La prova scientifica informatica e la sua eterna imperfezione

In fase di indagini preliminari, la segretezza delle investigazioni e il fatto che il consulente tecnico nominato dal magistrato inquirente, normalmente, lavora in segreto consentono alle altri parti solo un contraddittorio di tipo debole.

Tale stato dell'arte produce un tumultuoso dibattito allorquando le prove di foggia moderna (come quella c.d. informatica) devono essere individuate e raccolte attraverso atti non tipici di ricerca della prova.

Fin dai primi suoi utilizzi processuali la prova scientifica è apparsa come prova “perfetta”.

La sua perfezione apparente era dovuta alla sua attitudine di mostrarsi oggettiva in senso assoluto: se una prova ha carattere scientifico, allora è incontrovertibile e schiacciante, si sosteneva. Il che equivale a dire, nel processo penale, che essa resiste alla falsificazione.

Negli anni più recenti la questione della prova scientifica ha investito anche un'altra fonte di informazioni riscontrabili in una scena del crimine, ossia i dati digitali informatici e telematici, utilissimi per lo sviluppo delle indagini.

Il prorompente utilizzo degli strumenti informatici e, soprattutto, il loro facile accesso hanno avuto un impatto notevole anche sul piano del diritto e, in particolare, sul piano dell'accertamento penale.

Le cosiddette indagini informatiche hanno carattere trasversale e non coinvolgono solo i reati che abbiano ad oggetto (o la cui commissione avvenga per il tramite d)i sistemi informatici – c.d. reati informatici in senso stretto, per i quali l'uso dell'informatica o della telematica rappresenta uno degli elementi del fatto tipico come, ad esempio, nell'art. 615-ter c.p.- potendo rilevare anche per l'accertamento di illeciti “tradizionali”, privi di una dimensione tecnologica, come, ad esempio, l'omicidio.

Ma la cosiddetta dimensione digitale si caratterizza per la sua estrema volatilità e, di conseguenza, per l'estrema semplicità di alterazione dei contenuti digitali (e, perciò, del significato probatorio), facendo sorgere rilevanti questioni sulla loro corretta acquisizione, conservazione e utilizzazione all'interno del contesto processuale.

Per comprendere meglio quali siano i passi che deve seguire l'investigatore informatico e la loro compatibilità con le regole procedurali attuali, è necessario partire dalla nozione di dato informatico.

Il Legislatore definisce il documento nell'articolo 1 del codice dell'amministrazione digitale, in cui è descritto come la rappresentazione informatica di atti, fatti o dati giuridicamente rilevanti (art. 1. lett. p) d.lgs. 82/2005); nel Regolamento eIDAS 910 del 2014 in cui lo descrive come qualsiasi contenuto conservato in forma elettronica, in particolare testo o registrazione sonora, visiva o audiovisive e nel d.P.R. 445 del 2000 (art. 1, lett. b)) come la rappresentazione informatica di atti, fatti o dati giuridicamente rilevanti.

Date queste definizioni, poiché i dati informatici, a basso livello, si esprimono come informazioni in codice binario e sono incorporati in un supporto fisico, ci si è chiesto se l'intervento del Legislatore in occasione della ratifica della Convenzione di Budapest con cui ha abrogato l'art. 491-bis c.p. (che considerava informatico qualunque supporto informatico contenente dati o informazioni aventi efficacia probatoria o programmi specificamente destinati ad elaborarli) sia stato opportuno.

Parte della dottrina, considerandolo inopportuno, avverte, che sebbene l'articolo 324 c.p.p., per il richiamo in esso contenuto a qualsiasi altro mezzo è una norma a struttura aperta, idonea a comprendere anche documenti informatici, bisogna fare attenzione “a non confondere il contenuto con il contenitore”. Si può ragionevolmente concordare con questa affermazione solo se si pensa che i dati digitali non sono prove documentali e non seguono le regole di ammissione per queste dettate dagli articoli 495, comma 3, e 515 c.p.p.

Infatti, la volatilità e la modificabilità dei dati informatici impongono regole di raccolta e di utilizzo debitamente diverse dalle tradizionali.

Poste queste brevi premesse, si ponga attenzione sull'anello debole della catena probatoria relativa alla prova scientifica in generale. Mi riferisco alla attendibilità e all'affidabilità della prova dal momento della sua individuazione e della successiva raccolta fino alla valutazione che deve compierne il giudice. Nel caso delle prove digitali è necessario garantire la loro genuinità attraverso l'utilizzo di strumenti particolari per raccoglierle e custodirle,ì ma, come anticipato, ciò pone in serio pericolo alcuni diritti inviolabili contemplati dal nostro ordinamento e da quello sovranazionale.

Durante l'accertamento del reato è sempre presente la tensione tra due contrapposte esigenze: reprimere il reato, se sussistente, e tutelare i diritti che vi sono coinvolti.

