Ne bis in…Eternit…: protezione dei dati giudiziari e questioni in tema di digital forensic
11 Agosto 2022
Introduzione
Grande eco mediatica ha avuto la notizia diffusa tra il 14 ed il 15 luglio 2022 circa gli esisti del cd. Processo Eternit bis in corso a Torino e pendente innanzi alla Corte di appello. La vicenda è racchiusa nel titolo de il Corriere della Sera del 15 luglio: Processo Eternit, vuota la chiavetta Usb. Salta la sentenza. I giudici “siamo mortificati”. Il legale del magnate svizzero: “Procedimento nullo?”. La sentenza era appunto attesa per l'udienza del 14 luglio. Nel corpo dell'articolo si legge che la chiavetta USB sulla quale era custodito il 90% degli atti del processo Eternit bis è risultato inservibile. «Siamo mortificate – hanno spiegato i giudici della terza sezione d'Appello – ma quando siamo andate a cercare un certo passaggio di una consulenza tecnica non abbiamo trovato nulla, è come se la chiavetta fosse vuota o danneggiata». L'imputatoè un imprenditore svizzero, accusato di omicidio colposo plurimo aggravato dalla previsione dell'evento per aver cagionato la morte di per mesotelioma pleurico e asbestosi di una cittadina di Cavagnolo in provincia di Torino e di un lavoratore dello stabilimento Eternit che aveva sede in quel Comune, e, per questo, è stato condannato alla pena di anni quattro di reclusione. La Corte ha chiesto al Procuratore Generale di “recuperare” il materiale ed il magistrato ha spiegato che si rivolgerà al collega che ha sostenuto l'accusa in primo grado. Dal canto suo, il legale dell'imputato ha dischiarato: «Sono rimasto notevolmente sorpreso. Adesso, però, si tratta di capire se la chiavetta si sia danneggiata o se gli atti non siano mai stati caricati e quindi depositati». La posizione assunta dal difensore ha stupito i difensori di parte civile, che assistono i familiari di una vittima e l'Osservatorio nazionale amianto: «Per noi è un mero problema tecnico. Pur rispettando la tesi dei colleghi, penso sia quanto meno strumentale ipotizzare un mancato deposito di atti processuali». Questioni in tema di data breach
Effettivamente la questione posta dal difensore dell'imputato potrebbe rivelarsi alquanto seria.
Tecnicamente ciò che si è verificato può essere definito un data breach,
L'art. 4 del GDPR definisce la violazione dei dati personali (cd. data breach) come «la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o comunque trattati».
Stando a tale definizione, la violazione dei dati personali ossia il c.d. data breach, non è solo frutto di un evento doloso come un attacco informatico, ma può essere qualsiasi violazione accidentale come, ad esempio, un incidente del genere di quello verificatosi a Torino.
Un data breach è dunque una violazione della sicurezza che comporta – in maniera accidentale o illecita – la distruzione, la perdita, l'alterazione, la divulgazione o l'accesso non autorizzato di dati di natura personale trasmessi, conservati o altrimenti elaborati.
Il comma 1 dell'art. 33 GDPR prevede che «In caso di violazione dei dati personali, il titolare del trattamento notifica la violazione all'autorità di controllo competente a norma dell'articolo 55 senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. Qualora la notifica all'autorità di controllo non sia effettuata entro 72 ore, è corredata dei motivi del ritardo».
Dunque, in applicazione al principio generale di accountability, sarà sempre rimessa alla discrezionalità del titolare del trattamento la valutazione del rischio che lo specifico data breach possa rappresentare per i diritti e le libertà degli assistiti e degli interessati, seppur, in presenza di una valutazione affermativa circa la sussistenza del rischio, la sua discrezionalità viene meno essendo il titolare, entro e non oltre le 72 ore dalla presa di coscienza, vincolato a notificare al Garante della protezione dei dati personali l'avvenuta violazione.
A norma del 3 comma dell'art. 33 del GDPR, il titolare sarà vincolato anche nel contenuto della notifica all'autorità di controllo competente che dovrà necessariamente: «a) descrivere la natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione; b) comunicare il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni; c) descrivere le probabili conseguenze della violazione dei dati personali; d) descrivere le misure adottate o di cui si propone l'adozione da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi». A tali adempimenti sarebbe tenuto un avvocato che avesse subito un data breach analogo a quello descritto nel quotidiano (Smoraldi, Strazzullo).
