AutoSploit: il tool per la ricerca di dispositivi IoT vulnerabili
17 Maggio 2018
La Cyber Threat Information Sharing: differenze di approccio tra MISP e TIP
21 Maggio 2018

L’intervento dell’Ausiliario di Polizia Giudiziaria, ex art. 348 c.p.p. nelle perquisizioni informatiche

Il legislatore prevede la figura dell’ausiliario di P.G., in poche righe dell’art. 348 del codice di procedura penale, al comma 4, laddove specifica: “La polizia giudiziaria, quando, di propria iniziativa o a seguito di delega del pubblico ministero, compie atti od operazioni che richiedono specifiche competenze tecniche, può avvalersi di persone idonee le quali non possono rifiutare la propria opera.”.

In rete si trovano attraverso una semplice ricerca, diverse pagine dedicate a questa figura che riepilogano nei tratti essenziali chi possano essere le persone “idonee” e quali siano le potestà e responsabilità alle stesse attribuite. Molte di queste pagine a fattore comune riportano che:

  • Come sancito dalla Corte di Cassazione, “Qualsiasi atto compiuto dall’Ausiliario di P.G. nelle sue funzioni, è da considerarsi un atto stesso della Polizia Giudiziaria”, esso assume la qualifica di Pubblico Ufficiale ed opera sotto la direzione ed il controllo della P.G.;
  • I requisiti per svolgere tale Pubblica Funzione sono: Speciali competenze tecniche; Assenza di condanne; Maggiore età; Nessuna interdizione; Nessuna misura di sicurezza e prevenzione; Nessun interesse nel procedimento; Non essere stato cancellato da Albo Professionale (se inscritto);
  • L’ausiliario di P.G. non può rifiutare la propria opera poiché in virtù della qualifica rivestita incorrerebbe nella violazione dell’art. 328 C.P. (Rifiuto di atti d’ufficio – Omissione).

Nel prosieguo cercherò attraverso alcuni brevi approfondimenti, di evidenziare alcune criticità legate a quanto testé elencato, basandomi su alcune esperienze operative maturate nell’ambito della digital forensics.

La figura dell’ausiliario di P.G. può intervenire in aiuto della polizia giudiziaria sia quando questa opera d’iniziativa sia quando la stessa sia chiamata ad intervenire su delega del P.M.

La polizia giudiziaria nel corso delle ordinarie attività d’istituto può avere la necessità di procedere d’iniziativa (per farla breve nel rispetto dei poteri riconosciutegli dagli artt. 352 e ss. Codice di procedura penale, e quindi in assenza di un “decreto di perquisizione dell’Autorità Giudiziaria”) ad una perquisizione… anche informatica. A questo punto si possono aprire sinteticamente due scenari:

  1. a) l’organo di polizia è dotato tra il proprio personale di figure esperte, in possesso delle necessarie competenze tecniche e comunque capaci di effettuare la perquisizione informatica sul “target” da perquisire (es. Polizia Postale e delle Telecomunicazioni, reparti speciali addetti al contrasto della criminalità informatica, altri qualificati e specializzati a cui ho già fatto accenno in un precedente articolo[1]);
  2. b) l’organo di polizia è sprovvisto di personale qualificato, specializzato o comunque pur essendone provvista e recandolo con sé; nel particolare contesto operativo “crime scene” in cui si trova, improvvisamente, ad operare, non è in grado, per varie ragioni, (essenzialmente e per dirla meglio … per mancanza delle necessarie competenze tecniche), di procedere alla perquisizione;

Pur apparendo più facile ed idillica la situazione a), va precisato che oggi risulta sempre più raro non ricorrere all’ausiliario di P.G. si pensi a tutti i casi in cui il “target” è rappresentato da un server, protetto dalle necessarie misure di sicurezza; o ancora la necessità di effettuare una perquisizione informatica in presenza di software gestionali particolarmente complessi e spesso sconosciuti ai più;  o ancora particolari tipologie di target (scatole nere, altre apparecchiature informatiche di uso non comune e diffuso) che richiedono specifiche competenze anche solo per apprenderne le modalità di  elaborazione, trasmissione e conservazione dei dati.

