L’analisi dei dati oggetto di intercettazione

L’analisi dei dati intercettati si articola tipicamente secondo il seguente modulo:

a) ogni server di accesso alla rete, al momento della connessione (“log-in”) crea un file di log dell’utente, contenente le seguenti informazioni-base:

 user name;

 data, ora e secondi dell’inizio della connessione (log-

in) e del termine della connessione (log-out);

 IP dinamico assegnato e caller ID, cioè numero del telefono chiamante;

b) qualora l’utente si colleghi ad un server di posta elettronica (un server cioè di 2° livello, differente dal server fornitore di connettività – c.d. provider), esso annoterà a sua volta l’accesso, registrando ancora:

 user name;

 data, ora e secondi del login e del logout sincronizzati su “time server”119

 IP dinamico

Inoltre, parametri altrettanto oggettivi quali le coordinate fornite dai c.d. Mac Address120 _{, le interfacce di rete wireless} degli Access Point (difficilmente modificabili), possono essere presi in considerazione, in virtù della loro affidabilità, al fine di accertare in dibattimento il dipanarsi di operazioni considerate volatili.

Sulla base degli elementi sopra indicati sarà quindi possibile cercare di risalire all’effettivo utilizzatore delle linee telefoniche utilizzate per la connessione (caller ID chiamanti) e quindi ai singoli utenti, incrociando le 119 Computer presenti nella rete Internet il cui compito consiste nel sincronizzare gli orologi dei computer all’interno di una rete di commutazione di pacchetto (Internet) utilizzando il protocollo NTP :Il

Network Time Protocol.

120 In informatica e telecomunicazioni l'indirizzo MAC (in inglese MAC address, dove MAC sta per Media Access Control), detto anche indirizzo fisico, indirizzo ethernet o indirizzo LAN, è un codice di 48 bit

(6byte)assegnato in modo univoco dal produttore ad ogni scheda di rete ethernet prodotta al mondo (peraltro esistono software in grado di camuffare detto codice).

informazioni derivanti dai dati costituiti dai file di log, dai dati di registrazione presso il provider, da quelli risultanti dal tabulato telefonico dell’utenza dalla quale risulta effettuato il collegamento al provider, nonché dagli altri ulteriori parametri di cui si è detto.

In quest’ottica, peraltro, le problematiche con le quali ci si deve misurare sono quelle connesse all'impiego di Internet in combinazione con i vari servizi di anonimizzazione esistenti (proxy, anonymizer a pagamento, algoritmi di crittazione ecc. ecc.), all'impiego di SIM o USIM estere o rubate/trafugate, ovvero con la possibilità di sfruttare la connettività offerta da c.d. Internet Cafè, accorgimenti cioè che consentono ad operatori (anche non molto esperti) di assicurarsi un notevole livello di anonimato.

Dal punto di vista tecnico, la captazione dei flussi sottoposti ad intercettazione può essere effettuata: deviando i medesimi flussi sul sistema intercettante, che provvederà a memorizzarli e, quindi, a ritrasmetterli al destinatario; ovvero inserendo sul computer intercettato un "registro degli eventi” in grado di memorizzare gli inserimenti dei dati di interesse investigativo; oppure ancora - nel caso di intercettazioni telematiche - registrando i flussi dopo aver provveduto ad attivare un’apposita linea telefonica (RES) fornita di modem per ricevere le comunicazioni oggetto delle indagini.

Le operazioni di intercettazione potranno inoltre avvenire o direttamente sulla linea telefonica dell’utente, interponendosi tra utente e provider, ovvero sfruttando la stessa rete del

provider.

costituite dagli analizzatori di protocollo.

Di protocol analyzer se ne trovano numerosi disponibili gratuitamente (open source) anche sul web.

Essi sono installati presso i provider e sono in grado di intercettare tutto il flusso dati relativo ad una determinata linea di comunicazione.

Su tale flusso dati si possono anche impostare taluni filtri al fine di selezionare i dati da catturare in ragione di specifiche esigenze investigative.

L’utente di un servizio internet, come noto, vi può accedere da diversi punti e con diverse tipologie di collegamento. Se è palese che il soggetto cambia continuamente via di collegamento, magari perché in movimento o perché avveduto della possibilità di essere controllato, bisogna impiegare una metodologia di intercettazione che operi contemporaneamente su più canali (audio/video/dati).

A tal fine, frequentemente impiegato nelle indagini informatiche è il cd. “telemonitor”: si tratta di un sistema che intercetta il flusso dati in partenza ed in arrivo da e verso l’utente, che offre la possibilità di ricostruire in modo intelligibile i segnali analogici della comunicazione tra i

modem, e che si colloca sulla linea telefonica dell’utente “a

metà strada” tra l’utente stesso ed il provider.

Accade però che tale sistema venga eluso tutte le volte in cui l’indagato utilizzi per la connessione una linea telefonica diversa da quella consueta.

In questo caso, gli stessi dovranno essere inseriti su più linee e punti come osservatori.

registrazioni ovvero la stampa in forma intellegibile delle informazioni contenute nei flussi di comunicazione informatiche o telematiche da acquisire osservando i modi e le garanzie previste dall'art. 268 comma 7.

Tale precisione sulla forma intellegibile della stampa, si è resa necessaria alla luce della natura del dato informatico, altrimenti comprensibile solo per gli esperti in materia.

L'ultima considerazione da fare è che in realtà la portata innovativa del 266 bis è meno rilevante di quanto prima

facie appaia.

Difatti l'art. 266 c.p.p., già consentiva “l'intercettazione di conversazioni o comunicazioni telefoniche o di altre forme di telecomunicazione”, non v'è dubbio pertanto che tutte le comunicazioni che avvengono avvalendosi del sistema telefonico, nelle sue forme più disparate, risultino comprese nel concetto di comunicazioni telefoniche o telecomunicazioni.

Di conseguenza in maniera specifica solo le “intercettazioni informatiche” aventi per oggetto più computer che interagiscono tra loro, senza l'uso del mezzo telefonico, come nel caso di elaboratori collegati tra loro da una rete LAN

(Local Area Network) possono ritenersi introdotti ex novo

nel nostro ordinamento a seguito della novella del 1993.121

121F.NEVOLI, Intercettazioni informatiche e telematiche: ricorso ad

impianti esterni ed obbligo motivazionale del pubblico ministero, in Arch.nuova proc.pen. 2010 Pag. 77