Se tali disposizioni si applicassero anche all'ambito giurisdizionale risulterebbero rafforzate le parole del difensore dell'imputato svizzero: «Il punto è che i documenti in questione, in gran parte consulenze tecniche, sono quelli alla base della sentenza di primo grado. Se emergesse che non sono mai stati caricati, entrambi i procedimenti sarebbero nulli. Valuteremo se chiedere una perizia alla prossima udienza».
Nondimeno, mentre il codice Privacy, nella sua previgente formulazione era assai esplicito nell'individuare i profili di titolarità del trattamento dei dati, il combinato disposto del codice della privacy, come riformato dal d.lgs. n. 101/2018 – Disposizioni per l'adeguamento della normativa nazionale alle disposizioni del reg. (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)” –e del d.lgs. n. 51/2018 – Attuazione della direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio -pare ritagliare per l'autorità giudiziaria ampi spazi di esenzione rispetto alle norme europee sul trattamento dei dati.
In particolare, nel sistema delineato dal d.lgs. n. 51/2018 tutto ruota intorno all'art. 37 ultimo comma d.lgs. n. 51/2018: il legislatore “domestico”, facendo valere la clausola di flessibilità prevista all'art. 45, comma 2, della direttiva 2016/680, ha scelto di non sottoporre i trattamenti effettuati dall'autorità giudiziaria, nonché di quelle giudiziarie del Pubblico ministero, nell'esercizio delle sue funzioni giurisdizionali, al controllo del Garante per la protezione dei dati personali al fine di salvaguardarne l'indipendenza.
Gli artt. 23 e 24 (che riprende l'art. 37 ultimo comma d.lgs. 51/2018) prescrivono, sulla scorta degli stessi presupposti del GDPR (uso di nuove tecnologie, natura, ambito di applicazione, contesto e finalità del trattamento, da un lato e rischio elevato per i diritti e le libertà delle persone fisiche, dall'altro), l'obbligo in capo al titolare del trattamento di procedere ad una valutazione di impatto sulla protezione dei dati e di ricorrere alla consultazione preventiva del Garante, salvo per i trattamenti effettuati dall'autorità giudiziaria nell'esercizio delle sue funzioni giurisdizionali, in caso di trattamenti di dati destinati ad un archivio, qualora il trattamento presenti un rischio elevato per i diritti e le libertà degli interessati in ragione dell'utilizzo di tecnologie, procedure o meccanismi innovativi, ovvero si tratti di dati genetici o biometrici.
Ai sensi del successivo art. 26 tutti i data breach, salvo per i trattamenti effettuati dall'autorità giudiziaria nell'esercizio delle sue funzioni giurisdizionali, in virtù del richiamo all'art. 37 ultimo comma d.lgs. 51/2018, debbono essere notificati al Garante senza alcuna eccezione e, se si tratta di dati trasmessi o ricevuti da un altro Stato membro, la notifica deve essere fatta anche al relativo titolare in tale Stato membro. Nel caso in cui la violazione comporti un rischio elevato per i diritti e le libertà delle persone fisiche, la comunicazione dovrà essere inviata anche agli interessati, salvo sia necessario un suo differimento nel tempo per ragioni di tutela della sicurezza pubblica o nazionale, dei diritti e delle libertà altrui ed al fine di non compromettere il buon esito di un'attività di prevenzione, indagine o accertamento in corso.
A tale regime di esenzione, si aggiunge l'art. 2-duodecies (Limitazioni per ragioni di giustizia) del codice privacy conseguente alla novellazione del 2018: in relazione ai trattamenti di dati personali effettuati per ragioni di giustizia nell'ambito di procedimenti dinanzi agli uffici giudiziari di ogni ordine e grado nonché dinanzi al Consiglio superiore della magistratura e agli altri organi di autogoverno delle magistrature speciali o presso il Ministero della giustizia, i diritti e gli obblighi di cui agli articoli da 12 a 22 e 34 del Regolamento sono disciplinati nei limiti e con le modalità previste dalle disposizioni di legge o di Regolamento che regolano tali procedimenti, nel rispetto di quanto previsto dall'articolo 23, paragrafo 2, del Regolamento. L'esercizio dei diritti e l'adempimento degli obblighi di cui agli articoli da 12 a 22 e 34 del Regolamento possono, in ogni caso, essere ritardati, limitati o esclusi, con comunicazione motivata e resa senza ritardo all'interessato, a meno che la comunicazione possa compromettere la finalità della limitazione, nella misura e per il tempo in cui ciò costituisca una misura necessaria e proporzionata, tenuto conto dei diritti fondamentali e dei legittimi interessi dell'interessato, per salvaguardare l'indipendenza della magistratura e dei procedimenti giudiziari.
