La funzione della “digital forensics” nel processo penale

Il complesso rapporto fra consulenti tecnici e giuristi.

La distanza esistente fra consulenti tecnici di parte, periti informatici nominati dal Tribunale, e altri soggetti che operano nel settore è soprattutto frutto della differente formazione scientifica e culturale dei soggetti in questione.

Alla prima categoria professionale si può rimproverare, e questo è conseguenza diretta soprattutto delle esperienze processuali maturate sino ad ora, il fatto che alla loro pregevole “sapienza” nel campo dell’informatica e dell’ingegneria, fa da contrappeso il limite della scarsa conoscenza, o in termini eufemistici della poca dimestichezza, con le norme che regolano il processo penale e le logiche procedurali. Le lacune conoscitive nella disciplina del settore in cui, concretamente, dovrà essere ordinato il lavoro di ricerca tecnico-peritale, può pregiudicare l’opera di un capace ingegnere o informatico.

In altri termini, non è sufficiente soltanto avere delle pur ferrate conoscenze nella materia di propria competenza, ma bisogna soprattutto indirizzare e dirigere tutta l’attività precedentemente svolta (e questo sia nel caso di incarico ricevuto dal pubblico ministero che nel caso di consulenza tecnica ricevuta dall’avvocato difensore dell’indagato o di perizia richiesta ai sensi dell’art. 507 del codice di procedura penale) a quello che è il reale e peculiare fine della stessa: l’utilizzabilità processuale della consulenza o della perizia.

<<Il compito principale e allo stesso tempo più difficile della consulenza in questione, la quale è svolta da un tecnico per poi essere interpretata da un non tecnico, è quello di fornire un aiuto, un chiarimento, una delucidazione, insomma una risposta motivata e validamente sostenibile al quesito formulato, così da risolvere almeno alcune delle problematiche che si presentano nella fattispecie concreta di volta in volta esaminata>>.

Problematiche che, nella maggior parte dei casi, se risolte, serviranno a chiarire se una condotta o un’attività di tipo tecnico-informatico abbia una rilevanza penale e possa così fungere da presupposto per un’eventuale responsabilità a carico del soggetto che abbia posto in essere la stessa.

In secondo luogo, l’opera compiuta dal consulente tecnico è, come già anticipato, destinata al giurista. Quest’ultimo non possedendo, a causa della diversa formazione culturale di cui prima si parlava, alcuna conoscenza tecnico-informatica, dovrà necessariamente imparare a versare i concetti e le definizioni fornitegli dal consulente in quel “recipiente” rappresentato dalle categorie utili ai fini dell’individuazione o dell’esclusione di un’eventuale responsabilità penale a carico dell’indagato.

<<Occorre ad esempio che un avvocato riesca a portare alla luce e all’attenzione del magistrato, che sarà chiamato ad emettere una sentenza, il fatto che alcuni passaggi di natura tecnica, rilevabili dalla documentazione che emerge dagli atti, provino o meno e in maniera inequivocabile un fatto o un comportamento tenuto dall’indagato>>.

Alla luce di ciò, il lavoro che nel processo penale è svolto da queste due categorie professionali (consulenti tecnici da una parte e giuristi dall’altra) dovrà necessariamente e continuamente alimentarsi <<della disponibilità, competenza, e capacità che l’una categoria dovrà e saprà offrire all’altra, tutto questo nella presa di coscienza, ciascuno, dei propri limiti culturali>>.

Cos’è la “digital forensics”?

<<In una società digitalizzata, uno dei principali problemi che si evidenzia al giurista, e in particolare a chi è chiamato a indagare (forze dell’ordine e pubblici ministeri) e a giudicare (Tribunale), è quello di voler attribuire una giusta collocazione ad una nuova branca delle attività investigative, già approdata nelle aule di giustizia, da molti definita come digital forensics.

La domanda sorge spontanea: che cos’è la “digital forensics”? E’ difficile dare una semplice e univoca risposta a questa domanda, perché digital forensics è un’espressione diffusamente impiegata, così come quella di “computer forensics”, ma la sua definizione è tutt’altro che pacifica. Si consideri inoltre che la materia è approdata solo in tempi recenti nelle aule di tribunale e che la sua evoluzione è continua.

Una definizione tecnica “iniziale” viene offerta da Giovanni Ziccardi, secondo il quale <<per computer forensics s’intende quella scienza che studia il valore che un dato correlato ad un sistema informatico o telematico può avere in ambito sociale, giuridico, o legale che dir si voglia>>. Dove per “valore” s’intende l’attitudine del dato a resistere alle contestazioni e la sua capacità di convincimento nei confronti del giudice, in ordine soprattutto alla sua non ripudiabilità in sede di giudizio.

