Disciplina nazionale alla luce della legge n. 48 del 2008: best practices e standard internazionali

Già a partire dagli ultimi decenni del secolo scorso, il legislatore ha iniziato ad attenzionare le dinamiche giuridiche connesse al mondo dell’informatica, anche nell’ambito penalistico giungendo, su impulso della Raccomandazione n. 9 del 1989 del Consiglio d’Europa[1], alla promulgazione della legge n. 547 del 1993, rubricata “Modificazioni ed integrazioni alle norme del Codice penale e del Codice di procedura penale in tema di criminalità informatica”. Ma l’attuazione di previsioni normative specifiche concernenti la materia della digital forensics si è avuta solamente più avanti nel tempo: è solo con la legge n. 48 del 2008, di ratifica ed esecuzione della “Convenzione di Budapest” del Consiglio di Europa sulla criminalità informatica (firmata nella capitale ungherese in data 23 novembre 2001[2]), che è stata inserita nell’ordinamento nazionale una disciplina focalizzata, oltreché sulla previsione del crimine informatico in sé, anche sul procedimento di acquisizione delle evidenze digitali rinvenute all’interno di sistemi informatici e sulla loro successiva conservazione.

Per quel che riguarda tali materie, la legge di ratifica della Convenzione ha avuto l’onere di dover apportare concetti innovativi in un quadro codicistico, quale quello del codice di procedura penale attualmente vigente e risalente al 1988, inserendovi una tematica, per l’appunto la ricerca della prova informatica, difficilmente prevedibile al momento della sua entrata in vigore. Nel fare ciò, la l. 48 del 2008 ha operato una serie di modifiche al Titolo III del Libro III e al Titolo IV del V del codice di rito introducendo nuove disposizioni in tema di ispezione, perquisizione e sequestro di supporti informatici nonché di acquisizione e conservazione delle evidenze digitali in essi rinvenute.

In particolare, per quanto riguarda il Titolo III del Libro III c.p.p. in tema di mezzi di ricerca della prova, le modifiche hanno interessato gli artt. 244, 247 (al quale è stato aggiunto il comma 1 bis), 248, 254 (a seguito del quale è stato inoltre inserito l’art. 254 bis), 256, 259-260 e, per quanto riguarda il Titolo IV del Libro III in tema di attività a iniziativa della polizia giudiziaria, gli artt. 352, 353 e 354.

Per ciò che concerne strettamente la materia della digital forensics, nell’introdurre le novità normative, la strategia del legislatore non è stata inserire tra le norme codicistiche disposizioni volte a indicare nel dettaglio le modalità per effettuare ispezioni o perquisizioni su supporti informatici, ovvero per eseguirne il sequestro. Infatti, né all’interno del codice né di altre fonti legislative sono state inserite specifiche procedure obbligatorie che le persone deputate alle operazioni, si tratti dellla polizia giudiziaria o di un consulente tecnico, debba seguire e rispettare, a pena di nullità, per visionare, acquisire, analizzare e conservare le evidenze informatiche.

Si è invece optato per una soluzione maggiormente flessibile, che di fatto lascia all’operatore un’ampia libertà di scelta in merito alla migliore modalità da adottare in relazione al caso concreto che gli si propone di volta in volta.

Nello specifico, la l. 48 ha stabilito – mediante apposite interpolazioni all’interno degli artt. 244 sull’ispezione informatica, 247 co. 1 bis sulla perquisizione informatica, 254 bis e 260 sul sequestro di supporti informatici e apposizione dei sigilli, nonché 352 e 354 sulla perquisizione e sequestro urgenti dei medesimi – che nel condurre tali attività, in caso di ispezioni e perquisizioni, occorre procedere «adottando misure tecniche dirette ad assicurare la conservazione dei dati originali e ad impedirne l’alterazione» (art. 244 co. 2, 247 co. 1 bis e 352 co. 1 bis c.p.p.) e che, per eseguire il sequestro di dati digitali, è necessario che «la loro acquisizione avvenga mediante copia di essi su adeguato supporto, con una procedura che assicuri la conformità dei dati acquisiti a quelli originali e la loro immodificabilità» (artt. 254 bis, 260 e 354 c.p.p.).