Chiude il “quadro” di deroghe l'art. 37 del Regolamento europeo: il Data Protection Officer (DPO) deve essere nominato, tra gli altri casi, quando il trattamento è effettuato da un'autorità pubblica o da un organismo pubblico (e tali sono le Autorità giudiziarie, compreso il Pubblico ministero) ad eccezione delle autorità giurisdizionali, nell'esercizio di tali funzioni.
Dunque, tutti i trattamenti effettuati dall'autorità giudiziaria nell'esercizio delle sue funzioni giurisdizionali sono esenti dalla maggior parte dei rigori della normativa sul trattamento dei dati (Brizzi). Sicurezza dei dati e digital forensic
Eppure, vi è una norma del GDPR che potrebbe essere validamente impiegata per verificare la “serietà” della perdita di dati in cui è incorsa la Corte sabauda: si tratta dell'art. 32 che, come noto, richiede ai titolari e ai responsabili del trattamento di implementare misure tecniche e organizzative adeguate a garantire un livello di sicurezza del trattamento adeguato al rischio.
La formulazione esatta dell'articolo 32 del Reg. (UE) 2016/679 è: «1. Tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso: a) la pseudonimizzazione e la cifratura dei dati personali; b) la capacità di assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento; c) la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati personali in caso di incidente fisico o tecnico; d) una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento. 2. Nel valutare l'adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall'accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati…».
L'art. 32 del GDPR può fungere come “chiave di lettura” per l'art. 25del d.lgs. 51/2018 - Sicurezza del trattamento - 1. Il titolare del trattamento e il responsabile del trattamento, tenuto conto delle cognizioni tecniche disponibili, dei costi di attuazione, della natura, dell'oggetto, del contesto e delle finalità del trattamento, nonché' del grado di rischio per i diritti e le libertà delle persone fisiche, mettono in atto misure tecniche e organizzative che garantiscano un livello di sicurezza adeguato al rischio di violazione dei dati.
Neppure il generalizzato quadro di esenzione di cui al citato art. 37 u.c. sembra dispensare l'autorità giudiziaria dal rispetto del combinato disposto dell'art. 32 GDPR e 25 d.lgs. 51/2018.
A rigore, per non incorrere nella violazione di queste disposizioni, i giudici torinesi dovrebbero dimostrare la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati personali in caso di incidente fisico o tecnico, tenuto conto dei rischi presentati dal trattamento in questione, che derivano in particolare dalla distruzione, dalla perdita, dalla modifica dei dati personali trattati.
Tuttavia, ciò non pare risolvibile con tanta facilità quanto piuttosto facendo attenzione a non incorrere nei vizi che la Difesa dell'imputato pare pronta a far rilevare.
Nell'ambito di un procedimento penale devono infatti essere, con sempre maggiore frequenza, impiegate conoscenze riconducibili alla categoria generale definita “digital forensics”, ossia al settore di ricerca che studia le problematiche tecniche e giuridiche correlate alle investigazioni sui dati digitali, ovvero su dati conservati e trasmessi con linguaggio binario e come tali caratterizzati da una non immediata percepibilità, la cui fruizione deve trovare luogo mediante specifiche operazioni tecniche, basate su principi informatici. La difficoltà per l'interprete è di conciliare la logica della scienza informatica, in costante evoluzione e ontologicamente “dinamica”, con le esigenze di accertamento e di “certezze” logico-argomentative tipiche del diritto penale, che devono a loro volta conciliare esigenze probatorie e garanzie difensive. In realtà, il dato comune alla prova digitale non può che essere legato al linguaggio binario attraverso il quale la stessa entra nell'ambito dell'accertamento penale (Parodi, Sellaroli, Lombardo, Ghiardi).
