Informatica giuridica: gli strumenti operativi
If you can't read please download the document
-
Upload
emanuele-florindi -
Category
Education
-
view
1.103 -
download
0
Transcript of Informatica giuridica: gli strumenti operativi
- 1. Informatica giuridica3 Linformatica per il diritto: gli strumenti operativi4 - ...segue: gli strumenti operativiEmanuele Florindi- A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI -
2. III Informatica per il diritto1. ConclusioniIl primo punto da osservare in tema di informatica per il diritto strettamente legatoallimpiego che dovr essere fatto del sistema: non basta, infatti, acquistare un computer,collocarlo in uno studio legale per poter considerare risolto il problema.Il sistema, infatti, dovr avere determinati requisiti per poter essere considerato idoneoallimpiego in ambito giuridico. Molti di questi elementi sono strettamente legati ad unutilizzo specifico, ma, in linea di massima, il sistema dovr essere dotato di specificirequisiti minimi in termini di sicurezza.Per esempio ai sensi del DLGS 196 del 2003, allegato B, il trattamento di datipersonali con strumenti elettronici consentito soltanto agli incaricati dotati di credenzialidi autenticazione che consentano il superamento di una procedura di autenticazionerelativa a uno specifico trattamento o a un insieme di trattamenti.Le credenziali consistono in un codice per lidentificazione dellincaricato associato a unaparola chiave (sic!) riservata conosciuta solamente dal medesimo oppure in undispositivo di autenticazione in possesso e uso esclusivo dellincaricato, eventualmenteassociato a un codice identificativo o a una parola chiave, oppure in una caratteristicabiometrica dellincaricato, eventualmente associata a un codice identificativo o a unaparola chiave.Quindi un sistema operativo che non sia effettivamente multiutente non pu essereritenuto idoneo.- A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI - 3. III Informatica per il diritto 1. ConclusioniAllo stesso modo anche la scelta della password di accesso, erroneamente definita parola chiave, regolamentata dal medesimo disciplinare:5. La parola chiave, quando prevista dal sistema di autenticazione, composta da almeno ottocaratteri oppure, nel caso in cui lo strumento elettronico non lo permetta, da un numero di caratteri pari almassimo consentito; essa non contiene riferimenti agevolmente riconducibili allincaricato ed modificata daquestultimo al primo utilizzo e, successivamente, almeno ogni sei mesi. In caso di trattamento di datisensibili e di dati giudiziari la parola chiave modificata almeno ogni tre mesi.Simile discorso pu essere fatto per le stampanti.Per esempio il R.D.10 settembre 1914, n. 1326, approvazione del regolamento per lesecuzione della L. 16febbraio 1913, n. 89, riguardante lordinamento del notariato e degli archivi notarili stabilisce, allarticolo 67,2 comma:Per la scritturazione degli atti originali, giusta lart. 53 della legge, deve adoperarsi inchiostro indelebile.Allo stesso modo si veda larticolo 7 del DPR 445/2000:7. (L) Redazione e stesura di atti pubblici.1. I decreti, gli atti ricevuti dai notai, tutti gli altri atti pubblici, e le certificazioni sono redatti, anchepromiscuamente, con qualunque mezzo idoneo, atto a garantirne la conservazione nel tempo.2. Il testo degli atti pubblici comunque redatti non deve contenere lacune, aggiunte, abbreviazioni, correzioni,alterazioni o abrasioni. Sono ammesse abbreviazioni, acronimi, ed espressioni in lingua straniera, di usocomune. Qualora risulti necessario apportare variazioni al testo, si provvede in modo che la precedentestesura resti leggibile. - A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI - 4. III Informatica per il diritto 1. ConclusioniSimilmente si veda larticolo 3 della Legge Regione Umbria, 11 del 2006, legge Dottorini:Art. 3 (Documenti)l. LAmministrazione regionale utilizza programmi per elaboratore a sorgente aperto per ladiffusione in formato elettronico di documenti soggetti allobbligo di pubblica esposizionenonch per garantire il diritto di accesso mediante scambio di dati in forma elettronica.2. In caso di ricorso a programmi per elaboratori a sorgente non aperto, lAmministrazioneregionale ne motiva le ragioni e rende disponibile anche un formato dei documenti pipossibile prossimo a formati a sorgente aperto.Un altro campo in cui la scelta di determinati hardware o software pressochobbligatoria quello della computers forensics in cui necessario utilizzare strumenti ingrado di non alterare le prove. - A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI - 5. III Informatica per il diritto 1. Introduzione- A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI - 6. - A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI - 7. III Informatica per il diritto 1. Introduzione- A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI - 8. III Informatica per il diritto 1. Introduzione- A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI - 9. IV Strumenti operativi 1. La sicurezza del sistemaLa legge stabilisce la necessit di utilizzare strumenti software o hardware in grado di renderemaggiormente sicuro il sistema. Sempre il disciplinare tecnico in materia di misure di sicurezza imponelimpiego di un programma antivirus (da aggiornare almeno ogni 6 mesi!!!).Il DLGS 82 del 2005, invece, stabilisce, art.1, le caratteristiche della firma elettronica:q) firma elettronica: linsieme dei dati in forma elettronica, allegati oppure connessi tramite associazionelogica ad altri dati elettronici, utilizzati come metodo di identificazione informatica;q-bis) firma elettronica avanzata: insieme di dati in forma elettronica allegati oppure connessi a undocumento informatico che consentono lidentificazione del firmatario del documento e garantiscono laconnessione univoca al firmatario, creati con mezzi sui quali il firmatario puo conservare un controlloesclusivo, collegati ai dati ai quali detta firma si riferisce in modo da consentire di rilevare se i datistessi siano stati successivamente modificati;r) firma elettronica qualificata: un particolare tipo di f. e. avanzata che sia basata su un certificatoqualificato e realizzata mediante un dispositivo sicuro per la creazione della firma;s) firma digitale: un particolare tipo di firma elettronica avanzata basata su un certificato qualificato e suun sistema di chiavi crittografiche, una pubblica e una privata, correlate tra loro, che consente al titolaretramite la chiave privata e al destinatario tramite la chiave pubblica, rispettivamente, di renderemanifesta e di verificare la provenienza e lintegrita di un documento informatico o di un insieme didocumenti informatici.Anche in questo caso, quindi, la scelta e limpiego di un applicativo piuttosto che di un altro dovressere subordinata alla conoscenza della normativa specifica ed alla consapevolezza dellecaratteristiche tecniche di quel determinato prodotto.- A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI - 10. IV Strumenti operativi2. Pacchetti operativiAnche la scelta dei pacchetti operativi, spesso, non pu prescindere da considerazioni dicarattere giuridico. In primo luogo vi possono essere normative specifiche (come nel caso dellalegge Dottorini per la Regione Umbria). In secondo luogo vi possono essere limitazioniallimpiego di determinate versioni di programmi in certi ambienti.Per esempio, molti programmi freeware sono gratuiti soltanto se utilizzati al di fuori di uncontesto professionale.La prima tipologia di pacchetti che prendiamo in esame quella relativa alloffice automation.Si tratta di programmi in grado di automatizzare e velocizzare tutte quelle attivit tipiche dellaprofessione: scrivere, fare calcoli, gestire le proprie scadenze...Esemplari tipici di questa categoria sono Open Office e Microsoft Office.Seguono, poi, i programmi di telecomunicazione digitale che oggi stanno pressochsoppiantando i sistemi tradizionali.In particolare le-mail ha ormai quasi completamente sostituito il fax e, nella sua versionecertificata ex art.48 DLGS 8205 e DPR 68 del 2005, si appresta a sostituire anche laRaccomandata AR. - A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI - 11. IV Strumenti operativi2. Pacchetti operativiIl Voip, Voice Over IP, siappresta a sostituire il telefonotradizionale grazie ai suoi costiparticolarmente contenuti, allasua maggiore sicurezza ed allaflessibilit praticamenteillimitata.Daun punto divistastrettamente giuridico limpiegodi sistemi VOIP anzich dellelinee telefoniche tradizionalinon pone particolari problemi.Allo stesso modo non pongonoproblemidi sortaleapplicazionicorrelate(videotelefonata, modalitconferenza e simili).- A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI - 12. IV Strumenti operativi2. Pacchetti operativiLe stesse forze di polizia si stanno attrezzando per consentire la collaborazione remotatra operatori di differenti sedi eo di differenti corpi.Un esempio ne il sistema CETS adottato recentemente dalla Polizia Postale.Di seguito 3 immagini tratte dalla presentazione effettuata a Roma il 16 ottobre 2006 dalDott.Domenico Vulpiani. - A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI - 13. IV Strumenti operativi 2. Pacchetti operativi- A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI - 14. IV Strumenti operativi 2. Pacchetti operativi- A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI - 15. IV Strumenti operativi 2. Tools investigativiUn discorso a parte deve essere