Smartphone e prove digitali: quando l’accertamento è non ripetibile

Nell’ambito della computer forensics, l’operazione di copia forense su dispositivi come hard disk, SSD, pendrive o altri supporti fissi è considerata, in linea di principio, un accertamento ripetibile, ai sensi dell’art. 359 c.p.p. Questo perché la copia forense, se correttamente eseguita, genera una copia bit a bit del dispositivo, tale da garantirne l’integrità (tramite l’impronta hash) e la sua riproducibilità in qualsiasi momento, senza il rischio di alterare i file originali.

  Nella mobile forensics, la situazione è sensibilmente diversa. I dispositivi mobili, come smartphone e tablet, presentano elementi hardware e software che rendono l’accertamento spesso irripetibile, ex art. 360 c.p.p., anche se condotto secondo le corrette linee guida.

  In primis, l’esecuzione immediata della copia forense su dispositivi mobili al momento del sequestro - prevista dalla riforma Cartabia (D.Lgs. 150/2022) per garantire la tempestiva conservazione della prova digitale - si scontra con tutta una serie di criticità operative e tecniche che un simile adempimento comporta in ambito digitale.

Alcune di queste criticità riguarderebbero, ad esempio, la necessità di sblocco del telefono, che potrebbe richiedere giorni se non addirittura mesi, nonché l’impossibilità di eseguire le operazioni di acquisizione direttamente sul campo, considerato che i software ufficiali in ambito forense, oltre a non operare al di fuori delle postazioni su cui sono installati, richiedono ambienti di lavoro controllati, al fine di evitare possibili alterazioni di dati originari.

  Inoltre, risulta estremamente complesso, se non del tutto impossibile, effettuare una copia fisica bit a bit del dispositivo mobile, soprattutto nel caso degli iPhone di ultima generazione, i quali consentono, generalmente, soltanto acquisizioni di tipo logico o del file system.

  Senza contare che i dispositivi mobili, anche se posti in modalità aereo e senza alcuna interazione da parte dell’utente, eseguono continuamente processi di sistema e applicazioni in background (come la generazione di file di log, aggiornamento dei timestamp, modifica dei metadati, cancellazioni di file temporanei, come nel caso dello svuotamento della cartella «Eliminati di recente», effettuata automaticamente dai sistemi Apple decorsi 30 giorni). Ciò determina importanti conseguenze sul piano della digital forensics, in quanto anche la semplice accensione o lo sblocco dello smartphone possono alterare le evidenze digitali presenti, compromettendo, così, lo stato originario del dispositivo.

Precisiamo che, ai fini di una maggiore completezza di acquisizione, potrebbe rendersi necessaria un’attività di analisi live del dispositivo, considerata l’impossibilità di acquisire l’archivio chat di alcune applicazioni di messaggistica istantanea (quali Messenger, Instagram e Telegram), le quali conservano i propri contenuti direttamente sui rispettivi portali online. Anche tale operazione andrebbe ad alterare lo stato originario del dispositivo, con possibili modifiche ai log di accesso, alle sincronizzazioni, agli aggiornamenti, nonché alla ricezione di messaggi e notifiche.

  In conclusione, alla luce di quanto esposto, è possibile affermare che le operazioni di acquisizione forense di un dispositivo mobile rientrino pienamente nell’ambito dell’accertamento tecnico irripetibile, di cui all'art. 360 c.p.p., con la conseguenza che dovranno essere rispettate le garanzie difensive previste dalla norma ed in particolare riguardo alla convocazione delle parti interessate - tra cui il difensore dell’indagato - durante tutte le fasi delle operazioni: dal sequestro e conservazione del dispositivo, alle operazioni di sblocco, fino all’acquisizione e analisi dei dati.