Avv. Hermans Joseph Iezzoni

Uno dei limiti certi, quando si interagisce con i dati digitali, è la possibile compromissione degli stessi anche involontaria.

La raccolta dei mezzi di prova passa per tutta una serie di buone pratiche che si occupano della ricerca, dell’individuazione delle tracce, della preservazione delle “evidenze” digitali e, infine, dell’acquisizione vera e propria.

Si tratta di operazioni molto delicate. Qui il confine tra mezzo di prova, tradizionalmente inteso, e tracce “smaterializzate” perde di significato. Alto è dunque il rischio di una loro contaminazione ed, indubbiamente, elevata deve essere la competenza e l’intuito del tecnico.

Possiamo,però, dire che non è sufficiente l’esistenza d’una traccia digitale su un determinato computer o su una memoria di massa a risolvere i tasselli dello scenario di un crimine. Debbono concorrere fattori esterni tra i quali si colloca anche la perizia investigativa. Non va dimenticato, ed è per questo che si ripeterà sempre “elementi” di prova, che il signore incontrastato della verità sul caso concreto non sarà il risultato delle indagini, i probabili autori, le tesi difensive e nemmeno l’anticipazione di colpevolezza per bocca dei giornali… il dominus vero è e resta l’ottica interpretativa del Giudice. Lui solo sa.

A titolo di esempio, per comprendere come una contaminazione di dati sia possibile, dovremo tener presente che la semplice attività di accensione o di spegnimento di un computer altera i dati che si intende acquisire. Lo stesso accesso alla partizione di un hard disk determina un’altra manipolazione e così via. Si generano e si accumulano nuove informazioni che stravolgono la scena del crimine.

Per queste ragioni l’approccio investigativo non può che suddividersi in più aspetti. Da un lato l’intuito personale, che porta alla ricerca di evidenze sfruttando la concatenazione di eventi logici, e dall’altro una cultura tecnica specifica sugli strumenti non invasivi per cristallizzare le tracce digitali. Occorre tener presente che tutte queste operazioni avverranno nel segno dell’irripetibilità della prima acquisizione poiché gli investigatori dovranno disporre di sole copie “identiche” su cui eseguire i test.

Siamo dunque nel segno di una cultura investigativa e difensiva (rammento, anche se scarna, la possibilità offerta agli avvocati di compiere indagini in favore dei propri assistiti) completamente tecnica e dominata dal solo uso di tool anche preconfezionati? Tutto si limita all’avvio di un programma ed alla spunta di alcune opzioni?

Non credo proprio.

Oltre l’acquisizione pura e semplice continua l’attività di ricerca. Aumentano così le variabili in gioco. Le tracce digitali potrebbero non essere di tutta evidenza ma camuffate in vario modo giocando un ruolo non da poco il “fattore umano”.

Torna quindi preponderante il valore del “merito” di chi è chiamato a seguire, trovare le “evidenze” ma anche ad interpretarle.

Il dato digitale non è mai di semplice intelligibilità. Non lo è soprattutto in quei casi in cui ha già subito una prima manipolazione ad arte. Vi è già uno scoglio da superare. Chi dice che il dato sia lì a bella posta con tanto di nome “readme” ad evidenziarlo? La banale cancellazione con sovrascrittura da un supporto non è l’unico metodo che può rallentare la ricerca. Pensiamo al combinarsi di più sistemi di compressione e cifratura abbinati al numero crescente di file ed estensioni che ormai “giganteggiano” i sistemi operativi ed i programmi d’uso comune. Fate una banale ricerca nel vostro hard disk e guardate quanti file sono archiviati. Il fattore umano può rendere insidiosa la ricerca ma anche la corretta interpretazione delle tracce.

Esiste dunque un sistema forense tipico o tipizzato a cui far riferimento come “vangelo” valido per ogni indagine? Esistono dei metodi di prime cure buoni nella fase di cristallizzazione dei dati ma l’esperienza e l’innalzamento della cultura informatica sono il vero “tool” che fa la differenza.

Ecco dunque la strada aperta alla commistione di ruoli. L’investigatore deve diventare sempre più prossimo al tecnico “puro” e masticare anche di diritto come un giurista. Questo perché il suo lavoro non vada in fumo per grossolanità. Ma anche l’avvocato deve affinare il suo lato di giurista. Dovrà acquisire un bagaglio tecnico che gli consenta di valutare la genuinità delle tracce digitali e la loro qualità sul piano probatorio.

Resta da domandarsi ma il Giudice? In tutto questo forse è il caso di meditare sul fatto che debba pretendersi un grado sempre più alto di competenza anche da parte del Giudice.