Slide utilizzate durante la conferenza “Il consulente tecnico informatico nel processo”, organizzata dall'Osservatorio Nazionale d'Informatica Forense, tenutasi a Roma il 28 aprile 2016.
Daniele Lunassi, CEO & Head of Design @Eye Studios – “Creare prodotti e servi...
Il consulente tecnico di informatica forense
1. IL CONSULENTE TECNICO DI INFORMATICA FORENSE
IL CONSULENTE TECNICO INFORMATICO NEL PROCESSO
Roma, 28 aprile 2016, 14:30 – 18:10
Sala Pastorelli – Via Genova, 3/a – Ministero dell’Interno c/o Dip. Vigili del Fuoco
La necessità di comprendere il valore di una competenza
sempre più utilizzata ma non adeguatamente valorizzata
Guida alla scelta per il giurista: requisiti, formazione, competenze, analogie e diversità con consulenti di altre
scienze
3. • Interdisciplinarità
• Assenza di percorso specifico dedicato (in Italia)
• Possibile percorso formativo:
• Laurea in ingegneria informatica o in informatica
• o altre equivalenti (matematica, fisica, ing. elettronica…)
• Ove disponibili, con insegnamenti su Informatica forense
• Post laurea specializzante su informatica forense
• Dottorato di ricerca, master, corsi di perfezionamento o di alta formazione in ambito universitario o
certificazioni specifiche
• Aggiornamento continuo
• Partecipazione a convegni, seminari, eventi formativi, materiale bibliografico…
Formazione
4. • Competenze tecniche
• Competenze giuridiche
• Competenze linguistiche e di presentazione in pubblico
Competenze
5. Competenze tecniche
• Competenze trasversali in materia di
informatica
• Sistemi operativi
• Architettura degli elaboratori
• File system
• Formati file
• Programmazione (algoritmi e linguaggi)
• Reti e protocolli di comunicazione
• Sicurezza informatica
• Tecnologie del web
• …
• Competenze specifiche di
informatica forense
• Linee guida e standard in materia
• Software e hardware per acquisizione e
la conservazione delle fonti di prova
• Catena di custodia
• Software e hardware per analisi dei dati
• Redazione di report e relazioni tecniche
• Competenze per casi specifici
• Es. malware, analisi video e immagini…
6. • Conoscenza di base del codice penale, del codice di procedura penale, del
codice civile, del codice di procedura civile
• Ruolo, compiti, limiti del Consulente Tecnico e del Perito
• Norme specifiche sull’informatica forense
• Legge 48/2008 e Convenzione di Budapest 2001
• Norme specifiche sull’informatica
• CAD, D.Lgs. 196/2003…
Competenze giuridiche
7. • L’informatica forense è storicamente associata all’ambito penale
• Interviene in tutti i campi del diritto in cui siano presenti evidenze informatiche
• Si opera con diversi ruoli e responsabilità a seconda dell’ambito e dell’interlocutore:
• in ambito penale
• Ausiliario della Polizia Giudiziaria
• Consulente Tecnico del Pubblico Ministero
• Consulente Tecnico di Parte (breviter, CTP) dell’imputato/indagato, delle parti civili, delle parti offese Perito del
Giudice
• in ambito civile
• Consulente Tecnico d’Ufficio (breviter, CTU) del Giudice
• Consulente Tecnico di Parte (breviter, CTP)
• Albi dei CT e Periti presso i Tribunali
• Quasi sempre inesistente categoria Informatica
• Ove presente, filtri laschi
Ambiti di attività
8. • Non si pensi solo a casi di reati informatici in senso stretto
• Qualche esempio:
• Pagina web per individuare il reale autore in caso di diffamazione
• Email in procedimento del lavoro
• SMS in caso di separazione
• Filmati di videosorveglianza in caso di rapina
• Fotografie per contestazione violazione codice della strada (velocità e photored)
• …
Ambiti di attività
9. • L’informatica forense interviene per conto delle parti anche fuori dalle aule di
giustizia
• Qualche esempio:
• Azienda che intende verificare comportamento del proprio dipendente
• Tavoli di transazioni relativi ad aspetti tecnici
• Progetti e contratti informatici
• …
Ambiti di attività
10. • Spesso si comincia:
• in collaborazione come ausiliario di professionisti già operanti sul campo da diversi anni
• in servizio presso reparti specializzati di Polizia Giudiziaria
• presso aziende in settori legati all’informatica forense (sicurezza, incident response,
intelligence…)
• Per cominciare:
• attività tecniche più semplici
• acquisizioni e alcune tipologie di analisi
• scrittura report riepilogativi
• partecipazioni come «uditore» a conferimento incarico, operazioni collegiali, udienze…
I primi passi dell’informatico forense
11. • Professionalità nello svolgimento dell’incarico
• Correttezza nei confronti delle parti
• Spesso CT del PM troppo orientati all’accusa, dimenticano di raccogliere/mostrare prove a favore
dell’indagato
• Spesso Periti del Giudice, abituati a lavorare come CT del PM, tendono ad avallare la tesi
accusatoria
• Saper riconoscere i propri limiti e rinunciare a incarichi fuori portata o chiedere collaborazione di
esperti del caso specifico
• Capacità di interloquire con le altre parti processuali, nel rispetto degli specifici ruoli
• Riservatezza rispetto alle informazioni apprese nel corso degli incarichi
Caratteristiche etiche dell’informatico forense
12. • Aggiornamento continuo
• Corsi di formazione, convegni e seminari, lettura di bibliografia scientifica in materia (libri, paper,
pubblicazioni, riviste, blog...)
• Utilizzo di tecniche e strumenti riconosciuti dalla comunità scientifica per
l’acquisizione e la garanzia dell’integrità della evidenza informatiche
• Applicazione di metodi scientifici, verificati o verificabili, per l’analisi e
l’interpretazione dei dati
• Applicazione delle metodologie descritte nelle linee guida internazionali (es.
perquisizione, sequestro, trasporto, acquisizione dei dati...)
• Contributo critico personale in casi non perfettamente codificati (es. smartphone o acquisizioni su
sistemi in esecuzione)
Caratteristiche tecnico-scientifiche
dell’informatico forense
13. • L'esclusivo utilizzo di software opensource o gratuito spesso è indice di attività occasionale
• Settore popolato da tanti improvvisati
• Spesso vale l’equazione improvvisazione = pitoccheria
• «Uso software opensource, riesco a fare tutto anche meglio di software commerciali»
• «Non uso hardware, si fa tutto via software, sto molto attento e non ne ho bisogno»
• «Non mi serve investire, conta solo la mia competenza»
• «L’assicurazione professionale? A cosa serve? Non sono obbligato…»
• «Volete mettere in dubbio che abbia interesse a modificare i dati?»
• Per efficace esecuzione degli incarichi occorre svolgere la professione quotidianamente
• Conoscere criticità ed esigenze
• Per realtà piccole (1 professionista) investimento minimo di circa 20K € anno per un laboratorio
• Locali, utenze, hardware, licenze software, aggiornamento professionale
• Cifre che consentono già di valutare la serietà professionale di un CT e l’esperienza
• Es.: un consulente che chiede 1.000 € per un incarico che dura 1 settimana di lavoro uomo probabilmente non è compatibile
con questi requisiti!
Un parametri per la valutazione del CT:
la sua richiesta economica
14. • Il PM non dovrebbe dare incarico con quesito, grazie e arrivederci…
ma sarebbe più opportuno che prima fossero esposte al CT le esigenze
• CT dovrebbe illustrare criticità per guidare il PM a seconda del caso specifico
(359 o 360 c.p.p. ?)
• CT dovrebbe rifiutare di assumere incarichi conferiti in regime di 359 quando
sono a rischio di irripetibilità, a tutela sua, del PM, dell’indagine, di tutte le
parti coinvolte, del sistema giustizia
• Ritiro del materiale informatico nei luoghi in cui è custodito
• Avvio delle attività tecniche
• Ricognizione, identificazione e classificazione del materiale
• Acquisizione dei reperti mediante copia forense (ove possibile) o con la migliore
tecnica disponibile per lo specifico dispositivo
• Almeno duplice copia con calcolo dell’hash
• Conservazione e custodia del reperto originale e delle copie
Esempio di incarico per PM (1)
Queste
prime tre
fasi sono
collegiali nei
casi di
incarichi
conferiti ai
sensi del 360
c.p.p.
15. • Analisi dei dati
• Documentare strumenti utilizzati ed esiti, con maggior dettaglio possibile
• Possibilità di verificare anche con strumenti diversi
• Relazione tecnica
• Documento dove sono illustrate metodologie, strumenti utilizzati, esiti e valutazioni
• Utilizzare linguaggio rigoroso ma non solo tecnico; deve essere comprensibile anche per i giuristi
• Deposito della relazione tecnica (con eventuali allegati tecnici)
• Restituzione del materiale originale
• Solitamente dove era stato ritirato
• Può avvenire quando la consulenza è ancora in corso o successivamente al deposito della relazione tecnica
• Richiesta di liquidazione al PM
• Liquidazione da parte del Pubblico Ministero tipicamente calcolato in vacazioni
• 1 vacazione = 2 ore = 8,15 € lordi = circa 4 € lordi l’ora (max 4 vacazioni giornaliere, esclusi sabato, domeniche e festivi)
• Il PM dispone la liquidazione
• Potrebbe tagliare onorario e/o spese documentate
• Tanti tagliano richiesta di rimborso spesa hard disk per consegnare i dati (mediamente 2 x 100€) !
• Fatturazione dopo tempo variabile (anche anni)
• Eventuali presenze in aula per rispondere a quesiti e chiarimenti in merito alla consulenza tecnica consegnata
Esempio di incarico per PM (2)
16.
17. 1. Primo contatto con il cliente finalizzato a comprendere l’ambito di attività e stimare le
attività da svolgere
2. Colloquio dettagliato con il cliente e il legale, tipicamente telefonicamente o di persona,
per la definizione delle attività da svolgere e la strategia
3. Fornitura di un preventivo con il dettaglio delle operazioni da svolgere
4. Conferimento dell’incarico da parte del cliente e versamento di un acconto sull’importo
pattuito
5. Attività tecniche
6. Redazione di un report preliminare da sottoporre al cliente e al legale
7. Raccolta di segnalazioni e richieste di precisazioni/integrazioni da parte del cliente e del
legale
8. Redazione della relazione definitiva
9. In fase successiva si potrebbero rendere necessarie presenza alle udienze di dibattimento
e ulteriori attività (memorie, partecipazione a perizie o CTU…)
• Eventuale reiterazione delle attività indicate in grassetto
Esempio di incarico da una parte privata
18. • Casi nei quali è necessario procedere con
• Acquisizione e/o analisi, nonché valutazioni, di dati digitali. Ad esempio in merito a
• Supporti di memorizzazione di dati digitali
• Smartphone e GPS
• Sistemi complessi server, client o apparati di rete
• Pagine web
• Email
• Codice sorgente di programmi informatici
• Tabulati telefonici
• Mappe di copertura radio-elettriche
• Definizione e/o valutazione di
• Contratti ad oggetto informatico
• In generale, ogni volta che volete introdurre in un processo qualcosa che
vedete su uno schermo luminoso
Quando rivolgersi all’informatico forense?
19. Elenco semiserio di fatti realmente accaduti
Non è consulente d’informatica forense chi:
• “Ho la passione per i computer”
• “Sono laureato in informatica, ma non so cosa sia una copia forense”
• “Non sono laureato in informatica ma ho l’ECDL”
• “Conosco un Giudice/PM/Avvocato che abita nel mio quartiere e gli ho sistemato il
PC una volta. In questo modo ho iniziato a fare consulenze tecniche per lui e i suoi
colleghi”
• “Faccio da una vita trascrizioni di audio e fonica forense”
• “Sono un ottimo programmatore”
• “Faccio siti web da una vita”
• “La BTS xxxxx è quella di via Roma, me lo ha detto al telefono la Telecom”
Cosa/chi non è un informatico forense