Digital Forensics

Digital Forensics
di Gianluca Satta e Federico Aresti
A.A. 2014/15
Corso di Laurea Magistrale in
Ingegneria delle Telecomunicazioni
http://tlc.diee.unica.it/
Slides a cura dell’Avv.to Gianluca Satta
Nell’ambito del Corso di
Diritto dell’Informatica e delle Nuove Tecnologie
Docente: Massimo Farina
m.farina@unica.it

DIRITTO DELL’INFORMATICA E DELLE NUOVE TECNOLOGIE - A.A. 2014/2015 - MASSIMO FARINA
Univ. CA - Corso di Laurea Magistrale in Ingegneria delle Telecomunicazioni
Digital Forensics
2
Digital
Forensics

Digital Forensics
3
Digital Forensics
Acquisizione, conservazione e analisi delle evidenze
informatiche, in modo da garantire che le stesse siano
utilizzabili in sede processuale
Civile Penale
reati informatici
in senso stretto
reati informatici
“in senso lato”

Digital Forensics
4
Ragionamento (logico) che da un fatto noto ricava l’esistenza di un
fatto avvenuto nel passato
La prova
Ogni decisione del giudice, sia in sede penale che civile, ruota attorno
alla ricostruzione dei fatti accaduti attraverso le prove raccolte dalle
parti
Consente all’organo giudicante la ricostruzione dei fatti e, quindi, la
decisione su ogni singolo caso

Digital Forensics
5
Il processo civile Codice di Procedura Civile
fasi concatenate e successive, secondo un ordine preciso
 Risolvere una controversia sorta tra soggetti
privati o tra privati e un ente pubblico, in
relazione ad un rapporto di tipo privatistico
 Contraddittorio davanti ad un giudice terzo
 Consentire la difesa alla parte nei confronti
della quale è rivolta una domanda giudiziale
Funzione
Attore o ricorrente Convenuto o resistentedomanda giudiziale

Digital Forensics
6
Fase istruttoria
Elementi riguardanti i fatti e i diritti coinvolti
Decisione della controversia attraverso un provvedimento
Sentenza
Organi giurisdizionali
(gradi)
1) Giudice di Pace e
Tribunale Ordinario Civile
2) Corte d’Appello Civile
3) Corte di Cassazione

Digital Forensics
7
La prova nel processo civile
principio della tipicità dei mezzi di prova
espressamente previste e disciplinate per legge
o prova documentale
o la confessione
o il giuramento
o la testimonianza
o l'ispezione
o le scritture contabili delle imprese soggette a
registrazione
o la consulenza tecnica

Digital Forensics
8
Le prove possono essere suddivise, avendo riguardo al loro oggetto:
 diretta: quando ha ad oggetto il fatto stesso che deve essere provato (es. la
testimonianza di chi ha la personale conoscenza del fatto), immediatamente
rilevante per il giudizio;
 indiretta: quando ha ad oggetto un fatto diverso dal quale può essere dedotto
il fatto che deve essere provato (c.d. presunzione semplice: art. 2727 c.c.);
 contraria: quando ha ad oggetto l'inesistenza del fatto che deve essere
provato dalla controparte
Oggetto della prova
fatti di causa, ossia le circostanze di fatto
dedotte dalle parti a fondamento delle loro
domande ed eccezioni
Principio dispositivo: il giudice, salvi i casi previsti dalla legge, deve porre a
fondamento della decisione le prove proposte dalle parti.
Principio dell’onere della prova: chiunque voglia far valere un diritto deve provare i fatti
a fondamento dello stesso

Digital Forensics
9
Costituende, ovvero quelle che fanno ingresso
nel processo con l'attività di assunzione e che,
pertanto, si formano nel corso del processo
Precostituite, che pre-esistono rispetto al
momento in cui sono prodotte in giudizio, e che
quindi necessitano solo di essere messe a
disposizione del giudice
Prove
Assunzione delle prove
disposta dal giudice con ordinanza, previo accertamento:
 dell’ammissibilità - deve trattarsi di prove consentite dalla legge
 della rilevanza - deve trattarsi di prove utili ai fini del giudizio

Digital Forensics
10
Il consulenza tecnica nel processo civile
strumento principale per acquisire le prove digitali nell’ambito di un processo
Art. 61 C.p.c.
Quando è necessario, il giudice può farsi assistere, per il
compimento di singoli atti o per tutto il processo, da uno o più
consulenti di particolare competenza tecnica. La scelta del
consulente deve essere normalmente fatta tra le persone iscritte in
albi speciali
Consulente in
Digital Forensics
manca un albo speciale
soggetti che presentano un curriculum
professionale che garantisce sufficienti
competenze tecniche in qualità di forenser

Digital Forensics
11
Il consulente tecnico: figura di ausilio del giudice quando
son richieste particolari competenze tecniche per decidere un
singolo aspetto della controversia.
Funzione: - integrare l’attività del giudice;
- esprimere giudizi ed effettuare verifiche nei limiti
delle richieste a lui rivolte da parte del giudice
stesso.
Presupposto per la sua nomina: carenza di conoscenze
tecniche da parte dell’organo giudicante

Digital Forensics
12
Valore processuale della consulenza tecnica d’ufficio (CTU)
 non è considerata una vera e propria prova
 strumento utile ad integrare le conoscenze del giudice nella fase
dell’istruzione probatoria.
 Non ha la funzione di accertare i fatti
 Fornire alle parti le regole tecniche utili da applicare al caso
concreto e finalizzate a consentire la soluzione della
controversia.
 Talvolta può essere fonte di prova, quando con l’attività di
accertamento si rilevano elementi di fatto conoscibili unicamente
attraverso le cognizioni tecniche del consulente

