Da poco più di un anno, in Italia è stata emanata la circolare 1/2018 della Guardia di Finanza in materia di custodia dei dati digitali nel settore del contrasto alla frode fiscale. Il documento funge da vero e proprio “Manuale operativo in materia di contrasto all’evasione e alle frodi fiscali”. La circolare copre tutti gli aspetti dell’ambito investigativo di competenza della Guardia di Finanza ed è, perciò, diviso in quattro volumi dedicati ai vari aspetti delle procedure di accertamento: logistici, giuridici, normativi, organizzativi, divisione o condivisione di competenze con altri organi investigativi e così via.
Una sezione di particolare interesse è quella dedicata alla catena di custodia dei dati digitali, dove si trovano riferimenti raccolti in maniera organica sia alla dottrina che alla pratica del settore digitale forense, a ben 10 anni dall’emanazione della legge 48/2008, ossia del provvedimento normativo che ha reso operativa anche in Italia la Convenzione di Budapest sul Cybercrime del 2001. Per la prima volta viene individuata e descritta concretamente la figura di esperti facenti parte del personale del Corpo, che risultino in possesso della qualifica “CFDA” (Computer Forensics e Data Analysis). E’ un primo passo importante per la definizione delle competenze di coloro che, in ambito civile e militare, abbiano a che fare a qualsiasi titolo con la cosiddetta catena di custodia delle informazioni digitali. Così come previsto nella Convenzione di Budapest, la catena di custodia delle informazioni digitali è stata pensata soprattutto per applicazioni in campo investigativo e penale, ma può essere comunque applicata anche per semplici scopi di trattamento sicuro dei dati dematerializzati; non a caso, gli articoli specificamente dedicati a questo argomento sono gli artt. 244-47 c.p.p. (ispezione, ricognizione e perquisizione), 254-bis c.p.p. (sequestro) e 259 c.p.p. (custodia e integrità dei dati).
Dal testo della circolare 1/2018 emerge che il contesto italiano è ancora piuttosto difforme e variegato in materia di applicazione della normativa sui dati digitali. Ad esempio, la già citata figura del CFDA nasce proprio perché spesso, in sede di indagine, la magistratura competente non nomina né un ausiliario di polizia giudiziaria ex art. 348, comma 4, c.p.p. (cioè un soggetto, interno o esterno, in grado di assicurare il corretto trattamento della fonte di prova), né un esperto di trattamento dei dati digitali ex art. 459 c.p.p. Questo esempio ci fa concludere che può essere, in un certo senso, estesa all’intero contesto del trattamento delle fonti digitali in ambito legale: da una parte, almeno in linea di massima, la legge 48/2008 ha colmato il vuoto normativo italiano, anche se ben sette anni dopo la firma della Convenzione di Budapest; dall’altra, però, le fattispecie concrete continuano ad essere trattate in maniera difforme, secondo standard e protocolli che variano da caso a caso e senza una figure di riferimento codificate in maniera univoca dalla legge nazionale, poiché queste ultime vengono sostituite da soggetti ad hoc individuati a discrezione delle Autorità competenti in ciascuna materia, così come evidente dal caso qui presentato.
La questione della difformità di trattamento dei dati digitali non è circoscritta all’eterogeneità dei soggetti titolari del trattamento, sia in fase di gestione ordinaria (custodia ed utenza quotidiana) che straordinaria (contestazioni e cause in sede civile e penale): essa si estende anche alle vere e proprie modalità del trattamento in questione. Due sono i punti critici, soprattutto in sede probatoria e penale: l’effettivo rispetto della già citata catena di custodia del dato in quanto tale e la gestione dei metadati ad esso collegati.
Per quello che riguarda il primo punto “la catena di custodia“ possiamo dire che la legge parla chiaro ma le buone pratiche (anch’esse ormai note) stentano ad essere applicate in maniera uniforme, soprattutto dove servirebbe, ossia in materia penale. Fatta eccezione per la circolare della Guardia di Finanza, spesso il ciclo dell’informazione a fini giudiziari non osserva la necessaria scansione logica, tecnica e temporale tra le diverse e ormai note fasi della catena di custodia: ricognizione, ispezione e perquisizione, sequestro. Spesso sia gli organi inquirenti che giudicanti tendono a confondere la mera ricognizione con l’ispezione e perquisizione degli spazi virtuali ed associano, invece, il sequestro alla perquisizione dei supporti, senza però utilizzare gli strumenti necessari per evitare l’inquinamento o la corruzione delle prove, che avviene per lo più con l’involontaria modifica o cancellazione dei metadati. Un esempio è fornito dal ben noto caso del delitto di Garlasco, occasione in cui né l’accusa né la difesa ebbero la possibilità di utilizzare gli indizi (forse prove?) contenuti nel laptop del principale sospettato, poichè esso era stato acceso e spento più volte senza aver “cristallizzato” i metadati contenuti al momento della prima ricognizione. In parole più semplici, non erano stati utilizzati quegli specifici dispositivi di acquisizione sicura che oggi la circolare 1/2018 individua come segue: “specifici dispositivi (writeblocker, duplicatori) e/o applicativi (software di acquisizione forense), capaci di garantire l’integrità dell’evidenza acquisita”.
Come già detto, tuttavia, la circolare, al momento, riguarda per lo più reati di tipo finanziario, dove l’organo inquirente è, appunto, la Guardia di Finanza. Tuttavia, essa può essere uno spunto per tutti coloro che lavorano in sede investigativa, penale e non, in ambiente civile e militare. Infatti, il quadro offerto dalla Convenzione di Dublino e dalla legge 48/2008 avrebbe già indicato una possibile strada da percorrere. Da queste fonti normative, infatti, si possono individuare le caratteristiche-base della catena di custodia dei dati digitali, che peraltro hanno ispirato la circolare 1/2018. Caratteristiche che possono essere così riassunte:
– creare un Documento di Catena di Custodia, ove siano censiti tutti i soggetti che hanno maneggiato supporti e dati digitali e tutte le azioni compiute su supporti e dati;
– separare le fasi di ricognizione, ispezione e perquisizione, sequestro di dati e supporti, incaricando, con un provvedimento ufficiale, i titolari e i custodi di dati e supporti, accertandosi che eventuali passaggi di consegne o incarico siano svolti in maniera conforme al protocollo di custodia;
– tener conto di quali accertamenti siano ripetibili e quali non ripetibili, come ad esempio il posizionamento in luogo e lasso temporale idoneo di telecamere per filmare soggetti in flagranza di reato.
In buona sostanza, l’impianto normativo esiste: si tratta ora di applicarlo su larga scala e di cominciare ad istruire il personale addetto utilizzando un approccio interdisciplinare, senza più agire secondo la logica dei “compartimenti stagni”.