Cesare Maioli invece la definisce come: <<la disciplina che studia l’insieme delle attività che sono rivolte all’analisi e alla soluzione dei casi legati alla criminalità informatica, comprendendo fra questi i crimini realizzati con l’uso di un computer, diretti a un computer o in cui il computer può comunque rappresentare una fonte di prova>>.

Sulla stessa lunghezza d’onda è Eoghan Casey, il quale in un articolo che apre il primo numero della Rivista scientifica Digital Investigation, separa, proprio per definire l’ambito della nostra disciplina, due situazioni:

<<La computer forensics altro non è che l’estensione di teorie, principi e prassi, proprie della scienza forense, al mondo dell’informatica e delle nuove tecnologie. Non si tratta dunque, dal punto di vista teorico, di un passaggio logico particolarmente complesso. La scienza forense ha già in passato affrontato, senza rilevanti difficoltà, nuovi tipi di prova, nuove metodologie d’analisi, nuovi ostacoli delineati dal progresso>>.

1)         l’ipotesi in cui il computer rappresenta la c.d. arma del delitto (si pensi a un furto compiuto proprio tramite computer);

2)         il caso in cui, invece, il computer contiene dati che riflettono l’attività di chi li usa, fungendo in questo caso da semplice fonte di prova.

Gabriele Faggioli e Andrea Ghirardini, nel tentativo di fornire una definizione sufficientemente “universale” di computer forensics, la descrivono come <<la disciplina che si occupa della preservazione, dell’identificazione e dello studio delle informazioni contenute nei computer, o nei sistemi informativi in generale, al fine di evidenziare l’esistenza di prove utili allo svolgimento dell’attività investigativa>>.

Ma le definizioni, come accennato, non si fermano qui. La computer forensics è anche <<quel processo teso alla manipolazione controllata e più in generale al trattamento di dati e/o informazioni digitali e/o sistemi informativi per finalità investigative e di giustizia, adottando procedure tecnico-organizzative tese a fornire adeguate garanzie in termini di integrità, autenticità e disponibilità delle informazioni e dei dati in parola>>.

Tale disciplina, secondo alcuni una scienza chiamata anche informatica forense, non può limitare il proprio raggio d’azione alle sole indagini relative ai c.d. reati informatici. Quest’ultima definizione ci offre l’occasione per segnalare un’importante differenza, ovvero quella intercorrente fra “informatica forense” e “sicurezza informatica”.

Seppure queste due aree di attività siano strettamente collegate, dobbiamo pensare alla sicurezza informatica da un lato come elemento di ostacolo e dall’altro come fonte di strumenti e opportunità per l’informatica forense. L’acquisizione dei reperti informatici richiederà, la violazione del sistema oggetto dell’analisi, e in questo campo la stessa Sicurezza Informatica sarà d’aiuto. <<Inoltre, le best practice di sicurezza definiscono molti requisiti sui sistemi che, se opportunamente applicati, potranno in un secondo momento rendere disponibile un gran numero di informazioni aggiuntive, utilizzabili per l’analisi forense>>. Ma, come ben rilevato da Gerardo Costabile, si utilizza la locuzione digital forensics anche per indicare l’attività di ricerca d’informazioni sul web (tipo una fotografia dell’indagato) o d’identificazione di un latitante che usa imprudentemente Facebook, Twitter o altri social network. Ma tale utilizzo è piuttosto avventato, considerando che in questi casi l’informatica assume semplicemente il ruolo di “strumento facilitatore” dell’investigatore.

Dall’analisi di queste diverse definizioni può essere affermato che si ha a che fare, senza dubbio, con una nuova specializzazione dell’attività di polizia scientifica, come ad esempio la balistica, la genetica e l’entomologia applicate, che assume rilievo nel momento in cui le prove dell’azione criminosa sono rinvenibili nel mondo digitale. Tuttavia il concetto così espresso potrebbe far pensare ad una disciplina che trova la sua dimensione ideale esclusivamente nel caso dei cosiddetti “reati informatici”.

