Attività difensive inerenti alla prova digitale
Le attivita’ del difensore inerenti alla prova digitale.
1 Premessa.
Il ricorso sempre più frequente a investigazioni di tipo informatico da parte degli inquirenti, le denunce di vittime dei reati che contengono il riferimento a dati informatici e allegano i relativi files, la necessità dell’indagato di introdurre, a sua volta ulteriori dati digitali non acquisiti nel corso delle indagini del PM e il consequenziale utilizzo di tali prove di natura digitale nel processo penale impone un accertamento circa le attività che il difensore penale può compiere.
2 Definizioni essenziali : computer forensic e digital evidence
La computer forensic ha avuto origine in ambito militare negli anni 80 ed ora viene definita come quella "disciplina che combina aspetti tecnologici e giuridici al fine di identificare, raccogliere, preservare ed infine esaminare dati o informazioni provenienti da qualunque apparato o sistema informatico”.
Digital evidence è, invece, "ogni informazione probatoria la cui rilevanza processuale dipende dal contenuto del dato o dalla particolare allocazione su una determinata periferica, oppure dal fatto di essere stato trasmesso secondo modalità informatiche o telematiche” ossia prova "di natura digitale.
E’stato chiarito che la prova di natura digitale è equiparabile, latu sensu, alla prova documentale, ma mutano, profondamente le modalità di acquisizione: un documento cartaceo viene rinvenuto, prodotto o acquisito nella sua materialità, il documento informatico, stante la sua immaterialità, deve essere primariamente scorporato dal suo supporto che è la fonte di prova, e quindi rinvenuto a volte in spazi virtuali enormi e tra una congerie di altri dati, molti dei quali irrilevanti per la utilizzazione nel procedimento penale.
3 Le operazioni di acquisizione del materiale informatico.
Acquisire materiale informatico al fine di un procedimento penale è una operazione complessa tanto quanto lo sono le altre operazioni di acquisizione di reperti sulla scena del crimine.
Detta operazione deve essere svolta cercando di dimostrare la utilizzabilità del mezzo informatico da parte di una certa persona, e quindi la effettiva utilizzazione del contenuto ”informatico” al fine di realizzare condotte che sono sotto l’esame degli inquirenti oppure oggetto delle denunce di persone offese.
La attività suddetta dovrebbe svolgersi secondo la presente sequenza:
1)accesso ai luoghi ove è presente la apparecchiatura informatica;
2)fotografia dei luoghi e delle apparecchiature;
3)rilievo delle impronte digitali presenti sugli accessori dell’apparecchio (tastiera, mouse, tasti di accensione, schermo)
4)verifica dello stato di attività delle connessioni di rete e dei computer
5)salvataggio delle operazioni informatiche in corso;
Una volta compiute queste attività di carattere materiale si procede a svolgere attività più specifiche quali :
6) La messa in sicurezza del materiale informatico;
7) custodia del materiale informatico.
Fino a questo momento abbiamo una attività di raccolta e di conservazione delle fonti di prova.
Successivamente si procede ad attività investigative vere e proprie quali la ricerca e l’eventuale ritrovamento dei dati all’interno della memoria elettronica e quindi all’interpretazione dei dati e alla sistemazione degli stessi in ordine logico.
4 .Gli strumenti giuridici per le attività di computer forensic
Le prime operazioni di sopralluogo, di reperimento degli strumenti e di acquisizione dei dati e di messa in sicurezza degli stessi vengono effettuati attraverso quelle attività, definite "mezzi di ricerca della prova”, che il codice di rito penale pone a disposizione del della polizia giudiziaria e del PM.
Gli stessi, individuati dal libro II titolo III del codice di procedure penale, possono così elencarsi:
Ispezione di luoghi o cose (art. 246.cp.p.);
Perquisizioni locali (art. 250 c.p.p.);
Perquisizioni nel domicilio (art. 251 c.p.p.);
Sequestro (art. 253 c.p.p.) del corpo del reato e delle cose pertinenti al reato
Ed in particolare :
Sequestro di dati informatici presso fornitori di servizi informatici, telematici o di telecomunicazioni (art. 254 bis c.p.p.);
Intercettazioni di comunicazioni o conversazioni (artt. 266 e ss c.p.p.).
