Teutas - Diritto & Tecnologia

The essay outlines the main issues relating to computer forensics. This new discipline has its specific features, since it presupposes an appropriate knowledge in both technical and legal fields.

1. Introduzione. Con la locuzione computer forensics[1] si intende quel complesso di attività volte ad identificare, estrarre, interpretare, conservare e documentare dati in formato elettronico[2], in seguito ad una analisi compiuta per l’acquisizione delle prove relative a un atto illecito[3]. La computer forensics è una branca delle scienze forensi, ovvero di quelle discipline mediche, biologiche, elettriche, meccaniche, elettroniche, informatiche, etc. che possono fornire evidenze tecnico-scientifiche “oggettive” quali elementi di giudizio sia nel caso di procedimenti civili che penali.

Il compito delle scienze forensi è quindi quello di produrre evidenze scientifiche da poter introdurre all’interno di un procedimento giudiziario sotto forma di mezzi di prova, sulle quali il giudice baserà il proprio convincimento e, quindi, la propria decisione. Si può sicuramente affermare che la computer forensics deve soddisfare sia esigenze di natura tecnico/metodologica che giuridico/legale. La nascita e lo sviluppo della computer forensics come branca indipendente sono strettamente correlati all’evoluzione della società dell’informazione (Information and Communication Technology, ICT).[4]

In Italia, nel marzo del 2007 si costituisce il Capitolo Italiano dell’Information Systems Forensics Association Inc. (IISFA)[5] con l’obiettivo di promuovere lo studio e la formulazione di metodi e di standard inerenti le attività di Information Forensics, di istruire i membri che vi appartengono e di sviluppare e rafforzare le loro capacità professionali in relazione alle attività di information forensics.

2. L’evoluzione normativa

Sul tema in oggetto non esiste un’omogeneità nella produzione normativa; la disciplina può essere ricondotta ad almeno tre settori di interesse: i crimini commessi attraverso l’uso delle nuove tecnologie (diritto penale dell’informatica), i documenti elettronici e la sicurezza dei sistemi informatici, la tutela dei dati personali. In tutti i casi si tratta di una produzione normativa recente, sviluppatasi nell’arco temporale dell’ultimo ventennio.

I reati informatici sono disciplinati nel codice penale e in alcune leggi speciali successive[6]. La convenzione di Budapest del 23 novembre 2001 del Consiglio d'Europa sulla criminalità informatica (ratificata con la legge 48/2008) può essere considerata il primo vero accordo internazionale riguardante i crimini commessi attraverso internet o altre reti informatiche, con l’obiettivo di realizzare una politica comune fra gli Stati sottoscrittori, attraverso l’adozione di una legislazione appropriata, che consenta di combattere il crimine informatico in maniera coordinata[7].

La disciplina dei documenti elettronici si sviluppa attraverso una recente normativa a partire dai primi anni ’90[8].

La tutela dei dati personali si è sviluppata, in Italia, attraverso due provvedimenti normativi, la legge 31 dicembre 1996 n. 675 e il Decreto Legislativo 30 giugno 2003 n. 196 “Codice in materia di protezione dei dati personali”[9].

3.                  Con l’espressione “ripetibilità degli accertamenti” si intende la possibilità di rieseguire integralmente le analisi su modelli assolutamente identici all'originale; la ripetibilità si configura, quindi, come un fattore chiave soprattutto quando si opera su reati e si devono presentare dei risultati in dibattimento per un'incriminazione. In altre parole, si presuppone la possibilità di realizzare uno studio post-mortem dei sistemi, limitando completamente le interazioni con l'esterno[13].

È necessaria a questo punto una panoramica tecnica sui personal computer per individuare quali componenti possano costituire oggetto di analisi forense. Preliminarmente occorre precisare che all’interno di un computer vi sono diversi dispositivi elettronici, meccanici o elettro-meccanici, e non tutti questi dispositivi possono immagazzinare dei dati. È possibile affermare con certezza che gli unici dispositivi in grado di registrare le informazioni sono le memorie. Le memorie si dividono in memorie primarie e memorie secondarie[16]. Le memorie primarie (chiamate anche memorie centrali o memorie principali) sono collegate alla scheda madre attraverso dei connettori chiamati socket e servono a contenere i programmi ed i dati nel momento in cui vengono elaborati. Per realizzare una memoria principale vengono normalmente utilizzate tecnologie a semiconduttore. Bisogna distinguere tra vari tipi di memorie primarie, a seconda della funzione svolta e delle loro caratteristiche peculiari. Di seguito vengono elencate quelle più importanti.

RAM: acronimo per random access memory, ovvero “memoria ad accesso casuale”, è la memoria in cui vengono caricati i dati che devono essere utilizzati dal processore. La RAM è una memoria volatile e tutto il suo contenuto viene irrimediabilmente perduto all’atto dello spegnimento del computer. Inoltre, durante la normale attività, ha bisogno che il processore provveda a “rinfrescarne” periodicamente i dati (attività di refresh).

Cache RAM: si tratta di una memoria integrata nel processore che ha la caratteristica di essere molto veloce; viene utilizzata esclusivamente per contenere i dati e le istruzioni utilizzati più di frequente. Non può essere direttamente utilizzata dall’utente e non necessita di attività di refresh. Come la memoria RAM, il suo contenuto viene azzerato all’atto dello spegnimento del computer.

ROM: acronimo per read only memory, ovvero “memoria in sola lettura”, è una memoria permanente (cioè ha un contenuto fisso che non può essere cancellato) presente sulla scheda madre, che contiene le istruzioni che il processore deve caricare per consentire l'avvio del sistema e le routine di base che prendono il nome di BIOS (Basic Input-Output System); il suo contenuto non si cancella all’atto dello spegnimento del computer.

Normalmente vi sono due caratteristiche tecniche da tenere in considerazione per tutti i tipi di memorie primarie:

•  
  1. la capacità di lettura/scrittura;
  2. la volatilità;

La capacità di lettura/scrittura è essenziale per una potenziale analisi forense. Le memorie della famiglia RAM possono essere lette e scritte e quindi possono contenere dei dati potenzialmente utili per un’analisi forense, mentre le memorie di tipo ROM sono passibili di sola lettura e pertanto non assumono, di norma, importanza forense.

Con il termine “volatilità” si intende la incapacità della memoria di mantenere i dati scritti anche in assenza di alimentazione elettrica della macchina, ovvero a computer spento. Tutte le memorie RAM sono volatili e perdono il loro contenuto all’atto del turn off, al contrario le ROM lo mantengono inalterato.

Il dump è un processo da eseguire in real-time su computer ancora accesi e consiste in un’applicazione che richiede al processore di effettuare in altra sede una copia fedele dei dati presenti in RAM, tipicamente in un file situato su memorie secondarie. Tale processo comporta comunque dei problemi di non secondaria importanza: il repertamento della RAM è considerato infatti accertamento irripetibile e inoltre la CPU può eseguire la richiesta di esecuzione del dump solo insistendo sulla stessa RAM da repertare che viene quindi ad essere inevitabilmente alterata dal caricamento di informazioni e dati che si aggiungono a quelli già presenti che dovrebbero costituire, solo essi, l’oggetto dell’analisi[17].

      Le memorie secondarie (chiamate anche memorie di massa) rivestono una maggiore importanza nell’analisi forense. Senza tema di smentita è possibile affermare che costituiscono l’obiettivo primario dell’indagine per la ricerca di digital evidence. Come per le memorie primarie, anche le memorie di massa si distinguono in diverse tipologie: dischi magnetici, dischi ottici, nastri magnetici, flash memory e chiavi USB.

I dischi magnetici, composti da uno o più dischi ricoperti di materiale ferromagnetico, vengono letti e scritti (cioè su questi dischi vengono salvati e recuperati i dati) mediante un braccio mobile dotato della testina di lettura/scrittura.

I dati vengono trasferiti ai dischi magnetici tramite un buffer nella memoria centrale ed occupano successive posizioni lungo le tracce, sotto forma di differenti stati di magnetizzazione. I settori dei dischi vengono letti e scritti interamente, utilizzando il numero della superficie, della traccia e del settore. Di questa categoria fanno parte gli hard disk e i floppy disk. Esaminiamo più in dettaglio questi due tipi di dischi magnetici:

- l’hard disk (anche chiamato disco rigido o disco fisso) è un dispositivo utilizzato per la memorizzazione a lungo termine dei dati in un computer. È costituito fondamentalmente da uno o più dischi in alluminio o vetro, rivestiti di materiale ferromagnetico in rapida rotazione, e da due testine per ogni disco (una per lato), le quali, durante il funzionamento si spostano alla distanza di poche decine di nanometri dalla superficie del disco leggendo e scrivendo i dati. I moderni hard disk hanno capacità e prestazioni enormemente superiori a quelle dei primi modelli; attualmente in commercio si trovano dischi rigidi con capacità comprese tra 250 gigabyte e 2 terabyte ed oltre.

