Lezione 30 marzo 2012

Corso di informatica giudiziaria e forenseCorso di informatica giudiziaria e forenseAnno 2012Anno 2012

Esame di casi concreti ed esame delle tipologie d'indagine

Accesso abusivo a sistema informaticoArt. 615 ter c.p.

Chiunque abusivamente si introduce in un sistema informaticoo telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo, è punito con la reclusione fino a tre anni

Modalità concrete di realizzazione della condotta di introduzione abusiva in un sistema informatico o telematico

- Tizio, appropriandosi indebitamente delle credenziali di autenticazione di Caio, si introduce nel suo personal computer

- Tizio, appropriandosi indebitamente delle credenziali di autenticazione di Caio, si introduce nel suo sito web

- Tizio, appropriandosi indebitamente delle credenziali di autenticazione di Caio, si introduce nella sua connessione wireless

Esame di un caso giurisprudenzialeCorte di Cassazione, seconda sezione penale, n. 11135/2009)

Un dipendente di Banca è indagato per i reati di sostituzione di persona, accesso abusivo ad un sistema informatico o telematico e tentata truffa per essersi appropriato di dati anagrafici di cinque clienti della banca nonché degli uder-id segreti di due colleghi, utilizzandoli per registrarsi sul sito e-bay ed acquistare modellini di aerei del valore di circa mille euro

Esame di un caso giurisprudenzialeCorte di Cassazione, seconda sezione penale, n. 11135/2009) (segue)

Cosa si è fatto in fase d'indagine: oggetto dell'indagine era un file di posta elettronica, che è stato sequestrato a seguito di perquisizione.


Perquisizione: Art. 247 comma 1 bis c.p.p.Quando vi è fondato motivo di ritenere che dati, informazioni, programmi informatici o tracce comunque pertinenti al reato si trovino in un sistema informatico o telematico, ancorché protetto da misure di sicurezza, ne è disposta la perquisizione, adottando misure tecniche dirette ad assicurare la conservazione dei dati originali e ad impedirne l'alterazione


Descrizione delle modalità di perquisizione informatica e differenze rispetto alla ispezione.L'ingresso nel luogo del delitto, la descrizione del luogo stesso, la descrizione del personal computer, la individuazione dei supporti informatici: i diversi possibili supporti informatici.Possibilità di ispezione dei luoghi e delle cose e, a seguito, ispezione informatica.


Art. 244 comma 2 c.p.p.L'autorità giudiziaria può disporre rilievi segnaletici, descrittivi o fotografici e ogni altra operazione tecnica anche in relazione a sistemi informatici o telematici, adottando misure tecniche dirette ad assicurare la conservazione dei dati originali e ad impedirne l'alterazione


L'approfondimento della ispezione: la perquisizione, già esaminata.Il seguito della perquisizione: il sequestro.


Sequestro: 354 comma 2 c.p.p.In relazione ai dati, alle informazioni e ai programmi informatici o ai sistemi informatici o telematici, gli ufficiali della polizia giudiziaria adottano, altresì, le misure tecniche o impartiscono le prescrizioni necessarie ad assicurarne la conservazione e ad impedirne l'alterazione e l'accesso e provvedono, ove possibile, alla loro immediata duplicazione su adeguati supporti mediante una procedura che assicuri la conformità della copia all'originale e la sua immodificabilità.


Nel caso in esame dal verbale di sequestro si evinceva che il file oggetto di sequestro era stato masterizzato in quattro copie identiche, su altrettanti cd – rom non riscrivibili, uno dei quali lasciato all'ausiliario di p.g. che ha sottoscritto tutti i Cd-rom in questione e quindi adottando misure tecniche (immediata duplicazione del file su quattro supporti non riscrivibili, assistenza del tecnico UG, nominato ausiliario di polizia giudiziaria) in astratto idonee ad assicurare la conservazione e l'immodificabilità dei dati acquisiti.


Sostiene la Corte che “Ogni altra valutazione di ordine tecnico circa la nacessità di effettuare l'hashing per poter eventualmente verificare se la copia del file nel CD masterizzato sia uguale all'originale (e, quindi, se il file sia stato modificato o meno) è estranea al giudizio di legittimità, sia perché attiene essenzialmente alle modalità esecutive del sequestro sia comunque perché la normativa richiamata dal ricorrente non individua specificamente le misure tecniche da adottare, limitandosi a richiamare le esigenze da salvaguardare”


L'hashingE' una procedura che consente la validazione di un dato, ovvero di generare, da un dato arbitrariamente grande, un valore di grandezza fissa.

Esame di un caso giurisprudenzialeCorte di Cassazione, quinta sezione penale, n. 27392/2011

In questo caso la Corte ha esaminato la condotta di una persona indagata per i reati di cui agli artt. 615 ter e 615 quater c.p. per essersi ripetutamente introdotto nel sistema telematico denominato SIATEL, protetto da misure di sicurezza e cioé da limitazione all'accesso, utilizzando credenziali e password indebitamente ed abusivamente ottenute. Quivi introdotto, estrapolava dati contenuti nel sistema informatico relativi a numerosi contribuenti, cedendoli a terzi verso compenso in denaro nell'ambito di un'attività professionalmente esercitata.


L'attività d'indagine svolta:una perquisizione presso i locali riferibili all'indagato con sequestro di materiale informatico, successivamente periziato. La perizia aveva accertato, tra l'altro, la presenza nella memoria del computer di numerose credenziali, corredate di nome utente e password, per l'accesso a diverse banche dati. Inoltre la perizia aveva riscontrato come effettuati collegamenti (o tentativi di collegamento) a numerose banche dati pubbliche (siatel, serpico, inps)


Il difensore dell'indagato, che aveva impugnato la misura della custodia cautelare in carcere, aveva eccepito la inutilizzabilità di quanto acquisito a seguito di perquisizione e sequestro poiché non erano state rispettate le modalità prescritte dagli artt. 247 comma 1 bis c.p.p. e 354 c.p.p. (norme già esaminate in precedenza)


la Corte ha affermato che l'articolo 247 c.p.p. non prevede protocolli specifici né fa rinvio a norme specifiche di settore ma dà un'indicazione generica, disponendo che nell'esecuzione di perquisizioni su materiali informatici devono essere adottate misure tecniche dirette ad assicurare la conservazione dei dati originali e ad impedirne l'alterazione, aggiungendo che “con riferimento al procedimento in questione non vi è alcuna prova di alterazione dei dati, per cui si deve presumere che, essendo gli atti realizzati da persone competenti e successivamente verificati dai consulenti, siano corretti.


Inoltre, la Corte ha preso posizione su altro motivo di doglianza del ricorrente che aveva lamentanto la inidoneità della copia di back up a fungere da immagine forense e l'incomprensibilità dei dati esaminati dal consulente dell'accusa: sul punto la Corte ha affermato che non vi erano “elementi concreti o anche solo indizi a sostegno delle lamentate difformità”


L'aspetto tecnico interessante, posto dalle osservazioni della Corte, riguarda la differenza tra- copia di back up e- copia immagine


La bit stream image è definita la realizzazione di una immagine bit a bit del contenuto del reperto posto sotto sequestro che consente di operare l'analisi forense su un supporto praticamente identico all'originale, sia sotto il profilo logico sia sotto quello fisico; una analisi quindi condotta su tutte quelle parti vuote o presumibilmente tali che potrebbero assumere una importanza fondamentale ai fini delle indagini in quanto possono nascondere file o frammenti di file cancellati


La rilevanza della bit stream image rispetto alla mera duplicazione del contenuto di un hard disk: l'analisi dei cluster apparentemente vuoti, la possibilità di recuperare frammenti di file.La necessità di operare sulla copia al fine di evitare alterazioni dell'hard disk originale.

