SOMMARIO: 1. Premessa. – 2. Computer forensic e legge n. 48 del 2008. – 3. Cosa ricercare nella perquisizione informatica. – 4. Sequestro nei reati informatici. – 5. La perquisizione informatica. – 6. L’analisi del mate-riale informatico. – 7. Live Data Forensics.
1. Premessa
Dalla delibera AIPA di metà anni ’901 che definiva evidenza informatica «un messaggio elettronico, composto da dati utente e da codici universali, che viene validamente impiegato a fini probatori, amministrativi e contabili» ad oggi, molta strada si è fatta nell’ambito della computer forensic e, per ciò che ne attiene, della digital evidence.
Siamo di fronte ad un percorso che nel corso degli anni ci ha sempre di più avvicinato a modelli operativi d’ispirazione anglosassone. In Inghilterra e soprattutto negli Stati Uniti, da tempo si è andata sviluppando una particolare attenzione verso la computer evidence o digital evidence, intesa quale prova o elemento di prova riscontrato all’interno di un computer e/o di un qualsivoglia supporto informatico in grado di contenere dati per documentare la perpetra-zione di un crimine, soprattutto un crimine informatico, e consentire l’individuaperpetra-zione del re-sponsabile.
2. Computer forensic e legge n. 48 del 2008
Nel linguaggio comune l’evidenza informatica o digital evidence costituisce la prova o quel complesso d’indizi (tracce) che permettono la ricostruzione di un fatto accaduto nel pas-sato, commesso per mezzo o a danno di un sistema informatico.
Al pari di quella tradizionale, la prova digitale può costituire dimostrazione di reità o d’innocenza di un soggetto ed essere posta a fondamento della decisione finale del giudice2.
1 Delibera AIPA del 9 novembre 1995 recante la “Definizione delle regole tecniche per il mandato
informa-tico” pubblicata nella G.U. 22 novembre 1995, n. 273.
2 Poniamo il caso di una conversazione telematica in tempo reale tra due utenti (chat line), i quali dopo es-sersi conosciuti in Rete scoprono di avere un interesse in comune per il collezionismo e decidono di scambiarsi non solo informazioni ma anche immagini per approfondire la reciproca conoscenza. Se i soggetti sono collezio-nisti di foto e filmati aventi per oggetto immagini pornografiche di minori, lo scambio di file illeciti integra fatti-specie penalmente sanzionate nel nostro ordinamento. Questo comportamento illegale può avvenire in realtà non solo tramite servizi di comunicazione in tempo reale (chat line), ma anche per mezzo della posta elettronica, di un programma di condivisione file e in molti altri modi che potenzialmente lasciano nei sistemi e nei supporti informatici utilizzati almeno una traccia. Nel caso di specie gli inquirenti dovranno acquisire al processo le prove dell’avvenuta conversazione, dimostrare i contenuti della chat, lo scambio di foto e il loro contenuto contra
Diego Buso e Daniele Pistolesi 184
La computer forensic si propone di studiare quali siano gli elementi probatori utili al pro-cesso penale, di elaborare le tecniche per la ricerca e l’individuazione e per l’acquisizione di tali prove e i limiti da osservare nel porre in essere tali attività.
Lo sviluppo di tali tecniche e le discussioni fra gli addetti ai lavori contribuiscono a deli-neare uno standard operativo che possa essere di riferimento a tutte le parti coinvolte nel pro-cedimento tendente all’accertamento della verità processuale.
A differenza di quanto accade nel crimine tradizionale, la prova digitale ha un ambito ben delimitato entro il quale essere ricercata. Chi deve scoprire tracce di attività informatiche con-tra legem, deve concencon-trare la propria attenzione sugli elaboratori elettronici utilizzati per porre in essere il crimine, sui sistemi informatici contro i quali il crimine è stato commesso ovvero verso quegli elaboratori, se diversi, che potrebbero contenere le registrazioni (logfiles) di tali attività.
Invero l’attenzione sarà indirizzata verso il personal computer nel suo complesso, princi-palmente sulle componenti hardware e software di esso, sui supporti digitali e magneto-ottici3 idonei a contenere informazioni digitali ovvero altri dispositivi-depositi che custodi-scono dati utili alla ricostruzione del fatto storico, anche con rimando a unità esterne, magari sedenti in spazi virtuali all’interno della rete Internet.
Un compito, quello della ricerca, molto delicato il quale deve esser assicurato avendo cura di non modificare lo status delle componenti che si devono analizzare e soprattutto avendo le conoscenze tecniche adeguate per “trovare” le tracce del delitto anche in quegli spazi nei quali un occhio inesperto potrebbe non vedere nulla.
La condivisione e lo scambio di esperienze in ambito nazionale e transnazionale, le di-scussioni che nel corso dell’ultimo decennio hanno caratterizzato le aule processuali hanno portato all’individuazione di standard operativi unitari atti a salvaguardare le informazioni “e-lettroniche” essenziali per il prosieguo dell’attività giudiziaria.
Le innovazioni normative al codice di rito, nel delicato settore dell’acquisizione delle fon-ti di prova, introdotte con la legge n. 48 del 2008 nella fase delle indagini preliminari, in parte figlie delle predette esperienze e discussioni, impongono alla polizia giudiziaria italiana, sotto il profilo delle tecniche operative, di accettare nuove sfide e di attrezzarsi per apprendere il funzionamento di un sistema informatico, avendo chiaro quali possono essere i rischi, sia in tema di alterazione del dato che di perdita definitiva dello stesso, che un’incauta ricerca può arrecare alle indagini.
I provvedimenti d’ispezione, di perquisizione e di sequestro informatico delegati dall’au-torità giudiziaria ovvero le attività d’iniziativa della medesima natura poste in essere dalla po-lizia giudiziaria, spesso indispensabili per l’acquisizione della fonte di prova, presuppongono comunque una invasività nelle reti e nei sistemi informatici ed un rischio potenziale per la corretta raccolta del dato digitale che devono essere mitigati da prassi operative consolidate e formazione professionale adeguata.
l’innocenza del proprio assistito anche semplicemente generando il ragionevole dubbio che l’autore possa essere una persona diversa.
3 Così vengono definiti tutti quei contenitori di informazioni che abbiano una qualche attinenza con il com-puter. L’elenco potrebbe essere molto lungo: oltre ai noti hard disk, floppy-disk, cd-rom potremmo brevemente aggiungere quelli più utilizzati quali usb-stick, dvd-rom, blue-ray e altri capaci di contenere mole di dati assai elevate 8 fino a 25 Gb).
Le perquisizioni e i sequestri informatici 185 3. Cosa ricercare nella perquisizione informatica
La prassi ormai induce gli operatori ad effettuare un’accurata valutazione del materiale oggetto di perquisizione e di quello da sottoporre a conseguente sequestro. È chiaro che ogni media e ogni appunto potrebbero agevolare l’attività degli investigatori. È altresì vero che un’eccessiva mole di dati e d’informazioni non organizzate e depurate equivale a non avere elementi su cui lavorare. L’attenzione va posta quindi verso i supporti che si assumono in uso al soggetto perquisito, a quelli nella sua prossimità (si pensi ad hard disk esterni, storage usb di vecchia e nuova generazione, dispositivi di backup) e nel caso di reati di particolare gravità protrattisi per un lungo periodo, anche a tutti quei supporti all’apparenza “archiviati” per ob-solescenza.
Non si dimentichi che dispositivi quali lettori multimediali portatili, macchine fotocopia-trici, telefoni di ultima generazione, navigatori satellitari, memory card normalmente usate per memorizzare fotografie digitali, possono contenere utili elementi probatori assolutamente funzionali all’obiettivo investigativo.
L’analisi dei contenuti effettuata dagli esperti informatici tenderà all’individuazione di tutte le tracce utili per ricostruire il profilo dell’imputato e il percorso criminoso e per accerta-re la penale accerta-responsabilità ovvero la parziale o assoluta estraneità ai fatti del soggetto perqui-sito.
L’attenzione sarà rivolta pertanto a fogli elettronici, documenti, data base, immagini e filmati presenti nei supporti. Di chiara rilevanza possono essere i file relativi alla navigazione web (cookies,cronologia, indirizzi IP) ed alla posta elettronica, agli eventi (c.d. file di log) e a tutti i file inerenti il registro del sistema operativo.
Uno studio tecnicamente più approfondito può consentire il recupero dei file cancellati, delle informazioni nascoste in altri file (c.d. steganografia), e la lettura di “spezzoni” dei file eliminati ma in parte ancora giacenti nelle zone di memoria non utilizzate dei supporti in esame.
4. Sequestro nei reati informatici
La disciplina del sequestro del corpo del reato e delle cose pertinenti al reato, quando si operi per l’accertamento di reati informatici o di reati comuni commessi utilizzando lo stru-mento informatico e/o telematico, sia che esso venga eseguito su disposizione dell’Autorità Giudiziaria sia che esso venga effettuato a seguito dell’iniziativa dalla polizia giudiziaria, è stata novellata e integrata dalla legge n. 48 del 2008 che ha posto particolare enfasi sulla ne-cessità di conservare correttamente i sistemi informatici e telematici oggetto dell’attività, al fine di impedire la loro alterazione nonché quella dei dati, delle informazioni e dei software in essi contenuti4.
È stata altresì introdotta una norma ad hoc per il sequestro di dati informatici e telematici presso i fornitori di servizio5 la cui reale portata applicativa deve essere valutata anche alla luce dell’istituto del dovere d’esibizione che grava sugli stessi soggetti per effetto dell’art. 256 c.p.p., comma 1, anch’esso modificato nella stessa ottica dal legislatore del 2008.
Altra innovazione significativa, riguarda l’esplicito riferimento al sequestro di corrispon-denza telematica6 diretta all’indagato o comunque ad esso spedita che può essere disposto con
4 Cfr. art. 354, comma 2, c.p.p.
5 V. art. 254-bis c.p.p.
Diego Buso e Daniele Pistolesi 186
provvedimento dell’Autorità Giudiziaria o, ricorrendone i presupposti, essere eseguito dalla polizia giudiziaria d’iniziativa. L’accesso alla casella di posta elettronica operato presso il provider fornitore del servizio non offre particolari problemi interpretativi nel caso di mes-saggi di posta elettronica già pervenuti, mentre postula il ricorso all’istituto dell’intercetta-zione e alla relativa disciplina nel caso in cui i messaggi vengano acquisiti e duplicati al mo-mento del loro arrivo presso il server di posta.
Bisogna infine ricordare come nelle fattispecie più gravi di delitto introdotte dalla legge n. 269 del 1998 concernenti la prostituzione minorile, le iniziative turistiche volte al c.d. turismo sessuale e la pornografia minorile, il legislatore abbia da tempo previsto per gli inquirenti la possibilità di fare ricorso al differimento dell’esecuzione di provvedimenti doverosi di cattura, arresto o sequestro7.
In particolare, laddove l’attività di contrasto ai predetti fenomeni si concentri in ambito telematico, può essere disposto con decreto motivato dell’Autorità Giudiziaria, il differimento del sequestro del corpo del reato che può consistere in un supporto informatico o magari in uno spazio virtuale8. Il ricorso a tale strumento è consentito solo quando appaia correlato alla necessità di acquisire rilevanti elementi probatori o per identificare e catturare i responsabili dei gravi delitti sopra menzionati.
Come è facilmente intuibile, il ricorso a tali strumenti di contrasto, nei limiti stabiliti dalla norma, riveste una notevole importanza strategica consentendo agli investigatori di differire atti altrimenti dovuti, la cui immediata esecuzione potrebbe nuocere alla proficua prosecuzio-ne delle attività di indagiprosecuzio-ne. Il differimento di tali attività consente di raccogliere elementi in-dispensabili per la corretta ricostruzione di un completo quadro probatorio, evitando di pale-sare prematuramente l’esistenza di un’attività investigativa in itinere.
5. La perquisizione informatica
Le attività d’individuazione delle cose e del dato digitale in esse contenuto e quella con-seguente di sequestro di detti beni, devono essere effettuate in modo da garantire innanzitutto che i supporti da analizzare e quanto in essi contenuto non vengano alterati.
La prima delle raccomandazioni rivolte alle forze di polizia impegnate in tali attività è stata da sempre quella di evitare di accedere al sistema informatico e ai supporti di memoriz-zazione nel luogo stesso del sequestro, a meno che ciò non sia strettamente necessario per la prosecuzione delle indagini, non si disponga di strumenti e apparecchiature tecniche adatte e non si abbiano le conoscenze indispensabili per l’effettuazione della ricerca in condizioni di sicurezza.
Nel caso si decida di operare secondo tale modalità, particolare attenzione deve essere prestata durante la raccolta del materiale che deve essere sottoposto a sequestro.
7 Cfr. art. 14, comma 3, legge n. 269 del 1998 recante “Norme contro lo sfruttamento della prostituzione,
della pornografia, del turismo sessuale in danno di minori, quali nuove forme di riduzione in schiavitù”.
8Può essere il caso del centro assistenza che riceve da un cliente un personal computer con un Hard Disk contenente materiale pedopornografico ovvero quello di una segnalazione da parte dei colleghi di un soggetto che detiene nel computer d’ufficio materiale contra legem. In entrambi i casi il differimento del sequestro an-drebbe accompagnato con la duplicazione del dispositivo in loco, la restituzione del media originale e la predi-sposizione di ulteriori attività di indagine. Pensiamo infine al caso in cui una persona gestisca da remoto uno spazio web con contenuti illeciti presso un provider sedente in Italia. In tale occasione bisognerà procedere con la duplicazione dello spazio virtuale, il monitoraggio dello stesso per il tempo necessario all’identificazione del responsabile e degli altri soggetti eventualmente coinvolti nella turpe attività.
Le perquisizioni e i sequestri informatici 187
Dopo l’individuazione del materiale è necessario procedere alla sua elencazione e reper-tazione. Per la corretta conservazione è consigliabile utilizzare imballi realizzati con materiali atti a contenere apparecchiature e supporti informatici, sì da preservarli da alterazioni causate da agenti esterni (onde elettromagnetiche, calore, ecc.) che potrebbero avere effetti deleteri sul contenuto.
Nel caso la polizia giudiziaria sia attrezzata per compiere la perquisizione informatica, sia sotto il profilo delle conoscenze tecniche necessarie, sia sotto quello della disponibilità della strumentazione hardware e software adeguata, le metodologie di approccio variano a seconda che il sistema informatico da perquisire sia spento ovvero sia acceso.
Nel caso di computer spento, l’accesso al sistema informatico e ai supporti in esso conte-nuti viene in genere realizzato utilizzando dei blocchi hardware che consentono l’accesso ai dati in sola lettura con conseguente inibizione di ogni altra attività. Le possibilità di ricerca e i tempi necessari per perfezionarla variano in ragione del sistema operativo utilizzato dall’in-dagato, di ciò che deve essere ricercato all’interno del supporto (programmi, file multimediali, logfile, file testuali, dati di navigazione, ecc.), della capacità del supporto/i in cui la ricerca deve essere eseguita (è sempre più frequente durante le perquisizioni imbattersi in supporti di memorizzazione superiori ai 500 gigabyte), del fatto che ciò che si ricerca possa essere stato in precedenza cancellato ovvero che si ipotizzino attività anteriori di formattazione.
Nel caso di computer acceso, la prassi normalmente consigliata agli operatori sprovvisti di adeguata preparazione, per evitare manovre con effetti indesiderati, era quella di procedere allo spegnimento del personal computer mediante disconnessione dello stesso dalla rete elet-trica.
Per gli operatori specializzati e attrezzati, si consiglia di procedere chiudendo tutti i pro-cessi attivi fino allo spegnimento completo del sistema, documentando nel relativo verbale le operazioni compiute e dando atto di tutte le informazioni reperite nel corso di tale attività.
Una volta messo in sicurezza il sistema informatico e i supporti su cui focalizzare l’at-tenzione, l’accesso agli stessi potrà essere effettuato nelle stesse modalità sopra descritte per il sistema spento.
La ricerca di evidenze probatorie perfezionata nel corso dell’esecuzione di una perquisi-zione informatica è di gran lunga più difficile e necessariamente meno accurata di quella po-sta in essere attraverso una attività di analisi delegata del materiale informatico sottoposto a sequestro.
È quindi possibile che l’attività di ricerca effettuata nel corso della perquisizione informa-tica non porti risultati significativi. Ciò potrebbe creare l’aspettativa nel soggetto sottoposto alle indagini e nel difensore che il materiale informatico sottoposto a perquisizione non venga sequestrato.
L’investigatore ha invece la necessità di valutare fino a quale livello di accuratezza la ri-cerca delle evidenze digitali è stata portata. Se ragioni di tempo, obiettive difficoltà di caratte-re tecnico, volume dei supporti da analizzacaratte-re suggeriscono un possibile diverso esito di una completa attività di analisi, gli investigatori dovranno procedere egualmente al sequestro del materiale già sottoposto a perquisizione con esito negativo, dandone adeguata motivazione nel verbale di sequestro.
6. L’analisi del materiale informatico
Una volta eseguito il sequestro secondo le modalità previste dal codice di rito novellato nel 2008, gli esperti informatici procederanno all’acquisizione e alla successiva analisi dei da-ti presenda-ti nei supporda-ti sequestrada-ti.
Diego Buso e Daniele Pistolesi 188
La metodologia attualmente utilizzata per l’attività di analisi si sviluppa attraverso alcuni passaggi fondamentali condivisi dagli addetti ai lavori, sia a livello nazionale che internazio-nale.
Il primo passo consiste nella creazione di una copia integrale del contenuto del supporto oggetto d’indagine, tramite elaboratori dotati di specifico hardware e software certificato, allo scopo di garantire la non alterazione dell’originale e la fedeltà della copia. Per copia integrale deve intendersi una copia fisica (dal primo all’ultimo bit) del supporto stesso, comprendente quindi anche le parti del media informatico che al momento del sequestro, non sono state a-doperate dal sistema operativo.
È indispensabile che il sistema usato per creare la copia assicuri anche un’operazione di hashing, cioè generi per mezzo di un algoritmo certificato una stringa alfanumerica di un de-terminato numero di caratteri, la quale rappresenti il contenuto del supporto stesso. Una sorta di sigillo di controllo o di firma digitale univoca. In tal modo, ripetendo le predette operazioni di copia del supporto originale, sarà sempre possibile verificare che il contenuto del supporto non sia stato modificato, poiché anche la sola variazione di un bit, produrrebbe una stringa differente.
Il secondo passo è quello di mettere in sicurezza il supporto originale e di procedere all’archiviazione della copia ottenuta su supporti non alterabili (ad es. cd-rom o dvd-rom non riscrivibili9dopo la masterizzazione). Questo permette un duplice momento di sicurezza, poi-ché consente la ripetizione di qualsiasi attività si volesse effettuare sull’originale e la disponi-bilità di una copia fisica del supporto per eventuali richieste delle parti.
Il terzo passaggio prevede che l’analisi del contenuto dei supporti sia svolta lavorando sulla copia fisica, attraverso l’utilizzo di applicativi (in genere integrati nel software utilizzato per la copia), che permettano di scandagliare tutte le parti del supporto stesso.
Tali procedure garantiscono concretamente la possibilità di ripetere le operazioni descritte e rendono quindi le attività stesse atti ripetibili.
È per tale ragione che nel corso degli anni la magistratura inquirente ha spesso delegato le attività di accertamento tecnico sui supporti informatici assicurati al procedimento con il se-questro, direttamente a quelle strutture della polizia giudiziaria dotate di adeguate competenze tecniche e delle necessarie strumentazioni, senza ricorrere agli istituti previsti dagli artt. 359 e 360 c.p.p.
Nel caso di attività di consulenza o di attività peritali, essendo oramai pressoché univer-salmente accettate le prassi operative sopra descritte, l’importanza della presenza di rappre-sentanti delle parti interessate, quali il difensore, il perito e i consulenti tecnici è in genere li-mitata al momento dello svolgimento delle operazioni di copia dei supporti da analizzare, uni-ca attività di cui si tende a disquisire ciruni-ca la ripetibilità.
7. Live Data Forensics
Tra gli aspetti sempre più frequentemente discussi in consessi internazionali di taglio tec-nico-giuridico, in tema di Computer forensic vi sono le modalità di attuazione ed i principi di tutela coinvolti nelle operazioni del c.d. Live Data Forensics.
Questa particolare branca del Forensic, chiaramente destinata ai computer accesi (live) al momento dell’esecuzione di un’ispezione o di una perquisizione delegata dall’Autorità
Giudi-9 Questo termine gergale vuole significare l’impossibilità di inserire, modificare o eliminare ulteriori dati ol-tre a quelli già introdotti e fissati con la prima operazione di scrittura.
Le perquisizioni e i sequestri informatici 189
ziaria o eseguita d’iniziativa, sembra contraddire i tradizionali principi di svolgimento delle attività tecniche di carattere informatico in precedenza sommariamente indicati.
Infatti l’utilizzo di tali tecniche apporta inevitabilmente modifiche nel sistema informatico in uso, in quanto viene effettuato un accesso direttamente sul supporto originale, in apparenza in disaccordo con alcuni dei principi di diritto del nostro ordinamento, ponendo in essere un’attività evidentemente non ripetibile, con le sole garanzie previste per i c.d. atti a sorpresa.