La prova digitale
Riportiamo alcune definizioni di norma rispetto alla prova digitale:
– La Convenzione di Budapest sulla criminalità informatica, del Consiglio d’Europa
(23 novembre 2001) definisce la prova digitale come: “qualunque presentazione di fatti, informazioni
o concetti in forma suscettibile di essere utilizzata in un sistema computerizzato, incluso un
programma in grado di consentire a un sistema computerizzato di svolgere una funzione”.
– Il Codice della Amministrazione Digitale, (art. 1 lett.p del D.lgs 82/2005) definisce la prova digitale
come “documento informatico che contiene la rappresentazione informatica di atti, fatti o dati
giuridicamente rilevanti.”.
– Altresì per Regolamento eIDAS (Regolamento europeo per l’identificazione elettronica e servizi
fiduciari per le transazioni elettroniche nel mercato interno) n. 910/2014, il documento elettronico è
“qualsiasi contenuto conservato in forma elettronica, in particolare testo o registrazione sonora,
visiva o audiovisiva”.
Definizioni così generiche servono a ricordarci che il concetto di prova digitale non è solo riferibile ad una mail, un testo Word, una immagine JPG, ma che la prova digitale presentarsi sotto diverse forme – che andremo di seguito almeno in parte ad approfondire – e a volte “celarsi” nei dispositivi e nel cloud.
Non a caso le norme tecniche di riferimento rispetto alla raccolta delle prove digitali dedicano rilevante spazio agli aspetti di identificazione della stessa.
Prova digitale omnipresente
Riferendosi alla prova tradizionale, Il criminologo Edmond Locard – uno dei più importanti pionieri delle discipline forensi – sosteneva che ogni criminale lascia sul luogo del delitto una traccia e porta via con sé
qualcosa.
Similare è il caso della prova digitale; oramai ogni azione nel mondo digitale lascia tracce – spesso inconsapevoli – in Rete; tali tracce, solo se opportunamente identificate, raccolte e gestite, possono essere
utilizzate a fini forensi.
Sovente anche le azioni svolte nel mondo “reale” lasciano tracce nel digitale; non dobbiamo dimenticare ad esempio che il proliferare di dispositivi digitali interconnessi determina una maggior quantità di “impronte digitali” lasciate in Rete, a fronte di ogni azione svolta.
Basti pensare ai dispositivi IOT (Internet Of Things) che tipicamente popolano i nostri ambienti di lavoro e personali. A tal proposito – citando alcuni casi internazionali – diverse sono state le prove digitali raccolte da dispositivi quali Amazon Alexa ed Echo (registrazioni audio), dispositivi GPS (posizione dell’imputato), autoveicoli (registrazione di comandi vocali).
Alcuni esempi di prove digitali
Riportiamo alcuni esempi di tracce digitali, che possono essere di interesse in diversi ambiti, con lo scopo di evidenziare come esse siano presenti sotto diverse forme e in diversi contesti.
Senza presunzione di esaustività, si vogliono fornire indicazioni rispetto ad alcune casistiche notevoli:
– log di accesso a piattaforme in cloud: a seconda del contesto, è possibile raccogliere informazioni sull’accesso di un utente in un certo momento ad un servizio online (es. Office365 di Microsoft), in alcuni casi anche con indicazioni sull’indirizzo IP e con alcune informazioni del dispositivo da cui l’utente ha avuto accesso;
– servizi di posta elettronica online: anche grazie all’introduzione dei c.d. sistemi MFA (Multi Factor Authentication, autenticazione multi-fattore che lega l’utente ad un dispositivo di proprio possesso), è
possibile dimostrare con buona probabilità che l’utente abbia avuto accesso ad un servizio di posta e sia responsabile di una certa comunicazione mail inviata contestualmente;
– chat, servizi di instant-messaging: considerati erroneamente come canali di minore ufficialità, i servizi di messaggistica istantanea vengono utilizzati spesso per condividere comunicazioni più esplicite rispetto a quelle inviate tramite mail. Sono quindi spesso elemento importante da utilizzarsi, sia in ambito civile sia penale;
– accesso ai dati posizionali: in alcuni casi, smartphone e dispositivi digitali inviano dati posizionali in cloud. E’ quindi possibile ricostruire la posizione di una persona consultando tali registrazioni online.
– sincronizzazione di file online: dati caricati sul proprio telefono cellulare – così come comunicazioni mail e appunti – possono essere sincronizzati automaticamente in rete, riportando informazioni sulla data di primo caricamento. E’ quindi possibile acquisire tracce e utilizzarle a fini probatori, per dimostrare che un utente ha avuto accesso ad un documento, pur senza effettuare una acquisizione del telefono;
– cronologia di navigazione: i browser spesso sincronizzano i bookmark (preferiti) e la cronologia di navigazione in cloud; ciò comporta la possibilità di raccogliere tali informazioni, anche senza effettuare azioni di acquisizione forense del dispositivo dell’utente.
La complessità di gestione della prova digitale
Affinché la prova digitale possa avere valenza in ambito di dibattimento è necessario poterne garantire: integrità, genuinità, non ripudiabilità.
Una delle principali problematiche nella gestione della prova digitale è che di per sé è qualcosa di immateriale.
Nel caso di una prova fisica (es. un’arma) è possibile prelevarla – preservandone impronte e tracce di materiali vari – per poi analizzarla e portarla in aula; nel mondo digitale è quasi sempre necessario effettuare una copia conforme del materiale digitale, prima che questo possa essere analizzato e poi utilizzato a valore probatorio.
Inoltre la prova digitale per sua natura è spesso facilmente cancellabile, soprattutto se ospitata nel Web (e quindi su piattaforme non sotto nostro diretto controllo o possibilità di congelamento); la falsa credenza che un “post” su una piattaforma social – una volta cancellato dall’autore – possa essere facilmente recuperato semplicemente contattando il gestore della piattaforma si scontra con l’assenza di riscontro da parte dei grandi player del Web, che tipicamente non rispondono alle richieste di ripristino dei contenuti cancellati.
Infine, da considerare l’intrinseca fragilità della prova digitale; un errore nel processo di gestione – banalmente nella conservazione del supporto digitale o nel processo di acquisizione – può determinare la perdita
irreversibile del materiale raccolto.
Le norme di riferimento
Fortunatamente la modalità di gestione della prova digitale è stata da tempo normata a livello internazionale, grazie alla norma ISO 27037; incluso nel prolifico pacchetto ISO 27000 relativo alla sicurezza delle informazioni, si tratta di uno standard internazionale contenente linee guida per l’identificazione, la raccolta, l’acquisizione, la conservazione e il trasporto di evidenze digitali.
Lo standard è applicabile in qualsiasi ambito (civile, penale, stragiudiziale), e non fa riferimento a specifici ordinamenti né a norme giuridiche. Scopo ultimo, quindi, è di facilitare l’inter-scambio della prova fra Paesi, sulla base di protocolli metodologici comuni.
Ciò ha permesso di definire delle best practice di identificazione, acquisizione, conservazione e analisi della prova digitale; segnaliamo che per ogni fase suddetta si definiscono modalità di: documentazione della prova, tracciabilità, priorità di intervento, imballaggio e trasporto dei reperti, ruoli e responsabilità nel passaggio.
Notevole, rispetto alla norma suddetta, è la definizione dei requisiti della prova digitale, definendo aspetti quali: Pertinenza, Affidabilità, Sufficienza, Verificabilità, Giustificabilità.
Senza entrare nel dettaglio, sono possibili e spesso necessarie scelte da parte di chi si occupa della gestione della prova digitale, ma sempre nell’ottica di poter dimostrare in ogni dettaglio quanto svolto e di poter giustificare le scelte, fatte rispetto al contesto in cui si è operato.
Digital Forensics
Anche modellata sulla base della suddetta norma, la Digital Forensics è una disciplina scientifica – nata negli anni ’80 come ramo dalla scienza forense – che si occupa della identificazione, raccolta e analisi della prova digitale.
Il Digital Forensic è un consulente che si colloca fra i contesti legali e tecnologici, ne conosce entrambi, ed è in grado di trattare la prova digitale e di documentarla correttamente ai fini legali; sovente utilizza
strumentazioni particolari che consentono di raccogliere e analizzare la prova senza compromettere l’ambiente in cui sta operando, senza inquinamento del contesto probatorio.
Il D.F. supporta il Giudice o il Legale nel capire quali prove possano essere raccolte in un determinato contesto, raccoglierle con la giusta metodologia, analizzarle e fornire opportuno resoconto (tipicamente sotto forma di relazione tecnica di acquisizione).
Citiamo di seguito alcune specializzazioni della Digital Forensics, che trattando la tematica delle tecnologie digitali ha ovviamente un ambito di azione molto ampio: computer forensics, mobile device f. (dispositivi
mobili quali telefoni, smartphone, tablet), network f. (reti informatiche), database f. (basi di dati), IoT f. (sistemi industriali di raccolta dati o micro sistemi distribuiti), forensics data analysis.
Facendo un paragone con l’ambito medico, potrebbe non essere sufficiente contattare un medico “generico”, ma potrei aver bisogno di un medico specializzato; ed è quindi importante conoscere – e chiedere al
professionista – quali siano le sue competenze specifiche prima dell’ingaggio.
Buone prassi nella gestione della prova digitale
Pur non potendo qui fornire una descrizione di dettaglio su ogni aspetto legato alla raccolta e gestione della prova, possiamo indicare alcuni aspetti che a nostro avviso evidenziano un approccio corretto alla gestione della prova digitale:
Rispetto del contesto: la procedura di acquisizione non deve inquinare l’ambito in cui si sta operando; obiettivo del forense è di mettere in sicurezza la prova, di “congelare” per quanto possibile la situazione, così
da avere opportuno tempo per effettuare le analisi e trarre le conclusioni. Non deve esserci – o deve essere limitato quanto più possibile – il rischio di alterare il contesto in cui si sta operando.
Per citare un esempio pratico, non effettuerò l’analisi direttamente su un dispositivo informatico, ma cercherò – ove possibile – di produrre alcune copie dei contenuti del disco (con apposita strumentazione che impedisce ogni modifica al hard disk di origine) e tutte le attività di analisi saranno effettuate su tali copie dette conformi.
Il computer originale sarà messo in sicurezza e non acceso / utilizzato fino al termine dell’intero iter giudiziario.
Tempistiche: la procedura di gestione della prova è tipicamente onerosa in termini di tempo; se oggi opportuni strumenti ci aiutano a rendere più veloce e affidabile la fase di raccolta e conservazione, la parte di analisi e documentazione richiede comunque adeguato tempo affinché sia svolta correttamente e porti a conclusioni solide, affidabili, dimostrabili.
E’ quindi piuttosto normale prevedere consulenze di alcuni giorni per la raccolta, analisi e documentazione della prova digitale (es. disco rigido di un computer).
Tracciabilità e ripetibilità: ogni azione svolta dal forense dovrebbe essere tracciata e riportata in un apposito report, così come sigle e matricole di ogni dispositivo utilizzato, sia esso un supporto da cui raccogliere prove o uno strumento di raccolta / archiviazione. Ciò anche per consentire a controparte di verificare le buone modalità di gestione messe in atto, e di limitare il rischio che la prova possa essere contestata a causa di “zone grigie”, che possono nascondere errori procedurali o imprecisioni operative.
Un report di acquisizione sovente prevede decine e decine di pagine riportanti indicazioni tecniche di dettaglio, corredato di fotografie dei dispositivi utilizzati e dei supporti presi in esame; indica con precisione date e orari di svolgimento delle attività e sedi di esecuzione, oltre che elenco del personale presente durante le verifiche e ruoli di ogni soggetto.
Documentazione delle conclusioni: nonostante la complessità e il dettaglio delle informazioni, una buona relazione forense propone (magari in prima pagina) le conclusioni relative alle prove prese in esame, e le esplicita in maniera chiara e comprensibile.
In questa sezione del report, il lettore non è tecnico e deve quindi comprendere chiaramente le conclusioni a cui si è giunti, corredate di opportuni riferimenti di norma e legali ove richiesto.
Errori comuni nella gestione della prova digitale
Molti sono gli errori nella gestione della prova digitale a cui assistiamo, soprattutto se la prova non è legata a un dispositivo digitale comune (es. computer), ma si lega al mondo Internet.
In questo caso, non essendoci un oggetto fisico di riferimento, da poter “clonare” e archiviare per future analisi, da poter isolare dal contesto, va posta particolare attenzione alle modalità di raccolta dei contenuti
online, considerato che tali contenuti sono soggetti a facile alterazione e/o cancellazione.
È quindi fondamentale raccogliere i contenuti presenti in Rete seguendo attenzioni ulteriori rispetto alla raccolta digitale tradizionale.
A titolo di esempio, la semplice stampa di una pagina Internet su carta o tramite screenshot risulta essere un elemento di facile contestazione; con programmi grafici di uso comune e con l’intelligenza artificiale legata alla gestione delle immagini, diventa facilissimo alterare un contenuto anche in maniera totalmente stravolgente.
Desideriamo ribadire questo concetto, in quanto sovente lo vediamo disatteso o semplicemente non noto: la semplice stampa di una pagina Web o lo screenshot della stessa non hanno solido valore legale e sovente
vengono contestati e rigettati in dibattimento; questo avviene perchè sono facilmente modificabili, e non è possibile attribuirne con certezza la fonte e la data di acquisizione.
La procedura corretta di raccolta delle prove da Internet – svolta da un Forensics competente in tali ambiti – prevede decine e decine di passaggi, da mettere in atto sequenzialmente e da documentare con estrema
attenzione; l’assenza di tali step procedurali lascia spazio a possibili contestazioni della prova raccolta, a maggior ragione se il contenuto originale – presente on line – viene ad essere rimosso o modificato.
A titolo di riferimento, la raccolta di un singolo post in ambiente social o di una pagina Web – svolta in modalità manuale – può richiedere anche due ore di attività del professionista, con relativi costi da sostenere,
ed è ovviamente sensibile – per la sua complessità – all’errore umano.
LEGALEYE PRO
LegalEYE® PRO è un servizio Web per la cristallizzazione delle prove online; consente di acquisire in maniera semplice, sicura, documentata e legalmente corretta qualsiasi contenuto presente in Rete (pagina web, immagine, video, pdf, chat, webmail, profilo social).
LegalEYE® PRO è uno strumento atto ad acquisire gli elementi probatori da Internet: metaforicamente è una perfetta macchina fotografica di “contenuti Web”; essendo un flusso informatizzato e totalmente
automatizzato, scongiura il rischio di errore umano delle procedure manuali e riduce nettamente il tempo/costo della procedura di acquisizione della prova.
Non sostituisce la consulenza dell’avvocato, del Digital Forensics Expert o dell’investigatore, ma propone una metodologia certa, affidabile, sicura, rapida per la cristallizzazione delle prove.
Da un punto di vista funzionale, è un portale Web (www.legaleye.it) che – senza necessità di avere competenze informatiche o di installare software sulla propria macchina – mette a disposizione un browser
virtuale; permette, con la stessa semplicità di una navigazione web, di salvare automaticamente diversi contenuti come immagini, pagine web, documenti, schede pdf, etc.
Tutti questi materiali saranno disponibili, pochi attimi dopo il termine dell’acquisizione, all’interno di un archivio cifrato che contiene altri dati comprovanti il corretto funzionamento del sistema di acquisizione,
incluso il video dell’intera sessione di raccolta prove.
Assieme a questo archivio sarà disponibile un report tecnico (con data certa), indicante le informazioni sull’acquisizione effettuata oltre a indicazioni sulla infrastruttura LegalEYE® e normative Italiane ed Europee a cui è allineata.
Per riepilogare, LegalEYE® PRO:
• è uno strumento fruibile via Web, tramite il proprio browser di navigazione
• non richiede l’installazione di alcun software aggiuntivo per essere utilizzato
• acquisisce qualsiasi contenuto su Internet, anche se dinamico o collocato su pagine web
autenticate/protette
• è semplice nell’utilizzo, non richiede competenze tecniche specifiche per l’uso
• fornisce il materiale tecnico a corredo (report tecnico di acquisizione), illustrante le corrette modalità
di acquisizione utilizzate
• certifica con data certa i contenuti scaricati
LegalEYE® PRO prevede una tariffazione a tempo, quindi con un costo dipendente dalla durata della acquisizione.
Vai al catalogo e ottieni cinque minuti di navigazione gratuita!
Riferimenti bibliografici
https://www.aiutoprivacy.com/privacy-iot-2/
https://www.bosettiegatti.eu/info/norme/statali/2005_0082.htm
https://www.agid.gov.it/it/piattaforme/eidas
https://www.forensicnews.it/la-dattiloscopia-e-le-tecniche-di-rilevazione-delle-impronte-digitali/
https://it.wikipedia.org/wiki/Digital_forensics
https://vitolavecchia.altervista.org/le-fasi-attivita-di-analisi-della-digital-forensic/
Parere sull’utilità nel diritto e nel processo civile del sistema LegalEYE® per l’acquisizione, la conservazione e la “cristallizzazione” di documenti informatici – Prof. Avv. A. Tedoldi – Avv. M.B. Salomone
LegalEYE: An innovative tool to collect E-Evidence –M.Della Marina–D.Tion–IRIS
Tieniti informato sulle ultime notizie, offerte speciali e sconti
"*" indica i campi obbligatori