La consulenza informatica forense è lo strumento con il quale è possibile trattare un dato informatico, acquisirlo ed analizzarlo al fine di dare un significato e cercare di riscostruire un fatto storico.

Da alcuni giorni è stata pubblicata la nuova circolare 1/2018 della Guardia di Finanza che rappresenta il manuale operativo in materia di contrasto all’evasione e alle frodi fiscali.

Con riguardo ai dati informatici è rilevante tenere conto dell’autonomia del dato informatico rispetto al sistema informatico, dovendo considerare quest’ultimo come contenitore rispetto al contenuto (Cassazione, Sez. Un., 7 settembre 2017, n. 40963).

Ne deriva che in molte attività investigative non è rilevante il sequestro del contenitore ma l’acquisizione forense dei dati informatici ivi contenuti, purchè tale operazione sia fatta in modo tale da generare una copia immagine identica all’originale.

Le indagini informatiche della Guardia di Finanza

Già da diversi anni all’interno della Guardia di Finanza è stato istituito un gruppo specializzato di informatica forense noto come Computer Forensics e Data Analysis (CFDA): si tratta di personale qualificato che interviene in ausilio di altri colleghi quando occorre operare per la raccolta di prove informatiche. Come previsto dall’informatica forense si occupano pertanto di identificare, raccogliere, acquisire, analizzare dati informatici e reperti informatici, sino a presentare un report dell’attività svolta.

Nessuna particolare novità dunque se non il riconoscimento della rilevanza del dato informatico come elemento di prova di un fatto storico come l’evazione o la frode. Si tratta dunque solo di una mera precisazione che già gli operatori più attenti alla materia avevano ben presente.

Il comma 9 dell’art. 52 del D.P.R. n. 633/1972, valevole anche ai fini delle imposte sui redditi, prevede che, in deroga alle disposizioni del comma 7 – che contempla talune limitazioni al ritiro di documenti e scritture – gli operatori della Guardia di Finanza che procedono all’accesso nei locali dei soggetti che si avvalgono di sistemi informatici hanno facoltà di provvedere all’elaborazione dei supporti fuori dei locali stessi qualora il contribuente non consenta l’utilizzazione dei propri impianti e del proprio personale.

Nel sancire il divieto di eseguire operazioni direttamente sugli apparati in uso al contribuente in assenza di un suo espresso consenso, la disposizione consente ai verificatori di procedere all’elaborazione dei dati ivi contenuti successivamente, al di fuori dei locali del contribuente, attribuendo agli stessi anche la facoltà di adottare gli accorgimenti necessari a tale scopo.

In questi casi, il personale accertatore povrà procedere all’esecuzione di una copia forense dei supporti informatici anche per ricercare dati cancellati. Nulla di diverso da quanto svolto da professionisti che offrono servizi di consulenza informatica forense.

Il soggetto che subisce l’accertamento ha la facoltà di farsi assistere da propri consulenti informatici forensi o altre persone di propria fiducia.

I dati devono quindi essere prodotti in duplice copia, su supporti informatici possibilmente non modificabili, da poter poi esaminare a cura dei propri CTP informatici nell’ambito di una consulenza informatica forense di parte.

Occorre comunque tener presente che non sono previste acquisizioni indiscriminate di dati che potrebbero determinare illegittime limitazioni dei diritti di parti terze, quali le imprese consociate, e al contempo imporre ai verificatori di esaminare grandi quantità d’informazioni prive di una reale utilità sul piano istruttorio.

Delineando un caso pratico, se è ritenuto interessante l’esame della posta elettronica di una singola persona è inutile l’acquisizione forense dell’intero server di posta elettronica ma è sufficiente l’acquisizione della singola casella.

Come previsto dallo standard ISO/IEC 27037, tutte le operazioni devono essere verificabili e valutabili da terzi pertanto è importante produre adeguata documentazione delle attività svolte. In tal senso fondamentale è il calcolo dell’hash del dato informatico acquisito così come si presentava all’atto dell’intervento: non offre invece alcuna garanzia di attendibilità, ma solo di integrità, la generazione di un documento sulla base di informazioni raccolte qua e là sul quale viene poi calcolato l’hash. Altro documento fondamentale è la catena di custodia che consente di rilevare anche i nomi degli operatori intervenuti nelle varie fasi.

La consulenza informatica forense difensiva

A fronte dell’accesso sui sistemi informatici da parte di accertatori e delle relative indagini, il contribuente deve quindi prestare attenzione a come le operazioni vengono svolte e valutare il ricorso a una consulenza informatico forense da parte di professionisti specializzatti.

La consulenza informatica forense avrà l’obiettivo di:

• Assistere il contribuente durante le fasi dell’accertamento;
• Rappresentare il contribuente nel contraddittorio tecnico in caso di successive attività sui sistemi informatici;
• Valutare le operazioni svolte al fine di determinale la correttezza del metodo, l’attendibilità e l’integrità dei dati raccolti, la scientificità delle valutazioni espresse;
• Redigere una relazione tecnica di informatica forense che accompagnerà la memoria difensiva redatta dal proprio legale nel caso in cui occorre difendersi da ipotesi di illecito.

Ai fini pratici, diversamente da quanto vogliono far apparire varie testate online che si sono occupate del tema, nulla è cambiato. Unico aspetto rilevante è aver acceso un riflettore sulla questione degli accertamenti informatici condotti in molti casi con superficialità e poca attenzione a garantire anche i diritti del contribuente.