Nella prassi, di solito con il sequestro si ritrova la cosa oggetto del reato, corpo del reato o pertinente al reato, più specificamente l’apparecchio telefonico o telematico oggetto di osservazione, e lo si sottopone a sequestro ossia lo si toglie dalla disponibilità del possessore.
Per rintracciare l’apparecchiatura mobile contenente i dati da sottoporre a verifica, le Procure possono anche disporre perquisizioni "mirate” sia personali che locali che domiciliari al fine di reperire l’oggetto della ricerca.
Nella ipotesi in cui l’autorità giudiziaria voglia disporre il sequestro dei dati di traffico e ubicazione o altri dati detenuti presso i fornitori di servizi informatici, telematici o di telecomunicazioni, deve ai sensi dell’art. 254 bis c.p.p., può acquisire detti dati dal gestore stabilendo che la operazione avvenga mediante acquisizione di una copia degli stessi su adeguato supporto con "una procedura che assicuri la conformità dei dati acquisiti a quelli originali e la loro "immodificabilità”.
Anche successivamente al sequestro il Pm può disporre la ispezione di cose con decreto motivato.
Il decreto ai sensi dell’art. 244 c.p.p., deve indicare le motivazioni per le quali si ritiene che nella memoria dei dispositivi vi possano essere tracce del reato.
In ogni caso nella ipotesi in cui nel dispositivo non via siano tracce o siano state rimosse, l’autorità giudiziaria descrive lo stato attuale e, in quando possibile, verifica quello preesistente, curando anche di individuare modo, tempo e cause delle eventuali modificazioni.
Di solito i PM dispongono che nel corso dell’ispezione si deve procedere a riversare il contenuto della memoria dei dispositivi su supporti durevoli non riscrivibili adottando le misure tecniche dirette ad assicurare la conservazione dei dati originali.
IL PM può anche chiedere di disporre intercettazioni telefoniche sugli apparecchi telefonici o telematici dell’indagato al fine di ottenere prove o indizi per l’attività investigativa.
L’art. 266 c.p.p, indica quali sono i reati per i quali è consentito ed ammissibile procedere alla intercettazione di conversazioni o comunicazioni o di altre forme di telecomunicazione.
Tale elenco, una volta riservato ai reati più gravi, è stato a seguito di vari interventi legislativi succedutisi nel tempo, aggiornato: ultima modifica quella apportata dal D.L. n. 93/2013 che ha inserito anche il reato di atti persecutori (art. 612 bis) tra quelli per i quali è possibile disporre la intercettazione del flusso di comunicazioni.
In ogni caso la intercettazione è lo strumento, a disposizione esclusiva del PM, per recuperare materiale utile per l’investigazione.
Sul materiale acquisito il PM (così come anche il difensore) può svolgere, a mezzo di tecnici, operazioni di consulenza, così come prevede l’art. 233 c.p.p..
Ai sensi dell’art. 366 c.p.p. , così come modificato dalla legge n. 397/2000, il difensore può esaminare le cose sequestrate nel luogo in cui esse si trovano e se si tratta di documenti, può estrarre copia.
5.Le attività del difensore: spazi di intervento nel corso delle indagini e attività autonoma.
Nell’ambito delle attività di computer forensic il difensore penale deve distinguere la sua attività a seconda che gli accertamenti digitali siano compiuti o siano stati compiuti dal Pubblico Ministero oppure che si tratti di accertamenti di iniziativa della difesa stessa, personalmente, a mezzo consulente e quindi con lo strumento giuridico delle investigazioni difensive.
5.1. Accertamenti del PM. Diritti della difesa e attività necessaria.
Occorre distinguere le varie fasi delle operazioni di computer forensic : perquisizione, sequestro, ispezione, consulenza del PM.
