Quesito in tema di accertamenti digitali (copia forense e data mining)

Il divario digitale e il principio di parità delle armi

La l. n. 48/2008 ha rappresentato un punto di svolta fondamentale nel nostro diritto positivo. Oltre alle significative modifiche ai codici, il legislatore, con ambizioni di regolamentazione sistematica dell'intera materia, ha imposto una volta per tutte alla dottrina, alla giurisprudenza e agli operatori pratici di prendere la necessaria consapevolezza in merito alla centralità delle indagini informatiche, nell'ambito della scienza e della pratica del processo penale.

Il “divario digitale” (digital divide) tra chi può accedere, fisicamente e intellettualmente, alle tecnologie dell'informazione e chi è escluso da tale possibilità è in grado di dispiegare i propri effetti anche nella dialettica processuale, incidendo semmai sulla base di parità da cui muovono le parti del procedimento.

Infatti, seppure nel nostro Paese permangano ampie sacche di analfabetismo informatico e non indifferenti arretratezze di infrastrutture, neppure l'osservatore più superficiale potrebbe negare la velocità e la profondità con cui le nostre abitudini, i nostri interessi e i nostri consumi sono stati stravolti nel giro di pochissimi anni da quella che è stata chiamata la Rivoluzione digitale. In altri termini, l'uso di dispositivi informatici e telematici ha talmente permeato la quotidianità di tutti noi, che sarebbe un'ingenuità colpevole ritenere che le indagini cosiddette digitali possano essere limitate soltanto alle investigazioni dirette ad accertare la sussistenza dei fatti di criminalità informatica in senso stretto. La pervasività dell'evoluzione digitale ha dilatato in maniera esponenziale la rilevanza di accertamenti informatici nell'ambito di moltissimi procedimenti penali, per qualsivoglia titolo di reato. Le nuove disposizioni e la nuova forma mentis che si richiede all'operatore pratico trovano quotidianamente ampia necessità di applicazione.

Il nuovo statuto della prova digitale si applica infatti:

– ai delitti informatici in senso stretto (Computer crimes/Cybercrimes). Quelli previsti e puniti dagli artt. 615-ter, 615-quater, 615-quinquies, 617-bis, 617-ter, 617-quater, 617-quinquies, 617-sexies, 635-bis, 635-ter, 635-quater (anche nella fattispecie aggravata ex art. 635-quinquies), 640-ter e 640-quinquies c.p. (tutti attribuiti alle funzioni della procura distrettuale) e 491-bis e 495-bis c.p.

– ai reati di criminalità informatica in senso lato, a quei reati cioè in cui un sistema informatico e/o telematico sia lo strumento utilizzato dall'agente ovvero l'oggetto materiale della sua condotta. Moltissimi esempi evidenziano l'impatto del mutamento dei comportamenti quotidiani a seguito della rivoluzione tecnologica anche nelle ordinarie casistiche criminali: diffamazione a mezzo Facebook o ingiuria a mezzo email o Whatsapp (in luogo delle “antiquate” maldicenze di portineria e lettere più o meno anonime), bancarotta documentale informatica (la tenuta delle scritture contabili è ormai raramente fatta soltanto in via cartolare), minaccia estorsiva con lettera redatta mediante programma di videoscrittura, truffa via email (cosiddetto phishing).