Nella ricerca di un supporto normativo esistente, sul quale eventualmente appoggiare l'attività consentita dalla nuova tecnologia, è insita una valutazione di grande delicatezza: in questa sorta di "gioco delle somiglianze e differenze" si annidano innumerevoli insidie ed è in palio la legalità del sistema probatorio. Sull'attività di incasellamento, infatti, potrebbe scaricarsi l'esigenza investigativa, che potrebbe condurre a forzare i limiti della disciplina positiva. Soltanto ragionando senza forzature e con onestà intellettuale è possibile portare avanti tale opera, rimessa in prima battuta alla magistratura. Occorre che vi sia una coincidenza ontologica tra l'attività già regolata dal codice e quella consentita dalla nuova tecnologia di cui si discute e che le disposizioni esistenti siano idonee a "supportare" tale strumento: quest'ultimo non deve, cioè, comportarne una deformazione tale da determinare un mutamento qualitativo dell'attività alla quale le norme fanno riferimento. Nell'esame del diritto positivo, occorre individuare il "tipo legale" cui l'atto appaia più correttamente sovrapponibile in ragione del tratto ontologico eletto a cifra differenziale dal legislatore nel momento in cui - nell'esercizio della propria discrezionalità - ha predisposto la disciplina.
É importante notare come, al fine di effettuare le prospettate operazioni ricognitive, un elemento centrale sia costituito dalla padronanza delle modalità operative e delle potenzialità della tecnologia di cui si discute: siamo dinanzi ad uno di quei luoghi sistematici in cui, come si usa dire, il magistrato è chiamato a fornirsi di un sapere extragiuridico. É significativo rilevare che la Corte costituzionale tedesca, già nel 2008, chiamata a pronunciarsi sulla disciplina del captatore informatico, nominò quattro specialisti al fine di comprendere appieno il funzionamento del malware; in proposito, orizzonti innovativi sono schiusi dalla delibera 28 aprile 2020 dell'allora Presidente della Corte costituzionale Marta Cartabia che ha aperto il giudizio di costituzionalità all'ascolto di esperti di chiara fama (Baccari, Conti). La convenzione di Budapest
Come noto, la convenzione di Budapest, recepita in Italia con l. 48/2008 ha introdotto numerose modifiche nel codice di procedura penale e nel Codice penale, dettando regole cautelari nell'acquisizione della prova digitale, indicando le esigenze che debbono essere soddisfatte, ma lasciando l'operatore libero nell'individuazione degli strumenti tecnici da utilizzare.
Si rimanda alla lettura degli articoli del codice di procedura penale, novellati dalla L. 48/2008, in tema di ispezioni (art. 244 c.p.p.) e perquisizioni (art. 247 c.p.p.), osservando come la regola cautelare di acquisizione della prova sia sempre la conservazione dell'integrità del dato informatico e la sua non alterazione.
Rilevato che l'adozione di misure tecniche tese alla conservazione del dato ed alla sua non alterazione è una scelta tecnologica, è necessario interrogarsi sulle conseguenze della violazione delle regole cautelari introdotte con la convenzione di Budapest.
Nessuna norma della Convenzione di Budapest, né la normativa introdotta con la legge 48/2008 indica le conseguenze della violazione delle suddette regole cautelari.
Rifacendosi ai principi generali, si conviene che la violazione non può essere ricondotta ad una nullità, non essendo stato introdotto alcun richiamo all'art. 178 c.p.p., e vigendo il principio di tassatività delle nullità.
Si potrebbe affermare che l'acquisizione della copia forense possa essere dichiarata inutilizzabile nell'ordinanza di ammissione delle prove ex art. 190 c.p.p., lamentando la violazione di un divieto di legge.
Tuttavia, la normativa introdotta dalla l. 48/2008 non stabilisce divieti di utilizzabilità, ma sancisce le esigenze cautelari da adottare per non alterare il dato e conservarne l'integrità.
L'inutilizzabilità di una prova presuppone la presenza di una prova vietata per la sua intrinseca illegittimità oggettiva ovvero per effetto di un procedimento acquisitivo la cui manifesta illegittimità lo pone completamente al di fuori del sistema processuale.
Pertanto, l'inutilizzabilità non parrebbe la soluzione giuridica corretta, appunto per la generica formulazione della norma che non stabilisce dei divieti, ma generiche cautele e rimette la scelta all'inquirente/operatore di polizia giudiziaria/consulente su quali regole tecniche seguire per effettuare correttamente la copiatura forense.
È evidente che, vigendo nel nostro ordinamento il principio del libero convincimento del giudice nella valutazione delle prove, la valutazione è rimessa al Giudicante.
A tali conclusioni è pervenuta la Corte di cassazione sentenza n. 29061/2015 in cui ribadisce che la mancata adozione di modalità (tese a non alterare il dato e a preservarne l'integrità) non comporta l'inutilizzabilità dei risultati probatori acquisiti, ma la necessità di valutare, in concreto, la sussistenza di eventuali alterazioni dei dati originali e la corrispondenza ad essi di quelli estratti. La copia forense
Per sua propria caratteristica, il dato informatico di un device comprende sia l'insieme di file visibili all'utente (documenti, fotografie, messaggistica, note, ecc.), che tutta una serie di metadati relativi alle proprietà e caratteristiche dei file, delle applicazioni, delle connessioni, dati spesso utilissimi dal punto di vista investigativo.
