11Aspetti della legge n.48/2008 cheinfluenzano l’Informatica ForenseCesare MaioliCIRSFID e Facoltà di GiurisprudenzaUniver...
2IndiceI)  Cybercrime e iniziative a contrasto della criminalità: dallaConvenzione di Budapest alla Legge n. 48 del 2008II...
3All’aumento del trattamento di dati con sistemi informaticiconsegue l’incremento della domanda di analisi dei datidigital...
4Iniziative di armonizzazione•  G8 adottò nel 1999 un insieme di principi sull’accesso transnazionale a datimemorizzati e ...
5Già dal 1996 con la decisione dell’ European Commitee on CrimeProblems (CDPC) si fece largo la necessità di istituire una...
6La Convenzione di BudapestLa ratio dell’intervento:• Armonizzare il diritto sostanziale penale nell’ottica del nuovofenom...
7Legge di ratifica n. 48/2008•  Elaborata analisi della normativa presso le Commissioni riunitedi Giustizia e Senato sul f...
8Modifiche in ambito sostanziale•  Italia vantava disciplina sostanziale sul cybercrime introdotta nellontano 1993 con la ...
9Modifiche al Codice di procedura penale - I•  Tecnica emendativa seguita consiste sostanzialmente in un adeguamentoattrav...
10•  Sorge la necessità di assicurare pieno controllo sull’operato degliinquirenti, in particolare la verifica sulle proce...
11•  Il richiamo è alla necessità di adottare “misure tecniche direttead assicurare la conservazione dei dati originali e ...
12•  Art 244 c.p.p. Casi e forme delle ispezioni.Lispezione delle persone, dei luoghi e delle cose è disposta con decretom...
13•  L’attività tipica dell’inspicere si sostanzia in un’attivitàvolta all’osservazione di persone, luoghi, cose peraccert...
14Art 247 c.p.p. Casi e forme delle perquisizioni•  Quando vi è fondato motivo di ritenere che taluno occulti sulla person...
15•  L’attività tipica del perquirere si caratterizza per esserevolta all’individuazione e acquisizione del corpo del reat...
16Perquisizione e utilizzo di preview:•  Essendo attività prodromica rispetto al sequestro, sorge lanecessità a che la per...
17La legge n. 48 stabilisce qui più incisivi poteri a favore degli investigatori:•  Nel nuovo comma 1–bis dell’art 247 c.p...
18•  A livello tecnico è possibile l’utilizzo di cd preview: mediante l’utilizzo disoftware ad hoc viene permesso agli inq...
19ü il primo qualifica l’attività ispettiva o perquisente inambiente virtuale come attività potenzialmente econcretamente...
20Art 260 c.p.p. Apposizione dei sigilli alle cose sequestrate. Cosedeperibili. Distruzione di cose sequestrate•  Le cose ...
21Conseguenze di ordine forense:ü  Recepisce (comma 1) anche a livello processuale lacertificazione fra copia e originale...
22Art 254-bis c.p.p Sequestro di dati presso fornitori di serviziL’autorità giudiziaria, quando dispone il sequestro, pres...
23Ante legge n. 48/2008:•  Si registravano prassi distorsive, al limite della delega inbianco a favore dei tecnici (segnat...
24Antefatto: la Procura di Pisa disponeva perquisizione econseguente sequestro delle credenziali di accesso relative alsis...
25Secondo il Tribunale il provvedimento mirava non tanto ad acquisireelementi di conoscenza in ordine a una o più notitiae...
26Antefatto: Lindagato, dipendente dellUnicredit, era sottoposto adindagini per i reati di sostituzione di persona, access...
27Secondo la Suprema Corte le operazioni effettuate in occasionedel sequestro sono da considerarsi correttamente eseguite ...
28•  Il caso: la legittimità delle cd perquisizioni on-line ad opera didispositivi di one-time copy silenti•  La Corte Cos...
29•  ISO/IEC 27037/12: Information technology -Security techniques - Guidelines foridentification, collection, acquisition...
30La ISO/IEC 27037/2012 erichiami a norme precedentiISO/TR 15801:2009•  Document management - Information stored electroni...
31•  Trattamento del dato informatico finalizzato alrepertamento mediante l’individuazione e definizionedi guideline fonda...
32•  Per ciascuna fase prevedeü  Documentazione (logging)ü  Traciabilità (chain of custody)ü  Priorità d’intervento (pl...
33Destinatari della ISO/IEC 27037/2012Digital evidence first responders (DEFR)•  Operatore che si avvicina e tratta per pr...
34•  Per la gestione della prova costituenda si richiede lasussistenza dei requisiti di I) pertinenza e rilevanza, II)affi...
35•  Sulla scena del crimine il DEFR (Digital Evidence First Responder)deve:ü  Proteggere lo status quo ambiente (digital...
36Fase di IdentificazioneDispositivo digitaleRaccogliere oacquisire?Acceso?Raccogliere AcquisireRaccolta didispositividigi...
37Caso dei dispositivi accessi37	  Occorreanalisilive?I datisonostabili?Occorronoaltridispositivi?SpegnimentonormaleUnplug...
38(Michele	  Ferrazzano)	  38	  Il deviceha unabatteria?Occorronoaltridispositivi?Rimuovere	  l’alimentazione	  ele3rica	 ...
39Aziende e reati informatici•  Legge 23 dicembre 1993 n. 547 rende possibile la punibilità dell’autoredel delitto informa...
40Modifiche al dlgs n°231/2001Il dlgs n. 231/01 oggetto la responsabilità amministrativadegli entiPosizione della Cassazio...
41Modifiche al dlgs n°231/2001In dettaglio:ü  Falsità in documento pubblicoinformatico o avente efficaciaprobatoria – art...
