La perquisizione informatica è il mezzo di ricerca della prova utilizzato dall’autorità giuridiziaria quando occorre rilevare il corpo del reato (ad esempio in caso di reato informatico) o tracce pertinenti il reato (ad esempio in tutti i casi in cui si ricercano prove informatiche di un reato “tradizionale”).

A fronte della continua crescita e diffusione di strumenti informatici, la perquisizione informatica è un caso particolare di acquisizione sempre più frequente poichè maggiore è il numero di casi in cui prove informatiche possono essere di ausilio per la risoluzione di casi penalmente rilevanti.

Vediamo in questo articolo innanzitutto quali sono le regole della perquisizione e quindi della perquisizione informatica.

In seguito esaminiamo quali sono gli strumenti a supporto degli esperti di informatica forense per le attività di perquisizione informatica.

Infine vediamo cosa deve sapere chi subisce una perquisizione informatica.

La perquisizione nell’ordinamento giuridico italiano

La perquisizione (e quindi anche la perquisizione informatica, al pari dell’ispezione informatica) è un mezzo di ricerca della prova, ossia un tipico atto a sorpresa che trova la sua collocazione all’interno del codice di procedura penale agli articoli 247, 248, 249, 250, 251 e 252 c.p.p.

L’attività di perquisire consiste nella ricerca del corpo del reato e/o di tutte le cose pertinenti al reato e può riguardare persone e luoghi.

Possono definirsi corpo del reato le cose sulle quali, o attraverso le quali, il reato è stato posto in essere, nonché le cose che ne costituiscono il prodotto, il profitto oppure il prezzo.

L’adozione del provvedimento di perquisizione richiede l’esistenza di una notizia di reato oltre che i seguenti presupposti:

• il fondato motivo di ritenere che il corpo del reato o cose pertinenti al reato si trovino su una persona
• il fondato motivo di ritenere che il corpo del reato o le cose pertinenti al reato si trovino in un determinato luogo
• il fondato motivo che in un determinato luogo possa essere eseguito l’arresto dell’imputato o dell’evaso

Il cosiddetto “fondato motivo” si ha quando sono presenti indizi di un certo rilievo che convergono verso la probabilità del rinvenimento della cosa oggetto della ricerca sulla persona o nel luogo in cui si effettua l’atto.

A sensi dell’art. 352 c.p.p. nel corso delle indagini preliminari può anche accadere che la polizia giudiziaria proceda a perquisizione di sua iniziativa (ad esempio in caso di flagranza del reato) senza il decreto del pubblico ministero. In questi casi, il verbale di perquisizione deve essere trasmesso dalla polizia giudiziaria al pubblico ministero, senza ritardo e non oltre le 48 ore, per la convalida.

Le cose rinvenute a seguito della perquisizione possono essere anche sottoposte a sequestro con l’osservanza delle prescrizioni di cui agli articoli 259 e 260 c.p.p.

La perquisizione informatica

A seguito dell’introduzione nel nostro ordinamento della Legge 48/2008 di ratifica della Convenzione di Budapest sul Cybercrime, maggiore attenzione è richiesta nei casi di perquisizioni informatiche.

La perquisizione informatica è la perquisizione che è spesso eseguita dalla polizia giudiziaria con l’affiancamento di esperti di informatica forense (che possono essere consulenti tecnici del pubblico ministero oppure ausiliari di polizia giudiziaria); talvolta può essere eseguita solo dalla polizia giudiziaria quando intervengono militari con adeguate competenze tecniche e strumentazioni.

La maggiore attenzione richiesta per le perquisizioni informatiche discende dalle caratteristiche intrinseche del dato digitale di estrema volatilità e fragilità, pertanto è richiesto che questa attività si svolta in modo tale da preservare l’integrità del dato in sede di ricerca e acquisizione forense del dato digitale di interesse.

Gli strumenti per la perquisizione informatica

In generale occorre premettere che quando si procede con una perquisizione bisogna quasi sempre mettere in conto che ci possa imbattere in sistemi informatici, richiedendo pertanto di mettere in atto tutti gli accorgimenti tipici dell’informatica forense.

Quando si procede con una perquisizione informatica l’esperto di informatica forense deve pertanto premunirsi di tutto quanto necessario per procedere con queste attività.

