L’acquisizione forense di una casella di posta elettronica, o anche di un singolo messaggio di posta (e-mail), è quell’attività tecnica che può supportare la produzione giudiziale di un elemento digitale, giuridicamente qualificato come documento. L’attività forense su caselle o account email è tesa a garantire nel tempo la non ripudiabilità del contenuto dei messaggi acquisiti, la non alterazione dell’informazione originale, l’assenza di evidenze di manipolazione o alterazione dei messaggi.
Gli elementi presenti in una email infatti possono essere “primari”, in quanto visibili e comunemente noti, e “secondari”, ovvero ulteriori elementi tecnici non visibili immediatamente tramite i client di posta elettronica, ma che possono rivestire uguale o superiore importanza al fine di determinare l’originalità, integrità e completezza di una comunicazione elettronica.
Elementi “Primari” | Elementi Tecnici (esempi) |
|
|
Tramite una acquisizione forense della casella di posta, o del singolo messaggio, è possibile ottenere queste informazioni in modo completo e sicuro nel tempo.
Le e-mail sono il principale mezzo di scambio di informazioni di carattere aziendale, e possono contenere informazioni riservate, personali, sensibili e segreti commerciali e industriali. Di conseguenza è importante operare sia con competenza tecnica, affinché si possa acquisire il corretto perimetro per le finalità dell’attività di indagine, sia l’aspetto giuridico, in primis le norme privacy e giuslavoristiche.
L’individuazione del corretto perimetro da analizzare, e delle fonti da cui acquisire i dati è il primo step nella metodologia forense, ed è valido anche per l’acquisizione di email.
In relazione al caso di specie la comunicazione di posta elettronica potrebbe essere ad esempio:
All’interno un file in formato .eml o .msg presente in una cartella di un PC
In un backup online o offline
All’interno di un archivio di posta in locale (Outlook o Thunderbird)
All’interno di uno smartphone o tablet
All’interno di un archivio in cloud (Office 365 o Google Mail)
All’interno di un sistema di protocollo sicuro (vault)
Sin dalla fase di identificazione dei sistemi potenzialmente contenenti email è quindi importante agire con competenza tecnica per non perdere fonti di dati che potrebbero rilevarsi determinanti nell’elaborazione di una strategia legale. Per questo motivo l’acquisizione forense di caselle di posta elettronica viene seguita direttamente dal Team Digital Forensic interno a PwC.
Il contenuto dell’articolo 2712 del Codice Civile e l’orientamento della Giurisprudenza non ben riassunti dalla Sentenza della Corte di Cassazione Civile 11606/2018:
“il messaggio di posta elettronica (cd. e-mail) costituisce un documento elettronico che contiene la rappresentazione informatica di atti, fatti o dati giuridicamente rilevanti che, seppure privo di firma, rientra tra le riproduzioni informatiche e le rappresentazioni meccaniche di cui all’art. 2712 c.c. e, pertanto, forma piena prova dei fatti e delle cose rappresentate se colui contro il quale viene prodotto non ne disconosca la conformità ai fatti o alle cose medesime”.
Ulteriormente è possibile rilevare le seguenti Sentenze di interesse sul tema, di cui riportiamo un breve sunto.
Trib. Milano, 9 marzo 2017, n. 709 secondo cui un documento informatico prodotto anche senza la rispettiva “copia forense” è liberamente acquisibile dal Giudice che potrà vagliarne l’attendibilità attraverso altri mezzi istruttori, quali, tra gli altri, le prove testimoniali;
Trib. Brescia, Sezione Civile, 30 luglio 2019 sostiene che un documento informatico possa essere acquisito in giudizio anche senza la garanzia della sua corrispondenza all’originale, ben potendo lo stesso documento essere confermato e/o corroborato da altri elementi probatori, quali le dichiarazioni testimoniali;
Tribunale Vicenza sez. II, 22/11/2016, n.2013 per il quale il documento informatico privo di firma elettronica ha l’efficacia probatoria prevista dall’art. 2712 c.c. per le rappresentazioni meccaniche di fatti e di cose e forma piena prova salvo disconoscimento circostanziato concernente la sua genuinità e attendibilità, che non impedisce al giudice di accertarne la conformità all’originale attraverso altri mezzi di prova, comprese le presunzioni.
A titolo cautelativo e prudenziale, per tutto quanto sopra riportato, è a nostro avviso consigliabile procedere ad una acquisizione forense delle email piuttosto che procedere allegando in giudizio una mera stampa della email. La copia forense della email infatti contiene oltre agli elementi visibili, ulteriori elementi tecnici che permettono di valutare in modo più completo la comunicazione e contestualizzarla ulteriormente.
