L’acquisizione delle prove elettroniche, la voluntary disclosure dei providers in materia penale

Abstract

Il presente contributo affronta gli aspetti più importanti relativi al funzionamento della rete internet ed all’accesso transfrontaliero all’e-evidence, in relazione alla crescente dematerializzazione delle prove rilevanti ai fini di un procedimento penale ed alla non agevole acquisizione degli stessi presso ISPs situati all’estero da parte degli organi inquirenti statali. In particolare, oggetto di trattazione sono i meccanismi di voluntary disclosure messi in atto dagli Internet Service Providers statunitensi, le recenti proposte della Commissione Europea in materia di ordini europei di produzione e di conservazione dell’e-evidence in materia penale, e la proposta di un Secondo Protocollo addizionale alla Convenzione di Budapest sulla criminalità informatica, nell’ottica di una maggiore cooperazione tra gli Stati e soprattutto tra gli Stati e gli ISPs.

This paper aims to contribute with the most important aspects related to the functioning of the internet network and cross-border access to e-evidence, in relation to the growing dematerialization of evidences relevant for the purposes of criminal proceeding and the state investigative body difficulties in their acquisition from IPSs located abroad. In particular, the subject of discussion are the voluntary disclosure mechanisms implemented by the US Internet Service Providers, the recent proposals of the European Commission on the subject of European production and preservation orders for e-evidence in criminal matters, and the proposal for a Second Protocol in addition to the Budapest Convention on Cybercrime, by considering increased cooperation among nations and above all, between Nations and IPSs.

 

Sommario

1. Introduzione alle fonti di prova digitali

2. Il funzionamento della rete internet

3. Gli strumenti a disposizione degli inquirenti

4. I problemi relativi alla ricerca dell’e-evidence

5. L’acquisizione di fonti di prova digitali sulle piattaforme statunitensi

6. Le tipologie di dati acquisibili dagli ISPs ed i meccanismi di voluntary disclosure

7. L’ordine di produzione o di conservazione delle prove elettroniche

8. Il Protocollo addizionale alla Convenzione di Budapest

9. Conclusioni e spunti critici

 

Summary

1. Introduction to digital evidence sources

2. The functioning of the internet network

3. The tools available to investigators

4. The problems related to the search for e-evidence

5. The acquisition of sources of digital evidence on US platforms

6. The types of data that can be acquired by ISPs and the voluntary disclosure mechanisms

7. The production and preservation order for electronic evidence

8. The Additional Protocol to the Budapest Convention

9. Conclusions and critics ideas

 

1. Introduzione alle fonti di prova digitali

Le fonti di prova digitali, ossia quelle fonti di prova contenute all’interno dei sistemi informatici, hanno acquisito col tempo un’importanza sempre più pregnante all’interno dei procedimenti penali.

Per fonti di prova digitali, tecnicamente, parliamo di files che contengono testi, suoni o immagini o che registrano gli eventi occorsi nei sistemi, oppure tracce lasciate dall’utilizzo dei sistemi; più esattamente, prove «digitali», in quanto originate da una manipolazione elettronica di numeri[1].

La digitalizzazione della società, e la contestuale diffusione delle piattaforme sociali, ha portato conseguentemente ad un incremento dell’utilizzo di queste tecnologie anche per finalità illecite. Il diritto, ormai, ha una forte componente digitale che deve essere acquisita e analizzata; si pensi ai reati eventualmente informatici[2], ai reati necessariamente informatici[3], ed agli strumenti utilizzati per la conservazione di dati rilevanti e suscettibili di assumere valenza probatoria processuale.

Con il tempo, dunque, il legislatore ha avvertito la necessità di intervenire per garantire l’interoperabilità dei meccanismi previgenti di indagine, con i sistemi informatici. Intervento non poco problematico, stante la continua evoluzione degli stessi.

Il Codice dell’Amministrazione digitale definisce «il documento informatico come il documento elettronico che contiene la rappresentazione informatica di atti, fatti o dati giuridicamente rilevanti»[4]; mentre il Regolamento eIDAS definisce documento elettronico «qualsiasi contenuto conservato in forma elettronica, in particolare testo o registrazione sonora, visiva o audiovisiva»[5].