– alle prove elettroniche di un reato comune. Gli esempi, anche in questo caso, possono spaziare a piacimento: prova di un alibi (l'indagato afferma di essere stato dalle otto a mezzanotte a casa sua, utilizzando il proprio computer), prova della premeditazione (sul cellulare dell'indagato si rinvengono tracce di sue precedenti ricerche su Google relative ai tempi di morte per assideramento e la vittima è stata poi uccisa mediante esposizione a bassissime temperature), ricostruzione della dinamica dei fatti (decrittazione della scatola nera di un aeroplano precipitato, onde verificare le cause del disastro aereo), prova che l'indagato ha commesso il fatto (un sistema di videoregistrazione interna riprende il volto di un rapinatore, mentre minaccia il cassiere della banca con un taglierino), prova di eventuali correità (le intercettazioni telefoniche registrano, nei momenti topici dei colloqui tra narcotrafficanti, frasi del tipo: “Ok, chiudi che ci sentiamo su Telegram o su Confide”). La Corte di Cassazione ha invece escluso che vi rientrino i messaggi “whatsapp” e gli sms conservati nella memoria di un telefono cellulare, ai quali i giudici di legittimità riconoscono natura di documenti, ai sensi dell'art. 234 c.p.p., ritenendo legittima la loro acquisizione mediante mera riproduzione fotografica, senza che risulti indispensabile, ai fini della loro autonoma valutabilità, l'acquisizione della copia forense effettuata nel procedimento di provenienza (Cass. VI, n. 22417/2022).

L'oggetto materiale degli accertamenti informatici

Queste rapidissime esemplificazioni permettono di avere un'idea, per quanto vaga, dell'incredibile numero di dispositivi elettronici che possono rientrare nel concetto di “sistema informatico o telematico”, sinora soltanto evocato.

Il “sistema informatico”, ad ogni buon conto, non va confuso con il “sistema informativo”, cioè l'insieme delle informazioni utilizzate, prodotte e trasformate da un soggetto, delle concrete modalità in cui esse sono gestite e delle risorse, sia umane, sia tecnologiche, coinvolte.

L'art. 1, lett. a), Convenzione di Budapest ha fissato sul punto dei parametri normativi sufficientemente stringenti: “Qualsiasi apparecchiatura o gruppo di apparecchiature interconnesse o collegate, una o più delle quali, in base ad un programma, compiono l'elaborazione automatica dei dati”.

Muovendo da tale perimetro nomenclatorio, il legislatore nazionale usa di frequente l'endiadi “sistema informatico o telematico”, mettendo in risalto l'ulteriore profilo della connettività, potenziale o concreta, del dispositivo elettronico. D'altronde, il mutamento dell'ultimo quindicennio nella tecnologia sottostante il World Wide Web ha visto il fiorire di applicazioni on line che permettono una elevata interazione tra la rete e l'utente.

In estrema sintesi, con la locuzione “sistema informatico o telematico”, ci si riferisce sempre a dispositivi elettronici composti da hardware e software, in grado di elaborare dati e informazioni al fine di restituire altri dati e informazioni, anche mediante trasferimento a distanza dei medesimi.

Rientrano dunque nel novero dei sistemi informatici/telematici, a mero titolo di esempio:

– un singolo personal computer (ovvero un netbook o un laptop o un tablet),

– più personal computer connessi,

– memorie di massa (un hard disk interno o esterno) o flash (un pendrive),

– un telefono cellulare (non necessariamente smartphone),

– una fotocamera o una videocamera digitale,

– una fotocopiatrice (o uno scanner o un fax),

– una Play Station (o una qualsiasi altra analoga console di gioco),

– un navigatore satellitare,

– un decoder Sky o per il digitale terrestre,

– un lettore di mp3 o di eBook,

– una rete aziendale,

– un server,

– una rete di telefonia fissa o mobile (Cass. II, n. 36288/2003),

– l'intera rete internet.

Garanzie giuridiche e garanzie informatiche

A fianco dei classici mezzi di ricerca della prova previsti dal libro terzo del codice di rito, sono state regolamentate, inserendo nei relativi articoli specifiche disposizioni, l'ispezione, la perquisizione e il sequestro virtuali. Allo stesso modo, sono stati modificati gli artt. 352-353-354 c.p.p. in tema di atti di perquisizione, acquisizione di corrispondenza, sopralluogo e sequestro compiuti di iniziativa dalla polizia giudiziaria.

Il cuore delle nuove prescrizioni consiste nella direttiva rivolta agli inquirenti perché adottino misure tecniche dirette ad assicurare la conservazione dei dati originali e ad impedirne l'alterazione.

