Inutile svuotare il cestino: la finanza può controllare i file cancellati dal computer

A distanza di pochi giorni dalla sentenza della Cassazione che ha stabilito l’illegittimità del sequestro di tutti i documenti informatici del contribuente in assenza di una ipotesi di reato contestato, la Guardia di Finanza ha pubblicato una importante circolare sulle modalità operative degli accertamenti, nell’ambito del contrasto all’evasione fiscale.

Il documento, particolarmente corposo (costituito da ben quattro volumi) è una vera e propria guida operativa per gli accertatori. Tra i vari aspetti contemplati dalla circolare vi sono le indagini sui supporti informatici, indagini che non risparmiano i dati archiviati sui cloud o nelle memorie fisse o volatili (Ram) dei computer. In particolare viene posto l’accento sull’importanza di indagini tecniche volte al recupero di tutti i file cancellati dalle memorie interne, dalle cronologie dei browser e dai client di posta elettronica. Sarà quindi inutile svuotare il cestino per evitare agli agenti di trovare le prove dell’evasione.

Quando la memoria di un computer viene cancellata, i dati possono essere recuperati con particolari software, sempre a condizione che la stessa sezione fisica della memoria non venga soprascritta da ulteriori dati. Neanche la formattazione dell’intero contenuto dell’hard disk può eliminare le tracce lasciate dal contribuente che, pertanto, potrebbero essere recuperate anche a distanza di tempo (sempre a condizione che la memoria non venga sovrascritta). Esistono peraltro tecniche sofisticatissime che, anche in presenza di più sovrascrizioni della stessa parte di hard disk, consentono di risalire ai dati (ovviamente più numerose sono le sovrascrizioni, più i dati diventano illeggibili o non completamente recuperabili). Questo significa che il personale della Guardia di Finanza, formato per tali tipi di controlli informatici, potrebbe essere in grado di controllare i file cancellati dal computer.

 Proprio per tali ragioni, la circolare delle Fiamme gialle sottolinea la necessità di effettuare, in sede di indagini sul luogo di lavoro del contribuente, la ricerca di file cancellati o di determinati tipi di file (documenti di testo, piuttosto che documenti contabili digitali oppure e-mail), la ricostruzione della cronologia delle operazioni eseguite sul sistema oppure quella dell’utilizzo di specifiche applicazioni come browser o client di posta o, ancora, applicazioni di messaggistica e chat. Vi sono poi analisi che da un punto di vista tecnico e degli strumenti da utilizzare sono fortemente dipendenti dal sistema da cui le prove sono state acquisite; si pensi ad esempio agli smartphone o ai tablet oppure ad analisi da svolgersi su sistemi cloud o virtualizzati.

La fase di analisi termina generalmente con la redazione di una relazione in cui il verificatore o il militare della Guardia di Finanza ripercorre tutte le fasi delle attività svolte fino ad illustrare le conclusioni, allegando i file relativi alle copie di tipo forense acquisite di cui deposita i valori di hash con la conseguente necessaria compilazione ed integrazione della catena di custodia.

In ultimo, è opportuno segnalare che le disposizioni e le procedure come sopra delineate e richiamate possono essere opportunamente adottate anche nel caso in cui vi sia la necessità, dettata dalla natura della specifica attività ispettiva e mediante l’esercizio dei previsti poteri, di acquisire dati informatici detenuti presso soggetti terzi diversi dal verificato.

I controlli non si fermano solo al computer e al cloud del contribuente ma anche alle eventuali copie di sicurezza: considerato il rischio concreto di cancellazione del materiale di interesse al momento dell’accesso, la contromisura da adottare consiste nella ricerca di back-up delle informazioni (back-up su dischi esterni, uso di strumenti di cloud storage come Google Drive, Dropbox, OneDrive e simili).

Il confronto fra il back-up realizzato dal contribuente prima dell’inizio dell’attività ispettiva e le evidenze acquisite dai verificatori al momento dell’accesso può, infatti, evidenziare l’esistenza di elementi occulti da sottoporre a ulteriori approfondimenti.

Anche la posta elettronica non si sottrae al rischio di controlli. Per quanto riguarda le comunicazioni via e-mail, intercorse tra il contribuente sottoposto a controllo e soggetti terzi, o all’interno della stessa impresa, la circolare offre alcune indicazioni operative. Le e-mail già aperte e visionate dal destinatario sono direttamente acquisibili dai verificatori, mentre quelle non ancora lette o per le quali è eccepito il segreto professionale possono essere acquisite sulla base di un provvedimento di autorizzazione del giudice.

La Finanza dovrà acquisire i messaggi di posta elettronica direttamente in formato digitale poiché viene preservata, in tal modo, la componente non visibile del messaggio (cosiddetta intestazione o header), utile a individuare l’effettiva provenienza del messaggio nonché eventuali segni di contraffazione (spoofing).

In aggiunta, tramite apposite elaborazioni dei file dei messaggi e-mail (indicizzazione del testo), è possibile effettuare ricerche efficienti su grandi moli di messaggi.

Il manuale operativo delle verifiche della Finanza può avvenire tramite due differenti approcci. Si tratta, in particolare, delle static analysis, che verranno effettuate quando l’acquisizione è stata eseguita su dispositivi spenti (c.d. post mortem) e delle live analysis, comprendente tecniche di analisi su sistemi attivi per tutti quei dati che si perderebbero spegnendo il dispositivo (Ram, chiavi di cifratura contenute nella memoria temporanea, server, cloud storage ecc.). Nel primo caso la Finanza procede con le operazioni di analisi sulla copia forense del dato informatico o del documento digitale acquisito e non anche sull’originale, in virtù del fatto che occorre preservarne l’integrità ai fini dell’eventuale ripetibilità e riproducibilità. Nel secondo caso invece, gli agenti devono procedere in contraddittorio con il soggetto sottoposto a verifica o con un suo delegato.

Ricordiamo che l’attuale codice di procedura penale ha superato i limiti in precedenza esistenti in tema di opposizione del segreto professionale. Pertanto, nel caso in cui sorga la necessità di acquisire atti, documenti, dati, informazioni e programmi informatici, l’Autorità Giudiziaria ha l’onere di rivolgere una richiesta di consegna attraverso un decreto di esibizione, in virtù del quale sussiste un obbligo di rimessa immediata della cosa domandata, a meno che il soggetto destinatario della richiesta non dichiari per iscritto che il bene di cui si pretende l’esibizione è oggetto di segreto professionale.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

WP2Social Auto Publish Powered By : XYZScripts.com