Art. 491-bis - Documenti informatici (1)

Rassegna di giurisprudenza

Un sistema informatico, in linea generale, è costituito dalle componenti hardware e software, le prime rappresentate, secondo la comune definizione, dal complesso di elementi fisici non modificabili, (quali circuiti, unità di memoria, parti meccaniche etc.) cui si aggiungono periferiche di ingresso (ad. es. tastiera, scanner, etc.) e di uscita (es. monitor, stampante) ed altri componenti comuni (modem, masterizzatore, cavi) e le seconde costituite, sempre secondo la comune accezione, dall’insieme di istruzioni e procedure necessarie per il funzionamento stesso della macchina (software di base) o per farle eseguire determinate attività (software applicativo) e costituiti da programmi o dati memorizzati su specifici supporti.

La Convenzione di Budapest, ratificata dalla L. 48/2008, definisce il sistema informatico come «qualsiasi apparecchiatura o gruppo di apparecchiature interconnesse o collegate, una o più delle quali, in base ad un programma, compiono l’elaborazione automatica di dati», tenendo quindi conto anche della possibile interazione di più dispositivi. Va dunque distinto, per quel che qui interessa, il “contenitore” rispetto al “contenuto”, dovendosi quindi valutare l’oggetto di un eventuale provvedimento di sequestro, il quale può riguardare, sussistendone la necessità, l’intero sistema (come nel caso in cui l’apprensione sia necessaria per esaminare grosse quantità di dati ovvero il singolo dato, che ha certamente una sua identità fisica, essendo modificabile e misurabile.

Dunque anche la componente software di un sistema informatico, avendo una sua consistenza compiutamente individuabile, può pacificamente ritenersi suscettibile di sequestro, seppure con le specifiche modalità dettate dalla legge. Va peraltro osservato, a tale proposito, che la distinzione tra le diverse componenti di un sistema informatico di cui si è appena detto non è stata sempre chiara al legislatore, il quale, nell’art. 491-bis, definiva, ad esempio, come “documento informatico”, qualunque «supporto informatico contenente dati o informazioni aventi efficacia probatoria o programmi specificamente destinati ad elaborarli», così sostanzialmente sovrapponendo il “documento”, entità del tutto autonoma, con il “supporto” che lo contiene.

A tale anomalia, segnalata dalla dottrina, si è successivamente rimediato attraverso la soppressione del periodo ad opera dell’art. 3, comma 1, lett. b), della L. 48/2008, dovendosi ora fare riferimento alla definizione di “documento informatico” contenuta nell’ art. 1, lett. p), DLGS 82/2005 («documento informatico: il documento elettronico che contiene la rappresentazione informatica di atti, fatti o dati giuridicamente rilevanti») già in precedenza fornita, sotto diversa forma, dapprima dal DPR 513/1997, e, successivamente, dal DPR 445/2000.

La differenza è ora ben presente anche in altre disposizioni, come, ad esempio, negli artt. 635-bis, 635-ter, 635-quater e 635-quinquies, che distinguono il danneggiamento dell’integrità dei dati dal danneggiamento dell’integrità di un sistema. La distinzione tra intero sistema e dati è altresì rinvenibile nelle disposizioni del codice di rito modificate dalla L. 48/2008, come, ad esempio, negli artt. 247, comma 1-bis e 352, comma 1-bis.

Detta distinzione tra i dati ed il sistema che ne consente l’archiviazione o l’elaborazione (o, meglio, tra componenti hardware e software di un sistema) è dunque evidente non soltanto sotto un profilo prettamente tecnico, ma anche nell’uso dei termini effettuato dal legislatore, così come è altrettanto evidente che a dati, programmi ed informazioni viene comunque riconosciuta quella individualità fisica di cui si è detto, sanzionandone il danneggiamento (artt. 635- bis e 635-ter) e specificando le modalità esecutive delle perquisizioni (248, comma 2, 352, comma 1-bis CPP), dei sequestri (art. 256, comma 1, 259, comma 2, 260, comma 2, CPP) e degli accertamenti urgenti (art. 354, comma 2 CPP). 12.

Deve a questo punto considerarsi che la nozione di “dato informatico”, sebbene riferibile, per quel che qui rileva, ai «dati, programmi ed informazioni» di cui alle norme appena richiamate e, più in generale, alla componente software di un sistema, risulta comunque non chiaramente definita se non per l’ampia indicazione dell’oggetto fisico, il quale, tuttavia, può assumere conformazioni diverse, potendo, ad esempio, riguardare un insieme di istruzioni formulate in uno specifico linguaggio e finalizzate alla esecuzione di determinate operazioni (come nel caso del programma applicativo), un mero insieme di informazioni come quelle conservabili su carta, il risultato dell’elaborazione di più informazioni o operazioni, la rappresentazione di atti, fatti o dati giuridicamente rilevanti (nella forma, quindi, del documento elettronico), la riproduzione per immagine di atti o documenti cartacei etc.