Digital Forensics
13
La nomina del CTU
4) All’udienza fissata, il giudice
indica i quesiti che il consulente
d’ufficio è tenuto a rispondere
2) Fissa l’udienza per la comparizione e
il giuramento del consulente
1) Il giudice nomina il consulente
3) contestualmente viene assegnato un
termine alle parti per la nomina di un
proprio consulente tecnico di parte (CTP)
5) La data e l’ora di inizio delle operazioni peritali sono comunicate dal CTU ai
consulenti di parte e a partire da tale momento decorrono i termini per il deposito
dell’elaborato

Digital Forensics
14
L’attività del CTU
 Il CTU si interfaccia con le parti e con il giudice
 Può compiere indagini di sua iniziativa anche fuori della circoscrizione
giudiziaria, sempre nel rispetto del vincolo costituito dai quesiti posti nel
provvedimento di nomina.
 Le parti possono intervenire alle operazioni peritali attraverso la nomina di
un proprio consulente, il quale ha diritto di assistere e di formulare
osservazioni e istanze al CTU
La perizia: relazione redatta dal Consulente Tecnico
Il giudice (peritus peritorum), per decidere la controversia, può scegliere se
utilizzare le risultanze della perizia oppure se disattenderle; in quest’ultimo
caso però è tenuto a motivare la sua scelta

Digital Forensics
15
Il processo penale Codice di Procedura Penale
Interesse pubblico alla repressione dei reati e all’applicazione delle sanzioni
penali nei confronti dei soggetti ritenuti responsabili di condotte illecite,
integranti le fattispecie penali previste dall’ordinamento
Funzione: accertare la fondatezza o meno della pretesa punitiva dello Stato
in relazione a un determinato reato attribuito ad un soggetto
Sistema accusatorio
Il giudice ha un ruolo neutrale (terzo ed imparziale) rispetto alle parti
Imputato (indagato)
accusato del reato
Pubblico Ministero o PM
(Pubblica accusa)

Digital Forensics
16
Principi del sistema accusatorio
 Contraddittorio: le prove sono assunte con la partecipazione di tutti i
soggetti del processo
 Oralità: il processo si svolge in forma orale e le prove sono raccolte
oralmente dinnanzi al giudice
 Presunzione di innocenza del reo: fino a che non interviene sentenza
irrevocabile di condanna, l’imputato si ritiene innocente
Sistema inquisitorio: - l’iniziativa è del giudice inquirente, non delle parti
- assenza di limiti al potere di ricerca, ammissione,
e valutazione delle prove

Digital Forensics
17
NOTIZIA CRIMINIS
INDAGINI PRELIMINARI
RICHIESTA DI RINVIO A
GIUDIZIO (esercizio dell’azione
penale)
ARCHIVIAZIONE
Infondatezza della notizia criminis, reato
estinto, fatto non è reato, autore è
ignoto
UDIENZA PRELIMINARE
SENTENZA DI
NON LUOGO A PROCEDERE
Se reato è estinto (morte del reo), azione
penale non doveva essere iniziata (manca
querela, o remissione di querela), il fatto non
è reato, il fatto non sussiste (mancano gli
elementi essenziali del reato – condotta,
evento, nesso causalità), l’imputato non lo
ha commesso, il fatto non è reato (manca il
dolo, o la colpa)
DECRETO CHE
DISPONE IL GIUDIZIO
DIBATTIMENTO
SENTENZA Sent. di PROSCIOGLIMENTO
Le fasi del processo penale
giudizio di primo grado...

Digital Forensics
18
GIUDICE DI PACE
Reati minori
TRIBUNALE
Cognizione di prima istanza
CORTE D’ASSISE
Reati gravi. Giudici popolari.
Secondo grado
Mezzo di impugnazione ordinario. Nuova valutazione nei limiti dei motivi dedotti. Si
giudica anche sul merito (gravame). Rinnovazione dell’istruzione dibattimentale.
CORTE D’APPELLO CORTE D’ASSISE D’APPELLO
Terzo grado
Mezzo di impugnazione ordinario costituzionalmente garantito. Motivi deducibili limitati
(solo questioni di diritto). Decisioni: annullamento con rinvio. Annullamento senza rinvio.
Funzione nomofilattica (SS.UU.) – esatta osservanza e uniforme interpretazione della
legge.
I gradi del processo
Primo grado
CORTE DI CASSAZIONE

Digital Forensics
19
Il codice di procedura penale disciplina tutto il procedimento e, in particolare
detta le regole in materia di ricerca, ammissione, assunzione e valutazione
della prova.
Il procedimento probatorio in ambito penale
La ricerca delle fonti di prova, e quindi degli elementi di prova, spetta al
Pubblico Ministero, che ha l’onere della prova, e alla Polizia Giudiziaria
coordinata dal PM o di sua iniziativa.
L’ammissione dei mezzi di prova spetta al Giudice su richiesta delle parti,
che possono chiedere l’esame di un testimone o l’acquisizione di un
documento. Il Giudice decide sull’ammissione se la prova è pertinente, non
vietata dalla legge e rilevante per il processo.
L’assunzione avviene attraverso l’esame incrociato (testimonianza) oppure
con l’acquisizione (documento).
La valutazione spetta solo al Giudice.
L’elemento di prova, in seguito a questo procedimento, diviene “risultato
probatorio” o prova.

Digital Forensics
20
Le indagini preliminari
• Fase pre-processuale: si svolge prima dell’esercizio dell’azione penale.
• Inizia con l’acquisizione della notizia di reato - c.d. notitia criminis
• Segreto istruttorio, il soggetto indagato non conosce dell’esistenza di
indagini nei suoi confronti
Il Pubblico Ministero:
 provvede immediatamente ad iscrivere la notizia di reato, annotandone
gli estremi, in un apposito registro (R.n.R.)
 coordina e dirige tutte le indagini finalizzate all’accertamento del fatto
ed all’individuazione del colpevole
 si avvale della collaborazione della Polizia Giudiziaria a cui delega il
compimento di atti di indagine
 Gli atti che compie non hanno valore di prova
 atti di indagine finalizzati ad acquisire fonti di prova in ordine al fatto-
reato per cui si procede
 raccoglie tutti gli elementi probatori utili ad esercitare l'azione penale

Digital Forensics
21
Le indagini preliminari
Gli atti acquisiti in sede di indagini NON sono utilizzabili, salvo qualche
eccezione, nella fase successiva del dibattimento.
La prova si forma nel contraddittorio delle parti e nella dialettica
dibattimentale.
Art. 111, Costituzione Italiana
“(…) Ogni processo si svolge nel contraddittorio tra le parti, in condizioni di
parità, davanti a giudice terzo e imparziale
(…) Il processo penale è regolato dal principio del contraddittorio nella
formazione della prova.
(…) La legge regola i casi in cui la formazione della prova non ha luogo in
contraddittorio per consenso dell'imputato o per accertata impossibilità di
natura oggettiva (…)”
Es. le dichiarazioni fornite dalla persona informata sui fatti, da fonti di prova, se
confermate in dibattimento con la testimonianza, diventano prove vere e proprie

Digital Forensics
22
Dibattimento: istruzione dibattimentale
formazione ed acquisizione della prova
Regole e principi:
 contradditorio delle parti
 oralità (l’assunzione delle prove deve necessariamente formarsi
davanti ad un giudice terzo, nella dialettica delle parti),
 pubblicità (salvo alcune eccezioni previste dalla legge, il processo si
celebra alla presenza del popolo)
 immediatezza e concentrazione (l’intera attività dibattimentale deve
svolgersi nel lasso di tempo più breve possibile).
Il giudice pronuncia
sentenza di condanna o di assoluzione

Digital Forensics
23
Consiste nella dimostrazione della verità e del modo di essere di un fatto o
di una circostanza inerenti: all'imputazione contestata, alla punibilità, alla
determinazione della pena, all'applicazione delle misure di sicurezza, la
responsabilità civile e l'applicazione di norme processuali.
Rappresentano gli elementi sui quali deve basarsi il convincimento del
giudice
La prova nel processo penale
sono prodotte dalle parti del processo
(P.M. e difensore dell’imputato)
Il giudice decide sulla
richiesta di ammissione

Digital Forensics
24
Mezzi di prova (incorporano la prova):
La testimonianza (art. 194 c.p.p.), esame delle parti (artt. 208 – 210 c.p.p), i
confronti (art. 211- 212 c.p.p.), le ricognizioni (art. 213 – 217 c.p.p.), gli
esperimenti giudiziali (artt. 218- 219 c.p.p.), la perizia e la consulenza tecnica
(artt. 220 ss. c.p.p.), i documenti (artt. 234 e ss. c.p.p.).
Mezzi di ricerca della prova:
Le ispezioni (artt. 244 – 246 c.p.p.), le perquisizioni (artt. 247 -252 c.p.p.), il
sequestro probatorio (artt. 253 – 263 c.p.p.), le intercettazioni (art. 266 – 271
c.p.p.)
Prove atipiche (art. 189 c.p.p.): non sono espressamente previste dal Codice
e sono ammesse, previa consultazione delle parti sulle modalità di
assunzione, solo se sono idonee ad assicurare l'accertamento dei fatti e
non pregiudicano la libertà morale della persona.

Digital Forensics
25
I mezzi di prova
 forniscono al giudice risultanze
probatorie direttamente utilizzabili in
sede di decisione
 sono funzionali alla formazione
della prova in sede processuale
 la loro disciplina normativa ha
riguardo principalmente alle
modalità della loro assunzione, che
può avvenire solo davanti al giudice
del dibattimento
 possono essere assunti, sia pure in
via eccezionale e con molti limiti,
durante le indagini preliminari con la
garanzia del contradditorio,
mediante incidente probatorio
I mezzi di ricerca della prova
 non sono di per sé fonte di
convincimento del giudice
 rendono possibile acquisire prove
materiali, tracce o dichiarazioni dotate di
attitudine probatoria
 funzionali all’introduzione nel processo
di elementi probatori preesistenti
 possono essere disposti, oltre che dal
giudice, anche dal pubblico ministero, e,
in alcuni casi, possono essere compiuti
dalla polizia giudiziaria durante le
indagini preliminari
 si basano sul “fattore sorpresa”, non
consentono il preventivo avviso al
difensore dell’indagato quando sono
compiuti nella fase delle indagini

Digital Forensics
26
Perito Consulente tecnico di parte (CTP)
nominato dal giudice
nominato dalle altre parti processuali:
imputato (indagato), persona offesa
(parte civile) o responsabile civile
Il giudice può procedere alla
nomina del proprio perito:
 nella fase del dibattimento
 nel corso dell’incidente
probatorio
Il Pubblico ministero, così come le
altre parti processuali, possono
nominare il consulente tecnico:
 durante le indagini preliminari
 durante il giudizio
L’incidente probatorio è richiesto dal PM o dalla persona sottoposta alle indagini durante la
fase delle indagini preliminari quando non è possibile attendere la fase dibattimentale per
l’assunzione dei mezzi di prova, ed è considerata come un’anticipazione del dibattimento;
infatti, l’assunzione delle prove avviene nel contraddittorio delle parti e le prove sono
direttamente utilizzabili nel dibattimento

Digital Forensics
27
Presupposto per la nomina del perito
Quando occorre svolgere indagini o acquisire dati o valutazioni che richiedono
specifiche competenze tecniche, scientifiche o artistiche, il giudice nomina un perito,
scegliendolo tra gli iscritti negli appositi albi o tra persone fornite di particolare
competenza nella specifica disciplina.
Criteri per la nomina
Qualora il giudice ritenga di dover nominare un soggetto non iscritto agli albi, deve
motivare le ragioni della sua scelta; in ogni caso, deve evitare di nominare persone che
hanno svolto o svolgono attività di consulenza in procedimenti collegati
Modalità di nomina del perito
Disposta dal giudice con ordinanza contenente: la nomina del perito (possono anche
essere nominati più periti), la sommaria enunciazione dell'oggetto delle indagini,
l'indicazione del giorno, dell'ora e del luogo fissati per la comparizione del perito.

