Linee guida in materia di computer forensics

- A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI -
Computer forensics: utilizzabilità ed
analisi della prova digitale
I. Profili giuridici dell'acquisizione della prova digitale
II. La fase delle indagini
III Indagini private
IV L'acquisizione delle prove
Emanuele Florindi
A.I.S.F. – Accademia Internazionale di Scienze Forensi

Premessa
L’informatica rappresenta un fenomeno cresciuto e diffusosi fino a diventare, nel
bene e nel male, un aspetto fondamentale della nostra vita:
le problematiche giuridiche sollevate dallo sviluppo di questo nuovo mondo
elettronico rappresentano probabilmente uno dei terreni di confronto culturale più vivi
di questo inizio di secolo.
Una volta avviato, sia pure tra mille difficoltà, il lento, e continuo, cammino che
porterà i codici ad adeguarsi alle nuove tecnologie ci si è, però, accorti che nuove
problematiche di carattere investigativo, probatorio e processuale vengono a
presentarsi con la conseguenza che si sono andate formando nuove professionalità
in grado di muoversi, più o meno disinvoltamente, in questa terra di confine.
Quando parliamo di informatica forense dobbiamo distinguere tra differenti materie:
- Indagini informatiche (Whois database, traceroute, sequestro di siti web);
- Prove digitali
- computer, network e cloud forensics;
- Acquisizione ed analisi di prove digitali (fotografie, registratori, telefoni cellulari...);
- esperimenti giudiziali virtuali;
- processo civile telematico.
- Impiego di sistemi neurali in ambito investigativo.

Civile
Raccolta e analisi di documenti elettronici
Cause di lavoro
Separazioni personali
Trattamento di dati personali
Obbligazioni in genere
Penale
Reati informatici
Pedopornografia
Diritto di autore
Minacce
Ingiuria e diffamazione
Atti persecutori
Premessa
L'informatica forense trova sempre più spesso spazio nel processo, sia in ambito
civile che in ambito penale, sia nella fase preprocessuale che in quella
processuale vera e propria.
Alcuni esempi:

I Profili giuridici dell'acquisizione della prova digitale
Il computer come “prova”
L'analisi forense di un computer ci pone di fronte ad una notevole serie di
problematiche di cui la principale è certamente quella di individuarne la specifica
natura dal punto di vista probatorio.
Possiamo, infatti, vederlo come una
“prova” se lo consideriamo nella sua
interezza (la tastiera per le impronte, il
case per eventuali graffi o segni di
manomissione...), ma può anche essere
visto come un “mezzo per la ricerca della
prova” quando viene utilizzato nel corso di
un'indagine (mezzo per effettuare analisi,
ricerche, indagini), ma, la soluzione
migliore è certamente quella di scindere tra
aspetto fisico ed aspetto logico in quanto
quello che realmente ci interessa, almeno
di solito, non è tanto il computer
FISICAMENTE, quanto il computer
LOGICAMENTE ovvero il suo contenuto.

quello che davvero ci interessa dal punto di vista della forensics è, infatti, DENTRO
il computer, rectius, nelle sue memorie (hard disk, ram, rom e memorie esterne) ed
a volte anche fuori (cloud, NAS)... Quindi il PC deve essere visto come un mero
contenitore? No, perché nei procedimenti per reati informatici il computer si è
spesso rivelato un “testimone chiave” e, non di rado, l'approccio del consulente
tecnico al computer tende ad avvicinarsi a quello di
chi si trovi ad interrogare un testimone reticente:
occorre interpretarne i silenzi (i dati sono stati
cancellati o non sono mai esistiti?) e, persino, le
“rivelazioni” (i dati si trovano lì ad insaputa
dell’imputatoindagato o vi sono stati
consapevolmente collocati da lui?).
La rilevanza del computer varia notevolmente in
base al reato per cui si sta procedendo ed alle
evidenze che si stanno ricercando ed è
necessario procedere avendo cura di
salvaguardarle tutte
BIOLOGICHE, FISICHE (hardware), LOGICHE
(software), LOGICHE (dati)

La dottrina è discorde sull'approccio da tenere:
1) Scuola rigidamente tecnica: ci si attiene rigidamente ai dati rilevati, senza
nessuna interpretazione degli stessi (i.e. Trovate X fotografie del genere di quelle
allegate, individuati i programmi X, Y e Z...) In breve il consulente DEVE limitarsi
ad estrapolare i dati “grezzi” ed a passarli senza alcun filtro o alcuna analisi al
Magistrato o alla P.G.
2) Scuola criminologica: partendo dai dati grezzi (che devono comunque essere
individuati, prodotti ed allegati) si procede anche ad un'analisi degli stessi
arrivando, dove possibile, a ricostruire il modus operandi dell'utente.
Come sono state acquisite le immagini? con quali programmi? Secondo quali
schemi comportamentali? Con quali parole chiave? Sono state “trattate” in qualche
modo? Sono presenti programmi in grado di interagire con quanto trovato ed in
che modo?
In ogni caso deve sempre essere ben evidente quali siano le risultanze oggettive e
quali le deduzioni.
In genere, è il soggetto che conferisce l'incarico a specificare il tipo di approccio
richiesto ed è compito del consulente valutare la propria capacità di soddisfare le
richieste adattando il proprio “stile” alle esigenze del committente.

L'approccio al computer
A mio avviso è preferibile l'approccio criminologico: l’analisi di un computer non
dovrebbe mai ridursi ad un “positivo” o ad un “negativo”, ma dovrebbe essere
sempre adeguatamente motivata, soprattutto in presenza di reati particolarmente
odiosi quali quelli di detenzione o cessione di pornografia minorile.
A ciò deve aggiungersi che la mancanza di un protocollo tecnico che fornisca delle
regole certe per tutti gli operatori giuridici in tema di forensics costituisce un
notevole ostacolo ad un sereno rapporto tra accusa e difesa, o tra attore e
convenuto, nella dialettica processuale e preprocessuale.
Mai come oggi, infatti, si avverte l’esigenza della “certezza delle regole” soprattutto
per quanto riguarda l’individuazione e la conservazione dei dati che poi
costituiranno l’oggetto su cui si fonderà la valutazione dell’organo giudicante. Il
rilevamento, la conservazione ed il trattamento dei dati e delle informazioni che gli
investigatori (ma anche, non dimentichiamolo, i difensori) possono rilevare nel
normale svolgimento dell’attività d’indagine richiedono l’esistenza di un protocollo
operativo che ne garantisca l'integrità e, soprattutto, la non repudiabilità in sede
processuale.
Senza considerare che per chi sbaglia non sempre c'è una seconda possibilità dato
che l'alterazione delle prove è spesso irreversibile.

L'approccio al computer
In questa situazione l'analisi non è, e non può più essere, attività meramente
informatica, ma deve abbracciare i vari campi dello scibile umano legato alle
indagini: diritto, sociologia, criminologia...
Sempre più spesso, infatti, uno dei principali compiti del consulente è quello di
tentare una ricostruzione del comportamento tenuto dall’imputato di fronte al
computer, arrivando ad interpretare i risultati dell’analisi alla luce di tale
valutazione comportamentale.
In quest'ottica i dati contenuti nel computer
dovrebbero rappresentare soltanto una base di
partenza, da impiegare per ricostruire il modus
operandi del soggetto che lo utilizzava; ovviamente
senza esagerare dato che la sfera di cristallo non
dovrebbe rientrare nella dotazione hardware del
consulente tecnico...