Nulla dice il codice in merito a quali siano in concreto le misure tecniche idonee a preservare la genuinità della prova elettronica. La scelta di rinviare ai continui sviluppi della tecnologia appare sicuramente condivisibile: in un settore dalla costante e galoppante evoluzione, fissare dei paletti che regolassero questi aspetti tecnici, sia pure con sufficiente elasticità, avrebbe costretto in un prossimo futuro gli operatori a confrontarsi con disposizioni prive di significato.

Non a caso, d'altronde, si insiste tanto sui rischi per la genuinità della prova digitale: la migliore letteratura tecnica ha ben evidenziato le circostanze, numerose e tutt'altro che infrequenti, che possono impedire o quantomeno complicare notevolmente la successiva ripetizione di operazioni poste in essere dagli inquirenti nel corso delle attività di indagine:

– la rapidissima obsolescenza di molti dispositivi elettronici;

– lo spegnimento della macchina, quando invece occorrerebbero copie a macchina funzionante (run-time);

– il flusso dinamico dei dati su internet o in una grande rete;

– la non integrità del materiale informatico, che necessita di preventiva riparazione;

– la restituzione all'avente diritto degli originali, senza previa estrazione di copia forense del contenuto;

– la compromissione dell'integrità dei dati in conseguenza della stessa attività di analisi forense.

È dunque ricorrente o perlomeno plausibile il rischio che gli operanti alterino nel corso delle indagini dati in qualche modo fisiologicamente volatili e comunque suscettibili di futura dispersione. Occorre perciò interrogarsi sulle corrette modalità pratiche con cui portare avanti le investigazioni informatiche.

Il codice dà conto della possibilità per gli investigatori di intervenire direttamente a visionare il contenuto di un sistema informatico/telematico, tramite sopralluogo ovvero ispezione ovvero perquisizione virtuali, alla ricerca di tracce del reato, con l'unico limite invalicabile del dovere di non alterare l'oggetto materiale della ricerca.

Oltre ai rischi di dispersione della prova digitale per così dire fisiologici, le scienze informatiche ci avvertono però che qualsiasi attività di ricerca compiuta su una memoria rigida o su un singolo file potrebbe modificare in qualche modo quella memoria o quel file. Il primo impulso dell'interprete sarebbe, dunque, quello di considerare accertamento non ripetibile ogni attività di indagine informatica, che dovrebbe pertanto svolgersi con le garanzie del contraddittorio.

L'orientamento sul punto della Cassazione, d'altronde, è di avviso assolutamente contrario.

In primo luogo, i giudici di legittimità distinguono tra attività di raccolta o di prelievo dei dati informatici pertinenti al reato, sostanzialmente priva di alcun carattere di invasività (salva ovviamente l'apposizione del vincolo giuridico e materiale sulla res acquisita) e disciplinata dagli artt. 348 e 354, comma 2 c.p.p. (ovvero, qualora si tratti di estrazione di copia, dall'art. 258 c.p.p.), e il loro studio e la loro valutazione critica (ciò che viceversa costituisce “accertamento tecnico” in senso stretto).

Ciò premesso, è monolitica la giurisprudenza che sancisce, ordinariamente, la estraneità al concetto di accertamento irripetibile dell'attività di lettura dell'hard disk di un computer sequestrato, qualificandola come attività di polizia giudiziaria volta, anche con urgenza, all'assicurazione delle fonti di prova (cfr., Cass. II, n. 24998/2015) e persino della estrazione di copia di file da un computer oggetto di sequestro (dal momento che essa non comporta alcuna attività di carattere valutativo su base tecnico-scientifica, né determina alcuna alterazione dello stato delle cose, tale da recare pregiudizio alla genuinità del contributo conoscitivo nella prospettiva dibattimentale. Resta sempre comunque assicurata la riproducibilità d'informazioni identiche a quelle contenute nell'originale (Cass. II, n. 29061/2015), per un numero indefinito di volte, trattandosi di operazione meramente meccanica (Cass. I, n. 17244/2011), purché eseguita da personale esperto perfettamente in grado di evitare la perdita dei medesimi dati (Cass. I, n. 11863/2009).

