alla vicenda.
In altri casi, invece, l’hardware può essere considerato come frutto dell’attività criminale, come ad esempio il contrabbando, oppure uno strumento per la commissione di reati.

Un computer utilizzato per consumare il reato di cui all’art. 615 ter cp (accesso abusivo ad un sistema informatico) potrebbe quindi essere annoverato tra gli strumenti per la commissione del crimine. In America, in questi casi, il Federal Rule of Criminal Procedure n. 41 consente agli agenti, previo decreto, il sequestro dell’intero hardware, qualunque sia il materiale ivi contenuto. Successivamente sarà effettuata la digital analysis del contenuto delle risorse informatiche dell’indagato.

Paradossalmente in Usa sarebbe possibile sequestrare un’intera rete informatica laddove fosse accertata la commissione di un reato ad opera di un amministratore di rete nell’esercizio della propria attività(6).

Negli altri casi, cioè quando l’hardware è un mero contenitore, le procedure federali d’oltreoceano danno maggiore rilevanza al sequestro del dato informatico, ritenuto centrale rispetto all’indagine, rispetto all’hardware che lo contiene. Ciò non vuol dire che il sequestro tout court degli hard disk sia vietato, ma viene valutata caso per caso la fattibilità in determinate circostanze “informatiche”, ovvero quando la mole di dati è di un certo spessore(7), oppure si ha motivo di ritenere che ci siano file nascosti, stenografati, crittografati, non allocati, ovvero sistemi di autodistruzione dei dati in caso di password errata, etc.


La risposta più adeguata alle problematiche sopra evidenziate sembrerebbe essere il buon senso, ossia garantire una blindatura delle procedure e della relativa chain of custody , utilizzando lo strumento giuridico più adatto, motivando adeguatamente la sussistenza delle concrete esigenze probatorie con riferimento, cioè, alla “pertinenza” probatoria delle cose eventualmente sequestrate o oggetto di ispezione, in relazione alle quali andranno indicati gli elementi di fatto specifici che giustificano il provvedimento(8).

Dovrà quindi essere individuato(9) compiutamente il thema probandum , ovvero il fatto storico e concreto riconducibile, almeno astrattamente, ad una fattispecie criminosa. In mancanza di tale individuazione non sarebbe possibile accertare né l’esistenza delle esigenze probatorie su cui si fonda il provvedimento, né la natura di corpo del reato o cosa ad esso pertinente, oggetto di ricerca e acquisizione. In tal caso quindi la perquisizione non sarà più un mezzo di ricerca della prova, ma un discusso mezzo di acquisizione della notitia criminis (10).

Tale indeterminatezza, accompagnata dall’indicazione che potrà essere oggetto di sequestro “quanto ritenuto utile ai fini dell’indagine”, rimetterebbe alla polizia giudiziaria la valutazione e l’individuazione dei presupposti fondamentali del sequestro(11), con la spiacevole conseguenza, non avendo ben precisato l’importanza di taluni dati in luogo dell’intero supporto e non avendo valutato la possibilità di un’ispezione delegata, di “agevolare” un sequestro indiscriminato di corposo hardware, contenente dati anche di terze persone e quindi poco inerente(12). Infatti appare palese la multifunzionalità dei supporti informatici, difficilmente vincolati nella loro interezza all’attività illecita(13).

Il sequestro del bene informatico deve pertanto essere valutato caso per caso e non in maniera superficiale, attesa la molteplice destinazione e funzione dello strumento.

Tale impostazione impone un più rigoroso accertamento sulla sussistenza delle finalità probatorie e sugli strumenti tecnico-giuridici più idonei all’attività di cristallizzazione ed assicurazione della prova informatica, garantendo altresì certezza, genuinità e paternità ai dati informatici , evitando contestualmente conseguenze altamente afflittive e interdittive, ancorché lesive ed estranee alle esigenze d’indagine(14).

Appare d’obbligo infine citare, proprio nel codice penale, l’art.. 491 bis dove si legge, tra l’altro: “omissis? A tal fine per documento informatico si intende qualunque supporto informatico contenente dati o informazioni aventi efficacia probatoria o programmi specificamente destinati ad elaborarli” . Quindi, testualmente, la distinzione tra il documento cartaceo e quello informatico consiste tutta nel supporto contenente i dati: questi, infatti, viene indicato quale equivalente informatico del tradizionale foglio di carta, sul quale un contenuto eventualmente rappresentativo può essere impresso(15).

Questo spinge a valutare l’attività di assicurazione della prova sempre più nella direzione della cristallizzazione del contenitore in luogo del suo contenuto, mentre nel caso dell’informatica le due cose sono facilmente scindibili, pur assicurando medesimo risultato. In conclusione, quindi, se pure da un lato è possibile l’applicazione di un idoneo accorgimento tecnico, rispettoso dei principi costituzionali e garanzia della genuinità della prova, è auspicabile un aggiornamento delle procedure del codice di rito, al fine di svincolare alcune terminologie dall’impostazione profondamente ancorata alla materialità degli eventi(16).