L'analisi comportamentale
Per quanto concerne, poi, la più grave violazione prevista dall'art. 600 ter c.p., la Corte territoriale rileva che
il reato risulta già integrato dalla confessata condotta di inoltro dei primi tre messaggi al moderatore della
lista, posto che era evidente che essi sarebbero stati inoltrati a tutti i partecipanti la lista stessa. A questo
deve aggiungersi che vi è in atti la prova sia della ricezione da parte dell'appellante di ingente materiale
illecito veicolato attraverso i messaggi ricevuti in lista sia dell'invio di circa 200 messaggi aventi in allegato
materiale illecito. Inoltre, risulta accertato che su uno degli hard disk dell'appellante esistevano 10 filmati
che le per caratteristiche tecniche dei programmi in uso (di tipologia "peer to peer") erano accessibili a tutti
gli utenti in possesso di analoghi programmi” Cassazione penale sez. III, 29/09/2009, n. 41521.
[...]i giudici territoriali hanno sottolineato, con riguardo alla consapevolezza del B. di detenere il materiale
pedopornografico contenuto nel proprio computer, come il perito abbia evidenziato che le due immagini
erano inserite nella stessa directory; erano entrambe state create il (OMISSIS), modificate il (OMISSIS) e
visionate per l'ultima volta il (OMISSIS), cioè meno di un mese prima dell'avvenuto sequestro; non erano
state scaricate da internet, nè trasmesse a terzi dall'utilizzatore del computer, ma invece scaricate sul disco
fisso in sequestro, assieme ad altre immagini di contenuto pornografico, da un CD rom, ovvero da una
chiavetta USB, e copiate sul disco in un arco di tempo di due minuti mediante decompressione dei files e
successiva riespansione dell'archivio, per venire poi contenute, con una operazione pertanto certamente
volontaria, in una precisa cartella (folder) di una directory, rimanendovi immagazzinate senza mai venir
cancellate, fino ad essere da ultimo visionate appunto il (OMISSIS). Ancora, il perito aveva escluso, non
essendo stati rinvenuti segni di compromissione dell' hard - disk , che le immagini in questione fossero
state trasmesse da un hacker all'insaputa dell'utente, ovvero fossero giunte inavvertitamente sull'HD in
sequestro nel corso di un lan - party caratterizzato dallo scambio di files con terzi lungo i canali peer to
peer, correttamente concludendo quindi la Corte di appello per la piena sussistenza dell'elemento
psicologico del reato contestato. Cass. penale sez. fer.30/07/2009. n. 32344

L'analisi comportamentale
La Corte escludeva che il materiale pedopornografico fosse stato inserito nell' hard disk del
computer, in cui erano presenti un virus worm e due virus trojan, da un utilizzatore remoto
che pure avrebbe trasferito le immagini su ed o su floppy disk perchè il modem del C. era
molto lento, sicché l'utilizzatore avrebbe potuto facilmente accorgersi di tale scaricamento che
pure influenzava la velocità operativa del computer.
Nè era possibile scaricare filmati se non in varie sessioni con la conseguente necessità di
assemblare poi il materiale scaricato, di notevole consistenza.
Il materiale pedopornografico era stato acquisito per via telematica con transazioni eseguite
con la carta di credito intestata al padre dell'imputato a favore dell'esercente (OMISSIS) in
data (OMISSIS) per L. 51.546 e in data (OMISSIS) per L. 70.636.
Erano segnalati come elementi a carico:
- la presenza di un'e-mail con cui l'imputato aveva chiesto la cancellazione di un addebito
perché il download non funzionava, circostanza denotante che egli controllava con cura gli
estratti conto;
- il sequestro di 17 supporti informatici che smentiva l'addotta buona fede perché era
irragionevole ritenere che il ricorrente per 17 volte non avesse controllato quanto era stato
scaricato;
- C., appartatosi nel corso della seconda perquisizione, era stato visto maneggiare un CD
contenente immagini pedopornografiche;
- il rinvenimento di molte foto a contenuto pornografico, talune frutto di fotomontaggio in
danno di conoscenti del C.. Cassazione penale sez. III, 08 aprile 2009, n. 19989.

II La fase delle indagini
Indagini informatiche e raccolta di informazioni
E' evidente che gli accertamenti effettuati variano notevolmente in base alle
fattispecie ed alle tipologie di intervento, ma, in linea di massima, potremo
distinguere tra fattispecie civili e penali.
La principale differenza è che, mentre nelle prime abbiamo, almeno, due parti
private, nelle seconde una delle parti è necessariamente lo Stato e, quindi, la parte
pubblica avrà maggiori margini di manovra, e poteri!, rispetto ad una qualsiasi parte
privata.
Nelle pagine seguenti verranno analizzati dapprima gli strumenti comuni ad
entrambe le fattispecie e poi quelli più specificatamente penalistici.
La prima, e più semplice, serie di strumenti è rappresentata da quelli deputati alla
raccolta delle informazioni relative alla controparte: database Whois e servizi di
traceroute.
Il Whois ci permette di sapere a chi è intestato un determinato sito web, o chi
gestisce un preciso indirizzo IP, consentendoci, poi di procedere all'identificazione
del titolare dell'utenza.

Indagini informatiche e raccolta di informazioni
Un primo problema di carattere giuridico sorge quando ci interroghiamo su COME
sono stati acquisiti i dati elaborati. A questo punto entrano in gioco tutta una serie
di limitazioni alla raccolta delle informazioni tipiche delle differenti situazioni a cui si
va a fare riferimento.
In ambito lavorativo, ad esempio, esistono severissimi limiti all'attività di
telecontrollo del datore di lavoro, limiti ribaditi dal Garante con le linee guida
emanate il 1° marzo 2007.
Tra le altre cose il Garante si è espressamente riferito ai programmi ed alle
apparecchiature preordinate al controllo a distanza e, soprattutto, a quei
programmi che consento un controllo indiretto (router, firewall, antivirus...) ed in
particolare ci si pone il problema della navigazione web.

Prove virtuali, reati reali
Nel caso di indagini per reati telematici le attività vengono regolate dalle norme
previste dal codice di procedura penale e da alcune leggi speciali e, naturalmente,
questo implica la possibilità di utilizzare strumenti maggiormente invasivi rispetto ad
“indagini” effettuate da un privato per far valere un diritto in sede civile, ma restano
ferme le esigenze di garantire il corretto trattamento degli elementi probatori.
Di particolare rilievo è la possibilità di effettuare attività sotto copertura, per esempio
nei casi previsti dall'articolo 14 della 26998 o da quelli previsti dall'articolo 9 della
146 del 2006.
In tale situazione è estremamente importante l'analisi degli strumenti software o
hardware utilizzati e la corretta gestione degli output ricavati dagli stessi in quanto
proprio da questi elementi viene, alla fine, il risultato.
Di fatto, l'individuazione di un soggetto che accede ad un sito web o che scambia
file attraverso i circuiti p2p non è affatto difficile, ma restano comunque i problemi
legati all'utilizzabilità delle prove raccolte e, soprattutto, alla loro valutazione.
In particolare, è necessario fare grande attenzione a cristallizzare tutti quei dati che
in un secondo momento potranno essere utilizzati per una maggiore comprensione
della fattispecie.

In questo caso,
ad esempio sarà
possibile
dimostrare la
consapevolezza
nell'acquisizione
e nella
detenzione del
filmato pedo.
Si osservi, infatti,
come sia stata
acquisita la prova
del nome del
filmato
conservato
presso l'utente e
della completa
disponibilità del
filmato stesso

Tramite questa
schermata sarà,
invece, possibile
dimostrare l'hash del
filmato e le sue
dimensioni (per
eventuali confronti
con quanto trovato
in sede di analisi) e
la circostanza che
l'utente a[omissis]
era l'unico ad avere,
in quel momento, il
filmato in
condivisione.

In questo modo è
stato, invece,
possibile tracciare
le connessioni in
entrata ed in
uscita per
individuare l'IP di
un altro utente, ma
indubbiamente

Così è un
po' più
comodo
e...

… così è
MOLTO
più comodo.

In questo caso, invece, non
viene fornita alcuna prova del
nome del materiale e,
soprattutto, che lo stesso
fosse effettivamente presente
nell'hard disk del soggetto
individuato.
Sarà soltanto possibile
dimostrare che quell'IP ha
generato una risposta positiva
alla ricerca effettuata con una
parola chiave senza poter
neppure appurare se il
riscontro positivo è basato
sull'hash del file o sul suo
nome.
Tra l'altro non vi è neppure la
prova della effettiva
disponibilità del materiale

In questa situazione, in assenza di ulteriori prove della coincidenza tra il filmato
ricercato tramite parola chiave e quello detenuto (e condiviso) dall'utente, sarà
agevole per la difesa dimostrare la possibilità di un erroneo download dello stesso a
causa di un fake ovvero della possibilità di erronea individuazione

E' stato, infatti, già affermato in detta materia da questa Suprema Corte che "Non
costituisce "attività di contrasto" soggetta ad autorizzazione dell'autorità giudiziaria,
ai sensi della L. 3 agosto 1998, n. 269, art. 14 (recante norme contro lo
sfruttamento della prostituzione, della pornografia, del turismo sessuale in danno di
minori quali nuove forme di riduzione in schiavitù), quella che consista soltanto
nell'accesso a fini investigativi, da parte di personale di polizia giudiziaria,
mediante uso di una determinata parola chiave, a "files" condivisi, senza che tale
attività sia accompagnata da quella di acquisto simulato o di intermediazione
nell'acquisto dei prodotti esistenti in detti "files" (sez. 5, 200421778, Lagazzo, RV
228089).
Orbene, la sentenza impugnata ha affermato che l'accertamento della cessione di
due foto con contenuto pedopornografico dall'utente che utilizzava il nickname
"(OMISSIS)" è stato effettuato dalla polizia giudiziaria mediante il monitoraggio
della rete internet, senza alcun contatto con gli utenti eseguito sotto copertura , nè
attività di intermediazione o acquisto simulato di materiale pedopornografico..
Cassazione penale sez. III, Data udienza: 05 febbraio 2009, n. 13729

A destra
un
esempio di
verifica
dell'IP
utilizzato
dall'utente
per
connetters
i ad un sito
web

Una volta individuato l'indirizzo IP è relativamente semplice individuare, con una
buona precisione, la collocazione geografica dell'utente e l'origine della connessione.

I fase: la raccolta delle prove
Parlando di “evidenze digitali” dobbiamo distinguere tra la fase di acquisizione, di
conservazione, di trattamento, di analisi, di esposizione e di relazione delle stesse.
In genere i contorni tra le differenti fasi non sono marcati e ben definiti tanto che è
assai difficile affermare con certezza se una determinata attività appartiene all'una
o all'altra; si tratta di una catena di eventi che non possono essere slegati l'uno
dall'altro.
Per semplice comodità e ben consapevoli che si tratta di una distinzione fittizia, ora
distingueremo le varie fasi.
Nelle pagine che seguono si farà riferimento alla procedura seguita nel corso di
un'indagine criminale, fermo restando che la maggior parte delle osservazioni
effettuate sono perfettamente valide, mutatis mutandis, anche nel caso di raccolta
di prove da impiegare nel corso di un procedimento civile.
In ogni caso una buona prassi è quella di predisporre (anche solo mentalmente,
ma in forma scritta è meglio), una checklist contenente le cose da fare, e quelle da
non fare!, e seguirla scrupolosamente ogni volta in modo da evitare di non saper
spiegare cosa si è fatto e perché.

Spesso alcune prove vengono raccolte prima di entrare in contatto con la persona
sottoposta ad indagine; quali prove dipende in massima parte dal tipo di indagine
dal tipo di crimine e dagli strumenti forniti all’uopo dal legislatore.
Un'ulteriore distinzione deve essere fatta tra reati permanenti (i.e. realizzazione di
un sito web) e reati istantanei (i.e. ingiurie effettuate in chat, condivisione di
materiale pedo) in quanto differenti sono le tracce lasciate dagli autori.
Alcune caratteristiche sono, tuttavia, comuni. In primis una particolare esigenza di
celerità nell’acquisizione di prove ed informazioni: poche cose sono volatili come le
prove informatiche. Basta davvero molto poco per alterarle, modificarle o renderle
comunque inservibili, sia volontariamente che involontariamente.
In secondo luogo è necessario che l’investigatore conosca con precisione le
modalità con cui è stato commesso il reato in quanto vi può essere una notevole
differenza nel valore degli elementi di prova raccolti a seconda delle azioni del
criminale.
Esempio: si sta indagando in merito ad un joe job eseguito a danno di T. e si
accerta che il fatto è stato commesso sfruttando una vulnerabilità del server smtp;
è perfettamente inutile acquisire i log degli accessi alla casella di posta elettronica
di Tizio mentre è necessario concentrare le indagini sull’indirizzo IP dell’effettivo
mittente del messaggio.

Allo stesso modo, quando si procede all'acquisizione di dati specifici (programmi, e-mail,
log, etc...) i dati acquisiti dovranno essere conservati in un supporto non modificabile,
per esempio CD-ROM o DVD-ROM, e, possibilmente, firmati con firma digitale o, in
alternativa, una volta “chiuso” il supporto ne dovrà essere acquisito l'hash. L'Hash dovrà
essere riportato nel verbale.
Di fronte ad un computer il codice ci consente di scegliere due differenti strade:
l'ispezione o il sequestro, ma è comunque necessario procedere all'analisi dello stesso.
A ciò si aggiunga che un'esatta descrizione delle modalità con cui si è giunti
all'identificazione dell'imputato e della collocazione degli strumenti informatici è, spesso,
necessaria al fine di scagionare eventuali coimputati:
Tribunale Penale di Bologna, Sez. I Monocratica, Sentenza 21 luglio 2005 (dep. 22
dicembre 2005), est. di Bari. “... L’esclusiva assunzione di responsabilità da parte del
fratello G., come si è sopra detto, è invece riscontrata sia dalla riferibilità a lui delle
operazioni di amministrazione dei due siti internet, sia dal possesso – che non risulta
avere il fratello - delle idonee capacità di programmazione: del resto i programmi
sequestrati presso la comune residenza familiare furono trovati nei dischi rigidi presenti
nella stanza nella disponibilità esclusiva di G.”
Per tale ragione una verifica delle possibili alternative si rende sempre necessaria.
Allo stesso modo una preventiva verifica del modus operandi del soggetto spesso evita
di fare un buco nell'acqua...

Ispezioni e perquisizioni
244 - Casi e forme delle ispezioni
1. L'ispezione delle persone, dei luoghi [103] e delle cose è disposta con decreto
motivato quando occorre accertare le tracce e gli altri effetti materiali del reato
[3542-3, 364].
2. Se il reato non ha lasciato tracce o effetti materiali, o se questi sono scomparsi o
sono stati cancellati o dispersi, alterati o rimossi, l'autorità giudiziaria descrive lo
stato attuale e, in quanto possibile, verifica quello preesistente, curando anche di
individuare modo, tempo e cause delle eventuali modificazioni. L'autorità giudiziaria
può disporre rilievi segnaletici, descrittivi e fotografici e ogni altra operazione tecnica
[359], anche in relazione a sistemi informatici o telematici, adottando misure
tecniche dirette ad assicurare la conservazione dei dati originali e ad impedirne
l'alterazione (1).
(1)L'art. 8 l. 18 marzo 2008, n. 48, ha modificato il presente comma inserendo, in
fine, le seguenti parole: «adottando misure tecniche dirette ad assicurare la
conservazione dei dati originali e ad impedirne l'alterazione.

