HOME Articoli

Lo sai che? La finanza può controllare i file cancellati dal computer

Lo sai che? Pubblicato il 6 dicembre 2017

Articolo di




> Lo sai che? Pubblicato il 6 dicembre 2017

Ricerche sulla cronologia del browser, client di posta elettronica, messaggistica e chat nella nuova circolare della Guardia di Finanza sugli accertamenti anti evasione.

A distanza di pochi giorni dalla sentenza della Cassazione [1] che ha stabilito l’illegittimità del sequestro di tutti i documenti informatici del contribuente in assenza di una ipotesi di reato contestato, la Guardia di Finanza ha pubblicato una importante circolare sulle modalità operative degli accertamenti, nell’ambito del contrasto all’evasione fiscale. Il documento, particolarmente corposo (costituito da ben quattro volumi) è una vera e propria guida operativa per gli accertatori. Tra i vari aspetti contemplati dalla circolare vi sono le indagini sui supporti informatici, indagini che non risparmiano i dati archiviati sui cloud o nelle memorie fisse o “volatili” (Ram) dei computer. In particolare viene posto l’accento sull’importanza di indagini tecniche volte al recupero di tutti i file cancellati dalle memorie interne, dalle cronologie dei browser e dai client di posta elettronica. Sarà quindi inutile svuotare il cestino per evitare agli agenti di trovare le prove dell’evasione.

Quando la memoria di un computer viene cancellata, i dati possono essere recuperati con particolari software, sempre a condizione che la stessa sezione fisica della memoria non venga soprascritta da ulteriori dati. Neanche la formattazione dell’intero contenuto dell’hard disk può eliminare le tracce lasciate dal contribuente che, pertanto, potrebbero essere recuperate anche a distanza di tempo (sempre a condizione che la memoria non venga sovrascritta). Esistono peraltro tecniche sofisticatissime che, anche in presenza di più sovrascrizioni della stessa parte di hard disk, consentono di risalire ai dati (ovviamente più numerose sono le sovrascrizioni, più i dati diventano illeggibili o non completamente recuperabili). Questo significa che il personale della Guardia di Finanza, formato per tali tipi di controlli informatici, potrebbe essere in grado di controllare i file cancellati dal computer.

Proprio per tali ragioni, la circolare delle Fiamme gialle sottolinea la necessità di effettuare, in sede di indagini sul luogo di lavoro del contribuente, la ricerca di file cancellati o di determinati tipi di file (documenti di testo, piuttosto che documenti contabili digitali oppure e-mail), la ricostruzione della cronologia delle operazioni eseguite sul sistema oppure quella dell’utilizzo di specifiche applicazioni come browser o client di posta o, ancora, applicazioni di messaggistica e chat. Vi sono poi analisi che da un punto di vista tecnico e degli strumenti da utilizzare sono fortemente dipendenti dal sistema da cui le prove sono state acquisite; si pensi ad esempio agli smartphone o ai tablet oppure ad analisi da svolgersi su sistemi cloud o virtualizzati.

La fase di analisi termina generalmente con la redazione di una relazione in cui il verificatore o il militare della Guardia di Finanza ripercorre tutte le fasi delle attività svolte fino ad illustrare le conclusioni, allegando i file relativi alle copie di tipo forense acquisite di cui deposita i valori di hash con la conseguente necessaria compilazione ed integrazione della catena di custodia.

In ultimo, è opportuno segnalare che le disposizioni e le procedure come sopra delineate e richiamate possono essere opportunamente adottate anche nel caso in cui vi sia la necessità, dettata dalla natura della specifica attività ispettiva e mediante l’esercizio dei previsti poteri, di acquisire dati informatici detenuti presso soggetti terzi diversi dal verificato.

I controlli non si fermano solo al computer e al cloud del contribuente ma anche alle eventuali copie di sicurezza: considerato il rischio concreto di cancellazione del materiale di interesse al momento dell’accesso, la contromisura da adottare consiste nella ricerca di back-up delle informazioni (back-up su dischi esterni, uso di strumenti di cloud storage come Google Drive, Dropbox, OneDrive e simili).

Il confronto fra il back-up realizzato dal contribuente prima dell’inizio dell’attività ispettiva e le evidenze acquisite dai verificatori al momento dell’accesso può, infatti, evidenziare l’esistenza di elementi occulti da sottoporre a ulteriori approfondimenti.

Anche la posta elettronica non si sottrae al rischio di controlli. Per quanto riguarda le comunicazioni via e-mail, intercorse tra il contribuente sottoposto a controllo e soggetti terzi, o all’interno della stessa impresa, la circolare offre alcune indicazioni operative. Le e-mail già aperte e visionate dal destinatario sono direttamente acquisibili dai verificatori, mentre quelle non ancora lette o per le quali è eccepito il segreto professionale possono essere acquisite sulla base di un provvedimento di autorizzazione del giudice.

La Finanza dovrà acquisire i messaggi di posta elettronica direttamente in formato digitale poiché viene preservata, in tal modo, la componente non visibile del messaggio (cosiddetta intestazione o header), utile a individuare l’effettiva provenienza del messaggio nonché eventuali segni di contraffazione (spoofing).

In aggiunta, tramite apposite elaborazioni dei file dei messaggi e-mail (indicizzazione del testo), è possibile effettuare ricerche efficienti su grandi moli di messaggi.

Il manuale operativo delle verifiche della Finanza può avvenire tramite due differenti approcci. Si tratta, in particolare, delle static analysis, che verranno effettuate quando l’acquisizione è stata eseguita su dispositivi spenti (c.d. post mortem) e delle live analysis, comprendente tecniche di analisi su sistemi attivi per tutti quei dati che si perderebbero spegnendo il dispositivo (Ram, chiavi di cifratura contenute nella memoria temporanea, server, cloud storage ecc.). Nel primo caso la Finanza procede con le operazioni di analisi sulla copia forense del dato informatico o del documento digitale acquisito e non anche sull’originale, in virtù del fatto che occorre preservarne l’integrità ai fini dell’eventuale ripetibilità e riproducibilità. Nel secondo caso invece, gli agenti devono procedere in contraddittorio con il soggetto sottoposto a verifica o con un suo delegato.

Ricordiamo che l’attuale codice di procedura penale ha superato i limiti in precedenza esistenti in tema di opposizione del segreto professionale. Pertanto, nel caso in cui sorga la necessità di acquisire atti, documenti, dati, informazioni e programmi informatici, l’Autorità Giudiziaria ha l’onere di rivolgere una richiesta di consegna attraverso un decreto di esibizione, in virtù del quale sussiste un obbligo di rimessa immediata della cosa domandata, a meno che il soggetto destinatario della richiesta non dichiari per iscritto che il bene di cui si pretende l’esibizione è oggetto di segreto professionale.

note

[1] Cass. sent. n. 53810/17 del 29.11.2017.

[2] Guardia di Finanza, circolare n. 1/2018.


Per avere il pdf inserisci qui la tua email. Se non sei già iscritto, riceverai la nostra newsletter:
Informativa sulla privacy

ARTICOLI CORRELATI

3 Commenti

  1. Altro che sovrascrittura, basta sostituite l’ hard disk… e comunque tutte queste belle leggi vengono applicate in caso di grandi evasioni fiscali, per cui concluderei l’articolo con “se non versate 500€ o poco piu’ d’ imposta mai nessuna autorita’ verra’ a sequestrarvi i mezzi informatici in dotazione”.
    Un e-commerce di cosenza mi ha venduto un materasso a 300€ senza fattura fiscale, ne’ scontrino…
    Facendo notare la cosa alla guardia di finanza mi viene detto: ” Se metti in moto la macchina penale dovrai anticipare tutte le spese di giudizio per il processo civile che vanno ben oltre le 300€”.
    Risultato: io non ho presentato alcuna querela e loro fatturano migliaia di euro in nero.
    Questa e’ l’Italia, questa e’ la Legge.

    1. Se la GdF dovesse muoversi per ogni 300€ non ne uscirebbero più fuori.
      Tieniti il materasso e tira a campare

Lascia un commento

Usa il form per discutere sul tema. Per richiedere una consulenza vai all’apposito modulo.

 


NEWSLETTER

Iscriviti per rimanere sempre informato e aggiornato.

CERCA CODICI ANNOTATI