Capitolo L’INGRESSO DELLA COMPUTER FORENSICS NEL SISTEMA PROCESSUALPENALISTICO ITALIANO: ALCUNE CONSIDERAZIONI INFORMATICO-GIURIDICHE di Giovanni Ziccardi SOMMARIO: 1. L’introduzione di alcune best practice delle investigazioni digitali nel sistema processualpenalistico italiano. – 2. L’importanza dei concetti di «valore» e di «resistenza». – 3. Il rischio di contaminazione della fonte di prova digitale. – 4. Le procedure tipiche. – 5. Conclusioni. 1. L’introduzione di alcune best practice delle investigazioni digitali nel sistema processualpenalistico italiano. – Il provvedimento di ratifica ed esecuzione, nell’ordinamento italiano, della Convenzione del Consiglio d’Europa sulla criminalità informatica di Budapest del 2001, con le correlate norme di adeguamento, ha esplicitamente previsto, in sette diversi punti, alcune regole che, da tempo, sono considerate delle best practice1 nel settore scientifico della computer forensics, la scienza che studia le problematiche tecniche e giuridiche correlate alle investigazioni su dati digitali2. 1 Si intende per best practice un comportamento, non necessariamente formalizzato in documenti, codici o manuali, che viene considerato dalla comunità scientifica e dagli operatori come un modo corretto, a volte il più corretto, per svolgere determinate operazioni tecniche. 2 Per un’introduzione generale, anche ai temi illustrati nella seconda parte di questo Articolo, sia consentito il rinvio a L. LUPÀRIA, G. ZICCARDI, Investigazione penale e tecnologia informatica. L’accertamento del reato tra progresso scientifico e garanzie fondamentali, Giuffrè, Milano, 2007. Si vedano anche D. D’AGOSTINI (a cura di), Diritto penale dell’informatica dai computer crimes alla digital forensics, Experta Edizioni, Forlì, 2007, L. CHIRIZZI, Computer forensic il reperimento della prova informatica, Laurus Robuffo, Roma, 2006, A. MONTI, Attendibilità dei sistemi di computer forensic, in ICT Lex 10 febbraio 2003, in Internet all’indirizzo http://www.ictlex.net), P. PERRI, La computer forensics, in G. ZICCARDI, Manuale Breve di Informatica Giuridica, Giuffrè, Milano, 2006) e, in un senso più tecnico e divulgativo, A. GHIRARDINI, G. FAGGIOLI, Computer Forensics, Apogeo, Milano, 2007. Nella letteratura nordamericana si veda, con particolare riferimento alle indagini sulle reti telematiche, E. CASEY, Network traffic ad a source of evidence: tool strenghts, weaknesses, and future needs, in Digital Investigation, 2004, 1, pp. 28-43. Con riferimento al trattamento delle fonti di prova nell’ambito della telefonia mobile si veda F. CASADEI, A. SAVOLDI, P. GUBIAN, Forensics and SIM cards: an overview, International Journal of Digital Evidence, Fall 2005, Volume 5, Issue 1, in Internet all’indirizzo http://www.utica.edu/academic/institutes/ecii/publications/articles/EFE3EDD5-0AD1-608628804D3C49D798A0.pdf. Sulle corrette e innovative modalità di approccio d’oltreoceano a questa disciplina si veda A. BRINSON, A. ROBINSON, M. ROGERS, A cyber forensics ontology: creating a new approach to studying cyber forensics, in Digital Investigation 3S, 2006, pp. S37S43; J. ANASTASI, The New Forensics: Investigating Corporate Fraud and the Theft of Intellectual Property, John Wiley & Sons, 2003; C. STEEL, Windows Forensics: The Field Guide for Corporate Computer Investigations, Wiley Publishing, 2006; B. D. CARRIER, E. H. SPAFFORD, Categories of digital investigation analysis techniques based on the computer Prima di procedere all’analisi dei singoli punti, è opportuno premettere che il legislatore italiano si è mantenuto, nelle definizioni e nella indicazione delle procedure informatico-giuridiche da seguire, molto generico: non ha elencato, in dettaglio, la metodologia, ma si è focalizzato, in maniera molto lata, su due aspetti più legati al risultato finale che al metodo: la corretta procedura di copia di dati oggetto di indagine e la integrità/non alterabilità del supporto utilizzato per effettuare detta copia. Nonostante la genericità delle indicazioni, una simile introduzione, seppure molto light, di alcuni principi di base della computer forensics nel codice di procedura penale italiano costituisce sicuramente una novità interessante. In questo breve studio introduttivo si tralasceranno le questioni processualpenalistiche, già