Se è vero che esistono tanti terreni di coltura in cui si registra un forte scontro tra contrapposti diritti, uno di elezione è sicuramente quello della acquisizione delle digital evidences, perché le indagini informatiche sono sempre potenzialmente in grado di pregiudicare la riservatezza degli individui e, quindi, qualora non eseguite correttamente, in grado di alterare irreversibilmente il significato probatorio di un mezzo di prova digitale.

E poiché, come disse un fine giurista, i «diritti parlano» – sono lo specchio e la misura dell'ingiustizia e uno strumento per combatterla – non meraviglia che in questa materia l'interprete debba verificare in maniera estremamente rigorosa il rispetto dei principi cardine del processo penale, anche per evitare l'ingresso della junk science nelle aule giudiziarie.

Il motivo per cui le indagini informatiche sono diverse dalle altre sta nel fatto che l'estrazione del dato informatico rappresenta un tipico esempio di attività caratterizzata da aspetti tecnico-valutativi che non riguardano il risultato, bensì il metodo prescelto al fine di salvaguardare l'integrità dei dati raccolti. Come accade per tutte le prove scientifiche, la fase di raccolta degli elementi di prova è rilevante quanto l'analisi, tanto che l'errore commesso in fase di estrazione potrebbe minare l'attendibilità o l'utilizzabilità della prova digitale.

Da qui, nel pieno rispetto delle guarentigie procedurali in ambito penale, deduciamo che il trattamento della prova digitale sia da considerarsi un valore assoluto, irrinunciabile da parte dell'inquirente informatico e, non esistendo ad oggi uno statuto dedicato alle metodologie di trattamento delle prove informatiche, l'unico faro da seguire resta quello del mantenimento dell'integrità delle tracce fisiche dei dati informatici; integrità (nel senso di “non alterazione”) garantita da una procedura che ne assicuri la conformità.

Per via del suddetto vuoto normativo, si è affermato l'uso delle migliori pratiche delineate dalla prassi investigativa (c.d best practices) alla cui violazione, però, non consegue direttamente una qualche inutilizzabilità processuale. Ciò nonostante, un erroneo trattamento della fonte di prova digitale può essere compiutamente valutato dal giudicante al fine di attribuire (o meno) credibilità ai risultati delle analisi.

Cosa accade se le regole dell'arte informatica non vengono rispettate nel trattamento della prova digitale?

Davanti al silenzio del Legislatore la dottrina ha individuato due vie interpretative: quella della nullità e quella della inutilizzabilità.

Già prima che intervenisse la legge 48/2008 si riteneva che l'acquisizione contraria ai criteri scientifici comportasse la nullità dell'atto perché «il modo con cui si raccoglie una certa informazione influisce direttamente sulla capacità dimostrativa della stessa». Sul punto, si sosteneva che le misure di salvaguardia del dato sarebbero un elemento costitutivo del dato stesso, sicchè la sua imperfezione impedirebbe l'integrazione delle stesse e comporterebbe l'invalidità dell'atto, determinandone la nullità (artt. 178, lett. c) e 180 c.p.p.).

Per altra parte della dottrina, invece, le prove informatiche acquisite in violazione dei canoni dedotti dalle best practices devono essere considerati inutilizzabili per tre ordini di ragioni:

a) la legge 48/2008 porrebbe un divieto probatorio relativo all'uso delle risultanze robatorie informatiche inquinate, conseguentemente dovrebbe operare l'articolo 191 c.p.p.;

b) poiché la genuinità della prova costituisce estrinsecazione del più generale diritto di difesa, la violazione delle regole poste a tutela dell'integrità della prova stessa, darebbe luogo a un'ipotesi di inutilizzabilità per violazione dell'art. 24 Cost.;

c) considerato che la sanzione della inutilizzabilità segue la inidoneità dimostrativa della fonte di prova acquisita in violazione delle regole, la cui attendibilità è irrimediabilmente compromessa.

Convincerebbe maggiormente una terza via esegetica, secondo cui il mancato rispetto delle best practices della computer forensic si riverbererebbe soltanto sulla fondatezza dei risultati acquisiti, non generandosi invalidità alcuna.

I giudici in questi casi dovrebbero cercare elementi esterni di riscontro al materiale probatorio informatico che risultasse, in qualche modo, indebolito dal difetto della sua raccolta.

Dal caso Vierika in poi i tribunali di merito si sono convinti della bontà di questa tesi, anche in virtù dell'accostamento che si fa della prova digitale alla prova scientifica.

Esattamente come per la prova scientifica c.d. biologica, ad esempio, il giudice non può escludere a priori i risultati di una tecnica solo perché alcune fonti ritengono che ne esistano di più corrette in assenza di un tappeto probatorio che suggerisca che si possa essere astrattamente verificata nel caso concreto un'alterazione dell'elemento di prova e senza che venga indicata la fase in cui si ritiene essere avvenuta la possibile alterazione.

