Il concetto di digital evidence e la sua classificazione come prova scientifica

Oggetto del processo di digital forensics è l’identificazione, la raccolta, l’acquisizione, l’analisi e la valutazione delle digital evidence^[1].

Più propriamente con la terminologia digital evidence – traducibile in italiano con “evidenza digitale”^[2], “prova informatica”^[3] o “prova elettronica”^[4] – si fa riferimento a «quelle informazioni memorizzate in strumenti informatici, come le postazioni di lavoro degli utenti, i server aziendali, gli apparati mobili, la rete e/o in qualsiasi dispositivo informatico»^[5] o ancora, con maggiore focalizzazione nell’ambito processuale, «ogni informazione probatoria la cui rilevanza processuale dipende dal contenuto del dato o dalla particolare allocazione su una determinata periferica, oppure dal fatto di essere stato trasmesso secondo modalità informatiche o telematiche»^[6].

In buona sostanza, pertanto, per digital evidence si devono intendere tutti i dati e le informazioni presenti all’interno di sistemi informatici, sia fisici (computer, smartphone, tablet, etc.) sia presenti in rete, che possono avere valore probatorio o indiziario nei confronti di fatti specifici e quindi assurgere a elemento di prova – ed eventualmente a prova – nelle dinamiche del processo penale; e che si distinguono dalle evidenze non digitali, definibili, per esclusione, come «tutte quelle fonti di prova che non sono memorizzate in dispositivi informatici»^[7].

A titolo esemplificativo possono essere considerate digital evidence le immagini, le conversazioni via chat, i file in generale (ivi compresi i file di log) e i documenti memorizzati su supporto informatico, mentre non può essere considerato alla stregua di digital evidence tutto ciò che sia esterno a sistemi informatici, sebbene proveniente dai medesimi (si pensi ad esempio ad un documento cartaceo stampato da computer).

Ciò detto si possono cogliere agevolmente le caratteristiche principali che connotano la prova informatica: prima fra tutte l’immaterialità, dovuta alla sua appartenenza alla dimensione digitale, tratto dal quale discendono tutte le altre peculiarità che interessano la digital evidence e che si sostanziano nella sua capacità di essere replicata e di trovarsi contemporaneamente nella memoria di più supporti (ubiquità) nonché nella sua fragilità, attesa la facilità di dispersione derivante dalla sua attitudine a subire variazioni, anche spontanee, o alterazioni e ad essere cancellata con estrema semplicità (volatilità del dato digitale).

In particolare l’immaterialità costituisce una caratteristica intrinseca dell’evidenza digitale^[8], la quale si manifesta come dato virtuale e intangibile che per essere apprezzato necessita della presenza di un supporto fisico, che tuttavia non può esserne considerato parte integrante. Infatti, l’esistenza della prova informatica prescinde dal dispositivo elettronico su cui si trova memorizzata, da intendersi piuttosto come strumento funzionale alla sua conservazione e lettura. In termini tecnici, dunque, potrebbe dirsi che il dato digitale non è altro che una sequenza numerica espressa in bit che per essere rappresentata ha bisogno dell’ausilio di un apposito supporto idoneo alla sua decodifica (computer, etc.).

L’immaterialità comporta che il dato digitale possa essere replicato in molteplici copie sul medesimo dispositivo oppure possa essere trasferito su altri supporti ed ivi memorizzato, così da potersi trovare all’interno di più dispositivi nello stesso momento. Proprio questa sua capacità, definibile ubiquità del dato digitale^[9], sta alla base del processo di digital forensics, volto ad acquisire le evidenze digitali estraendo la cd. copia forense dal dispositivo oggetto di investigazione, mediante la copiatura bit to bit o la funzione di hash, sulle quali si tornerà in seguito.

Corollario dell’immaterialità della prova informatica è altresì la sua volatilità, presupposta dal «rischio di alterazione che caratterizza l’ambiente virtuale»^[10].

Difatti il dato informatico, come anticipato, consiste in una sequenza numerica espressa in linguaggio binario (successioni di 0 e 1) che può essere facilmente modificata da parte di qualunque soggetto (o software) che sia in grado di accedere al dispositivo ove si trova il dato in questione. Talune evidenze − si pensi ad esempio alle informazioni contenute nella memoria RAM^[11] − possono inoltre essere soggette a modifiche o cancellazioni “spontanee”, dal momento che per la loro alterazione è sufficiente che il dispositivo di riferimento venga spento o si spenga in autonomia, ad esempio per l’esaurirsi della batteria o per l’implementazione di aggiornamenti di sistema.

Infine, alterazioni o cancellazioni, seppure non volute, potrebbero essere erroneamente apportate anche dagli stessi inquirenti o da consulenti tecnici o periti non sufficientemente preparati che si trovano a maneggiare il reperto informatico senza le opportune cautele.

Il rischio di distruzione e danneggiamento a cui può andare incontro il dato informatico se non adeguatamente trattato, con la conseguenza della sua inattendibilità processuale, costituisce il cuore delle problematicità che pervadono la materia delle indagini forensi sui dispositivi elettronici; il tutto in considerazione del fatto che ad oggi non esiste nel nostro ordinamento una normativa che disponga le modalità da seguire per l’acquisizione e la conservazione delle digital evidence, bensì unicamente delle linee guida, non cogenti, che nel tempo hanno messo a punto una serie di modalità operative.

