Cass. n. - 4N6 | Servizi computer forensics

L novità
Le
i à giurisprudenziali
i i
d i li sulle
ll indagini
i d i i informatiche
i f
i h e
sul captatore informatico
avv. Prof. Stefano Aterno
settembre 2013
Scena del crimine ((non solo)) informatico
volatilità ‐ modificabilità – alterabilità
dell’elemento di prova informatico
Nuovi scenari sulla Rete o meglio……. su Cloud……
La legge n. 48 del 2008 di Ratifica della convenzione
di Budapest 2001
ha modificato il codice di procedura penale
Art. 244 c.p.p. ‐ Casi e forme delle ispezioni
Art. 247 c.p.p. ‐ Casi e forme delle perquisizioni
Art. 254‐bis c.p.p. (Sequestro di dati informatici presso fornitori
di servizi informatici, telematici e di telecomunicazioni)
Art. 352 c.p.p. ‐ Perquisizioni
Art. 354 c.p.p. ‐ accertamenti urgenti
adottando misure tecniche dirette ad assicurare la
conservazione dei dati originali e ad impedirne l’alterazione
” …adozione
adozione di misure tecniche dirette ad assicurare la
conservazione dei dati originali ed ad impedirne
l’alterazione….” ((art. 244 cpp)
pp)
“ acquisizione
acqu s o e avvenga
a e ga mediante
ed a te copia
cop a di
d essi
ess su adeguato
supporto, con una procedura che assicuri la conformità dei
dati acquisiti a quelli originali e la loro immodificabilità”
“ ….ad assicurarne la conservazione e ad impedirne l’alterazione e
l’
l’accesso
e provvedono,
d
ove possibile,
ibil alla
ll loro
l
immediata
i
di t
duplicazione su adeguati supporti, mediante una procedura che
p all’originale
g
e la sua
assicuri la conformità della copia
immodificabilità…..” (art. 354 c.p.p)
Le disposizioni processuali sul cybercrime introdotte dalla legge
18 marzo 2008, n. 48
A 244 c.p.p. ‐ Casi
Art.
C i e forme
f
d
delle
ll ispezioni
i
i i . (l.,
(l n. 48 del
d l 2008)
Art. 247 c.p.p. Casi e forme delle perquisizioni
1‐bis. Quando vi è fondato motivo di ritenere che dati,
informazioni, programmi informatici o tracce comunque
pertinenti al reato si trovino in un sistema informatico o
telematico, ancorché protetto da misure di sicurezza, ne è
disposta
p
la p
perquisizione,
q
, adottando misure tecniche dirette ad
assicurare la conservazione dei dati originali e ad impedirne
l’alterazione
Art. 254‐bis.
(Sequestro di dati informatici presso fornitori di servizi informatici,
informatici
telematici e di telecomunicazioni)
1. L’autorità giudiziaria, quando dispone il sequestro, presso i fornitori di
servizi informatici, telematici o di telecomunicazioni, dei dati da questi
detenuti, compresi quelli di traffico o di ubicazione, può stabilire, per
esigenze legate alla regolare fornitura dei medesimi servizi, che la loro
acquisizione avvenga mediante copia di essi su adeguato supporto, con
una procedura che assicuri la conformità dei dati acquisiti a quelli
originali e la loro immodificabilità. In questo caso è, comunque,
ordinato al fornitore dei servizi di conservare e proteggere
adeguatamente
d
t
t i dati
d ti originali.
i i li (l.,
(l n. 48 del
d l 2008)
• Art. 352 Perquisizioni
1‐bis. Nella flagranza del reato, ovvero nei casi di cui al comma
2 quando sussistono i presupposti e le altre condizioni ivi
previsti, gli ufficiali di polizia giudiziaria, adottando misure
tecniche dirette ad assicurare la conservazione dei dati
originali e ad impedirne l’alterazione, procedono altresì alla
perquisizione
p
q
di sistemi informatici o telematici,, ancorché
protetti da misure di sicurezza, quando hanno fondato
motivo di ritenere che in questi si trovino occultati dati,
informazioni, programmi informatici o tracce comunque
pertinenti al reato che possono essere cancellati o dispersi.
(l n.
(l.,
n 48 del 2008)
NO alle “perquisizioni “occulte !
• Art. 354 ‐ Accertamenti urgenti sui luoghi, sulle cose e sulle
persone. Sequestro
S
t
Se vi è p
pericolo che le cose,, le tracce e i luoghi
g indicati nel comma 1
si alterino o si disperdano o comunque si modifichino il pubblico
ministero non può intervenire tempestivamente ovvero non ha
ancora assunto la direzione delle indagini, gli ufficiali di polizia
giudiziaria
d
compiono i necessari accertamenti e rilievi
l
sullo
ll stato d
dei
luoghi e delle cose. In relazione ai dati, alle informazioni e ai
programmi informatici o ai sistemi informatici o telematici, gli
ufficiali
ffi iali della polizia
poli ia giudiziaria
i di iaria adottano,
adottano altresì,
altresì le misure
mis re
tecniche o impartiscono le prescrizioni necessarie ad assicurarne
la conservazione e ad impedirne l’alterazione e l’accesso e
provvedono ove possibile,
provvedono,
possibile alla loro immediata duplicazione su
adeguati supporti, mediante una procedura che assicuri la
conformità della copia all’originale e la sua immodificabilità. Se
del caso, sequestrano il corpo del reato e le cose a questo
pertinenti [ 253, 356; disp. att. 113] [1]. (l., n. 48 del 2008)
Le prime pronunce della Cassazione
‐
Cass. 12 dicembre 2008‐13 marzo 2009 n. 11135, B.
‐
Cass. n. 11503 del 16/03/2009, Dell'Av.
‐
Cass. n. 11863 del 18/03/2009, Ammu.
‐
Cass. n. 14511 del02/04/2009. Stab.
‐
Cass. n. 2388, 19.1.2010, Pirr.
‐
Cass. n. 16556 del 29/04/2010 sul cd captatore informatico
Acquisizione di un file su server di una Banca
Cass. 12 dicembre 2008‐13 marzo 2009 n. 11135, B.
L'esperibilità delle procedure di hashing, ossia delle tecniche
volte a verificare ll'integrità
integrità e la conformità all
all'originale
originale del
dato informatico sequestrato e conservato in copia su un
apposito supporto (nella specie Cd‐Rom), è una questione di
merito, potendosi
d
in sede
d di
d legittimità
l
à esclusivamente
l i
delibare se gli accorgimenti adottati dalla polizia giudiziaria
delegata siano o meno idonei in astratto a tutelare le finalità
indicate dal legislatore negli articoli 247, comma 1‐bis, e 354,
comma 2, del C.p.p. per come modificati dalla legge 48/2008
di ratifica della Convenzione del Consiglio d'Europa sul
cybercrime.
La Cassazione e la lettura “post mortem” del PC. Ripetibiltà.
Cass. Sez. 1, del 25/02/2009, n.11503 (dep.16/03/2009)Dell
Dell'Aver
Avers.
Ipotesi di analisi/lettura del PC in assenza dei difensori in assenza di una accertata
alterazione del disco informatico
informatico, tra l’altro
l altro appartenente ad un terzo soggetto.
soggetto
Non dà luogo ad accertamento tecnico irripetibile
la lettura dell' "hard disk" di un computer
sequestrato, che è attività di polizia giudiziaria
volta, anche con urgenza,
g
all'assicurazione delle
fonti di prova. E’ quindi ripetibile.
La Cassazione e l’estrazione dei dati
da parte di personale esperto
Cass. Sez. 1, del 26/02/2009
/ /
n. 11863, (dep. 18/03/2009
/ /
) Amm.
L'estrazione dei dati contenuti in un supporto
informatico se eseguita da personale esperto
informatico,
in grado di evitare la perdita dei medesimi
d i costituisce
dati,
i i
un accertamento tecnico
i
ripetibile.
La Cassazione e la ripetibilità degli atti prelevati su PC
Cass. Sez.
C
S 1,
1 n. 14511 del
d l 05/03/2009 Cc.
C (dep.
(d 02/04/2009 )
S. Av.
• Non rientra nel novero degli atti irripetibili l'attività di
estrazione di copia di "file" da un computer oggetto di
sequestro dal momento che essa non comporta alcuna
sequestro,
attività di carattere valutativo su base tecnico‐scientifica,
né determina alcuna alterazione dello stato delle cose, tale
d recare pregiudizio
da
i di i alla
ll genuinità
i ità del
d l contributo
t ib t
conoscitivo nella prospettiva dibattimentale, essendo
sempre
comunque
assicurata
la
riproducibilità
d'informazioni identiche a quelle contenute nell'originale
SEGUE : La Cassazione sensibilizza i difensori a confortare i loro assunti in concreto
Sez. 1, Sentenza n. 14511 del 05/03/2009 Cc. (dep. 02/04/2009 ) imputato: St. Av.
La Cassazione e la custodia delle cose sequestrate Cass 19.1.2010, n. 2388
Cassazione su una pagina web
“le
le informazioni tratte da una rete telematica sono
per natura volatili e suscettibili di continua
trasformazione e,
e a prescindere dalla ritualità della
produzione, va esclusa la qualità di documento in
una copia su supporto cartaceo che non risulti
essere stata raccolta con garanzie di rispondenza
all’originale
all
originale e di riferibilità ad un ben individuato
momento”
(Cass. Sez. Lavoro n. 2912/04
/ del
d l 18.2.2004)
La Cassazione sulla captazione occulta di dati da
remoto (il cd Trojan di Stato)
•
•
Sez. 5, Sentenza n. 16556 del 14/10/2009 Ud. (dep. 29/04/2010 )
È legittimo il decreto del pubblico ministero di acquisizione in copia,
attraverso l'installazione di un captatore informatico, della
documentazione informatica memorizzata nel "personal computer" in uso
all'imputato e installato presso un ufficio pubblico, qualora il
provvedimento abbia riguardato l'estrapolazione
l estrapolazione di dati
dati, non aventi ad
oggetto un flusso di comunicazioni, già formati e contenuti nella memoria
del "personal computer" o che in futuro sarebbero stati memorizzati. (Nel
caso di specie, l'attività autorizzata dal P.M., consistente nel prelevare e
copiare documenti memorizzati sull'"hard disk" del computer in uso
all'imputato, aveva avuto ad oggetto non un "flusso di comunicazioni",
richiedente un dialogo con altri soggetti, ma "una relazione operativa tra
microprocessore e video del sistema elettronico
elettronico", ossia "un
un flusso
unidirezionale di dati" confinati all'interno dei circuiti del computer; la
S.C. ha ritenuto corretta la qualificazione dell'attività di captazione in
questione quale prova atipica, sottratta alla disciplina prescritta dagli artt.
