I dispositivi informatici che ci circondano – dagli smartphone ai tablet, dai personal computer ai server e finanche in sistemi complessi quali internet e cloud – possono ormai essere considerati non solo strumenti di comunicazione e lavoro, ma veri e propri prolungamenti della nostra identità e della nostra esistenza.
Indice degli argomenti
Dispositivi digitali, memoria personale e bilanciamento dei diritti
Ogni click, ogni messaggio, ogni ricerca online, ogni documento salvato contribuisce a creare (spesso a nostra insaputa) una “memoria digitale” che, per la sua vastità e per la sua intrinseca natura, racchiude un universo di informazioni personali e professionali di natura eterogenea. Questa onnipresenza e l’importanza “strategica” del dato digitale ha radicalmente ridefinito anche gli scenari investigativi, rendendo i dispositivi informatici scrigni di elementi probatori spesso di cruciale importanza per l’accertamento di fatti di reato e l’individuazione dei responsabili di cui l’investigatore non può più fare a meno nel proprio processo di analisi e ricostruzione degli eventi. In questo contesto, l’attività investigativa si trova a confrontarsi ormai quotidianamente, con una sfida complessa: la necessità di acquisire dati digitali, bilanciando l’esigenza di repressione dei reati con la tutela dei diritti fondamentali dell’individuo.
Ispezione e perquisizione: operazioni simili, scopi diversi
È in questo delicato equilibrio che si inseriscono e si distinguono due operazioni processuali fondamentali: l’ispezione informatica e la perquisizione informatica. Nonostante queste “operazioni” siano entrambe finalizzate alla ricerca della prova all’interno di un dispositivo digitale, e possano apparire superficialmente simili nella loro intrusione nel “mondo” del dato digitale, esse presentano elementi distintivi fondamentali sotto il profilo delle garanzie difensive, dei presupposti normativi e dell’intensità dell’ingerenza nella sfera privata.
Proprio queste differenze sono meritevoli di un approfondimento, soprattutto laddove a cagione di una terminologia impropria si tende a confondere i due istituti o, meglio, laddove le operazioni richieste di ricerca della prova (soprattutto informatica) vengano a configurarsi non così chiaramente rispetto i presupposti, i requisiti e le garanzie previste da questi due “mezzi di ricerca della prova”. La corretta qualificazione giuridica dell’intervento sul dispositivo informatico è tutt’altro che una mera questione terminologica o di “lana caprina”. Essa incide profondamente sulla legittimità dell’acquisizione probatoria e, di conseguenza, sulla tenuta di quella “prova” (la pistola fumante) nel processo penale.
Errori di qualificazione e inutilizzabilità della prova
Invero, un’errata qualificazione o un’esecuzione non conforme alle prescrizioni normative può comportare l’inutilizzabilità della prova acquisita, con gravi ripercussioni sull’esito dell’indagine e del giudizio. Il punto focale della questione risiede nella necessità di rispettare i principi costituzionali che tutelano beni giuridici di primaria importanza: in primis, la libertà personale (art. 13 Cost.), che si estende alla libertà di autodeterminazione informativa; l’inviolabilità del domicilio (art. 14 Cost.), concetto che la giurisprudenza ha progressivamente esteso a comprendere anche il “domicilio digitale” rappresentato dal dispositivo informatico; e, non da ultimo, la libertà e segretezza della corrispondenza e di ogni altra forma di comunicazione (art. 15 Cost.), principio cardine nell’era in cui gran parte delle interazioni avviene tramite piattaforme digitali e che anche di recente ha visto importanti prese di posizione da parte della Corte Costituzionale e Corte di Cassazione, proprio su questo delicatissimo tema[1].
Norme insufficienti e ruolo evolutivo di giurisprudenza e dottrina
Gli organi legislativi, consapevoli della delicatezza e specificità di questo tema, hanno tentato e stanno tentando di fornire un quadro normativo, seppur non sempre esaustivo, per disciplinare queste forme di accesso, pur nell’ulteriore consapevolezza che la rapida evoluzione tecnologica e la crescente complessità dei sistemi informatici hanno spesso anticipato e superato la capacità del diritto di fornire risposte esaustive alle problematiche e criticità che ormai “quotidianamente” emergono.
Ciò, come abbiamo visto, poco sopra, ha reso la giurisprudenza e la dottrina attori protagonisti nel delineare i confini e le modalità operative di ispezioni e perquisizioni informatiche, cercando di interpretare le norme esistenti (e spesso risalienti nel tempo) alla luce dei principi costituzionali e delle nuove sfide ed evoluzioni tecnologiche.
Questo elaborato si propone allora, di analizzare la distinzione tra ispezione e perquisizione del dispositivo informatico, evidenziando gli elementi che le rendono azioni talvolta molto simili nella loro apparenza, ma profondamente diverse nella loro sostanza giuridica. La finalità non è quella di fornire un quadro esaustivo dei due istituti, capace di orientare gli “addetti ai lavori” per una corretta amministrazione della giustizia nell’era digitale, garantendo al contempo la piena tutela dei diritti fondamentali dell’individuo di fronte all’invasività dell’indagine penale.
Il contesto normativo e la tutela costituzionale
Le due attività investigative in esame non rappresentano mere tecniche di acquisizione probatoria, ma, come abbiamo già anticipato, interventi che incidono profondamente su diritti fondamentali della persona, la cui garanzia è presidio primario dell’ordinamento.
Il punto di partenza di questa analisi è il quadro normativo del codice di procedura penale (c.p.p.), che, pur concepito in un’epoca antecedente all’esplosione della digitalizzazione, ha dovuto adattarsi, anche tramite riforme[2] e interpretazioni giurisprudenziali evolutive, alla complessità del dato elettronico.
I mezzi di ricerca della prova, disciplinati nel Libro III del c.p.p., delineano un sistema articolato volto a reperire elementi utili all’accertamento dei fatti, ma sempre nel rispetto delle prerogative individuali.
Libertà personale, domicilio digitale, segretezza delle comunicazioni
La chiave di lettura per l’applicazione di queste norme è costituita dai principi enunciati nella Costituzione.
Nello specifico, per quanto qui in trattazione e interesse, assumono rilievo dirimente:
- l’articolo 13 che sancisce l’inviolabilità della libertà personale. Sebbene tradizionalmente riferita alla libertà fisica, la giurisprudenza costituzionale[3] ha progressivamente esteso il suo ambito di protezione ad includere anche la sfera dell’autodeterminazione informativa e della riservatezza. L’intrusione in un dispositivo informatico, potenziale serbatoio di pensieri, abitudini e interazioni private, può configurare una compressione di questa libertà in senso lato, richiedendo dunque precise garanzie.
- l’articolo 14 della Costituzione, che tutela l’inviolabilità del domicilio. Il concetto di “domicilio” ha subito una significativa evoluzione interpretativa nell’era digitale. La Corte di Cassazione in questa pronuncia[4], ma anche in numerose altre, ha riconosciuto che il dispositivo informatico, nella misura in cui contiene dati relativi alla vita privata dell’individuo e ne consente lo svolgimento in forma riservata, possa essere assimilato a un’estensione del domicilio fisico, configurandosi come un “domicilio digitale” o “virtuale”. Questa equiparazione impone che l’accesso a tali “luoghi” immateriali sia sottoposto alle medesime garanzie, quali la riserva di legge e la riserva di giurisdizione, previste per l’accesso al domicilio fisico ove opera il cd. ius excludendi alios [5](che permette al titolare di un diritto di affermare la propria signoria sul bene o sulla posizione giuridica, respingendo le ingerenze altrui).
- l’articolo 15 della Costituzione, che salvaguarda la libertà e segretezza della corrispondenza e di ogni altra forma di comunicazione. Questo principio assume un’importanza cruciale nel contesto digitale, dove le comunicazioni avvengono ormai prevalentemente attraverso piattaforme elettroniche (e-mail, messaggistica istantanea, social network)[6]. Qualsiasi attività investigativa che comporti l’accesso a tali flussi comunicativi, archiviati o in transito, deve rispettare le stringenti garanzie previste da questa disposizione costituzionale, che ammette limitazioni solo per atto motivato dell’autorità giudiziaria e con le garanzie stabilite dalla legge.
