Con la sentenza di Cassazione 12094/2020, la Suprema Corte si è espressa su un caso nel quale è stato sequestrato il computer di un avvocato.

Nel caso in questione, il Pubblico Ministero aveva chiaramente esigenza di raccogliere la prova informatica nel rispetto della procedura penale e dell’informatica forense.

Tralasciando gli aspetti legati alla possibilità di svolgere questa tipologia di indagini nei confronti di un avvocati, di particolare interesse è la procedura avallata dalla Cassazione con la sentenza 12094/2020.

Le diverse tipologie di copia forense nello standard ISO 27037

Lo standard ISO/IEC 27037 che si occupa di identificazione, raccolta e acquisizione forense di dati digitali, evidenzia diverse modalità di acquisizione:

• copia forense fisica, o bit-stream image, cioè una copia forense bit per bit di tutti i dati;
• copia forense logica, ossia una copia forense di un insieme di dati senza una particolare selezione ma solitamente priva di dati cancellati;
• copia forense di file selezionati, cioè una copia forense di un insieme di dati selezionati in origine.

In tutti i casi, la copia forense deve essere corredata da un hash che consenta di verificare l’integrità dei dati. La scelta di un metodo piuttosto che dell’altro dipende da vari fattori, tra cui aspetti tecnici e giuridici.

Chiaramente, la scelta di copia forense di file selezionati può esporre la procedura al rischio di perdita di dati che non saranno più recuperabili nel caso in cui questa operazione sia svolta non in contraddittorio tra le parti.

Occorre altresì precisare che l’acquisizione forense fisica e l’acquisizione forense logica richiedono comunque una successiva attività di analisi che consenta di isolare i soli file di interesse. Quindi, operativamente, si punterà ad ottenere un sottoinsieme di quei dati, potendo così generare un insieme di dati equivalente alla copia forense di gruppi di file.

Gli effetti della sentenza di Cassazione 12094/2020 sull’operatività dell’acquisizione e analisi forense

La sentenza di Cassazione è di particolare interesse in quanto chiarisce meglio e disciplina le modalità di selezione di file, ossia di analisi con mera finalità di selezione ed estrazione a partire da copia forense o da reperto informatico sequestrato.

Quando non è possibile selezionare già in fase di sequestro i soli dati rilevanti, ossia non è opportuno per impossibilità di svolgere l’operazione in contradditorio, si può valutare una procedura alternativa.

Tale procedura prevede la possibilità di eseguire una preliminare copia forense a scopo di salvaguardia.

Successivamente, lavorando sulla copia forense, si procede all’estrazione di documentazione di interesse mediante definizione di requisiti (ad esempio: parole chiave, date, tipologia di file…) attraverso metodologie tipiche dell’e-discovery.

Una volta estratti i file, si crea una “nuova” copia forense dei soli file selezionati, distruggendo la copia integrale temporanea predisposta in origine e restituendo il reperto originario.

Tale procedura consente dunque di garantire il contraddittorio e rispettare la riservatezza delle parti coinvolte, non consegnando nelle mani di altre difese dati sensibili per l’indagato.

L’esperienza dei consulenti tecnici di BIT4LAW in questo tipo di procedure

Invero, la sentenza di Cassazione 12094/2020 racconta una procedura che i consulenti tecnici informatici di BIT4LAW seguono già da tempo, sia nell’ambito di accertamenti tecnici non ripetibili (ex 360 c.p.p.), sia in fase di incidente probatorio o perizia informatica.

I nostri periti informatici sono a disposizione per un confronto con gli avvocati nella valutazione della migliore procedura da proporre in questi casi.