�ݺ�ߣ

Corso di informatica giudiziaria e forense
Anno 2012

Esame di casi concreti ed esame
delle tipologie d'indagine

Accesso abusivo a sistema informatico
Art. 615 ter c.p.

Chiunque abusivamente si introduce in un sistema informatico
o telematico protetto da misure di sicurezza ovvero vi si
mantiene contro la volontà espressa o tacita di chi ha il diritto
di escluderlo, è punito con la reclusione fino a tre anni

Modalità concrete di realizzazione della condotta
di introduzione abusiva in un sistema informatico
o telematico

- Tizio, appropriandosi indebitamente delle credenziali di
autenticazione di Caio, si introduce nel suo personal computer

autenticazione di Caio, si introduce nel suo sito web

autenticazione di Caio, si introduce nella sua connessione
wireless

Esame di un caso giurisprudenziale
Corte di Cassazione, seconda sezione penale, n.
11135/2009)

Un dipendente di Banca è indagato per i reati di sostituzione di
persona, accesso abusivo ad un sistema informatico o
telematico e tentata truffa per essersi appropriato di dati
anagrafici di cinque clienti della banca nonché degli uder-id
segreti di due colleghi, utilizzandoli per registrarsi sul sito e-
bay ed acquistare modellini di aerei del valore di circa mille
euro

11135/2009) (segue)

Cosa si è fatto in fase d'indagine: oggetto dell'indagine era un
file di posta elettronica, che è stato sequestrato a seguito di
perquisizione.

11135/2009) (segue)

Perquisizione: Art. 247 comma 1 bis c.p.p.
Quando vi è fondato motivo di ritenere che dati, informazioni,
programmi informatici o tracce comunque pertinenti al reato
si trovino in un sistema informatico o telematico, ancorché
protetto da misure di sicurezza, ne è disposta la perquisizione,
adottando misure tecniche dirette ad assicurare la
conservazione dei dati originali e ad impedirne l'alterazione

11135/2009) (segue)

Descrizione delle modalità di perquisizione informatica e
differenze rispetto alla ispezione.
L'ingresso nel luogo del delitto, la descrizione del luogo stesso,
la descrizione del personal computer, la individuazione dei
supporti informatici: i diversi possibili supporti informatici.
Possibilità di ispezione dei luoghi e delle cose e, a seguito,
ispezione informatica.

11135/2009) (segue)

Art. 244 comma 2 c.p.p.
L'autorità giudiziaria può disporre rilievi segnaletici, descrittivi
o fotografici e ogni altra operazione tecnica anche in relazione
a sistemi informatici o telematici, adottando misure tecniche
dirette ad assicurare la conservazione dei dati originali e ad
impedirne l'alterazione

11135/2009) (segue)

L'approfondimento della ispezione: la perquisizione, già
esaminata.
Il seguito della perquisizione: il sequestro.

11135/2009) (segue)

Sequestro: 354 comma 2 c.p.p.
In relazione ai dati, alle informazioni e ai programmi
informatici o ai sistemi informatici o telematici, gli ufficiali
della polizia giudiziaria adottano, altresì, le misure tecniche o
impartiscono le prescrizioni necessarie ad assicurarne la
conservazione e ad impedirne l'alterazione e l'accesso e
provvedono, ove possibile, alla loro immediata duplicazione su
adeguati supporti mediante una procedura che assicuri la
conformità della copia all'originale e la sua immodificabilità.

11135/2009) (segue)

Nel caso in esame dal verbale di sequestro si evinceva che il
file oggetto di sequestro era stato masterizzato in quattro copie
identiche, su altrettanti cd – rom non riscrivibili, uno dei quali
lasciato all'ausiliario di p.g. che ha sottoscritto tutti i Cd-rom in
questione e quindi adottando misure tecniche (immediata
duplicazione del file su quattro supporti non riscrivibili,
assistenza del tecnico UG, nominato ausiliario di polizia
giudiziaria) in astratto idonee ad assicurare la conservazione e
l'immodificabilità dei dati acquisiti.