Digital Forensics
28
Contraddittorio nella perizia
Al fine di instaurare il contraddittorio anche durante le operazioni peritali, il pubblico
ministero e le parti private possono nominare un proprio consulente tecnico in numero
non superiore, per ciascuna parte, al numero dei periti. Il Pubblico Ministero, di regola,
nomina il proprio consulente tecnico scegliendolo tra le persone iscritte negli albi dei
periti
Durante l’udienza di nomina del perito il giudice:
1. accerta le generalità del perito
2. verifica l’assenza di cause di incompatibilità con l’ufficio
3. procede all’affidamento della perizia avvertendolo degli obblighi e delle responsabilità
previsti dalla legge penale
4. formula i quesiti con la partecipazione dei consulenti tecnici di parte, del pubblico
ministero e dei difensori presenti: il giudice controlla e valuta l’attività del perito sin
dalle fasi della sua nomina (peritus peritorum) e circoscrive l’oggetto da provare
(thema probandum)

Digital Forensics
29
Il giudice fissa il termine che non può, in ogni caso, eccedere i 90 giorni.
Il giudice può prorogare per periodi non superiori a trenta giorni, anche
più volte:
 su richiesta motivata del perito
 qualora sia necessario procedere ad accertamenti di particolare
complessità
In ogni caso il termine finale per rispondere ai quesiti non può superare i
sei mesi
Termine per depositare la perizia

Digital Forensics
30
Il Pubblico Ministero e le parti possono nominare e avvalersi di consulenti
quando è necessario procedere ad accertamenti, rilievi segnaletici, descrittivi
o fotografici e ad ogni altra operazione tecnica per cui sono necessarie
specifiche competenze.
Anche la Polizia Giudiziaria, nello svolgimento delle sue funzioni e
nell’esecuzione delle attività delegate di indagine, quando deve procedere
ad atti od operazioni che richiedono specifiche competenze tecniche può
avvalersi di persone idonee, le quali non possono rifiutare la propria
opera. Il soggetto così impiegato diviene ausiliario di polizia giudiziaria.
Il consulente tecnico nelle indagini preliminari
Consulenza tecnica extraperitale
 Strumento autonomo con il quale le parti possono offrire il proprio
contributo tecnico per la decisione finale del giudice.
 I risultati dell’attività del consulente possono essere esposte al giudice sia
oralmente che per iscritto, mediante il deposito di memorie.

Digital Forensics
31
Atti di indagine della Polizia Giudiziaria
Soggetto processuale e organo di investigazione, non è parte processuale (al
contrario del P.M.).
La P.G., di sua iniziativa o su delega del P.M., ha il compito di:
 Prendere notizia dei reati
 Impedire che i reati vengano portati a conseguenze ulteriori
 Ricercare gli autori dei reati
 Compere tutte le operazioni necessarie per assicurare le fonti di prova
 Raccogliere tutti gli elementi utili per l’applicazione della legge penale
Obbligo di riferire la notizia di reato e assicurare le fonti di prova (art. 347-348
c.p.p.)
Identificazione della persona nei cui confronti vengono svolte le indagini e di
altre persone (art. 349 c.p.p.)
Sommarie informazioni da parte dell’indagato o delle persone informate sui
fatti (art. 350-351 c.p.p.)
Perquisizioni (art. 352 c.p.p.)
Acquisizioni di plichi o corrispondenza (art. 353 c.p.p.)
Accertamenti urgenti e sequestro (354 c.p.p.)
Documentazione dell’attività di P.G. (art. 357 c.p.p.)
C.P.P.

Digital Forensics
32
Atti di indagine del P.M.
 consulenze tecniche (art. 359 c.p.p.)
 accertamenti tecnici non ripetibili (art. 360 c.p.p.)
 individuazione di persone e di cose (art. 361 c.p.p.)
 Assunzione di informazioni (art. 362 c.p.p.)
 Interrogatorio dell’indagato o di persona imputata in un procedimento
connesso (art. 375, comma 4 – 363 c.p.p.)
 Confronti (art. 364 c.p.p.)
 esame delle persone informate sui fatti
 ispezione delle persone, delle cose e dei luoghi (art. 244 c.p.p.)
 perquisizioni personali e locali (art. 247 c.p.p.)
 Sequestri (art. 252 e ss. c.p.p.)
 intercettazione di conversazioni, comunicazioni telefoniche e altre forme di
telecomunicazione (art. 266 e ss. c.p.p.)

Digital Forensics
33
Convenzione di Budapest (2001) - Convenzione del Consiglio d’Europa
sulla Criminalità informatica, fatta a Budapest il 23 Novembre 2001, e norme
di adeguamento dell’ordinamento interno
Ratificata in Italia con la Legge 18 marzo 2008 n. 48
concentrazione della competenza
per i reati informatici presso gli
uffici di procura distrettuale
novità nelle
indagini investigative
informatiche

Digital Forensics
34
Garanzie fondamentali
per i mezzi di ricerca della prova informatica:
1) dovere di conservare inalterato il dato informatico originale nella
sua genuinità;
2) dovere di impedire l’alterazione successiva del dato originale;
3) dovere di formare una copia che assicuri la conformità del dato
informatico acquisito rispetto a quello originale;
4) dovere di assicurare l’immodificabilità della copia del documento
informatico;
5) garanzia delle installazioni di sigilli informatici sui documenti
acquisiti.

