Deftcon 2013 - Alessandro Rossetti & Massimiliano Dal Cero - OSint a supporto...
Deftcon 2013 - Cesare Maioli - Aspetti della legge 48/2008 che influenzano l'Informatica Forense
1. 1
1
Aspetti della legge n.48/2008 che
influenzano l’Informatica Forense
Cesare Maioli
CIRSFID e Facoltà di Giurisprudenza
Università di Bologna
Elisa Sanguedolce
CIRSFID
Università di Bologna
Bologna, 19 aprile 2013
2. 2
Indice
I) Cybercrime e iniziative a contrasto della criminalità: dalla
Convenzione di Budapest alla Legge n. 48 del 2008
II) Modifiche introdotte dalla Legge n. 48 a livello sostanziale e
procedurale
III) La ISO/IEC 27037/2012
IV) Aziende e reati informatici: modifica al dlgs n. 231/01 e al
decreto sulla data retention
V) Modifica all’art. 51 c.p.p. : la competenza distrettuale
3. 3
All’aumento del trattamento di dati con sistemi informatici
consegue l’incremento della domanda di analisi dei dati
digitali a fini di investigazione e di giustizia
Crescita della domanda di analisi
Comune denominatore:
Il dato digitalizzato
come oggetto di indagine
4. 4
Iniziative di armonizzazione
• G8 adottò nel 1999 un insieme di principi sull’accesso transnazionale a dati
memorizzati e dopo l’11 settembre 2001 adottò una Raccomandazione sul crimine
transnazionale su alcuni tipi di reati informatici
• OECD nel 1986 produsse uno studio che presentava le categorie di reati che
riteneva dovessero costituire una base per i futuri Cybercrime
• La Nazioni Unite hanno sempre seguito il contrasto a reati informatici per mezzo di
loro agenzie come ITU e Unicef; in due occasioni l’Assemblea Generale ha espresso
risoluzioni sui reati informatici: nel 1990 e nel 2001 produsse raccomandazioni
relative alla eliminazione di ripari sicuri per incrementare la cooperazioni fra
agenzie investigative internazionali
• Il Consiglio di Europa nel 1989 stilò il primo elenco di reati informatici per le
legislature nazionali su cui intraprendere una azione uniforme di contrasto;nel 2001
ha prodotto la Convenzione sul Cybercrime anche con la collaborazione di Stati
Uniti, Canada, Giappone e altre nazioni non facenti parte dell'Unione Europea
Dimensione internazionale del fenomeno: necessità di strumenti condivisi sul
piano della protezione
5. 5
Già dal 1996 con la decisione dell’ European Commitee on Crime
Problems (CDPC) si fece largo la necessità di istituire una
commissione di esperti per analizzare il fenomeno del cd
cybercrime al fine di intervenire repentinamente in quanto “only a
binding international instrument can ensure the necessary
efficiency in the fight against these new phenomena”
Convinced that the present Convention is necessary to deter action directed
against the confidentiality, integrity and availability of computer systems,
networks and computer data as well as the misuse of such systems,
networks and data by providing for the criminalisation of such conduct, as
described in this Convention, and the adoption of powers sufficient for
effectively combating such criminal offences, by facilitating their detection,
investigation and prosecution at both the domestic and international levels and by
providing arrangements for fast and reliable international co-operation
La Convenzione di Budapest
6. 6
La Convenzione di Budapest
La ratio dell’intervento:
• Armonizzare il diritto sostanziale penale nell’ottica del nuovo
fenomeno del cybercrime
• Rafforzare il sistema processuale interno in un’ottica sia
investigativa sia repressiva con riguardo al perseguimento di
tali reati, nonché con riguardo ai reati commessi attraverso
l’utilizzo di strumenti informatici o reati le cui prove vengano ad
essere formate attraverso procedure elettroniche
• Istituire un sistema di cooperazione internazionale che sia
efficiente, efficace e rapido
7. 7
Legge di ratifica n. 48/2008
• Elaborata analisi della normativa presso le Commissioni riunite
di Giustizia e Senato sul finire della legislatura
• Confronto nell’ambito dei lavori preparatori anche con
personalità esterne alle funzioni parlamentari, coadiuvati
dall’apporto di esperti della Polizia Postale, nonché studiosi e
cultori della materia circa le questioni più delicate emergenti in
via applicativa
• Nel dettaglio la legge di ratifica consta di 14 articoli, suddivisi in
quattro capi:
ü Capo I Ratifica ed esecuzione
ü Capo II Modifiche al codice penale e al Dlgs n.231/2001 in materia di
responsabilità amministrativa degli enti
ü Capo III Modifiche al codice di procedura penale (mezzi di ricerca
della prova e competenza) e al Dlgs n.196/03 (data retention)
ü Capo IV Disposizioni finali
8. 8
Modifiche in ambito sostanziale
• Italia vantava disciplina sostanziale sul cybercrime introdotta nel
lontano 1993 con la legge n. 547/93
• Intervento si è ”limitato”:
ü Soppressione 2 co art. 491-bis c.p. – documento informatico: richiamo
integrale alla disciplina CAD
ü Miglior tutela della cd fede pubblica informatica: falsa dichiarazione o
attestazione al certificatore di firma elettronica sull’identità o qualità
personali proprie o di altri art. 495 bis c.p; Frode informatica del soggetto
che presta servizi di certificazione di firma elettronica art. 640quinquies
c.p.
ü Il danneggiamento informatico in cui si distingue fra “danneggiamenti di
dati” e “danneggiamenti di sistemi” a loro volta bipartiti fra dati o sistemi
appartenenti a privati o di pubblica utilità
ü Riformulazione a dolo specifico dell’art 615 quinquies c.p. Diffusione di
apparecchiature, dispositivi o programmi informatici diretti a danneggiare o
interrompere un sistema informatico o telematico
9. 9
Modifiche al Codice di procedura penale - I
• Tecnica emendativa seguita consiste sostanzialmente in un adeguamento
attraverso operazioni di “chirurgia lessicale” su disposizioni
processuali già vigenti
• Si vedano gli artt. 8, 9, 11 della legge dove in tema di:
ü ispezioni e rilievi tecnici (art 244, 2°comma c.p.p.)
ü esame di atti, documenti e corrispondenza presso banche (art 248, 2°comma
c.p.p.)
ü doveri di esibizione e consegna (art 256, 1°comma c.p.p.)
ü obblighi e modalità di custodia (art 259, 2°comma c.p.p.)
ü sigilli e vincolo delle cose sequestrate (art 260,1°e 2° comma c.p.p.)
ü acquisizione di plichi e corrispondenza (art 353, 1°e 2° comma c.p.p.)
ü accertamenti urgenti e sequestro (art 354, 2° comma c.p.p.)
• Per ciascun istituto il legislatore amplia l’oggetto della norma attraverso
l’inserimento di espressioni che rimandano ad attività legate al trattamento
di “dati, informazioni e programmi informatici”
10. 10
• Sorge la necessità di assicurare pieno controllo sull’operato degli
inquirenti, in particolare la verifica sulle procedure acquisitive
• Il legislatore fornisce un “paradigma” sul corretto modus
operandi da seguirsi nelle operazioni di accesso al computer o
al dispositivo oggetto d’indagine, sottolineando l’importanza alla
salvaguardia dell’integrità dei dati che assume, quindi, canone
operativo imprescindibile
Modifiche al Codice di procedura penale - II
Intervento si focalizza tanto sulla dimensione statica quanto
su quella dinamica del procedimento
11. 11
• Il richiamo è alla necessità di adottare “misure tecniche dirette
ad assicurare la conservazione dei dati originali e ad
impedirne l’alterazione”
• Il legislatore:
ü Pro: evita di imbrigliare nel tessuto normativo elementi
tecnici che, basandosi sulla tecnologia, potrebbero divenire
obsoleti già nell’immediatezza
ü Contro: sembra indifferente al modus operandi
concentrandosi sul risultato
ü Contro: non commina nessuna sanzione processuale
direttamente applicabile al mancato rispetto del dettato
normativo
ü Contro: non individua nessun organo terzo (es. ENFSI)
deputato al controllo delle metodologie
Modifiche al Codice di procedura penale - III
12. 12
• Art 244 c.p.p. Casi e forme delle ispezioni.
L'ispezione delle persone, dei luoghi e delle cose è disposta con decreto
motivato quando occorre accertare le tracce e gli altri effetti materiali del reato.
Se il reato non ha lasciato tracce o effetti materiali, o se questi sono scomparsi
o sono stati cancellati o dispersi, alterati o rimossi, l'autorità giudiziaria descrive
lo stato attuale e, in quanto possibile, verifica quello preesistente, curando
anche di individuare modo, tempo e cause delle eventuali modificazioni
L'autorità giudiziaria può disporre rilievi segnaletici, descrittivi e
fotografici e ogni altra operazione tecnica, anche in relazione a
sistemi informatici o telematici, adottando misure tecniche
dirette ad assicurare la conservazione dei dati originali e ad
impedirne l’alterazione
Modifiche al Codice di procedura penale - IV
13. 13
• L’attività tipica dell’inspicere si sostanzia in un’attività
volta all’osservazione di persone, luoghi, cose per
accertare tracce o altri effetti materiali del reato: in
sostanza l’inspicens usa gli occhi (Cordero)
• Se l’attività ispettiva è diretta alla ricerca visiva in quali
termini è possibile parlare di ispezione informatica?