11135/2009) (segue)

Sostiene la Corte che “Ogni altra valutazione di ordine tecnico
circa la nacessità di effettuare l'hashing per poter
eventualmente verificare se la copia del file nel CD
masterizzato sia uguale all'originale (e, quindi, se il file sia stato
modificato o meno) è estranea al giudizio di legittimità, sia
perché attiene essenzialmente alle modalità esecutive del
sequestro sia comunque perché la normativa richiamata dal
ricorrente non individua specificamente le misure tecniche da
adottare, limitandosi a richiamare le esigenze da
salvaguardare”

11135/2009) (segue)

L'hashing
E' una procedura che consente la validazione di un dato,
ovvero di generare, da un dato arbitrariamente grande, un
valore di grandezza fissa.

Corte di Cassazione, quinta sezione penale, n.
27392/2011

In questo caso la Corte ha esaminato la condotta di una
persona indagata per i reati di cui agli artt. 615 ter e 615 quater
c.p. per essersi ripetutamente introdotto nel sistema telematico
denominato SIATEL, protetto da misure di sicurezza e cioé da
limitazione all'accesso, utilizzando credenziali e password
indebitamente ed abusivamente ottenute. Quivi introdotto,
estrapolava dati contenuti nel sistema informatico relativi a
numerosi contribuenti, cedendoli a terzi verso compenso in
denaro nell'ambito di un'attività professionalmente esercitata.

27392/2011

L'attività d'indagine svolta:
una perquisizione presso i locali riferibili all'indagato con
sequestro di materiale informatico, successivamente periziato.
La perizia aveva accertato, tra l'altro, la presenza nella
memoria del computer di numerose credenziali, corredate di
nome utente e password, per l'accesso a diverse banche dati.
Inoltre la perizia aveva riscontrato come effettuati
collegamenti (o tentativi di collegamento) a numerose banche
dati pubbliche (siatel, serpico, inps)

27392/2011

Il difensore dell'indagato, che aveva impugnato la misura della
custodia cautelare in carcere, aveva eccepito la inutilizzabilità
di quanto acquisito a seguito di perquisizione e sequestro
poiché non erano state rispettate le modalità prescritte dagli
artt. 247 comma 1 bis c.p.p. e 354 c.p.p. (norme già esaminate
in precedenza)

27392/2011

la Corte ha affermato che l'articolo 247 c.p.p. non prevede
protocolli specifici né fa rinvio a norme specifiche di settore
ma dà un'indicazione generica, disponendo che nell'esecuzione
di perquisizioni su materiali informatici devono essere adottate
misure tecniche dirette ad assicurare la conservazione dei dati
originali e ad impedirne l'alterazione, aggiungendo che “con
riferimento al procedimento in questione non vi è alcuna
prova di alterazione dei dati, per cui si deve presumere che,
essendo gli atti realizzati da persone competenti e
successivamente verificati dai consulenti, siano corretti.

27392/2011

Inoltre, la Corte ha preso posizione su altro motivo di
doglianza del ricorrente che aveva lamentanto la inidoneità
della copia di back up a fungere da immagine forense e
l'incomprensibilità dei dati esaminati dal consulente
dell'accusa: sul punto la Corte ha affermato che non vi erano
“elementi concreti o anche solo indizi a sostegno delle
lamentate difformità”

27392/2011

L'aspetto tecnico interessante, posto dalle osservazioni della
Corte, riguarda la differenza tra
- copia di back up e
- copia immagine

27392/2011

La bit stream image è definita la realizzazione di una immagine
bit a bit del contenuto del reperto posto sotto sequestro che
consente di operare l'analisi forense su un supporto
praticamente identico all'originale, sia sotto il profilo logico sia
sotto quello fisico; una analisi quindi condotta su tutte quelle
parti vuote o presumibilmente tali che potrebbero assumere
una importanza fondamentale ai fini delle indagini in quanto
possono nascondere file o frammenti di file cancellati

27392/2011

La rilevanza della bit stream image rispetto alla mera
duplicazione del contenuto di un hard disk: l'analisi dei cluster
apparentemente vuoti, la possibilità di recuperare frammenti
di file.
La necessità di operare sulla copia al fine di evitare alterazioni
dell'hard disk originale.

Corte di Cassazione, prima sezione penale, n.
11503/2009

Tizio, nei cui confronti è stata emessa ordinanza di custodia
cautelare in carcere, è indagato del reato di cui all'articolo 416
bis giacché accusato di aver partecipato all'associazione
malavitosa denominata “clan dei casalesi”

11503/2009

Che attività d'indagine è stata svolta:
in particolare, per quel che interessa in questa sede, un
sequestro effettuato presso l'abitazione di altra persona, di
materiale cartaceo informativo ed informatico.
In particolare si sarebbe proceduta ad una lettura dell'hard disk
senza la presenza dei difensori

11503/2009

La difesa ha lamentato che non si sarebbe dovuto procedere a
tale lettura senza garantire, alla persona nella cui abitazione
venne rinvenuto il materiale informatico, la presenza di tecnici
della difesa, eccependo che – poiché la lettura dell'hard disk è
cagione certa di alterazione del disco prelevato - andava
considerata come atto irripetibile ai sensi dell'articolo 360
c.p.p.

11503/2009

Art. 360 comma 1 c.p.p.
“Quando gli accertamenti previsti dall'articolo 359
[accertamenti, rilievi segnaletici, descrittivi o fotografici e ad
ogni altra operazione tecnica per cui sono necessarie specifiche
competenze] riguardano persone, cose o luoghi il cui stato è
soggetto a modificazione, il pubblico ministero avvisa senza
ritardo la persona sottoposta alle indagini, la persona offesa dal
reato e i difensori del giorno, dell'ora e del luogo fissati per il
conferimento dell'incarico e della facoltà di nominare
consulenti tecnici”

11503/2009

L'importanza della qualifica di un atto d'indagine come atto
irripetibile: in particolare, l'inserimento nel fascicolo del
dibattimento e l'utilizzo come prova dei fatti.

11503/2009

La Corte di Cassazione, nel caso in esame, ha rigettato
l'eccezione affermando, tra l'altro, che la lettura dell'hard disk
non integra atto irripetibile e che la difesa della persona nei cui
confronti è stato eseguito il sequestro del materiale informatico
“potrà far valere, quando sarà e se sarà eventualmente accertata
l'alterazione del disco informatico, alterazione allo stato solo
affermata dalla difesa del ricorrente, peraltro persona diversa
dal proprietario del computer e, si ribadisce, per nulla
accertata”

11503/2009

Anche in questo caso l'aspetto tecnico è dato dalle modalità
attraverso le quali si opera sul reperto informatico: bit stream
image e non poriginale al fine di evitare possibili alterazioni
dell'originale.
Anche in questo caso la Corte ha escluso che, in assenza di
elementi di segno opposto, la semplice lettura dell'hard disk
possa dirsi foriera di alterazioni

Corte di Cassazione, sentenza 18 novembre 2011

Il caso è quello del dipendente di una ditta individuale
imputato dei reati di cui agli artt. 61 n. 11 e 635 bis c.p. per
avere cancellato, in tale qualità, una gran quantità di dati
dall'hard disk del personal computer della sua postazione di
lavoro


Art. 635 bis:
Salvo che il fatto costituisca più grave reato, chiunque
distrugge, deteriora, cancella, altera o sopprime informazioni,
dati o programmi informatici altrui è punito, a querela della
persona offesa, con la reclusione da sei mesi a tre anni


Quale attività d'indagine è stata svolta:
dall'esame della sentenza sembra potersi affermare che – dopo
la cancellazione deidati informatici in oggetto - si sia
provveduto, mediante un'attività di parte, al recupero dei dati
stessi.
In base a questo, il ricorrente ha eccepito che l'affermazione
della responsabilità sia stata “affidata alle risultanze di
un'operazione tecnica affidata a persona di dubbia competenza
peraltro effettuata senza il contraddittorio tra le parti, benché
irripetibile”


