�ݺ�ߣ

Computer forensics e L. 48/2008

Libera Università S. Pio V - Roma
18/06/2008
Avv. Giovanni Battista Gallus, LL.M.
g.gallus@studiogallus.it
Avv. Giovanni Battista Gallus http://www.cfitaly.net 1

CHI SONO
giobatta@gnulaptop $ whoami
$ Mi diletto di computer da oltre 25 anni
$ Ho conseguito il Master of Laws in IT law presso la
University of London
$ Esercito la professione di avvocato da oltre 10 anni
$ Ho scoperto GNU/Linux nel 1999
$ Vicepresidente del Circolo dei Giuristi Telematici
$ Membro del GULCh (Gruppo Utenti Linx Cagliari)


il Circolo dei Giuristi Telematici
L'associazione quot;Circolo dei Giuristi Telematiciquot; è la più quot;anticaquot; del web
giuridico. La storica mailing list conta oggi oltre 200 iscritti tra
avvocati, magistrati, giuristi d'impresa, universitari e tecnici
specializzati.
Il sito www.giuristitelematici.it è aggiornato costantemente dai
webmaster, anche con la collaborazione di responsabili territoriali,
con le principali novità in tema di diritto dell'informatica (e non solo).
Il Circolo si è fatto promotore di svariati convegni e seminari giuridici,
oltre che di alcune pubblicazioni cartacee.
Le modalità di iscrizione alla mailing list ed all'associazione, lo statuto
sociale e il regolamento della mailing list sono consultabili
liberamente sul sito. Per ulteriori informazioni:
info@giuristitelematici.it. http://www.giuristitelematici.it


INIZIAMO DALLE SUSINE...


Esigenze comparabili
Deteriorabilità (o facile contaminazione) delle
possibile fonti di prova
Modalità di acquisizione
Difficile ripetibilità dell'analisi
Problematiche connesse alla catena di custodia
Necessità di garantire un contraddittorio
Accertamento idoneo a costituire un'evidenza
dibattimentale


Art. 223 Disp. Att. Codice Procedura Penale
Analisi di campioni e garanzie per l'interessato
1. Qualora nel corso di attività ispettive o di vigilanza previste da leggi
o decreti si debbano eseguire analisi di campioni per le quali non è
prevista la revisione, a cura dell'organo procedente è dato, anche
oralmente, avviso all'interessato del giorno, dell'ora e del luogo dove
le analisi verranno effettuate. L'interessato o persona di sua fiducia
appositamente designata possono presenziare alle analisi,
eventualmente con l'assistenza di un consulente tecnico. A tali
persone spettano i poteri previsti dall'articolo 230 del codice.


2. Se leggi o decreti prevedono la revisione delle analisi e questa sia
richiesta dall'interessato, a cura dell'organo incaricato della
revisione, almeno tre giorni prima, deve essere dato avviso del
giorno, dell'ora e del luogo ove la medesima verrà effettuata
all'interessato e al difensore eventualmente nominato. Alle
operazioni di revisione l'interessato e il difensore hanno diritto di
assistere personalmente, con l'assistenza eventuale di un
consulente tecnico. A tali persone spettano i poteri previsti
dall'articolo 230 del codice.
3. I verbali di analisi non ripetibili e i verbali di revisione di analisi sono
raccolti nel fascicolo per il dibattimento, sempre che siano state
osservate le disposizioni dei commi 1 e 2.



Art. 117 Disp. Att. Codice Procedura Penale
Accertamenti tecnici che modificano lo stato dei luoghi,
delle cose o delle persone.

Le disposizioni previste dall'articolo 360 del codice si
applicano anche nei casi in cui l'accertamento tecnico
determina modificazioni delle cose, dei luoghi o delle
persone tali da rendere l'atto non ripetibile.


Preservare la digital evidence

COUNCIL OF EUROPE
RECOMMENDATION No. R (95) 13

OF THE COMMITTEE OF MINISTERS TO MEMBER
STATES CONCERNING PROBLEMS OF
CRIMINAL PROCEDURAL LAW CONNECTED
WITH INFORMATION TECHNOLOGY
http://www.coe.int/t/e/human_rights/media/4_documentary_resources/CM/Rec(
1995)013_en.asp

Preservare la digital evidence

Electronic evidence

13. The common need to collect, preserve and present
electronic evidence in ways that best ensure and
reflect their integrity and irrefutable authenticity,
both for the purposes of domestic prosecution and
international co-operation, should be recognised.