Perquisizione.
Nella ipotesi di una "perquisizione” disciplinata dagli artt. 247 e seguenti c.p.p la parte ha diritto di farsi assistere da persona di fiducia purchè prontamente reperibile e idonea, cioè di maggiore età e non sottoposta a misura di sicurezza.
Naturalmente l’indagato può chiedere l’intervento del difensore di fiducia che assisterà alle operazioni non appena reperito e giunto sul posto: la sua presenza, tuttavia, non è necessaria ed indispensabile l’atto è valido anche senza la presenza del difensore.
Sequestro.
Anche nella ipotesi di sequestro la presenza del difensore non è prescritta a pena di nullità. Il difensore, se arriva in tempo vi assiste.
Ispezione.
Anche il decreto di ispezione prevede la sola possibilità per l’indagato di chiamare persona di fiducia.
In tutti e tre i casi però, laddove, il procedimento sia già iniziato e la persona sottoposata ad indagini abbia già un difensore costui va avvisato.
Ai sensi dell’art. 366 c.p.p. i verbali e gli atti di p.g. cui il difensore ha diritto di assistere sono depositati entro il terzo giorno presso la segreteria del PM con facoltà per il difensore di esaminarli ed estrarne copia.
Il difensore se non è stato notiziato del compimento dell’atto ha diritto a ricevere avviso di deposito e quindi, come detto sopra, ha facoltà di esaminare le cose e d estrarre copia dei documenti.
Tuttavia il pm può, in tali casi, con decreto motivato, e per comprovate esigenze legate alle indagini ritardare il deposito entro un termine massimo di 30 giorni ( (art. 366 comma2).
4.2 Le operazioni di computer forensic. Inquadramento giuridico. La posizione della Giurisprudenza.
Abbiamo scritto in precedenza che tale attività si svolge attraverso il sequestro informatico (acquisition) e poi con perquisizione della memoria dell’hard disk (extraction).
Dottrina e Giurisprudenza si sono poste il problema se queste attività rientrano tra gli atti ripetibili o irripetibili.
Secondo la dottrina trattasi di "accertamento tecnico irripetibile” ai sensi dell’art. 360 c.p.p.: la spiegazione è che, secondo alcuni autori, sarebbe altissimo il rischio che le prove digitali vengano contraffatte o manipolate.
La Giurisprudenza, però è di contrario avviso: "Non da luogo ad accertamento tecnico irripetibile la lettura dell’hard disk di un computer sequestrato, che è attività di polizia giudiziaria volta, anche con urgenza all’assicurazione delle fonti di prova. Quindi ripetibile” (Cass. sez. I 25.2.2009 n. 11503)
Sul punto, la Giurisprudenza di legittimità non mostra tentennamenti ed anche quella di merito ritiene che gli organi investigativi, avendo le competenze base e le conoscenze professionali adatte, possono procedere ad operazioni di carattere tecnico su un dispositivo elettronico.
Il Tribunale di Perugia, a mò di esempio, ha ritenuto pienamente utilizzabile ai fini decisori un filmato video acquisito mediante copia su CD –Rom della memoria labile di una telecamera a circuito chiuso in quanto tale operazione di acquisizione, effettuata ai sensi dell’art. 354 c.p.p. dalla p.g., "non può considerarsi né ontologicamente irripetibile, né assoggettata alle forme dell’accertamento tecnico ex art. 360 c.p.p. in quanto consistente soltanto nella raccolta di dati materiali pertinenti al reato ed alla sua prova”( Trib Perugia 9.4.2008).
In materia, tuttavia, ci sarebbe la norma dell’art. 360 c.p.p. che prevede che allorquando "gli accertamenti di polizia giudiziaria riguardano persone, cose o luoghi il cui stato è soggetto modificazione il pubblico ministero avvisa senza ritardo la persona sottoposta ad indagini, la persona offesa ed i difensori del giorno ed ora fissati per il conferimento dell’incarico”.