Le buone prassi delle scienze informatiche

La corte di cassazione, lo si è appena visto, afferma la natura “meramente meccanica” dell'estrazione di file, connotata dalla possibilità di ripetizione pressoché infinita, nonché della semplice lettura dei dati conservati in una memoria informatica. Sul punto, il parere degli informatici è, se non proprio assolutamente agli antipodi, quantomeno assai più dubitativo.

Non può invero affermarsi fondatamente che le indagini informatiche sono sempre tali da cagionare mutazioni irreversibili e debbano pertanto sempre essere connotate dalle garanzie della irripetibilità, ma un approccio casistico risulta rispondere maggiormente alle esigenze del giurista (e, in particolare, degli operatori pratici del diritto, per i quali non ogni modificazione successivamente rilevabile di una prova digitale assume necessariamente importanza concreta). Questa premessa, impone di valorizzare al massimo l'apporto dell'esperienza sul campo dei tecnici del settore.

Le prassi maggiormente idonee a garantire esiti positivi (e comunque processualmente non ripudiabili) sono oggetto di plurime raccolte, in costante aggiornamento.

Queste linee guida, in estrema sintesi, delineano tre momenti fondamentali, che scandiscono lo svolgersi di un'indagine informatica:

– Collection and Acquisition: acquisire le prove digitali, senza alterare le prove stesse ovvero il sistema informatico/telematico su cui si trovano.

– Preservation: garantire, tramite adeguata archiviazione, l'esatta corrispondenza tra i dati originari e la loro copia.

– Analysis: analizzare e refertare i dati senza alterarli.

Le modalità di esecuzione delle investigazioni cambiano, poi, con ogni evidenza, in base alla tipologia dei delitti per cui si procede, alla specifica attività di indagine intrapresa, al momento in cui questa attività viene posta in essere, ai sistemi informatici/telematici oggetto di indagine.

Una ulteriore classificazione è quindi quella che distingue, con una diversità di approccio che si riflette anche sulle diverse professionalità necessarie, tra:

– Live forensics (tecniche di analisi su sistemi attivi, le uniche in grado di attingere informazioni allocate su memorie volatili, come la RAM).

– Dead forensics (quando, invece, si agisce su sistemi informatici/telematici spenti, sequestrati e suscettibili di essere analizzati in laboratorio o comunque in condizioni di relativa tranquillità).

Dal sopralluogo effettuato dagli operanti sulla scena del crimine può prendere le mosse, secondo l'ordinamento italiano, un accertamento urgente ex art. 354 c.p.p., un'ispezione, una perquisizione o, al limite, un accertamento tecnico (ripetibile o irripetibile). La conclusione di questa attività in loco coincide comunque, pressoché fisiologicamente, con il sequestro di ogni cosa o dato verosimilmente legato da pertinenzialità con il fatto di reato. Il sequestro è, di fatto, inevitabile: anche nei rari casi in cui l'attività di indagine informatica si limiti alla sola live forensics, si procede ordinariamente ad un sequestro dei “dati”.

Da queste attività prodromiche e dal successivo sequestro (tutte adeguatamente verbalizzate), parte la cosiddetta “catena di custodia” (chain of custody): la documentazione cronologica che attesta nel dettaglio la sorte del reperto (dati o hardware), dando conto delle modalità del sequestro, della custodia, del controllo, del trasferimento, dell'analisi. In tal modo, ogni modificazione del reperto, fisica o virtuale, è ricostruibile e giustificabile.

I reperti, così accuratamente predisposti, sono messi a questo punto a disposizione dell'analista.