Ispezioni e perquisizioni
247 - Casi e forme delle perquisizioni.
1. Quando vi è fondato motivo di ritenere che taluno occulti sulla persona il corpo
del reato o cose pertinenti al reato [253], è disposta perquisizione personale.
Quando vi è fondato motivo di ritenere che tali cose si trovino in un determinato
luogo [103] ovvero che in esso possa eseguirsi l'arresto dell'imputato [60, 61] o
dell'evaso, è disposta perquisizione locale [352, 365].
1-bis. Quando vi è fondato motivo di ritenere che dati, informazioni, programmi
informatici o tracce comunque pertinenti al reato si trovino in un sistema
informatico o telematico, ancorché protetto da misure di sicurezza, ne è disposta
la perquisizione, adottando misure tecniche dirette ad assicurare la conservazione
dei dati originali e ad impedirne l'alterazione (1).
2. La perquisizione è disposta con decreto motivato.
3. L'autorità giudiziaria può procedere personalmente [1034] ovvero disporre che
l'atto sia compiuto da ufficiali di polizia giudiziaria delegati [370] con lo stesso
decreto.
(1)Comma inserito dall'art. 8 l. 18 marzo 2008, n. 48.

II fase: perquisizione e sequestro
La perquisizione rappresenta un momento fondamentale dell'indagine, soprattutto
per la labilità e la deperibilità delle prove informatiche: eventuali reperti non
individuati in prima battuta sono, probabilmente, destinati a sparire in maniera
definitiva. Proprio per tale ragione, nel corso della perquisizione non ci si dovrebbe
mai “accontentare” dei risultati trovati facilmente o consegnati spontaneamente,
ma è necessario operare per verificare se vi sono componenti hardware nascosti.
Oggi è facile procurarsi memorie di massa piccolissime e facilmente occultabili, per
non parlare di cellulari, fotocamere ed altri apparecchi che possono agevolmente
contenere memorie di massa!

Memorie di massa - panoramica

Occorre poi verificare l'eventuale presenza di un server di raccolta dati (NAS),
eventualmente accessibile tramite Wi-Fi.
Grazie alle capacità wireless i dischi operano sia come punto d'accesso Wi-Fi (in
standard IEEE 802.11 b/g/n) sia come un nodo Wi-Fi e, potendo essere visti ed
utilizzati in rete, possono essere usati per conservare file di vario genere.
La distanza a cui possono essere collocati dipende solo dalla potenza del segnale
(all'interno di un'abitazione la portata media è di circa 2030 metri, ma, in assenza
di ostacoli, o in presenza di amplificatori di segnale, possono essere agevolmente
raggiunti e superati i 100 metri)e le loro ridotte dimensioni (mediamente uno di
questi è largo meno di 18 cm, profondo 20 cm ed alto 6 per un peso inferiore al
chilo) li rendono facilmente occultabili.

NAS Wi-FI: panoramica

Rilevare un NAS
In alternativa è anche possibile utilizzare un portatile dotato di connessione wi-fi ed
amministrato da remoto per svolgere tutta l'attività “sporca”.
L'unico modo per individuare simili dispositivi è quello di disporre, in sede di
perquisizione, di un sistema in grado di effettuare un'analisi della rete alla ricerca di
altri dispositivi collegati. Una volta individuati eventuali "nodi" sospetti è necessario
Annotare il MACADDRESS ed andarli a cercare uno per uno per verificare se si
tratta di un server NAS, di un computer remoto o di un semplice access point.
E sempre che il dispositivo sia fisicamente sulla stessa rete…
E' appena il caso di notare che se si stacca la corrente, o se il sistema è spento,
ogni ricerca è vana.
Una valida alternativa è quella di
individuare il router, collegarsi fisicamente
ad esso e verificare visivamente quanti
componenti risultano connessi, annotare
nome, indirizzo e MAC Address ed infine
andarli a cercare uno per uno.
Di tale operazione dovrà essere dato atto
nel verbale.

Profili giuridici dell'acquisizione della prova digitale
Tutte le operazioni devono essere condotte in modo da “cristallizzare” le prove
evitando ogni possibile contaminazione degli elementi probatori: per esempio MAI
accendere i computer individuati ed annotare con cura, anche scattando fotografie, la
disposizione degli apparati all'interno dell'ufficio o dell'abitazione. Oggetti a prima vista
insignificanti possono rappresentare un'ottima fonte di informazioni o, addirittura,
contenere elementi di prova.
Prescindendo dagli aspetti pratici della perquisizione, soffermiamoci sull'esigenza di
acquisire i supporti informatici senza correre il rischio di alterarne in alcun modo il
contenuto. In caso di computer spento, nulla quaestio lo si imballa, apponendo i sigilli
alla scatola, e lo si porta via, ma l'esperienza insegna che, sempre più spesso, i PC
rimango costantemente accesi. Che fare in caso di computer in funzione? L'ottimo
sarebbe poter disporre, direttamente in sede di perquisizione, di un soggetto con
adeguata competenza che possa procedere ad una sommaria analisi della macchina
(annotando tutte le operazioni eseguite) per poi spegnerla in maniera sicura ma nel
caso in cui ciò non fosse possibile, la dottrina più autorevole sostiene che, presa nota
delle informazioni visualizzate sul monitor e scattate fotografie dello stesso (soprattutto
del task manager), si deve staccare direttamente la spina dal computer procedendo
anche alla rimozione delle batterie in caso di computer portatile; in questo modo si
perde la possibilità di acquisire i dati presenti in RAM, ma allo stato delle cose si tratta
della procedura più sicura per personale non qualificato.

E' anche possibile procedere a perquisizioni d'iniziativa della P.G. 352. Perquisizioni.
1. Nella flagranza del reato [c.p.p. 382] o nel caso di evasione [c.p. 385], gli ufficiali di polizia
giudiziaria procedono a perquisizione personale o locale quando hanno fondato motivo di
ritenere che sulla persona si trovino occultate cose o tracce pertinenti al reato che possono
essere cancellate o disperse ovvero che tali cose o tracce si trovino in un determinato luogo
o che ivi si trovi la persona sottoposta alle indagini o l'evaso.
1-bis. Nella flagranza del reato, ovvero nei casi di cui al comma 2 quando sussistono i
presupposti e le altre condizioni ivi previsti, gli ufficiali di polizia giudiziaria, adottando misure
tecniche dirette ad assicurare la conservazione dei dati originali e ad impedirne l’alterazione,
procedono altresì alla perquisizione di sistemi informatici o telematici, ancorché protetti da
misure di sicurezza, quando hanno fondato motivo di ritenere che in questi si trovino occultati
dati, informazioni, programmi informatici o tracce comunque pertinenti al reato che possono
essere cancellati o dispersi.
2. Quando si deve procedere alla esecuzione di un'ordinanza che dispone la custodia
cautelare [c.p.p. 285, 286, 292] o di un ordine che dispone la carcerazione nei confronti di
persona imputata o condannata per uno dei delitti previsti dall'articolo 380 ovvero al fermo di
una persona indiziata di delitto, gli ufficiali di polizia giudiziaria possono altresì procedere a
perquisizione personale o locale se ricorrono i presupposti indicati nel comma 1 e sussistono
particolari motivi di urgenza che non consentono la emissione di un tempestivo decreto di
perquisizione.
...OMISSIS

354. Accertamenti urgenti sui luoghi, sulle cose e sulle persone. Sequestro.
1. Gli ufficiali e gli agenti di polizia giudiziaria curano che le tracce e le cose pertinenti al
reato siano conservate e che lo stato dei luoghi e delle cose non venga mutato [c.p.p.
348] prima dell'intervento del pubblico ministero. In relazione ai dati, alle informazioni e
ai programmi informatici o ai sistemi informatici o telematici, gli ufficiali della polizia
giudiziaria adottano, altresì, le misure tecniche o impartiscono le prescrizioni necessarie
ad assicurarne la conservazione e ad impedirne l’alterazione e l’accesso e provvedono,
ove possibile, alla loro immediata duplicazione su adeguati supporti, mediante una
procedura che assicuri la conformità della copia all’originale e la sua immodificabilità.
2. Se vi è pericolo che le cose, le tracce e i luoghi indicati nel comma 1 si alterino o si
disperdano o comunque si modifichino e il pubblico ministero non può intervenire
tempestivamente, ovvero non ha ancora assunto la direzione delle indagini, gli ufficiali di
polizia giudiziaria compiono i necessari accertamenti e rilievi sullo stato dei luoghi e delle
cose. Se del caso, sequestrano il corpo del reato e le cose a questo pertinenti [c.p.p.
253] (1).
3. Se ricorrono i presupposti previsti dal comma 2, gli ufficiali di polizia giudiziaria
compiono i necessari accertamenti e rilievi sulle persone diversi dalla ispezione
personale [c.p.p. 245]. Se gli accertamenti comportano il prelievo di materiale biologico,
si osservano le disposizioni del comma 2-bis dell'articolo 349.