266 ss. cod. proc. pen.).
)
• Prova
o a atipica
at p ca ?? …e
…ex aart.
t. 189
89 c.p.p. ?
• Siamo sicuri che non ci sia anche una
intercettazione di un flusso di comunicazioni ?
• Siamo proprio sicuri che non sia necessario il GIP
anche per tutto ciò che non è intercettazione
ambientale o telefonica ?
Caratteristiche più o meno tipiche del captatore informatico/trojan
‐ Entra nel sistema “target” e prende il completo
controllo…..(anche della webcam) ;
‐ È in grado di attivare il microfono del sistema e ascolta
come un’ambientale;
‐ È programmato
t per sfuggire
f i aglili antivirus;
ti i
‐ Acquisisce e recapita on line, ad intervalli di tempo,
all’investigatore
all
investigatore TUTTO il contenuto del PC (ogni tipo di
file, log di navigazione web, posta elettronica, foto,
screen shot su utilizzo, screen shot dei siti web visitati);
‐ Si autodistrugge
d
con un comando…..pulendo
d
l d lle sue
tracce ed è difficilissimo capire se e quando è stato
istallato;
s a a o;
‐ Ah dimenticavo……può uplodare qualsiasi tipo di file
salvandolo sul pc “vittima”……… NB : I PM e la PG non lo
f
faranno
mai,i ma loro
l
h
hanno il controllo
t ll d
della
ll situazione
it i
?
Altre criticità del trojan di stato
• Il trojan (di Stato) altera il computer “target” ergo è
attività irripetibile ?
• Capta, monitorizza, registra anche comportamenti non
comunicativi (cass. SSUU 2006);
• Differenziare tra sistemi informatici “privati” da quelli
p
(p
(prob. del domicilio informatico);
);
“pubblici”
• È un mezzo di ricerca atipico ovvero prova atipica
effettiva e giustificata ? (esistono perquisizione e
sequestro per acquisire tutto ciò….. ?);
• Problemi di competenza nel caso di sistemi all’estero ?
Nel caso di Cloud computing su server all’estero ?
Giurisprudenza sull’instradamento ?
Indubbi vantaggi investigativi………..MA…..alcune soluzioni possibili ?
• solo sequestro ritardato e/o su indagini su piattaforme
cloud;
• Verbale di PG con dettaglio delle operazioni eseguite ed
eventuale nomina APG di consulenti e indicazione utilizzo);
• (eventuale) contemporanea autointercettazione
telematica;
l
• Logging client “attaccante”, time stamp e firma digitale;
• (eventuale) deposito agli atti delle indagini le specifiche
identificative e tecniche del software Trojan utilizzato;
• Decreto del GIP ;
• Successiva analisi del PC/supporto informatico sempre con
il 360 c.p.p
• Forse
F
non b
basta..…….forse
t
f
è il caso che
h iintervenga
t
il
Legislatore…..
L’Appostamento informatico dal Tribunale di Milano alla
S
Suprema
Corte
C t di cassazione
i
22 2 2010 – n.
22.2.2010
n 1877 ‐ caso www.svanityfair.com
www svanityfair com
(non si riusciva a individuare il soggetto responsabile delle
pubblicazioni diffamatorie. Il p
p
provider era all’estero )
“idonea attività di technointelligence e […] indagini
oggettivamente atipiche di polizia giudiziaria”:
• ‐ tracciamento del sito internet www.svanityfair.com e
di tutte le caselle di posta elettronica riconducibili allo
stesso, anche mediante l’utilizzo di azioni atipiche di
invio anonimo di messaggi di posta basate su
innovative tecniche di social engineering che si
riterranno opportune;
DECRETO DEL PUBBLICO MINISTERO
Quando è Geolocalizzazione e non intercettazione …..
Siamo in attesa delle motivazioni della
Cassazione
Che comunque il 7 giugno 2013 ha rigettato il
ricorso della difesa ritenendo tale attività un
tracciamento e non una intercettazione.
restiamo in attesa delle motivazioni…….
motivazioni
Grazie
Gra
ie per l’attenzione
l’atten ione
resto a vostra disposizione
per eventuali domande
Avv. Stefano Aterno
www.studioaterno.it
[email protected]
d