La Convenzione di Budapest
Convenzione del Consiglio d’Europa
sulla criminalità informatica, fatta a
Budapest il 23 novembre 2001


Article 19 – Search and seizure of stored computer data
Each Party shall adopt such legislative and other measures as may be
necessary to empower its competent authorities to seize or similarly
secure computer data accessed according to paragraphs 1 or 2.
These measures shall include the power to:
a seize or similarly secure a computer system or part of it or a
computer-data storage medium;
b make and retain a copy of those computer data;
c maintain the integrity of the relevant stored computer
data;
d render inaccessible or remove those computer data in the
accessed computer system.


Dal preambolo
Mindful of the need to ensure a proper balance between the interests of law
enforcement and respect for fundamental human rights as enshrined in the
1950 Council of Europe Convention for the Protection of Human Rights and
Fundamental Freedoms, the 1966 United Nations International Covenant on
Civil and Political Rights and other applicable international human rights
treaties, which reaffirm the right of everyone to hold opinions without
interference, as well as the right to freedom of expression, including the
freedom to seek, receive, and impart information and ideas of all kinds,
regardless of frontiers, and the rights concerning the respect for privacy;

Mindful also of the right to the protection of personal data, as conferred, for
example, by the 1981 Council of Europe Convention for the Protection of
Individuals with regard to Automatic Processing of Personal Data;


La L. 48/2008
LEGGE 18 marzo 2008, n. 48
Ratifica ed esecuzione della Convenzione del
Consiglio d'Europa sulla criminalita' informatica,
fatta a Budapest il 23 novembre 2001, e norme
di adeguamento dell'ordinamento interno.
(Suppl. Ordinario n. 79).


Ispezione e perquisizione
informatica
L'inspiciens usa gli occhi: ai perquirenti servono le
mani
(Franco Cordero)
Gli istituti della perquisizione e della ispezione, così
come concepiti nel nostro sistema, non appaiono
idonei a regolare l'accesso ai sistemi informatici
e telematici (connotato da una matrice tecnologica
e potenzialmente modificatrice di dati estranea ai
due istituti)
(Stefano Aterno)

informatica
L'originario Disegno di Legge prevedeva, all'art.
244, comma II c.p.p.
“L'autorità giudiziaria può disporre rilievi
segnaletici, descrittivi e fotografici e ogni altra
operazione tecnica, anche in relazione a
sistemi informatici o telematici”


informatica
art. 244, comma II c.p.p.
“L'autorità giudiziaria può disporre rilievi
segnaletici, descrittivi e fotografici e ogni altra
operazione tecnica, anche in relazione a
sistemi informatici o telematici, adottando
misure tecniche dirette ad assicurare la
conservazione dei dati originali e ad
impedirne l’alterazione”


informatica
L'originario Disegno di Legge prevedeva:
2. All’articolo 247, del codice di procedura penale,
dopo il comma 1, è aggiunto il seguente comma:
“1 – bis. Quando vi è fondato motivo di ritenere
che dati, informazioni, programmi informatici o
tracce comunque pertinenti al reato si trovino in
un sistema informatico o telematico, ancorché
protetto da misure di sicurezza, ne è disposta la
perquisizione.”

informatica
Art. 247, comma 1-bis c.p.p.
«1-bis. Quando vi è fondato motivo di ritenere che
dati, informazioni, programmi informatici o tracce
comunque pertinenti al reato si trovino in un
sistema informatico o telematico, ancorché
protetto da misure di sicurezza, ne è disposta la
perquisizione, adottando misure tecniche dirette
ad assicurare la conservazione dei dati originali
e ad impedirne l’alterazione»

informatica
Perquisizione d'iniziativa della P.G. - art 352 c.p.p.
“gli ufficiali di polizia giudiziaria, adottando misure
tecniche dirette ad assicurare la conservazione
dei dati originali e ad impedirne l'alterazione,
procedono altresì alla perquisizione di sistemi
informatici o telematici, ancorchè protetti da
misure di sicurezza”


informatica
Perquisizione d'iniziativa della P.G. - art 352 c.p.p.

Devono sussistere i presupposti “ordinari” ex art
352 c.p.p., e inoltre vi deve essere fondato
motivo di ritenere che nei sistemi si trovino
occultati dati, informazioni, programmi
informatici o tracce comunque pertinenti al reato
che possono essere cancellati o dispersi.


Sequestro di corrispondenza
informatica
Art. 254 c.p.p.
Possibile anche “presso coloro che forniscono
servizi telematici o di telecomunicazioni”
Art. 1 della Convenzione:
quot;service providerquot; means:
i any public or private entity that provides to users of its service the
ability to communicate by means of a computer system, and
ii any other entity that processes or stores computer data on behalf
of such communication service or users of such service.


Sequestro di corrispondenza
informatica
Art. 254 c.p.p.
Se il sequestro è effettuato da un ufficiale di PG,
“questi deve consegnare all'autorità giudiziaria gli
oggetti di corrispondenza sequestrati, senza aprirli o
alterarli e senza prendere altrimenti conoscenza del
loro contenuto”


Il sequestro di dati informatici
presso i provider
Art. 254-bis c.p.p.
L'autorità giudiziaria, quando dispone il sequestro, presso i
fornitori di servizi informatici, telematici o di telecomunicazioni,
dei dati da questi detenuti, compresi quelli di traffico o di
ubicazione, può stabilire, per esigenze legate alla regolare
fornitura dei medesimi servizi, che la loro acquisizione
avvenga mediante copia di essi su adeguato supporto, con
una procedura che assicuri la conformità dei dati acquisiti a
quelli originali e la loro immodificabilità.


Il sequestro di dati informatici
presso i provider
Art. 254-bis c.p.p.
Riguarda tutti i dati “informatici”
L'acquisizione in copia è una facoltà, legata alle esigenze del
provider, in ordine alla regolare fornitura dei servizi
.
Il provider deve comunque “conservare e proteggere
adeguatamente i dati originali”


Innovazioni in tema di chain of
custody
Art. 259 c.p.p. - Custodia delle cose sequestrate
Quando la custodia riguarda dati, informazioni o
programmi informatici, il custode è altresì
avvertito dell'obbligo di impedirne l'alterazione
o l'accesso da parte di terzi, salva, in
quest'ultimo caso, diversa disposizione
dell'autorità giudiziaria


custody
Art. 260 c.p.p. - Apposizione dei sigilli alle cose
sequestrate. Cose deperibili.
Le cose sequestrate si assicurano con il sigillo
dell'ufficio giudiziario e con le sottoscrizioni
dell'autorità giudiziaria e dell'ausiliario che la
assiste ovvero, in relazione alla natura delle
cose, con altro mezzo, anche di carattere
elettronico o informatico, idoneo a indicare il
vincolo imposto a fini di giustizia

custody
Art. 260 c.p.p. - Apposizione dei sigilli alle cose
sequestrate. Cose deperibili.
Quando si tratta di dati, di informazioni o di
programmi informatici, la copia deve essere
realizzata su adeguati supporti, mediante
procedura che assicuri la conformità della copia
all'originale e la sua immodificabilità


Gli accertamenti urgenti (art.
354 c.p.p.)
Conservazione delle tracce e delle cose pertinenti
al reato, e dello stato dei luoghi
ma “Se vi è pericolo che le cose, le tracce e i luoghi
indicati nel comma 1 si alterino o si disperdano o
comunque si modifichino e il pubblico ministero non può
intervenire tempestivamente, ovvero non ha ancora
assunto la direzione delle indagini, gli ufficiali di polizia
giudiziaria compiono i necessari accertamenti e rilievi
sullo stato dei luoghi e delle cose”

354 c.p.p.)
Si tratta di mere operazioni di osservazione,
individuazione e acquisizione di dati, senza
alcuna elaborazione valutativa
Non può costituire (né tantomeno sostituire) un
accertamento tecnico irripetibile


