Digital Forensics

Digital Forensicsdi Gianluca Satta e Federico Aresti

A.A. 2014/15Corso di Laurea Magistrale in

Ingegneria delle Telecomunicazionihttp://tlc.diee.unica.it/

Slides a cura dell’Avv.to Gianluca Satta

Nell’ambito del Corso di Diritto dell’Informatica e delle Nuove Tecnologie

Docente: Massimo Farina [email protected]

DIRITTO DELL’INFORMATICA E DELLE NUOVE TECNOLOGIE - A.A. 2014/2015 - MASSIMO FARINA

Univ. CA - Corso di Laurea Magistrale in Ingegneria delle Telecomunicazioni

Digital Forensics

2

Digital

Forensics



Digital Forensics

3

Digital Forensics

Acquisizione, conservazione e analisi delle evidenze

informatiche, in modo da garantire che le stesse siano

utilizzabili in sede processuale

Civile Penale

reati informatici

in senso stretto

reati informatici

“in senso lato”



Digital Forensics

4

Ragionamento (logico) che da un fatto noto ricava l’esistenza di un

fatto avvenuto nel passato

La prova

Ogni decisione del giudice, sia in sede penale che civile, ruota attorno

alla ricostruzione dei fatti accaduti attraverso le prove raccolte dalle

parti

Consente all’organo giudicante la ricostruzione dei fatti e, quindi, la

decisione su ogni singolo caso



Digital Forensics

5

Il processo civile Codice di Procedura Civile

fasi concatenate e successive, secondo un ordine preciso

Risolvere una controversia sorta tra soggetti

privati o tra privati e un ente pubblico, in

relazione ad un rapporto di tipo privatistico

Contraddittorio davanti ad un giudice terzo

Consentire la difesa alla parte nei confronti

della quale è rivolta una domanda giudiziale

Funzione

Attore o ricorrente Convenuto o resistentedomanda giudiziale



Digital Forensics

6

Fase istruttoria

Elementi riguardanti i fatti e i diritti coinvolti

Decisione della controversia attraverso un provvedimento

Sentenza

Organi giurisdizionali

(gradi)

1) Giudice di Pace e

Tribunale Ordinario Civile

2) Corte d’Appello Civile

3) Corte di Cassazione



Digital Forensics

7

La prova nel processo civile

principio della tipicità dei mezzi di prova

espressamente previste e disciplinate per legge

o prova documentale

o la confessione

o il giuramento

o la testimonianza

o l'ispezione

o le scritture contabili delle imprese soggette a

registrazione

o la consulenza tecnica



Digital Forensics

8

Le prove possono essere suddivise, avendo riguardo al loro oggetto:

diretta: quando ha ad oggetto il fatto stesso che deve essere provato (es. la

testimonianza di chi ha la personale conoscenza del fatto), immediatamente

rilevante per il giudizio;

indiretta: quando ha ad oggetto un fatto diverso dal quale può essere dedotto

il fatto che deve essere provato (c.d. presunzione semplice: art. 2727 c.c.);

contraria: quando ha ad oggetto l'inesistenza del fatto che deve essere

provato dalla controparte

Oggetto della provafatti di causa, ossia le circostanze di fatto

dedotte dalle parti a fondamento delle loro

domande ed eccezioni

Principio dispositivo: il giudice, salvi i casi previsti dalla legge, deve porre a

fondamento della decisione le prove proposte dalle parti.

Principio dell’onere della prova: chiunque voglia far valere un diritto deve provare i fatti

a fondamento dello stesso



Digital Forensics

9

Costituende, ovvero quelle che fanno ingresso

nel processo con l'attività di assunzione e che,

pertanto, si formano nel corso del processo

Precostituite, che pre-esistono rispetto al

momento in cui sono prodotte in giudizio, e che

quindi necessitano solo di essere messe a

disposizione del giudice

Prove

Assunzione delle prove

disposta dal giudice con ordinanza, previo accertamento:

dell’ammissibilità - deve trattarsi di prove consentite dalla legge

della rilevanza - deve trattarsi di prove utili ai fini del giudizio



Digital Forensics

10

Il consulenza tecnica nel processo civile

strumento principale per acquisire le prove digitali nell’ambito di un processo

Art. 61 C.p.c.

Quando è necessario, il giudice può farsi assistere, per il

compimento di singoli atti o per tutto il processo, da uno o più

consulenti di particolare competenza tecnica. La scelta del

consulente deve essere normalmente fatta tra le persone iscritte in

albi speciali

Consulente in

Digital Forensics

manca un albo speciale

soggetti che presentano un curriculum

professionale che garantisce sufficienti

competenze tecniche in qualità di forenser



Digital Forensics

11

Il consulente tecnico: figura di ausilio del giudice quando

son richieste particolari competenze tecniche per decidere un

singolo aspetto della controversia.

Funzione: - integrare l’attività del giudice;

- esprimere giudizi ed effettuare verifiche nei limiti

delle richieste a lui rivolte da parte del giudice

stesso.

Presupposto per la sua nomina: carenza di conoscenze

tecniche da parte dell’organo giudicante



Digital Forensics

12

Valore processuale della consulenza tecnica d’ufficio (CTU)

non è considerata una vera e propria prova

strumento utile ad integrare le conoscenze del giudice nella fase

dell’istruzione probatoria.

Non ha la funzione di accertare i fatti

Fornire alle parti le regole tecniche utili da applicare al caso

concreto e finalizzate a consentire la soluzione della

controversia.

Talvolta può essere fonte di prova, quando con l’attività di

accertamento si rilevano elementi di fatto conoscibili unicamente

attraverso le cognizioni tecniche del consulente



Digital Forensics

13

La nomina del CTU

4) All’udienza fissata, il giudice

indica i quesiti che il consulente

d’ufficio è tenuto a rispondere

2) Fissa l’udienza per la comparizione e

il giuramento del consulente1) Il giudice nomina il consulente

3) contestualmente viene assegnato un

termine alle parti per la nomina di un

proprio consulente tecnico di parte (CTP)

5) La data e l’ora di inizio delle operazioni peritali sono comunicate dal CTU ai

consulenti di parte e a partire da tale momento decorrono i termini per il deposito

dell’elaborato



Digital Forensics

14

L’attività del CTU

Il CTU si interfaccia con le parti e con il giudice

Può compiere indagini di sua iniziativa anche fuori della circoscrizione

giudiziaria, sempre nel rispetto del vincolo costituito dai quesiti posti nel

provvedimento di nomina.

Le parti possono intervenire alle operazioni peritali attraverso la nomina di

un proprio consulente, il quale ha diritto di assistere e di formulare

osservazioni e istanze al CTU

La perizia: relazione redatta dal Consulente Tecnico

Il giudice (peritus peritorum), per decidere la controversia, può scegliere se

utilizzare le risultanze della perizia oppure se disattenderle; in quest’ultimo

caso però è tenuto a motivare la sua scelta



Digital Forensics

15

Il processo penale Codice di Procedura Penale

Interesse pubblico alla repressione dei reati e all’applicazione delle sanzioni

penali nei confronti dei soggetti ritenuti responsabili di condotte illecite,

integranti le fattispecie penali previste dall’ordinamento

Funzione: accertare la fondatezza o meno della pretesa punitiva dello Stato

in relazione a un determinato reato attribuito ad un soggetto

Sistema accusatorio

Il giudice ha un ruolo neutrale (terzo ed imparziale) rispetto alle parti

Imputato (indagato)

accusato del reato

Pubblico Ministero o PM

(Pubblica accusa)



Digital Forensics

16

Principi del sistema accusatorio

Contraddittorio: le prove sono assunte con la partecipazione di tutti i

soggetti del processo

Oralità: il processo si svolge in forma orale e le prove sono raccolte

oralmente dinnanzi al giudice

Presunzione di innocenza del reo: fino a che non interviene sentenza

irrevocabile di condanna, l’imputato si ritiene innocente

Sistema inquisitorio: - l’iniziativa è del giudice inquirente, non delle parti

- assenza di limiti al potere di ricerca, ammissione,

e valutazione delle prove



Digital Forensics

17

NOTIZIA CRIMINIS

INDAGINI PRELIMINARI

RICHIESTA DI RINVIO A

GIUDIZIO (esercizio dell’azione

penale)

ARCHIVIAZIONE

Infondatezza della notizia criminis, reato

estinto, fatto non è reato, autore è

ignotoUDIENZA PRELIMINARE

SENTENZA DI

NON LUOGO A PROCEDERE

Se reato è estinto (morte del reo), azione

penale non doveva essere iniziata (manca

querela, o remissione di querela), il fatto non

è reato, il fatto non sussiste (mancano gli

elementi essenziali del reato – condotta,

evento, nesso causalità), l’imputato non lo

ha commesso, il fatto non è reato (manca il

dolo, o la colpa)

DECRETO CHE

DISPONE IL GIUDIZIO

DIBATTIMENTO

SENTENZA Sent. di PROSCIOGLIMENTO

Le fasi del processo penalegiudizio di primo grado...



Digital Forensics

18

GIUDICE DI PACE

Reati minori

TRIBUNALE

Cognizione di prima istanza

CORTE D’ASSISE

Reati gravi. Giudici popolari.

Secondo grado

Mezzo di impugnazione ordinario. Nuova valutazione nei limiti dei motivi dedotti. Si

giudica anche sul merito (gravame). Rinnovazione dell’istruzione dibattimentale.

CORTE D’APPELLO CORTE D’ASSISE D’APPELLO

Terzo grado

Mezzo di impugnazione ordinario costituzionalmente garantito. Motivi deducibili limitati

(solo questioni di diritto). Decisioni: annullamento con rinvio. Annullamento senza rinvio.

Funzione nomofilattica (SS.UU.) – esatta osservanza e uniforme interpretazione della

legge.

I gradi del processo

Primo grado

CORTE DI CASSAZIONE



Digital Forensics

19

Il codice di procedura penale disciplina tutto il procedimento e, in particolare

detta le regole in materia di ricerca, ammissione, assunzione e valutazione

della prova.

Il procedimento probatorio in ambito penale

La ricerca delle fonti di prova, e quindi degli elementi di prova, spetta al

Pubblico Ministero, che ha l’onere della prova, e alla Polizia Giudiziaria

coordinata dal PM o di sua iniziativa.

L’ammissione dei mezzi di prova spetta al Giudice su richiesta delle parti,

che possono chiedere l’esame di un testimone o l’acquisizione di un

documento. Il Giudice decide sull’ammissione se la prova è pertinente, non

vietata dalla legge e rilevante per il processo.

L’assunzione avviene attraverso l’esame incrociato (testimonianza) oppure

con l’acquisizione (documento).

La valutazione spetta solo al Giudice.

L’elemento di prova, in seguito a questo procedimento, diviene “risultato

probatorio” o prova.



Digital Forensics

20

Le indagini preliminari

• Fase pre-processuale: si svolge prima dell’esercizio dell’azione penale.

• Inizia con l’acquisizione della notizia di reato - c.d. notitia criminis

• Segreto istruttorio, il soggetto indagato non conosce dell’esistenza di

indagini nei suoi confronti

Il Pubblico Ministero:

provvede immediatamente ad iscrivere la notizia di reato, annotandone

gli estremi, in un apposito registro (R.n.R.)

coordina e dirige tutte le indagini finalizzate all’accertamento del fatto

ed all’individuazione del colpevole

si avvale della collaborazione della Polizia Giudiziaria a cui delega il

compimento di atti di indagine

Gli atti che compie non hanno valore di prova

atti di indagine finalizzati ad acquisire fonti di prova in ordine al fatto-

reato per cui si procede

raccoglie tutti gli elementi probatori utili ad esercitare l'azione penale



Digital Forensics

21

Le indagini preliminari

Gli atti acquisiti in sede di indagini NON sono utilizzabili, salvo qualche

eccezione, nella fase successiva del dibattimento.

La prova si forma nel contraddittorio delle parti e nella dialettica

dibattimentale.

Art. 111, Costituzione Italiana

“(…) Ogni processo si svolge nel contraddittorio tra le parti, in condizioni di

parità, davanti a giudice terzo e imparziale

(…) Il processo penale è regolato dal principio del contraddittorio nella

formazione della prova.

(…) La legge regola i casi in cui la formazione della prova non ha luogo in

contraddittorio per consenso dell'imputato o per accertata impossibilità di

natura oggettiva (…)”

Es. le dichiarazioni fornite dalla persona informata sui fatti, da fonti di prova, se

confermate in dibattimento con la testimonianza, diventano prove vere e proprie



Digital Forensics

22

Dibattimento: istruzione dibattimentale

formazione ed acquisizione della prova

Regole e principi:

contradditorio delle parti

oralità (l’assunzione delle prove deve necessariamente formarsi

davanti ad un giudice terzo, nella dialettica delle parti),

pubblicità (salvo alcune eccezioni previste dalla legge, il processo si

celebra alla presenza del popolo)

immediatezza e concentrazione (l’intera attività dibattimentale deve

svolgersi nel lasso di tempo più breve possibile).

Il giudice pronuncia

sentenza di condanna o di assoluzione



Digital Forensics

23

Consiste nella dimostrazione della verità e del modo di essere di un fatto o

di una circostanza inerenti: all'imputazione contestata, alla punibilità, alla

determinazione della pena, all'applicazione delle misure di sicurezza, la

responsabilità civile e l'applicazione di norme processuali.

Rappresentano gli elementi sui quali deve basarsi il convincimento del

giudice

La prova nel processo penale

sono prodotte dalle parti del processo

(P.M. e difensore dell’imputato)

Il giudice decide sulla

richiesta di ammissione



Digital Forensics

24

Mezzi di prova (incorporano la prova):

La testimonianza (art. 194 c.p.p.), esame delle parti (artt. 208 – 210 c.p.p), i

confronti (art. 211- 212 c.p.p.), le ricognizioni (art. 213 – 217 c.p.p.), gli

esperimenti giudiziali (artt. 218- 219 c.p.p.), la perizia e la consulenza tecnica

(artt. 220 ss. c.p.p.), i documenti (artt. 234 e ss. c.p.p.).

Mezzi di ricerca della prova:

Le ispezioni (artt. 244 – 246 c.p.p.), le perquisizioni (artt. 247 -252 c.p.p.), il

sequestro probatorio (artt. 253 – 263 c.p.p.), le intercettazioni (art. 266 – 271

c.p.p.)

Prove atipiche (art. 189 c.p.p.): non sono espressamente previste dal Codice

e sono ammesse, previa consultazione delle parti sulle modalità di

assunzione, solo se sono idonee ad assicurare l'accertamento dei fatti e

non pregiudicano la libertà morale della persona.



Digital Forensics

25

I mezzi di prova

forniscono al giudice risultanze

probatorie direttamente utilizzabili in

sede di decisione

sono funzionali alla formazione

della prova in sede processuale

la loro disciplina normativa ha

riguardo principalmente alle

modalità della loro assunzione, che

può avvenire solo davanti al giudice

del dibattimento

possono essere assunti, sia pure in

via eccezionale e con molti limiti,

durante le indagini preliminari con la

garanzia del contradditorio,

mediante incidente probatorio

I mezzi di ricerca della prova

non sono di per sé fonte di

convincimento del giudice

rendono possibile acquisire prove

materiali, tracce o dichiarazioni dotate di

attitudine probatoria

funzionali all’introduzione nel processo

di elementi probatori preesistenti

possono essere disposti, oltre che dal

giudice, anche dal pubblico ministero, e,

in alcuni casi, possono essere compiuti

dalla polizia giudiziaria durante le

indagini preliminari

si basano sul “fattore sorpresa”, non

consentono il preventivo avviso al

difensore dell’indagato quando sono

compiuti nella fase delle indagini



Digital Forensics

26

Perito Consulente tecnico di parte (CTP)

nominato dal giudice

nominato dalle altre parti processuali:

imputato (indagato), persona offesa

(parte civile) o responsabile civile

Il giudice può procedere alla

nomina del proprio perito:

nella fase del dibattimento

nel corso dell’incidente

probatorio

Il Pubblico ministero, così come le

altre parti processuali, possono

nominare il consulente tecnico:

durante le indagini preliminari

durante il giudizio

L’incidente probatorio è richiesto dal PM o dalla persona sottoposta alle indagini durante la

fase delle indagini preliminari quando non è possibile attendere la fase dibattimentale per

l’assunzione dei mezzi di prova, ed è considerata come un’anticipazione del dibattimento;

infatti, l’assunzione delle prove avviene nel contraddittorio delle parti e le prove sono

direttamente utilizzabili nel dibattimento



Digital Forensics

27

Presupposto per la nomina del perito

Quando occorre svolgere indagini o acquisire dati o valutazioni che richiedono

specifiche competenze tecniche, scientifiche o artistiche, il giudice nomina un perito,

scegliendolo tra gli iscritti negli appositi albi o tra persone fornite di particolare

competenza nella specifica disciplina.

Criteri per la nomina

Qualora il giudice ritenga di dover nominare un soggetto non iscritto agli albi, deve

motivare le ragioni della sua scelta; in ogni caso, deve evitare di nominare persone che

hanno svolto o svolgono attività di consulenza in procedimenti collegati

Modalità di nomina del perito

Disposta dal giudice con ordinanza contenente: la nomina del perito (possono anche

essere nominati più periti), la sommaria enunciazione dell'oggetto delle indagini,

l'indicazione del giorno, dell'ora e del luogo fissati per la comparizione del perito.