Disposizioni speciali del c.p.p. sul dato digitale
La specificità intrinseca del dato digitale e il suo profondo legame con i diritti fondamentali dell’individuo hanno catalizzato l’intervento del legislatore, sebbene con un ritardo rispetto all’incessante progresso tecnologico, sfociato nell’integrazione di disposizioni ad hoc all’interno del codice di procedura penale (c.p.p.). Tra queste, mi limito qui a segnalare: l’articolo 254-bis c.p.p., concernente l’acquisizione di documenti e dati informatici, e le normative che disciplinano l’intercettazione di comunicazioni informatiche o telematiche (articoli 266 e seguenti c.p.p.), ma senza dimenticare ovviamente quelle integrazioni e modifiche operate attraverso la Legge 48/2008 già sopra citata, (cfr. nota 2), per la loro più stretta connessione con il tema qui in trattazione.
Equilibrio tra efficacia penale e garanzie individuali
Tali previsioni normative incarnano lo sforzo di armonizzare la legittima esigenza investigativa di reperire elementi probatori indispensabili per l’accertamento dei reati con l’ineludibile imperativo di salvaguardare i diritti fondamentali della persona.
In tal senso, esse rappresentano un punto di equilibrio tra l’efficacia dell’azione penale e la garanzia delle libertà individuali nell’era digitale. Questo equilibrio è il cuore pulsante della discussione sulle ispezioni e perquisizioni informatiche: da un lato, l’ordinamento non può rinunciare agli strumenti necessari per combattere la criminalità che sempre più si annida nel cyber-spazio; dall’altro, non può abdicare alla sua funzione garantista, esponendo i cittadini a ingerenze arbitrarie o sproporzionate nella loro sfera privata digitale.
La corretta interpretazione e applicazione delle norme, alla luce dei principi costituzionali, diviene pertanto il discrimine tra un’attività investigativa legittima ed efficace e una violazione dei diritti fondamentali, esposta invece a censure.
L’Ispezione informatica: natura e limiti
L’ispezione rappresenta un mezzo di ricerca della prova di fondamentale importanza, delineato dall’articolo 244 del c.p.p., la sua essenza risiede nella verifica e descrizione di tracce ed effetti materiali del reato su persone, luoghi o cose[7]. Ha natura ricognitiva e descrittiva: si osserva, si verifica la presenza di determinati elementi, si descrivono le loro caratteristiche e il loro stato, senza che tale attività implichi una ricerca attiva e approfondita o una manipolazione troppo invasiva.
Quando spostiamo questo principio nel dominio digitale, emerge quella che possiamo definire “l’ispezione informatica”. Questa si configura, pertanto, come l’attività volta a identificare e descrivere i dati presenti su un supporto digitale, come computer, smartphone, tablet o dispositivi di archiviazione esterni.
Tuttavia, per evitare “confusioni” è cruciale sottolineare che tale ispezione non implica una ricerca indiscriminata e invasiva.
Invero, l’obiettivo primario non è la scoperta di dati occulti o l’estrazione massiva di informazioni, con riserva di una successiva analisi ed approfondimento, bensì la verifica della presenza di specifici elementi pertinenti all’indagine.
Si pensi all’accertamento della presenza di una certa tipologia di file (documenti, immagini, video), della loro dimensione, delle date di creazione o modifica, o della semplice presenza di determinate applicazioni o directory. Ma anche “l’ispezione” di un computer per verificare l’installazione di un software specifico o l’esistenza di una specifica cartella con un nome correlato al reato; oppure la mera constatazione della presenza di dispositivi di archiviazione collegati o la pagina WEB aperta in quel preciso istante.
Volendo approfondire la nostra analisi potremo prendere in considerazione la “metodologia” dell’ispezione informatica, schematizzandola nei seguenti punti salienti e con la premessa che questa è solo un esempio chiarificatore che spero possa aiutare nella disamina. In ogni caso va ricordato che l’esecuzione di un’ispezione informatica, sebbene meno complessa di altre attività forensi digitali, richiede comunque una metodologia rigorosa per garantire l’integrità del dato, la validità processuale ed il rispetto delle garanzie:
- identificazione del target: ovviamente il primo passo consiste nell’identificare con precisione il bersaglio, ossia il dispositivo oggetto della nostra ispezione (es. computer, smartphone, tablet, hard disk esterni, pen-drive etc.) in questa fase sarà fondamentale documentarne il modello, il numero di serie e qualsiasi altra informazione utile alla sua completa ed univoca identificazione.
- verifica dello stato del dispositivo: a questo punto occorre verificare lo “stato del dispositivo” iniziando un operazione di descrizione che rappresenta L’inizio dell’ispezione, la descrizione dello stato dovrà essere quanto più minuziosa e precisa non limitandosi solo alla canonica individuazione di dispositivo acceso/spento ma spingendosi ad una descrizione capace di compendiare ogni utile dettaglio dello “stato” di quel dispositivo (posizione, eventuali danni, etc.) .Se il dispositivo è acceso, si valuta la possibilità di effettuare un’ispezione più approfondita come segue.
- accesso al dispositivo ed eventuale navigazione non invasiva: l’attività si concentra sull’accesso alle aree liberamente navigabili del sistema operativo con le modalità richieste dal codice (cfr. “grassetto” in nota 7). Questo include la visualizzazione delle directory principali, la verifica dei nomi dei file e delle cartelle, la consultazione delle proprietà dei file (dimensioni, date di creazione/modifica/ultimo accesso), e la semplice apertura di file la cui esistenza e posizione sono già note. È evidente come tale operazione non preveda per esempio la scansione di aree non indicizzate, la decifrazione di file crittografati o il recupero di dati cancellati, tantomeno l’apprensione massiva di dati (l’intero disco) onde consentire in una fase successiva una più minuziosa ed approfondita analisi.
- documentazione dettagliata: proprio per la sua intrinseca natura di attività “descrittiva” (l’autorità giudiziaria descrive lo stato attuale e, in quanto possibile, verifica quello preesistente, curando anche di individuare modo, tempo e cause delle eventuali modificazioni) ogni azione/passaggio dell’ispezione deve essere meticolosamente documentato, anche attraverso video, fotografie, screenshot e note descrittive di ciò che viene osservato. La documentazione deve essere sufficientemente dettagliata e completa da permettere la “riproducibilità” dell’ispezione e la sua verificabilità in sede dibattimentale.
- tecniche e strumenti: nonostante l’ispezione non richieda strumenti forensi complessi, per la sua esecuzione, l’utilizzo di software e hardware specifici può facilitare l’attività e garantire una maggiore integrità del dato, che abbiamo visto è fortemente richiesta dal legislatore nell’articolato cui ci stiamo riferendo. Per esempio, l’uso di “write blockers” hardware permette di connettere un dispositivo di archiviazione senza alterare i dati in esso contenuti, garantendo che le operazioni di ispezione/visualizzazione non modifichino il timestamp dei file. L’impiego di semplici comandi da riga di comando o interfacce grafiche standard del sistema operativo rientrano invece nell’ambito dell’ispezione, sempreché il loro utilizzo sia diretto ad assicurare la conservazione dei dati originali e ad impedirne l’alterazione.
Chi può disporre l’ispezione e limiti operativi in urgenza
Va ricordato a questo punto che l’ispezione informatica viene disposta dall’autorità giudiziaria, in particolare dal Pubblico Ministero, quale titolare dell’azione penale e direttore delle indagini, che può ordinarla con un decreto motivato.
Tuttavia, in situazioni di particolare urgenza, e per casi specifici in cui vi sia il fondato motivo di ritenere che tracce del reato possano essere disperse o alterate (in attesa dell’intervento del Pubblico Ministero), la polizia giudiziaria può procedere autonomamente a ispezione (non quella “personale”), ai sensi dell’articolo 354 c.p.p.[8] (accertamenti urgenti sui luoghi, sulle cose e sulle persone).
Tale ultima possibilità, rientrante nelle attività di iniziativa della Polizia Giudiziaria, è poi sottoposta ad un rigoroso controllo giurisdizionale e impone un’immediata verbalizzazione e comunicazione al Pubblico Ministero.
È proprio in questi casi di urgenza che la distinzione tra ispezione e perquisizione diventa più labile, sfumata, e la Polizia Giudiziaria dovrebbe agire con estrema cautela sia per non travalicare i limiti dell’ispezione, sia per non viziarne la “strategica” validità. Invero, come abbiamo meglio visto sopra una caratteristica “peculiare” dell’ispezione informatica è la sua rigorosa limitazione all’osservazione e alla descrizione. Questo significa, che in questa fase, non sono consente attività di ricerca approfondita, esplorativa e indiscriminata ossia quelle attività che invece vedremo meglio dopo, contraddistinguono la perquisizione.
Il confine sottile e quando serve perquisizione
Se ne deduce che l’ispezione non autorizza l’esecuzione di comandi che accedano a porzioni non immediatamente visibili del sistema (es. file di sistema, file temporanei, memoria RAM, aree nascoste), né l’utilizzo di software forensi per recuperare dati cancellati o frammenti di informazioni o altre operazioni parimenti “invasive”. Non è neppure permessa l’apertura indiscriminata di tutti i file presenti per valutarne la pertinenza, né tantomeno l’accesso a contenuti protetti da password senza previa autorizzazione specifica.
Il confine è però sottile, labile, troppo spesso sfumato e la giurisprudenza ha talvolta faticato a tracciarlo con nettezza.
Ad ogni buon conto la tendenza è quella di considerare l’ispezione come un’attività meno invasiva che non comporta l’alterazione del dispositivo o la copia massiva dei dati, se non strettamente per ragioni di conservazione della prova in presenza di un pericolo imminente di dispersione o modificazione.
In quest’ultimo caso, l’attività di copia, pur rientrando nell’alveo dell’ispezione d’urgenza, deve essere circoscritta all’indispensabile per assicurare la fonte di prova, senza trasformarsi in una perquisizione “mascherata”. Qualora nel corso dell’ispezione emergesse la necessità di procedere a una ricerca più approfondita o di acquisire materialmente i dati che non siano documenti cartacei direttamente leggibili o file immediatamente identificabili come corpo del reato o cosa pertinente, l’attività dovrebbe trasformarsi in perquisizione, con il rispetto delle relative garanzie.
Ciò significa che, in presenza di un fondato sospetto che il dispositivo contenga il corpo del reato o cose pertinenti e sia necessaria una ricerca attiva, occorrerà richiedere o attendere il decreto di perquisizione motivato dall’autorità giudiziaria e non procedere attraverso l’ispezione. Eloquente nel merito la sentenza in nota, che affronta un caso più comune di quel che si pensi[9].
In conclusione, l’ispezione informatica si configura come un intervento ricognitivo e limitato, finalizzato a “dare atto” della presenza di determinate tracce digitali. La sua utilità risiede nella possibilità di compiere un primo, non invasivo, accertamento, che può poi orientare la prosecuzione delle indagini verso strumenti più incisivi e garantiti, come la perquisizione, quando la natura della ricerca lo richieda e gli indizi lo consentano. Il discrimine risiede dunque nella profondità ed oggetto dell’indagine: di osservazione e descrittiva delle tracce ed effetti materiali del reato, nell’ispezione; attiva e volta al rinvenimento del corpo del reato o cose pertinenti al reato nella perquisizione.
Perquisizione informatica: ricerca attiva, copie forensi e sequestro
Se l’ispezione informatica, come illustrato sopra, si configura come un’attività ricognitiva e descrittiva, la perquisizione rappresenta invece un mezzo di ricerca della prova di ben altra natura e incisività prevedendo azioni più penetranti ed invasive.
Ai sensi dell’articolo 247 c.p.p., la perquisizione è esplicitamente finalizzata alla ricerca del corpo del reato o di cose pertinenti al reato che si trovano sulla persona o in un determinato luogo. Il verbo “ricercare” è la chiave di volta: implica un’attività attiva, esplorativa e mirata alla scoperta di ciò che non è immediatamente palese, nascosto e protetto.
La trasposizione di questo concetto al contesto digitale dà vita alla perquisizione informatica, un’operazione che si configura come l’attività di ricerca attiva e approfondita di dati, informazioni o programmi rilevanti per l’indagine all’interno di un dispositivo informatico. A differenza dell’ispezione, qui l’obiettivo non è semplicemente quello di constatare la presenza di tracce o effetti, ma di “scovare” elementi probatori potenzialmente nascosti, protetti o non immediatamente visibili, che richiedono un’interazione più profonda con il sistema.
Questo può includere la ricerca di file specifici, l’analisi di metadati, il recupero di dati cancellati, l’accesso a comunicazioni criptate, con due ulteriori differenze sostanziali e che danno il senso della profonda differenza tra i due istituti:
- il primo prevede la cd. “rimozione degli ostacoli fissi” che, se rimanda nell’ordinario alla porta chiusa, alla cassaforte etc. Nell’ambito informatico si riferisce alle password a protezione dei sistemi, alla password di accesso agli account di posta e messaggistica, ma anche a qualsiasi altro artefatto criptato e protetto da una password.
- Il secondo attiene ad un più generale “anche contro la volontà” che rimanda non solo alla mancata collaborazione della persona sottoposta alle indagini, che comunque può avere delle conseguenze (il sequestro del dispositivo, qualora non sia possibile perquisire lo stesso nel corso dell’incombente) ma anche ad una deroga “temporale” che non solo permette l’esecuzione della perquisizione al di là di una determinata fascia oraria, ma anche alla possibilità di accedere per l’esecuzione anche contro la volontà di chi ha diritto di escluderla (ricordo che la perquisizione può anche interessare terzi soggetti non necessariamente sottoposti alle indagini/indagati).
È evidente che una tale operazione implica un’intrusione ben più significativa e pregnante nella sfera privata dell’individuo rispetto all’ispezione, interessando più di uno di quei diritti costituzionalmente garantiti che abbiamo già esaminato.
Già in premessa è stato evidenziato come oggi più che un tempo, il dispositivo informatico è una vera e propria estensione della persona, un “domicilio digitale” che custodisce non solo documenti di lavoro, ma anche comunicazioni private, fotografie intime, diari digitali, cronologie di navigazione, informazioni sanitarie e finanziarie, per dirla … breve … una vita![10].
L’accesso indiscriminato o non garantito a tali contenuti equivarrebbe a violare il domicilio fisico o la segretezza della corrispondenza, con un impatto devastante sui diritti fondamentali tutelati dagli articoli 13, 14 e 15 della Costituzione, come già evidenziato.
Per questa ragione, la perquisizione informatica è circondata da garanzie rafforzate, a presidio della sua legittimità e proporzionalità. La prima e più importante garanzia è la riserva di giurisdizione e la riserva di legge. La perquisizione non può essere eseguita d’iniziativa dalla polizia giudiziaria (salvo i limitati casi di cui all’art. 352 c.p.p. per la perquisizione locale e personale, la cui applicabilità alla perquisizione informatica d’urgenza è oggetto di un fervido dibattito che sollecita un maggiore controllo giurisdizionale)[11].
Segno della presenza di garanzie rafforzate, è la necessità di un decreto motivato dell’autorità giudiziaria, specificatamente e per quanto qui in trattazione del Pubblico Ministero.