42Modifiche al dlgs n°231/2001La ratio dell’estensione:•  Da un lato tentativo di attuare una più stretta cooperazioneinte...
43Modifiche al dlgs n°231/2001•  Per beneficiare dell’esimente (esclusione di responsabilità)l’ente dovrà dotarsi di un mo...
44Modifiche al dlgs n°231/2001Conseguenze:•  Implementazione dei modelli organizzativi•  I cd modelli 231 dovranno necessa...
45Modifiche al dlgs n°231/2001In sostanza l’azienda dovrà porre in essere una strategiapreventiva idonea sotto il profilo:...
46•  art 132 del dlgs n. 196/2003 l’introduzione nei comma 4-ter, 4-quater, 4-quinquies il cd congelamento dei dati per ra...
47Modifiche alla disciplina della data retention - IIGli obblighi previstiü  Conservazione dei dati di traffico per un pe...
48•  Art. 51 c.p.p. Competenza: Le attività d’indagine per icomputer crime (reati previsti del Codice penale: 615-ter, 615...
49Modifiche al c.p.p. : la competenza distrettuale - IIProfili critici:•  Mancanza coordinamento fra delitti introdotti da...
50Dato giuridico: modifiche introdotte dalla legge n. 48/2008Dato tecnico: ISO IEC 27037/2012Panorama giurisprudenziale mo...
51Riferimenti•  Cajani F., Appunti per una strategia globale di contrasto del cybercrime, IISFAMemberbook 2011, Experta, 2...
Upcoming SlideShare
Loading in...5
×

Deftcon 2013 - Cesare Maioli - Aspetti della legge 48/2008 che influenzano l'Informatica Forense

1,320

Published on

Published in: News & Politics
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
1,320
On Slideshare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
46
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

Deftcon 2013 - Cesare Maioli - Aspetti della legge 48/2008 che influenzano l'Informatica Forense

  1. 1. 11Aspetti della legge n.48/2008 cheinfluenzano l’Informatica ForenseCesare MaioliCIRSFID e Facoltà di GiurisprudenzaUniversità di BolognaElisa SanguedolceCIRSFIDUniversità di BolognaBologna, 19 aprile 2013
  2. 2. 2IndiceI)  Cybercrime e iniziative a contrasto della criminalità: dallaConvenzione di Budapest alla Legge n. 48 del 2008II)  Modifiche introdotte dalla Legge n. 48 a livello sostanziale eproceduraleIII)  La ISO/IEC 27037/2012IV)  Aziende e reati informatici: modifica al dlgs n. 231/01 e aldecreto sulla data retentionV)  Modifica all’art. 51 c.p.p. : la competenza distrettuale
  3. 3. 3All’aumento del trattamento di dati con sistemi informaticiconsegue l’incremento della domanda di analisi dei datidigitali a fini di investigazione e di giustiziaCrescita della domanda di analisiComune denominatore:Il dato digitalizzatocome oggetto di indagine
  4. 4. 4Iniziative di armonizzazione•  G8 adottò nel 1999 un insieme di principi sull’accesso transnazionale a datimemorizzati e dopo l’11 settembre 2001 adottò una Raccomandazione sul criminetransnazionale su alcuni tipi di reati informatici•  OECD nel 1986 produsse uno studio che presentava le categorie di reati cheriteneva dovessero costituire una base per i futuri Cybercrime•  La Nazioni Unite hanno sempre seguito il contrasto a reati informatici per mezzo diloro agenzie come ITU e Unicef; in due occasioni l’Assemblea Generale ha espressorisoluzioni sui reati informatici: nel 1990 e nel 2001 produsse raccomandazionirelative alla eliminazione di ripari sicuri per incrementare la cooperazioni fraagenzie investigative internazionali•  Il Consiglio di Europa nel 1989 stilò il primo elenco di reati informatici per lelegislature nazionali su cui intraprendere una azione uniforme di contrasto;nel 2001ha prodotto la Convenzione sul Cybercrime anche con la collaborazione di StatiUniti, Canada, Giappone e altre nazioni non facenti parte dellUnione EuropeaDimensione internazionale del fenomeno: necessità di strumenti condivisi sulpiano della protezione
  5. 5. 5Già dal 1996 con la decisione dell’ European Commitee on CrimeProblems (CDPC) si fece largo la necessità di istituire unacommissione di esperti per analizzare il fenomeno del cdcybercrime al fine di intervenire repentinamente in quanto “only abinding international instrument can ensure the necessaryefficiency in the fight against these new phenomena”Convinced that the present Convention is necessary to deter action directedagainst the confidentiality, integrity and availability of computer systems,networks and computer data as well as the misuse of such systems,networks and data by providing for the criminalisation of such conduct, asdescribed in this Convention, and the adoption of powers sufficient foreffectively combating such criminal offences, by facilitating their detection,investigation and prosecution at both the domestic and international levels and byproviding arrangements for fast and reliable international co-operationLa Convenzione di Budapest
  6. 6. 6La Convenzione di BudapestLa ratio dell’intervento:• Armonizzare il diritto sostanziale penale nell’ottica del nuovofenomeno del cybercrime• Rafforzare il sistema processuale interno in un’ottica siainvestigativa sia repressiva con riguardo al perseguimento ditali reati, nonché con riguardo ai reati commessi attraversol’utilizzo di strumenti informatici o reati le cui prove vengano adessere formate attraverso procedure elettroniche• Istituire un sistema di cooperazione internazionale che siaefficiente, efficace e rapido