In altri e più semplici termini, il giudice dovrebbe rilevare e valutare l'alterazione del dato informatico dentro il quadro probatorio generale emerso complessivamente nel processo.

Si è fatto notare, però, che, così facendo, la discrezionale valutazione del giudice potrebbe trasformarsi in un meccanismo capace di aggirare la sacralità delle forme di acquisizione delle prove al processo, le quali, se informatiche, potrebbero essere compromesse irrimediabilmente nella raccolta e, purtuttavia, in sede di valutazione, potrebbero avere un peso enorme.

A tal proposito, si potrebbe rimanere più vicini al formalismo sposando la teoria dei divieti probatori impliciti e riconoscendone uno dedicato alla prova digitale in base all'insegnamento della corte di legittimità: atteso il testuale tenore dell'articolo 191, comma 1, c.p.p., il quale sancisce l'inutilizzabilità delle prove acquisite in violazione di divieti stabiliti dalla legge, deve ritenersi che detta inutilizzabilità possa derivare, in difetto di espressa, specifica previsione, soltanto dalla illegittimità in sé della prova stessa, desumibile dalla norma o dal complesso di norme che la disciplinano, e non invece soltanto dal fatto che la prova, in sé e per sé legittima, sia stata acquisita irritualmente (Cass. pen., Sez. I, 27 maggio 1994, n. 7491).

Questa impostazione è sostenuta, soprattutto, da coloro che non concordano con le aperture della Corte di cassazione sulla valutazione caso per caso del giudice relativamente alle compromissioni dell'attendibilità del materiale probatorio.

A mio avviso la posizione della Suprema corte è perfettamente in linea con la natura della prova in questione; così come per la prova delle tracce biologiche, infatti, il giudice sarebbe chiamato a valutare l'elemento probatorio anche nella sua “imperfezione” dalla quale potrebbero evincersi dubbi interpretativi non per forza a sfavore dell'imputato.

Tale interpretazione nomofilattica si rinviene, in particolare, in diverse pronunce che si sono occupate della questione, spinosa, relativa alla natura ripetibile o meno dell'estrazione di copia di bitstream e dell'applicazione delle disposizioni di legge in ipotesi di operazioni tecniche non ripetibili, quando viene disposta l'acquisizione della copia di un supporto informatico.

Preliminarmente si dia conto della definizione di copia di bitstream.

In informatica forense, la copia forense – chiamata anche “copia conforme”, “copia bitstream”, “copia bit a bit”, “immagine forense” – è il risultato dell'acquisizione di una evidenza digitale che ha duplicato il contenuto della prova generandone, sostanzialmente, un “clone” identico all'originale destinato a diventare una prova in ambito giudiziario.

La quaestio iuris sorge quando si fanno i conti con il principio sovrano che caratterizza il dibattimento, ossia la formazione delle prove in contraddittorio tra le parti.

Sostanzialmente, ci si è chiesto cosa, con riferimento all'accertamento tecnico richiamato dall'art. 360 c.p.p., è ripetibile e come deve procedersi al suo accertamento, poiché se non si riconosce l'oggetto (il “cosa”) non si avrà contraddittorio (e si potrebbe giungere ad una inutilizzabilità).

La più chiara dottrina in materia evidenzia che «se non si comprende come procedere all'accertamento si rischia di “bruciare” (in ogni senso) il significato probatorio», dato che nel processo – a maggior ragione in quello penale – conta, più del punto di arrivo, il sentiero che si percorre per raggiungerlo.

Si ponga mente al fatto che irripetibilità in senso giuridico significa garantire la non dispersione della prova (urgente) nel pieno rispetto del principio del contraddittorio, mentre la irripetibilità in senso tecnico implica solo la non differibilità o la non reiterabilità dell'operazione.

Per questa via, considerata la delicatezza delle informazioni digitali, è evidente che un approccio errato al supporto informatico è potenzialmente in grado di distruggere o alterare il contenuto probatorio e, quindi, di impedire al giudice di valutare correttamente le informazioni.

Ora, ferme le garanzie delle facoltà e degli avvisi per l'indagato previsti dall'art. 360 c.p.p. e stando all'interpretazione costante che la giurisprudenza di legittimità dà della natura (ripetibile) dell'estrazione di copia forense sembrerebbe che, nell'ipotesi di cui si discute, a tale tipo di copia non si applichino le regole garantiste suddette.

