Nell'ambito della computer forensics, l'operazione di copia forense su dispositivi come hard disk, SSD, pendrive o altri supporti fissi è considerata, in linea di principio, un accertamento ripetibile, ai sensi dell'art. 359 c.p.p.

Questo perché la copia forense, se correttamente eseguita, genera una copia bit a bit del dispositivo, tale da garantirne l'integrità (tramite l'impronta hash) e la sua riproducibilità in qualsiasi momento, senza il rischio di alterare i files originali.

Nel mobile forensics, la situazione è radicalmente diversa. I dispositivi mobili (smartphone e tablet) presentano elementi hardware e software che rendono l'accertamento spesso irripetibile, ex art. 360 c.p.p., anche se condotto secondo le corrette linee guida.

In primis, l'esecuzione immediata della copia forense su dispositivi mobili al momento del sequestro - prevista dalla riforma Cartabia per garantire la tempestiva conservazione della prova digitale - si scontra con tutta una serie di criticità operative e tecniche che un simile adempimento comporta in ambito digitale.

Alcune di queste criticità riguarderebbero, ad esempio, la necessità di sblocco del telefono, che potrebbe richiedere giorni se non addirittura mesi, nonché l'impossibilità di eseguire le operazioni di acquisizione direttamente sul campo, considerato che i software ufficiali in ambito forense, oltre a non operare al di fuori delle postazioni su cui sono installati, richiedono ambienti di lavoro controllati, al fine di evitare possibili alterazioni di dati originari.

Inoltre, risulta estremamente complesso, se non del tutto impossibile, effettuare una copia fisica (bit a bit) del dispositivo mobile, soprattutto nel caso degli iPhone di ultima generazione, i quali consentono, generalmente, soltanto acquisizioni di tipo logico o del file system.

Senza contare che i dispositivi mobili, anche se posti in modalità aereo e senza alcuna interazione da parte dell'utente, eseguono continuamente processi di sistema e applicazioni in background, (generazione di file di log, aggiornamento dei timestamp, modifica dei metadati, cancellazioni di file temporanei, come, ad esempio, lo svuotamento della cartella “Eliminati di recente”, effettuata automaticamente dagli iPhone decorsi 30 giorni). Ciò determina importanti conseguenze sul piano della digital forensics, in quanto anche la semplice accensione o lo sblocco dello smartphone possono alterare le evidenze digitali presenti, compromettendo, così, lo stato originario del dispositivo.

Infine, ai fini di una maggiore completezza di acquisizione, potrebbe rendersi necessaria un'attività di analisi live del dispositivo, considerata l'impossibilità di acquisire l'archivio chat di alcune applicazioni di messaggistica istantanea (quali Messenger, Instagram e Telegram), le quali conservano i propri contenuti direttamente sui rispettivi portali online. Anche tale operazione andrebbe ad alterare lo stato originario del dispositivo, con possibili modifiche ai log di accesso, alle sincronizzazioni, agli aggiornamenti, nonché alla ricezione di messaggi e notifiche.

In conclusione, alla luce di quanto esposto, è possibile affermare che le operazioni di acquisizione forense di un dispositivo mobile rientrino pienamente nell'ambito dell'accertamento tecnico irripetibile, ex art. 360 c.p.p., con la conseguenza che dovranno essere rispettate le garanzie difensive previste dalla norma, in particolare, riguardo alla convocazione delle parti interessate - tra cui il difensore dell'indagato - durante tutte le fasi delle operazioni: dal sequestro e conservazione del dispositivo, alle operazioni di sblocco, fino all'acquisizione e analisi dei dati.

Avv. Michele Accettella

© RIPRODUZIONE RISERVATA 2025