Non va sottovalutato poi che, l’ormai inarrestabile evoluzione tecnologica, sforna ogni giorno nuovi dispositivi digitali e sempre più sofisticati sistemi di gestione e protezione dei dati, spesso sconosciuti anche a quel personale appartenente alle Forze di Polizia che si suppone in possesso delle necessarie competenze tecniche, ma non di certo al progettista, all’installatore, al gestore ed all’utilizzatore di quello specifico dispositivo.

E’ evidente quindi come in questi casi, risulti necessario, anche in presenza di personale “altamente qualificato e specializzato” ricorrere quasi sempre laddove possibile alla nomina di un ausiliario di P.G. ex art. 348 comma 4 c.p.p.

Ne consegue che pur esistendo il caso sub a) precedentemente indicato, sempre più spesso la polizia giudiziaria si trovi nel caso sub b) ovvero nella necessità di procedere alla nomina di un ausiliario di P.G.

Sul quando debba avvenire tale nomina, va precisato che salvo che si abbia un quadro ben chiaro e preciso di ciò che si troverà sulla “crime scene”, risulta spesso difficile se non impossibile, prevedere ed individuare l’ausiliario di P.G. più adatto! Tant’è che spesso la nomina avviene “on site” e solo quando la polizia giudiziaria avrà preso cognizione di una effettiva carenza di competenze tecniche che le impediscono di procedere oltre nei compiti demandatele.

Non si può escludere infatti che anche la nomina preliminare all’effettuazione dell’operazione, di personale esperto[2], eviti il ricorso ad un “altro” ausiliario di P.G. “on site” riconosciuto nel particolare contesto operativo l’unica persona idonea in quanto in possesso delle necessarie competenze a risolvere un particolare atto od operazione necessaria alla P.G., che ovviamente, l’ausiliario precedentemente nominato, non è in grado di assolvere autonomamente.

Mi si perdoni l’esempio banale, ma anche il più grande degli esperti potrebbe incorrere in serie difficoltà laddove non gli venisse in soccorso altro ausiliario di P.G. che ha conoscenze e competenze specifiche che lui potrebbe non avere.

E’ consigliabile allora premunirsi quantomeno di una rubrica con numeri ed indirizzi di produttore, centri assistenza, installatori etc. etc. dei probabili “target”, non sottovalutando che il cd. utilizzatore finale non è quasi a mai a conoscenza di tutte quelle caratteristiche insite nel sistema che potrebbero agevolare non poco le attività di ricerca e perquisizione da parte della P.G. (a mero titolo di esempio alcuni sistemi realizzano anche a insaputa dell’utente file di Log. molto precisi e dettagliati che potrebbero con una semplice esportazione di detti file, risolvere (magari) le necessità della P.G. in quel particolare contesto).

In ogni caso, è impossibile creare una casistica o un numero chiuso di casi nei quali si debba procedere alla nomina di un ausiliario di P.G., le casistiche sono pressoché infinite dipendendo da variabili quali il “target” da perquisire e la presenza o meno di personale capace ad approcciarvisi ed altro.

Tuttavia il “quando” assume una caratteristica importante spesso trascurata dalla polizia giudiziaria e foriera di incomprensioni. La caratteristica attiene al pagamento della prestazione resa dall’ausiliario. Alcune Procure della Repubblica per redimere appunto eventuali controversie, sostengono (e a mio modo di vedere a ragione!) che il pagamento dell’ausiliario di P.G. deve avvenire a cura della P.G. ogni qual volta la stessa stia operando d’iniziativa, sostenendo che il pagamento dell’ausiliario avverrà invece a cura della Procura della Repubblica solo allorquando il Pubblico Ministero abbia assunto la direzione delle indagini e ne abbia delegato la nomina alla P.G.

