INFORMATICA - DIGITAL FORENSICS

La L. 48/2008 ed il reperimento delle fonti di prova da sistemi digitali

"...prima sono stati individuati i reati informatici e poi il modo di reperire fonti di prova da sistemi informatici e telematici..."

Gennaio 2010

Questo articolo è stato realizzato con la collaborazione della Dr.ssa Tiziana Piccinini che ha posto gentilmente a disposizione gli scritti della sua tesi di laurea "DIGITAL INVESTIGATIONS: TECNICHE, METODOLOGIE E STRUMENTI PER IL REPERTAMENTO E L’ANALISI DELLE EVIDENZE DIGITALI" realizzata sotto la supervisione dei Proff. C. Giustozzi e S. Fortunato.

Non posso dimenticare, diversi anni fa, quello che è accaduto in una conferenza di alto profilo cui partecipavo nella mia veste di ufficiale tecnico dell'Arma e specialista in indagini informatiche. Ad un incredibile intervento cui assistetti, chiesi gentilmente di replicare qualcosa riportando, bonariamente, la mia esperienza investigativa nel campo informatico. La reazione fu a dire poco allucinante, una delle frasi che mi sentii dire fu: "...la sua esperienza non è indicativa, i reati informatici sono semplici estensioni di quelli reali e poi l'informatica forense è una nicchia estremamente ristretta della scientifica investigativa ed avrà vita breve...".

Adesso, a queste esternazioni viene un po' da sorridere. Il reato informatico e più in generale la manifestazione informatica dei reati reali acquisisce sempre maggior peso e le risorse messe in campo dagli investigatori in questo settore iniziano ad essere veramente rilevanti.

La L. 547/1993, la L. 269/1998, la L. 38/2006 ed il D.L. 196/2003 hanno grosso modo costruito l'infrastruttura su cui poggia quello che spesso viene chiamato diritto penale dell'informatica. In tutto questo bisogna aspettare il 2008 per avere un approccio rilevante ad un problema determinante: la raccolta delle fonti di prova in ambito di sistemi digitali ed in ambito di dato informatico puro (virtuale). Dato anche il mio ambito di lavoro, questa pagina si orienta soprattutto alle modifiche del Codice di Procedura Penale che la 48/2008 ha realizzato e lascia ad altri approfondimenti gli interventi della stessa legge sul Codice Penale e sul Codice della Privacy.

Di seguito sono stati sottolineati alcune delle modifiche del CPP in rosso per una veloce lettura.

LEGGE DI RATIFICA DELLA CONVENZIONE DI BUDAPEST

La Legge 18 marzo 2008, n. 48 promulgata dal Presidente della Repubblica (pubblicata in Gazzetta Ufficiale 4 aprile 2008, n. 80) reca la ratifica della Convenzione del Consiglio d'Europa di Budapest sulla criminalità informatica del 23 novembre 2001.

Il richiamo a tale fatto è determinante nell'ottica dell'intervento sulla scena del crimine per quanto riguarda i crimini ed i reperti ad alta tecnologia (digitali).

Art. 244 CPP Casi e forme delle ispezioni
1. L'ispezione delle persone, dei luoghi (103) e delle cose è disposta con decreto motivato quando occorre accertare le tracce e gli altri effetti materiali del reato (354 1 e2, 364).
2. Se il reato non ha lasciato tracce o effetti materiali, o se questi sono scomparsi o sono stati cancellati o dispersi, alterati o rimossi, l'autorità giudiziaria descrive lo stato attuale e, in quanto possibile, verifica quello preesistente, curando anche di individuare modo, tempo e cause delle eventuali modificazioni. L'autorità giudiziaria può disporre rilievi segnaletici, descrittivi e fotografici e ogni altra operazione tecnica (359), anche in relazione a sistemi informatici o telematici, adottando misure tecniche dirette ad assicurare la conservazione dei dati originali e ad impedirne l’alterazione.

Art. 247 CPP Casi e forme delle perquisizioni
1. Quando vi è fondato motivo di ritenere che taluno occulti sulla persona il corpo del reato o cose pertinenti al reato (253), è disposta perquisizione personale. Quando vi è fondato motivo di ritenere che tali cose si trovino in un determinato luogo ovvero che in esso possa eseguirsi l'arresto dell'imputato o dell'evaso, è disposta perquisizione locale.
1-bis. Quando vi è fondato motivo di ritenere che dati, informazioni, programmi informatici o tracce comunque pertinenti al reato si trovino in un sistema informatico o telematico, ancorché protetto da misure di sicurezza, ne è disposta la perquisizione, adottando misure tecniche dirette ad assicurare la conservazione dei dati originali e ad impedirne l’alterazione.
2. La perquisizione è disposta con decreto motivato.
3. L'autorità giudiziaria può procedere personalmente ovvero disporre che l'atto sia compiuto da ufficiali di polizia giudiziaria (57) delegati con lo stesso decreto.

Art. 352 CPP Perquisizioni
1. Nella flagranza del reato (382) o nel caso di evasione (385 c.p.), gli ufficiali di polizia giudiziaria (57) procedono a perquisizione personale o locale (247 s.) quando hanno fondato motivo di ritenere che sulla persona si trovino occultate cose o tracce pertinenti al reato che possono essere cancellate o disperse ovvero che tali cose o tracce si trovino in un determinato luogo o che ivi si trovi la persona sottoposta alle indagini o i evaso.
1-bis. Nella flagranza del reato, ovvero nei casi di cui al comma 2 quando sussistono i presupposti e le altre condizioni ivi previsti, gli ufficiali di polizia giudiziaria, adottando misure tecniche dirette ad assicurare la conservazione dei dati originali e ad impedirne l’alterazione, procedono altresì alla perquisizione di sistemi informatici o telematici, ancorché protetti da misure di sicurezza, quando hanno fondato motivo di ritenere che in questi si trovino occultati dati, informazioni, programmi informatici o tracce comunque pertinenti al reato che possono essere cancellati o dispersi.
2. Quando si deve procedere alla esecuzione di un'ordinanza che dispone la custodia cautelare (284-286, 292) o di un ordine che dispone la carcerazione (656) nei confronti di persona imputata o condannata per uno dei delitti previsti dall'art. 380 ovvero al fermo di una persona indiziata di delitto (384), gli ufficiali di polizia giudiziaria (113 att.) possono altresì procedere a perquisizione personale o locale se ricorrono i presupposti indicati nel comma 1 e sussistono particolari motivi di urgenza che non consentono la emissione di un tempestivo decreto di perquisizione.
3. La perquisizione domiciliare può essere eseguita anche fuori dei limiti temporali dell'art. 251 quando il ritardo potrebbe pregiudicarne l'esito. 4. La polizia giudiziaria trasmette senza ritardo, e comunque non oltre le quarantotto ore, al pubblico ministero del luogo dove la perquisizione è stata eseguita il verbale delle operazioni compiute. Il pubblico ministero, se ne ricorrono i presupposti, nelle quarantotto ore successive, convalida la perquisizione.

Art. 354 CPP Accertamenti urgenti sui luoghi, sulle cose e sulle persone. Sequestro.

1. Gli ufficiali e gli agenti di polizia giudiziaria curano che le tracce e le cose pertinenti al reato siano conservate e che lo stato dei luoghi e delle cose non venga mutato prima dell'intervento del pubblico ministero.

2. Se vi è pericolo che le cose, le tracce e i luoghi indicati nel comma 1 si alterino o si disperdano o comunque si modifichino e il pubblico ministero non può intervenire tempestivamente, ovvero non ha ancora assunto la direzione delle indagini, gli ufficiali di polizia giudiziaria compiono i necessari accertamenti e rilievi sullo stato dei luoghi e delle cose. In relazione ai dati, alle informazioni e ai programmi informatici o ai sistemi informatici o telematici, gli ufficiali della polizia giudiziaria adottano, altresì, le misure tecniche o impartiscono le prescrizioni necessarie ad assicurarne la conservazione e ad impedirne l’alterazione e l’accesso e provvedono, ove possibile, alla loro immediata duplicazione su adeguati supporti, mediante una procedura che assicuri la conformità della copia all’originale e la sua immodificabilità. Se del caso, sequestrano il corpo del reato e le cose a questo pertinenti.

3. Se ricorrono i presupposti previsti dal comma 2, gli ufficiali di polizia giudiziaria compiono i necessari accertamenti e rilievi sulle persone diversi dalla ispezione personale. Se gli accertamenti comportano il prelievo di materiale biologico, si osservano le disposizioni del comma 2-bis dell'articolo 349.

Leggendo gli articoli del codice di procedura penale così modificati appare evidente che perquisizioni ed ispezioni riguardano non solo unicamente persone e luoghi, come si è sempre stati avvezzi, ma anche "ambienti" informatici e telematici, ossia informazioni digitali. In definitiva è come se fosse stato introdotto il concetto di scena del crimine virtuale e quindi di ispezione e perquisizione in ambito virtuali. Risulta quindi indispensabile trattare di quello che virtualmente si può trovare sulla scena del crimine ricordando che i reperti da individuare e prelevare saranno in questo caso solo immateriali ossia copie certificate di dati (la certificazione mediante strumenti matematici è l'unico modo di sigillare le informazioni-reperto anche se la legge si guarda bene dall'entrare nel dettaglio della tipologia di questi strumenti).

Ulteriore osservazione rilevante si deve fare sull'art. 354 CPP, che, invocando il concetto di urgenza e lasciando ovviamente l'attività alla PG, prescrive a tutti gli effetti una copia forense sul posto che determina un neo-originale del tutto virtuale (il reperto che contiene i dati, qualora l'urgenza sia vera, potrebbe perderli in data successiva alla copia sul posto e quindi l'unico originale rimarrebbe la copia). Si ravvederebbe, ma questa è solo una mia opinione, la determinazione di un concetto di sequestro virtuale (il reperto che si ottiene e che deve essere depositato non è il supporto della copia ma il dato copiato...).

Questo "sequestro virtuale", purtroppo, è intrinsecamente irripetibile (come qualsiasi sequestro!). Infatti, anche nell'ipotesi di effettuare la copia sul posto nelle migliori condizioni possibili e con i migliori tool e le migliori metodologie se l'urgenza è giustificata l'attività non potrà essere ripetuta. In tale senso qualcuno vede nella modifica al 354 CPP impostata dalla L. 48/2008 un modo per aggirare i vincoli di ripetibilità ed irripetibilità.

La Dr.ssa Piccinini ha cortesemente concesso di riportare, in questa pagina, una parte della sua tesi di laurea inerente l'argomento, che ritengo di interesse per le ulteriori riflessioni che ognuno potrà fare (vedere di seguito).


...ci sembra opportuno (ora) affrontare alcuni dei temi “caldi” dell’informatica forense lasciando la parola a chi quotidianamente si cimenta nelle indagini digitali. Parleremo quindi del ruolo della Computer Forensics nella formazione della prova, del peso che questa assume nel dibattimento, delle metodologie e delle problematiche tecniche e giuridiche che le acquisizioni di reperti informatici implicano, anche alla luce dei recenti sviluppi normativi introdotti dalla Legge 48 del 18 marzo 2008. In riferimento a quanto stabilito dall’art. 24 , c. 2 Cost. che definisce il diritto alla difesa come un diritto inviolabile “in ogni stato e grado del procedimento”, ovvero il diritto del singolo di opporsi nell'ambito di un giudizio -civile, penale, amministrativo- per la tutela dei propri diritti e interessi legittimi, oltre che per provare la sua estraneità a fatti costituenti reato di cui gli viene imputata la responsabilità, ed in riferimento agli artt. 359-360 e 392 c. 1 lettera f del c.p.p. e degli artt. 7, 8 e 9 della L. 48 del 18 Marzo 2008 Ratifica ed esecuzione della Convenzione del Consiglio d'Europa sulla criminalità informatica del 23 Novembre 2001 -cd. Convenzione di Budapest da parte dell'ordinamento italiano , sono stati posti quesiti specifici ad autorevoli rappresentanti delle categorie professionali coinvolte nelle attività tipiche dell’informatica forense che sono in grado di fornire risposte esaustive, o quantomeno di indicare una via risolutiva alle problematiche sollevate in questo elaborato. Andremo quindi ora ad ascoltare il parere del dottor Francesco Cajani, Pubblico Ministero componente del pool reati informatici della Procura di Milano, del dottor Donato Eugenio Caccavella, consulente tecnico di parte e perito per l’Autorità Giudiziaria nonché docente di Informatica Forense presso l’Università degli Studi di Bologna ed infine di Davide Gabrini, noto esperto di Computer Forensics di elevata professionalità ed appartenente al Compartimento della Polizia delle Comunicazioni di Milano.

 

Quesito n. 1
Le nuove tecnologie fanno ormai parte della nostra quotidianità: i personal computer sono in ogni casa, per non parlare delle console, dei notebook, dei lettori mp3 ecc...e chi di noi non possiede almeno un cellulare? Abbiamo visto come sempre più spesso questi strumenti sono balzati agli onori della cronaca come “oggetti” direttamente coinvolti nella commissione di un reato, basti pensare alle truffe on line, ai numeri 899 a tariffazione più che “speciale” per la telefonia mobile e non solo, per non parlare della pedopornografia in Rete; ed ancora, non ci siamo stupiti quando un pc connesso ad Internet è stato indicato come alibi ad esempio dagli imputati per i noti delitti di Perugia e di Garlasco, e come gli stessi computer siano stati oggetto di perizie tecniche da parte di accusa e difesa. In questo scenario, quanto spazio sta prendendo la Computer Forensics nelle aule dei tribunali? E quanta importanza viene data alle evidenze digitali in fase dibattimentale?

Risponde Francesco Cajani: «Effettivamente la sempre maggiore informatizzazione della nostra società e di molti aspetti della nostra vita ha, ovviamente, portato all’attenzione dei Giudici un sempre maggiore numero di ipotesi problematiche, tutte incentrate sul tema della ammissibilità della digital evidence raccolta durante la fase delle indagini preliminari.
Si parla spesso di prova informatica in senso generico e generale ma, in un sistema penal-processualistico come il nostro, occorre necessariamente distinguere la prova (intesa come risultato probatorio che si forma in dibattimento, nel contraddittorio delle parti, e sulla quale il Giudice fonderà la sua decisione) e l’elemento di prova (ricavabile dalle fonti di prova, raccolto dal Pubblico Ministero durante le indagini preliminari e portato dal medesimo, una volta orientatosi per l’esercizio dell’azione penale, all’attenzione del Giudice al fine di richiedere la condanna dell’imputato).
Fatta questa importante precisazione, alle evidenze digitali viene data una importanza fondamentale in dibattimento. E le contestazioni spesso si sono concentrate addirittura alla fase del tracing, precedente alla raccolta dell’elemento di prova informatico che -come solitamente immaginiamo – di regola risiede sul computer utilizzato dall’indagato: intendo riferirmi ad alcuni dibattimenti nei quali si è discusso sulla valenza probatoria dei files di log prodotti direttamente dalla persona offesa (su carta e/o su supporto informatico) o acquisiti direttamente da essa ad opera della Polizia Giudiziaria (sulla base dei quali la Polizia Giudiziaria era poi giunta alla identificazione –e successiva acquisizione – del computer interessato alla condotta illecita).
Nel caso sopra ricordato, il giudicante aveva ritenuto tali dati non attendibili, in quanto confluiti nel fascicolo del Pubblico Ministero senza controllo tecnico sulla modalità di conservazione, neppure operato dalla Polizia Giudiziaria (che si era limitata a richiedere informazioni, senza neppure acquisire alcunché) e per di più provenienti da un soggetto “interessato” quale la stessa persona offesa (gestore del sito, che li deteneva).
Ora, l’impostazione accolta nella richiamata sentenza appare da condividere pienamente laddove si evidenzia come “ci si limitò ad interpellare la ditta senza alcuna formale acquisizione di dati”: è fuori dubbio infatti che i dati relativi al traffico telematico debbano necessariamente entrare nel procedimento (nelle forme ritenute più opportune sempreché tali da garantire il diritto di difesa), per consentire al Pubblico Ministero prima e al Giudice poi tutte le necessarie valutazioni.
Senonché, in relazione alle verifiche “circa le modalità della conservazione degli stessi allo scopo di assicurarne la genuinità e l’attendibilità nel tempo”, proprio per le stesse ragioni di valutazione delle prove raccolte sarebbe stato opportuno sentire direttamente il gestore (e il personale tecnico che operava presso lo stesso). Il quale, in ogni caso, avrebbe (e a buon ragione) potuto facilmente argomentare sottolineando come l’attuale normativa – nell’indicare i relativi obblighi - non prevede alcuna modalità in punto di conservazione dei dati.
Ma il Giudice concludeva il suo iter motivazionale sottolineando, da un lato, come “questi dati provenivano dalla stessa persona offesa” e, dall’altro, che “trattasi di dati tecnici di particolare delicatezza e manipolabilità”: per la peculiarità del caso e la novità della materia, entrambi i punti avrebbero sicuramente meritato un maggior approfondimento, come ho già avuto modo di scrivere.
Sullo stesso piano si collocano le eccezioni difensive volte a sostenere l’impossibilità di acquisire al dibattimento le semplici stampate dei files di log, laddove non sorretta da un riscontro digitale volto a “certificarne” la genuinità.
E tuttavia l’acquisizione delle stesse - pur trattandosi di copie cartacee - può essere ammessa in generale, così come peraltro pacificamente riconosciuto – quanto all’ordinamento italiano - dalla stessa giurisprudenza della Cassazione secondo la quale “il nuovo sistema processuale, non avendo accolto il principio di tassatività della prova, consente al giudice – ex art. 189 c.p.p. – di assumere prove non disciplinate dalla legge purché ne verifichi l’ammissibilità e l’affidabilità. Pertanto il giudice può ben utilizzare come elemento di prova la copia, anziché l’originale, di un documento, quando essa sia idonea ad assicurare l’accertamento dei fatti”.
Tale indirizzo è stato già accolto, a solo titolo esemplificativo, dal Tribunale di Milano relativamente alla richiesta di acquisizione di un testo di una e-mail ricevuta e stampata da un testimone (con opposizione della difesa che chiedeva l’acquisizione del formato elettronico).
Nell’uno come nell’altro caso, il problema semmai è quello relativo non già all’ammissione ma alla valutazione dell’elemento di prova raccolto durante le indagini (e portato all’attenzione del Giudice nel dibattimento).
Anche se, secondo alcuni, tale prospettiva dovrebbe essere radicalmente mutata alla luce delle modifiche della L. 18 marzo 2008, n. 48 in tema di perquisizione e sequestri. Orbene, questa impostazione (che invece individua - nell’inosservanza delle misure tecniche di salvaguardia previste dalla ricordata legge - profili di invalidità della digital evidence assunta) non mi trova d’accordo e comunque, come dico sempre, quello che alla fine conta in dibattimento è la cd. “molteplicità degli elementi probatori”, alla luce del quale la digital evidence difficilmente costituirà la prova cd. regina ma invece dovrà essere comunque messa in relazione ad altri elementi probatori più tradizionali (documenti, testimonianze etc).»

Risponde Donato Eugenio Caccavella: «Sebbene la mia prima perizia tecnica di tipo informatico risalga al 1994, siamo di fronte ad una diffusione lenta, ma in crescita esponenziale, dell’impiego della Computer Forensics nei Tribunali, e non solo in sede penale. Gli ambiti sono i più disparati, dalle separazioni e diatribe tra coniugi alle liti condominiali, o per le minacce ricevute via e-mail. Ed ancora: la digital forensics ad ampio spettro può rientrare tranquillamente nel campo della bioingegneria e nella diagnostica sanitaria, dove potrebbe diventare necessario effettuare accertamenti tecnici forensi nei casi di falso ideologico, o nella malasanità, ad esempio per i referti delle immagini digitali acquisite sui pc. È evidente, quindi, che ci sia bisogno di professionalità e preparazione adeguata sia da parte della Polizia Giudiziaria che dei periti e dei consulenti tecnici di parte, perché un errore tecnico può degenerare in un errore giudiziario.»

Risponde Davide Gabrini: «Constatata la pervasività delle tecnologie digitali in ogni ambito del nostro agire, e considerando che la tendenza è in progressivo aumento e non accenna a rallentare, è inevitabile che l'importanza della Computer Forensics nelle aule giudiziarie segua lo stesso incremento. A pensarci bene, è sempre più improbabile che un evento delittuoso possa consumarsi senza che sia presente sulla scena del crimine un elemento tecnologico, sia esso obiettivo, strumento o semplice "testimone" del reato.
L'importanza quindi è grande, ma va sempre inquadrata nella giusta dimensione: se da un lato sarebbe un errore madornale trascurare o sottostimare le evidenze digitali, dall'altro occorre ricordare che sono solo un tassello in un'attività d'indagine che può avvalersi di tanti altri strumenti, anche più tradizionali.»

 

Quesito n. 2
Sono mai state sollevate questioni sugli strumenti utilizzati dagli operatori di PG, dai CTU o dai CTP per l'acquisizione e l'analisi dei dati di un determinato supporto informatico?

Risponde Francesco Cajani: «Ovviamente sì, e sempre più spesso. Oltre a quelle già indicate (e attinenti la fase precedente della acquisizione), penso – tra le tante – alla teorica possibilità di “collisione” degli hash e, per essa, della inattendibilità di tale strumento tecnico utilizzato al fine di verificare la genuinità di una copia di un dato informatico posta in essere a fini probatori. Ora, alla stessa stregua di importanti considerazioni tecniche, si impongono altrettanto importanti valutazioni giuridiche derivanti dalla natura stessa dei dati informatici che, a parere di molti, per essere facilmente alterabili renderebbero imprescindibile – anche nel processo, a mezzo di perizia –  una verifica tra originale e copia.
Sul punto, come ho già avuto modo di scrivere, pare condivisibile l’impostazione tecnica di chi ritiene che “la possibilità della modifica di una successione di bit andrebbe presuntivamente considerata come avvenuta, con la conseguenza che, qualora in un procedimento venisse prodotto in giudizio un dato informatico, lo stesso andrebbe presuntivamente considerato come modificato ad arte, dovendo la parte interessata alla sua acquisizione nel processo dimostrarne l'attendibilità. Tuttavia, la presunzione di ripudio non andrebbe intesa come una dichiarazione di inattendibilità del dato informatico, in quanto tale considerazione verrebbe facilmente contraddetta dall'esistenza della stessa firma digitale. Ugualmente, la presunzione di ripudio del dato informatico non deve far pensare che il dato informatico sia inutilmente entrato nel processo, bensì deve essere percepita nel senso che la parte che produca un dato informatico sia onerata dalla dimostrazione della genuinità e attendibilità del dato stesso”.
Occorre tuttavia sottolineare nuovamente – quale imprescindibile elemento di esperienza - la molteplicità degli elementi probatori che, anche in processi aventi ad oggetto computer crimes, sempre più spesso non si esauriscono nel mero dato informatico.
Ove poi quest’ultimo sia (anche l’unico) elemento sul quale il Giudice dovrà basare la sua decisione, si ritiene che l’onere probatorio in capo all’organo dell’accusa potrà considerarsi correttamente assolto nel momento in cui venga indicato, per l’istruttoria dibattimentale:

1) da chi sia stato individuato il dato informatico;
2) come tale dato si presentava al momento della sua individuazione ad opera della parte (ufficiale di polizia giudiziaria, persona offesa, terzi non aventi alcun minimo interesse ai fatti di cui al processo);
3) con quale modalità e dopo quanto tempo tale persona lo abbia acquisito;
4) in che modo siano state successivamente conservate le sue caratteristiche oggettive di qualità, sicurezza, integrità, così come presenti al momento della individuazione/acquisizione.

Spetterà a quel punto alla difesa dimostrare il contrario, non in termini generali ed astratti (limitandosi per esempio a rappresentare al Giudice, come spesso avviene, l’esistenza di migliori pratiche di acquisizione del dato informatico) ma semmai indicando gli elementi, anche acquisiti a seguito di indagini difensive, che dimostrino come nel caso concreto il processo di individuazione/acquisizione/conservazione del dato informatico, così come rappresentato in dibattimento dall’accusa, abbia invece portato ad una alterazione dello stesso, tale da inficiarne un giudizio di attendibilità probatoria.»

Risponde Donato Eugenio Caccavella: «Gli strumenti e le procedure utilizzate in un’analisi forense rappresentano il punto debole del consulente tecnico, poiché la fase di acquisizione è talmente delicata che pone serie problematiche ed inficia la credibilità del consulente stesso. Il reperto potrebbe risultare alterato per via di un’acquisizione maldestra e quindi causare l’inutilizzabilità del reperto, rischio che aumenta se abbiamo a che fare con accertamenti tecnici sulla telefonia mobile. Per quel che mi riguarda preferisco utilizzare contemporaneamente sia dispositivi hardware di blocco della scrittura, i write blocker, sia metodologie software per garantire l’inalterazione del reperto o comunque minimizzare il fattore di rischio. I giudici in questo senso sono pragmatici, restando giustamente attenti alle sole alterazioni probatorie che abbiano ripercussioni sulla ricostruzione dei fatti: conseguentemente, bisogna conoscere e sapere dimostrare quanto l’eventuale modifica può aver peso sulla bontà della prova, mentre spesso si eccepisce su questi temi lamentando una mera limitazione al diritto di difesa. A volte però l’errore è insito nei quesiti posti in modo non idoneo dai giudici stessi per mancanza di preparazione adeguata in materia di computer forensics.»

Risponde Davide Gabrini: «Certamente, e guai se non fosse così! Sollevare questioni rientra nel normale contraddittorio tra accusa e difesa, e un attento vaglio degli strumenti e delle procedure impiegati non che può che portare ad un progressivo miglioramento degli stessi.»

 

Quesito n. 3
E' nota ormai la possibilità di utilizzare software open source anche in ambito forense. Quanta rilevanza ha nel procedimento il tipo di software utilizzato per il repertamento delle fonti di prova digitali?

Risponde Francesco Cajani: «Come ben saprà, accade che qualche difensore lamenti l’utilizzo di software di analisi “proprietario” quale Encase. Ora, a parte il fatto che mi risulta che tale software sia il più utilizzato dalla Polizia Giudiziaria anche a livello mondiale, capirà bene come, alla luce di quanto appena da me affermato, non è tanto lo strumento utilizzato che conta quanto la possibilità – in primis durante le indagini (potendo la stessa difesa richiedere la copia digitale acquisita per le analisi della PG od eventualmente richiedere di effettuare un incidente probatorio sull’HD in sequestro) e successivamente nel dibattimento, di ripetere l’analisi forense (ove vi sia necessità di verificarne nuovamente i risultati).
E’ questo il tema della perizia informatica (ed, in particolare, degli ambiti/limiti di essa), affrontato in Italia nel famoso caso Vierika. Anche se, dalla lettura della relativa sentenza di primo grado, si deve opportunamente evidenziare come fosse stata la stessa difesa (che aveva sollevato il problema del rispetto delle migliori pratiche di acquisizione del dato informatico, ed in particolare, “sia nel corso dell’istruttoria, che nell’arringa finale … reiteratamente posto in discussione la correttezza sia del metodo utilizzato dalla p.g. per estrarre i programmi dal computer” dell’imputato “che di quello applicato dalla p.g. e dalle società Infostrada s.p.a. e Tiscali s.p.a. per individuare gli amministratori degli spazi web (uno dei quali contenenti il secondo script del programma Vierika)”) ad aver prestato precedentemente il consenso alla introduzione di parte del materiale probatorio (tra il quale, tuttavia, proprio gli stessi accertamenti tecnici sul computer) proveniente dall’accusa.
Capirà bene allora come, dal mio punto di vista, molte delle eccezioni difensive sul tema mi paiono – onestamente – di difficile comprensione logica (prima che giuridica).»

Risponde Donato Eugenio Caccavella: «I software open-source rappresentano un ottimo strumento a basso costo, ed in ambito forense forniscono una grande opportunità perché permettono di trattare il reperto informatico con trasparenza operativa e garanzia, ed offrendo la possibilità di consultare il codice sorgente e conseguentemente di documentare i metodi e le tecniche utilizzate nella acquisizione dei reperti digitali. L’open-source, per le case produttrici di software commerciali per uso forense rappresenta anche un forte stimolo a migliorarsi per “competere” con questi tool che sono tendenzialmente gratuiti. Tuttavia non è sempre possibile utilizzare programmi open-source per tutte le problematiche. L’ideale sarebbe adoperare un sistema ibrido e servirsi di applicativi proprietari, come Encase o FTK, e software open source come Helix, ma non solo, in tutti quei casi dove si rende necessario documentare la propria attività per l’assenza della parte interessata o per risolvere problematiche ben precise: a titolo di esempio, i “live cd” Linux sono l'unica alternativa per determinate acquisizioni. Spesso i forenser utilizzano software open-source per porsi al di sopra di ogni dubbio, utilizzandoli per l’acquisizione, mentre effettuano l’analisi dei dati con strumenti diversi per poi compararne i risultati. È bene quindi effettuare l’acquisizione dei dati, che rappresenta la fase più delicata ed esposta al rischio di alterazione del reperto, con software open-source, mentre le analisi dei reperti con comprovati software commerciali come Encase.»

Risponde Davide Gabrini: «Nella reale esperienza dibattimentale, fino ad oggi, piuttosto scarsa. In rare occasioni sono state ovviamente avanzate obiezioni circa l'imperscrutabilità di strumenti proprietari, ma tali obiezioni difficilmente trovano un sostegno tecnico solido e attendibile alle argomentazioni formali.
Tuttavia la possibilità di ispezionare i sorgenti dei programmi e, più in generale, di impiegare strumenti "trasparenti" e ben documentabili costituisce una non trascurabile garanzia per tutte le parti coinvolte.
Inoltre, dal punto di vista del tecnico, il software libero offre anche altri indiscutibili vantaggi: anzitutto il software è disponibile e facilmente accessibile, senza particolari limitazioni d'uso relative alla licenza. E' quindi anche modificabile, per essere adattato a specifiche esigenze, che magari sono così particolari da non essere contemplate dalle offerte commerciali. Inoltre gli strumenti assicurano un'elevata interoperabilità, dovuta all'adozione di standard aperti. Infine, tutti questi vantaggi possono essere ottenuti il più delle volte con un investimento economico contenuto, se non addirittura azzerato.

 

Quesito n. 4
Qual è la sua opinione nei confronti della necessità operativa di acquisire anche quei dati volatili da un determinato supporto informatico, tramite specifici strumenti e tecniche idonei ad effettuare la cosiddetta “Live Data Forensics”, al fine di evitare la dispersione definitiva di dati che potrebbero andare irrimediabilmente persi con lo spegnimento di un computer e risultare fondamentali ai fini dell'accertamento di un reato? Come è già stato dimostrato grazie a questo tipo di analisi è tecnicamente possibile recuperare, oltre a informazioni quali i processi e programmi in esecuzione sul sistema ed i file aperti al momento dell'acquisizione, anche credenziali di accesso -password e chiavi di cifratura incluse- consentendo agli operatori di abbattere drasticamente i tempi per scoprire determinate password e accelerando vertiginosamente le indagini. Tuttavia, data la natura intrinseca dei sistemi informatici, per ottenere queste preziose informazioni è necessario eseguire un nuovo programma sul computer: ora, considerando che la memoria di un computer acceso e, perché no, magari collegato alla Rete, viene sempre e comunque alterata dalle normali operazioni di un sistema operativo o dai suoi programmi in esecuzione (ad es.: si pensi soltanto ad un comune antivirus attivo, al servizio di aggiornamenti automatici di Microsoft Windows o ad uno screen saver) e che, data la natura dell'operazione, l'atto di eseguire un piccolo programma che copi l'intero contenuto della ram di un pc ad esempio su un disco esterno, comporta inevitabilmente una - seppur ridotta - alterazione del contenuto stesso della memoria del calcolatore, in che modo potrebbero essere ammissibili nel procedimento le fonti di prova così acquisite? Come dovrebbero “lavorare” gli operatori di PG in questo senso? Esistono dei margini di miglioramento normativi? E se si, come dovrebbe pronunciarsi il Legislatore?

Risponde Francesco Cajani: «Effettivamente la cd. “on-site forensics” va molto di moda. Io raccomando sempre prudenza ed, oggi, è il Legislatore stesso che – con la ricordata legge 48/2008 – prevede l’adozione di “misure tecniche dirette ad assicurare la conservazione dei dati originali e ad impedirne l’alterazione”.
Quindi, se il computer da acquisire è ben identificabile (anche senza procedere ad ispezione informatica) ed è spento, raccomando il sequestro (che chiaramente dovrà essere ben motivato sul punto nel provvedimento del Pubblico Ministero) e demando l’analisi ad una fase successiva.
L’ispezione informatica (volta alla ricerca di dati presenti su computer) da effettuarsi on site si impone, di regola:

  • laddove il computer da acquisire non sia ben identificabile;
  • quando interessino solamente dati intesi come informazioni utili per l’immediato proseguo delle indagini, senza che sia necessaria l’apprensione fisica dell’intera macchina che li contiene;
  • quando, anche laddove ci interessi l’apprensione fisica dell’intera macchina tramite sequestro, essa sia di difficile realizzazione: penso all’ipotesi di scuola di ricercare dati - utili agli investigatori – sui grandi server di società.

In tale contesto si pone il problema da lei accennato della “live data forensics”, laddove appunto le macchine da ispezionare vengano trovate accese. E’ chiaro che l’intervento dell’operatore di PG (la cui specializzazione tecnica qui si impone) dovrà essere ben documentato (e non solo a livello informatico – penso all’hash apposto ai dati estratti – ma anche a livello di operatività più generale, mediante l’utilizzo di riprese audio-visive) e ridotto al minimo necessario alle indagini.
Ove si tratti di computer dell’indagato, la presenza di quest’ultimo (e quella del difensore) sul luogo dell’accertamento rende maggiore – anche dal punto di vista giuridico – il grado di resistenza di tali accertamenti in dibattimento.»

Risponde Donato Eugenio Caccavella: «Nella mia veste di consulente tecnico informatico posso affermare che tutti i dati acquisibili possono essere utili alle attività d’indagine e ai fini dell’attività probatoria. Nel caso dei dati volatili però, credo che difficilmente ci si possa trovare nella situazione in cui si possa fare l’acquisizione di questi dati in contraddittorio, e quindi fornendo garanzia alle parti di poter intervenire sull’attività. A questo punto sarebbe opportuno definire le modalità per acquisire questi dati, che potrebbero essere contenuti nella RAM quanto risultare nel traffico di rete: dal punto di vista squisitamente metodologico, andrebbe massimizzata la documentazione di queste attività così come, in generale, la trasparenza delle procedure. E di conseguenza sarebbe auspicabile utilizzare tecnologie open source, o quantomeno strumenti che forniscano adeguate garanzie. Dovrebbero essere garantiti non solo gli strumenti ma anche le metodologie di acquisizione dei reperti informatici, e fare in modo che l’acquisizione sia completa e che non inquini il dato. Sicuramente potrebbe essere di aiuto stabilire preliminarmente quali siano queste prassi, caso per caso, senza tuttavia credere che, una volta stabilite, sia sufficiente rispettarle perché i dati acquisiti siano corretti ed attendibili. L’acquisizione di un dato volatile riveste la sua importanza nel contesto investigativo, ma perché sia attendibile nel dibattimento, il reperto costituito da dati volatili dovrebbe essere accompagnato da un‘attenta attività di documentazione, volta a descrivere come siano stati acquisiti questi reperti e con quali strumenti. In alcuni ambiti, inoltre, sarebbe opportuno fare delle riprese video delle attività di acquisizione, apponendo alle stesse un marker temporale per fornire le dovute garanzie delle sincronia tra il repertamento e la registrazione video. Ad ogni modo, l’acquisizione della RAM va fatta secondo le migliori prassi del momento, ma rimane una tipologia di reperto molto esposta alla critica della controparte, così come per la network forensics, che si espone alla critica di fornire dati “artefatti” nel tener traccia del traffico interno ad una rete.
Il problema è che tutto ciò che si può fare non dà garanzie totali, perché la controparte non ha modo di ripetere le attività di acquisizione e di apprezzare cosa è stato alterato e cosa no: per questo ribadisco che bisogna massimizzare la documentazione e minimizzare l’alterazione del reperto. Le acquisizioni on site forniscono dati esposti al pregiudizio di non essere attendibili, dai quali però si può partire per trovare elementi di attendibilità: per questo la live data forensics è una delle problematiche emergenti dell’informatica forense. Ci troveremo sempre di più in contesti in cui non ci saranno “semplicemente” dei dischi rigidi da acquisire, ma si verificheranno situazioni in cui i dati saranno volatili, siano essi contenuti nella RAM quanto nei pacchetti veicolati dalla Rete.
Questo tipo di analisi forense sottintende il dover sacrificare qualcosa, come il medico legale che per poter determinare le cause della morte di un soggetto, deve poter incidere il cadavere per svolgere l’esame autoptico. Tuttavia nella live forensics l’invasività di alcune procedure di acquisizione può essere minimizzata, ad esempio facendo in modo che i programmi utilizzati per il dump della RAM vengano montati in settori di memoria non allocati. Nondimeno, la controparte potrebbe lamentare delle limitazioni alla propria attività difensiva, asserendo che l’impiego dello strumento utilizzato per il dump della RAM ha rimosso proprio quei settori della memoria che contenevano le fonti di prova utili a determinare l’innocenza del proprio assistito. La questione è dunque molto delicata in questi casi, a differenza della network forensics dove l’acquisizione contestuale dei dati non turba il sistema, dato che ci si “mette in ascolto” registrando il traffico dati.
Per quel che riguarda le normative di riferimento, invece, pur non essendo un giurista posso affermare che ci sono dei margini di miglioramento, ma il problema è che la normativa non può indicare esattamente come certe attività debbano esser svolte, perché altrimenti sarebbe una normativa in continua evoluzione, e questo non è sostenibile: probabilmente sarebbe auspicabile fornire maggiore chiarezza sul valore probatorio dei dati acquisiti in modalità live. Il Legislatore potrebbe specificare come questo tipo di reperti, ed in generale tutti i reperti esposti ad alterazione, entri a far parte del procedimento penale e civile: una maggiore chiarezza sarebbe opportuna anche perché gli stessi giuristi a volte non sono molto preparati in materia. Problematiche analoghe esistono ad esempio per i gas e per tutti gli eventi fisici esposti ad alterazione e che hanno la necessità di essere individuati e misurati in tempi rapidissimi, e quindi senza la possibilità di convocare le parti. Francamente, per la mia esperienza posso affermare che apprezzerei maggiore chiarezza, visto che il dato acquisito in modalità live senza la controparte espone il reperto a fortissime critiche di attendibilità.
In conclusione direi che un vero e proprio vuoto normativo non c’è, sebbene sarebbe necessaria appunto maggiore chiarezza e flessibilità: ad esempio chiamando in causa - ove opportuno - la “prova di resistenza”, ovvero effettuando delle verifiche sull’attendibilità della prova quando questa entra in dibattimento per convincere il giudice della genuinità della stessa.»

Risponde Davide Gabrini: «Non si può trascurare l'importanza di acquisire le memorie volatili quando si opera un intervento su sistemi in esercizio. Ci sono infatti informazioni che sarebbe difficile o del tutto impossibile ricostruire post-mortem, come lo stato di processi e servizi in esecuzione, lo stato della rete, delle connessioni stabilite e dei socket in ascolto, e più in generale ogni informazione che non sia stata memorizzata anche su un sopporto meno volatile, come l'hard-disk.
Intervenire su un sistema live significa però inevitabilmente perturbarlo, e svolgere quindi un accertamento che non potrà in nessun caso considerarsi ripetibile. Le procedure e gli strumenti devono comunque essere il meno invasivi possibile: limitare l'inquinamento del reperto consentirà di acquisire più informazioni genuine. Le inevitabili alterazioni prodotte, infine, devono essere note e documentabili.
In questo contesto non va comunque dimenticato uno dei principi fondamentali delle indagini digitali: quando è possibile scegliere tra acquisizione e analisi, prima si acquisisce e poi si analizza, non il contrario. Anche perché, solitamente, le procedure di acquisizione impattano sul sistema in misura minore rispetto ad operazioni di analisi.»

 

Quesito n. 5
Si sente sempre più spesso parlare di “Live Data Forensics” come il futuro della Digital Forensics ad ampio spettro, proprio per i vantaggi in termini di quantità e qualità delle evidenze acquisibili e di velocizzazione delle procedure, qual è la sua opinione in merito?

Risponde Francesco Cajani: «Rendo ancora più chiaro il mio pensiero: un conto è la (assoluta) necessità investigativa di procedere ad una live data forensics, che - per definizione - sarà fatta on site. Altro conto è il discorso della velocizzazione delle procedure: se posso correttamente (ovvero in fatto, perché ritengo di averlo identificato, ed in diritto, perché ne sussiste la necessità probatoria) porre sotto sequestro un computer ed acquisirne successivamente i dati presenti nel laboratorio della PG, preferisco un giorno in più e una contestazione tecnica in meno. Credo che questa impostazione, peraltro, consenta anche meglio l’esercizio delle indagini difensive.»

Risponde Donato Eugenio Caccavella: «Per quel che riguarda la bontà della prova non sono d’accordo, perché non si riesce a dare garanzia totale dell’integrità e dell’interezza del reperto poiché comunque si tratta di un reperto alterato. Sicuramente però la live forensics ha un elevato valore investigativo, poiché permette di avere informazioni su cosa sta accadendo su una determinata macchina in quel preciso momento. È come il poter fare una corretta diagnosi di un paziente o scoprire come è morto solo successivamente con l’autopsia: c’è una bella differenza. La live data forensics è sicuramente uno degli obiettivi e degli argomenti più affascinanti e tecnologicamente interessanti che coinvolgerà la comunità forense nei prossimi anni, ma credo che l’interesse degli investigatori e di chi fa indagine dovrebbe essere rivolto anche altrove.»

Risponde Davide Gabrini: «Svolgere analisi sul posto, ad esempio nell'ambito di una perquisizione, è spesso proibitivo e rischioso: sicuramente l'ambiente e le strumentazioni disponibili non sono altrettanto idonee rispetto a quelle di un laboratorio attrezzato; inoltre la situazione di contingenza permetterebbe di avere solo riscontri in positivo, ma non in negativo: con tempi e strumenti limitati si potrà cioè affermare, nella migliore delle ipotesi, che una certa evidenza è presente, ma se questa non venisse rilevata nell'immediato non si potrà affermare con altrettanta certezza la sua assenza.
La "live forensics" quindi è sicuramente un branca importante della disciplina, destinata a conquistare ancora ulteriore rilievo, ma spesso insufficiente a dare risposte definitive. Non può insomma, in generale, sostituirsi all'analisi post-mortem, ma ne è un'importantissima e sempre più spesso indispensabile attività complementare.»

 

Quesito n. 6
Ed infine, ritiene sia importante e possibile uniformare le procedure operative della Digital Forensics secondo standard qualitativi internazionali?

Risponde Francesco Cajani: «Se la genuinità dell’elemento di prova acquisito è ovvia garanzia di legalità in relazione a qualsiasi fatto da provare, con riferimento alle fasi della individuazione/acquisizione/analisi/conservazione dell’elemento di prova informatico (qualsiasi esso sia e quindi anche non acquisito on site mediante una live data forensics) occorre una serie di cautele tecniche volte ad impedire che lo stesso possa essere alterato o addirittura distrutto durante la sua stessa acquisizione.
La previsione di protocolli operativi sul punto è indice proprio di quelle difficoltà tecniche già precedentemente evidenziate, anche se il complesso di tali indicazioni costituirà – per l’operatore – un semplice riferimento teorico generale, dovendo di volta in volta adeguare la sua azione alla singola situazione concreta che si troverà ad affrontare (pur sempre nel rispetto della finalità sopra ricordata, volta ad impedire che il dato elettronico possa essere pregiudicato durante la sua stessa acquisizione).
Tale percorso di uniformazione è inevitabile … ma necessariamente lento, in quanto preceduto da un ampio dibattito tra tutti gli operatori del settore (magistrati, avvocati, forze di Polizia Giudiziaria, professori universitari), come si sta tentando di fare – almeno a Milano presso l’Università Statale – tramite l’esperienza del L.E.F.T. (Legal Electronic Forensics Team, volta alla redazione di linee guida d’indagine informatica comuni a tutte le forze di polizia italiane).»

Risponde Donato Eugenio Caccavella: «Indubbiamente è importante, ma non è necessario standardizzare le modalità operative a basso livello. È vero che la metodologia è fondamentale, ma puntualmente ogni caso presenta le sue problematiche e quindi una metodologia nel dettaglio non permetterebbe di adottare la migliore prassi per quel caso specifico. Quindi sul piano metodologico dovrebbero essere fornite indicazioni con un sufficiente livello di astrazione, lasciando un certo margine di libertà a chi poi esegue l’accertamento ed il trattamento del reperto informatico. Questo perché anche l‘atto più comune, come l’acquisizione di un disco rigido, può risultare differente sotto vari aspetti da caso a caso. Quindi precisare le modalità di acquisizione di  un hard disk passo per passo potrebbe risultare troppo vincolante per chi esegue l’accertamento tecnico.
È utile definire delle linee guida generali, in quanto permettono di mettere in evidenza gli aspetti critici dell’attività e gli step concettuali da applicare, ma non bisogna cadere nell’errore di scendere troppo nel dettaglio perché altrimenti si tratterrebbe di linee guida non del tutto applicabili. Quando ad esempio, nella veste di consulente di parte, mi capita di dover criticare un collega, mi riferisco agli aspetti metodologici, ponendo quesiti sull’utilizzo del Write Blocker durante l’acquisizione o sulla possibile alterazione del reperto.
Ci sono dunque delle linee “ispiratrici” alle quali il tecnico dovrebbe attenersi, ma queste devono essere implementate ed ottimizzate per il caso specifico dal tecnico stesso. Infatti, le linee guida esistenti non sono molto articolate, ma indicano principi generali ed omogenei da rispettare.
In Europa vi è il progetto di tracciare delle linee guida comuni ed avviare una comunicazione efficace tra i vari organi di polizia per concordare i metodi, coordinare le operazioni, condividere gli strumenti ed uniformare il “linguaggio”, per capire cosa chiedere alle altre polizie e cosa queste si aspettano da noi quando richiedono la nostra collaborazione. Il vero problema adesso è che non c’è una dimensione nazionale dei reati, ma questi avvengono almeno in scala europea se non oltre.
La metodologia, quindi, è importante in linea di massima, ma bisogna capire come vanno affrontati singolarmente i casi con le loro particolarità.»

Risponde Davide Gabrini: «E' importante poter disporre di opportune linee guida che forniscano un'indicazione su come operare nei contesti prevedibili. Essere metodici e implementare automatismi però è un'arma a doppio taglio: se da un lato consente di uniformare il lavoro e prevenire trascuratezza, dall'altro l'esecuzione pedissequa di un protocollo codificato presta troppo facilmente il fianco all'elaborazione di semplici (ma devastanti) strategie di anti-forensics.
E' inoltre impensabile il poter prevedere e codificare nero su bianco tutte le casistiche che potrebbero presentarsi all'operatore: la realtà sovente supera di gran lunga la fantasia. Il fatto che non si possa prevedere ogni situazione però, non impedisce di compilare una serie di istruzioni ragionate che costituisca una valida direttiva per le situazioni più frequenti. L'importante è considerare tali direttive, di volta in volta, con l'elasticità necessaria per adattarle al contesto reale. Preziosi consigli, insomma, ma non necessariamente verità di fede.»

 

Quanto affermato dai nostri stimati interlocutori ribadisce che la Digital Forensics fa ormai parte della quotidianità delle indagini, e che ovunque l’oggetto del contendere sia in forma di bit, trova posto l’informatica forense. Abbiamo appurato inoltre che la Live Data Forensics andrebbe evitata finché possibile, ma nei casi in cui si questa si renda indispensabile è opportuno fare quanto necessario affinché le attività del repertamento siano trasparenti, ricorrendo anche a riprese video delle operazioni di acquisizione delle fonti di prova. Ma proprio perché stiamo parlando di fonti di prova che divengono prova solo nel contraddittorio, queste dovrebbero essere successivamente confermate da altri reperti e dalle analisi che verranno fatte in seguito, quindi le parti non dovrebbero basare tutto il dibattimento solo sui dati acquisiti eventualmente in modalità non ripetibile, ma utilizzare gli stessi per trovare elementi di riscontro che li convalidino. In tal senso è auspicabile diffondere la cultura del “chiedere aiuto a chi ne sa più di noi”, ed attendere le indicazioni e l’assistenza di personale specializzato in tutti i casi dove le nostre conoscenze e le competenze professionali non risultino sufficienti.
Concordiamo inoltre con quanto affermato, durante l’incontro del 17 dicembre 2008, dal dottor Pietro Saviotti, sostituto Procuratore della Repubblica presso il Tribunale di Roma:«nelle indagini il problema di fornire le dovute garanzie durante l’acquisizione delle fonti di prova è una peculiarità generale per tutti i settori dove il codice prevede attività di Polizia Giudiziaria non ripetibili, e dove appunto l’acquisizione deve essere il più genuina possibile. Ci sono delle attività da svolgere nell’immediatezza del fatto che non sempre consentono la tempestiva instaurazione del contraddittorio e, ciò non di meno, non sopportano differimento, a pena di pregiudicare irrimediabilmente l’ulteriore corso delle indagini; si pensi ai  rilievi tecnici su un incidente stradale che non consentono di attuare un contraddittorio contestuale all’accaduto. Sul piano operativo bisogna acquisire un atteggiamento pragmatico – tutto si può fare al meglio…ma al “meglio” possibile- ed agire in base ai benefici che se ne possono trarre e ai costi economici ma anche in tema di compressione di garanzie e di efficienza: è velleitario pensare di attuare garanzie assolute in ogni versante e in ogni profilo dell’accertamento dei reati, velleitario e inutile. I due termini estremi della questione sono da un lato la non rinviabilità di alcune azioni accertative, dall’altro la paralisi del controllo difensivo in assenza di adeguato contraddittorio. Tra i due estremi, l’area di compromesso deve tener conto che non ogni modificazione è concretamente rilevante e non ogni azione accertativi è insuscettibile del breve differimento necessario ad assicurare la presenza del difensore. Ove il compromesso è impraticabile, alle garanzie della difesa e al processo di formazione del convincimento del giudice può soccorrere il controllo esercitatile ex post mediante un’adeguata documentazione dell’attività accertativa, tale da poter verificare l’effettiva incidenza di essa sui risultati conseguiti».
Bisogna quindi valutare il rapporto costi-benefici e nei casi di criminalità informatica applicare le idonee metodologie investigative per massimizzare i risultati e minimizzare i costi, anche relativamente al tempo impiegato per gli accertamenti tecnici, continua ancora il dottor Saviotti: «ormai ogni utente ha una disponibilità media di archiviazione dati pari a 160 GB, per non parlare dei diversi supporti di memoria movibili. Gli uffici di Polizia Giudiziaria in grado di effettuare analisi forense di tipo informatico sono saturi e già la sola copia forense dei supporti comporta tempi lunghissimi per fare tutto al meglio».
Sappiamo anche che esistono strumenti di indagine irrinunciabili come l’accedere ai tabulati telefonici e telematici.«Ma gli addetti delle compagnie telefoniche e dei provider Internet, come estraggono questi dati dai propri server? Con quali metodi? L’atto è ripetibile? Non dimentichiamo che chi lo fa è solo un incaricato di pubblico servizio. La legge è uguale per tutti ma non tutto è uguale per la legge: è necessario trovare mediazioni ragionevoli tra i principi astratti e l’atto pratico».
Ormai tutti i sistemi sono in Rete e quindi anche gli eventuali reati travalicano i confini nazionali, e per questo risulta determinante saper operare correttamente anche nei confronti degli altri organi di polizia. Tuttavia assistiamo ad un ritardo, non solo italiano ma anche europeo, nell’interessarsi a questo settore della scienza forense, basti pensare che il sottogruppo europeo per i reati informatici dell’ENFSI è stato creato solo recentemente e che fino a pochi anni fa parlando di scienze forensi ci si riferiva solo alle “regine” della disciplina come la medicina legale, la balistica, la tossicologia…mentre poi si è visto che c’è necessità sia di professionalità che di formazione anche nella Digital Forensics, e quindi di guide, di standard, di strumenti e di continuare la ricerca a livello internazionale, nonché di divulgare e condividere le conoscenze nella comunità forense. Illuminante in tal senso è ancora una volta il parere del dottor Saviotti:«le prime indagini informatiche in Italia risalgono al 1994, e la Legge 48 del 2008 ha sicuramente fornito maggior chiarezza sulle misure tecniche da adottare, ma possiamo fare di più. È auspicabile differenziare i casi di intervento e le modalità operative a seconda del caso e delle diverse esigenze, creare una casistica dell’attività probatoria per creare protocolli di intervento per i rilievi di p.g., per le perquisizioni e  per le ispezioni - anche fotografando la situazione come fonte di prova- quindi poi per il repertamento e l’analisi delle evidenze. Bisogna riflettere anche sull’invasività delle analisi forensi nella vita dei soggetti coinvolti, in termini di costi non solo economici. Porsi domande, se e quali macchine sequestrare, ovvero se asportare il supporto o copiare i contenuti di interesse, se i contenuti non debbono restare nella disponibilità dell’indagato o se è sufficiente documentarne l’esistenza, se vi è motivo di frugare le memorie per individuare eventuali files cancellati; i casi concreti presentano aspetti ed esigenze multiformi; certo sequestrare tutto e poi estrarre copie con software con codice sorgente aperto è il massimo, ma con quali costi, per il soggetto che verrà privato dei suoi strumenti - almeno per il tempo necessario alla formazione delle copie-clone-, per l'amministrazione che dovrà sopportare le spese costi di materiale e personale, per gli stessi tempi del procedimento penale? È auspicabile promuovere una “cultura dei protocolli investigativi informatici”, sapere chi chiamare e quando, diffondere una cultura investigativa idonea in modo capillare tra gli operatori di Polizia Giudiziaria». Quindi una formazione adeguata non rivolta solamente agli uffici informatici, ma anche ad esempio al personale delle volanti e della scientifica che solitamente giunge per primo sulla “scena”, finanche al personale decentrato dei commissariati di Polizia e delle stazioni dei Carabinieri. Non può trascurarsi in tal senso anche «il problema della traduzione e dell’assimilazione della manualistica tecnica, e di tentare di “italianizzare” i termini per permettere a tutto il personale di comprendere le prerogative della computer forensics nonché le modalità operative da attuare per preservare la prova secondo quanto stabilito dalle recenti evoluzioni delle norme e delle tecniche»