Attività di sopralluogo giudiziario in caso di indagini su sistemi informatici

L’acquisizione della digital evidence è la fase del processo di digital forensics, successiva all’individuazione dell’evidenza informatica, che mira alla sua estrazione, mediante copiatura, dal supporto elettronico e contestuale trasferimento su altro supporto, in uso agli organi inquirenti, ove l’elemento acquisito viene “cristallizzato” e conservato per essere analizzato ai fini del suo eventuale utilizzo in sede dibattimentale.

Sebbene la fase di acquisizione sia da considerarsi il momento essenziale dell’intero procedimento, essa, cronologicamente, si colloca solo a seguito di una serie di operazioni che rientrano nella più ampia fase del sopralluogo giudiziario sulla scena del crimine[1]. Operazioni dalle quali dipende la corretta riuscita di tutta la fase investigativa e che sono finalizzate all’osservazione della scena criminis (o presunta tale), all’identificazione delle fonti di prova e alla loro successiva raccolta mediante l’applicazione di tecniche e metodologie atte a preservarne la genuinità.

In caso di ritrovamento di strumenti elettronici all’interno del locus commissi delicti, o in generale in caso di indagini su sistemi informatici, tali attività non possono prescindere dalla messa in sicurezza del dispositivo e dalla protezione del suo contenuto digitale in modo da impedirne mutazioni. Attività che inoltre non possono nemmeno prescindere dalla sua analisi esterna e dalla seguente descrizione dello stato di rinvenimento delle componenti hardware[2] (ivi comprese, oltre al corpo del dispositivo in sé, anche eventuali periferiche come chiavette usb, hard-disk, etc.), anche mediante fotografia.

Se la descrizione del dispositivo costituisce un’attività intuibilmente semplice – essendo sufficiente annotare il luogo di ritrovo, eventuali segni di usura o di rottura, se spento, acceso o in stand-by etc. – il congelamento dei dati salvati nel dispositivo o nella sua memoria istantanea in talune circostanze potrebbe rivelarsi un’attività delicata e non scevra dal rischio di alterazioni indesiderate, che potrebbero verificarsi anche a seguito delle scelte operative adottate da chi è chiamato ad intervenire.

È appena il caso di precisare che dette scelte variano a seconda del contesto in cui si opera, dei dati che si intende acquisire e delle circostanze che possono presentarsi nel caso concreto (si pensi ad una batteria quasi scarica, ad un computer connesso alla rete Internet, etc.) oppure, infine, variano con riguardo alla tipologia di dispositivo con cui si ha a che fare e sulla scorta del quale cambiano altresì le tecniche di acquisizione.

Deve tenersi conto del fatto, per l’appunto, che le tecniche di digital forensics si differenziano a seconda del supporto informatico oggetto di indagine a causa delle caratteristiche proprie di ciascun sistema: pertanto, se l’indagine riguarda un telefono cellulare, uno smartphone o un tablet occorrerà adottare le tecniche della mobile forensics, nel caso di un PC quelle della computer forensics, o ancora, nel caso in cui l’acquisizione debba avvenire da sito web, la procedura sarà ancora differente dovendosi tenere in considerazione ulteriori variabili, quali ad esempio la possibilità di modifica del sito da parte di altri utenti, che rendono necessaria l’applicazione di un approccio metodologico differente. Le tecniche differiranno anche a seconda del tipo di memoria che contiene le informazioni ritenute di interesse, ponendosi una divergenza operativa tra memorie di massa − come un disco rigido, una pennetta usb o un cd, dvd, floppy disk etc., dove i dati vengono immagazzinati e, in linea generale, restano immutati (c.d. disk forensics) – e memoria RAM, dove la facilità di dispersione dei dati impone attenzioni particolari (c.d. memory forensics)[3].

Ad ogni modo, a prescindere da quale sia il supporto con cui gli investigatori hanno a che fare, esistono alcune precauzioni comuni che si rendono opportune ai fini della salvaguardia delle possibili fonti di prova, una volta che queste siano state riconosciute e identificate come tali.

Prima di tutto occorre verificare se il dispositivo sia in funzione, in stand-by oppure spento. Quest’ultima situazione è quella meno rischiosa, poiché ad apparecchio già spento è molto difficile che si producano modificazioni indesiderate del suo contenuto digitale, che potrà quindi essere estratto anche a distanza di tempo, con l’ovvio accorgimento di assicurarsi che medio tempore non vengano effettuate accensioni che non si dovessero rendere necessarie per circostanze particolari. Le attività di estrazione da dispositivo spento sono denominate operazioni “post-mortem” e, in genere, rientrano nelle c.d. attività ripetibili ex art. 359 c.p.p.

