1. Cenni
introdu+vi
di
Digital
Forensics:
aspe+
tecnici
e
profili
processuali
Giuseppe
Vaciago
Università
degli
Studi
di
Milano
15
maggio
2012

2. Agenda
① Introduzione
q Definizione di digital forensics
q Origini della digital Forensics
q Definizione di digital evidence
q Classificazioni della digital evidence
② Casistica
q Il caso “Amero”
q Il caso “Garlasco”
③ Le cinque fasi della digital forensics
q Individuazione della digital evidence
q Acquisizione della digital evidence
q Conservazione della digital evidence
q Analisi della digital evidence
q Presentazione della digital evidence
④ Le indagini digitali e la crittografia
q La crittografia
q Il caso “Boucher”
q Key mandatory disclosure laws
q L’intervento della Corte Costituzionale tedesca
⑤ Conclusioni

3. Cosa
è
la
digital
forensics
?
Come
Sherlock
Holmes
nel
XIX
secolo
si
serviva
costantemente
dei
suoi
apparecchi
per
l’analisi
chimica,
oggi
nel
XXI
secolo
egli
non
mancherebbe
di
effe=uare
un’accurata
analisi
di
computer,
di
telefoni
cellulari
e
di
ogni
?po
di
apparecchiatura
digitale
(Ralph
Losey).
Scopo
della
digital
forensics
è
quello
di
conservare,
iden?ficare,
acquisire,
documentare
o
interpretare
i
da?
presen?
in
un
computer.
A
livello
generale
si
tra=a
di
individuare
le
modalità
migliori
per:
-­‐
acquisire
le
prove
senza
alterare
il
sistema
informa?co
in
cui
si
trovano;
-­‐
garan?re
che
le
prove
acquisite
su
altro
supporto
siano
iden?che
a
quelle
originarie;
-­‐
analizzare
i
da?
senza
alterarli
(Cesare
Maioli)

4. Cosa
è
la
digital
evidence?
Digital
evidence
è
una
qualsiasi
informazione,
con
valore
probatorio,
che
sia
o
meno
memorizzata
o
trasmessa
in
un
formato
digitale.
Definizione
dello
Scien?fic
Working
Group
on
Digital
Evidence
(SWGDE).

5. Le
classificazioni
della
digital
evidence
Si
possono
avere
tre
diverse
?pologie
di
prova
digitale:
Creata
dall’uomo:
ogni
dato
digitale
che
figuri
come
il
risultato
di
un
intervento
o
di
un’azione
umana
e
può
essere
di
due
?pi:
a)
Human
to
human
(mail)
b)
Human
to
PC
(documento
word)

6. Le
classificazioni
della
digital
evidence
Creata
autonomamente
dal
computer:
ogni
dato
che
figuri
come
il
risultato
di
un
processo
su
dei
da?
effeMuato
da
un
soNware
secondo
un
preciso
algoritmo
e
senza
l’intervento
umano
(tabula?
telefonici,
file
di
log
di
un
Internet
Service
Provider)

7. Le
classificazioni
della
digital
evidence
Creata
sia
dall’essere
umano
che
dal
computer:
foglio
di
calcolo
eleMronico
dove
i
da?
vengono
inseri?
dall’essere
umano,
mentre
il
risultato
viene
effeMuato
dal
computer

8. Le
complessità
della
digital
evidence
(Caso
Julie
Amero)
Una
prima
caraMeris?ca
è
data
dalla
complessità
della
digital
evidence.
Il
caso
Amero
ne
è
una
dimostrazione.
Julie
Amero
è
una
supplente
della
Kelly
School
di
Norwich
del
Connec?cut
che
venne
condannata
per
aver
mostrato
a
ragazzi
minori
di
16
anni
immagini
pornografiche.

9. Il
caso
“Amero”:
la
scansione
temporale
19/10/04
26/10/04
05/01/07
10/11/08
Lezione
di
Julie
Amero.
La
Polizia
visiona
il
La
Corte
condanna
Julie
Amero
oMenne
un
Immagini
“inadaMe”
contenuto
dell’hard
Julie
Amero
per
il
reato
nuovo
processo
in
cui
appaiono
come
pop-­‐up
disk,ma
non
ne
esegue
di
offesa
alla
morale
a
venne
condannata
alla
dal
PC
dell’insegnante
una
copia
bit-­‐stream
minorenni
pena
di
100
dollari
Il
docente
?tolare
si
reca
in
La
difesa
chiede
un
nuovo
processo
aula
e
nota
che
la
cache
file
in
quanto
la
prova
non
era
stata
con?ene
file
pornografici
e
acquisita
correMamente
e
il
computer
avvisa
il
preside
era
infeMo
(mousetrapping)
20/10/04
01/06/08

10. L’alibi
informaTco
(Caso
Garlasco)
Un’ulteriore,
ma
fondamentale
elemento
della
digital
evidence
è
l’alterabilità
e
la
capacità
di
contenere
un
innumerevole
numero
di
informazioni.
Il
caso
di
“Garlasco”
ne
è
un
chiaro
esempio.
Alberto
Stasi
è
stato
assolto
in
primo
grado
dall’accusa
di
omicidio
volontario
della
fidanzata
Chiara
Poggi
e
nel
dicembre
del
2011
la
sentenza
è
stata
confermata
in
appello.

