Le fasi della Digital Forensics e la disciplina della Data

La digital forensics viene definita come l’attività̀ di ricerca e di analisi sulle apparecchiature digitali, finalizzata al reperimento di prove producibili in Tribunale13_{; la sua}

applicazione non è limitata al cybercrime in senso stretto, ma è estesa anche agli illeciti tradizionali compiuti mediante le tecnologie informatiche14. Gli scopi della Digital Forensics sono quelli di identificare, preservare, acquisire senza alterare

13 _{VACIAGO, loc. ult. Cit., 7; Si segnalano altre definizioni, cfr. K.KENT-S.} CHEVALIER-T.GRANCE-H.DANG, Guide to integrating Forensic Tech- niques into

Indente Response, NIST publication, 2006, http://csrc.nist.gov/publications/nistpubs/800-86/SP800-86.pdf.

(Accesso in data 17/05/2017); E.CASEY,B.SCHATZ, Digital Evidence and

Computer Crime, Third Edition, 2011, 187. https://booksite.elsevier.com/samplechapters/9780123742681/Chapter_ 6.pdf. (Accesso in data 17/05/2017); KEN ZATYKO, https://www.forensicmag.com/article/2007/01/commentary-defining- digital-forensics. (Accesso in data 17/05/17).

14 _{NOVARIO, nota 6, 124; Cfr. CASEY, The need for knowledge sharing and}

il sistema informatico, analizzare o interpretare i dati presenti nei dispositivi15.

La prima fase della disciplina in oggetto consiste nell’identificazione dell’autore. Spesso, infatti, accade che gli illeciti commessi in rete siano attuati da soggetti non identificabili che celano la loro identità.

Per identificare l’autore del reato si procede a: ricerca del terminale dal quale è stato commesso il reato; ricerca dei dati che tracciano l’attività dell’utente, tra essi il c.d. indirizzo IP (V. Infra, cap. 2, nota 24, 34.) e i file di log16_.

15 _{VACIAGO che richiama MAIOLI, nota 1. 645; sulla scia di ZATIKO,LOSEY} eCASEY.

16 _{“File generato automaticamente da un programma, che registra le} operazioni che avvengono in fase di avvio o di esecuzione per poter rintracciare l’origine di un eventuale problema o per tenere una registrazione.” Cfr. http://www.garzantilinguistica.it/ricerca/?q=logfile. (Accesso in data 18/05/2017).

La conservazione di questo tipo di dati assume il nome di data retention: custodi delle dette informazioni sono gli internet service provider17_.

Per l’acquisizione di queste informazioni è necessaria la collaborazione degli internet service provider. Ai fini investigativi, l’autorità giudiziaria dovrà ordinare ai provider l’esibizione di documenti e atti rilevanti ai sensi degli artt. 256 c.p.p. e 132, comma 1 e 3 del d.lgs. 196/2003.

Qualora invece fosse il difensore ad avere necessità di prendere visione dei dati in argomento, può alternativamente fare istanza al pubblico ministero ai sensi della normativa citata o ai sensi dell’art. 391- quater, in sede di indagine difensiva, richiedendo direttamente al provider le informazioni relative all’utenza intestata al suo assistito, fatte salve le condizioni

17 _{G.VACIAGO, La disciplina normativa sulla data retention, in L.LUPARIA (a cura} di) Internet provider e giustizia penale, Milano 2012, 142.

dell’art. 8, comma 2, lettera f), del d.lgs. 196/2003 sul traffico in entrata18_.

Il dettato di queste norme in realtà ricalca (vedi infra) la direttiva 24/06/CE (normativa interna di recepimento è la L. 109/2008) che prevede un apparato di regole molto dettagliate in tema di data retention19; questa disciplina, peraltro, è stata fortemente criticata da diversi Stati membri. In particolare, sedici Nazioni su ventisette chiesero espressamente una dilazione per il recepimento e alcuni stati, come l’Irlanda e la Slovacchia, fecero addirittura ricorso alla Corte di Giustizia per l’annullamento della direttiva. La Corte rigettò il ricorso, ma tanto non impedì al

18 _{VACIAGO, loc. ult. Cit., 147.}

19 _{Le regole sui dati della direttiva prevedevano: i dati necessari per} rintracciare e identificare la fonte di una comunicazione; per rintracciare e identificare la destinazione di una comunicazione; per determinare la data, l’ora e la durata di una comunicazione; per determinare il tipo di comunicazione degli utenti; per determinare le attrezzature di comunicazione degli utenti; per determinare l’ubicazione delle apparecchiature di comunicazione mobile;il tutto per una durata da 48 a 24 mesi; Art. 5, 24/2006/CE http://eur-lex.europa.eu/legal- content/IT/TXT/?uri=celex%3A32006L0024. (Accesso in data 18/05/2017).