La Corte, sul punto, rigettando l'eccezione difensiva ha
affermato che “non si è trattato di indagine tecnica disposta
dall'autorità o dalla p.g. che avrebbe comportato il rispetto
delle garanzie difensive ma di incarico conferito dalla ditta
danneggiata ad un tecnico di fiducia perché procedesse al
tentativo di recupero dei files cancellati”


Questa decisione ha importanza perché permette di affrontare
il problema della sussistenza del reato di danneggiamento
informatico – art. 635 bis c.p. - anche in presenza di un'attività
di recupero dei dati informatici. Di fatto la difesa ha eccepito
che il reato non sarebbe configurabile poiché comunque i dati
sono stati, anche se in parte, recuperati.
Sul punto, la Corte ha affermato che il danneggiamento
informatico non sarebbe comunque escluso anche se i dati –
tutti i dati – fossero recuperati con l'uso, anche dispendioso, di
particolari procedure


L'aspetto tecnico di questa decisione riguarda le procedure di
recovery di files che sembrano essere stati cancellati ed in
realtà ben possono essere recuperati,a meno che non si sia
proceduto a sovrascrittura dei cluster che contengono le
informazioni eliminate.
Questo aspetto tecnico si ricollega a quanto detto in
precedenza a proposito della necessità della bit stream image,
poiché solo operando in tal modo è possibile esaminare,
mediante software, i cluster dell'hard disk e verificare se,
all'interno degli stessi, si celino informazioni che l'utente
aveva creduto di cancellare.

Tribunale di Pesaro 28/5/2009

Il caso è quello di un ragazzo imputato del reato di cui all'art.
600 ter comma 3 per aver divulgato, attraverso il prgramma di
file sharing Kazaa, un file a contenuto pedopornografico, video
ritraente minorenni nudi in atteggiamento pornografico e
prodotto mediante sfruttamento sessuale di minori.


Art. 600 ter comma 3 c.p.
“Chiunque [...] con qualsiasi mezzo, anche per via telematica,
distribuisce, divulga, diffonde o pubblicizza il materiale
pornografico di cui al primo comma [...] è pnito con la
reclusione da uno a cinque anni”


L'attività d'indagine posta in essere:
A seguito di denuncia inerente la presenza di files a contenuto
pedopornografico su piattaforma di file sharing, la polizia
postale, scaricato il relativo software di connessione,
individuava il file a contenuto pedopornografico oggetto di
denuncia.
In particolare la polizia postale si connetteva in periodi diversi
alla rete internet al fine di individuare gli utenti internet che,
utilizzando numeri di IP in concessione a providers italiani,
attraverso programmi di file sharing dovulgavano nella rete
immagini prodotte mediante lo sfruttamento sessuale di
minori.


L'attività d'indagine successiva è consistita nell'acquisizione
degli indirizzi IP presso vari providers e la conseguente
individuazione di linee telefoniche ed abbonamenti internet
adoperati durante la connessione oggetto d'indagine.
Il caso si è articolato in attività d'indagine tradizionale ed
informatica.
Difatti, l'attività d'indagine tradizionale è consistita
nell'acquisizione degli indirizzi IP
L'indirizzo IP è il nero che viene assegnato ad ogni utente
internet durante la navigazione.
Esso può essere statico o dinamico.


L'indirizzo IP è, di per sé, anonimo: solo il fornitore di accesso
ad internet è in grado di associarlo ad un utente identificato
mediante la linea telefonica di appartenenza.
Nel caso in esame, la linea telefonica apparteneva al padre del
ragazzo: questi si connetteva ad internet dalla sua abitazione
collocata circa dieci metri oltre quella del padre.
La polizia postale è giunta al figlio come reale utilizzatore della
connessione internet in considerazione del fatto che la casella
postale elettronica era riconducibile al figlio del titolare.
Presso l'abitazione di quest'ultimo, dunque, veniva effettuata
una perquisizione e rinvenuti e sequestrati dagli inquirenti
numersoi supporti magnetici ed un pc portatile


A seguito di consuelnza tecnica disposta dal PM venivano
rinvenuti file a contenuto pedopornografico sul disco rigido
del pc dell'imputato.