Sempre la Convenzione di Budapest definisce come dato informatico «qualunque presentazione di fatti, informazioni o concetti in forma suscettibile di essere utilizzata in un sistema computerizzato, incluso un programma in grado di consentire ad un sistema computerizzato di svolgere una funzione». In dottrina si è fatto rilevare come la terminologia utilizzata dal legislatore non sia sempre corrispondente alla definizione offerta dalla Convenzione, essendosi ad esempio, nella frode informatica (art. 640-ter) e nel danneggiamento, affiancato, al termine “dato” anche quelli di “informazione” e “programma”, che sono in esso ricompresi.

Oggetto di un eventuale sequestro, in definitiva, può anche essere il dato informatico così come in precedenza individuato. Secondo il rapporto esplicativo adottato dal Comitato dei ministri del Consiglio d’Europa (punto 197), il termine “sequestrare”, in base alla convenzione «significa prendere il mezzo fisico sul quale i dati o le informazioni sono registrati oppure fare e trattenere una copia di tali dati o informazioni. “Sequestrare” include l’uso o il sequestro di programmi necessari ad accedere ai dati che si stanno sequestrando. Allo stesso modo in cui si usa il termine tradizionale “sequestrare”, il termine “assicurare in modo simile” è incluso per indicare gli altri modi nei quali i dati intangibili possono essere portati via, resi inaccessibili o il suo controllo e in altro modo escluso per il sistema informatico».

Alla luce di quanto sinora riportato, sembra possa rilevarsi che la peculiarità del dato informatico sia data esclusivamente dalle sue caratteristiche fisiche e dalle modalità di conservazione e di elaborazione, mentre non si rilevano rilevanti differenze rispetto al contenuto, quando rappresentativo di fatti, atti, idee, sequenze di espressioni, etc., il quale può essere conservato anche altrove, ad esempio sulla carta. Di tale particolarità si è fatto evidentemente carico il legislatore con le modifiche apportate al codice penale ed al codice di rito con la più volte menzionata L. 48/2008. Ed infatti, l’art. 244, comma 2, CPP prevede, ad esempio, la possibilità di adottare, riguardo ai rilievi ed alle operazioni tecniche da effettuare in relazione a sistemi informatici o telematici, misure tecniche dirette ad assicurare la conservazione dei dati originali e ad impedirne l’alterazione.

L’art. 247, comma 1-bis, CPP prevede analoghi accorgimenti nel consentire la perquisizione di un sistema informatico o telematico, anche se protetto da misure di sicurezza, quando vi è fondato motivo di ritenere che in essi si trovino dati, informazioni, programmi informatici o tracce comunque pertinenti al reato (analoga possibilità di perquisizione è riconosciuta alla polizia giudiziaria dall’art. 352, comma 1-bis, CPP). L’art. 254-bis CPP nel disciplinare il sequestro di dati informatici presso fornitori di servizi informatici, telematici e di telecomunicazioni, consente all’autorità giudiziaria di stabilire, per esigenze legate alla regolare fornitura dei servizi, che l’acquisizione avvenga mediante copia dei dati su adeguato supporto, con una procedura che assicuri la conformità dei dati acquisiti a quelli originali e la loro immodificabilità, ordinandosi, in questo caso, al fornitore dei servizi, di conservare e proteggere adeguatamente i dati originali.

L’art. 256, comma 1, CPP estende l’obbligo di consegna all’autorità giudiziaria richiedente ai «dati, le informazioni e i programmi informatici, anche mediante copia di essi su adeguato supporto». L’art. 260, comma 2, CPP, che originariamente stabiliva la possibilità di estrarre copia dei documenti e far eseguire fotografie o altre riproduzioni delle cose sequestrate che possono alterarsi o che sono di difficile custodia, prescrive ora che quando si tratta di dati, di informazioni o di programmi informatici, la copia deve essere realizzata su adeguati supporti, mediante procedura che assicuri la conformità della copia all’originale e la sua immodificabilità, potendosi, in tali casi, disporre la custodia degli originali anche in luoghi diversi dalla cancelleria o dalla segreteria.

L’art. 354, comma 2, CPP, nel disciplinare gli accertamenti urgenti da parte della polizia giudiziaria, prevede, riguardo ai dati, alle informazioni e ai programmi informatici o ai sistemi informatici o telematici, l’adozione di misure tecniche o l’imposizione delle prescrizioni necessarie ad assicurarne la conservazione e ad impedirne l’alterazione e l’accesso, stabilendo altresì che, ove possibile, la medesima polizia giudiziaria provveda alla loro immediata duplicazione su adeguati supporti, mediante una procedura che assicuri la conformità della copia all’originale e la sua immodificabilità.

