Roma – “Toc toc, aprite, è la Polizia!”. Può accadere, ed accade, ad un certo numero di utenti Internet italiani di ricevere questo ordine alle prime ore dell’alba, quando per un motivo o per l’altro sono coinvolti in una indagine che riguarda le attività da loro condotte su Internet o che si ritiene possano aver condotto. L’arrivo della Polizia Giudiziaria impegnata in queste indagini spesso coincide con inchieste sulla pornografia infantile diffusa in rete, con la pirateria multimediale e via dicendo. Dopo il “Toc toc” segue in molti casi il sequestro di tutti i materiali ritenuti utili ai fini dell’accertamento dei fatti e delle responsabilità personali.
Ma come funzionano questi sequestri? Quali sono le procedure seguite? Punto Informatico lo ha chiesto al dott. Gerardo Costabile , celebre esperto di sicurezza e computer forensics e membro della “”International Association of Computer Investigative Specialists”, che parlerà di questi temi anche a Venezia ad un incontro organizzato dalle Camere penali.
PI: Accade mai che qualcuno non apra la porta alle forze dell’ordine o finga di non essere in casa? In quei casi cosa succede?
GC: Laddove sul decreto, come quasi sempre accade, vi fosse indicata la possibilità di rimuovere gli ostacoli fissi, sarà possibile chiamare un fabbro e aprire con la forza la porta chiusa.
PI: Le forze dell’ordine nelle abitazioni degli indagati giungono abitualmente, secondo una prassi consolidata, nelle primissime ore del mattino. Questo non rende più difficile agli indagati fare in modo che un proprio avvocato li assista nella fase della perquisizione e del sequestro?
GC: Si lascia il tempo necessario per attendere l’avvocato o persona di fiducia, purché prontamente reperibili. Spesso basta una chiacchierata preliminare tra l’avvocato e la Polizia Giudiziaria al telefono per capire la portata del decreto di perquisizione e sequestro, e quindi consentire di scegliere di partecipare attivamente o meno alle operazioni delegate.
Di solito si entra in azione alle 7 del mattino perché è l’orario pre-lavorativo, quindi consente la presenza dell’indagato, che in caso contrario potrebbe rallentare le operazioni. Pensiamo ad esempio alla necessità di chiamare un fabbro con tutti i costi che ne derivano oltre che i tempi.
PI: Come viene garantita l’integrità fisica del computer nel periodo in cui viene trattenuto dall’Autorità Giudiziaria e prima della sua restituzione al termine delle indagini?
GC: I computer vengono conservati in magazzini idonei, come per altre sostanze delicate (alimenti, droga etc), sempre chiusi in plichi sigillati.
Fisicamente questo può avvenire presso la Polizia Giudiziaria oppure presso l’ufficio Corpi di Reato del Tribunale.
PI: Negli anni su PI abbiamo pubblicato segnalazioni di persone che si sono trovate da un giorno all’altro senza il proprio computer, spesso indispensabile per lavorare. La legge prevede delle tutele? Sono possibili dei risarcimenti? E in che casi? L’importanza che sempre di più il computer ha in ambito lavorativo potrebbe causare danni decisamente ingenti: sono previsti massimali di compensazione per il sequestro?
GC: Dipende cosa intendiamo. Se il sequestro è illegittimo o illecito ci sono gli strumenti per la tutela e quindi la possibilità di richiedere un risarcimento.
In caso contrario credo sia più semplice (ed opportuno) richiedere una estrapolazione dei dati inerenti al lavoro e quindi legittimamente detenuti. Ci sono ordinanze in molti Tribunali in questo senso, già dal 2000 a Torino e successivamente in altre città d’Italia.
Desidero ricordare, in questa sede, che in seno alle indagini difensive, specialmente laddove si registrasse una lentezza delle fasi di computer forensics, è possibile ricevere l’autorizzazione ad effettuare consulenze tecniche di parte (ex art. 233 comma 1 bis c.p.p.) in assoluta autonomia e quindi nel contempo ricevere copia dei dati sui supporti in sequestro. PI: La domanda che molti informatici si pongono in casi come il sequestro di un computer è perché, anziché sequestrarlo, non si preferisca effettuare in loco un backup di tutti i suoi contenuti
GC: Per più motivi.
Prima di tutto, talvolta ci sono motivi di opportunità, ad esempio nel caso di detenzione di materiale che non può rimanere nella disponibilità dell’indagato, ad esempio software pirata, immagini pedopornografiche etc.
Negli altri casi, invece, spesso si opera in tal modo per evitare alterazioni dei supporti, specialmente quando non c’è possibilità di eseguire la perquisizione, immaginiamone centinaia in contemporanea, con personale e mezzi adeguati.
Ricordiamo che il back up non è forensically sound , come pure non lo è per quasi tutte le versioni di Ghost, in quanto verranno in tal caso a mancare le informazioni dello spazio non allocato.
