Accedere ai dati del defunto quando non si conosce la password

La scomparsa di una persona può avvenire in qualsiasi momento e, non sempre, questa può aver avuto la lungimiranza o sentito l’esigenza di pianificare la propria successione.

La questione successoria, tuttavia, con lo sviluppo delle tecnologie ha assunto (e assumerà in futuro) un interesse che non riguarda più solo le persone anziane, poco avvezze all’utilizzo degli strumenti informatici, bensì tutti coloro che sfruttano quotidianamente le nuove tecnologie.

I casi giurisprudenziali che hanno portato alla nascita della c.d. eredità digitale dimostrano, del resto, che protagonisti del fenomeno successorio digitale sono (state) persone giovani, fruitrici indefesse di smartphone, tablet, social network, account ed Internet

È evidente che, per quanto riguarda il patrimonio digitale, la ricerca e l’acquisizione dei cespiti digitali (ovvero dei beni digitali di valore economico o personale) non è un’operazione così semplice come quella relativa ai beni non digitali, a maggior ragione in assenza di un inventario o di disposizioni di ultima volontà.

Da un lato, infatti, la vita “digitale” di una persona può essere del tutto ignota anche ai suoi più stretti familiari e, dall’altro lato, l’immaterialità dei beni facenti parte del patrimonio digitale e il numero di supporti di memorizzazione di quotidiano utilizzo fa sì che questi non siano facilmente reperibili.

****

L’accesso ai supporti fisici di memorizzazione

La prima attività che il chiamato a succedere nei rapporti del defunto dovrà compiere è la ricostruzione dell’ipotetica “vita digitale” del medesimo.

Tale operazione dovrà essere svolta tenendo conto, anzitutto, della preparazione informatica del de cuius e non solo delle sue propensioni nella vita “analogica”.

Successivamente, si dovranno ricercare i supporti fisici di memorizzazione (personal computer, tablet, smartphone, hard disk esterni, memorie flash, CD-ROM, DVD, ecc.) ove sono contenuti i beni digitali.

Rinvenuti i supporti di memorizzazione, il chiamato all’eredità (o chi sarà preposto all’amministrazione di beni ereditari) potrebbe comunque non riuscire ad entrare in possesso dei beni digitali ivi contenuti, in quanto protetti da una credenziale di accesso (ad esempio, una password).

In tali casi, l’unica soluzione per superare la barriera protettiva ed entrare in possesso dei beni digitali ereditari sarà, oltre che procedere per tentativi (inserendo, ad esempio, password già note o ricostruibili attraverso le abitudini del defunto), richiedere l’assistenza di tecnici specialisti di informatica forense (non semplici informatici), affinché, forzando informaticamente i supporti, tentino di accedere al supporto protetto da credenziale e di recuperare i contenuti protetti.

Sebbene non sia possibile generalizzare, a fronte di una credenziale semplice e già utilizzata (è prassi comune infatti riutilizzare una credenziale già impiegata), è spesso possibile ottenere quell’accesso al dispositivo che consente allo specialista informatico di effettuare una copia esatta del suo contenuto attraverso le tecniche di informatica forense.

Tuttavia, i sistemi moderni offrono misure di protezione ulteriori rispetto alle note credenziali (password, PIN, username, ecc.), che, grazie all’integrazione tra hardware e software, proteggono non solo l’accesso al supporto, ma effettuano altresì una cifratura (asimmetrica) dei dati ivi presenti.

In tali casi, lo specialista informatico, in assenza delle credenziali, dovrà utilizzare le tecniche di polizia giudiziaria e analizzare ogni componente del sistema in esame, oltre che ogni supporto esterno, alla ricerca di frammenti della credenziale originale e degli eventuali dati cancellati che permettano di rinvenire elementi o indizi in grado, direttamente o indirettamente, di ricondurre alla credenziale.

E’ prassi comune in questi casi ricorrere alla c.d. copia forense del dispositivo di memorizzazione in modo tale da poter effettuare tentativi di accesso (anche invasivo o distruttivo), senza compromettere l’originale del supporto o, in alternativa, alle tecniche di c.d. bruteforce, ossia ad un cospicuo numero di tentativi automatizzati di acceso attraverso password generate casualmente a partire da criteri predeterminati.

Qualora non sia necessario conservare il supporto fisico di memorizzazione si potrà ricorrere a tecniche distruttive quali il c.d. “chip off”, ovvero la rimozione fisica dei componenti dalla scheda logica per un accesso fisico al componente contenente la chiave privata da estrarre.

****

L’accesso ai dati contenuti negli account

Per quanto riguarda gli account, invece, la problematica di accesso ai dati assume contorni differenti, anche in ragione del fatto che l’account è legato ad una relazione contrattuale tra il fornitore del servizio della società dell’informazione e l’utente, in forza della quale quest’ultimo può usufruire di un servizio e di uno specifico ambiente virtuale, solitamente personalizzabile, avente determinati contenuti e singolari funzionalità.

La prima (oltre che più semplice) forma di acquisizione di beni digitali riconducibili ad un account del de cuius è l’accesso attraverso lo stesso (o gli stessi) device (personal computer, smartphone, tablet, ecc.) in uso al defunto (se accessibili ab origine). In altre parole, i chiamati all’eredità possono tentare di accedere all’account del defunto, utilizzando il personal computer, il tablet o lo smartphone.

Gli elaboratori elettronici in generale e i programmi di navigazione (browser) in particolare, anche al fine di agevolare l’utente nell’accesso ai propri account, memorizzano infatti le credenziali di accesso ai diversi servizi in rete.

****

Gli strumenti giuridici per accedere ai dati contenuti negli account

Qualora tale tentativo risultasse infruttuoso, l’unico strumento per poter accertare l’esistenza di dati riconducibili al defunto e (cercare di) entrarvi in possesso, è quello legale e, segnatamente:

a) il Regolamento UE 679/2016 sul trattamento dei dati personali;

b) il D. Lgs. 196/2003, come modificato dal D. Lgs. 101/2018;

c) il contratto con il fornitore del servizio