Slide utilizzate durante la conferenza “Il consulente tecnico informatico nel processo”, organizzata dall'Osservatorio Nazionale d'Informatica Forense, tenutasi a Roma il 28 aprile 2016.
Slide utilizzate durante la conferenza “Il consulente tecnico informatico nel processo”, organizzata dall'Osservatorio Nazionale d'Informatica Forense, tenutasi a Roma il 28 aprile 2016.
Slide utilizzate durante la conferenza “Il consulente tecnico informatico nel processo”, organizzata dall'Osservatorio Nazionale d'Informatica Forense, tenutasi a Roma il 28 aprile 2016.
Vincenzo Calabrò - Modalità di intervento del Consulente TecnicoVincenzo Calabrò
Il 19 maggio 2007, presso il Centro Studi Informatica Giuridica di Reggio Calabria, Vincenzo Calabrò ha tenuto un seminario dal titolo: Modalità di intervento del Consulente Tecnico. Questo seminario ha come obiettivo la trattazione delle problematiche e delle modalità operative che un consulente tecnico di parte può affrontare durante un'indagine d'informatica forense.
https://www.vincenzocalabro.it
A cura di Alessandro Bonu
Attività seminariale nell’ambito del Corso di Laurea Magistrale in Ingegneria delle Telecomunicazioni – insegnamento di Diritto dell’Informatica e delle Nuove Tecnologie.
(coordinamento delle attività a cura di Massimo Farina)
Slide utilizzate durante la conferenza “Il consulente tecnico informatico nel processo”, organizzata dall'Osservatorio Nazionale d'Informatica Forense, tenutasi a Roma il 28 aprile 2016.
Slide utilizzate durante la conferenza “Il consulente tecnico informatico nel processo”, organizzata dall'Osservatorio Nazionale d'Informatica Forense, tenutasi a Roma il 28 aprile 2016.
Vincenzo Calabrò - Modalità di intervento del Consulente TecnicoVincenzo Calabrò
Il 19 maggio 2007, presso il Centro Studi Informatica Giuridica di Reggio Calabria, Vincenzo Calabrò ha tenuto un seminario dal titolo: Modalità di intervento del Consulente Tecnico. Questo seminario ha come obiettivo la trattazione delle problematiche e delle modalità operative che un consulente tecnico di parte può affrontare durante un'indagine d'informatica forense.
https://www.vincenzocalabro.it
A cura di Alessandro Bonu
Attività seminariale nell’ambito del Corso di Laurea Magistrale in Ingegneria delle Telecomunicazioni – insegnamento di Diritto dell’Informatica e delle Nuove Tecnologie.
(coordinamento delle attività a cura di Massimo Farina)
Digital forensic: metodologie di analisi della prova digitaleMarco Marcellini
Digital Forensic, metodologie di analisi della prova digitale. Una rassegna delle tecniche e dei software di individuazione, conservazione, analisi e presentazione della prova digitale. Dopo l'inquadramento legislativo (articoli del codice di procedura penale che regolano l'attivita' del consulente tecnico), vengono prese in esame le strumentazioni necessarie e le problematiche tecniche legate ai diversi dispositivi (computer, smartphone, server, reti, cloud) e ai diversi sistemi operativi. Focus sulle tecniche di recupero dei dati cancellati (data-recovery) e sull'utilizzo di strumenti open source per l'informatica forense. Materiale utilizzato per il workshop "informatica forense" da me tenuto presso l'Ordine degli Ingegneri di Arezzo
Corso di INFORMATICA FORENSE (A.A. 2013/2014) - Il Laboratorio di analisi ne...Alessandro Bonu
Attività seminariale nell’ambito del Corso di Laurea Magistrale in Ingegneria delle Telecomunicazioni - insegnamento di Diritto dell’Informatica e delle Nuove Tecnologie.
(coordinamento delle attività a cura di Massimo Farina)
Smart Working - aspetti psicologici, legali e tecnologiciPietro Calorio
Slide presentate al Web Meetup di Legal Hackers Torino del 25/3/2020.
