L’ispezione informatica è un mezzo di ricerca della prova, cioè una modalità con la quale il soggetto competente (la Polizia Giudiziaria, eventualmente avvalendosi di un ausiliario di Polizia Giudiziaria) ispeziona dei supporti informatici per consentire all’Autorità Giudiziaria di verificare e acquisire direttamente o indirettamente le prove in formato digitale necessarie per procedere con l’indagine. Infatti oggigiorno è sempre più frequente che nelle memorie di apparecchiature informatiche siano presenti dati, informazioni e dettagli preziosi ed utili per le indagini penali.
Dal punto di vista normativo, l’ispezione informatica è disciplinata dall’art. 244 c.p.p. che, in maniera più ampia, regole le modalità dell’ispezione:
L’ispezione delle persone, dei luoghi e delle cose è disposta con decreto motivato quando occorre accertare le tracce e gli altri effetti materiali del reato.
2. Se il reato non ha lasciato tracce o effetti materiali, o se questi sono scomparsi o sono stati cancellati o dispersi, alterati o rimossi, l’autorità giudiziaria descrive lo stato attuale e, in quanto possibile, verifica quello preesistente, curando anche di individuare modo, tempo e cause delle eventuali modificazioni. L’autorità giudiziaria può disporre rilievi segnaletici, descrittivi e fotografici e ogni altra operazione tecnica, anche in relazione a sistemi informatici o telematici, adottando misure tecniche dirette ad assicurare la conservazione dei dati originali e ad impedirne l’alterazione
Da un punto di vista operativo, l’ispezione informatica consiste nella ricerca di prove digitali all’interno di supporti informatici, quali ad esempio computer, tablet, smartphone ed ogni altro tipo di dispositivo digitale, utilizzando misure tecniche idonee ad assicurare la conservazione dei dati originali e ad impedirne l’alterazione. Tali misure tecniche prevedono l’uso di write blocker, appositi strumenti che impediscano la scrittura di bit sul supporto di destinazione, o di analoghe funzionalità di livello software come quelle offerte dal comando mount
in sola letture di Linux.
Come si realizza un’ispezione informatica
L’ispezione informatica può essere ordinata dal Pubblico Ministero con decreto motivato la cui copia va consegnata all’interessato solo nel caso in cui l’ispezione è relativa a luoghi o cose (ad esempio in caso di ispezione su apparecchiature informatiche).
L’ispezione informatica può essere effettuata sia durante le indagini preliminari ad opera della Polizia Giudiziaria (art. 354, 2 comma c.p.p.) o del Pubblico Ministero (art. 364 c.p.p.), sia durante il dibattimento ad opera del Giudice.
Nell’ispezione informatica, così come in tutti i tipi di ispezione, il difensore dell’indagato ha sempre e comunque il diritto di assistere e al preavviso per le ispezioni disposte dal giudice, tranne i casi di assoluta urgenza (artt. 364 e 370 c.p.p.).
Al termine dell’ispezione informatica va redatto un verbale nel quale vengono descritte nel dettaglio le operazioni e le attività svolte, al cui interno devo essere presenti informazioni come:
- dettagli dei dispositivi ispezionati: tipo (ad esempio notebook, smartphone, personal computer…), serial number, marca, modello…;
- strumenti tecnici adottati per evitare alterazioni: ad esempio write blocker, marca, modello, versione…
- dettagli delle operazioni svolte: ad esempio, “sono stati aperti i file immagine” oppure “sono stati cercati i file per parola chiave con la stringa fattura“…
- esito dell’ispezione informatica: ad esempio “durante l’ispezione è emerso che…”
Come si realizza l’ispezione informatica alla luce della Convenzione di Budapest sul Cybercrime
L’ispezione informatica è stata regolata con maggior dettaglio dopo l’introduzione della Legge 48 del 18 marzo 2008 che ha ratificato in Italia la Convenzione di Budapest sul Cybercrime del 23 novembre 2001 del Consiglio d’Europa. La Legge 48/2008 ha introdotto la possibilità per l’autorità giudiziaria di disporre l’ispezione “anche in relazione a sistemi informatici o telematici, adottando misure tecniche dirette ad assicurare la conservazione dei dati originali e la loro inalterabilità”.
Tale modifica ha indotto gli operatori tecnici (Polizia Giudiziaria, ausiliari di Polizia Giudiziaria) a seguire delle cosiddette best practices dell’informatica forense volte a delineare una metodologia di base che miri a:
- acquisizione forense della prova digitale: l’acquisizione forense deve avvenire senza alterare o danneggiare il dispositivo originale e i dati in esso contenuti, mediate creazione di una copia forense;
- autenticazione del reperto e dell’immagine forense acquisita: occorre calcolare l’hash del supporto originale e utilizzare dei meccanismi che consentano di cristallizzare tale informazione nel tempo;
- garantire la ripetibilità dell’accertamento: la creazione della copia forense senza alterazioni permette di poter ripetere l’operazione più volte, anche con strumenti diversi, offrendo così le massime garanzie per tutte le parti coinvolge;
- analisi senza modificazione dei dati originari: l’analisi forense va eseguita sulla copia forense e non sull’originale, in modo da evitare alterazioni anche solo accidentali
- massima imparzialità dell’azione tecnica: va posta attenzione non solo sui dati digitali rilevanti per l’accusa ma anche su quelli utili per la difesa, ragione per la quale è importante procedere all’acquisizione forense di tutti i dati e non a una copia selettiva
L’ispezione informatica può avvenire in modalità:
- post-mortem, cioè a sistema spento, collegando il supporto di memoria ad appositi strumenti che evitino le alterazioni, oppure
- live, caso che si verifica solo quando il sistema è già rinvenuto acceso all’atto dell’intervento della Polizia Giudiziaria e si opera riducendo al minimo le alterazioni che però sono inevitabili
In quali casi può essere disposta un’ispezione informatica?
L’ispezione informatica può essere disposta in generale in tutti i casi in cui occorre ricercare prove informatiche. Un caso frequente è ad esempio quello del reato di pornografia minorile: si può disporre un’ispezione informatica del computer dell’indagato per verificare in un primo momento se all’interno del computer sono presenti fotografie, filmati o testi rilevanti. Qualora si riscontri presenza di file almeno dubbi, la Polizia Giudiziaria può procedere al sequestro dei sistemi informatici redigendo apposito verbale in cui vengono riportati:
- data e ora delle operazioni
- dettagli del procedimento penale
- elenco delle persone presenti presso il luogo dell’ispezione informatica
- dispositivi informatici rinvenuti
- dispositivi informatici acceduti
- modalità di accesso ai dispositivi informatici
- descritti tutti i dettagli delle operazioni svolte, comprese eventuali fotografie, filmati, testi ed altro