Ma sarebbe riduttivo limitare l’ambito di applicazione della nostra disciplina a tale ipotesi. Basta guardarsi un po’ intorno per capire che l’equazione digital forensics = reato informatico non rispecchia la realtà attuale. Infatti, oggi più che mai, si è completamente circondati dalla tecnologia: le automobili, molti elettrodomestici, perfino la macchinetta che distribuisce bevande calde sono dei computer. Il concetto di PC del 1987, che voleva il computer quale elaboratore “macchinoso” e “ingombrante” è già superato, e ha ceduto il posto al “computer onnipresente”.

Oggi esiste il c.d. internet of things, dove degli oggetti si scambiano dati e interagiscono tra loro senza bisogno che un operatore umano si colleghi, apra un browser o lanci un’applicazione. Si pensi anche al mondo della telefonia mobile: definire semplicemente cellulari degli smartphone, basati su un sistema operativo complesso, è quantomeno riduttivo, considerando anche che in questi oggetti è possibile memorizzare le informazioni più disparate.

Si pensi, inoltre, sempre a titolo esemplificativo, con quale velocità la fotografia digitale ha soppiantato quella tradizionale su pellicola. Qual è la conseguenza del fenomeno sempre più dilagante della digitalizzazione?

La conseguenza più immediata è rappresentata dal fatto che da molto tempo la tecnologia non è più una “esclusiva” degli esperti del settore. L’uomo “comune” usa attualmente la tecnologia in molti ambiti della propria vita professionale e privata. Nonostante l’uso di un personal computer rimanga più complesso di quello di un qualunque altro dispositivo, alcune sue incarnazioni, come lo smartphone.

Diventa quindi immediato pensare al fatto che se in una scena criminis si rinviene un qualunque apparecchio digitale, esso debba essere analizzato come tutto il resto del materiale presente, e ciò indipendentemente dalla natura del crimine posto in essere. I legami tra un qualsiasi dispositivo tecnologico e un crimine possono sfuggire nell’immediato, ma possono rivelarsi evidenti al momento dell’analisi. Ormai qualsiasi scena del crimine è caratterizzata dalla presenza sempre più massiccia di dispositivi hightech. Molte prove riguardanti crimini di ogni sorta, compresi omicidi, attentati terroristici, frodi o rapimenti possono tranquillamente risiedere su apparati digitali.

I cellulari forniti di fotocamera, utilizzati dai privati cittadini, o le telecamere di sorveglianza di un parcheggio o di un centro commerciale, che registrano dati su hard disk, possono essere decisivi per l’identificazione del reo. Nasce quindi il problema dell’individuazione e soprattutto della corretta gestione delle informazioni che questi oggetti possono contenere.

La branca della digital forensics, come ogni genus, include nel suo ambito numerose species, le più importanti delle quali sono:

– la computer media analysis, ovvero l’attività di verifica dei supporti di memorizzazione dei dati;

– l’imagery, audio and video enhancement, cioè l’attività di verifica di immagini, audio e video generati dal computer;

– la database visualitation o verifica dei database;

– l’attività di verifica delle attività svolte in reti pubbliche e private detta network and internet control ;

– la mobile forensics finalizzata all’acquisizione e analisi di dati da telefoni cellulari, schede sim, ecc….

Inoltre vi sono alcune attività di ricerca che negli ultimi anni hanno prodotto importanti risultati dal punto di vista investigativo: <<la ricostruzione di memorie danneggiate (soggette a fuoco, liquidi, agenti meccanici, ecc.), le indagine live sui cellulari (intercettazione telematica, radiolocalizzazione, ecc.) ed il cracking, ossia le tecniche di attacco delle protezioni cripto software ed hardware dei sistemi digitali. L’evidente multidisciplinarietà e ampiezza della digital forensics trova poi un esatto corrispondente nella sua velocità di evoluzione, la quale impone un incessante aggiornamento tecnico>>.

La nascita della digital forensics può essere ricondotta al 1984, quando  la  F.B.I.  (Federal  Bureau  of  Investigation)  fondò  il  gruppo C.A.R.T. (Computer Analysis Response Team), al quale affidò il compito di  procedere  nei  casi  in  cui  si  fosse  resa  necessaria  l’analisi  di  un computer. <<Sempre negli stessi anni (1985 – 1987) il macro settore di maggior rilievo della digital forensics, ovvero la computer forensics, muove i primi passi, segnalati accademicamente con articoli ufficiali. Si trattava del recupero di un file di data base opportunamente o inavvertitamente cancellato a livello di file system. In Italia le prime attività di alto profilo nel settore risalgono invece al periodo 1990-1995 e coinvolgono sostanzialmente lo stesso tipo di attività prima citata, ossia  il data recovery>>.