  7. 7. 7Legge di ratifica n. 48/2008•  Elaborata analisi della normativa presso le Commissioni riunitedi Giustizia e Senato sul finire della legislatura•  Confronto nell’ambito dei lavori preparatori anche conpersonalità esterne alle funzioni parlamentari, coadiuvatidall’apporto di esperti della Polizia Postale, nonché studiosi ecultori della materia circa le questioni più delicate emergenti invia applicativa•  Nel dettaglio la legge di ratifica consta di 14 articoli, suddivisi inquattro capi:ü  Capo I Ratifica ed esecuzioneü  Capo II Modifiche al codice penale e al Dlgs n.231/2001 in materia diresponsabilità amministrativa degli entiü  Capo III Modifiche al codice di procedura penale (mezzi di ricercadella prova e competenza) e al Dlgs n.196/03 (data retention)ü  Capo IV Disposizioni finali
  8. 8. 8Modifiche in ambito sostanziale•  Italia vantava disciplina sostanziale sul cybercrime introdotta nellontano 1993 con la legge n. 547/93•  Intervento si è ”limitato”:ü  Soppressione 2 co art. 491-bis c.p. – documento informatico: richiamointegrale alla disciplina CADü  Miglior tutela della cd fede pubblica informatica: falsa dichiarazione oattestazione al certificatore di firma elettronica sull’identità o qualitàpersonali proprie o di altri art. 495 bis c.p; Frode informatica del soggettoche presta servizi di certificazione di firma elettronica art. 640quinquiesc.p.ü  Il danneggiamento informatico in cui si distingue fra “danneggiamenti didati” e “danneggiamenti di sistemi” a loro volta bipartiti fra dati o sistemiappartenenti a privati o di pubblica utilitàü  Riformulazione a dolo specifico dell’art 615 quinquies c.p. Diffusione diapparecchiature, dispositivi o programmi informatici diretti a danneggiare ointerrompere un sistema informatico o telematico
  9. 9. 9Modifiche al Codice di procedura penale - I•  Tecnica emendativa seguita consiste sostanzialmente in un adeguamentoattraverso operazioni di “chirurgia lessicale” su disposizioniprocessuali già vigenti•  Si vedano gli artt. 8, 9, 11 della legge dove in tema di:ü  ispezioni e rilievi tecnici (art 244, 2°comma c.p.p.)ü  esame di atti, documenti e corrispondenza presso banche (art 248, 2°commac.p.p.)ü  doveri di esibizione e consegna (art 256, 1°comma c.p.p.)ü  obblighi e modalità di custodia (art 259, 2°comma c.p.p.)ü  sigilli e vincolo delle cose sequestrate (art 260,1°e 2° comma c.p.p.)ü  acquisizione di plichi e corrispondenza (art 353, 1°e 2° comma c.p.p.)ü  accertamenti urgenti e sequestro (art 354, 2° comma c.p.p.)•  Per ciascun istituto il legislatore amplia l’oggetto della norma attraversol’inserimento di espressioni che rimandano ad attività legate al trattamentodi “dati, informazioni e programmi informatici”
  10. 10. 10•  Sorge la necessità di assicurare pieno controllo sull’operato degliinquirenti, in particolare la verifica sulle procedure acquisitive•  Il legislatore fornisce un “paradigma” sul corretto modusoperandi da seguirsi nelle operazioni di accesso al computer oal dispositivo oggetto d’indagine, sottolineando l’importanza allasalvaguardia dell’integrità dei dati che assume, quindi, canoneoperativo imprescindibileModifiche al Codice di procedura penale - IIIntervento si focalizza tanto sulla dimensione statica quantosu quella dinamica del procedimento
  11. 11. 11•  Il richiamo è alla necessità di adottare “misure tecniche direttead assicurare la conservazione dei dati originali e adimpedirne l’alterazione”•  Il legislatore:ü  Pro: evita di imbrigliare nel tessuto normativo elementitecnici che, basandosi sulla tecnologia, potrebbero divenireobsoleti già nell’immediatezzaü  Contro: sembra indifferente al modus operandiconcentrandosi sul risultatoü  Contro: non commina nessuna sanzione processualedirettamente applicabile al mancato rispetto del dettatonormativoü  Contro: non individua nessun organo terzo (es. ENFSI)deputato al controllo delle metodologieModifiche al Codice di procedura penale - III
  12. 12. 12•  Art 244 c.p.p. Casi e forme delle ispezioni.Lispezione delle persone, dei luoghi e delle cose è disposta con decretomotivato quando occorre accertare le tracce e gli altri effetti materiali del reato.Se il reato non ha lasciato tracce o effetti materiali, o se questi sono scomparsio sono stati cancellati o dispersi, alterati o rimossi, lautorità giudiziaria descrivelo stato attuale e, in quanto possibile, verifica quello preesistente, curandoanche di individuare modo, tempo e cause delle eventuali modificazioniLautorità giudiziaria può disporre rilievi segnaletici, descrittivi efotografici e ogni altra operazione tecnica, anche in relazione asistemi informatici o telematici, adottando misure tecnichedirette ad assicurare la conservazione dei dati originali e adimpedirne l’alterazioneModifiche al Codice di procedura penale - IV
  13. 13. 13•  L’attività tipica dell’inspicere si sostanzia in un’attivitàvolta all’osservazione di persone, luoghi, cose peraccertare tracce o altri effetti materiali del reato: insostanza l’inspicens usa gli occhi (Cordero)•  Se l’attività ispettiva è diretta alla ricerca visiva in qualitermini è possibile parlare di ispezione informatica?•  A livello informatico esplorare un sistema alla ricercadi dati e tracce informatiche inerenti ai fatti oggettodell’ispezione comporta irrimediabilmente l’alterazionedei dati di sistema e dei metadati relativi ai file oggettodi attenzione da parte degli inquirentiModifiche al Codice di procedura penale - V
