f) segue: i files di log 207

Per risalire all'autore dell'illecito, dunque, è sovente determinante acquisire i file di log. Occorre in proposito chiarire che esistono diversi file di log, ciascuno deputato alla registrazione di particolari attività svolte dall'utente sulla o tramite la macchina alla quale ha ottenuto l'accesso. I file di log che qui interessano, sono quelli (memorizzati sul server dell'ISP) che contengono i dati relativi all'inizio e alla fine di una sessione di navigazione di uno specifico utente (collegatosi con un certo

username e una certa password), nonché, soprattutto, l'indirizzo IP del computer

(indirizzo assegnato dal server stesso) che ha richiesto l'accesso alla Rete. Una volta acquisiti, tali file vengono confrontati con i tabulati telefonici e permettono così di risalire all'intestatario della linea chiamante. È su quest'ultimo che, in primo luogo, ricadrà la responsabilità per l'uso illecito del computer.

Merita d'altra parte di essere ulteriormente sottolineato quanto già enunciato precedentemente208: nessuna legge prevede l'obbligo di conservare i file di log relativi ai contenuti dei siti web visitati (diversamente da quanto è invece previsto per la posta elettronica). Inoltre, l'obbligo di consegna degli stessi scatta per l'ISP solo a fronte di un decreto motivato del pubblico ministero209, ma tali file, si badi, potrebbero anche non avere alcuna efficacia probatoria stante la loro intrinseca natura di semplici file di testo facilmente soggetti ad alterazione senza l’adozione di specifiche cautele210.

207

Quanto riportato in questo paragrafo deve essere necessariamente integrato con quanto riferito

supra ai para 1.4.e) e 1.4.f).

208

Para 1.4.e) supra.

209

Salvo quanto diversamente previsto da talune norme speciali come quelli in materia di lotta al terrorismo internazionale cui all’art. 5 della L. n°431 del 2001.

210

Al fine di garantirne l'inalterabilità, i file potrebbero, per esempio, essere cifrati con un algoritmo crittografico (apposizione di sigilli digitali analoghi a quelli apposti su porte, buste o contenitori).

Data la più volte rievocata volatilità degli elementi probatori, in caso di qualsivoglia illecito informatico bisogna agire tempestivamente informando, nel più breve tempo possibile, l'Autorità giudiziaria e/o la Polizia Giudiziaria e fornendo loro tutte le indicazioni utili alle indagini. In particolare, gli inquirenti, come prima cosa, il più delle volte, si procureranno i relativi file di log in ordine:

1. agli accessi (data, ora, durata connessione, IP assegnato, hostname ed eventuale

caller ID - numero chiamante);

2. alle attività svolte nel sito, mail, newsgroup, ftp, ecc. (sempre con data e ora); 3. alle attività proxy (consente di verificare le pagine http).

Gli investigatori, inoltre, cureranno che gli orologi di macchina siano esattamente sincronizzati, al fine di evitare discrepanze casuali con gli orologi di sistema.

Inoltre, nel caso specifico di illecita intrusione in un sistema protetto da misure di sicurezza, le informazioni che sarebbe opportuno rendere all'Autorità Giudiziaria sono:

a. tipo e versione del sistema in uso (hardware e software); b. tipo di sicurezza utilizzata e modalità di applicazione;

c. ogni file di log che riporti traccia di accessi indebiti e i riferimenti dei timing di macchina;

d. i nominativi delle figure professionali di riferimento tecnico (ove esistano);

e. descrizione della tipologia di networking e della relativa architettura funzionale nonché nomenclatura delle interconnessioni in rete geografica o locale;

f. descrizione particolareggiata del tipo di operazioni illecite accertate e dello stato delle cose dalle quali si evince la tipologia delle operazioni accertate;

g. in base alle operazioni accertate, occorre fornire quanti più elementi di verifica delle stesse;

h. descrizione particolareggiata delle modalità attraverso le quali si è pervenuti alla conoscenza dell'illecita intrusione;

i. informazioni relative a indicazioni giunte da terzi dei fenomeni trascorsi o in corso; j. informazioni relative a indicazioni rese a terzi dei fenomeni trascorsi o in corso; k. in caso di intrusione senza danni, ma con acquisizione del file di password, per i

sistemisti di Enti Pubblici (pubblici ufficiali e/o incaricati di pubblico servizio) vi è l'obbligo di denuncia ex art. 331 c.p.p., mentre tale obbligo non sussiste per i privati;

l. indicare i nominativi delle persone che possono essere informate dei fatti;

m. prima di ogni azione, al momento della scoperta dell'illecito, occorre eseguire un

backup delle sole directory e/o file interessati dalle modifiche/alterazioni o

contenti informazioni relative all'attacco: in caso di modifica al file di password, salvare il file modificato prima di rimpiazzarlo.

L’attività di raccolta ed analisi dei file di log va considerata, quindi, propedeutica e preparatoria rispetto alla (eventuale) fase di indagine successiva che, il più delle volte, soprattutto nei casi che destano maggior allarme e preoccupazione, passerà attraverso l’instaurazione ed effettuazione di mirate intercettazioni telematiche ai sensi dell’art. 266 bis c.p.p.

Per l’identificazione dell’autore del reato, spesso, occorre inoltre procedere alla perquisizione dell’abitazione o dell’azienda presso cui è installata l’utenza da cui è partita la connessione illecita, con il conseguente sequestro dei p.c. e del materiale informatico nella disponibilità dell’utilizzatore.

Allorché si procede a perquisizione, peraltro, specie se l’indagato è soggetto particolarmente esperto nell’uso degli strumenti informatici, è bene disporre con separato provvedimento la temporanea interruzione dell’energia elettrica presso i locali da perquisire, sì da di impedire che durante l’esecuzione dell’atto l’utente/indagato alteri i dati oggetto di ricerca magari intervenendo “da remoto” sul proprio sistema attraverso uno smatphone .

Vale la pena di sottolineare inoltre che, ai fini del buon esito delle indagini, le intercettazioni telematiche, non devono essere intese o richieste in quanto tali, ma sempre congiuntamente (preferibilmente) ad un'ordinaria intercettazione telefonica. Nella stragrande maggioranza dei casi, infatti – soprattutto quando ad operare è una organizzazione criminale - ogni scambio di dati o programmi o testi in via informatica è preceduto da conversazioni nelle quali i soggetti interessati si abbandonano (anche solo verbalmente) a commenti o all’indicazione di specifiche tecniche, anche al solo fine di procedere alla inizializzazione delle attrezzature di trasmissione e ricezione dei segnali (settaggio dei modem, velocità di trasmissione, estensione della memoria, caratteristiche della compressione utilizzata e cosi via) e, soprattutto, trattandosi di

password o programmi abusivamente duplicati, essi si dimostrano ben consapevoli

della relativa provenienza illecita o della parimenti illecita destinazione.

In conclusione, giova ancora una volta sottolineare come pure per i log valgono le medesime considerazioni che vengono svolte in materia di acquisizione probatoria del dato digitale rispetto all’esigenza di ridurre al minimo il rischio di alterazione. Sempre più spesso, d’altronde, alle lacune derivanti dall’esistenza di norme assai generiche si sommano alcune carenze di specializzazione nel mondo forense.

La questione relativa all’acquisizione dei log presso l’ISP, d’altra parte, è priva di significativi riscontri giurisprudenziali. La prassi consolidata peraltro è quella di acquisire i dati formulando una richiesta ad hoc direttamente al fornitore, delegando quest’ultimo ad effettuare l’estrazione, la duplicazione e la trasmissione dei dati all’autorità richiedente. È ancora aperto il dibattito circa la natura di tale atto di

acquisizione, e in particolare se esso costituisca un “accertamento tecnico” in senso stretto, e inoltre se lo stesso, in quanto tale, sia ripetibile.

Si tratta evidentemente di questioni di particolare rilevanza (si pensi per esempio all’ipotesi dell’incidente probatorio), le quali possono essere sviscerate se, come si diceva supra, si è in grado di conoscere nel dettaglio le modalità tecniche di generazione e conservazione dei dati del traffico. La già citata esigenza di poter contare su modelli e linee guida condivisi nella computer forensics, qui emerge in tutta la sua evidenza, laddove si potrebbe auspicare l’adozione di vere e proprie regole tecniche di generazione e conservazione dei dati, utili a garantirne l’immodificabilità.

Si pensi, per esempio, a un delitto informatico commesso nei confronti di un ISP da parte di un suo stesso cliente/abbonato. In quel caso, l’acquisizione dei log, nelle modalità consolidatesi nella prassi, sarebbe rivolta direttamente alla parte offesa, in totale assenza di garanzie circa l’integrità dei dati.

Va da se, infine, come l’analisi dei log in ambito forense debba essere svolta da operatori adeguatamente qualificati e, stante la mole notevole di dati da esaminare, realizzarsi con l’impiego di specifici strumenti software. Detto esame, peraltro, deve essere scrupolosamente documentato in tutti i suoi singoli passaggi, dando pedissequamente indicazione delle componenti hardware, dei sistemi operativi e dei

tools (con relative licenze d’uso) utilizzati per raggiungere lo scopo.