Appunti di Computer forensics ed acquisizione della prova informatica


di Maurizio Tonellotto

Alcune definizioni preliminari

La computer forensics[1] difficilmente trova una definizione univoca ed esaustiva che la possa descrivere in modo corretto in tutte le sue sfumature[2].

In via del tutto generale per computer forensics si potrebbe indicare quell’attività tecnico-investigativa finalizzata all’individuazione, acquisizione, preservazione, gestione, analisi ed interpretazione di tracce digitali, rinvenibili all’interno di elaboratori o dispositivi elettronici, nonchè la loro correlazione ai fatti, alle circostanze, alle ipotesi ed alle tracce di qualsiasi natura, rinvenute o comunque afferenti al fatto investigato.

In un saggio apparso su Ciberspazio e Diritto nel 2010 un autore evidenzia come   «La computer forensics è un processo teso alla “manipolazione controllata” e più in generale al trattamento di dati e/o informazioni digitali e/o sistemi informativi per finalità investigative e di giustizia »[3].

L’esplicito riferimento alla «manipolazione[…] e trattamento di dati», pone tale disciplina in relazione all’attività logico inferenziale tipica, appunto, della ricerca scientifica ed anche dell’analisi forense.

Un’ulteriore e puntuale definizione viene proposta da Maioli, il quale indica come l’informatica forense sia «la disciplina che studia l’insieme delle attività che sono rivolte all’analisi e alla soluzione dei casi legati alla criminalità informatica, comprendendo tra questi i crimini realizzati con l’uso di un computer, diretti a un computer o in cui il computer può comunque rappresentare una fonte di prova »[4]. Lo studioso bolognese, nel fornire tale definizione, delinea maggiormente il contesto più propriamente investigativo della computer forensics, anche se, nell’economia del suo discorso, viene limitato ai soli reati informatici.

Tuttavia relegare l’informatica forense alle sole indagini digitali concernenti i reati informatici[5], così come definiti nei dettami del diritto sostanziale, può apparire riduttivo, anche alla luce delle prassi investigative messe in risalto dai noti episodi di cronaca, concernenti ipotesi di omicidio, che hanno visto proprio l’analisi delle tracce informatiche come elemento fondante di tesi accusatorie da una parte e come supporto all’azione difensiva dall’altra[6].

Pare opportuno pertanto, in via preliminare, allargare il quadro definitorio, analizzando alcune apparenti ambiguità che potrebbero, non correttamente, limitarne lo studio ai soli aspetti tecnici.

E’ infatti necessario un approccio interdisciplinare all’argomento in discussione che, pur mantenendo un valore epistemologico, sposterebbe l’attenzione su valutazioni di natura differente.

In quest’ottica si potrebbe indicare come la «computer forensics sia quella disciplina che studia il valore che un dato correlato ad un sistema informatico o telematico può avere in qualunque ambito sociale. Tale valore deve essere inteso come la capacità del dato di resistere alle contestazioni influenzando il libero convincimento del giudice in ordine alla genuinità, non ripudiabilità, imputabilità ed integrità del dato stesso e dei fatti dallo stesso dimostrati»[7].

La definizione proposta da Ziccardi puntualizza in primo luogo la fondamentale importanza che riveste il dato digitale e come questo debba essere obligatoriamente correlato con altri elementi affini.

Spingendosi oltre l’orientamento dello studioso appena menzionato, potremmo concludere indicando come sia di primaria importanza la correlazione del dato, nella sua accezione più generale e dunque inteso non esclusivamente digitale, con altri elementi acquisiti nel corso delle indagini.

E’ indiscutibile comunque come lo scopo dell’informatica forense sia quello di individuare, identificare, acquisire, documentare e, di certo in maniera assolutamente prioritaria, interpretare i dati presenti su computer, ovvero all’interno di dispositivi elettronici o ad alto impatto tecnologico. 

Legge 18 marzo 2008 nr. 48 e Best Practices per l’acquisizione della prova informatica

L’intrinseca fragilità che caratterizza le prove digitali le rende facilmente soggette ad alterazioni o modificazioni anche da parte degli stessi investigatori che, se non adeguatamente preparati, possono compromettere e inquinare, anche inconsapevolmente, la scena criminis.

La fase più delicata è sicuramente quella riferibile alla repertazione ed all’acquisizione degli elementi di prova di natura digitale, qui le difficoltà interpretative della realtà informatica si ripercuotono inevitabilmente sull’applicazione dei diversi istituti giuridici, che normalmente vengono utilizzati per acquisire e conservare le prove di un crimine.

L’entrata in vigore della legge 18 marzo 2008 nr. 48 ha sancito l’introduzione dei principi fondanti della computer forensics all’interno del nostro ordinamento, prevedendo importanti aspetti legati alla gestione di quegli elementi di prova che, per loro natura, presentano caratteristiche di estrema volatilità e fragilità[8].

In primo luogo, modificando l’art. 491 bis del codice penale, ha “smaterializzato” il concetto di documento informatico, sottraendolo dal fardello del « supporto »[9], a cui faceva riferimento la formulazione originaria introdotta dalla L. 547/93, rinviando dunque alla medesima definizione introdotta dal Codice dell’Amministrazione Digitale (decreto legislativo 7 marzo 2005, nr. 82)[10].

Il provvedimento di ratifica ha poi esplicitamente previsto alcune regole di corretta gestione dell’evidenza informatica. Le previsioni introdotte dalla legge 48/2008 possono essere lette come un primo, anche se flebile, approccio a quelle best practices tanto care agli ordinamenti di Common Law, ma ancor meglio come il recepimento, nell’ordinamento nazionale, dei principi fondamentali di digital forensics.

Seppur il legislatore si sia mosso cautamente nell’introdurre i nuovi principi per l’assunzione delle prove informatiche, non indicando cioè nel dettaglio le modalità esecutorie da applicare nell’utilizzo di tali istituti in ultimo novellati, si è comunque focalizzata l’attenzione su due basilari aspetti, sicuramente più vincolati al risultato finale che non al metodo da utilizzare, ovvero la corretta procedura di copia dei dati utili alle indagini e la loro integrità e non alterabilità in sede di acquisizione.

Un primo riferimento alle migliori pratiche, finalizzate alla corretta conservazione dei dati, è riscontrabile già all’articolo 8 della citata legge che, modificando le previsioni dell’art. 244 del codice di rito, introduce la locuzione «anche in relazione a sistemi informatici o telematici, adottando misure tecniche dirette ad assicurare la conservazione dei dati originali e ad impedirne l’alterazione».

Come è noto l’art. 244 c.p.p., inserito nel Libro III, Titolo III del codice, individua i casi e le forme delle ispezioni come mezzi di ricerca della prova.

Tale istituto, precedentemente al recepimento della Convenzione di Budapest sui Computer Crimes, non menzionava la possibilità di estendere la ricerca delle tracce o degli effetti materiali del reato ai sistemi informatici e telematici[11].

I cardini di tale modifica, inseriti in egual misura anche nelle previsioni dei successivi articoli del codice di procedura penale che individuano gli altri mezzi di ricerca della prova, sono sicuramente da individuarsi nella necessità di adottare adeguate misure tecniche che consentano una corretta conservazione dei dati acquisiti, nonché di ricorrere a procedure tali da garantirne la genuinità e la non alterabilità nella fase esecutoria dell’atto stesso[12].

Il secondo importante punto fa riferimento all’inalterabilità del dato nel suo complesso: il legislatore, nell’introdurre questo fondamentale vincolo, individua correttamente l’estrema labilità della traccia digitale, imponendo dunque idonee misure che vadano ad evitare ogni minima sua alterazione, anche qualora si operi in regime di estrema urgenza[13] .

Anche quanto le condizioni di tempo e di luogo impongono un’attività di iniziativa da parte della Polizia Giudiziaria per evitare o limitare la dispersione o l’alterazione di cose o tracce inerenti al reato, vi è comunque la previsione di utilizzare le corrette procedure di computer forensics, al fine di acquisire correttamente l’evidenza digitale.

Altra importante modifica introdotta dalla legge di ratifica della Convenzione riguarda l’art. 247 c.p.p., laddove un’attività orientata alla ricerca del corpo del reato o «cose» pertinenti al reato vede un ampliamento dello spettro esecutorio anche ai sistemi informatici o telematici, ancorché protetti da misure di sicurezza, mantenendo, anche in questo caso invariata, la disposizione quasi dogmatica dell’adozione di misure tecniche dirette ad assicurare la conservazione dei dati originali e ad impedirne l’alterazione[14].

Analoghe modifiche compaiono altresì nella previsione della perquisizione d’iniziativa della P.G. di cui all’art.352 c.p.p., evidenziando ancora, come per il già citato dispositivo di cui all’art. 354 c.p.p., che le esigenze d’urgenza non possano prevalere sull’obbligatorietà dell’utilizzo di metodologie quantomeno di carattere forensicaly sound[15].

L’adozione dunque di procedure atte a salvaguardare il dato nella sua interezza, salvo ipotesi estreme legate a cause di forza maggiore, dovranno quindi entrare obbligatoriamente nella prassi quotidiana per tutti quegli operatori specializzati e non, che si troveranno di fronte l’onere dell’acquisizione di evidenze digitali[16].

Computer Forensics: fasi e principali metodologie d’intervento

L’eterogeneità di supporti elettronici che possono celare tracce ed indizi, la costante innovazione tecnologica e fin’anche le molteplici situazioni in cui un investigatore deve confrontarsi, non permettono di individuare una procedura univoca ed universale per l’acquisizione della prova digitale. Si pensi ad esempio ai primi e necessari accertamenti sulla scena del crimine dove, oltre alle comuni tracce da repertare, si evidenziano supporti informatici, dispositivi elettronici di varia natura, computer e quant’altro; oppure nell’ambito dell’esecuzione di un decreto di perquisizione locale negli uffici di una qualsiasi azienda dove non è insolito trovare sistemi informatici estremamente complessi sia per costruzione sia per applicativi o sistemi operativi installati.

In alcuni casi proprio l’individuazione, ancor prima di una corretta acquisizione, pone numerosi e complessi problemi all’investigatore non esperto e non aduso alle nuove tecnologie. In un contesto investigativo non esclusivamente digitale si potrebbe immaginare come, prima ancora dell’acquisizione, possa essere difficoltosa l’individuazione di elementi probatori nel contesto del fatto investigato che, ad una puntuale e più attenta analisi successiva, potrebbero rivelare evidenze importantissime.

Per assumere valore probatorio l’evidenza digitale dovrà soddisfare alcuni requisiti fondamentali, che svolgono il ruolo di condizioni imprescindibili per una corretta utilizzabilità della prova stessa. Una accurata applicazione delle procedure di digital forensics tenderà ad assicurare quei requisiti di integrità, autenticità, veridicità, non ripudiabilità e completezza della prova. Tali procedure dovranno garantire che quanto individuato, acquisito e successivamente analizzato, corrisponda esattamente a quanto riscontrato nel momento dell’intervento sulla scena.

I passaggi che caratterizzano l’attività di computer forensics possono essere riassunti nell’individuazione, preservazione, acquisizione, analisi e correlazione dei dati assunti, oltre che ad una completa ed esaustiva documentazione di quanto effettuato nelle singole fasi.

A corollario di tali passaggi è bene evidenziare il ruolo di primaria importanza che riveste la gestione dell’evidenza informatica nelle singole fasi investigative e processuali.

L’immaterialità dell’evidenza digitale si scontra indubbiamente con la materialità tipica del supporto ove questa risulta memorizzata. A tal riguardo le maggiori difficoltà non intervengono nel momento in cui l’investigatore si trovi davanti a dispositivi di tipo «comune», ovvero evidenze rilevate all’interno di dispositivi elettronici di comune utilizzo, ma già quando s’incontrano supporti che contengono evidenze di tipo «nascoste», che contengono elementi memorizzati all’interno di supporti non tradizionali o «celate», presenti in supporti creati ad hoc[17]. Le difficoltà di una corretta individuazione dell’evidenza digitale aumentano in maniera esponenziale, con proporzione inversa però, rispetto alle competenze tecniche e all’esperienza degli operatori che compiono il sopralluogo.

La fase cronologicamente successiva all’identificazione del reperto consiste nella preservazione e isolamento dello stesso dal mondo esterno. Tale accorgimento risulta ancor più necessario quando l’evidenza informatica, la prova o, meglio ancora, il dato oggetto della ricerca, risulti essere memorizzato all’interno di supporti volatili o ad accesso randomico (tipicamente i dati memorizzati nella RAM, o nella cache di sistema). E’ questa l’ipotesi in cui l’evidenza sia, per esempio, individuabile nell’attualizzazione di un dato di traffico che contempli le connessioni attive in quel momento sul sistema informatico oggetto di perquisizione (router, server, etc.).

Un non corretto isolamento del sistema comporterebbe una non precisa acquisizione della fonte di prova e dunque, la non dimostrabilità della condotta illecita e la impossibile applicazione della misura stessa. Risulta alquanto ovvio indicare come la correttapreservazione del reperto non sia di esclusiva pertinenza dei soli dati volatili o temporanei, essa deve infatti essere applicata a tutti i reperti digitali rinvenuti sulla scena. Le procedure di repertazione ed isolamento contemplano una fase descrittiva, che prevede il sopralluogo con un puntuale inventario delle evidenze rinvenute, ed una fase tecnica, che ha lo scopo di impedire qualsiasi interazione dei reperti con l’ambiente circostante, sino alla successiva fase di acquisizione.

L’acquisizione della prova informatica è sicuramente la fase che presenta una maggior criticità, proprio perché deve garantire l’inalterabilità dell’elemento che viene ad essere repertato e la sua fissazione nel tempo. Tale procedura non potrà essere attuata come una mera copia del dato ricercato, poiché un’operazione di questo tipo comporterebbe l’irreparabile perdita di tutti quegli elementi che sono a corollario della stessa prova: ci si riferisce ad esempio alle indicazioni temporali di creazione del file, di sua modifica o di cancellazione; oppure anche a tutti quegli elementi che costituiscono informazioni fondamentali prescindendo dalla parte contenutistica del documento informatico stesso.

L’obiettivo ultimo di una corretta acquisizione della prova informatica è quello di fornire le massime garanzie in termini di integrità, autenticità, veridicità e non ripudiabilità. Il dato dovrà essere acquisito nella sua integrità e non in maniera parziale o frettolosa, dovranno essere indicati tutti gli elementi collegati alla sua provenienza e dovrà essere cristallizzato (to freeze, congelato), al fine di un suo non disconoscimento nelle successive fasi investigativo-dibattimentali.

Generalmente l’acquisizione dell’evidenza digitale consiste nella creazione della cosiddetta «bit stream image», ovvero nella copia «bit to bit» del dispositivo oggetto d’indagine.

Per copia bit stream, o immagine forense, si deve intendere una vera e propria clonazione a «basso livello», del dispositivo oggetto di analisi.

Acquisita l’evidenza, occorre fornire elementi certi di non ripudio della prova stessa. A questo scopo la cristallizzazione ed il congelamento del dato avverrà attraverso l’utilizzo di dispositivi o di applicativi software che sfruttando funzioni matematiche di algebra modulare, conosciute come funzioni di hash, genereranno il «sigillo digitale» o l’impronta dell’evidenza stessa.

Nel linguaggio matematico ed informatico, la funzione hash è una funzione non iniettiva che mappa una stringa di lunghezza arbitraria in una stringa di lunghezza predefinita.

La codifica hash viene prodotta da un algoritmo che, partendo da un documento arbitrario, di qualsiasi tipo e dimensione, lo elabora e genera una stringa univoca di dimensioni fisse denominato digest o impronta. Applicando una funzione di hash al contenuto di un file o anche ad un intero dispositivo, si ottiene una sequenza alfanumerica di caratteri che rappresenterà l’impronta digitale dei dati memorizzati nel dispositivo. Si può facilmente intuire come, a meno di collisioni, risulta altamente improbabile che due elementi differenti presentino lo stesso valore di digest.

Le funzioni di hash più frequentemente applicate alla digital forensics sono tipicamente individuate nell’MD5[18] e nello SHA-1[19].

Il punto nodale dell’utilizzo di funzioni di hash per cristallizzare il dato, è che una minima modifica degli elementi acquisiti genererà un digest differente a quello prodotto in sede di acquisizione sul dispositivo originale. Il valore di hash del dato originario sarà dunque il sigillo elettronico dell’evidenza e dovrà essere custodito e documentato in maniera assolutamente precisa.

L’hash di un documento informatico e quello della sua copia bit stream, calcolati in sede di repertazione, costituiranno una certificazione inoppugnabile che il contenuto del supporto originale risulti esattamente uguale alla copia acquisita e sulla quale verranno effettuati gli accertamenti tecnici del caso.

L’analisi dell’evidenza informatica è la fase, di tutto il processo legato alle indagini digitali, nella quale maggiormente emergono le competenze tecniche e l’intuito investigativo.

Risulta difficile riuscire a fornire una descrizione succinta, seppur esaustiva, di tale passaggio, senza per forza dover addentrarsi in tecnicismi fuori luogo per questa dissertazione.

E’ bene comunque indicare come l’analisi dovrà valutare primariamente la prova acquisita nel suo complesso, evidenziandone le caratteristiche salienti: sistema operativo, programmi o applicativi presenti, date di installazione, di utilizzo, ultimo accesso e ultimo spegnimento del dispositivo, utenti presenti e relativi privilegi di accesso, etc.

Occorrerà poi verificare la presenza di sistemi ad accesso condizionato o l’uso di password, l’eventuale stato di aggiornamento del sistema, nonchè il livello di sicurezza presente (antivirus, firewall etc.). Tipicamente l’analisi di un dispositivo elettronico, quasi in analogia con il sopralluogo di Polizia Scientifica, dovrà procedere dal generale al particolare, al fine di poter fornire in maniera puntuale ogni eventuale elemento utile. Si inizierà con una descrizione del sistema sino ad arrivare al singolo applicativo o al file oggetto di ricerca, ma anche alle aree cancellate, non più utilizzate, non allocate, sino allo slack space, etc.

E’ opportuno ribadire come l’analisi debba essere effettuata su una copia dell’evidenza acquisita, al fine di garantire la non alterabilità della prova stessa. Analogamente, in certe circostanze sarebbe preferibile produrre più di una copia forense al fine di aver sempre a disposizione una copia lavoro su cui effettuare l’esame[20]. Questa fase presenta, per sua natura, caratteristiche di assoluta ripetibilità, proprio perché si opera su «copie» precedentemente acquisite e non sull’originale; dunque una eventuale distruzione della copia non comporterà la perdita dell’evidenza stessa.

La fase documentale rappresenta la conclusione di tutto il processo legato all’acquisizione della prova digitale in quanto fissa l’intero operato degli investigatori, dall’individuazione della traccia sino al momento del suo esame e della presentazione delle conclusioni.

Tipicamente l’operatore di P.G. (ma anche il C.T. o il Perito) dovrà produrre una dettagliata documentazione relativa a tutte le operazioni effettuate sulla prova acquisita. La documentazione dovrà presentare un riepilogo descrittivo del dispositivo sottoposto a sequestro, nonché una relazione concernente tutte le attività svolte. La relazione dovrà essere chiara e dovrà fornire nel dettaglio tutte le evidenze rilevate. Potrà essere correlata da documentazione fotografica e da una puntuale reportistica degli elementi presenti all’interno del dispositivo.

Il processo di documentazione risulta quantomai fondamentale per garantire una corretta gestione della catena di custodia (chain of custody) dei reperti.

Per chain of custody si intendono tutte quelle operazioni, opportunamente documentate e dettagliate in ordine cronologico, che definiscono quando, come, dove e a quale scopo un reperto viene gestito (rinvenuto, repertato, depositato, trasmesso ad altri organi od uffici, acquisito, analizzato….). Una corretta gestione del reperto contempla tutte quelle procedure atte a documentarne la raccolta, il trasporto, la sua corretta conservazione e l’analisi. Tali procedure hanno lo scopo di garantire che l’autenticità e l’integrità di quel reperto sia stata mantenuta in ogni fase, dalla sua individuazione alla presentazione nelle aule di Tribunale.

Si deve tenere in considerazione che nel momento in cui un oggetto fisico o un dato diventa rilevante al fine di un’indagine, viene considerato reperto e acquisisce uno status di particolare importanza in tutto l’iter probatorio prima e giudiziario dopo.

La gestione dei reperti riveste un ruolo estremamente importante nelle attività di polizia giudiziaria, ma assume maggior rilievo quando i reperti per loro tipicità possono essere soggetti ad alterazione.

La gestione della prova non si esaurisce però nella mera redazione di documentazione tecnico-giuridica ma deve prevedere una serie di procedure da attuare al fine di comprovare che tutti i supporti informatici sequestrati ed i dati ivi contenuti, sottoposti ad analisi, siano stati preservati ed adeguatamente protetti da danneggiamenti o da possibili alterazioni, durante tutta l’attività investigativa. La catena di custodia garantisce una continuità probatoria attraverso la possibilità di tenere traccia delle fasi di individuazione, acquisizione ed analisi, mediante la produzione di adeguata reportistica con differenti livelli di dettaglio. Viene dunque garantita la protezione delle prove, indicando tutti i soggetti che vi hanno accesso e le ragioni per cui tali soggetti hanno in qualsiasi misura interagito con il reperto.

 

 

* Il presente saggio risulta essere un estratto dell’articolo “Evidenza informatica, computer forensics e best practices“, a firma del medesimo autore, pubblicato su ‘Rivista di Criminologia, Vittimologia e Sicurezza’, organo ufficiale della Società Italiana Vittimologia .

[1] Al fine di un chiarimento terminologico per il presente articolo, si vuole sottolineare la scelta dell’uso della «s» finale nel termine «forensics» che in prima battuta potrebbe apparire non corretto o inopportuno. Tale connotazione viene solitamente mantenuta in buona parte della letteratura anglo-americana in quanto direttamente riferibile al concetto di «forensics sciences» e dunque scienze forensi. Nel panorama italiano la letteratura evidenzia come taluni autori prediligano l’utilizzo del singolare ed altri la terminologia americana classica, come si è scelto di adottare in questa sede. Per un’analisi puntuale sull’utilizzo di tale terminologia si rimanda a G. Ziccardi, Scienze Forensi e tecnologie informatiche, in L. Luparia – G. Ziccardi, Investigazione penale e tecnologia informatica, Giuffrè, Milano, 2007, p.3.

[2] Per un approfondimento puntuale sull’argomento si rimanda inter alia a: E. Casey, Digital Evidence and Computer Crime Forensic Science, Computers, and the Internet, Academic Press, Londra 2000; J. Henseler, Computer Crime and Computer forensics, in Encyclopedia of Forensic Science, Academic Press, Londra, 2000; L. Luparia, G. Ziccardi, Investigazione penale e tecnologia informatica, Giuffrè, Milano, 2007; L. Luparia (a cura di), Sistema penale e criminalità informatica, Giufrè, Milano, 2009.

[3] G. Costabile, Computer forensics e informatica investigativa alla luce della Legge n.48 del 2008, in Ciberspazio e Diritto, nr. 3/2010, p.465.

[4] C.Maioli, Dar voce alle prove: elementi di Informatica forense, in internet all’indirizzo
http://www.dm.unibo.it/~maioli/docs/fti_informatica_3009.doc (sito consultato e documento verificato, in ultimo, in data 13/12/2013).

[5] A tale riguardo si ricordano le fattispecie delittuose novellate dalla legge 547/93 e le sue successive modifiche non da ultimo la L.48/2008;

[6] Ci si riferisce ad esempio alle indagini relative all’omicidio di Chiara Poggi, piuttosto che all’omicidio di matrice terroristica del Prof. Marco Biagi, o anche, ai fatti di cronaca legati all’omicidio di Meredith Kercher, dove le evidenze informatiche hanno assunto un ruolo estremamente importante durante le fasi processuali.

[7] G. Ziccardi, Scienze Forensi e tecnologie informatiche, cit., pp.10-11.

[8] Con legge 18 marzo 2008 n. 48, pubblicata in Gazzetta Ufficiale il 4 aprile 2008 n.80, S.O. n. 79, è stata recepita la Convenzione di Budapest sulla criminalità informatica. La Convenzione si compone di tre distinte sezioni: una prima finalizzata all’armonizzazione di norme di diritto sostanziale tra i vari Stati firmatari al fine di garantire l’omogeneità delle incriminazioni; una seconda parte dedicata alla disciplina processuale ed all’innovazione degli strumenti investigativi da applicare all’acquisizione probatoria delle evidenze digitali; ed una terza, che pone le basi per una concreta e fattiva collaborazione tra gli Stati, snellendo le procedure rogatoriali di assistenza giudiziaria internazionale, al fine di una riduzione delle tempistiche di accesso agli elementi di prova in materia di cyber crimes. Per un’approfondita disamina sulle innovazioni introdotte nel codice di rito in termini di Computer forensics ad opera del recepimento nel nostro ordinamento della Convenzione di Budapest su Computer Crimes con L.48/2008, si veda inter alia: F. Bravo, Indagini informatiche e acquisizione della prova nel processo penale, in Rivista di Criminologia, Vittimologia e Sicurezza, 2009, n. 3 – 2010, n.1 (numero doppio), pp. 231-245, e ancora G. Ziccardi, L’ingresso della computer forensics nel sistema processuale italiano: alcune considerazioni informatico-giuridiche, in L. Luparia (a cura di), Sistema penale e criminalità informatica, Giufrè, Milano, 2009, pp165-180.

[9] Il secondo comma dell’art. 491 bis, abrogato dalla L. 48/2008, recitava: «A tal fine per documento informatico si intende qualunque supporto informatico contenente dati o informazioni aventi efficacia probatoria o programmi specificamente destinati ad elaborarli».

[10] L’art. 1 let. p del d.lgs. 82/2005 definisce «documento informatico: la rappresentazione informatica di atti, fatti o dati giuridicamente rilevanti».

[11] Il testo dell’art. 244 C.P.P. prima dell’entrata in vigore della L. 48/2998, recitava: “L’ispezione delle persone, dei luoghi e delle cose è disposta con decreto motivato quando occorre accertare le tracce e gli altri effetti materiali del reato. 2. Se il reato non ha lasciato tracce o effetti materiali, o se questi sono scomparsi o sono stati cancellati o dispersi, alterati o rimossi, l’autorità giudiziaria descrive lo stato attuale e, in quanto possibile, verifica quello preesistente, curando anche di individuare modo, tempo e cause delle eventuali modificazioni. L’autorità giudiziaria può disporre rilievi segnaletici, descrittivi e fotografici e ogni altra operazione tecnica.”

[12] I mezzi di ricerca della prova, regolati nel Libro III, Titolo III del vigente codice di procedura penale, costituiscono tutte quelle attività che sono finalizzate all’acquisizione diretta o indiretta della prova, per mezzo dell’individuazione dei mezzi di prova o, indirettamente, delle fonti di prova per il dibattimento. Più precisamente sono attività svolte in fase predibattimentale consistenti nella ricerca di persone o cose e nell’individuazione di luoghi che possano risultare utili per la dimostrazione del fatto costituente reato e necessari per l’acquisizione delle fonti di prova.

[13] La novella dell’art. 354 C.P.P. evidenzia l’importanza di una corretta acquisizione della prova digitale anche quando sussistano ragioni di urgenza, infatti al secondo comma del citato articolo si legge:« In relazione ai dati, alle informazioni e ai programmi informatici o ai sistemi informatici o telematici, gli ufficiali della polizia giudiziaria adottano, altresì, le misure tecniche o impartiscono le prescrizioni necessarie ad assicurarne la conservazione e ad impedirne l’alterazione e l’accesso e provvedono, ove possibile, alla loro immediata duplicazione su adeguati supporti, mediante una procedura che assicuri la conformità della copia all’originale e la sua immodificabilità ».

[14] Il testo dell’art. 247 C.P.P. innovato dalla L.48/2008 recita: “1. Quando vi è fondato motivo di ritenere che taluno occulti sulla persona il corpo del reato cose pertinenti al reato, è disposta perquisizione personale. Quando vi è fondato motivo di ritenere che tali cose si trovino in un determinato luogo ovvero che in esso possa eseguirsi l’arresto dell’imputato o dell’evaso, è disposta la perquisizione locale. 1-bis. Quando vi è fondato motivo di ritenere che dati, informazioni, programmi informatici o tracce comunque pertinenti al reato si trovino in un sistema informatico o telematico, ancorché protetto da misure di sicurezza, ne è disposta la perquisizione, adottando misure tecniche dirette ad assicurare la conservazione dei dati originali e ad impedirne l’alterazione.”

[15] Buona parte della letteratura americana individua il concetto di foreniscaly sound, per indicare tutte quelle procedure di computer forensics che, per varie motivazioni, legate sia all’urgenza di compiere determinati atti, ovvero alla tipologia di evidenze da repertare, tendono alla corretta applicazione delle best praticies, pur non potendo garantire l’assoluta ripetibilità ed integrità. E’ questo il caso ad esempio della mobile forensics o delle attività di ricerca della prova su dispositivi embedded.

[16] Come accennato in precedenza, ancor prima dell’introduzione dei dettami normativi apportati dal recepimento della Convenzione di Budapest, alcuni reparti specializzati delle forze di polizia disponevano già del know how necessario e di procedure tese a garantire l’inalterabilità e la genuinità dell’evidenza digitale. Tali procedure però non sono paragonabili a vere e proprie best practices “nazionali” poiché non presentano i caratteri di pubblicità, di generale condivisione e di recepimento o accettazione da parte della comunità scientifica. Come si accennerà in seguito, il Servizio Polizia Postale e delle Comunicazioni, negli anni, ha prodotto circolari ad uso interno indirizzate ai propri operatori, al fine di fornire indicazioni su come approcciarsi a specifiche attività investigative in ordine all’acquisizione di determinate evidenze informatiche. Lo stesso Servizio, come del resto l’Arma dei Carabinieri ed anche il Comando Generale della Guardia di Finanza, hanno da tempo promosso e sviluppato un percorso di aggiornamento professionale e di interscambio esperienziale con omologhe agenzie straniere, indirizzato agli operatori impiegati in servizi ad alta specializzazione tecnica e volto ad acquisire le competenze specialistiche necessarie con diretto riferimento anche alle best practices internazionali.

[17] Per un approfondimento maggiore inerente la suddivisione delle tipologie di tracce digitali rinvenibili all’interno della scena del crimine si rimanda aDigital evidence field guide: what every peace officer must know’, U.S. Department of Justice, Federal Bureau of Investigation– Regional Computer Forensics Laboratory Program (RCFL) and Computer Analysis Response Team (CART), in internet all’indirizzo http://www.rcfl.gov/downloads/documents/FieldGuide_sc.pdf (sito consultato e documento verificato in ultimo in data 14/12/2013).

[18] L’acronimo MD5 (Message Digest algorithm 5) indica un algoritmo crittografico di hashing realizzato da Ronald Rivest nel 1991 e standardizzato con la RFC 1321. Questo tipo di codifica prende in input una stringa di lunghezza arbitraria e ne produce in output un’altra di 128 bit.

[19] In matematica o informatica, con il termine SHA si indica una famiglia di cinque diverse funzioni crittografiche di hash sviluppate a partire dal 1993 dall’agenzia statunitense National Security Agency (NSA) e pubblicate dal NIST come standard federale dal governo degli USA. L’acronimo SHA è riferibile a Secure Hash Algorithm. Gli algoritmi della famiglia SHA sono denominati SHA-1, SHA-224, SHA-256, SHA-384 e SHA-512, le ultime 4 varianti sono spesso indicate genericamente come SHA-2, per distinguerle dal primo.

[20] La previsione di effettuare più di una copia forense del dispositivo oggetto di analisi, oltre a fornire una maggior garanzia riguardo ad eventuali danneggiamenti accidentali dell’elemento probatorio, viene indicata dalla quasi totalità delle best practices, in particolare quelle prodotte a scopi investigativi.

Lascia un commento