fatto per i tools investigativi.Questi, che analizzeremo pi nel dettaglio in una delle prossime lezioni, rappresentano, forse, ilmomento di maggior contatto tra linformatica per il diritto, il diritto dellinformatica e linformaticaforense.Si tratta di specifici programmi per clonare, acquisire ed analizzare evidenze digitali riducendoal minimo il rischio di una loro alterazione.Gi soltanto la scelta relativa al formato di questi programmi (open source o closed source)costituisce argomento di ampissimo dibattito in dottrina.Da ultimo, abbiamo gli strumenti impiegati per acquisire e controllare gli hash di file edimmagini.Hash, dallinglese to hash sminuzzare, mescolare, un termine che, nel linguaggio scientifico,indica una funzione univoca operante in un solo senso (ossia, non pu essere invertita), attaalla trasformazione di un testo di lunghezza arbitraria in una stringa di lunghezza fissa. Talestringa rappresenta una sorta di "impronta digitale" del testo in chiaro, e viene detta valore dihash, checksum crittografico o message digest.In ambito informatico, la funzione di trasformazione che genera lhash opera sui bit di un filequalsiasi, restituendo una stringa di bit di lunghezza predefinita. Spesso il nome della funzionedi hash include il numero di bit che questa genera: ad esempio, SHA-256 genera una stringa di256 bit. (per approfondire: Wikipedia, voce hash). - A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI - 16. IV Strumenti operativi2. Hash- A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI - 17. IV Strumenti operativi3. Hash e dirittoLhash gioca unruolofondamentale neldiritto in quantorappresenta unfirma elettronica(rectiusunimprontaelettronica>digital signature)in gradodiidentificare un file e dimostrarneeventualialterazioni. - A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI - 18. IV Strumenti operativi4. Information retrievalLinformatica ha notevolmente semplificato il processo di raccolta, catalogazione edarchiviazione delle informazioni.Tale processo trova la sua massima applicazione nel concetto di BANCA DATI.In informatica definiamo una banca dati come un archivio di dati, riguardanti uno stessoargomento o pi argomenti correlati tra loro, strutturato in modo tale da consentire la gestionedei dati stessi (linserimento, la ricerca, la cancellazione ed il loro aggiornamento) da parte diapplicazioni software.Quindi, perch possa parlarsi di BancaDati, necessario che i dati siano strutturati.Da un punto di vista giuridico le banche dati vengono tutelate dalla legge 633 del 1941, LdA,che, dopo la modifica del D.Lgs. 29 dicembre 1992, n. 518 e del D.Lgs. 6 maggio 1999, n.169, prevede espressamente le banche dati tra le opere protette, purch per la scelta o ladisposizione del materiale costituiscano una creazione intellettuale dellautore.In genere le banche dati consentono di effettuare una ricerca al loro interno impiegando uno opi dati esca che possono consistere in una data (i.e.29/12/92), un numero ed una data(legge 547/93), un argomento (diritto di autore) oppure una o pi parole chiave (i.e. omicidiovolontario) spesso collegate tra di loro attraverso operatori logici (AND, OR, NOT, ADJ,NEAR...)..- A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI - 19. IV Strumenti operativi 5. Banche dati giuridicheLe banche dati giuridichepossono essere suddivise siainbase aicontenuti(legislazione, giurisprudenza,dottrina) che in base alla loromodalit di utilizzo (off-line oin-line). Ovviamente non sitratta di una distinzione rigidain quanto un medesimoprodotto pu comprenderedifferenti tipologie di banchedati. Anzi la scelta diaccorpare pi banche datiallinterno di un medesimosupporto (tipicamente unDVD o on-line) oggi semprepi frequente. - A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI - 20. IV Strumenti operativi5. Banche dati investigative pubblicheLebanche datiinvestigativepubbliche, da nonconfondere conquellespecificatamenterealizzate per i corpidi polizia,costituiscono, ingenere,unostrumento finalizzatoa migliorare i rapportitra Istituzioni ecittadini consentendoa questi ultimi diaccedere in manierarapida e gratuita atutta una serie diinformazioni utili.- A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI - 21. IV Strumenti operativi 5. Hash e diritto- A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI - 22. IV Strumenti operativi 5. Banche dati di corpi di poliziaSi tratta di banche dati specialistiche il cui accesso , dovrebbe essere!!!, riservato agliappartenenti alle forze i polizia.Sono dedicate ad argomenti specifici e, spesso, sono espressamente previste da testinormativi. Si veda, per esempio, larticolo 19 della legge 38 del 2006:19. 1. Dopo larticolo 14 della legge 3 agosto 1998, n. 269, sono inseriti i seguenti:Art. 14-bis. - (Centro nazionale per il contrasto della pedopornografia sulla rete INTERNET) -1. Presso lorgano del Ministero dellinterno di cui al comma 2 dellarticolo 14, istituito il Centronazionale per il contrasto della pedopornografia sulla rete INTERNET, di seguito denominatoCentro, con il compito di raccogliere tutte le segnalazioni, provenienti anche dagli organi dipolizia stranieri e da soggetti pubblici e privati impegnati nella lotta alla pornografia minorile,riguardanti siti che diffondono materiale concernente lutilizzo sessuale dei minori avvalendosidella rete INTERNET e di altre reti di comunicazione, nonch i gestori e gli eventuali beneficiaridei relativi pagamenti. Alle predette segnalazioni sono tenuti gli agenti e gli ufficiali di poliziagiudiziaria. Ferme restando le iniziative e le determinazioni dellautorit giudiziaria, in caso diriscontro positivo il sito segnalato, nonch i nominativi dei gestori e dei beneficiari dei relativipagamenti, sono inseriti in un elenco costantemente aggiornato.2. Il Centro si avvale delle risorse umane, strumentali e finanziarie esistenti. Dallistituzione e dalfunzionamento del Centro non devono derivare nuovi o maggiori oneri a carico del bilancio delloStato. - A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI - 23. IV Strumenti operativi5. Banche dati di corpi di polizia e dirittoDa un punto di vista giuridico le banche dati dei corpi di polizia sono state pi volte oggetto di dichiarazioni del Garante per laprotezione dei dati personali. Si veda, per esempio, il Provvedimento del 17 novembre 2005 in merito allabusivo utilizzo delloSDI:Il 7 luglio 2005 il Garante ha disposto alcuni accertamenti per verificare lidoneit delle misure di sicurezza adottate per itrattamenti di dati personali presso il Centro elaborazione dati (C.e.d.) del Dipartimento della pubblica sicurezza del Ministerodellinterno. Gli accertamenti, avviati anche a seguito di unindagine penale nella quale stato contestato labusivo utilizzo didati registrati nel C.e.d. (art. 12 l. n. 121 del 1981), sono stati effettuati nei modi previsti dal Codice in materia di protezione deidati personali, per il tramite di un componente del Garante da questo designato e con lassistenza di personale specializzato(art. 160), esaminando anche gli elementi forniti dal Dipartimento, il quale ha prestato la collaborazione richiesta...Il C.e.d., istituito con legge, provvede alla raccolta, classificazione e conservazione di informazioni e dati forniti in particolaredalle forze di polizia in materia di tutela dellordine, della sicurezza pubblica e di prevenzione e repressione della criminalit(artt. 6 e 8 l. 1 aprile 1981, n. 121)... Le principali applicazioni informatiche del C.e.d. sono rese disponibili nellambito delSistema di indagine (S.d.i.) che a partire dal 2001 ha rimodellato il patrimonio informativo del C.e.d. sulla base di unariprogettazione della struttura della banca dati. Sono stati cos introdotti nello S.d.i. alcuni strumenti finalizzati ad un utilizzo piagevole per gli operatori, basati anche su una tecnologia web su rete privata e su sistemi statistici di supporto alle decisioni.Rispetto alle precedenti applicazioni del C.e.d., lo S.d.i. ha permesso di collegare le informazioni contenute nei diversi databaseriorganizzandole secondo un modello relazionale di base di dati focalizzato sui reati e sulle notizie di reato...In relazione agli elementi acquisiti il Garante rileva, per, la necessit di impartire al Ministero dellinternoDipartimento della pubblica sicurezza una prima serie di prescrizioni, limitatamente al profilo delle misure disicurezza dei dati personali e dei sistemi, volte ad assicurare un rafforzamento del livello di protezione delleinformazioni registrate nel C.e.d... Il sistema informativo del C.e.d. annovera un numero elevato di soggettilegittimati alla sua consultazione, complessivamente superiore a 130.000 unit abilitate presso circa 12.000uffici, con un volume giornaliero medio superiore a 650.000 accessi da parte di circa 8.000 soggettiabilitati...... OMISSIS... - A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI - 24. IV Strumenti operativi 5. Banche dati di corpi di polizia e diritto4.7 Finalit dellutilizzo dei dati consultatiLa definizione di numerosi profili di autorizzazione permette una certa ripartizione delle competenze e dei livelli diaccesso. Tuttavia, allatto dellaccesso ad una particolare funzionalit del sistema, non viene richiesta alcunainformazione, anche sintetica, in merito alla specifica finalit che lincaricato intende perseguire...Anche in relazione al principio secondo cui i dati personali devono essere trattati per finalit esplicite, determinate everificabili (art. 11 del Codice), occorre introdurre un sistema che imponga al soggetto legittimato cheaccede alla banca dati di specificare, almeno per alcune classi di dati od operazioni trattate, lafinalit della sessione di lavoro o della singola operazione (di cui deve restare traccia nelladocumentazione di security auditing), avvalendosi eventualmente di una lista predefinita di causalicodificate, in modo da favorire luso agevole del sistema ...In tema di security auditing (intendendosi per tale la registrazione, lesame e la verifica di attivit rilevanti ai fini dellasicurezza che abbiano luogo in un sistema informatico protetto), il C.e.d. prevede la tenuta dei log degli accessi e delletransazioni, anche di sola lettura, che vengono attualmente conservati nel patrimonio informativo del Centrocontribuendo a successivi accertamenti su certe operazioni effettuate. Sono tuttavia assenti meccanismi di auditing diausilio alla verifica di anomalie o del superamento di soglie predefinite per alcuni indici di prestazione... Nellindividuaretermini congrui di conservazione dei predetti log, occorre introdurre strumenti e funzionalit di auditing relativi allasicurezza del sistema volti a permettere ai responsabili del Centro di individuare meglio anomalie e di controllare piagevolmente il suo funzionamento, anche mediante opportuni moduli software nel sistema informativo per ilmonitoraggio delle performance del sistema e della disponibilit dei dati...Lattuale disponibilit di log files degli accessi e delle transazioni, e quella eventuale di dati diauditing pi articolati o variamente aggregati, consentirebbe lelaborazione di rapporti retrospettivi;attualmente, non invece prevista lelaborazione sistematica delle stesse informazioni, comestrumento di controllo dellutilizzo della banca dati da mettere anche a disposizione in caso diverifiche di vario tipo ....- A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI - 25. IV Strumenti operativi 5. Banche dati di corpi di polizia e dirittoTUTTO CI PREMESSO IL GARANTEai sensi dellarticolo 154, comma 1, lett. c), del Codice prescrive al Ministero dellinterno-Dipartimentodella pubblica sicurezza di adottare presso il Centro elaborazione dati del medesimo Dipartimento lemisure e gli accorgimenti di cui ai relativi punti da 4.1 a 4.11, entro i termini di sei mesi (per i punti da4.1 a 4.10) o di diciotto mesi (per il punto 4.11.), entrambi decorrenti dalla data di ricezione delpresente provvedimento, misure ed accorgimenti inerenti a:soggetti abilitati alla consultazione e allinserimento dei dati;censimento delle postazioni informatiche;autenticazione informatica;modalit di accesso al sistema;cifratura dei dati sensibili e giudiziari;limitazioni e controlli sullutilizzo dei dati;finalit dellutilizzo dei dati consultati;auditing di sicurezza;rapporti statistici;sicurezza e integrit dei dati di log e di auditing;disponibilit dei dati e continuit di esercizio del sistema.Roma, 17 novembre 2005- A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI - 26. IV Strumenti operativi 6. Siti WEB istituzionaliSi tratta di siti web che, ai sensi del DPR 445/2000 e del DLGS 82/2005 hanno il compito di agevolare irapporti tra i privati e le istituzioni; Contengono informazioni, moduli di contatto, documentazioni e guide perrichiedere ed ottenere servizi di vario genere.Fino ad arrivare alla creazione di un vero e proprio commissariato di PS virtuale. - A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI - 27. IV Strumenti operativi 6. Siti WEB istituzionaliDa un punto di vista giuridico i siti web della P.A. Devono essere conformi allanormativa in tema di accessibilit ed evitare, per quanto possibile, il DIGITAL DIVIDE.In particolare la legge Stanca, legge 9 gennaio 2004, n. 4, stabilisce:1. Obiettivi e finalit.1. La Repubblica riconosce e tutela il diritto di ogni persona ad accedere a tutte lefonti di informazione e ai relativi servizi, ivi compresi quelli che si articolano attraversogli strumenti informatici e telematici.2. tutelato e garantito, in particolare, il diritto di accesso ai servizi informatici etelematici della pubblica amministrazione e ai servizi di pubblica utilit da parte dellepersone disabili, in ottemperanza al principio di uguaglianza ai sensi dellarticolo 3della Costituzione. - A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI - 28. Grazie per lattenzione! Avv.E anuele Fmlorindi Per approfondire: http://www.ciace-florindi.it http://www.telediritto.it http://www.accademiascienzeforensi.it 2012 by Emanuele Florindi [email protected] presente materiale soggetto a licenza CC Attribuzione - Condividi allo stesso modo 3.0 Italia (CC BY-SA 3.0). La comunicazione allautore non obbligatoria, ma gradita.
