En numerosas ocasiones, el perito informático debe enfrentarse al análisis forense de evidencias que han sido intervenidas e incautadas en el marco de intervenciones autorizadas por la autoridad judicial. El afectado puede necesitar una segunda opinión técnica y entonces se dirige a un perito informático para que le ayude en su proceso penal, civil o administrativo, en el que una de las pruebas sea de naturaleza informática.
En el ámbito penal, las intervenciones, obviamente siempre autorizadas por un juez, van acompañadas, en todos los casos, de secretario judicial (ahora, letrado de la administración de justicia), que da fe de todo lo acontecido en la intervención y se halla al mando de la comitiva policial. El secretario judicial otorga garantías al acusado ya que se halla investido de fe pública.
Es habitual que este tipo de intervenciones se desencadenen tras una investigación preliminar que parte de la sospecha de que el acusado comete algún tipo de delito de naturaleza informática, como la tenencia y/o distribución de pornografía infantil, el acoso a menores a través de redes sociales, etc. Este tipo de investigaciones han sido recientemente reguladas en la reforma de la Ley de Enjuiciamiento Criminal aprobada en el año 2015.
Una vez se obtiene la dirección IP del objetivo, normalmente por más de una vía (para evitar falsos positivos, muy frecuentes en los primeros estadios de la investigación judicial informática), se solicita orden judicial para conocer su identidad y, finalmente, autorización igualmente judicial para intervenir policialmente en su domicilio. La jurisprudencia señala que la dirección IP no es válida como único medio de prueba para imputar un delito, por eso es necesario intervenir y analizar los ordenadores y, específicamente, sus discos duros. En el artículo de esta misma web que versa sobre la dirección IP en el peritaje informático, se explica dicha doctrina jurisprudencial.
En el transcurso de la intervención, que obviamente se produce por sorpresa, los agentes actuantes toman posesión de los ordenadores, obtienen pantallazos del material buscado y el secretario judicial los imprime posteriormente y los adjunta al acta de la intervención. Los discos duros o, en su caso, los ordenadores, deben ser precintados en ese preciso instante, obviamente tras ser identificados en el acta levantada por el secretario judicial.
Avanzado el procedimiento, los peritos informáticos del Cuerpo Nacional de Policía, de la Guardia Civil o de la policía autonómica correspondiente, realizarán un informe pericial informático en el que se estudie el contenido y la actividad del disco duro incautado al acusado. A partir de ese momento, el acusado podrá buscar, por su cuenta, un perito informático que rebata los argumentos del informe pericial informático policial, mediante un nuevo peritaje informático. Lo primero que deberá solicitar el perito informático de parte, para realizar la nueva pericial, es obviamente la realización de una copia clónica del disco duro intervenido, procedimiento que se realizará en el juzgado ante el secretario judicial y en el que una de las cuestiones clave, será la coincidencia de la huella digital o código hash de la evidencia original, con la huella digital o código hash obtenido por los peritos informáticos del cuerpo policial que hubiere practicado la prueba. La huella digital o código hash deberá ser incluido en el acta de clonado levantado por el secretario judicial a tal efecto.
En el ámbito mercantil, se suelen realizar intervenciones judiciales para incautar evidencias informáticas, cuando existen pruebas fehacientes de que una empresa está utilizando software empresarial sin licencia, es decir, software pirata. En este tipo de casos, acompaña también la policía y un secretario judicial, que otorga garantías al procedimiento. Suelen asistir, a este tipo de intervenciones, peritos informáticos nombrados por el juzgado y, por tanto, actuando como peritos informáticos judiciales, que son los que realizan la adquisición de las evidencias bajo la estricta supervisión del secretario judicial. El informe pericial será realizado por dichos peritos informáticos judiciales y, posteriormente, aportado al procedimiento.