Esame di un caso giurisprudenzialeCorte di Cassazione, prima sezione penale, n. 11503/2009

Tizio, nei cui confronti è stata emessa ordinanza di custodia cautelare in carcere, è indagato del reato di cui all'articolo 416 bis giacché accusato di aver partecipato all'associazione malavitosa denominata “clan dei casalesi”


Che attività d'indagine è stata svolta:in particolare, per quel che interessa in questa sede, un sequestro effettuato presso l'abitazione di altra persona, di materiale cartaceo informativo ed informatico.In particolare si sarebbe proceduta ad una lettura dell'hard disk senza la presenza dei difensori


La difesa ha lamentato che non si sarebbe dovuto procedere a tale lettura senza garantire, alla persona nella cui abitazione venne rinvenuto il materiale informatico, la presenza di tecnici della difesa, eccependo che – poiché la lettura dell'hard disk è cagione certa di alterazione del disco prelevato - andava considerata come atto irripetibile ai sensi dell'articolo 360 c.p.p.


Art. 360 comma 1 c.p.p.“Quando gli accertamenti previsti dall'articolo 359 [accertamenti, rilievi segnaletici, descrittivi o fotografici e ad ogni altra operazione tecnica per cui sono necessarie specifiche competenze] riguardano persone, cose o luoghi il cui stato è soggetto a modificazione, il pubblico ministero avvisa senza ritardo la persona sottoposta alle indagini, la persona offesa dal reato e i difensori del giorno, dell'ora e del luogo fissati per il conferimento dell'incarico e della facoltà di nominare consulenti tecnici”


L'importanza della qualifica di un atto d'indagine come atto irripetibile: in particolare, l'inserimento nel fascicolo del dibattimento e l'utilizzo come prova dei fatti.


La Corte di Cassazione, nel caso in esame, ha rigettato l'eccezione affermando, tra l'altro, che la lettura dell'hard disk non integra atto irripetibile e che la difesa della persona nei cui confronti è stato eseguito il sequestro del materiale informatico “potrà far valere, quando sarà e se sarà eventualmente accertata l'alterazione del disco informatico, alterazione allo stato solo affermata dalla difesa del ricorrente, peraltro persona diversa dal proprietario del computer e, si ribadisce, per nulla accertata”


Anche in questo caso l'aspetto tecnico è dato dalle modalità attraverso le quali si opera sul reperto informatico: bit stream image e non poriginale al fine di evitare possibili alterazioni dell'originale.Anche in questo caso la Corte ha escluso che, in assenza di elementi di segno opposto, la semplice lettura dell'hard disk possa dirsi foriera di alterazioni

Esame di un caso giurisprudenzialeCorte di Cassazione, sentenza 18 novembre 2011

Il caso è quello del dipendente di una ditta individuale imputato dei reati di cui agli artt. 61 n. 11 e 635 bis c.p. per avere cancellato, in tale qualità, una gran quantità di dati dall'hard disk del personal computer della sua postazione di lavoro


Art. 635 bis:Salvo che il fatto costituisca più grave reato, chiunque distrugge, deteriora, cancella, altera o sopprime informazioni, dati o programmi informatici altrui è punito, a querela della persona offesa, con la reclusione da sei mesi a tre anni


Quale attività d'indagine è stata svolta:dall'esame della sentenza sembra potersi affermare che – dopo la cancellazione deidati informatici in oggetto - si sia provveduto, mediante un'attività di parte, al recupero dei dati stessi.In base a questo, il ricorrente ha eccepito che l'affermazione della responsabilità sia stata “affidata alle risultanze di un'operazione tecnica affidata a persona di dubbia competenza peraltro effettuata senza il contraddittorio tra le parti, benché irripetibile”


La Corte, sul punto, rigettando l'eccezione difensiva ha affermato che “non si è trattato di indagine tecnica disposta dall'autorità o dalla p.g. che avrebbe comportato il rispetto delle garanzie difensive ma di incarico conferito dalla ditta danneggiata ad un tecnico di fiducia perché procedesse al tentativo di recupero dei files cancellati”


