L’individuazione dell’esatta estensione del campo semantico dell’espressione “prova digitale” ruota intorno all’analisi di un sostantivo (prova) e del connesso aggettivo (digitale).
In tutta generalità, anche nelle esperienze processuali extrapenali (civile, amministrativa, tributaria…), l’attività probatoria è ciò che consente a giudice e parti di accrescere le proprie conoscenze ai fini della decisione.
Nell’ambito penale, di prova in senso lato è corretto parlare sia con riguardo ai mezzi di prova che vengono assunti nel dibattimento di primo grado, sia con riguardo all’attività probatoria svolta nella precedente fase di indagini, orientata a fornire al pubblico ministero gli elementi indispensabili per decidere se esercitare o meno l’azione penale.
L’aggettivo “digitale” aggiunge, per specificazione, una qualità: le prove di cui ci occupiamo sono frutto della manipolazione di fonti elettroniche. La prova digitale è, quindi, una species del genus prova scientifica, nella misura in cui l’informatica è una specifica branca della scienza in generale.
La dottrina penalistica sostanziale si è occupata in modo approfondito delle caratteristiche del documento informatico (soprattutto come oggetto materiale delle varie condotte tipizzate nei reati informatici). Quelle riflessioni sono, oggi, perfettamente estensibili alla nozione di prova informatica, i cui tratti distintivi sono, pertanto:
– l’immaterialità (è sempre possibile separare il dato informatico dal supporto fisico su cui occasionalmente si trovi);
– la dispersione (il dato informatico può essere frammentato e trovarsi su server remoti o, oggi, anche in cloud);
– la promiscuità (il dato può coesistere con altri dati, estranei all’oggetto del processo o delle indagini, il che pone ben noti problemi di proporzionalità e di riservatezza);
– la congenita modificabilità (donde la necessità di approntare catene di custodia e best practices per preservare la genuinità dei dati acquisiti);
– la tendenziale irripetibilità dell’attività acquisitiva del dato (si ricorda che, laddove un’attività irripetibile sia compiuta in indagini, la conseguenza è l’utilizzabilità degli esiti anche in dibattimento).
Tre osservazioni debbono essere svolte con immediatezza.
La prima: le prove digitali si possono rivelare utili non solo nei processi aventi ad oggetto i reati informatici strettamente intesi, ma anche in quelli per i reati più tradizionali (un esempio per tutti: il c.d. alibi informatico in un classico caso di omicidio).
La seconda: poiché negli ultimi anni la disponibilità di strumenti elettronici è aumentata in modo esponenziale presso tutti gli strati della popolazione, l’attività di c.d. computer forensics nel processo penale è, correlativamente, esplosa.
La terza e più importante: statisticamente, l’attività di prova digitale si concentra nella fase delle indagini. Se si salda tale dato con una osservazione svolta in precedenza, e cioè che detta attività forense è spesso irripetibile, la conseguenza è che, se ben condotte, le investigazioni tecnologiche producono risultati che rendono superfluo il dibattimento (l’indagato razionale preferisce, a quel punto, accedere ad un rito alternativo). Il fatto che il baricentro del processo si vada sedimentando nelle indagini aumenta senz’altro l’efficacia della risposta penale, ma pone con pressante attualità la correlativa esigenza di tutelare i diritti fondamentali (la difesa degli imputati; la riservatezza dei terzi), sempre più messi a rischio dalla potenza delle nuove tecnologie.
Quali sono, dunque, gli esempi principali di prova digitale (od elettronica) nel processo penale?
Si consideri, innanzitutto, la fase delle indagini preliminari.
Il primo esempio di atto di indagine digitale che si deve citare è rappresentato, storicamente, dalle intercettazioni. Ci si riferisce, in particolare, non tanto alle intercettazioni telefoniche, ma alla possibilità di compiere “intercettazioni di comunicazioni informatiche o telematiche”, prevista dall’art. 266-bis c.p.p. (norma introdotta nel 1993). A seguito delle più recenti modifiche legislative, apportate dalla c.d. Riforma Cartabia, va inoltre ricordata la possibilità di impiegare il captatore informatico (il “virus di Stato”), anche se, al momento, detta modalità di procedere è prevista unicamente allo scopo di effettuare intercettazioni “tra presenti” (cfr. art. 266, commi 2 e 2-bis ed art. 267, comma 2-bis c.p.p.).
Le intercettazioni consentono di captare il contenuto di una conversazione. I dati esterni della conversazione medesima (in sostanza: numero chiamante, numero chiamato, data, ora e durata della conversazione, nonché cella telefonica agganciata) sono, invece, ottenibili dai fornitori di servizi informatici mediante la diversa attività di c.d. data retention, disciplinata dall’art. 132 d.lgs. n. 196 del 2003 (c.d. Codice privacy), norma più e più volte modificata in pochi anni, sino a raggiungere l’attuale assetto.
Per allineare la normativa interna a recenti fonti di diritto comunitario (il Regolamento 2023/1543 e la Direttiva 2023/1544), il legislatore nazionale ha previsto, per gli organi dell’investigazione (P.M. e, a certe condizioni e con limitazioni, polizia giudiziaria), due distinte possibilità: ordinare ai fornitori di servizi informatici di conservare il contenuto dei dati da essi detenuti (art. 263-bis c.p.p.) oppure di conservare i dati esterni delle comunicazioni da essi detenuti (art. 132, comma 3.bis.1. Codice privacy). Entrambe queste norme sono entrate in vigore il 30 gennaio 2026.
Per effetto della legge n. 48 del 2008, attuativa della Convenzione di Budapest, sono invece effettuabili ispezioni, perquisizioni e sequestri informatici, ossia aventi per oggetto dati, programmi o sistemi informatici (artt. 244, comma 2, 247, comma 1-bis, 248, comma 2, 254, commi 1 e 2, 254-bis, 256, comma 2, 259, comma 2, 260, comma 2, 352, comma 1-bis, 353, commi 2 e 3, 354, comma 2 c.p.p.). Vale la pena di ricordare che il sequestro informatico sarà meglio disciplinato se e quando il disegno di legge AC-1822, attualmente pendente innanzi la Camera dei Deputati (e già approvato dal Senato il 10 aprile 2024 come AS-806), diventerà legge, inserendo nel tessuto del codice un nuovo art. 254-ter c.p.p.
Da sempre, gli accertamenti tecnici irripetibili ex art. 360 c.p.p. rappresentano un contenitore di possibili prove informatiche. Ad esempio, attualmente (e proprio finché l’art. 254-ter c.p.p. non vedrà la luce), il pubblico ministero, dopo aver fisicamente sequestrato un dispositivo mobile a qualcuno (solitamente, ma non necessariamente, l’indagato), procede all’estrazione di copia forense di quanto contenuto nel dispositivo proprio nelle forme dell’art. 360 c.p.p.
Sin qui l’attività tipica — ossia espressamente disciplinata da norme di legge — di indagine informatica. L’attitudine dell’informatica ad evolvere rapidamente comporta però la possibilità che, durante la fase delle investigazioni preliminari, si svolga anche attività atipica di indagine. Alcuni esempi, senza pretesa di completezza:
- il pedinamento satellitare, che avviene mediante collocamento di un rilevatore GPS sul veicolo in uso all’indagato o a terze persone;
- l’impiego del captatore informatico per finalità diverse dall’unica attualmente prevista in modo esplicito (l’intercettazione di conversazioni tra presenti);
- l’impiego del sequestro preventivo ex art. 321 c.p.p. per finalità palesemente diverse da quelle in origine previste dal legislatore, segnatamente in funzione di oscuramento di siti web sui quali si ritiene che si commettano reati (ad esempio, vendita di merce contraffatta).
Le investigazioni tecnologiche atipiche acuiscono il problema sopra segnalato: possono rivelarsi estremamente efficaci, ma — in assenza di una chiara cornice legislativa — rischiano anche di essere particolarmente invasive delle libertà fondamentali.
Meno numerosi, invece, gli esempi di attività probatoria informatica effettuabile nel corso del giudizio dibattimentale (o, anche, in udienza preliminare).
Si pensi al mezzo di prova della perizia (artt. 220 ss. c.p.p.), nei casi in cui essa abbia come specifico oggetto un sistema informatico da cui estrarre dati interessanti ai fini del giudizio.
Si ipotizzi il mezzo di prova dell’esperimento giudiziale, la cui finalità è quella di “accertare se un fatto sia o possa essere avvenuto in un determinato modo” (art. 218, comma 1 c.p.p.), nel caso in cui il fatto in questione rientri nel campo dell’informatica. Si tratta, però, di un esempio di scuola: gli esperimenti giudiziali sono pressoché ignoti alla clinica processuale italiana.
In fine ed in generale, si consideri l’art. 189 c.p.p., dedicato alle prove atipiche (la rubrica è “prove non disciplinate dalla legge”) e che la giurisprudenza ha impiegato, nel passato remoto e recente, per dare cittadinanza in dibattimento alla c.d. prova scientifica.
Sia, da ultimo, consentita una notazione. Per effetto della Riforma Cartabia, anche nel processo penale — sia pure con ritardo rispetto a quanto avvenuto nel processo civile ed in quello amministrativo — gli atti sono di regola “redatti e conservati in forma di documento informatico” (art. 110, comma 1 c.p.p.; cfr. anche art. 111 c.p.p.), i depositi avvengono normalmente in forma telematica (art. 111-bis c.p.p.) e i fascicoli sono, conseguentemente, informatizzati (art. 111-ter c.p.p.). Si vuole, in altri termini, segnalare come l’informatica, in origine scienza impiegabile sul piano della prova, sia oggi stata promossa anche a tecnica di redazione e conservazione degli atti penali nella loro generalità. L’informatica detta anche contenuti, modi e tempi del rito penale, di cui costituisce ormai componente ineliminabile.
