Aspetti legali della Digital Forensics    Avv. Pasquale Lopriore              Specialist in      Legal Information Technol...
Definizione di                “Digital Forensics”Disciplina che si occupa: - Preservazione; - Identificazione; - Studio.De...
Prove nel “Processo Civile”        1- Precostituite    Documenti Informatici       2- Costituende          Confessione    ...
Mezzi di ricerca delle prove     nel “Processo Penale”1- Incidente probatorio;2- Accertamenti tecnici;3- Ispezione;4- Perq...
Idoneità dei mezziL’ispezione è l’attività della polizia giudiziaria attraverso laquale vengono accertati il corpo del rea...
In ambito informaticoL’ispezione “c.d. reale” può essere utile neicasi in cui il supporto informatico siaesclusivamente   ...
Caratteristica degli accertamenti      su documenti informatici               non sono ripetibili Diritto dei difensore d...
Perquisizione           Analisi dell’ambiente:-Collocazione dei PC;-Disponibilità dei PC in capo ai soggetti;-Verbali info...
SequestroPrincipale strumento che consente allaP.G. di acquisiti elementi probatori.In ambito informatico, presenta divers...
Principio generale del sequestro      Deve riguardare cose costituenti corpo di reato.In tal caso, non è necessario offrir...
Sequestro dei dati presso terziIl sequestro di un hard-disk per finalitàesplorative    sorrette  dalla sola    ipotesiinve...
Materiali sequestrati   Occorre distinguere:    Modificabili    Non modificabiliSotto il profilo della validità del sequ...
Principio di pertinenza Sequestro di materiale attinente all’indagine nei reati informatici.            l’hard disk è semp...
Ampliamento delle maglie di            applicazioneGli elementi probatori raccolti sono validi anchese riferiti ad illecit...
Azioni di “undercover” della P.G.      Legge n. 269/1998 art. 14Ufficiali di polizia giudiziaria delle strutture specializ...
Azioni di “undercover” della P.G.      Legge n. 269/1998 art. 14               Su richiesta dellautorità giudiziaria.     ...
Raccolta delle prove mediante         “siti web civetta”Gli elementi di prova raccolti con l’utilizzo di siti web c.d.“civ...
Centro nazionale per il contrasto della        pedopornografia sulla rete INTERNETIstituito presso il Ministero dell’inter...
Legge 18 marzo 2008 n.48Ratificare la Convenzione del Consiglio d’Europa sullacriminalità informatica, fatta a Budapest il...
Modifiche introdotto al   Codice di Procedura PenaleImportanti emendamenti, apportati nell’ambitodelle norme che disciplin...
Ispezione Art. 244 c.p.p.  Quando le ispezioni riguardano tracce  digitali l’autorità giudiziaria può disporre, ai  sensi ...
Perquisizioni Art. 247 c.p.p.Nel corso delle perquisizioni, ai sensi dell’articolo 247modificato, se vi è motivo “fondato ...
Sequestro di dati informatici presso fornitori di servizi informatici, telematici    e di telecomunicazioni. Art. 254-bisL...
Apposizione dei sigilli alle cosesequestrate. Cose deperibili. Art. 260 c.p.p.Le cose sequestrate si assicurano con il sig...
Perquisizioni Art. 352 c.p.p.Nell’ipotesi di flagranza o se vi sono presupposti econdizioni, l’articolo 352 modificato aut...
Acquisizione di plichi o di    corrispondenza. Art. 353 c.p.p.Se si tratta di lettere, pieghi, pacchi, valori, telegrammi ...
Accertamenti urgenti sui luoghi, sullecose e sulle persone. Sequestro. Art.              354 c.p.p.In relazione ai dati, a...
Acquisizione di dati informatici             “mediante copia”Il dettato del nuovo art. 254 bis, e gli artt. 256, 260 e 354...
Digital Investigation Metodologia usata per l’analisi dei documenti informatici ai fini della                  ricerca deg...
Attività di indagine informaticaElemento da tener presente nelle indaginiinformatiche è la “volatilità del dato informatic...
La forma del dato informatico   La forma con cui sono salvate le informazioni assume molto importanza   nell’attività di f...
Acquisizione dei datiEseguire un copia integrale, bit per bit, del disco su un altro dispositivo.Per garantire lidenticità...
Profilo procedurale applicazione        della firma digitale          Dopo la codifica Hash      Algoritmo elabora un codi...
ANALISIAttività volta alla ricerca e identificazione dellinformazione,rilevante ai fini probatori.            L’analisi va...
Catena di custodiaLe memorie di massa e ogni dispositivo di memorizzazione devono essere“congelati” al più presto possibil...
Riflessioni praticheLa conservazione in maniera corretta delle prove e deimateriali acquisiti è vitale al fine di evitare ...
Punti fondamentali  Sia nella raccolta sia nel mantenimento delle prove è vitale  quindi tenere in considerazione: Presen...
Protocollo per le investigazioniNel caso in cui si discostano dalla miglior pratica scientifica “bestpractices” non discen...
Valutazione delle perizie da parte           del giudice1. Tecniche d’indagine non consolidate neltempoValutazione dei cri...
Cosa si deve riferire in Tribunale   In Tribunale, alcuni sostengono che bisognerebbe saper spiegare come e in che modo, e...
Profili giuridici dei file di LOGL’attività di apprensione dei file di log deve essereaccompagna da un attento controllo c...
Digital forensicin ambito civilitico
Efficacia probatorio di una                 pagina webLa copia di una “pagina web” su supporto cartaceo ha valoreprobatori...
Efficacia probatorio di una                pagina webLa Cassazione non ha inteso chiudere le porte allafacoltà di utilizza...
Procedura per garantire alle pagine   web una attendibilità probatoriaLa procedura si compone di vari atti:individuazione...
Fonte di prova del documento              informaticoLa prova è costituita dal dato informatico “file”contenuto all’intern...
Notizie trovate su internet:        Valenza probatoriaLe notizie pervenute da internet nonpossono essere considerate fatti...
