- A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI -Computer forensics: utilizzabilitàed analisi della prova digitale...
- A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI -I. Profili giuridici dellacquisizione della prova digitalePremess...
- A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI -Linformatica forense trova sempre più spesso spazio nel processo,...
- A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI -I Profili giuridici dellacquisizione della provadigitaleIl comput...
- A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI -I Profili giuridici dellacquisizione della prova digitaleIl compu...
- A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI -I Profili giuridici dellacquisizione della prova digitaleIl compu...
- A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI -I Profili giuridici dellacquisizione della prova digitaleLapprocc...
- A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI -I Profili giuridici dellacquisizione della prova digitaleLapprocc...
- A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI -I Profili giuridici dellacquisizione della prova digitaleLanalisi...
- A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI -La Corte escludeva che il materiale pedopornografico fosse stato ...
- A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI -II La fase delle indaginiIndagini informatiche e raccolta di info...
- A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI -II La fase delle indaginiIndagini informatiche e raccolta di info...
- A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI -II La fase delle indaginiProve virtuali, reati realiNel caso di i...
- A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI -In questo esempiosarà possibiledimostrare laconsapevolezzanellacq...
- A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI -Tramite questaschermata sarà,invece, possibiledimostrare lhash de...
- A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI -In questo modo èstato, invece,possibile tracciare leconnessioni i...
- A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI -Così è unpo piùcomodoe...II La fase delle indaginiProve virtuali,...
- A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI -… così èMOLTOpiùcomodo.II La fase delle indaginiProve virtuali, r...
- A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI -In questo caso, invece, nonviene fornita alcuna prova delnome del...
- A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI -In questa situazione, in assenza di ulteriori prove della coincid...
- A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI -II La fase delle indaginiProve virtuali, reati realiE stato, infa...
- A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI -II La fase delle indaginiProve virtuali, reati realiA destra unes...
- A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI -II La fase delle indaginiProve virtuali, reati realiUna volta ind...
- A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI -III Indagini privateIl caso PeppermintLa lettera quiaccanto è lar...
- A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI -III Indagini privateIl caso PeppermintTribunale di Roma - Sezione...
- A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI -III Indagini privateIl caso PeppermintSiffatte informazioni telem...
- A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI -III Indagini privateIl caso Peppermint- che i dati raccolti dalle...
- A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI -III Indagini privateIl caso PeppermintInterveniva nel giudizio ca...
- A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI -III Indagini privateIl caso PeppermintIl Garante è, poi, interven...
- A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI -IV Lacquisizione delle proveI fase: la raccolta delle proveParlan...
- A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI -IV Lacquisizione delle proveI fase: la raccolta delle proveSpesso...
- A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI -IV Lacquisizione delle proveI fase: la raccolta delle proveAllo s...
- A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI -IV Lacquisizione delle proveIspezioni e perquisizioni244. Casi e ...
- A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI -IV Lacquisizione delle proveII fase: perquisizione e sequestroLa ...
- A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI -IV Lacquisizione delle proveMemorie di massa - panoramica
- A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI -IV Lacquisizione delle proveII fase: perquisizione e sequestroOcc...
- A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI -IV Lacquisizione delle proveNAS Wi-FI: panoramica
- A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI -IV Lacquisizione delle proveRilevare un NASIn alternativa è anche...
- A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI -Profili giuridici dellacquisizione della provadigitaleII fase: pe...
- A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI -Profili giuridici dellacquisizione della provadigitaleII fase: pe...
- A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI -Profili giuridici dellacquisizione della provadigitaleII fase: pe...
- A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI -Profili giuridici dellacquisizione della provadigitaleII fase: la...
- A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI -Profili giuridici dellacquisizione della provadigitaleII fase: pe...
- A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI -Profili giuridici dellacquisizione della provadigitaleII fase: pe...
- A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI -Profili giuridici dellacquisizione della provadigitaleII fase: pe...
- A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI -Profili giuridici dellacquisizione della provadigitaleII fase: pe...
- A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI -Profili giuridici dellacquisizione della provadigitaleII fase: pe...
- A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI -Profili giuridici dellacquisizione della provadigitaleII fase: pe...
- A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI -Profili giuridici dellacquisizione della provadigitaleII fase: pe...
- A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI -Profili giuridici dellacquisizione della provadigitaleIII fase: L...
- A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI -Profili giuridici dellacquisizione della provadigitaleIII fase: L...
- A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI -Profili giuridici dellacquisizione della provadigitaleIII fase: L...
- A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI -Profili giuridici dellacquisizione della provadigitaleIV fase: La...
- A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI -Profili giuridici dellacquisizione della provadigitaleIV fase: La...
- A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI -Profili giuridici dellacquisizione della provadigitaleIV fase: La...
- A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI -Profili giuridici dellacquisizione della provadigitaleIV fase: La...
- A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI -Profili giuridici dellacquisizione della provadigitaleIV fase: La...
- A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI -Profili giuridici dellacquisizione della provadigitaleIV fase: Da...
- A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI -Profili giuridici dellacquisizione della provadigitaleIV fase: Da...
- A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI -Profili giuridici dellacquisizione della provadigitaleIV fase: Da...
- A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI -Profili giuridici dellacquisizione della provadigitaleV Fase: dar...
- A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI -Profili giuridici dellacquisizione della provadigitaleV Fase: dar...
- A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI -Profili giuridici dellacquisizione della provadigitaleV Fase: dar...
- A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI -Profili giuridici dellacquisizione della provadigitaleV Fase: dar...
- A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI -Profili giuridici dellacquisizione della provadigitaleV Fase: dar...
- A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI -Profili giuridici dellacquisizione della provadigitaleV Fase: dar...
- A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI -Profili giuridici dellacquisizione della provadigitaleV Fase: dar...
- A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI -Profili giuridici dellacquisizione della provadigitaleV Fase: dar...
- A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI -Profili giuridici dellacquisizione della provadigitaleVI Fase: La...
- A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI -Profili giuridici dellacquisizione della provadigitaleErrori comu...
- A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI -Profili giuridici dellacquisizione della provadigitaleConclusioni...
- A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI -Profili giuridici dellacquisizione della provadigitaleConclusioni...
- A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI -Avv.Emanuele Florindi<emanuele.florindi@accademiascienzeforensi.i...
Upcoming SlideShare
Loading in...5
×

Linee guida in materia di computer forensics

2,665

Published on

Linee guida in tema di computer forenics con cenni di informatica forense.

Published in: Education
0 Comments
2 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
2,665
On Slideshare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
0
Comments
0
Likes
2
Embeds 0
No embeds

No notes for slide

Linee guida in materia di computer forensics

  1. 1. - A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI -Computer forensics: utilizzabilitàed analisi della prova digitaleI. Profili giuridici dellacquisizione della prova digitaleII. La fase delle indaginiIII Indagini privateIV Lacquisizione delle proveEmanuele FlorindiA.I.S.F. – Accademia Internazionale di ScienzeForensi
  2. 2. - A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI -I. Profili giuridici dellacquisizione della prova digitalePremessaL’informatica rappresenta un fenomeno cresciuto e diffusosi fino a diventare, nel bene e nelmale, un aspetto fondamentale della nostra vita: le problematiche giuridiche sollevate dallosviluppo di questo nuovo mondo elettronico rappresentano probabilmente uno dei terreni diconfronto culturale più vivi di questo inizio di secolo. Una volta avviato, sia pure tra milledifficoltà, il lento, e continuo, cammino che porterà i codici ad adeguarsi alle nuove tecnologieci si è, però, accorti che nuove problematiche di carattere investigativo, probatorio eprocessuale vengono a presentarsi con la conseguenza che si sono andate formando nuoveprofessionalità in grado di muoversi, più o meno disinvoltamente, in questa terra di confine.Quando parliamo di informatica forense dobbiamo distinguere tra differenti materie:- Indagini informatiche (Whois database, traceroute, sequestro di siti web);- Prove digitali- computer forensics (acquisizione, trattamento ed analisi delle prove);- network forensics (intercettazione ed analisi del traffico di rete);- prove digitali (fotografie digitali, registratori digitali, telefoni cellulari...);- esperimenti giudiziali virtuali.- processo civile telematico: progetto del Ministero della Giustizia che si pone lobiettivo diautomatizzare i flussi informativi e documentali tra utenti esterni (avvocati e ausiliari delgiudice) e uffici giudiziari relativamente ai processi civili.- Impiego di sistemi neurali in ambito investigativo.
  3. 3. - A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI -Linformatica forense trova sempre più spesso spazio nel processo, sia in ambito civile chein ambito penale, sia nella fase preprocessuale che in quella processuale vera e propria.Alcuni esempi:CivileRaccolta e analisi di documenti elettroniciCause di lavoroTrattamento di dati personaliObbligazioni in generePenaleReati informaticiPedopornografiaDiritto di autoreMinacceIngiuria e diffamazioneI. Profili giuridici dellacquisizione della prova digitalePremessa
  4. 4. - A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI -I Profili giuridici dellacquisizione della provadigitaleIl computer come “prova”Lanalisi forense di un computer ci pone di fronte ad una notevole serie di problematiche dicui la principale è certamente quella di individuarne la specifica natura dal punto di vistaprobatorio.Possiamo, infatti, vederlo come una “prova” se loconsideriamo nella sua interezza (la tastiera perle impronte, il case per eventuali graffi o segni dimanomissione...), ma può anche essere vistocome un “mezzo per la ricerca della prova”quando viene utilizzato nel corso di unindagine(mezzo per effettuare analisi, ricerche, indagini),ma, la soluzione migliore è certamente quella discindere tra aspetto fisico ed aspetto logico inquanto quello che realmente ci interessa, almenodi solito, non è tanto il computer FISICAMENTE,quanto il computer LOGICAMENTE ovvero il suocontenuto.
  5. 5. - A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI -I Profili giuridici dellacquisizione della prova digitaleIl computer come “prova”quello che davvero ci interessa è, infatti, DENTRO il computer, rectius, nelle sue memorie (hard disk,ram, rom e memorie esterne)...Quindi il PC deve essere visto come un mero contenitore? No, perché nei procedimenti per reatiinformatici il computer si è spesso rivelato un “testimone chiave” dato che, non di rado, lapproccio delconsulente tecnico al computer tende ad avvicinarsi a quello di chi si trovi adinterrogare un testimone reticente: occorre interpretarne isilenzi (i dati sono stati cancellati o non sono mai esistiti?)e, persino, le “rivelazioni” (i dati si trovano lì ad insaputadell’imputatoindagato o vi sono stati consapevolmentecollocati da lui?).In ogni caso è necessario ricordare che, dal punto di vistaprobatorio, la rilevanza del computer varia notevolmente inbase al reato per cui si sta procedendo ed alle evidenzeche si stanno ricercando:BIOLOGICHE;FISICHE (hardware);LOGICHE (software);LOGICHE (dati)ed è necessario procedere avendo cura di salvaguardarletutte
  6. 6. - A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI -I Profili giuridici dellacquisizione della prova digitaleIl computer come “prova”Naturalmente, come in altri campo del diritto, la dottrina è discorde sullapproccio da tenerenel corso dellanalisi di unevidenza informatica:1) Scuola rigidamente tecnica: ci si attiene rigidamente ai dati rilevati, senza nessunainterpretazione degli stessi (i.e. Trovate X fotografie del genere di quelle allegate, individuati iprogrammi X, Y e Z...) In breve il consulente DEVE limitarsi ad estrapolare i dati “grezzi” ed apassarli senza alcun filtro o alcuna analisi al Magistrato.2) Scuola criminologica: partendo dai dati grezzi (che devono comunque essereindividuati, prodotti ed allegati) si procede anche ad unanalisi degli stessi arrivando, dovepossibile, a ricostruire il modus operandi dellutente.Per esempio: come sono state acquisite le immagini? con quali programmi? Secondo qualischemi comportamentali? Sono state “trattate” in qualche modo? (rinominate, spostate,copiate, archiviate, catalogate) Sono presenti programmi in grado di interagire con quantotrovato (i.e. client NETBUS o BackOrifice) ed in che modo?In ogni caso deve sempre essere ben evidente quali siano le risultanze oggettive e quali lededuzioni.In genere è il soggetto che conferisce lincarico a specificare il tipo di approccio richiesto ed ècompito del consulente valutare la propria capacità di soddisfare le richieste adattando ilproprio “stile” alle esigenze del committente.
  7. 7. - A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI -I Profili giuridici dellacquisizione della prova digitaleLapproccio al computerA mio avviso è preferibile lapproccio criminologico: l’analisi di un computer non dovrebbemai ridursi ad un “positivo” o ad un “negativo”, ma dovrebbe essere sempre adeguatamentemotivata, soprattutto in presenza di reati particolarmente odiosi quali quelli di detenzione ocessione di pornografia minorile.A ciò deve aggiungersi che la mancanza di un protocollo tecnico che fornisca delle regolecerte per tutti gli operatori giuridici in tema di forensics costituisce un notevole ostacolo adun sereno rapporto tra accusa e difesa, o tra attore e convenuto, nella dialetticaprocessuale e preprocessuale.Mai come oggi, infatti, si avverte l’esigenza della “certezza delle regole” soprattutto perquanto riguarda l’individuazione e la conservazione dei dati che poi costituiranno l’oggettosu cui si fonderà la valutazione dell’organo giudicante. Il rilevamento, la conservazione ed iltrattamento dei dati e delle informazioni che gli investigatori (ma anche, nondimentichiamolo, i difensori) possono rilevare nel normale svolgimento dell’attivitàd’indagine richiedono l’esistenza di un protocollo operativo che ne garantisca lintegrità e,soprattutto, la non repudiabilità in sede processuale.Senza considerare che per chi sbaglia non sempre cè una seconda possibilità dato chelalterazione delle prove è spesso irreversibile.
  8. 8. - A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI -I Profili giuridici dellacquisizione della prova digitaleLapproccio al computerIn questa situazione lanalisi non è, e non può più essere, attività meramente informatica, madeve abbracciare i vari campi dello scibile umano legato alle indagini: diritto, sociologia,criminologia...Sempre più spesso, infatti, uno dei principali compiti del consulente è quello di tentare unaricostruzione del comportamento tenuto dall’imputato di fronte al computer, arrivando adinterpretare i risultati dell’analisi alla luce di tale valutazione comportamentale.In questottica i dati contenuti nel computer dovrebberorappresentare soltanto una base di partenza, daimpiegare per ricostruire il modus operandi del soggettoche lo utilizzava; ovviamente senza esagerare dato chela sfera di cristallo non dovrebbe rientrare nelladotazione hardware del consulente tecnico...
  9. 9. - A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI -I Profili giuridici dellacquisizione della prova digitaleLanalisi comportamentale“Per quanto concerne, poi, la più grave violazione prevista dallart. 600 ter c.p., la Corte territoriale rileva che il reatorisulta già integrato dalla confessata condotta di inoltro dei primi tre messaggi al moderatore della lista, posto che eraevidente che essi sarebbero stati inoltrati a tutti i partecipanti la lista stessa. A questo deve aggiungersi che vi è in attila prova sia della ricezione da parte dellappellante di ingente materiale illecito veicolato attraverso i messaggi ricevutiin lista sia dellinvio di circa 200 messaggi aventi in allegato materiale illecito. Inoltre, risulta accertato che su uno deglihard disk dellappellante esistevano 10 filmati che le per caratteristiche tecniche dei programmi in uso (di tipologia"peer to peer") erano accessibili a tutti gli utenti in possesso di analoghi programmi” Cassazione penale sez. III,29/09/2009, n. 41521.“[...]i giudici territoriali hanno sottolineato, con riguardo alla consapevolezza del B. di detenere il materialepedopornografico contenuto nel proprio computer, come il perito abbia evidenziato che le due immagini erano inseritenella stessa directory; erano entrambe state create il (OMISSIS), modificate il (OMISSIS) e visionate per lultima voltail (OMISSIS), cioè meno di un mese prima dellavvenuto sequestro; non erano state scaricate da internet, nètrasmesse a terzi dallutilizzatore del computer, ma invece scaricate sul disco fisso in sequestro, assieme ad altreimmagini di contenuto pornografico, da un CD rom, ovvero da una chiavetta USB, e copiate sul disco in un arco ditempo di due minuti mediante decompressione dei files e successiva riespansione dellarchivio, per venire poicontenute, con una operazione pertanto certamente volontaria, in una precisa cartella (folder) di una directory,rimanendovi immagazzinate senza mai venir cancellate, fino ad essere da ultimo visionate appunto il (OMISSIS).Ancora, il perito aveva escluso, non essendo stati rinvenuti segni di compromissione dell hard - disk , che le immaginiin questione fossero state trasmesse da un hacker allinsaputa dellutente, ovvero fossero giunte inavvertitamentesullHD in sequestro nel corso di un lan - party caratterizzato dallo scambio di files con terzi lungo i canali peer to peer,correttamente concludendo quindi la Corte di appello per la piena sussistenza dellelemento psicologico del reatocontestato.” Cass. penale sez. fer.30/07/2009. n. 32344
  10. 10. - A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI -La Corte escludeva che il materiale pedopornografico fosse stato inserito nell hard disk del computer, in cuierano presenti un virus worm e due virus trojan, da un utilizzatore remoto che pure avrebbe trasferito leimmagini su ed o su floppy disk perchè il modem del C. era molto lento, sicché lutilizzatore avrebbe potutofacilmente accorgersi di tale scaricamento che pure influenzava la velocità operativa del computer.Nè era possibile scaricare filmati se non in varie sessioni con la conseguente necessità di assemblare poi ilmateriale scaricato, di notevole consistenza.Il materiale pedopornografico era stato acquisito per via telematica con transazioni eseguite con la carta dicredito intestata al padre dellimputato a favore dellesercente (OMISSIS) in data (OMISSIS) per L. 51.546 e indata (OMISSIS) per L. 70.636.Erano segnalati come elementi a carico:- la presenza di une-mail con cui limputato aveva chiesto la cancellazione di un addebito perché il downloadnon funzionava, circostanza denotante che egli controllava con cura gli estratti conto;- il sequestro di 17 supporti informatici che smentiva laddotta buona fede perché era irragionevole ritenere cheil ricorrente per 17 volte non avesse controllato quanto era stato scaricato;- C., appartatosi nel corso della seconda perquisizione, era stato visto maneggiare un CD contenente immaginipedopornografiche;- il rinvenimento di molte foto a contenuto pornografico, talune frutto di fotomontaggio in danno di conoscentidel C.. Cassazione penale sez. III, 08 aprile 2009, n. 19989.I Profili giuridici dellacquisizione della prova digitaleLanalisi comportamentale
  11. 11. - A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI -II La fase delle indaginiIndagini informatiche e raccolta di informazioniE evidente che gli accertamenti effettuati variano notevolmente in base alle fattispecie ed alletipologie di intervento, ma, in linea di massima, potremo distinguere tra fattispecie civili epenali.La principale differenza è che, mentre nelle prime abbiamo, almeno, due parti private, nelleseconde una delle parti è necessariamente lo Stato e, quindi, la parte pubblica avrà maggiorimargini di manovra, e poteri!, rispetto ad una qualsiasi parte privata.Nelle pagine seguenti verranno analizzati dapprima gli strumenti comuni ad entrambe lefattispecie e poi quelli più specificatamente penalistici.La prima, e più semplice, serie di strumenti è rappresentata da quelli deputati alla raccoltadelle informazioni relative alla controparte: database Whois e servizi di traceroute.Il Whois ci permette di sapere a chi è intestato un determinato sito web, o chi gestisce unpreciso indirizzo IP, consentendoci, poi di procedere allidentificazione del titolare dellutenza.
  12. 12. - A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI -II La fase delle indaginiIndagini informatiche e raccolta di informazioniUn primo problema di carattere giuridico sorge quando ci interroghiamo su COME sono stati acquisiti i dati elaborati.A questo punto entrano in gioco tutta una serie di limitazioni alla raccolta delle informazioni tipiche delle differenti situazioni acui si va a fare riferimento.In ambito lavorativo, ad esempio, esistono severissimi limiti allattività di telecontrollo del datore di lavoro, limiti ribaditi dalGarante con le linee guida emanate il 1° marzo 2007.Tra le altre cose il Garante si è espressamente riferito ai programmi ed alle apparecchiature preordinate al controllo adistanza e, soprattutto, a quei programmi che consento un controllo indiretto (router, firewall, antivirus...).In particolare si pone il problema della navigazione web:Il datore di lavoro, per ridurre il rischio di usi impropri della "navigazione" in Internet (consistenti in attività non correlate allaprestazione lavorativa quali la visione di siti non pertinenti, lupload o il download di file, luso di servizi di rete con finalitàludiche o estranee allattività), deve adottare opportune misure che possono, così, prevenire controlli successivi sullavoratore. Tali controlli, leciti o meno a seconda dei casi, possono determinare il trattamento di informazioni personali,anche non pertinenti o idonei a rivelare convinzioni religiose, filosofiche o di altro genere, opinioni politiche, lo stato di saluteo la vita sessuale (art. 8 l. n. 300/1970; artt. 26 e 113 del Codice; Provv. 2 febbraio 2006, cit. ).In particolare, il datore di lavoro può adottare una o più delle seguenti misure opportune, tenendo conto delle peculiaritàproprie di ciascuna organizzazione produttiva e dei diversi profili professionali:individuazione di categorie di siti considerati correlati o meno con la prestazione lavorativa;configurazione di sistemi o utilizzo di filtri che prevengano determinate operazioni (reputate inconferenti conlattività lavorativa) quali lupload o laccesso a determinati siti (inseriti in una sorta di black list) e/o il download di file osoftware aventi particolari caratteristiche (dimensionali o di tipologia di dato);trattamento di dati in forma anonima o tale da precludere limmediata identificazione di utenti mediante loro opportuneaggregazioni (ad es., con riguardo ai file di log riferiti al traffico web, su base collettiva o per gruppi sufficientemente ampi dilavoratori);eventuale conservazione nel tempo dei dati strettamente limitata al perseguimento di finalità organizzative, produttive e disicurezza.
  13. 13. - A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI -II La fase delle indaginiProve virtuali, reati realiNel caso di indagini per reati telematici le attività vengono regolate dalle norme previste dalcodice di procedura penale e da alcune leggi speciali e, naturalmente, questo implica lapossibilità di utilizzare strumenti maggiormente invasivi rispetto ad “indagini” effettuate da unprivato per far valere un diritto in sede civile, ma restano ferme le esigenze di garantire ilcorretto trattamento degli elementi probatori.Di particolare rilievo è la possibilità di effettuare attività sotto copertura, per esempio nei casiprevisti dallarticolo 14 della 26998 o da quelli previsti dallarticolo 9 della 146 del 2006.In tale situazione è estremamente importante lanalisi degli strumenti software o hardwareutilizzati e la corretta gestione degli output ricavati dagli stessi in quanto proprio da questielementi viene, alla fine, il risultato.Di fatto lindividuazione di un soggetto che accede ad un sito web o che scambia fileattraverso i circuiti p2p non è affatto difficile, ma restano comunque i problemi legatiallutilizzabilità delle prove raccolte e, soprattutto, alla loro valutazione.In particolare è necessario fare grande attenzione a cristallizzare tutti quei dati che in unsecondo momento potranno essere utilizzati per una maggiore comprensione dellafattispecie.
  14. 14. - A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI -In questo esempiosarà possibiledimostrare laconsapevolezzanellacquisizione enella detenzione delfilmato pedo.Si osservi, infatti,come sia stataacquisita la provadel nome del filmatoconservato pressolutente e dellacompletadisponibilità delfilmato stessoII La fase delle indaginiProve virtuali, reati reali
  15. 15. - A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI -Tramite questaschermata sarà,invece, possibiledimostrare lhash delfilmato e le suedimensioni (pereventuali confronticon quanto trovato insede di analisi) e lacircostanza chelutente a[omissis]era lunico ad avere,in quel momento, ilfilmato incondivisione.II La fase delle indaginiProve virtuali, reati reali
  16. 16. - A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI -In questo modo èstato, invece,possibile tracciare leconnessioni inentrata ed in uscitaper individuare lIP diun altro utente, maindubbiamenteII La fase delle indaginiProve virtuali, reati reali
  17. 17. - A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI -Così è unpo piùcomodoe...II La fase delle indaginiProve virtuali, reati reali
  18. 18. - A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI -… così èMOLTOpiùcomodo.II La fase delle indaginiProve virtuali, reati reali
  19. 19. - A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI -In questo caso, invece, nonviene fornita alcuna prova delnome del materiale e,soprattutto, che lo stessofosse effettivamente presentenellhard disk del soggettoindividuato.Sarà soltanto possibiledimostrare che quellIP hagenerato una risposta positivaalla ricerca effettuata con unaparola chiave senza poterneppure appurare se ilriscontro positivo è basatosullhash del file o sul suonome.Tra laltro non vi è neppure laprova della effettivadisponibilità del materialeII La fase delle indaginiProve virtuali, reati reali
  20. 20. - A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI -In questa situazione, in assenza di ulteriori prove della coincidenza tra il filmato ricercato tramiteparola chiave e quello detenuto (e condiviso) dallutente, sarà agevole per la difesa dimostrarela possibilità di un erroneo download dello stesso a causa di un fake ovvero della possibilità dierronea individuazioneII La fase delle indaginiProve virtuali, reati reali
  21. 21. - A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI -II La fase delle indaginiProve virtuali, reati realiE stato, infatti, già affermato in detta materia da questa Suprema Corte che "Non costituisce"attività di contrasto" soggetta ad autorizzazione dellautorità giudiziaria, ai sensi della L. 3agosto 1998, n. 269, art. 14 (recante norme contro lo sfruttamento della prostituzione, dellapornografia, del turismo sessuale in danno di minori quali nuove forme di riduzione inschiavitù), quella che consista soltanto nellaccesso a fini investigativi, da parte di personale dipolizia giudiziaria, mediante uso di una determinata parola chiave, a "files" condivisi, senzache tale attività sia accompagnata da quella di acquisto simulato o di intermediazionenellacquisto dei prodotti esistenti in detti "files" (sez. 5, 200421778, Lagazzo, RV 228089).Orbene, la sentenza impugnata ha affermato che laccertamento della cessione di due fotocon contenuto pedopornografico dallutente che utilizzava il nickname "(OMISSIS)" è statoeffettuato dalla polizia giudiziaria mediante il monitoraggio della rete internet, senza alcuncontatto con gli utenti eseguito sotto copertura , nè attività di intermediazione o acquistosimulato di materiale pedopornografico..Cassazione penale sez. III, Data udienza: 05 febbraio 2009, n. 13729
  22. 22. - A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI -II La fase delle indaginiProve virtuali, reati realiA destra unesempio diverificadellIPutilizzatodallutenteperconnettersiad un sitoweb
  23. 23. - A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI -II La fase delle indaginiProve virtuali, reati realiUna volta individuato lindirizzo IP è relativamente semplice individuare, con una buonaprecisione, la collocazione geografica dellutente e lorigine della connessione.
  24. 24. - A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI -III Indagini privateIl caso PeppermintLa lettera quiaccanto è lariproduzione diuna dellenumerose diffideche ad aprile2007 arrivarono amolti italiani.
  25. 25. - A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI -III Indagini privateIl caso PeppermintTribunale di Roma - Sezione IX Civile - Ordinanza 14 – 16 luglio 2007OsservaLe società ricorrenti deducevano di aver rilevato sulla rete internet. e segnatamente sulla rete peer to peer, unattivitàdi scambio abusiva di specifici files musicali e files di giuochi elettronici con omissione del pagamento dei dirittidautore relativi alle opere dellingegno oggetto di tale attività di scambio in rete, diritti spettanti ad esse esponenti per ipredetti files.Di conseguenza, sul presupposto della violazione del diritto dautore, invocavano lapplicabilità dello specialestrumento processuale, per la tutela dellanzidetto diritto, previsto dallart. 156 bis della L. 633/41 (L.A.), in forza delquale il titolare di un diritto d’autore leso può chiedere ed ottenere, anche da soggetti diversi dagli autori dellaviolazione, la comunicazione dei dati e delle informazioni necessarie allindividuazione dei responsabili della lesionedel diritto, e ciò in quanto norma di attuazione della direttiva comunitaria 2004/48/CE (c.d. direttiva enforcement) per laportata applicativa della quale doveva farsi esclusivo riferimento interpretativo ai contenuti di detta direttiva cheprevedeva espressamente lapplicabilità della disciplina anche a soggetti non coinvolti nella condotta illecita. Nel casodi specie, la qualità di provider avuta dalla Wind Telecomunicazioni s.p.a. (fornitrice del servizio di accesso adinternet), in relazione ai soggetti responsabili della violazione dei citati diritti, la rendeva controparte dello specialeprocedimento di esibizione dei dati in parola rispetto ai propri clienti protagonisti dellabusiva attività di scambio di files,dunque soggetto passivo dellistanza cautelare in discorso.Peraltro, i dati necessari allidentificazione di detti soggetti erano stati acquisiti dalla società Y. (suincarico di esse ricorrenti) mediante lausilio di un programma informatico per la rilevazione degliindirizzi elettronici degli stessi denominati codici IP e GUID, dai quali solo il provider potevadesumere con certezza alle esatte generalità dei titolari dellutenza corrispondente a detti codici.Tali dati, infatti, erano stati acquisiti operando nella rete peer to peer e simulando lattivazione dicontatti per lo scambio di files col sistema della condivisione (c.d. file sharing), a mezzo dei qualicontatti potevano rilevare gli indirizzi telematici dei medesimi poi risultati utenti di WindTelecomunicazioni s.p.a.
  26. 26. - A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI -III Indagini privateIl caso PeppermintSiffatte informazioni telematiche costituivano, pertanto, il supporto indiziario richiesto dallart. 156 bis L.A., ossia i "seri elementi", per lavalutazione della fondatezza della domanda ai fini dellaccoglibilità dellistanza di esibizione, non ostando allaccoglimento i limiti previstidalla normativa a tutela della riservatezza delle comunicazioni, di cui al D.Lgs. 196/2003, in virtù dellart. 24 di tale testo normativo checonsentiva luso dei dati personali senza il consenso del titolare allorché tale dato risultava necessario a far valere un diritto in giudizio,dovendosi a tale fine ricomprendere in detta formulazione normativa anche lesercizio delle azioni civili, di talché nel caso di speciericorrevano tutti i requisiti per ottenere lostensione dei dati richiesti.La Wind Telecomunicazioni s.p.a., costituendosi nel giudizio cautelare, contestava la fondatezza ed ammissibilità dellistanza dellericorrenti e ne chiedeva la reiezione per la mancanza dei presupposti processuali e sostanziali di ammissibilità ed accoglibilità dellistanzadi esibizione. In particolare, in ordine al fumus boni iuris, rilevava:- che la comunicazione dei dati personali chiesti dalle ricorrenti poteva essere disposta (solo dal pubblico ministero), in base allart. 132 delD.L. 27.7.2005, n. 144 (c.d. decreto Pisanu) per un arco di tempo limitato e in relazione alla repressione di specifiche ipotesi di reato (di cuiallart. 407, II comma lett. a c.p.p., ed in danno ai sistemi informatici). Dunque, non sussisteva alcuna possibilità di ottenere tali dati per altrifini, ivi compresi quelli dedotti dalle ricorrenti, trattandosi di norme speciali non applicabili in via analogica o estensiva, come ancheaffermato dalla stessa autorità Garante della privacy con provvedimento del novembre 2005;- che gli artt. 156 e 156 bis L.A. non consentivano la tutela cautelare ma solo quella di merito, non contenendo tali norme alcun riferimentoa tale tipo di tutela anticipatoria, inoltre le stesse norme non erano suscettibili di applicazione nei confronti degli intermediari, posto che sololart. 163 L.A. consentiva lazione verso lintermediario per provvedimenti a contenuto meramente inibitorio, e sul presupposto di una suaimplicazione e partecipazione alla lesione del diritto dautore, condizione nella specie non ravvisabile in capo ad essa esponente essendosilimitata a fornire l’accesso ad internet senza possibilità o dovere di controllo del contenuto delle comunicazioni trasmesse dagli utenti delservizio;- che in ordine ai dati identificativi richiesti col ricorso esisteva unimpossibilità giuridica di trattamento, come disposto dal titolo X del D.Lgs.196/2003, e di conseguenza essa esponente non poteva essere obbligata allostensione di tali informazioni, in quanto tale normativa (art.123) prevede lobbligo del fornitore del servizio telematico di cancellazione e rendere anonimi tali dati, derivandone, quindi, una sorta diimpossibilità giuridica allostensione dei medesimi giustificata, come osservato dalla Corte Costituzionale, dall’esigenza di armonizzareinteressi contrapposti di rango costituzionale, quali quello alla riservatezza e la tutela della collettività di fronte a reati di particolare gravità,laddove nel caso delle ricorrenti venivano in evidenza situazioni soggettive meramente privatistiche prive di rilevanza costituzionale;
  27. 27. - A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI -III Indagini privateIl caso Peppermint- che i dati raccolti dalle ricorrenti, ossia gli indirizzi IP e GUID, erano inutilizzabili perché acquisiti illecitamente inviolazione della normativa sulla tutela della riservatezza, non potendosi avvalere le ricorrenti della deroga previstadallart. 24 del D.Lgs. 196/2003 (ossia non necessità del consenso dellinteressato quanto il dato è strumentale a farvalere un diritto in giudizio), poiché il consenso dellinteressato all’utilizzazione per fini processuali dei datipersonali, come previsto da tale norma, doveva comunque essere "espresso ed informato", e non comprendevaanche il trattamento dei dati nella fase acquisitiva degli stessi, come viceversa fatto dalle odierne ricorrenti conlincarico alla società Y., risoltosi di fatto nellacquisizione di dati personali senza il consenso degli interessati neiconfronti di migliaia di soggetti inserendosi nella rete peer to peer, e simulando di essere un fruitore dei servizi,analogamente al modus operandi dellagente provocatore. Oltre tutto, sussisteva lulteriore impedimento alla loroutilizzazione per via dellacquisizione dei dati avvenuta in territorio svizzero ;- che gli elementi documentali prodotti dalle ricorrenti (c.d. moduli) non poteva costituire la base dei "seri elementi"richiesti dallart. 156 bis L.A., trattandosi di elementi non riscontrabili oggettivamente in ordine alla loro attendibilità(come rilevabile dalla perizia delling. X., in punto di incertezza e mutabilità dei codici IP e GUID), e unilateralmenteprecostituiti dalla parte interessata, sicché pur non necessitando per tale azione di esibizione di prove in sensotecnico processuale, nemmeno poteva interpretarsi la citata disposizione in senso opposto tanto da elidere lonereprobatorio ordinariamente richiesto dal nostro sistema processuale a carico della parte ;- che le ricorrenti non avevano dato prova della titolarità effettiva del diritto dautore sulle opere asseritamente oggetto di scambio sulla retepeer to peer, sia perché non era certo che tali opere rispondessero ai requisiti di novità ed originalità, sia perché non era certo che, nelcaso, le opere fossero state riprodotte interamente ed utilmente.Quanto invece allinesistenza del periculum in mora osservava:- che le condotte lamentate dalle ricorrenti erano state lungamente tollerate dalle stesse, dunque non si conciliavano con l’urgenza diprovvedere in via cautelare, né tale urgenza poteva ascriversi allimpossibilità di conseguire lintegrale risarcimento dei danni, ovvero la loroesatta quantificazione, atteso che il controllo e monitoraggio delle condotte medesime dipendeva unicamente dalla diligenza ed iniziativadelle ricorrenti volte a procurarsi i dati per perseguire tali eventuali illeciti. Infine, non era ravvisabile alcun rischio di reiterazione proprioperché condotte concretamente tollerate dalle dirette interessate per lungo tempo, né poteva sussistere il pericolo di sviamento dellaclientela, ravvisandosi al più una riduzione delle vendite delle copie delle opere, integrante un danno pacificamente quantificabile.