A ben vedere, si è fatto notare che l'art. 117 disp. att. c.p.p., nel prevedere che le disposizioni di cui all'art. 360 del codice di rito si applicano anche nei casi in cui l'accertamento tecnico determina modificazioni delle cose, dei luoghi o delle persone tali da rendere l'atto non ripetibile, consente di far scattare le garanzie che tutelano la non dispersione della prova urgente, sebbene l'operazione di acquisizione sia considerata ripetibile in sè.

Chiarito ciò, risulta più semplice comprendere le conclusioni cui sono giunti i giudici della corte di cassazione quando hanno affermato, a Sezioni Unite, che «deve essere escluso che l'attività di estrazione di copia di un file da un computer (attività definibile, secondo Cass. pen., Sez. I, 25 febbraio 2009, n. 11503, Dell'Aversano, come accertamento di polizia giudiziaria diretto all'assicurazione delle fonti di prova) costituisca atto irripetibile, dato che non comporta alcuna attività di carattere valutativo su base tecnico - scientifica, né determina alcuna alterazione dello stato delle cose, tale da recare un pregiudizio alla genuinità del contributo conoscitivo in prospettiva dibattimentale». Vi è da precisare che, se si può concordare con questa affermazione fino al punto in cui si esclude la irripetibilità dell'atto, non ritengo, invece, corretto asserire che la ripetibilità determini alterazione alcuna dello stato delle cose. E ciò proprio per la natura volatile degli elementi di prova in esame e perchè, come detto, bisogna fare attenzione a non confondere il contenuto (informazione digitale) con il contenitore (supporto informatico).

Per ciò che concerne la conseguenza che derivi dalla violazione delle regulae artis informatiche in caso di estrazione di copia di bitstream, i supremi giudici, anche di recente, hanno confermato il proprio orientamento e hanno stabilito che «l'estrazione di dati archiviati in un computer non costituisce accertamento tecnico irripetibile anche dopo l'entrata in vigore della legge 18 marzo 2008 n. 48, che ha introdotto unicamente l'obbligo di adottare modalità acquisitive idonee a garantire la conformità dei dati informatici acquisiti a quelli originali; ne deriva che la mancata adozione di tali modalità non comporta l'inutilizzabilità dei risultati probatori acquisiti, ma la necessità di valutare, in concreto, la sussistenza di eventuali alterazioni dei dati originali e la corrispondenza ad essi di quelli estratti.»

Tirando le fila del discorso, si può ragionevolmente affermare che anche in ambito digitale, nonostante le perplessità rilevate in termini di compatibilità tra scienza (fallibile) e processo penale, il principio del contraddittorio tiene e tiene anche in fase di indagini.

La conclusione è dovuta al mutamento di prospettiva dell'interprete sulla prova scientifica in generale: prima della modifica dell'art. 111 Cost. era sufficiente la presenza di un “esperto” che lavorava in solitaria e, data la assoluta oggettività della scienza di cui era esperto, egli era in grado di fornire al giudicante una prova certa e indiscutibile, praticamente perfetta.

Dopo l'intervento normativo del 2001, anche alla luce della sua esegesi in occasione delle sentenze Franzese e Greco, si richiede non solo che anche la prova scientifica venga sottoposta alla falsificazione di popperiana memoria, ma anche che «il concetto di non ripetibilità venga intesa in modo utile», oltre che in senso naturalistico.

E così la bilateralità sulla carta (art. 111, comma 4, Cost.) richiesta per la formazione della prova si può rispettare anche in fase di investigazioni informatiche, a patto che sia possibile una verifica ex post della correttezza dell'espletamento delle fasi della computer forensics (identificazione del dato digitale, sua acquisizione, successiva analisi e, infine, presentazione al giudice).

Ecco come intendere attivo l'ombrello del contraddittorio nelle fasi non dibattimentali del procedimento penale.

L'accertamento sarà ripetibile in modo utile, a condizione che sia possibile effettuarlo di nuovo, assicurando risultati genuini e completi. In tali ipotesi si può operare in modo unilaterale in base all'art. 359 c.p.p. In un momento successivo, plausibilmente, si potrà esperire una perizia in incidente probatorio o in dibattimento.

L'accertamento tecnico è non ripetibile in modo utile, invece, se il suo compimento può avvenire una volta soltanto perché la sua ripetizione è impossibile o non assicura risultati genuini e completi. Ebbene, in tal caso il contraddittorio è la regola comunque, nonostante si tratti di un contraddittorio imperfetto, come è quello ai sensi dell'art. 360 c.p.p. Se qui si interviene in via unilaterale, ci si dovrà limitare ad assicurare la fonte di prova, lasciando inalterato l'elemento di prova.

Da qui, come ampiamente sostenuto in precedenza, la possibilità per il giudice di compiere, ai sensi dell'art. 192 c.p.p. e degli insegnamenti della giurisprudenza di legittimità, una corretta valutazione delle prove digitali verificando (rectius mettendo a falsificazione) il rispetto della chain of custody di dette prove.