Stampa di documenti informaticinel corso di una operazione di P.G.Costituisce documentazione di scarsa valenzaprobatoria.N...
Network ForensicsDisciplina che studia le indagini condotte tramitel’impiego di intercettazioni telefoniche o informatiche...
Intercettazioni ex. art. 617 quater c.p.  Chiunque fraudolentamente intercetta comunicazioni relative ad un sistema  infor...
Art. 240 c.p.p. Intercettazioni illegali.Il P.M. dispone limmediata secretazione e la custodia in luogo protetto dei docum...
Art. 132 Codice privacy    modif. L.155/2005 e poi dallart. 2 d.lgs. n. 109/2008.Conservazione dei dati- 24 mesi, dalla da...
Punti critici della norma Non rientrano nell’ambito applicativodella norma le società che non fornisconoaccesso alla rete...
Acquisizione dei dati nel processo               Decreto motivato del pubblico ministeroAnche su istanza del difensore del...
Casi di urgenzaQuando vi è fondato motivo di ritenere che dal ritardo possa derivare grave                         pregiud...
Trattamento dei datiIl trattamento dei dati per le finalità di accertamento e repressione deireati è effettuato nel rispet...
Ammesse le intercettazioni telefoniche nel         procedimento tributario:     Sent. Cass. n. 4306 del 23/02/2010• Con Se...
Intercettazioni telefoniche legali:       revocato il blocco a EuteliaNewsletter 28 maggio 2007Il Garante Privacy ha revoc...
Provvedimento del Garante della  Privacy pubblicato il 30/05/2007E’ inammissibile il ricorso diretto a bloccare il trattam...
PERIZIE TECNICHE & PRIVACY ACCESSO AI DATI E DIRITTO ALLA DIFESANon è possibile accedere alle perizie tecniche in presenza...
Garante per la protezione dei dati personali      Newsletter 28 settembre 2007  Non è possibile accedere alle perizie tecn...
Il Caso Alberto Stasi – Chiara PoggiMotivazioni del G.U.P. Dott. Stefano Vitellli sugli accertamenti relativi al computer ...
GRAZIE PER L’ATTENZIONE                             ARRIVEDERCI                             Avv. Pasquale Lopriore        ...
Upcoming SlideShare
Loading in …5
×

Digital forensics presentazione 2010

1,527 views
1,414 views

Published on

0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
1,527
On SlideShare
0
From Embeds
0
Number of Embeds
3
Actions
Shares
0
Downloads
39
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

Digital forensics presentazione 2010

  1. 1. Aspetti legali della Digital Forensics Avv. Pasquale Lopriore Specialist in Legal Information Technology
  2. 2. Definizione di “Digital Forensics”Disciplina che si occupa: - Preservazione; - Identificazione; - Studio.Della documentazione informatica o dei sistemi informativi in generale,al fine di utilizzarli come prove nei processi penali e civili.Questa disciplina ha varie branche, tra le quali:  Digital Investigation;  Network Forensics;  Mobile Forensics.
  3. 3. Prove nel “Processo Civile” 1- Precostituite Documenti Informatici 2- Costituende Confessione Giuramento Interrogatorio formale
  4. 4. Mezzi di ricerca delle prove nel “Processo Penale”1- Incidente probatorio;2- Accertamenti tecnici;3- Ispezione;4- Perquisizione;4- Intercettazioni telefoniche e informatiche.
  5. 5. Idoneità dei mezziL’ispezione è l’attività della polizia giudiziaria attraverso laquale vengono accertati il corpo del reato o cosepertinenti.L’attività di ispezione comporta l’alterazione della scenadel crimine.Modificazione dei supporti contenenti informazioniricercate.Impossibilità per le altre parti di compiere perizie di parte.
  6. 6. In ambito informaticoL’ispezione “c.d. reale” può essere utile neicasi in cui il supporto informatico siaesclusivamente un contenitore didocumenti attinenti all’indagine o ilmateriale è ricercato presso soggetti terziestranei.In tutti gli altri casi il miglior strumento è laperquisizione con il successivo sequestrodel materiale informatico.
  7. 7. Caratteristica degli accertamenti su documenti informatici non sono ripetibili Diritto dei difensore di assistere anche a mezzo dei propriconsulenti. In caso contrario, non sono inutilizzabili gliaccertamenti effettuati nel dibattimento. Possibilità per il difensore di ricorrere agli accertamentitecnici non ripetibili, qualora, nelle more del giudizio, vi siapericolo di modifica. In tale eventualità la norma prevedeche "… il difensore deve darne avviso, senza ritardo, al P.M.per l’esercizio delle facoltà previste, in quanto compatibili,dell’art. 360 c.p.p."
  8. 8. Perquisizione Analisi dell’ambiente:-Collocazione dei PC;-Disponibilità dei PC in capo ai soggetti;-Verbali informazioni testimoniali;-Frequenza corsi di formazione;-Livello della strumentazione;-Libri di testo.
  9. 9. SequestroPrincipale strumento che consente allaP.G. di acquisiti elementi probatori.In ambito informatico, presenta diversiproblemi: - Pertinenza tra le cose sequestrate e il reato; - Sequestro di una copia delle informazioni contenute sul supporti; - Limiti delle cose sequestrabili.
  10. 10. Principio generale del sequestro Deve riguardare cose costituenti corpo di reato.In tal caso, non è necessario offrire la dimostrazione dellanecessità del sequestro in funzione dellaccertamento dei fatti. Lesigenza probatoria del "corpus delicti" è "in re ipsa“.Decreto di sequestro è sempre legittimo quando abbia adoggetto cose qualificabili come corpo di reato, essendonecessario e sufficiente, a tal fine, che risulti giustificatadetta qualificazione.(Cassazione penale, sez. VI, 5 marzo 1998)
  11. 11. Sequestro dei dati presso terziIl sequestro di un hard-disk per finalitàesplorative sorrette dalla sola ipotesiinvestigativa del P.M. non è ammissibile neiconfronti di una persona non sospettata dellacommissione di alcun reato.Sequestro esige un ambito di corretta e ristrettaoperatività per evitare lesioni di benicostituzionalmente protetti.(Tribunale di Brescia Sent. del 9 ottobre 2006)
  12. 12. Materiali sequestrati Occorre distinguere:  Modificabili  Non modificabiliSotto il profilo della validità del sequestro, la differenza ènella garanzia delle loro genuità. Materiale informatico modificabileOltre alla sigla dell’indagato e la menzione nel verbalecomma 1° art. 260 c.p.p., occorre anche la fotografare oriprodurre le cose sequestrate comma 2 °.