In generale occorre quindi fare riferimento a quanto suggerito dallo standard ISO/IEC 27037:2012 in tema di ricerca, raccolta e acquisizione di dati digitali, tenendo ben in mente le aree di classificazione della digital forensics (disk forensics, network forensics, mobile forensics…).

Gli strumenti che in genere sono utili per tali attività sono dunque:

• supporti di memorizzazione di dati digitali quali hard disk, state solid disk, chiavette USB, DVD, CD…
• cavi di varia tipologia (SATA, IDE, SCSI, SAS…)
• copiatori hardware come Tableau TD2, Tableau TD2u, Tableau TD3, Logicube Falcon, Data Copy King 2 eccetera, strumenti utili per l’esecuzione di copie forensi di computer, notebook, hard disk, SSD, pendrive USB, schede SD e ogni altro supporto della categoria disk forensics
• write blocker hardware come Wiebetech UltraDock 5, Tableau T6u eccetera per la consultazione senza alterazioni dei supporti di memorizzazione della categoria disk forensics
• distribuzioni linux su chiavetta USB bootable e su CD/DVD per poter visionare in anteprima i dati o eseguire copie forensi senza rischiare di alterarne i contenuti
• software per acquisizione di porzioni di dati da sistemi avviati come FTK Imager Lite
• software di mobile forensics come Oxygen, UFED, XRY…
• software per acquisizione dati in cloud come UFED Cloud Analyxer, Magnet Axiom Cloud…
• software per acquisizione di caselle di posta elettronica come Thunderbird portable, Securecube IMAP Downloader…
• software per calcolo dell’hash come FTK Imager, HashCalc o HashMyFiles

Ma non occorrono solo strumenti di “alta tecnologia”: occorrono anche oggetti da garage o da ufficio come guanti, nastro adesivo, cacciaviti, buste.

Come si procede in caso di perquisizione informatica

Lo standard ISO/IEC 27037:2012 suggerisce di agire svolgendo le attività secondo un preciso ordine che si prefigge di privilegiare i sistemi che possono subire alterazioni o quelli che richiedono molto tempo macchina per la copia.

A tal fine si prevedono, tra le altre, le seguenti attività:

• individuazione e isolamento dei sistemi informatici presenti localmente, rimuovendo i collegamenti di rete
• individuazione e acquisizione degli account online come ad esempio acquisizione forense di email, acquisizione forense di cloud storage…
• richiesta di credenziali ove necessario, in particolare per login online e per sistemi cifrati

Sto subendo una perquisizione informatica: come posso difendermi?

In caso un soggetto (una persona o un’azienda) stia subendo una perquisizione informatica, la polizia giudiziaria deve innanzitutto esibire il decreto di perquisizione che autorizza le operazioni (salvo i casi in cui questo non è necessario come precedentemente indicato).

Chi subisce la perquisizione informatica ha la facoltà di fasi assistere da un Consulente Tecnico di Parte in materia informatica e da un avvocato. L’assistenza da parte di un CTP informatico è di fondamentale importanza per assicurare l’integrità e la genuinità degli elementi probatori che in futuro potrebbero essere utilizzati contro chi ha subito la perquisizione.

Durante le operazioni non è obbligatorio essere disponibili e collaborativi ma certamente una condotta di questo genere consente di eseguire le operazioni in tempi più rapidi, con maggiore serenità e lasciando un buon “biglietto da visita” nei confronti del pubblico ministero e del giudice.

Il verbale di operazioni della Polizia Giudiziaria

Al termine della perquisizione informatica è importante prestare attenzione alla stesura del verbale, verificando che sia dettagliatamente riportato cosa è stato fatto e su quali sistemi. In particolare va in dettaglio verbalizzato se un sistema è stato acceso, se è stato utilizzato, per fare quali attività e qual è stato l’esito.

Tali descrizioni devono avvenire a cura della polizia giudiziaria, ma qualora qualcosa non fosse riportato l’indagato farebbe bene a chiedere di precisare. Altro elemento rilevante da indicare nel verbale in caso di acquisizione forense di supporti informatici è l’hash, ossia la stringa che identifica i dati acquisiti e che daranno successivamente la possibilità al consulente tecnico di parte di verificare l’integrità dei dati.