L'informatica ci insegna che i dati digitali, per loro caratteristica, possono essere copiati ‘bit to bit', cosicché si può ottenere una copia identica dell'originale (cd. copia-clone o bitstream): tant'è che dal punto di vista informatico la copia originale e la copia-clone non sono differenziabili.
L'operazione di copiatura forense consente di avere a disposizione l'esatta copiatura di tutto il contenuto di un determinato dispositivo elettronico, quindi la copiatura di tutti i dati, anche quelli non visibili o cancellati, duplicando tutti i bit ivi contenuti nel dispositivo in questione.
La computer forensics nel corso degli anni ha individuato una serie di strumenti volti ad assicurare l'integrità del dato informatico, di modo che nelle operazioni di copiatura si potesse avere la garanzia di integrità del dato e della sua non alterazione. Sul punto si sono consolidate diverse prassi riconosciute a livello internazionale.
È evidente che la copiatura forense sia una prova scientifica, la cui caratteristica essenziale risiede nel momento acquisitivo caratterizzato dall'ausilio di conoscenze e metodologie attinenti a sapere scientifico e tecnico.
Solitamente si procede alla copiatura bit to bit del contenuto di un dispositivo elettronico per poi proseguire nelle operazioni di ricerca di dati informatici rilevanti lavorando sulla copia clone così da non alterare i dati originali.
Ci si è chiesti quale sia la natura giuridica dell'operazione di copiatura del contenuto di un dispositivo elettronico.
La giurisprudenza di legittimità ha spesso ripetuto che la copiatura di dati informatici è un accertamento ripetibile per un numero infinito di volte, escludendo la necessità che si debba procedere nel contraddittorio della difesa.
In sintesi, il panorama giurisprudenziale di legittimità non ritiene necessaria la presenza dell'indagato alle operazioni di copiatura, perché non considera le operazioni di copiatura forense quale accertamento tecnico irripetibile, nemmeno dopo l'entrata in vigore della L. 48/2008.
Si precisa che la giurisprudenza di legittimità analizzata si occupa di estrazione forense del contenuto di un hard disk di un pc.
Attualmente non risultano depositate sentenze di legittimità che riguardino la copiatura di dispositivi c.d. mobili (come smarphone o tablet) né di cloud (Golin).
Nella sentenza Cass. pen. n. 29061/2015 della seconda sezione (analoga motivazione nella sentenza sempre della seconda sezione n. 24998/2015), la Cassazione precisa che i dati di carattere informatico rientrano nel novero delle prove documentali. Tuttavia, la sentenza non si addentra in precise motivazioni nell'affermare che la copiatura sia attività non irripetibile, indicando l'assunto secondo il quale la copiatura sia un'operazione meramente meccanica riproducibile per un numero indefinito di volte (argomentazione valida, si badi bene, solamente finché il dispositivo in questione rimanga in sequestro); la sentenza sul punto motivazionale rinvia al precedente della prima Sezione Cass. pen. n. 23035/2009.
Nella motivazione della citata sentenza i giudici di legittimità ritengono che la copiatura sia un accertamento di fatto che consiste nello stabilire se i dati informatici siano o meno stati alterati e in caso affermativo, stabilire in cosa consista l'alterazione e, quindi, se il dato informatico possa o meno continuare ad essere utilizzabile nonostante l'alterazione. I giudici precisano che tale accertamento è una prova scientifica.
Altra sentenza di legittimità che si è occupata incidentalmente della natura giuridica della copia forense è la Cass. pen. n.11503/2009. In tale pronuncia i giudici di legittimità osservano che non dà luogo ad accertamento tecnico irripetibile la lettura dell'hard disk di un computer sequestrato, trattandosi di attività di polizia giudiziaria volta, anche con urgenza, all'assicurazione delle fonti di prova.
A ben vedere, la giurisprudenza citata non si è occupata della natura giuridica della copia forense, ma si è interrogata sulla lesione o meno del diritto della difesa per la mancata partecipazione alle operazioni di copiatura, sul presupposto che si tratti di operazione meccanica ripetibile per un numero indefinito di volte.