  13. 13. Principio di pertinenza Sequestro di materiale attinente all’indagine nei reati informatici. l’hard disk è sempre pertinente al software pertanto si può sequestrare(Ordinanza del Tribunale di Torino del 07/02/2000)Cose non pertinenti si può chiedere la restituzione ex art. 262 co. 2° c.p.p.(es. Stampante, schermo, scanner).In generale, quando non appaia più necessario il mantenimento del vincoloper finalità probatorie.(Cass. Pen. Sent. N. 177/2003)
  14. 14. Ampliamento delle maglie di applicazioneGli elementi probatori raccolti sono validi anchese riferiti ad illeciti diversi e meno gravi di quelloinizialmente ipotizzato.La legittimità del sequestro deve essere valutatain relazione al momento in cui tale attività è statadisposta e non con riguardo all’esitodell’investigazioni.(Cass. Pen. Sez. III del 11 maggio 2005)
  15. 15. Azioni di “undercover” della P.G. Legge n. 269/1998 art. 14Ufficiali di polizia giudiziaria delle strutture specializzate perla repressione dei delitti sessuali o per la tutela dei minori,ovvero di quelle istituite per il contrasto dei delitti dicriminalità organizzata Previa autorizzazione dellautorità giudiziariaAl solo fine di acquisire elementi di prova in ordine ai delitti dicui agli articoli 600- bis, 1° comma, 600- ter, commi 1°, 2° e3°, e 600- quinquies del codice penale.Procede allacquisto simulato di materiale pornografico ealle relative attività di intermediazione, nonchè parteciparealle iniziative turistiche.
  16. 16. Azioni di “undercover” della P.G. Legge n. 269/1998 art. 14 Su richiesta dellautorità giudiziaria. Motivata a pena di nullità.Per le attività occorrenti per il contrasto dei delitti di cui agliarticoli 600- bis, 1° comma, 600- ter , commi 1°, 2° e 3°, e600- quinquies del codice penale commessi mediantelimpiego di sistemi informatici o mezzi di comunicazionetelematica ovvero utilizzando reti di telecomunicazionedisponibili al pubblico.La polizia delle telecomunicazioni può utilizzare indicazionidi copertura, anche per attivare siti nelle reti, realizzare ogestire aree di comunicazione o scambio su reti o sistemitelematici, ovvero per partecipare ad esse.
  17. 17. Raccolta delle prove mediante “siti web civetta”Gli elementi di prova raccolti con l’utilizzo di siti web c.d.“civetta” per il reato di mera detenzione di materialepornografico ex. art. 600 quater c.p.Sono inutilizzabili in ogni stato e grado del processo ex.art. 191 c.p.p., travolgendo anche la validità del decreto disequestro del P.M.La norma deve prevedere espressamente che la P.G. puòassumere il ruolo di “agente provocatore”(Cass. Pen. Sez. III del 22 settembre 2004)
  18. 18. Centro nazionale per il contrasto della pedopornografia sulla rete INTERNETIstituito presso il Ministero dell’interno con la l’art. 14-bis L. n. 269/1998 introdotto con lalegge 6/2/2006, n. 38Funzione di raccogliere, in un elenco costantemente aggiornato, tutte leinformazioni, provenienti dalla polizia giudiziaria e da altri soggetti, sui sitiche diffondono materiale pedopornografico, sui relativi gestori, suibeneficiari di pagamenti.Articolo 14-terIntroduce, per i fornitori di servizi resi attraverso reti di comunicazionielettronica, l’obbligo di comunicare al Centro i contratti con imprese osoggetti che diffondono materiale pedopornografico.Tale obbligo, ovviamente, sorge soltanto qualora il fornitore venga aconoscenza del contenuto di quanto trasmesso.Il materiale oggetto di segnalazione deve essere conservato per 45 giorni.
  19. 19. Legge 18 marzo 2008 n.48Ratificare la Convenzione del Consiglio d’Europa sullacriminalità informatica, fatta a Budapest il 23/11/2001Vengono modificati il Codice penale, Codice di procedura penale, D. Lgs. 231/2001 (sulla responsabilità amministrativa delle persone giuridiche) e il cd. Codice Privacy. Tra le principali novità:1) La eliminazione della diversità nella definizione di "documento informatico" tra il diritto civile e il diritto penale;2) Lintroduzione del delitto di false dichiarazioni al Certificatore (art. 495-bis c.p.);3) La profonda modifica dellart. 615 - quinquies (Diffusione di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico) in tema di virus e malware, con lestensione delle condotte non solo al software, ma anche alle altre "apparecchiature e dispositivi", utilizzati allo scopo di danneggiare illecitamente un sistema informatico o telematico;4) La rivisitazione del danneggiamento di dati, programmi, e dei sistemi informatici, anche di pubblica utilità, con lintroduzione della punibilità a querela del danneggiamento di dati "privati";5) Lintroduzione di una nuova fattispecie di frode informatica, commessa dal soggetto che presta servizi di certificazione di firma elettronica;6) Lestensione ai reati "informatici" della responsabilità amministrativa degli enti, di cui al D.lgs 231/01;7) La profonda modifica delle procedure di acquisizione dellevidenza informatica, mediante limposizione delladozione di misure tecniche dirette ad assicurare la conservazione dei dati originali e ad impedirne lalterazione, e in altri casi ladozione di procedure che assicurino la conformità dei dati acquisiti a quelli originali e la loro immodificabilità;8) Lintroduzione della proceduta di "congelamento" dei dati per ragioni urgenti, sottoposta a convalida da parte del Pubblico Ministero;9) Laffidamento delle indagini in tema di reati informatici e di pedo-pornografia agli uffici del pubblico ministero presso il tribunale del capoluogo del distretto di corte dappello.