II fase: la catena di custodia
Una volta acquisiti gli elementi presenti deve essere compilato un modulo noto come “catena di
custodia” in cui vengono indicati espressamente tutti i soggetti entrati in contatto con le prove e
tutte le operazioni compiute sulle stesse.
A tal proposito il primo punto di scontro tra accusa e difesa in sede di indagini informatiche è
relativo alle modalità con cui viene eseguito il sequestro di evidenze informatiche. Il nodo
centrale della questione è “in caso di indagini per reati informatici, è necessario sequestrare
tutto il materiale trovato, tutto il computer, solo l'hard disk oppure è sufficiente acquisire una
copia dei dati?”. La questione non è di facile soluzione in quanto la scelta fatta nelle concitate
fasi del sequestro si riflette necessariamente nelle successive fasi prebattimentali e, spesso,
anche nel dibattimento stesso rischiando di pregiudicare l'analisi e, conseguentemente, i diritti
di accusa e difesa.
In primo luogo dobbiamo osservare che non può esserci una risposta precisa a questa
domanda in quanto a reati differenti devono corrispondere differenti tipologie di indagine che
richiedono approcci molto diversi e, soprattutto, una modalità di acquisizione della prova
modellata sulla fattispecie concreta. E' evidente che, a parità di risultato probatorio, dovrà
essere necessariamente privilegiata la modalità di acquisizione meno invasiva e che comporta
il minor danno per il soggetto che la subisce. Soggetto che, a volte, non è neppure indagato,
ma si trova nella posizione di “persona informata sui fatti” (i.e. sequestro presso terzi in caso di
indagini a carico di ignoti)

Non può, però, trascurarsi che il mancato sequestro di un componente secondario
potrebbe pregiudicare la possibilità di svolgere ulteriori accertamenti. Per esempio
il mancato sequestro della tastiera, del mouse o dello stesso mouse pad potrebbe
rendere impossibile verificare eventuali tracce (saliva, impronte digitali, tessuto
epiteliale...) che, soprattutto in casi particolari, potrebbero servire per individuare
in maniera precisa l'autore del reato arrivando magari anche a scagionare
l'iniziale imputato.
Allo stesso modo la collocazione e lo stato del computer e gli accessori presenti
possono fornire molte informazioni utili sulla personalità del presunto reo.
A ciò deve aggiungersi che l'acquisizione di copia dei dati immediatamente,
direttamente in sede di perquisizione, presenta altri due grossi problemi:
1)richiede, per essere eseguita, la presenza di personale particolarmente esperto
in grado di operare, in maniera sicura, su supporti hardware e software sconosciuti
e di individuare, in tempi rapidissimi tutti i file di interesse probatorio (ivi compresi
quelli cancellati, crittografati o steganografati o altrimenti nascosti).
2)L'operazione, anche se eseguita secondo le best practices della computer
forensics, è, di fatto, irripetibile in quanto il materiale, rimasto nella disponibilità
dell'imputato, deve considerarsi non più utile per finalità investigative.

In tal senso si veda, ad esempio, il Tribunale di Bologna (Sez. I Monocratica, Sentenza 21
luglio 2005).
In sede di perquisizione la PG si era limitata ad acquisire una copia dei soli file aventi
rilevanza investigativa: più precisamente, al momento della perquisizione domiciliare,
l'indagato aveva indicato alla PG operante il programma, masterizzandone le copie da
sottoporre a sequestro sotto il diretto controllo degli agenti.
In sede processuale la difesa eccepiva la non correttezza del metodo utilizzato dalla PG per
estrarre i programmi dal computer, ma il Giudice non accoglieva la tesi, pur ammettendo
che le modalità di acquisizione si discostavano dalle best practices, osservando che “non è
permesso al Tribunale escludere a priori i risultati di una tecnica informatica utilizzata a fini
forensi solo perché alcune fonti ritengono ve ne siano di più scientificamente corrette, in
assenza della allegazione di fatti che suggeriscano che si possa essere astrattamente
verificata nel caso concreto una qualsiasi forma di alterazione dei dati e senza che venga
indicata la fase delle procedure durante la quale si ritiene essere avvenuta la possibile
alterazione”.
In breve l'utilizzo dello strumento dell'ispezione, con la conseguente acquisizione, mediante
masterizzazione, dei soli file pertinenti al reato, andrebbe utilizzata soltanto laddove il
computer assuma la veste di mero contenitore della prova del crimine e si ritenga
opportuno non operare un sequestro, per esempio perché lo si ritiene sproporzionato al
fatto contestato, oppure nel caso di attività presso terzi (banche, provider, etc.) estranei di
fatto alla vicenda.

Una buona soluzione di compromesso è rappresentata dal sequestro del solo hard
disk (oppure dall'acquisizione, con strumenti idonei, di un'immagine dello stesso
laddove si ritenga opportuno lasciare l'hard disk nella disponibilità dell'imputato).
Tale soluzione, applicabile alla maggior parte dei reati informatici, consente un
pieno controllo del contenuto del supporto e la ripetibilità, in qualsiasi momento,
dell'analisi eseguita. Di contro richiede, direttamente in sede di perquisizione e
sequestro, la presenza di personale esperto in grado di rimuovere e manipolare
l'hard disk senza danneggiarlo e, soprattutto, in grado di verificare la presenza di
dispositivi in grado di impedire l'accesso ai dati in esso contenuti come, ad
esempio, nel caso della tecnologia ABIT Secure IDE o similari.
Tale soluzione ha l'avallo della Corte di Cassazione secondo cui, trattandosi di
sequestro probatorio, la prova in ordine alla sussistenza del reato è tutelabile
limitando il sequestro alla memoria fissa del computer e ad eventuali supporti
contenenti elementi utili alle indagini restituendo, invece, tutti gli apparati “neutri”
(stampanti, scanner, schede video...); si veda Corte di Cassazione, Sezione III
Penale,
Sentenza 18 novembre 2003 - 3 febbraio 2004, 1778 (3983/2003).