Il decreto di perquisizione deve essere specificamente motivato, indicando:
- l’oggetto della ricerca: non può essere generico, ma deve specificare con ragionevole precisione cosa si intende ricercare (es. “documenti relativi a truffe informatiche”, “comunicazioni tra Tizio e Caio via WhatsApp in un determinato periodo”). Questo è uno dei punti più delicati e particolari se da un lato è oggi appiglio di molte censure[12], dall’altro lascia sempre scoperto ed evidente come nella “sfera” della “perquisizione-informatica” sia sempre più complesso e difficile individuare a priori tale oggetto[13] nella sua fisicità, concretezza, realtà individuabile, toccabile ed apprensibile.
- I motivi che la rendono necessaria: devono essere esposti gli elementi indiziari che giustificano l’intrusione e dimostrano la sussistenza di un fumus commissi delicti e la probabilità che il corpo del reato o le cose pertinenti si trovino in quel determinato dispositivo. La mera speranza di reperire qualcosa non è sufficiente. Tutto molto facile e bello! Ma tenuto conto del punto precedente, è evidente come spiegare i motivi che rendono necessario acquisire tutto ciò che ha un “led che lampeggia” rende arduo il lavoro e la fantasia di tutti i Pubblici Ministeri.
Ad ogni buon conto e ritornando su di un piano (meno di parte)[14] resta evidente come questa rigorosa previsione garantisce che l’intervento sia proporzionato e non arbitrario, fondato su elementi concreti e non su mere congetture!
Resta fermo ed evidente come elemento fondamentale della perquisizione informatica è la possibilità, anzi la necessità, di procedere a copie forensi dei dati e, in caso di rinvenimento di elementi pertinenti al reato, al sequestro del dispositivo informatico (o di parte dei dati).
Su questo punto vorrei soffermarmi non solo per evidenziare un elemento di profonda “differenza” con l’ispezione, ma per rimarcare (qualora ve ne fosse ancora bisogno), che oggi scrivere in un verbale di perquisizione che è stata fatta la perquisizione “sul posto” di un dispositivo, è sempre più un’ importante assunzione di responsabilità; invero la complessità dei sistemi, le loro aumentate capacità di storage e l’ecosistema informatico che ormai ci circonda sempre più indefinito, sfumato ed illimitato, rende ormai una “chimera” svolgere detta operazione in loco ed in poche ore.
Di qui una sempre maggiore “necessità” di procedere da un lato ad una “preliminare” individuazione dei potenziali “target” seguita da una loro “copia integrale” (copia fisica, copia forense bit to bit, copia forense bit stream-image del dispositivo) nell’evidente necessità di poter poi “a fortiori” esaminare la stessa non solo con strumenti adeguati e maggiormente incisivi ma anche nella disponibilità dei tempi necessari (spesso, diversi giorni) ad una analisi approfondita del loro contenuto. Solo allora si potrà affermare che è stata effettuata la “perquisizione” di quel determinato dispositivo. Oggi chi affronta questi scenari non ha più a che fare con poche centinaia di megabyte ma nella migliore delle ipotesi deve affrontare spazi di centinaia di gigabyte.[15]
Ricordo, che la “copia forense” non è una semplice copia-incolla; è un’operazione tecnica complessa che crea un’immagine esatta, bit per bit, del supporto di memoria, garantendone l’integrità e l’inalterabilità. La giurisprudenza è concorde nel ritenere che la perquisizione informatica debba essere eseguita con modalità che garantiscano l’integrità e l’originalità del dato.
La sua importanza è quindi strategica, sia per assicurare “la possibilità” di una perquisizione che avverrà successivamente e che guarda caso vede quale alternativa il sequestro (quando possibile) del dispositivo riservando anche l’operazione di realizzazione della copia forense ad un momento successivo all’esecuzione dell’”incombente perquisizione”. In estrema sintesi la perquisizione si conclude o con la realizzazione sul posto della copia forense (ipotesi sempre più remota per diversi motivi: ambientali, tecnici e di volumi di storage) oppure con il sequestro del dispositivo riservando l’operazione di “copia forense” ad un momento successivo.
Sequestro probatorio e bilanciamento con l’uso del dispositivo
Ecco che, in questa seconda ipotesi, sempre più diffusa, il sequestro probatorio (art. 253 c.p.p.), che spesso consegue alla perquisizione informatica, permette l’apprensione del dispositivo o dei dati rinvenuti e la loro sottrazione alla disponibilità dell’avente diritto per finalità probatorie.
Il sequestro del dispositivo informatico, in particolare, può avere un impatto significativo sulla vita del titolare, privandolo di uno strumento essenziale per la vita quotidiana, il lavoro e le comunicazioni. Per questo motivo, la giurisprudenza ha talvolta richiesto un bilanciamento tra l’esigenza investigativa e il diritto all’uso dello strumento, suggerendo l’acquisizione di sole copie dei dati pertinenti quando possibile, o la restituzione del dispositivo dopo le operazioni di copia. Rimando a nota (11) per ogni migliore approfondimento.
Differenze riassuntive e validità probatoria
In sintesi, e per quanto qui di più stretto interesse, evidenzio, che la perquisizione informatica si distingue dall’ispezione per la sua profondità investigativa, la sua natura intrusiva e la conseguente necessità di garanzie formali e sostanziali più stringenti. Non è un mero accertamento visivo, ma un’attività di ricerca mirata che autorizza un accesso pervasivo al “domicilio digitale” e ai segreti in esso custoditi. La sua legittimità è condizionata dal rigoroso rispetto dei principi costituzionali e delle procedure codicistiche, e la sua efficacia probatoria dipende dalla scrupolosità tecnica con cui viene condotta. Solo un’esecuzione conforme ai dettami normativi e alle migliori pratiche forensi può assicurare la validità e l’utilizzabilità delle prove digitali così acquisite, tutelando al contempo i diritti fondamentali della persona nell’ambito del processo penale.
Elementi distintivi: un confine spesso sottile ma cruciale
La distinzione tra ispezione informatica e perquisizione informatica, pur essendo teoricamente chiara sul piano definitorio, manifesta tuttavia, la sua complessità e problematicità soprattutto nell’applicazione pratica e a parere del sottoscritto anche in uso non sempre corretto dei termini allorquando pur riferendosi ad uno dei due istituti in realtà idealmente ci si riferisce alle operazioni previste dall’altro.
La sottile linea di demarcazione tra le due operazioni può essere facilmente travalicata, generando incertezze applicative e, di conseguenza, rischi di nullità o inutilizzabilità della prova acquisita. Non si tratta di una mera disquisizione “accademica”, ma di una questione che incide direttamente sulla validità delle indagini e sulla tutela dei diritti fondamentali dell’individuo, come abbiamo visto marcatamente “diversi” e “diversamente interessati”.
Spero, lungi dal creare confusione nella confusione, che i punti che evidenzierò nel prosieguo possano aiutare il lettore in una propria personale disamina dopo aver messo a confronto ed in luce, per punti, le diverse implicazioni giuridiche e operative.
Finalità: ricognizione vs. ricerca attiva
Il primo e forse più dirimente elemento distintivo risiede nella finalità intrinseca dei due istituti e delle attività che ne conseguono:
- ispezione: la sua finalità è prettamente e squisitamente ricognitiva e descrittiva. L’obiettivo è individuare e descrivere tracce o effetti materiali del reato che sono già presenti o immediatamente percepibili sul dispositivo. Si tratta di un’attività di “constatazione”, non di “scoperta/discovery”. L’operatore si limita a verificare la presenza di determinati file, la struttura di directory visibili, l’installazione di software specifici, o lo stato generale del dispositivo, senza addentrarsi in una ricerca proattiva di elementi ignoti o nascosti. L’intento è documentare ciò che esiste, non cercarlo attivamente.