  20. 20. Modifiche introdotto al Codice di Procedura PenaleImportanti emendamenti, apportati nell’ambitodelle norme che disciplinano la materia delleispezioni (art. 244 cpp), delle perquisizioni (art.247 e art. 352 cpp) e del sequestro, hannointrodotto disposizioni correttive circa l’adozionedi misure tecniche dirette ad assicurare laconservazione dei dati originali e ad impedirnel’alterazione, e in altri casi l’adozione di procedureche assicurino la conformità dei dati acquisiti aquelli originali e la loro immodificabilità.
  21. 21. Ispezione Art. 244 c.p.p. Quando le ispezioni riguardano tracce digitali l’autorità giudiziaria può disporre, ai sensi dell’articolo 244 modificato, ogni operazione tecnica.“anche in relazione a sistemi informatici o telematici, adottando misure tecniche dirette ad assicurare la conservazione dei dati originali e ad impedirne l’alterazione.”
  22. 22. Perquisizioni Art. 247 c.p.p.Nel corso delle perquisizioni, ai sensi dell’articolo 247modificato, se vi è motivo “fondato di ritenere che dati,informazioni, programmi informatici o tracce comunquepertinenti al reato si trovino in un sistema informatico otelematico, ancorché protetto da misure di sicurezza, ne èdisposta la perquisizione, adottando misure tecniche direttead assicurare la conservazione dei dati originali e adimpedirne l’alterazione”.Possono essere esaminati secondo la novella del secondocomma dell’articolo 248 «presso banche atti, documenti ecorrispondenza nonché dati, informazioni e programmiinformatici».
  23. 23. Sequestro di dati informatici presso fornitori di servizi informatici, telematici e di telecomunicazioni. Art. 254-bisL’autorità giudiziaria può stabilire, per esigenzelegate alla regolare fornitura dei medesimi servizi,che la loro acquisizione avvenga mediante copiadi essi su adeguato supporto, con unaprocedura che assicuri la conformità dei datiacquisiti a quelli originali e la loro immodificabilità.In questo caso è, comunque, ordinato al fornitoredei servizi di conservare e proteggereadeguatamente i dati originali
  24. 24. Apposizione dei sigilli alle cosesequestrate. Cose deperibili. Art. 260 c.p.p.Le cose sequestrate si assicurano con il sigillo dellufficiogiudiziario e con le sottoscrizioni dellautorità giudiziaria edellausiliario che la assiste ovvero, in relazione alla naturadelle cose, con altro mezzo, anche di carattere elettronicoo informatico, idoneo a indicare il vincolo imposto a fini digiustizia.Quando si tratta di dati, di informazioni o di programmiinformatici, la copia deve essere realizzata su adeguatisupporti, mediante procedura che assicuri la conformità dellacopia all’originale e la sua immodificabilità; in tali casi, lacustodia degli originali può essere disposta anche in luoghidiversi dalla cancelleria o dalla segreteria.
  25. 25. Perquisizioni Art. 352 c.p.p.Nell’ipotesi di flagranza o se vi sono presupposti econdizioni, l’articolo 352 modificato autorizza gliufficiali di polizia giudiziaria, adottando misuretecniche idonee alla conservazione e ad impedirel’alterazione, a perquisire i sistemi informatici otelematici, anche se protetti, quando vi motivo diritenere che vi siano occultati dati, informazioni,programmi informatici o tracce comunquepertinenti al reato che possono essere cancellati odispersi.
  26. 26. Acquisizione di plichi o di corrispondenza. Art. 353 c.p.p.Se si tratta di lettere, pieghi, pacchi, valori, telegrammi oaltri oggetti di corrispondenza, anche se in formaelettronica o se inoltrati per via telematica, per i quali èconsentito il sequestro.gli ufficiali di polizia giudiziaria, in caso di urgenza, ordinano achi è preposto al servizio postale, telegrafico, telematico odi telecomunicazione di sospendere linoltro.Se entro quarantotto ore dallordine della polizia giudiziaria ilpubblico ministero non dispone il sequestro, gli oggetti dicorrispondenza sono inoltrati.
  27. 27. Accertamenti urgenti sui luoghi, sullecose e sulle persone. Sequestro. Art. 354 c.p.p.In relazione ai dati, alle informazioni e ai programmiinformatici o ai sistemi informatici o telematici, gli ufficialidella polizia giudiziaria adottano, altresì, le misure tecnicheo impartiscono le prescrizioni necessarie ad assicurarne laconservazione e ad impedirne l’alterazione e l’accesso eprovvedono, ove possibile, alla loro immediata duplicazionesu adeguati supporti, mediante una procedura che assicuraconformità della copia all’originale e la sua immodificabilità.Se del caso, sequestrano il corpo del reato e le cose aquesto pertinenti.
  28. 28. Acquisizione di dati informatici “mediante copia”Il dettato del nuovo art. 254 bis, e gli artt. 256, 260 e 354 c.p.p.prescrivono l’acquisizione di dati informatici“mediante copia…su adeguato supporto……..”Il termine usato dal legislatore “mediante copia” potrebbeessere inteso come il duplicato di una dato o meglio il suocontenuto, da un supporto (hard disk alla pen drive, ecc..).Tale operazione non garantisce la stessa collocazione del datosul supporto.Il metodo più sicuro è invece quello dell’immagine inbitstream, un sistema capace di creare un duplicatoperfettamente identico all’originale sia dal punto di vista logicoche fisico, in quanto rispetta l’esatta allocazione dei file.
  29. 29. Digital Investigation Metodologia usata per l’analisi dei documenti informatici ai fini della ricerca degli elementi di prova.Cosa occorre fare per assicurare la corretta formazione della prova?Basta mettere in presenza di testimoni un sigillo elettronico alle cartelleincriminate masterizzandole con protezione e consegnandole al P.M. con lechiavi per sbloccarle ?Questa procedura semplificata non è idonea per questi motivi:-La maggior parte delle volta non si conoscono le cartelle incriminate;-Ogni cluster di ogni supporto potrebbe contenere dati utili all’indagini.Quindi occorre un esame approfondito dei supporti onde ricercare tutti glielementi che vi risiedono.