11. Il
caso
di
“Garlasco”:
l’”alibi
informaTco”
13/08/07
14/08/07
29/08/07
17/12/09
Chiara
Poggi
muore
il
Stasi
consegna
Carabinieri
dopo
aver
Il
Giudice
Vitelli
di
13
agosto
2007
tra
le
volontariamente
il
suo
lavorato
sul
PC
lo
Vigevano
assolve
Stasi
ore
10.30
e
le
ore
12.
PC
ai
Carabinieri
consegnano
ai
RIS
dall’accusa
di
omicidio
-­‐ Stasi
si
sveglia
alle
9
Dalla
perizia
richiesta
dal
-­‐ Telefona
a
Chiara
Poggi
Giudice
emerge
che
Stasi
ha
-­‐ Lavora
alla
tesi
lavorato
alla
tesi
durante
-­‐ Va
a
casa
sua
verso
alle
l’arco
temporale
in
cui
è
13.30
stata
uccisa
Chiara
Poggi
13/08/07
17/03/09

12. Le
cinque
fasi
delle
indagini
digitali
Il
fine
ul?mo
di
ogni
inves?gazione
digitale
consiste
nel
recupero
di
tue
i
da?
che
possano
cos?tuire
una
prova
u?lizzabile
durante
il
processo.
Per
raggiungere
tale
fine
è
necessario:
1. individuare
il
supporto
informaTco
che
con?ene
il
dato
digitale
u?le
all’indagine,
al
fine
di
iden?ficare
il
potenziale
criminale;
2. acquisire
tale
dato
aMraverso
l’interceMazione
nel
caso
di
flussi
di
comunicazioni
in
Rete,
ovvero
aMraverso
il
sequestro
e
la
duplicazione
del
supporto
di
memorizzazione
su
cui
è
archiviato
il
dato;
3. conservare
in
un
luogo
idoneo
tue
i
da?
digitali
acquisi?
e
duplica?;
4. effeYuare,
esclusivamente
sulla
copia
del
supporto
informa?co,
le
opportune
analisi
che
consentano
di
recuperare
le
informazioni
u?li
al
Pubblico
Ministero
e
all’avvocato
durante
la
fase
delle
indagini
preliminari,
e
al
Giudice
durante
la
fase
dibaementale;
5. presentare
i
risultaT
dell’indagine
durante
la
fase
diba+mentale
o
nella
relazione
tecnica.

13. I.
Individuazione
della
digital
evidence:
indirizzo
IP
e
file
di
log
I
da?
digitali
che
sono
di
norma
richies?
in
ambito
inves?ga?vo,
possono
generalmente
dividersi
fra
quelli
che
consentono
l’iden?ficazione
di
un
potenziale
criminale
(Indirizzo
IP)
e
quelli
che
ne
determinano
la
sua
aevità
on
line
(file
di
log).
L’indirizzo
IP
si
oeene
generalmente
aMraverso
una
richiesta
da
parte
dell’Autorità
Giudiziaria,
agli
internet
service
providers
che
offrono
servizi
di
posta
eleMronica
e/o
ospitano
contenu?
genera?
dagli
uten?.
Una
volta
oMenuto
tale
dato,
sarà
possibile
oMenere,
dai
fornitori
di
conne+vità,
l’esaMa
ubicazione
dell’intestatario
della
faMura
da
cui
è
avvenuta
la
connessione.
I
file
di
log,
invece,
saranno
richies?
agli
Internet
Service
Provider
in
base
al
?po
di
esigenza
inves?ga?va.
In
Italia,
tale
richiesta
è
solitamente
effeMuata
soMo
la
forma
di
“ordine
di
esibizione
di
documenT
e
a+
rilevanT”
ai
sensi
degli
art.
256
c.p.p.
e
art.
132,
comma
1
e
3,
D.lgs
196/03.

