Sei sulla pagina 1di 41

DIGITAL FORENSICS CONFERENCE

Con il patrocinio di GOVForensics di Luca Governatori http://www.govforensics.it ROMA - Sheraton Roma Hotel & Conference Center sabato 1 ottobre 2011

Avv. Giovanni Battista Gallus, LL.M. g.gallus@studiogallus.it Avv. Francesco Paolo Micozzi francesco@micozzi.it
Av v. Giovanni Battista Gallus g.gallus@studiogallus.it Avv.Francesco Paolo Micozzi francesco@micozzi.it

Slide n. 1

CHI SONO
giobatta@gnulaptop $ whoami $ Mi diletto di computer da oltre 25 anni $ Ho conseguito il Master of Laws in IT law presso la University of London $ Esercito la professione di avvocato da oltre 10 anni e sono abilitato al patrocinio nanti le Magistrature superiori $ Ho scoperto GNU/Linux nel 1999 $ Membro del Circolo dei Giuristi Telematici $ Membro del GULCh (Gruppo Utenti Linx Cagliari) $ Autore di svariati articoli e pubblicazioni in ambito IT law
Av v. Giovanni Battista Gallus g.gallus@studiogallus.it Avv.Francesco Paolo Micozzi francesco@micozzi.it

Slide n. 2

il Circolo dei Giuristi Telematici


L'associazione "Circolo dei Giuristi Telematici" la pi "antica" del web giuridico. La storica mailing list conta oggi oltre 200 iscritti tra avvocati, magistrati, giuristi d'impresa, universitari e tecnici specializzati. Il Circolo si fatto promotore di svariati convegni e seminari giuridici, oltre che di alcune pubblicazioni cartacee. Le modalit di iscrizione alla mailing list ed all'associazione, lo statuto sociale e il regolamento della mailing list sono consultabili liberamente sul sito. Per ulteriori informazioni: info@giuristitelematici.it. http://www.giuristitelematici.it
Av v. Giovanni Battista Gallus g.gallus@studiogallus.it Avv.Francesco Paolo Micozzi francesco@micozzi.it Slide n. 3

HOW-NOT-TO: IL CASO GARLASCO COME WORST PRACTICE


Av v. Giovanni Battista Gallus g.gallus@studiogallus.it Avv.Francesco Paolo Micozzi francesco@micozzi.it Slide n. 4

Tribunale di Vigevano, sent. 17/12/09 16/3/2010


Av v. Giovanni Battista Gallus g.gallus@studiogallus.it Avv.Francesco Paolo Micozzi francesco@micozzi.it Slide n. 5

La computer forensics invade la cronaca

Il caso Stasi

Personal computer consegnato spontaneamente dall'indagato Prima che venisse effettuata la copia forense, i carabinieri accedevano ripetutamente e scorrettamente (senza lutilizzo, cio delle necessarie tecniche forensi di indagine) alla quasi totalit del contenuto del computer

Av v. Giovanni Battista Gallus g.gallus@studiogallus.it Avv.Francesco Paolo Micozzi francesco@micozzi.it

Slide n. 6

La computer forensics invade la cronaca

Il caso Stasi

non corretta indicazione dellavvenuta installazione ed utilizzo di diverse periferiche USB (oltre a quella correttamente indicata); non corretta indicazione dellavvenuto accesso al disco esterno in uso ad Alberto Stasi; non corretta indicazione di accessi multipli al file della tesi di laurea in vari percorsi di memorizzazione dello stesso

Av v. Giovanni Battista Gallus g.gallus@studiogallus.it Avv.Francesco Paolo Micozzi francesco@micozzi.it

Slide n. 7

La computer forensics invade la cronaca

Il caso Stasi

Il collegio peritale evidenziava che le condotte scorrette di accesso da parte dei carabinieri hanno determinato la sottrazione di contenuto informativo con riferimento al personal computer [...] pari al 73,8% dei files visibili (oltre 56.000) con riscontrati accessi su oltre 39.000 files, interventi di accesso su oltre 1500 files e creazione di oltre 500 files effetti devastanti in rapporto allintegrit complessiva dei supporti informatici
Av v. Giovanni Battista Gallus g.gallus@studiogallus.it Avv.Francesco Paolo Micozzi francesco@micozzi.it

Slide n. 8

La computer forensics invade la cronaca

Le conseguenze processuali

nel caso di specie lattivit di polizia giudiziaria presenta caratteristiche di sommariet e di mera ricognizione di dati potenzialmente utili ai fini della immediata prosecuzione delle indagini tale da non poter essere correttamente inquadrata nellambito n della perquisizione [...] n dellispezione di cui allart. 244 c.p.p.

