Quesito in tema di accertamenti digitali (individuazione Ip address)InquadramentoI molti reati che possono essere commessi mediante la rete internet impongono spesso di accertare compiutamente da quale utenza sia stata inviata un'e-mail, postato un commento, aperta un'applicazione, eseguito un software, effettuato l'accesso a un sito, etc. (le indagini di tipo tradizionale dovranno poi ricollegare la singola utenza alla persona fisica che abbia materialmente posto in essere la condotta penalmente rilevante). FormulaN. ... / ... R.G.N.R. PROCURA DELLA REPUBBLICA PRESSO IL TRIBUNALE DI ... Proceda il consulente tecnico [1] all'analisi del traffico telematico come risultante dai tabulati acquisiti con decreto del Pubblico Ministero in data ... [2], sulla base dei file di log [3] e comunque di tutti i dati relativi - all'indirizzo IP [4] ... (ISP [5], Caller ID [6] Aprinota Con Caller ID, CLID (Calling Line IDentifier) o CLI si indica l'utenza chiamante. Il provider è in grado di individuare la effettiva provenienza (ovvero, in parole povere, l'intestatario dell'abbonamento adsl o di altro tipo) e comunicherà tali informazioni nella propria risposta al decreto di acquisizione dei tabulati. Chiudinota, copertura del reale indirizzo IP mediante utilizzo di server Proxy o con altre modalità, etc.). (ovvero) - all'indirizzo e-mail ... @ ... .it (ivi compresi attivazione dell'indirizzo e cambi password). Riferisca, infine, di ogni ulteriore elemento egli ritenga necessario per l'accertamento dei fatti e comunque utile ai fini di giustizia. 1. Il quesito, oltre che a un consulente tecnico, può essere anche posto direttamente a competente personale della polizia giudiziaria, non necessariamente con le forme degli accertamenti ex art. 359 c.p.p. 2. I dati relativi al traffico telematico, esclusi comunque i contenuti delle comunicazioni, sono conservati dal fornitore per dodici mesi dalla data della comunicazione. Entro questo termine, i dati sono acquisiti presso il fornitore con decreto motivato del Pubblico Ministero anche su istanza del difensore dell'imputato, della persona sottoposta alle indagini, della persona offesa e delle altre parti private. Il difensore dell'imputato o della persona sottoposta alle indagini può richiedere direttamente al fornitore i dati relativi alle utenze intestate al proprio assistito con le modalità indicate dall'art. 391-quater c.p.p. (art. 132, d.lgs. n. 196/2003). 3. I file su cui sono memorizzate le registrazioni sequenziali e cronologiche delle operazioni eseguite da un sistema informatico o comunque da un dispositivo digitale da parte di un utente o con modalità automatizzate. 4. L'indirizzo IP (Internet Protocol address) è una sequenza di caratteri numerici (4 serie di numeri, separate da un punto, ognuna delle quali va da 0 a 255) che identifica univocamente un dispositivo (host) collegato alla rete internet. Gli indirizzi IP dinamici identificano dispositivi non permanenti in una rete locale (LAN - Local Area Network). Gli indirizzi IP statici identificano dispositivi semi-permanenti con indirizzo IP permanente. Grazie a particolari accorgimenti (in particolare, utilizzo di specifici software), è possibile mascherare il proprio effettivo indirizzo IP, rendendolo non rintracciabile (ovvero non facilmente rintracciabile). Il DNS (Domain Name System, “Sistema dei nomi di dominio”) è utilizzato per la risoluzione dei nomi dei server da indirizzi logici e testuali (URL - Uniform Resource Locator, ad esempio giuffre.it) in indirizzi IP. Il suffisso finale degli indirizzi IP (Top Level Domain, “Dominio di primo livello”) può essere, per quanto qui rileva, - nazionale (country code top level domain, costituito da due lettere dopo l'ultimo punto: “.it” per l'Italia, “.fr” per la Francia, “.uk” per il Regno unito, “.de” per la Germania, “.ru” per la Russia, “.cn” per la Repubblica popolare cinese, “.eu” per l'Unione europea); - generico (generic top level domain, per particolari categorie, costituito da tre lettere dopo l'ultimo punto: “.com” per gli indirizzi commerciali, “.gov” per gli organismi governativi statunitensi, etc.). 5. Un Internet service provider (fornitore di servizi internet), o semplicemente provider, è il soggetto che fornisce ai singoli utenti, previa stipulazione di un contratto, l'accesso al web e in genere servizi relativi a internet. 