Investigazioni digitali. Dal Tribunale di Napoli una prima interpretazione efficace dei parametri introdotti con la legge di ratifica della Convenzione di Budapest (D. La Muscatella)

INVESTIGAZIONI DIGITALI. DAL TRIBUNALE DI NAPOLI UNA PRIMA INTERPRETAZIONE EFFICACE DEI PARAMETRI INTRODOTTI CON LA LEGGE DI RATIFICA DELLA CONVENZIONE DI BUDAPEST

Tribunale di Napoli, Sez. III Penale, Composizione Collegiale, 15.7.2013, n. 10812

Donato La Muscatella

La sentenza in commento[1], resa l’autunno scorso dal Tribunale di Napoli, fornisce un primo importante arresto – pur di merito – in materia di investigazioni digitali, dopo le modifiche introdotte nel codice di rito dalla legge di ratifica della Convenzione di Budapest sul Cybercrime (Legge 18 marzo 2008, n. 48).

Assume particolare rilievo, benché priva d’effetto nomofilattico, in un contesto di legittimità nel quale il Supremo Collegio si è espresso, per lo più, rispetto alla eventuale ripetibilità di taluni accertamenti informatici (tesi ad acquisire evidenze presenti su supporti digitali) [2].

In particolare, accogliendo alcune doglianze difensive, i Giudici partenopei escludono dalla base di convincimento alcuni files sequestrati durante le indagini, nonostante non fosse versato in atti alcun elemento tale da confortare concretamente l’ipotesi di un’effettiva alterazione delle fonti di prova.

La decisione contiene, oltre a quelli sui quali s’incentrerà questa breve disamina, diversi spunti di interesse per il penalista, non ultimo quello relativo all’applicazione dell’art. 615 ter c.p. secondo la posizione espressa, in tempi recenti, dalle Sezione Unite Penali (vd. sentenza in commento, p. 22).

Prima d’addentrarsi nella parte motiva, tuttavia, è bene svolgere una sintetica premessa, che dia conto delle fattispecie oggetto di accertamento e dei referenti normativi coinvolti.

Il processo riguardava un dipendente pubblico, accusato d’aver indebitamente consultato la banca dati del proprio Istituto al fine di cedere informazioni sensibili ad alcuni complici esterni, che avrebbero poi provveduto ad incassare pensioni e rimborsi in luogo dei legittimi beneficiari.

Oltre all’accesso abusivo a sistema informatico, contestato al dipendente in discussione, s’ascrivevano ai prevenuti, a diverso titolo, i reati di associazione a delinquere, falso, ricettazione e sostituzione di persona.

La prova delle condotte abusive realizzate sul sistema informatico dell’Ente riposava essenzialmente su di un “file in formato excel (che pacificamente non poteva essere quello originariamente generato dal sistema), file del quale sono state prodotte in dibattimento stampe parziali delle consultazioni relative ai nominativi di alcune delle persone offese” (vd., sentenza in commento, p. 24).

Di tale documento la difesa ha lamentato l’inutilizzabilità, in assenza di certezze in ordine alla genuinità del dato digitale acquisito e poi analizzato.

L’eccezione sollevata si fondava sulla violazione di tre canoni specifici, mutuati dall’informatica forense ed inseriti nel 2008, con apposita novella, nel codice di procedura penale.

Si tratta, in particolare: a) del dovere di tutelare la genuinità del dato originale [3]; b) del dovere di impedire l’alterazione della fonte di prova[4]; c) del dovere di acquisire il dato mediante procedure che assicurino la conformità della copia acquisita all’originale individuato[5].

In buona sostanza, secondo i deducenti, gli operanti avrebbero dovuto sequestrare l’originale dei files di log – definibili come una sorta di “registri” in cui si tiene traccia delle attività compiute da un’applicazione, da un server, o da un interprete di comandi – presso l’Ente, acquisendone una copia dopo aver disposto un blocco in scrittura del supporto di memorizzazione [6], con modalità che ne garantissero la conformità all’originale (elaborando il c.d. hashing, “impronta digitale” delle evidenze informatiche).

La decisione del Tribunale pare, sul punto, lineare e condivisibile.

Più in specie, il Collegio statuisce che “sebbene non sia stato allegato alcun concreto elemento in atti che possa avvalorare la tesi di una effettiva alterazione (al di là della conversione nel formato excel) subita dai file di log forniti […] non vi è alcun dubbio che il dato informatico avrebbe dovuto essere acquisito al procedimento con l’osservanza di ben altre cautele, tanto più tenuto conto della decisività che lo stesso – al fine dell’identificazione del responsabile delle “illecite” consultazioni – avrebbe potuto avere in sede di giudizio” (vd., sentenza in commento, pp. 25-26).

Lo fa, dopo una breve rassegna dell’evoluzione normativa, che elenca i riferimenti giuridici in tema di digital forensics.

Il tenore del punto non lascia spazio ad equivoci.

Ed invero, i Giudici, con un’affermazione di questo genere: da un lato, sanciscono il valore effettivo dei canoni precisati nel 2008; dall’altro, chiariscono come non vi sia alcuna necessità di provare l’effetto che un’incauta acquisizione del dato digitale ha prodotto sulla fonte di prova assicurata alle indagini.

La violazione delle regole dettate esplicitamente dal codice comporta, di per se stessa e com’è naturale che sia, l’inutilizzabilità degli elementi raccolti.

Inutilizzabilità che, proprio per questo, non può che qualificarsi a tutti gli effetti come patologica.

Significativo il lessico scelto, da cui traspare la ragione di tale severità, ascrivibile non alla sola pregnanza processuale dei dati – circostanza contingente – ma alla stessa natura delle regole processuali coinvolte (“tanto più tenuto conto della decisività”, vd. sentenza in commento, p. 26).

L’estensore della sentenza cita, a sostegno della motivazione addotta, una precedente decisione – di merito e risalente ad un periodo nel quale questi accorgimenti tecnici non erano ancora stati codificati – del Tribunale di Chieti (n. 175 del 2005), nella quale si sanciva la “particolare delicatezza e manipolabilità” dei dati tecnici in argomento (anche in quel caso si trattava di files di log, acquisiti da un Internet Service Provider senza alcuna verifica in ordine alle modalità di conservazione e tutela degli stessi).

Il richiamo potrebbe sembrare ultroneo – in virtù della qualificazione delle norme invocate come divieti probatori – ma serve ad evidenziare la volatilità dell’informazione digitale, che giustifica un’esegesi così restrittiva.

È utile rammentare però, a questo proposito, l’esistenza di un opposto orientamento ben più celebre, derivante da un leading case ricordato dagli esperti della materia come “caso Vierika” che, sebbene non sia richiamato in motivazione, merita qui un cenno, per indagare adeguatamente il tema in analisi.

Nel corso del 2001 alcuni programmatori informatici avevano creato un virus (un c.d. worm) che, agendo sul registro di configurazione del sistema operativo, abbassava il livello di protezione del browser, inserendo come homepage predefinita una pagina web amministrata dall’imputato. Il documento scaricato in automatico alla prima navigazione, poi, creava una partizione del disco rigido, dalla quale inviava agli indirizzi presenti nella rubrica del client di posta elettronica un messaggio contenente l’allegato virale, diffondendo esponenzialmente il programma dannoso.

La condanna emessa del Tribunale di Bologna[7], parzialmente riformata in appello per aspetti concernenti la determinazione della pena[8], aveva contenuti decisamente opinabili ed una propagazione temporale ridotta per il coevo intervento di riforma.

Si attribuiva alla difesa l’onere di dimostrare in che modo la metodologia utilizzata avesse concretamente alterato i dati digitali ottenuti, affinché gli stessi fossero espunti dal fascicolo dibattimentale.

Le conclusioni delle Corti felsinee sono state osteggiate dalla dottrina sin da subito[9] e propugnavano un’inversione dell’onere probatorio correlata ad una presunta autonomia sistematica della prova digitale, le cui peculiarità non paiono certo sufficienti a differenziarla dai criteri generali adottati in tema di prova scientifica[10].

Tali caratteristiche, al contrario, dovrebbero indurre nuove attenzioni, idonee a scongiurare la perdita di utili elementi investigativi.

Tra i due indirizzi ermeneutici appena descritti, a modesto avviso di chi scrive, può tracciarsi un netto confine.

Il primo, più risalente, sembra ispirarsi ad un malinteso principio di conservazione degli atti imperfetti, che, sottovalutando le specificità della materia – per le quali anche la mera trascuratezza in alcune operazioni potrebbe causare alterazioni significative della fonte di prova – impone alla difesa un “percorso in salita”, in spregio alla rituale ripartizione tra le parti dell’onere probatorio.

La dimostrazione dei danni causati da imperizia nelle investigazioni, infatti, potrebbe risultare complessa, tanto più confluendo – come non raramente, in alcune fasi, accade – in una valutazione giudiziale sguarnita di adeguati riscontri tecnici.

Svilisce, peraltro, l’azione di contrasto su prassi inadeguate, che il deterrente prodotto da un sanzione effettiva potrebbe generare. Tale aspetto, legato alla teoria disciplinare delle prove e corollario rispetto ad i primi, non può esser sottaciuto, esaminando un campo in cui i protocolli operativi dei diversi Uffici sono ancora (purtroppo) piuttosto eterogenei.

Il secondo, espresso dalla pronuncia de quo, prende consapevolmente atto dell’innovazione normativa e, coerentemente con l’intervento legislativo, assegna piena cogenza ai nuovi parametri, vincolando gli inquirenti ad un più scrupoloso rispetto delle migliori prassi e garantendo, così, un filtro effettivo delle evidenze raccolte.

Restituisce all’inutilizzabilità anche in casi come questi, inoltre, la primitiva funzione di stigmatizzare il comportamento irrituale della parte che induca fonti di prova alterate nel processo, generando – almeno in potenza – un’indebita corrosione del compendio probatorio[11].

Esonera la difesa, non di meno, dal dover intraprendere laboriosi accertamenti tecnici, per conseguire un risultato – l’inutilizzabilità di fonti di prova acquisite contra legem – che lo stesso codice di rito le riconosce.

Un simile approccio, in conclusione, pare conforme allo spirito delle nuove disposizioni, oltre che a consolidati principi di diritto processuale penale.

Presenta, tra l’altro, evidenti benefici operativi – intesi non come diminuzione di costi, ma come aumento dell’attendibilità delle fonti conoscitive – che non potranno che riflettersi sulle investigazioni svolte.

Sembra auspicabile, pertanto, che questa decisione inauguri un nuovo filone giurisprudenziale, trovando spazio nelle aule di Giustizia.

In questo modo, si conferiranno maggiori garanzie al rito e migliore qualità all’accertamento di responsabilità, informando indagini più accurate nel settore digitale.