Digital Forensics
35
Computer Forensics: la disciplina che si occupa della preservazione,
dell’identificazione, conservazione, analisi e documentazione dei reperti
informatici e delle informazioni contenute nei computer, o nei sistemi
informativi in generale, al fine di presentare prove digitali valide nei
procedimenti civili e penali
Digital Forensics: altro nome per identificare la Computer
Forensics. Secondo alcuni studiosi ed esperti della materia,
sarebbe più corretto parlare di Digital Forensics in quanto
concetto più ampio e in grado di ricomprendere anche le attività
forensi sui dispositivi diversi dai computer (es. smartphone,
tablet), oggi sempre più diffusi e oggetto di investigazioni
Premessa

Digital Forensics
36
Digital evidence: la misura atomica delle indagini nel mondo digitale
Computer forensics: materia che si occupa del processo teso alla
manipolazione controllata e, più in generale al trattamento di dati e/o
informazioni digitali e sistemi informativi per finalità investigative e di giustizia
Integrità
Autenticità
Disponibilità dei dati
Informatica forense vs. Sicurezza Informatica
La sicurezza informatica è sia ostacolo e che fonte di strumenti per
l’informatica forense. Più i sistemi sono sicuri e meno è possibile introdursi
per estrarre informazioni (antiforensics). La sicurezza informatica fornisce
anche le conoscenze tali per violare i sistemi (hacking) e accedere alle
informazioni (digital evidences)

Digital Forensics
37
Digital investigation (informatica investigativa): non indica più un attività
svolta su strumenti informatici o telematici, ma l’informatica è al servizio delle
indagini e della ricerca di informazioni sul web (es. Facebook, Twitter,
Google+, Linkedin ecc…)
Digital evidence (evidenze digitali o prove digitali)
Definizione: fonti di informazione, fonti di prova, tracce utili a ricostruire le
dinamiche di una condotta integrante un reato.
Caratteristiche: sono memorizzate all’interno di strumenti informatici, sono
prive di fisicità e quindi rischiano di essere modificate, compromesse in fase
di ricerca, acquisizione, repertazione e analisi.
Attenzione!
Tra le evidenze digitali non rientrano le prove su strumenti informatici o
telematici: DNA sulla tastiera di un PC, le impronte digitali sul mouse o sulla
stampante

Digital Forensics
38
Le evidenze digitali dal punto di vista processuale
Corpo del reato: le cose sulle quali o mediante le quali il reato è stato
commesso (es. l’arma utilizzata nel reato di omicidio, il file contenente il virus
mediante il quale è stato danneggiato un sistema informatico), le cose che
costituiscono il prodotto, il profitto o il prezzo (es. la refurtiva nel reato di furto, il
dato carpito con un intercettazione illecita di comunicazione telematica). È
compito della Polizia Giudiziaria sequestrare il corpo del reato e le cose
pertinenti al reato (ciò che costituisce prova del reato e delle conseguenza dello
stesso)
“Elementi di prova” o “prova”: consentono la ricostruzione di attività
eseguite su un sistema informatico o per mezzo di esso.
Alibi informatico: insieme delle informazioni tendenti ad
escludere che un soggetto abbia commesso il reato
contestato. Quando si parla di “alibi informatico” le
informazioni sono legate ad una attività compiuta attraverso un
sistema informatico o telematico.

Digital Forensics
39
File di log
dei sistemi coinvolti (computer e periferiche)
degli elementi che strutturano la rete
Normalmente l’utente medio non interviene sui log, ma inconsapevolmente
lascia tracce che possono essere ricavate da questi elementi. Sono facili da
leggere e non sono facilmente accessibili.
Esempio
La raccolta delle digital evidences
Sistema acceso
Sistema in stand-by
Sistema spento/scollegato

Digital Forensics
40
Legge n. 48/2008:
Introduce delle regole per garantire la conservazione dei dati originali
e ad impedire la loro alterazione
Best practices: prassi e tecniche per operare elaborate da esperti
informatici, investigatori e forensers
Valuta caso per caso se il metodo utilizzato per la raccolta delle prove sia
idoneo ed affidabile, sulla base delle regole di conservazione dei dati originali
(le copie prodotte in giudizio siano identiche all’originale) e di immodificabilità
(le prove sono inalterate rispetto al momento dell’acquisizione)
Il Giudice
non è un tecnico, un forenser
applica solo la legge

Digital Forensics
41
CASO VIERIKA
Copie dei dati contenenti il virus Copia in CD ROM
Contestato dalla difesa il metodo di raccolta delle prove
CASO GARLASCO
Alibi informatico
Estrazione dei soli file relativi alla tesi incompletezza
Necessità di analizzare le informazioni dell’intero computer e non solo.
Possibile presenza di programmi simulano la presenza di persone al PC,
modifiche dell’orario del computer

Digital Forensics
42
La ricerca della prova digitale
 Accertamenti urgenti di Polizia Giudiziaria sullo stato dei luoghi e delle cose al
fine della loro conservazione (art. 354 c.p.p.)
 Appostamenti, pedinamenti informatici e telematici, attraverso l’impiego di
qualsiasi strumento utile alla raccolta di elementi utili alla ricostruzione del fatto e
all’individuazione del colpevole (art. 348 c.p.p.)
 Acquisizione di informazioni, dati e programmi informatici coperte da segreto (art.
256 c.p.p.)
 Intercettazione di flussi di comunicazioni informatiche e telematiche (art. 266-bis
c.p.p.)
 Ispezioni, perquisizioni di sistemi informatici e telematici (art. 244 c.p.p. e ss.)
 Consulenze e accertamenti tecnici (ripetibili e non ripetibili) su materiali informatici
(art. 259 e art. 360 c.p.p.)