  28. 28. - A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI -III Indagini privateIl caso PeppermintInterveniva nel giudizio cautelare il Garante per la Protezione dei dati personali col patrocinio dellavvocatura erariale, che in ordine alleproblematiche sulla tutela della riservatezza investite dalloggetto del ricorso cautelare svolgeva, in senso critico e di contestazione delricorso, ritenendo, in sintesi, che il trattamento dei dati personali relativi alle connessioni dei servizi telematici della c.d. societàdellinformazione rimaneva circoscritto e limitato alle sole indagini penali condotte da autorità pubbliche direttamente preposte allasicurezza e difesa nazionale, e che ogni diversa soluzione contrastava con i diritti fondamentali alla riservatezza e segretezza dellecomunicazioni, come affermato e garantito dai principi costituzionali e del diritto comunitario, oltre che dalla Convenzione europeadei diritti delluomo. In buona sostanza, osservava che la compressione di tali diritti poteva avvenire, con connotati di proporzionalità, soloin relazione alla salvaguardia di beni giuridici di superiore valore tutelati dalla normativa penale. Sicché non poteva trovare accoglimentolistanza cautelare delle ricorrenti, giacché fondata su beni di minore rilevanza e protezione giuridica rispetto a quello della segretezza dellecomunicazioni. Svolgeva, quindi, le seguenti argomentazioni:- in base alla stessa normativa interna, i dati personali raccolti e trattati dalle ricorrenti per la proposizione del presenteprocedimento cautelare dovevano ritenersi illecite perché conseguiti in violazione dei limiti posti dal D.Lgs. 196/2003, e in particolarelattività di monitoraggio svolta dalle ricorrenti per opera della Y. doveva essere preventivamente autorizzata dallesponente Garanteex art. 37 cod. priv., oltre che del diretto interessato ex art. 13 cod. priv., e tali omissioni rendevano illecita la condotta delle stesse, dacui conseguiva ex art. 11 cod. priv. linutilizzabilità dei dati così raccolti per ogni ulteriore trattamento;- gli att. 156 e 156 bis L.A. invocati dalle ricorrenti dovevano essere interpretati alla luce dei principi generali dellordinamento, quindi inconsiderazione dei principi Costituzionali dettati dagli artt. 2 e 15 Cost. in materia di riservatezza e segretezza delle comunicazioni, diritticomprimibili solo in presenza di valori collettivi ritraibili dalla normazione penale e non anche dal sistema di tutela dei diritti privatistici, dimodo che non sussisteva alcun conflitto di norme tra siffatte disposizioni a tutela del diritto dautore e gli artt. 123 e 132 cod. priv.Motivi della decisioneAlla luce delle difese ed eccezioni, nuove svolte nel presente procedimento cautelare, rispetto a precedenti casi analoghi esaminati da questoTribunale, anche in composizione collegiale, e ciò in considerazione anche della significativa costituzione volontaria dellautorità Garante perla privacy, deve ritenersi linfondatezza dellistanza cautelare in esame.
  29. 29. - A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI -III Indagini privateIl caso PeppermintIl Garante è, poi, intervenuto con un Divieto del Garante [ex art. 154, 1 d) del Codice] in data 28febbraio 2008 (pubb. Bollettino del n. 92/febbraio 2008).In estrema sintesi il Garante stabilisce che:Come premesso, una seconda fase del trattamento dei dati connesso allinvio delle lettere è avvenuta nelterritorio dello Stato, utilizzando dati personali relativi a persone identificabili e raccolti illecitamente.Si rende pertanto necessario, a definizione della complessa istruttoria preliminare, provvedere in ordineallulteriore utilizzazione di tali dati sul territorio dello Stato. Ciò, senza che occorra proseguire gliaccertamenti per verificare anche se, e in quale misura, la disciplina italiana di protezione dei dati trovi intutto o in parte applicazione anche alla prima fase di raccolta automatizzata dei dati, alla luce delladisposizione normativa secondo cui la legge italiana si applica ai trattamenti effettuati da soggetti stabilitinel territorio di un Paese non appartenente allUnione europea il quale impieghi, per il trattamento,strumenti situati nel territorio dello Stato (quali i p.c. degli utenti italiani, dai quali Logistep hachiaramente tratto gli indirizzi Ip: art. 5 del Codice).In ragione delle predette risultanze non possono che confermarsi le valutazioni di illiceità e noncorrettezza già tratteggiate nelle memorie di costituzione in giudizio nelle controversie dinanzi alTribunale di Roma –e note alle controparti –, e conseguentemente disporsi il divieto nei confronti dellepredette tre società di ulteriore utilizzazione dei dati personali raccolti illecitamente, nonché la lorocancellazione entro il termine del 31 marzo 2008.
  30. 30. - A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI -IV Lacquisizione delle proveI fase: la raccolta delle proveParlando di “evidenze digitali” dobbiamo distinguere tra la fase di acquisizione, diconservazione, di trattamento, di analisi, di esposizione e di relazione delle stesse.In genere i contorni tra le differenti fasi non sono marcati e ben definiti tanto che è assaidifficile affermare con certezza se una determinata attività appartiene alluna o allaltra; si trattadi una catena di eventi che non possono essere slegati luno dallaltro.Per semplice comodità e ben consapevoli che si tratta di una distinzione fittizia, oradistingueremo le varie fasi.Nelle pagine che seguono si farà riferimento alla procedura seguita nel corso di unindaginecriminale, fermo restando che la maggior parte delle osservazioni effettuate sonoperfettamente valide, mutatis mutandis, anche nel caso di raccolta di prove da impiegare nelcorso di un procedimento civile.In ogni caso una buona prassi è quella di predisporre (anche solo mentalmente, ma in formascritta è meglio), una checklist contenente le cose da fare, e quelle da non fare!, e seguirlascrupolosamente ogni volta in modo da evitare di non saper spiegare cosa si è fatto e perché.
  31. 31. - A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI -IV Lacquisizione delle proveI fase: la raccolta delle proveSpesso alcune prove vengono raccolte prima di entrare in contatto con la persona sottopostaad indagine; quali prove dipende in massima parte dal tipo di indagine dal tipo di crimine edagli strumenti forniti all’uopo dal legislatore.Unulteriore distinzione deve essere fatta tra reati permanenti (i.e. realizzazione di un sitoweb) e reati istantanei (i.e. ingiurie effettuate in chat, condivisione di materiale pedo) inquanto differenti sono le tracce lasciate dagli autori.Alcune caratteristiche sono, tuttavia, comuni. In primis una particolare esigenza di celeritànell’acquisizione di prove ed informazioni: poche cose sono volatili come le proveinformatiche. Basta davvero molto poco per alterarle, modificarle o renderle comunqueinservibili, sia volontariamente che involontariamente.In secondo luogo è necessario che l’investigatore conosca con precisione le modalità con cuiè stato commesso il reato in quanto vi può essere una notevole differenza nel valore deglielementi di prova raccolti a seconda delle azioni del criminale.Esempio: si sta indagando in merito ad un joe job eseguito a danno di T. e si accerta che ilfatto è stato commesso sfruttando una vulnerabilità del server smtp; è perfettamente inutileacquisire i log degli accessi alla casella di posta elettronica di Tizio mentre è necessarioconcentrare le indagini sull’indirizzo IP dell’effettivo mittente del messaggio.
  32. 32. - A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI -IV Lacquisizione delle proveI fase: la raccolta delle proveAllo stesso modo, quando si procede allacquisizione di dati specifici (programmi, e-mail, log, etc...) idati acquisiti dovranno essere conservati in un supporto non modificabile, per esempio CD-ROM oDVD-ROM, e, possibilmente, firmati con firma elettronica o, in alternativa, una volta “chiuso” ilsupporto ne dovrà essere acquisito lhash. LHash dovrà essere riportato nel verbale.Di fronte ad un computer il codice ci consente di scegliere due differenti strade: lispezione o ilsequestro, ma è comunque necessario procedere allanalisi dello stesso.A ciò si aggiunga che unesatta descrizione delle modalità con cui si è giuntiallidentificazione dellimputato e della collocazione degli strumenti informatici è,spesso, necessaria al fine di scagionare eventuali coimputati:Tribunale Penale di Bologna, Sez. I Monocratica, Sentenza 21 luglio 2005 (dep. 22 dicembre2005), est. di Bari. “... L’esclusiva assunzione di responsabilità da parte del fratello G., come si èsopra detto, è invece riscontrata sia dalla riferibilità a lui delle operazioni di amministrazione dei duesiti internet, sia dal possesso – che non risulta avere il fratello - delle idonee capacità diprogrammazione: del resto i programmi sequestrati presso la comune residenza familiare furonotrovati nei dischi rigidi presenti nella stanza nella disponibilità esclusiva di G.”Per tale ragione una verifica delle possibili alternative si rende sempre necessaria.Allo stesso modo una preventiva verifica del modus operandi del soggetto spesso evita di fare unbuco nellacqua...Spesso tale attività è affidata a specialisti della Polizia Postale, dei Carabinieri o della Guardia diFinanza oppure a privati, ma come e quando si sequestra un computer?
  33. 33. - A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI -IV Lacquisizione delle proveIspezioni e perquisizioni244. Casi e forme delle ispezioni.1. Lispezione delle persone, dei luoghi e delle cose è disposta con decreto motivato quando occorreaccertare le tracce e gli altri effetti materiali del reato [c.p.p. 354, 364].2. Se il reato non ha lasciato tracce o effetti materiali, o se questi sono scomparsi o sono stati cancellati odispersi, alterati o rimossi, lautorità giudiziaria descrive lo stato attuale e, in quanto possibile, verifica quellopreesistente, curando anche di individuare modo, tempo e cause delle eventuali modificazioni. Lautoritàgiudiziaria può disporre rilievi segnaletici, descrittivi e fotografici e ogni altra operazione tecnica, anche inrelazione a sistemi informatici o telematici, adottando misure tecniche dirette ad assicurare laconservazione dei dati originali e ad impedirne l’alterazione.247. Casi e forme delle perquisizioni.1. Quando vi è fondato motivo di ritenere che taluno occulti sulla persona il corpo del reato o cosepertinenti al reato, è disposta perquisizione personale. Quando vi è fondato motivo di ritenere che tali cosesi trovino in un determinato luogo ovvero che in esso possa eseguirsi larresto dellimputato o dellevaso, èdisposta perquisizione locale [c.p.p. 352, 365].1-bis. Quando vi è fondato motivo di ritenere che dati, informazioni, programmi informatici o traccecomunque pertinenti al reato si trovino in un sistema informatico o telematico, ancorché protetto da misuredi sicurezza, ne è disposta la perquisizione, adottando misure tecniche dirette ad assicurare laconservazione dei dati originali e ad impedirne l’alterazione.2. La perquisizione è disposta con decreto motivato.3. Lautorità giudiziaria può procedere personalmente ovvero disporre che latto sia compiuto da ufficiali dipolizia giudiziaria delegati con lo stesso decreto.
  34. 34. - A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI -IV Lacquisizione delle proveII fase: perquisizione e sequestroLa perquisizione rappresenta un momento fondamentale dellindagine, soprattutto per lalabilità e la deperibilità delle prove informatiche: eventuali reperti non individuati in primabattuta sono, probabilmente, destinati a sparire in maniera definitiva. Proprio per tale ragione,nel corso della perquisizione non ci si dovrebbe mai “accontentare” dei risultati trovatifacilmente o consegnati spontaneamente, ma è necessario operare per verificare se vi sonocomponenti hardware nascosti.Oggi è facile procurarsi memorie di massa piccolissime e facilmente occultabili, per nonparlare di cellulari, fotocamere ed altri apparecchi che possono agevolmente contenerememorie di massa!
  35. 35. - A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI -IV Lacquisizione delle proveMemorie di massa - panoramica
  36. 36. - A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI -IV Lacquisizione delle proveII fase: perquisizione e sequestroOccorre poi verificare leventuale presenza di un server di raccolta dati (NAS), eventualmenteaccessibile tramite Wi-Fi.Grazie alle capacità wireless i dischi operano sia come punto daccesso Wi-Fi (in standardIEEE 802.11 b/g/n) sia come un nodo Wi-Fi e, potendo essere visti ed utilizzati in rete,possono essere usati per conservare file di vario genere.La distanza a cui possono essere collocati dipende solo dalla potenza del segnale (allinternodi unabitazione la portata media è di circa 2030 metri, ma, in assenza di ostacoli, o inpresenza di amplificatori di segnale, possono essere agevolmente raggiunti e superati i 100metri)e le loro ridotte dimensioni (mediamente uno di questi è largo meno di 18 cm, profondo20 cm ed alto 6 per un peso inferiore al chilo) li rendono facilmente occultabili.
  37. 37. - A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI -IV Lacquisizione delle proveNAS Wi-FI: panoramica
  38. 38. - A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI -IV Lacquisizione delle proveRilevare un NASIn alternativa è anche possibile utilizzare un minicomputer (per esempio un netbook o unnettop) dotato di connessione wi-fi ed amministrato da remoto per svolgere tutta lattività“sporca”.Lunico modo per individuare simili dispositivi è quello di disporre in sede di perquisizione diun sistema in grado di effettuare unanalisi della rete alla ricerca di altri dispositivi collegati.Una volta individuati eventuali "nodi" sospetti è necessarioAnnotare il MACADDRESS ed andarli a cercare uno per uno per verificare se si tratta di unserver NAS, di un computer remoto o di un semplice access point.E appena il caso di notare che se si stacca la corrente, o se il sistema è spento, ogni ricercaè vana.Una valida alternativa è quella di individuare ilrouter, collegarsi fisicamente ad esso e verificarevisivamente quanti componenti risultano connessi,annotare nome, indirizzo e MAC Address ed infineandarli a cercare uno per uno.Di tale operazione dovrà essere dato atto nelverbale.
  39. 39. - A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI -Profili giuridici dellacquisizione della provadigitaleII fase: perquisizione e sequestroTutte le operazioni devono essere condotte in modo da “cristallizzare” le prove evitando ognipossibile contaminazione degli elementi probatori: per esempio MAI accendere i computerindividuati ed annotare con cura, anche scattando fotografie, la disposizione degli apparatiallinterno dellufficio o dellabitazione. Oggetti a prima vista insignificanti possonorappresentare unottima fonte di informazioni o, addirittura, contenere elementi di prova.Prescindendo dagli aspetti pratici della perquisizione, soffermiamoci sullesigenza di acquisirei supporti informatici senza correre il rischio di alterarne in alcun modo il contenuto. In caso dicomputer spento, nulla quaestio lo si imballa, apponendo i sigilli alla scatola, e lo si porta via,ma lesperienza insegna che, sempre più spesso, i PC rimango costantemente accesi. Chefare in caso di computer in funzione? Lottimo sarebbe poter disporre, direttamente in sede diperquisizione, di un soggetto con adeguata competenza che possa procedere ad unasommaria analisi della macchina (annotando tutte le operazioni eseguite) per poi spegnerla inmaniera sicura ma nel caso in cui ciò non fosse possibile, la dottrina più autorevole sostieneche, presa nota delle informazioni visualizzate sul monitor e scattate fotografie dello stesso(soprattutto del task manager), si deve staccare direttamente la spina dal computerprocedendo anche alla rimozione delle batterie in caso di computer portatile; in questo modosi perde la possibilità di acquisire i dati presenti in RAM, ma allo stato delle cose si tratta dellaprocedura più sicura per personale non qualificato.
  40. 40. - A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI -Profili giuridici dellacquisizione della provadigitaleII fase: perquisizione e sequestroE anche possibile procedere a perquisizioni diniziativa della P.G.352. Perquisizioni.1. Nella flagranza del reato [c.p.p. 382] o nel caso di evasione [c.p. 385], gli ufficiali di polizia giudiziariaprocedono a perquisizione personale o locale quando hanno fondato motivo di ritenere che sulla persona sitrovino occultate cose o tracce pertinenti al reato che possono essere cancellate o disperse ovvero che talicose o tracce si trovino in un determinato luogo o che ivi si trovi la persona sottoposta alle indagini olevaso.1-bis. Nella flagranza del reato, ovvero nei casi di cui al comma 2 quando sussistono i presupposti e lealtre condizioni ivi previsti, gli ufficiali di polizia giudiziaria, adottando misure tecniche dirette ad assicurarela conservazione dei dati originali e ad impedirne l’alterazione, procedono altresì alla perquisizione disistemi informatici o telematici, ancorché protetti da misure di sicurezza, quando hanno fondato motivo diritenere che in questi si trovino occultati dati, informazioni, programmi informatici o tracce comunquepertinenti al reato che possono essere cancellati o dispersi.2. Quando si deve procedere alla esecuzione di unordinanza che dispone la custodia cautelare [c.p.p. 285,286, 292] o di un ordine che dispone la carcerazione nei confronti di persona imputata o condannata peruno dei delitti previsti dallarticolo 380 ovvero al fermo di una persona indiziata di delitto, gli ufficiali dipolizia giudiziaria possono altresì procedere a perquisizione personale o locale se ricorrono i presuppostiindicati nel comma 1 e sussistono particolari motivi di urgenza che non consentono la emissione di untempestivo decreto di perquisizione....OMISSIS
  41. 41. - A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI -Profili giuridici dellacquisizione della provadigitaleII fase: perquisizione e sequestro354. Accertamenti urgenti sui luoghi, sulle cose e sulle persone. Sequestro.1. Gli ufficiali e gli agenti di polizia giudiziaria curano che le tracce e le cose pertinenti al reatosiano conservate e che lo stato dei luoghi e delle cose non venga mutato [c.p.p. 348] primadellintervento del pubblico ministero. In relazione ai dati, alle informazioni e ai programmiinformatici o ai sistemi informatici o telematici, gli ufficiali della polizia giudiziaria adottano,altresì, le misure tecniche o impartiscono le prescrizioni necessarie ad assicurarne laconservazione e ad impedirne l’alterazione e l’accesso e provvedono, ove possibile, alla loroimmediata duplicazione su adeguati supporti, mediante una procedura che assicuri laconformità della copia all’originale e la sua immodificabilità.2. Se vi è pericolo che le cose, le tracce e i luoghi indicati nel comma 1 si alterino o sidisperdano o comunque si modifichino e il pubblico ministero non può interveniretempestivamente, ovvero non ha ancora assunto la direzione delle indagini, gli ufficiali dipolizia giudiziaria compiono i necessari accertamenti e rilievi sullo stato dei luoghi e dellecose. Se del caso, sequestrano il corpo del reato e le cose a questo pertinenti [c.p.p. 253] (1).3. Se ricorrono i presupposti previsti dal comma 2, gli ufficiali di polizia giudiziaria compiono inecessari accertamenti e rilievi sulle persone diversi dalla ispezione personale [c.p.p. 245]. Segli accertamenti comportano il prelievo di materiale biologico, si osservano le disposizioni delcomma 2-bis dellarticolo 349.