In realtà, per ora il legislatore non si è nemmeno preoccupato di fornire una definizione giuridica di digital evidence o di farne menzione all’interno del codice di rito.

Ad ogni modo, essendo la procedura di acquisizione del dato informatico «connotata da un alto grado di scientificità»^[12] nonché di tecnicità, la maggiore dottrina ricomprende la digital evidence all’interno della categoria della prova scientifica, con ciò inteso quel tipo di prova che, partendo da un fatto noto, si avvale di una determinata legge scientifica per risalire a un fatto non noto da provare^[13].

La categorizzazione della prova informatica come prova scientifica impone che questa non possa essere trattata e valutata con i canoni a cui si fa ricorso per altre tipologie di prove: bensì occorre che, sia durante la fase di individuazione e raccolta sia durante i passaggi della successiva catena di custodia, l’evidenza sia maneggiata con tutte le accortezze che si adottano nei confronti di reperti come il DNA, i campioni biologici, le polveri di residuo dello sparo di arma da fuoco, etc.

In particolare, è necessario che le operazioni siano svolte da personale con accreditata competenza tecnica nel settore e che tutto il procedimento sia documentato dettagliatamente nonché condotto nella maniera più imparziale possibile, in modo da non minare l’autenticità della traccia digitale.

Particolari attenzioni devono essere attuate anche dal giudice in sede di valutazione della prova, dovendo egli ripercorrere in maniera critica tutte le fasi che hanno interessato la digital evidence al fine di accertare che quest’ultima non sia – o non abbia potuto essere – incorsa in fenomeni di danneggiamento che, anche solo in linea teorica, ne possano avere contaminato la genuinità^[14].

Continua a leggere: scarica il white paper gratuito “La Digital forensics nel processo penale: quadro normativo, giurisprudenza, diritto di difesa e aspetti di cyber security“

Articolo a cura di Francesco Lazzini

 

 

 

 

 

Note

^[1] Lo schema procedurale citato è quello desumibile dalle linee guida enucleate dalle cd. best practices, primi fra tutti gli standard ISO/IEC 27037:2012 (Information security management systems), ISO/IEC 27000:2013 (Guidelines for identification, collection, aquisition and preservation of digital evidence) e ISO/IEC 27041 (Guidances on assuring suitability and adequacy of incident investigative method), sui quali si tornerà in seguito.

^[2] M. DANIELE, “La prova digitale nel processo penale, in Riv. dir. proc., 2011, p. 283, Cfr. M. PITTIRUTI, Digital evidence e procedimento penale”, G. Giappichelli editore, 2017, p. 7, dove il concetto prova digitale viene enucleato “facendo leva sull’essenza del dato, frutto di una manipolazione di una manipolazione elettronica di numeri”.

^[3] G. PIERRO, “Introduzione allo studio dei mezzi di ricerca della prova informatica”, in Dir. Pen. proc., 2011, p. 1516 ss., come citato in M. PITTIRUTI, op. cit., pp. 7-8.

^[4] V. R. KOSTORIS, “Ricerca e formazione della prova elettronica: qualche considerazione introduttiva”, in F. RUGGERI e L. PICOTTI, “Nuove tendenze della giustizia penale di fronte alla criminalità informatica: aspetti sostanziali e processuali”, Giappichelli, Torino, 2011, p. 179 ss., come citato in M. PITTIRUTI, op. cit., pp. 7-8.

^[5] R. MUNEREC, “Digital Forensics Aspetti tecnico-giuridici e operativi su trattamento dei dati digitali”, Egaf Edizioni Srl, 2021, p. 80.

^[6] L. MARAFIOTI, “Digital evidence e processo penale”, in Cass. Pen., 2011, p. 4509.

^[7] R. MURENEC, op. cit., p. 80.

^[8] Cfr. F. PELUSO e M. FERNANDES DOS SANTOS, ““Battlefield digital forensics”: la raccolta della prova informatica negli scenari di guerra”, in “IISFA Memberbook 2019-2020 digital forensics”, a cura di G. COSTABILE, A ATTANASIO e M. IANULARDO, Cap. V (formato kindle), dove l’immaterialità viene definita come «carattere “genetico” dell’evidenza digitale».

^[9] Ibidem.

^[10] V. G. CALABRO, “La fragilità della prova informatica: caratteristiche generali e problematiche emergenti”, consultabile sul sito: https://www.vincenzocalabro.it/pdf/2008/LaProvaInformatica.pdf.

^[11] Con il termine memoria RAM, acronimo di Random Acces Memory (memoria ad accesso causale), si fa riferimento al tipo di memoria informatica a breve termine funzionale alla memorizzazione dei dati di cui un programma o un’applicazione hanno bisogno per la loro esecuzione. Detta memoria si definisce volatile poiché una volta chiuso il programma le informazioni vengono cancellate.

^[12] V. G. CALABRO, op. cit., Cfr. F. PELUSO e M. FERNANDES DOS SANTOS, op. cit.

^[13] https://www.treccani.it/enciclopedia/prova-scientifica_%28Lessico-del-XXI-Secolo%29/.

^[14] Affinché la prova scientifica sia soggetta ad inattendibilità processuale non è necessario che abbia subito concretamente un evento di contaminazione, ma, per metterne in dubbio la genuinità, è sufficiente che tale evento, anche solo ipoteticamente, possa essersi verificato.