Si noti bene che tale assunto è condivisibile laddove il dispositivo permanga in sequestro. Se il dispositivo venisse dissequestrato, l'operazione di copiatura non sarebbe più ripetibile un numero indefinito di volte.
Pertanto, in tale sede, ci si chiede se la copiatura bit to bit di un contenuto informatico costituisca, dal punto di vista giuridico procedurale, un accertamento.
Secondo i principi generali, il rilievo tecnico si differenza dall'accertamento tecnico vero e proprio, in quanto si esaurisce in una mera attività di osservazione e di descrizione senza implicare alcuna valutazione critica del dato raccolto, e perciò può essere eseguito dall'autorità di polizia, mentre l'accertamento tecnico non può mai eseguirsi senza l'osservanza delle garanzie difensive (cfr. Cass. pen., n. 2611/1993).
Effettuare una copia-clone del contenuto di un dispositivo elettronico è rilevare l'esatto contenuto di quel dispositivo nel momento in cui avvengono le operazioni di copiatura.
Analizzare il contenuto di quel dispositivo è, invece, attività valutativa. La maggior parte dei tecnici informatici nulla obietta sulla copiatura digitale del contenuto di un hard disk in assenza di garanzie difensive, mentre suggerisce di coinvolgere la difesa nella attività di copiatura del contenuto di uno smartphone o un tablet.
Tale conclusione è legata alle differenti caratteristiche tecniche dei dispositivi c.d. fissi rispetto a quelli c.d. mobili. Infatti, i tecnici riferiscono che per copiare il contenuto di un PC è possibile farlo con dispositivo spento, mentre per la copiatura dei dati di uno smartphone o tablet è necessario che il dispositivo sia acceso.
Si tratta, a ben vedere, di una differente modalità di esecuzione delle operazioni di copiatura legata alle differenti caratteristiche tecniche di hard disk e dispositivi c.d. mobili, quest'ultimi con caratteristiche costruttive diverse, legate principalmente al minore spazio di memoria che devono avere i dispositivi portatili, sempre più piccoli e leggeri.
Diversamente, in caso di smartphone, tablet o altro dispositivo mobile per la copiatura dei dati è necessario che il device sia acceso. Di conseguenza, la polizia giudiziaria spegnerà il dispositivo al momento del sequestro e lo riaccenderà in modalità aereo (quindi scollegato dalla rete internet) per le operazioni di copiatura. Operazione, quella di accensione in un momento successivo al sequestro, che potrebbe influire sul contenuto del dispositivo per l'attivarsi di una serie di caratteristiche costruttive dello stesso. Vari tecnici rappresentano, ad esempio, che al momento dell'accensione del dispositivo varia la data e l'ora di ultima accensione, con ciò modificando (seppur di poco) il contenuto totale del dispositivo sequestrato. Così come possono variare una serie di altri piccoli elementi, come ad esempio l'eliminazione automatica delle fotografie presenti nel cestino, che giacciono in un limbo prima di essere eliminate automaticamente dal sistema al trascorrere di un determinato intervallo temporale.
Il dispositivo mobile riacceso e non connesso ad alcuna rete internet non aggiornerà ulteriori dati delle applicazioni preservando il contenuto.
È questa la motivazione per la quale spesso le operazioni di copiatura forense sono eseguite seguendo le disposizioni di cui all'art. 360 c.p.p., con il contraddittorio delle parti e la possibilità per gli indagati di esprimere riserva di incidente probatorio. A rigore, infatti, l'accensione del dispositivo per le operazioni di copiatura modifica il contenuto dell'intero device rispetto a quello che aveva nel momento in cui era stato sottoposto a sequestro.
Pare potersi affermare che tale caratteristica (ovvero le piccole modifiche legate all'accensione del dispositivo mobile) non incide sulla natura giuridica delle operazioni di copiatura del dato informatico, che ricordiamo essere la creazione di un clone rispetto all'originale. Si tratta di una caratteristica di modificabilità dell'intero contenuto del device in questione, caratteristica legata alle caratteristiche costruttive del dispositivo nonché alle modalità tecniche attraverso le quali l'operazione di copiatura è realizzata.
Si ritiene che la circostanza in base alla quale alcune parti dell'intero contenuto di un device di cui si effettua copia forense si possano modificare non incida sui paradigmi di non alterazione e immodificabilità del dato informatico richiesti dalla Convenzione di Budapest, paradigmi che si rivolgono allo specifico dato informatico (il file di interesse) che costituisce la prova rilevante trovata analizzando tutta la massa di dati contenuti nella copia forense. È quello il dato che si deve conservare nelle sue caratteristiche originali e che non si deve alterare, non l'intera massa dei dati analizzati.