  42. 42. - A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI -Profili giuridici dellacquisizione della provadigitaleII fase: la catena di custodiaUna volta acquisiti gli elementi presenti deve essere compilato un modulo noto come “catena dicustodia” in cui vengono indicati espressamente tutti i soggetti entrati in contatto con le prove e tuttele operazioni compiute sulle stesse.A tal proposito il primo punto di scontro tra accusa e difesa in sede di indagini informatiche è relativoalle modalità con cui viene eseguito il sequestro di evidenze informatiche. Il nodo centrale dellaquestione è “in caso di indagini per reati informatici, è necessario sequestrare tutto il materialetrovato, tutto il computer, solo lhard disk oppure è sufficiente acquisire una copia dei dati?”. Laquestione non è di facile soluzione in quanto la scelta fatta nelle concitate fasi del sequestro si riflettenecessariamente nelle successive fasi prebattimentali e, spesso, anche nel dibattimento stessorischiando di pregiudicare lanalisi e, conseguentemente, i diritti di accusa e difesa.In primo luogo dobbiamo osservare che non può esserci una risposta precisa a questa domanda inquanto a reati differenti devono corrispondere differenti tipologie di indagine che richiedono approccimolto diversi e, soprattutto, una modalità di acquisizione della prova modellata sulla fattispecieconcreta. E evidente che, a parità di risultato probatorio, dovrà essere necessariamenteprivilegiata la modalità di acquisizione meno invasiva e che comporta il minor dannoper il soggetto che la subisce. Soggetto che, a volte, non è neppure indagato, ma si trova nellaposizione di “persona informata sui fatti” (i.e. sequestro presso terzi in caso di indagini a carico diignoti)
  43. 43. - A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI -Profili giuridici dellacquisizione della provadigitaleII fase: perquisizione e sequestroNon può, però, trascurarsi che il mancato sequestro di un componente secondario potrebbepregiudicare la possibilità di svolgere ulteriori accertamenti. Per esempio il mancatosequestro della tastiera, del mouse o dello stesso mouse pad potrebbe rendere impossibileverificare eventuali tracce (saliva, impronte digitali, tessuto epiteliale...) che, soprattutto incasi particolari, potrebbero servire per individuare in maniera precisa lautore del reatoarrivando magari anche a scagionare liniziale imputato.Allo stesso modo la collocazione e lo stato del computer e gli accessori presenti possonofornire molte informazioni utili sulla personalità del presunto reo.A ciò deve aggiungersi che lacquisizione di copia dei dati immediatamente, direttamente insede di perquisizione, presenta altri due grossi problemi:1)richiede, per essere eseguita, la presenza di personale particolarmente esperto in grado dioperare, in maniera sicura, su supporti hardware e software sconosciuti e di individuare, intempi rapidissimi tutti i file di interesse probatorio (ivi compresi quelli cancellati, crittografati osteganografati o altrimenti nascosti).2)Loperazione, anche se eseguita secondo le best practices della computer forensics, è, difatto, irripetibile in quanto il materiale, rimasto nella disponibilità dellimputato, deveconsiderarsi non più utile per finalità investigative.
  44. 44. - A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI -Profili giuridici dellacquisizione della provadigitaleII fase: perquisizione e sequestroIn tal senso si veda, ad esempio, il Tribunale di Bologna (Sez. I Monocratica, Sentenza 21 luglio2005).In sede di perquisizione la PG si era limitata ad acquisire una copia dei soli file aventi rilevanzainvestigativa: più precisamente, al momento della perquisizione domiciliare, lindagato aveva indicatoalla PG operante il programma, masterizzandone le copie da sottoporre a sequestro sotto il direttocontrollo degli agenti.In sede processuale la difesa eccepiva la non correttezza del metodo utilizzato dalla PG per estrarre iprogrammi dal computer, ma il Giudice non accoglieva la tesi, pur ammettendo che le modalità diacquisizione si discostavano dalle best practices, osservando che “non è permesso al Tribunaleescludere a priori i risultati di una tecnica informatica utilizzata a fini forensi solo perché alcune fontiritengono ve ne siano di più scientificamente corrette, in assenza della allegazione di fatti chesuggeriscano che si possa essere astrattamente verificata nel caso concreto una qualsiasi forma dialterazione dei dati e senza che venga indicata la fase delle procedure durante la quale si ritieneessere avvenuta la possibile alterazione”.In breve lutilizzo dello strumento dellispezione, con la conseguente acquisizione, mediantemasterizzazione, dei soli file pertinenti al reato, andrebbe utilizzata soltanto laddove il computerassuma la veste di mero contenitore della prova del crimine e si ritenga opportuno non operare unsequestro, per esempio perché lo si ritiene sproporzionato al fatto contestato, oppure nel caso diattività presso terzi (banche, provider, etc.) estranei di fatto alla vicenda.
  45. 45. - A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI -Profili giuridici dellacquisizione della provadigitaleII fase: perquisizione e sequestroUna buona soluzione di compromesso è rappresentata dal sequestro del solo hard disk(oppure dallacquisizione, con strumenti idonei, di unimmagine dello stesso laddove si ritengaopportuno lasciare lhard disk nella disponibilità dellimputato).Tale soluzione, applicabile alla maggior parte dei reati informatici, consente un pieno controllodel contenuto del supporto e la ripetibilità, in qualsiasi momento, dellanalisi eseguita. Dicontro richiede, direttamente in sede di perquisizione e sequestro, la presenza di personaleesperto in grado di rimuovere e manipolare lhard disk senza danneggiarlo e, soprattutto, ingrado di verificare la presenza di dispositivi in grado di impedire laccesso ai dati in essocontenuti come, ad esempio, nel caso della tecnologia ABIT Secure IDE o similari.Tale soluzione ha lavallo della Corte di Cassazione secondo cui, trattandosi di sequestroprobatorio, la prova in ordine alla sussistenza del reato è tutelabile limitando il sequestro allamemoria fissa del computer e ad eventuali supporti contenenti elementi utili alle indaginirestituendo, invece, tutti gli apparati “neutri” (stampanti, scanner, schede video...); si vedaCorte di Cassazione, Sezione III Penale,Sentenza 18 novembre 2003 - 3 febbraio 2004, 1778 (3983/2003).
  46. 46. - A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI -Profili giuridici dellacquisizione della provadigitaleII fase: perquisizione e sequestroVi sono, tuttavia, casi in cui è non solo consigliato, ma addirittura necessario procedere al sequestrodellintero computer e delle relative periferiche. Lanalisi dettagliata dellintera casistica esula dallaportata del presente lavoro, ragion per cui ci si limiterà qui ad osservare come esemplare il caso delleindagini per divulgazione di materiale pedo pornografico. In tali casi, tuttavia, non si dovrà parlare disequestro probatorio (253 cpp), ma di sequestro preventivo (321 cpp).A ciò si aggiunga che la materiale disponibilità di beni informatici, soprattutto nei casi più gravi didivulgazione, rende possibile per limputato protrarre o aggravare le conseguenze del reato.Da ultimo è mia opinione personale che, in presenza di soggetti in possesso di dispositivitecnologicamente molto avanzati, potrebbe rivelarsi opportuno procedere al sequestro anche deisupporti originali per verificare che gli stessi non siano stati alterati e per utilizzarli per acquisireinformazioni in merito al software installato ed alle sue modalità di funzionamento. In tal caso,tuttavia, è sempre opportuno spiegare le ragioni del sequestro di materiale apparentemente inutile osuperfluo.A tal proposito è bene ricordare che, in tema di sequestro probatorio, il provvedimento deve dareconcretamente contezza ai fini della qualificazione delle cose in sequestro come corpo di reato ocome necessarie allaccertamento dello stesso, della relazione di immediatezza descritta nellart. 253c.p.p., comma 2, tra la "res" e lillecito penale. (Vedi Cass., sez. 6^, sent. n. 337, c.c. 29 gennaio1998, P.M. in proc. Sarnataro, rv.).
  47. 47. - A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI -Profili giuridici dellacquisizione della provadigitaleII fase: perquisizione e sequestroIn ogni caso una volta che il PC è stato spento non deve essere più riavviato, anzi sarebbebuona norma scollegare eventuali cavi di alimentazione e, nel caso dei portatili, rimuovere lebatterie.Tutte le operazioni devono essere annotate e deve essere mantenuta una precisa catena dicustodia in grado di dimostrare ogni passaggio delle evidenze informatiche.E possibile che venga effettuata una copia dellhard disk direttamente in sede di sequestro,soprattutto nel caso di sequestro probatorio. In tal caso è buona norma acquisire lhash dellharddisk prima e dopo la copia, stamparlo e farlo sottoscrivere alla controparte. In questo modo saràpossibile dimostrare che la prova non è stata alterata in alcun modo.In relazione alla validità dellhash la Cassazione ha di recente valutato che lesperibilità delleprocedure di hashing, sequestrato e conservato in copia su un apposito supporto (nella specieCd-Rom), è una questione di merito, potendosi in sede di legittimità esclusivamente delibare segli accorgimenti adottati dalla polizia giudiziaria delegata siano o meno idonei "in astratto" atutelare le finalità indicate dal legislatore negli art. 247, comma 1 bis, e 354, comma 2, c.p.p.(Cassazione penale sez. II, 12/12/2008, n. 11135
  48. 48. - A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI -Profili giuridici dellacquisizione della provadigitaleII fase: perquisizione e sequestroLa Corte ha osservato che“...come si evince dal verbale di sequestro, nel caso in esame il file oggetto del sequestro èstato masterizzato in quattro copie identiche, su altrettanti Cd-rom non riscrivibili, uno dei qualilasciato a disposizione dellausiliario di p.g. (tecnico dellUGIS) che ha successivamentesottoscritto tutti i Cd-rom in questione, e quindi adottando misure tecniche (immediataduplicazione del file su quattro supporti non riscrivibili, assistenza del tecnico UGIS nominatoausiliario di polizia giudiziaria) in astratto idonee ad assicurare la conservazione elimmodificabilità dei dati acquisiti. Ogni altra valutazione di ordine tecnico circa la necessità dieffettuare lhashing per poter eventualmente verificare se la copia del file nel CD masterizzatosia uguale alloriginale (e, quindi, se il file sia stato modificato o meno) è estranea al giudiziodi legittimità, sia perché attiene essenzialmente alle modalità esecutive del sequestro siaperché comunque la normativa richiamata dal ricorrente non individua specificamente lemisure tecniche da adottare, limitandosi a richiamare le esigenze da salvaguardare attraversoidonei accorgimenti, e, comunque, nel caso in esame la sezione della Polizia postale diIsernia nellacquisizione della documentazione informatica relativa allattività delittuosaoggetto di indagine risulta aver in concreto adottato le cautele prescritte dalla L. n. 48 del2008.”