Come si evince dal contenuto delle disposizioni appena richiamate, esse fanno riferimento a dati, informazioni e programmi nella loro essenza fisica e senza riferimento ai contenuti, prevedendo la possibilità di ricercarli mediante perquisizione del sistema informatico o telematico che li potrebbe contenere. Altro elemento comune che si rinviene nelle citate disposizioni è il riferimento alla possibilità di estrazione di copie dei dati secondo procedure, peraltro non tipizzate, che ne assicurino la conformità all’originale e la immodificabilità. Invero, come emerge con chiarezza dal complesso delle disposizioni codicistiche dianzi richiamate, l’estrazione della copia con modalità tali da assicurarne la conformità all’originale e la sua immodificabilità è prevista allo scopo di preservare il dato acquisito isolandolo dal sistema che lo contiene, impedendone la successiva elaborazione, trasformazione o eliminazione, sempre possibile anche senza il diretto intervento di un operatore, ad esempio, se precedentemente programmata.

Si tratta, in altre parole, di un riferimento alla c.d. copia-immagine, che riproduce il dato duplicato nelle stesse condizioni in cui si trova al momento della sua acquisizione, poiché ciò che può rilevare, per le finalità di indagine che giustificano l’apprensione, non è necessariamente il solo contenuto informativo del dato, ma il dato stesso e il suo stato in un determinato periodo, potendo, ad esempio, con riferimento ad un semplice file, risultare di interesse investigativo la data di creazione, quella di apertura, di esecuzione o dell’ultima modifica, la proprietà, i permessi, eventuali codici di controllo, la posizione all’interno di una determinata cartella o gruppo di cartelle etc.

L’acquisizione della copia con le modalità indicate, peraltro, consente l’estrazione di ulteriori copie immagine e la loro successiva manipolazione per i necessari accertamenti tecnici senza l’inevitabile trasformazione o modifica delle condizioni originali che si avrebbe operando diversamente, rendendo peraltro detti accertamenti ripetibili successivamente. In tali casi, dunque, i dati individuati attraverso la perquisizione vengono sottoposti a sequestro.

Va anche osservato che la concreta esecuzione delle attività finalizzate all’acquisizione del dato va calibrata secondo le specifiche esigenze del caso (oltre che nell’ovvio rispetto del principio di proporzionalità), poiché la acquisizione, ad esempio, del mero contenuto testuale di un documento conservato in formato elettronico richiede modalità diverse e presenta minore complessità rispetto alle attività di acquisizione del dato da effettuarsi mantenendolo inalterato o su un computer acceso e funzionante, per evitare, ad esempio, che lo spegnimento disperda informazioni sulla connessione o l’accesso ad una rete o ad un determinato sistema remoto, oppure nel caso in cui la sola ricerca del dato possa alterarne i contenuti.

Nel fare riferimento a tali casi si è sostenuta, in dottrina ed anche nella giurisprudenza richiamata, la sostanziale identità tra l’estrazione della copia dei dati informatici ed il sequestro. Ma tale assunto, se posto in termini così drastici, non pare pienamente condivisibile e richiede alcune precisazioni. Le disposizioni in precedenza richiamate sono finalizzate all’individuazione delle concrete modalità di estrazione e conservazione in considerazione delle caratteristiche delle cose da sequestrare e della suscettibilità delle stesse a repentine trasformazioni o, come nel caso dell’art. 254-bis CPP, all’assicurazione della continuità del servizio.

Significativo, a tale proposito, risulta l’art. 260 CPP, il quale, così come dispone che l’AG fa estrarre copia dei documenti e fa eseguire fotografie o altre riproduzioni delle cose sequestrate che possono alterarsi o che sono di difficile custodia, le unisce agli atti e fa custodire in cancelleria o segreteria gli originali dei documenti, altrettanto prevede, per ciò che concerne i dati informatici, stabilendo le specifiche modalità di copia e distinguendo quest’ultima dagli originali, la cui custodia può essere disposta anche in luoghi diversi.

I riferimenti alla copia dei dati ed al mantenimento della loro originaria integrità introdotti dalla L. 48/2008 riguardano le cosiddette copie-immagine (la cui integrità ed identità all’originale è assicurata dalla funzione crittografica di “hash” alla stregua di un’impronta) ed è evidente, dal momento che, riguardando la legge suddetta la criminalità informatica, l’acquisizione e conservazione del dato informatico deve assicurare la possibilità di successive analisi nello stato e nelle condizioni nelle quali esso si trovava all’interno del sistema attraverso la creazione, appunto, di un “clone”.