14. I.
Individuazione
della
digital
evidence:
ispezione
Art.
244
c.p.p.:
Casi
e
forme
delle
ispezioni
1.
L ispezione
delle
persone,
dei
luoghi
e
delle
cose
è
disposta
con
decreto
moTvato
quando
occorre
accertare
le
tracce
e
gli
altri
effe+
materiali
del
reato.
2.
Se
il
reato
non
ha
lasciato
tracce
o
effe+
materiali,
o
se
ques?
sono
scomparsi
o
sono
sta?
cancella?
o
dispersi,
altera?
o
rimossi,
l autorità
descrive
lo
stato
aYuale
e,
in
quanto
possibile,
verifica
quello
preesistente,
curando
anche
di
individuare
modo,
tempo
e
cause
delle
eventuali
modificazioni.
L autorità
giudiziaria
può
disporre
rilievi
segnale?ci,
descrievi
e
fotografici
e
ogni
altra
operazione
tecnica.
La
legge
48/2008
di
ra?fica
della
convenzione
Cybercrime
ha
modificato
l’ar?colo
244
c.p.p.
sancendo
che:
è
disposta
l ispezione,
anche
in
relazione
a
sistemi
informa?ci
o
telema?ci,
adoMando
misure
tecniche
direMe
ad
assicurare
la
conservazione
dei
da?
originali
e
ad
impedirne
l’alterazione .

15. I.
Individuazione
della
digital
evidence:
ispezione
-­‐
caraYerisTche
IrripeTbilità
Mancanza
della
genuinità
Il
PC
non
viene
della
prova
sequestrato
UTle
nel
caso
di
reaT
facilmente
idenTficabili
La
Suprema
Corte
ha
ritenuto
che
non
cosTtuisce
sequestro
probatorio
l’acquisizione,
mediante
riproduzione
su
supporto
cartaceo,
dei
da?
informa?zza?
contenu?
in
un
archivio
informa?co
visionato
nel
corso
di
un’ispezione
legiemamente
effeMuata,
in
quanto
non
vi
è
alcuna
apprensione
dell’archivio
informa?co,
ma
una
semplice
estrazione
di
copia
dei
da?
in
esso
contenu?
(Cass.
Pen.,
Sez.
III,
26
gennaio
2000,
n.
384).

16. I.
Individuazione
della
digital
evidence:
perquisizione
La
perquisizione
ha
lo
scopo
di
ricercare
il
corpo
del
reato
o
le
cose
che
ad
esso
si
riferiscono,
qualora
si
ritengano,
con
fonda?
mo?vi ,
nascoste
sulla
persona
o
in
un
determinato
luogo.
Nel
procedere
alla
perquisizione
locale,
l’autorità
giudiziaria
può
disporre
con
decreto
moTvato,
ai
sensi
dell’ar?colo
250,
comma
III°
c.p.p.,
che
siano
perquisite
le
persone
presen?
o
sopraggiunte,
quando
ri?ene
che
le
stesse
possano
occultare
il
corpo
del
reato
o
cose
per?nen?
al
reato.
La
legge
48/2008
di
ra?fica
della
convenzione
Cybercrime ha
modificato
l’ar?colo
247
c.p.p.
sancendo
che
disposta
la
perquisizione,
adoMando
misure
tecniche
direMe
ad
assicurare
la
conservazione
dei
da?
originali
e
ad
impedirne
l’alterazione.

17. I.
Individuazione
della
digital
evidence:
accertamenT
urgenT
ex
354
c.p.p.
Qualora
vi
sia
il
concreto
rischio
che
le
cose,
le
tracce
e
i
luoghi
per?nen?
al
reato
si
alterino
e
il
Pubblico
Ministero
non
possa
intervenire
tempes?vamente,
o
non
abbia
ancora
assunto
la
direzione
delle
indagini,
gli
ufficiali
di
Polizia
Giudiziaria
compiono
ai
sensi
dell’art.
354
c.p.p.
i
necessari
accertamenT
sullo
stato
dei
luoghi
e
delle
cose
e,
se
del
caso,
sequestrano
il
corpo
del
reato
e
le
cose
a
questo
per?nen?.
La
legge
48/08,
stabilisce
che
“in
relazione
ai
da?,
alle
informazioni
e
ai
programmi
informa?ci
o
ai
sistemi
informa?ci
o
telema?ci,
gli
ufficiali
della
polizia
giudiziaria
adoMano,
altresì,
le
misure
tecniche
o
impar?scono
le
prescrizioni
necessarie
ad
assicurarne
la
conservazione
e
ad
impedirne
l’alterazione
e
l’accesso
e
provvedono,
ove
possibile,
alla
loro
immediata
duplicazione
su
adegua?
suppor?,
mediante
una
procedura
che
assicuri
la
conformità
della
copia
all’originale
e
la
sua
immodificabilità”.

18. I.
Individuazione
della
digital
evidence:
accertamenT
urgenT
ex
354
c.p.p.
Cassazione
Penale,
16
marzo
2009,
n.
11503
La
leYura
dell'hard
disk
non
integra
affaYo
aYo
irripeTbile,
perché
la
leMura
di
esso
ha
consen?to
di
ipo?zzare
l'esistenza
del
reato
a
carico
del
ricorrente,
perché
quest'ul?mo
è
del
tuMo
estraneo
ai
dirie
difensivi
di
altre
par?
del
processo,
perché,
l'aevità
svolta
al
riguardo
dalla
P.G.
rientra
tra
quelle
svolte
dalla
stessa
ai
sensi
dell'art.
348
c.p.p.
e
art.
354
c.p.p.,
comma
2
e
perché,
infine,
possibile
nel
prosieguo
del
processo
ogni
a+vità
difensiva
dello
S.V.
il
quale,
se
del
caso,
potrà
far
valere,
quando
sarà
e
se
sarà
eventualmente
accertata
l'alterazione
del
disco
informaTco,
alterazione
allo
stato
soltanto
affermata
dalla
difesa
del
ricorrente,
peraltro
persona
diversa
dal
proprietario
del
computer,
e,
si
ribadisce,
per
nulla
accertata.

19. II.
Acquisizione
della
digital
evidence:
sequestro
Il
codice
di
procedura
penale
prevede
tre
forme
di
sequestro
PrevenTvo
Probatorio
ConservaTvo
Si
applica
quando
vi
è
pericolo
Assicura
le
prove
necessarie
Assicura
l adempimento
delle
che
la
libera
disponibilità
di
per
l’accertamento
del
reato
obbligazioni
rela?ve
alle
pene
una
cosa
per?nente
al
reato
assumendo
nell ambito
della
p e c u n i a r i e ,
a l l e
s p e s e
possa
aggravare
o
protrarre
le
f a s e
i n v e s ? g a ? v a
u n a
processuali
ed
alle
obbligazioni
conseguenze
del
reato,
o
notevole
importanza
(art.
civili
derivan?
dal
reato
(art.
agevolare
la
commissione
di
253
c.p.p.)
316
c.p.p.)
altri
rea?
(art.
321
c.p.p.)

20. II.
Acquisizione
della
digital
evidence:
sequestro
–
materialità
CaraMeris?ca
comune
sia
del
corpo
del
reato
che
delle
cose
per?nen?
ad
esso,
è
la
materialità
dell’oggeYo
da
porre
soYo
vincolo
d’indisponibilità.
La
prova
digitale,
tuMavia,
è
connotata
dall’immaterialità
e
dalla
facile
alterabilità.
La
giurisprudenza,
non
soffermandosi
neppure
sulla
vexata
quaes?o
dell immaterialità
del
dato
informa?co,
si
è
posta
la
ques?one
della
legiemità
del
sequestro
dell’hard
disk
quale
unico
elemento
u?le
da
acquisire
durante
la
fase
di
indagini
o
di
tuYe
le
periferiche
ad
esso
collegate
(monitor,
stampante
tappe?ni,
mouse,
webcam,
cuffie
etc..).
L’art.
19
della
Convenzione
sul
Cybercrime
chiarisce
espressamente
che
il
sequestro
di
strumen?
informa?ci
può
riguardare
indis?ntamente
sia
l’hardware
(sistema
informa?co,
o
supporto
di
memorizzazione)
sia
daT
digitali
in
esso
contenu?
e
presen?
all’interno
del
territorio
nazionale.

21. II.
Acquisizione
della
digital
evidence:
sequestro
o
copia
bit-­‐stream?
3
ragioni
a
favore
del
sequestro
fisico
dell’hard
disk:
1.
Molto
spesso,
si
procede
al
sequestro
di
materiale
informa?co
nell’ambito
di
indagini
legate
al
contrasto
della
pirateria
informa?ca
(legge
633/41
e
successive
modifiche)
o
della
pedo-­‐ponografia
(arM.
603-­‐ter
e
quater
c.p.):
in
entrambi
i
casi
è
prevista,
in
caso
di
condanna,
la
confisca
degli
strumen?
e
dei
materiali
u?lizza?
per
compiere
i
rela?vi
rea?
(art.
171-­‐sexies
legge
633/31
e
art.
600-­‐sep?es
c.p.).
2.
L’indagato,
ai
sensi
dell’ar?colo
258
c.p.p.,
ha
diriMo
di
chiedere
all’Autorità
Giudiziaria
che
sia
estraMa
gratuitamente
la
copia
dei
da?
contenu?
all’interno
dell’hard
disk,
a
condizione
che
sia
in
grado
di
dimostrare
la
legiemità
del
possesso
del
supporto.
3.
La
terza,
già
menzionata,
è
che
un
procedimento
di
copia
forense
di
un
hard
disk
può
avere
una
durata
incompa?bile
con
l’esecuzione,
in
tempi
ragionevoli,
del
mezzo
di
ricerca
della
prova
.

22. II.
Acquisizione
della
digital
evidence:
sequestro
presso
provider
L ar?colo
254-­‐bis
c.p.p.,
prevede
nel
caso
di
sequestro
di
daT
informaTci
presso
fornitori
di
servizi
informaTci,
telemaTci
e
di
telecomunicazioni,
l autorità
giudiziaria,
quando
dispone
il
sequestro,
presso
i
fornitori
di
servizi
informa?ci,
può
disporre
che
la
loro
acquisizione
avvenga
mediante
copia
di
essi
su
adeguato
supporto,
con
una
procedura
che
assicuri
la
conformità
dei
daT
acquisiT
a
quelli
originali
e
la
loro
immodificabilità.
In
questo
caso
è,
comunque,
ordinato
al
fornitore
dei
servizi
di
conservare
e
proteggere
adeguatamente
i
da?
originali.

23. II.
Acquisizione
della
digital
evidence:
sequestro
di
corrispondenza
L’ar?colo
254
c.p.p.,
prevede
che
le
carte
e
gli
altri
documen?
sequestra?
che
non
rientrano
fra
la
corrispondenza
sequestrabile
sono
immediatamente
resTtuiT
all’avente
diriYo
e
non
possono
comunque
essere
u?lizza?.
La
legge
48/2008
ha
assimilato
la
corrispondenza
cartacea
a
quella
telema?ca
consentendo
all’autorità
giudiziaria
di
disporre
il
sequestro
presso
il
server
che
ospita
la
corrispondenza
eleYronica
dell’indagato
ordinando
una
copia
del
contenuto
presente
all interno
del
server.

24. II.
Acquisizione
della
digital
evidence:
sequestro
di
corrispondenza
Tribunale
di
Brescia,
4
oYobre
2006
Il
sequestro
di
un
intero
hard-­‐disk
consente
certamente
l acquisizione
di
elemen?
probatori,
ma
implica
anche
l’acquisizione
di
daT
che
esulano
dal
contesto
per
il
quale
l aYo
e
disposto,
sicché,
come
è
immediatamente
percepibile,
tale
genere
di
sequestro
esige
un
ambito
di
correMa
e
ristreMa
opera?vità
per
evitare
connotazioni
di
spropositata
affli+vità
e
di
lesione
di
beni
cosTtuzionalmente
prote+.
SoMo
questo
profilo
merita
par?colare
segnalazione
la
compressione
della
libertà
e
segretezza
della
corrispondenza
conservata
nel
disco
fisso,
con
conoscenza
dei
messaggi
tue
trasmessi
e
ricevu?,
compresi
quelli
des?na?
a
soggee
del
tuMo
estranei
alle
indagini.
Tale
decisione
è
stata
confermata
dalla
Corte
di
Cassazione
(Cass.
pen.,
sez.
VI,
31
maggio
2007,
n.
40380).

25. II.
Acquisizione
della
digital
evidence:
remote
forensics
La
Convenzione
sul
Cybercrime
ha
deMato
alcune
norme
che
potrebbero
permeMere
un’aevità
inves?ga?va
da
remoto:
L’art.
18
(ProducTon
order)
ha
introdoMo
la
possibilità
per
l’Autorità
Giudiziaria
di
ordinare
a
qualunque
soggeMo
di
fornire
i
da?
digitali
presen?
all’interno
di
un
sistema
informa?co
in
suo
possesso
o
soMo
il
suo
controllo.
L’art.
19
(Search
and
seizure
of
stored
computer
data)
stabilisce
che
la
Polizia
Giudiziaria
è
autorizzata
ad
estendere
la
ricerca
su
da?
che
risiedono
all’interno
di
un
altro
server,
salvo
che
non
si
trovi
al
di
fuori
del
territorio
nazionale.
L’art.
20
(Real-­‐Tme
collecTon
of
traffic
data),
infine,
prevede
la
possibilità
di
raccogliere
in
tempo
reale
i
traffic
data,
che
servono
a
monitorare
in
tempo
reale
l’aevità
dell’indagato
in
Rete.

26. II.
Acquisizione
della
digital
evidence:
remote
forensics
Cassazione
Penale,
Sez.
V,
14
oYobre
2009,
n.
16556
La
giurisprudenza
di
legiemità
ha
ritenuto
legiemo
un
decreto
del
Pubblico
Ministero
che,
ai
sensi
dell’art.
234
c.p.p.,
disponeva
l’acquisizione
in
copia
aMraverso
l’installazione
di
un
captatore
informa?co,
della
documentazione
informa?ca
memorizzata
nel
personal
computer
in
uso
all’imputato
e
installato
presso
un
ufficio
pubblico.
La
Suprema
Corte
ha,
infae,
evidenziato
come
il
provvedimento
del
Pubblico
Ministero
non
avesse
riguardato
un
flusso
di
comunicazioni,
ma
la
semplice
estrapolazione
di
daT
già
formaT
e
contenuT
nella
memoria
del
“personal
computer”,
ossia
“un
flusso
unidirezionale
di
daT”
confinaT
all’interno
dei
circuiT
del
computer.