  30. 30. Attività di indagine informaticaElemento da tener presente nelle indaginiinformatiche è la “volatilità del dato informatico”L’attività di ricerca e del trattamento del datoinformatico sono:  Individuazione  Acquisizione  Analisi  Valutazione
  31. 31. La forma del dato informatico La forma con cui sono salvate le informazioni assume molto importanza nell’attività di forensic. Alcuni studiosi, distinguono le informazioni per tipo di information store, ovvero di memorizzazione.1) Temporary form Il dato “prende energia” da una sorgente esterna senza la quale l’informazione cessa di esistere, e il caso tipico è la RAM.2) Forma volatile Il dato ha una sorgente di energia interna, come una batteria, e l’informazione è persa se la batteria viene rimossa, come la RAM in un portatile.3) Forma semipermanente E’ persistente ma che può essere cambiata, ad esempio hard disk, memoria flash ecc.4) Forma permanente Come le ROM, anche se oggi si può non applicare e qualificare come permanente, dal momento che i dati possono essere quasi sempre e comunque alterati.
  32. 32. Acquisizione dei datiEseguire un copia integrale, bit per bit, del disco su un altro dispositivo.Per garantire lidenticità speculare bit a bit, dei dati originali e alle copie. Viene certificata attraverso il confronto degli HASH.Lalgoritmo di hash trasforma una quantità di bit arbitraria in un output dilunghezza fissa. Attività assimilabile a quella prevista dall’art. 260 c.p.p. “Apposizione dei sigilli alle cose sequestrate. Cose deperibili”.Le cose sequestrate si assicurano con il sigillo dellufficio giudiziario e con le sottoscrizionidellautorità giudiziaria e dellausiliario che la assiste ovvero, in relazione alla natura delle cose,con altro mezzo idoneo a indicare il vincolo imposto a fini di giustizia.Lautorità giudiziaria fa estrarre copia dei documenti e fa eseguire fotografie o altre riproduzionidelle cose sequestrate che possono alterarsi o che sono di difficile custodia, le unisce agli attie fa custodire in cancelleria o segreteria gli originali dei documenti, disponendo, quanto allecose, in conformità dellarticoloSe si tratta di cose che possono alterarsi, lautorità giudiziaria ne ordina, secondo i casi,lalienazione o la distruzione
  33. 33. Profilo procedurale applicazione della firma digitale Dopo la codifica Hash Algoritmo elabora un codice di dimensione fissa “digest”.La stringa ottenuta occorre trascriverla nelverbale di sequestro.
  34. 34. ANALISIAttività volta alla ricerca e identificazione dellinformazione,rilevante ai fini probatori. L’analisi va operata su una copia fisica.La copia fisica è una copia bit per bit di un livello tanto basso darendere sempre possibile la ricostruzione dei dati presenti nelcomputer e nei supporti studiati.Bisogna garantire: l’aderenza della copia all’originale; che l’ originale non subisca modifiche durante la copia.
  35. 35. Catena di custodiaLe memorie di massa e ogni dispositivo di memorizzazione devono essere“congelati” al più presto possibile.I reperti vanno raccolti nel tempo più prossimo al verificarsi dell’evento diinteresse e senza che i contenuti dei dispositivi di memoria vengano alterati. Deve essere garantita la continuità della prova. “catena di custodia”Continuità della gestione del reperto, dal momento in cui viene sequestrato almomento in cui compare in giudizio.Tutte le procedure utilizzate durante l’esame dei reperti devono esserecontrollabili e ripetibili.Un esperto che non ha seguito le indagini svolte deve essere in grado, leggendo idocumenti, di ripetere tutte le operazioni che sono state eseguite durante leindagini.
  36. 36. Riflessioni praticheLa conservazione in maniera corretta delle prove e deimateriali acquisiti è vitale al fine di evitare che linterolavoro sia invalidato per un cavillo legale.Occorre ricordare che, lavorando con file di log o con unprogramma in ram è fin troppo facile distruggere una provadeterminante con un semplice passo falso.Sotto un altro profilo, il lavoro è reso particolarmente arduodal fatto che spesso, quando si arriva all’evidenza, gliamministratori di sistema, solitamente, hanno già agito sulsistema incriminato, minando quindi lindagine in partenza.
  37. 37. Punti fondamentali Sia nella raccolta sia nel mantenimento delle prove è vitale quindi tenere in considerazione: Presenza di un sistema per garantire che le prove non vengano alterate nel corso dellindagine (Digital Hash); La firma digitale deve essere conservata in luogo diverso dal file a cui si riferisce, tranne che per i supporti inalterabili; Operare sempre, ove possibile, con delle copie e non con i file originali (off-line analysis); L’analisi deve essere pienamente documentata.