Digital Forensics
43
Articolo 354
Accertamenti urgenti sui luoghi, sulle cose e sulle persone. Sequestro
1. Gli ufficiali e gli agenti di polizia giudiziaria curano che e tracce e le cose
pertinenti al reato siano conservate e che lo stato dei luoghi e delle cose
non venga mutato prima dell'intervento del pubblico ministero.
2. Se vi è pericolo che le cose, le tracce e i luoghi indicati nel comma 1 si
alterino o si disperdano o comunque si modifichino e il pubblico ministero
non può intervenire tempestivamente, ovvero non ha ancora assunto la
direzione delle indagini, gli ufficiali di polizia giudiziaria compiono i necessari
accertamenti e rilievi sullo stato dei luoghi e delle cose. Se del caso,
sequestrano il corpo del reato e le cose a questo pertinenti. In relazione
ai dati, alle informazioni e ai programmi informatici o ai sistemi
informatici o telematici, gli ufficiali della polizia giudiziaria adottano,
altresì, le misure tecniche o impartiscono le prescrizioni necessarie ad
assicurarne la conservazione e ad impedirne l'alterazione e l'accesso e
provvedono, ove possibile, alla loro immediata duplicazione su
adeguati supporti, mediante una procedura che assicuri la conformità
della copia all'originale e la sua immodificabilità.
3. Se ricorrono i presupposti previsti dal comma 2, gli ufficiali di polizia
giudiziaria compiono i necessari accertamenti e rilievi alle persone diversi
dalla ispezione personale.
Attività di
informazione,
assicurazione e
preservazione
Attività di
investigazione di
propria iniziativa o
su delega del PM
Presupposti
(urgenza)

Digital Forensics
44
Rilievi: mera individuazione e raccolta di dati materiali
Quando la PG compie atti od operazioni, di propria
iniziativa o a seguito di delega del pubblico ministero,
che richiedono specifiche competenze tecniche, può
avvalersi di persone idonee le quali non possono
rifiutare la propria opera.
Art. 348 c.p.p.
Ausiliari di PG
Accertamenti urgenti (Polizia Giudiziaria): attività di tipo ispettivo
Condizioni:
1. Urgenza, pericolo di alterazione, modificazione o dispersione
2. Quando il PM non può intervenire tempestivamente o non ha assunto la
direzione delle indagini
Caratteristiche:
 sono irripetibili
 sono atti a sorpresa
 il verbale delle operazioni entra nel fascicolo del dibattimento
 il difensore ha diritto ad assistere, ma non ad essere preventivamente avvisato

Digital Forensics
45
Esempio…
Rilievi e accertamenti urgenti della P.G.
Acquisizione dei dati da sottoporre ad analisi forense (copia bitstream di hard disk)
Non è un atto garantito, la P.G. può procedere subito
 Irripetibilità intrinseca delle operazioni di forensics
 I programmi usati per le analisi sono proprietari (licenza)
 Non è possibile accedere al codice sorgente – non si conoscono le modalità di
funzionamento
 Non si può monitorare la correttezza del procedimento e se la copia ricavata è
corrispondente all’originale
 Programmi usati sono quasi tutti proprietari, con ciò non si mette in discussione la capacità
di rappresentare fatti o atti
 Il giudice valuta l’attendibilità della fonte di prova (le parti possono fornire prove per
dimostrare il cattivo funzionamento di software usati per la bitstream copy)
 Organismi internazionali hanno testato l’affidabilità dei software di analisi forense più
comuni
Tesi sulla irripetibilità delle attività di computer forensics
In realtà….

Digital Forensics
46
Articolo 359
Consulenti tecnici del pubblico ministero
1. Il pubblico ministero, quando procede ad accertamenti, rilievi
segnaletici, descrittivi o fotografici e ad ogni altra operazione tecnica
per cui sono necessarie specifiche competenze, può nominare e
avvalersi di consulenti, che non possono rifiutare la loro opera .
2. Il consulente può essere autorizzato dal pubblico ministero ad
assistere a singoli atti di indagine.

Digital Forensics
47
Articolo 360
Accertamenti tecnici non ripetibili
1. Quando gli accertamenti previsti dall'articolo 359 riguardano persone, cose o
luoghi il cui stato è soggetto a modificazione, il pubblico ministero avvisa, senza
ritardo, la persona sottoposta alle indagini, la persona offesa dal reato e i difensori del
giorno, dell'ora e del luogo fissati per il conferimento dell'incarico e della facoltà di
nominare consulenti tecnici.
2. Si applicano le disposizioni dell'articolo 364 comma 2.
3. I difensori nonché i consulenti tecnici eventualmente nominati hanno diritto di
assistere al conferimento dell'incarico, di partecipare agli accertamenti e di formulare
osservazioni e riserve.
4. Qualora, prima del conferimento dell'incarico, la persona sottoposta alle indagini
formuli riserva di promuovere incidente probatorio, il pubblico ministero dispone che
non si proceda agli accertamenti salvo che questi, se differiti, non possano più essere
utilmente compiuti.
5. Se il pubblico ministero, malgrado l'espressa riserva formulata dalla persona
sottoposta alle indagini e pur non sussistendo le condizioni indicate nell'ultima parte del
comma 4, ha ugualmente disposto di procedere agli accertamenti, i relativi
risultati non possono essere utilizzati nel dibattimento.

Digital Forensics
48
Accertamenti urgenti (P.G.)Accertamenti tecnici
Se ripetibili Se non ripetibili (irripetibili)
Non rientra tra gli atti garantiti
(necessario avvisare il difensore,
che ha diritto di assistere)
È un atto garantito
L’atto ha valore probatorio in
dibattimento, per questo si avvisa
l’indagato e il difensore.
Se manca avviso, l’atto è nullo.
Dovrà essere rinnovato (se
possibile, non sempre).
Inutilizzabilità dei risultati dell’atto
se il PM procede all’esecuzione
dell’atto nonostante la richiesta di
incidente probatorio
Sono utilizzabili nelle indagini
preliminari.
Nel dibattimento entrano
attraverso la testimonianza del
consulente e l’acquisizione della
relazione. Se vi sono contestazioni
è possibile procedere a perizia (in
quanto ripetibili).
Attività di studio, elaborazione critica e valutazione (anche su basi scientifiche e
tecniche) dei dati materiali ricavati dai rilievi effettuati