6. Con Caller ID, CLID (Calling Line IDentifier) o CLI si indica l'utenza chiamante. CommentoUna modalità particolare dell'ordine a un concessionario di un pubblico servizio di esibire determinati documenti (e di consegnarli in copia), ai sensi dell'art. 256 c.p.p., consiste nel decreto del Pubblico Ministero di acquisizione presso le compagnie interessate dei tabulati del traffico telefonico e telematico. Si tratta di uno strumento investigativo ormai centrale nella maggior parte delle indagini di qualche complessità, e anche in moltissime delle più semplici, tenuto conto del ruolo ormai preponderante che hanno assunto nelle nostre vite le comunicazioni a distanza, vocali, scritte o di altro tipo. Chiariamo innanzitutto in cosa effettivamente consistono i dati contenuti in un tabulato telefonico. La forma esteriore è quella di una tabella di dati (solitamente un foglio di calcolo in formato Excel o similari). Il contenuto è solo apparentemente avaro di informazioni, ricomprendendo: - data e ora della comunicazione; - durata della comunicazione; - il numero chiamante; - il numero chiamato; - la “cella” telefonica agganciata (ovvero il codice identificativo del ripetitore che ha gestito la chiamata di un'utenza mobile); - la tipologia di comunicazione telefonica (fonia, anche in modalità conferenza, sms, mms, fax); - l'esito della chiamata (andata a buon fine, telefono occupato, telefono non raggiungibile, deviazione di chiamata, segreteria telefonica). Le utenze cellulari sono identificate mediante - il codice IMSI (International Mobile Subscriber Identity, Identità internazionale di utente di telefonia mobile), che identifica la scheda Sim, tramite sequenza di 15 cifre (le prime tre cifre sono il codice del paese: Mobile Country Code — MCC, le successive due o tre cifre sono il codice di rete: Mobile Network Code — MNC e le cifre rimanenti costituiscono il numero univoco dell'utente: i-MSIN); - il codice IMEI (International Mobile Equipment Identity), Identità internazionale di un dispositivo di telefonia mobile), che identifica l'apparecchio cellulare, tramite sequenza di 15 cifre (le prime sei sono relative al costruttore e al modello: Type Approval Code — TAC, le successive due si riferiscono al luogo di costruzione e assemblaggio del telefono: Final Assembly Code — FAC, le successive sei indicano il numero di serie del cellulare e l'ultima deriva da un algoritmo di controllo). È possibile acquisire non solo il traffico generato da una singola utenza, dovunque essa si trovi, ma quello gestito da una specifica “cella”, così da avere contezza di tutte le comunicazioni effettuate nell'area di copertura di una stazione radio base (la cella, per l'appunto), che si estende, in via approssimativa, per un raggio di pochi chilometri nelle zone rurali e si restringe sino a qualche centinaia di metri nelle aree urbane. Per quel che riguarda il traffico telematico, i relativi tabulati riportano data e durata delle sessioni di collegamento alla rete internet, l'indirizzo IP (Internet Protocol Address, che, teoricamente, identifica in modo univoco un dispositivo o un nodo di rete), tutti i dati (compresi l'attivazione dell'indirizzo e i cambi di password) relativi ad un account, le celle agganciate, etc. È bene precisare che in ogni caso presso i gestori non resta alcuna traccia del contenuto del traffico intercorso (neppure, ad esempio, per quanto riguarda i messaggi di testo). L'unica modalità di acquisizione del contenuto è costituita dal ricorso alle intercettazioni telefoniche o telematiche. La conoscenza di tutti questi dati, apparentemente aridi, è invece fondamentale e le moderne tecniche di indagine consentono di ricavarne informazioni cruciali, anche con l'ausilio di programmi informatici sempre più sofisticati. A mero titolo di esempio, tramite il monitoraggio dei luoghi e degli orari delle singole chiamate o dei singoli utilizzi di dati agganciati da una cella, è possibile ricostruire ora per allora, con una certa precisione, gli spostamenti di un soggetto che si sia mosso da una città a un'altra (o da un'area a un'altra della stessa città) e la sua ragionevole posizione in un determinato arco di tempo. Il raffronto tra i dati dei codici IMEI e IMSI evidenzia quali schede sia state inserite in quali telefoni cellulari (ad esempio, la medesima Sim ha “lavorato” sul telefono di Tizio a maggio e sul telefono di Caio a settembre). L'elaborazione incrociata di migliaia di dati consente di verificare presenze “anomale” in una data area e i contatti pregressi e successivi di queste utenze tra loro e con altri soggetti, e i loro spostamenti. Questi dati non restano disponibili per un tempo illimitato. Ai sensi dell'art. 132, d.lgs. n. 196/2003 (cosiddetto Codice della privacy), il fornitore del servizio conserva, esclusivamente per finalità di accertamento e repressione dei reati, - i dati relativi al traffico telefonico per ventiquattro mesi; - i dati relativi al traffico telematico per dodici mesi - i dati relativi alle chiamate senza risposta per trenta giorni. La conservazione dei dati telematici (cosiddetta data retention), può essere prolungata, con conseguente ulteriore conservazione e