Corso di informatica giuridica

Corso di Informatica GiuridicaDispense didattiche a cura di Alessandro

Prunesti – A.A. 2010-2011http://alessandroprunesti.wordpress.com

Origini dell’informatica giuridica

Caratteristiche della posta elettronica certificata (PEC)

http://alessandroprunesti.wordpress.com

Le origini dell’informatica giuridica

La giurimetria Nel 1949 Lee Loevinger, manager e giurista americano, fonda la giurimetria: una nuova disciplina che ha il compito di indagare in modo scientifico i problemi giuridici. Essa ha 3 campi di applicazione:

Per informatica giuridica si intende l’uso dei calcolatori elettronici nel campo del dirittoNel 1946 Norbert Wiener, fondatore della cibernetica, teorizza la possibilità di applicare al diritto i meccanismi e i principi della cibernetica

Ambito behavioristico previsionale

Negli USA vige il common law e il principio del precedente giurisdizionale vincolante, ossia dello stare decisisScienza giuridica intesa come lo studio del comportamento dei giudiciRicorso a metodi statistici facilmente computerizzabili per prevedere l comportamento dei giudici di fronte a determinati casiQuesto ambito di applicazione si esaurisce nella cultura giuridica americana e lambisce appena l’Europa, dove vige il civil law e la fonte principale del diritto è la legge scritta


Ambito informativo

Raccolta e ricerca automatica delle informazioni giuridiche Questo ambito passa in Europa dove l’inflazione normativa è enormeDiviene il campo di maggiore applicazione dei calcolatori e prende il nome di informatica giuridica documentata

Ambito logico decisionale

Rappresentazione logica del diritto e formalizzazione del ragionamento giuridicoQuesto ambito viene sviluppato sia nel mondo anglosassone sia in quello europeo, e prende il nome di informatica giuridica decisionale o metadocumentaria


Gli strumenti dell’informatica giuridica, oggi

Producono informazione su problemi e argomentiDagli anni ‘60 a oggiBanche dati

Producono conoscenza su problemi (soluzioni, pareri, decisioni, consulenza, ecc.)

Dagli anni ‘70 a oggiSistemi esperti

Da metà anni ‘70 a oggiSistemi per la redazione

degli atti legali

Producono atti e documentiAiutano la redazione fomrale dei documenti giuridici (eggi, sentenze, contratti, ecc.)

Da metà anni ‘70 a oggiSistemi manageriali

Producono procedure di gestione tese a favorire l’automazione dell’ufficio legale

Producono processi di apprendimento utili ad insegnare il diritto

Da anni ‘80 ad oggi


Banche dati giuridiche


Le risorse informativo-giuridiche nel web

•Italgiure della Corte di Cassazione•Infoleges•Leggi d’Italia professionale della De Agostini•InfoUtet•Juris Data della Giuffré•Guritel dell’Istituto Poligrafico e Zecca dello Stato•Parlamento Italiano•LeggiWeb

•Foro Italiano della Zanichelli•Dottina Giuridica (DOGI) del CNR•Corte Costituzionale•Banca dati della Segreteria Generale della giustizia amministrativa•Banca dati della Corte dei Conti


http://www.italgiure.giustizia.it/



http://www.infoleges.it/

http://www.leggiditaliaprofessionale.it/

http://www.utetgiuridica.it/

http://www.iuritalia.it/




http://www.guritel.it/



http://www.parlamento.it/elenchileggi/87088/gencopertina.htm

http://www.leggiweb.it/

http://giuridico.zanichelli.it/

http://nir.ittig.cnr.it/dogiswish/Index.htm



http://www.cortecostituzionale.it/

http://www.giustizia-amministrativa.it/

http://www.giustizia-amministrativa.it/

http://www.corteconti.it/

•IusSeek•Ricerca Giuridica•Mapilex•Juranet•Yahoo Law•Diritto e Diritti•Cicerone•Diritto e-spresso•DFP•Lexitalia•Portale IPSOA•QuidJuris


http://www.iusseek.com/

http://www.ricercagiuridica.com/

http://www.mapilex.it/

digilander.libero.it/juranet/home.htm

dir.yahoo.com/government/Law

dir.yahoo.com/government/Law

http://www.diritto.it/

http://www.cicerone.to/

biblio.unipi.it/espresso.html



http://dfp.aib.it/index.php

http://lexcom.indisunioncamere.it/intro.asp

http://www.ipsoa.it/

http://www.quidjuris.it/

Il documento elettronico e la conservazione sostitutivahttp://alessandroprunesti.wordpress.com

Il documento digitale è pienamente regolamentato dal nostro Legislatore, ma ancora oggi fatica a prendere piede all’interno degli studi legali.Questo accade nonostante si provato che esso consenta di godere di immediati e diretti benefici.

Pensate che la gestione della documentazione cartacea ha un impatto sull’economia del nostro Paese stimabile tra i 42 e i 70 miliari di Euro.(Fonte: primo rapporto dell’Osservatorio sul documento digitale, Info Camere – Net Consulting).

Quali norme e regolamenti prevedono il documento digitale?


Decreto legislativo 12 febbraio 1993, n. 39 (norme in materia di sistemi informativi automatizzati delle amministrazioni pubbliche)

All’art. 176, comma 3, del decreto legislativo 2003, n. 196 (decreto istitutivo del Centro nazionale per l'informatica nella pubblica amministrazione)

DPR 28/12/2000 n. 445 (Disposizioni legislative in materia di documentazione amministrativa)

Deliberazione AIPA n. 42 del 13 dicembre 2001, sostituita dalla

DELIBERAZIONE AIPA 19 febbraio 2004: (Regole tecniche per la riproduzione e conservazione di documenti su supporto ottico idoneo a garantire la conformità dei documenti agli originali )

Queste norme hanno introdotto la facoltà di utilizzare la procedura della conservazione sostitutiva. Essa è la procedura che consente di garantire nel tempo la validità legale di un documento informatico.

Principali norme e regolamenti che prevedono il documento digitale


L’organo preposto a questa funzione

CNIPA


Princìpi generali della conservazione sostitutiva

La conservazione sostitutiva equipara, sotto certe condizioni, i documenti cartacei con quelli elettronici e permette alle aziende e all'amministrazione pubblica di risparmiare sui costi di stampa, conservazione e archiviazione.

Il risparmio è particolarmente alto per la documentazione che deve essere, a norma di legge, conservata per più anni.

Conservare digitalmente significa sostituire i documenti cartacei, che per legge alcuni soggetti giuridici sono tenuti a conservare, con l'equivalente documento in formato digitale che viene “bloccato” nella forma, contenuto e tempo attraverso la firma digitale e la marcatura temporale.

È infatti la tecnologia della firma digitale che permette di dare la paternità e rendere immodificabile un documento informatico, affiancata poi dalla marcatura temporale permette di datare in modo certo il documento digitale prodotto.


Art. 3 comma 1: Conservazione sostitutiva di documenti informatici

La conservazione sostitutiva di documenti informatici e, eventualmente, anche delle loro impronte, avviene attraverso la memorizzazione in supporti idonei (anche non ottici) e si esaurisce con l'apposizione del riferimento temporale e della firma digitale da parte del responsabile della conservazione che attesta il corretto svolgimento del processo.

Art. 3 comma 2: Conservazione sostitutiva di documenti analogici

Per quanto concerne la conservazione sostitutiva di documenti analogici, l'operazione avviene attraverso la memorizzazione della relativa immagine direttamente sui supporti ottici. L'operazione continua poi con l'apposizione sull'insieme dei documenti o su una evidenza informatica contenente una o più impronte dei documenti o di insiemi di essi, del riferimento temporale e della firma digitale da parte del responsabile della conservazione che attesta così lo svolgimento corretto del processo.

Deliberazione Cnipa 19 febbraio 2004

(Regole tecniche per la riproduzione e conservazione di documenti su supporto ottico

idoneo a garantire la conformità dei documenti agli originali )


Actalis S.p.A. (dal 28/03/2002) Aruba Posta Elettronica Certificata S.p.A. (dal 06/12/2007) Banca d’Italia (dal 24/01/2008) Banca Monte dei Paschi di Siena S.p.A. (dal 03/08/2004) Cedacri S.p.A. (dal 15/11/2001 - Nuova denominazione sociale della Cedacrinord S.p.A.) CNDCEC (dal 10/07/2008) CNIPA (dal 15/03/2001) Comando C4 - IEW (dal 10/04/2003 - Nuova denominazione Comando Trasmissioni e

Informazioni Esercito) Consiglio Nazionale del Notariato (dal 12/09/2002) Consiglio Nazionale Forense (dal 11/12/2003) Consorzio Certicomm (dal 23/06/2005) I.T. Telecom S.r.l. (dal 13/01/2005) In.Te.S.A. S.p.A. (dal 22/03/2001) Infocert S.p.A. (dal 19/07/2007) Intesa Sanpaolo S.p.A. (dal 08/04/2004 - risultato della fusione per incorporazione del

Sanpaolo IMI in Banca Intesa e conseguente cambio di denominazione sociale) Lombardia Integrata S.p.A. (dal 17/08/2004) Postecom S.p.A. (dal 20/04/2000) SOGEI S.p.A. (dal 26/02/2004)

Elenco dei certificatori di firma digitale riconoscuti da DigitPA


In pratica, come può avvenire il procedimento di conservazione sostitutiva?

1. Si passano sullo scanner i documenti cartacei, memorizzandoli in formato elettronico;2. questi documenti vengono “marcati” con impronte elettroniche che li identifichino

per contenuto, sorgente e data, consentendoli di archiviarli e di conservarli nel formato elettronico.

I faldoni dello studio legale possono dunque essere sostitutiti da un archivio elettronico secondo le regole imposte dalla legge e dai regolamenti, che prevedono un meccanismo strutturato in fasi precise:

• Registrazione• Apposizione della firma digitale• Autenticazione da parte dell’organo certificatore• Controllo da parte degli organi di verifica.

Quindi atti, contratti e fatture potranno essere gestiti nel formato digitale senza perdere la sicurezza della conservazione e la certezza della loro data, fonte e contenuto.


Possibili vantaggi

• I tempi di ricerca dei documenti si accorciano fino all’80%

• Il numero dei documenti persi si riduce del 90%

• Avere a disposizione sul computer tutto l’archivio è inoltre un ottimo punto di partenza per la gestione di sistemi di knowledge sharing (condivisione della conoscenza), perché offre a tutti i componenti dello studio la possibilità di consultare contemporaneamente tutti gli atti.


FIRMA ELETTRONICA


Cos’è la firma digitale

È un sistema a chiavi crittografiche asimmetriche che utilizza un certificato digitale con particolari caratteristiche.

Viene rilasciato da un soggetto con specifiche capacità professionali garantite dallo Stato e viene creata mediante un dispositivo con elevate caratteristiche di sicurezza.

Nell’utilizzo del documento informatico, quando si ha la necessità di una sottoscrizione equivalente a quella autografa, è indispensabile utilizzare la firma digitale.


Quando è utileLa firma elettronica è utile quando è necessario sottoscrivere una dichiarazione ottenendo la garanzia di integrità dei dati oggetto della sottoscrizione e di autenticità delle informazioni relative al sottoscrittore.

Elementi di garanzia della firma elettronica:

1 – Il documento firmato elettronicamente non può essere modificato in alcun modo perché solo il titolare del certificato può aver sottoscritto il documento. Questo perché:

•Possiede il dispositivo di firma (smartcard o token USB)

•E’ l’unico a conoscere il PIN necessario a utilizzare il dispositivo stesso

2 – Il certificatore garantisce la veridicità e la correttezza delle informazioni riportate nel certificato (i dati anagrafici del titolare). Queste forniscono allo strumento firma digitale caratteristiche tali da non consentire al sottoscrittore di disconoscere la propria firma digitale (salvo la possibilità di querela di falso).


Esempi di uso della firma elettronica

• Uso pubblico: denunce, dichiarazioni di cambio residenza o domicilio, richieste di contributi ed esenzioni, ricorsi, ecc.

• Uso privato: sottoscrizione di contratti, verbali di riunioni, risposte a bandi di gara, ecc.

Alcuni comuni che partecipano alla sperimentazione della carta d’identità elettronicahanno dotato i propri cittadini dei dispositivi di firma elettronica, attraverso i quali possono sottoscrivere dichiarazioni, denunce, ricorsi direttamente online.


Equivalenza alla firma autografaLa firma elettronica è equivalente alla firma autografa quando essa soddisfa quattro

requisiti:

1. Deve essere basata su un sistema a chiavi asimmetriche: Deve essere generata con chiavi certificate con le modalità previste nell’allegato I della Direttiva Europea 1999/93/CE sulle firme elettroniche (procedure tecniche specifiche e precise)

2. Deve essere riconducibile a un sistema di chiavi provenienti da un certificatore operante secondo l’allegato II della direttiva e soggetto a vigilanza

3. Deve essere generata utilizzando un dispositivo sicuro che soddisfi i requisiti dell’allegato III.

4. I certificatori iscritti nell’elenco pubblico dei certificatori hanno di fatto le caratteristiche per essere considerati “accreditati”.


Valore legale della firma digitale in Italia

Alla firma digitale che soddisfi i 3 requisiti:

1. Criteri avanzati di elaborazione2. Basata su un certificato qualificato3. Generata attraverso un dispositivo sicuro

Viene data la medesima validità giuridica di una firma autografaautenticata da un pubblico ufficiale.

A tutte le altre tipologie di firma elettronica (ove cioè manchino i 3 o uno dei 3 requisiti di cui sopra) viene esplicitamente conferito valore probatorio, che dovrà però essere analizzato di volta in volta dal giudice nel corso del procedimento legale


Come dotarsi di firma digitale

Per poter generare firme digitali è necessario essere dotati di:

1. Un dispositivo sicuro per la generazione delle firme (smartcard o token USB)

2. Un software in grado di interagire con il dispositivo per la generazione di firme digitali e per la gestione del dispositivo stesso (es. per il cambio del PIN che ne consente l’uso)

Il certificato ha una scadenza, e per questo va rinnovato periodicamente. In genere ha una validità da 1 a 3 anni


In che modo si ottiene il kit di firma digitale

I soggetti che intendono utilizzare la firma digitale devono:

1. Recarsi presso la sede del certificatore per identificarsi

2. sottoscrivere il contratto di servizio e fornitura

3. consegnare l’eventuale documentazione comprovante il possesso dei requisiti richiesti dal certificatore

Le procedure specifiche sono presenti nel manuale operativo di ogni certificatore


Come creare la firma digitale

Occorre considerare:

Chiave privata: utilizzata dal sottoscrittore della firma digitale

Chiave pubblica: è la chiave della quale usufruirà il destinatario del documento per verificare la validità della chiave privata.

Questa viene trasmessa on line al destinatario del documento direttamente dall’ente certificatore (CA), attraverso un apposito software.


1. Occorre disporre di un PC al quale è collegato il lettore/scrittore di smartcard

2. Aprire il software di firma digitale, che ci chiederà di selezionare il documento da sottoscrivere e di inserire la smart card nel lettore, nel caso in cui ancora non avessimo provveduto a farlo

3. Inserire il codice PIN della smart card4. Salvare il file appena sottoscritto, ora pronto ad essere utilizzato5. Il file sottoscritto conserva il suo nome originale, al quale viene aggiunta

l’estensione .p7m

Ad esempio il file contratto.pdf, dopo la sottoscrizione della firma elettronica, sarà salvato come contratto.pdf.p7m

Operazioni da compiere per la sottoscrizione della firma elettronica


La procedura di verifica della firma elettronica

La procedura di verifica della firma elettronica apposta su un documento informatico consente di verificare che:

• Il documento non è stato modificato dopo la firma• Il certificato del sottoscrittore è garantito da una

Autorità di Certificazione inclusa nell’elenco Pubblico dei Certificatori

• Il certificato del sottoscrittore non sia stato sospeso o revocato


Per eseguire queste verifiche, oltre che per rendere leggibile il contenuto del documento, sono utilizzati specifici software. Questi software:

• Sono forniti dai certificatori ai titolari dei certificati di firma elettronica

Ovvero

• In linea di principio, possono essere liberamente da Internet dai comuni cittadini, coloro cioè che non possiedono un kit di firma digitale (es: Firma OK)


http://www.postecom.it/imprese/firmaok.shtml

Operazioni da compiere per la verifica della firma elettronica

E’ necessario disporre di un PC (ma non è necessario disporre di un lettore di smartcard.

E’ necessario dotarsi di un software utile per la verifica del documento e di un collegamento a Internet

E’ necessario che il software di verifica sia aggiornato, cioè abbia caricato in memoria i certificati delle Autorità di Certificazione (CA) necessari per la verifica.

Quando si cercherà di aprire il documento firmato elettronicamente, il software di verifica si collegherà via internet alla lista di revoca dove il certificatore che ha emesso il certificato renderà disponibili le informazioni relative alla sospensione o alla revoca del certificato, nel caso in cui questo si verifichi.


http://www.postecom.it/imprese/firmaok.shtml

A questo punto sappiamo che la sottoscrizione del documento in questione è perfettamente valida, sappiamo chi ha sottoscritto il documento, epossiamo procedere a salvare copia del documento nel formato originale per lavisualizzazione.

Selezionando quindi “Salva documento” dallafinestra principale ci vienechiesto dove salvare il documento acui viene tolta la firma digitale.

Il documento da conservare con le cure del caso è quello inizialmentericevuto, quello che contiene la firma digitale, riconoscibile dall’estensione “p7m”.

Altri prodotti possono ovviamente avere un’interfaccia grafica diversa, modalità operative peculiari, fermo

restando che devono possedere funzionalità atte ad eseguire le verifiche descritte precedentemente.

Posta Elettronica Certificata - PEChttp://alessandroprunesti.wordpress.com

34

La posta elettronica certificata

• La Posta Elettronica Certificata (PEC) è un sistema di posta elettronica nel quale è fornita al mittente documentazione elettronica, con valenza legale, attestante l'invio e la consegna di documenti informatici

• "Certificare" l'invio e la ricezione - i due momenti fondamentali nella trasmissione dei documenti informatici -significa fornire al mittente, dal proprio gestore di posta, una ricevuta che costituisce prova legale dell’avvenuta spedizione del messaggio e dell’eventuale allegata documentazione.Allo stesso modo, quando il messaggio perviene al destinatario, il gestore invia al mittente la ricevuta di avvenuta (o mancata) consegna con precisa indicazione temporale


35

DPR 11 febbraio 2005, n. 68

• Nel caso in cui il mittente smarrisca le ricevute, la traccia informatica delle operazioni svolte, conservata per legge per un periodo di 30 mesi, consente la riproduzione, con lo stesso valore giuridico, delle ricevute stesse.

Il DPR 11 febbraio 2005, n. 68 (G.U. 28 aprile 2005, n. 97) (PDF) disciplina le modalità di utilizzo della Posta Elettronica Certificata (PEC) non solo nei rapporti con la PA, ma anche tra privati cittadini.


http://www.cnipa.gov.it/site/_files/DPR 11 febbraio 2005 n.68.pdf

36


1. nella catena di trasmissione potranno scambiarsi le e-mail certificate sia i privati, sia le PA.

Saranno i gestori del servizio (art. 14), iscritti in apposito elenco tenuto dal Cnipa (che verificherà i requisiti soggettivi ed oggettivi inerenti ad esempio alla capacità ed esperienza tecnico-organizzativa, alla dimestichezza con procedure e metodi per la gestione della sicurezza, alla certificazione ISO9000 del processo), a fare da garanti dell'avvenuta consegna.


37


2) per iscriversi nell'elenco, i gestori del servizio dovranno possedere un capitale sociale minimo non inferiore a un milione di euro e presentare una polizza assicurativa contro i rischi derivanti dall'attività di gestore;

3) I messaggi vengono sottoscritti automaticamente da parte dei gestori con firme elettroniche. Tali firme sono apposte su tutte le tipologie di messaggi PEC ed in particolare sulle buste di trasporto e sulle ricevute per assicurare l’integrità e l’autenticità del messaggio;

4) i tempi di conservazione: i gestori dovranno conservare traccia delle operazioni per 30 mesi;


38


5)i virus: i gestori sono tenuti a verificare l'eventuale presenza di virus nelle e-mail ed informare in caso positivo il mittente, bloccandone la trasmissione (art. 12);

6)le imprese, nei rapporti intercorrenti, potranno dichiarare l'esplicita volontà di accettare l'invio di PEC mediante indicazione nell'atto di iscrizione delle imprese.



La PEC, in confronto alla e-mail tradizionale, assicura:

• L’identificazione precisa e dettagliata del mittente;• l’integrità del messaggio spedito;• La certezza dell’invio e/o della ricezione;• La perfetta corrispondenza e integrità tra il messaggio ricevuto daldestinatario e quello inviato dal mittente

Il Decreto Ministeriale pubblicato nella G.U. del 15 novembre 2005, n. 266 contiene le “Regole tecniche per la formazione, la trasmissione e la validazione, anche temporale, della posta elettronica certificata" , ossia tutti i requisiti tecnico-funzionali che devono

essere rispettati dalle piattaforme utilizzate per erogare il servizio.


http://www.cnipa.gov.it/site/_files/Pec-def.pdf




40

intestazione

testo

allegati

Mittente: PEC Tipo di messaggio

testo

allegati

intesgtazioneOriginal message

or naturallanguage text

Informazioni di certificazione

E-mail tradizionale

Posta elettronica certificata

Mittente,Indirizzo,Oggetto,Data

Provider di posta elettronica certificata

CNIPA

Documenti con firma digitale

Struttura PEC



41

1 – scrittura del messaggio e connessione

con il provider

2 – identificazione dell’utente e verifica di

sicurezza

3 – ricevuta di ricezione

4 – apposizione dei certificati e invio

5 – controllo dell’integrità e dei

certificati

6 – conferma di

validazione dei certificati

7 – invio alla casella di posta elettronica del

destinatario

8 – conferma di ricezione

Invio della posta certificata

Receiver’s PEC domain

Functional schema of PEC

9 –lettura del messaggio


42

Tutti i soggetti della Pubblica Amministrazione che dispongono del serviziodi posta elettronica certificata sono verificabili all’indirizzo:

www.indicepa.gov.it.

L’icona indica la presenza della casella di posta

elettronica certificata


http://www.indicepa.gov.it/

43

Diffusione della PEC in Italia

Altri

9%Industria

18%

Enti di Pubblica Amministrazione

32%

Sanità

2%

Università

o enti di

ricerca, 1%

associations,

unioni e

federazioni

4%Camere di

commercio

12%

banche,finanza,

assicurazioni20%

Welfare

2%

ELENCO PUBBLICO DEI GESTORI(ai sensi del DPR 11 febbraio 2005, n. 68 - G.U. 28 aprile 2005, n. 97)

Cliccare qui per visualizzarlo


http://www.cnipa.gov.it/site/it-IT/Attivit%C3%A0/Posta_Elettronica_Certificata__(PEC)/Elenco_pubblico_dei_gestori/

Il CODICE DELL’AMMISTRAZIONE DIGITALE


http://www.digitpa.gov.it/amministrazione-digitale/CAD-testo-vigente

http://www.digitpa.gov.it/amministrazione-digitale/CAD-testo-vigente

DECRETO LEGISLATIVO 30 dicembre 2010, n. 235


http://alessandroprunesti.wordpress.comhttp://alessandroprunesti.wordpress.com


Diritto processuale penale dell’informatica e investigazioni informatiche


La computer Forensics

E’ la disciplina che si occupa della preservazione, dell’identificazione, dello studio, delle informazioni contenute nei computer, o nei sistemi informativi in generale, al fine di evidenziare l’esistenza di prove

utili allo svolgimento dell’attività investigativa

Ghirardini-Faggioli, Computer Forensics, 2009

•Network forensics acquisizione dei dati in transito su una rete telematica•Mobile Forensics analisi dei telefoni cellulari, palmari e tablet


Il processo di digitalizzazione delle informazioni

relative alla vita personale e lavorativa di ogni individuo pone dunque le basi per la nascita di questa disciplina che ha come scopo quello di identificare, acquisire, analizzare e catalogare i dati presenti nei dispositivi elettronici per il loro uso in giudizio.

L’interpretazione del dato acquisito, infatti, diviene

l’aspetto principale della computer forensics che si

pone l’obiettivo di ricostruire gli eventi di un crimine attraverso l’analisi di un sistema informatico e dei supporti di memoria in esso contenuti.


Lo studio e l’applicazione di nuove tecniche di computer forensics ha avuto ulteriore impulso dopo l’11 settembre.

Il sempre più frequente ricorso a Internt per la comunicazione delle cellule terroristiche e per gli attacchi a infrastrutture critiche ha spinto i governi a porre in essere nuove misure volte alla lotta e alla prevenzione del terrorismo telematico (cyber terrorismo).

Il sensibile aumento delle intercettazioni telematiche e la facilità di intercettazione di dati su sistemi privi di adeguate misure di sicurezza ha

dato vita all’Anti-forensics studio delle tecnologie al fine di

impedire le indagini e i controlli effettuati con procedure di computer forensics.

Cyber-terrorismo e anti-forensics


La prova digitale

La PROVA DIGITALE è caratterizzata dalle qualità proprie del dato

informatico, ovvero l’immaterialità e la fragilità.

Obiettivo della computer forensics, ai fini della piena validità della prova e della sua utilizzabilità in giudizio, è la verificabilità delle procedure attuate durante l’intera indagine informatica. La trasparenza delle operazioni compiute e la loro ripetibilità innanzi al magistrato giudicante, sono conditiosine qua non di ogni perizia in materia di investigazioni informatiche.

Il valore probatorio della prova informatica è inteso come “capacità

di resistenza ad eventuali contestazioni e capacità di convincimento del giudice, delle parti processuali o di altri soggetti in ordine alla genuinità, non ripudiabilità, imputabilità e integrità del dato stesso e dei fatti dallo stesso dimostrati”

Ziccardi, Lineamenti di informatica giuridica avanzata, 2003


Documento informatico e processo civile

Nel procedimento civile, la prova serve all’attore per dimostrare i fatti costitutivi della pretesa vantata in giudizio e a convincere il magistrato della fondatezza delle proprie richieste. In tale sede assumono particolare rilevanza, a livello probatorio, le prove precostituite, cioè quelle prove formate al di fuori del processo e che vengono prodotte in giudizio dalle parti.Le più importanti prove precostituite sono quelle documentali:Atto pubblico, scrittura privata e riproduzione meccanografica.

Tra le prove documentali rientra anche il documento informatico, la cui

idoneità a soddisfare il requisito della forma scritta è liberamente valutabile in giudizio tenuto conto delle sue caratteristiche oggettive di qualità, sicurezza, integrità e immodificabilità. Identico valore probatorio è previsto anche per il documento informatico sottoscritto con firma elettronica.Il documento informatico sottoscritto con firma digitale o altra firma elettronica qualificata invece, ha valore di prova legale ed assume l’efficacia prevista dall’art. 2702 c.c.

Un qualsiasi documento informatico sottoscritto con firma digitale, prodotto in un giudizio civile, avrà quindi lo stesso valore probatorio previsto per la scrittura privata, salvo che il titolare del dispositivo di firma non proponga la querela di falso, fornendo la prova che la sottoscrizione è avvenuta contro la sua volontà

Codice Amm.ne Digitale - Art. 20 co. 1 Bis: “l’idonetà del documento informatico a soddisfare il requisito della forma scritta è liberamente valutabile in giudizio, tenuto conto delle sue caratteristiche oggettive di qualità, sicurezza, integrità e immodificabilità, fermo restando quanto disposto dal comma 2”

Codice Amm.ne Digitale - Art. 21 co. 1: “Il documento informatico cui è apposta una firma elettonica, sul piano probatoriio è liberamente valutabile in giudizio, tenuto conto delle sue caratteristiche oggettive di qualità, sicurezza, integrità e immodificabili”

Codice Amm.ne Digitale - Art. 21 co. 2 : “Il documento informatico, sottoscritto con firma digitale o con un altro tipo di firma elettronic qualificata, ha l’efficacia prevista dall’ Arrt. 2702 del codice civile. L’utilizzo del dispositivo di firma di presume riconducibile al titolare, salvo che questi dia prova contraria”

Art. 2702 c.c. – Efficacia della scrittura privata : “La scrittura privata fa piena prova, fino a querela di falso, della provenienza delle dichiarazioni da chi l’ha sottoscritta, se colui contro il quale la scrittura è prodotta ne riconosce la sottoscrizione, ovvero se questa è legalmente considerata come riconosciuta”


Gli strumenti di ricerca della prova digitale nel processo penale

Nel giudizio penale, la prova aiuta il magistrato a valutare se la condotta dell’imputato

integri una fattispecie di reato prevista dalla legge.

Il giudice può disporre l’acquisizione di qualunque mezzo di prova ritenuto idoneo all’accertamento dei fatti purché non pregiudichino la libertà morale della persona

(Art. 189 c.p.p.)

Il processo penale, al contrario di quello civile, non è caratterizzato dalla tipicità dei mezzi di prova ammissibili, ma dagli strumenti previsti dal legislatore per la ricerca di fonti di prova a sostegno dell’accusa.

La ricerca dei mezzi di prova ricade principalmente all’interno della delicata fase delle

“indagini preliminari” imperniata sull’attività investigativa svolta dall’autorità

giudiziaria, sotto la direzione e il costante controllo del pubblico ministero e volta ad acquisire elementi di prova che consentano di ricostruire gli eventi e a sostenere, se nel caso, l’accusa.

I mezzi di ricerca della prova previsti dal codice di procedura penale sono le

ispezioni, le perquisizioni, i sequestri e le intercettazioni.


Le ispezioni, disciplinate dall’art. 244 c.p.p., sono disposte con decreto motivato dal

pubblico ministero “quando occorre accertare le tracce e gli altri effetti materiali del reato”.

Art. 8 L.48/2008 “Modifiche al titolo III del libro terzo del c.p.p.” ha aggiunto il seguente periodo: “…anche in relazione a sistemi informatici o telematici, adottando misure tecniche dirette ad assicurare la conservazione dei dati originali e ad impedirne l’alterazione”.

Questa norma introduce il concetto di “misure tecniche” volte all’acquisizione e conservazione del dato digitale, nonché isure per la sua conservazione, elementi mutuati dalle nozioni di base della computer forensics.

Il trattamento del dato digitale nelle fasi di ispezione, perquisizione o sequestro è il momento più delicato della fase investigativa: l’applicazione di un corretto metodo di lavoro è fondamentale per non compromettere informazioni rilevanti per l’impianto accusatorio.

La ricerca della prova digitale si estende, oltre che sui PC, anche su fotocamere digitali, lettori multimediali, pen drive usb, navigatori satellitari, e qualsiasi device disponga di una memoria.

Art. 247 c.p.p.: Le perquisizioni possono essere estese anche ai sistemi informatici, con l’ausilio di personale specializzato.


Art. 254 bis c.p.p.: Il Legislatore, con la L- 48/08, ha formulato una nuova norma inerente

il sequestro di dati informatici presso fornitori di servizi informatici,

telematici e di telecomunicazioni, con espressa previsione dell’obbligo di adozione di opportune misure volte alla tutela dell’integrità del dato acquisito e alla sua conformità al dato originale.

La stessa norma prevede la concreta possibilità di ordinare al service provider di “conservare e proteggere adeguatamente i dati originali” con obbligo, quindi, di evitare che gli stessi vengano alterati o distrutti.


Intercettazioni di comunicazioni e conversazioni telematiche

Oggi i criminali tendono a sostituire le chiamate telefoniche e gli scambi di email con le

comunicazioni VOIP, che consentono comunicazioni difficilmente intercettabili

dalle forze di polizia, perché utilizzano algoritmi di crittografia la cui possibilità decodifica è difficile e, quindi, altamente improbabile.

Skype

Utilizzato da più di 400 milioni di utenti nel mondo, compresi, purtroppo, molti criminali.

Gli algoritmi di cifratura del software sono proprietari.L’impossibilità di intercettare le comunicazioni effettuate via Skypeha portato il Ministero dell’Interno a costituire un pool di esperti con lo scopo specifico di rendere possibile le intercettazioni delle

comunicazioni tra gli utenti.

Per questo motivo, al momento, si privilegiano i vecchi metodi di intercettazione, quali le intercettazioni ambientali, che

consentono però di captare solo una parte della conversazione, soprattutto se uno dei 2 utenti è all’estero.

Nel 2009 Skype ha annunciato di essere pronta a lavorare fianco a fianco di

Eurojust, l’organo istituito nel 2002 allo scopo di promuovere il

coordinamento di indagini e procedimenti giudiziari fra gli Stati membri dell’Ue.

Apertura giudicata cautamente positiva negli ambienti investigativi, visto che in passato Skype aveva affermato di collaborare già con le autorità.

http://ricerca.repubblica.it/repubblica/archivio/repubblica/2009/02/14/su-skype-il-boss-imprendibile.html


http://www.eurojust.europa.eu/

http://ricerca.repubblica.it/repubblica/archivio/repubblica/2009/02/14/su-skype-il-boss-imprendibile.html

http://www.eurojust.europa.eu/


Informatica e Pubblica Amministrazione

Art. 18, comma 2, L. 241/1990: questa norma, anche se ancora largamente inattuata, pone a suo fondamento il principio giuridico, finora sconosciuto alla Pubblica

Amministrazione, dell’inversione dell’onere della prova documentale.

L’obbligo di provare fatti, stati e qualità già note all’amministrazione non è più a carico del cittadino, ma è compito della Pubblica Amministrazione.

L. 241/1990: Nuove norme in materia di procedimento amministrativo e di diritto di accesso ai documenti amministrativi

Con questo principio la pubblica amministrazione si presenta davvero come un servizio rivolto al cittadino.

La telematica e l’informatica sono gli strumenti di base per favorire l’assunzione di questo nuovo ruolo da parte della P.A.


Tutta la normativa in materia è basata sullaL. n. 48/2008

di ratifica ed esecuzione della Convenzione del Consiglio Europeo sulla criminalità informatica, stipulata a Budapest il 23 novembre 2001

Essa ha apportato alcune modifiche alla disciplina penale dei reali informatici, andando a ritoccare fattispecie incriminatrici preesistenti collocate nel libro II c.p. ai titoli V, VII,

XII, XIII e configurandone di nuove.

REATI INFORMATICI


REATI INFORMATICI (art. 635 bis c.p.)

IL reato di danneggiamento informatico è stato introdotto per la prima volta dalla L. 547/1993, che introduce l’art. 635 bis c.p.:

Danneggiamento di informazioni, dati e programmi informatici.

Questo articolo, oltre a modificare il testo della fattispecie in esame, ha introdotto altre 3 figure autonome di reato.

I beni tutelati ex art. 635 bis c.p. sono i dati, le informazioni e i programmi, cioè entità immateriali.

I sistemi informatici e telematici sono protetti dall’art. 635 quarter.

Tale fattispecie, dunque, tutela quello che è il contenuto dei sistemi informatici o telematici.


Condotta: sono quelle già previste dal vecchio art. 635 bis, modellato sulla figura tradizionale del danneggiamento:

Distruggere, deteriorare, rendere inservibili

e quelle nuove, riferibili a dati, informazioni e programmi:

CancellareAlterare

Sopprimere

Aggravanti: Nel caso in cui il danneggiamento di dati informatici o programmi si realizzitramite violenza sulle persone o con minacce, o se il fatto è commesso con l’abusodella qualità di operatore del sistema.Nell’ipotesi semplice: è previsto a querela della persona offesa;Nell’ipotesi aggravata: scatta la perseguibilità d’ufficio.

Art. 635 ter: Danneggiamento di informazioni, dati e programmi informatici utilizzatidallo Stato o da altro ente pubblico, o comunque di pubblica utilità

Tale fattispecie incrimina in forma anticipata fatti analoghi a quelli di cui all’art. 635 bisc.p. commessi però contro programmi utilizzati dallo Stato o da un ente della PubblicaAmministrazione.


Essendo sottesa la rilevanza pubblica, il trattamento sanzionatorio è rigoroso:

Oggetto giuridico: è lo stesso del 635 bis, ma qualificato dalla rilevanza pubblica degli oggetti dell’azione.

Condotta: commettere un fatto diretto a distruggere, danneggiare, cancellare, alterare, sopprimere informazioni, dati e programmi di rilevanza pubblica.

Aggravanti: uso di violenza o minaccia / abuso di qualità di operatore del sistema.

Art. 635 quarter c.p.: danneggiamento di sistemi informatici o telematici

Questa nuova fattispecie di reato prende in considerazione soltanto il danneggiamento di sistemi informatici e telematici concepiti in senso stretto.


Sistema informatico

Complesso organico per l’elaborazione automatizzata dei dati per mezzo di elaboratori elettronici, costituito da componenti materiali (hardware).Vi rientrano anche:•Le carte di pagamento con microprocessore•Le carte di pagamento a banda magnetica

Sistema telematicoComplesso organico per l’elaborazione e la comunicazione a distanza di dati per mezzo di strumenti informatici.

L’ultima riforma ha aumentato le pene previste per il danneggiamento di sistemi informatici e telematici, in quanto a tale reato è stato attribuito un danno maggiore rispetto al danno provocato a dati, programmi e informazioni.


Condotta: Oltre a quelle richiamate già dall’art. 635 bis, introduce nmuove modalità comportamentali:

IntroduzioneTrasmissioneDi dati, informazioni o programmi

Da una delle suddette forme di condotta ne consegue un evento, consistente nella distruzione, danneggiamento, inutilizzabilità, grave ostacolo al funzionamento del sistema informatico.

Aggravanti: le stesse dell’art. 635 bis c.p.


Art. 635 quinques c.p.: danneggiamento di sistemi informatici o telematici di pubblica utilità

Da un punto di vista strutturale, tale norma ripete lo schema dell’art. 635 ter c.p.

Art. 640 quinques c.p.: frode informatica del soggetto che presta servizi di certificazione di firma elettronica

Nel configurare questa nuova fattispecie, il legislatore ha utilizzato lo stesso modello dell’art. 495 bis che punisce le false dichiarazioni sull’identità, lo stato e le qualità personali rese a un certificatore nel caso di apposizione di firma elettronica.

Prima dell’introduzione di questa fattispecie criminosa, la responsabilità del certificatore era soltanto di natura civilistica (ex art. 30, comma 1, Dlgs 82/2005).

I soggetti certificatori sono definiti dall’art. 1, comma 1, lett. G, del Dlgs 82/2005 come quei soggetti che prestano servizi di certificazione delle firme elettroniche o che forniscono altri servizi connessi con queste ultime.


Ad essi è attribuita la possibilità di svolgere i servizi connessi al servizio di certificatore, tra i quali si individuano (secondo quanto stabilità dalla Direttiva 1999/93/CE):

Si tratta dunque di un reato proprio, perché solo il soggetto che presta servizi di certificazione potrà violare gli obblighi previsti dalla legge per il rilascio di un certificato qualificato.


Reati informatici Responsabilità amministrativa degli Enti

La Legge 48/2008 ha inserito nel Dlgs. 231/2001 l’art. 24 bis, estendendo la responsabilità amministrativa degli enti anche ai delitti informatici e al trattamento illecito di dati, in coerenza con l’evoluzione della tecnologia digitale.

Al fine di non incorrere nella responsabilità amministrativa, gli Enti devono dotarsi di un modello: devono, cioè, predisporre preventive e idonee misure di sicurezza e di controllo per prevenire che al loro interno possano configurarsi reati informatici.

L’ente può essere chiamato a rispondere di tale responsabilità solo se colui che commette uno dei reati elencati dal Dlgs. 231/01 sia un soggetto apicale o un suo sottoposto e sempre che il fatto illecito apporti all’ente un interesse o un vantaggio.


Testo consigliato per lo studio

Giancarlo Taddei Elmi, Corso di Informatica giuridica, III Edizione,

Edizioni Simone


Corso di informatica giuridica

Education

Transcript of Corso di informatica giuridica