• A livello informatico esplorare un sistema alla ricerca
di dati e tracce informatiche inerenti ai fatti oggetto
dell’ispezione comporta irrimediabilmente l’alterazione
dei dati di sistema e dei metadati relativi ai file oggetto
di attenzione da parte degli inquirenti
Modifiche al Codice di procedura penale - V
14. 14
Art 247 c.p.p. Casi e forme delle perquisizioni
• Quando vi è fondato motivo di ritenere che taluno occulti sulla persona il corpo del
reato o cose pertinenti al reato, è disposta perquisizione personale.
• Quando vi è fondato motivo di ritenere che tali cose si trovino in un determinato
luogo ovvero che in esso possa eseguirsi l'arresto dell'imputato o dell'evaso, è
disposta perquisizione locale.
• Quando vi è fondato motivo di ritenere che dati, informazioni,
programmi informatici o tracce comunque pertinenti al reato si
trovino in un sistema informatico o telematico, ancorché protetto da
misure di sicurezza, ne è disposta la perquisizione, adottando misure
tecniche dirette ad assicurare la conservazione dei dati originali e ad
impedirne l’alterazione
La perquisizione è disposta con decreto motivato
L'autorità giudiziaria può procedere personalmente ovvero disporre che l'atto sia
compiuto da ufficiali di polizia giudiziaria delegati con lo stesso decreto
Modifiche al Codice di procedura penale - VI
15. 15
• L’attività tipica del perquirere si caratterizza per essere
volta all’individuazione e acquisizione del corpo del reato o
delle cose ad esso pertinenti (frugare), qualificandosi
quindi come attività prodromica rispetto al sequestro
probatorio
• L’istituto della perquisizione può prodursi in sede
d’indagini preliminari a seguito di due distinte modalità:
ü iniziativa del Pubblico Ministero, il quale, la dispone
con decreto motivato, prevedendo altresì se eseguirla
personalmente o delegarla a ufficiali della Polizia
Giudiziaria (art 247 c.p.p.)
ü iniziativa della Polizia Giudiziaria mediante
perquisizione locale o personale nei casi di flagranza del
reato o evasione (art 352 c.p.p.)
Modifiche al Codice di procedura penale - VII
16. 16
Perquisizione e utilizzo di preview:
• Essendo attività prodromica rispetto al sequestro, sorge la
necessità a che la perquisizione, anche in via informatica,
sia opportunamente giustificata e legata al thema
probandum, attraverso l’individuazione del fatto storico, di
natura penalmente rilevante, in cui assume importanza e
decisività l’elemento informatico
• In mancanza non sarebbe possibile accertare l’esigenza
probatoria sottesa al provvedimento, né la riconduzione
del dispositivo a corpo del reato o cosa ad esso pertinente:
si ravviserà quindi non più un mezzo di ricerca della prova
bensì uno strumento discutibile di ricerca di notizie di
reato
Modifiche al Codice di procedura penale - VIII
17. 17
La legge n. 48 stabilisce qui più incisivi poteri a favore degli investigatori:
• Nel nuovo comma 1–bis dell’art 247 c.p.p. si prevede che “quando vi è fondato
motivo di ritenere che dati, informazioni, programmi informatici o tracce comunque
pertinenti al reato si trovino in un sistema informatico o telematico, ancorché protetto
da misure di sicurezza, ne è disposta la perquisizione, adottando misure tecniche
dirette ad assicurare la conservazione dei dati originali e ad impedirne l’alterazione”
• Nel nuovo art 354 c.p.p. Accertamenti urgenti da parte della polizia giudiziaria, si
prevede che la stessa, prima dell’intervento del Pubblico Ministero, è tenuta alla
conservazione dello stato dei luoghi e delle cose pertinenti al reato (1° comma)
e
• In relazione a dati, informazioni, programmi, sistemi informatici o telematici è tenuta
all’adozione di misure tecniche o prescrizioni necessarie ad assicurarne la
conservazione, impedirne l’alterazione e l’accesso e provvedono, ove possibile, alla
loro immediata duplicazione su adeguati supporti, mediante una procedura che
assicuri la conformità della copia all’originale e la sua immodificabilità (2°comma)
Modifiche al Codice di procedura penale - IX
18. 18
• A livello tecnico è possibile l’utilizzo di cd preview: mediante l’utilizzo di
software ad hoc viene permesso agli inquirenti in sede d’ispezione, ma
anche di perquisizione - fattore, questo, che alimenta ulteriormente la
“confusione applicativa” fra i due istituti- di poter analizzare in maniera
grossolana il contenuto di un dispositivo per poi scegliere il materiale
interessante e, se del caso, procedere a sequestro del dato.
ü Pro: possibilità di esplorare il contenuto delle memorie attenzionate,
isolandone i contenuti rilevanti
ü Contro: alto rischio di alterazione dei contenuti e conseguente
dispersione di una possibile prova. Non rappresenta ad oggi
operazione di routine investigativa applicabile ad ogni caso concreto
• Possibile applicazione: ad esempio, se si procede per pedopornografia
on-line, sarà rilevante il materiale detenuto con dolo (presente e non
cancellato) all’interno della memoria per cui la preview potrebbe
rappresentare un’opportunità utile al fine di evitare il sequestro di
materiale “neutro” rispetto al reato per cui si procede
Modifiche al Codice di procedura penale - X
19. 19
ü il primo qualifica l’attività ispettiva o perquisente in
ambiente virtuale come attività potenzialmente e
concretamente idonea a modificare in maniera
irreversibile lo stato e il contenuto interno del
dispositivo sottoposto alla misura
ü il secondo riconosce la natura ontologicamente volatile e
alterabile del dato digitale, su cui possono spesso incidere
condotte involontarie atte a ingenerare fenomeni di
“inquinamento” e la conseguente necessità di impiegare
standard operating procedure idonee a garantire la
genuinità dell’accertamento
Modifiche al Codice di procedura penale - XI
In sostanza, due sono i corollari di notevole importanza che
possono essere dedotti:
20. 20
Art 260 c.p.p. Apposizione dei sigilli alle cose sequestrate. Cose
deperibili. Distruzione di cose sequestrate
• Le cose sequestrate si assicurano con il sigillo dell'ufficio giudiziario e con
le sottoscrizioni dell'autorità giudiziaria e dell'ausiliario che la assiste
ovvero, in relazione alla natura delle cose, con altro mezzo, anche di
carattere elettronico o informatico, idoneo a indicare il vincolo imposto
a fini di giustizia
• L'autorità giudiziaria fa estrarre copia dei documenti e fa eseguire
fotografie o altre riproduzioni delle cose sequestrate che possono alterarsi
o che sono di difficile custodia, le unisce agli atti e fa custodire in
cancelleria o segreteria gli originali dei documenti, disponendo, quanto
alle cose, in conformità dell'articolo 259 c.p.p.. Quando si tratta di dati,
di informazioni o di programmi informatici, la copia deve essere
realizzata su adeguati supporti, mediante procedura che assicuri la
conformità della copia all’originale e la sua immodificabilità; in tali
casi, la custodia degli originali può essere disposta anche in luoghi diversi
dalla cancelleria o dalla segreteria
Modifiche al Codice di procedura penale - XII
21. 21
Conseguenze di ordine forense:
ü Recepisce (comma 1) anche a livello processuale la
certificazione fra copia e originale tramite procedure
informatizzate, le cd hash function
ü al 2°comma, estende la presunzione di deperibilità
e alterazione prevedendo la possibilità di effettuarne
copia che deve essere realizzata su adeguati supporti
mediante procedura che assicuri la conformità della
copia all’originale e la sua immodificabilità.
Modifiche al Codice di procedura penale - XIII
22. 22
Art 254-bis c.p.p Sequestro di dati presso fornitori di servizi
L’autorità giudiziaria, quando dispone il sequestro, presso i
fornitori di servizi informatici, telematici o di telecomunicazioni,
dei dati da questi detenuti, compresi quelli di traffico o di
ubicazione, può stabilire, per esigenze legate alla regolare
fornitura dei medesimi servizi, che la loro acquisizione
avvenga mediante copia di essi su adeguato supporto,
con una procedura che assicuri la conformità dei dati
acquisiti a quelli originali e la loro immodificabilità. In
questo caso è, comunque, ordinato al fornitore dei servizi di
conservare e proteggere adeguatamente i dati originali
Modifiche al Codice di procedura penale - XIV
23. 23
Ante legge n. 48/2008:
• Si registravano prassi distorsive, al limite della delega in
bianco a favore dei tecnici (segnatamente operatori di PG)
• Cieca fiducia nella prova informatica quale pacchetto
probatorio preconfezionato in fase di indagini preliminari di cui
si attendeva il mero traghettamento in dibattimento per avallare
un esito già scritto
Post legge n. 48/2008
• Seppur carente il nuovo assetto normativo ha il merito di
contenere le indagini (informatiche) entro linee ben precise
• Applicabilità a TUTTI reati perseguibili denota presa
coscienza della società 2.0
Casi concreti: usi e abusi degli istituti - I
24. 24
Antefatto: la Procura di Pisa disponeva perquisizione e
conseguente sequestro delle credenziali di accesso relative al
sistema informatico dei voli on-line motivato dall'esigenza di
poter identificare per tempo i passeggeri sospettabili di fungere
da corrieri internazionali di stupefacenti (cd. Ovulatori)
La Procura ravvisa la sussistenza dei requisiti richiesti dall'art.
247, co 1bis individuati in “(...) una serie di parametri
sintomatici desumibili dalle modalità di prenotazione dei voli
(last-minute, orario notturno, rientro entro pochi giorni)”
Ryanair propone ricorso contro detta ordinanza, accolto dal
Tribunale di Pisa. La Procura ricorre per Cassazione
Casi concreti: usi e abusi degli istituti - II
25. 25
Secondo il Tribunale il provvedimento mirava non tanto ad acquisire
elementi di conoscenza in ordine a una o più notitiae criminis
determinate quanto a monitorare in modo illimitato, preventivo e
permanente il contenuto di un sistema informatico onde pervenire
per suo tramite all'accertamento di reati non ancora commessi, ma dei
quali si ipotizzava la futura commissione da parte di soggetti ancora da
individuarsi.
La Cassazione sposa linea perseguita dal Tribunale sottolineando:
- la necessaria pre-esistenza del dato rispetto al momento della
perquisizione (e conseguente sequestro)
- l'iscrizione della notizia di reato quale presupposto del provvedimento
che deve essere motivato, ovvero deve contenere l'indicazione della
fattispecie negli estremi essenziali di tempo, luogo, azione non
essendo sufficiente il mero titolo di reato
- nel caso specifico, distorsione dell'istituto “si verrebbe altrimenti a integrare
un nuovo ed anomalo strumento di ricerca della prova con finalità
nettamente esplorative, di mera investigazione (paragonabile alle
intercettazioni telematiche)
Casi concreti: usi e abusi degli istituti - III
26. 26
Antefatto: L'indagato, dipendente dell'Unicredit, era sottoposto ad
indagini per i reati di sostituzione di persona, accesso abusivo a
sistema informatico e tentata truffa per essersi appropriato di dati
anagrafici di cinque clienti della banca nonché degli user-id
segreti di due colleghi, utilizzandoli per registrarsi sul sito e-bay e
acquistare della merce per un valore di circa 1.000€
Il Tribunale di Roma, su istanza di riesame, confermava il
provvedimento con il quale era stato disposto il sequestro in
relazione ad alcune apparecchiature informatiche che, secondo
le doglianze del ricorrente, non sarebbe avvenuto secondo le
corrette procedure forensi da applicarsi al caso concreto
(utilizzo di procedure di hashing)
Casi concreti: usi e abusi degli istituti - IV
27. 27
Secondo la Suprema Corte le operazioni effettuate in occasione
del sequestro sono da considerarsi correttamente eseguite sia
sotto il piano fattuale che giuridico:
- come si evince dal verbale, i file oggetto di sequestro sono
stati masterizzati su 4 cd-rom non riscrivibili uno dei quali
lasciato a disposizione dell'ausiliario di P.G. (tecnico
Unicredit) che ha sottoscritto i cd-rom in questione
- le misure tecniche idonee sono state rispettate dalla
duplicazione su cd non riscrivibili e dall'assistenza del tecnico
- del tutto estranea è la questione riguardante l'hashing
- Detto meccanismo non viene richiamato dalla norma per cui
si ritiene non operante qualsiasi obbligo in tal senso
Consegue il rigetto del ricorso
Casi concreti: usi e abusi degli istituti - V
28. 28
• Il caso: la legittimità delle cd perquisizioni on-line ad opera di
dispositivi di one-time copy silenti
• La Corte Costituzionale Tedesca nella sentenza del 27 febbraio
2008 ne dichiara l’incostituzionalità in quanto:
ü L’intrusione prevista va oltre ai dati privati permettendo una
completa profilazione dell’utente (estensione tutela del domicilio)
ü Rafforza il diritto all’autodeterminazione informativa che va oltre la
tutela della privacy, conferendo alla persona il potere di
determinare, da sé, la divulgazione e l’utilizzo dei suoi dati
personali, anche se connotati da un contenuto informativo minimo
(amplia tutela della libertà della vita privata)
ü Crea un “nuovo” diritto alla riservatezza e integrità del sistema
informatico o telematico proprio perché attraverso gli stessi
l’individuo moderno traspone ed esplica parte della propria
personalità e in forza di ciò deve essere tutelato contro l’accesso
segreto
Un caso eclatante: il trojan di Stato
29. 29
• ISO/IEC 27037/12: Information technology -
Security techniques - Guidelines for
identification, collection, acquisition and
preservation of digital evidence
• Prima edizione: 15 ottobre 2012
L’apporto dei tecnici:
Il caso della ISO/IEC 27037/2012
30. 30
La ISO/IEC 27037/2012 e
richiami a norme precedenti
ISO/TR 15801:2009
• Document management - Information stored electronically -
Recommendations for trustworthiness and reliability
ISO/IEC 17020:2012
• Conformity assessment - Requirements for the operation of various types
of bodies performing inspection
ISO/IEC 17025:2005
• General requirements for the competence of testing and calibration
laboratories
ISO/IEC 27000:2012
• Information technology - Security techniques - Information security
management systems - Overview and vocabulary
31. 31
• Trattamento del dato informatico finalizzato al
repertamento mediante l’individuazione e definizione
di guideline fondamentali nelle fasi di:
ü Identificazione
ü Raccolta
ü Acquisizione
ü Conservazione
• Canone metodologico tale da preservare
l’integrità del dato al fine di renderlo ammissibile
come prova in giudizio
Applicabilità della ISO/IEC 27037/2012
32. 32
• Per ciascuna fase prevede
ü Documentazione (logging)
ü Traciabilità (chain of custody)
ü Priorità d’intervento (plan)
ü Imballaggio dei reperti (protection)
ü Trasporto dei reperti (real/virtual)
ü Ruoli nel passaggio dei reperti (who/why)
• NON si occupa di aspetti legali,analisi del dato,
strumentazione tecnica, referti, trattamento di dati
analogici
Applicabilità della ISO/IEC 27037/2012
33. 33
Destinatari della ISO/IEC 27037/2012
Digital evidence first responders (DEFR)
• Operatore che si avvicina e tratta per primo ai sistemi (supporti di
memorizzazione e dati) di potenziale interesse
Digital evidence specialists (DES)
• Operatore esperto di evidenze informatiche
Incident response specialists
• Operatore che si occupa del primo intervento post incidente
informatico
• In Italia spesso coincide (!) con l’amministratore di sistema
Forensic laboratory managers
• Operatore responsabile di laboratorio informatico
34. 34
• Per la gestione della prova costituenda si richiede la
sussistenza dei requisiti di I) pertinenza e rilevanza, II)
affidabilità, III) sufficienza
• Le operazioni devono essere
ü Verificabili: soggette a controllo esterno da parte di terzi (metodo
perseguito, software e tool impiegati, documentabilità)
ü Ripetibili: stesse procedure, stesso metodo,stessi strumenti,
stesse condizioni
ü Riproducibili: stesso metodo, strumenti diversi, condizioni diverse
ü Giustificabili: scelte operate erano le migliori possibili
Requisiti richiesti dalla ISO/IEC 27037/2012
35. 35
• Sulla scena del crimine il DEFR (Digital Evidence First Responder)
deve:
ü Proteggere lo status quo ambiente (digitale e fisico)
ü Valutare i rischi connessi alle operazioni
ü Parametrare il proprio agire in base al caso concreto
ü Considerare alcuni fattori quali la volatilità, cifrature o partizioni,
criticità nel sistema, risorse disponibili (tempo, memoria), la
rispondenza a norme giuridiche qualora il target sia il
dibattimento
• Situazioni critiche: dispositivi on/off, acquisizione totale/parziale
Precauzioni impartite dalla ISO/IEC 27037/2012
36. 36
Fase di Identificazione
Dispositivo digitale
Raccoglier
e o
acquisire?
Acceso
?
Raccogliere Acquisire
Raccolta di
dispositivi
digitali accesi
Raccolta di
dispositivi
digitali spenti
Acquisizione
di dispositivi
digitali accesi
Acquisizione
di dispositivi
digitali spenti
Acces
o?
Si No Si No
(Michele
Ferrazzano)
37. 37
Caso dei dispositivi accessi
37
Occorre
analisi
live?
I dati
sono
stabili?
Occorrono
altri
dispositivi
?
Spegnimento
normale
Unplugging
Etichettare e scollegare
e mettere in sicurezza
Raccogliere
quello che
serve
Inizio
Fine
Si
Si
Si
No
No
No
Dati
volatili
utili?
In uso
cifratura
?
Acquisizione
live di dati
volatili
Dati non
volatili
utili?
Acquisizione
live di dati non
volatili
No
No
Si
Si
No
Si
(Michele
Ferrazzano)
38. 38(Michele
Ferrazzano)
38
Il device
ha una
batteria?
Occorrono
altri
dispositivi
?Rimuovere
l’alimentazione
ele3rica
e
la
ba3eria
Raccogliere
quello che
serve
Inizio
Fine
Rimuovere
l’alimentazione
ele3rica
No
S
i
No
Si
Rimuovere
l’hard
disk
E;che3are
l’hard
disk
Etichettare,
scollegare e mettere
in sicurezza
Caso dei dispositivi spenti
39. 39
Aziende e reati informatici
• Legge 23 dicembre 1993 n. 547 rende possibile la punibilità dell’autore
del delitto informatico
• La maggior parte delle aziende non si era posta seriamente il
problema di impedire la commissione di reati informatici al suo interno,
confidando da un lato sul fatto che di essi era comunque responsabile
penalmente esclusivamente il suo autore, sempre laddove fosse
identificato, e dall’altro sperando che ciò non accadesse mai
• Con l’entrata in vigore della legge 48 l’azienda è inevitabilmente
costretta a cambiare impostazione in quanto è prevista l'estensione
della responsabilità amministrativa delle persone giuridiche (le
aziende), come prevista dal decreto legislativo 231/01, ai reati
informatici commessi da un suo vertice o da un dipendente
dell’azienda allorquando ciò avvenga nel suo interesse o abbia
apportato alla stessa un vantaggio
40. 40
Modifiche al dlgs n°231/2001
Il dlgs n. 231/01 oggetto la responsabilità amministrativa
degli enti
Posizione della Cassazione: “ad onta del nomen iuris, la nuova
responsabilità, nominalmente amministrativa, dissimula la sua
natura sostanzialmente penale; forse sottaciuta per non aprire
delicati conflitti con i dogmi penalistici dell’imputazione criminale di
rango costituzionale (art 27 Cost)”
Cass., Sez II pen., 20 dicembre 2005, n°3165
Criteri di imputazione della responsabilità:
- Oggettivo: soggetti interni all’ente che rivestano la posizione di
“apicale” o “sottoposto”
- Soggettivo: mancata adozione di modelli organizzativi e di gestione
idonei a prevenire la commissione di illeciti
41. 41
Modifiche al dlgs n°231/2001
In dettaglio:
ü Falsità in documento pubblico
informatico o avente efficacia
probatoria – art 491bis c.p.
ü Accesso abusivo a un sistema
informatico o telematico – art
615 ter c.p.
ü Detenzione e diffusione abusiva
di codici d’accesso – art
615quater c.p.
ü Danneggiamenti informatici di
sistemi - artt 635 quater e
quinquies c.p. – e di dati – artt
635 bis e ter c.p.
ü Diffusione di apparecchiature,dispositivi,
programmi informatici diretti a
danneggiare o interrompere un sistema
informatico o telematico – art 615
quinquies c.p.
ü Intercettazione,impedimento o
interruzione illecita di comunicazioni
informatiche o telematiche art 617 quater
c.p.
ü Installazione di apparecchiature atte a
intercettare – art 617 quinquies c.p.
ü Frode informatica del certificatore di firma
– art 640 quinquies c.p.
La responsabilità può essere imputata all'ente anche nel caso in cui non
venga rintracciato l’autore materiale del reato
L’art 7 della legge n. 48 estende la responsabilità amministrativa degli
enti alla maggior parte dei reati informatici
42. 42
Modifiche al dlgs n°231/2001
La ratio dell’estensione:
• Da un lato tentativo di attuare una più stretta cooperazione
internazionale a fronte del crescente uso delle tecnologie
informatiche da parte della criminalità organizzata
• Dall’altro rafforzamento della tutela in materia di
concorrenza: può pacificamente constatarsi come sistemi
informatici e telematici risultino oggi potenti strumenti ad
attuazione della concorrenza sleale
• Efficace deterrente contro l’attività di spionaggio industriale
o azioni anticoncorrenziali
43. 43
Modifiche al dlgs n°231/2001
• Per beneficiare dell’esimente (esclusione di responsabilità)
l’ente dovrà dotarsi di un modello organizzativo idoneo a
prevenire la commissione dei reati
• Non basta redigere il predetto modello organizzativo; è
necessario che lo stesso risponda alle seguenti esigenze:
- individuare le attività nel cui ambito possono essere commessi reati
- prevedere specifici protocolli diretti a programmare la formazione e
l’attuazione delle decisioni dell’ente in relazione ai reati da prevenire
- individuare modalità di gestione delle risorse finanziarie idonee ad
impedire la commissione dei reati
- prevedere obblighi di informazione nei confronti dell’organismo
deputato a vigilare sul funzionamento e l’osservanza dei modelli
- introdurre un sistema disciplinare idoneo a sanzionare il mancato
rispetto delle misure indicate nel modello
44. 44
Modifiche al dlgs n°231/2001
Conseguenze:
• Implementazione dei modelli organizzativi
• I cd modelli 231 dovranno necessariamente prevedere un’attenta
analisi dell’intera architettura dei sistemi informativi e informatici in uso,
come ad esempio particolari procedure d’accesso, security policies che
risultino già ex ante idonee all’eliminazione del rischio di essere soggetto
(attivo o passivo) a reati informatici
• Si vedano, ad esempio, alcune misure minime che dovrebbero adottarsi:
ü backup a frequenze prestabilite
ü sistemi di accesso mediante password gestite con procedure rigorose
ü protezione fisica degli uffici e dei terminali
ü identificazione di ogni responsabile all’accesso (in particolare se a dati
sensibili)
ü verifiche periodiche e report da parte di Organismo di Vigilanza
45. 45
Modifiche al dlgs n°231/2001
In sostanza l’azienda dovrà porre in essere una strategia
preventiva idonea sotto il profilo:
- della commissione di reati informatici al suo interno, dove quindi
assume forte rilevanza un potenziamento della sicurezza informatica
(apporto tecnico e giuridico)
- dell’esclusione di responsabilità nelle ipotesi in cui le misure
adottate, idonee sul piano pratico, non siano state in grado di evitare
la commissione del reato: praticabile, ad esempio attraverso una
maggior responsabilizzazione di tutti i soggetti che vi lavorano (corsi di
formazione, questionari anonimi per testare la preparazione nonché
sensibilità al tema dei soggetti coinvolti)
46. 46
• art 132 del dlgs n. 196/2003 l’introduzione nei comma 4-ter, 4-
quater, 4-quinquies il cd congelamento dei dati per ragioni
urgenti, conferendo ampi poteri alle forze di polizia e ai servizi
segreti
• Sembra limitato ai casi eccezionali e urgenti di cui all’art 226
del dlgs n. 271 del 1989 in tema di indagini e intercettazioni
preventive, in realtà si aggiunge una formula di fatto generica
indicante “finalità di accertamento e repressione di specifici
reati”
• Profili critici:
ü Eccessiva apertura appare in contrasto con la previsione a
carattere eccezionale
ü A livello sistematico non dovrebbe essere contenuta in
norme extraprocessuali
Modifiche alla disciplina della data retention - I
47. 47
Modifiche alla disciplina della data retention - II
Gli obblighi previsti
ü Conservazione dei dati di traffico per un periodo di 90 giorni
prorogabile fino a sei mesi per finalità di indagine essenzialmente
preventiva
ü Applicabilità nei confronti del service provider dell’art 326 c.p. in
ipotesi di rivelazione del segreto connesso all’ordine di
conservazione ricevuto
ü Convalida di detto provvedimento entro 48 ore ad opera del P.M
Profili critici: più opportuna delega al GIP del luogo dell’esecuzione
del congelamento dei dati ovvero del luogo in cui i dati sono
conservati così da assicurare la necessità di tale strumento secondo
valutazione di un organo terzo
48. 48
• Art. 51 c.p.p. Competenza: Le attività d’indagine per i
computer crime (reati previsti del Codice penale: 615-
ter, 615-quater, 615-quinquies, 617-bis, 617-ter, 617-
quater, 617-quinquies, 617-sexies, 635-bis, 635-ter,
635-quater, 640-ter e 640-quinquies) e per i reati di
pornografia infantile on-line sono ad oggi devolute agli
uffici del P.M. presso il tribunale del capoluogo del
distretto di corte d’appello.
Modifiche al c.p.p. : la competenza distrettuale - I
La ratio è di accentrare e creare distretti con competenze
specializzate nel crimine informatico, similmente a come si fece
nel 1991 con la creazione del pool antimafia
49. 49
Modifiche al c.p.p. : la competenza distrettuale - II
Profili critici:
• Mancanza coordinamento fra delitti introdotti dalla l. n°48 e “nucleo”
originario dei cd cybercrime: manca il richiamo (ingiustificato) all’art
635-quinquies c.p.
• Eterogenee attribuzioni e rischi di “gigantismo dell’ufficio”
• Mancanza di un efficace coordinamento informativo a livello interno
(si veda il parallelo con DNA, DDA, DIA)
• Tecnologia è mutevole: necessità di investire in formazione continua
a favore di ufficiali di P.G. e magistratura
• Timori di un sovraccarico di lavoro capace di incidere di fatto in
maniera negativa sulla doverosità dell’esercizio dell’azione penale
50. 50
Dato giuridico: modifiche introdotte dalla legge n. 48/2008
Dato tecnico: ISO IEC 27037/2012
Panorama giurisprudenziale mostra la delicatezza del tema:
- Da un lato possibili meccanismi distorsivi degli istituti
d'investigazione con connotati informatici
- Dall'altro necessità a una corretta interpretazione delle
norme tanto in chiave tecnica quanto in chiave giuridica,
mediante lettura costituzionalmente orientata delle norme
(art. 111 Cost. )
Conclusioni
51. 51
Riferimenti
• Cajani F., Appunti per una strategia globale di contrasto del cybercrime, IISFA
Memberbook 2011, Experta, 2012
• Corasaniti G., Corrias Lucente G. (a cura), Cybercrime, responsabilità degli utenti,
prova digitale, Cedam, 2009
• Galdieri P., Le aziende non possono più “snobbare” i reati informatici,
www.interlex.it, 2008
• ISO/IEC 27037/2012, Information technology – Security techniques – Guidelines for
identification, collection, acquisition, and preservation of digital evidence, 2012
• Luparia L. (a cura), Sistema penale e criminalità informatica, Giuffrè, 2009
• Maioli C., Sanguedolce E., I ''nuovi'' mezzi di ricerca della prova fra informatica
forense e L. 48/2008, http://www.altalex.com/index.php?idnot=18096, 2012
• Picotti L., La ratifica della Convenzione Cybercrime del Consiglio d’Europa, Diritto
penale e processo, 2008
• Procura della Repubblica di Milano, Materiali per la P.G.,
www.procura.milano.giustizia.it/materiali-polizia-giudiziaria.html, 2011
• Sanguedolce E., Informatica forense e legge 48/2008, www.bit2law.wordpress.com,
2012
• Vaciago G., Digital evidence, Giappichelli, 2012
• Walden I., Computer crimes and digital investigations, Oxford University Press,
2007
http://www.cirsfid.unibo.it/CIRSFID/Centro/AreeDisciplinari/Informatica_Forense.htm