Quindi, nell’ottica della legge in questione, ciò che occorre fare non è attenersi a percorsi prestabiliti: è semplicemente agire adottando tecniche volte a non alterare il dato, al fine di conservarne l’autenticità e l’attendibilità. In pratica la legge n. 48 del 2008, senza imbrigliare l’operatore in modalità precise, si è limitata ad inserire nel codice esclusivamente l’obbligo di seguire delle linee guida generali, aperte all’innovazione (si tenga presente che le linee guida possono cambiare, oltre che in relazione alla situazione, anche con il progresso tecnologico), finalizzate a garantire la salvaguardia dell’integrità del dato digitale e la sua successiva verificabilità, a pena di inutilizzabilità processuale dello stesso[3].

Difatti, mediante la normativa in questione, è stato introdotto nel nostro ordinamento l’obbligo per le autorità inquirenti di fare ricorso, in caso di ispezioni, perquisizioni o sequestri di supporti e dati informatici, alle c.d. best practices, intese come «quel comportamento, non necessariamente codificato o contenuto in manuali, che è ritenuto dalla comunità scientifica e dagli operatori tecnici come la modalità corretta per effettuare determinate operazioni informatiche su specifici dispositivi o supporti»[4].

Più specificamente, le best practices vanno considerate veri e propri principi guida[5] cui conformarsi al fine di dare credibilità alle operazioni svolte sui dati informatici. Principi he lasciano tuttavia un certo grado di manovra al soggetto che materialmente conduce l’acquisizione della digital evidence, il quale avrà dunque un margine di apprezzamento circa le modalità da adottare; anche se, in ogni caso, dovrà attuare quelle ritenute migliori in relazione al caso concreto, sempre nell’ottica di garantire l’integrità del dato e la genuinità del risultato finale, «adottando le misure tecniche dirette ad assicurare la conservazione dei dati originali e ad impedirne l’alterazione» (art. 244 co. 2, 247 co. 1 bis e 352 co. 1 bis c.p.p.) e facendo ricorso a «…una procedura che assicuri la conformità dei dati acquisiti a quelli originali e la loro immodificabilità» (artt. 254 bis, 260 e 354 c.p.p.).

In dottrina, i principi cardine delle best practices sono stati riassunti come segue: «adottare estrema cautela nel sequestrare computer o servizi informatici che muovono servizi di telecomunicazione critici, e prediligere, se possibile, la continuità aziendale effettuando copie su supporti adeguati e non interrompendo, così, l’azione delle macchine e dei servizi; prestare attenzione a non alterare i dati durante le operazioni di ricerca delle fonti di prova; quando si effettua una duplicazione, assicurarsi che siano garantite la conformità della copia all’originale e la sua immodificabilità». In termini più diretti, quindi, «corrette modalità di conservazione, procedure di duplicazione efficaci, garanzie di non alterabilità ed extrema ratio del sequestro di servizi sono, in conclusione, i quattro principi della forensics introdotti nel nostro ordinamento»[6].

Se da un lato la scelta di non disciplinare procedure di digital forensics dettagliate risulta corretta, poiché situazioni differenti potrebbero necessitare di approcci differenti (nonché in ragione della moltitudine di scenari che occorrerebbe prevedere a livello normativo), da altro lato va sottolineato come venga lasciato ampio spazio interpretativo all’autorità procedente.

Proprio in ragione di ciò, a livello internazionale è stata avvertita l’esigenza di creare degli standard, c.d. S.O.P. (Standard Operating Procedure)[7], capaci di indicare delle linee guida generali fruibili da chiunque e di individuare i passaggi chiave rispetto ai quali una buona indagine che applichi strumenti di digital forensics non può prescindere per garantire un risultato certo in termini di integrità della digital evidence e conoscibilità delle varie fasi operative per una loro verifica ex post.