  49. 49. - A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI -Profili giuridici dellacquisizione della provadigitaleII fase: perquisizione e sequestroNon dà luogo ad accertamento tecnico irripetibile la lettura dell"hard disk" di un computersequestrato, che è attività di polizia giudiziaria volta, anche con urgenza, allassicurazione dellefonti di prova.Rigetta,Trib. lib. Napoli, 17 Ottobre 20082.3 Leccezione è palesemente infondata, dappoichè la lettura dellhard disk non integra affattoatto irripetibile, perchè la lettura di esso ha consentito di ipotizzare lesistenza del reato a caricodel ricorrente, perchè questultimo è del tutto estraneo ai diritti difensivi di altre parti delprocesso, perchè, lattività svolta al riguardo dalla P.G. rientra tra quelle svolte dalla stessa aisensi dellart. 348 c.p.p. e art. 354 c.p.p., comma 2 e perchè, infine, possibile nel prosieguo delprocesso ogni attività difensiva dello S.V. il quale, se del caso, potrà far valere, quando sarà ese sarà eventualmente accertata lalterazione del disco informatico, alterazione allo statosoltanto affermata dalla difesa del ricorrente, peraltro persona diversa dal proprietario delcomputer, e, si ribadisce, per nulla accertata.Cassazione penale sez. IData: 25 febbraio 2009Numero: n. 11503
  50. 50. - A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI -Profili giuridici dellacquisizione della provadigitaleIII fase: LacquisizioneLanalisi dei reperti informatici rappresenta il culmine dellattività investigativa finalizzata allarepressione della maggior parte dei reati informatici, ma, per quanto apparentementesemplice, questa fase dellindagine richiede una notevole attenzione e competenza:eventuali errori potrebbero compromettere lintera indagine, soprattutto in relazione allasuccessiva utilizzabilità processuale delle prove raccolte.In commercio è facile reperire programmi che consentono di creare unintera partizionefat32 o ntfs criptata; in alcuni casi, la partizione può comprendere lintero sistema operativoed i relativi file di boot, di swap, i file temporanei, eccetera ed è altresì possibile che talepartizione si avvii solo utilizzando un apposito dischetto. In assenza del floppy la partizioneappare come spazio non formattato.In fase di analisi è bene ricordare che tutti gli accertamenti effettuati devonoessere ripetibili: per nessuna ragione il computer del sospetto dovrebbe essere avviatoe, per nessuna ragione, le analisi dovrebbero essere effettuate utilizzando il materialeoriginale e questo per due ottime ragioni:A) si rischia di danneggiare il supporto;B) si rischia di alterare il materiale.
  51. 51. - A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI -Profili giuridici dellacquisizione della provadigitaleIII fase: LacquisizioneDi recente (05 marzo 2009, n. 14511) la Corte di Cassazione è intervenuta in materiastabilendo che “non rientra nel novero degli atti irripetibili lattività di estrazione di copia di"file" da un computer oggetto di sequestro , dal momento che essa non comporta alcunaattività di carattere valutativo su base tecnico-scientifica, né determina alcuna alterazionedello stato delle cose, tale da recare pregiudizio alla genuinità del contributo conoscitivonella prospettiva dibattimentale, essendo sempre comunque assicurata la riproducibilitàdinformazioni identiche a quelle contenute nelloriginale”. In particolare la Corte haosservato che il provvedimento di acquisizione di copia di file ritenuti utili ai fini delleindagini ha natura autonoma e distinta rispetto alla misura cautelare reale del sequestro(Cass, Sez. Un., 24 aprile 2008, n. 18253) e, nellipotesi in cui la capacità rappresentativadella res sia fornita dal contenuto dellatto o del documento, lAutorità giudiziaria procedenteacquisisce al procedimento le copie di detti atti o documenti, disponendo la restituzionedegli originali.Laddove, invece, lelemento probatorio sia infungibilmente rappresentato dalloriginale delsupporto cartaceo o magnetico, si determinano i presupposti per il mantenimento delsequestro. Relativamente allestrazione di copie non è esperibile una procedura incidentaledi controllo di legittimità, in quanto non si è in presenza di un vincolo di indisponibilità delbene equipollente al sequestro.
  52. 52. - A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI -Profili giuridici dellacquisizione della provadigitaleIII fase: LacquisizioneE, però, sempre possibile per la parte far valere eventuali nullità relative allosservanzadelle forme previste a garanzia dellesercizio dei diritti di difesa nella fase in cui i predettidocumenti vengono utilizzati come mezzo di prova (Cass., Sez. 6, 15 settembre 1995, inCass. pen. 1996, p. 2328).Sotto questultimo profilo occorre ricavare, in via interpretativa, la nozione di "nonripetibilità" in assenza di una definizione legislativa di carattere generale e diunelencazione normativa di atti tipicamente non ripetibili.La questione riguarda direttamente il "giusto processo" perché ad essa è strettamentecorrelata losservanza di precise garanzie difensive, in quanto la qualificazione come"irripetibile" di un atto comporta la deroga al principio del contraddittorio nella formazionedella prova, consentendo che lo stesso, pur se formato nella fase procedimentale, vengautilizzato, previa lettura, per la decisione. Sulla base di tali premesse, per "atto irripetibile"deve intendersi latto contraddistinto da un risultato estrinseco ed ulteriore rispetto allamera attività investigativa, non più riproducibile in dibattimento se non con la perditadellinformazione probatoria o della sua genuinità. Sotto tale profilo gli accertamenti ex art.360 c.p.p. consistono in attività di carattere valutativo su base tecnico- scientifica e non inattività di constatazione, raccolta, prelievo dei dati materiali pertinenti al reato.
  53. 53. - A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI -Profili giuridici dellacquisizione della provadigitaleIV fase: Lanalisi, aspetti giuridici ed erroricomuniProprio per questa ragione il primo (e più grave) errore è “Ora lo accendo e dounocchiata...”.Allavvio del computer il sistema operativo svolge numerose operazioni che siripercuotono sullintegrità dei dati contenuti in hard disk.Il secondo errore tipico è prendere lhard disk originale ed installarlo nella macchinadeputata allanalisi: allavvio del proprio sistema operativo è assai probabile (certo se siutilizza Windows) che il S.O. effettui delle operazioni di lettura scrittura sullhard diskalterandone i dati e la struttura.Se poi ci dimentichiamo lantivirus attivo ed il programma avvia una scansione sulreperto il disastro è completo.Più sicuro è lutilizzo di sistemi linux che consentano di montare lhard disk in solalettura, ma lerrore è sempre in agguato, quindi la soluzione preferibile è comunquequella di dotarsi di un writer-block, di un dispositivo di clonazione e analisi oppure diuna soluzione hardware completa come Khymera-M5.
  54. 54. - A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI -Profili giuridici dellacquisizione della provadigitaleIV fase: Lanalisi, aspetti giuridici ed erroricomuniDunque, per garantire la ripetibilità dellanalisi (vero principio cardine della computerforensic), è necessario operare su di una copia del supporto sequestrato. Naturalmentenon è sufficiente un semplice ghost del disco rigido, ma è necessario che si tratti di una“bit stream image” (in gergo si parla spesso di “clonare” un hard disk) che, a differenzadella mera copia, consentirà di operare su un disco praticamente identico alloriginale, siain maniera logica che fisica, consentendo, quindi, lanalisi anche di eventuali partiapparentemente vuote.In commercio esistono numerosi prodotti, hardware e software, in grado di clonare unhard disk garantendo la non alterazione delloriginale e lesatta corrispondenza originale-copia. E buona norma anche procedere allacquisizione della “firma” dellintero supportoacquisito, con unoperazione detta hashing. Loperazione viene compiuta utilizzando unalgoritmo MD5, che, generando unimpronta della lunghezza di 128 bit (16 byte),costituisce un riferimento certo alla traccia originale, pur non consentendone laricostruzione.NOTA BENE: limmagine bit stream rispetto al semplice Ghost è una garanzia per chi vuolprovare che una certa cosa ESISTEVA nellhard disk, quindi la mancata acquisizione nondovrebbe essere utilizzata dalla difesa per contestare loperato del CT se non laddove lamancata acquisizione abbia pregiudicato la possibilità di svolgere ulteriori e piùapprofondite analisi.
  55. 55. - A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI -Profili giuridici dellacquisizione della provadigitaleIV fase: Lanalisi, aspetti giuridici ed erroricomuniSe si rendesse necessario avviare il computer, ad esempio nel corso di unispezione oper effettuare unanalisi preliminare, è necessario proteggere lhard disk con undispositivo FISICO che inibisca la scrittura sullo stesso (write block) o, in alternativa,utilizzare un apparato hardware per effettuare una copia precisa dellhard disk edavviare la macchina utilizzando la copia.In merito a questultimo punto si consideri che numerosi software di crittografia o disteganografia consentono di impostare un meccanismo di protezione che danneggia ilfile protetto in caso di errori nellinserimento della password (oppure inserendounapposita password), quindi, errori di digitazione in sede di ispezione potrebbero inrealtà essere tentativi di cancellazione delle tracce del reato. Allo stesso modo un floppy(o un CD) lasciato nel lettore potrebbero avviare una procedura di cancellazionedellintero hard disk, quindi: non effettuare mai lavvio del sistema con il disco originale!Una validissima alternativa è quella di utilizzare un programma come VFC (virtualforensic computing) che consente di avviare una macchina virtuale (utilizzandoVmWare Player) partendo dallimmagine (Raw o Encase) della stessa.
  56. 56. - A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI -Profili giuridici dellacquisizione della provadigitaleIV fase: Lanalisi, aspetti giuridici ed erroricomuni
  57. 57. - A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI -Profili giuridici dellacquisizione della provadigitaleIV fase: Lanalisi, aspetti giuridici ed erroricomuni
  58. 58. - A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI -Profili giuridici dellacquisizione della provadigitaleIV fase: Dar voce ai bitDa un punto di vista civilistico la prova digitale deve essere considerata una provadocumentale e, quindi, soggetta alle regole di cui agli articoli 2699 e seguenti del codicecivile, nonché dal codice dellamministrazione digitale (D.Lgs 82 del 2005, art.20 e ss) edal codice di procedura civile.Tipicamente si tratterà di prove precostituite ed il ruolo del CTU (o CTP) sarà quello diacquisirle e presentarle in maniera intellegibile al Giudice (nonché di spiegare a Giudiceed avvocati cosa queste significhino).In ambito penale (libro III e V c.p.p.) le prove potranno essere acquisite in dibattimento o,più spesso, durante la fase delle indagini preliminari. In questultimo caso potranno essereacquisite e valutate anche con lo strumento dellincidente probatorio qualora si tratti di unaccertamento non ripetibile (art.360 cpp).In ogni caso tutte le fasi dellanalisi dovrebbero poter essere ripetute in caso dicontestazioni.
  59. 59. - A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI -Profili giuridici dellacquisizione della provadigitaleIV fase: Dar voce ai bitIn ogni caso non dovrebbero essere ritenute accettabili prove digitali provenienti da fonte nonterza, o comunque attendibile, salvo il caso in cui si disponga di un hash di riferimentoacquisito in un momento in cui la falsificazione o lalterazione della prova non sarebbe statapossibile.Daltra parte la facilità di falsificare una prova digitale è lampante:Proprio per questa ragione è necessario osservare scrupolosamente, anche a propria tutela,i principi di conservazione e di trattamento; in primis la catena di custodia.
