L’uso delle tecnologie informatiche nei procedimenti giudiziari riveste un interesse del tutto particolare in riferimento all’acquisizione delle “prove digitali”: tali elementi probatori rilevano ai fini dell’accertamento non soltanto di un reato informatico, ma di qualunque tipologia di reato.

Ad occuparsi di questo problema è una disciplina individuata dapprima col nome di “computer forensics” e che attualmente si preferisce chiamare “digital forensics”: oggetto principale di questa informatica forense è la digital evidence. Con quest’ultimo termine si individua una qualsiasi informazione generata, memorizzare e trasmessa in formato digitale e dotata di valore probatorio in un procedimento giudiziario.

I termini electronic evidence e digital evidence sono spesso usati come sinonimi: tale uso non è del tutto corretto, dal momento che la electronic evidence comprende anche i dati in formato analogico ed ha una portata più ampia rispetto alla digital evidence.

Nella dottrina anglosassone è inoltre frequente la distinzione tra prova digitale human to human (ad esempio una mail indiziata da un individuo ad un altro), human to pc (un file composto con un programma di videoscrittura e salvato su un disco rigido) e pc to pc (i file di log di un sistema operativo): esistono tuttavia anche “prove miste” create in parte attraverso un intervento umano e in parte da un calcolatore (un foglio di calcolo in cui i dati vengono inseriti da un essere umano ma che produce risultati elaborati automaticamente dal computer).

Rilevante è anche la distinzione tra prove digitali consistenti in dati volatili che sono facilmente alterabili e prove digitali consistenti in dati non volatili, che sono invece conservati in memorie di massa e pertanto non vengono perduti in caso di spegnimento del dispositivo che li ospita.

Tra le caratteristiche della prova digitale viene ricordata la sua “immaterialità” ma anche la sua promiscuità, in quanto le prove digitali possono essere frammiste a dati del tutto irrilevanti ai fini processuali. La prova digitale ha inoltre una natura “modificabile”, come dimostra la facilità con cui può essere corrotta o manipolata: a tal proposito è necessario garantirne l’autenticità anche attraverso l’impiego di specifiche metodologie di individuazione e di acquisizione.

L’acquisizione della prova informatica deve pertanto essere condotta in modo da assicurare la massima coerenza fra originale e copia: lo stato in cui viene trovato il sistema al momento dell’acquisizione determina varie opportunità di azione.

  1. L’ipotesi migliore è che il sistema sia spento o scollegato: la relativa modalità di acquisizione, denominata post-mortem, è quindi orientata all’acquisizione di dati non volatili
  2. Se invece il sistema dovesse essere trovato attivo o in stand-by, ogni operazione effettua potrebbe compromettere l’integrità dei tali volatili: in tali casi si dovrà procedere pertanto ad attività di Live Forensics Analysis. La fase di individuazione e di acquisizione dovrà essere poi naturalmente seguita da una fase di conservazione e poi da una fase di analisi.

A dare impulso fondamentale all’inquadramento normativo dei molti problemi legati alla digital evidence è stato il Consiglio d’Europa, che ha promosso l’adozione della Convenzione sulla criminalità informatica. La Convenzione, oltre ad individuare numerosi cybercrimes, detta una lunga serie di disposizioni sull’acquisizione, raccolta e conservazione dei dati digitali: in particolare, essa impone alle parti aderenti di adottare dei provvedimenti volti a garantire la conservazione rapida dei dati informatici e di traffico, anche se detenuti presso terzi, con relativo obbligo in capo al soggetto terzo di proteggere e mantenere l’integrità dei dati per il periodo di tempo necessario alle autorità competenti ad ottenere la loro acquisizione.

La Convenzione di Budapest è stata ratificata dall’Italia con la legge 48/2008 che ha introdotto l’impiego di tecniche proprie della digital forensics nell’acquisizione della prova in ambiente informatico o telematico.

Con riferimento alla materia delle ispezioni, per esempio, la legge 48/2008 ha previsto un allargamento delle attività ispettive previste dall’articolo 244 del codice di procedure penale, stabilendo che l’autorità giudiziaria possa disporre rilievi segnaletici, descrittivi e fotografici e ogni altra operazione tecnica “anche in relazione a sistemi informatici o telematici, adottando misure tecniche dirette ad assicurare la conservazione dei dati originali e ad impedirne l’alterazione”: si è così introdotta una diversa tipologia di ispezione, avente ad oggetto i sistemi informatici, che sembra presentare caratteristiche differenti rispetto alle ispezioni tipiche disciplinate all’interno del codice di procedura penale.

Il nuovo disposto dell’articolo 244 del codice di procedura penale stabilisce infatti la necessità di adottare misure tecniche dirette ad assicurare la conservazione dei dati originali, con l’obiettivo di limitare il rischio che una attività invasiva provochi un’alterazione del sistema o una modifica dei file o del loro contenuto: l’attività che viene posta in essere sembra qui andare oltre il semplice “sguardo” tipico dell’ispezione, per arrivare ad un’attività più vicina a quella tipica della perquisizione.

Proprio in materia di perquisizione, la legge 48/2008 ha introdotto all’interno dell’articolo 247 del codice di procedura penale un nuovo comma in base al quale “quando vi è fondato motivo di ritenere che dati pertinenti al reato si trovino in un sistema informatico o telematico, ancorché protetto da misure di sicurezza, ne è disposta la perquisizione, adottando misure tecniche dirette ad assicurare la conservazione dei dati originali e ad impedirne l’alterazione”

La fragilità del dato informatico impone che venga salvaguardata la sua integrità: a tale scopo le misure tecniche all’uopo finalizzare sono individuabili in strumenti che impediscono la sovrascrittura dei dati, modalità bit to bit per la clonazione degli stessi, funzioni crittografiche per verificare la conformità dei dati clonati con quelli originali.

Il legislatore, attraverso la modifica all’articolo 354 del codice di procedura penale, ha inoltre previsto in tema di accertamenti urgenti della polizia giudiziaria, che prima dell’intervento del pubblico ministero, la polizia giudiziaria sia tenuta alla conservazione dello stato, dei luoghi e delle cose pertinenti al reato in relazione ai dati, informazioni, programmi, sistemi informatici o telematici, sia all’adozione di misure tecniche o prescrizioni necessarie ad assicurarne la conservazione, impedendone l’alterazione e l’accesso e provvedendo alla loro duplicazione su adeguati supporti.