E ancora più pertinente il richiamo contenuto nell’art. 117 disp. att. c.p.p.: "Le disposizioni di cui all’art. 360 del codice si applicano anche nei casi in cui l’accertamento tecnico determina modificazioni delle cose, dei luoghi o delle persone tali da rendere l’atto non ripetibile.”
Ma anche su questo profilo la giurisprudenza di legittimità ritiene che le operazioni di acquisizione di dati da uno strumento elettronico o telematico sia atto ripetibile e non "irripetibile”.
Sul punto si è espressa Cassazione I sezione penale (n. 11503/2009), a seguito di ricorso dell’imputato ai sensi dell’art. 311 c.p.p., cioè in sede cautelare: "la lettura di hard disck non integra affatto atto irripetibile, perché la lettura di esso ha consentito di ipotizzare l’esistenza del reato a carico del ricorrente, perché quest’ultimo è del tutto estraneo ai diritti difensivi di altre parti del processo, perchè l’attività svolta al riguardo dalla p.g. rientra tra quelle svolte ai sensi dell’art. 348 c.p.p. e articolo 354 comma 2 c.p.p. e perché infine, possibile nel prosieguo del processo ogni attività difensiva dell’imputato il quale, se del caso, potrà far valere, quando sarà e se sarà eventualmente accertata l’alterazione del disco informatico, alterazione allo stato soltanto affermata dalla difesa del ricorrente, peraltro persona diversa dal proprietario del computer, e si ribadisce per nulla accertata”.
In tale fattispecie il ricorrente si lamentava, ai sensi dell’art. 606 comma 1 lettera b) ed e) della violazione degli articoli 273 c.p.p., art. 117 disp. Att. C.p.p. e 360 c.p.p. " perché l’hard disk rimosso dal computer sequestrato all’imputato sarebbe stato letto senza la presenza dei difensori e senza la possibilità che tecnici della difesa presenziassero all’operazione, delicata perché cagione certa di alterazione del disco prelevato”.
La Corte ha ritenuto di disattendere le doglianze difensive e catalogare l’attività di acquisizione e di lettura del materiale informatico "atto ripetibile”.
L’indirizzo della Cassazione non è mutato e già nell’anno 2010 la sezione III penale con sentenza n. 14827 del 16.4.2010, sia pure con riferimento ad altra fattispecie investigativa quale il prelievo di materiale biologico, ribadiva che l’attività di prelievo va tenuta distinta dall’attività di consulenza del materiale e che comunque il prelievo del DNA viene ritenuto atto irripetibile e tuttavia rientra nella previsione dell’art. 354 c.p.p. che consente agli operanti di pg di agire nell’immediatezza.
E lo stesso si leggeva in quella sentenza, valga per il rilevamento delle impronte dattiloscopiche –papillari.
Tale indirizzo non è mai mutato e ad esso bisogna fare riferimento anche con riguardo alle possibilità di utilizzo di quegli accertamenti nel corso del procedimento penale.
5.3. Le attività possibili da parte della difesa privata.
Pertanto in definitiva è possibile, avendo riguardo alle garanzie partecipative del difensore , effettuare tale sintesi:
Nel corso delle indagini:
a) al momento della perquisizione può essere presente se contattato tempestivamente dall’assistito e recarsi in tempi brevi sul luogo delle operazioni;
b) al momento del sequestro può essere presente se contattato tempestivamente dall’assistito e recarsi in tempi brevi sul luogo delle operazioni;
c) in caso di ispezione può essere presente se contattato tempestivamente dall’assistito;
d) non ha diritto di essere avvisato formalmente nella ipotesi di lettura dell’hard disk da parte degli inquirenti trattandosi di attività ripetibile in quanto effettuata sul duplicato clone estratto dalla memoria del computer.
e) il PM ai sensi dell’ art. 233 c.p.p. può nominare, anche al di fuori dei casi di perizia, uno o due consulenti tecnici che espongano al giudice il loro parere e il difensore non partecipa a tali operazioni;
f) ha diritto all’avviso di deposito e può estrarre copia dei documenti depositati ( art. 366 c.p.p.)
g) può nominare un proprio consulente di parte ai sensi dell’art. 233 c.p.p.
