Purtroppo sono diversi i casi in cui le prove processuali digitali acquisite nel corso di un’analisi forense sono state invalidate per grossolani errori durante l’acquisizione e la verifica, spesso vi sono stati problemi di violazione della privacy stessa. Del resto, l’esecuzione di una analisi forense è tema di discussione: la tecnologia cambia in modo veloce e ogni investigatore forense deve tenersi aggiornato non solo sui tools ma anche sulle variazioni dei sistemi operativi e della loro architettura. Ciò determina la buona riuscita di ogni indagine forense. Approfondiamo il tema valutando gli aspetti tecnici e giuridici dell’analisi.
Indice degli argomenti
Computer e digital forensic
Si tratta un processo, delicato, strategico e tecnico e si occupa della raccolta, conservazione e analisi delle prove nel corso di un’indagine, concentrandosi principalmente sul processo di scoperta dei dati elettronici, siano essi parziali o semplici indizi che portano l’investigatore alla scoperta delle cause degli eventi dannosi. Naturalmente procedure di questo tipo sono spesso affidate alla libera interpretazione ed è per questo motivo che l’investigazione forense dovrebbe esser condotta da tecnici provenienti da ambiti di penetration test o incident analysis, i quali per la forma mentis sviluppata sono in grado di escludere sin dall’inizio indizi che portano a speculazioni e illazioni e si concentrano su fingerprint precisi. Ad oggi molti investigatori forensi sono tecnici senza troppa conoscenza dei sistemi su cui operano limitandosi ad usare tools ed acquisire dati secondo parametri dettati da terzi.
Bisogna, inoltre, distinguere tra operatori forensi e investigatori forensi, i primi si limitano ad acquisire le prove secondo determinate regole e riportarle alle forze dell’ordine per le indagini, mentre i secondi forniscono un supporto valido alle indagini. Attenzione, non si fa riferimento ad investigatori digitali che eseguono l’indagine di polizia, ma a persone capaci di fornire elementi validi dal punto di vista tecnico in modo che l’indagine abbia successo e fornisca gli elementi giusti. Si ricorda che, da un punto di vista tecnico, la computer forensics, e ora la nozione più estesa e contemporanea di digital forensic, è necessaria per affrontare le indagini sui crimini informatici e supportare la mitigazione delle vulnerabilità del sistema nonché migliorare la sicurezza dell’infrastruttura di dati nell’organizzazione. Gli scenari degli attacchi informatici contro privati e aziende sono ormai una consuetudine ed i criminali spesso lasciano prove su dischi rigidi, risorse di dati, file di registro, database e altri componenti del sistema di informazione compromessi.
La digital forensic, oltre a raccogliere, conservare e proteggere le prove che possono essere presentate in tribunale, può fornire servizi preziosi attraverso il monitoraggio dei dati. Gli strumenti forensi possono essere distribuiti per raccogliere, analizzare e abbinare le voci del registro su più piattaforme all’interno dell’organizzazione allo scopo di individuare incoerenze o identificare attività sospette. Inoltre, gli strumenti forensi possono essere utilizzati per decrittografare i dati codificati se la chiave di crittografia viene persa o dimenticata e possono acquisire dati da altri sistemi che vengono riproposti, ritirati o che necessitano di risanamento. Ma negli ultimi tempi ha assunto una grande rilevanza un particolare settore della digital forensic e cioè la mobile forensic. Basta porre lo sguardo ai dati che descrivono la diffusione e l’uso di dispositivi mobili in Italia e all’estero per comprendere la centralità di tale scienza nel panorama investigativo.
Il rapporto Eurispes
Nel nostro Paese, secondo il Rapporto Italia diffuso da Eurispes, lo smartphone si conferma lo strumento tecnologico più diffuso: ne ha uno il 75,7% degli italiani; i possessori di tablet/ipad sono 43,3%, in crescita rispetto al 36,8% del 2015. L’utilizzo più frequente resta chiamare ed essere chiamati (99,3%), seguono inviare e ricevere sms (85,1%); è elevatissimo l’uso di applicazioni di messaggistica (75,2%), l’abitudine a scattare foto e registrare filmati (69%), a navigare in Internet (66,8%) e ad utilizzare i Social Network (51,1%). Su scala globale, i dati sono ancora più significativi; il Global Digital Report 2019 ha registrato 5,11 miliardi di utenti mobile al mondo, con un incremento di oltre 100 milioni (+2%) rispetto all’anno precedente; 4,39 miliardi di utenti Internet, con un incremento di oltre 366 milioni (+9% rispetto all’anno precedente); 3,48 miliardi di utenti social, dei quali 3,26 miliardi accedono alle piattaforme social da mobile, con un incremento di 297 milioni (+10% rispetto all’anno precedente).
Questi dati testimoniano inequivocabilmente come la quotidianità di ogni individuo sia costantemente scandita dalla continua interazione con molteplici dispositivi mobili i quali, anche a prescindere dal più o meno specifico carattere informatico di un fenomeno criminale, possono rappresentare preziosi depositari di informazioni di interesse investigativo. Questa attitudine discende anche dalla progressiva implementazione delle funzionalità riconducibili ai mobile device.
Mobile forensic
La mobile forensic, nello specifico, è una scienza che si occupa delle indagini tecnico-scientifiche su qualsiasi dispositivo digitale che sia dotato di memoria interna e capacità di comunicazione: telefoni cellulari, palmari, tablet, dispositivi GPS e così via. Si tratta di un settore in costante crescita se si tiene conto che le attività svolte dal Reparto Tecnologie informatiche – il quale ha assorbito, nell’ambito del Ra.C.I.S, i compiti della Sezione Telematica del RIS di Roma – tendono mediamente a raddoppiare su base annua proprio in virtù della diffusione delle apparecchiature elettroniche ed alla presenza, in molte di queste, di componenti di memorizzazione di dati che hanno capacità sempre maggiore a fronte di un costo ormai alla portata di tutti.
La sfida maggiore, nell’ambito della mobile forensic, è indiscutibilmente rappresentata da una incessante evoluzione tecnologica che risulta proiettata verso la creazione di dispositivi sempre più avanzati, le cui caratteristiche sono in costante cambiamento. A tal proposito, basti pensare che – solo nel mercato della telefonia cellulare – convivono almeno tre categorie di device, con funzioni e caratteristiche molto diverse. Vengono in rilievo, secondo il National Institute of Standards and Technology (NIST):
- Basic Phone: velocità di calcolo e memoria limitata; dotato di uno schermo in scala di grigi, privo di fotocamera e di scheda di memoria aggiuntiva, senza la possibilità di connettersi ad Internet per la navigazione Web e l’invio di posta elettronica;
- Advanced Phone: velocità di calcolo e memoria superiore, dotato di uno schermo in scala di colore, equipaggiato con fotocamera a bassa risoluzione; dotato di alloggiamento per schede di memoria aggiuntive, collegabile al computer tramite cavo, infrarosso o Bluetooth, in grado di collegarsi ad Internet a velocità limitata per la navigazione Wap e l’invio e la ricezione di posta elettronica;
- SmartPhone: elevata capacità di calcolo e di memoria; dotato di uno schermo a colori reali e equipaggiato con fotocamera ad alta risoluzione in grado di eseguire filmati; dotato della possibilità di contenere memorie di massa o rimovibili aggiuntive ad alta capacità; agenda collegabile ad un computer, tramite cavo, infrarosso, Bluetooth e Wi-fi; collegamento ad Internet ad alta velocità per la navigazione Web, l’invio e la ricezione di posta elettronica e l’instant messaging.
La prospettiva giuridica
Da un punto di vista strettamente giuridico-processuale il primo aspetto da evidenziare è che il codice di procedura penale, a seguito della riforma introdotta con legge 48/2008, disciplina in maniera minimale la prova informatica limitandosi ad introdurre nel nostro ordinamento solo i principi essenziali in materia, mediante un intervento caratterizzato da innesti di nuovi precetti, all’interno di istituti già esistenti, che tengono conto della specificità del dato informatico-digitale, non fornendo alcuna definizione normativa di computer forensics e di digital forensics, né regolando nel dettaglio le relative tecniche. Invero, il legislatore non si è addentrato in questioni tecnico-scientifiche, ma ha individuato esclusivamente la finalità da raggiungere con l’acquisizione di tale tipo di prova, ovvero la certezza della integrità ed immodificabilità del dato informatico per l’intera durata del procedimento. Il senso della scelta normativa si spiega con la consapevolezza della peculiarità scientifica della digital evicence che ha ad oggetto la traccia informatica connotata da immaterialità, transitorietà ed alterabilità, oltre che dispositivi ed applicativi in costante evoluzione. Ciò rende impossibile cristallizzare in regole tecnico-giuridiche di dettaglio i criteri scientifici settoriali in quanto questi sono destinati ad evolversi in breve tempo.
Alle luce delle esposte premesse, pur nella consapevolezza della mancanza di descrizioni univoche, si possono fissare talune caratteristiche della computer forensics e della digital forensics. In particolare, possono essere definite come attività investigative di tipo tecnico-scientifico, finalizzate all’utilizzo processuale, mediante le quali viene ricostruito il fatto-reato, oltre che in ragione delle normali manifestazioni fisiche, in virtù degli elementi informatico-digitali allo stesso riferibili. Così intese, computer forensics e digital forensics rientrano pienamente nell’ambito della materia criminalistica intesa quale applicazione delle metodiche scientifiche finalizzate all’indagine. D’altra parte, anche il legislatore con la legge n. 48/2008, pur senza affermarlo espressamente, ha indirettamente riconosciuto alle attività finalizzate alla acquisizione della prova digitale forense la natura di scienza criminalistica a tutti gli effetti.
Invero, il raggiungimento degli scopi normativi in materia di prova digitale, in assenza di disposizioni tecnico-giuridiche, non potrà che essere valutato mediante il ricorso alla computer forensics ed alla digital forensics i cui criteri tecnico-scientifici sono quelli che, nella pratica e nella letteratura di settore, vengono definiti best practices. Quanto detto spiega il rilievo assunto da queste ultime, infatti solo con il ricorso alle stesse si giunge all’acquisizione nel processo della prova digitale (digital evidence) da intendersi come “l’informazione generata, memorizzata e trasmessa attraverso un supporto informatico che può avere valore in Tribunale” ed anche come “qualsiasi informazione, con valore probatorio, che sia o meno memorizzata o trasmessa in un formato digitale”.
Le caratteristiche
Una delle caratteristiche della prova in esame (informatic e digital evidence) consiste nel fatto che le tracce digitali ed informatiche si rinvengono in una scena del crimine costituita da un “ambiente” particolare i cui elementi sono immateriali e soggetti a modifica. Inoltre, al fine dell’utilizzo processuale, tali tracce immateriali devono essere acquisite dal supporto che le contiene e trasferite su un altro supporto. Ciò rende necessario avere la certezza che il dato immateriale è stato “copiato” (duplicato, clonato) conformemente a quello “originale” e, poi, che venga conservato ed analizzato senza modifiche, ed il tutto deve avvenire con modalità tali che siano idonee a dimostrare, nel tempo, sia la mancata alterazione dell’originale sia che a quest’ultimo corrisponda la copia.
Tale complessità è ulteriormente aggravata dalla circostanza che l’innovazione tecnologica cambia anche le caratteristiche dell’ambiente in cui si rinvengono le prove informatiche in quanto lo stesso si connota per il fatto che i dati digitali hanno poca staticità e definitività con conseguente veloce modifica di questa particolare scena del crimine (con l’espressione “volatilità” si indica tale caratteristica del dato informatico-digitale). Inoltre l’innovazione informatico-digitale (dell’hardware, del software delle reti, dei cloud, la varietà dei supporti ecc.), rende rapidamente obsoleti i prodotti in commercio.
Tali evenienze richiedono, come già sottolineato in precedenza, in sede di investigazione e del successivo utilizzo forense, una specializzazione tecnico-scientifica elevata ed affidabile con costante aggiornamento delle metodiche di analisi, altrimenti si acquisirebbero tracce digitali destinate a restare meri indizi inidonei a costituire una prova scientifica che siano processualmente validi. Da tali considerazioni si chiarisce il perché la legge n. 48/2008 si è limitata ad indicare solo le finalità da raggiungere con tale prova (digitale evidence), ovvero la corretta procedura di acquisizione e conservazione dei dati utili alle indagini e la assicurazione della loro integrità e non alterabilità, ma senza vincolare ciò a particolari metodi tecnico-scientifico che, invece, dovranno di volta in volta essere rinvenuti mediante il ricorso alla “aggiornata” “adeguata” e “validata” scienza di settore le cui standardizzate tecniche costituiscono le best practices finalizzate “all’individuazione, preservazione, acquisizione, analisi e correlazione dei dati assunti, oltre che in una completa ed esaustiva documentazione di quanto effettuato nelle singole fasi”.