Digital Forensics

28

Contraddittorio nella perizia

Al fine di instaurare il contraddittorio anche durante le operazioni peritali, il pubblico

ministero e le parti private possono nominare un proprio consulente tecnico in numero

non superiore, per ciascuna parte, al numero dei periti. Il Pubblico Ministero, di regola,

nomina il proprio consulente tecnico scegliendolo tra le persone iscritte negli albi dei

periti

Durante l’udienza di nomina del perito il giudice:

1. accerta le generalità del perito

2. verifica l’assenza di cause di incompatibilità con l’ufficio

3. procede all’affidamento della perizia avvertendolo degli obblighi e delle responsabilità

previsti dalla legge penale

4. formula i quesiti con la partecipazione dei consulenti tecnici di parte, del pubblico

ministero e dei difensori presenti: il giudice controlla e valuta l’attività del perito sin

dalle fasi della sua nomina (peritus peritorum) e circoscrive l’oggetto da provare

(thema probandum)



Digital Forensics

29

Il giudice fissa il termine che non può, in ogni caso, eccedere i 90 giorni.

Il giudice può prorogare per periodi non superiori a trenta giorni, anche

più volte:

su richiesta motivata del perito

qualora sia necessario procedere ad accertamenti di particolare

complessità

In ogni caso il termine finale per rispondere ai quesiti non può superare i

sei mesi

Termine per depositare la perizia



Digital Forensics

30

Il Pubblico Ministero e le parti possono nominare e avvalersi di consulenti

quando è necessario procedere ad accertamenti, rilievi segnaletici, descrittivi

o fotografici e ad ogni altra operazione tecnica per cui sono necessarie

specifiche competenze.

Anche la Polizia Giudiziaria, nello svolgimento delle sue funzioni e

nell’esecuzione delle attività delegate di indagine, quando deve procedere

ad atti od operazioni che richiedono specifiche competenze tecniche può

avvalersi di persone idonee, le quali non possono rifiutare la propria

opera. Il soggetto così impiegato diviene ausiliario di polizia giudiziaria.

Il consulente tecnico nelle indagini preliminari

Consulenza tecnica extraperitale

Strumento autonomo con il quale le parti possono offrire il proprio

contributo tecnico per la decisione finale del giudice.

I risultati dell’attività del consulente possono essere esposte al giudice sia

oralmente che per iscritto, mediante il deposito di memorie.



Digital Forensics

31

Atti di indagine della Polizia Giudiziaria

Soggetto processuale e organo di investigazione, non è parte processuale (al

contrario del P.M.).

La P.G., di sua iniziativa o su delega del P.M., ha il compito di:

Prendere notizia dei reati

Impedire che i reati vengano portati a conseguenze ulteriori

Ricercare gli autori dei reati

Compere tutte le operazioni necessarie per assicurare le fonti di prova

Raccogliere tutti gli elementi utili per l’applicazione della legge penale

Obbligo di riferire la notizia di reato e assicurare le fonti di prova (art. 347-348

c.p.p.)

Identificazione della persona nei cui confronti vengono svolte le indagini e di

altre persone (art. 349 c.p.p.)

Sommarie informazioni da parte dell’indagato o delle persone informate sui

fatti (art. 350-351 c.p.p.)

Perquisizioni (art. 352 c.p.p.)

Acquisizioni di plichi o corrispondenza (art. 353 c.p.p.)

Accertamenti urgenti e sequestro (354 c.p.p.)

Documentazione dell’attività di P.G. (art. 357 c.p.p.)

C.P.P.



Digital Forensics

32

Atti di indagine del P.M.

consulenze tecniche (art. 359 c.p.p.)

accertamenti tecnici non ripetibili (art. 360 c.p.p.)

individuazione di persone e di cose (art. 361 c.p.p.)

Assunzione di informazioni (art. 362 c.p.p.)

Interrogatorio dell’indagato o di persona imputata in un procedimento

connesso (art. 375, comma 4 – 363 c.p.p.)

Confronti (art. 364 c.p.p.)

esame delle persone informate sui fatti

ispezione delle persone, delle cose e dei luoghi (art. 244 c.p.p.)

perquisizioni personali e locali (art. 247 c.p.p.)

Sequestri (art. 252 e ss. c.p.p.)

intercettazione di conversazioni, comunicazioni telefoniche e altre forme di

telecomunicazione (art. 266 e ss. c.p.p.)



Digital Forensics

33

Convenzione di Budapest (2001) - Convenzione del Consiglio d’Europa

sulla Criminalità informatica, fatta a Budapest il 23 Novembre 2001, e norme

di adeguamento dell’ordinamento interno

Ratificata in Italia con la Legge 18 marzo 2008 n. 48

concentrazione della competenza

per i reati informatici presso gli

uffici di procura distrettuale

novità nelle

indagini investigative

informatiche



Digital Forensics

34

Garanzie fondamentali

per i mezzi di ricerca della prova informatica:

1) dovere di conservare inalterato il dato informatico originale nella

sua genuinità;

2) dovere di impedire l’alterazione successiva del dato originale;

3) dovere di formare una copia che assicuri la conformità del dato

informatico acquisito rispetto a quello originale;

4) dovere di assicurare l’immodificabilità della copia del documento

informatico;

5) garanzia delle installazioni di sigilli informatici sui documenti

acquisiti.



Digital Forensics

35

Computer Forensics: la disciplina che si occupa della preservazione,

dell’identificazione, conservazione, analisi e documentazione dei reperti

informatici e delle informazioni contenute nei computer, o nei sistemi

informativi in generale, al fine di presentare prove digitali valide nei

procedimenti civili e penali

Digital Forensics: altro nome per identificare la Computer

Forensics. Secondo alcuni studiosi ed esperti della materia,

sarebbe più corretto parlare di Digital Forensics in quanto

concetto più ampio e in grado di ricomprendere anche le attività

forensi sui dispositivi diversi dai computer (es. smartphone,

tablet), oggi sempre più diffusi e oggetto di investigazioni

Premessa



Digital Forensics

36

Digital evidence: la misura atomica delle indagini nel mondo digitale

Computer forensics: materia che si occupa del processo teso alla

manipolazione controllata e, più in generale al trattamento di dati e/o

informazioni digitali e sistemi informativi per finalità investigative e di giustizia

Integrità

Autenticità

Disponibilità dei dati

Informatica forense vs. Sicurezza Informatica

La sicurezza informatica è sia ostacolo e che fonte di strumenti per

l’informatica forense. Più i sistemi sono sicuri e meno è possibile introdursi

per estrarre informazioni (antiforensics). La sicurezza informatica fornisce

anche le conoscenze tali per violare i sistemi (hacking) e accedere alle

informazioni (digital evidences)



Digital Forensics

37

Digital investigation (informatica investigativa): non indica più un attività

svolta su strumenti informatici o telematici, ma l’informatica è al servizio delle

indagini e della ricerca di informazioni sul web (es. Facebook, Twitter,

Google+, Linkedin ecc…)

Digital evidence (evidenze digitali o prove digitali)

Definizione: fonti di informazione, fonti di prova, tracce utili a ricostruire le

dinamiche di una condotta integrante un reato.

Caratteristiche: sono memorizzate all’interno di strumenti informatici, sono

prive di fisicità e quindi rischiano di essere modificate, compromesse in fase

di ricerca, acquisizione, repertazione e analisi.

Attenzione! Tra le evidenze digitali non rientrano le prove su strumenti informatici o

telematici: DNA sulla tastiera di un PC, le impronte digitali sul mouse o sulla

stampante



Digital Forensics

38

Le evidenze digitali dal punto di vista processuale

Corpo del reato: le cose sulle quali o mediante le quali il reato è stato

commesso (es. l’arma utilizzata nel reato di omicidio, il file contenente il virus

mediante il quale è stato danneggiato un sistema informatico), le cose che

costituiscono il prodotto, il profitto o il prezzo (es. la refurtiva nel reato di furto, il

dato carpito con un intercettazione illecita di comunicazione telematica). È

compito della Polizia Giudiziaria sequestrare il corpo del reato e le cose

pertinenti al reato (ciò che costituisce prova del reato e delle conseguenza dello

stesso)

“Elementi di prova” o “prova”: consentono la ricostruzione di attività

eseguite su un sistema informatico o per mezzo di esso.

Alibi informatico: insieme delle informazioni tendenti ad

escludere che un soggetto abbia commesso il reato

contestato. Quando si parla di “alibi informatico” le

informazioni sono legate ad una attività compiuta attraverso un

sistema informatico o telematico.



Digital Forensics

39

File di log

dei sistemi coinvolti (computer e periferiche)

degli elementi che strutturano la rete

Normalmente l’utente medio non interviene sui log, ma inconsapevolmente

lascia tracce che possono essere ricavate da questi elementi. Sono facili da

leggere e non sono facilmente accessibili.

Esempio

La raccolta delle digital evidences

Sistema acceso

Sistema in stand-by

Sistema spento/scollegato



Digital Forensics

40

Legge n. 48/2008: Introduce delle regole per garantire la conservazione dei dati originali

e ad impedire la loro alterazione

Best practices: prassi e tecniche per operare elaborate da esperti

informatici, investigatori e forensers

Valuta caso per caso se il metodo utilizzato per la raccolta delle prove sia

idoneo ed affidabile, sulla base delle regole di conservazione dei dati originali

(le copie prodotte in giudizio siano identiche all’originale) e di immodificabilità

(le prove sono inalterate rispetto al momento dell’acquisizione)

Il Giudicenon è un tecnico, un forenser

applica solo la legge



Digital Forensics

41

CASO VIERIKA

Copie dei dati contenenti il virus Copia in CD ROM

Contestato dalla difesa il metodo di raccolta delle prove

CASO GARLASCOAlibi informatico

Estrazione dei soli file relativi alla tesi incompletezza

Necessità di analizzare le informazioni dell’intero computer e non solo.

Possibile presenza di programmi simulano la presenza di persone al PC,

modifiche dell’orario del computer



Digital Forensics

42

La ricerca della prova digitale

Accertamenti urgenti di Polizia Giudiziaria sullo stato dei luoghi e delle cose al

fine della loro conservazione (art. 354 c.p.p.)

Appostamenti, pedinamenti informatici e telematici, attraverso l’impiego di

qualsiasi strumento utile alla raccolta di elementi utili alla ricostruzione del fatto e

all’individuazione del colpevole (art. 348 c.p.p.)

Acquisizione di informazioni, dati e programmi informatici coperte da segreto (art.

256 c.p.p.)

Intercettazione di flussi di comunicazioni informatiche e telematiche (art. 266-bis

c.p.p.)

Ispezioni, perquisizioni di sistemi informatici e telematici (art. 244 c.p.p. e ss.)

Consulenze e accertamenti tecnici (ripetibili e non ripetibili) su materiali informatici

(art. 259 e art. 360 c.p.p.)



Digital Forensics

43

Articolo 354

Accertamenti urgenti sui luoghi, sulle cose e sulle persone. Sequestro

1. Gli ufficiali e gli agenti di polizia giudiziaria curano che e tracce e le cose

pertinenti al reato siano conservate e che lo stato dei luoghi e delle cose

non venga mutato prima dell'intervento del pubblico ministero.

2. Se vi è pericolo che le cose, le tracce e i luoghi indicati nel comma 1 si

alterino o si disperdano o comunque si modifichino e il pubblico ministero

non può intervenire tempestivamente, ovvero non ha ancora assunto la

direzione delle indagini, gli ufficiali di polizia giudiziaria compiono i necessari

accertamenti e rilievi sullo stato dei luoghi e delle cose. Se del caso,

sequestrano il corpo del reato e le cose a questo pertinenti. In relazione

ai dati, alle informazioni e ai programmi informatici o ai sistemi

informatici o telematici, gli ufficiali della polizia giudiziaria adottano,

altresì, le misure tecniche o impartiscono le prescrizioni necessarie ad

assicurarne la conservazione e ad impedirne l'alterazione e l'accesso e

provvedono, ove possibile, alla loro immediata duplicazione su

adeguati supporti, mediante una procedura che assicuri la conformità

della copia all'originale e la sua immodificabilità.

3. Se ricorrono i presupposti previsti dal comma 2, gli ufficiali di polizia

giudiziaria compiono i necessari accertamenti e rilievi alle persone diversi

dalla ispezione personale.

Attività di

informazione,

assicurazione e

preservazione

Attività di

investigazione di

propria iniziativa o

su delega del PM

Presupposti

(urgenza)



Digital Forensics

44

Rilievi: mera individuazione e raccolta di dati materiali

Quando la PG compie atti od operazioni, di propria

iniziativa o a seguito di delega del pubblico ministero,

che richiedono specifiche competenze tecniche, può

avvalersi di persone idonee le quali non possono

rifiutare la propria opera.

Art. 348 c.p.p.

Ausiliari di PG

Accertamenti urgenti (Polizia Giudiziaria): attività di tipo ispettivo

Condizioni:

1. Urgenza, pericolo di alterazione, modificazione o dispersione

2. Quando il PM non può intervenire tempestivamente o non ha assunto la

direzione delle indagini

Caratteristiche:

sono irripetibili

sono atti a sorpresa

il verbale delle operazioni entra nel fascicolo del dibattimento

il difensore ha diritto ad assistere, ma non ad essere preventivamente avvisato



Digital Forensics

45

Esempio…Rilievi e accertamenti urgenti della P.G.

Acquisizione dei dati da sottoporre ad analisi forense (copia bitstream di hard disk)

Non è un atto garantito, la P.G. può procedere subito

Irripetibilità intrinseca delle operazioni di forensics

I programmi usati per le analisi sono proprietari (licenza)

Non è possibile accedere al codice sorgente – non si conoscono le modalità di

funzionamento

Non si può monitorare la correttezza del procedimento e se la copia ricavata è

corrispondente all’originale

Programmi usati sono quasi tutti proprietari, con ciò non si mette in discussione la capacità

di rappresentare fatti o atti

Il giudice valuta l’attendibilità della fonte di prova (le parti possono fornire prove per

dimostrare il cattivo funzionamento di software usati per la bitstream copy)

Organismi internazionali hanno testato l’affidabilità dei software di analisi forense più

comuni

Tesi sulla irripetibilità delle attività di computer forensics

In realtà….



Digital Forensics

46

Articolo 359

Consulenti tecnici del pubblico ministero

1. Il pubblico ministero, quando procede ad accertamenti, rilievi

segnaletici, descrittivi o fotografici e ad ogni altra operazione tecnica

per cui sono necessarie specifiche competenze, può nominare e

avvalersi di consulenti, che non possono rifiutare la loro opera .

2. Il consulente può essere autorizzato dal pubblico ministero ad

assistere a singoli atti di indagine.



Digital Forensics

47

Articolo 360

Accertamenti tecnici non ripetibili

1. Quando gli accertamenti previsti dall'articolo 359 riguardano persone, cose o

luoghi il cui stato è soggetto a modificazione, il pubblico ministero avvisa, senza

ritardo, la persona sottoposta alle indagini, la persona offesa dal reato e i difensori del

giorno, dell'ora e del luogo fissati per il conferimento dell'incarico e della facoltà di

nominare consulenti tecnici.

2. Si applicano le disposizioni dell'articolo 364 comma 2.

3. I difensori nonché i consulenti tecnici eventualmente nominati hanno diritto di

assistere al conferimento dell'incarico, di partecipare agli accertamenti e di formulare

osservazioni e riserve.

4. Qualora, prima del conferimento dell'incarico, la persona sottoposta alle indagini

formuli riserva di promuovere incidente probatorio, il pubblico ministero dispone che

non si proceda agli accertamenti salvo che questi, se differiti, non possano più essere

utilmente compiuti.

5. Se il pubblico ministero, malgrado l'espressa riserva formulata dalla persona

sottoposta alle indagini e pur non sussistendo le condizioni indicate nell'ultima parte del

comma 4, ha ugualmente disposto di procedere agli accertamenti, i relativi

risultati non possono essere utilizzati nel dibattimento.



Digital Forensics

48

Accertamenti urgenti (P.G.)Accertamenti tecnici

Se ripetibili Se non ripetibili (irripetibili)

Non rientra tra gli atti garantiti

(necessario avvisare il difensore,

che ha diritto di assistere)

È un atto garantito

L’atto ha valore probatorio in

dibattimento, per questo si avvisa

l’indagato e il difensore.

Se manca avviso, l’atto è nullo.

Dovrà essere rinnovato (se

possibile, non sempre).

Inutilizzabilità dei risultati dell’atto

se il PM procede all’esecuzione

dell’atto nonostante la richiesta di

incidente probatorio

Sono utilizzabili nelle indagini

preliminari.

Nel dibattimento entrano

attraverso la testimonianza del

consulente e l’acquisizione della

relazione. Se vi sono contestazioni

è possibile procedere a perizia (in

quanto ripetibili).

Attività di studio, elaborazione critica e valutazione (anche su basi scientifiche e

tecniche) dei dati materiali ricavati dai rilievi effettuati



Digital Forensics

49

Accertamento tecnico del P.M.

prelievo delle tracce di polvere da

sparo (cd. “stub”).

Acquisizione della copia bitstream

di un supporto di memoria

Rilievi e accertamenti della P.G.:

Esame in laboratorio.

Esame del contenuto della

memoria in laboratorio

Atti non ripetibili (360 c.p.p.)

Autopsia di un cadavere

Accensione di un cellulare sequestrato, per procedere all’analisi del contenuto

Acquisizione del contenuto di una memoria volatile (RAM)

RIPETIBILI

La ripetibilità o non ripetibilità va valutata caso per caso natura dell’atto

bilanciamento dell’interesse alla ricerca della verità nel processo e la

formazione della prova nel contraddittorio fra le parti



Digital Forensics

50

L’accertamento, pur essendo ripetibile, può svolgersi con le garanzie dell’atto

irripetibile (360 c.p.p.):

Delicatezza del supporto

Particolare situazione e risvolti processuali della vicenda

Discovery delle indagini e dei risultati dell’accertamento (opportunità)

hard disk vecchio, rovinato o

mal funzionante

Per evitare l’alterazione dei dati in

fase di creazione della bitstream

image

Caso Abu Omar

Archivio informatico del SISMI

Il P.M. ritenne di dover procedere ad

accertamento ex 360 c.p.p., pur

trattandosi di semplice copia

(bitstream) dei file contenuti



Digital Forensics

51

Articolo 247 C.p.p.

Casi e forme delle perquisizioni

1.Quando vi è fondato motivo di ritenere che taluno occulti sulla persona il

corpo del reato o cose pertinenti al reato, è disposta perquisizione

personale . Quando vi è fondato motivo di ritenere che tali cose si trovino in

un determinato luogo ovvero che in esso possa eseguirsi l'arresto

dell'imputato o dell'evaso, è disposta perquisizione locale .

1-bis. Quando vi è fondato motivo di ritenere che dati, informazioni,

programmi informatici o tracce comunque pertinenti al reato si trovino

in un sistema informatico o telematico, ancorché protetto da misure di

sicurezza, ne è disposta la perquisizione, adottando misure tecniche

dirette ad assicurare la conservazione dei dati originali e ad impedirne

l'alterazione.

2.La perquisizione è disposta con decreto motivato.

3.L'autorità giudiziaria può procedere personalmente ovvero disporre che

l'atto sia compiuto da ufficiali di polizia giudiziaria delegati con lo stesso

decreto.

Attività del Pubblico Ministero



Digital Forensics

52

Articolo 352 - Perquisizioni

1.Nella flagranza del reato o nel caso di evasione, gli ufficiali di polizia giudiziaria

procedono a perquisizione personale o locale quando hanno fondato motivo di ritenere

che sulla persona si trovino occultate cose o tracce pertinenti al reato che possono essere

cancellate o disperse ovvero che tali cose o tracce si trovino in un determinato luogo o che

ivi si trovi la persona sottoposta alle indagini o l'evaso.

1-bis. Nella flagranza del reato, ovvero nei casi di cui al comma 2 quando sussistono i

presupposti e le altre condizioni ivi previsti, gli ufficiali di polizia giudiziaria, adottando

misure tecniche dirette ad assicurare la conservazione dei dati originali e ad

impedirne l'alterazione, procedono altresì alla perquisizione di sistemi informatici o

telematici, ancorché protetti da misure di sicurezza, quando hanno fondato motivo di

ritenere che in questi si trovino occultati dati, informazioni, programmi informatici o tracce

comunque pertinenti al reato che possono essere cancellati o dispersi.

(…)

4.La polizia giudiziaria trasmette senza ritardo, e comunque non oltre le quarantotto ore,

al pubblico ministero del luogo dove la perquisizione è stata eseguita il verbale delle

operazioni compiute . Il pubblico ministero, se ne ricorrono i presupposti, nelle quarantotto

ore successive, convalida la perquisizione.

Attività della Polizia Giudiziaria



Digital Forensics

53

Finalità della perquisizione disposta dal P.M. Ricercare il corpo del reato, cose pertinenti al reato, cose sulle quali o per mezzo

delle quali è stato commesso il reato e le cose che costituiscono prezzo, profitto o

prodotto

Le cose trovate sono acquisite mediante il sequestro

Garanzie

Atto disposto con decreto motivato, copia consegnata all’interessato

Avviso della facoltà/diritto di essere rappresentato o assistito da persona di fiducia

Finalità della perquisizione su iniziativa della P.G. Ricercare cose o tracce pertinenti al reato, ovvero persone

Le cose trovate sono acquisite mediante il sequestro, oppure oggetto di ispezione.

Le persone trovate possono essere sottoposte a fermo o arresto.

Garanzie

L’atto deve essere convalidato dal Pubblico Ministero.

Non vi è l’avviso della facoltà/diritto di essere rappresentato o assistito da persona di

fiducia (atto a sorpresa)

Il verbale dell’atto può essere acquisito nel fascicolo del dibattimento



Digital Forensics

54

La perquisizione informatica

Perquisizione locale o domiciliare

PC spenti

Sequestro e analisi

forense (ripetibili)

PC accesi

• Controllo sulle attività in esecuzione sul

PC (preview)

• Si procede all’acquisizione di file,

programmi, o qualunque informazione,

nel rispetto delle garanzie di

conservazione e non alterazione del dato

originale



Digital Forensics

55

Classificazioni

In base allo

stato di

funzionamento

dei sistemi analizzati

Analisi post mortem: macchina spenta, dopo la

consumazione del reato (es. hard disk sequestrato)

Analisi Live: sistema è acceso. Flagranza di reato.