Nel corso del dibattimento:
a)i verbali di perquisizione e sequestro sono atti irripetibili e pertanto vengono acquisiti ai sensi dell’art. 431 comma 1 al fascicolo del dibattimento;
b) la perquisizione sulla memoria dell’hard disk è atto ripetibile ed il supporto informatico, parificato a tutti gli effetti ad un documento sarà inserito nel fascicolo del PM e quindi, una volta escusso a dibattimento il teste di polizia giudiziaria che ha effettuato la perquisizione informatica, sarà acquisito agli atti del fascicolo.
c) Può contro esaminare il teste del PM;
d) può esaminare il proprio consulente e chiedere l’acquisizione della sua relazione;
e) può chiedere la Giudice che nomini un perito per l’esame del materiale informatico prodotto in udienza.
Il difensore dell’indagato quindi, non viene coinvolto inizialmente in maniera "ufficiale” negli atti di indagine relativi alla acquisizione della prova digitale ed "assiste” (tranne che per i diritto di contro esaminare il teste del PM) alla acquisizione dei "risultati” degli stessi nel fascicolo del dibattimento: il suo ruolo è posto ai margini di questa rilevante attività.
Solo in caso di ispezione personale disposta dal PM e alla quale deve partecipare la persona sottoposta ad indagini è prevista la presenza del difensore ai sensi dell’art. 364 comma 4 c.p.p..
Nella ipotesi che proceda la polizia giudiziaria ad ispezione personale o sulle cose non è prevista la presenza del difensore ma solo l’avviso.
E’ evidente che, in tal caso, il difensore catapultato sul luogo dove la polizia giudiziaria sta effettuando un sopralluogo, una perquisizione finalizzata al sequestro, non ha grandi margini di manovra se non la possibilità di effettuare una attività di "controllo” a favore del proprio assistito.
Ai sensi dell’art. 364 comma 7, in tali occasioni, è addirittura vietato fare segni di approvazione o disapprovazione per coloro che intervengano agli atti.
Al difensore, in tale occasione, è riservato uno stretto ambito di manovra: può "presentare al pubblico ministero richieste, osservazioni e riserve delle quali è fatta menzione nel verbale”.
Ai sensi dell’art. 360 c.p.p., più volte richiamato, il difensore ha diritto all’avviso di deposito, può visionare le cose sequestrate e fare copia dei documenti (quindi anche dei documenti informatici).
5.4 Come possono attuarsi, allora le strategie difensive utili alla posizione dell’indagato.
A parere di chi scrive vanno distinte tre ipotesi, a seconda che l’attività del difensore intervenga:
a) al momento della ispezione del computer e della lettura dell’hard disk,
b) dopo la lettura e l’analisi dell’hard disk ;
d) preventivamente a tutte tali operazioni.
a)Intervento al momento della perquisizione o sequestro.
Il difensore rimane a margine della attività, spesso frenetica, ed osserva anzi deve osservare attentamente quello che accade.
La stessa manualistica investigativa prescrive che "la prova di natura informatica, per sua stessa natura risulta essere di una fragilità estrema e quindi può essere facilmente alterata, danneggiata o persino distrutta nel corso delle attività di semplice manipolazione o esame” (Testo "Scienze Forensi” capitolo 26 "I computer e i reati” pag. 453 a cura di Picozzi e Intini).
Questo rilievo fa intendere che la presenza di un consulente al fianco del difensore sarebbe quanto meno opportuna.