L'aspetto tecnico rilevante di questo caso è nella
individuazione del reale utilizzatore della linea internet
prendendo le mosse dalla individuazione dell'indirizzo IP
oggetto d'indagine e proseguendo mediante tecniche di
indagine tradizionale.
Non risultano, dalla lettura della motivazione della sentenza,
questioni inerenti l'utilizzabilità degli atti d'investigazione
informatica posti in essere.

44065/2011

Il caso è quello di un imputato ritenuto responsabile del reato
di cui all'art. 600 ter terzo comma c.p. per avere divulgato
mettendolo a disposizione di altri utenti del web, materiale
pornografico prodotto con protagonisti minori degli anni 18,
consentendo a chiunque fosse in quel momento collegato al
servizio di file sharing di scaricare l'anzidetto materiale
pedopornografico.

44065/2011


44065/2011
Quale attività d'indagine si è svolta:
la polizia postale si era connessa per rilevare la lista di utenti
collegati alla rete internet e condividenti, tramite un sistema
peer to peer, file rispondenti alle chiavi di ricerca di immagini
a contenuto peopornografico.
Mediante questa attività la polizia postale aveva individuato il
nickname Matteo, nella cui cartella di condivisione era stato
rinvenuto un file contenente una immagine pedopornografica.
Successivamente, presso l'abitazione della persona indagata,
era stata effettuata una perquisizione che aveva permesso di
rinvenire, nel cestino, file a contenuto pedopornografico.

44065/2011

Anche in questo caso, come in quello precedente, si è dovuto
procedere alla individuazione del reale utilizzatore della
connessione ad internet e del computer, poiché risultava che lo
stesso computer e la stessa connessione erano utilizzati da
soggetti diversi appartenenti allo stesso nucleo familiare.
Difatti, al difesa aveva eccepito che il nickname “Matteo” non
poteva essere considerato dirimente in merito alla
individuazione del reale autore del delitto, poiché erano
presenti altri componenti familiari che avrebbero potuto
utilizzare il computer in questione

44065/2011

La Corte ha rigettato le eccezioni difensive rilevando come il
nickname era composto dal nome del componente il nucleo
familiare che era stato indagato come autore materiale del
reato e che, d'altro canto, il computer si trovava nella stanza di
quest'ultimo.
Peraltro, la stessa Corte ha accolto il ricorso della difesa nella
parte in cui la stessa ha eccepito che la condivisione di un solo
file a contenuto pedopornografico, mediante un programma di
file sharing, non è dimostrazione della volontà di porlo in
condivisione.

44065/2011

La questione è interessante poiché pone in relazione aspetti
tecnici e giuridici:
tecnicamente è noto che unprogramma di file sharing
comporta la messa in condivisione, per impostazione di
default, di quanto ricevuto dall'utente. Pertanto, se io decido di
ricevere un file pedopornografico, in automatico lo inserisco
nella cartella di condivisione.
Giuridicamente, però, l'assenza di prova circa la
consapevolezza di questo dato tecnico non permette di
affermare che io voglio condividere, quanto piuttosto che
voglio detenere, che configura altro reato.

44065/2011

Art. 600 quater c.p.
“Chiunque [...] consapevolmente si procura o detiene materiale
pornografico realizzato utilizzando minori degli anni diciotto è
punito con la reclusione fino a tre anni e con la multa non
inferiore ad euro 1.549”

44065/2011

Nel caso in esame, quindi, la Corte ha ritenuto sussistente non
già la condotta di divulgazione di materiale pedopornografico
ma solo quela di detenzione.

44065/2011

L'aspetto investigativo rilevante di questo caso sta nel fatto
che, proprio perché l'attività d'indagine ha rilevato la presenza
di un programma di condivisione avente quelle particolari
caratteristiche – messa in condivisione di default – e non ha
rilevato altre tracce di messa in condivisione di file
pedopornografici, si è potuto qualificare giuridicamente il
reato contestato in termini di art. 600 quater e non di articolo
600 ter comma 3.

�ݺ�ߣ

Lezione 30 marzo 2012

More Related Content

Lezione 30 marzo 2012