Conservazione digitale

Tempo di lettura:

Tempo di lettura:

Accesso e acquisizione delle prove digitali da parte della Guardia di Finanza

Standard e metodologie guidano la Guardia di Finanza nell’acquisizione di documenti informatici rilevanti ai fini tributari. Come vengono acquisite e conservate le prove digitali? In cosa consistono e in che modo ne viene garantita la loro autenticità? Il “Manuale operativo in materia di contrasto all’evasione e alle frodi fiscali” chiarisce i principali aspetti operativi dell’attività di acquisizione delle prove digitali.

In caso di accesso da parte della Guardia di Finanza, l’acquisizione dei documenti informatici rilevanti ai fini tributari deve svolgersi secondo precise regole, in parte riportate nella circolare n.1/2018 ad oggetto Manuale operativo in materia di contrasto all’evasione e alle frodi fiscali, stilato dal Comando Generale della Guardia di Finanza, e composto da quattro volumi, per un totale di 1.251 pagine.

Per i nostri fini, la parte di interesse è contenuta nel volume II, e in particolare nella parte III a oggetto Esecuzione delle verifiche e dei controlli, dove vengono appunto descritte le regole da seguire nei casi di acquisizione dei documenti informatici utili all’attività investigativa. Sin da subito viene rilevato che l’acquisizione dei “dati informatici” può riguardare l’estrazione di mirate informazioni digitali, nei casi in cui l’interesse dei militari risulti circoscritto a documenti informatici specificamente individuabili, oppure all’acquisizione dell’intero contenuto memorizzato in server o in supporti portatili quali hard-disk esterni. L’attività di acquisizione viene eseguita da personale qualificato e seguendo specifici standard internazionali, quale per esempio lo standard ISO/IEC 27037 – Guidelines for identification, collection, acquisition, and preservation of digital evidence, mentre nei casi più complessi, come il caso di aziende appartenenti a gruppi multinazionali che impiegano sistemi informatici centralizzati, potrebbe essere necessario il supporto di esperti in Computer Forensics e Data Analysis.

Possiamo schematizzare i principali aspetti dell’attività di acquisizione nei seguenti tre punti:

Acquisizione di documenti contabili ed extra contabili

L’attività di acquisizione delle prove digitali, non si limita ai soli documenti contabili, quanto anche ai documenti extracontabili che in molti casi si sono rilevati molto utili ai fini dell’attività di controllo. In più occasioni infatti, la Corte di Cassazione ha rilevato che i documenti informatici estrapolati dai computer o altri supporti che sono nella disponibilità dell’imprenditore, se vi è contenuta una contabilità non ufficiale, costituiscono elemento probatorio, che se anche meramente presuntivo, è utilmente valutabile previa verifica della loro attendibilità (Cassazione, 9 marzo 2016 n.4600).

L’attività di acquisizione delle prove digitali, dovrà svolgersi avendo cura di  acquisire i duplicati informatici, definiti all’art.1, primo comma, lettera i-quinquies), del decreto legislativo 7 marzo 2005 n.82 (CAD), come “il documento informatico ottenuto mediante la memorizzazione, sullo stesso dispositivo o su dispositivi diversi, della medesima sequenza di valori binari del documento originario”. A norma infatti dell’art.23-bis, primo comma, del CAD, i duplicati informatici “hanno il medesimo valore giuridico, ad ogni effetto di legge, del documento informatico da cui sono tratti, se prodotti in conformità alle Linee guida”. Il manuale operativo rileva altresì l’importanza di fare particolare attenzione ad acquisire anche i metadati, quali per esempio le date di creazione e di ultima modifica dei documenti informatici (e.g. word, excel, etc) oppure i dati contenuti nella componente header delle email, utili a individuare mittente, destinatario, data e ora di invio e di ricezione;

Acquisizione delle prove digitali

Il percorso che porta all’acquisizione delle prove digitali, potrebbe essere suddiviso nelle seguenti tre fasi: identificazione, acquisizione, conservazione.