Naturalmente, però, di queste operazioni verrà redatto un verbale e quindi il difensore dovrà curare che tutto quanto rilevato venga fedelmente trasposto nel detto verbale, soprattutto con riguardo a determinati punti:
>Documentare l’hardware e la configurazione software del sistema informatico del soggetto che procede all’esame delle prove digitali;
>Verificare la rispondenza tra le dotazioni dichiarate e la reale disponibilità da parte di chi procede all’accertamento;
>Controllare le operazioni di memorizzazione dei dati: l’unità dati sui salvare le informazioni da esaminare deve essere pulita e intonsa;
>Controllare che vengano indicati in maniera formale tutti i dischi, cd, dvd, pendrive che vengono rinvenuti e che vengano annotate azienda produttrice, modello e numero seriale nonché aspetto esteriore e dimensioni e luogo esatto di rinvenimento.
>acquisire elementi utili dal proprio assistito.
b) Intervento successivo all’esame ed alla analisi dei dati estratti
In tal caso il difensore deve provvedere subito all’esame del lavoro svolto dai delegati o dai consulenti del PM.
Tale materiale sarà messo a disposizione del difensore con l’avviso ex art. 366 c.p.p. oppure, in seguito, con l’avviso ex art. 415 bis oppure, in caso di applicazione di una misura cautelare saranno allegati alla richiesta di applicazione della misura.
L’esame della relazione tecnica contente di solito anche l’analisi dei dati, e la loro sistemazione in ordine cronologico e logico, è importante per comprendere su quali basi si muove l’ipotesi accusatoria del PM.
Nella ipotesi che il nostro assistito confermi l’utilizzo dell’hard disk sottoposto a sequestro e successivo esame, e confermi l’invio di determinati dati a persone terze oppure l’utilizzo di determinati siti al fine dell’acquisizione di un determinato tipo di immagini (ad es. se la contestazione è il reato di pedopornografia di cui all’art. 604 quater o di pornografia virtuale di cui all’art. 600 quater.1), il difensore non avrà questioni da porre in merito alle digital evidence acquisite.
Potrebbe, però, anche accadere che l’assistito neghi l’utilizzo del pc o del notebook o di altri apparecchi mobili oggetto di indagine, ebbene in tal caso sarà necessario dimostrare che quegli apparecchi non erano in uso all’indagato e a tal proposito sarà necessario verificare se la polizia giudiziaria abbia provveduto a effettuare rilievi dattiloscopici sulle tastiere del pc, o sui display di detti apparecchi o abbia acquisito la intestazione delle licenze degli apparecchi, o abbia rilevato altri dati circostanziali che possano di fatto rappresentare che persona diverse dall’indagato hanno avuto in uso le apparecchiature informatiche.
Nella ipotesi in cui, invece, l’indagato contesti l’invio di determinati files o l’utilizzo e l’acquisizione di determinate immagini, o ancora ravvisi la manomissione dell’apparecchio, sarà indispensabile nominare un consulente di parte che verifichi analiticamente il lavoro svolto dagli inquirenti e fornisca al difensore gli strumenti tecnici per sostenere la tesi rinvio a giudizio.
La nomina del consulente può essere fatta in qualsiasi momento a mente dell’art. 233 c.p.p.. ed i risultati presentati al giudice procedente.
Atteso che i risultati delle investigazioni operate su incarico del PM saranno acquisiti, dopo l’esame del testimone che vi ha proceduto, al fascicolo del dibattimento, è utile e opportuno che il consulente di parte della difesa svolga la sua consulenza prima del dibattimento, venga inserito nella lista testi della difesa e venga escusso a dibattimento.
Il difensore può anche svolgere investigazioni difensive presentando poi al Giudice i risultati di tali investigazioni.
Poniamo il caso che si tratti del reato di atti persecutori o di molestie o di maltrattamenti, e la persona offesa abbia allegato alla denuncia quei files e quelle trascrizioni delle comunicazioni telefoniche o telematiche con le quali vuole dimostrare la esistenza del reato.
L’indagato o imputato a questo punto, intende produrre altri digital forensic che comprovano il contrario o che lo discolpano.
In questo caso, sarà necessario produrre quei files al Giudice o in dibattimento se è già fissata la udienza dibattimentale, e per fare questo occorre non solo trascrivere i dati ma anche fornire il supporto informatico sul quale sono sati salvati nonché l’apparecchio dal quale sono stati estrapolati.