In materia penale, di fondamentale importanza è stata la legge 18 marzo 2008 n. 48, di recepimento in Italia della Convenzione di Budapest del Consiglio d’Europa sulla Criminalità informatica[6], il primo intervento transnazionale volto a risolvere uno dei maggiori - ed ancora attuali - problemi legati alle caratteristiche delle prove digitali, ossia la possibilità di trovarsi su server o devices dislocati in diverse parti del mondo, con notevoli problemi per gli organi inquirenti nazionali.

In materia di prova elettronica rivestono una notevole importanza gli studi di Eoghan Casey, il quale definisce la e-evidence come «un qualsiasi dato memorizzato o trasmesso usando un computer che supporta o respinge una teorica su come è avvenuto un fatto offensivo o che individua elementi critici dell’offesa come l’intenzionalità o l’alibi»[7].

L’interprete e gli organi inquirenti sono chiamati, dunque, a risolvere problemi sempre più complessi nello svolgimento dell’attività di indagine, di ricerca, e di assunzione della prova elettronica spesso a carattere transfrontaliero, posti dal carattere immateriale dei dati, dalla facile trasferibilità da un server ad un altro[8], dall’utilizzo del cloud computing, e dal passaggio della stessa tra differenti providers[9].

All’interno del cloud computing rientrano “una serie di tecnologie informatiche che permettono di elaborare archiviare e memorizzare dati grazie all’utilizzo di risorse hardware e software distribuite nel web”[10]. In altre parole sono gli spazi virtuali che un utente può utilizzare a distanza senza disporne fisicamente (tra i più diffusi, Dropbox, Google Drive, One Drive, iCloud). In relazione a tali servizi, al problema dell’allocazione dei dati su server dislocati ipoteticamente in tutto il mondo, si aggiunge il possibile spacchettamento dei dati e la loro criptazione.

 

2. Il funzionamento della rete internet

La rete internet è vastissima ed è composta da innumerevoli componenti.

Da quando Tim Berners-Lee e il suo team di ricercatori resero disponibile la prima pagina web al di fuori del CERN, oggi contiamo quasi 2 miliardi di siti e più di 4 miliardi di utenti. Ogni sessanta secondi, solo per fare qualche esempio, vengono inviate 160 milioni di mail, gli utenti di WhatsApp condividono 41 milioni di messaggi, su Facebook vengono caricate 147.000 foto e su Youtube vengono caricate 500 ore di video.

Dunque, prima di capire come acquisire le e-evidence sulla rete internet, occorre approfondire l’aspetto tecnico ad esse sottostante; ossia individuare materialmente dove trovarle e con quali mezzi.

L’evoluzione degli strumenti informatici ci porta a parlare, oggi, di devices in grado di connettersi alla rete internet. Ogni device lascia delle tracce quando accede ad essa, e questi eventi informatici sono tracciabili mediante il c.d. tracing.

È evidente, però, che tale attività può essere limitata dall’anonimità che garantisce a volte la rete internet.

Ogni device dà e riceve connessione: per connettersi alla rete chiede una connessione ad un Internet Service Provider (ISP); quest’ultimo, nel fornirgli una connessione, gli assegna un indirizzo IP. Mediante tale indirizzo il device naviga sulla rete internet fino ad accedere al server di destinazione.

Nello specifico, per indirizzo IP (Internet Protocol address) intendiamo un’etichetta numerica che identifica univocamente un dispositivo (host) collegato ad una rete informatica. È una informazione molto importante che si ricava dal funzionamento della rete internet, e viene assegnata ai singoli ISP da un Ente regolatore internazionale (l’ICANN)[11]. Di conseguenza l’indirizzo IP è un’informazione pubblica, facilmente ricavabile mediante consultazione di appositi registri.