Dalla collaborazione di Anna Pisterzi e Pietro Calorio, con il contributo dell'Associazione Sloweb (www.sloweb.org).
Link alla registrazione: https://www.youtube.com/watch?v=24HDj-IWP4c
Il Diritto Processuale Penale dell’Informatica e le Investigazioni InformaticheVincenzo Calabrò
Dal punto di vista normativo, con particolare riferimento alla Ratifica della Convenzione di Budapest del 2001, il Legislatore Italiano ha preso atto dell'evoluzione tecnologica in corso ed ha quindi predisposto gli opportuni interventi legislativi necessari al fine di contrastare il sempre crescente fenomeno della criminalità informatica. Allo stesso tempo, il Legislatore ha previsto adeguati strumenti d'indagine e nuove garanzie processuali con particolare riferimento alle investigazioni informatiche. La costante presenza di apparecchiature informatiche e digitali sulla scena di un crimine, l'importanza delle informazioni in esse contenute, la fragilità e volatilità del dato informatico, l'importanza della corretta acquisizione e gestione delle prove informatiche, anche per il loro uso in dibattimento, sono condizioni che hanno creato il terreno fertile per la nascita di una nuova branca delle scienze forensi, nota come computer forensics 1. Secondo la migliore dottrina, la computer forensics è «la disciplina che si occupa della preservazione, dell'identificazione, dello studio, delle informazioni contenute nei computer, o nei sistemi informativi in generale, al fine di evidenziare l'esistenza di prove utili allo svolgimento dell'attività investigativa» 2. Ogni dispositivo tecnologico rinvenuto sulla scena di un crimine ha due distinti aspetti: quello fisico, ove 1 ZICCARDI e LUPÀRIA sostengono che «contestualmente al mutuamento portato, nelle società, dalle nuove tecnologie e, in particolare, dall'avvento dell'elaboratore elettronico e delle reti, si è verificato un cambiamento nelle modalità di rilevazione, gestione, raccolta ed analisi di elementi che, in senso lato e assolutamente generico, si potrebbero definire fonti di prova, prova, indizio o testimonianza» in LUPARIA-ZICCARDI, Investigazione penale e tecnologia informatica, Milano, 2008, 3 e ss. 2 GHIRARDINI-FAGGIOLI, Computer Forensics, Milano, 2009, 1 e ss., LUPARIA, ZICCARDI, op. cit, 3 e ss. si possono rinvenire impronte digitali e altri elementi di prova tipici degli oggetti di uso comune, e quello logico, costituito dai dati contenuti nella memoria del dispositivo. L'esperto di computer forensics che si occupa di identificare, analizzare e produrre in giudizio delle prove informatiche, pertanto, deve possedere una specifica competenza ed esperienza in ambito informatico e telematico ed anche una buona conoscenza delle norme processuali attinenti principalmente le fasi di perquisizione, ispezione e sequestro.
https://www.vincenzocalabro.it
Mauro Livraga, Soprintendenza Archivistica per la Lombardia
Giornata di aggiornamento e formazione sulla
"Gestione del Sistema gestione dei documenti e degli archivi degli enti pubblici e la nuova normativa sulla privacy"
26 settembre 2017, ore 9.15 – 16.00
Archivio di Stato di Bergamo
Digital forensic: metodologie di analisi della prova digitaleMarco Marcellini
Digital Forensic, metodologie di analisi della prova digitale. Una rassegna delle tecniche e dei software di individuazione, conservazione, analisi e presentazione della prova digitale. Dopo l'inquadramento legislativo (articoli del codice di procedura penale che regolano l'attivita' del consulente tecnico), vengono prese in esame le strumentazioni necessarie e le problematiche tecniche legate ai diversi dispositivi (computer, smartphone, server, reti, cloud) e ai diversi sistemi operativi. Focus sulle tecniche di recupero dei dati cancellati (data-recovery) e sull'utilizzo di strumenti open source per l'informatica forense. Materiale utilizzato per il workshop "informatica forense" da me tenuto presso l'Ordine degli Ingegneri di Arezzo
Corso di INFORMATICA FORENSE (A.A. 2013/2014) - Il Laboratorio di analisi ne...Alessandro Bonu
Attività seminariale nell’ambito del Corso di Laurea Magistrale in Ingegneria delle Telecomunicazioni - insegnamento di Diritto dell’Informatica e delle Nuove Tecnologie.
(coordinamento delle attività a cura di Massimo Farina)
Smart Working - aspetti psicologici, legali e tecnologiciPietro Calorio
Slide presentate al Web Meetup di Legal Hackers Torino del 25/3/2020.
Dalla collaborazione di Anna Pisterzi e Pietro Calorio, con il contributo dell'Associazione Sloweb (www.sloweb.org).
Link alla registrazione: https://www.youtube.com/watch?v=24HDj-IWP4c
Il Diritto Processuale Penale dell’Informatica e le Investigazioni InformaticheVincenzo Calabrò
Dal punto di vista normativo, con particolare riferimento alla Ratifica della Convenzione di Budapest del 2001, il Legislatore Italiano ha preso atto dell'evoluzione tecnologica in corso ed ha quindi predisposto gli opportuni interventi legislativi necessari al fine di contrastare il sempre crescente fenomeno della criminalità informatica. Allo stesso tempo, il Legislatore ha previsto adeguati strumenti d'indagine e nuove garanzie processuali con particolare riferimento alle investigazioni informatiche. La costante presenza di apparecchiature informatiche e digitali sulla scena di un crimine, l'importanza delle informazioni in esse contenute, la fragilità e volatilità del dato informatico, l'importanza della corretta acquisizione e gestione delle prove informatiche, anche per il loro uso in dibattimento, sono condizioni che hanno creato il terreno fertile per la nascita di una nuova branca delle scienze forensi, nota come computer forensics 1. Secondo la migliore dottrina, la computer forensics è «la disciplina che si occupa della preservazione, dell'identificazione, dello studio, delle informazioni contenute nei computer, o nei sistemi informativi in generale, al fine di evidenziare l'esistenza di prove utili allo svolgimento dell'attività investigativa» 2. Ogni dispositivo tecnologico rinvenuto sulla scena di un crimine ha due distinti aspetti: quello fisico, ove 1 ZICCARDI e LUPÀRIA sostengono che «contestualmente al mutuamento portato, nelle società, dalle nuove tecnologie e, in particolare, dall'avvento dell'elaboratore elettronico e delle reti, si è verificato un cambiamento nelle modalità di rilevazione, gestione, raccolta ed analisi di elementi che, in senso lato e assolutamente generico, si potrebbero definire fonti di prova, prova, indizio o testimonianza» in LUPARIA-ZICCARDI, Investigazione penale e tecnologia informatica, Milano, 2008, 3 e ss. 2 GHIRARDINI-FAGGIOLI, Computer Forensics, Milano, 2009, 1 e ss., LUPARIA, ZICCARDI, op. cit, 3 e ss. si possono rinvenire impronte digitali e altri elementi di prova tipici degli oggetti di uso comune, e quello logico, costituito dai dati contenuti nella memoria del dispositivo. L'esperto di computer forensics che si occupa di identificare, analizzare e produrre in giudizio delle prove informatiche, pertanto, deve possedere una specifica competenza ed esperienza in ambito informatico e telematico ed anche una buona conoscenza delle norme processuali attinenti principalmente le fasi di perquisizione, ispezione e sequestro.
https://www.vincenzocalabro.it
Mauro Livraga, Soprintendenza Archivistica per la Lombardia
Giornata di aggiornamento e formazione sulla
"Gestione del Sistema gestione dei documenti e degli archivi degli enti pubblici e la nuova normativa sulla privacy"
26 settembre 2017, ore 9.15 – 16.00
Archivio di Stato di Bergamo
L'avvocato e la tecnologia: l'organizzazione telematica dello studio 28 maggi...
Il consulente tecnico di informatica forense
1. IL CONSULENTE TECNICO DI INFORMATICA FORENSE
IL CONSULENTE TECNICO INFORMATICO NEL PROCESSO
Roma, 28 aprile 2016, 14:30 – 18:10
Sala Pastorelli – Via Genova, 3/a – Ministero dell’Interno c/o Dip. Vigili del Fuoco
La necessità di comprendere il valore di una competenza
sempre più utilizzata ma non adeguatamente valorizzata
Guida alla scelta per il giurista: requisiti, formazione, competenze, analogie e diversità con consulenti di altre
scienze
3. • Interdisciplinarità
• Assenza di percorso specifico dedicato (in Italia)
• Possibile percorso formativo:
• Laurea in ingegneria informatica o in informatica
• o altre equivalenti (matematica, fisica, ing. elettronica…)
• Ove disponibili, con insegnamenti su Informatica forense
• Post laurea specializzante su informatica forense
• Dottorato di ricerca, master, corsi di perfezionamento o di alta formazione in ambito universitario o
certificazioni specifiche
• Aggiornamento continuo
• Partecipazione a convegni, seminari, eventi formativi, materiale bibliografico…
Formazione
4. • Competenze tecniche
• Competenze giuridiche
• Competenze linguistiche e di presentazione in pubblico
Competenze
5. Competenze tecniche
• Competenze trasversali in materia di
informatica
• Sistemi operativi
• Architettura degli elaboratori
• File system
• Formati file
• Programmazione (algoritmi e linguaggi)
• Reti e protocolli di comunicazione
• Sicurezza informatica
• Tecnologie del web
• …
• Competenze specifiche di
informatica forense
• Linee guida e standard in materia
• Software e hardware per acquisizione e
la conservazione delle fonti di prova
• Catena di custodia
• Software e hardware per analisi dei dati
• Redazione di report e relazioni tecniche
• Competenze per casi specifici
• Es. malware, analisi video e immagini…
6. • Conoscenza di base del codice penale, del codice di procedura penale, del
codice civile, del codice di procedura civile
• Ruolo, compiti, limiti del Consulente Tecnico e del Perito
• Norme specifiche sull’informatica forense
• Legge 48/2008 e Convenzione di Budapest 2001
• Norme specifiche sull’informatica
• CAD, D.Lgs. 196/2003…
Competenze giuridiche
7. • L’informatica forense è storicamente associata all’ambito penale
• Interviene in tutti i campi del diritto in cui siano presenti evidenze informatiche
• Si opera con diversi ruoli e responsabilità a seconda dell’ambito e dell’interlocutore:
• in ambito penale
• Ausiliario della Polizia Giudiziaria
• Consulente Tecnico del Pubblico Ministero
• Consulente Tecnico di Parte (breviter, CTP) dell’imputato/indagato, delle parti civili, delle parti offese Perito del
Giudice
• in ambito civile
• Consulente Tecnico d’Ufficio (breviter, CTU) del Giudice
• Consulente Tecnico di Parte (breviter, CTP)
• Albi dei CT e Periti presso i Tribunali
• Quasi sempre inesistente categoria Informatica
• Ove presente, filtri laschi
Ambiti di attività
8. • Non si pensi solo a casi di reati informatici in senso stretto
• Qualche esempio:
• Pagina web per individuare il reale autore in caso di diffamazione
• Email in procedimento del lavoro
• SMS in caso di separazione
• Filmati di videosorveglianza in caso di rapina
• Fotografie per contestazione violazione codice della strada (velocità e photored)
• …
Ambiti di attività
9. • L’informatica forense interviene per conto delle parti anche fuori dalle aule di
giustizia
• Qualche esempio:
• Azienda che intende verificare comportamento del proprio dipendente
• Tavoli di transazioni relativi ad aspetti tecnici
• Progetti e contratti informatici
• …
Ambiti di attività
10. • Spesso si comincia:
• in collaborazione come ausiliario di professionisti già operanti sul campo da diversi anni
• in servizio presso reparti specializzati di Polizia Giudiziaria
• presso aziende in settori legati all’informatica forense (sicurezza, incident response,
