Sarà questa l’occasione per fare il punto sullo stato dell’arte in materia di interpretazione delle norme penali riferite ai reati commessi attraverso le tecnologie dell’informazione, nonché per confrontarsi sugli orientamenti relativi all’acquisizione della digital evidence.
Anticipando il contenuto della mia relazione avente ad oggetto “Le indagini digitali difensive e il loro impiego in sede cautelare e processuale”, rileva come l’acquisizione della prova digitale non riguardi esclusivamente i procedimenti riferiti ai reati informatici in senso stretto o ai delitti tradizionali perpetrati attraverso le tecnologie, potendo, infatti, essere fondamentale per la soluzione di qualunque caso.
La ragione di ciò risiede nel fatto che sempre più spesso gli inquirenti si trovano di fronte ad una scena del crimine virtuale, poiché sovente si rinvengono e, quindi, si sequestrano cellulari e computer nella speranza di trovare informazioni utili a sostenere l’accusa. Si pensi a tal proposito a casi come il delitto di Garlasco, ove attraverso l’analisi forense del computer si è cercato di verificare l’alibi fornito dall’imputato.
Allorquando, tuttavia, la tesi accusatoria si fondi su elementi di prova digitale non c’è dubbio che la difesa sia, almeno in partenza, limitata, in quanto si verifica, di fatto uno stravolgimento del principio cardine del processo accusatorio. Se infatti di regola la prova si forma in dibattimento attraverso il contraddittorio, nei procedimenti fondati su evidenze digitali le informazioni rilevanti ai fini del giudizio vengono “cristallizzate” nella fase delle indagini attraverso la relazione del consulente del Pubblico Ministero e gli accertamenti svolti dalla polizia giudiziaria, che possono essere contrastati, in questa fase, con non poca difficoltà, mediante le indagini difensive di natura tecnica previste dagli articoli 391 –sexies, 391 septies e 391-decies c.p.p.
Ciò è ancora più evidente oggi a seguito delle modifiche apportate nel codice di procedura penale dalla legge n.48 del 2008 che, nel ratificare la Convenzione di Budapest sulla criminalità informatica, ha introdotto norme specifiche in tema di sequestro, perquisizione e ispezione informatica.
In passato, infatti, era più agevole contestare il modus operandi degli organi inquirenti, sia per un livello di competenza degli organi di polizia giudiziaria e delle Procure non sempre elevato, sia, ed in maggior misura, per l’assenza di disposizioni specifiche sui mezzi di ricerca della prova informatica. Si registrano, inevitabilmente, in questa fase orientamenti giurisprudenziali oscillanti, in quanto spesso non si conferisce valore alle best practices e alle guideline suggerite dagli studiosi di digital forensics.
Dubbi ed incertezze – che ampliavano, quindi, lo spazio di manovra della strategia difensiva – riguardavano temi centrali quali la valutazione processuale: della stampa su carta di pagine Web (cfr. Tribunale di Pescara sentenza 1369/2006; Cass. Pen., sent. n. 46668/2007); dei file di log e di altri dati, relativi al numero IP assegnato all’utente (Tribunale di Chieti, sent. 175/2005). Analoghe incertezze in ordine al sequestro e perquisizione dell’hard disk e delle altre unità di memoria; dell’intero sistema informatico (cfr. Cass. Pen., sez. III, sent. n. 1778/ 2003; Cass. Pen., sent. n. 13792/2008); del sito web (Cass. n.49437/2009).
Se, tuttavia, molti dubbi e perplessità sono superati oggi dalle disposizioni introdotte dalla legge 48 del 2008, rimangono ancora spazi di manovra per la difesa, atteso che il legislatore si è soffermato più sul risultato da ottenere, che sul metodo da seguire per acquisire la digital evidence. Si richiamano, infatti le c.d. best practice del settore limitandosi ad affermare che il modus operandi, non specificato, deve essere tale da garantire: l’integrità dell’originale; la ripetibilità dell’intervento; l’analisi senza modifica dei dati originali; l’autenticazione del reperto ed immagine acquisita (bitstream image).
Di fronte a tale scenario la difesa ha sempre, e comunque, margini di azione, seppur limitati, considerato che in questo campo ci si confronta sempre con varianti di carattere tecnologico (rappresentate dalle caratteristiche dei supporti in cui i dati sono contenuti e dall’habitat in cui il dispositivo si inserisce ed opera) e soggettivo (punto di osservazione differente delle forze di polizia, magistratura e difensori).
Tali variabili, oltre che nella fase delle indagini, possono essere “piegate” ai fini difensivi anche nel corso del dibattimento ove, attraverso il controesame dei consulenti del Pubblico Ministero e degli agenti operanti, occorre cercare di porre, laddove possibile, quanto meno, il dubbio in ordine a ciascuna delle fasi della c.d. catena di custodia, e del relativo referto, ovvero in relazione all’acquisizione, all’analisi ed alla conservazione del dato.
Sempre sul piano difensivo, segnatamente rispetto ai reati commessi per via telematica, è possibile contestare, talvolta, la riferibilità della condotta all’imputato, atteso che l’indagine informatica porta solo al computer dal quale è partita la condotta, non identificandone l’autore, e considerato che la stessa identificazione effettuata esclusivamente attraverso IP può essere suscettibile di obiezioni.