  60. 60. - A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI -Profili giuridici dellacquisizione della provadigitaleIV fase: Dar voce ai bitE, quindi, importante che tutte le operazioni compiute siano tracciabili e possano essereadeguatamente giustificate e motivate.“Non so come come ci sono arrivato” non è mai un buon argomento...In genere lanalisi di unevidenza digitale si svolge in tre fasi:1) la sua individuazione;2) la sua valutazione tecnica;3) la sua “contestualizzazione”.Sulla base di questi elementi è, quasi sempre, possibile stabilire quando, come e perché undeterminato file è comparso nellhard disk.Ovviamente le indagini non vengono svolte “a mano” o “a occhio” (non soltanto almeno), masi opera avvalendosi di particolari tools in grado di agevolare lanalisi dei dati.Si tratta di programmi specialistici, spesso particolarmente complessi, in grado di svolgereautomaticamente un gran numero di operazioni accelerando notevolmente il lavoro, ma inogni caso lanalisi finale dei risultati dovrebbe sempre essere effettuata da un essereumano...
  61. 61. - A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI -Profili giuridici dellacquisizione della provadigitaleV Fase: dar voce ai silenzi; crittografia esteganografiaUn altro aspetto particolarmente interessante della computers forensic è rappresentatodalla necessità di dar voce anche ai silenzi della macchina...Non è difficile, infatti, disponendo degli strumenti adeguati occultare unimmagine o uninterapartizione in modo che sia praticamente impossibile individuarla.Sebbene siano numerosi i programmi che svolgono questa funzione qui ci limiteremo aricordarne 2:PGP Disk: si tratta di unapplicazione contenuta nella suite PGP.E particolarmente interessante in quanto funziona con la firma elettronica del titolare dellacoppia di chiavi e consente di inviare in maniera sicura file attraverso un qualsiasi supportosenza dover condividere la chiave di apertura.Ancora più interessante è il programma TrueCript. Il programma si basa sul principio dellanegazione plausibile: viene creato un disco crittografato al cui interno se ne trova un altro,nel caso in cui lutente sia costretto a rivelare la password, che non è soltanto crittografato,ma steganografato...
  62. 62. - A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI -Profili giuridici dellacquisizione della provadigitaleV Fase: dar voce ai silenzi; crittografia esteganografiaSi è così avviata una sorta di gioco a guardie e ladri in cui lo Stato cerca di riservarsi ildiritto di accedere alle informazioni, anche contro la volontà del titolare delle stesse, e gliutenti tentano di impedirglielo.Ripercorrere le tappe di questa gara sarebbe interessante, ma eccessivamente lungo, cibasti osservare che, come nel paradosso di Zenone, la tartaruga della sicurezza privata èsempre un passo avanti al guerriero Achille (la sicurezza pubblica).Se ciò sia un bene o un male è questione di opinioni...... resta il fatto che attualmente lo scontro si gioca sul diritto o meno per il cittadino dirifiutarsi di consegnare le proprie password.In Italia non si sono, ancora, verificati casi simili, ma, alla luce dellarticolo 64 e del notoprincipio nemo tenetur se detegere, sembra ipotizzabile un diritto dellimputato a nonrivelare password o codici di accesso. Da tale rifiuto non sembrerebbero poter scaturire,in teoria!, conseguenze negative per il soggetto laddove dallesercizio della facoltà di noncollaborare con gli organi inquirenti e con lautorità giudiziaria, non può farsi discendere acarico dellindagato alcuna conseguenza negativa diversa dallimpossibilità di accedereagli eventuali benefici che dalla collaborazione derivano.
  63. 63. - A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI -Profili giuridici dellacquisizione della provadigitaleV Fase: dar voce ai silenzi; crittografia esteganografiaIntanto, mentre Achille discute sullesistenza dellobbligo di fornire la propria password, latartaruga...... aumenta il proprio vantaggio.
  64. 64. - A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI -Profili giuridici dellacquisizione della provadigitaleV Fase: dar voce ai silenzi; crittografia esteganografiaDalla crittografia, scrittura cifrata, si è, infatti, passati alla steganografia, scrittura nascosta, edil buon “vecchio” PGP Disk (al centro del dibattito nel caso Boucher) viene rapidamentesostituito da TrueCrypt che, per espressa previsione dei programmatori, si basa sul principiodella negazione plausibile: viene creato un disco crittografato al cui interno se ne trova unaltro. Lutente dispone di due password (nellesempio passwordA e passwordB): la primaverrà utilizzata per avviare il disco visibile:
  65. 65. - A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI -Profili giuridici dellacquisizione della provadigitaleV Fase: dar voce ai silenzi; crittografia esteganografiaAllinterno di questo si trova, però, un secondo disco, occultato ed impossibile da rilevare,che può essere avviato soltanto con la seconda passwordIn questo modo anche in presenza di un obbligo a fornire la propria password i dati riservatirestano accuratamente nascosti e non raggiungibili... pur in presenza di una formalecollaborazione.
  66. 66. - A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI -Profili giuridici dellacquisizione della provadigitaleV Fase: dar voce ai silenzi; crittografia esteganografiaLesistenza di questo volume è quasi impossibile da individuare, e da dimostrare, nondifferendo lo stesso dai dati casuali presenti in un hard disk... con buona pacedellinteressante dibattito che avremmo potuto tenere su password ed art.64 cpp...
  67. 67. - A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI -Profili giuridici dellacquisizione della provadigitaleV Fase: dar voce ai silenzi; crittografia esteganografiaCrittografia e steganografia non sono scienze nuove dato che già Giulio Cesare era solitoutilizzare la crittografia, mentre nellantichità i messaggi più importanti erano tatuati sulla testadi un messaggero preventivamente rapato. Quando i capelli erano ricresciuti il messaggero,munito di un falso messaggio, partiva per la sua destinazione...Linformatica ha solo semplificatonotevolmente il processo consentendo dinascondere un messaggio (ounimmagine) allinterno di un altro file.
  68. 68. - A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI -Profili giuridici dellacquisizione della provadigitaleV Fase: dar voce ai silenzi; crittografia esteganografia
  69. 69. - A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI -Profili giuridici dellacquisizione della provadigitaleVI Fase: La relazioneIn premessa devono essere indicate tutte le attività svolte dal ricevimento del pacco finoallacquisizione dellimmagine dei supporti. E possibile, ma non necessario, documentaremediante una videocamera la fase dellacquisizione. In alternativa è possibile effettuareloperazione innanzi ad un teste qualificato. In tal caso ne deve essere fatta menzione inrelazione. Qualsiasi anomalia deve essere documentata e messa a verbale.In questa fase si deve offrire uno “spaccato” del sistema analizzato e tutti quegli elementi dinatura tecnica che possono rivelarsi utili in sede di analisi.Occorre individuare ed indicare programmi, file, cartelle riportando data di creazione, data dimodifica e data di ultimo accesso.E necessario evidenziare ogni anomalia che si riscontri, soprattutto eventuali accessi al discoo ai dati SUCCESSIVI alla data del sequestro.Infine la relazione andrebbe conclusa con un paragrafo riepilogativo in cui si riepiloga quantoindividuato e si traggono delle conclusioni.
  70. 70. - A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI -Profili giuridici dellacquisizione della provadigitaleErrori comuni1) avviare il PC eo installare lhard disk rendendo laccertamento NON ripetibile:inutilizzabilità della prova raccolta ai sensi del 360 cpp.2) Utilizzare programmi in grado di alterare le proprietà di file e cartelle (i.e. Antivirus)rendendo impossibile una corretta ricostruzione del comportamento del soggetto.3) sindrome del veggente: trarre conclusioni o, peggio, fare affermazioni che non poggino susolide base oggettive. Distinguere sempre tra:- Prove:(art.187) sono fatti o atti;- indizi (art.192): solo se gravi, precisi e concordanti possono costituire una prova;- presunzioni: loperazione logica per cui da un fatto noto si risale ad un fatto ignoto.4) dare per scontato il risultato desiderato (colpevolezza o innocenza) omettendo di verificarela stabilità della relazione.5) non verificare possibili alternative valide, logiche e plausibili.6) utilizzare software pirata7) acquisire prove o informazioni in maniera illegale
  71. 71. - A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI -Profili giuridici dellacquisizione della provadigitaleConclusioniIn ogni caso, anche in caso di ispezioni, una regola aurea è quella di non utilizzare MAI, pernessuna ragione, loriginale per effettuare attività di analisi. Loriginale andrebbe utilizzatosoltanto per acquisire limmagine su cui lavorare e poi riposto al sicuro.Anche nel caso in cui si utilizzi un write blocker, infatti, cè sempre il rischio di danneggiareaccidentalmente il supporto magnetico.Da ultimo occorre sempre agire chiedendosi:- Se io fossi lavvocatoil consulente della controparte, cosa potrei contestare?- Lanalisi è perfettamente ripetibile?- Ho dettagliatamente illustrato le procedure seguite?- Ho motivato le mie conclusioni?Una volta predisposta la relazione è opportuno cercare di smontarla, analizzandola edevidenziando tutti gli errori, le omissioni o le imprecisioni per poi passare alla loro correzione(SENZA FALSIFICARE NULLA!!!).
  72. 72. - A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI -Profili giuridici dellacquisizione della provadigitaleConclusioniSe, per esempio, ci si è accorti di aver montato lhard disk in scrittura e di averne alterato la struttura èopportuno evidenziare questo aspetto specificando che, in ogni caso, non si è alterato in alcun modo ilcontenuto dello stesso.A tal proposito si veda quanto affermato dal Tribunale di Bologna:La difesa dell’imputato sia nel corso dell’istruttoria, che nell’arringa finale ha reiteratamente posto in discussionela correttezza sia del metodo utilizzato dalla p.g. per estrarre i programmi dal computer del C., che di quelloapplicato dalla p.g. e dalle società Infostrada s.p.a. e Tiscali s.p.a. per individuare l’amministratore degli spaziweb (uno dei quali contenente il secondo script del programma Vierika).[...] Occorre innanzitutto precisare che non è compito di questo Tribunale determinare un protocollo relativo alleprocedure informatiche forensi, ma semmai verificare se il metodo utilizzato dalla p.g. nel caso in esame abbiaconcretamente alterato alcuni dei dati ricercati. In altre parole, non è permesso al Tribunale escluderea priori i risultati di una tecnica informatica utilizzata a fini forensi solo perché alcune fontiritengono ve ne siano di più scientificamente corrette, in assenza della allegazione di fatti chesuggeriscano che si possa essere astrattamente verificata nel caso concreto una qualsiasiforma di alterazione dei dati e senza che venga indicata la fase delle procedure durante laquale si ritiene essere avvenuta la possibile alterazione. In termini generali, quando anche il metodoutilizzato dalla p.g. non dovesse ritenersi conforme alla migliore pratica scientifica, in difetto di prova di unaalterazione concreta, conduce a risultati che sono, per il principio di cui all’art. 192 c.p.p.,liberamente valutabili dal giudice alla luce del contesto probatorio complessivo (fermo restandoche maggiore è la scientificità del metodo scelto, minori saranno i riscontri che il giudice è chiamato aconsiderare per ritenere attendibili gli esiti delle operazioni tecniche).
  73. 73. - A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI -Avv.Emanuele Florindi<emanuele.florindi@accademiascienzeforensi.it>Grazie per lattenzione!© 2012 by Emanuele Florindi florindi@telediritto.it.Il presente materiale è soggetto a licenza CC Attribuzione - Condividi allo stesso modo 3.0 Italia (CC BY-SA 3.0).La comunicazione all’autore non è obbligatoria, ma è gradita.

×