Le considerazioni fatte per i Procedimenti Civili valgono e anzi sono quanto più consigliate per i Procedimenti Penali, all’interno dei quali l’elemento di prova digitale, in questo caso la copia autentica di una email, necessità di essere sostanziato maggiormente.
Il team Digital Forensic di PwC svolge secondo best practice le attività di acquisizione forense di e-mail, siano esse webmail personali (gmail, libero, hotmail, …) o aziendali, sia su sistemi di posta in cloud o su client di posta elettronica locali, Outlook in primis.
La scelta della metodologia di acquisizione, della procedura da utilizzare e dei software a supporto avviene in modo diverso in relazione alla tipologia di elemento da acquisire e del’ecosistema nel quale è contenuto.
In un primo esempio si potrebbe aver accesso al mail server o mail client, entrambi in locale. In questo contesto si può accedere direttamente al sistema nativo in cui risiede la mail o la casella di posta elettronica.
Per alcune mail è possibile invece utilizzare delle API apposite per:
L’estrazione di specifici messaggi di posta;
L’estrazione di tutte le conversazioni;
L’estrazione di tutte le conversazioni che rispettano determinati parametri, come ad esempio il periodo temporale interessato.
Nel caso in cui sia di interesse un client di posta locale, è possibile procedere con la creazione delle copia forense dell’intero PC e con la successiva elaborazione ed indicizzazione del contenuto. In questo modo avremo un ambiente completo di metadati che contestualizzano nel modo più ampio gli elementi informativi email/account di posta.
In ultima ipotesi il mail server potrebbe risiedere su Cloud pubblici ed esporre delle funzionalità native per effettuare l’esportazione completa e puntuale dell’intera casella di posta.
In questo scenario è importante ricordare che sarà probabilmente necessario avere accesso tramite credenziali dell’utente o credenziali con privilegi amministratore al sistema di posta elettronica.
Nel caso in cui le conversazioni scambiate via email d’interesse fossero disponibili solamente su device mobili, come smartphone o tablet, sarà preferenziale procedere con l’acquisizione completa del dispositivo, in caso non sia possibile avere la copia forense del dispositivo si dovrà procedere alla refertazione manuale delle email tramite screenshot o altre metodologie.
Per quanto non richiesto attualmente da alcuna normativa civile o penale, nelle attività di copia autentica di email o di estrazione forense di caselle di posta è sempre possibile compiere ulteriori azioni rafforzative delle operazioni svolte quali registrazione video, calcolo codici hash e applicazione marca temporale.
Con modalità analoghe alle email è possibile acquisire in modo forense le PEC (posta elettronica certificata). Questo si rivela utile poichè la produzione di una stampa o screenshot di PEC può essere agevolmente falsificato con programmi di editing grafico, come visto per qualsiasi documento digitale in altro nostro articolo.
Per rendere completa l’acquisizione forense di un messaggio di posta elettronica certificata è necessario acquisire:
Messaggio originale;
Busta di trasporto;
Busta di anomalia;
Dati di certificazione;
Marca temporale.
L’acquisizione forense di caselle di posta elettronica, tradizionale o certificata, risulta utile anche nei casi in cui è necessario disconoscere un’e-mail PEC prodotta in giudizio dalla controparte. Infatti, tramite l’acquisizione forense, è possibile acquisire tutti gli elementi necessari per evidenziare in fase di analisi eventuali manipolazioni, alterazioni e mancati invii.
Il costo di tale perizia informatica forense può essere stabilito dalle seguenti variabili:
Numero o volume di caselle di posta da acquisire
Collocazione e tipologia del sistema di posta elettronica
Necessità di verbalizzare, redigere relazioni e produrre copie forensi separate per ogni custodian, ovvero utilizzatore della casella di posta.
Per ottenere una puntuale quotazione e per definire al meglio le possibili attività potete contattare il Team Digital Forensic di PwC.
Ha svolto per oltre 14 anni attività di tutela del patrimonio aziendale in supporto alle funzioni HR, Security e Legal. Specializzato nel trattamento del dato e nella conduzione di investigazioni civili e penali in conformità alla normativa privacy.
È attualmente un Senior manager di PwC, possiede un solido bagaglio di competenze che include Computer Forensics, Software License Compliance, Data Forensics, Forensic Analysis, Digital Forensics e altro, contribuendo con preziose intuizioni al settore.