  38. 38. Protocollo per le investigazioniNel caso in cui si discostano dalla miglior pratica scientifica “bestpractices” non discende una automatica inutilizzabilità del materialeprobatorio raccolto.Spetta alla difesa dimostrare in che modo la metodologia usata haconcretamente alterato i dati ottenuti.Si è ritenuto sufficiente a dimostrare le modalità di funzionamento di unsoftware sulla base di quanto riferito in dibattimento dalla P.G. munito diadeguate competenze tecniche.Questa pronuncia si basa sul principio che l’accertamento peritale è unmezzo di prova essenzialmente discrezionale.Forzando quando dedotto dall’art. 220 c.p.p. (valutazioni che richiedonocompetenze tecniche, scientifiche o artistiche).(Tribunale di Bologna Sent. del 22 dicembre 2005 “caso Vierika”)
  39. 39. Valutazione delle perizie da parte del giudice1. Tecniche d’indagine non consolidate neltempoValutazione dei criteri e dei metodi utilizzati.2. Tecniche d’indagine consolidate nel tempoValutazione della corretta applicazione dellecognizioni e delle tecniche di comune dominio.(Cass. Pen. 9 luglio 1993)
  40. 40. Cosa si deve riferire in Tribunale In Tribunale, alcuni sostengono che bisognerebbe saper spiegare come e in che modo, e perchè questi tools di forensic sono stati scelti e utilizzati. Occorre dimostrare l’integrità di cinque aspetti della investigazione:1) La raccolta delle informazioni. Si deve descrivere il processo attraverso il quale la fonte di prova è stata raccolta, mostrando che il processo di raccolta non ha alterato la fonte di prova.2) La catena di custodia. Dimostrare che la fonte di prova non è stata contaminata dopo che è stata acquisita, e durante le analisi.3) L’autenticazione. Dimostrare che la fonte di prova non è stata alterata in alcun modo dal suo stato nel computer originario, tipicamente con la firma dei file.4) La recovery. Spiegare come i file cancellati e i frammenti di file sono stati custoditi, che cosa contengono i file di log, i file di swap e i file temporanei e come le azioni del criminale possono essere correlate a questi dati.5) La verificabilità. Per confermare che tutte queste conclusioni sono conformi allo standard e possono essere confermate da una analisi di una terza parte.
  41. 41. Profili giuridici dei file di LOGL’attività di apprensione dei file di log deve essereaccompagna da un attento controllo circa lemodalità di conservazione dei dati informaticiSi deve garantire l’assenza di manipolazione egenuinità dei dati.In mancanza, non sono sufficienti attribuire unaresponsabilità a un soggetto, specie se provengonodalla stessa persona offesa.(Tribunale di Chieti Sent. Pen. del 30 maggio 2006)
  42. 42. Digital forensicin ambito civilitico
  43. 43. Efficacia probatorio di una pagina webLa copia di una “pagina web” su supporto cartaceo ha valoreprobatorio solo se raccolta con le dovute garanzie.Per la rispondenza all’originale e la riferibilità ad un momento benindividuato. Le informazioni tratte da una rete telematica sono perloro natura volatili e suscettibili di continua trasformazione.Va escluso che costituisca documento utile ai fini probatori unacopia di “pagina web” su supporto cartaceo che non risulti esserestata raccolta con garanzia di rispondenza all’originale e di riferibilitàa un ben individuato momento.(Cassazione Sezione Lavoro n. 2912 del 18 febbraio 2004).
  44. 44. Efficacia probatorio di una pagina webLa Cassazione non ha inteso chiudere le porte allafacoltà di utilizzare la copia cartacea di una paginaweb, ma lha subordinata a particolari garanzie.Si deve offrire la rispondenza alloriginale eindividuare il momento della copia (il checontestualmente serve a individuare la data in cui lasuddetta pagina web era visibile in rete).
  45. 45. Procedura per garantire alle pagine web una attendibilità probatoriaLa procedura si compone di vari atti:individuazione della pagina web;fissazione dellorario di visualizzazione (ora italiana);registrazione del numero IP del sito in cui la pagina è residente;esecuzione della stampa a colori della pagina originale;certificazione della pagina come conforma alloriginale.Alcuni studiosi affermano che la valenza probatoria può essere attribuita tramiteprova testimoniale.“Far “vedere” la pagina ad un soggetto terzo il quale potrà fungere datestimone in giudizio circa la conformità con loriginale. Tale soggetto, in sedetestimoniale, quindi con tutte le garanzie inerenti la testimonianza (obbligo di dire laverità) e le sanzioni penali relative alla falsa testimonianza, potrà offrire la prova diconformità della copia alloriginale. Una volta quindi fatta vedere la pagina al terzo sipotrà procedere alla stampa della stessa.” Andrea D’Agostini www.filodiritto.com
  46. 46. Fonte di prova del documento informaticoLa prova è costituita dal dato informatico “file”contenuto all’interno dei supporti “elaboratorielettronici”.Differenza con il documento cartaceo è nellametodologia attraverso la quale viene impresso ilcontenuto la carta anziché il supporto informatico.Fonte di prova informatica risiede su supportimagnietici o ottici attraverso processi tecnici, cherichiedono una professionalità specifica.
  47. 47. Notizie trovate su internet: Valenza probatoriaLe notizie pervenute da internet nonpossono essere considerate fatti notori.Non sono dati incontestabili nelleconoscenze della collettivitàPur se di facile accessibilità per legeneralità dei cittadini.(Tribunale di Mantova Sent. 18 maggio 2006)
  48. 48. Stampa di documenti informaticinel corso di una operazione di P.G.Costituisce documentazione di scarsa valenzaprobatoria.Non rispetta le formalità previste per il rilascio dicopie certificate.Documenti informatico sottoscritto con firmadigitale.(Tribunale di Pescara Sent. del 6 ottobre 2006)
  49. 49. Network ForensicsDisciplina che studia le indagini condotte tramitel’impiego di intercettazioni telefoniche o informatiche. Differenza tra le intercettazioni telefoniche e informatiche.Per quelle informatiche o telematiche si possonoutilizzate anche da impianti privati e non da impiantiinstallati nella Procura della Repubblica art. 268comma 3 c.p.p.
  50. 50. Intercettazioni ex. art. 617 quater c.p. Chiunque fraudolentamente intercetta comunicazioni relative ad un sistema informatico o telematico o intercorrenti tra più sistemi, ovvero le impedisce o le interrompe, e punito con la reclusione da sei mesi a quattro anni. La stessa pena si applica a chiunque rivela, mediante qualsiasi mezzo di informazione al pubblico, in tutto o in parte, il contenuto delle comunicazioni di cui al primo comma.Fattispecie aggravanti:1) in danno di un sistema informatico o telematico utilizzato dallo Stato o da altro ente pubblico o da impresa esercente servizi pubblici o di pubblica necessità;2) da un pubblico ufficiale o da un incaricato di un pubblico servizio, con abuso dei poteri o con violazione dei doveri inerenti alla funzione o al servizio, ovvero con abuso della qualità di operatore del sistema;3) da chi esercita anche abusivamente la professione di investigatore privato.