PI: L’indagato è sempre tenuto a rivelare le password di protezione che si trovano sul proprio PC, vuoi per proteggere certe cartelline, vuoi per l’accesso a determinati siti Internet, o può opporsi?
GC: L’indagato può non rispondere, o può dire il falso, per il noto brocardo Nemo tenetur se detegere .
PI: Spesso le password, penso a servizi online ad esempio, sono detenute anche da altri soggetti e non solo dall’indagato. In quei casi cosa succede?
GC: Questo è il caso di soggetti terzi, non indagati ed ascoltati come persone informate sui fatti: ad esempio un tecnico che conosce la password oppure che ha installato un software al cliente e ha privilegi di amministrazione sulle macchine. In tal caso, egli sarà obbligato a fornire secondo verità e correttezza tutti gli strumenti in suo possesso, comprese le password ove necessarie, per evitare di essere indagato per favoreggiamento et similia.
PI: Quando viene effettuato il sequestro di un PC ad una persona indagata per un reato informatico esistono procedure di backup e analisi del PC stesso che garantiscano a quella persona che nulla del proprio computer possa venire alterato dopo il sequestro?
GC: In Italia, anche se non esistono formalmente normative o codici di condotta, gli ambienti investigativi e i consulenti del settore seguono le linee guida internazionali sulla digital forensics , almeno per la parte strettamente tecnica.
Secondo queste ultime, quindi, dopo il sequestro da parte della Polizia Giudiziaria, si dovranno esperire le analisi su una bit stream image dei supporti originali, al fine di consentire la ripetibilità degli accertamenti.
PI: Non sempre però è possibile produrre un’immagine bit per bit di tutti i supporti, compreso PC, sistemi di storage esterni, dischi ottici e via dicendo
GC: Laddove questo non fosse possibile si effettuerà un accertamento tecnico irripetibile, ex art. 360 del codice di procedura penale o, in alcuni casi, si proporrà un incidente probatorio, ovvero un’anticipazione del contraddittorio per dare una “forma” alla prova prima dell’eventuale rinvio a giudizio.
PI: Come avviene?
GC: In questi casi è possibile da parte dell’indagato, e quindi dell’avvocato, poter partecipare con un consulente di parte ai lavori di informatica forense. PI: Un salto indietro: come viene garantita l’integrità dei dati sequestrati?
GC: Prima di tutto ciò, la cosiddetta chain of custody dal momento del sequestro alla successiva analisi è garantita con atti formali di verbalizzazione o di passaggi di consegna dei supporti, cautelati in plichi chiusi, come previsto dall’art. 260 cpp e dagli art 81 e seguenti delle disposizioni di attuazione del codice di procedura penale.
PI: Non è una procedura contestabile? Intendo dire: garantisce davvero la non-manipolazione, essenziale all’accertamento delle eventuali responsabilità dell’indagato?
GC: Anche un’agenda cartacea può essere teoricamente modificata nei suoi contenuti durante la manipolazione, ma questo non vuol dire che ogni cosa debba essere messa in discussione per il solo fatto che sia teoricamente possibile. Come ha precisato con chiarezza la prima sentenza di merito sulla computer forensics , la cosiddetta “Sentenza Vierika” (n. 1823/05 – dep. 22.12.2005 – Tribunale di Bologna, est. Di Bari), non ci si può limitare “ad allegare che i metodi utilizzati, non essendo conformi a quelli previsti dalla (supposta) migliore pratica scientifica, conducono a risultati che non possono essere ritenuti ab origine attendibili, senza peraltro allegare che nel caso concreto si è prodotta una qualche forma di alterazione o che avrebbe potuto prodursene alcuna, indicandone la possibile fonte, forma e fase di azione”.
PI: In sostanza, quindi, non sono procedure contestabili
GC: Forse è giunto il momento di capire, con maturità, che non basta fare baccano in questa materia, ma bisogna essere più precisi e portare le prove di certe affermazioni, con la stessa decisione con cui si chiede alla Polizia Giudiziaria di fare altrettanto.
PI: Quali sono gli strumenti abitualmente utilizzati per l’analisi di un PC in questo tipo di eventi?
GC: Le linee guida internazionali parlano di software ed hardware appropriati, senza ovviamente distinguere nel merito uno strumento piuttosto che un altro. Questo, a mio avviso, vuol dire che gli strumenti devono essere testati e non necessariamente open source, come qualcuno invece in certi dibattiti vorrebbe far intendere.
Le stesse linee guida dispongono, ad esempio, che nel caso si usino blocchi in scrittura hardware e software per manipolare i supporti informatici, non vi sarà neppure bisogno di utilizzare strumenti di analisi testati e quindi condivisi dalla comunità scientifica.
PI: La difesa dell’indagato, in questa fase, ha voce in capitolo?