Vi sono, tuttavia, casi in cui è non solo consigliato, ma addirittura necessario procedere al
sequestro dell'intero computer e delle relative periferiche. L'analisi dettagliata dell'intera
casistica esula dalla portata del presente lavoro, ragion per cui ci si limiterà qui ad osservare
come esemplare il caso delle indagini per divulgazione di materiale pedo pornografico. In tali
casi, tuttavia, non si dovrà parlare di sequestro probatorio (253 cpp), ma di sequestro
preventivo (321 cpp).
A ciò si aggiunga che la materiale disponibilità di beni informatici, soprattutto nei casi più
gravi di divulgazione, rende possibile per l'imputato protrarre o aggravare le conseguenze
del reato.
Da ultimo è mia opinione personale che, in presenza di soggetti in possesso di dispositivi
tecnologicamente molto avanzati, potrebbe rivelarsi opportuno procedere al sequestro
anche dei supporti originali per verificare che gli stessi non siano stati alterati e per utilizzarli
per acquisire informazioni in merito al software installato ed alle sue modalità di
funzionamento. In tal caso, tuttavia, è sempre opportuno spiegare le ragioni del sequestro di
materiale apparentemente inutile o superfluo.
A tal proposito è bene ricordare che, in tema di sequestro probatorio, il provvedimento
deve dare concretamente contezza ai fini della qualificazione delle cose in sequestro come
corpo di reato o come necessarie all'accertamento dello stesso, della relazione di
immediatezza descritta nell'art. 253 c.p.p., comma 2, tra la "res" e l'illecito penale. (Vedi
Cass., sez. 6^, sent. n. 337, c.c. 29 gennaio 1998, P.M. in proc. Sarnataro, rv.).

In ogni caso una volta che il PC è stato spento non deve essere più riavviato, anzi
sarebbe buona norma scollegare eventuali cavi di alimentazione e, nel caso dei
portatili, rimuovere le batterie.
Tutte le operazioni devono essere annotate e deve essere mantenuta una precisa
catena di custodia in grado di dimostrare ogni passaggio delle evidenze
informatiche.
E' possibile che venga effettuata una copia dell'hard disk direttamente in sede di
sequestro, soprattutto nel caso di sequestro probatorio. In tal caso è buona norma
acquisire l'hash dell'hard disk prima e dopo la copia, stamparlo e farlo
sottoscrivere alla controparte. In questo modo sarà possibile dimostrare che la
prova non è stata alterata in alcun modo.
In relazione alla validità dell'hash la Cassazione ha di recente valutato che
l'esperibilità delle procedure di hashing, sequestrato e conservato in copia su un
apposito supporto (nella specie Cd-Rom), è una questione di merito, potendosi in
sede di legittimità esclusivamente delibare se gli accorgimenti adottati dalla polizia
giudiziaria delegata siano o meno idonei "in astratto" a tutelare le finalità indicate
dal legislatore negli art. 247, comma 1 bis, e 354, comma 2, c.p.p. (Cassazione
penale sez. II, 12/12/2008, n. 11135

Non dà luogo ad accertamento tecnico irripetibile la lettura dell'"hard disk" di un
computer sequestrato, che è attività di polizia giudiziaria volta, anche con urgenza,
all'assicurazione delle fonti di prova.
Rigetta,Trib. lib. Napoli, 17 Ottobre 2008
2.3 L'eccezione è palesemente infondata, dappoichè la lettura dell'hard disk non
integra affatto atto irripetibile, perchè la lettura di esso ha consentito di ipotizzare
l'esistenza del reato a carico del ricorrente, perchè quest'ultimo è del tutto estraneo
ai diritti difensivi di altre parti del processo, perchè, l'attività svolta al riguardo dalla
P.G. rientra tra quelle svolte dalla stessa ai sensi dell'art. 348 c.p.p. e art. 354 c.p.p.,
comma 2 e perchè, infine, possibile nel prosieguo del processo ogni attività difensiva
dello S.V. il quale, se del caso, potrà far valere, quando sarà e se sarà
eventualmente accertata l'alterazione del disco informatico, alterazione allo stato
soltanto affermata dalla difesa del ricorrente, peraltro persona diversa dal
proprietario del computer, e, si ribadisce, per nulla accertata.
Cassazione penale sez. I
Data: 25 febbraio 2009
Numero: n. 11503

III fase: L'acquisizione
L'analisi dei reperti informatici rappresenta il culmine dell'attività investigativa
finalizzata alla repressione della maggior parte dei reati informatici, ma, per quanto
apparentemente semplice, questa fase dell'indagine richiede una notevole attenzione
e competenza: eventuali errori potrebbero compromettere l'intera indagine,
soprattutto in relazione alla successiva utilizzabilità processuale delle prove raccolte.
In commercio è facile reperire programmi che consentono di creare un'intera
partizione fat32 o ntfs criptata; in alcuni casi, la partizione può comprendere l'intero
sistema operativo ed i relativi file di boot, di swap, i file temporanei, eccetera ed è
altresì possibile che tale partizione si avvii solo utilizzando un apposito dischetto. In
assenza del floppy la partizione appare come spazio non formattato.
In fase di analisi è bene ricordare che tutti gli accertamenti effettuati devono essere
ripetibili: per nessuna ragione il computer del sospetto dovrebbe essere avviato e,
per nessuna ragione, le analisi dovrebbero essere effettuate utilizzando il materiale
originale e questo per due ottime ragioni:
A) si rischia di danneggiare il supporto;
B) si rischia di alterare il materiale.

Di recente (05 marzo 2009, n. 14511) la Corte di Cassazione è intervenuta in materia
stabilendo che “non rientra nel novero degli atti irripetibili l'attività di estrazione di
copia di "file" da un computer oggetto di sequestro , dal momento che essa non
comporta alcuna attività di carattere valutativo su base tecnico-scientifica, né
determina alcuna alterazione dello stato delle cose, tale da recare pregiudizio alla
genuinità del contributo conoscitivo nella prospettiva dibattimentale, essendo sempre
comunque assicurata la riproducibilità d'informazioni identiche a quelle contenute
nell'originale”. In particolare la Corte ha osservato che il provvedimento di
acquisizione di copia di file ritenuti utili ai fini delle indagini ha natura autonoma e
distinta rispetto alla misura cautelare reale del sequestro (Cass, Sez. Un., 24 aprile
2008, n. 18253) e, nell'ipotesi in cui la capacità rappresentativa della res sia fornita
dal contenuto dell'atto o del documento, l'Autorità giudiziaria procedente acquisisce al
procedimento le copie di detti atti o documenti, disponendo la restituzione degli
originali.
Laddove, invece, l'elemento probatorio sia infungibilmente rappresentato dall'originale
del supporto cartaceo o magnetico, si determinano i presupposti per il mantenimento
del sequestro. Relativamente all'estrazione di copie non è esperibile una procedura
incidentale di controllo di legittimità, in quanto non si è in presenza di un vincolo di
indisponibilità del bene equipollente al sequestro.

E', però, sempre possibile per la parte far valere eventuali nullità relative
all'osservanza delle forme previste a garanzia dell'esercizio dei diritti di difesa nella
fase in cui i predetti documenti vengono utilizzati come mezzo di prova (Cass., Sez.
6, 15 settembre 1995, in Cass. pen. 1996, p. 2328).
Sotto quest'ultimo profilo occorre ricavare, in via interpretativa, la nozione di "non
ripetibilità" in assenza di una definizione legislativa di carattere generale e di
un'elencazione normativa di atti tipicamente non ripetibili.
La questione riguarda direttamente il "giusto processo" perché ad essa è
strettamente correlata l'osservanza di precise garanzie difensive, in quanto la
qualificazione come "irripetibile" di un atto comporta la deroga al principio del
contraddittorio nella formazione della prova, consentendo che lo stesso, pur se
formato nella fase procedimentale, venga utilizzato, previa lettura, per la decisione.
Sulla base di tali premesse, per "atto irripetibile" deve intendersi l'atto contraddistinto
da un risultato estrinseco ed ulteriore rispetto alla mera attività investigativa, non più
riproducibile in dibattimento se non con la perdita dell'informazione probatoria o della
sua genuinità. Sotto tale profilo gli accertamenti ex art. 360 c.p.p. consistono in
attività di carattere valutativo su base tecnico- scientifica e non in attività di
constatazione, raccolta, prelievo dei dati materiali pertinenti al reato.