Av v. Giovanni Battista Gallus g.gallus@studiogallus.it Avv.Francesco Paolo Micozzi francesco@micozzi.it

Slide n. 9

La computer forensics invade la cronaca


Le conseguenze processuali Non si trattato, peraltro, di accertamenti tecnici, ex artt. 359 e 360 c.p.p.

Si trattato di unattivit compiuta da ufficiali di polizia giudiziaria non esperti in materia, che hanno proceduto senza un previo quesito e che al termine hanno redatto solo un verbale in cui hanno riportato la data del compimento dei suddetti indicati atti
Av v. Giovanni Battista Gallus g.gallus@studiogallus.it Avv.Francesco Paolo Micozzi francesco@micozzi.it

Slide n. 10

La computer forensics invade la cronaca


Le conseguenze processuali Dunque, siamo dinnanzi ad atti di polizia giudiziaria che rientrano, invero, nellambito del combinato disposto degli artt. 55 e 348 c.p.p. (attivit finalizzata a raccogliere ogni elemento utile alla ricostruzione del fatto e allindividuazione del colpevole) e non integrano la fattispecie dei veri e propri accertamenti tecnici di cui agli artt. 359 e 360 c.p.p.

Av v. Giovanni Battista Gallus g.gallus@studiogallus.it Avv.Francesco Paolo Micozzi francesco@micozzi.it

Slide n. 11

La computer forensics invade la cronaca

Le conseguenze processuali

Si deve, dunque, ritenere che questa preliminare e sommaria attivit investigativa stata posta in essere secondo una metodologia sicuramente scorretta, disattendendo i protocolli gi invalsi in materia (anche prima dellentrata in vigore della legge citata) venendo, quindi, a costituire una causa di potenziale alterazione e dispersione del contenuto del documento informatico

Tale attivit incide, in estrema sintesi, non sull'utilizzabilit delle acquisizioni, ma sulla sua valenza probatoria.
Av v. Giovanni Battista Gallus g.gallus@studiogallus.it Avv.Francesco Paolo Micozzi francesco@micozzi.it Slide n. 12

QUALI SANZIONI PROCESSUALI PER LA NON CORRETTA ADOZIONE DELLE MISURE TECNICHE? LA POSIZIONE DELLA DOTTRINA
Av v. Giovanni Battista Gallus g.gallus@studiogallus.it Avv.Francesco Paolo Micozzi francesco@micozzi.it Slide n. 13

Conseguenze dell'omessa adozione delle misure tecniche


Le misure tecniche costituiscono, secondo alcuna dottrina, uno speciale requisito, oramai intrinseco nella ispezione e perquisizione informatica. La violazione di tale requisito comporterebbe la nullit, ex art. 178, lett. c, e 180 c.p.p. (Vitali) G. Brag di opinione contraria: non si tratta di una nullit di ordine generale, in quanto riguarda una metodologia di acquisizione probatoria e di conservazione degli elementi raccolti
Av v. Giovanni Battista Gallus g.gallus@studiogallus.it Avv.Francesco Paolo Micozzi francesco@micozzi.it

Slide n. 14

Conseguenze dell'omessa adozione delle misure tecniche


E allora quale sanzione processuale per l'omessa adozione di tali modalit? Sempre secondo G. Brag, non pu parlarsi di inutilizzabilit, stante l'assenza di un richiamo espresso Non determinerebbe n inutilizzabilit, n nullit, ma riverbererebbe sotto il profilo della valutazione della prova, e sul suo grado di attendibilit
Av v. Giovanni Battista Gallus g.gallus@studiogallus.it Avv.Francesco Paolo Micozzi francesco@micozzi.it

Slide n. 15

Conseguenze dell'omessa adozione delle misure tecniche


Parte della dottrina (Monti, Luparia), gi prima della novella, propendeva per l'inutilizzabilit Anche E. Lorenzetto ritiene che la mera debolezza probatoria delle evidenze informatiche raccolte senza rispetto delle best practices non possa essere ritenuta una sanzione sufficiente L'A. Conclude pertanto ritenendo che il deficit tecnico di acquisizione sia da ricondurre ad una inidoneit probatoria della risultanza in s, in quanto acquisita in violazione di un divieto stabilito dalla legge
Av v. Giovanni Battista Gallus g.gallus@studiogallus.it Avv.Francesco Paolo Micozzi francesco@micozzi.it

Slide n. 16

Conseguenze dell'omessa adozione delle misure tecniche


Occorre ricordare la finalit precipua delle best practices: consentire la verificabilit ex post delle operazioni compiute, a tutela delle garanzie difensive e del contraddittorio Se questa finalit non viene ad essere soddisfatta, per omessa o inidonea applicazione delle misure tecniche, ovvero per impossibilit di verificare il metodo seguito, allora l'unico modo (legittimo) per l'evidenza digitale che le esigenze del contraddittorio siano state soddisfatte ex ante, e che dunque gli accertamenti, in quanto determinanti modifiche irreversibili, siano stati compiuti ex art. 360 c.p.p.
Av v. Giovanni Battista Gallus g.gallus@studiogallus.it Avv.Francesco Paolo Micozzi francesco@micozzi.it

Slide n. 17

Conseguenze dell'omessa adozione delle misure tecniche

Si rischia di sovrastimare l'importanza delle procedure di acquisizione: Gli eventuali vizi del verbale di ispezione non potrebbe comunque ostacolare l'escussione dei verbalizzanti in ordine a quanto personalmente constatato (Cassazione Su, 27 marzo 1996, Sala) E' un principio ancora valido?

Av v. Giovanni Battista Gallus g.gallus@studiogallus.it Avv.Francesco Paolo Micozzi francesco@micozzi.it

Slide n. 18

Un'altra opzione interpretativa: l'importanza della nuova nozione di documento informatico

Il Prof. P. Tonini, in vari suoi scritti recenti, ha posto l'accento su di un cambiamento che molti tendono a sottovalutare: la modifica della nozione di documento informatico, rilevante per il diritto penale
Av v. Giovanni Battista Gallus g.gallus@studiogallus.it Avv.Francesco Paolo Micozzi francesco@micozzi.it Slide n. 19

La vecchia nozione di documento informatico

Art. 491 bis c.p.


Per documento informatico si intende qualunque supporto informatico contenente dati o informazioni aventi efficacia probatoria o programmi specificamente destinati ad elaborarli
Photo Roberto F. -CC-NC-ND http://www.flickr.com/photos/robfon/

La definizione stata introdotta dalla L 547/1993


Slide n. 20

Av v. Giovanni Battista Gallus g.gallus@studiogallus.it Avv.Francesco Paolo Micozzi francesco@micozzi.it

Il documento informatico secondo il DPR 445/2000

Art. 1, comma 1, lett. b

DOCUMENTO INFORMATICO: la rappresentazione informatica di atti, fatti o dati giuridicamente rilevanti

Av v. Giovanni Battista Gallus g.gallus@studiogallus.it Avv.Francesco Paolo Micozzi francesco@micozzi.it

Slide n. 21

Il documento informatico secondo il CAD

Art. 1 p) documento informatico: la rappresentazione informatica di atti, fatti o dati giuridicamente rilevanti; p-bis) documento analogico: la rappresentazione non informatica di atti, fatti o dati giuridicamente rilevanti;
Av v. Giovanni Battista Gallus g.gallus@studiogallus.it Avv.Francesco Paolo Micozzi francesco@micozzi.it Slide n. 22

L'intervento della L. 48/2008

La L. 48/2008, abrogando la definizione contenuta nell'art. 491 bis, introduce nel nostro sistema giuridico una nozione unitaria di documento informatico, come rappresentazione informatica di atti, fatti o dati giuridicamente rilevanti

Av v. Giovanni Battista Gallus g.gallus@studiogallus.it Avv.Francesco Paolo Micozzi francesco@micozzi.it

Slide n. 23

L'intervento della L. 48/2008

Secondo P. Tonini, occorre distinguere, sulla base delle definizioni surriportate, tra incorporamento analogico e incorporamento digitale
Lincorporamento digitale ha la fondamentale caratteristica che immateriale nel senso che la rappresentazione esiste indifferentemente dalla scelta del tipo di supporto fisico sul quale il dato informatico incorporato
Av v. Giovanni Battista Gallus g.gallus@studiogallus.it Avv.Francesco Paolo Micozzi francesco@micozzi.it Slide n. 24

L'intervento della L. 48/2008

L' incorporamento digitale, stante la sua intrinseca fragilit, impone delle cautele (introdotte appunto con la L. 48/2008), volte ad assicurare che la prova sia autentica e genuina
Av v. Giovanni Battista Gallus g.gallus@studiogallus.it Avv.Francesco Paolo Micozzi francesco@micozzi.it

Slide n. 25

L'intervento della L. 48/2008


Secondo P. Tonini, la L. 48/2008 ha individuato cinque garanzie fondamentali:
1) Il dovere di conservare inalterato il dato originale nella sua genuinit 2) Il dovere di impedire lalterazione delloriginale. 3) Il dovere di formare una copia che assicuri la conformit del dato acquisito rispetto a quello originale 4) Il dovere di assicurare la non modificabilit dei dati acquisiti 5) La garanzia della installazione di sigilli informatici sulle cose sequestrate
Av v. Giovanni Battista Gallus g.gallus@studiogallus.it Avv.Francesco Paolo Micozzi francesco@micozzi.it Slide n. 26

Documento informatico e principio del contraddittorio (art. 111 Cost.)


Occorre applicare al documento informatico il principio generale che valido in tema di contraddittorio, secondo cui se lelemento di prova modificato dal medesimo accertamento che viene compiuto, allora occorre che sia instaurato il contraddittorio anticipato Non si pu accettare che un soggetto del processo modifichi in modo unilaterale un elemento di prova. Il mero rilievo unilaterale deve essere consentito nei limiti in cui avviene per limpronta digitale P. Tonini
Av v. Giovanni Battista Gallus g.gallus@studiogallus.it Avv.Francesco Paolo Micozzi francesco@micozzi.it Slide n. 27

INCORPORAMENTO DIGITALE E NUVOLE


Av v. Giovanni Battista Gallus g.gallus@studiogallus.it Avv.Francesco Paolo Micozzi francesco@micozzi.it Slide n. 28

CLOUD FORENSICS?

Av v. Giovanni Battista Gallus g.gallus@studiogallus.it Avv.Francesco Paolo Micozzi francesco@micozzi.it

Slide n. 29

CLOUD FORENSICS?
La diffusione sempre pi massiccia del cloud computing fa s che sempre meno dati risiedano sul computer, che tende a essere simile, come modalit di utilizzo, ai terminali stupidi della prima fase dell'informatica e della telematica Sul computer, naturalmente, permarranno le tracce dei servizi utilizzati, e, solo eventualmente, le copie locali dei files

Av v. Giovanni Battista Gallus g.gallus@studiogallus.it Avv.Francesco Paolo Micozzi francesco@micozzi.it

Slide n. 30

CLOUD FORENSICS: LE CRITICITA'

Survey on cloud forensics and critical criteria for cloud forensic capability: A preliminary analysis Keyun Ruan et al, 2011 http://www.cloudforensicsresearch.org/

Av v. Giovanni Battista Gallus g.gallus@studiogallus.it Avv.Francesco Paolo Micozzi francesco@micozzi.it

Slide n. 31

CLOUD FORENSICS: LE CRITICITA'

81 respondents answered the question on the impact of cloud computing on forensics 50% of them agree that cloud computing makes forensics harder, while 42 % agree that cloud computing makes forensics easier

Av v. Giovanni Battista Gallus g.gallus@studiogallus.it Avv.Francesco Paolo Micozzi francesco@micozzi.it

Slide n. 32

CLOUD FORENSICS: LE CRITICITA'


Key issues: Loss of data control No access to physical infrastructure Legal issues of multi-jurisdiction, multi- tenancy and multiple ownership No standard interface Difficulties in producing forensically sound and admissible evidence in Court

Av v. Giovanni Battista Gallus g.gallus@studiogallus.it Avv.Francesco Paolo Micozzi francesco@micozzi.it

Slide n. 33

CLOUD FORENSICS: LE CRITICITA'


Challenges Jurisdiction Investigating external chain of dependancies of the cloud providers Lack of international collaboration in cross-nation data access and exchange Lack of law/regulation and law advisory Decreased access to and control over forensic data at all levels from customer side Proliferation of endpoints, especially mobile endpoints

Av v. Giovanni Battista Gallus g.gallus@studiogallus.it Avv.Francesco Paolo Micozzi francesco@micozzi.it

Slide n. 34

Cristallizzare la cloud evidence e la Convenzione di Budapest


Article 29 Expedited preservation of stored computer data 1 A Party may request another Party to order or otherwise obtain the expeditious preservation of data stored by means of a computer system, located within the territory of that other Party and in respect of which the requesting Party intends to submit a request for mutual assistance for the search or similar access, seizure or similar securing, or disclosure of the data.
Av v. Giovanni Battista Gallus g.gallus@studiogallus.it Avv.Francesco Paolo Micozzi francesco@micozzi.it Slide n. 35

Cristallizzare la cloud evidence e la Convenzione di Budapest


Article 29 Expedited preservation of stored computer data

3 Upon receiving the request from another Party, the requested Party shall take all appropriate measures to preserve expeditiously the specified data in accordance with its domestic law.

Av v. Giovanni Battista Gallus g.gallus@studiogallus.it Avv.Francesco Paolo Micozzi francesco@micozzi.it

Slide n. 36

Where are the computer data stored?


Microsoft, Sun Microsystems, and Google have contemplated placing data centers in Siberia, abandoned coalmines, and on ships at sea, respectively ALBERTO G. ARAIZA ELECTRONIC DISCOVERY IN THE CLOUD

? ? ?

Av v. Giovanni Battista Gallus g.gallus@studiogallus.it Avv.Francesco Paolo Micozzi francesco@micozzi.it

Slide n. 37

Cristallizzare la cloud evidence: l'importanza dell'art. 354 c.p.p.


In relazione ai dati, alle informazioni e ai programmi informatici o ai sistemi informatici o telematici, gli ufficiali della polizia giudiziaria adottano, altres, le misure tecniche o impartiscono le prescrizioni necessarie ad assicurarne la conservazione e ad impedirne l'alterazione e l'accesso e provvedono, ove possibile, alla loro immediata duplicazione su adeguati supporti, mediante una procedura che assicuri la conformit della copia all'originale e la sua immodificabilit
Av v. Giovanni Battista Gallus g.gallus@studiogallus.it Avv.Francesco Paolo Micozzi francesco@micozzi.it

Slide n. 38

L'insostenibile leggerezza del cloud: un esempio


Silk browser has a split architecture. All its browser subsystems reside on both the Kindle Fire device as well as on the Amazon Web Services (AWS) cloud Amazon's Web servers cache the content of Web pages Silk users visit. Silk also temporarily logs URLs for the Web pages it serves up, as well as Internet protocol (IP) or media access control (MAC) addresses (http://www.technewsworld.com)
Av v. Giovanni Battista Gallus g.gallus@studiogallus.it Avv.Francesco Paolo Micozzi francesco@micozzi.it

Slide n. 39

Concludo affidandomi alle parole di Paolo Tonini


Cambiano i tempi, oggi vi la prova informatica. Il giusto processo deve riconoscere allimputato il diritto di essere messo a confronto con il dato informatico nel suo aspetto genuino, senza alterazioni La sfida per il futuro sar proprio far valere questo principio anche in the cloud...
Av v. Giovanni Battista Gallus g.gallus@studiogallus.it Avv.Francesco Paolo Micozzi francesco@micozzi.it Slide n. 40

Grazie per l'attenzione

Avv. Giovanni Battista Gallus g.gallus@studiogallus.it Twitter: gbgallus Avv. Francesco Paolo Micozzi francesco@micozzi.it
Av v. Giovanni Battista Gallus g.gallus@studiogallus.it Avv.Francesco Paolo Micozzi francesco@micozzi.it

Slide n. 41