27. III.
Conservazione
della
digital
evidence:
custodia
e
apposizione
sigilli
Art.
259
c.p.p.:
Custodia
delle
cose
sequestrate
Quando
la
custodia
riguarda
da?,
informazioni
o
programmi
informa?ci,
il
custode
è
altresì
avver?to
dell obbligo
di
impedirne
l alterazione
o
l accesso
da
parte
di
terzi.
Art.
260
c.p.p.
Apposizione
dei
sigilli
alle
cose
sequestrate
L'autorità
giudiziaria
fa
estrarre
copia
dei
documen?
[…]
Quando
si
traMa
di
da?,
di
informazioni
o
di
programmi
informa?ci,
la
copia
deve
essere
realizzata
su
adegua?
suppor?,
mediante
procedura
che
assicuri
la
conformità
della
copia
all originale
e
la
sua
immodificabilità;
in
tali
casi,
la
custodia
degli
originali
può
essere
disposta
anche
in
luoghi
diversi
dalla
cancelleria
o
dalla
segreteria.

28. III.
Conservazione
della
digital
evidence:
custodia
e
apposizione
sigilli
Se
il
bit
è
eterno,
il
suo
supporto
non
lo
è
affaMo.
I
suppor?
digitali
durano
meno
di
quelli
analogici
e
i
disposi?vi
per
leggere
i
suppor?
durano
ancora
meno.
Domesday
Book
(1086):
Inchiostro
su
pergamena:
leggibile
dopo
oltre
900
anni.
Domesday
Book
2
(1983):
LaserDisc:
illeggibile
dopo
15
anni.

29. IV.
Analisi
della
digital
evidence
L autorità
giudiziaria,
dopo
aver
acquisito
la
prova
informa?ca
aMraverso
la
copia
del
supporto
di
memorizzazione
durante
l’ispezione
ed
il
sequestro
probatorio
durante
la
perquisizione,
dovrà
procedere
all’analisi
dei
daT
in
essa
contenuT
AccertamenT
tecnici
(arM.
Incidente
probatorio
Perizia
359
e
360
c.p.p.)
(arM.
392
e
ss.
c.p.p.)
(arM.
220
e
ss.
c.p.p.).
l o
s t u d i o
e
l a
r e l a ? v a
Offre
la
possibilità
alle
par?
Viene
disposta
quando
elaborazione
criTca
dei
daT,
di
chiedere
un assunzione
occorre
svolgere
indagini
o
necessariamente
soggeevi
e
anTcipata
della
prova,
in
acquisire
daT
e
valutazioni
per
lo
più
su
base
tecnico
modo
tale
da
poterla
poi
che
richiedono
specifiche
scien?fica.
Possono
riguardare
u ? l i z z a r e
n e l
f u t u r o
c o m p e t e n z e
t e c n i c h e ,
ae
ripeTbili
e
non
ripeTbili
dibaemento
scien?fiche
o
ar?s?che

30. IV.
Analisi
della
digital
evidence
–
a9o
ripe;bile
o
irripe;bile?
ATTO
RIPETIBILE
Cass.
Pen.
Sez.
I,
5
marzo
2009,
n.
14511;
conformi
Cass.
Pen.
Sez.
I,
26
febbraio
2009,
n.
11863
Cass.
Pen.
Sez.
III,
02
luglio
2009,
n.
38087;
Cass.
Pen.
Sez.
III,
25
febbraio
2009,
n.
11503
FaYo:
La
Polizia
Giudiziaria
preleva
(copia),
ai
sensi
dell’art.
258
c.p.p.
alcuni
file
dall’hard
disk
dell’indagato
senza
il
rispeMo
di
alcuna
procedura
di
digital
forensics.
La
Corte
ha
affermato
il
principio
secondo
cui
“è
da
escludere
che
l’aSvità
di
estrazione
di
copia
di
file
da
un
computer
cos?tuisca
un
a=o
irripe?bile
[...],
a=eso
che
non
comporta
alcuna
aSvità
di
cara=ere
valuta?vo
su
base
tecnico-­‐scien?fica
né
determina
alcuna
alterazione
dello
stato
delle
cose,
tale
da
recare
pregiudizio
alla
genuinità
del
contributo
conosci?vo
nella
prospeSva
dibaSmentale,
essendo
sempre
comunque
assicurata
la
riproducibilità
di
informazioni
iden?che
a
quelle
contenute
nell’originale”.
ATTO
IRRIPETIBILE
Cass.
Pen.
Sez.
III,
09
giugno
2009,
n.
28524
FaYo:
L’avvocato
della
difesa
aveva
richiesto
di
poter
effeMuare
una
copia
bit-­‐stream
dell’hard
disk
ai
sensi
dell’art.
258
c.p.p.
e
non
gli
era
stata
concessa.
“L’esame
dell’hard
disk
di
un
computer
in
sequestro
e
la
conseguente
estrazione
di
copia
dei
da?
ivi
contenu?
non
sono
aSvità
che
le
par?
possono
compiere
durante
il
termine
per
comparire
all’udienza
dibaSmentale
senza
contraddi=orio
e
alla
sola
presenza
del
custode,
in
quanto
implicano
accertamen?
ed
interven?
di
persone
qualificate
e
l’u?lizzo
di
apposi?
strumen?,
sì
che
devono
essere
necessariamente
svol?
in
dibaSmento,
nel
contraddi=orio
e
so=o
la
direzione
del
giudice”.

31. V.
Presentazione
della
digital
evidence
Questa
fase,
infae,
sebbene
sia
spesso
la
più
noiosa
per
un
informa?co,
è
di
fondamentale
importanza
per
Pubblici
Ministeri,
Giudici
e
avvoca?,
in
quanto
l’esito
del
processo
dipenderà
non
solo
dai
risulta?
raggiun?,
ma
anche
dal
grado
di
chiarezza
e
di
comprensione
del
documento
(annotazione
di
PG,
verbale
di
ispezione
o
relazione
tecnica).
5
Consigli
operaTvi
1. Presenza
di
un
indice
2. Presenza
di
glossario
e
di
note
di
riferimento
in
caso
di
termini
tecnici
3. Timeline
table
e
diagrammi
di
flusso
4. Slides
di
presentazione
con
foto
5. Eventuale
videoregistrazione
delle
operazioni
compiute
TuMo
questo
nel
pieno
rispeMo
delle
esigenze
di
tempo
e
delle
risorse
a
disposizione…

32. V.
Presentazione
della
digital
evidence:
“Murtha
Case”
La
cultura
audiovisiva
sta
cambiando
il
mondo
e
la
gius?zia.
È
difficile
dire
se
questo
sia
un
bene,
ma
è
sicuramente
un
dato
di
faMo.
S?amo
assistendo,
aMraverso
il
computer,
a
una
mol?plicazione
del
conceMo
d’immagine:
abbiamo
video
e
foto
digitali,
scene
del
crimine
elaborate
digitalmente,
animazioni
al
computer,
presentazioni
mul?mediali,
slides
e
molto
di
più.

33. Indagini
digitali:
criYografia
Un
classico
metodo
per
nascondere
un
file
è
quello
di
u?lizzare
la
criMografia:
La
criMografia
traMa
delle
"scriYure
nascoste"
(significato
e?mologico
della
parola)
ovvero
dei
metodi
per
rendere
un
messaggio
"offuscato"
in
modo
da
non
essere
comprensibile
a
persone
non
autorizzate
a
leggerlo.
La
parola
criMografia
deriva
dalla
parola
greca
kryptós
che
significa
nascosto
e
dalla
parola
greca
gráphein
che
significa
scrivere.
La
criMografia
è
la
controparte
della
criManalisi
ed
assieme
formano
la
criMologia.

34. Indagini
digitali:
criYografia
Decifrare
un
testo
criYografato
è
semplice.
Il
problema
è:
in
questo
tempo?
Ad
esempio
una
chiave
di
cifratura
a
20-­‐bit
consente
fino
a
un
milione
di
combinazioni
possibili,
per
cui
con
un
normalissimo
computer
porta?le
che
processa
circa
un
milione
di
operazioni
al
secondo,
il
tempo
di
cifratura
massimo
sarà
addiriMura
inferiore
al
secondo.
TuMavia
con
un
sistema
di
cifratura
con
una
chiave
a
56-­‐bit
lo
stesso
elaboratore
potrebbe
impiegare
fino
a
2285
anni
per
verificare
tuMe
le
combinazioni
possibili.
Per
rendersi
conto
della
complessità
di
tale
operazione
bas?
considerare
che
la
più
diffusa
versione
del
soNware
di
cifratura
PGP
(PreMy
Good
Privacy)
al
momento
aMuale
si
basa
su
una
chiave
di
1024-­‐bit
.