  51. 51. Art. 240 c.p.p. Intercettazioni illegali.Il P.M. dispone limmediata secretazione e la custodia in luogo protetto dei documenti,dei supporti e degli atti concernenti dati e contenuti di conversazioni o comunicazioni, relativia traffico telefonico e telematico, illegalmente formati o acquisiti.Allo stesso modo provvede per i documenti formati attraverso la raccolta illegale diinformazioni.•Divieto di effettuare copia.•Inutilizzabilità nel loro contenuto. Entro 48 ore il P.M. acquisiti i documenti, i supporti e gli atti. Chiede al G.I.P. di disporne la distruzione.Il G.I.P. entro le successive 48 ore fissa ludienza da tenersi entro 10 gg. dando avviso a tuttele parti interessate, che potranno nominare un difensore di fiducia, almeno 3 gg. prima delladata delludienza. Udienza di comparizioneIl G.I.P. legge il provvedimento in udienza e dispone la distruzione dei documenti, dei supportie degli atti e vi dà esecuzione subito dopo alla presenza del pubblico ministero e dei difensoridelle parti. Redazione di un apposito verbale
  52. 52. Art. 132 Codice privacy modif. L.155/2005 e poi dallart. 2 d.lgs. n. 109/2008.Conservazione dei dati- 24 mesi, dalla data della comunicazione, per i datirelativi al traffico telefonico- 12 mesi, dalla data della comunicazione, per i datirelativi al traffico telematico Finalità di accertamento e repressione dei reati.I dati relativi alle chiamate senza risposta, trattatitemporaneamente da parte dei fornitori di servizi dicomunicazione elettronica accessibili al pubblicooppure di una rete pubblica di comunicazione, sonoconservati per 30 giorni.
  53. 53. Punti critici della norma Non rientrano nell’ambito applicativodella norma le società che non fornisconoaccesso alla rete telefonica. Devono essere conservati solo i datiattinenti alla fatturazione ex. art. 123 T.U.Privacy.
  54. 54. Acquisizione dei dati nel processo Decreto motivato del pubblico ministeroAnche su istanza del difensore dellimputato, della persona sottopostaalle indagini, della persona offesa e delle altre parti private.Il difensore dellimputato o dell’indagato può richiedere, direttamente alfornitore i dati relativi alle utenze intestate al proprio assistito con lemodalità indicate dallarticolo 391-quater del codice di procedura penale,ferme restando le condizioni di cui allarticolo 8, comma 2, lettera f), peril traffico entrante.Dopo la scadenza del termine (24 mesi dati telefonici e 12 mesi datitelematici) il giudice autorizza lacquisizione dei dati, con decretomotivato, se ritiene che sussistano sufficienti indizi dei delitti di cuiallarticolo 407, comma 2, lettera a), del codice di procedura penale,nonché dei delitti in danno di sistemi informatici o telematici.
  55. 55. Casi di urgenzaQuando vi è fondato motivo di ritenere che dal ritardo possa derivare grave pregiudizio alle indagini. P.M. dispone la acquisizione dei dati relativi al traffico telefonico con decreto motivato.Comunicato immediatamente, e comunque non oltre 24 ore, al giudice competente per il rilascio dellautorizzazione in via ordinaria. Convalida entro 48 ore dal provvedimento con decreto motivato.Se il decreto del P.M. non è convalidato nel termine stabilito, i dati acquisiti non possono essere utilizzati.
  56. 56. Trattamento dei datiIl trattamento dei dati per le finalità di accertamento e repressione deireati è effettuato nel rispetto delle misure e degli accorgimenti agaranzia dellinteressato volti a:- prevedere specifici sistemi di autenticazione informatica e diautorizzazione degli incaricati del trattamento di cui allallegato B).Una volta decorso i termini previsti:- disciplinare le modalità di conservazione separata dei dati;- individuare le modalità di trattamento dei dati da parte di specificiincaricati del trattamento in modo tale che, decorso il termine,lutilizzazione dei dati sia consentita solo nei casi di cui sussistanosufficienti indizi dei delitti di cui allarticolo 407, co. 2, lett. a), c.p.p.,nonché dei delitti in danno di sistemi informatici o telematici e allart. 7;- indicare le modalità tecniche per la periodica distruzione dei dati.
  57. 57. Ammesse le intercettazioni telefoniche nel procedimento tributario: Sent. Cass. n. 4306 del 23/02/2010• Con Sentenza, la Corte di Cassazione, confermando la tendenza di ampliare gli strumenti di indagine a disposizione dellAmministrazione finanziaria, si è espressa in merito alla possibilità per il giudice tributario di utilizzare i risultati delle intercettazioni telefoniche acquisite nel procedimento penale.• In particolare, a riguardo è stato stabilito che laccertamento tributario è valido qualora risulti basato sulle informazioni citate, dal momento che è consentito fare confluire in tale procedimento le risultanze istruttorie tipiche del processo penale, non essendo ravvisabili divieti in merito.
