La perquisizione informatica è il mezzo di ricerca della prova utilizzato dall’autorità giuridiziaria quando occorre rilevare il corpo del reato (ad esempio in caso di reato informatico) o tracce pertinenti il reato (ad esempio in tutti i casi in cui si ricercano prove informatiche di un reato “tradizionale”).
A fronte della continua crescita e diffusione di strumenti informatici, la perquisizione informatica è un caso particolare di acquisizione sempre più frequente poichè maggiore è il numero di casi in cui prove informatiche possono essere di ausilio per la risoluzione di casi penalmente rilevanti.
Vediamo in questo articolo innanzitutto quali sono le regole della perquisizione e quindi della perquisizione informatica.
In seguito esaminiamo quali sono gli strumenti a supporto degli esperti di informatica forense per le attività di perquisizione informatica.
Infine vediamo cosa deve sapere chi subisce una perquisizione informatica.
Indice degli argomenti
La perquisizione (e quindi anche la perquisizione informatica, al pari dell’ispezione informatica) è un mezzo di ricerca della prova, ossia un tipico atto a sorpresa che trova la sua collocazione all’interno del codice di procedura penale agli articoli 247, 248, 249, 250, 251 e 252 c.p.p.
L’attività di perquisire consiste nella ricerca del corpo del reato e/o di tutte le cose pertinenti al reato e può riguardare persone e luoghi.
Possono definirsi corpo del reato le cose sulle quali, o attraverso le quali, il reato è stato posto in essere, nonché le cose che ne costituiscono il prodotto, il profitto oppure il prezzo.
L’adozione del provvedimento di perquisizione richiede l’esistenza di una notizia di reato oltre che i seguenti presupposti:
Il cosiddetto “fondato motivo” si ha quando sono presenti indizi di un certo rilievo che convergono verso la probabilità del rinvenimento della cosa oggetto della ricerca sulla persona o nel luogo in cui si effettua l’atto.
A sensi dell’art. 352 c.p.p. nel corso delle indagini preliminari può anche accadere che la polizia giudiziaria proceda a perquisizione di sua iniziativa (ad esempio in caso di flagranza del reato) senza il decreto del pubblico ministero. In questi casi, il verbale di perquisizione deve essere trasmesso dalla polizia giudiziaria al pubblico ministero, senza ritardo e non oltre le 48 ore, per la convalida.
Le cose rinvenute a seguito della perquisizione possono essere anche sottoposte a sequestro con l’osservanza delle prescrizioni di cui agli articoli 259 e 260 c.p.p.
A seguito dell’introduzione nel nostro ordinamento della Legge 48/2008 di ratifica della Convenzione di Budapest sul Cybercrime, maggiore attenzione è richiesta nei casi di perquisizioni informatiche.
La perquisizione informatica è la perquisizione che è spesso eseguita dalla polizia giudiziaria con l’affiancamento di esperti di informatica forense (che possono essere consulenti tecnici del pubblico ministero oppure ausiliari di polizia giudiziaria); talvolta può essere eseguita solo dalla polizia giudiziaria quando intervengono militari con adeguate competenze tecniche e strumentazioni.
La maggiore attenzione richiesta per le perquisizioni informatiche discende dalle caratteristiche intrinseche del dato digitale di estrema volatilità e fragilità, pertanto è richiesto che questa attività si svolta in modo tale da preservare l’integrità del dato in sede di ricerca e acquisizione forense del dato digitale di interesse.
In generale occorre premettere che quando si procede con una perquisizione bisogna quasi sempre mettere in conto che ci possa imbattere in sistemi informatici, richiedendo pertanto di mettere in atto tutti gli accorgimenti tipici dell’informatica forense.
Quando si procede con una perquisizione informatica l’esperto di informatica forense deve pertanto premunirsi di tutto quanto necessario per procedere con queste attività.
In generale occorre quindi fare riferimento a quanto suggerito dallo standard ISO/IEC 27037:2012 in tema di ricerca, raccolta e acquisizione di dati digitali, tenendo ben in mente le aree di classificazione della digital forensics (disk forensics, network forensics, mobile forensics…).
Gli strumenti che in genere sono utili per tali attività sono dunque:
Ma non occorrono solo strumenti di “alta tecnologia”: occorrono anche oggetti da garage o da ufficio come guanti, nastro adesivo, cacciaviti, buste.
Lo standard ISO/IEC 27037:2012 suggerisce di agire svolgendo le attività secondo un preciso ordine che si prefigge di privilegiare i sistemi che possono subire alterazioni o quelli che richiedono molto tempo macchina per la copia.
A tal fine si prevedono, tra le altre, le seguenti attività:
In caso un soggetto (una persona o un’azienda) stia subendo una perquisizione informatica, la polizia giudiziaria deve innanzitutto esibire il decreto di perquisizione che autorizza le operazioni (salvo i casi in cui questo non è necessario come precedentemente indicato).
Chi subisce la perquisizione informatica ha la facoltà di fasi assistere da un Consulente Tecnico di Parte in materia informatica e da un avvocato. L’assistenza da parte di un CTP informatico è di fondamentale importanza per assicurare l’integrità e la genuinità degli elementi probatori che in futuro potrebbero essere utilizzati contro chi ha subito la perquisizione.
Durante le operazioni non è obbligatorio essere disponibili e collaborativi ma certamente una condotta di questo genere consente di eseguire le operazioni in tempi più rapidi, con maggiore serenità e lasciando un buon “biglietto da visita” nei confronti del pubblico ministero e del giudice.
Al termine della perquisizione informatica è importante prestare attenzione alla stesura del verbale, verificando che sia dettagliatamente riportato cosa è stato fatto e su quali sistemi. In particolare va in dettaglio verbalizzato se un sistema è stato acceso, se è stato utilizzato, per fare quali attività e qual è stato l’esito.
Tali descrizioni devono avvenire a cura della polizia giudiziaria, ma qualora qualcosa non fosse riportato l’indagato farebbe bene a chiedere di precisare. Altro elemento rilevante da indicare nel verbale in caso di acquisizione forense di supporti informatici è l’hash, ossia la stringa che identifica i dati acquisiti e che daranno successivamente la possibilità al consulente tecnico di parte di verificare l’integrità dei dati.