Digital Forensics
49
Accertamento tecnico del P.M.
prelievo delle tracce di polvere da
sparo (cd. “stub”).
Acquisizione della copia bitstream
di un supporto di memoria
Rilievi e accertamenti della P.G.:
Esame in laboratorio.
Esame del contenuto della
memoria in laboratorio
Atti non ripetibili (360 c.p.p.)
 Autopsia di un cadavere
 Accensione di un cellulare sequestrato, per procedere all’analisi del contenuto
 Acquisizione del contenuto di una memoria volatile (RAM)
RIPETIBILI
La ripetibilità o non ripetibilità va valutata caso per caso
 natura dell’atto
 bilanciamento dell’interesse alla ricerca della verità nel processo e la
formazione della prova nel contraddittorio fra le parti

Digital Forensics
50
L’accertamento, pur essendo ripetibile, può svolgersi con le garanzie dell’atto
irripetibile (360 c.p.p.):
 Delicatezza del supporto
 Particolare situazione e risvolti processuali della vicenda
 Discovery delle indagini e dei risultati dell’accertamento (opportunità)
hard disk vecchio, rovinato o
mal funzionante
Per evitare l’alterazione dei dati in
fase di creazione della bitstream
image
Caso Abu Omar
Archivio informatico del SISMI
Il P.M. ritenne di dover procedere ad
accertamento ex 360 c.p.p., pur
trattandosi di semplice copia
(bitstream) dei file contenuti

Digital Forensics
51
Articolo 247 C.p.p.
Casi e forme delle perquisizioni
1.Quando vi è fondato motivo di ritenere che taluno occulti sulla persona il
corpo del reato o cose pertinenti al reato, è disposta perquisizione
personale . Quando vi è fondato motivo di ritenere che tali cose si trovino in
un determinato luogo ovvero che in esso possa eseguirsi l'arresto
dell'imputato o dell'evaso, è disposta perquisizione locale .
1-bis. Quando vi è fondato motivo di ritenere che dati, informazioni,
programmi informatici o tracce comunque pertinenti al reato si trovino
in un sistema informatico o telematico, ancorché protetto da misure di
sicurezza, ne è disposta la perquisizione, adottando misure tecniche
dirette ad assicurare la conservazione dei dati originali e ad impedirne
l'alterazione.
2.La perquisizione è disposta con decreto motivato.
3.L'autorità giudiziaria può procedere personalmente ovvero disporre che
l'atto sia compiuto da ufficiali di polizia giudiziaria delegati con lo stesso
decreto.
Attività del Pubblico Ministero

Digital Forensics
52
Articolo 352 - Perquisizioni
1.Nella flagranza del reato o nel caso di evasione, gli ufficiali di polizia giudiziaria
procedono a perquisizione personale o locale quando hanno fondato motivo di ritenere
che sulla persona si trovino occultate cose o tracce pertinenti al reato che possono essere
cancellate o disperse ovvero che tali cose o tracce si trovino in un determinato luogo o che
ivi si trovi la persona sottoposta alle indagini o l'evaso.
1-bis. Nella flagranza del reato, ovvero nei casi di cui al comma 2 quando sussistono i
presupposti e le altre condizioni ivi previsti, gli ufficiali di polizia giudiziaria, adottando
misure tecniche dirette ad assicurare la conservazione dei dati originali e ad
impedirne l'alterazione, procedono altresì alla perquisizione di sistemi informatici o
telematici, ancorché protetti da misure di sicurezza, quando hanno fondato motivo di
ritenere che in questi si trovino occultati dati, informazioni, programmi informatici o tracce
comunque pertinenti al reato che possono essere cancellati o dispersi.
(…)
4.La polizia giudiziaria trasmette senza ritardo, e comunque non oltre le quarantotto ore,
al pubblico ministero del luogo dove la perquisizione è stata eseguita il verbale delle
operazioni compiute . Il pubblico ministero, se ne ricorrono i presupposti, nelle quarantotto
ore successive, convalida la perquisizione.
Attività della Polizia Giudiziaria

Digital Forensics
53
Finalità della perquisizione disposta dal P.M.
 Ricercare il corpo del reato, cose pertinenti al reato, cose sulle quali o per mezzo
delle quali è stato commesso il reato e le cose che costituiscono prezzo, profitto o
prodotto
 Le cose trovate sono acquisite mediante il sequestro
Garanzie
Atto disposto con decreto motivato, copia consegnata all’interessato
Avviso della facoltà/diritto di essere rappresentato o assistito da persona di fiducia
Finalità della perquisizione su iniziativa della P.G.
 Ricercare cose o tracce pertinenti al reato, ovvero persone
 Le cose trovate sono acquisite mediante il sequestro, oppure oggetto di ispezione.
 Le persone trovate possono essere sottoposte a fermo o arresto.
Garanzie
L’atto deve essere convalidato dal Pubblico Ministero.
Non vi è l’avviso della facoltà/diritto di essere rappresentato o assistito da persona di
fiducia (atto a sorpresa)
Il verbale dell’atto può essere acquisito nel fascicolo del dibattimento

Digital Forensics
54
La perquisizione informatica
Perquisizione locale o domiciliare
PC spenti
Sequestro e analisi
forense (ripetibili)
PC accesi
• Controllo sulle attività in esecuzione sul
PC (preview)
• Si procede all’acquisizione di file,
programmi, o qualunque informazione,
nel rispetto delle garanzie di
conservazione e non alterazione del dato
originale

Digital Forensics
55
Classificazioni
In base allo
stato di
funzionamento
dei sistemi analizzati
Analisi post mortem: macchina spenta, dopo la
consumazione del reato (es. hard disk sequestrato)
Analisi Live: sistema è acceso. Flagranza di reato.
Importante per la raccolta di informazioni dalla memoria
RAM
In base al
campo di
applicazione
Disk forensics: recupero delle informazioni dalle
memorie di massa
Memory forensics: analisi delle memorie volatili-RAM
Network forensics: analisi di sistemi di rete
Internet forensics: sottocategoria della network
forensics, racchiude tutte le attività in seguito a reati
che si svolgono su internet o per mezzo di internet