Può peraltro verificarsi l’ipotesi in cui tale necessità non sia avvertita, essendo sufficiente la mera copia del contenuto del dato informatico mediante estrapolazione dello stesso in una copia priva delle suddette caratteristiche.

Una simile distinzione è presente nel DLGS 82/2005 (Codice dell’amministrazione digitale) laddove, nell’art. 1, oltre a distinguere, al comma 1, il “documento informatico” dal “documento analogico” (rispettivamente, nel comma 1, lettere p e p-bis) a seconda che la rappresentazione di atti, fatti o dati giuridicamente rilevanti sia o meno inserita in un documento elettronico che ne contiene la rappresentazione informatica, definisce, nella lett. i-quater, la “copia informatica” di documento informatico («il documento informatico avente contenuto identico a quello del documento da cui è tratto su supporto informatico con diversa sequenza di valori binari») e la distingue dal “duplicato informatico” di cui alla lettera i-quinquies («il documento informatico ottenuto mediante la memorizzazione, sullo stesso dispositivo o su dispositivi diversi, della medesima sequenza di valori binari del documento originario»), operando, peraltro, una analoga distinzione tra “copia informatica di documento analogico” e “copia per immagine su supporto informatico di documento analogico”, laddove la prima è «il documento informatico avente contenuto identico a quello del documento analogico da cui è tratto» e la seconda «il documento informatico avente contenuto e forma identici a quelli del documento analogico da cui è tratto».

Va tuttavia posto in evidenza che, sulla base delle disposizioni in precedenza esaminate e delle diverse esigenze investigative che rendono necessario il sequestro, la distinzione tra “copia-immagine” (o “clone”) e semplice copia non sembra sufficiente per definire i termini della questione, dovendosi anche distinguere i casi in cui la apprensione riguardi, essenzialmente, il dato informatico in relazione al suo contenuto, in quanto rappresentativo di atti o fatti, dunque quale vero e proprio documento, la cui particolarità è data soltanto dalle modalità di acquisizione e conservazione.

In definitiva, alla luce delle considerazioni sopra esposte, riguardo ai dati ed ai sistemi informatici possono verificarsi diverse situazioni, in precedenza individuate, rispetto alle quali il sequestro probatorio, secondo le diverse necessità, può colpire il singolo apparato, il dato informatico in sé, ovvero il medesimo dato quale mero “recipiente” di informazioni.

Se, per quanto riguarda la prima ipotesi, è indubbio che l’interesse ad ottenere la restituzione va riferito all’intero apparato o sistema in quanto tale, perché specifico oggetto del sequestro, nella seconda, invece, la materiale apprensione riguarda il dato come cristallizzato nel “clone” identico all’originale e, perciò, da esso indistinguibile, perché riversato nella “copia immagine” solo per preservarne l’integrità e l’identità alle condizioni in cui si trovava al momento del prelievo e consentire successive verifiche o accertamenti tecnici. In tale caso l’interesse alla restituzione riguarda, appunto, il dato in sé e non anche il supporto che originariamente lo conteneva o quello sul quale è trasferito il “clone”, sicché la mera restituzione del supporto non può considerarsi come esaustiva restituzione della cosa in sequestro; e ciò trova conferma anche nella ricordata definizione di “sequestro” offerta dalla convenzione di Budapest.

Diverso è invece il caso in cui un atto o un documento si presenti sotto forma di dato informatico, non rilevando, in tali casi, il dato in sé, bensì quanto in esso rappresentato, come avviene per i documenti cartacei, ben potendosi distinguere, in tali casi, le copie dall’originale, che in questo caso sarà rappresentato dal documento elettronico originariamente formato ed univocamente identificabile (SU, 40963/2017).

Il reato di cui agli artt. 476, comma primo e 491-bis sussiste quando la condotta del pubblico ufficiale, in qualità di addetto al servizio di inserimento dati nel sistema di verbalizzazione informatica, alteri documenti informatici pubblici relativi alla predisposizione di verbali di accertamento di violazioni, né, a tal fine, rileva la circostanza che il sistema informatico coesista con quello cartaceo di supporto, in quanto l’art. 491-bis – che sanziona sia la falsità concernente direttamente i dati o le informazioni dotati, già in sé, di rilevanza probatoria sia quella relativa a programmi specificamente destinati ad elaborarli – riguarda tanto l’ipotesi in cui il sistema informatico sia supportato da riscontro cartaceo quanto quella in cui il sistema informatico sia del tutto sostitutivo di quello cartaceo (Sez. 5, 39311/2018).