  14. 14. 14Art 247 c.p.p. Casi e forme delle perquisizioni•  Quando vi è fondato motivo di ritenere che taluno occulti sulla persona il corpo delreato o cose pertinenti al reato, è disposta perquisizione personale.•  Quando vi è fondato motivo di ritenere che tali cose si trovino in un determinatoluogo ovvero che in esso possa eseguirsi larresto dellimputato o dellevaso, èdisposta perquisizione locale.•  Quando vi è fondato motivo di ritenere che dati, informazioni,programmi informatici o tracce comunque pertinenti al reato sitrovino in un sistema informatico o telematico, ancorché protetto damisure di sicurezza, ne è disposta la perquisizione, adottando misuretecniche dirette ad assicurare la conservazione dei dati originali e adimpedirne l’alterazioneLa perquisizione è disposta con decreto motivatoLautorità giudiziaria può procedere personalmente ovvero disporre che latto siacompiuto da ufficiali di polizia giudiziaria delegati con lo stesso decretoModifiche al Codice di procedura penale - VI
  15. 15. 15•  L’attività tipica del perquirere si caratterizza per esserevolta all’individuazione e acquisizione del corpo del reato odelle cose ad esso pertinenti (frugare), qualificandosiquindi come attività prodromica rispetto al sequestroprobatorio•  L’istituto della perquisizione può prodursi in seded’indagini preliminari a seguito di due distinte modalità:ü  iniziativa del Pubblico Ministero, il quale, la disponecon decreto motivato, prevedendo altresì se eseguirlapersonalmente o delegarla a ufficiali della PoliziaGiudiziaria (art 247 c.p.p.)ü  iniziativa della Polizia Giudiziaria medianteperquisizione locale o personale nei casi di flagranza delreato o evasione (art 352 c.p.p.)Modifiche al Codice di procedura penale - VII
  16. 16. 16Perquisizione e utilizzo di preview:•  Essendo attività prodromica rispetto al sequestro, sorge lanecessità a che la perquisizione, anche in via informatica,sia opportunamente giustificata e legata al themaprobandum, attraverso l’individuazione del fatto storico, dinatura penalmente rilevante, in cui assume importanza edecisività l’elemento informatico•  In mancanza non sarebbe possibile accertare l’esigenzaprobatoria sottesa al provvedimento, né la riconduzionedel dispositivo a corpo del reato o cosa ad esso pertinente:si ravviserà quindi non più un mezzo di ricerca della provabensì uno strumento discutibile di ricerca di notizie direatoModifiche al Codice di procedura penale - VIII
  17. 17. 17La legge n. 48 stabilisce qui più incisivi poteri a favore degli investigatori:•  Nel nuovo comma 1–bis dell’art 247 c.p.p. si prevede che “quando vi è fondatomotivo di ritenere che dati, informazioni, programmi informatici o tracce comunquepertinenti al reato si trovino in un sistema informatico o telematico, ancorché protettoda misure di sicurezza, ne è disposta la perquisizione, adottando misure tecnichedirette ad assicurare la conservazione dei dati originali e ad impedirne l’alterazione”•  Nel nuovo art 354 c.p.p. Accertamenti urgenti da parte della polizia giudiziaria, siprevede che la stessa, prima dell’intervento del Pubblico Ministero, è tenuta allaconservazione dello stato dei luoghi e delle cose pertinenti al reato (1° comma)e•  In relazione a dati, informazioni, programmi, sistemi informatici o telematici è tenutaall’adozione di misure tecniche o prescrizioni necessarie ad assicurarne laconservazione, impedirne l’alterazione e l’accesso e provvedono, ove possibile, allaloro immediata duplicazione su adeguati supporti, mediante una procedura cheassicuri la conformità della copia all’originale e la sua immodificabilità (2°comma)Modifiche al Codice di procedura penale - IX
  18. 18. 18•  A livello tecnico è possibile l’utilizzo di cd preview: mediante l’utilizzo disoftware ad hoc viene permesso agli inquirenti in sede d’ispezione, maanche di perquisizione - fattore, questo, che alimenta ulteriormente la“confusione applicativa” fra i due istituti- di poter analizzare in manieragrossolana il contenuto di un dispositivo per poi scegliere il materialeinteressante e, se del caso, procedere a sequestro del dato.ü  Pro: possibilità di esplorare il contenuto delle memorie attenzionate,isolandone i contenuti rilevantiü  Contro: alto rischio di alterazione dei contenuti e conseguentedispersione di una possibile prova. Non rappresenta ad oggioperazione di routine investigativa applicabile ad ogni caso concreto•  Possibile applicazione: ad esempio, se si procede per pedopornografiaon-line, sarà rilevante il materiale detenuto con dolo (presente e noncancellato) all’interno della memoria per cui la preview potrebberappresentare un’opportunità utile al fine di evitare il sequestro dimateriale “neutro” rispetto al reato per cui si procedeModifiche al Codice di procedura penale - X
  19. 19. 19ü il primo qualifica l’attività ispettiva o perquisente inambiente virtuale come attività potenzialmente econcretamente idonea a modificare in manierairreversibile lo stato e il contenuto interno deldispositivo sottoposto alla misuraü  il secondo riconosce la natura ontologicamente volatile ealterabile del dato digitale, su cui possono spesso inciderecondotte involontarie atte a ingenerare fenomeni di“inquinamento” e la conseguente necessità di impiegarestandard operating procedure idonee a garantire lagenuinità dell’accertamentoModifiche al Codice di procedura penale - XIIn sostanza, due sono i corollari di notevole importanza chepossono essere dedotti:
  20. 20. 20Art 260 c.p.p. Apposizione dei sigilli alle cose sequestrate. Cosedeperibili. Distruzione di cose sequestrate•  Le cose sequestrate si assicurano con il sigillo dellufficio giudiziario e conle sottoscrizioni dellautorità giudiziaria e dellausiliario che la assisteovvero, in relazione alla natura delle cose, con altro mezzo, anche dicarattere elettronico o informatico, idoneo a indicare il vincolo impostoa fini di giustizia•  Lautorità giudiziaria fa estrarre copia dei documenti e fa eseguirefotografie o altre riproduzioni delle cose sequestrate che possono alterarsio che sono di difficile custodia, le unisce agli atti e fa custodire incancelleria o segreteria gli originali dei documenti, disponendo, quantoalle cose, in conformità dellarticolo 259 c.p.p.. Quando si tratta di dati,di informazioni o di programmi informatici, la copia deve essererealizzata su adeguati supporti, mediante procedura che assicuri laconformità della copia all’originale e la sua immodificabilità; in talicasi, la custodia degli originali può essere disposta anche in luoghi diversidalla cancelleria o dalla segreteriaModifiche al Codice di procedura penale - XII
  21. 21. 21Conseguenze di ordine forense:ü  Recepisce (comma 1) anche a livello processuale lacertificazione fra copia e originale tramite procedureinformatizzate, le cd hash functionü  al 2°comma, estende la presunzione di deperibilitàe alterazione prevedendo la possibilità di effettuarnecopia che deve essere realizzata su adeguati supportimediante procedura che assicuri la conformità dellacopia all’originale e la sua immodificabilità.Modifiche al Codice di procedura penale - XIII
  22. 22. 22Art 254-bis c.p.p Sequestro di dati presso fornitori di serviziL’autorità giudiziaria, quando dispone il sequestro, presso ifornitori di servizi informatici, telematici o di telecomunicazioni,dei dati da questi detenuti, compresi quelli di traffico o diubicazione, può stabilire, per esigenze legate alla regolarefornitura dei medesimi servizi, che la loro acquisizioneavvenga mediante copia di essi su adeguato supporto,con una procedura che assicuri la conformità dei datiacquisiti a quelli originali e la loro immodificabilità. Inquesto caso è, comunque, ordinato al fornitore dei servizi diconservare e proteggere adeguatamente i dati originaliModifiche al Codice di procedura penale - XIV
  23. 23. 23Ante legge n. 48/2008:•  Si registravano prassi distorsive, al limite della delega inbianco a favore dei tecnici (segnatamente operatori di PG)•  Cieca fiducia nella prova informatica quale pacchettoprobatorio preconfezionato in fase di indagini preliminari di cuisi attendeva il mero traghettamento in dibattimento per avallareun esito già scrittoPost legge n. 48/2008•  Seppur carente il nuovo assetto normativo ha il merito dicontenere le indagini (informatiche) entro linee ben precise•  Applicabilità a TUTTI reati perseguibili denota presacoscienza della società 2.0Casi concreti: usi e abusi degli istituti - I
  24. 24. 24Antefatto: la Procura di Pisa disponeva perquisizione econseguente sequestro delle credenziali di accesso relative alsistema informatico dei voli on-line motivato dallesigenza dipoter identificare per tempo i passeggeri sospettabili di fungereda corrieri internazionali di stupefacenti (cd. Ovulatori)La Procura ravvisa la sussistenza dei requisiti richiesti dallart.247, co 1bis individuati in “(...) una serie di parametrisintomatici desumibili dalle modalità di prenotazione dei voli(last-minute, orario notturno, rientro entro pochi giorni)”Ryanair propone ricorso contro detta ordinanza, accolto dalTribunale di Pisa. La Procura ricorre per CassazioneCasi concreti: usi e abusi degli istituti - II
  25. 25. 25Secondo il Tribunale il provvedimento mirava non tanto ad acquisireelementi di conoscenza in ordine a una o più notitiae criminisdeterminate quanto a monitorare in modo illimitato, preventivo epermanente il contenuto di un sistema informatico onde pervenireper suo tramite allaccertamento di reati non ancora commessi, ma deiquali si ipotizzava la futura commissione da parte di soggetti ancora daindividuarsi.La Cassazione sposa linea perseguita dal Tribunale sottolineando:- la necessaria pre-esistenza del dato rispetto al momento dellaperquisizione (e conseguente sequestro)- liscrizione della notizia di reato quale presupposto del provvedimentoche deve essere motivato, ovvero deve contenere lindicazione dellafattispecie negli estremi essenziali di tempo, luogo, azione nonessendo sufficiente il mero titolo di reato- nel caso specifico, distorsione dellistituto “si verrebbe altrimenti a integrareun nuovo ed anomalo strumento di ricerca della prova con finalitànettamente esplorative, di mera investigazione (paragonabile alleintercettazioni telematiche)Casi concreti: usi e abusi degli istituti - III
  26. 26. 26Antefatto: Lindagato, dipendente dellUnicredit, era sottoposto adindagini per i reati di sostituzione di persona, accesso abusivo asistema informatico e tentata truffa per essersi appropriato di datianagrafici di cinque clienti della banca nonché degli user-idsegreti di due colleghi, utilizzandoli per registrarsi sul sito e-bay eacquistare della merce per un valore di circa 1.000€Il Tribunale di Roma, su istanza di riesame, confermava ilprovvedimento con il quale era stato disposto il sequestro inrelazione ad alcune apparecchiature informatiche che, secondole doglianze del ricorrente, non sarebbe avvenuto secondo lecorrette procedure forensi da applicarsi al caso concreto(utilizzo di procedure di hashing)Casi concreti: usi e abusi degli istituti - IV
