La prova digitale nel processo penale

Qual’è il modo probatoriamente più efficace per documentare in giudizio lo scambio di messaggi?

di Debora Zagami

Mai come in questi anni, la capillare e potremmo dire anche trasversale (sia per ceto sociale, che per generazione) diffusione dei dispositivi tecnologici, rappresenta uno straordianario strumento per la tutela dei diritti, ma è necessario conoscere le molteplici insidie che possono rendere “inutili” questi sofisticatissimi apparecchi o addiruttura trasformarli in comode scorciatoie per malintenzionati senza scrupoli che non esitano a sfruttare a proprio vantaggio le conoscenze basilari dell’informatica.
L’utilizzazione della prova in giudizio è un argomento che non deve essere sottovalutato, quindi è assolutamente comprensibile che chi abbia un interesse in tal senso raccolga informazioni in rete per farsene un’idea, ma è indispensabile sapere che ogni branca del diritto ha una propria disciplina per l’acquisizione e l’utilizzazione della prova, e, trattandosi di norme tecniche molto complesse che debbono essere lette e interpretate non perdendo mai di vista i principi fondamentali dell’Ordinamento giuridico, della Carta Costituzionale e – non ultimo – dell’applicazione giurisprudenziale, è impossibile per il comune cittadino non addetto ai lavori comprenderne appieno il funzionamento senza l’ausilio di un professionista.
Ogni singola fattispecie è diversa dalle altre e soltanto l’Avvocato può valutare con cognizione di causa le variabili in gioco ed offrire la soluzione strategica più appropriata per il singolo caso.

La prova digitale nel processo penale, più di qualsiasi altra forma di prova, necessità di un costante aggiornamento sulle nuove tecnologie e della continua ricerca di consulenti specializzati, ma qualche piccola accortezza alla portata di tutti potrebbe rivelarsi davvero preziosa

Avere uno smartphone sempre con sé  significa poter registrare un audio in ogni occasione in cui siamo presenti (come sappiamo anche senza il consenso del nostro interlocutore) ma allo stesso tempo significa anche essere molto prudenti e meno spontanei nelle espressioni adoperate, perché in teoria potremmo essere a nostra volta registrati.
Da qui forse l’abitudine che tutti noi abbiamo sviluppato ad abbassare il tono della voce quando nel corso della conversazione vengono affrontati temi sensibili che dovrebbero restare riservati.
Certo è che quando la passione prende il sopravvento sulla ragione, diviene assai più difficile contenersi e sono proprio quelle le occasioni in cui si consumano le condotte che i Tribunali sono chiamati a giudicare, e in quelle occassioni – generalmente – è raro avere la lucidità, la prontezza o anche soltanto la possibilità di attivarsi per la precostituzione della prova.

Se ciò avviene e si riesce a registrare un file audio o a scattare una fotografia, sarà opportuno rivolgersi al più presto ad un Avvocato esperto in tecnologie digitali, così che possano essere adottate tutte le cautele e le buone prassi per l’acquisizione e la conservazione della prova da utilizzare in ambito forense

Anche nel caso in cui si possa pianificare in anticipo una strategia di acquisizione della prova, è consigliabile consultarsi con un professionista della materia, poiché non sempre quello che crediamo “incontestabile” riesce a reggere di fronte alle eccezioni presentate dai contraddittori in un’Aula di Giustizia.
In tali circostanze la prova, proprio perché “provocata” deve essere acquisita con ancora maggiore perizia, così che ogni tentativo di disconoscimento di genuinità resti precluso e se ne possa fruire nella istruttoria del processo.
Tra gli innumerevoli esempi che si potrebbero fare, si pensi ad una chat di messaggistica istantanea: qual’è il modo probatoriamente più efficace per documentare in giudizio lo scambio di messaggi?
Trattandosi di file archiviati sul dispositivo, verrebbe da dire la consegna del dispositivo, ma ci sono altre modalità meno punitive (perché privarsi del proprio dispositivo?) e altrettanto se non maggiormente sicure in termini di efficacia probatoria.
L’attendibilità della prova dipenderà in buona misura dal grado di manipolabilità di quanto prodotto in giudizio rispetto a quanto archiviato al supporto sul quale si è originariamente formata la prova: più sarà semplice modificare il file che si intende presentare a sostegno delle proprie ragioni e minore sarà la sua efficacia probatoria.