35. Indagini
digitali:
True
Crypt

36. Indagini
digitali:
Il
caso
“Boucher”:
la
scansione
temporale
17/12/06
26/10/04
12/01/07
19/02/09
Il
notebook
di
Boucher
La
Polizia
visiona
il
Il
Grand
Jury
del
Il
Giudice
Sessions
rivede
la
contenente
immagini
contenuto
dell’hard
Vermont
emeMe
un
decisione
di
Niedermeier,
pedo-­‐pornografiche
disk,ma
non
ne
esegue
subpoena
ordinando
di
ma
riconosce
il
5°
viene
sequestrato
una
copia
bit-­‐stream
rivelare
la
password
emendamento
Quando
il
computer
viene
Il
Giudice
distreMuale
del
Vermont
riacceso
la
Polizia
scopre
Niedermeier
annulla
la
decisione
del
che
una
par?zione
dell’hard
Grand
Jury
sostenendo
che
era
in
disk
era
stato
criMografata
violazione
del
5°
emendamento
29/12/06
01/06/08

37. Indagini
digitali:
“Mandatory
Key
Disclosure
Laws”
A
livello
internazionale
alcuni
Sta?
hanno
previsto
delle
specifiche
disposizioni
norma?ve
che
impongono
di
rivelare
la
chiave
di
cifratura
alle
forze
di
polizia.
In
Australia,
le
forze
dell’ordine
hanno
il
potere
di
chiuedere
a
chiunque
la
chiave
di
cifratura.
In
Belgio
e
in
Francia
invece
è
possibile
ordinare
solo
a
terzi
(vedi
fornitori
di
conneevità
e
Internet
Service
Providers)
di
rivelare
la
chiave
di
cifratura.
L’Italia
non
ha
un
norma?va
in
questo
senso….forse
perché
non
serve
?

38. Indagini
digitali:
“Mandatory
Key
Disclosure
Laws”
Tali
strumen?
legisla?vi
non
funzionano.
Perché?
1.
Ragioni
tecniche:
un
soggeMo
esperto
può
sempre
trovare
un
metodo
per
nascondere
un
file.
2.
Possibile
violazione
della
Convenzione
Europea
sui
Diri+
dell’Uomo:
Ar?olo
6
Ogni
persona
accusata
di
un
reato
è
presunta
innocente
fino
a
quando
la
sua
colpevolezza
non
sia
stata
legalmente
accertata.

39. Indagini
digitali:
Keylogger
Una
soluzione
di
natura
tecnica
esiste
?
Un
keylogger
è,
nel
campo
dell'informa?ca,
uno
strumento
in
grado
di
interceMare
tuMo
ciò
che
un
utente
digita
sulla
tas?era
del
proprio
computer.
Esistono
vari
?pi
di
keylogger:
Hardware:
vengono
collega?
al
cavo
di
comunicazione
tra
la
tas?era
ed
il
computer
o
all'interno
della
tas?era.
SoNware:
programmi
che
controllano
e
salvano
la
sequenza
di
tas?
che
viene
digitata
da
un
utente.

40. Garanzie
dell’indagato
vs
indagini
digitali:
Legge
Nord
Wessalia
q La
Germania
ha
introdoMo
il
20
dicembre
2006
un
emendamento
alla
legge
sulla
protezione
della
Cos?tuzione
nel
Nord
Reno-­‐
Wes}alia
che
consen?va
l’accesso
segreto
a
sistemi
informa?ci
e
il
monitoraggio
segreto
della
Rete
aMraverso
sistemi
keylogger
installa?
in
forma
di
trojan
horse.
q La
Corte
Cos?tuzionale
tedesca
il
27
febbraio
2008
ha
dichiarato
incos?tuzionale
tale
emendamento
sostenendo
che
violava
il
“diriYo
alla
riservatezza
ed
alla
integrità
dei
sistemi
informaTci”.

41. Garanzie
dell’indagato
vs
Indagini
digitali:
Cass.
Pen.
14
oYobre
2009
q La
Corte
di
Cassazione
ha
ritenuto
legiemo
il
decreto
del
Pubblico
Ministero,
che
ai
sensi
dell’art.
234
c.p.p.,
ha
consen?to
l’acquisizione
in
copia
aMraverso
l’installazione
di
un
captatore
informa?co
della
documentazione
informa?ca
memorizzata
nel
personal
computer
in
uso
all’imputato
e
installato
presso
un
ufficio
pubblico
ritenendo
per
di
più
ripe?bile
tale
aMo.

42. Privacy
vs
Security
Face
RecogniTon
Project
Alessandro
Acquis?
Date
Check
Intelius

43. Privacy
vs
Security
Face
RecogniTon
Project
-­‐
Alessandro
Acquis?
CCTV
–
Fair
Fax
Media

44. Grazie
per
l’aMenzione
Giuseppe
Vaciago
Mail:
giuseppe.vaciago@htlaw.it
Blog:
h=p://infogiuridica.blogspot.it
Linkedin:
h=p://it.linkedin.com/in/vaciago