affrontate egregiamente in quest’Opera da esperti del settore, per affrontare invece alcune questioni di base informatico-giuridiche correlate alla prassi delle investigazioni digitali. Il primo riferimento alle modalità migliori per conservare i dati e non alterarli è riscontrabile nell’articolo 8 della legge, che ha modificato l’articolo 244 comma 2, secondo periodo, del codice di procedura penale. In particolare, sono state aggiunte le seguenti parole: «, anche in relazione a sistemi informatici o telematici, adottando misure tecniche dirette ad assicurare la conservazione dei dati originali e ad impedirne l’alterazione». Il testo completo dell’articolo che apre la parte del codice dedicata ai mezzi di ricerca della prova con l’importante istituto dell’ispezione è ora il seguente: «Art. 244. Casi e forme delle ispezioni. 1. L’ispezione delle persone, dei luoghi e delle cose è disposta con decreto motivato quando occorre accertare le tracce e gli altri effetti materiali del reato. 2. Se il reato non ha lasciato tracce o effetti materiali, o se questi sono scomparsi o sono stati cancellati o dispersi, alterati o rimossi, l’autorità giudiziaria descrive lo stato attuale e, in quanto possibile, verifica quello preesistente, curando anche di individuare modo, tempo e cause delle eventuali modificazioni. L’autorità giudiziaria può disporre rilievi segnaletici, descrittivi e fotografici e ogni altra history model, in Digital Investigation 3S (2006) S121-S130. G. MOHAY, A. ANDERSON, B. COLLIE, O. DE VEL, R. MCKEMMISH, Computer and intrusion forensics, Artech House, BostonLondon, 2003; P. STEPHENSON, The right tools for the job, in Digital Investigation, 2004, 1, pp. 24-27; E. CASEY, Digital Evidence and Computer Crime. Forensic science, computers and the Internet, Second Edition, Elsevier Academic Press, 2004; N. JONES, Training and accreditation – who are the experts?, in Digital Investigation, 2004, 1, pp. 189-194; D. A. SCHMITKNECHT, Building FBI computer forensics capacity: one lab at a time, in Digital Investigation, 2004, 1, pp. 177-182; E. E. KENNEALLY, Digital logs – proof matters, in Digital Investigation, 2004, 1, pp. 94-101; E. HUEBNER, D. BEM, C. KAI WEE, Data hiding in the NTFS file system, in Digital Investigation, 3 (2006), pp. 211 – 226; C. VAUGHAN, Xbox security issues and forensic recovery methodology (utilising Linux), in Digital Investigation, 2004, 1, pp. 165-172; M. G. SOLOMON, D. BARRETT, N. BROOM, Computer forensics jumpstart, Sybex, San FranciscoLondon, 2005; S. HILLEY, Anti-forensics with a small army of exploits, in Digital Investigation, 4, 2007, pp. 13-15; E. CASEY, The need for knowledge sharing and standardization, in Digital Investigation (2004), 1, pp. 1-2; P. SOMMER, The challenges of large computer evidence cases, in Digital Investigation, 2004 (1) pp. 16-17; B. D. CARRIER, J. GRAND, A hardware-based memory acquisition procedure for digital investigation, in Digital Investigation, 2004, 1, pp. 50-60. Infine, con riferimento all’approccio a tali tematiche da parte delle Forze dell’Ordine, si veda M. MATTIUCCI, G. DELFINIS, Forensic Computing, in Rassegna dell’Arma dei Carabinieri, Anno LIV, aprile/giugno 2006, n. 2-2006, p. 52. operazione tecnica, anche in relazione a sistemi informatici o telematici, adottando misure tecniche dirette ad assicurare la conservazione dei dati originali e ad impedirne l’alterazione». Due sono i punti che il legislatore affronta in questo primo articolo: a) la necessità di misure tecniche che assicurino la conservazione dei dati originali e b) l’adozione di procedure che non alterino i dati stessi. I due aspetti, pur correlati, sono ben distinti. In primo luogo, viene stabilita la «sacralità» della conservazione dei dati originali, sia in vista di ulteriori analisi eventualmente necessarie in futuro sia, più semplicemente, nell’ottica di garantire che, anche a distanza di mesi od anni, ci possa essere sempre la possibilità, per le parti processuali, di riferirsi e di confrontarsi con dati originali. La non alterabilità dei dati è un punto altrettanto importante: il legislatore evidenzia la necessità di operare sempre su una copia dei dati (soprattutto con procedure di analisi che possono risultare «invasive»), essendo il lavoro su copia, anche se non esplicitamente indicato, il metodo più facile per non alterare l’originale. Si noti, però, che la disposizione di non alterabilità vale anche per la procedura stessa di copia: la copia su cui poi indagare deve essere effettuata con metodi che non alterino in alcun modo i dati originari. La seconda modifica integrativa, volta ad introdurre regole basilari di forensics nel codice di procedura penale, riguarda l’articolo 247, dedicato alle perquisizioni, dove, dopo il I comma, è inserito il seguente: «1-bis. Quando vi è fondato motivo di ritenere che dati, informazioni, programmi informatici o tracce comunque pertinenti al reato si trovino in un sistema informatico o telematico, ancorchè protetto da misure di sicurezza, ne è disposta la perquisizione, adottando misure tecniche dirette ad assicurare la conservazione dei dati originali e ad impedirne l’alterazione». Questa ipotesi prevede un intervento leggermente più invasivo da parte di eventuali investigatori (si noti il riferimento alla possibilità di «aggirare» le misure di sicurezza) e ribadisce la necessità di procedere secondo i due punti già commentati poco sopra. La frase contenente le regole di base di forensics che era presente nell’articolo precedente è riportata, inalterata, anche in questo articolo. La modifica successiva, in tal senso, riguarda l’articolo 254, dedicato al sequestro di corrispondenza, cui viene aggiunto un 254-bis del seguente tenore: «Art. 254-bis – (Sequestro di dati informatici presso fornitori di servizi informatici, telematici e di telecomunicazioni). – 1. L’autorità giudiziaria, quando dispone il sequestro, presso i fornitori di servizi informatici, telematici o di telecomunicazioni, dei dati da questi detenuti, compresi quelli di traffico o di ubicazione, può stabilire, per esigenze legate alla regolare fornitura dei medesimi servizi, che la loro acquisizione avvenga mediante copia di essi su adeguato supporto, con una procedura che assicuri la conformità dei dati acquisiti a quelli originali e la loro immodificabilità. In questo caso è, comunque, ordinato al fornitore dei servizi di conservare e proteggere adeguatamente i dati originali». In questo punto si trattano questioni differenti dalle due accennate poco sopra. Di lunga data è il dibattito se sia preferibile sequestrare un computer o un insieme di dati (procedura interpretata, in molti casi, come non corretta dal momento che interrompe le funzionalità e la disponibilità di un servizio, a volte anche critico) o se, data la malleabilità del dato digitale, sia sempre possibile effettuare una copia su un supporto da portare poi in laboratorio per le analisi e lasciare funzionare il sistema originario. Nell’articolo de quo il legislatore sembra aver compreso di operare in un settore molto delicato, quello dei fornitori di servizi informatici e di telecomunicazioni, e suggerisce una procedura interessante, suddivisa in due fasi. La prima fase permette agli investigatori, per esigenze legate alla regolare fornitura dei servizi, di acquisire le fonti di prova digitale copiando i dati su adeguato supporto, con una procedura che assicuri la conformità dei dati acquisiti a quelli originali e la loro immodificabilità. L’esigenza di conformità ai dati acquisiti è un primo step ineludibile (occorre la certezza che la copia che viene effettuata sia uguale in ogni suo punto all’originale), l’esigenza di garantire la inalterabilità nel tempo riguarda invece la garanzia del processo di conservazione della fonte di prova stessa. Dopo queste procedure e, presumibilmente, una volta che la copia dei dati esce dalla disponibilità del fornitore e viene asportata dagli investigatori per le dovute analisi, è comunque ordinato al fornitore dei servizi di conservare e proteggere adeguatamente i dati originali, in vista, si pensa, di eventuali manomissioni o cancellazioni dolose o accidentali degli stessi o anche, semplicemente, per permettere a distanza di tempo un ulteriore raffronto con i dati originali. Una modifica ha riguardato anche l’articolo 256, dedicato al dovere di esibizione e ai segreti, con l’aggiunta della frase «nonché i dati, le informazioni e i programmi informatici, anche mediante copia di essi su adeguato supporto». Il nuovo riferimento alla possibilità di consegnare una copia è tipico del mondo digitale e delle tecniche che oggi permettono di creare una copia uguale all’originale: si noti, nel testo completo («Le persone indicate negli articoli 200 e 201 devono consegnare immediatamente all’autorità giudiziaria, che ne faccia richiesta, gli atti e i documenti, anche in originale se così è ordinato, nonché i dati, le informazioni e i programmi informatici, anche mediante copia di essi su adeguato supporto) il contrasto tra la frase «anche in originale» e l’«anche mediante copia» quando si parla di dati digitali. Il supporto su cui si copiano di dati deve essere poi adeguato, non tanto con riferimento alla capienza quanto, si presume, con riferimento alla sua affidabilità e durevolezza nel tempo e alle modalità di copie e di certificazione seguite nella procedura. L’articolo 259, in tema di custodia delle cose sequestrate, nel comma 2, è integrato a sua volta con la frase: «Quando si tratta di dati, di informazioni o di programmi informatici, la copia deve essere realizzata su adeguati supporti, mediante procedura che assicuri la conformità della copia all’originale e la sua immodificabilità; in tali casi, la custodia degli originali può essere disposta anche in luoghi diversi dalla cancelleria o dalla segreteria». Niente di nuovo anche in tali considerazioni: si focalizza ancora l’attenzione sulla corretta procedura di realizzazione della copia, la sua conformità all’originale e la sua immodificabilità. All’articolo 352, in tema di perquisizioni, dopo il primo comma è inserito il seguente: «1-bis. Nella flagranza del reato, ovvero nei casi di cui al comma 2 quando sussistono i presupposti e le altre condizioni ivi previsti, gli ufficiali di polizia giudiziaria, adottando misure tecniche dirette ad assicurare la conservazione dei dati originali e ad impedirne l’alterazione, procedono altresì alla perquisizione di sistemi informatici o telematici, ancorché protetti da misure di sicurezza, quando hanno fondato motivo di ritenere che in questi si trovino occultati dati, informazioni, programmi informatici o tracce comunque pertinenti al reato che possono essere cancellati o dispersi». Anche questo articolo richiama la necessità di intervenire, anche in caso di urgenza, sempre con metodi forensically sound, avendo attenzione alle modalità di conservazione e ad impedire alterazioni. Infine nell’articolo 354 comma due, in tema di accertamenti urgenti sulle cose e sulle persone, dopo il primo periodo è inserito il seguente: «In relazione ai dati, alle informazioni e ai programmi informatici o ai sistemi informatici o telematici, gli ufficiali della polizia giudiziaria adottando, altresì, le misure tecniche o impartiscono le prescrizioni necessarie ad assicurarne la conservazione e ad impedirne l’alterazione e l’accesso e provvedono, ove possibile, alla loro immediata duplicazione su adeguati supporti, mediante una procedura che assicuri la conformità della copia all’originale e la sua immodificabilità». Anche in quest’ultimo intervento normativo sono ripresi concetti già illustrati a commento degli articoli precedenti. In via preliminare, e prima di analizzare in concreto quali siano le modalità che la computer forensics ritiene corrette (non indicate, si è visto, dal legislatore), dalle sette modifiche poco sopra illustrate si possono ricavare i seguenti principi guida: a) adottare estrema cautela nel sequestrare computer o servizi informatici che muovono servizi di telecomunicazione critici, e prediligere, se possibile, la continuità aziendale effettuando copie su supporti adeguati e non interrompendo, così, l’azione delle macchine e dei servizi; b) prestare attenzione a non alterare i dati durante le operazioni di ricerca delle fonti di prova; c) quando si effettua una duplicazione, assicurarsi che siano garantite la conformità della copia all’originale e la sua immodificabilità. Corrette modalità di conservazione, procedure di duplicazione efficaci, garanzie di non alterabilità e extrema ratio del sequestro di servizi sono, in conclusione, i quattro principi della forensics introdotti nel nostro ordinamento. 2. L’importanza dei concetti di «valore» e di «resistenza». – Nel 2007, in un lavoro introduttivo a queste tematiche, chi scrive si è permesso di impostare una definizione informatico-giuridica di computer forensics basata sui concetti di valore dei dati e di resistenza dei dati stessi a possibili alterazioni e contestazioni3. In particolare, si suggeriva una definizione tecnica della materia nei seguenti termini: per computer forensics s’intende quella scienza che studia il valore che un dato correlato ad un sistema informatico o telematico può avere in un ambito sociale, giuridico, o legale che dir si voglia. Il concetto di valore, nel caso de quo e dal punto di vista esclusivamente tecnologico, si intendeva come capacità di resistenza ad eventuali contestazioni e capacità di convincimento del giudice, delle parti processuali o di altri soggetti (nel caso si ritenesse che la forensics non presentasse solo un aspetto strettamente correlato all’ambito legal) in ordine alla genuinità, non ripudiabilità, imputabilità e integrità del dato stesso e dei fatti dallo stesso dimostrati. 3 Cfr. L. LUPÀRIA, G. ZICCARDI, Investigazione penale e tecnologia informatica. L’accertamento del reato tra progresso scientifico e garanzie fondamentali, Giuffrè, Milano, 2007. A parere di chi scrive, l’aspetto della resistenza informatica alle contestazioni, ovvero la possibilità di provare con un buon grado di certezza in ogni momento che il dato digitale sia integro, non ripudiabile, correlabile direttamente a un determinato soggetto e che abbia valori di luogo e di tempo ben identificabili, non solo è da tempo diventato l’aspetto centrale in un’analisi definitoria tecnologica della computer forensics, ma è anche chiaramente individuabile nel ragionamento che il legislatore ha seguito in fase di integrazione degli articoli del codice di procedura penale sopra illustrati. Tali integrazioni, infatti, mirano a che: a) ogni volta che viene effettuata una operazione di copia dei dati informatici, la copia sia effettuata con modalità corrette affinché non si possa contestare, a distanza di tempo, la non conformità della copia all’originale o l’avvenuta alterazione in itinere dei dati; b) ogni attività degli investigatori deve seguire regole tecniche che riducano al minimo la possibilità di contestazione delle attività su basi prettamente tecnico-informatiche. In tal caso, si potrebbe dire che la normativa vuole suggerire modalità di acquisizione ed analisi della prova che siano resistenti a particolari tipi di contestazione. Le modalità descritte nell’azione di riforma, però, non sono semplici da seguire e in alcuni casi (si pensi ad esempio alla presenza di server farm o serie di computer con un quantitativo ingente di dati) richiedono competenze elevate, condizionate sia dalla formazione di chi opera sia dalle risorse (intese come macchine per effettuare copie, cavi, write blocker, software ad hoc a volte molto costosi, supporti vergini sufficienti a contenere i dati) ad uso delle forze dell’ordine. In tal caso, assume rilevanza anche il fattore soggettivo (chi dovrebbe operare secondo le indicazioni della legge). Si pensi che negli Stati Uniti, proprio per focalizzare l’importanza non solo del criterio oggettivo e metodologico (effettuare una copia correttamente) ma anche di quello soggettivo (di cui nella nostra normativa non si fa menzione), condizionato dalle effettive capacità di chi opera e dai mezzi utilizzabili, è da tempo stata fatta una tripartizione per competenze che è di grande interesse. Casey, noto studioso nordamericano, individua in numerose sue opere4 quelle che si potrebbero definire come tre competenze ben specifiche, e nel suo pensiero ben distinte, che richiederebbero diversi livelli di conoscenze e di formazione: (1) digital crime scene technicians, ovvero soggetti che, dal momento che avrebbero il compito di assicurare la prova sul luogo del delitto, dovrebbero avere una formazione di base nella gestione della prova e nella sua documentazione così come nella ricostruzione di un crimine, affinché possano localizzare tutte le fonti di prova disponibili con sicurezza, certezza e metodologie corrette; questa categoria sembra essere quella cui si riferisce espressamente la normativa italiana integrata con le regole poco sopra esposte; (2) digital evidence examiners: questi sarebbero soggetti che vantano competenze documentate e formazione specifica in determinate aree che consentono loro di processare senza errori particolari tipi di prove; questa seconda categoria sembra più correlata, invece, ad una fase successiva rispetto a quella indicata nella normativa processualpenalistica, da svolgersi quasi sempre in laboratorio; (3) digital investigators: questi soggetti sono i responsabili, in generale, di tutto il processo di investigazione, e dovrebbero avere una formazione generica, di base, 4 Cfr. E. CASEY, Digital Evidence and Computer Crime. Forensic science, computers and the Internet, Second Edition, Elsevier Academic Press, 2004. completa, ma senza la necessità, contestualmente, di certificazioni o training altamente specialistici5. Compito di questi investigatori sarebbe anche quello di creare un quadro completo generale, partendo dalle fonti e dai dati trovati dai first responders, da presentare in un contesto legal. Un secondo punto critico, secondo Casey6, riguarderebbe i metodi usati dagli investigatori per assicurare l’affidabilità della prova digitale, e la possibilità che venga a mancare un metodo sistematico che presenti la prova, al termine dell’iter investigativo, come affidabile e che corrobori le conclusioni, magari in giudizio, correlate a quella prova. A tal fine Casey propone, nelle sue opere, una vera e propria certainty scale, scala, o «graduatoria», di certezza riferita a ogni tipo di prova che aiuti anche a mettere in evidenza le possibili fonti di errore e l’eventuale inaffidabilità intrinseca di un certo tipo di prova. Si noterà, invece, che la normativa italiana in commento «glissa» sul punto dell’approfondimento del metodo e predilige la descrizione del risultato che si vuole/dovrebbe ottenere: una fonte di prova, o una copia della stessa, affidabile, non alterabile, e incontestabilmente «gemella» della fonte di prova originaria. 3. Il rischio di contaminazione della fonte di prova digitale. – Dalle parole usate dal nostro legislatore negli articoli oggetto di analisi, si nota chiaramente come il timore di una contaminazione della fonte di prova nella fase di individuazione ed acquisizione, con contestuale debolezza della stessa e rischio di contestazione, sia costantemente al centro dell’attenzione. Noto è che la potenziale fonte di prova digitale può essere facilmente contaminata, e come la gestione della fonte di prova digitale con strumenti di computer forensics sia molto delicata, dal momento che presenta un ampio tasso di vulnerabilità agli errori. Questa delicatezza congenita della prova digitale, tipica anche della prova tradizionale, può comportare il danneggiamento o la modifica dell’area di prova. La contaminazione può avvenire anche, e sovente avviene, per un cattivo uso degli strumenti informatici o per una scarsa conoscenza del sistema e delle sue funzioni; a puro titolo di esempio, fare il reboot della macchina compromessa cambia immediatamente lo stato del sistema e può distruggere possibili tracce di un reato. Il legislatore italiano sembra ora pienamente consapevole che la contaminazione di alcune fonti di prove potrebbe rendere inutile tutto il lavoro di computer forensics: se la prova viene contaminata, tutto il castello probatorio può risultare compromesso, in quanto il trattamento della fonte di prova digitale è solitamente basato su un procedimento step by step che corre su una linea del tempo caratterizzata dal fatto che invalidare un singolo passo significa creare problemi con riferimento alla credibilità dell’intero caso. Per affrontare al meglio questa caratteristica, occorre che l’investigatore preservi l’integrità della prova in tutti gli strumenti informatici sequestrati e nel materiale magnetico e ottico correlato. Con riferimento al training del forenser e al dibattito in corso sulla effettiva specializzazione di questi soggetti si veda, inter alia, N. JONES, Training and accreditation – who are the experts?, in Digital Investigation, 2004, 1, pp. 189-194. 6 Cfr. E. CASEY, op. cit., pp. 2 ss 5 Il concetto di integrità, in questo caso, non si riferisce solo alle copie fisiche, a livello di bit, delle informazioni, ma anche a tutte le strutture logiche (quali indici e directory) utilizzate per memorizzare o per convertire i dati in informazioni leggibili, e il software utilizzato per visionare questi elementi. L’insieme di strumenti usati durante le investigazioni informatiche prende il nome, solitamente, di toolkit e, in linea di principio, dovrebbe consentire all’investigatore di gestire in maniera corretta sia la fase di «cattura» di immagini di dati presenti sulla scena del crimine o, successivamente, in laboratorio, sia la successiva analisi accurata delle risultanze. Il nostro legislatore, si è notato, è più attento alla fase di acquisizione, e nulla dice sulle successive procedure di analisi che di solito sono effettuate nel chiuso di un laboratorio. Questo «modo di legiferare» appare condivisibile: indicare nel codice espressamente un modo tecnico o, addirittura, uno o più prodotti, da utilizzare per effettuare tali operazioni avrebbe non solo vincolato troppo l’operatore ma avrebbe costretto il legislatore ad operare una scelta tra tante procedure che, nella maggior parte, si rivelano corrette. Queste due fasi (acquisizione ed analisi) sono ben distinte, e solitamente vengono utilizzati strumenti tecnologici diversi: la prima richiede tool che consentano di effettuare un’immagine certa, verificata, non modificabile del dato originale, mentre la seconda abbisogna di strumenti che permettano all’esperto di effettuare una precisa analisi e ricostruzione dei fatti esposti da quei dati. In realtà, i software più recenti permettono ulteriori funzionalità rispetto a quelle essenziali sopra indicate: supportano, ad esempio, lo sviluppo di ipotesi investigative, gestiscono, anche da un punto di vista documentale e organizzativo, l’intero processo investigativo, consentendo una chiara e completa ricostruzione dei fatti, dimostrando non solo che il dato da cui si è partiti è genuino, ma anche che tutta la procedura di analisi è stata portata a buon fine correttamente. Un problema ulteriore, con riferimento ai tool di forensics, è il dibattito se vi sia o meno la necessità di dimostrare o spiegare, ad esempio davanti al Giudice, il motivo per cui questi strumenti sono stati scelti e in che modo sono stati utilizzati. In particolare, le necessità di spiegazione o di dimostrazione, con riferimento a un processo investigativo basato sulla computer forensics, potrebbero riguardare i seguenti aspetti: (1) la collection, o raccolta. Bisognerebbe essere in grado di descrivere in ogni suo aspetto il processo attraverso il quale la fonte di prova è stata raccolta, dimostrando contestualmente che la procedura di acquisizione non ha in alcun modo alterato la fonte di prova; (2) la catena di custodia. Bisognerebbe dimostrare che, in una catena di eventi, la fonte di prova non ha subito contaminazioni dopo che è stata raccolta e durante la procedura di analisi; (3) autenticazione. Bisognerebbe poter dimostrare in ogni momento che la fonte di prova non è stata alterata in alcun modo rispetto allo stato che aveva nel computer originario; tale risultato si raggiunge, solitamente, con la firma elettronica del file; (4) recovery. Bisognerebbe sempre essere in grado di spiegare come i file cancellati e i frammenti di file sono stati custoditi, che cosa contengono i file temporanei, di log e di swap, e come le azioni di un potenziale criminale possano essere rivelate da tali informazioni o correlate a questi dati; (5) verificabilità. Bisognerebbe essere in grado di garantire che le conclusioni asserite siano verificabili anche con un’analisi di una terza parte o che alcune procedure, modalità operative o affermazioni rispondano a un determinato standard, o comunque agevolmente riconosciute dalla comunità scientifica di riferimento. 4. Le procedure tipiche. – Da tempo gli operatori pratici di computer forensics hanno sviluppato alcune procedure da utilizzare nell’analisi del computer: la fase iniziale può consistere o nel sequestro del computer e nel trasporto dello stesso presso un laboratorio di forensics per l’analisi, soprattutto quando l’analisi richiede molto tempo, oppure nella copia in loco dei dati interessanti per l’analisi su hard disk o supporti di proprietà dell’analista forense, opportunamente «bonificati» prima dell’uso. Il dibattito se sequestrare o meno il materiale informatico e, in particolare, della necessità di un sequestro delle apparecchiature che comporti anche un danno (ad esempio il blocco del servizio) per il proprietario, o se gli operatori debbano provvedere a fare «immagini» dei dati e lasciare i computer in loco