Copia forense e accertamento tecnico: ripetibilità e rischi di modifica sugli smartphone

Con la sentenza 5283/2020 della Corte di Cassazione, si riaccende il dibattito su quando la copia forense di uno smartphone vada qualificata come atto ripetibile o, in caso di rischi concreti di modifica dei dati, come atto irripetibile. Sullo sfondo, pronunce come la 11863/2009 e normativa di dettaglio impongono un esame puntuale del confine tra acquisizione conservativa e analisi tecnica, con riflessi pratici nella tutela delle garanzie difensive.

Da un lato l’imperativo della conservazione fedele della prova digitale, dall’altro le insidie insite nel trattamento pratico di dispositivi mobili fanno sì che la materia resti, a distanza di anni, tutt’altro che pacificata. Comprendere quando la copia forense sia davvero “ripetibile” non è mera questione formale, ma cuore della tenuta processuale e delle possibilità d’indagine e difesa nel digitale.

Acquisizione forense vs accertamento tecnico: chi fa cosa

Definizione di acquisizione (copia forense) e sua natura conservativa

Nell’indagine moderna, la distinzione tra acquisizione forense—ossia la mera creazione della copia forense bit-by-bit di un dispositivo digitale come lo smartphone—e l’accertamento tecnico vero e proprio è tutt’altro che teorica. Secondo la Corte di Cassazione, sentenza 5283/2020, il primo passo consiste nell’immortalare il contenuto del supporto senza alterarlo, un’operazione «conservativa» finalizzata a garantire la possibilità di ulteriori, successive analisi ripetute nel tempo.

In tale ottica, la copia forense—se correttamente eseguita e documentata—consente di fissare i dati nella loro completezza garantendo, quantomeno in linea teorica, la ripetibilità dell’accertamento tecnico che seguirà. La natura prudente di questo passaggio si fonda sulla necessità di preservare la prova informatica per tutte le parti del procedimento.

Quando inizia l’accertamento tecnico (analisi sui dati)

L’accertamento tecnico vero e proprio si apre solo successivamente all’acquisizione. È in questa fase, di estrazione e interpretazione dei dati dalla copia forense, che la natura dell’atto può virare da “ripetibile” a “irripetibile” se le operazioni rischiano di modificare l’origine digitale.

Fondamentale, come richiamato sia dalla sentenza 5283/2020 che dalla 11863/2009, è sostenere con prove rigorose che la copia forense abbia effettivamente bloccato ogni possibilità di ulteriore alterazione. Solo così sarà giustificato far svolgere l’analisi in contraddittorio tra le parti, garantendo pienamente i diritti della difesa.

Qualificazione giuridica: ripetibile o irripetibile (norme e giurisprudenza)

Riferimenti: art.360 c.p.p., art.391 decies, art.117 disp. att.

A ben guardare, la cornice normativa fissa criteri stringenti. L’articolo 360 c.p.p. disciplina gli atti irripetibili—quelli il cui valore probatorio svanirebbe se non fissato subito. L’articolo 391 decies c.p.p. estende la medesima disciplina alle indagini della difesa, richiedendo specifica notifica al P.M. ogniqualvolta si intendano svolgere atti irripetibili.

L’articolo 117 delle disposizioni attuative del c.p.p. menziona tuttavia la nozione di irripetibilità “tecnica”, da applicare quando le operazioni su un oggetto digitale rischino di mutarne lo stato o il contenuto. Proprio qui si gioca la partita dell’equilibrio: finché la copia forense si limita a congelare i dati senza toccarli, l’ordinamento la considera ripetibile; di diverso avviso se l’acquisizione richiede modifiche non reversibili.

Giurisprudenza chiave: Cass. 5283/2020 e 11863/2009

Va ricordato come la Cassazione, sentenza 5283/2020, abbia espresso la convinzione che la copia forense debba essere considerata “operazione meramente conservativa”—e dunque ripetibile, salvo precise eccezioni. Si tratta di una posizione confermata dieci anni prima dalla sentenza 11863/2009, che riconosce la possibilità di reiterare l’estrazione dati dagli strumenti informatici ogniqualvolta ciò avvenga seguendo le medesime modalità.