- perquisizione: di contro, ha una finalità di ricerca attiva e mirata. Il suo scopo è rinvenire il corpo del reato o cose pertinenti al reato che si presumono essere presenti sul dispositivo ma che non sono immediatamente visibili o accessibili, ed anche contro la volontà di colui che ha il diritto di escluderne la “scoperta”. Questo implica un’indagine esplorativa, coercitiva, la consultazione di contenuti specifici, l’analisi di dati potenzialmente nascosti o cancellati, o la navigazione approfondita all’interno del sistema e dei suoi archivi.
In conclusione, la perquisizione è volta alla scoperta di prove, non alla semplice descrizione di quelle già note o evidenti.
Intensità dell’intrusione: superficialità vs. profondità
La differente finalità, vorrei sottolineare, si riflette direttamente nell’intensità dell’intrusione nella sfera privata dell’indagato e nella manipolazione del dispositivo. Nell’ispezione è un’attività meno invasiva. Essa si limita all’osservazione superficiale del dispositivo e dei suoi contenuti accessibili senza particolari sforzi o strumenti. Non comporta la modifica dei dati, l’utilizzo di software forensi per il recupero di informazioni, l’accesso a settori protetti del sistema operativo o la copia massiva dei dati. L’alterazione del dispositivo è esclusa, a meno che non sia strettamente necessaria per la conservazione della prova in situazioni di urgenza (es. isolare il dispositivo per evitare modifiche). Di contro, nella perquisizione implica una ricerca approfondita e potenzialmente intrusiva. Essa consente l’accesso a ogni parte del dispositivo, inclusi file nascosti, aree di sistema, dati cancellati (se recuperabili), comunicazioni criptate e metadati. Questa attività può comportare (molto spesso) l’alterazione del dispositivo o, più precisamente, la creazione di copie forensi che, pur non modificando l’originale, ne costituiscono una replica a fini investigativi. La possibilità di estrarre e copiare dati in modo sistematico è un elemento chiave che ne sottolinea la natura invasiva.
Presupposti e forme
Le diverse implicazioni in termini di diritti fondamentali si traducono in presupposti e formalità procedurali differenti e più stringenti per la perquisizione. Invero l’ispezione può essere disposta con minore formalità e stringenti requisiti, pur richiedendo sempre un decreto motivato del Pubblico Ministero o del Giudice (art. 244 c.p.p.), in situazioni di urgenza e in presenza di determinate condizioni (es. pericolo di dispersione delle tracce), può essere eseguita anche dalla polizia giudiziaria d’iniziativa (art. 354 c.p.p.), con successiva convalida. La motivazione, pur necessaria, come per ogni decreto, può essere però meno dettagliata rispetto a quella richiesta per la perquisizione. Viceversa, la perquisizione richiede sempre e comunque un decreto motivato e specifico dell’autorità giudiziaria. Questo decreto deve indicare con precisione l’oggetto della ricerca (cosa si cerca e perché lo si cerca) e i motivi circostanziati che la rendono necessaria. La necessità di una motivazione analitica deriva dalla sua natura profondamente invasiva, che impone un rigoroso controllo giurisdizionale preventivo sull’opportunità e sulla proporzionalità dell’intervento. Non è ammessa una perquisizione informatica “a strascico” o “esplorativa”[16].
Garanzie difensive
Sebbene per entrambe le attività sia prevista la facoltà per l’indagato (o la persona interessata) di farsi assistere da un difensore di fiducia (artt. 355-bis, 360 c.p.p. e le norme generali sull’assistenza del difensore), le garanzie difensive sono più stringenti ed effettive, ovviamente, per la perquisizione, proprio in virtù della sua maggiore invasività. Infatti, per l’ispezione la presenza del difensore è garantita, ma la natura descrittiva dell’attività potrebbe limitare la sua capacità di intervento effettivo, non essendovi una ricerca complessa o una manipolazione approfondita da supervisionare, con la conseguenza che in una attività di mera “osservazione” da parte dell’organo che esegue l’ispezione i margini di intervento sono alquanto limitati ( .. se c’è sangue, c’è sangue!). Nella perquisizione la presenza del difensore, o l’avviso di facoltà di nominarne uno, assume un rilievo cruciale ben diverso. Data la complessità tecnica e la profondità dell’intervento (soprattutto in ambito “informatico”), la difesa ha l’opportunità di vigilare sulla corretta esecuzione delle operazioni, sull’integrità dei dati, sull’osservanza dei protocolli forensi, sull’utilizzo delle tecniche e delle best-practices riconosciute dalla comunità internazionale come le più idonee a ciascuna operazione e scopo e sulla pertinenza di quanto acquisito. Proprio per questo, laddove non incarni già adeguate competenze, il difensore può nominare un proprio consulente tecnico per assistere alle operazioni e garantire il contraddittorio tecnico, cosa che a parere dello scrivente andrebbe realizzata fin dal primo momento attesa la complessità, pervasività e l’elevata competenza tecnica oggi richiesta nell’esecuzione di dette operazioni[17].
Conseguenze giuridiche: acquisizione vs. sequestro
Le diverse finalità e l’intensità delle operazioni si riflettono anche nelle conseguenze giuridiche che ne derivano in termini di acquisizione della prova, rispetto a ciascun incombente:
- l’ispezione: può portare, anche, all’acquisizione di documenti o dati informatici che siano immediatamente qualificabili come tali e pertinenti all’indagine. Tuttavia, questa acquisizione non è l’atto principale dell’ispezione, ma un’eventualità successiva e limitata. L’ispezione “constata” e “descrive”, l’acquisizione “preleva” ciò che è stato constatato.
- la perquisizione è l’atto di ricerca attiva di un corpo di reato o di cose pertinenti al reato in un determinato luogo o sulla persona. Qualora tale ricerca abbia esito positivo, essa conduce al sequestro ai sensi degli artt. 252 e seguenti del codice di procedura penale. Il sequestro implica l’apprensione materiale o la copia forense del dispositivo o dei dati rinvenuti, sottraendoli alla disponibilità dell’indagato e ponendoli sotto vincolo. La perquisizione si configura quindi come il necessario presupposto procedurale per l’espletamento del sequestro di quanto legittimamente individuato e appreso in esito all’attività di ricerca.
La zona grigia: rischi di atti mascherati e inutilizzabilità
Mi riferisco a quelle attività che per loro natura e invasività configurerebbero una vera e propria perquisizione, ma che invece vengono qualificate come ispezioni o semplici accertamenti da parte degli inquirenti, eludendo così le più stringenti garanzie processuali, capita sovente, e più spesso di quanto si creda, di ritrovarsi con un decreto di ispezione ad eseguire quella che in concreto è una perquisizione e viceversa.
Un esempio classico è l’accesso indiscriminato e approfondito al contenuto di uno smartphone in assenza di un decreto di perquisizione, magari giustificato come “controllo” o “ispezione”, o come avvenuto di recente su consenso dell’interessato[18]. Tale condotta, sebbene con finalità investigative, vizia l’acquisizione probatoria, rendendo i dati ottenuti inutilizzabili nel processo penale.
Questa sanzione processuale è particolarmente grave e frequente per l’accesso a contenuti comunicativi o documenti privati, per i quali la tutela costituzionale (art. 15 Cost. in primis) è massima e non ammette deroghe informali e sempre di recente sembra aver assunto un rinnovato interesse ad una più stringente tutela soprattutto sul piano dei principali “artifacts” che interessano gli investigatori forensi (e-mail, comunicazioni WhatsApp e simili)[19]. L’inutilizzabilità, infatti, non è sanabile e impedisce che la prova possa essere posta a fondamento della decisione del giudice, minando l’intero impianto accusatorio.
In definitiva, la corretta qualificazione dell’intervento sul dispositivo informatico non è un mero tecnicismo, ma il fulcro di un sistema di garanzie che mira a bilanciare l’efficacia investigativa con la salvaguardia dei diritti fondamentali nell’era digitale. La distinzione tra ispezione e perquisizione, sebbene “indefinita” in alcune manifestazioni concrete, rimane un pilastro per assicurare la legittimità e la validità della prova digitale.