También se podría realizar una intervención e incautación de evidencias dentro del ámbito mercantil, en casos en los que existan pruebas fehacientes de que una empresa ha plagiado a otra y, por tanto, de que se ha apropiado de su software informático a través de cualquier vía (espionaje industrial, revelación de secretos, etc.), aunque este tipo de intervención sería más rara y harían falta unas pruebas muy contundentes. Obviamente, también sería necesaria la presencia, en la intervención, de un secretario judicial que otorgara fe pública al procedimiento, así como de uno o varios peritos informáticos que realizaran una adquisición adecuada de las evidencias, un análisis forense apropiado y que, ulteriormente, presentaran un informe pericial informático con las conclusiones para que el juez tomara una decisión.
Finalmente, en el ámbito administrativo, se suelen producir intervenciones de la Agencia Tributaria, en el marco de investigaciones contra el fraude. En este tipo de intervenciones, los jueces, al tratarse de acciones de naturaleza administrativa y ser incoadas por parte de la propia Administración (es decir, no por ningún particular o empresa, ni tampoco por parte de las Fuerzas y Cuerpos de Seguridad del Estado), no suelen considerar necesario el acompañamiento de un secretario judicial que, junto a la comitiva tributaria, otorgue fe del procedimiento y de las actuaciones llevadas a cabo por los funcionarios. Tampoco se nombran peritos informáticos judiciales que se encarguen de adquirir las evidencias en la intervención, siendo funcionarios especializados de la Administración (normalmente, de la ONIF), los que actúan como peritos informáticos y realizan la adquisición de las evidencias. Los que sí suelen acompañar, por orden judicial, son miembros de las Fuerzas y Cuerpos de Seguridad del Estado, con el objetivo de controlar que la intervención se realice sin problemas y siguiendo la orden judicial.
El hecho de que, en este tipo de intervenciones, no acompañe un secretario judicial, ni tampoco los peritos informáticos actuantes sean nombrados por el juzgado, es decir, independientes, sino adscritos a la propia Administración, genera una elevada inseguridad jurídica a los obligados tributarios, teniendo en cuenta que existen primas por mayor recaudación, lo que provoca que en algunas intervenciones se produzcan todo tipo de extralimitaciones.
Una vez la Agencia Tributaria examina las evidencias informáticas y obtiene las presuntas pruebas del fraude por parte de la mercantil, realiza una estimación de lo presuntamente defraudado tanto en IVA, como en Impuesto de Sociedades, como en otros impuestos y/o tributos si aplicaren, proponiendo una regularización y una sanción. En este momento, el empresario debería solicitar los servicios de un perito informático colegiado, que le asesore en la petición y examen de los archivos informáticos adquiridos, ya que no siempre (en base a la experiencia de este perito informático), se siguen los protocolos con adecuación, siendo que muchas pruebas pueden ser susceptibles de ser anuladas y, por tanto, la regularización y/o la sanción, archivadas. Se trata, especialmente, de pruebas descargadas irregularmente de servidores en nube -cuando la orden judicial sólo permitía la incautación de la documentación de la sede de la empresa (artículo 18.2 CE), y por tanto, no la intervención de las comunicaciones (artículo 18.3 CE)-, o ficheros informáticos que aparecen misteriosamente en los ordenadores cuando no deberían estar allí, etc.
Este perito informático ha conseguido la anulación de pruebas informáticas en este tipo de procedimientos tributarios, incluso en trámite administrativo.
En general, cuando se deban analizar evidencias informáticas intervenidas por las autoridades en el ejercicio de sus funciones, se deberá realizar una copia y autentificación mediante huella digital de la misma en el juzgado o en la sede de la Administración pertinente, previa solicitud por parte del interesado y, obviamente, previa aceptación de dicha solicitud por parte de la autoridad o Administración involucrada, en la que se fije una fecha y una hora para realizar la operación. Acudir con un perito informático, será necesario para que el derecho a defensa y/o a reclamación sea completo, siendo que el perito informático deberá estar colegiado para evitar cualquier posible impugnación del peritaje informático presentado a posteriori.