intelligence…)
• Per cominciare:
• attività tecniche più semplici
• acquisizioni e alcune tipologie di analisi
• scrittura report riepilogativi
• partecipazioni come «uditore» a conferimento incarico, operazioni collegiali, udienze…
I primi passi dell’informatico forense
11. • Professionalità nello svolgimento dell’incarico
• Correttezza nei confronti delle parti
• Spesso CT del PM troppo orientati all’accusa, dimenticano di raccogliere/mostrare prove a favore
dell’indagato
• Spesso Periti del Giudice, abituati a lavorare come CT del PM, tendono ad avallare la tesi
accusatoria
• Saper riconoscere i propri limiti e rinunciare a incarichi fuori portata o chiedere collaborazione di
esperti del caso specifico
• Capacità di interloquire con le altre parti processuali, nel rispetto degli specifici ruoli
• Riservatezza rispetto alle informazioni apprese nel corso degli incarichi
Caratteristiche etiche dell’informatico forense
12. • Aggiornamento continuo
• Corsi di formazione, convegni e seminari, lettura di bibliografia scientifica in materia (libri, paper,
pubblicazioni, riviste, blog...)
• Utilizzo di tecniche e strumenti riconosciuti dalla comunità scientifica per
l’acquisizione e la garanzia dell’integrità della evidenza informatiche
• Applicazione di metodi scientifici, verificati o verificabili, per l’analisi e
l’interpretazione dei dati
• Applicazione delle metodologie descritte nelle linee guida internazionali (es.
perquisizione, sequestro, trasporto, acquisizione dei dati...)
• Contributo critico personale in casi non perfettamente codificati (es. smartphone o acquisizioni su
sistemi in esecuzione)
Caratteristiche tecnico-scientifiche
dell’informatico forense
13. • L'esclusivo utilizzo di software opensource o gratuito spesso è indice di attività occasionale
• Settore popolato da tanti improvvisati
• Spesso vale l’equazione improvvisazione = pitoccheria
• «Uso software opensource, riesco a fare tutto anche meglio di software commerciali»
• «Non uso hardware, si fa tutto via software, sto molto attento e non ne ho bisogno»
• «Non mi serve investire, conta solo la mia competenza»
• «L’assicurazione professionale? A cosa serve? Non sono obbligato…»
• «Volete mettere in dubbio che abbia interesse a modificare i dati?»
• Per efficace esecuzione degli incarichi occorre svolgere la professione quotidianamente
• Conoscere criticità ed esigenze
• Per realtà piccole (1 professionista) investimento minimo di circa 20K € anno per un laboratorio
• Locali, utenze, hardware, licenze software, aggiornamento professionale
• Cifre che consentono già di valutare la serietà professionale di un CT e l’esperienza
• Es.: un consulente che chiede 1.000 € per un incarico che dura 1 settimana di lavoro uomo probabilmente non è compatibile
con questi requisiti!
Un parametri per la valutazione del CT:
la sua richiesta economica
14. • Il PM non dovrebbe dare incarico con quesito, grazie e arrivederci…
ma sarebbe più opportuno che prima fossero esposte al CT le esigenze
• CT dovrebbe illustrare criticità per guidare il PM a seconda del caso specifico
(359 o 360 c.p.p. ?)
• CT dovrebbe rifiutare di assumere incarichi conferiti in regime di 359 quando
sono a rischio di irripetibilità, a tutela sua, del PM, dell’indagine, di tutte le
parti coinvolte, del sistema giustizia
• Ritiro del materiale informatico nei luoghi in cui è custodito
• Avvio delle attività tecniche
• Ricognizione, identificazione e classificazione del materiale
• Acquisizione dei reperti mediante copia forense (ove possibile) o con la migliore
tecnica disponibile per lo specifico dispositivo
• Almeno duplice copia con calcolo dell’hash
• Conservazione e custodia del reperto originale e delle copie
Esempio di incarico per PM (1)
Queste
prime tre
fasi sono
collegiali nei
casi di
incarichi
conferiti ai
sensi del 360
c.p.p.
