Computer forensics: la perquisizione

Computer forensics: la perquisizione

di Emanuele Florindi - Un percorso guidato tra le varie fase delle indagini che conducono al processo per reato informatico. L'arrivo delle forze dell'ordine a casa dell'indagato
di Emanuele Florindi - Un percorso guidato tra le varie fase delle indagini che conducono al processo per reato informatico. L'arrivo delle forze dell'ordine a casa dell'indagato

Perugia – La scorsa settimana , l’Avv. Florindi ha illustrato le modalità di avvio delle indagini, fino al momento dell’emissione del cosiddetto “avviso di garanzia”. La trattazione riprende da questo punto.

La perquisizione ed il sequestro
Tipicamente la poco simpatica notizia dell’informazione di garanzia arriva congiuntamente ad un decreto di perquisizione e sequestro, ma non è detto. Un soggetto potrebbe subire una perquisizione senza aver ancora assunto formalmente lo status di indagato. È il caso classico della perquisizione presso terzi, tipicamente nel caso di indagini a carico di ignoti oppure nel caso in cui l’autore del reato non sia il proprietario del bene sequestrato (per esempio un dipendente commette un reato informatico con il computer dell’ufficio).

L’apparente paradosso è che, almeno secondo me, la prassi di aprire un procedimento nei confronti di ignoti rappresenta la soluzione giuridicamente più corretta nella maggior parte dei reati informatici. L’alternativa, infatti, sarebbe quella di iscrivere al registro degli indagati il titolare dell’utenza telefonica utilizzata per commettere il reato ed individuata sulla base dell’indirizzo IP. È appena il caso di notare che una simile soluzione appare, se non scorretta da un punto di vista strettamente giuridico, quantomeno ingiusta nei confronti di un soggetto che viene ad essere indagato per il semplice fatto di aver stipulato un contratto. È il caso di ricordare che, mentre nel diritto civile vi sono varie forme di responsabilità per fatto altrui, nel diritto penale la responsabilità è strettamente personale.

Facciamo un esempio: Tizio, studente, convive con altri sei studenti in un appartamento. Il contratto di locazione è a nome di Mevio mentre l’utenza telefonica è intestata a Caio. Pippo, utilizzando un programma di P2P, scambia materiale illegale finché un bel giorno il suo IP viene individuato e vengono avviate delle indagini. Chi deve essere iscritto nel registro degli indagati?

Secondo me nessuno, almeno fino alla perquisizione si dovrebbe procedere nei confronti di ignoti e poi, in quella sede o successivamente, si cercherà di capire chi, tra i coinquilini, ha commesso il reato. È ovvio che non appena la responsabilità di Pippo inizia a delinearsi questi deve essere iscritto nel registro degli indagati ed acquisire i relativi diritti. Ovviamente non si tratta dell’unica strada percorribile, dato che è ben possibile iscrivere tutti i coinquilini al registro degli indagati e, come avrebbe detto Amaury, lasciare che sia poi Dio a riconoscere i suoi.

In ogni caso la perquisizione rappresenta un momento fondamentale dell’indagine, soprattutto per la labilità e la deperibilità delle prove informatiche: eventuali reperti non individuati in prima battuta sono probabilmente destinati a sparire in maniera definitiva. Si tratta della sede dove devono essere compiute quelle operazioni in grado di “cristallizzare” le prove evitando ogni possibile contaminazione degli elementi probatori: per esempio, è necessario evitare di accendere i computer trovati spenti e ponderare bene se, come e quando spegnere quelli trovati accesi. Laddove possibile, sarebbe opportuno annotare con cura, eventualmente anche scattando fotografie o utilizzando una videocamera, la disposizione degli apparati all’interno dell’ufficio o dell’abitazione: oggetti a prima vista insignificanti possono rappresentare un’ottima fonte di informazioni o, addirittura, essere elementi di prova: il mouse era a destra o a sinistra?

In questa fase l’imputato, ma anche chi abbia la materiale disponibilità dei luoghi, ha la facoltà di farsi assistere o rappresentare da una persona di fiducia “purché prontamente reperibile e idonea”. Quindi già in questa fase è possibile nominare il proprio difensore e, eventualmente, richiederne l’intervento in loco. Colgo l’occasione per sfatare il mito della perquisizione notturna: le perquisizioni presso il domicilio devono essere svolte tra le ore 7:00 e le ore 20:00 (art. 251 cpp) salvo casi di particolare urgenza in cui l’autorità giudiziaria può disporre per iscritto che le operazioni vengano svolte al di fuori di questi termini temporali.

Una volta sbrigate tutte le formalità, si procede alla caccia al “tesoro” ed all’acquisizione dei supporti informatici. In caso di computer spento, nessun problema: si prende l’hard disk, lo si clona, si acquisisce il relativo hash, lo si annota nel verbale e si imballa l’originale preferibilmente apponendo i sigilli alla scatola.

Laddove ve ne sia la possibilità è sempre buona norma verificare che l’hard disk (il clone non l’originale!) sia leggibile e che non vi siano nel PC schede particolari, in grado di inibire l’accesso all’hard disk ove non presenti. A tal proposito è assai utile la lettura dei manuali delle schede o una verifica tramite internet delle caratteristiche dei componenti. In caso di dubbio è opportuno prelevare tutto il materiale spiegandone le ragioni. In ogni caso la prassi ci insegna che di solito è sufficiente l’hard disk (meglio ancora un suo clone, ma su questo torneremo poi).

Purtroppo sempre più spesso, i PC rimangono costantemente accesi. Che fare in caso di computer in funzione? L’ottimo sarebbe poter disporre, direttamente in sede di perquisizione, di un soggetto con adeguata competenza che, alla presenza della parte, possa analizzare (con le modalità proprie dell’ispezione) la macchina accesa, verificare i processi in esecuzione e procedere infine allo spegnimento della macchina (annotando e riprendendo tutte le operazioni eseguite), ma nel caso in cui ciò non fosse possibile o non si fosse certi dell’assenza di sistemi di sicurezza particolari, la soluzione pratica migliore è quella di staccare direttamente la spina dal computer procedendo anche alla rimozione delle batterie in caso di computer portatile.

Tralasciamo, per semplicità, l’ipotesi in cui si rilevi la presenza di partizioni o dischi virtuali in mount, dato che questa fattispecie richiede un approccio completamente differente rendendo necessaria l’ispezione della macchina direttamente in loco.

Avv. Emanuele Florindi
http://www.accademiascienzeforensi.it
http://www.telediritto.it

La trattazione dell’Avv. Florindi proseguirà nelle prossime settimane analizzando le fasi successive dell’indagine: le differenze tra sequestro e copia, l’istruzione del processo e il trattamento dei reperti, l’entrata in campo dei periti e l’interpretazione delle prove.

Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il
29 mag 2009
Link copiato negli appunti