GC: È fondamentale precisare che dobbiamo distinguere la parte di clonazione dell’hard disk con blocchi in scrittura, dalla parte di successiva analisi.
Quest’ultima, infatti, sarà certamente ripetibile e dovrà condurre a medesimi risultati, anche se utilizzati strumenti diversi. Laddove così non fosse, ovvero nel caso gli accertamenti dell’accusa non siano coerenti con quelli delle difesa, sarà necessario un approfondimento del Giudice sull’attività de qua.
PI: Vi sono leggi che regolamentano le operazioni di analisi?
GC: No, non vi sono leggi specifiche in Italia.
Molto prima dei computer, nel 1819, il “Codice per lo Regno delle due Sicilie – Parte quarta” ad esempio indicava testualmente che in caso di mancanza del cadavere sulla scena del crimine, “si verificherà la esistenza precedente della persona uccisa; si designerà il tempo da che non se ne sia più avuta notizia… Omissis.. E generalmente si procurerà di raccogliere tutte quelle pruove che suppliscano al difetto dell’ingenere”.
Come è facile comprendere, un tale approccio non è vincente. Stabilire, infatti, così analiticamente il da farsi in casi che per esperienza sono certamente poco schematizzabili in una griglia rigida, può in breve tempo rendere la procedura obsolescente e limitare quindi la portata dell’azione di formazione della prova esperta, ancora di più la c.d. prova digitale.
Ad oggi, invece, perizia e consulenza tecnica ruotano attorno alle “specifiche competenze” ex art. 220 comma 1 del codice di procedura penale.
Qui l’impiego di uno strumento scientifico-tecnico è individuato come necessario, ma nulla si stabilisce sul tipo di strumento da utilizzare, la cui individuazione compete all’esperto che deve attingerlo dal patrimonio della scienza e della tecnica.
PI: Ci si affida, diciamo così, all’esperienza.. e lo si fa in modo empirico
GC: A mio avviso sarebbe necessario un maggior coinvolgimento delle comunità scientifiche e universitarie, le quali al momento non hanno ancora affrontato adeguatamente il settore, delineando linee guida o best practices di certo non vincolanti, ma di sicuro interesse per la disciplina in parola. PI: Una normativa specifica costituirebbe un danno per l’attività investigativa?
GC: Laddove si rendesse necessaria -secondo la maggioranza- una presa di posizione normativa, consiglierei di evitare troppi tecnicismi e precisazioni di sorta, definendo al massimo alcuni principi cardine sull’integrità dei dati, la ripetibilità degli accertamenti ed altro ancora, lasciando allo stato dell’arte la parte tecnica di esecuzione delle operazioni per raggiungere i citati obiettivi.
PI: L’attività di sequestro ed indagine sul PC di un indagato è una opzione a disposizione dell’Autorità Giudiziaria per qualsiasi genere di reato o esistono casi nei quali al sequestro non si può ricorrere perché viene considerato misura eccessiva?
GC: L’autorità giudiziaria può motivare un sequestro probatorio in qualunque reato. Ma, come è implicito, la motivazione può essere eccepita nelle dovute sedi (Tribunale del riesame).
Alcuni magistrati più attenti, supportati da Polizia Giudiziaria più qualificata, propendono per strumenti meno invasivi, ove possibile, specialmente nel caso di perquisizioni presso terzi non indagati, ad esempio aziende, banche etc. In tal caso lo strumento di procedura penale più opportuno può essere l’ispezione delegata ex art. 244 e ss del c.p.p., che consente una sorta di analisi o almeno l’estrapolazione di informazioni utili che successivamente saranno analizzate.
Tutto ciò comporta dei rischi, specialmente per quanto attiene la completezza di tali attività complesse, effettuate in tempi così ristretti e principalmente per dati visibili e non cancellati. Consiglio questo modus operandi quando ci si trova su server aziendali e si ha necessità di estrapolare i contenuti di caselle di posta elettronica di dipendenti. Ad esempio in casi di insider trading, truffe ai danni dello Stato, comparaggio etc etc.
PI: La sensazione, visti anche alcuni casi di cronaca, come la claudicante inchiesta sulla pornopedofilia di cui ha recentemente parlato anche la celebre trasmissione Tv Le Iene , è che talvolta si proceda per reati informatici senza un’adeguata conoscenza della materia. Che ne pensi?
GC: Conosco molto bene la storia che ha toccato un amico, oltre che un ex collega. Paradossalmente, in questo caso, molto spiacevole, non vi è stata alcuna perquisizione e moltissimi indagati sono stati ritenuti tali “per analogia”, ovvero per il solo fatto che le cifre spese con la carta di credito su un certo circuito avevano importi casualmente uguali rispetto al costo delle immagini pedopornografiche oggetto delle indagini.
La cosa è molto spiacevole e fa capire come sia facile fare numeri a discapito delle persone perbene.
Intervista a cura di Paolo De Andreis