Sarebbe pertanto opportuno chiedere al consulente di indicare, in relazione allo specifico tipo e modello di device da analizzare, quali siano i contenuti oggetto di modifica al momento di accensione del dispositivo in epoca successiva al sequestro, oltre ai dati relativi all'ora di ultima accensione ed alla eventuale perdita di fotografie.
Conosciute tali caratteristiche, sarebbe più semplice per l'interprete comprendere se e in quale maniera queste piccole modifiche (legate appunto al momento dell'accensione del dispositivo) possano incidere nella ricerca delle prove per il reato per cui si procede, o possano compromettere la valutazione della prova perché violano (seppur in minima parte) la regola cautelare di non alterazione e di conservazione dell'integrità del dato.
Si tratta di questione che sarà valutata liberamente dal giudice, il quale dovrà verificare se i dati informatici estratti da quel dispositivo mobile e ritenuti rilevanti ai fini probatori siano o meno stati compromessi o alterati dalle operazioni di copiatura.
È interessante conoscere quindi, in base alle caratteristiche tecniche del device, se le operazioni di accensione vadano a modificare alcuni determinati contenuti individuabili a priori; e altresì conoscere se tali modifiche incidano sui dati che nel concreto vi è interesse a cercare (ad esempio si cercano nel concreto determinati contenuti di quel device che rimarrebbero comunque immutati con la successiva accensione del dispositivo finalizzata alla copiatura del suo contenuto). Ciò a ben vedere non implicherebbe la partecipazione della difesa alle operazioni.
Riprendendo la questione relativa alla natura giuridica delle operazioni di copiatura forense di un dispositivo elettronico, si ricorda che il rilievo tecnico si differenza dall'accertamento tecnico, in quanto si esaurisce in una mera attività di osservazione e di descrizione senza implicare alcuna valutazione critica del dato raccolto. Nel caso di copiatura forense del contenuto di un pc, di smartphone, tablet o altro dispositivo elettronico, l'attività di copiatura bit to bit è il clone del contenuto di quel dispositivo al momento in cui si eseguono le operazioni.
Come detto contenuto originale e contenuto copiato in bitstream sono identici, tant'è che non è possibile distinguerli.
La copiatura forense potrebbe qualificarsi come attività di rilievo tecnico.
Si tratta di un rilievo anche se sia intervenuta una naturale modifica del bene.
La copiatura forense di un dispositivo elettronico altro non è che il rilievo (la fotografia) del suo contenuto nel preciso momento in cui sono poste in essere le operazioni di copiatura.
In particolare, la copiatura forense di un dispositivo mobile, il cui contenuto, come detto, sarà lievemente diverso nel contenuto rispetto a quello che sarebbe stato se la copiatura fosse avvenuta il giorno del sequestro, è il rilievo del contenuto di quel device nel momento in cui sono effettuate le operazioni di copiatura.
La differente natura accordata ha un importante riflesso: i rilievi (e non gli accertamenti) entrano nel fascicolo per il dibattimento. Anche la copia forense effettuata ai sensi dell'art. 360 c.p.p. entra nel fascicolo per il dibattimento, tuttavia in questo caso le parti hanno facoltà di chiedere l'incidente probatorio.
È evidente che la scelta dell'organo inquirente sarà intimamente legata alla necessità o meno di procedere nel segreto istruttorio oppure coinvolgendo la difesa, qualora si opti per la procedura di cui all'art. 360 c.p.p. Tale scelta è legata alle peculiarità investigative del caso concreto.
In conclusione, pare potersi sostenere che la copiatura forense costituisce attività di rilievo tecnico del contenuto di un dispositivo elettronico nel momento in cui viene effettuata.
La successiva attività di analisi della copia forense estratta, consistente nella ricerca dei dati di interesse investigativo e, in caso positivo, dell'analisi del loro contenuto e dei relativi metadati, è attività valutativa. Conclusioni
Le considerazioni che precedono inducono ad affermare che se è senz'altro vero quanto affermato dai difensori di parte civile – Per noi è un mero problema tecnico – tuttavia questo “problema” potrebbe avere rilevanti ricadute giuridiche dal momento che innegabilmente l'atto che l'Ufficio di Procura si appresta a compiere su “mandato” della Corte si appalesa quale copia forense, sia pure non dell'originale device originariamente “agli atti” della Corte di appello e di cui non è stata fatta la copia di back up, ma di quello originariamente esistente presso la Procura. E ciò parrebbe confortare quanto osservato dal difensore dell'imputato: si tratta di capire se la chiavetta si sia danneggiata o se gli atti non siano mai stati caricati e quindi depositati.