L'estrazione di copia forense e l'analisi dei dati

Una copia forense è una copia bit a bit da un supporto di memoria in un dispositivo di memorizzazione, perfettamente identica a livello logico al dispositivo originale, mantenendo immutati nelle loro esatte posizioni i dati, i metadati, lo spazio libero sul disco, il master boot record, e così via. Per fare questo si può ricorrere alla tecnica del bit stream image, che consentirà di replicare un'immagine equivalente all'originale in termini di contenuto informativo, fino al livello del bit. Esistono differenti strumenti in grado di eseguire la copia forense, sia software che hardware.

La fase di analisi, che tendenzialmente dovrebbe sempre svolgersi su copie forensi, si incentra infine sul cosiddetto data mining, la ricerca e l'estrazione di informazioni rilevanti per l'indagine in corso e, se del caso, la loro valutazione.

Le garanzie nei singoli atti di indagine digitale

Al fine di evitare pericolosi scollamenti tra l'argomentare giuridico e la realtà effettuale (da leggersi con l'imprescindibile contributo della “migliore scienza ed esperienza informatiche del momento storico”), gli strumenti di indagine tipici dovrebbero essere declinati tenendo presente la scansione procedimentale nell'acquisizione e nell'analisi della prova digitale (in estrema sintesi, come già visto: Collection and Acquisition/Preservation/Analysis).

In quest'ottica, dunque, appare evidente che il momento di ricerca, raccolta ed acquisizione della prova, trova strumenti investigativi ad hoc

– nella ispezione virtuale ex art. 244, commi 1-2 c.p.p.;

– nella perquisizione virtuale exartt. 247, comma 1-bis c.p.p. (se disposta dal pubblico ministero) e 352, comma 1-bis, c.p.p. (se svolta di iniziativa dalla polizia giudiziaria):

– nell'ordine di esibizione di dati, informazioni e programmi informatici, anche mediante copia di essi su adeguato supporto, come regolato dal novellato art. 256 c.p.p.;

– negli accertamenti urgenti sui luoghi e sulle cose (ciò che potremmo definire “sopralluogo virtuale” della polizia giudiziaria) ex art. 354 c.p.p.

Per tutte queste attività, la irripetibilità, che connota fisiologicamente l'attività di percezione ed acquisizione del dato, è consentita dal sistema: le garanzie difensive, pure articolate in diversa maniera, sono già preventivamente regolate e riconosciute dal codice (artt. 364,365 e 366 c.p.p., oltre a quanto specificamente prescritto per i singoli mezzi di ricerca della prova).

Resta ovviamente fermo l'onere per gli inquirenti, a pena di inutilizzabilità della prova così acquisita ovvero comunque di vanificarne l'efficacia probatoria nel futuro processo, di evitare, con metodi di indiscutibile validità tecnico-scientifica, l'alterazione di quanto oggetto di osservazione, assicurandone viceversa un'idonea conservazione. Nella prassi, allo stato attuale dell'evoluzione tecnica del settore, tali metodi consistono sostanzialmente nella creazione di un'impronta di hash e nell'utilizzo di un write blocker.

Tutte queste considerazioni, d'altronde, hanno valore solo e soltanto nel caso in cui l'intervento degli operanti abbia per oggetto dei sistemi informatici/telematici accesi: nel caso in cui, al contrario, le “macchine” vengano trovate spente ovvero, come non di rado succede, si scelga comunque di interrompere l'alimentazione, si procede direttamente al sequestro “al buio”, cioè senza una preventiva, sia pure sommaria, visione dei contenuti (preview).

Terminata così la fase della ricerca e della acquisizione, occorre quindi, mantenendo l'integrità della “catena di custodia”, conservare stabilmente, per i successivi ulteriori incombenti, i sistemi informatici/telematici che costituiscano corpo del reato o siano cose pertinenti al reato ovvero, se possibile, direttamente i dati, le informazioni e i programmi a cui possa attribuirsi, sia pure, ancora una volta, in senso “virtuale”, la medesima qualifica processuale.

L'abito mentale dell'operatore giuridico, d'altronde, suggerisce, per consolidata esperienza, che, una volta accertata la presenza di tracce del reato (dati, informazioni, programmi) in un determinato supporto (il sistema informatico/telematico), non possa che procedersi ad apporre il vincolo del sequestro sull'oggetto fisico al cui interno sono contenuti i suddetti elementi dotati di rilievo probatorio.

