Prova informatica: raccolta e gestione

Indice

Il 5 maggio si è tenuto un webinar organizzato da Euronotaries sulla “prova” a cui hanno partecipato diversi professionisti. L’esito del webinar ha prodotto molte domande legate alla validità delle prove acquisite mediante screenshot e non solo. Cerchiamo di fare chiarezza perchè l’argomento merita un attento approfondimento.

Generalità sulle evidenze informatiche

In linea generale un’evidenza è tale se essa viene rilevata al netto di possibili alterazioni atte a cambiarne lo stato. In informatica ciò significa raccogliere l’evidenza probatoria senza che essa possa mutare nella forma e nel contenuto ed è un processo piuttosto complesso considerando la molteplicità di fattori che possono intervenire sul dispositivo elettronico (computer, tablet, smartphone, etc…). Per capire questo concetto è opportuno fare alcuni esempi che possono chiarire bene la necessità di una corretta conservazione ed acquisizione della prova in modo che essa possa essere definita prova forense, ossia prova acquisita ed utilizzabile in contesti che abbiano validità legale.

Whatsapp: lo screenshot è una prova?

Come detto durante il webinar, lo screenshot non rappresenta la prova informatica. Lo screenshot è uno strumento ausiliario atto a descrivere meglio i fatti esposti in querela e utile a circostanziare bene l’accaduto. È quindi da intendersi come un ausilio alla querela ma non rappresenta la prova di cui il giudice può chiedere visione. È importante, però, capire il perchè non rappresenta una prova.

Lo screenshot, come è ovvio, è un’istantanea dello schermo che può essere facilmente alterata senza troppe complessità, solo la fonte originale può essere considerata attendibile. Ciò detto l’acquisizione di uno screenshot, meglio ancora se acquisito da un tecnico che ne da evidenza in una relazione, favorisce la scrittura della querela.

Lo screenshot non basta…

Una volta effettuata la querela, però, il cellulare dell’utente deve essere sottoposto a sequestro. Nel senso che deve essere opportunamente disattivato per evitare ulteriori modifiche che possano modificare i messaggi o possano procacciare motivazioni per addurre un’alterazione dei contenuti. Ciò significa “isolare” il dispositivo dalle connessioni, spegnerlo, staccare la batteria se possibile. Metterlo in una busta chiusa e sigillarlo con data e ora, facendolo conservare presso lo studio dell’avvocato.

In querela sarà descritta la procedura di isolamento del dispositivo (generalmente da un tecnico) che ne fornirà i dettagli. Alla richiesta del giudice, tramite il CTU, di visionare la prova, essa sarà consegnata nel suo stato di integrità totale e, di conseguenza, non potrà essere messa in discussione. Soprattutto se il dispositivo è stato reso non operativo nelle sue connessioni di rete.

Lo screenshot, pertanto, non viene considerata prova proprio perchè è una copia del documento originale e come tale non garantisce l’autenticità e l’integrità pretesa dalla prova. Rilevante è anche il modo in cui la prova viene raccolta.

Come si raccoglie una prova?

Una prova viene raccolta in un regime di totale isolamento da influenze esterne: vale a dire che i fattori esterni che potrebbero inquinare la prova devono essere neutralizzati. Nel caso della chat, ad esempio, è importante che nessuno possa cancellare il messaggio e quindi la prima cosa è disattivare le connessioni di rete. Ovviamente mentre il principio generale di non inquinamento rimane sempre valida, le modalità differiscono a seconda del tipo di prova da raccogliere, del dispositivo di cui si dispone e delle circostanze.

Considerate, come altro esempio, che quando un tecnico forense deve raccogliere la prova, generalmente lo fa utilizzando periferiche ed applicativi atti ad interagire “in sola lettura” in modo da escludere qualsivoglia forma di inquinamento.

Il tecnico forense dovrà quindi avere cura di essere estremamente preciso nella descrizione delle procedure menzionando anche software, orario, eventuali apparati hardware utilizzati per l’acquisizione della prova, etc…

Senza queste informazioni si rischia di invalidare il comparto probatorio: adducendo, ad esempio, la possibilità che la prova venga modificata durante la sua acquisizione.

Hash, Firma Digitale ed altri strumenti

Ogni file è unico come le impronte digitali. Di conseguenza la traccia o (impropriamente) firma di un file è altrettanto unica. Tale firma è chiamata hash e può aiutare a stabilire l’autenticità del file e la sua immutabilità. Ma come funziona l’hash di preciso?

L’esempio descritto qui sopra mostra due file identici con l’unica differenza che al secondo file è stato aggiunto un punto alla fine del primo paragrafo. Come è possibile notare l’hash generato è completamente diverso anche se il carattere che viene cambiato è uno solo. È opportuno far notare che la rinomina del file non produce un cambio dell’hash se il contenuto del file rimane lo stesso. Eccone un piccolo esempio: abbiamo creato un file di testo chiamato ciao.txt. Lo abbiamo copiato e rinominato “iao.bo” (modificando quindi nome ed estensione ed ecco il risultato.

MD5 (ciao.txt) = a509e095ee7ea81c138a058249a56f84
MD5 (ciao2.bo) = a509e095ee7ea81c138a058249a56f84

Come è possibile notare l’hash è rimasto identico ma provando ad aggiungere un “semplice” spazio in mezzo al testo del file “ciao2.bo” il risultato è il seguente:

MD5 (ciao.txt) = a509e095ee7ea81c138a058249a56f84
MD5 (ciao2.bo) = 3d41fbc12abf4f31b6b5db12dc28197c

Conclusioni

La prova informatica, data la complessità dello scenario tecnologico, è soggetta a molti fattori di “disturbo” ed “inquinamento”. Resta immutato, invece, il principio generale per il quale qualsiasi giudice, nell’accettare un elemento probatorio all’interno di un caso, farà riferimento all’originale e raramente terrà per valide eventuali copie.

Addenda

La discrezionalità del giudice può chiaramente fare la differenza sul tema screenshot. Con la sentenza n. 8736 del 16/01/2018 – 22/02/2018 la V sezione penale ha affermato che

In tema di prova documentale, il documento legittimamente acquisito è soggetto alla libera valutazione da parte del giudice, assumendo valore probatorio, anche se privo di certificazione ufficiale di conformità e pur se l’imputato ne abbia disconosciuto il contenuto”

Ciò entra nei legittimi poteri di un giudice che, valutando le circostanze di acquisizione, decide liberamente se ammettere o meno la prova all’interno dell’ambito probatorio. La motivazione è legata al fatto che

L’estrazione dei dati è un’operazione meramente meccanica, sicchè non deve essere assistita da particolari garanzie.

Al netto delle proprie considerazioni personali, tese a dimostrare i fattori d’inquinamento che possono intervenire nel processo di estrazione, questa sentenza offre un punto di vista chiaro oggettivo su quanto espresso sopra.