La Giurisprudenza e la dottrina: orientamenti a confronto
Il quadro normativo, seppur aggiornato, si dimostra ancora troppo spesso insufficiente a fronteggiare l’inarrestabile evoluzione tecnologica e la complessità intrinseca del dato digitale, legata alla sua individuazione, acquisizione, conservazione e presentazione nel processo.
In questo complesso scenario, la giurisprudenza di legittimità, in particolare quella della Corte di Cassazione, ha assunto un ruolo fondamentale e propulsivo nel delineare i confini tra ispezione e perquisizione informatica, colmando lacune e fornendo interpretazioni evolutive che hanno progressivamente esteso le garanzie difensive.
Parallelamente, la dottrina ha approfondito gli aspetti critici, stimolando il dibattito e proponendo soluzioni interpretative e normative.
Invero, l’orientamento prevalente della Corte di Cassazione è stato progressivamente caratterizzato da una costante tendenza ad assimilare il dispositivo informatico a un “domicilio digitale”, estendendo le garanzie costituzionali proprie della perquisizione domiciliare, all’accesso ai dati digitali[20].
Proprio questa evoluzione interpretativa, peraltro sollecitata dalla “constatazione” oggettiva ed innegabile che ormai lo “smartphone” non è solo un’appendice ma è il “contenitore” della nostra vita[21], è stata cruciale per riconoscere la necessità di applicare le garanzie proprie della perquisizione a ogni attività che comporti una ricerca attiva e approfondita all’interno del dispositivo, indipendentemente dalla sua formale qualificazione.
Un punto fermo è stato posto in diverse occasioni riguardo all’inutilizzabilità della prova acquisita senza il rispetto delle formalità proprie della perquisizione. La Cassazione ha più volte censurato operazioni di polizia giudiziaria che, mascherate da “controlli”, “accertamenti tecnici” o “ispezioni superficiali”, si sono tradotte in vere e proprie perquisizioni digitali condotte senza il necessario decreto motivato dell’Autorità Giudiziaria.
Su tutte, si richiama, quella già enunciata – Cass. Pen., Sez. VI, n. 1269 (ud. 20 novembre 2024, dep. 13 gennaio 2025). Questa sentenza è di fondamentale importanza per definire i limiti dell’acquisizione di dati digitali in assenza di un decreto motivato dell’Autorità Giudiziaria. La Corte ha stabilito che il consenso liberamente prestato dal titolare dello smartphone, anche qualora questi risulti già gravato da elementi indiziari tali da giustificare la posizione di indagato, “non può supplire alla carenza di un provvedimento emesso dall’autorità giudiziaria”. Il rifiuto esplicito da parte della Cassazione del “consenso” di un “sospettato” come valido sostituto di un’autorizzazione giudiziaria affronta direttamente l’aspetto delle cd. operazioni “mascherate da controlli”. La Corte, in sintesi, sta effettivamente chiudendo questa lacuna procedurale, affermando che le garanzie costituzionali fondamentali (in particolare l’Art. 15 Cost.) sono preminenti e non possono essere informalmente rinunciate, specialmente quando la posizione del soggetto è già compromessa da elementi indiziari esistenti. Questa sentenza funge da forte misura protettiva contro l’eccesso investigativo, garantendo che anche agli individui collaborativi siano riconosciuti, comunque, tutti i loro diritti legali. In sintesi, l’accesso al contenuto del telefono doveva avvenire solo dopo la formale comunicazione degli avvisi di tutte le facoltà difensive ad essa spettanti, tra le quali la facoltà di rifiutare la “collaborazione” e il diritto ad essere assistito da un difensore, espressamente previsti dal combinato disposto degli Artt. 356 c.p.p. e 114 disp. att. c.p.p., non solo per le perquisizioni e i sequestri (Artt. 352 e 354 c.p.p.), ma anche per l’apertura della corrispondenza (Art. 353 c.p.p.). Infine, è stato affermato che l’attività di acquisizione realizzata dalla polizia giudiziaria nel caso di specie non poteva essere ricondotta al concetto di “prova atipica” spesso evocata in tutti quei casi in cui l’acquisizione della prova è avvenuta attraverso soluzioni non tassativamente previste dal codice di procedura[22]. L’autorità inquirente, in un sistema rigorosamente ispirato al principio di legalità, non può scostarsi dalle previsioni legislative per compiere atti atipici che, pur permettendo di conseguire risultati identici o analoghi a quelli conseguibili con gli atti tipici, eludano tuttavia le garanzie costituzionali dettate dalla legge per questi ultimi.
L’ispezione è sempre stata tradizionalmente considerata quale analisi esterna, scevra di qualsiasi apporto valutativo[23]. Su tale premessa appare assai arduo, definire l’ispezione una «operazione tecnica» che si limita ad una semplice verifica esterna dell’apparato informatico, senza alcuna attiva interazione con lo stesso, ossia senza alcun accesso ai dati contenuti all’interno di quel dispositivo. La cosa poi si complica notevolmente qualora l’attività investigativa abbia ad oggetto un sistema di cloud computing, laddove è giocoforza compiere operazioni che provocano un’alterazione del sistema stesso o dei dati.
Appare allora evidente come in siffatte situazioni, l’attività realizzata qualora ricondotta ad una “ispezione” con il nuovo disposto dell’art. 244 c.p.p. che stabilisce la necessità di adottare misure tecniche dirette ad assicurare la conservazione dei dati originali e ad impedirne l’alterazione, non può che costituire un grave “cortocircuito” tecnico e procedurale[24].
Criticità dottrinali: regole, dato digitale e competenze
La dottrina ha da sempre accompagnato, e spesso anticipato, le riflessioni giurisprudenziali, mettendo in luce le criticità del quadro normativo vigente e proponendo soluzioni interpretative e de iure condendo. Tra i principali aspetti critici ho riassunto i seguenti:
- inadeguatezza della disciplina vigente, le norme del c.p.p. sono state concepite in un’epoca “pre-digitale” e faticano a disciplinare e a adattarsi con sufficiente dettaglio alle peculiarità della prova informatica, che ogni giorno vede nuove “sfide” legate all’inarrestabile evoluzione tecnologica.
- tensione tra esigenze investigative e garanzie: viene costantemente sottolineata la difficoltà di bilanciare la rapidità e l’efficacia richieste dalle indagini (soprattutto in reati informatici dove le prove possono essere facilmente disperse e distrutte anche a causa della loro volatilità) con la necessità di garantire i diritti fondamentali dell’individuo. La dottrina evidenzia il rischio di una “corsa al dato” che sacrifica le garanzie procedurali.
- specificità del dato digitale: si enfatizza come il dato informatico non sia semplicemente una “cosa” o un “documento” nel senso tradizionale. La sua immaterialità, la facilità di copia e manipolazione, la sua connessione con altri dati e la sua capacità di veicolare informazioni sensibili in modo pervasivo richiedono una disciplina specifica che tenga conto di queste caratteristiche e peculiarità e che sappia altresì affiancare ai tradizionali mezzi di ricerca della prova, strumenti innovativi e adeguati, per un effettivo equilibrio tra le esigenze di tutela della riservatezza e quelle investigative.
- competenza tecnica: anche la dottrina[25] ha messo in risalto l’importanza della formazione e della specializzazione degli operatori del diritto (magistrati, polizia giudiziaria, avvocati, tecnici, CTU. CTP etc.) in materia di informatica forense. Le operazioni di ispezione e perquisizione informatica, per essere valide, necessitano sempre più di competenze tecniche specifiche per garantire l’integrità, l’autenticità e la catena di custodia della prova digitale.