IV fase: L'analisi, aspetti giuridici ed errori comuni
Proprio per questa ragione il primo (e più grave) errore è “Ora lo accendo e do
un'occhiata...”.
All'avvio del computer il sistema operativo svolge numerose operazioni che si
ripercuotono sull'integrità dei dati contenuti in hard disk.
Il secondo errore tipico è prendere l'hard disk originale ed installarlo nella macchina
deputata all'analisi: all'avvio del proprio sistema operativo è assai probabile (certo se
si utilizza Windows) che il S.O. effettui delle operazioni di lettura scrittura sull'hard disk
alterandone i dati e la struttura.
Se poi ci dimentichiamo l'antivirus attivo ed il programma avvia una scansione sul
reperto il disastro è completo.
Più sicuro è l'utilizzo di sistemi linux che consentano di montare l'hard disk in sola
lettura, ma l'errore è sempre in agguato, quindi la soluzione preferibile è comunque
quella di dotarsi di un writer-block, di un dispositivo di clonazione e analisi oppure di
una soluzione hardware completa come Khymera-M5.

Dunque, per garantire la ripetibilità dell'analisi (vero principio cardine della computer
forensic), è necessario operare su di una copia del supporto sequestrato.
Naturalmente non è sufficiente un semplice ghost del disco rigido, ma è necessario
che si tratti di una “bit stream image” (in gergo si parla spesso di “clonare” un hard
disk) che, a differenza della mera copia, consentirà di operare su un disco
praticamente identico all'originale, sia in maniera logica che fisica, consentendo,
quindi, l'analisi anche di eventuali parti apparentemente vuote.
In commercio esistono numerosi prodotti, hardware e software, in grado di clonare
un hard disk garantendo la non alterazione dell'originale e l'esatta corrispondenza
originale-copia. E' buona norma anche procedere all'acquisizione della “firma”
dell'intero supporto acquisito, con un'operazione detta hashing. L'operazione viene
compiuta utilizzando un algoritmo MD5, che, generando un'impronta della lunghezza
di 128 bit (16 byte), costituisce un riferimento certo alla traccia originale, pur non
consentendone la ricostruzione.
NOTA BENE: l'immagine bit stream rispetto al semplice Ghost è una garanzia per
chi vuol provare che una certa cosa ESISTEVA nell'hard disk, quindi la mancata
acquisizione non dovrebbe essere utilizzata dalla difesa per contestare l'operato del
CT se non laddove la mancata acquisizione abbia pregiudicato la possibilità di
svolgere ulteriori e più approfondite analisi.

Se si rendesse necessario avviare il computer, ad esempio nel corso di un'ispezione o
per effettuare un'analisi preliminare, è necessario proteggere l'hard disk con un
dispositivo FISICO che inibisca la scrittura sullo stesso (write block) o, in alternativa,
utilizzare un apparato hardware per effettuare una copia precisa dell'hard disk ed
avviare la macchina utilizzando la copia.
In merito a quest'ultimo punto si consideri che numerosi software di crittografia o di
steganografia consentono di impostare un meccanismo di protezione che danneggia il
file protetto in caso di errori nell'inserimento della password (oppure inserendo
un'apposita password), quindi, errori di digitazione in sede di ispezione potrebbero in
realtà essere tentativi di cancellazione delle tracce del reato. Allo stesso modo un
floppy (o un CD) lasciato nel lettore potrebbero avviare una procedura di
cancellazione dell'intero hard disk, quindi: non effettuare mai l'avvio del sistema con il
disco originale!
Una validissima alternativa è quella di utilizzare un programma come VFC (virtual
forensic computing) che consente di avviare una macchina virtuale (utilizzando
VmWare Player) partendo dall'immagine (Raw o Encase) della stessa.

IV fase: Dar voce ai bit
Da un punto di vista civilistico la prova digitale deve essere considerata una prova
documentale e, quindi, soggetta alle regole di cui agli articoli 2699 e seguenti del
codice civile, nonché dal codice dell'amministrazione digitale (D.Lgs 82 del 2005,
art.20 e ss) e dal codice di procedura civile.
Tipicamente si tratterà di prove precostituite ed il ruolo del CTU (o CTP) sarà quello
di acquisirle e presentarle in maniera intellegibile al Giudice (nonché di spiegare a
Giudice ed avvocati cosa queste significhino).
In ambito penale (libro III e V c.p.p.) le prove potranno essere acquisite in
dibattimento o, più spesso, durante la fase delle indagini preliminari. In quest'ultimo
caso potranno essere acquisite e valutate anche con lo strumento dell'incidente
probatorio qualora si tratti di un accertamento non ripetibile (art.360 cpp).
In ogni caso tutte le fasi dell'analisi dovrebbero poter essere ripetute in caso di
contestazioni.

In ogni caso non dovrebbero essere ritenute accettabili prove digitali provenienti
da fonte non terza, o comunque attendibile, salvo il caso in cui si disponga di un
hash di riferimento acquisito in un momento in cui la falsificazione o l'alterazione
della prova non sarebbe stata possibile.
D'altra parte la facilità di falsificare una prova digitale è lampante:
Proprio per questa ragione è necessario osservare scrupolosamente, anche a
propria tutela, i principi di conservazione e di trattamento; in primis la catena di
custodia.

E', quindi, importante che tutte le operazioni compiute siano tracciabili e possano
essere adeguatamente giustificate e motivate.
“Non so come come ci sono arrivato” non è mai un buon argomento...
In genere l'analisi di un'evidenza digitale si svolge in tre fasi:
1) la sua individuazione;
2) la sua valutazione tecnica;
3) la sua “contestualizzazione”.
Sulla base di questi elementi è, quasi sempre, possibile stabilire quando, come e
perché un determinato file è comparso nell'hard disk.
Ovviamente le indagini non vengono svolte “a mano” o “a occhio” (non soltanto
almeno), ma si opera avvalendosi di particolari tools in grado di agevolare l'analisi
dei dati.
Si tratta di programmi specialistici, spesso particolarmente complessi, in grado di
svolgere automaticamente un gran numero di operazioni accelerando notevolmente
il lavoro, ma in ogni caso l'analisi finale dei risultati dovrebbe sempre essere
effettuata da un essere umano...

V Fase: dar voce ai silenzi; crittografia e
steganografia
Un altro aspetto particolarmente interessante della computer's forensic è
rappresentato dalla necessità di dar voce anche ai silenzi della macchina...
Non è difficile, infatti, disponendo degli strumenti adeguati occultare un'immagine o
un'intera partizione in modo che sia praticamente impossibile individuarla.
Sebbene siano numerosi i programmi che svolgono questa funzione qui ci
limiteremo a ricordarne 2:
PGP Disk: si tratta di un'applicazione contenuta nella suite PGP.
E' particolarmente interessante in quanto funziona con la firma elettronica del
titolare della coppia di chiavi e consente di inviare in maniera sicura file attraverso
un qualsiasi supporto senza dover condividere la chiave di apertura.
Ancora più interessante è il programma TrueCript. Il programma si basa sul
principio della negazione plausibile: viene creato un disco crittografato al cui
interno se ne trova un altro, nel caso in cui l'utente sia costretto a rivelare la
password, che non è soltanto crittografato, ma steganografato...