Premesso che a livello nazionale non esiste uno standard universalmente seguito da tutte le autorità inquirenti [8], le quali applicano modalità operative differenti nell’espletamento delle rispettive funzioni, gli standard maggiormente utilizzati e dai quali maggiormente viene preso spunto sono gli standard ISO/IEC[9]:

  • Standard ISO/IEC 27037:2012 (Information security management systems);
  • Standard ISO/IEC 27000:2013 (Guidelines for identification, collection, aquisition and preservation of digital evidence);
  • Standard ISO/IEC 27041:2015 (Guidances on assuring suitability and adequacy of incident investigative method);
  • Standard ISO/IEC 27042:2015 (Guidelines for the analysis and interpretation of digital evidence);
  • Standard ISO/IEC 27043:2015 (Incident investigation principles and processes);
  • Standard ISO/IEC 27050:2019, diviso in quattro parti e concernente l’electronic discovery.

Esistono anche altri standard elaborati da enti diversi, aventi in ogni caso tutti il medesimo obiettivo: garantire l’attendibilità, sotto i differenti aspetti, delle attività di digital forensics e dunque delle risultanti digital evidence.

Elemento comune tra gli standard internazionali è l’indicazione, all’interno delle loro linee guida, di alcuni soggetti specifici chiamati a intervenire: il Digital Evidence First Responder (DEFR), ovvero chi per primo fornisce il proprio intervento sulla scena del crimine ed eventualmente, se non vi è possibilità di dilazionare le operazioni, procede all’acquisizione del materiale digitale rinvenuto, e il Digital Evidence Specialist (DES), il soggetto dotato delle competenze tecniche di settore e chiamato ad attuare le procedure della digital forensics (che può coincidere con la figura del DEFR[10]).

L’attenzione delle S.O.P. richiamate, in particolare dello standard ISO/IEC 27037:2012[11], si è concentrata anche nell’indicazione metodica e cronologica delle fasi del processo di digital forensics, con l’individuazione di un modello procedurale dettagliatamente definito. Nello specifico l’intero procedimento viene sistematicamente suddiviso in passaggi ben distinti gli uni dagli altri, sebbene concatenati tra loro secondo un ordine logico-temporale.

Tali fasi si articolano come segue:

  • identificazione della digital evidence nel contesto della presunta scena criminis;
  • raccolta, acquisizione e analisi del materiale informatico raccolto;
  • valutazione del medesimo in base alle esigenze d’indagine.

Tutti i passaggi vanno attuati tenendo a mente i principi cardine della catena di custodia, volti a conseguire una corretta gestione dei dati – e dei supporti dai quali sono estratti – durante la loro manipolazione, al fine di tutelarne l’integrità durante ciascuna fase e nei momenti di passaggio dall’una all’altra.

Parte della dottrina[12] ha ravvisato l’esigenza di aggiungere un ulteriore step a conclusione dell’intero processo, consistente nella presentazione all’autorità inquirente/giudiziaria, o anche al difensore della persona indagata, del risultato ottenuto dal reperto informatico dopo averlo analizzato e valutato. Infatti occorre sottolineare che il processo di digital forensics e la lettura delle determinazioni ricavate dalle digital evidence che vi si estrapolano sono dotati di un alto grado di tecnicità, tale da risultare di difficile comprensione per l’“utente finale”. Soggetto, quest’ultimo, molto spesso esterno al settore e al quale i risultati investigativi andranno esposti con un linguaggio accessibile, ai fini del loro corretto utilizzo in sede processuale.

Note

[1] M. LIMONE, “Cloud computing – aspetti contrattuali, risvolti normativi e tutela della privacy”, Tricase (LE), 2018, p. 10, come citato in R. MURENEC, op. cit., p. 25, dove si precisa che detta raccomandazione, successiva a quella del 30 aprile 1980 del medesimo organo denominata “informatica e diritto”, già a partire dal 1989 invitava i paesi UE ad integrare le proprie singole legislazioni con normative ad hoc in contrasto a fenomeni criminosi come l’accesso abusivo a sistemi informatici e frodi informatiche.

