how not to - il "caso garlasco" come "worst practice"

A v v . G i o v a n n i B a t t i s t a G a l l u s – g . g a l l u s @ s t u d i o g a l l u s . i t A v v . F r a n c e s c o P a o l o M i c o z z i – f r a n c e s c o @ m i c o z z i . i t

S l i d e n . 1

DIGITAL FORENSICS CONFERENCEDIGITAL FORENSICS CONFERENCE

Con il patrocinio di

GOVForensics di Luca Governatori http://www.govforensics.it

ROMA - Sheraton Roma Hotel & Conference Center

sabato 1 ottobre 2011

Avv. Giovanni Battista Gallus, LL.M.

[email protected]

Avv. Francesco Paolo Micozzi

[email protected]

mailto:[email protected]




S l i d e n . 2

CHI SONO

giobatta@gnulaptop $ whoami

$ Mi diletto di computer da oltre 25 anni

$ Ho conseguito il Master of Laws in IT law presso la University of London

$ Esercito la professione di avvocato da oltre 10 anni e sono abilitato al patrocinio nanti le Magistrature superiori

$ Ho scoperto GNU/Linux nel 1999

$ Membro del Circolo dei Giuristi Telematici

$ Membro del GULCh (Gruppo Utenti Linx Cagliari)

$ Autore di svariati articoli e pubblicazioni in ambito IT law



S l i d e n . 3

il Circolo dei Giuristi Telematici

L'associazione "Circolo dei Giuristi Telematici" è la più "antica" del web giuridico. La storica mailing list conta oggi oltre 200 iscritti tra avvocati, magistrati, giuristi d'impresa, universitari e tecnici specializzati.

Il Circolo si è fatto promotore di svariati convegni e seminari giuridici, oltre che di alcune pubblicazioni cartacee.

Le modalità di iscrizione alla mailing list ed all'associazione, lo statuto sociale e il regolamento della mailing list sono consultabili liberamente sul sito. Per ulteriori informazioni: [email protected]. http://www.giuristitelematici.it



S l i d e n . 4

HOW-NOT-TO:

IL “CASO GARLASCO” COME WORST PRACTICE



S l i d e n . 5

Tribunale di Vigevano, sent. 17/12/09 – 16/3/2010



S l i d e n . 6

La computer forensics “invade” la cronaca

● Il “caso” Stasi– Personal computer consegnato spontaneamente

dall'indagato– Prima che venisse effettuata la copia forense, “i

carabinieri accedevano ripetutamente e scorrettamente (senza l’utilizzo, cioè delle necessarie tecniche forensi di indagine) alla quasi totalità del contenuto del computer”



S l i d e n . 7


● Il “caso” Stasi– non corretta indicazione dell’avvenuta

installazione ed utilizzo di diverse periferiche USB (oltre a quella correttamente indicata);

– non corretta indicazione dell’avvenuto accesso al disco esterno in uso ad Alberto Stasi;

– non corretta indicazione di accessi multipli al file della tesi di laurea in vari percorsi di memorizzazione dello stesso



S l i d e n . 8


● Il “caso” Stasi– “Il collegio peritale evidenziava che le condotte

scorrette di accesso da parte dei carabinieri hanno determinato la sottrazione di contenuto informativo con riferimento al personal computer [...] pari al 73,8% dei files visibili (oltre 56.000) con riscontrati accessi su oltre 39.000 files, interventi di accesso su oltre 1500 files e creazione di oltre 500 files”

– “effetti devastanti in rapporto all’integrità complessiva dei supporti informatici “



S l i d e n . 9


● Le conseguenze processuali– nel caso di specie l’attività di polizia giudiziaria

presenta caratteristiche di sommarietà e di mera ricognizione di dati potenzialmente utili ai fini della immediata prosecuzione delle indagini tale da non poter essere correttamente inquadrata nell’ambito né della perquisizione [...] né dell’ispezione di cui all’art. 244 c.p.p.



S l i d e n . 1 0


● Le conseguenze processuali● Non si è trattato, peraltro, di accertamenti

tecnici, ex artt. 359 e 360 c.p.p.– “Si è trattato di un’attività compiuta da

ufficiali di polizia giudiziaria non esperti in materia, che hanno proceduto senza un previo quesito e che al termine hanno redatto solo un verbale in cui hanno riportato la data del compimento dei suddetti indicati atti”



S l i d e n . 1 1


● Le conseguenze processuali● “Dunque, siamo dinnanzi ad atti di polizia

giudiziaria che rientrano, invero, nell’ambito del combinato disposto degli artt. 55 e 348 c.p.p. (attività finalizzata a raccogliere ogni elemento utile alla ricostruzione del fatto e all’individuazione del colpevole) e non integrano la fattispecie dei veri e propri accertamenti tecnici di cui agli artt. 359 e 360 c.p.p.”



S l i d e n . 1 2


● Le conseguenze processuali– “Si deve, dunque, ritenere che questa preliminare

e sommaria attività investigativa è stata posta in essere secondo una metodologia sicuramente scorretta, disattendendo i protocolli già invalsi in materia (anche prima dell’entrata in vigore della legge citata) venendo, quindi, a costituire una causa di potenziale alterazione e dispersione del contenuto del documento informatico”

● Tale attività incide, in estrema sintesi, non sull'utilizzabilità delle acquisizioni, ma sulla sua valenza probatoria.



S l i d e n . 1 3

QUALI SANZIONI PROCESSUALI PER LA NON CORRETTA

ADOZIONE DELLE MISURE TECNICHE?

LA POSIZIONE DELLA DOTTRINA



S l i d e n . 1 4

Conseguenze dell'omessa adozione delle “misure tecniche”

Le misure tecniche costituiscono, secondo alcuna dottrina, uno speciale requisito, oramai intrinseco

nella ispezione e perquisizione “informatica”.

La violazione di tale requisito comporterebbe la nullità, ex art. 178, lett. c, e 180 c.p.p. (Vitali)

G. Bragò è di opinione contraria: non si tratta di una nullità di ordine generale, in quanto riguarda una

metodologia di acquisizione probatoria e di conservazione degli elementi raccolti



S l i d e n . 1 5


E allora quale sanzione processuale per l'omessa adozione di tali modalità?

Sempre secondo G. Bragò, non può parlarsi di inutilizzabilità, stante l'assenza di un richiamo

espresso

Non determinerebbe né inutilizzabilità, né nullità, ma riverbererebbe sotto il profilo della valutazione

della prova, e sul suo grado di attendibilità



S l i d e n . 1 6


Parte della dottrina (Monti, Luparia), già prima della novella, propendeva per l'inutilizzabilità

Anche E. Lorenzetto ritiene che la mera “debolezza probatoria” delle evidenze informatiche raccolte senza rispetto delle best practices non possa essere ritenuta

una sanzione sufficiente

L'A. Conclude pertanto ritenendo che il deficit tecnico di acquisizione sia da ricondurre ad una inidoneità

probatoria della risultanza in sè, in quanto acquisita in violazione di un divieto stabilito dalla legge



S l i d e n . 1 7


Occorre ricordare la finalità precipua delle best practices: consentire la verificabilità ex post delle operazioni compiute,

a tutela delle garanzie difensive e del contraddittorio

Se questa finalità non viene ad essere soddisfatta, per omessa o inidonea applicazione delle “misure tecniche”, ovvero per

impossibilità di verificare il metodo seguito, allora l'unico modo (legittimo) per l'evidenza digitale è che le esigenze del

contraddittorio siano state soddisfatte ex ante, e che dunque gli accertamenti, in quanto determinanti modifiche

irreversibili, siano stati compiuti ex art. 360 c.p.p.



S l i d e n . 1 8

Conseguenze dell'omessa adozione delle “misure tecniche” ● Si rischia di sovrastimare l'importanza delle

procedure di acquisizione:– Gli eventuali vizi del verbale di ispezione non

potrebbe comunque ostacolare l'escussione dei verbalizzanti in ordine a quanto personalmente constatato

● (Cassazione Su, 27 marzo 1996, Sala) ● E' un principio ancora valido?



S l i d e n . 1 9

Un'altra opzione interpretativa: l'importanza della nuova nozione di “documento informatico”

● Il Prof. P. Tonini, in vari suoi scritti recenti, ha posto l'accento su di un cambiamento che molti tendono a sottovalutare: la modifica della nozione di “documento informatico”, rilevante per il diritto penale



S l i d e n . 2 0

La vecchia nozione di “documento informatico”

● Art. 491 bis c.p. ● Per documento

informatico si intende qualunque supporto informatico contenente dati o informazioni aventi efficacia probatoria o programmi specificamente destinati ad elaborarli

Photo Roberto F. -CC-NC-ND

http://www.flickr.com/photos/robfon/

● La definizione è stata introdotta dalla L 547/1993



S l i d e n . 2 1

Il “documento informatico” secondo il DPR 445/2000

● Art. 1, comma 1, lett. b

● DOCUMENTO INFORMATICO: la rappresentazione informatica di atti, fatti o dati giuridicamente rilevanti



S l i d e n . 2 2

Il “documento informatico” secondo il CAD

Art. 1● p) documento informatico: la

rappresentazione informatica di atti, fatti o dati giuridicamente rilevanti;

● p-bis) documento analogico: la rappresentazione non informatica di atti, fatti o dati giuridicamente rilevanti;



S l i d e n . 2 3

L'intervento della L. 48/2008

La L. 48/2008, abrogando la definizione contenuta nell'art. 491 bis, introduce nel nostro sistema giuridico una nozione unitaria di “documento informatico”, come “rappresentazione informatica di atti, fatti o dati giuridicamente rilevanti”



S l i d e n . 2 4


Secondo P. Tonini, occorre distinguere, sulla base delle definizioni surriportate, tra “incorporamento analogico” e “incorporamento digitale”

“L’incorporamento digitale ha la fondamentale caratteristica che è

“immateriale” nel senso che la rappresentazione esiste indifferentemente

dalla scelta del tipo di supporto fisico sul quale il dato informatico è incorporato”



S l i d e n . 2 5


L' “incorporamento digitale”, stante la sua intrinseca fragilità, impone delle cautele (introdotte appunto

con la L. 48/2008), volte ad assicurare che la prova sia

autentica e genuina



S l i d e n . 2 6


Secondo P. Tonini, la L. 48/2008 ha individuato cinque garanzie fondamentali:

1) Il dovere di conservare inalterato il dato originale nella sua genuinità

2) Il dovere di impedire l’alterazione dell’originale.

3) Il dovere di formare una copia che assicuri la conformità del dato acquisito rispetto a quello

originale

4) Il dovere di assicurare la non modificabilità dei dati acquisiti

5) La garanzia della installazione di sigilli informatici sulle cose sequestrate



S l i d e n . 2 7

Documento informatico e principio del contraddittorio (art. 111 Cost.)

“Occorre applicare al documento informatico il principio generale che è valido in tema di

contraddittorio, secondo cui se l’elemento di prova è modificato dal medesimo accertamento che viene

compiuto, allora occorre che sia instaurato il contraddittorio anticipato”

“Non si può accettare che un soggetto del processo modifichi in modo unilaterale un elemento di prova.

Il mero rilievo unilaterale deve essere consentito nei limiti in cui avviene per l’impronta digitale”

P. Tonini



S l i d e n . 2 8

“INCORPORAMENTO DIGITALE” E NUVOLE



S l i d e n . 2 9

CLOUD FORENSICS?



S l i d e n . 3 0

CLOUD FORENSICS?

La diffusione sempre più massiccia del cloud computing fa sì che sempre meno dati risiedano sul computer, che

tende a essere simile, come modalità di utilizzo, ai “terminali stupidi” della prima fase dell'informatica e

della telematica

Sul computer, naturalmente, permarranno le “tracce” dei servizi utilizzati, e, solo eventualmente, le copie locali

dei files



S l i d e n . 3 1

CLOUD FORENSICS: LE CRITICITA'

“Survey on cloud forensics and critical criteria for cloud forensic capability: A

preliminary analysis “

Keyun Ruan et al, 2011 http://www.cloudforensicsresearch.org/


http://www.cloudforensicsresearch.org/


S l i d e n . 3 2


“81 respondents answered the question on the impact of cloud

computing on forensics50% of them agree that “cloud

computing makes forensics harder”, while 42 % agree that “cloud

computing makes forensics easier”



S l i d e n . 3 3


Key issues:Loss of data controlNo access to physical infrastructureLegal issues of multi- jurisdiction, multi-‐ ‐tenancy and multiple ownership No standard interfaceDifficulties in producing forensically sound and admissible evidence in Court



S l i d e n . 3 4


ChallengesJurisdictionInvestigating external chain of dependancies of the cloud providersLack of international collaboration in cross-nation data access and exchangeLack of law/regulation and law advisoryDecreased access to and control over forensic data at all levels from customer sideProliferation of endpoints, especially mobile endpoints



S l i d e n . 3 5

Cristallizzare la cloud evidence e la Convenzione di Budapest

Article 29 – Expedited preservation of stored computer data

1 A Party may request another Party to order or otherwise obtain the expeditious preservation of

data stored by means of a computer system, located within the territory of that other Party and in respect of which the requesting Party intends to

submit a request for mutual assistance for the search or similar access, seizure or similar

securing, or disclosure of the data.



S l i d e n . 3 6

Cristallizzare la cloud evidence e la Convenzione di Budapest

Article 29 – Expedited preservation of stored computer data

3 Upon receiving the request from another Party, the requested Party shall take all

appropriate measures to preserve expeditiously the specified data in accordance with its domestic law.



S l i d e n . 3 7

Where are the computer data stored?

? ? ? ? ?

Microsoft, Sun Microsystems, and

Google have contemplated placing data centers in Siberia, abandoned coalmines,

and on ships at sea, respectively

ALBERTO G. ARAIZA

ELECTRONIC DISCOVERY IN THE

CLOUD



S l i d e n . 3 8

Cristallizzare la cloud evidence: l'importanza dell'art. 354 c.p.p. In relazione ai dati, alle informazioni e ai programmi

informatici o ai sistemi informatici o telematici, gli ufficiali della polizia giudiziaria adottano, altresì, le misure tecniche o impartiscono le prescrizioni necessarie ad assicurarne la conservazione e ad impedirne l'alterazione e l'accesso e provvedono, ove possibile, alla loro immediata duplicazione su adeguati supporti, mediante una procedura che assicuri la conformità della copia all'originale e la sua immodificabilità



S l i d e n . 3 9

L'insostenibile leggerezza del cloud: un esempio

Silk browser” has a split architecture. All its browser subsystems reside on both the Kindle Fire device as well as on the Amazon Web Services (AWS) cloud”

“Amazon's Web servers cache the content of Web pages Silk users visit. Silk also temporarily logs URLs for the Web pages it serves up, as well as Internet protocol (IP) or media access control (MAC) addresses” (http://www.technewsworld.com)



S l i d e n . 4 0

Concludo affidandomi alle parole di Paolo Tonini

“Cambiano i tempi, oggi vi è la prova informatica.

Il giusto processo deve riconoscere all’imputato il diritto di essere messo a confronto con il dato informatico nel suo aspetto genuino, senza alterazioni”

La sfida per il futuro sarà proprio far valere questo principio anche in the cloud...



S l i d e n . 4 1

Grazie per l'attenzione

Avv. Giovanni Battista Gallus

[email protected]

Twitter: gbgallus

Avv. Francesco Paolo Micozzi

[email protected]




how not to - il "caso garlasco" come "worst practice"

Documents