  27. 27. 27Secondo la Suprema Corte le operazioni effettuate in occasionedel sequestro sono da considerarsi correttamente eseguite siasotto il piano fattuale che giuridico:- come si evince dal verbale, i file oggetto di sequestro sonostati masterizzati su 4 cd-rom non riscrivibili uno dei qualilasciato a disposizione dellausiliario di P.G. (tecnicoUnicredit) che ha sottoscritto i cd-rom in questione- le misure tecniche idonee sono state rispettate dalladuplicazione su cd non riscrivibili e dallassistenza del tecnico- del tutto estranea è la questione riguardante lhashing- Detto meccanismo non viene richiamato dalla norma per cuisi ritiene non operante qualsiasi obbligo in tal sensoConsegue il rigetto del ricorsoCasi concreti: usi e abusi degli istituti - V
  28. 28. 28•  Il caso: la legittimità delle cd perquisizioni on-line ad opera didispositivi di one-time copy silenti•  La Corte Costituzionale Tedesca nella sentenza del 27 febbraio2008 ne dichiara l’incostituzionalità in quanto:ü  L’intrusione prevista va oltre ai dati privati permettendo unacompleta profilazione dell’utente (estensione tutela del domicilio)ü  Rafforza il diritto all’autodeterminazione informativa che va oltre latutela della privacy, conferendo alla persona il potere dideterminare, da sé, la divulgazione e l’utilizzo dei suoi datipersonali, anche se connotati da un contenuto informativo minimo(amplia tutela della libertà della vita privata)ü  Crea un “nuovo” diritto alla riservatezza e integrità del sistemainformatico o telematico proprio perché attraverso gli stessil’individuo moderno traspone ed esplica parte della propriapersonalità e in forza di ciò deve essere tutelato contro l’accessosegretoUn caso eclatante: il trojan di Stato
  29. 29. 29•  ISO/IEC 27037/12: Information technology -Security techniques - Guidelines foridentification, collection, acquisition andpreservation of digital evidence•  Prima edizione: 15 ottobre 2012L’apporto dei tecnici:Il caso della ISO/IEC 27037/2012
  30. 30. 30La ISO/IEC 27037/2012 erichiami a norme precedentiISO/TR 15801:2009•  Document management - Information stored electronically -Recommendations for trustworthiness and reliabilityISO/IEC 17020:2012•  Conformity assessment - Requirements for the operation of various typesof bodies performing inspectionISO/IEC 17025:2005•  General requirements for the competence of testing and calibrationlaboratoriesISO/IEC 27000:2012•  Information technology - Security techniques - Information securitymanagement systems - Overview and vocabulary
  31. 31. 31•  Trattamento del dato informatico finalizzato alrepertamento mediante l’individuazione e definizionedi guideline fondamentali nelle fasi di:ü  Identificazioneü  Raccoltaü  Acquisizioneü  Conservazione•  Canone metodologico tale da preservarel’integrità del dato al fine di renderlo ammissibilecome prova in giudizioApplicabilità della ISO/IEC 27037/2012
  32. 32. 32•  Per ciascuna fase prevedeü  Documentazione (logging)ü  Traciabilità (chain of custody)ü  Priorità d’intervento (plan)ü  Imballaggio dei reperti (protection)ü  Trasporto dei reperti (real/virtual)ü  Ruoli nel passaggio dei reperti (who/why)•  NON si occupa di aspetti legali,analisi del dato,strumentazione tecnica, referti, trattamento di datianalogiciApplicabilità della ISO/IEC 27037/2012
  33. 33. 33Destinatari della ISO/IEC 27037/2012Digital evidence first responders (DEFR)•  Operatore che si avvicina e tratta per primo ai sistemi (supporti dimemorizzazione e dati) di potenziale interesseDigital evidence specialists (DES)•  Operatore esperto di evidenze informaticheIncident response specialists•  Operatore che si occupa del primo intervento post incidenteinformatico•  In Italia spesso coincide (!) con l’amministratore di sistemaForensic laboratory managers•  Operatore responsabile di laboratorio informatico
  34. 34. 34•  Per la gestione della prova costituenda si richiede lasussistenza dei requisiti di I) pertinenza e rilevanza, II)affidabilità, III) sufficienza•  Le operazioni devono essereü  Verificabili: soggette a controllo esterno da parte di terzi (metodoperseguito, software e tool impiegati, documentabilità)ü  Ripetibili: stesse procedure, stesso metodo,stessi strumenti,stesse condizioniü  Riproducibili: stesso metodo, strumenti diversi, condizioni diverseü  Giustificabili: scelte operate erano le migliori possibiliRequisiti richiesti dalla ISO/IEC 27037/2012
  35. 35. 35•  Sulla scena del crimine il DEFR (Digital Evidence First Responder)deve:ü  Proteggere lo status quo ambiente (digitale e fisico)ü  Valutare i rischi connessi alle operazioniü  Parametrare il proprio agire in base al caso concretoü  Considerare alcuni fattori quali la volatilità, cifrature o partizioni,criticità nel sistema, risorse disponibili (tempo, memoria), larispondenza a norme giuridiche qualora il target sia ildibattimento•  Situazioni critiche: dispositivi on/off, acquisizione totale/parzialePrecauzioni impartite dalla ISO/IEC 27037/2012
  36. 36. 36Fase di IdentificazioneDispositivo digitaleRaccogliere oacquisire?Acceso?Raccogliere AcquisireRaccolta didispositividigitali accesiRaccolta didispositividigitali spentiAcquisizionedi dispositividigitali accesiAcquisizionedi dispositividigitali spentiAcceso?Si No Si No(Michele  Ferrazzano)  
  37. 37. 37Caso dei dispositivi accessi37  Occorreanalisilive?I datisonostabili?Occorronoaltridispositivi?SpegnimentonormaleUnpluggingEtichettare e scollegaree mettere in sicurezzaRaccoglierequello cheserveInizioFineSiSiSiNo  No  No  Dativolatiliutili?In usocifratura?Acquisizionelive di dativolatiliDati nonvolatiliutili?Acquisizionelive di dati nonvolatiliNo  No  SiSiNo  Si(Michele  Ferrazzano)  
  38. 38. 38(Michele  Ferrazzano)  38  Il deviceha unabatteria?Occorronoaltridispositivi?Rimuovere  l’alimentazione  ele3rica  e  la  ba3eria  Raccoglierequello cheserveInizioFineRimuovere  l’alimentazione  ele3rica  NoSiNo  Si  Rimuovere  l’hard  disk  E;che3are  l’hard  disk  Etichettare,scollegare e metterein sicurezzaCaso dei dispositivi spenti
  39. 39. 39Aziende e reati informatici•  Legge 23 dicembre 1993 n. 547 rende possibile la punibilità dell’autoredel delitto informatico•  La maggior parte delle aziende non si era posta seriamente ilproblema di impedire la commissione di reati informatici al suo interno,confidando da un lato sul fatto che di essi era comunque responsabilepenalmente esclusivamente il suo autore, sempre laddove fosseidentificato, e dall’altro sperando che ciò non accadesse mai•  Con l’entrata in vigore della legge 48 l’azienda è inevitabilmentecostretta a cambiare impostazione in quanto è prevista lestensionedella responsabilità amministrativa delle persone giuridiche (leaziende), come prevista dal decreto legislativo 231/01, ai reatiinformatici commessi da un suo vertice o da un dipendentedell’azienda allorquando ciò avvenga nel suo interesse o abbiaapportato alla stessa un vantaggio
  40. 40. 40Modifiche al dlgs n°231/2001Il dlgs n. 231/01 oggetto la responsabilità amministrativadegli entiPosizione della Cassazione: “ad onta del nomen iuris, la nuovaresponsabilità, nominalmente amministrativa, dissimula la suanatura sostanzialmente penale; forse sottaciuta per non apriredelicati conflitti con i dogmi penalistici dell’imputazione criminale dirango costituzionale (art 27 Cost)”Cass., Sez II pen., 20 dicembre 2005, n°3165Criteri di imputazione della responsabilità:- Oggettivo: soggetti interni all’ente che rivestano la posizione di“apicale” o “sottoposto”- Soggettivo: mancata adozione di modelli organizzativi e di gestioneidonei a prevenire la commissione di illeciti
  41. 41. 41Modifiche al dlgs n°231/2001In dettaglio:ü  Falsità in documento pubblicoinformatico o avente efficaciaprobatoria – art 491bis c.p.ü  Accesso abusivo a un sistemainformatico o telematico – art615 ter c.p.ü  Detenzione e diffusione abusivadi codici d’accesso – art615quater c.p.ü  Danneggiamenti informatici disistemi - artt 635 quater equinquies c.p. – e di dati – artt635 bis e ter c.p.ü  Diffusione di apparecchiature,dispositivi,programmi informatici diretti adanneggiare o interrompere un sistemainformatico o telematico – art 615quinquies c.p.ü  Intercettazione,impedimento ointerruzione illecita di comunicazioniinformatiche o telematiche art 617 quaterc.p.ü  Installazione di apparecchiature atte aintercettare – art 617 quinquies c.p.ü  Frode informatica del certificatore di firma– art 640 quinquies c.p.La responsabilità può essere imputata allente anche nel caso in cui nonvenga rintracciato l’autore materiale del reatoL’art 7 della legge n. 48 estende la responsabilità amministrativa deglienti alla maggior parte dei reati informatici
  42. 42. 42Modifiche al dlgs n°231/2001La ratio dell’estensione:•  Da un lato tentativo di attuare una più stretta cooperazioneinternazionale a fronte del crescente uso delle tecnologieinformatiche da parte della criminalità organizzata•  Dall’altro rafforzamento della tutela in materia diconcorrenza: può pacificamente constatarsi come sistemiinformatici e telematici risultino oggi potenti strumenti adattuazione della concorrenza sleale•  Efficace deterrente contro l’attività di spionaggio industrialeo azioni anticoncorrenziali
  43. 43. 43Modifiche al dlgs n°231/2001•  Per beneficiare dell’esimente (esclusione di responsabilità)l’ente dovrà dotarsi di un modello organizzativo idoneo aprevenire la commissione dei reati•  Non basta redigere il predetto modello organizzativo; ènecessario che lo stesso risponda alle seguenti esigenze:-  individuare le attività nel cui ambito possono essere commessi reati-  prevedere specifici protocolli diretti a programmare la formazione el’attuazione delle decisioni dell’ente in relazione ai reati da prevenire-  individuare modalità di gestione delle risorse finanziarie idonee adimpedire la commissione dei reati-  prevedere obblighi di informazione nei confronti dell’organismodeputato a vigilare sul funzionamento e l’osservanza dei modelli-  introdurre un sistema disciplinare idoneo a sanzionare il mancatorispetto delle misure indicate nel modello
  44. 44. 44Modifiche al dlgs n°231/2001Conseguenze:•  Implementazione dei modelli organizzativi•  I cd modelli 231 dovranno necessariamente prevedere un’attentaanalisi dell’intera architettura dei sistemi informativi e informatici in uso,come ad esempio particolari procedure d’accesso, security policies cherisultino già ex ante idonee all’eliminazione del rischio di essere soggetto(attivo o passivo) a reati informatici•  Si vedano, ad esempio, alcune misure minime che dovrebbero adottarsi:ü  backup a frequenze prestabiliteü  sistemi di accesso mediante password gestite con procedure rigoroseü  protezione fisica degli uffici e dei terminaliü  identificazione di ogni responsabile all’accesso (in particolare se a datisensibili)ü  verifiche periodiche e report da parte di Organismo di Vigilanza
  45. 45. 45Modifiche al dlgs n°231/2001In sostanza l’azienda dovrà porre in essere una strategiapreventiva idonea sotto il profilo:-  della commissione di reati informatici al suo interno, dove quindiassume forte rilevanza un potenziamento della sicurezza informatica(apporto tecnico e giuridico)-  dell’esclusione di responsabilità nelle ipotesi in cui le misureadottate, idonee sul piano pratico, non siano state in grado di evitarela commissione del reato: praticabile, ad esempio attraverso unamaggior responsabilizzazione di tutti i soggetti che vi lavorano (corsi diformazione, questionari anonimi per testare la preparazione nonchésensibilità al tema dei soggetti coinvolti)
  46. 46. 46•  art 132 del dlgs n. 196/2003 l’introduzione nei comma 4-ter, 4-quater, 4-quinquies il cd congelamento dei dati per ragioniurgenti, conferendo ampi poteri alle forze di polizia e ai servizisegreti•  Sembra limitato ai casi eccezionali e urgenti di cui all’art 226del dlgs n. 271 del 1989 in tema di indagini e intercettazionipreventive, in realtà si aggiunge una formula di fatto genericaindicante “finalità di accertamento e repressione di specificireati”•  Profili critici:ü  Eccessiva apertura appare in contrasto con la previsione acarattere eccezionaleü  A livello sistematico non dovrebbe essere contenuta innorme extraprocessualiModifiche alla disciplina della data retention - I
  47. 47. 47Modifiche alla disciplina della data retention - IIGli obblighi previstiü  Conservazione dei dati di traffico per un periodo di 90 giorniprorogabile fino a sei mesi per finalità di indagine essenzialmentepreventivaü  Applicabilità nei confronti del service provider dell’art 326 c.p. inipotesi di rivelazione del segreto connesso all’ordine diconservazione ricevutoü  Convalida di detto provvedimento entro 48 ore ad opera del P.MProfili critici: più opportuna delega al GIP del luogo dell’esecuzionedel congelamento dei dati ovvero del luogo in cui i dati sonoconservati così da assicurare la necessità di tale strumento secondovalutazione di un organo terzo
  48. 48. 48•  Art. 51 c.p.p. Competenza: Le attività d’indagine per icomputer crime (reati previsti del Codice penale: 615-ter, 615-quater, 615-quinquies, 617-bis, 617-ter, 617-quater, 617-quinquies, 617-sexies, 635-bis, 635-ter,635-quater, 640-ter e 640-quinquies) e per i reati dipornografia infantile on-line sono ad oggi devolute agliuffici del P.M. presso il tribunale del capoluogo deldistretto di corte d’appello.Modifiche al c.p.p. : la competenza distrettuale - ILa ratio è di accentrare e creare distretti con competenzespecializzate nel crimine informatico, similmente a come si fecenel 1991 con la creazione del pool antimafia
  49. 49. 49Modifiche al c.p.p. : la competenza distrettuale - IIProfili critici:•  Mancanza coordinamento fra delitti introdotti dalla l. n°48 e “nucleo”originario dei cd cybercrime: manca il richiamo (ingiustificato) all’art635-quinquies c.p.•  Eterogenee attribuzioni e rischi di “gigantismo dell’ufficio”•  Mancanza di un efficace coordinamento informativo a livello interno(si veda il parallelo con DNA, DDA, DIA)•  Tecnologia è mutevole: necessità di investire in formazione continuaa favore di ufficiali di P.G. e magistratura•  Timori di un sovraccarico di lavoro capace di incidere di fatto inmaniera negativa sulla doverosità dell’esercizio dell’azione penale
  50. 50. 50Dato giuridico: modifiche introdotte dalla legge n. 48/2008Dato tecnico: ISO IEC 27037/2012Panorama giurisprudenziale mostra la delicatezza del tema:-  Da un lato possibili meccanismi distorsivi degli istitutidinvestigazione con connotati informatici- Dallaltro necessità a una corretta interpretazione dellenorme tanto in chiave tecnica quanto in chiave giuridica,mediante lettura costituzionalmente orientata delle norme(art. 111 Cost. )Conclusioni
  51. 51. 51Riferimenti•  Cajani F., Appunti per una strategia globale di contrasto del cybercrime, IISFAMemberbook 2011, Experta, 2012•  Corasaniti G., Corrias Lucente G. (a cura), Cybercrime, responsabilità degli utenti,prova digitale, Cedam, 2009•  Galdieri P., Le aziende non possono più “snobbare” i reati informatici,www.interlex.it, 2008•  ISO/IEC 27037/2012, Information technology – Security techniques – Guidelines foridentification, collection, acquisition, and preservation of digital evidence, 2012•  Luparia L. (a cura), Sistema penale e criminalità informatica, Giuffrè, 2009•  Maioli C., Sanguedolce E., I nuovi mezzi di ricerca della prova fra informaticaforense e L. 48/2008, http://www.altalex.com/index.php?idnot=18096, 2012•  Picotti L., La ratifica della Convenzione Cybercrime del Consiglio d’Europa, Dirittopenale e processo, 2008•  Procura della Repubblica di Milano, Materiali per la P.G.,www.procura.milano.giustizia.it/materiali-polizia-giudiziaria.html, 2011•  Sanguedolce E., Informatica forense e legge 48/2008, www.bit2law.wordpress.com,2012•  Vaciago G., Digital evidence, Giappichelli, 2012•  Walden I., Computer crimes and digital investigations, Oxford University Press,2007http://www.cirsfid.unibo.it/CIRSFID/Centro/AreeDisciplinari/Informatica_Forense.htm
  1. A particular slide catching your eye?

    Clipping is a handy way to collect important slides you want to go back to later.

×