[2] La Convenzione di Budapest rappresenta la prima normativa proveniente da un organo dell’Unione Europea volta a disciplinare il settore giuridico del cybercrime e delle investigazioni digitali col chiaro obiettivo di uniformare le legislazioni dei paesi europei in merito al contrasto del fenomeno della criminalità informatica, avente per sua natura uno spiccato connotato di transnazionalità. Ad oggi la Convenzione è stata firmata dalla quasi totalità dei paesi europei. In Italia l’iter di ratifica è iniziato l’11 maggio 2017 e si è concluso con la promulgazione della legge n. 48 del 2008 e con la sua entrata in vigore il 5 aprile del medesimo anno, sebbene con qualche iniziale incertezza relativamente alla data di entrata in vigore fugata dal chiarimento della Suprema Corte Sent. Cass., II Sez., n. 11135 del 13 marzo 2009, pronunciatasi in conferma del giorno del 5 aprile. Per un resoconto più dettagliato, sul punto si veda S. ATERNO, op. cit., pp. 784-785.

[3] F. GIUNCHEDI, “Le malpractices nella digital forensics Quali conseguenze sull’inutilizzabilità del dato informatico?”, in Archivio Penale, settembre–dicembre 2013, fasc. 3, anno LXV, p. 825.

[4] A. COLAIOCCO, “La rilevanza delle best practices nell’acquisizione della digital evidence alla luce delle novelle sulla cooperazione giudiziaria”, in Archivio Penale – Cultura penale e spirito europeo, n. 1 del 2019, p. 2.

[5] Ibidem.

[6] G. ZICCARDI, “L’ingresso della computer forensics nel sistema processuale italiano”, in “Sistema penale e criminalità informatica. Profili sostanziali e processuali nella Legge attuativa della Convenzione di Budapest sul cybercrime (l. 18 marzo 2008, n. 48)” a cura di L. LUPARIA, Milano, 2009, p. 170, come citato in A. COLAIOCCO, op. cit., pp. 2 e 3.

[7] Le S.O.P. son definibili come dei documenti che forniscono appositi standard operativi indicando i passaggi chiave di determinate procedure e le regole per eseguirli correttamente.

[8] Per un esempio di modalità operative di digital forensics di una forza di polizia del nostro Ordinamento si veda G. COSTABILE, op. cit., pp. 20 e ss., dove viene riportato l’esempio delle procedure tecniche delle quali si serve la Guardia di Finanza, basate sulla Circolare GdF 1/2018 denominata “Manuale operativo in materia di contrasto all’evasione e alle frodi fiscali”.

[9] Cfr. Ivi, pp. 8 e ss. dove vengono elencati e analizzati i principali standard ISO/IEC, con particolare riferimento allo standard ISO/IEC 27037:2012.

[10] S. ATERNO, op. cit., p. 783, dove si specifica che in Italia non è consentita la coincidenza tra i due soggetti e pertanto la figura del first responder nel nostro Ordinamento è da rinvenirsi in quella del primo investigatore interveniente sulla scena, mentre quella del Digital Evidence Specialist è invece assimilabile al consulente specialista. Si veda anche R. MURENEC, op. cit., p. 217, dove tale ultima figura viene denominata Digital Forensics Expert e qualificata come “la figura professionale esperta di crimini informatici che si occupa di identificare, preservare e analizzare le informazioni contenute all’interno di dispositivi digitali [… al fine di] raccogliere elementi probatori…”. Come da quest’ultimo autore citato si veda altresì A. CONTALDO e F. PELUSO, “E-detective: l’informatica giuridica e le applicazioni della Digital Forensics”, PM Edizioni, Verazze (SV), 2018, p. 201 e ss., dove vengono evidenziati ulteriori approfondimenti su tale figura.

[11] Si segnala che lo standard ISO/IEC 27037 negli anni ha subito degli aggiornamenti. Attualmente l’ultima versione è quella del 2017, la quale a sua volta ha recepito la versione del 2016.

[12] In tal senso si vedano G. COSTABILE, op. cit., p. 9 e S. ATERNO, op. cit., p. 781.

Articolo a cura di Francesco Lazzini

Profilo Autore

Laureato in giurisprudenza con successivo conseguimento dei master in Scienze Forensi (Criminologia-Investigazione-Security-Intelligence) e in Informatica giuridica, nuove tecnologie e diritto dell’informatica. Attività di studio postuniversitario focalizzata in materia di indagini con l’utilizzo del captatore informatico e digital forensics.

Condividi sui Social Network:

Articoli simili