Viceversa, in base allo stesso principio, quando il dispositivo viene rinvenuto acceso o in stand-by e vi sono ragioni per ritenere che le informazioni di interesse possano essere contenute all’interno della memoria temporanea (RAM), per sua natura estremamente volatile e suscettibile alla cancellazione con lo spegnimento, o sussistano altre circostanze peculiari come la non rimovibilità del supporto dal luogo d’installazione, l’estrazione dovrà avvenire direttamente sul sistema in accensione – salvo, in ogni caso, che condizioni impeditive ne impongano la disattivazione[4] – applicando le c.d. tecniche di “live forensics” e «tenendo conto che ogni operazione effettuata sul sistema potrebbe portare all’alterazione dei dati»[5].

L’esecuzione di analisi e acquisizioni di dati in modalità live forensics comporta indubbiamente un maggior rischio rispetto alle attività eseguite post mortem; con l’ulteriore considerazione che le operazioni condotte su dispositivi accesi andrebbero ricomprese, almeno in linea teorica, tra gli atti irripetibili ex art. 360 c.p.p., producendosi giocoforza in tali casi delle modificazioni dello stato originale del contenuto digitale che, di conseguenza, ai fini dell’attendibilità processuale delle evidenze estratte e a garanzia del diritto di difesa, devono essere annotate e descritte adeguatamente.

Tra i primissimi accorgimenti da apprestare quando si agisce su un dispositivo attivo vi è quello di impedirne l’uso da parte di soggetti non autorizzati e porlo in una situazione di isolamento rispetto a possibili interferenze esterne, in modo da prevenire alterazioni da terzi che potrebbero sfruttare un qualche tipo di collegamento con il device, come connessioni internet o bluetooth.

L’isolamento può essere realizzato inserendo il congegno all’interno di una c.d. gabbia di Faraday, cioè un contenitore che non permette la penetrazione di segnali elettromagnetici, oppure mediante l’utilizzo di un jammer, strumento che inibisce (entro il suo raggio d’azione) la capacità degli apparecchi elettronici di emettere o ricevere segnali e onde radio. In caso di impossibilità d’uso di simili strumentazioni una soluzione valida potrebbe essere anche impostare il dispositivo offline attivando la “modalità aereo”, qualora presente tra le funzioni del sistema.

Sempre in sede di sopralluogo giudiziario gli organi inquirenti potrebbero ritenere utile l’espletazione di attività preliminari, anche dette “preview”, volte ad esaminare il contenuto delle apparecchiature rinvenute nel corso di ispezioni o perquisizioni, col fine di valutare se possa effettivamente trattarsi di materiale utile per le indagini oppure di materiale superfluo, potendo così determinarsi di porre sotto sequestro solamente alcuni dispositivi oppure solo le unità di memoria esterna del dispositivo analizzato.[6]

Giunti a questo punto, in estrema sintesi, è possibile affermare che in caso di rinvenimento di dispositivi elettronici durante le fasi del sopralluogo giudiziario, la polizia giudiziaria o gli altri soggetti chiamati a intervenire sono tenuti ad attuare una serie di operazioni volte ad assicurare la buona riuscita delle successive fasi investigative, che si potrebbero schematizzare come segue:

  • messa in sicurezza del dispositivo, anche mediante isolamento da interferenze esterne e comunque impedendone l’uso da parte di soggetti non autorizzati;
  • descrizione del dispositivo (anche mediante foto o video), annotazione delle sue particolarità (usura, eventuali componenti rotte, etc.) e stato di rinvenimento (se acceso, in stand-by oppure spento);
  • se spento non accendere e, se acceso o in stand-by, evitarne spegnimenti che non siano necessari;
  • annotazione e descrizione di tutti i passaggi del dispositivo e di eventuali analisi preliminari del contenuto.

Una volta concluse queste fasi e trasportato in laboratorio il dispositivo rinvenuto, salvo eventuali necessità che rendano necessario proseguire nel luogo del ritrovamento (o dell’ispezione/perquisizione), si può far seguito al successivo passaggio del processo di digital forensics, consistente nell’acquisizione delle digital evidence giudicate di interesse.