15. • Analisi dei dati
• Documentare strumenti utilizzati ed esiti, con maggior dettaglio possibile
• Possibilità di verificare anche con strumenti diversi
• Relazione tecnica
• Documento dove sono illustrate metodologie, strumenti utilizzati, esiti e valutazioni
• Utilizzare linguaggio rigoroso ma non solo tecnico; deve essere comprensibile anche per i giuristi
• Deposito della relazione tecnica (con eventuali allegati tecnici)
• Restituzione del materiale originale
• Solitamente dove era stato ritirato
• Può avvenire quando la consulenza è ancora in corso o successivamente al deposito della relazione tecnica
• Richiesta di liquidazione al PM
• Liquidazione da parte del Pubblico Ministero tipicamente calcolato in vacazioni
• 1 vacazione = 2 ore = 8,15 € lordi = circa 4 € lordi l’ora (max 4 vacazioni giornaliere, esclusi sabato, domeniche e festivi)
• Il PM dispone la liquidazione
• Potrebbe tagliare onorario e/o spese documentate
• Tanti tagliano richiesta di rimborso spesa hard disk per consegnare i dati (mediamente 2 x 100€) !
• Fatturazione dopo tempo variabile (anche anni)
• Eventuali presenze in aula per rispondere a quesiti e chiarimenti in merito alla consulenza tecnica consegnata
Esempio di incarico per PM (2)
16.
17. 1. Primo contatto con il cliente finalizzato a comprendere l’ambito di attività e stimare le
attività da svolgere
2. Colloquio dettagliato con il cliente e il legale, tipicamente telefonicamente o di persona,
per la definizione delle attività da svolgere e la strategia
3. Fornitura di un preventivo con il dettaglio delle operazioni da svolgere
4. Conferimento dell’incarico da parte del cliente e versamento di un acconto sull’importo
pattuito
5. Attività tecniche
6. Redazione di un report preliminare da sottoporre al cliente e al legale
7. Raccolta di segnalazioni e richieste di precisazioni/integrazioni da parte del cliente e del
legale
8. Redazione della relazione definitiva
9. In fase successiva si potrebbero rendere necessarie presenza alle udienze di dibattimento
e ulteriori attività (memorie, partecipazione a perizie o CTU…)
• Eventuale reiterazione delle attività indicate in grassetto
Esempio di incarico da una parte privata
18. • Casi nei quali è necessario procedere con
• Acquisizione e/o analisi, nonché valutazioni, di dati digitali. Ad esempio in merito a
• Supporti di memorizzazione di dati digitali
• Smartphone e GPS
• Sistemi complessi server, client o apparati di rete
• Pagine web
• Email
• Codice sorgente di programmi informatici
• Tabulati telefonici
• Mappe di copertura radio-elettriche
• Definizione e/o valutazione di
• Contratti ad oggetto informatico
• In generale, ogni volta che volete introdurre in un processo qualcosa che
vedete su uno schermo luminoso
Quando rivolgersi all’informatico forense?
19. Elenco semiserio di fatti realmente accaduti
Non è consulente d’informatica forense chi:
• “Ho la passione per i computer”
• “Sono laureato in informatica, ma non so cosa sia una copia forense”
• “Non sono laureato in informatica ma ho l’ECDL”
• “Conosco un Giudice/PM/Avvocato che abita nel mio quartiere e gli ho sistemato il
PC una volta. In questo modo ho iniziato a fare consulenze tecniche per lui e i suoi
colleghi”
• “Faccio da una vita trascrizioni di audio e fonica forense”
• “Sono un ottimo programmatore”
• “Faccio siti web da una vita”
• “La BTS xxxxx è quella di via Roma, me lo ha detto al telefono la Telecom”
Cosa/chi non è un informatico forense