Per Internet Service Provider, invece, si intende quell’organismo che fornisce (to provide, fornire) un servizio internet. All’interno di questo insieme molto generico, è possibile individuare diverse tipologie di ISP, a seconda del tipo di servizio offerto. Il Network Provider fornisce le infrastrutture di comunicazione; l’Access Provider consente all’utente di collegarsi alla rete internet; il Service Provider offre all’utente ulteriori servizi come la posta elettronica; l’Host Provider consente all’utente di utilizzare lo spazio web del proprio server connesso alla rete internet; infine, il Content Provider fornisce informazioni ed opere di qualsiasi genere caricandole sui propri server. Com’è facilmente intuibile, non è facile catalogare gli ISPs, in quanto, di solito, un organismo fornisce molteplici servizi, impedendo all’interprete una sua precisa catalogazione[12].

Il device chiede l’accesso alla rete internet all’Access Provider, e l’ISP assegna all’utente un indirizzo IP. L’indirizzo IP può essere statico o dinamico: il primo si ottiene quando l’ISP fornisce all’utente sempre il medesimo indirizzo quando viene interrogato per accedere alla rete (è più adatto alle grandi società); il secondo, più frequente, si ottiene quando l’ISP fornisce all’utente un indirizzo IP che segue l’utente durante tutta la sua navigazione in rete, ma che ritorna nella disponibilità dell’ISP quando l’utente si disconnette dalla stessa; e che sarà, poi, fornito ad altri utenti.

Ciò che qui interessa, però, è che questo indirizzo IP accompagna l’utente durante tutto l’arco della sua navigazione in rete, venendo memorizzato in relazione a tutte le attività che egli compie (e su tutti i devices con cui interagisce).

Un’altra importante nozione da tenere a mente è quella di logging, definibile come l’insieme delle attività legate alla raccolta e all’analisi dei dati relativi ad una serie di eventi informatici; una sorta di registro in cui è tenuta traccia delle attività relative ad un device.

Il logging è fondamentale per il tracing, e per l’individuazione degli indirizzi IP degli utenti che navigano in rete. Ma ciò che più importa, è che anche l’ISP che fornisce l’accesso alla rete o ad un servizio, conserva traccia degli accessi mediante l’utilizzo del logging: ciò consente di risalire alla possibile identità del soggetto che ha commesso eventuali crimini mediante la rete internet, alla data ed all’orario. Gli inquirenti, infatti, non dovranno far altro che notificare all’ISP un decreto di acquisizione dell’indirizzo IP ritrovato nel registro di logging oggetto di indagini[13].

Il file di log è un dato personale, infatti la richiesta di tali files da parte degli organi inquirenti agli ISPs è disciplinata dall’art. 132 del d.lgs. 196/2003 (il Codice in materia di dati personali)[14]. Ai sensi della norma citata, i dati relativi al traffico telefonico devono essere obbligatoriamente conservati dall’ISP per ventiquattro mesi; mentre i dati relativi al traffico telematico (ma non i contenuti delle comunicazioni), devono essere conservati dall’ISP per dodici mesi dalla data della comunicazione.

Entro tali termini i dati possono essere acquisiti presso il fornitore con decreto motivato del pubblico ministero.

 

3. Gli strumenti a disposizione degli inquirenti

Gli inquirenti hanno la possibilità di accedere negli spazi digitali di pertinenza dei privati e dei fornitori di servizi informatici in base a modalità ben determinate.

Le prove digitali possono essere raccolte in due modi: in loco oppure a distanza.

La raccolta si effettua in loco quando le prove digitali sono da reperire su specifici supporti materiali situati all’estero; in questi casi la raccolta delle prove spetta alle autorità locali, le quali devono offrire la più ampia collaborazione[15].

La raccolta delle prove digitali a distanza si verifica quando non è possibile o necessario recarsi in loco e quindi ogni qual volta l’autorità giudiziaria può svolgere questa attività a distanza dal proprio territorio, senza la necessità di un intervento fisico da parte dell’autorità straniera: spesso, infatti, il sopralluogo e il repertamento possono avvenire anche in modo virtuale[16].