Proposte, prospettive e sfide future
Quanto esposto finora, mette in luce alcune criticità persistenti che si vanno acuendo sotto la spinta dell’inarrestabile progresso tecnologico che ogni giorno “sforna” una nuova sfida. Non trascorre giorno senza che qualche novità si frapponga ad argine e protezione dei nostri dati digitali dagli attacchi informatici, furto e smarrimento dei nostri dispo-appendici. Tuttavia, di pari passo queste “innovazioni” rendono di pari passo (anche se più velocemente) arduo e complesso il lavoro degli “addetti ai lavori[26]” che ogni giorno hanno come compito, la ricerca, acquisizione, assicurazione e presentazione della cd. “prova-informatica” ormai elemento essenziale e strategico in ogni procedimento giudiziario.
Tra le proposte che si vanno delineando, anche qui senza alcuna pretesa di completezza ed esaustività segnalo le seguenti, certo che già domani mattina ne avremo nuove da proporre!
Molti studiosi ed “addetti ai lavori” sostengono l’urgenza di una riforma legislativa che introduca un capo specifico nel c.p.p. dedicato alla ispezione, perquisizione e al sequestro informatico. Tale disciplina alla quale peraltro si sta già lavorando[27], anche se non in modo così completo ed organico, dovrebbe dettagliare le modalità di esecuzione, le garanzie per l’indagato (es. presenza obbligatoria del difensore e/o del consulente tecnico di parte), e le procedure per l’accesso ai dati in cloud o su server remoti.
Viene invocato anche un rafforzamento del ruolo del giudice, con un maggiore controllo giudiziale preventivo e successivo. Il giudice è chiamato a valutare non solo la sussistenza dei presupposti, ma anche la proporzionalità e la pertinenza delle operazioni tecniche richieste dal PM.
Andrebbero poi risolte una serie di criticità, attraverso una definizione normativa più precisa di “ispezione informatica” e “perquisizione informatica”, per ridurre le ambiguità interpretative e i margini di arbitrarietà, sorti nel tempo dove la norma nel rispetto dei limiti di velocità ha viaggiato a 50 KM/orari, contro i 300 KM/orari tenuti dall’innovazione e progresso tecnologico[28].
Si discute inoltre sulla possibilità di prevedere procedure che consentano la “selezione” dei dati pertinenti al reato, nientemeno che in loco (cioè, sul posto) prima del sequestro massivo dell’intero dispositivo, al fine di limitare l’invasività dell’intervento sui dati non rilevanti per l’indagine. Questo è l’aspetto più preoccupante segno di una mancata conoscenza di due principi (tra i tanti) che non possono non essere considerati, allorquando tale attività di selezione debba avvenire in loco.
Il primo è il fattore tempo: qualsiasi ricerca per parola chiave o altro elemento richiede tempo direttamente proporzionale alle capacità di storage del dispositivo analizzato e alla velocità necessaria ad accedere ai dati; il secondo è che qualsiasi selezione prevede una scelta a “monte” di un elemento, parola, data che potrebbero essere non efficaci per una selezione dei dati davvero efficiente! Mi è capitato raramente di trovare imprenditori che chiamavano la doppia e nascosta contabilità “nero”, la fantasia non ha davvero limiti del resto molti trafficanti di droga parlano più spesso di ananas e banane che non di “droga”, nei loro traffici! Sono certo di essere stato compreso, e quindi che parola sceglieremo per “selezionare” la “massa magmatica di dati” che ci troviamo davanti?
La dialettica tra giurisprudenza e dottrina, in questo campo, è particolarmente vivace e necessaria. L’una spinge l’altra a una continua riflessione critica, contribuendo a un’evoluzione del diritto che, seppur faticosamente, cerca di adeguarsi alle sfide poste dal progresso tecnologico, mantenendo però sempre ferma la tutela dei diritti fondamentali, è proprio questo “bilanciamento” che costituisce la sfida più rilevante e strategica. È a tutti evidente come l’ago della bilancia pendendo da una parte o dall’altra provoca squilibri che richiedono continui bilanciamenti che riportino verso “il centro” di un giusto equilibrio tra i diversi diritti costituzionali.
Di fronte a tali scenari, è più che mai auspicabile che il legislatore intervenga con una riforma organica della materia della prova digitale nel processo penale. Non bastano più interventi frammentari o interpretazioni estensive di norme nate per contesti diversi.
Una concreta riforma dovrebbe essere capace di fornire regole chiaree precise per l’acquisizione della prova digitale in ogni sua forma, distinguendo tra l’accesso al dispositivo fisico, ai dati in cloud e alle comunicazioni criptate. Ma andrebbero anche meglio dettagliate le modalità tecniche di esecuzione delle perquisizioni informatiche e delle ispezioni, standardizzando precisi protocolli forensi per garantire l’integrità e l’autenticità del dato come prova in giudizio. Andrebbero anche rafforzate le garanzie difensive, ad esempio rendendo obbligatoria l’assistenza di un consulente tecnico di parte in determinate operazioni complesse, quant’anche non si configurino come un accertamento irripetibile.
Accanto all’intervento normativo, un elemento imprescindibile per assicurare la corretta applicazione delle norme e la validità delle prove acquisite è la formazione specialistica degli “addetti ai lavori” (vedi nota 26). Sia gli operatori del diritto (magistrati, avvocati) che le forze dell’ordine insieme a tutti i “consulenti” necessitano di un’approfondita conoscenza delle scienze forensi informatiche.
Senza tale preparazione, il rischio è che le operazioni siano condotte in modo tecnicamente errato, empirico, se non errato, rendendo la prova inutilizzabile o vulnerabile a contestazioni difensive, o che le garanzie procedurali vengano (spero sempre), involontariamente lese per mancanza di consapevolezza delle implicazioni tecniche.
Solo con un approccio integrato che combini un’adeguata legislazione, una giurisprudenza attenta e una formazione specialistica diffusa, sarà possibile garantire un equilibrio effettivo tra la necessità di reprimere i reati (che sempre più spesso hanno una dimensione digitale) e il rispetto delle libertà individuali nell’era digitale. La sfida è quella di creare un sistema che sia al contempo efficace nella ricerca della verità e saldo nella protezione dei diritti fondamentali, evitando che il progresso tecnologico si traduca in una regressione delle garanzie. La trasparenza e la prevedibilità delle regole sono essenziali per la fiducia dei cittadini nel sistema giudiziario.
Note
[1] https://www.agendadigitale.eu/documenti/giustizia-digitale/sequestro-dei-messaggi-whatsapp-quando-si-puo-fare-cosa-dice-la-legge/
[2] Tra le tante, solo a titolo esemplificativo in quanto più attinente al tema trattato ricordo la Legge 18 marzo 2008, n. 48 – Ratifica ed esecuzione della Convenzione del Consiglio d’Europa sulla criminalità informatica, fatta a Budapest il 23 novembre 2001, e norme di adeguamento dell’ordinamento interno.
[3] https://www.cortecostituzionale.it/actionSchedaPronuncia.do?param_ecli=ECLI:IT:COST:2024:203
[4] Cass.Pen., S.U., Sentenza n. 27900 del 27 giugno 2023. https://canestrinilex.com/risorse/spazio-cloud-e-domicilio-informativo-cass
[5] In pratica, lo ius excludendi alios in relazione al domicilio implica che:
- nessuno può entrare nel tuo domicilio senza la tua autorizzazione, salvo i casi eccezionali previsti dalla legge (es. perquisizioni o sequestri disposti dall’autorità giudiziaria nei modi e con le garanzie previste).
- puoi allontanare chiunque si trovi nel tuo domicilio contro la tua volontà;
- puoi proteggere la tua sfera di riservatezza all’interno del domicilio, impedendo intrusioni o osservazioni non autorizzate.
[6] Ritengo sufficiente per un approfondimento quanto già richiamato in nota 1.