  58. 58. Intercettazioni telefoniche legali: revocato il blocco a EuteliaNewsletter 28 maggio 2007Il Garante Privacy ha revocato il blocco della trasmissione dei dati personali da e verso gli uffici giudiziaricon strumenti di comunicazione non idonei nei confronti della società telefonica Eutelia.Il blocco era stato disposto nel gennaio di questanno dopo che lAutorità aveva verificato che la societànon aveva adottato tutte le misure di sicurezza nelle comunicazioni dei dati personali relativi alleintercettazioni disposte dalla magistratura.Eutelia risulta oggi invece aver adottato le misure richieste dal Garante, avendo, in particolare, attivatecaselle di posta elettronica certificata (PEC) per comunicare con gli uffici giudiziari e facendo uso dicifratura per garantire la necessaria sicurezza.Nel dicembre 2005 il Garante aveva assegnato centottanta giorni di tempo ai gestori telefonici peradeguarsi a rigorose misure a protezione dei dati trattati. Il termine era stato differito per altri novanta giorni per consentire ai gestori di ultimare ladeguamento alle prescrizioni senza pregiudicare le attività diintercettazione in corso.Ciò nonostante, al momento della verifica da parte del Garante, Eutelia non risultava aver adottato lemisure prescritte con il provvedimento dellAutorità e non era quindi in regola con le misure richieste aigestori telefonici per poter comunicare con adeguata sicurezza i dati personali relativi alle intercettazionigiudiziarie.Eutelia potrà dunque riprendere a comunicare per via elettronica i dati relatvi alle intercettazioni dispostedalla magistratura.LAutorità si è comunque riservata accertamenti nelle sedi Eutelia per verificare che le misure adottate dallasocietà siano conformi a quanto richiesto a protezione dei dati personali dei cittadini
  59. 59. Provvedimento del Garante della Privacy pubblicato il 30/05/2007E’ inammissibile il ricorso diretto a bloccare il trattamento dei dati eseguito dalpubblico ministero (nel caso specifico, restituzione di un computer previaformattazione del disco rigido).Anche se detto trattamento è relativo a dati personali estranei all’indagine.Il ricorrente lamenta che la formattazione di tutto il materiale oggetto di sequestrodisposta dalla Procura con provvedimento del 15 maggio 2007 provocherebbe,se portata a compimento, la distruzione di dati che lo riguardano (anchesensibili) contenuti in tale materiale, con conseguente pregiudizio per la propriapersona. Motivi della decisioneIl trattamento in questione rientra infatti tra quelli effettuati “per ragioni digiustizia, presso uffici giudiziari di ogni ordine e grado o il Consiglio superioredella magistratura o altri organi di autogoverno o il Ministero della giustizia” .
  60. 60. PERIZIE TECNICHE & PRIVACY ACCESSO AI DATI E DIRITTO ALLA DIFESANon è possibile accedere alle perizie tecniche in presenzadi un contenzioso, specie se queste contengonovalutazioni che risultino indispensabili o quantomenoinfluenti nellesercizio del diritto di difesa.E quanto stabilito dal Garante per la protezione dei datipersonali che ha dato ragione ad una compagniaassicurativa la quale aveva negato al ricorrente laccessoalle perizie tecniche fornendogli soltanto la parte"oggettiva" della documentazione richiesta.Lassicurazione ha infatti correttamente trattenuto per sèla parte conclusiva, vista sia lesistenza di un giudiziocivile pendente che quella di una situazione specifica cheavrebbe potuto condizionare o alterare lesercizio del suodiritto di difesa.
  61. 61. Garante per la protezione dei dati personali Newsletter 28 settembre 2007 Non è possibile accedere alle perizie tecniche in presenza di un contenziosoNon è possibile accedere alle perizie tecniche in presenza di un contenzioso, speciese queste contengono valutazioni che risultino indispensabili o quantomeno influentinellesercizio del diritto di difesa.Il Garante ha rigettato il ricorso di una persona che aveva avuto solo parziale rispostaad una richiesta di accesso rivolta ad una compagnia assicurativa. Il ricorrentechiedeva di conoscere i propri dati personali contenuti nelle copie integrali della periziatecnica, comprese le valutazioni riservate del medico legale.Nel definire il procedimento il Garante ha ribadito che va salvaguardato il diritto alladifesa delle parti e ha quindi riconosciuto le ragioni allassicurazione di differirelaccesso del ricorrente. E ciò non soltanto per lesistenza di un giudizio civilependente, ma anche perché si era in presenza di una specifica situazione che avrebbepotuto condizionare o alterare lesercizio del diritto di difesa dellassicurazione.Il ricorrente infatti in un primo tempo aveva richiesto allassicurazione un risarcimentoper i danni materiali subiti e solo in un secondo momento aveva manifestato lesigenzadi un risarcimento per danni fisici, richiesta non accolta dalla compagnia assicurativache aveva sollevato dei dubbi per la modesta entità dei danni prodotti dallurto deiveicoli, con linevitabile ricorso ad una perizia medico legale.
  62. 62. Il Caso Alberto Stasi – Chiara PoggiMotivazioni del G.U.P. Dott. Stefano Vitellli sugli accertamenti relativi al computer di Stasi,così come riportate da La Repubblica:(…) Ma il gup smonta soprattutto le indagini. A suo giudizio, l’attività investigativa deicarabinieri di Vigevano sul computer di Alberto Stasi ha prodotto “effetti devastanti inrapporto all’integrità complessiva dei supporti informatici”. “Il collegio peritale – osservail giudice – evidenziava che le condotte corrette di accesso da parte dei carabinierihanno determinato la sottrazione di contenuto informativo con riferimento al pc diAlberto Stasi pari al 73,8% dei files visibili (oltre 156mila) con riscontrati accessi suoltre 39mila files”.“Queste alterazioni – conclude il Gup – indotte da una situazione di radicale confusione nellagestione e conservazione di una così rilevante quanto fragile fonte di prova da parte degliinquirenti nella prima fase delle indagini ha comportato, in primo luogo, il più che grave rischioche ulteriori stati di alterazioni rimuovessero definitivamente le risultanze conservate ancoranella memoria complessiva del computer”.E’ drastica l’opinione del giudice: “Gli accessi in questione hanno prodotto degli effettimetastatici rispetto all’esigenza di corretta e complessiva ricostruzione degli eventitemporali e delle attività concernenti l’utilizzo del computer nelle giornate del 12 e 13agosto 2007 (chiara fu uccisa il giorno 13, ndr). Rispetto dunque ad altre questioniprobatoriamente rilevanti, non è più possibile esprimere delle valutazioni certe nè in unsenso nè nell’altro: in questo ambito, il danno irreparabile prodotto dagli inquirentiattiene proprio all’accertamento della verità processuale“.
  63. 63. GRAZIE PER L’ATTENZIONE ARRIVEDERCI Avv. Pasquale Lopriore Specialist in Legal Information Technology _______________________________________ Sito web: http://p.lopriore.googlepages.com E-mail: p.lopriore@libero.itTutti i diritti riservati.

×