Nondimeno, anche in questo caso, l'evoluzione tecnologica ha, se non travolto, certamente modificato istituti giuridici frutto di una secolare elaborazione pratica e dottrinaria. Anche il legislatore nazionale non ha potuto che prendere atto di questi cambiamenti: plurime disposizioni prendono ormai atto della possibilità di porre sotto sequestro, a fianco delle “cose” indicate dall'art. 253 c.p.p., anche “reperti virtuali” e attestano, in definitiva, il formale ingresso nell'ordinamento di un sequestro che può non ricadere su una res corporea. In questi casi il sequestro, di fatto, avviene mediante la copia forense dei dati e la conseguente creazione di un reperto virtuale. In un sequestro “tradizionale”, per converso, il sequestro dei dati è una conseguenza logica, prima ancora che giuridica, del sequestro, ad esempio, dell'hard disk che li contiene.

In particolare, l'art. 254-bis c.p.p., consente esplicitamente il sequestro di dati informatici detenuti da fornitori di servizi informatici, telematici o di telecomunicazioni, compresi quelli di traffico o di ubicazione.

Intuitivo, alla luce di quanto sinora esposto, come, anche a fronte di simili, rilevanti aperture anche “tecniche” del legislatore, operando nell'ambito di live forensics, si presenti sempre agli inquirenti l'opzione, consigliata peraltro dalle best practices, di procedere direttamente al sequestro mediante copia dei dati senza apporre il vincolo di indisponibilità sull'hardware, cioè sul mero contenitore fisico dei dati.

Sotto questa luce, la natura volatile e immateriale dell'oggetto delle indagini informatiche appare di cristallina evidenza: laddove il sistema analizzato mantiene i suoi dati in forma dinamica, la copia effettuata in sede di indagini diventa paradossalmente l'originale, “fotografando” l'esatto contenuto del sistema in un preciso momento.

A diverse conclusioni, parrebbe condurre viceversa l'ipotesi (dead forensics) in cui il sequestro abbia avuto per oggetto direttamente il dispositivo.

In questo caso, al momento della successiva accensione del sistema informatico/telematico in laboratorio, ci si troverà nuovamente di fronte alla necessità di estrarre una copia forense sulla quale poi procedere all'analisi dei dati a fini investigativi. In tal caso, però, si tratta di un'attività espletata sul reperto in sequestro e non una modalità di sequestro del reperto.

L'estrazione di copia forense, in laboratorio (e non in loco), quando sia portata a termine a regola d'arte (e, a maggior garanzia di tutti i soggetti coinvolti, sia documentata con una verbalizzazione quanto più ampia possibile, comprensiva di foto e videoriprese delle operazioni), è un processo intrinsecamente ripetibile, basandosi su una pura e semplice lettura dei dati, operata con modalità hardware e/o software idonee ad evitarne la minima alterazione. Nel caso in cui, quindi, si intenda procedere in tal senso, non ci si trova di fronte a un'attività irripetibile ai sensi del vigente ordinamento processuale: il compendio in sequestro, adeguatamente conservato, non è qualificabile come soggetto a mutazioni naturali, né, ugualmente, l'attività effettuata su di esso è in alcun modo invasiva.

Tuttavia, l'id quod plerumque accidit ha insegnato che il rischio di irripetibilità possa sempre ripresentarsi, magari in forme piuttosto subdole: un difetto di custodia, un incidente nel trasporto, un maldestro intervento successivo, la naturale senescenza dei dispositivi digitali non conservati in condizioni ottimali (quanto a temperatura, campi magnetici, polvere, etc.), un'affrettata restituzione all'avente diritto sono avvenimenti, tutt'altro che fantascientifici, tali da rendere impossibile la ripetizione di quanto compiuto (non si può più, cioè, estrarre nuovamente una copia in tutto e per tutto identica a quella a suo tempo estratta senza le garanzie del contraddittorio).