protezione dei dati stessi per un periodo complessivamente non superiore a sei mesi, dietro ordine del ministro dell'interno, anche mediante delega a competente personale della polizia di Stato, dei carabinieri e della guardia di finanza (art. 132, comma 4-quater, d.lgs. n. 196/2003, cosiddetto data freezing. Cfr. Aterno-Cajani-Costabile-Mattiucci-Mazzaraco, Computer forensics e indagini digitali. Manuale tecnico-giuridico e casi pratici, Forlì, 2011). A seguito degli interventi normativi attuati con d.l. n. 132/2021, convertito con modificazioni dalla l. n. 178/2021, che ha modificato il testo del su citato art. 132, d.lgs. n. 196/2003, in attuazione degli obblighi verso l'Unione Europea, oggetto di recenti pronunce della Corte di Giustizia (da ultimo CGUE, Grande Sezione, 5 aprile 2022, C-140/20), prevede oggi che l'acquisizione dei tabulati è consentita: - entro il termine di conservazione imposto dalla legge; - se sussistono sufficienti indizi di reati per i quali la legge stabilisce la pena dell'ergastolo o della reclusione non inferiore nel massimo a tre anni, determinata a norma dell'art. 4 c.p.p., nonché di reati di minaccia e di molestia o disturbo alle persone col mezzo del telefono, quando la minaccia, la molestia e il disturbo sono gravi; - solo ove rilevanti per l'accertamento dei fatti. L'acquisizione dei dati, alle predette condizioni, è possibile solo previa autorizzazione rilasciata dal Giudice con decreto motivato, su richiesta del Pubblico Ministero o su istanza del difensore dell'imputato, della persona sottoposta a indagini, della persona offesa e delle altre parti private. Non è più possibile, pertanto, procedervi con decreto del Pubblico Ministero. Quest'ultimo, tuttavia, quando ricorrono ragioni di urgenza e vi è fondato motivo di ritenere che dal ritardo possa derivare grave pregiudizio alle indagini, può disporre la acquisizione dei dati con decreto motivato che è comunicato immediatamente, e comunque non oltre quarantotto ore, al Giudice competente per il rilascio dell'autorizzazione in via ordinaria. Il Giudice, nelle quarantotto ore successive, decide sulla convalida con decreto motivato. In caso di violazione delle disposizioni esaminate, i dati acquisiti non possono essere utilizzati. Il Pubblico Ministero, “anche su istanza del difensore dell'imputato, della persona sottoposta alle indagini, della persona offesa e delle altre parti private”, può acquisire questi dati con decreto motivato. L'obbligo di motivazione del provvedimento acquisitivo, tenuto conto del “modesto livello di intrusione nella sfera di riservatezza delle persone”, è soddisfatto anche con espressioni sintetiche, nelle quali si sottolinei semplicemente la necessità dell'investigazione, in relazione al proseguimento delle indagini ovvero all'individuazione dei soggetti coinvolti nel reato, o si richiamino condividendole le ragioni esposte dalla polizia giudiziaria (Cass. I, n. 37212/2014). La rilevazione di questi dati (ad esempio, il numero di una utenza contattata) direttamente dall'esame della memoria di un cellulare nella materiale disponibilità degli investigatori rappresenta un'operazione non assimilabile all'acquisizione dei dati di traffico conservati presso il gestore dei servizi telefonici e non necessita, quindi, del decreto di autorizzazione dell'autorità giudiziaria, potendo conseguire a una mera attività di verifica del contenuto del telefono da parte della polizia giudiziaria (Cass. I, n. 24219/2013). Il difensore dell'indagato può richiedere direttamente al fornitore i dati relativi alle utenze intestate al proprio assistito, esercitando i poteri a lui riconosciuti nell'ambito delle investigazioni difensive. Ferma restando la natura di prova documentale dei tabulati telefonici e telematici, non sempre la sola lettura del dato grezzo riportato da questi ultimi può reputarsi idonea ad assolvere in giudizio l'onere probatorio. Mentre, ad esempio, nel caso in cui occorre provare che c'è stato un singolo contatto telefonico o telematico tra due utenze ad una certa ora, anche un utente inesperto può prendere contezza di questa informazione da un rapido esame delle colonne del foglio di dati, per porre in luce quanto invece più ampiamente ricavabile da un'analisi accurata di una mole documentale assai più ampia e densa non può che farsi luogo in dibattimento all'esame degli operanti. Davanti al Giudice per le indagini preliminari, per un qualsiasi incombente di sua spettanza oppure in sede di udienza preliminare o di giudizio abbreviato, sarà al contrario agevole per il Pubblico Ministero rinviare a quanto esposto nelle informative della polizia giudiziaria, solitamente corredate anche di un apparato iconografico e cartografico, ovvero nella consulenza tecnica informatica. |