Questa decisione ha importanza perché permette di affrontare il problema della sussistenza del reato di danneggiamento informatico – art. 635 bis c.p. - anche in presenza di un'attività di recupero dei dati informatici. Di fatto la difesa ha eccepito che il reato non sarebbe configurabile poiché comunque i dati sono stati, anche se in parte, recuperati.Sul punto, la Corte ha affermato che il danneggiamento informatico non sarebbe comunque escluso anche se i dati – tutti i dati – fossero recuperati con l'uso, anche dispendioso, di particolari procedure


L'aspetto tecnico di questa decisione riguarda le procedure di recovery di files che sembrano essere stati cancellati ed in realtà ben possono essere recuperati,a meno che non si sia proceduto a sovrascrittura dei cluster che contengono le informazioni eliminate.Questo aspetto tecnico si ricollega a quanto detto in precedenza a proposito della necessità della bit stream image, poiché solo operando in tal modo è possibile esaminare, mediante software, i cluster dell'hard disk e verificare se, all'interno degli stessi, si celino informazioni che l'utente aveva creduto di cancellare.

Esame di un caso giurisprudenzialeTribunale di Pesaro 28/5/2009

Il caso è quello di un ragazzo imputato del reato di cui all'art. 600 ter comma 3 per aver divulgato, attraverso il prgramma di file sharing Kazaa, un file a contenuto pedopornografico, video ritraente minorenni nudi in atteggiamento pornografico e prodotto mediante sfruttamento sessuale di minori.


Art. 600 ter comma 3 c.p.“Chiunque [...] con qualsiasi mezzo, anche per via telematica, distribuisce, divulga, diffonde o pubblicizza il materiale pornografico di cui al primo comma [...] è pnito con la reclusione da uno a cinque anni”


L'attività d'indagine posta in essere:A seguito di denuncia inerente la presenza di files a contenuto pedopornografico su piattaforma di file sharing, la polizia postale, scaricato il relativo software di connessione, individuava il file a contenuto pedopornografico oggetto di denuncia.In particolare la polizia postale si connetteva in periodi diversi alla rete internet al fine di individuare gli utenti internet che, utilizzando numeri di IP in concessione a providers italiani, attraverso programmi di file sharing dovulgavano nella rete immagini prodotte mediante lo sfruttamento sessuale di minori.


L'attività d'indagine successiva è consistita nell'acquisizione degli indirizzi IP presso vari providers e la conseguente individuazione di linee telefoniche ed abbonamenti internet adoperati durante la connessione oggetto d'indagine.Il caso si è articolato in attività d'indagine tradizionale ed informatica.Difatti, l'attività d'indagine tradizionale è consistita nell'acquisizione degli indirizzi IPL'indirizzo IP è il nero che viene assegnato ad ogni utente internet durante la navigazione.Esso può essere statico o dinamico.


L'indirizzo IP è, di per sé, anonimo: solo il fornitore di accesso ad internet è in grado di associarlo ad un utente identificato mediante la linea telefonica di appartenenza.Nel caso in esame, la linea telefonica apparteneva al padre del ragazzo: questi si connetteva ad internet dalla sua abitazione collocata circa dieci metri oltre quella del padre.La polizia postale è giunta al figlio come reale utilizzatore della connessione internet in considerazione del fatto che la casella postale elettronica era riconducibile al figlio del titolare.Presso l'abitazione di quest'ultimo, dunque, veniva effettuata una perquisizione e rinvenuti e sequestrati dagli inquirenti numersoi supporti magnetici ed un pc portatile


A seguito di consuelnza tecnica disposta dal PM venivano rinvenuti file a contenuto pedopornografico sul disco rigido del pc dell'imputato.


L'aspetto tecnico rilevante di questo caso è nella individuazione del reale utilizzatore della linea internet prendendo le mosse dalla individuazione dell'indirizzo IP oggetto d'indagine e proseguendo mediante tecniche di indagine tradizionale.Non risultano, dalla lettura della motivazione della sentenza, questioni inerenti l'utilizzabilità degli atti d'investigazione informatica posti in essere.