Appare opportuno precisare che se in linea di principio tali operazioni, in quanto atti investigativi, ricadono nella competenza del Pubblico Ministero e della polizia giudiziaria, non di rado accade che, quando il quantitativo di dati da estrarre è considerevole e non sussiste pericolo di inquinamento del possibile materiale probatorio identificato, tali organi nominino per l’esecuzione delle attività in questione un ausiliario di polizia giudiziaria. Tale figura, che deve essere scelta tra soggetti con comprovata esperienza tecnica nel settore, talvolta può rivestire un ruolo centrale in questa fase investigativa, potendosi rivelare un valido ausilio non solo per la conduzione materiale dell’estrazione dei dati ma anche nella selezione delle informazioni digitali da acquisire.

Questo articolo è stato estratto dal white paper “La Digital forensics nel processo penale” disponibile in maniera libera e gratuita al seguente link: https://www.ictsecuritymagazine.com/pubblicazioni/digital-forensics-nel-processo-penale/

Note

[1] Per una puntuale definizione di sopralluogo giudiziario, inteso come «esame della scena del crimine», si veda D. CURTOTTI, “Rilievi e accertamenti sul locus commissi delicti nelle evoluzioni del codice di procedura penale”, in “Manuale delle investigazioni sulla scena del crimine Norme, tecniche, scienze, logica”, a cura di D. CURTOTTI e L. SARAVO, G. Giappichelli Editore, Pioltello (MI), 2019, p. 45, dove, rilevata l’assenza della locuzione sopralluogo giudiziario all’interno del codice di rito, l’esame della scena del crimine viene definito come «quel complesso di attività poste in essere dalla polizia giudiziaria, dal consulente tecnico del pubblico ministero e della difesa, aventi natura tecnica e scientifica, esperibili sul locus commissi delicti, sia nell’immediatezza della scoperta del fatto di reato che nell’esecuzione di eventuali successivi accessi, finalizzate ad isolare, descrivere e analizzare lo scenario, nonché ricercare, esaminare e repertare le tracce ivi rinvenute». Tale definizione appare pienamente calzante anche in ambito di sopralluogo su supporti elettronici e sistemi informatici.

[2] Per hardware si intendono le «componenti di base, non modificabili, di un apparecchio o di un sistema (alimentatori, componenti circuitali fissi, unità logiche, ecc.)», https://www.treccani.it/vocabolario/hardware/.

[3] Altre discipline che rientrano nell’area della digital forensics sono la cloud forensics, per l’analisi e acquisizione da sistemi cloud, la network forensics, avente ad oggetto l’analisi e l’acquisizione da sistemi di rete e il traffico delle comunicazioni che vi transitano, la database forensics, volta ad analizzare ed acquisire quanto è contenuto all’interno di database.

[4] Si pensi ad esempio ad analisi da eseguire su apparecchi dallo spegnimento dei quali potrebbero derivare situazioni di pericolo come sistemi di gestione del traffico aereo o ferroviario, sistemi militari atti alla difesa nazionale come sistemi radar e scudi balistici etc. o macchinari in ambito sanitario.

[5] R. MURENEC, op. cit. p. 123 e, ugualmente, G. COSTABILE, op. cit., p. 13, dove tra gli altri dati istantanei che potrebbero essere compromessi con lo spegnimento vengono indicati a titolo esemplificativo: processi attivi nel momento del rinvenimento, stato schede di rete e tabelle di routing.

[6] G. COSTABILE, op. cit., p. 12, dove in ottica esemplificativa si afferma che una simile modalità operativa potrebbe comportare risultati positivi in caso di indagini sulla pedopornografia online «dove l’identificazione di materiale illecito detenuto con dolo (quindi presente sull’hard disk e non cancellato) può portare al sequestro dei soli hard disk “inerenti”, lasciando fuori dal sequestro materiale “neutro” rispetto alle indagine», mentre non sarebbe funzionale «per stabilire un c.d. alibi informatico o dove si rende necessario analizzare anche i file cancellati o di sistema», vista la necessità per queste ultime ipotesi di effettuare il sequestro di tutto il materiale contenente dati.

Articolo a cura di Francesco Lazzini

Profilo Autore

Laureato in giurisprudenza con successivo conseguimento dei master in Scienze Forensi (Criminologia-Investigazione-Security-Intelligence) e in Informatica giuridica, nuove tecnologie e diritto dell’informatica. Attività di studio postuniversitario focalizzata in materia di indagini con l’utilizzo del captatore informatico e digital forensics.

Condividi sui Social Network:

Articoli simili