Il codice regola l'attività di copia: “L'autorità giudiziaria fa estrarre copia dei documenti e fa eseguire fotografie o altre riproduzioni delle cose sequestrate che possono alterarsi o che sono di difficile custodia, le unisce agli atti e fa custodire in cancelleria o segreteria gli originali dei documenti, disponendo, quanto alle cose, in conformità dell'articolo 259. Quando si tratta di dati, di informazioni o di programmi informatici, la copia deve essere realizzata su adeguati supporti, mediante procedura che assicuri la conformità della copia all'originale e la sua immodificabilità; in tali casi, la custodia degli originali può essere disposta anche in luoghi diversi dalla cancelleria o dalla segreteria” (art. 260, comma 2 c.p.p.).

Non si precisa, però, se l'estrazione di copia debba intendersi come obbligatoria, né se l'originale possa essere restituito al possessore (piuttosto che custodito aliunde), né se l'operazione debba sottostare a specifiche garanzie procedimentali.

Una prudente prassi ormai adottata da moltissimi uffici prevede, dunque, che l'estrazione di copia dei dati contenuti in un sistema informatico/telematico in sequestro sia oggetto di un accertamento irripetibile ai sensi e nelle forme di cui all'art. 360 c.p.p.

Infine, sia che gli inquirenti abbiano prodotto una copia forense su cui lavorare preservando l'integrità dell'originale, sia che si intenda, invece, procedere direttamente sui sistemi informatici/telematici in sequestro, si dovrà passare ad analizzare i dati, al fine di ricavarne informazioni rilevanti per i fatti per cui si procede. Anzi, tutta la complessa attività di ricerca/acquisizione/archiviazione sinora descritta ricopre in realtà un ruolo meramente prodromico rispetto alla successiva fase di analisi.

La giurisprudenza di legittimità riconosce serenamente la ontologica separazione tra estrazione di copia e analisi e, quanto a quest'ultima, ammette la possibilità che possa trattarsi, a sua volta, di accertamento, se non irripetibile, quantomeno da svolgersi con le garanzie del contraddittorio (Cass. III, n. 28524/2009). I medesimi giudici di legittimità, d'altra parte, hanno sempre rimarcato la differenza tra l'acquisizione del dato indiziario (non necessariamente digitale) e la sua successiva valutazione, sottolineando come la prima sia attività di constatazione, prelievo e raccolta espletabile ritualmente dalla polizia giudiziaria, mentre debba essere ordinariamente garantita dalle forme di cui all'art. 360 c.p.p. la successiva valutazione su base tecnico-scientifica del materiale suddetto in condizioni di irripetibilità (Cass. I, n. 14511/2009).

La soluzione preferibile, perlomeno nella generalità dei casi, sembra quella di considerare la fase della Analysis un accertamento tecnico propriamente detto (che, nella fase processuale in senso stretto o nell'anticipazione dell'incidente probatorio, prende necessariamente le forme della perizia).

Nel caso in cui si possa operare su una copia forense realizzata in precedenza in maniera rituale, secondo le modalità sopra descritte, è possibile qualificare un simile accertamento come ripetibile, ai sensi dell'art. 359 c.p.p.

Qualora, invece, esistano dei motivi tecnici (per esempio, dispositivo parzialmente danneggiato, che richiede interventi invasivi anche per la semplice lettura delle informazioni) o procedimentali (per esempio, come succede perlopiù nella prassi, dopo avere sequestrato un PC spento, si procede senza soluzione di continuità, prima, alla estrazione di copia forense e, subito dopo, alla analisi dei dati), non possono aggirarsi le disposizioni a garanzia del contraddittorio sugli accertamenti irripetibili (nelle forme che le strategie delle parti consentiranno loro).

I risultati finali di questi accertamenti andranno, infine, secondo le regole proprie di ciascun istituto, a confluire in seguito nel materiale che il giudice porrà a fondamento della propria decisione.