[7] Art. 244 c.p.p.: L’ispezione delle persone, dei luoghi e delle cose è disposta con decreto motivato quando occorre accertare le tracce e gli altri effetti materiali del reato. Se il reato non ha lasciato tracce o effetti materiali, o se questi sono scomparsi o sono stati cancellati o dispersi, alterati o rimossi, l’autorità giudiziaria descrive lo stato attuale e, in quanto possibile, verifica quello preesistente, curando anche di individuare modo, tempo e cause delle eventuali modificazioni. L’autorità giudiziaria può disporre rilievi segnaletici, descrittivi e fotografici e ogni altra operazione tecnica, anche in relazione a sistemi informatici o telematici, adottando misure tecniche dirette ad assicurare la conservazione dei dati originali e ad impedirne l’alterazione.
[8] Art. 354 c.p.p.: 1.Gli ufficiali e gli agenti di polizia giudiziaria curano che le tracce e le cose pertinenti al reato siano conservate e che lo stato dei luoghi e delle cose non venga mutato prima dell’intervento del pubblico ministero.
2.Se vi è pericolo che le cose, le tracce e i luoghi indicati nel comma 1 si alterino o si disperdano o comunque si modifichino e il pubblico ministero non può intervenire tempestivamente, ovvero non ha ancora assunto la direzione delle indagini, gli ufficiali di polizia giudiziaria compiono i necessari accertamenti e rilievi sullo stato dei luoghi e delle cose. In relazione ai dati, alle informazioni e ai programmi informatici o ai sistemi informatici o telematici, gli ufficiali della polizia giudiziaria adottano, altresì, le misure tecniche o impartiscono le prescrizioni necessarie ad assicurarne la conservazione e ad impedirne l’alterazione e l’accesso e provvedono, ove possibile, alla loro immediata duplicazione su adeguati supporti, mediante una procedura che assicuri la conformità della copia all’originale e la sua immodificabilità. Se del caso, sequestrano il corpo del reato e le cose a questo pertinenti. 3.Se ricorrono i presupposti previsti dal comma 2, gli ufficiali di polizia giudiziaria compiono i necessari accertamenti e rilievi sulle persone diversi dalla ispezione personale.
[9] Cass. Pen., Sez. VI, del 30 luglio 2024, n. 31180 ed anche Cass.Pen., Sez. VI, del 1° aprile 2025 n. 13585.
[10] https://www.ansa.it/sito/notizie/politica/2025/06/12/nordio-il-sequestro-del-cellulare-per-indagini-e-perversione_c695e368-bfc7-4335-a1db-434d6fe55755.html
[11] Vedi, oltre a nota 10, qui sopra, il dibattito Senato, ora alla Camera – DDL AS806 – AC1822. https://www.camera.it/leg19/126?leg=19&idDocumento=1822 e qualche mio approfondimento negli articoli qui presenti https://www.agendadigitale.eu/giornalista/pier-luca-toselli/ dove il disegno di legge attualmente in discussione viene più volte approfondito nelle sue linee essenziali.
[12] Cass.Pen., Sez. Un., n. 36072 del 27 luglio 2018 e Cass. Pen., Sez. III n.50482 del 21/09/2023, tra le diverse. Il tema ha poi conosciuto un rinnovato interesse in tutte quelle Sentenze che più di recente hanno avuto ad oggetto la cd. “Copia Mezzo” e i principi (ormai fondamentali) di proporzionalità e adeguatezza.
[13] Ricorro sempre a questo esempio: “non stiamo cercando una foto stampata come nel secolo scorso, magari conservata in un cassetto o in mezzo ad un vecchio libro o portafoglio, oggi quella foto è un “artifacts” che potenzialmente può essere costituita da diverse tipologie di files, conservati e collocati su supporti diversi spesso di difficile se non impossibile individuazione ed apprensione. Quella foto attraverso la steganografia potrebbe essere in un file di testo riferito e visualizzato come testo!
[14] Per chi non mi conosce trovate la mia “provenienza” su Linkedin.
[15] Un gigabyte (GB) è pari a 1024 megabyte (MB)… e per farvi un’idea, segnalo, che una versione in PDF con una buona formattazione del libro “Guerra e Pace” di Lev Tolstoj (1200-1400 pagine a stampa) è di circa 10-15 MB, a meno che non contenga molte illustrazioni ad alta risoluzione o sia una scansione del libro fisico; ma un semplice file di testo (TXT) dello stesso libro, sarebbe ancora più piccolo, probabilmente meno di 1 MB. Buona lettura!
[16] Cass. Pen. Sez. III, Sent. n. 50482 del 21.09.2023 e Cass. Pen., Sez. III, Sent. n. 36775/2024 del 4.7. 2024.
[17] Nelle perquisizioni informatiche odierne, la sola difesa tecnica dell’avvocato “segna il passo” non è più sufficiente attenersi alle poche prescrizioni codicistiche attinenti alla materia dell’”informatica forense”. È ormai indispensabile affiancare alle competenze legali anche alte competenze tecniche informatiche, fornite da consulenti esperti, per comprendere appieno (dal punto di vista non solo procedurale ma anche tecnico) le operazioni dell’organo inquirente e tutelare appieno l’indagato
[18] Cass. Pen., Sez. VI n.1269 del 13/01/2025. Cito questa, ad esempio, per la sua attualità ma ve ne sono molte altre su questo principio
[19] Vedi nota1.
[20] Ho già richiamato il parallelo tra la porta/la cassaforte per la quale è prevista la cd. “rimozione degli ostacoli fissi” nella perquisizione che fa il paio con la password di accesso al profilo dell’Users o alla password a protezione di un determinato accesso ad una applicazione, file, etc. Penso che questo sia l’elemento più eloquente per esprimere questa assimilazione tra domicilio fisico e domicilio digitale, ove quest’ultimo viene ad assumere tutte le garanzie costituzionali proprie del domicilio inteso dall’art. 14 della Costituzione.
[21] Priviamoci del nostro smartphone e … ADDIO! Banca, Spid, Foto di una vita, contatti, salute e molto altro… sempre che non sia stata fatta una buona “politica” di backup (che permette di correre ai ripari), si rischia davvero di essere disperati! Ad ogni buon conto il riferimento “vita” va esteso alla reazione del vostro compagno/a, coniuge quando scoprirà che avete perso tutte le foto dell’ultima vacanza. 😊
[22] https://www.agendadigitale.eu/sicurezza/investigare-nel-mondo-digitale-le-sfide-delle-perquisizioni-online-e-cross-border/
[23] Cfr. F. CORDERO, Procedura penale, IX ed., Giuffrè, Milano, 2012, p. 827, laddove viene sottolineato che «l’inspìciens usa gli occhi; ai perquirenti servono le mani».
[24] In tal senso, S. ATERNO-M. MATTIUCCI, Cloud forensics e nuove frontiere delle indagini informatiche nel processo penale, cit., p. 876.
E per un ulteriore approfondimento – https://www.agendadigitale.eu/documenti/giustizia-digitale/perquisizioni-e-sequestri-nel-cloud-i-problemi-tecnici-e-giuridici/
[25] Il tema mi sta molto a cuore da molti anni ritengo che ormai sia imprescindibile che sulla scena del crimine digitale debbano intervenire “attori” altamente competenti, formati e preparati ad affrontare le nuove “sfide” che ormai quotidianamente sorgono ad ostacolo della individuazione, raccolta, gestione, e conservazione delle digital-evidence.
[26] Chiedo al lettore di voler comprendere in questo termine tutti coloro che a vario titolo sono chiamati a confrontarsi con la “digital-evidence” (difesa, indagato, polizia giudiziaria, CTU, CTP, PM, GIP, e chiunque altro anche solo incidentalmente venga coinvolto in quel “processo” di individuazione, acquisizione, assicurazione e presentazione).
[27] Il riferimento è al DDL AS806 – AC1822 – https://www.camera.it/leg19/126?leg=19&idDocumento=1822
[28] Descrivere un “desktop” di un PC, le periferiche ad esso collegate e se è acceso o spento non ha un grande significato, laddove oggi quel “PC desktop” non è altro che la porta di accesso a molte risorse ed applicazioni che potrebbero rimanere “nascoste” / “occultate” al “desktop” e periferiche ad esso collegate.