Tanto da specificare che la polizia giudiziaria dovrà essere in possesso di apposita delega che l’autorizza alla nomina di ausiliari di P.G. poiché solo in questo caso il compenso eventualmente riconosciuto all’ausiliario verrà corrisposto dalla Procura. Per chi comunque fosse interessato ad approfondire questo tema indico il seguente link[3], lasciando a ciascuno le più opportune conclusioni.

Quanto invece a chi sia l’ausiliario di P.G., anche qui le variabili e le casistiche aumentano in maniera esponenziale la platea dei potenziali candidati.  L’utente finale, il progettista, l’installatore, l’IT manager, l’IT security e volendone comunque definire una platea o un numero chiuso di candidati, chiunque è coinvolto a vario titolo nella “vita” di quel particolare sistema o dispositivo ed in possesso di quelle specifiche competenze tecniche necessarie a compiere quegli atti ed operazioni richieste dalla polizia giudiziaria.

Invero talvolta il loro intervento è legato ad azioni di natura strettamente “personale” (l’inserimento di una password, l’effettuazione di una procedura, la ricerca di documenti all’interno di un server, lo scarico di profili di posta, lo smontaggio di un dispositivo etc.) che non richiedono particolari abilità o competenze tecniche, ma solo la conoscenza di un particolare dato, azione e tecnica.

Di qui due difficoltà una conseguente all’altra:

– la prima è quella di comprendere l’effettività del problema; la polizia giudiziaria dovrà essere in grado di delineare il problema che si frappone alle proprie attività e richiedere l’intervento di un ausiliario. Cosa non sempre facile se non si ha un minimo di conoscenza dei sistemi informatici, se non si è assistiti da personale esperto ma soprattutto se non si è in grado di comprendere e discernere le effettive difficoltà tecniche da quelle che potrebbero essere solo scuse o supposte difficoltà di comodo, spesso avanzate se non per ostacolare l’attività della P.G., per timore, confusione conseguente all’intervento etc.

– la seconda, individuata l’effettività del problema, occorre “ricercare” la persona giusta, opera rimessa al vaglio della P.G. che dovrà essere capace … dato il problema … di individuare tra una rosa di potenziali “ausiliari” quello più adatto, alla risoluzione dello stesso ed anche qui occorreranno non comuni doti ed una adeguata preparazione tecnico-giuridico-informatica in capo all’operatore di polizia giudiziaria. Vanno evitate infatti nomine di ausiliari che ricoprono posizioni di vertice, magari all’interno della struttura IT ma che non hanno una conoscenza così approfondita del problema da risolvere. Invero accade sovente che la nomina venga effettuata in capo ad un responsabile IT il quale poi si avvale giocoforza, non avendone le specifiche capacità di altro suo personale subordinato all’effettuazione dell’operazione (si dà erroneamente per scontato che il responsabile IT sappia fare tutto nell’ambito della rete aziendale, tuttavia soprattutto in realtà complesse vi è una necessaria frammentazione dei compiti e delle responsabilità tanto da porre il responsabile IT in una posizione sì di vertice ma che però tuttavia non si accompagna sempre ad un “posso fare tutto io”).

Saranno quindi le specifiche “necessità” della polizia giudiziaria a fare da sfondo all’individuazione della persona idonea ad assolvere la richiesta.

Relativamente alla necessità di una nomina scritta che individui, identifichi il soggetto interessato e contenga in sintesi l’incarico affidatogli, evidenzio che la Cassazione nega tale necessità[4], tuttavia pur nel conforto degli “Ermellini”, consiglio di provvedervi, risultando l’incombente una garanzia sia per la polizia giudiziaria che per l’ausiliario.

