Crimini informatici: identità personale VS identità digitale
L’acquisizione di dati informatici deve avvenire nel rispetto di procedure idonee a salvaguardare la genuinità, cosicché la successiva utilizzazione degli stessi in chiave probatoria e la possibilità di ritenerne sicura l’attendibilità, presuppone che la loro acquisizione sia avvenuta in modo da preservarli dal rischio, connesso inevitabilmente alla loro particolare natura, di (volontarie o accidentali) manipolazioni.
Una importante e recente pronuncia emessa dal Tribunale di Napoli, e passata in giudicato nei confronti di uno degli imputati, assolto, merita una breve analisi da parte della comunità di appassionati ed esperti di diritto delle nuove tecnologie. Il Tribunale, magistralmente analizzando i documenti in proprio possesso, conferma ed amplifica la portata, ai giorni nostri, della necessità che gli accertamenti e le indagini di natura informatica siano svolti secondo regole che consentano un margine di certezza e inequivocabile valutazione dell’elemento indiziario acquisito, prima di poter addivenire ad un giudizio di responsabilità. Diversamente, come nel caso di specie, l’imputato - presunto insider - va assolto.
Il caso, di indubbio interesse, vedeva rinviato a giudizio un dipendente di un’azienda pubblica, per avere consultato - secondo il teorema dell’accusa - la banca dati del proprio istituto, per finalità diverse da quelle connesse alla propria attività lavorativa, e per avere poi ceduto (ipotesi mai riscontrata nel processo) le informazioni acquisite, a dei presunti complici esterni, che si sarebbero sostituiti agli effettivi beneficiari dei mandati di pagamento, procedendo, in loro vece, ad incassare pensioni, rimborsi, emolumenti e quant’altro.
La richiesta di rinvio a giudizio abbracciava una notevole quantità di ipotesi di reato, dall’associazione a delinquere ex art. 416 comma 2 e 5 c.p., all’accesso abusivo ad un sistema informatico-telematico ex art. 615 ter comma 1 e 2 c.p., 61 n. 2, c.p., 81 c.p., 494 c.p., 648 c.p. e 640 cpv. n. 1 c.p., riferimenti normativi dei capi di accusa mossi per la maggior parte degli imputati coinvolti.
La causa in oggetto poneva all’attenzione del Collegio Giudicante un quesito - indiretto - ed importante, cui nessun Tribunale oggi si dovrebbe sottrarre dal dover rispondere: è possibile, in una società ipertecnologica come quella attuale, addebitare una responsabilità per un fatto di reato, ad un individuo, quando gli unici elementi che lo vedono potenzialmente implicato nella vicenda, sono da ricondursi alla sua password ed al proprio username? Possiamo cioè equiparare l’identità digitale, così acquisita, all’identità personale e reale? Oggi ognuno di noi, è, di fatto, la password che digita?
E soprattutto, è possibile procedere in questa direzione quando viene a mancare la certezza che il sistema informatico e telematico dell’azienda - pubblica o privata che sia - sia stato, al tempo dei fatti, effettivamente “sicuro” ed a norma di legge, sotto il profilo del trattamento dei dati personali, e quindi della sicurezza informatica dei propri sistemi (almeno così da garantire che il dato acquisito sia integro)?
La problematicità della vicenda dal punto di vista probatorio diventa ancora più delicata se si considera che, parte dei file connessi agli addebiti mossi contro il presunto insider, rinviato a giudizio e poi assolto, erano stati forniti alla P.G. tramite “consegna” manuale da parte della stessa parte offesa, di un cd contente un file di excel, all’interno del quale si sarebbero rinvenuti i presunti indizi (connessioni telematiche e relativa utenza cui addebitarle) in ordine agli accessi abusivi al sistema informatico.
Richiamando la novella normativa n. 48 del 2008, il Tribunale, ne riteneva, di fatto, applicabili almeno i principi che la sottendono. Il Tribunale infatti, con una sentenza passata in giudicato per il solo presunto - insider - assolto e riammesso sul posto di lavoro, dopo oltre 6 anni di calvario giudiziario, si esprime in maniera chiara e netta proprio sugli accertamenti informatici, così finalmente esigendo che, anche in tema di reati informatici e di indagini che coinvolgono supporti digitali, la prova sia certa ed inequivocabile, prima di addivenire ad un giudizio di condanna. Altrimenti, nel dubbio, e soprattutto, nella contraddittorietà del risultato probatorio acquisito al dibattimento, proprio in funzione della fragilità del dato digitale, i Giudici si esprimono con un giudizio di assoluzione, almeno nella formula di cui all’art. 530 cpv c.p.p.
Da pagina 23 e seguenti del testo integrale della sentenza, il Tribunale osserva come la linea evidenziata dal collegio dei difensori, nel caso di specie, sia fondata e ponga adeguati interrogativi funzionali alla decisione che i Giudici assumeranno. I risultati emergenti dalla lettura incrociata dei file di log dei diversi tabulati acquisiti al processo, e anche relativi alle intercettazioni telefoniche, nonché ad una parziale attività di geolocalizzazione, lasciavano pacificamente intendere che qualcosa, nell’intero pacchetto di informazioni acquisite in sede di indagine, strideva fortemente. Non ultima, l’anomalia riscontrata in merito agli accessi abusivi al sistema informatico e telematico lasciava intendere che, gli stessi accessi, si erano perpetrati con modalità incompatibili con la normale capacità operativa di un essere umano.
Le altre forti contraddizioni emerse (cfr. pag. 27 e 28 della sentenza) portano a ritenere che, in caso di evidente contraddittorietà ed insufficienza della prova, occorre una sentenza di assoluzione. Tanto da poter affermare, così come fa il Collegio giudicante, che l’acquisizione di dati informatici deve avvenire nel rispetto di procedure idonee a salvaguardare la genuinità, cosicché la successiva utilizzazione degli stessi in chiave probatoria e la possibilità di ritenerne sicura l’attendibilità, presuppone che la loro acquisizione stessa sia avvenuta in modo da preservarli dal rischio, connesso inevitabilmente alla loro particolare natura, di (volontarie o accidentali) manipolazioni.
(Nota di Bruno Fiammella e Andrea Ghirardini)
Sentenza 15 luglio 2013, n. 10812
da Altalex.com