Importante per la raccolta di informazioni dalla memoria

RAM

In base al

campo di

applicazione

Disk forensics: recupero delle informazioni dalle

memorie di massa

Memory forensics: analisi delle memorie volatili-RAM

Network forensics: analisi di sistemi di rete

Internet forensics: sottocategoria della network

forensics, racchiude tutte le attività in seguito a reati

che si svolgono su internet o per mezzo di internet



Digital Forensics

56

Le fasi del processo di computer forensics

Attività

sull’originale

1. Riconoscimento e identificazione della fonte di prova

(la preview)

2. Acquisizione del dato

3. Conservazione e protezione del dato (sempre)

Attività sulla

copia forense

4. Analisi forense (ricavare informazioni utili all’indagine)

5. Valutazione dei risultati ottenuti con l’analisi (aspetti

tecnici, investigativi e giuridici)

6. Presentazione dei risultati (mediante elaborazione di

una memoria, perizia)



Digital Forensics

57

Le 10 regole per l’acquisizione delle Digital Evidence

(fonte: Computer Forensics e indagini digitali, di AA.VV., Ed. Experta, 2011)

1. L’investigatore deve essere in grado di identificare ogni possibile fonte

informativa anche incrociando rilevazioni di diversa natura (visive,

informatiche)

2. Tutte le fonti di prova devono essere accompagnate dalla loro Catena di

Custodia

3. Tutte le fonti di prova devono essere catalogate in modo univoco

(etichettatura) e fare riferimento allo specifico caso di illecito, numero di

protocollo

4. Tutte le operazioni effettuate durante l’acquisizione di una fonte di prova

devono essere tracciate all’interno di un verbale riassuntivo complesso

5. Le fonti di prova devono essere protette e mantenute integre fino alla

conclusione del processo

6. Le fonti di prova, ove possibile, devono essere raccolte in modo da

permettere a chiunque di eseguire nuovamente il processo di analisi e

ottenere il medesimo risultato



Digital Forensics

58

Le 10 regole per l’acquisizione delle Digital Evidence

7. L’attività di cristallizzazione della fonte di prova in alcuni casi può richiedere

la rimozione fisica del dispositivo di memorizzazione. In tal caso è

opportuno far eseguire l’operazione sull’hardware da esperti informatici,

sotto la supervisione dell’investigatore, a tutela della correttezza

nell’esecuzione delle operazioni

8. Utilizzare strumenti specifici nell’acquisizione delle fonti di prova che

permetta di garantire la loro integrità

9. L’acquisizione della fonte di prova deve garantirne la preservazione

mediante opportune tecniche, da adottare durante il prelievo dell’originale

oppure mediante la riproduzione di una copia, attuando le opportune

accortezze nel caso in cui i sistema venga trovato in uno stato attivo.

10.La rilevazione delle evidenze deve permettere l’associazione di un preciso

marcatore temporale (atto pubblico nel caso di pubblici ufficiali, un

marcatore tecnico per le parti private). Tutti i possibili riferimenti temporali

devono essere annotati anche in caso di apparenti contraddizioni




Digital Forensics

59

I 7 comportamenti da evitare durante l’acquisizione delle Digital Evidence

1. Evitare di accendere dispositivi rinvenuti spenti, o agire su dispositivi accesi,

senza avere specifiche conoscenze informatiche. In conseguenza di queste

azioni potrebbero avvenire delle alterazioni irreversibili dei dati.

2. Evitare di spegnere i dispositivi tramite l’interfaccia del sistema operativo.

Agire invece scollegando l’alimentazione nei modi più opportuni, salvo

specifiche controindicazioni tecnologiche (server o dispositivo con dischi RAID)

3. Evitare di lasciare in esecuzione, senza che ci sia una effettiva necessità,

dispositivi contenenti potenziali fonti di prova da acquisire

4. Evitare di compiere operazioni che alterano permanentemente lo stato dei

sistemi, senza procedere alla verbalizzazione e documentazione fotografica

dei passi seguiti

5. Evitare di limitare la ricerca delle eventuali fonti di prova ai soli dispositivi

visibili reperiti sulla scena

6. Evitare di effettuare copie non verificate di dati ossia di omettere la produzione

di hash e timestamp

7. Evitare di delegare ad altri soggetti la custodia delle evidenze reperite, senza

che il passaggio sia sancito mediante aggiornamento della Chain of Custody


A.A. 2014/15Corso di Laurea Magistrale in

Ingegneria delle Telecomunicazionihttp://tlc.diee.unica.it/

Grazie per l’attenzioneDocente: Massimo Farina http://www.massimofarina.it

http://www.diricto.it/ http://ict4forensics.diee.unica.it/

[email protected] – [email protected]



Digital Forensics

61

Attribuzione - Non Commerciale - Condividi allo stesso modo 3.0

o Tu sei libero:

• di riprodurre, distribuire, comunicare al pubblico, esporre in pubblico,

rappresentare, eseguire o recitare l'opera;

• di modificare quest’opera;

• Alle seguenti condizioni:

Attribuzione. Devi attribuire la paternità dell’opera nei modi indicatidall’autore o da chi ti ha dato l’opera in licenza e in modo tale da nonsuggerire che essi avallino te o il modo in cui tu usi l’opera.

Non commerciale. Non puoi usare quest’opera per fini commerciali.

Condividi allo stesso modo. Se alteri, trasformi quest’opera, o se la usi percrearne un’altra, puoi distribuire l’opera risultante solo con una licenzaidentica o equivalente a questa.

o In occasione di ogni atto di riutilizzazione o distribuzione, devi chiarire agli altri i

termini della licenza di quest’opera.

o Se ottieni il permesso dal titolare del diritto d'autore, è possibile rinunciare ad ognuna di

queste condizioni.

o Le tue utilizzazioni libere e gli altri diritti non sono in nessun modo limitati da quanto

sopra

Licenza

Digital Forensics

Law

Transcript of Digital Forensics