1)  Identificazione, che consiste nella fase di ricerca, ricognizione e raccolta delle prove digitali, e che prevede, già in fase di accesso, di appurare l’eventuale disponibilità o possesso da parte del titolare, dell’amministratore o dei soggetti responsabili della contabilità, di “memorie” portatili (e.g. hard-disk esterni) o altri strumenti di storage (anche in cloud), il cui contenuto, se pertinente all’attività ispettiva, dovrà essere acquisito;

2)  Acquisizione, che dovrà essere eseguita secondo standard e le linee guida riconosciute a livello internazionale, in quanto le prove digitali acquisite in sede di accesso non si dovranno modificare in alcun modo, così come i dispositivi o i supporti elettronici che potranno essere oggetto di successiva analisi nell’ambito dell’attività ispettiva. In sostanza quindi, la prova digitale, che potrà essere il duplicato informatico di uno specifico file oppure la copia forense  di un server o di un hard-disk esterno, dovrà essere prodotta mediante procedure e metodologie in grado di assicurare la medesima sequenza di bit dell’originale. La duplicazioni può essere eseguita con dei duplicatori oppure più sofisticati software di digital forensics in grado di garantire una duplicazione bit-to-bit di quanto contenuto nel supporto elettronico;

3)  Conservazione, in quanto è necessario mantenere e preservare l’integrità delle prove digitali, e a tale scopo si dovranno annotare in un apposito documento denominato catena di custodia, le seguenti informazioni:

  • i nominativi dei militari operanti, la sede del contribuente e la data;
  • i nominativi dell’eventuale personale tecnico messo a disposizione dal contribuente;
  • l’elenco delle prove digitali acquisite;
  • la tipologia delle prove digitali acquisite (e.g. “hard-disk esterno da 500 GB, Marca xxx e modello yyy, con numero di serie zzz” );
  • l’impronta hash delle prove digitali e la funzione di calcolo utilizzata (e.g. archivio xxx .zip, impronta SHA-256 = 6b86b273ff34fce19d6b804eff5a3f5747ada4eaa22f1d49c01e52ddb7875b4b);
  • gli eventuali passaggi di consegna delle prove digitali (militare cedente, militare accettante);
  • il luogo ove vengono custoditi i supporti informatici oppure le prove digitali acquisite nel corso dell’attività ispettiva;

Acquisizione di altre prove digitali

Il manuale operativo suggerisce ai militari di acquisire in fase di accesso ulteriori prove digitali, e in particolare:

  • Acquisizione delle copie di sicurezza: considerato che vi è il rischio che in fase di accesso vengano cancellati dei file utili all’indagine, si consiglia di ricercare eventuali copie di backup che potranno essere state eseguite tramite hard-disk esterni oppure strumenti di cloud storage come Google Drive, Dropbox, OneDrive etc;
  • Analisi di artifact: tramite l’ausilio di appositi tool è possibile rilevare tracce in grado di documentare l’interazione dell’utente con le diverse applicazioni in uso sui sistemi informatici (es: uso di specifici software, presenza di informazioni cifrate, etc.);
  • Analisi dei log: è possibile rilevare le attività eseguite dall’utente tramite software e apparati di rete (es. log del sistema operativo, log di sicurezza, log del sistema ERP, etc);
  • Analisi dei software realizzati ad hoc: verificando i software installati sui sistemi informatici, è possibile appurare se ve ne siano di specifici per finalità di gestione parallela della contabilità.

Se le attività amministrative delle aziende sono sempre più digitali, i controlli eseguiti dalla Guardia di Finanza non possono che essere incentrati nell’acquisizione di prove digitali, e questo dovrebbe incentivare i Commercialisti a rafforzare le proprie competenze e know-how in tale ambito, al fine di supportare al meglio la propria clientela.

Email per categoria

Se vuoi essere aggiornato sui contenuti della rubrica "Conservazione digitale", lascia la tua mail.

Registrandoti confermi di aver letto ed accettato la privacy *