Tuttavia, le stesse pronunce sottolineano la necessità che tali procedure siano svolte adottando tutte le garanzie tecniche necessarie, pena la perdita d’integrità e il venir meno della valenza ripetibile dell’acquisizione.

Modifiche rischiose sugli smartphone durante la copia

Effetti di accensione/spegnimento su metadati e timeline

Sotto la superficie delle norme, i rischi tecnici toccano le fondamenta della procedura forense. L’accensione di uno smartphone non è mai un gesto neutrale: anche una semplice accensione o spegnimento può alterare metadati vitali—pensiamo ai timestamp, ai parametri di accesso e ai log di sistema, tutte informazioni chiave nelle indagini sui flussi digitali.

Documentare puntualmente le azioni compiute è quindi essenziale per garantire una timeline fedele, evitando ricostruzioni forensi viziate o inutilizzabili. Così come il riavvio non tracciato rischia di compromettere l’intero impianto probatorio.

Rischio dovuto a file system, crittografia e malfunzionamenti

Altrove il terreno di gioco si fa ancora più insidioso. I diversi file system in uso (NTFS, FAT32, HFS+, ext…) richiedono strumenti forensi appositamente testati e compatibili: un errore di acquisizione, magari per strumenti non aggiornati, può generare omissioni o corruzione dei dati.

A ciò si aggiunge la crittografia—spesso abilitata di default sugli smartphone più moderni—che può richiedere tecniche specifiche di decryption e, nei casi limite, il consenso dell’utente. Senza dimenticare il rischio sempre presente di malfunzionamenti hardware, che impongono soluzioni di backup multipli: pena la perdita irreversibile di prove fondamentali.

Garanzie tecniche e procedurali per dimostrare ripetibilità

Hash, doppia copia, write blocker, documentazione verbale

La risposta a queste insidie passa da precise garanzie tecniche. Primo fra tutti il calcolo—e la verifica puntuale—dell’hash (tipicamente SHA256) sia sull’originale che su ogni copia forense. Solo la corrispondenza tra queste “impronte digitali” garantisce che la copia sia bitwise identical all’originale.

Una doppia copia dell’immagine, realizzata preferibilmente su supporti fisicamente diversi, rappresenta uno standard di buona prassi per assicurare la possibilità di rinnovo delle analisi (a tutela sia dell’accusa che della difesa). L’utilizzo del write blocker—dispositivo che impedisce la scrittura di dati sull’originale durante l’acquisizione—è imprescindibile: la sua effettiva operatività deve essere testata e documentata prima dell’uso.

Punto nodale, spesso sottovalutato, è la documentazione verbale, da redigersi a ogni passaggio: chiari riferimenti a strumenti, stato del device, check di funzionamento, e tutte le persone presenti devono essere annotati rigorosamente.

Standard e leggi: ISO/IEC 27037, L.48/2008, Convenzione di Budapest

La stratificazione normativa guida le scelte tecniche. La L. 48/2008, che ha recepito le sensibilità della Convenzione di Budapest, impone misure rigorose di conservazione dei dati digitali, cogliendo la fragilità intrinseca di questa “materia” rispetto al dato analogico.

Altrettanto influente la ISO/IEC 27037:2012: le sue linee guida offrono una mappa dettagliata di procedure scientifiche per il trattamento, l’acquisizione e la conservazione delle digital evidence. Il mancato rispetto rischia non solo di inficiarne la validità legale, ma di esporre l’inquirente a contestazioni tecniche destinate a durare in giudizio.

Diritti della difesa, contraddittorio e gestione temporale del sequestro

Quando la difesa può partecipare (analisi vs acquisizione)

Il contraddittorio reale si innesta solo quando la difesa può esprimersi sull’interpretazione dei dati. Se la copia forense è, come stabilito, meramente conservativa e dunque ripetibile, la difesa può accedere più liberamente all’atto, salvo opposta qualificazione motivata.

Solo quando si passa all’analisi e all’accertamento tecnico—specie nei casi di atti potenzialmente irripetibili secondo l’art.360 c.p.p.—la difesa diventa parte attiva e va tempestivamente avvertita. La distinzione, per quanto sottile, si riflette nella tenuta del processo e nella validità della prova stessa.

Proporzionalità, selezione dati e obbligo di restituzione

Le esigenze d’indagine devono trovare un equilibrio con i diritti dell’indagato: la proporzionalità del sequestro impone che venga trattenuto solo ciò che è pertinente e strettamente necessario. La nota della Procura Generale di Trento (Giovanni Ilarda) raccomanda il sequestro temporaneo di dispositivi digitali con la rapida estrazione dei soli dati utili, in linea con l’art. 253 c.p.p..

Una volta estratti i dati ritenuti necessari, l’art. 262 c.p.p. comma 1 impone la tempestiva restituzione dei dispositivi per tutelare la sfera privata del soggetto coinvolto. La Tribunale di Torino ord. 7-2-2000 ha evidenziato l’illegittimità del trattenimento inutile dei “contenitori” quando la copia integra l’accertamento. Copie residue in possesso degli inquirenti, spesso in contrasto col principio di selettività, andranno distrutte o puntualmente restituite.

Procedure operative raccomandate (passi da documentare)

Check-list minima: stato alimentazione, write blocker test, hash, doppia copia, verbale

La concretezza di queste garanzie si traduce in una check-list operativa rigorosa:

• Verificare lo stato di alimentazione dello smartphone al momento del sequestro, annotando con precisione ogni accensione o spegnimento intervenuto.
• Testare il write blocker prima di utilizzarlo, documentando esito e modalità del test.
• Calcolare l’hash del contenuto originale e di ciascuna copia, annotando i valori ottenuti.
• Realizzare almeno una doppia copia forense, preferibilmente su supporti separati, per garantire integrità e possibilità di controanalisi.
• Redigere dettagliato verbale operativo, con elenco degli strumenti, descrizione delle procedure e dei presenti, firma delle parti coinvolte.

Cosa fare in caso di hash non coincidente o write blocker difettoso

Incidenti operativi non sono infrequenti: l’hash non coincidente è il primo spia di una copia fallita. Occorre bloccare ogni elaborazione sulle copie errate, annotare dettagliatamente l’accaduto e ripetere l’intera acquisizione, sempre sotto monitoraggio. Similmente, il riscontro di un write blocker difettoso richiede l’immediata sostituzione del device e la ripetizione del test, per evitare ogni scrittura indesiderata sul supporto originario.

Non ultimo, ogni difformità va annotata, con le relative motivazioni e i passaggi correttivi adottati. Solo una rigorosa tracciabilità delle operazioni potrà salvaguardare la prova digitale e, con essa, la legittimità dell’intero procedimento.

Lo scenario che emerge è chiaro tanto quanto problematico: solo una cura maniacale nella documentazione, unitamente all’adesione alle best practices imposte da ISO/IEC 27037 e L.48/2008, può garantire la validità e, in ultima istanza, la ripetibilità dell’accertamento tecnico digitale.

Le indagini digitali sulle prove informatiche portano con sé opportunità investigative senza precedenti, ma anche il rischio costante di inficiare irreparabilmente l’integrità dei dati e i diritti processuali degli individui coinvolti. Il punto di equilibrio si trova nell’adozione intransigente degli standard tecnici più elevati, nella selezione rapida ed efficace delle informazioni utili e nella trasparenza assoluta delle procedure seguite.

Resta essenziale tenere alta la soglia di attenzione: ogni fessura nel protocollo può diventare fonte di contestazione, ogni superficialità rischia di pregiudicare mesi d’indagini. La mantella di garanzie tecniche, giuridiche e difensive va indossata senza fretta, accogliendo la cautela come alleata e assicurando a tutte le parti la piena possibilità di verifica attraverso il tempo.