            - il floppy disk è un supporto di memorizzazione che contiene, all'interno di un contenitore quadrato o rettangolare di plastica, un disco sottile e flessibile su cui vengono memorizzati magneticamente i dati. I floppy disk sono letti e scritti dal computer attraverso un floppy disk drive, contengono una quantità di informazioni assai inferiore agli hard disk e tendono attualmente a scomparire per esser sostituiti dalle chiavi USB.

I dischi ottici sono composti da materiale riflettente ricoperto da una sostanza protettiva, dove l'informazione viene registrata realizzando modificazioni della superficie riflettente e viene letta mediante un raggio laser che riscontra le irregolarità della stessa superficie. I dischi ottici sono senza dubbio i supporti di memoria secondaria più diffusi: ne esistono di vari tipi, alcuni riscrivibili (cioè una volta scritti possono essere riscritti nuovamente) e altri non riscrivibili (una volta immagazzinati dei dati sul disco questo non è più riscrivibile con altri dati). Fanno parte di questa categoria i CDROM[18] e i DVD[19]. Questi supporti vengono letti e scritti dal computer attraverso degli appositi lettori-masterizzatori.

            I nastri magnetici sono dei supporti di materiale plastico che racchiudono una pellicola magnetizzata su cui è possibile memorizzare informazioni. Sono letti e scritti da apposite unità hardware chiamate DAT e possono contenere una quantità variabile di dati che può arrivare a 120 gigabyte ed oltre.

Le flash memory (conosciute anche come memory card o schede di memoria) sono dei dispositivi elettronici portatili di ridotte dimensioni in grado di immagazzinare dati in forma digitale e di mantenerli in memoria anche in assenza di alimentazione elettrica. Ne esistono vari tipi: alcuni sono proprietari, ovvero funzionano solo sui dispositivi elettronici per i quali sono stati progettati, mentre altri sono compatibili con una grande varietà di dispositivi elettronici, rendendo così possibile lo scambio di dati tra di essi. Possono immagazzinare quantità variabili di dati, dai 4 megabyte fino a 80 gigabyte ed oltre[20].

La chiave USB (detta anche pendrive o penna USB) è una memoria di massa costituita da una custodia in materiale plastico contenente al suo interno una flash memory il dispositivo si collega al computer attraverso l’interfaccia universale USB e attualmente sono in commercio chiavi USB che possono contenere dai 256 megabyte ai 64 gigabyte.

Dopo aver esaminato quali memorie possono costituire oggetto di analisi forense, è possibile descrivere come viene condotta l’analisi in concreto. Successivamente all’acquisizione dei reperti da analizzare, attuata con le procedure ordinarie di P.G. o in altro modo, riveste particolare importanza la preservazione degli stessi da danneggiamenti fisici ed elettromagnetici a cui possono andare incontro.

Le procedure di preservazione dei dati precedono l’analisi vera e propria e assicurano l'eventuale ripetibilità delle attività di indagine condotta.

Posta la sicurezza dei supporti e dei dati da analizzare, è essenziale ottenere una copia fedele dei dati che dovranno costituire oggetto delle analisi; allo stato esistono tre diverse tipologie di copia utilizzabili, ciascuna con caratteristiche ben individuate:

            Ultimate le procedure di preservazione e copia dei dati è possibile passare all’analisi forense vera e propria[23] che viene compiuta, quindi, su file immagine di memorie di massa[24], ottenuti con uno o più dei metodi di copia sopra descritti. Fine ultimo dell’analisi è quello di dimostrare dei fatti riconducibili essenzialmente a due tipologie:

1. fatti di natura tecnica (es. tentativo di intrusione nel sistema ad una certa ora proveniente da un certo indirizzo IP);
2. fatti di natura giuridica (es. detenzione di immagini pedopornografiche, utilizzo di software pirata, modifica o contraffazione di dati o contenuti di documenti digitali, violazione della legge sulla protezione dei dati personali e altri atti che configurano una violazione della legge penale e/o un illecito di altra natura).

Allo stato non vi sono protocolli specifici sulle modalità e sulle strategie relative alla conduzione di una analisi forense di dati, né teorie scientifiche universalmente accettate; pertanto, la procedura è lasciata al singolo investigatore/consulente o gruppo di lavoro.

Nella pratica, l’analisi forense dei dati consiste in:

1. Text searching (ricerche di testi e stringhe);
2. Image searching (ricerca di immagini);
3. Data recovery and identification (recupero di dati cancellati, apertura di documenti protetti, riconoscimento di file camuffati, etc.);
4. Metadata recovery e Identification (es. date e orari, attributi di files, etc.);
5. Altre attività;

2)      Image searching (ricerca di immagini): la ricerca delle immagini digitali su file di vario formato (BMP, JPG, TIF, camuffati, etc), inclusi i fotogrammi di file video, riveste importanza per diverse ragioni sia legali che tecniche. Così è per:

3)      Data recovery and identification (recupero di dati cancellati, apertura di documenti protetti, riconoscimento di file camuffati, etc.): questa parte dell’analisi riveste una particolare rilevanza per la quantità di informazioni che può fornire all’operatore ed è costituita da tre sub tipi di analisi:

c)      Data carving: procedimento per l’identificazione di chunks all’interno di spazio allocato o non allocato di un file system, per la successiva associazione dei chunks a dati e la conseguente parziale o totale ricostruzione dei file contenenti i chunks. Questo tipo di analisi è condotta a un livello inferiore a quello dei file puntando all’analisi dei cluster[27], che possono essere suddivisi in quattro diverse tipologie a seconda del contenuto e della referenziazione mediante puntatori; sui cluster orfani - ovvero i cui settori fisici sono stati scritti almeno una volta e che non sono attualmente referenziati e facenti parte dell'area non allocata della partizione - si svolge l’attività di data carving. Pertanto, la funzione del data carving non è il recupero di file, bensì il recupero di porzioni di file (chunk) e il successivo processo di identificazione dei chunk rispetto ad una tipologia di file conosciuta e quindi il tentativo di ricostruire il file originale almeno in parte[28].

            I software attualmente disponibili per svolgere attività di analisi forense sono classificati in due tipologie principali: quelli in dotazione esclusiva alle forze di polizia, militari e servizi segreti e quelli di libero utilizzo anche da parte di privati. I tool utilizzabili dai privati possono ulteriormente dividersi in commerciali e open source.

I software commerciali sono forniti di particolari accorgimenti antipirateria, offrono un supporto tecnico esteso e hanno un costo non indifferente, mentre i tool open source sono disponibili gratuitamente, sono modificabili, analizzabili e disassemblabili e offrono un supporto tecnico minimo.

Nonostante l’indubbia complessità dell’analisi dal punto di vista tecnico, in campo legale la disciplina della computer forensics non è altro che un sistema di creazione di mezzi di prova giudiziale che, dopo la discussione in contraddittorio, in giudizio potranno assurgere al rango di prove vere e proprie e quindi essere impiegate come base per le decisioni successive.

Nel processo penale italiano, ispirato ai criteri di carattere accusatorio, la formazione della prova avviene in contraddittorio tra le parti, non più un contraddittorio “sulla prova” a priori formata[31], ma un contraddittorio “per la prova”.

Si recupera in questo modo l’autentica fisionomia del contraddittorio, in quanto la prova si forma progressivamente, in dibattimento, attraverso i contrapposti interventi delle parti, con il giudice in condizione di virgin mind[32] che forma il proprio convincimento attraverso l’immediato rapporto con la freschezza probatoria. È questo il principio, ben conosciuto dalla dottrina, dell’immediatezza, ovvero la possibilità per il giudice di cogliere intuitivamente e senza mediazioni tutta una serie di informazioni sul procedimento di formazione della prova.

L’articolo 190 del codice di procedura penale dispone che “Le prove sono ammesse a richiesta di parte. Il giudice provvede senza ritardo con ordinanza escludendo le prove vietate dalle legge e quelle che manifestamente sono superflue.”

Il giudice decide l’assunzione della prova in base a quattro criteri: la prova deve essere pertinente, deve cioè tendere a dimostrare l’esistenza di un fatto storico enunciato nell’imputazione; non deve essere vietata dalla legge; non deve essere superflua, cioè non deve tendere ad ottenere un risultato conoscitivo già acquisito e infine deve essere rilevante, ovvero che la sua ammissione determini un reale contributo all’accertamento del fatto da provare[33].

È rilevante inoltre quanto disposto dall’articolo 189 c.p.p., in materia di prova atipica: la norma in oggetto prevede che, nel caso in cui venga richiesta al giudice l’ammissione di una prova non disciplinata dalla legge, il giudice può assumerla se essa risulta idonea ad assicurare l’accertamento dei fatti e non pregiudica la libertà morale della persona; prima di provvedere all’assunzione, il giudice deve sentire le parti.

Per la sola prova documentale è prevista una disciplina diversa, potendo il giudice acquisire “de plano” i documenti spostando in un secondo momento l’eventuale ordinanza di ammissione o inutilizzabilità promossa con eccezione delle parti interessate. L’ordinanza, in questo caso, interviene in un momento processuale sicuramente successivo al deposito, ma comunque precedente all’utilizzazione della prova; se la prova documentale è ammessa, transita nel fascicolo del dibattimento.

Dal combinato disposto degli artt. 492 e 493 del c.p.p. si evince che, dopo la dichiarazione di apertura del dibattimento[34] compiuta dal presidente, tutte le parti interessate possono chiedere l’ammissione delle prove riguardanti i fatti che intendono provare.

Nel caso di analisi forensi, sia condotte dalla PG che da consulenti privati[35], il mezzo di prova è rappresentato dalla relazione conclusiva (report) prodotta alla fine dell’analisi, come descritto nel paragrafo precedente, ma anche dall’esame orale del personale che ha condotto il repertamento, in funzione di investigatore di PG, CTU o CTP[36].

Secondo l’ordinamento italiano, i tecnici nominati da una delle parti rivestono il ruolo processuale di CTP (consulenti tecnici di parte) ausiliari della difesa o di CTU (consulenti tecnici d’ufficio) ausiliari del giudice o del PM; le nomine e il conferimento degli incarichi dei consulenti sono fatte ai sensi degli artt. 220-226 c.p.p. e artt. 38 e 73 delle norme di attuazione c.p.p. In particolare, nel caso di CTU, la perizia è ammessa quando occorre svolgere indagini o acquisire dati o valutazioni che richiedono specifiche competenze tecniche, scientifiche o artistiche. L’incarico è conferito ai sensi del 226 c.p.p. e il giudice formula i quesiti al CTU dopo aver sentito il perito, i consulenti tecnici, il PM e i difensori.

Il perito, ricevuto l’incarico, procede alle operazioni necessarie ai sensi degli artt. 228-230 c.p.p. e indica il giorno, l’ora e il luogo in cui inizierà le operazioni peritali; di tale comunicazione si dà atto nel verbale e si dà comunicazione alle parti presenti in udienza.

Particolare importanza rivestono le disposizioni ex art. 230 commi 1 e 2 c.p.p.; al primo comma si precisa che i periti di parte possono assistere al conferimento dell’incarico e presentare richieste, osservazioni e riserve in merito, di cui è fatta menzione nel verbale d’udienza. Al secondo comma l’articolo dispone che i periti di parte possono partecipare alle operazioni peritali del CTU, proponendo specifiche indagini e formulando osservazioni e riserve che devono essere incluse nella relazione.

A norma dell’art. 495 c.p.p., il presidente decide con ordinanza l’ammissione o l’inammissibilità delle prove richieste, in ogni caso il giudice, prima della decisione, deve sentire le parti che possono esaminare i documenti di cui è richiesta l’ammissione. Il giudice, nel corso dell’istruzione dibattimentale, decide con ordinanza sulle eccezioni proposte dalle parti in ordine all’ammissibilità delle prove.

Di interesse, ai fini del presente lavoro, risulta un breve esame della sentenza del tribunale penale monocratico di Bologna, I sezione, n. 1823/2005, depositata in cancelleria il 22 dicembre 2005. Si tratta del cosiddetto caso Vierika.

 Il capo di imputazione contestato all’imputato consisteva nell’aver creato un virus denominato Vierika, successivamente trasmesso in via informatica ai provider Tiscali e Infostrada e, per tramite di questi, a circa 900 ignari utenti. Attraverso il virus, l’indagato aveva acquisito dati anche riservati contenuti sui computer degli utenti causando alcuni danni al sistema operativo e ai software applicativi installati sui computer infettati. Tutti i fatti sono avvenuti sul territorio del comune di Bologna nel corso dell’anno 2001. Alla prima udienza di comparizione l’imputato veniva dichiarato contumace.

Per tutto lo svolgimento del processo il tribunale si è avvalso della collaborazione di PG fornita dalla Guardia di Finanza; durante la perquisizione presso l’abitazione dell’imputato, di professione consulente informatico, lo stesso ammetteva la paternità del virus, indicava i files relativi al programma Vierika contenuti sul proprio disco rigido e forniva alcune copie del codice maligno alla PG. La Guardia di Finanza procedeva al sequestro delle copie lasciando nella disponibilità dell’imputato il computer.

L’esame del codice, compiuto dal team specialistico della GdF, metteva in luce che Vierika è un virus programmato in Visual Basic che ha l’obiettivo di infettare computer con sistema operativo Windows 95 e 98 e, nello specifico, infettare e modificare i programmi Outlook e Internet Explorer, entrambi di Microsoft.

Il virus danneggiava i programmi indicati e, attraverso un meccanismo di autoreplicazione, si inviava nuovamente a tutti gli indirizzi email presenti sulla rubrica del computer locale; tutto avveniva senza alcuna conoscenza da parte dell’utente. Il virus si inviava sotto forma di ingannevole allegato grafico.

L’imputato, peraltro reo confesso, veniva condannato a mesi sei di reclusione, con pena sostitutiva della sanzione pecuniaria consistente nella multa di euro 6.840.

Sebbene il maggior utilizzo giudiziario della computer forensics sia inevitabilmente nell’ambito del procedimento penale, al fine di documentare fatti costituenti reato (es. distribuzione di materiale pedopornografico), rimane nondimeno la possibilità di utilizzare tale tipo di consulenza tecnica anche all’interno dei processi civili ed amministrativi, qualora si renda necessaria al fine della responsabile decisione della controversia. Si pensi alla situazione tipica di atti o documenti, che rivestono importanza ai fini processuali, che vengono eliminati dalla memoria dell’elaboratore prima dell’inizio del processo o durante il suo svolgimento.

Risulta manifesto l’interesse recente del legislatore per i temi dell’Information Technology e dei problemi relativi alla certezza delle transazioni compiute attraverso strumenti informatici in sede civile e amministrativa.

Il presente paragrafo tratta brevemente la disciplina delle consulenze peritali in tali procedimenti.

Nel giudizio civile la consulenza tecnica è ammessa e regolata dagli articoli di cui al libro primo, titolo 1, capo III (61-63) del codice di procedura civile rubricato “Del consulente tecnico, del custode, e degli altri ausiliari del giudice”. Dal punto di vista sostanziale, la funzione risulta la medesima rispetto al procedimento penale, ovvero fornire al giudice quel supporto di competenze tecniche che egli non possiede e che risulta importante (quando non indispensabile) per la decisione.

            Nel processo civile, similmente a quello penale, la consulenza peritale può essere disposta d’ufficio o rappresentare una attività ausiliaria della difesa tecnica delle parti private.

            Nella quasi totalità dei casi la consulenza tecnica è disposta dal giudice istruttore, che ne utilizza le risultanze nell’ambito dell’espletamento del suo compito di rendere la causa matura per la decisione. Tuttavia permane sempre la possibilità, anche per l’organo giudicante, di decidere con apposita ordinanza la riapertura della fase istruttoria, incaricando il giudice istruttore di disporre la consulenza tecnica[43].

La nomina del consulente tecnico è disposta con ordinanza dal giudice istruttore ex 191 c.p.c.; con la stessa ordinanza egli fissa l’udienza in cui deve comparire il consulente. Dopo il giuramento del consulente in udienza, ex art. 193 c.p.c., il giudice istruttore formula i quesiti tecnici a cui il consulente dovrà dare risposta.

Ai sensi dell’art 194 c.p.c., “Il consulente tecnico assiste alle udienze alle quali è invitato dal giudice istruttore e compie tutte le indagini ex art. 62 c.p.c.”, con o senza la presenza del giudice istruttore, a seconda delle disposizioni dello stesso giudice. Come già messo in luce nel processo penale, tutte le attività del consulente devono svolgersi in contraddittorio, pertanto alle indagini possono assistere tutte le parti con i loro CTP; le parti possono formulare osservazioni e istanze al CTU sia per iscritto che oralmente[44].

            L’analisi forense viene quindi normalmente condotta in presenza dei CTP nominati dalle parti, le evidences riscontrate sulle memorie analizzate costituiranno oggetto del report finale del consulente. Riveste grande importanza la “ripetibilità degli accertamenti” qualora si renda necessario un controesame sulle memorie repertate.

Tutte le attività di indagine sono descritte nella relazione peritale, che deve contenere anche le osservazioni e le istanze delle parti private; tale relazione è depositata in cancelleria[45] e viene acquisita al fascicolo del procedimento. Per chiudere la trattazione del processo civile occorre qui rappresentare che, in tale procedimento, riveste capitale importanza, in materia probatoria, la norma contenuta al comma 1 dell’articolo 116 secondo cui “Il giudice deve valutare le prove secondo il suo prudente apprezzamento, salvo che la legge disponga altrimenti”. Posto tale principio non è superfluo indicare come la computer forensics, rivesta, tra le materie di accertamento forense una particolare importanza destinata ad aumentare nel prossimo futuro.

Negli ultimi anni, moltissimi settori della produzione e del commercio hanno radicalmente trasformato i loro apparati integrando i sistemi informatici come mezzi ordinari di lavoro. Tale incremento di apparati digitali ha portato inevitabilmente ad un aumento degli illeciti specifici accertabili unicamente con sistemi e metodi di analisi forense. In pochi anni si è assistito ad una crescita esponenziale di casi giudiziari in cui la perizia di un computer forenser ha rappresentato la chiave di volta del quadro probatorio; nessun’altra scienza forense ha mai conosciuto un tale sviluppo in un arco temporale così breve.

            Le medesime considerazioni possono essere svolte nei confronti del processo amministrativo, documenti importanti, ai fini della risoluzione del giudizio, potrebbero essere stati cancellati da elaboratori della PA; parimenti utile potrebbe essere disporre una perizia di computer forensics per individuare il funzionario che ha effettuato una certa operazione al terminale e il giorno e l’ora della stessa operazione.

Il processo amministrativo evidenzia alcune particolarità specifiche: data la mancanza di un codice organico di procedura amministrativa, le disposizioni che governano il processo si ritrovano nelle norme di procedura di fronte il Consiglio di Stato[46] e nelle norme del c.p.c. in quanto applicabili, integrate da specifica disciplina[47]. Il processo amministrativo si configura essenzialmente come un procedimento documentale con una parte necessaria rappresentata da una pubblica amministrazione, normalmente in funzione di parte resistente.

            La disciplina processuale non prevede la presenza di un giudice istruttore e nemmeno una divisione tra fase istruttoria e di cognizione, ne deriva, pertanto, che la consulenza tecnica d’ufficio è sempre disposta dall’organo decidente; tutte le parti private hanno facoltà di nominare CTP che possano assisterle come già visto nei procedimenti penale e civile. Anche nel procedimento amministrativo opera il principio del libero convincimento del giudice ex art. 116 c.p.c.

Per quanto attiene ai mezzi di prova, bisogna preliminarmente distinguere il tipo di giudizio in cui si procede; è infatti previsto che l’autorità giudiziaria amministrativa possa conoscere diversi tipi di giudizio: giudizio di legittimità, giurisdizione esclusiva e altri riti speciali[48].

Nel giudizio di legittimità, l’istituto della verificazione giudiziale rappresenta il mezzo di prova che sostituisce la consulenza peritale, tuttavia le analogie tra i due istituti sono forti ed evidenti. A ben vedere, l’unica differenza che rileva è che la verificazione deve essere affidata necessariamente ad un funzionario che può essere dipendente della stessa amministrazione parte in causa, ovvero di altra amministrazione[49].

Nel giudizio di merito (giurisdizione esclusiva), il giudice amministrativo può disporre di tutti i mezzi di prova previsti dal c.p.c. compresa la consulenza tecnica d’ufficio[50], esclusi solo l’interrogatorio formale e il giuramento[51].

In mancanza di norme specifiche riguardanti il conferimento dell’incarico e la formulazione dei quesiti al consulente, trovano applicazione le norme del c.p.c..

            Per completezza inerente le procedure processuali, si rappresenta che l’istituto della consulenza tecnica è conosciuto anche nei giudizi di fronte la Corte dei Conti. Sebbene con alcune inevitabili differenze di rito, la consulenza peritale è ammessa in tutti i giudizi che si celebrano di fronte la Corte: giudizio di conto[52], giudizio di responsabilità e giudizio pensionistico.

Un ultimo argomento a cui occorre brevemente accennare è rappresentato dalla cosiddetta computer forensics aziendale (detta anche corporate forensics). Si tratta di utilizzare tutte le attività di analisi forense già descritte in ambito aziendale, allo scopo di evidenziare violazioni regolamentari ed eventualmente avviare procedimenti disciplinari a carico dei dipendenti. L’oggetto di indagine rimane, allora, interno al complesso aziendale e mira a dimostrare non violazioni di leggi penali/civili/amministrative, bensì violazioni di regolamenti e protocolli aziendali.

            In tale situazione, il comportamento del tecnico che indaga deve essere improntato alla massima prudenza. Tipica situazione aziendale è rappresentata dalle ispezioni da remoto dei computer degli impiegati da parte del responsabile della sicurezza per la ricerca di tracce di virus o altro e tali situazioni sono piuttosto frequenti, ma non è detto che siano lecite[53]. Normalmente le grandi imprese sviluppano e adottano un regolamento aziendale sulla sicurezza informatica che prevede, tra l’altro, la possibile ingerenza dei tecnici della sicurezza sui computer degli impiegati per controllarne i dati ed anche il protocollo di primo intervento, nel caso di incidenti di natura informatica. Le imprese che adottano il regolamento ne impongono l’approvazione e la sottoscrizione a tutti i nuovi assunti destinati ad operare sui computer connessi alla rete aziendale.

            L’elaborato cerca di inquadrare, le principali tematiche relative alla computer forensics. Questa nuova disciplina presenta dei connotati specifici, dato che presuppone conoscenze appropriate sia in campo tecnico che giuridico.

            Tale difficoltà di preciso collocamento scientifico non è indice di mero esercizio terminologico, ma riflette la differenza di mentalità e di impostazione organizzativa esistente tra ambito forense e scientifico-informatico e, di conseguenza, tra gli attori dei due ambiti.

            L’importanza della computer forensics quale nuovo metodo d’indagine e di produzione di evidences digitali è destinata a crescere velocemente nel tempo; già nel volgere dell’ultimo decennio i reati informatici (e i casi di procedimenti civili per cui è necessaria una attività di analisi forense) sono aumentati in modo esponenziale, basti pensare all’aberrante fenomeno della pedopornografia online per rendersi facilmente conto del problema.

Più si alza il grado di tecnologia impiegata e più dovrà essere sottile la tecnica di indagine utilizzata; così come la società civile si evolve verso una società digitale, allo stesso modo le metodologie di indagine e repertamento di evidenze digitali si adattano alla ricerca e alla scoperta di elementi utili (quando non indispensabili) per la risoluzione di un procedimento giudiziario.

            Sarebbe auspicabile, nel prossimo futuro, la formazione di operatori specializzati forniti di capacità e competenze nei settori giuridico e informatico al fine di migliorare la qualità e la sicurezza delle analisi forensi e fornire, di conseguenza, un servizio sempre migliore ai giudici nel difficile compito di scoprire la verità e amministrare la giustizia.

Brookshear J., Informatica - Una panoramica generale, Milano, Pearson Education, 2004.

Cassano G. - Giurdanella C., Il Codice della Pubblica Amministrazione Digitale - Commentario al D. Lgs. N. 82 del 7 marzo 2005, Milano, Giuffrè, 2005.

Devaux C., ECDL Guida alla patente europea del computer, Milano, Apogeo, 2003.

Ghirardini A. - Faggioli G., Computer Forensics, Milano, Apogeo, 2007.

Mandrioli C., Diritto Processuale Civile, XIV ed., vol. II, Torino, Giappichelli, 2002.

Virga P., Diritto amministrativo, VI ed., vol. 2, Milano, Giuffrè, 2001.

Galdieri P., Il diritto penale dell’informatica – schede riassuntive, Roma, Università “La Sapienza”, 2008.

---

Aggiungi questo articolo ai tuoi social bookmarks preferiti