Mentre tale obiettivo, seppure lontano, appare più chiaro e definito all’orizzonte, tanto che anche alcune Università in Italia (cito, per conoscenza personale, l’ Università di Milano con il Prof Ziccardi e quella di Bologna con il Prof. Maioli ) si stanno facendo promotrici, in ambiente certamente scientifico, di progetti di linee guida per le attività di computer e network forensic (17), le attività sono spesso poco omogenee e gli interventi non sempre proficui, oltre che spesso in pregiudizio di alcuni principi fondamentali dell’individuo.

dott. Gerardo Costabile
Iacis Member



1 Cfr. Francesco Marcellino, Principio di pertinenza e sequestri di computer, disponibile su www.netjus.org .

2 L’immaterialità del dato informatico è stata riconosciuta dallo stesso legislatore il quale, tra i computer crimes, non ha previsto il reato di furto, limitandosi alla mera duplicazione abusiva.

3 Cfr. Cass. Pen Sez. VI, 29 gennaio 1998.
4 Cfr. Cass. Pen. Sez. V, 22 gennaio 1997, n. 4421.

5 In realtà tali operazioni di polizia giudiziaria non sono quasi mai oggetto di contestazione immediata da parte dell’indagato il quale, specialmente per reati comuni, non sempre ha la competenza tale per poter contraddire un processo di estrapolazione dei dati, condizionato talvolta anche da una sorta di timore reverenziale.

6 Trattasi di una facoltà in capo alla polizia giudiziaria americana. Anche in Italia è guardata con più rigore l’opera criminale dell’amministratore di sistema, il quale è punito più severamente in caso ad esempio di accesso abusivo ex art. 615 ter cp.

7 Questo è il caso più frequente in quanto l’attività di estrapolazione o di bit stream image può essere onerosa, dal punto di vista temporale, e in taluni casi può essere più invasiva dell’asportazione dei supporti informatici, che potranno essere “copiati” in laboratorio.

8 Cfr. Cass. Penale n. 649 del 2 marzo 1995.

9 Cfr. Arrigo Daniele, Il riesame della perquisizione e del sequestro penale mancanti dell’indicazione del thema probandum, 1999, n., p.823, Giurisprudenza Italiana a commento di Cassazione VI Sezione, 26 marzo 1997.

10 Cfr. Cassazione VI Sezione, 26 marzo 1997, che ritiene “insufficiente quale enunciazione, ancorché sommaria e provvisoria, d’ipotesi accusatoria, la mera indicazione, nei provvedimenti di perquisizione e sequestro, degli articoli di legge pretesamente violati, seguiti da una collocazione spazio-temporale così ampia da non apportare alcun contributo alla descrizione del fatto”.

11 Cfr. “Decreti di perquisizione e sequestri ex art. 252 cpp: limiti e discrasie” – Avv. Alfonso Maria Parisi, Patrocinante in Cassazione, su www.penale.it .

12 L’indeterminatezza dell’indicazione ha come conseguenza diretta la necessità, secondo parte della giurisprudenza (Cfr. Cass. Pen., V, 17 marzo 2000), di una convalida ex art. 355 cpp.

13 Il Tribunale di Torino, con un notorio provvedimento del 7 febbraio 2000 in materia di sequestro probatorio di hard disk, pur non accogliendo le eccezioni sull’asserita immaterialità delle tracce informatiche, ha ordinato il dissequestro dell’hardware, riconoscendo altresì che questi è cosa pertinente al reato, ma asserendo che le esigenze probatorie potevano essere garantite con l’estrazione dei soli dati oggetto dell’attività illecita, in quanto l’intero supporto conteneva anche informazioni riferibili alla corrispondenza telematica tra l’indagato e terzi, totalmente estranei ai fatti.

14 Cfr. Cassazione penale, sez. III, 25 febbraio 1995, n. 105, e Tribunale del riesame di Torino, 7 febbraio 2000.

15 Leggasi l’interessante articolo su http://www.romagna-camerapenale.it/docinformatico.htm relativo al documento informatico.

16 Tale impostazione è stata già applicata per dipanare un problema analogo afferente il reato di furto ex art. 624 cp, ove è stata parificata a “cosa mobile anche l’energia elettrica e ogni altra energia che abbia valore economico”.

17 L’accezione “Computer Forensics” si riferisce a quella disciplina che si occupa della preservazione, dell’identificazione, dello studio, della documentazione dei computer, o dei sistemi informativi in generale, al fine di evidenziare prove per scopi di indagine.

Link copiato negli appunti

Ti potrebbe interessare

29 04 2004
Link copiato negli appunti