Computer forensics, tra mito e realtÓ

di Emanuele Florindi - Un percorso guidato tra le varie fase delle indagini che conducono al processo per reato informatico. Una definizione di computer forensics e l'avvio delle intercettazioni

Perugia - L'informatica rappresenta un fenomeno cresciuto e diffusosi fino a diventare, nel bene e nel male, uno strumento irrinunciabile del nostro quotidiano: le problematiche giuridiche sollevate dallo sviluppo dell'universo elettronico rappresentano, probabilmente, uno dei terreni di sfida culturale più stimolanti della nostra epoca.

In tale ambito, uno dei temi che più appassionano gli esperti è proprio quello relativo al computer come prova da acquisire, analizzare ed utilizzare in un processo: nei procedimenti per reati informatici, ma non soltanto in quelli, il computer si è spesso rivelato un "testimone chiave" per l'accusa o per la difesa.

In realtà sarebbe più corretto, almeno formalmente, parlare del computer come prova, se non come fonte di prova, ma non di rado l'approccio del perito (nominato dal giudice) o del consulente (nominato da una delle parti) con il computer è più simile a quello di chi interroghi un testimone reticente, piuttosto che quello di chi esamini un reperto inanimato: non basta trovare tracce del reato (o non trovarne), occorre interpretarne i silenzi (i dati sono stati cancellati o non sono mai esistiti?) e, persino, le "rivelazioni" (i dati si trovano lì ad insaputa dell'imputato\indagato o vi sono stati consapevolmente collocati da lui?).
Proprio per questa ragione l'analisi di un computer non dovrebbe mai ridursi ad un "positivo" o a un "negativo", ma dovrebbe essere sempre adeguatamente motivata, soprattutto in presenza di reati particolarmente odiosi quali quelli di detenzione, cessione o divulgazione di pornografia minorile.

L'analisi non può, quindi, essere ridotta ad attività meramente informatica, in quanto il consulente dovrebbe cercare di ricostruire il comportamento tenuto dall'imputato di fronte al computer, arrivando ad interpretare i risultati dell'analisi alla luce di tale ricostruzione comportamentale, anche e, soprattutto, al fine di valutare se un determinato atto è stato compiuto volontariamente o no.

Non può, poi, non avvertirsi l'esigenza di regole comuni, di procedure certe in assenza delle quali è molto difficile riuscire a garantire un sereno rapporto tra accusa e difesa nella dialettica processuale e preprocessuale. Mai come oggi, infatti, si avverte la necessità della "certezza delle regole" per quanto riguarda l'individuazione e la conservazione dei dati che poi costituiranno l'oggetto su cui si fonderà la valutazione dell'organo giudicante. Il rilevamento, la conservazione ed il trattamento di questi dati e delle informazioni che gli investigatori (ma anche, non dimentichiamolo, i difensori) possono rilevare nel normale svolgimento dell'attività d'indagine esigono un protocollo operativo che ne garantisca integrità non repudiabilità in sede processuale.

L'informatica forense si presenta davvero come una scienza complessa, multidisciplinare e, proprio per questo, estremamente intrigante. Andiamo ora, senza alcuna pretesa di completezza, ad affrontare alcuni degli aspetti più interessanti di questa affascinante disciplina.

Le fase delle indagini preliminari
L'indagine relativa ai reati informatici dipende in gran parte dal tipo di crimine che si vuole reprimere e dagli strumenti forniti all'uopo dal legislatore: diverse sono le tracce lasciate dagli autori e, conseguentemente, diverse devono essere le modalità investigative.

Alcune caratteristiche sono, tuttavia, comuni a prescindere dall'illecito commesso. In primis una particolare esigenza di celerità nell'acquisizione di prove ed informazioni: poche cose sono volatili come le prove informatiche. Basta davvero molto poco per alterarle, modificarle o renderle comunque inservibili, sia volontariamente che involontariamente: è necessario che l'investigatore sia in grado di ricostruire con precisione le modalità con cui è stato commesso il reato anche al fine di valutare adeguatamente la genuinità di eventuali prove raccolte ovvero di scagionare eventuali coimputati.

╚ in questa fase, in cui l'indagato è generalmente all'oscuro delle indagini, che possono essere disposte intercettazioni telefoniche, informatiche o ambientali, ovvero vengono acquisiti elementi di prova da utilizzare successivamente (accesso a siti, contatti in chat, scambio di materiale attraverso le reti p2p): si tratta di attività che devono seguire dei rigidi protocolli comportamentali la cui violazione potrebbe poi portare all'inutilizzabilità in sede dibattimentale della prova acquisita.

In questa fase non vi è ancora nessun obbligo formale di avvisare l'indagato, ma questi, se ha il sospetto della pendenza di indagini sul suo conto, può presentare un'istanza presso la Procura della Repubblica per sapere se vi sono procedimenti penali a suo carico (art. 335 cpp). In caso positivo questi gli devono essere comunicati, salvo che l'indagine riguardi reati particolarmente gravi ovvero tale informazione sia stata secretata dal PM.

In ogni caso, anche in assenza dello status di imputato o indagato, è possibile svolgere indagini difensive in via preventiva, ad esclusione degli atti che richiedono l'intervento dell'autorità giudiziaria e purché il difensore abbia ricevuto un apposito mandato.

Per esempio, a seguito di uno scambio di insulti in un forum Tizio sospetta che Caio possa averlo querelato: incarica il proprio difensore di svolgere attività investigativa preventiva al fine di acquisire tutti quegli elementi che potrebbero rivelarsi utili per la futura difesa. Il difensore potrà interrogare testimoni (in realtà si tratta di colloqui, ricezione di informazioni e assunzioni di informazioni) e/o acquisire documenti di vario genere (391-bis e seguenti).

Al di fuori di questi, rari, casi il soggetto scopre di essere indagato nel momento in cui riceve la famigerata "informazione di garanzia".

Avv. Emanuele Florindi
http://www.accademiascienzeforensi.it
http://www.telediritto.it

La trattazione dell'Avv. Florindi proseguirà nelle prossime settimane analizzando le fasi successive dell'indagine: la perquisizione e il sequestro, l'istruzione del processo e il trattamento dei reperti, l'entrata in campo dei periti e l'interpretazione delle prove.
9 Commenti alla Notizia Computer forensics, tra mito e realtÓ
Ordina
  • Gradirei sapere dall'autore, se davvero un non indagato può ricevere delle informazioni dal proprio internet provider riguardo ai tabulati che sono stati consegnati all'Autorità Giudiziaria.

    Io ci ho provato, ma l'internet provider mi ha mandato a quel paese. Paradossalmente è meglio essere indagati che essere solo soggetti ad "accertamenti", perché nel primo caso si può prendere visione del proprio fascicolo.
    non+autenticato
  • - Scritto da: Tien SetteSei
    > Gradirei sapere dall'autore, se davvero un non
    > indagato può ricevere delle informazioni dal
    > proprio internet provider riguardo ai tabulati
    > che sono stati consegnati all'Autorità
    > Giudiziaria.
    Non puoi chiedere *cosa* è stato consegnato all'AG.
    CHiarito questo, l'articolo 132, comma 3 è chiaro:
    3. Entro il termine di cui al comma 1, i dati sono acquisiti presso il fornitore con decreto motivato del pubblico ministero anche su istanza del difensore dell'imputato, della persona sottoposta alle indagini, della persona offesa e delle altre parti private. Il difensore dell'imputato o della persona sottoposta alle indagini può richiedere, direttamente al fornitore i dati relativi alle utenze intestate al proprio assistito con le modalità indicate dall'articolo 391-quater del codice di procedura penale, ferme restando le condizioni di cui all'articolo 8, comma 2, lettera f), per il traffico entrante.
    -----------------------------------------------------------
    Modificato dall' autore il 22 maggio 2009 20.08
    -----------------------------------------------------------
  • Cito:

    "In questa fase non vi è ancora nessun obbligo formale di avvisare l'indagato, ma questi, se ha il sospetto della pendenza di indagini sul suo conto, può presentare un'istanza presso la Procura della Repubblica per sapere se vi sono procedimenti penali a suo carico (art. 335 cpp). In caso positivo questi gli devono essere comunicati, salvo che l'indagine riguardi reati particolarmente gravi ovvero tale informazione sia stata secretata dal PM."

    Quindi immaginiamo il seguente dialogo:

    Tizio: "Spett. Procura della Repubblica, mi state per caso indagando?"
    Procura della Repubblica: "No"

    Ha un senso logico il precedente scambio di battute?
    Tizio, può essere certo che non siano in corso indagini sul suo conto?

    Ingenuo 2001
    non+autenticato
  • - Scritto da: Ingenuo 2001
    > Tizio, può essere certo che non siano in corso
    > indagini sul suo
    > conto?

    Evidentemente no, non assolutamente certo.
  • - Scritto da: Ingenuo 2001
    > Cito:
    >
    > "In questa fase non vi è ancora nessun obbligo
    > formale di avvisare l'indagato, ma questi, se ha
    > il sospetto della pendenza di indagini sul suo
    > conto, può presentare un'istanza presso la
    > Procura della Repubblica per sapere se vi sono
    > procedimenti penali a suo carico (art. 335 cpp).
    > In caso positivo questi gli devono essere
    > comunicati, salvo che l'indagine riguardi reati
    > particolarmente gravi ovvero tale informazione
    > sia stata secretata dal
    > PM."
    >
    > Quindi immaginiamo il seguente dialogo:
    >
    > Tizio: "Spett. Procura della Repubblica, mi state
    > per caso
    > indagando?"
    > Procura della Repubblica: "No"
    >
    > Ha un senso logico il precedente scambio di
    > battute?
    > Tizio, può essere certo che non siano in corso
    > indagini sul suo
    > conto?

    No, però nel caso abbia evidenti indizi di essere sotto sorveglianza, e nel caso gli rispondano di no, può cominciare a pensare che sia sotto indagine per i "reati particolarmente gravi".
    non+autenticato
  • La Procura può mentirti spudoratamente al massimo per 3 mesi, rispondendo NO alla tua richiesta.
    Dopo è costretta ad ammettere che sei stato iscritto nel registro degli indagati (o meglio il tuo nome è annotato accanto al reato nel registro delle notizie di reato).

    Io per togliermi ogni dubbio ho richiesto il certificato ex art 335 cpp per ben 4 volte.
    non+autenticato
  • Visto la premessa dell'articolo dell'altro giornoSorride speriamo che aumenti la qualità, quantomeno legale visto che l'autore sembra qualificato.
    non+autenticato
  • Anche io sono interessato
    non+autenticato
  • - Scritto da: Lex Logic
    > Visto la premessa dell'articolo dell'altro giorno
    >Sorride speriamo che aumenti la qualità, quantomeno
    > legale visto che l'autore sembra
    > qualificato.

    "Sembra"... Credimi, lo è.
    non+autenticato