IL CONSULENTE TECNICO DI INFORMATICA FORENSE

IL CONSULENTE TECNICO INFORMATICO NEL PROCESSO

Roma, 28 aprile 2016, 14:30 – 18:10Sala Pastorelli – Via Genova, 3/a – Ministero dell’Interno c/o Dip. Vigili del Fuoco

La necessità di comprendere il valore di una competenzasempre più utilizzata ma non adeguatamente valorizzata

Guida alla scelta per il giurista: requisiti, formazione, competenze, analogie e diversità con consulenti di altre scienze

• Medicina legale• Chimica forense• Psicologia forense• Tossicologia forense• Balistica forense• Genetica forense

Analogie con altre scienze forensi

• Interdisciplinarità• Assenza di percorso specifico dedicato (in Italia)• Possibile percorso formativo:

• Laurea in ingegneria informatica o in informatica• o altre equivalenti (matematica, fisica, ing. elettronica…)• Ove disponibili, con insegnamenti su Informatica forense

• Post laurea specializzante su informatica forense• Dottorato di ricerca, master, corsi di perfezionamento o di alta formazione in ambito universitario o certificazioni specifiche

• Aggiornamento continuo• Partecipazione a convegni, seminari, eventi formativi, materiale bibliografico…

Formazione

• Competenze tecniche• Competenze giuridiche• Competenze linguistiche e di presentazione in pubblico

Competenze

Competenze tecniche• Competenze trasversali in materia di informatica

• Sistemi operativi• Architettura degli elaboratori• File system• Formati file• Programmazione (algoritmi e linguaggi)• Reti e protocolli di comunicazione• Sicurezza informatica• Tecnologie del web• …

• Competenze specifiche di informatica forense• Linee guida e standard in materia• Software e hardware per acquisizione e la conservazione delle fonti di prova• Catena di custodia• Software e hardware per analisi dei dati• Redazione di report e relazioni tecniche• Competenze per casi specifici• Es. malware, analisi video e immagini…

• Conoscenza di base del codice penale, del codice di procedura penale, del codice civile, del codice di procedura civile• Ruolo, compiti, limiti del Consulente Tecnico e del Perito• Norme specifiche sull’informatica forense

• Legge 48/2008 e Convenzione di Budapest 2001• Norme specifiche sull’informatica

• CAD, D.Lgs. 196/2003…

Competenze giuridiche

• L’informatica forense è storicamente associata all’ambito penale• Interviene in tutti i campi del diritto in cui siano presenti evidenze informatiche• Si opera con diversi ruoli e responsabilità a seconda dell’ambito e dell’interlocutore:• in ambito penale

• Ausiliario della Polizia Giudiziaria• Consulente Tecnico del Pubblico Ministero• Consulente Tecnico di Parte (breviter, CTP) dell’imputato/indagato, delle parti civili, delle parti offese Perito del Giudice• in ambito civile• Consulente Tecnico d’Ufficio (breviter, CTU) del Giudice• Consulente Tecnico di Parte (breviter, CTP)• Albi dei CT e Periti presso i Tribunali• Quasi sempre inesistente categoria Informatica• Ove presente, filtri laschi

Ambiti di attività

• Non si pensi solo a casi di reati informatici in senso stretto• Qualche esempio:

• Pagina web per individuare il reale autore in caso di diffamazione• Email in procedimento del lavoro• SMS in caso di separazione• Filmati di videosorveglianza in caso di rapina• Fotografie per contestazione violazione codice della strada (velocità e photored)• …

Ambiti di attività

• L’informatica forense interviene per conto delle parti anche fuori dalle aule di giustizia• Qualche esempio:

• Azienda che intende verificare comportamento del proprio dipendente• Tavoli di transazioni relativi ad aspetti tecnici• Progetti e contratti informatici• …

Ambiti di attività

• Spesso si comincia:• in collaborazione come ausiliario di professionisti già operanti sul campo da diversi anni• in servizio presso reparti specializzati di Polizia Giudiziaria• presso aziende in settori legati all’informatica forense (sicurezza, incident response, intelligence…)

• Per cominciare:• attività tecniche più semplici• acquisizioni e alcune tipologie di analisi• scrittura report riepilogativi

• partecipazioni come «uditore» a conferimento incarico, operazioni collegiali, udienze…

I primi passi dell’informatico forense

• Professionalità nello svolgimento dell’incarico• Correttezza nei confronti delle parti

• Spesso CT del PM troppo orientati all’accusa, dimenticano di raccogliere/mostrare prove a favore dell’indagato• Spesso Periti del Giudice, abituati a lavorare come CT del PM, tendono ad avallare la tesi accusatoria• Saper riconoscere i propri limiti e rinunciare a incarichi fuori portata o chiedere collaborazione di esperti del caso specifico

• Capacità di interloquire con le altre parti processuali, nel rispetto degli specifici ruoli• Riservatezza rispetto alle informazioni apprese nel corso degli incarichi

Caratteristiche etiche dell’informatico forense

• Aggiornamento continuo• Corsi di formazione, convegni e seminari, lettura di bibliografia scientifica in materia (libri, paper, pubblicazioni, riviste, blog...)

• Utilizzo di tecniche e strumenti riconosciuti dalla comunità scientifica per l’acquisizione e la garanzia dell’integrità della evidenza informatiche• Applicazione di metodi scientifici, verificati o verificabili, per l’analisi e l’interpretazione dei dati• Applicazione delle metodologie descritte nelle linee guida internazionali (es. perquisizione, sequestro, trasporto, acquisizione dei dati...)

• Contributo critico personale in casi non perfettamente codificati (es. smartphone o acquisizioni su sistemi in esecuzione)

Caratteristiche tecnico-scientifiche dell’informatico forense

• L'esclusivo utilizzo di software opensource o gratuito spesso è indice di attività occasionale• Settore popolato da tanti improvvisati• Spesso vale l’equazione improvvisazione = pitoccheria

• «Uso software opensource, riesco a fare tutto anche meglio di software commerciali»• «Non uso hardware, si fa tutto via software, sto molto attento e non ne ho bisogno»• «Non mi serve investire, conta solo la mia competenza»• «L’assicurazione professionale? A cosa serve? Non sono obbligato…»• «Volete mettere in dubbio che abbia interesse a modificare i dati?»

• Per efficace esecuzione degli incarichi occorre svolgere la professione quotidianamente• Conoscere criticità ed esigenze• Per realtà piccole (1 professionista) investimento minimo di circa 20K € anno per un laboratorio • Locali, utenze, hardware, licenze software, aggiornamento professionale• Cifre che consentono già di valutare la serietà professionale di un CT e l’esperienza• Es.: un consulente che chiede 1.000 € per un incarico che dura 1 settimana di lavoro uomo probabilmente non è compatibile con questi requisiti!

Un parametri per la valutazione del CT:la sua richiesta economica

• Il PM non dovrebbe dare incarico con quesito, grazie e arrivederci… ma sarebbe più opportuno che prima fossero esposte al CT le esigenze• CT dovrebbe illustrare criticità per guidare il PM a seconda del caso specifico (359 o 360 c.p.p. ?)• CT dovrebbe rifiutare di assumere incarichi conferiti in regime di 359 quando sono a rischio di irripetibilità, a tutela sua, del PM, dell’indagine, di tutte le parti coinvolte, del sistema giustizia

• Ritiro del materiale informatico nei luoghi in cui è custodito• Avvio delle attività tecniche

• Ricognizione, identificazione e classificazione del materiale• Acquisizione dei reperti mediante copia forense (ove possibile) o con la migliore tecnica disponibile per lo specifico dispositivo• Almeno duplice copia con calcolo dell’hash• Conservazione e custodia del reperto originale e delle copie

Esempio di incarico per PM (1)

Queste prime tre fasi sono collegiali nei casi di incarichi conferiti ai sensi del 360 c.p.p.