Bundesverfassungsgericht di dichiarare incostituzionali i §§ 113a e 113b del Telekommunikationsgesetz (TKG, come modificato dall’art. 2, n. 6 della legge di riforma del settore delle telecomunicazioni e delle altre indagini sotto copertura in attuazione della direttiva 2006/24/CE)20_{. La Corte}

Costituzionale tedesca sostenne infatti che tale normativa di recepimento della direttiva citata violava la segretezza delle comunicazioni e archiviava i dati sensibili delle persone in mancanza di parametri di sicurezza per i cittadini, nonché era carente di informazioni precise circa l’utilizzazione dei dati21. In Italia, ad oggi, non si hanno notizie di ricorsi alla Corte Costituzionale relativi alla recezione della più volte citata direttiva CE.

20 _{R. FLOR, Lotta alla “criminalità informatica” e tutela di “tradizionali” e “nuovi”}

diritti fondamentali nell’era di internet, in DPC, http://www.penalecontemporaneo.it/upload/1348049846flor%20corretto .pdf , 7. (Accesso in data 18/05/2017).

21 _{VACIAGO, nota 17, 151; Bundesverfassungsgericht, 2 marzo 2010, n.} 256/2008,http://www.bundesverfassungsgericht.de/entscheidungen/rs20 100302_1bvr025608.htm (Accesso in data 18/05/2017).

Secondo alcuni autori22_{, una possibile alternativa alla Data}

Retention consiste nella Data Preservation, menzionata nell’art. 16 della Convenzione di Budapest. Quest’ultima soluzione consente un approccio diverso: non vi è un obbligo a carico del provider e dei fornitori di connettività di conservare tutti i dati del traffico, ma solo di congelare (quick freeze procedure) qualora ciò sia espressamente richiesto dall’Autorità Giudiziaria. In tal senso, si è mosso il legislatore italiano: con l’art. 10 della L. 48/2008 è stato ratificato il l’art. cit. della Convenzione, stabilendo che il Ministro dell’Interno o, su sua delega, le Forze dell’Ordine possono ordinare al provider di conservare e proteggere per un periodo non superiore a novanta giorni i dati relativi al traffico telematico, esclusi i contenuti delle comunicazioni; i provvedimenti adottati sono comunicati entro quarantotto ore al Pubblico Ministero competente, il quale, se ne ricorrono i

22 _{VACIAGO, nota 1, 646.}

presupposti li convalida. In caso di mancata convalida, i provvedimenti assunti perdono efficacia23.

Se da questa prima fase di c.d. identificazione, emerga il luogo da dove l’utente si è collegato per commettere il reato, il passo successivo sarà individuare il supporto informatico che contiene la prova digitale, sì da identificare l’autore del reato. Tale attività investigativa non è affatto facile, poiché andrà bilanciata con la disciplina dei mezzi di ricerca della prova e, poiché i dati digitali contengono altri dati sensibili della persona coinvolta nelle indagini (es. localizzazione GPS dello smartphone, comunicazioni VoIP, messaggistica istantanea, scambio di contenuti multimediali), bisognerà fare in modo che i mezzi investigativi non comprimano le garanzie spettanti a quest’ultima.

Al fine di rinvenire il dispositivo fisico contenente i dati digitali il codice di rito consente di avvalersi dell’ispezione 244 c.p.p. e ss., della perquisizione 247 c.p.p. e ss., il

23 _{VACIAGO, loc. ult. Cit. 646-647.}

sequestro probatorio 253 c.p.p. e ss.; per quanto invece attiene alla la mera acquisizione dei dati digitali da remoto, è da tenere ben presente l’istituto delle intercettazioni, 266 c.p.p. e ss. posto che di recente queste si svolgono mediante il malware del Trojan24_{, che è astrattamente in grado di spiare}

tutte le attività svolte dal dispositivo infettato (accedere alla memoria interna, alla cronologia etc.), compresa quella di attivare microfono e videocamera.

Una volta che l’Autorità giudiziaria abbia ritenuto di avvalersi di uno dei mezzi di ricerca della prova indicati rispettando le modalità e la garanzie previste bisognerà procedere anche con le cautele tecniche proprie dell’informatica forense che, in

24 _{A program that appears legitimate but performs some illicit activity when} run. It may be used to locate password information or make the system more vulnerable to future entry or simply destroy the user's stored software and data. A Trojan is similar to a virus, except that it does not replicate itself. Often sneaking in attached to a free game or other supposedly worthwhile utility, the Trojan remains in the computer doing damage or allowing someone from a remote location to take control. See Trojan

dropper, wiretap Trojan, rootkit, RAT, Back

Orifice, NetBus, PrettyPark, Talking Trojan and virus. Cfr. http://www.pcmag.com/encyclopedia/term/53178/trojan. (Accesso in data 19/05/2017).

questa fase impone l’acquisizione di copia bitstream25 _del

supporto di memorizzazione dei dati utili all’indagine. Tale tipologia di copia informatica è un particolare tipo di duplicazione che preserva anche la collocazione fisica dei singoli file, oltre che la loro posizione logica. Nello svolgimento di questa operazione sarà indispensabile garantire l’integrità dei dati attraverso la creazione di un’impronta di hash26 che permette di mostrare in maniera fedele se i contenuti dei file abbiano subìto modifiche e

25 _{Cfr. G.SARTOR, Corso di informatica giuridica, Torino 2010, 90.}

26 _{In informatica una funzione crittografica di hash è un algoritmo} matematico che trasforma dei dati di lunghezza arbitraria (messaggio) in una stringa binaria di dimensione fissa chiamata valore di hash, impronta del messaggio o somma di controllo, ma spesso anche con il termine inglese message digest. Gli algoritmi usati a questo proposito sono unidirezionali (one-way), quindi difficili da invertire, questo permette alle funzioni crittografiche di hash di trovare ampio utilizzo negli ambiti di sicurezza informatica come: nelle firme digitali, autenticazione dei messaggi oppure come per la crittografia delle credenziali private degli utenti

nelle applicazioni web. Cfr.

https://it.wikipedia.org/wiki/Funzione_crittografica_di_hash. (Accesso in data 19/05/2017).

l’utilizzo di un write blocker 27_{che bloccherà ogni tipo di}

scrittura del file28_.

L’utilizzo di questi tool forensics è caratterizzato dalla irripetibilità, pertanto se le procedure dei metodi di acquisizione siano state corrette i dati ottenuti potranno essere utilizzati pienamente in dibattimento.

Si pone al riguardo il problema della ripetibilità di tali operazioni, soprattutto se compiute senza il rispetto delle procedure idonee a garantire l’integrità della prova digitale. Giurisprudenza consolidata29 e parte della dottrina, considerando le attività espletate in materia di prova digitale

27 _{Un write blocker è un dispositivo usato dagli investigatori nel campo} dell'informatica forense per prevenire eventuali scritture su hard disk o più genericamente dispositivi di memorie di massa (chiavi USB, schede di memoria, un tempo i floppy disk, etc...) oggetto di investigazioni. Generalmente il write blocker è posto tra il dispositivo esaminato e

il computer utilizzato per esaminarlo. Cfr.

https://it.wikipedia.org/wiki/Write_blocker. (Accesso in data 19/05/2017).

28 _{VACIAGO, nota 1, 647 – 648.}

29 _{Cass. Sez. Un. 27 marzo 1996, in Foro it., 96, II, 473.; Cass. Sez. Un. 13} luglio 1998, Citaristi, in Cass. Pen. 1999. 123

non ripetibili30, ritengono che la sanzione per la mancanza delle misure tecniche dirette ad assicurare la conservazione dei dati originali e ad impedirne l’alterazione sia quella dell’inutilizzabilità, ai sensi dell’art. 191 c.p.p..

Conclusa la fase dell’identificazione, si prosegue l’esame dell’acquisizione e conservazione per poi concludere con l’analisi e presentazione dei risultati.

La procedura tecnica da utilizzare nell’acquisizione è quella dello stream image, che altro non è che la copia forense del dato allo stato in cui fu rinvenuto; il mezzo di ricerca della prova nella prassi investigativa, è il sequestro probatorio. La conservazione del dato digitale è del pari assai importante, perché i reperti informatici andranno custoditi nell’intervallo di tempo tra la fase delle indagini e l’inizio del processo. Alcuni autori31 fanno tuttavia notare che, nonostante l’oggetto

30 _{NOVARIO, nota 6, 145; C.SARZANA DI S.IPPOLITO, Informatica internet e}

diritto penale, Milano 2010, 631; E. LORENZETTO, Le attività urgenti di

investigazione informatica e telematica, in LUPARIA (a cura di), Sistema penale e

criminalità informatica, L.Milano 2009, 138.

del sequestro sia immateriale (il file), esso è custodito su un supporto fisico (l’Hard disk ad esempio) che, se non conservato adeguatamente si deteriora e può rendere il file in oggetto non più utilizzabile. Gli stessi autori, ritengono che nella prassi vi sia una conservazione tutt’altro che idonea al tipo di materiali in oggetto tanto da definirla “cimitero digitale”32. Ciò perché se si fa un rapido calcolo sulla tempistica procedimentale a partire dalla data del sequestro alla fase dibattimentale possono essere trascorsi dall’anno e mezzo ai tre anni, in questo arco di tempo l’hard disk ove risiede la prova digitale potrebbe aver subito un danneggiamento e quindi si porrebbe un problema non da poco qualora il difensore faccia richiesta di rinnovo della perizia se il reperto in questione fosse effettivamente danneggiato.

In ogni caso gli standard internazionali33 di riferimento impongono quattro principi fondamentali in tema di qualsiasi

32 _{VACIAGO, loc. ult. Cit.}

33 _{ISO/IEC 27037 – 2012 Guidelines for identification, Collection, Acquisition and}

attività di sopralluogo e repertamento in relazione ai sistemi digitali: nessuna azione deve essere svolta se può cambiare dei dati direttamente e indirettamente e se può successivamente essere segnalata in dibattimento come invalidante della prova; i dati non dovrebbero mai essere acceduti direttamente, se questo, tuttavia, si rende indispensabile per il rischio della loro definitiva perdita, chi vi accede deve avere la competenza tecnica e la conoscenza giuridica necessaria a spiegare nei dettagli i passaggi che ha seguito nelle attività informatiche; tutte le azioni devono essere documentate; il responsabile delle indagini è anche responsabile della mancata attuazione dei tre principi34.

Veniamo, infine, all’ultima fase delle procedure di digital forensics che ricordiamo essere quella dell’analisi e presentazione dei dati.

Examination of Digital Technology, ENFSI-FIT- WG 2012, https://www.iso.org/obp/ui/#iso:std:iso-iec:27037:ed-1:v1:en (Accesso in data 22/05/2017).

In questa fase, l’Autorità giudiziaria, deve analizzare il contenuto dei dati acquisiti, e anche in tal caso il codice di procedura penale offre tre strumenti: durante le indagini preliminari sarà possibile procedere alternativamente ad accertamenti tecnici, 359 e 360 c.p.p. o ad incidente probatorio 392 c.p.p.; in sede dibattimentale invece ci si potrà avvalere dell’istituto della perizia, art. 220 e ss. c.p.p..

L’analisi dei dati consente una corretta ricostruzione digitale dei fatti o degli elementi rilevanti per le indagini35_{. Secondo le}

regole dell’informatica forense, al fine di dare rilevanza probatoria ai file è necessario suddividere questi ultimi in due categorie: da un lato le evidenze informatiche (sono i file testuali o di archivio), la cui sola presenza può far riscontrare l’evento o la condotta di un illecito; dall’altro i file che necessitano di un ulteriore analisi per divenire evidenti36.

35 _{F.NOVARIO, Prove penali informatiche, Torino 2011, 93.} 36 _{NOVARIO, nota 6, 127.}

Le attività di analisi consistono nel text searching37_{, image}

searching38_{, data recovery}39_{, metadata recovery}40_.

Le best practices in materia prevedono che compiuta questa fase, gli operatori dovranno predisporre un’adeguata relazione tecnica, in assenza della quale andrebbero vanificate tutte le operazioni descritte con la conseguenza dell’inutilizzabilità del materiale.41

Questi metodi riguardano i reperti fisici, ma negli ultimi tempi vi è stato il proliferarsi dei servizi di cloud computing che

37 _{VACIAGO, nota 1, 653; “ricerche di tipo testuali all’interno dei file o delle}

directory e si estende a tutte le letture del file system. L’analisi del contenuto di

file con applicazione ignota viene effettuata con l’impiego dei visualizzatori forensi in grado di interpretare i numerosi formati.”.

38 _{VACIAGO, loc. ult. Cit.; “Consiste nella ricerca delle immagini digitali su} file di vario formato, inclusi i fotogrammi di file video, e riveste grande importanza nei casi di pedopornografia e di violazione di diritto d’autore.” 39 _{VACIAGO, loc. ult. Cit.; “Fase dell’analisi di grande utilità per la quantità} di informazioni che può fornire all’operatore, ed è costituita dalla data recovery (procedimento per recuperare i dati presenti, cancellati, o danneggiati dalle memorie di massa), e data discovery (procedimento per scoprire dati nascosti da una memoria o da un file cifrato), data carving (tentativo di ricostruire un file danneggiato attraverso il recupero di porzioni di file).”.

40 _{VACIAGO, loc. ult. Cit: “Il recupero dei metadati (date e orari, attributi di} un file) sono di particolare importanza per determinare la timeline di accesso e di modifiche su un file.”.

consistono nel creare uno spazio virtuale, senza supporti analogici (Usb drive o Hard disk esterni) dove immagazzinare i propri file che saranno custoditi dai server dei fornitori del servizio. A causa di questa nuova modalità di archiviazione cresce sempre di più l’idea di indagare accedendo da remoto, mediante spyware, e quindi adoperando l’istituto delle intercettazioni, per evitare le procedure materiali; nonostante, come si vedrà, l’intercettazione telematica sia ammessa anche con l’uso del captatore informatico, appare problematico il bilanciamento con le garanzie dell’indagato.