INFORMATICA - CATENA DI CUSTODIA
(CHAIN OF CUSTODY)

Un oggetto fisico, un dato digitale, quando divengono "reperto" di natura forense sono qualcosa di più dell'oggetto e del dato e quel qualcosa in più che li accompagnerà sempre da lì in avanti è la loro storia tecnico/legale.

Gennaio 2007

In Italia il termine "catena di custodia" non è molto impiegato in ambito forense proprio perchè richiama inequivocabilmente il più famoso anglosassone "Chain of Custody",

"... lista dettagliata di cosa si è fatto dei dati originali una volta raccolti..." [17]

A questo proposito bisogna tornare indietro ad un altro concetto: la "scena del crimine", ossia il luogo dove è avvenuto un fatto che viola la legge penale italiana e quindi si definisce reato. Sulla scena del crimine, a seguito del processo denominato sopralluogo vengono estratti informazioni ed oggetti di interesse ai fini della risoluzione del caso per poi essere catalogati ed eventualmente sigillati. Si dice quindi che avviene un sequestro [19,20] e gli oggetti individuati e prelevati vengono denominati corpi di reato [19].

La catena di custodia deve necessariamente nascere dal sopralluogo e relativo sequestro. In particolare vi è l'obbligo di verbalizzare sia le attività del sopralluogo che quelle di sequestro (libro II° del C.P.P.) annettendo l'ovvia autorizzazione dell'A.G. procedente. I primi elementi della catena di custodia "italiana" sono quindi i verbali di sopralluogo e sequestro.

Quando l'A.G. decide di sottoporre dei corpi di reato ad analisi in un centro scientifico o quando l'A.G. decide che degli specialisti scientifico forensi devono intervenire sulla scena del crimine si ha un'analisi e ricerca sistematica e strutturata di elementi utili ai fini probatori e delle indagini. Da tale ricerca ed analisi vengono individuati reperti ed i referti. I primi possono essere corpi di reato o parti di essi che divengono oggetto di analisi mentre i secondi sono documenti che evidenziano cosa l'analisi scientifica ha potuto dedurre riguardo i reperti e come sono avvenute tali deduzioni (includono quindi i chiari riferimenti alle basi tecnico/scientifiche di esse).

Pensare che ci sia completa sovrapposizione tra reperto e corpo del reato è quanto meno illusorio. Sarebbe la situazione ottimale ma questo non è possibile generalmente per una serie di motivi:
- La P.G. che interviene sulla scena del crimine può non avere le sufficienti conoscenze tecniche per stabilire esattamente cosa sequestrare e talvolta reperti importanti vengono tralasciati in prima battuta e non sottoposti a sequestro o individuazione per poi essere successivamente individuati o richiesti in fase di analisi scientifica dell'evento.
- Un corpo di reato potrebbe al suo interno contenere più reperti da analizzare in maniera diversa o addirittura uno stesso corpo del reato potrebbe essere oggetto di più analisi scientifiche determinando di fatto che più reperti coesistano nello stesso oggetto.

Un classico e banalissimo esempio è nell'avere come corpo del reato sequestrato un PC il quale nel verbale appare descritto come "...case tower di colore... con lettore di DVD, ecc." mentre ad una prima analisi offre nel DVD drive un supporto DVD rimasto dentro durante il sequestro e non verbalizzato (la porta del drive si apre solo se il PC è attivo o se si usano particolari stratagemmi meccanici). La domanda ora è cos'è il DVD ritrovato nel drive? non è sicuramente un corpo di reato perchè non appare nel verbale di sequestro ma l'A.G. deve essere avvisata della sua presenza in quanto conviene sicuramente sottoporlo ad analisi (si tratta sicuramente di un reperto interessante dato che si trova nel PC sequestrato).

In definitiva tutti gli elementi di utilità che si individuano sulla scena del crimine sono potenzialmente reperti da analizzare e dal momento della loro individuazione arricchiranno la loro esistenza di due classi di informazioni:
- la serie di verbali che ne definisce il passaggio di mano fino all'archiviazione, distruzione o restituzione a legittimo proprietario;
- l'insieme degli elementi indiziari o probatori che possono essere determinati in via scientifica e/o deduttiva da essi (la serie dei referti e delle discussioni dibattimentali correlate).

Dal punto di vista informatico arriva ovviamente il concetto di informazione digitale a complicare ulteriormente le cose. Si può dire che l'informazione digitale estratta da una qualsiasi memoria digitale è un reperto? e cosa dire per i pacchetti di dati intercettati su una rete di computer? tali elementi possono essere sottoposti sicuramente ad analisi scientifico/forense ma sono altamente immateriali e come tali fortemente correlati, per la loro esistenza, ad un verbale che la attesti inequivocabilmente. Se ad esempio si interviene sulla scena del crimine e si preleva un dato digitale copiandolo è lecito parlare di sequestro o di acquisizione di informazioni come nel caso delle intercettazioni? se è sequestro qual'è il corpo del reato? il supporto su cui si trova copiato il dato? e la catena di custodia di tali informazioni deve riguardare il supporto o i dati?

Lascio tali domande al lettore sottolineando che nei casi reali spesso non si fa neanche caso a tali aspetti scoprendo il fianco a errori nel repertamento e trattamento forense dei dati digitali.