Il caso è quello di un imputato ritenuto responsabile del reato di cui all'art. 600 ter terzo comma c.p. per avere divulgato mettendolo a disposizione di altri utenti del web, materiale pornografico prodotto con protagonisti minori degli anni 18, consentendo a chiunque fosse in quel momento collegato al servizio di file sharing di scaricare l'anzidetto materiale pedopornografico.


Art. 600 ter comma 3 c.p.“Chiunque [...] con qualsiasi mezzo, anche per via telematica, distribuisce, divulga, diffonde o pubblicizza il materiale pornografico di cui al primo comma [...] è pnito con la reclusione da uno a cinque anni”

Esame di un caso giurisprudenzialeCorte di Cassazione, quinta sezione penale, n. 44065/2011Quale attività d'indagine si è svolta:la polizia postale si era connessa per rilevare la lista di utenti collegati alla rete internet e condividenti, tramite un sistema peer to peer, file rispondenti alle chiavi di ricerca di immagini a contenuto peopornografico.Mediante questa attività la polizia postale aveva individuato il nickname Matteo, nella cui cartella di condivisione era stato rinvenuto un file contenente una immagine pedopornografica.Successivamente, presso l'abitazione della persona indagata, era stata effettuata una perquisizione che aveva permesso di rinvenire, nel cestino, file a contenuto pedopornografico.


Anche in questo caso, come in quello precedente, si è dovuto procedere alla individuazione del reale utilizzatore della connessione ad internet e del computer, poiché risultava che lo stesso computer e la stessa connessione erano utilizzati da soggetti diversi appartenenti allo stesso nucleo familiare.Difatti, al difesa aveva eccepito che il nickname “Matteo” non poteva essere considerato dirimente in merito alla individuazione del reale autore del delitto, poiché erano presenti altri componenti familiari che avrebbero potuto utilizzare il computer in questione


La Corte ha rigettato le eccezioni difensive rilevando come il nickname era composto dal nome del componente il nucleo familiare che era stato indagato come autore materiale del reato e che, d'altro canto, il computer si trovava nella stanza di quest'ultimo.Peraltro, la stessa Corte ha accolto il ricorso della difesa nella parte in cui la stessa ha eccepito che la condivisione di un solo file a contenuto pedopornografico, mediante un programma di file sharing, non è dimostrazione della volontà di porlo in condivisione.


La questione è interessante poiché pone in relazione aspetti tecnici e giuridici:tecnicamente è noto che unprogramma di file sharing comporta la messa in condivisione, per impostazione di default, di quanto ricevuto dall'utente. Pertanto, se io decido di ricevere un file pedopornografico, in automatico lo inserisco nella cartella di condivisione.Giuridicamente, però, l'assenza di prova circa la consapevolezza di questo dato tecnico non permette di affermare che io voglio condividere, quanto piuttosto che voglio detenere, che configura altro reato.


Art. 600 ter comma 3 c.p.“Chiunque [...] con qualsiasi mezzo, anche per via telematica, distribuisce, divulga, diffonde o pubblicizza il materiale pornografico di cui al primo comma [...] è pnito con la reclusione da uno a cinque anni”Art. 600 quater c.p. “Chiunque [...] consapevolmente si procura o detiene materiale pornografico realizzato utilizzando minori degli anni diciotto è punito con la reclusione fino a tre anni e con la multa non inferiore ad euro 1.549”


Nel caso in esame, quindi, la Corte ha ritenuto sussistente non già la condotta di divulgazione di materiale pedopornografico ma solo quela di detenzione.


L'aspetto investigativo rilevante di questo caso sta nel fatto che, proprio perché l'attività d'indagine ha rilevato la presenza di un programma di condivisione avente quelle particolari caratteristiche – messa in condivisione di default – e non ha rilevato altre tracce di messa in condivisione di file pedopornografici, si è potuto qualificare giuridicamente il reato contestato in termini di art. 600 quater e non di articolo 600 ter comma 3.

Lezione 30 marzo 2012

Documents

Transcript of Lezione 30 marzo 2012