e) Il crimine informatico e la volatilità degli elementi probator

Un altro elemento che non può certo essere trascurato è che nel cosiddetto cyberspazio, anonimato ed omologazione sono attributi che qualificano gli utenti virtuali e facilitano l'occultamento di prove reali e le identità personali dei soggetti che vi operano. Per questa ragione, nell'attività repressiva dei computer crimes, la collaborazione dei gestori dei servizi di telecomunicazione, dei servizi internet (Internet Service Provider), dei fornitori di connettività e degli altri operatori in campo è un elemento imprescindibile se si vogliono ottenere risultati concreti. La professionalità del personale impegnato nelle indagini deve essere supportata, soprattutto nella fase di acquisizione delle fonti prova, dalla collaborazione fattiva di tali soggetti nonché delle stesse vittime. Diversamente, la volatilità degli elementi probatori determina situazioni la cui complessità difficilmente potrebbe trovare soluzione.

La prova informatica o elettronica (la c.d. digital evidence, cfr. para 2.3 supra) è infatti connotata da due intrinseche caratteristiche: fragilità e immaterialità. Le tracce elettroniche sono fragili in quanto facilmente alterabili, danneggiabili e distruttibili. La fragilità della traccia elettronica è congenita ed intrinseca appunto; prescinde dunque da ipotetiche manipolazioni dolose ma finanche, in alcuni casi, da eventuali comportamenti colposi posti in essere da chi interviene su di esse. La perdita casuale di dati è infatti talmente frequente da porsi come problema cogente che necessita di soluzioni ad hoc (la sola accensione di un computer spento o l’apertura di un file comporta infatti l’aggiornamento automatico dell’orario di accesso compromettendo quello precedente, così come il mancato utilizzo di un text editor nella fase di copiatura può compromettere la genuinità del testo originario). L’acquisizione dei dati presso gli Internet Service Providers si inquadra peraltro nel più ampio e complesso tema della “data retention” (o “data preservation”) e in tale vasta cornice deve essere collocata ogni sua disamina scientifica, con un modello di analisi cioè che integra le questioni tecniche proprie della materia informatica e telematica, con quelle più strettamente giuridiche.

L’acquisizione dei dati presso l’ISP, invero, può essere compiuta in maniera più corretta e consapevole se vi è la conoscenza di tutte le fasi di emivita dei dati stessi e delle procedure di loro acquisizione e osservazione, le quali, con un buon margine di approssimazione, possono essere riassunte in: “generazione”, “conservazione”, “acquisizione” e “analisi”.

La puntuale conoscenza di ciascuna delle suddette fasi porta, in primo luogo, alla presa d’atto dell’esistenza di un certo grado di rischio di alterazione e volatilità dei dati nell’intera filiera e, conseguentemente, della necessità di adottare una serie di

cautele ai fini di preservare la genuinità e la non “ripudiabilità” delle informazioni raccolte205.

In particolare, l'identificazione di un soggetto, di un luogo o di eventuali tracce di reato, che costituiscono atti tipici di polizia giudiziaria, sono, in questo settore, essenzialmente riconducibili al cosiddetto IP Address, dal quale si può (spesso solo tentare di) risalire, attraverso particolari accertamenti tecnici, a soggetti fisici206. La circostanza infatti che ad ogni connessione ciascun client (postazione) sia contrassegnata da un IP Address unico al mondo (per quella sessione), non esclude tuttavia che l’identificazione e la localizzazione dei singoli elaboratori collegati alla rete sia in qualche modo resa più difficoltosa (se non impossibile) dall’utilizzo di

software in grado di occultare l’identità della macchina grazie alla quale ad esempio

si è portato l’attacco ad un sistema informatico, ovvero da cui è partito un messaggio a contenuto diffamatorio.

È poi possibile imbattersi in interventi che abbiano comportato la cancellazione ad

hoc dei file di log al termine delle operazioni illecite condotte sui sistemi attaccati,

cosicché sarà vano tentare di ricostruire a ritroso i vari “passaggi” compiuti dal sistema, così come anche risalire all’utenza telefonica dalla quale è partita la connessione nel corso della quale è stata consumata la condotta penlmente illecita. Tra i più diffusi sistemi di “occultamento” dell’identità dei sistemi informatici utilizzati per scopi illeciti vi è quello della creazione di siti web denominati “anonymous

remailer”, che consentono la cancellazione dei dati elettronici dell’utente

(rendendone di fatto impossibile l'identificazione) mediante la rimozione e sostituzione delle informazioni concernenti appunto la provenienza del mittente di una qualsiasi comunicazione. E’ così possibile nascondere, per esempio, l'identità dei mittenti dei messaggi di posta elettronica, inducendo il server di posta a sostituire l’intestazione del mittente, ed a inviare il messaggio al destinatario con intestazioni fittizie.

Altro metodo per impedire l’identificazione dell’autore di atti/fatti telematici consiste nella possibilità di cancellazione dei file di log.

Particolarmente diffuse sono poi diverse tecniche di utilizzo fraudolento degli identificativi dell’elaboratore di un soggetto: in questi casi l’autore del comportamento illecito non soltanto nasconde la propria identità, ma addirittura crea le condizioni perché il comportamento sembri apparentemente attribuibile ad un altro utente davvero esistente. L’hacker acquisisce l’identificativo e la password di un utente ignaro, e si collega alla rete sotto mentite spoglie. L’acquisizione dell’identificativo e della password del resto possono avvenire o in via “tradizionale” (riuscendo a carpirne gli estremi direttamente dall’utente mediante azioni di social

engineering, infra), ovvero acquisendole per via telematica attraverso l’uso di quei

specifici programmi denominati “trojan horses”;

205

A tal proposito si veda quanto riferito supra in relazione alle problematiche connesse alla computer

forensic (para2.3.b).

206

Per questa ragione, spesso, la perpetrazione di reati informatici e non, si focalizza sull’utilizzo di computer appartenenti ad istituti universitari, Internet-Cafè ecc. ecc.

La collaborazione "convinta" degli ISP (fermi comunque restando gli obblighi di legge pendenti su di essi, cfr. para. 1.4.f), supra) rimane dunque cruciale proprio perché tutto sembra, di fatto, ruotare intorno all'IP Address, elemento, questo, fondamentale per "tracciare" ed individuare anche il più astuto tra i criminali informatici.

Va infine ricordato come l’indirizzo IP sia contenuto proprio in quei famosi file di log la cui conservazione (per un certo periodo) non è prevista come obbligo di legge a carico degli ISP per ciò che concerne i contenuti web “visitati” dal sospetto (a differenza di ciò che è invece prescritto per le società telefoniche le quali, al contrario, sono tenute a conservare i c.d. dati esterni relativi alle utenze telefoniche chiamate: quali numero identificativo del chiamato [oltreché del chiamante], durata della conversazione, celle d’appoggio, ecc. ecc. cfr. para 1.4.e) supra).