perfettamente funzionanti, è sempre di grande attualità, anche se il nostro legislatore, con l’articolo 254-bis, sembra avere abbracciato un approccio molto cautelativo, volto ad impedire il down generalizzato o non giustificato dei sistemi. Il manuale del Dipartimento di Giustizia degli Stati Uniti d’America contenente le linee guida in tema di search and seizure prevede, nel Chapter 2, che le circostanze possano spesso richiedere che gli investigatori sequestrino i computer e analizzino il contenuto off site, ovvero lontano dal luogo. Successivamente nel laboratorio di forensics viene realizzata una bitstream o mirror image del disco fisso, un esatto duplicato non solo dei file ma di ogni bit del disco fisso. Uno dei principi fondamentali della procedura operativa di analisi, infatti, è che tale lavoro venga sempre effettuato sulla copia, da parte dell’analista, per evitare che venga danneggiato o alterato l’originale. Sia chiaro che effettuare una copia immagine di un disco è ben differente dal copiare il contenuto del disco su un altro supporto: la procedura di creazione dell’immagine copia l’intero disco esattamente come è, con la stessa disposizione dei file, i pezzi di file, i file danneggiati, i frammenti di file; tale immagine permette a un tecnico informatico di ricreare o «montare» l’intero disco usato per lo storage e avere un disco identico all’originale. Al contrario la procedura di copia dei file, molto più semplice, copia le informazioni, file per file, sul disco target. Sia nella raccolta sia nel mantenimento delle prove è essenziale, quindi, tenere in considerazione che deve esserci sempre un sistema, ad esempio l’uso di MD5 o di tecniche di hash7, per garantire che le prove non vengano alterate nel corso dell’indagine; la firma digitale deve essere ovviamente conservata in luogo diverso dal file cui si riferisce (a) copia di livello fisico, o bitstream copy, che consiste in una vera e propria immagine fisica dell’unità; Con riferimento all’hash in generale, e all’MD5 in particolare, si veda V. ROUSSEV, YIXIN CHEN, TIMOTHY BOURG, GOLDEN G. RICHARD III, md5bloom: forensic filesystem hashing revisited, in Digital Investigation, 3S (2006) pp. S82-S90. 7 (b) copia di basso livello del file system, o cluster copy, ovvero una copia vera e propria del file system e del contenuto di una partizione logica e (c) copia del file system, ovvero il backup di file e cartelle visibili su una partizione logica. Tali tre modalità differenti di copia richiedono anche diverse strategie investigative e modalità di analisi e di interpretazione dei dati. 5. Conclusioni. – Si è detto, nei paragrafi precedenti, che il nostro legislatore, nell’introdurre alcuni principi di base della computer forensics nel codice di procedura penale, è stato da un lato molto cauto, muovendosi in ambito assolutamente generale e senza scendere nel dettaglio di metodologie anche ormai acquisite ma, dall’altro, ha introdotto alcuni principi fondamentali che necessitavano di maggiore specificazione. In un’ottica prettamente informatico-giuridica, appare molto interessante il principio di cautela nel trattamento di sistemi informatici di proprietà di fornitori di servizi telematici e di telecomunicazioni quando si effettua un sequestro di dati. Come è noto, nel sequestrare un intero servizio o server (alcuni politici chiedono a volte, a gran voce, di «sequestrare Internet» (sic!) non vengono sollevati solo problemi economici (la perdita di lavoro e di denaro commisurata al tempo per il quale un servizio non è utilizzabile) ma è anche concreto il rischio di violare diritti fondamentali dell’individuo quali la libertà di impresa e di manifestazione del pensiero. L’attenzione a mantenere la regolare fornitura del medesimi servizi apre a linee interpretative moderne e più consone all’era tecnologica. Il cenno, infine, alla possibilità di duplicare i dati oggetto di «attenzione» da parte degli investigatori e alla garanzia tecnica della loro inalterabilità riprende correttamente, in seno alla normativa, considerazioni già consolidate nell’ambito della forensics, pur senza specificarle con riferimento alle modalità operative (anche se, si è detto, l’uso di write blocker, di software ad hoc e di prassi tecnologiche condivise è ormai diffuso su ampia scala).