PRESENTAZIONE
VII
PRESENTAZIONE
Il progressivo diffondersi degli strumenti e delle tecnologie digitali ha
prodotto l‟inevitabile aumento della criminalità informatica, impegnando il
Legislatore nell‟individuazione di nuove figure criminose, il cui insieme ha
dato vita ad una nuova categoria di reati: quella dei computer crime o reati
informatici.
Questa situazione ha comportato la nascita di una nuova disciplina giuridica,
che realizza l‟incontro del diritto con l‟informatica: la computer forensics
(informatica forense), finalizzata all‟individuazione delle prove nei supporti
informatici, ed ha favorito, a livello privato, la nascita di nuove figure
professionali, tra le quali spicca quella del cyberdetective (investigatore
informatico), mentre a livello pubblico ha indotto gli apparati preposti alla
prevenzione e alla repressione dei reati ad apprestare risorse umane e
tecnologiche in grado di opporsi con la dovuta efficacia a un fenomeno in
costante espansione. Questa attività di contrasto si realizza attraverso una
nuova forma d'investigazione: le indagini digitali, oggetto del presente lavoro.
Il testo si propone di analizzare l‟argomento sotto un duplice profilo: tecnico
e giuridico, ed è articolato in sette capitoli. La trattazione muove
dall‟informatica forense, alla quale è dedicato il primo capitolo e di cui le
indagini digitali costituiscono il versante operativo, indispensabile ai fini
dell‟acquisizione delle prove e quindi all‟accertamento della violazione.
PRESENTAZIONE
VIII
Il secondo e il terzo capitolo sono dedicati, rispettivamente, alle fonti
normative della materia e al raggio d‟azione delle indagini digitali -in pratica
tutti i campi del diritto, stante la diffusione capillare di computer, cellulari ed
altri analoghi dispositivi-, con particolare riguardo ad alcune tra le figure
criminose in cui questa forma d‟investigazione è in grado di esprimere al
meglio la sua incisività.
Il quarto capitolo esamina la prova digitale dal punto di vista tecnico, ossia
vista attraverso le varie fasi dell‟attività investigativa, mentre il quinto capitolo
tratta la prova digitale sotto il profilo giuridico, anche alla luce degli strumenti
d‟indagine a disposizione degli inquirenti e del difensore.
Il sesto e il settimo capitolo sono riservati, rispettivamente, all‟antiforensics
(ossia agli accorgimenti posti in essere per cercare di sottrarsi all‟azione della
computer forensics) e alle strutture preposte all‟attività di contrasto al
cybercrime.
Chiudono il lavoro le conclusioni, la bibliografia e l'elenco dei riferimenti
normativi.
Un particolare e sentito ringraziamento al relatore Prof. Gianfranco Caridi, per
l’incondizionata disponibilità con la quale ha seguito la stesura del presente lavoro, al
correlatore Prof. Gianluigi Ciacci per la sagacia delle osservazioni e al Cap. Andrea
Ceccobelli del GAT - Nucleo Speciale Frodi Telematiche della Guardia di Finanza - per i
preziosi consigli e suggerimenti.
CAPITOLO I
L’INFORMATICA FORENSE
« …is the collection of technique and tools used to find evidence in a
computer».
«…è l’insieme della tecnica e degli strumenti usati per cercare la prova in un
computer».
M. A. CALOYANNIDES
L'INFORMATICA FORENSE
2
1.1 - PROSPETTIVE DELL'INFORMATICA - L'ETICA DIGITALE
L'informatica, una disciplina scientifica quasi sessantenne ma costantemente
proiettata verso nuovi e brucianti traguardi, è destinata a pervadere con sempre
maggiore intensità ogni ambito della vita sociale: basti pensare all‟avvento di
Facebook, nato come semplice annuario all‟interno di un campus statunitense
ma che negli ultimi anni ha prodotto una moltiplicazione e un‟accelerazione
delle relazioni sociali, diventando una fonte d‟informazione libera che, in
alcuni casi, ha dato vita a movimenti di protesta se non rivoluzionari
1
. E‟
sull‟onda di questi fermenti che nelle elezioni regionali tenutesi nel settembre
2011 il Partito dei pirati informatici, un movimento nato attraverso il web e
composto da giovani che si battono fra l‟altro per la liberalizzazione di
Internet e del copyright, ha conquistato 15 dei 149 seggi nel Parlamento del
land di Berlino.
L‟informatica, per il fatto che l'operatore incaricato di trattare materiale
digitale viene a contatto di dati sensibili, esige il rispetto di norme etiche
particolarmente severe, a tutela della privacy del cittadino; le aziende
2
che
1
Le autorità cinesi hanno deciso di limitare ulteriormente l‟accesso a determinati siti, estendendo così
il blocco anche ad alcuni dei social network più usati al mondo come Facebook, YouTube, Flickr e
Twitter. I limiti imposti a Internet in Cina erano già tristemente noti, tanto che l‟insieme delle
restrizioni è stato sprezzantemente denominato la grande muraglia digitale. Per il governo cinese è
indispensabile che tutti i suoi 1,3 miliardi di abitanti (praticamente un quinto della popolazione
mondiale) rimangano all‟oscuro degli eventi di 20 anni fa, e che qualsiasi fonte di dissenso venga
stroncata ancor prima di nascere.
2
Recentemente Apple e Google sono stati accusati di violazione della privacy attuata tramite
l‟acquisizione degli spostamenti GPS dei cellulari. In particolare, è stato accertato che il telefonino di
Apple non solo registrava tutti i dati del titolare, compresi gli orari di spostamento e le coordinate
geografiche, ma conservava e archiviava ogni dettaglio in un file segreto che veniva salvato durante il
backup con iTunes. Il problema sembra essere stato definitivamente risolto con successivi
aggiornamenti firmware.
L'INFORMATICA FORENSE
3
operano in particolari settori, per esempio, hanno la possibilità di accedere a
diversi dati personali dei clienti: basti pensare alle tessere dei supermercati, il
cui utilizzo mette la direzione in grado di verificare, in tempo reale, la qualità
e la quantità dei consumi di ogni singolo compratore, per studiarne le abitudini
di acquisto e regolarsi di conseguenza.
Queste norme, il cui insieme concorre a formare un vero e proprio codice
etico-informatico, sono ancora più rigorose quando si tratti di condurre
indagini digitali, dal momento che l‟analista viene molto spesso a conoscenza
di dati e situazioni personali, anche molto delicate e riservate, riguardanti
soggetti estranei all‟investigazione, che in quanto tali necessitano di una tutela
ancora più stretta: si pensi alle recenti polemiche sollevate dalla pubblicazione
sui media di intercettazioni telefoniche relative a soggetti non indagati o
comunque irrilevanti ai fini dell'investigazione.
Un codice etico è stato messo a punto dall'HTCIA
3
, i cui membri devono
attenersi a determinati standard comportamentali, quali:
Mantenere un alto livello di oggettività durante le procedure forensi ed
esaminare scrupolosamente le prove.
3
L‟High Technology Crime Investigation Association favorisce lo scambio di dati, esperienze,
informazioni, conoscenze e idee sui processi, le procedure, i metodi e le tecniche in materia di
indagini e di sicurezza delle tecnologie avanzate e delle nuove tecnologie introdotte nel campo della
medicina legale e delle indagini di polizia giudiziaria. L‟HTCIA promuove anche l'uniformità nei
metodi investigativi e sviluppa temi di reciproco interesse per la collaborazione tra le Forze
dell'Ordine e l'industria privata, al fine di favorire la crescita nella conoscenza dei metodi e delle
tecniche d‟indagine. Le conferenze HTCIA sono riservate soprattutto ad analisti forensi, investigatori
di cybercrime, security manager, magistrati, avvocati, e ufficiali di polizia.
L'INFORMATICA FORENSE
4
Usare metodologie universalmente accettate dagli studiosi del settore e
basate su princìpi validi e dimostrabili.
Emettere giudizi che abbiano una base sensatamente comprovabile e
che non siano di difficile comprensione.
Non manipolare la prova oltre i limiti delle proprie capacità tecniche e
professionali.
Non fornire informazioni false.
Offrire collaborazione agli altri operatori impegnati nelle indagini.
Le prospettive dell‟informatica sono allo stato imprevedibili, se dobbiamo
stare all‟escalation di applicazioni rese possibili dall‟uso di computer e
telefoni cellulari negli ultimi tempi, assolutamente impensabili soltanto pochi
anni fa.
1.2 - MOLTEPLICITA’ DI DEFINIZIONI
Premesso che dell‟informatica forense esiste più di una definizione,
l‟aggettivo forense deriva dal latino fŏrensis, che significa del Foro, ossia
pubblico, essendo appunto il Foro il luogo nel quale si svolgeva la vita politica
e giudiziaria dell'Antica Roma. Nel linguaggio moderno forense individua ciò
che è “inerente all’attività giudiziaria”, caratterizzata, questa, da molteplici
sfaccettature e alla quale la computer forensics offre un supporto scientifico in
molti casi decisivo ai fini investigativi.
L'INFORMATICA FORENSE
5
La complessità e la varietà dell‟attività giudiziaria ha dato vita a una serie di
nuove discipline, di cui la computer forensics è una delle ultime, ma solo in
ordine di tempo, dal momento che il suo ruolo, come appena detto, è sempre
più spesso determinante nella soluzione di casi giudiziari. Tutte queste
discipline, raccolte nella denominazione di scienze forensi e fra loro
opportunamente coordinate, consentono di pervenire alla soluzione della
maggior parte dei casi giudiziari.
Nell‟immagine che segue
4
sono raggruppate le varie discipline scientifiche e
giuridiche in cui si articolano le scienze forensi.
Tornando alla computer forensics, come anticipato, numerose sono le
definizioni che, nel corso degli anni, sono state date di questa nuova
4
http://www.acisf.it/fellows_exclusive_area/default.aspx
L'INFORMATICA FORENSE
6
disciplina: spiccano su tutte quelle degli statunitensi M.A. Caloyannides e J.R.
Vacca, e quella dell‟italiano Cesare Maioli.
Per il Caloyannides la computer forensics è «l’insieme della tecniche e degli
strumenti usati per cercare la prova in un computer»
5
: ciò che avviene
attraverso l‟impiego di tool apprestati specificamente per il mondo forense.
Più ampia la definizione di J.R. Vacca, per il quale la computer forensics
«…concerne la protezione, identificazione, estrazione e documentazione della
prova informatica memorizzata come dato o come informazione codificata
magneticamente»
6
, prova informatica che, per essere assunta in un processo,
deve rispondere a determinate caratteristiche.
Per il Maioli, infine, che dà dell‟informatica forense una definizione ancora
più articolata e tecnica, essa «studia ai fini probatori i processi, le tecniche e
gli strumenti per l’esame metodologico dei sistemi informatici (memorie, hard
disk, floppy disk, nastri, cartaceo, altri), nonché l’analisi forense di ogni
sistema informatico e telematico (computer, rete di computer, e ogni altro
dispositivo per il trattamento di dati in formato digitale), l’esibizione della
prova elettronica, l’esibizione del dato digitale, il recupero di dati e la loro
esibizione, l’analisi ed esame del sistema informatico e telematico»
7
.
5
M.A. Caloyannides, Computer forensics and Privacy, Norwood, MA, 2001.
6
J. R. Vacca, Computer forensics - Computer Crime Scene Investigation, Charles River Media,
Hingham, Massachussetts 2002, Intr., XIX
7
C. Maioli, Elementi introduttivi di informatica forense, Bologna Ordine dei commercialisti
16/6/2006.
L'INFORMATICA FORENSE
7
Se analizziamo la definizione del ricercatore italiano possiamo notare
l‟approccio prettamente statunitense che correla la prova digitale ai crimini
informatici, prova digitale per la cui acquisizione devono essere rispettati dei
principi basilari che non alterino il sistema informatico e le fonti di prova da
analizzare.
1.2.1 - Computer, intrusion e network forensics
Lo statunitense Gene Spafford propone la seguente tripartizione, che negli
anni successivi verrà integrata in seguito alla nascita di nuove tecnologie:
COMPUTER FORENSICS
INTRUSION FORENSICS
NETWORK FORENSICS
Della computer forensics s‟è detto in 1.2. Quanto alla intrusion forensics
(IF), s‟intende per essa «l'identificazione di quegli utenti che stanno
impiegando (o tentando d’impiegare) le risorse di un sistema informatico
senza averne i richiesti privilegi»
8
.
La intrusion forensics, cresciuta a cavallo degli anni 90 e tornata di attualità
dopo gli eventi dell'11 settembre 2001, a causa della diffusione massiccia di
virus e worms, comprende l'acquisizione e l'analisi dei dati di rete per mezzo
di metodologie e tecniche d'informatica forense. Obiettivo primario di essa è
8
B. Mukherjee, T. L. Heberlein e K. N. Levitt, Network Intrusion Detection, IEEE Network, 8(3): 26-
41, May/June 1994.
L'INFORMATICA FORENSE
8
identificare l'autore o il promotore di attività di rete sospetti; trattasi quindi di
un‟analisi condotta ex post, che differisce dalla computer forensics (CF) per i
seguenti motivi:
La IF ha come scopo l‟individuazione degli attacchi informatici
9
,
mentre la CF è intenta alla ricerca di evidenze digitali anche molto
complesse.
La IF risulta più efficace se svolta nell‟immediatezza
dell‟intrusione, cosa che non è strettamente necessaria per la CF.
La IF è molto più flessibile, in quanto utilizza l‟Intrusion Detection
System
10
(tool in grado di monitorare in tempo reale gli eventi di un
sistema in modo da evidenziare problemi di sicurezza), in virtù del
quale può anche prescindere dalle garanzie legali previste
dall‟acquisizione mediante CF.
La network forensics, infine, «...è il prelievo, la memorizzazione e l'analisi
degli eventi di rete al fine di identificare la sorgente degli attacchi alla
sicurezza o l'origine di altri problemi del sistema di rete...»
11
.
9
E‟ interessante notare come molte aziende organizzino degli hacking contest (gare), con i
partecipanti intenti a cercare eventuali bug, per consentire all‟azienda di provvedere alla loro
neutralizzazione (vedi 3.3.3).
10
R. Bace e P. Mell, Intrusion Detection Systems, National Institute of Standards and Technology
Special Publication on IDS, November 2001.
11
M. Ranum , Network Forensics and Traffic Monitoring, Computer Security Journal, Vol. XII, 2
novembre 1997.
L'INFORMATICA FORENSE
9
Come si evince dalla definizione, questa disciplina si occupa sia degli aspetti
tecnici, sotto il profilo dei problemi di sicurezza, che di quelli giuridici, in
termini di validità delle prove da fornire in dibattimento. Un‟importante
precisazione riguarda le autorizzazioni legali; spesso, infatti, i reati commessi
su una rete non riguardano solo il soggetto attinto, ma un numero indefinito di
utenti, che ne sono coinvolti in quanto utilizzatori di un servizio: si pensi al
sequestro di un server ISP.
E‟ su questo terreno che andrebbe favorita una più stretta collaborazione tra
AG e periti informatici, affinché siano concesse le autorizzazioni minime che
si adattino al caso specifico, in modo da non sconfinare in violazione della
privacy.
1.2.2 - La corporate forensics
Non è raro che l‟illegalità informatica si annidi all‟interno di un ufficio della
PA o, più spesso, di un‟azienda, con protagonisti dipendenti o dirigenti
infedeli (insider) che si servono di hardware e software della struttura in cui
operano per fini personali. I casi più ricorrenti riguardano la navigazione su
Internet e l‟utilizzo di videogiochi, ma non sono mancate situazioni in cui il
dipendente utilizzava il sistema di elaborazione dati dell‟azienda per svolgere
un‟attività professionale (per esempio amministrazione di condomìni), magari
in concorrenza con quella della stessa azienda. Alla sottrazione di tempo, e
L'INFORMATICA FORENSE
10
quindi di produttività, alle esigenze aziendali, va aggiunto il rischio
d‟introdurre accidentalmente dei virus nel sistema informatico dell‟impresa.
Da qui l‟esigenza di apprestare un‟azione di contrasto a quella che va sotto il
nome di criminalità intraziendale, il che avviene attraverso quella che
risponde al nome di corporate forensics.
Per chiarire il concetto di forense aziendale è utile prendere spunto da uno
studio condotto da alcuni esperti della società Sun Mycrosistems
12
, i quali,
indicando delle linee guida, definiscono le indagini all‟interno dell‟azienda
come la «cattura, analisi e registrazione d'informazioni ottenute da un sistema
o da un’applicazione per determinare la fonte dell’attacco subìto all’interno
dell’azienda»
13
.
Gli obiettivi indicati dallo studio possono essere così riassunti:
- determinare qual è l‟evento accaduto in azienda;
- recuperare, memorizzare e preservare la fonte di prova nel caso in cui
l‟azienda decida per un‟eventuale azione legale;
- usare quel fatto per prevenire altri attacchi simili;
- individuare le motivazioni degli attaccanti.
12
Era un'azienda della Silicon Valley, produttrice di software e semiconduttori, nota fra l‟altro per
avere prodotto il linguaggio di programmazione Java. Nel 2010 è stata acquisita dalla Oracle
Corporation e ridenominata Oracle America Inc.
13
J. Weise e B. Powell, Using Computer Forensics When Investigating System Attacks, Sun Client
Solutions Security Expertise Center Sun BluePrints™ OnLine, 2005.
L'INFORMATICA FORENSE
11
Per attuare questo procedimento occorre rintracciare ogni informazione,
fisica o elettronica (come eventi, log file, report, immagini di disco), utile alle
indagini, nell‟eventualità che l‟azienda decidesse di adottare misure interne o
di adire le vie legali.
In molti casi le aziende preferiscono non denunciare le violazioni subite, per
evitare di pregiudicare la propria immagine nei confronti di clienti e fornitori;
il ristoro dei danni sofferti, infatti, sarebbe inferiore alle perdite economiche
riconducibili alla diffusione della notizia.
Come tutelare i lavoratori coinvolti?
A questo interrogativo risponde una delibera del Garante della privacy
14
, che
riporta una sorta di vademecum per l‟utilizzo della posta elettronica e di
Internet da parte dei dipendenti, atto a prevenire usi arbitrari. A riguardo il
datore di lavoro deve, d‟intesa con i sindacati, informare i dipendenti, in modo
chiaro e dettagliato, sulle modalità di utilizzo di Internet e della posta
elettronica, e della possibilità che possano essere disposti controlli, attuabili,
però, solo in casi eccezionali, poiché le email possono avere un contenuto
privato, mentre dall‟analisi dei siti web visitati si possono ricavare
informazioni riservate. Non è consentito, pertanto, il monitoraggio sistematico
delle email e delle pagine web visitate dal lavoratore, in quanto in contrasto
14
Le linee guida del Garante per posta elettronica e Internet, G.U. n. 58 del 10/3/2007.
Ricevi informazioni sui nostri servizi, sulle offerte e non perdere news e consigli su università e lavoro.