Leggi altri articoli:

File pdf: cosa sono e come funzionano

L’acronimo PDF è entrato nel linguaggio comune, ma sappiamo veramente cosa è un file pdf e come funziona?

di Debora Zagami

Senza nessuna pretesa di esaustività ed evitando tecnicismi che potrebbero allontanare dall’argomento coloro che non possiedono particolare dimestichezza con l’informatica (ma possiedono un computer o uno smartphone) cercheremo di fornire alcune nozioni basilari per migliorare e rendere maggiormente consapevole l’utilizzo di questo formidabile strumento di archiviazione digitale dei dati.

Il formato PDF (Portable Document Format) è stato ideato e predisposto per conservare o trasmettere i documenti che contengono elementi di testo o immagini in formato digitale.
Questo tipo di formato è caratterizzato da una estrema facilità di lettura, poiché indipendentemente dal sistema operativo che è installato sul nostro dispositivo (sia esso un computer, un tablet o uno smartphone) utilizzando uno dei tanti programmi gratuiti presenti sul mercato (Adobe Acrobat Reader, Anteprima ecc.) saremo in grado di creare o visualizzare pressoché tutti i documenti informatici salvati in formato PDF.
Il file PDF non contiene informazioni specifiche e questo ne consente una visualizzazione sempre identica e conforme alla originaria, a prescindere dai programmi o sistemi operativi utilizzati. Motivo, questo, per cui nel corso degli anni il formato PDF si è conquistato il primato di “formato standard” con una diffusione di utilizzo davvero impressionante, sia per la trasmissione, che per la condivisione dei documenti informatici.

La distinzione tra documento informatico e copia informatica di un documento analogico è fondamentale per comprendere appieno il funzionamento del file PDF

Il documento informatico è quel documento che in temini tecnici viene definito “nativo digitale” in quanto viene generato direttamente in formato digitale (cioè informatico) e si differenzia dalla copia informatica di un documento analogico (cioé cartaceo) proprio perché esiste a prescindere da una sua versione cartacea.
Per fare un esempio pratico, pensiamo a un foglio di testo creato al computer con un programma di videoscrittura, ebbene se lo trasformiamo in formato PDF direttamente dal computer avremo un file PDF “nativo digitale”, mentre se lo stampiamo avremo un documento analogico (cartaceo) che potrà essere scansionato e diventare nuovamente digitale, in formato PDF non nativo, poiché frutto di scansione.
Nel primo caso avremo un documento informatico (digitale) nel secondo caso si tratterà di una copia informatica (digitale) di un documento analogico.
Questa distinzione è molto importante per capire se e come si possono effettuare delle modifiche sul file PDF.
Basti pensare infatti che il file PDF generato con una scansione non potrà essere modificato con gli strumenti normalmente utilizzati e quindi se avessimo necessità di trascriverne una parte in un documento di testo, non lo potremo fare con lo strumento del copia-incolla. Operazione che invece potrà effettuarsi – in linea di massima – nel caso di file PDF “nativo digitale”.

L’oscuramento dei dati contenuti nel documento PDF

Si tratta di uno strumento di grande utilità che viene in soccorso allorché si abbia la necessità di mantenere riservate alcune delle informazioni contenute nel documento destinato alla trasmissione, diffusione o condivisione.
Nel caso di file PDF generato mediante acquisizione tramite scanner, si può procedere fisicamente (con la “sbianchettatura” tradizionale) o tramite applicativi (editor) di libero accesso e utilizzo on-line che offrono una varia gamma di strumenti (il più semlice da utilizzare è PDFescape).
Il file PDF “nativo digitale” può essere modificato tramite le funzioni presenti nello stesso applicativo che utilizziamo come lettore sul nostro dispositivo (Adobe Acrobat Reader, Anteprima ecc.).
Per capire come funziona questa tecnica di protezione dei contenuti dobbiamo provare a immaginare la struttura di un file PDF come una molteplicità di fogli trasparenti sovrapposti – chiamiamoli “livelli” – ognuno dei quali porta un contenuto.
C’è il livello dello sfondo (generalmente bianco) con sopra un livello di testo, e poi magari sopra ancora un altro livello, con una immagine.
Ebbene, una volta che registriamo le modificazioni mediante la funzione “salva” tutti i livelli si fondono insieme e la modifica effettuata sarà definitiva, nel senso che il contenuto coperto da un oggetto in un livello superiore non è più recuperabile, proprio perché non è più possibile scavare tra i vari livelli.

Che cosa sono i metadati?

Come qualsiasi file digitale, anche il file PDF, contiene metadati (in gergo dati EXIF) attraverso i quali è possibile risalire a informazioni indispensabili nel caso in cui il documento informatico venga fatto oggetto di indagine forense.
Si pensi alla data di creazione e ultima apertura o modificazione del file, al nominativo dell’utente che lo ha creato o alle caratteristiche del dispositivo su cui è stato creato.
Ebbene, se non vogliamo che tali informazioni vadano perdute in vista di una utilizzazione processuale del documento informatico, dobbiamo evitare di trasformare il file (di immagine, di testo ecc.) incapsulandolo in un file PDF.
Il pensiero è rivolto alla prassi – ormai abbastanza comune – di procedere alla acquisizione della schermata del proprio dispositivo (scrennshot) creando file di immagine in formato JPEG: si eviti, una volta crato tale file, di operare trasformazioni (direttamente o tramite scanner) poiché ciò comporterebbe la perdita completa di ogni metadato, ossia ogni riferimento temporale/informativo certo rispetto al file originario.


Leggi altri articoli:

Introduzione al Contact Tracing

Il tracciamento dei contatti – meglio noto come contact tracing – non è una strategia nuova, ma costituisce una delle basi dell’epidemiologia

di Claudio Locanto

Lo scopo del contact tracing è quello di cercare di arginare l’epidemia mettendo in quarantena preventiva coloro che sono entrati in contatto con persone già malate.
Nel caso del COVID-19, essendo questo estremamente contagioso, i tradizionali metodi di tracciamento manuali non si sono rivelati efficaci; a riprova di ciò, basti pensare che il paziente zero non è mai stato identificato. Da qui la necessità pratica di avere uno strumento che aiuti il Sistema Sanitario Nazionale e tutto il sistema paese a uscire dall’emergenza.
Lo strumento individuato è l’app Immuni, prodotta (ancora in fase beta) dalla società Bending Spoons, ma ne esistono già di diverse che si pongono lo stesso obiettivo.

App Immuni e Sistemi di Contact Tracing

Tralasciando l’effettiva utilità di un’app che da un lato non sarà obbligatorio installare, ma che per essere effettivamente utile, a detta degli addetti ai lavori, necessita di essere installata sui dispositivi di almeno il 70% della popolazione e quindi su circa 30 milioni di telefonini, è interessante analizzarne il funzionamento cercando di capire quali implicazioni possa avere Immuni o App analoghe per quanto riguarda la privacy.

Il contact tracing può essere implementato con diverse tecnologie più o meno invasive come la triangolazione rispetto alla cella telefonica agganciata, la localizzazione GPS e i contatti individuati mediante Bluetooth

Di queste, le prime due raccolgono informazioni sulla posizione della persona, rispondendo alle domande “dove è stata la persona? per quanto tempo?” questi dati possono poi essere inviati a un server centrale che incrociandole con altri dati inviati da altri dispositivi risponde alle domande “con chi è stata a contatto la persona? chi possono essere i potenziali contagiati?”
La terza tecnologia basata sul bluetooth Low Energy, fornisce informazioni relative alle persone con il quale si è venuto in contatto senza dati di posizione, rispondendo quindi esclusivamente alla domanda “con chi è venuto a contatto il dispositivo? chi possono essere i potenziali contagiati?”
Questi dati vengono salvati sul proprio cellulare pronti per essere utilizzati nel caso in cui la persona risulti positiva al test.
Questa prima distinzione viene rimarcata dalla Comunità Europea che nel documento del 15.04.2020 “Mobile applications to support contact tracing in the EU’s fight against COVID-19” ovvero “linee guida per la creazione di App per contact tracing”, vieta che qualsiasi app tenga traccia dei luoghi visitati dalla popolazione.
In altre parole, nonostante si riconosca la straordinarietà dell’emergenza, si indirizzano gli sviluppatori di applicazioni verso l’uso della tecnologia basata sul bluetooth e sulla salvaguardia della privacy degli utenti.
La società Bending Spoon è membro del Consorzio paneuropeo per la tutela della privacy, organizzazione lanciata a inizio aprile da 130 studiosi di 8 stati europei per promuovere il PEPP-PT ovvero Analisi di prossimità paneuropea nel rispetto della privacy.
L’app Immuni pertanto dovrà rispettare da un lato le direttive del GDPR e delle guide linea della Comunità Europea e dall’altro quelle tecniche, molto più stringenti, del consorzio PEPP-PT.
Seppur non siano state ancora rilasciate tutte le specifiche il funzionamento dell’app dovrebbe essere il seguente:

  1. L’utente installa l’app su dispositivi Android e IOS. L’app non richiede informazioni sull’utente ma si limita a generare un codice identificativo pseudocasuale temporaneo.
  2. Da quel momento, ogni volta che l’utente viene in contatto con un’altra persona che abbia l’app installata nel telefono avviene uno scambio di codici che vengono salvati su entrambi i dispositivi. A titolo di esempio l’utente A o meglio il suo identificativo, che esce di casa incontrerà l’utente B (con codice K83L), l’utente C (con codice L85F) e l’utente D (con codice R54T). Poiché i codici identificativi sono pseudocasuali e temporanei sul dispositivo verranno salvati solo i codici; da questi è impossibile risalire al nome dell’utente. L’App in questa fase non fa altro che salvare i codici con il quale l’utente viene in contatto
  3. Nel momento in cui l’utente A scopre di essere positivo al COVID-19 il medico che ha svolto il tampone, verificato il fatto che l’utente A abbia installato sul suo telefono l’app Immuni, chiedeall’utente se voglia comunicare agli altri utenti che lui ha contratto la malattia.
  4. Nel caso l’utente voglia effettivamente procedere il medico o chi verrà designato a tale scopo comunicherà col server che l’utente A, identificato anche questa volta esclusivamente con il codice identificativo pseudocasuale temporaneo ha contratto la malattia. Solo in questo momento dall’app dell’utente A vengono inviati a tutti gli utenti riconosciuti mediante codice identificativo un messaggio in cui si avvisa che una persona entrata in contatto con loro nei 15 giorni precedenti è positiva al COVID-19.

Questo schema di funzionamento che prende il nome di sistema decentralizzato (modello dp3t) garantirebbe tutti gli standard sulla privacy imposti attenendosi a due principi fondamentali tecnico-giuridici già presenti nel GDPR

  • Privacy-by-design: la privacy e il trattamento dei dati personali deve essere implementato sin dalla fase progettuale. E’ meglio prevenire che correggere sin dalla fase iniziale, quindi dalla progettazione di un’app, minimizzando così la possibilità che i dati utente vengano sottratti attraverso tecniche utili quali anonimizzazione e cifratura dei dati. Nel caso di Immuni, il disegno dell’app prevede dati completamente anonimizzati e comunicazioni cifrate
  • Privacy-by-default: i dati personali da trattare devono essere acquisiti nella misura necessaria e sufficiente per le finalità previste e per il periodo strettamente necessario a tali fini. Nel caso di Immuni, ad esempio, se il dato di interesse è quello della vicinanza delle persone, il sapere dove questo contatto è avvenuto, mediante ad esempio sistema GPS è da considerarsi come dato aggiuntivo.

Il secondo aspetto è legato al fatto che se si vuole essere sicuri che un qualsiasi dato non venga rubato questo non deve essere salvato. Pertanto, è necessario salvare solo i dati strettamente necessari allo scopo che un’app si prefigge

Ricordando che le specifiche tecniche non sono ancora disponibili, il problema e i tanti dubbi sull’app provengono in massima parte dal fatto che il consorzio PEPP-PT che inizialmente sosteneva l’approccio completamente decentralizzato (sistema dp3t) privacy-oriented descritto sopra, ha virato su un approccio parzialmente centralizzato.
Tale approccio si distingue dal precedente in due fasi:

  • nel momento in cui l’utente deve comunicare agli altri la sua positività al virus, invece di effettuarlo direttamente dal proprio dispositivo, carica tutti i contatti registrati negli ultimi 15 giorni all’interno di un server che li interpreta inviando il messaggio di avviso verso gli utenti;
  • la distribuzione dei codici identificativi viene gestita dal server centrale rendendo noti i codici istante per istante o ancora peggio rendendoli univoci e non variabili nel tempo. Anche se solo potenzialmente questo potrebbe comportare un tracciamento e profilazione della popolazione.

La scelta del consorzio PEPP-PT di non supportare il modello decentralizzato a vantaggio di quello parzialmente centralizzato, ha raccolto molte critiche soprattutto in ambito accademico, dove 300 scienziati hanno firmato un appello in cui si raccomanda particolare attenzione nella stesura delle linee guida.

Tutto ciò mentre i due colossi americani Apple e Google annunciano il progetto di una piattaforma comune per il contact tracing basato sul sistema decentralizzato

Appare dunque singolare che un consorzio, nato per promuovere un sistema di tracciamento che salvaguardi il più possibile la privacy dei cittadini, boicotti quello che al momento è l’unico sistema efficace e pronto all’uso, per promuovere un sistema più centralizzato che per di più è stato scartato da due multinazionali, note per profilare gli utenti a scopo commerciale e che raccolgono “dati utente” di ogni forma.
L’unico modo per mitigare almeno parzialmente i dubbi legati a questo tipo di app è quello di pubblicare il codice sorgente, rendere l’app opensource in modo che tutti gli sviluppatori possano analizzarla e valutare la genuinità o meno della stessa.


Leggi altri articoli: