INFORMATICA - COPIA DIGITALE

L'assurdo di copia ed originale per i dati digitali

...se copi un documento cartaceo hai un originale ed una copia, se non fosse altro che la carta impiegata è diversa, mentre se copi un dato digitale hai due dati digitali indistinguibili, anzi...

Dicembre 2009

Se si considera il flusso finito di bit A = '0101110' e la sua copia B = '0101110' si possono fare le seguenti considerazioni:

- A e B sono sicuramente uguali in quanto due flussi A e B di bit sono coincidenti se i rispettivi valori dei bit coincidono sia per valore che per posizione.

- B è una copia di A ma nello stesso modo A è una copia di B, ossia se si considerano tali sequenze senza informazioni aggiuntive non si può stabilire quale sia l'originale.

Si noti che la metodologia di verifica dell'uguaglianza dei flussi A e B appena evidenziata pur essendo teoricamente perfetta ha delle grosse controindicazioni pratiche. Ad esempio se A e B fossero lunghe migliaia di miliardi di bit il confronto bit x bit prenderebbe un tempo enorme e potrebbe comportare errori nelle memorie digitali ospitanti. Si usa allora una metodologia di natura matematica: la funzione di hash(). Da un punto di vista pratico tale funzione crea una sintesi dei due flussi con la garanzia di unicità ed il confronto di A e B si riduce a quello di hash(A) e di hash(B).

Si può continuare ora nel discorso delle copie. La domanda che ci si pone è: può esistere un flusso di bit senza una memoria digitale che l'accumuli? da un punto di vista teorico si, basti pensare ad un qualsiasi canale di trasmissione digitale. Da un punto di vista forense NO! perchè se sul flusso devono essere fatte considerazioni legali esso si deve poter plausibilmente ripercorrere avanti e indietro, ossia deve essere memorizzato su di un supporto capace ed affidabile.

Considerando quindi due possibilità molto comuni:

(1) PC su una scena del crimine,

(2) intercettazione di dati su un canale di trasmissione digitale,

si può agire in entrambi i casi copiando i dati di interesse su di un supporto di memoria di massa affidabile. Il processo di copia e quindi in linea di principio l'azione di lettura sul sistema analizzato, non presenta generalmente pericoli di alterazione o inquinamento.

Dal punto di vista dell'inquadramento del sequestro e del relativo corpo di reato vi è qualche riflessione da fare. Nel caso (1) il corpo di reato è il PC o la copia integrale dei dati in esso contenuti? o che è la stessa cosa qual'è l'originale dei dati, quelli sul PC o quelli copiati sul supporto affidabile? ed ancora, in relazione al (2), l'originale esiste solo nella copia in quanto il flusso dati sul canale è temporaneo.

Le questioni evidenziate non sono di così semplice trattazione. La (1) si può risolvere ferreamente depositando sia il PC che il supporto che contiene la copia come due corpi di reato evidenziando la precisa azione di copia sul verbale. In questo modo, nell'ipotesi di non riaccedere ulteriormente al PC (inutile dato che si ha la copia integrale) e che la copia fatta sia certificata in maniera forense (impiego di un sistema di copia forense, presenza di personale specializzato ed attuazione di procedure riconosciute internazionalmente) e sigillata (presenza di un codice di validazione es. HASH) si può (fittiziamente) considerare che l'originale sia unico e coincidente nel supporto contenente la copia.

Sfortunatamente nel momento in cui PC e copia dei dati si dividono (es. restituzione del reperto al possessore) non vi è più modo di dimostrare che la copia è perfettamente conforme all'originale che è il PC. In un modo ancora più subdolo e sfortunato se (situazione non rara) i contenuti del PC andassero casualmente ad alterarsi o a perdersi parzialmente o totalmente la copia resterebbe l'unico originale...!!!

Su questo fatto che la copia forense dei dati è in realtà il vero originale, caso automaticamente verificato in (2) e cui spesso ci si riconduce in (1), lascio il lettore alle dovute riflessioni. Un'ottima via d'uscita potrebbe essere il considerare l'atto della copia come un atto "irripetibile" (art. 359, 360 CPP) [21,22] e quindi il risultato, cioè la copia stessa su un ben determinato supporto, come un nuovo corpo di reato distinto da quello da cui provengono i dati e ad esso legato tramite un apposito verbale di attività tecnica firmato da ognuna delle parti processuali.

Per finire è bene fare una considerazione di natura generale sulle copie dei dati a scopo di indagine o probatorio. Non si deve confondere la presumibile e giustificabile irripetibilità del processo di copia con quella dell'intera procedura che porta ad attivare il processo di copia. Il problema della copia forense, infatti, parte dall'accesso alla macchina eseguito dell'investigatore e/o dal consulente e non si limita al tipo di processo di copia che si attiva. Il migliore e più garantito dei processi di copia forense si trova facilmente indebolito da un iniziale scorretto accesso alla memoria di massa.

Si trova sicuramente interessante collegare gli argomenti di questa pagina con alcune recenti sentenze della Corte di Cassazione. L'argomento della copia e la possibilità di attaccarlo da parte della difesa, sono venuti e sempre più verranno fortemente alla ribalta.

 


Cassazione Penale Sez. I - 27.03.2009 - nr. 13645

Ricorso: "...- nullità dell'ordinanza per violazione dell'art. 360 c.p.p. in quanto le attività di estrazione dei documenti dal computer erano state eseguite da un consulente e quindi tale operazione doveva essere eseguita nelle forme dell'art. 360 c.p.p.;..." in relazione ad una perquisizione domiciliare.

Risultato: "La Corte ritiene che il ricorso debba essere dichiarato inammissibile"

Di seguito propongo alcuni estratti dei "Motivi della decisione" anche per consentire delle riflessioni.

"...L'eccezione processuale è destituita di fondamento in quanto le attività compiute per estrarre i file memorizzati sono sempre ripetibili e comunque molta documentazione era stata rinvenuta solo in forma cartacea..."

La frase un neretto potrebbe sottendere un minimo di confusione tra l'attività di copia in se stessa e l'insieme delle attività tecniche necessarie ad accedere il computer al fine di porre poi in atto una copia. Sebbene infatti il puro processo di copia sia raramente intrusivo nei confronti dell'originale (da cui si acquisiscono i dati), la sua ripetibilità non sempre è assicurabile come si è visto sopra in questa pagina.


Cassazione Penale Sez. I - 02.04.2009 - nr. 14511

Ricorso: "...a) violazione di legge e difetto di motivazione in ordine alla ritenuta natura non irripetibile, ai sensi degli artt. 360 c.p.p. e 117 disp. att. c.p.p. delle attività di estrazione di copia di file da computer;..." in relazione ad una perquisizione domiciliare.

Risultato: "Il ricorso non è fondato"

Di seguito propongo alcuni estratti dei "Motivi della decisione" anche per consentire delle riflessioni.

"...Il provvedimento di acquisizione di copia di file ritenuti utili ai fini delle indagini è disciplinato dall'art. 258 c.p.p. ed ha natura autonoma e distinta rispetto alla misura cautelare reale del sequestro (Cass, Sez. Un., 24 aprile 2008, n. 18253, Tehmil, rv. 239397). Nell'ipotesi in cui la capacità rappresentativa della res sia fornita dal contenuto dell'atto o del documento, l'Autorità giudiziaria procedente acquisisce al procedimento le copie di detti atti o documenti, disponendo la restituzione degli originali; laddove, invece, l'elemento probatorio sia infungibilmente rappresentato dall'originale del supporto cartaceo o magnetico, si determinano i presupposti per il mantenimento del sequestro..."

Molto interessante è la differenza che si fa tra copia e sequestro nonchè fondamentale il riferimento al concetto di originale che, come visto in questa pagina, non è tecnicamente così semplice da stabilire in ambito digitale. Lascio infatti al lettore di costruire, di fantasia, una situazione in cui l'elemento probatorio sia "infungibilmente rappresentato dall'originale del supporto magnetico" per verificare la difficoltà di farlo.

"...3. Ciò posto, è da escludere che l'attività di estrazione di copia di file da un computer costituisca un atto irripetibile (nel senso in precedenza indicato), atteso che non comporta alcuna attività di carattere valutativo su base tecnico-scientifica nè determina alcuna alterazione dello stato delle cose, tale da recare pregiudizio alla genuinità del contributo conoscitivo nella prospettiva dibattimentale, essendo sempre comunque assicurata la riproducibilità di informazioni identiche a quelle contenute nell'originale. Lo stesso ricorrente, del resto, non ha in concreto allegato alcuna forma di distruzione o alterazione dei dati acquisiti, tale da confortare il suo assunto, ma si è limitato a prospettare ipoteticamente alcune situazioni potenziali che esulano dalla fattispecie sottoposta all'esame della Corte..."

Anche in questo caso, come nella sentenza precedente, l'ostentazione della sicurezza nella prima frase in neretto potrebbe indicare un minimo di confusione tra copia ed atto di accesso ad un sistema informatico per (poi) copiare dei dati. La successiva frase in neretto va a rafforzare quanto appena affermato. Nell'attività di digital forensics in generale, la fase di copia è sicuramente molto delicata dal punto di vista tecnico e richiede spesso valutazioni di natura specialistica al fine di evitare problematiche ed alterazioni al supporto di origine.

marcomattiucci.it

Informatica:

Digital Copy: