Con sentenza 147/2023, il Consiglio Nazionale forense si è pronunciato nei confronti di un avvocato che aveva proposto ricorso avverso una sanzione disciplinare del proprio consiglio di appartenenza, stabilendo un interessante principio in termini di sicurezza informatica.
Il ricorso dinnanzi al CNF, per stessa ammissione dell’incolpato, è stato presentato tardivamente a causa di un attacco hacker che avrebbe reso indisponibile la PEC all’incolpato, che dunque ne aveva preso visione in ritardo. Tuttavia, l’avvocato, nel proporre la propria difesa, ha prodotto una serie di documentazione di vario genere, ma nulla che dimostrasse l’effettiva sussistenza di un attacco hacker, che dunque risultava essere una mera allegazione sguarnita di qualsivoglia elemento di prova. Al contrario, la PEC inviata dal consiglio dell’ordine di competenza risultava regolarmente inviata e consegnata, con le ricevute allegate.
Con una motivazione estremamente succinta, quindi, il Consiglio Nazionale Forense non è nemmeno entrato nel merito del ricorso, limitandosi a statuire sulla preliminare e dichiarando tardivo, e pertanto inammissibile il ricorso. Per approfondire i temi dell’intelligenza artificiale, abbiamo organizzato il “Master in Intelligenza artificiale per avvocati e imprese – Come utilizzare l’AI generativa per un vantaggio competitivo nel settore legale”.
Indice
1. La motivazione del CNF
Così si legge nelle poche righe di motivazione: “In via preliminare il ricorso va dichiarato inammissibile per tardività. Il ricorrente ha richiesto la remissione in termini, così riconoscendo la tardività, in quanto avrebbe subito un’intrusione informatica nel sistema che lo avrebbe privato della possibilità di verificare le PEC, circostanza questa che gli avrebbe impedito di conoscere la decisione del Consiglio di Disciplina. Va specificato che la PEC di trasmissione della decisione disciplinare all’incolpato di data 17/9/21 risulta correttamente trasmessa e consegnata. Nell’avanzare richiesta di remissione in termini, e al fine di giustificare quanto sostenuto il ricorrente allega varia documentazione. Non vi è però traccia alcuna di una certificazione tecnica che attesti l’intrusione informatica, circostanza questa che impedisce una valutazione favorevole della richiesta di remissione in termini. Per quanto detto il ricorso è tardivo e dunque inammissibile”.
2. Qualche riflessione sul principio statuito
Le decisioni del Consiglio Nazionale forense non fanno giurisprudenza per i cittadini, ma costituiscono precedente per gli appartenenti al consiglio dell’ordine degli avvocati. Ma al di là di questa precisazione, ci sono alcune considerazioni interessanti da trarre da questo episodio.
Primo, anche per gli avvocati è venuto il momento di accettare il fatto che siamo nel 2023 e che la rivoluzione tecnologica e telematica è in pieno svolgimento. Come categoria alquanto refrattaria al cambiamento, per tutti noi questo può essere uno tsunami foriero di conseguenze solo negative, ma è indubbio che piuttosto che contrastare un cambiamento impossibile da contenere, tanto vale abbracciarlo e trarne qualche vantaggio.
Secondo, il tema degli attacchi informatici e delle loro conseguenze anche da punto di vista processuale (cosa che potrebbe accadere anche in processi civili o penali ordinari) non è da sottovalutare, poiché è vero che un avvocato potrebbe utilizzare questa circostanza nelle proprie allegazioni probatorie e per sostenere la propria tesi difensiva.
Tuttavia, come avviene per qualsiasi elemento processuale, la parte ha l’onere di provare i fatti che costituiscono il fondamento delle proprie allegazioni processuali, ed è qui che si potrebbero incontrare i veri problemi.
Potrebbero interessarti anche:
3. Come si dimostra di aver subito un attacco informatico di hacker?
Nel campo della sicurezza informatica, ma anche dell’informatica tout court, tutto e mutevole e tutto può essere ingannevole, perché è abbastanza facile, anche per chi ha una minima competenza, creare documentazione non corrispondente a realtà.
L’unico modo per dimostrare nel corso di un giudizio che qualcosa a livello informatico è realmente avvenuto e quando è ricorrere alla disciplina della digital forensics, o computer forensics, (in italiano si potrebbe tradurre come informatica forense), che è la scienza forense che si occupa del trattamento di dati digitali di qualsiasi tipo allo scopo di rilevare prove informatiche incontrovertibili e certe che possono essere utilizzate in un processo perché hanno valore legale, anche servendosi di hacker etici.
Si tratta di una disciplina che, di pari passo con l’avanzare della digitalizzazione, si sta facendo strada nei tribunali, perché le evidenze accertate con questo metodo hanno valore legale e possono pertanto essere utilissime a sostenere la propria tesi. Nel caso in esame, quindi, l’avvocato ricorrente avrebbe dovuto sottoporre il proprio computer ad una analisi di digital forensics, in modo da poter produrre un report con valore legale da allegare come prova per dimostrare di aver effettivamente subito un attacco che non gli ha permesso di leggere in tempo la PEC.
4. Gli aspetti giuridici della digital forensic
È stata la Convenzione di Budapest sul Cybercrime del 2001, recepita in Italia con la Legge 48/2008 (legge di Ratifica ed esecuzione della Convenzione del Consiglio d’Europa sulla criminalità informatica, fatta a Budapest il 23 novembre 2001, e norme di adeguamento dell’ordinamento interno) a introdurre nel nostro Paese i principi giuridici su cui si fonda la digital forensics, anche se già dal 1993 il codice penale aveva introdotto norme in tema di criminalità informatica e hacker.
5. Come si svolge una analisi di digital forensics?
La digital forensics (che a sua volta si suddivide in varie tipologie, quali la computer forensics, o disk forensics, che si occupa del trattamento di computer, laptop, hard disk, pendrive, DVD, CD; la mobile forensics che si occupa di smartphone, tablet, telefoni cellulare e ogni altro dispositivo mobile; la network forensics che si occupa di analizzare e intercettare traffico telematico e di correlare eventi su diversi sistemi connessi in rete) si suddivide in diversi passaggi, che possiamo così sintetizzare: individuazione, raccolta, acquisizione, analisi e valutazione.
- Individuazione dei dati informatici: la prima fase è l’individuazione dei reperti informatici e dei dati digitali rilevanti su cui eseguire l’analisi, sia come supporto hardware sia come software utilizzati,
- Raccolta dei reperti informatici: nella seconda fase, si procede alla raccolta dei dati da sottoporre ad analisi ed a copia forense, ossia una copia “autentica” che abbia valore di legge.
- Acquisizione: in questa fase si effettua la duplicazione dei dati, mediante copia forense di hard disk o di parte di esso. Tutte le copie sono identificate grazie a particolari hash, ovvero chiavi identificative univoche.
- Analisi, valutazione e report: infine, con quest’ultima fase, il nostro consulente esperto procede a valutare quanto analizzato e trae le sue conclusioni, ad esempio ci dice se c’è stato attacco, se sono stati eliminati file o cancellati dati (nel qual caso si può procedere al recupero) e fornisce tutte le informazioni utili e utilizzabili in tribunale che quel supporto digitale può dare.
Al termine dell’analisi è redatta una relazione tecnico-informatica, in cui si illustrano le metodologie utilizzate e i riscontri, che, per l’appunto, sarebbe stato il documento utile per l’avvocato per dimostrare di aver effettivamente subito un attacco informatico, ottemperando al suo dovere probatorio e, di conseguenza, superando l’inammissibilità del ricorso per tardività: ecco come e fino a che punto ciò che avviene nel cyberspazio può avere conseguenze rilevanti nella vita reale.
Formazione in materia
Per approfondire i temi dell’intelligenza artificiale, abbiamo organizzato il “Master in Intelligenza artificiale per avvocati e imprese – Come utilizzare l’AI generativa per un vantaggio competitivo nel settore legale”
Il Master in Intelligenza Artificiale per Avvocati e Imprese è un percorso formativo avanzato, progettato per fornire a professionisti del settore legale e imprese le conoscenze e le competenze necessarie per orientarsi e utilizzare al meglio le potenzialità dell’AI generativa. Attraverso un approccio pratico, il corso illustrerà i principali tool di AI in uso e mostrerà ai partecipanti come integrare l’AI nei processi lavorativi, migliorando l’efficienza, riducendo i costi e innovando i servizi offerti.Il corso ha una durata totale di 21 ore, articolate in sette incontri da tre ore ciascuno, e include dimostrazioni pratiche in cui verranno illustrate tecniche per la creazione di Prompt efficaci e un framework per la creazione di un GPT personalizzato, focalizzato sulle esigenze del settore legale.
>>>Per info ed iscrizioni<<<
Scrivi un commento
Accedi per poter inserire un commento