Nel nostro Paese il mezzo investigativo utilizzato dal pubblico ministero per ottenere la prova digitale dall’ISP che abbia una sede di stabilimento o un rappresentante legale sul territorio italiano, è l’ordine di esibizione ai sensi dell’art. 256 c.p.p.

Le indagini informatiche, poi, sono configurate come ispezioni, perquisizioni e sequestri: mezzi di ricerca della prova che possono essere disposti anche dal pubblico ministero o, nella flagranza del reato o nei casi d’urgenza, dalla stessa polizia, i cui atti vanno poi convalidati dal pubblico ministero.

Ai sensi dell’art. 244, comma 2, c.p.p., in materia di ispezione, «L’autorità giudiziaria può disporre rilievi segnaletici, descrittivi e fotografici e ogni altra operazione tecnica, anche in relazione a sistemi informatici o telematici, adottando misure tecniche dirette ad assicurare la conservazione dei dati originali e ad impedirne l’alterazione»[17]. Tale mezzo di ricerca parrebbe più utile in caso di ricerca generica e superficiale all’interno di un sistema informatico, che si limiti alle caratteristiche esteriori.

Ai sensi dell’art. 247, comma 1-bis, c.p.p., in materia di perquisizioni, «Quando vi è fondato motivo di ritenere che dati, informazioni, programmi informatici o tracce comunque pertinenti al reato si trovino in un sistema informatico o telematico, ancorché protetto da misure di sicurezza, ne è disposta la perquisizione, adottando misure tecniche dirette ad assicurare la conservazione dei dati originali e ad impedirne l’alterazione»[18]. Com’è noto, la richiesta di raccolta delle prove digitali all’estero è soggetta ai presupposti di ammissibilità dello Stato di emissione (lex fori). Pertanto, per le richieste avanzate dall’Italia, devono operare i presupposti interni delle perquisizioni, delle ispezioni e dei sequestri informatici, cioè - ex art. 247 c.p.p. - un’autorizzazione o, almeno, una convalida da parte del PM, in presenza del fondato motivo di ritenere che determinati dati informatici rilevanti per il procedimento si trovino ubicati in un certo luogo.

In materia di corrispondenza, l’art. 254, comma 1, c.p.p. prevede che «Presso coloro che forniscono servizi postali, telegrafici, telematici o di telecomunicazioni è consentito procedere al sequestro di lettere, pieghi, pacchi, valori, telegrammi e altri oggetti di corrispondenza, anche se inoltrati per via telematica». Mentre l’art. 254 bis c.p.p. disciplina il sequestro di dati informatici presso fornitori di servizi informatici, telematici e di telecomunicazioni. La metodologia di acquisizione è volta a creare una copia su adeguato supporto con una procedura che sia in grado di assicurare la conformità dei dati acquisiti a quelli originali e la loro immodificabilità. Sotto il profilo soggettivo la norma si riferisce ai fornitori di servizi informatici, telematici o di telecomunicazioni e pertanto restano esclusi tutti gli altri soggetti che non rientrano in questa categoria (per esempio aziende private, banche, ecc.).

Lo standard utilizzato per la perquisizione e il sequestro di prove digitali, è richiesto anche per i dati attinenti al traffico, ossia per le prove digitali relative alle comunicazioni avvenute tramite sistemi informatici. In tale ambito rientrano, ad esempio, gli indirizzi IP che permettono di determinare i tempi e la fonte degli ingressi nei sistemi, e risalire ai devices da cui gli ingressi hanno avuto origine.

I mezzi di ricerca della prova e il sequestro in ambiente di cloud computing sono particolarmente complessi. Infatti è frequente che gli operatori non conoscano in quali server siano memorizzati i files d’interesse e potrebbero essere impossibilitati a ispezionare, perquisire o sequestrare un account. Diventa allora fondamentale per gli operatori individuare esattamente “cosa” cercare e “con quali modalità” acquisire ciò che si desidera al fine di consentire la ripetibilità dell’operazione garantendo la genuinità degli elementi di prova, oppure procedere con le modalità delle attività irripetibili ex art. 360 c.p.p.

Per leggere l'articolo integralmente CLICCA QUI!!