Digital Forensics
56
Le fasi del processo di computer forensics
Attività
sull’originale
1. Riconoscimento e identificazione della fonte di prova
(la preview)
2. Acquisizione del dato
3. Conservazione e protezione del dato (sempre)
Attività sulla
copia forense
4. Analisi forense (ricavare informazioni utili all’indagine)
5. Valutazione dei risultati ottenuti con l’analisi (aspetti
tecnici, investigativi e giuridici)
6. Presentazione dei risultati (mediante elaborazione di
una memoria, perizia)

Digital Forensics
57
Le 10 regole per l’acquisizione delle Digital Evidence
(fonte: Computer Forensics e indagini digitali, di AA.VV., Ed. Experta, 2011)
1. L’investigatore deve essere in grado di identificare ogni possibile fonte
informativa anche incrociando rilevazioni di diversa natura (visive,
informatiche)
2. Tutte le fonti di prova devono essere accompagnate dalla loro Catena di
Custodia
3. Tutte le fonti di prova devono essere catalogate in modo univoco
(etichettatura) e fare riferimento allo specifico caso di illecito, numero di
protocollo
4. Tutte le operazioni effettuate durante l’acquisizione di una fonte di prova
devono essere tracciate all’interno di un verbale riassuntivo complesso
5. Le fonti di prova devono essere protette e mantenute integre fino alla
conclusione del processo
6. Le fonti di prova, ove possibile, devono essere raccolte in modo da
permettere a chiunque di eseguire nuovamente il processo di analisi e
ottenere il medesimo risultato

Digital Forensics
58
Le 10 regole per l’acquisizione delle Digital Evidence
7. L’attività di cristallizzazione della fonte di prova in alcuni casi può richiedere
la rimozione fisica del dispositivo di memorizzazione. In tal caso è
opportuno far eseguire l’operazione sull’hardware da esperti informatici,
sotto la supervisione dell’investigatore, a tutela della correttezza
nell’esecuzione delle operazioni
8. Utilizzare strumenti specifici nell’acquisizione delle fonti di prova che
permetta di garantire la loro integrità
9. L’acquisizione della fonte di prova deve garantirne la preservazione
mediante opportune tecniche, da adottare durante il prelievo dell’originale
oppure mediante la riproduzione di una copia, attuando le opportune
accortezze nel caso in cui i sistema venga trovato in uno stato attivo.
10.La rilevazione delle evidenze deve permettere l’associazione di un preciso
marcatore temporale (atto pubblico nel caso di pubblici ufficiali, un
marcatore tecnico per le parti private). Tutti i possibili riferimenti temporali
devono essere annotati anche in caso di apparenti contraddizioni

Digital Forensics
59
I 7 comportamenti da evitare durante l’acquisizione delle Digital Evidence
1. Evitare di accendere dispositivi rinvenuti spenti, o agire su dispositivi accesi,
senza avere specifiche conoscenze informatiche. In conseguenza di queste
azioni potrebbero avvenire delle alterazioni irreversibili dei dati.
2. Evitare di spegnere i dispositivi tramite l’interfaccia del sistema operativo.
Agire invece scollegando l’alimentazione nei modi più opportuni, salvo
specifiche controindicazioni tecnologiche (server o dispositivo con dischi RAID)
3. Evitare di lasciare in esecuzione, senza che ci sia una effettiva necessità,
dispositivi contenenti potenziali fonti di prova da acquisire
4. Evitare di compiere operazioni che alterano permanentemente lo stato dei
sistemi, senza procedere alla verbalizzazione e documentazione fotografica
dei passi seguiti
5. Evitare di limitare la ricerca delle eventuali fonti di prova ai soli dispositivi
visibili reperiti sulla scena
6. Evitare di effettuare copie non verificate di dati ossia di omettere la produzione
di hash e timestamp
7. Evitare di delegare ad altri soggetti la custodia delle evidenze reperite, senza
che il passaggio sia sancito mediante aggiornamento della Chain of Custody

A.A. 2014/15
Corso di Laurea Magistrale in
Ingegneria delle Telecomunicazioni
http://tlc.diee.unica.it/
Grazie per l’attenzione
Docente: Massimo Farina
http://www.massimofarina.it
http://www.diricto.it/
http://ict4forensics.diee.unica.it/
m.farina@unica.it – gianluca@gianlucasatta.it

Digital Forensics
61
Attribuzione - Non Commerciale - Condividi allo stesso modo 3.0
o Tu sei libero:
• di riprodurre, distribuire, comunicare al pubblico, esporre in pubblico,
rappresentare, eseguire o recitare l'opera;
• di modificare quest’opera;
• Alle seguenti condizioni:
 Attribuzione. Devi attribuire la paternità dell’opera nei modi indicati
dall’autore o da chi ti ha dato l’opera in licenza e in modo tale da non
suggerire che essi avallino te o il modo in cui tu usi l’opera.
 Non commerciale. Non puoi usare quest’opera per fini commerciali.
 Condividi allo stesso modo. Se alteri, trasformi quest’opera, o se la usi per
crearne un’altra, puoi distribuire l’opera risultante solo con una licenza
identica o equivalente a questa.
o In occasione di ogni atto di riutilizzazione o distribuzione, devi chiarire agli altri i
termini della licenza di quest’opera.
o Se ottieni il permesso dal titolare del diritto d'autore, è possibile rinunciare ad ognuna di
queste condizioni.
o Le tue utilizzazioni libere e gli altri diritti non sono in nessun modo limitati da quanto
sopra
Licenza

Digital Forensics

Empfohlen

Empfohlen

Weitere ähnliche Inhalte

Was ist angesagt?

Was ist angesagt? (20)

Andere mochten auch

Andere mochten auch (17)

Ähnlich wie Digital Forensics

Ähnlich wie Digital Forensics (20)

Mehr von Gianluca Satta

Mehr von Gianluca Satta (10)

Digital Forensics