Se i principi sopra passati in rassegna a riguardo della copia forense, ovvero il principio del libero convincimento del giudice nella valutazione delle prove, con valutazione rimessa al Giudicante, nel caso in trattazione, si potrebbe configurare, in astratto, una possibile violazione della normativa privacy commessa, però, dallo stesso organo chiamato a formulare il successivo giudizio di acquisizione.
Occorre fare chiarezza sui concetti di “illiceità”, “illegittimità” ed “illegalità” riferiti alle prove, stante la rilevante conseguenza della loro inutilizzabilità.
Il codice di rito, per riferirsi alle prove vietate, utilizza soltanto il concetto di “legittimità” (artt. 191 e 526 c.p.p.). I termini di “illecito” ed “illegale” non vi compaiono. La dottrina utilizza quelli di “illiceità” ed “illegittimità” per indicare, rispettivamente, la prova assunta in violazione delle norme penali sostanziali e quella contraria ad una norma processuale stabilita a pena di inutilizzabilità. La “illiceità” di una prova, però, non comporta anche, automaticamente l'“illegittimità” processuale, giacché quest'ultima può dipendere solo da una espressa previsione codicistica.
Se, da un lato, l'art. 191 I co. cpp prevede che le prove acquisite in violazione dei divieti stabiliti dalla legge non possono essere utilizzate, dall'altro, l'art. 2 decies Codice della privacy (d.lgs. 30 giugno 2003, n. 196) – Inutilizzabilità dei dati – prevede che i dati personali trattati in violazione della disciplina rilevante in materia di trattamento dei dati personali non possono essere utilizzati, salvo quanto previsto dall'articolo 160 bis – Validità, efficacia e utilizzabilità nel procedimento giudiziario di atti, documenti e provvedimenti basati sul trattamento di dati personali non conforme a disposizioni di legge o di Regolamento – che a sua volta prevede la validità, l'efficacia e l'utilizzabilità nel procedimento giudiziario di atti, documenti e provvedimenti basati sul trattamento di dati personali non conforme a disposizioni di legge o di Regolamento restano disciplinate dalle pertinenti disposizioni processuali.
In dottrina (Laviani), sotto la vigenza del precedente codice della privacy, era stato osservato che l'inutilizzabilità dei dati personali trattati in violazione del codice è circoscritta agli usi regolati dal codice della privacy diversi da quello a fini probatori nel processo penale, posto, tra l'altro, che lo stesso art. 160 comma 6 codice della privacy deroga alla disciplina di cui all'art. 11 codice della privacy, stabilendo che «la validità, l'efficacia e l'utilizzabilità di atti, documenti e provvedimenti nel procedimento giudiziario basati sul trattamento di dati personali non conforme a disposizioni di legge o di regolamento restano disciplinate dalle pertinenti disposizioni processuali nella materia civile e penale». Si tratta di considerazioni che possono essere tranquillamente riproposte anche alla luce del nuovo quadro normativo: l'art. 160, comma 6 d.lgs. n. 196/2003, (oggi art. 160-bis) nel rinviare la validità e l'efficacia di provvedimenti non conformi alla normativa in tema di privacy alla disciplina delle pertinenti norme di procedura giurisdizionali, siano esse civili o penali, sembrerebbe far salva l'utilizzabilità degli stessi in quanto: " a) un conto è la disciplina della tutela della riservatezza, sanzionata anche penalmente nell'ipotesi delle violazioni delle prescrizioni imposte dal garante (art. 170) e tra le quali non vengono indicate le violazioni dell'art. 11 in tema di conservazione dei dati personali oggetto di trattamento per un tempo non superiore a quello necessario (quantificato in ventiquattro ore successive alla rilevazione da parte del Provvedimento in materia di videosorveglianza 8 aprile 2010 pubblicato sulla Gazzetta Ufficiale 29 aprile 2010), un conto è l'interesse pubblico alla repressione dei reati (così da ultimo Cass. pen. n. 27850/2021).
La decisione della Corte torinese, proprio per le peculiarità sopra esposte, si presta ad assumere un particolare rilievo quale significativo precedente, grazie a quello che si annuncia essere l'apporto delle Difese. Riferimenti
|