354 c.p.p.)
La novità: In relazione ai dati, alle informazioni e ai
programmi informatici o ai sistemi informatici o
telematici, gli ufficiali della polizia giudiziaria adottano,
altresì, le misure tecniche o impartiscono le prescrizioni
necessarie ad assicurarne la conservazione e ad
impedirne l'alterazione e l'accesso e provvedono, ove
possibile, alla loro immediata duplicazione su
adeguati supporti, mediante una procedura che
assicuri la conformità della copia all'originale e la
sua immodificabilità

Innovazioni normative e
valutazione del giudice
Come possono identificarsi le “misure tecniche
dirette ad assicurare la conservazione dei dati
originali e ad impedirne l'alterazione”?
Quali sono le procedure che assicurino “la
conformità della copia all'originale e la sua
immodificabilità”
Il Giudice dovrà valutare, in maniera puntuale,
l'effettiva validità scientifica dei criteri e dei
metodi d'indagine

Innovazioni normative e
valutazione del giudice
Gli accertamenti ad alto contenuto tecnologico
devono pertanto essere valutati sulla base dei
protocolli elaborati dalla comunità scientifica,
che, peraltro, devono essere essi stessi
sottoposti ad ad attenta analisi, con specifico
riferimento all'epistemologia giudiziale
(Luca Luparia)


Conclusioni

Un approccio, già criticabile di per sé,
riteneva che il problema della prova
digitale “non genuina” si ponesse sul
piano della valutazione della prova, e non
della sua utilizzabilità o meno
Trib. Bologna, 21/7/2005 - Vierika
Trib. Chieti, 2/3/2006

Conclusioni

Ora, una prova digitale “non genuina”,
potrebbe costituire una prova
illegittimamente acquisita ai sensi dell'art.
191 c.p.p., e quindi inutilizzabile, e perciò
sottratta a quella “vorace potenza
superlogica” (la definizione è di Franco
Cordero) costituita dal Giudicante

Profili etici della computer
forensics
La prova digitale incide profondamente sui
valori iscritti nella Carta Costituzionale
Si può parlare di una dimensione
informatico-telematica della propria
personalità


forensics
Cass., sez. I, sent. 25755/07
Sequestro di computer presso terzi può presentare
quot;connotati pesantemente intrusivi ed
esplorativiquot;, avendo ad oggetto una sfera
personalissima quale il personal computer


forensics – cenni comparativi
La Corte Costituzionale Tedesca (Sentenza
27/2/2008, resa nel procedimento BvR 370/07 - BvR
595/07) ha creato un “nuovo” diritto della
personalità: il diritto alla integrità e confidenzialità
del sistema informatico e telematico
A new quot;basic right to the confidentiality and integrity of
information-technological systemsquot; as part of the
general personality rights in the German constitution
http://bendrath.blogspot.com

forensics
Questo diritto può essere violato solo se vi è il
concreto pericolo della commissione di gravi reati,
con l'intervento dell'Autorità Giudiziaria, e solo
laddove le altre risorse investigative si dimostrino
insufficienti
Ma anche in questo caso, occorre proteggere l'area
della vita privata


forensics
quot;If there are concrete indications in the specific case
that a certain measure for gathering data will touch
the core area of the conduct of private life, it has to
remain principally undone.quot; (margin number 281)
Se comunque venissero accidentalmente acquisiti dati
afferenti tale “core area”, essi devono essere
immediatamente cancellati, e non possono essere
utilizzati in nessun modo


In conclusione

Occorre “riportare queste nuove tecniche
investigative nell'alveo dell'architettura
complessiva del nostro modello di giustizia
penale” e “rifugiarsi nei naturalia del processo
penale, ossia in quei principi scolpiti nella cultura
delle garanzie prima ancora che nella Carta
fondamentale e nel Codice”
(Luca Luparia)

Grazie per l'attenzione
Avv. Giovanni Battista
Gallus
g.gallus@studiogallus.it
www.giuristitelematici.it


�ݺ�ߣ

Computer Forensics e L.48/2008 - Avv. Giovanni battista Gallus

More Related Content

Computer Forensics e L.48/2008 - Avv. Giovanni battista Gallus