Anche in tal caso è necessario farsi coadiuvare da un consulente tecnico esperto di informatica.
c) Intervento preventivo all’apertura di un procedimento penale.
Può anche ricorrere la ipotesi che il difensore abbia necessità di esaminare un apparecchio informatico prima dell’apertura di un procedimento penale ed al solo scopo di verificare dati, oppure di precostituirsi in anticipo una prova a sua favore nella eventualità che nasca una indagine ed un processo penale nei confronti del proprio assistito.
Ai sensi dell’art. 327 bis c.p., come è noto, "Fin dal momento dell’incarico professionale, risultante da atto scritto, il difensore ha facoltà di svolgere investigazioni per ricercare ed individuare elementi di prova a favore del proprio assistito”
Tali attività si svolgono con le modalità previste dagli articoli 391 bis e ss. C.p.p. (investigazioni difensive) e ai sensi dell’art. 391 nonies, tale attività può essere svolta anche dal difensore che ha ricevuto apposito mandato per l’eventualità che si instauri un procedimento penale.
Il difensore ha in ogni caso "facoltà di svolgere investigazioni per ricercare ed individuare elementi di prova a favore del proprio assistito”.
Tali attività possono essere svolte, su incarico del difensore, dal sostituto, da investigatori privati autorizzati e, quando sono necessarie specifiche competenze, da consulenti tecnici.
Naturalmente, competenza e rigore professionale sono qualità necessarie per svolgere compiti delicatissimi.
Il difensore infatti, a mente dell’art. 391 bis c.p.p primo comma può acquisire notizie ascoltando persone in grado di riferire circostanze utili ai fini dell’attività investigativa.
Può anche nominare un sostituto, un investigatore privato o un consulente per ascoltare le persone che possono fornire informazioni.
Detta attività, ai sensi dell’art. 391 nonies può essere svolta dal difensore, che abbia ricevuto apposito mandato, anche in via preventiva e "nell’eventualità che si instauri un procedimento penale”.
Il difensore può anche, ai sensi dell’art. 391 septies, procedere all’accesso ai luoghi e richiedere documentazione con le stesse modalità ossia da solo o con l’aiuto degli ausiliari indicati nell’art. 391 bis c.p.p..
In forza di tale normativa potrà procedere ad acquisire informazioni circa l’utilizzo effettivo della strumentazione informatica, procedere al salvataggio di dati in maniera tecnicamente corretta nella ipotesi in cui tali dati fossero occorrenti per sostenere la propria tesi difensive: si pensi all’ipotesi in cui l’indagato tema che il suo interlocutore possa cancellare o distruggere messaggistica di rilievo o altri dati scambiati in precedenza (files audio o immagini).
Quindi una serie di attività sono sempre possibili per una difesa privata che, naturalmente sia accorta ed attenta a reperire e preservare le digital evidence utile a sostenere le proprie ragioni e sappia farlo nel rispetto delle norme giuridiche e delle procedure tecniche indispensabili perché i dati vengano custoditi in sicurezza.
Avv. Filippo Castellaneta
Bibliografia essenziale :
"La prova penale” a cura di A,Gaito Vol. II cap. XXII "la ricerca della prova nelle indagini difensive " di Luisa Saponaro .
"Codice sell’indagine difensiva penale” a cura di E. Stefani;
"Le attività investigative inerenti alla prova di natura digitale” di F.M. Molinari in Cassazione Penale vol 3 anno 2013 pagg.1259 e ss.;
"Il Giudice , la scienza e la prova” di G. Ubertis in Cassazione Penale vol. 11 anno 2011 pagg. 4111 e ss.
"Digitale evidence e processo penale di L. Marafioti in Cassazione Penale vol.12 anno 2011 pagg. 4509 e ss.
"I computer e i reati” in "Scienze forensi, teoria e prassi dell’investigazione scientifica” a cura di Picozzi-Intini , cap. 26 "i computer e i reati” di U. Rapetto