• Analisi dei dati• Documentare strumenti utilizzati ed esiti, con maggior dettaglio possibile• Possibilità di verificare anche con strumenti diversi

• Relazione tecnica• Documento dove sono illustrate metodologie, strumenti utilizzati, esiti e valutazioni• Utilizzare linguaggio rigoroso ma non solo tecnico; deve essere comprensibile anche per i giuristi

• Deposito della relazione tecnica (con eventuali allegati tecnici)• Restituzione del materiale originale

• Solitamente dove era stato ritirato• Può avvenire quando la consulenza è ancora in corso o successivamente al deposito della relazione tecnica• Richiesta di liquidazione al PM

• Liquidazione da parte del Pubblico Ministero tipicamente calcolato in vacazioni• 1 vacazione = 2 ore = 8,15 € lordi = circa 4 € lordi l’ora (max 4 vacazioni giornaliere, esclusi sabato, domeniche e festivi)• Il PM dispone la liquidazione• Potrebbe tagliare onorario e/o spese documentate

• Tanti tagliano richiesta di rimborso spesa hard disk per consegnare i dati (mediamente 2 x 100€) !• Fatturazione dopo tempo variabile (anche anni)• Eventuali presenze in aula per rispondere a quesiti e chiarimenti in merito alla consulenza tecnica consegnata

Esempio di incarico per PM (2)

1. Primo contatto con il cliente finalizzato a comprendere l’ambito di attività e stimare le attività da svolgere2. Colloquio dettagliato con il cliente e il legale, tipicamente telefonicamente o di persona, per la definizione delle attività da svolgere e la strategia3. Fornitura di un preventivo con il dettaglio delle operazioni da svolgere4. Conferimento dell’incarico da parte del cliente e versamento di un acconto sull’importo pattuito5. Attività tecniche6. Redazione di un report preliminare da sottoporre al cliente e al legale7. Raccolta di segnalazioni e richieste di precisazioni/integrazioni da parte del cliente e del legale8. Redazione della relazione definitiva9. In fase successiva si potrebbero rendere necessarie presenza alle udienze di dibattimento e ulteriori attività (memorie, partecipazione a perizie o CTU…)

• Eventuale reiterazione delle attività indicate in grassetto

Esempio di incarico da una parte privata

• Casi nei quali è necessario procedere con• Acquisizione e/o analisi, nonché valutazioni, di dati digitali. Ad esempio in merito a• Supporti di memorizzazione di dati digitali• Smartphone e GPS• Sistemi complessi server, client o apparati di rete• Pagine web• Email• Codice sorgente di programmi informatici• Tabulati telefonici• Mappe di copertura radio-elettriche• Definizione e/o valutazione di• Contratti ad oggetto informatico

• In generale, ogni volta che volete introdurre in un processo qualcosa che vedete su uno schermo luminoso

Quando rivolgersi all’informatico forense?

Elenco semiserio di fatti realmente accadutiNon è consulente d’informatica forense chi:• “Ho la passione per i computer”• “Sono laureato in informatica, ma non so cosa sia una copia forense”• “Non sono laureato in informatica ma ho l’ECDL”• “Conosco un Giudice/PM/Avvocato che abita nel mio quartiere e gli ho sistemato il PC una volta. In questo modo ho iniziato a fare consulenze tecniche per lui e i suoi colleghi”• “Faccio da una vita trascrizioni di audio e fonica forense”• “Sono un ottimo programmatore”• “Faccio siti web da una vita”• “La BTS xxxxx è quella di via Roma, me lo ha detto al telefono la Telecom”

Cosa/chi non è un informatico forense

Dove avranno mai studiato…

Quali sono gli effetti…