<<Oggi, con notevoli sforzi da parte di alcuni operatori del diritto e di alcuni consulenti informatici, questa disciplina sta ottenendo una maggiore considerazione in seno alla comunità scientifica e giuridica, anche a causa di una necessità attuale determinata non solo dall’incremento esponenziale dei crimini di natura informatica, ma soprattutto a causa dell’evoluzione tecnologica che, come abbiamo già ampiamente evidenziato, ha radicalmente operato una trasformazione della nostra vita sociale, di relazione e lavorativa. Tuttavia, e qui ritorniamo al compito del giurista, la bussola che deve orientare l’interprete è comunque unica: il codice di procedura penale>>.

I postulati del nostro ordinamento giuridico, quale ad esempio l’esigenza di salvaguardare l’integrità della prova al momento della sua acquisizione e anche della sua conservazione non possono subire nessun pregiudizio o modificazione, a causa dell’evoluzione scientifico- tecnologica e neppure a causa della diversità della scena criminis digitale rispetto a quella tradizionale.

<<Si tratterà allora comprendere le differenziazioni esistenti fra gli ambienti: ovvero fra la scena criminis tradizionale da un lato, e un ambiente costituito principalmente da informazioni e dati di natura digitale dall’altro, la cui genuina acquisizione è alla base di ogni processo di validazione degli stessi. Occorrerà quindi applicare con maggiore cautela gli stessi principi classici ma con metodologie differenti, per raggiungere le medesime finalità di ogni processo: contribuire a far luce su quanto accaduto attraverso la corretta interpretazione e ricostruzione di un fatto penalmente rilevante>>.

Campo di applicazione della disciplina.

Qualunque dispositivo tecnologico possieda un sistema di memorizzazione d’informazioni, sia esso una macchina fotografica digitale, un computer, un palmare o addirittura una console per videogiochi, va gestito e controllato come se intersecasse due realtà ben distinte.

Infatti, ogni strumento digitale è composto da due diverse partizioni, una fisica e una logica, entrambe fondamentali per il funzionamento del sistema nel suo complesso. Per quanto concerne la parte fisica, va detto che essa è molto più semplice da comprendere; è tangibile, la si può percepire con i sensi. Ai fini di un’eventuale responsabilità penale la parte fisica di un dispositivo può essere analizzata per la ricerca d’impronte digitali o residui organici.

Infatti, secondo una ricerca dell’Initial Washroom Hygiene il mouse di un personal computer sarebbe tre volte più sporco della tavoletta di un water. Anche se a occhio nudo può sembrare assurdo, l’Istituto che ha effettuato i test su 158 oggetti prelevati da tre diversi uffici, ha dimostrato che gli apparecchi elettronici sono dei pericolosissimi ricettacoli di residui organici. L’operazione di ricerca di elementi di prova rinvenibili sulla parte fisica di un dispositivo è un lavoro molto delicato; si pensi alla prova fisica dell’impronta. Rovinarla mentre la si esamina è un’ipotesi tutt’altro che remota e dai risultati catastrofici. Il passaggio logico all’esempio del file è più immediato di quanto si potrebbe pensare.

Un file non è un concetto materiale. E’ una semplice astrazione logica, non ha una natura fisica propria. Tuttavia un file può essere copiato, esistendo quindi su più supporti fisici diversi. Un file non può essere rubato nel senso tradizionale del termine, ma può essere facilmente alterato; tutto ciò diventa ancora più complicato nel momento in cui il file risiede su un supporto come un chip di memoria RAM. Esso verrà continuamente modificato dal refresh della memoria, dal fatto che il sistema operativo deciderà di spostarlo in un’altra locazione di memoria. Un calo di tensione potrebbe alterarlo o addirittura distruggerlo in maniera irrimediabile.

Quindi tenendo presente, da un lato, proprio la facilità con cui la prova digitale può essere alterata, e non dimenticando dall’altro lo scopo.

La finalità principale della disciplina, ovvero garantire la genuinità della prova informatica e di conseguenza la utilizzabilità della stessa in sede processuale, ne consegue che un dispositivo elettronico non potrà assolutamente essere gestito e analizzato con superficialità da parte dell’esperto di computer forensics.

Infatti la mancata o non corretta applicazione di procedure finalizzate a preservare l’integrità del dato potrebbero provocare effetti estremamente negativi a livello processuale, fino ad arrivare alla ripudiabilità della prova (digitale) non correttamente acquisita.