steganografia
Si è così avviata una sorta di gioco a guardie e ladri in cui lo Stato cerca di riservarsi
il diritto di accedere alle informazioni, anche contro la volontà del titolare delle
stesse, e gli utenti tentano di impedirglielo.
Ripercorrere le tappe di questa gara sarebbe interessante, ma eccessivamente
lungo, ci basti osservare che, come nel paradosso di Zenone, la tartaruga della
sicurezza privata è sempre un passo avanti al guerriero Achille (la sicurezza
pubblica).
Se ciò sia un bene o un male è questione di opinioni...
... resta il fatto che attualmente lo scontro si gioca sul diritto o meno per il cittadino
di rifiutarsi di consegnare le proprie password.
In Italia non si sono, ancora, verificati casi simili, ma, alla luce dell'articolo 64 e del
noto principio nemo tenetur se detegere, sembra ipotizzabile un diritto dell'imputato
a non rivelare password o codici di accesso. Da tale rifiuto non sembrerebbero poter
scaturire, in teoria!, conseguenze negative per il soggetto laddove dall'esercizio
della facoltà di non collaborare con gli organi inquirenti e con l'autorità giudiziaria,
non può farsi discendere a carico dell'indagato alcuna conseguenza negativa
diversa dall'impossibilità di accedere agli eventuali benefici che dalla collaborazione
derivano.

steganografia
Intanto, mentre Achille discute sull'esistenza dell'obbligo di fornire la propria
password, la tartaruga...
... aumenta il proprio vantaggio.

steganografia
Dalla crittografia, scrittura cifrata, si è, infatti, passati alla steganografia, scrittura
nascosta, ed il buon “vecchio” PGP Disk (al centro del dibattito nel caso Boucher)
viene rapidamente sostituito da TrueCrypt che, per espressa previsione dei
programmatori, si basa sul principio della negazione plausibile: viene creato un
disco crittografato al cui interno se ne trova un altro. L'utente dispone di due
password (nell'esempio passwordA e passwordB): la prima verrà utilizzata per
avviare il disco visibile:

steganografia

steganografia
L'esistenza di questo volume è quasi impossibile da individuare, e da dimostrare,
non differendo lo stesso dai dati casuali presenti in un hard disk... con buona pace
dell'interessante dibattito che avremmo potuto tenere su password ed art.64 cpp...

steganografia
Crittografia e steganografia non sono scienze nuove dato che già Giulio Cesare
era solito utilizzare la crittografia, mentre nell'antichità i messaggi più importanti
erano tatuati sulla testa di un messaggero preventivamente rapato. Quando i
capelli erano ricresciuti il messaggero, munito di un falso messaggio, partiva per la
sua destinazione...
L'informatica ha solo semplificato
notevolmente il processo consentendo
di nascondere un messaggio (o
un'immagine) all'interno di un altro file.

VI Fase: La relazione
In premessa devono essere indicate tutte le attività svolte dal ricevimento del pacco
fino all'acquisizione dell'immagine dei supporti. E' possibile, ma non necessario,
documentare mediante una videocamera la fase dell'acquisizione. In alternativa è
possibile effettuare l'operazione innanzi ad un teste qualificato. In tal caso ne deve
essere fatta menzione in relazione. Qualsiasi anomalia deve essere documentata e
messa a verbale.
In questa fase si deve offrire uno “spaccato” del sistema analizzato e tutti quegli
elementi di natura tecnica che possono rivelarsi utili in sede di analisi.
Occorre individuare ed indicare programmi, file, cartelle riportando data di
creazione, data di modifica e data di ultimo accesso.
E' necessario evidenziare ogni anomalia che si riscontri, soprattutto eventuali
accessi al disco o ai dati SUCCESSIVI alla data del sequestro.
Infine la relazione andrebbe conclusa con un paragrafo riepilogativo in cui si
riepiloga quanto individuato e si traggono delle conclusioni.

Errori comuni
1) avviare il PC eo installare l'hard disk rendendo l'accertamento NON ripetibile:
inutilizzabilità della prova raccolta ai sensi del 360 cpp.
2) Utilizzare programmi in grado di alterare le proprietà di file e cartelle (i.e.
Antivirus) rendendo impossibile una corretta ricostruzione del comportamento del
soggetto.
3) sindrome del veggente: trarre conclusioni o, peggio, fare affermazioni che non
poggino su solide base oggettive. Distinguere sempre tra:
- Prove:(art.187) sono fatti o atti;
- indizi (art.192): solo se gravi, precisi e concordanti possono costituire una prova;
- presunzioni: l'operazione logica per cui da un fatto noto si risale ad un fatto
ignoto.
4) dare per scontato il risultato desiderato (colpevolezza o innocenza) omettendo
di verificare la stabilità della relazione.
5) non verificare possibili alternative valide, logiche e plausibili.
6) utilizzare software pirata
7) acquisire prove o informazioni in maniera illegale

Conclusioni
In ogni caso, anche in caso di ispezioni, una regola aurea è quella di non utilizzare
MAI, per nessuna ragione, l'originale per effettuare attività di analisi. L'originale
andrebbe utilizzato soltanto per acquisire l'immagine su cui lavorare e poi riposto al
sicuro.
Anche nel caso in cui si utilizzi un write blocker, infatti, c'è sempre il rischio di
danneggiare accidentalmente il supporto magnetico.
Da ultimo occorre sempre agire chiedendosi:
- Se io fossi l'avvocatoil consulente della controparte, cosa potrei contestare?
- L'analisi è perfettamente ripetibile?
- Ho dettagliatamente illustrato le procedure seguite?
- Ho motivato le mie conclusioni?
Una volta predisposta la relazione è opportuno cercare di smontarla, analizzandola
ed evidenziando tutti gli errori, le omissioni o le imprecisioni per poi passare alla loro
correzione (SENZA FALSIFICARE NULLA!!!).

Conclusioni
Se, per esempio, ci si è accorti di aver montato l'hard disk in scrittura e di averne alterato la struttura è
opportuno evidenziare questo aspetto specificando che, in ogni caso, non si è alterato in alcun modo
il contenuto dello stesso.
A tal proposito si veda quanto affermato dal Tribunale di Bologna:
La difesa dell’imputato sia nel corso dell’istruttoria, che nell’arringa finale ha reiteratamente posto in
discussione la correttezza sia del metodo utilizzato dalla p.g. per estrarre i programmi dal computer
del C., che di quello applicato dalla p.g. e dalle società Infostrada s.p.a. e Tiscali s.p.a. per
individuare l’amministratore degli spazi web (uno dei quali contenente il secondo script del
programma Vierika). [...] Occorre innanzitutto precisare che non è compito di questo Tribunale
determinare un protocollo relativo alle procedure informatiche forensi, ma semmai verificare se il
metodo utilizzato dalla p.g. nel caso in esame abbia concretamente alterato alcuni dei dati ricercati. In
altre parole, non è permesso al Tribunale escludere a priori i risultati di una tecnica informatica
utilizzata a fini forensi solo perché alcune fonti ritengono ve ne siano di più scientificamente corrette,
in assenza della allegazione di fatti che suggeriscano che si possa essere astrattamente verificata nel
caso concreto una qualsiasi forma di alterazione dei dati e senza che venga indicata la fase delle
procedure durante la quale si ritiene essere avvenuta la possibile alterazione. In termini generali,
quando anche il metodo utilizzato dalla p.g. non dovesse ritenersi conforme alla migliore pratica
scientifica, in difetto di prova di una alterazione concreta, conduce a risultati che sono, per il principio
di cui all’art. 192 c.p.p., liberamente valutabili dal giudice alla luce del contesto probatorio
complessivo (fermo restando che maggiore è la scientificità del metodo scelto, minori saranno i
riscontri che il giudice è chiamato a considerare per ritenere attendibili gli esiti delle operazioni
tecniche).

Avv.Emanuele Florindi
<avv.emanueleflorindi@eflorindi.it>
Grazie per l'attenzione!
© 2016 by Emanuele Florindi florindi@ciace-Florindi.it
Il presente materiale è soggetto a licenza CC Attribuzione - Condividi allo stesso modo 3.0 Italia (CC BY-SA 3.0).
La comunicazione all’autore non è obbligatoria, ma è gradita.

Linee guida in materia di computer forensics

More Related Content

What's hot

Viewers also liked

Similar to Linee guida in materia di computer forensics

More from Emanuele Florindi

Linee guida in materia di computer forensics