Invero, una specifica richiesta scritta contenente in sintesi i motivi di ricorso all’ausiliario (ovvero quali siano le specifiche competenze tecniche riconosciute allo stesso e quali siano sempre in sintesi le incombenze a questi richieste) può a mio avviso risolvere “ab origine” problematiche che potrebbero sorgere in sede dibattimentale circa la necessità, competenze ed opportunità di tale intervento.

Inoltre la forma scritta e sottoscritta anche dall’ausiliario di P.G. permette da un lato di documentare l’oggetto della richiesta dall’altro di evitare equivoci e fraintendimenti che potrebbero riverberare responsabilità penali a carico dell’ausiliario, sia in caso di rifiuto di prestare la propria opera, sia nel caso in cui quanto richiestogli non venga adempiuto correttamente o ancora peggio in modo volutamente parziale o omissivo. Un incarico verbale infatti non dimostrerebbe che l’ausiliario è stato informato dei suoi diritti e doveri ed ancora peggio non terrebbe traccia di cosa gli è stato effettivamente richiesto. Ecco che allora la forma scritta e sottoscritta dall’ausiliario assume a parere di chi scrive elemento necessario a tutela delle parti … e al pagamento delle prestazioni dell’ausiliario!

Relativamente al chi, mi siano permessi degli approfondimenti.

Il primo concerne le stringenti caratteristiche, per dirla meglio i requisiti, che l’ausiliario deve possedere. L’elencazione fatta dalla maggior parte dei siti che hanno trattato detto tema si rifanno ai requisiti previsti per la figura del Consulente Tecnico del Giudice, e che si evincono dagli articoli da 69 a 73 delle Norme di Attuazione del C.P.P.

Non è mia intenzione proporre nel seguito una digressione sulle profonde differenze, che contraddistinguono la figura in trattazione da quella del consulente tecnico, mi limito qui solo a dire che le due figure sono profondamente diverse nelle loro potestà, compiti e responsabilità, tanto da non poter essere confuse. Invero l’ausiliario di P.G. (nome derivato dal precedente codice di procedura penale) oggi viene individuato in una persona “idonea” a compiere atti od operazioni che richiedono specifiche competenze tecniche; anche il consulente tecnico deve essere in possesso di specifiche competenze tecniche, professionali etc. pertanto un primo elemento di differenziazione si può rinvenire nella “nomina”. Orbene il consulente tecnico nel caso di specie C.T.U. consulente tecnico d’ufficio è nominato, anche dopo rigorosi accertamenti, dal pubblico ministero; mentre l’ausiliario della P.G. a ragione del proprio nome è nominato da quest’ultima e solitamente in situazioni di urgenza.

Alcuni dei requisiti presuppongono una serie di accertamenti e verifiche che se ben posso essere realizzate rispetto ad una “rosa” di candidati sono giocoforza rimesse ad una mera dichiarazione dell’interessato nelle situazioni d’urgenza, soprattutto quando la persona sia “l’unica”.

Alcuni esempi:

– accertare l’assenza di condanne, interdizioni, misure di sicurezza e prevenzione, se è agevole per gli Uffici della Procura, non lo è altrettanto per l’ufficiale di P.G. impegnato nella perquisizione di un server aziendale che ha necessità di nominare ausiliario non un soggetto dalla “fedina penale” pulita, ma uno capace di risolvere urgentemente i problemi tecnici che si oppongono all’attività di polizia. Ci si domanda quindi se all’atto della nomina sia necessario richiedere al potenziale “ausiliario” un’autocertificazione circa il suo stato e di qui mi si permetta, di avvalorare allora, (ricordando l’interpretazione giurisprudenziale prima evidenziata), la necessità della forma scritta nella nomina dello stesso.

– nessun interesse nel procedimento…qui la cosa si fa ancora più complessa. Per motivi di opportunità la nomina di un Consulente Tecnico vuole come requisito essenziale l’estraneità dello stesso ad eventuali interessi nel procedimento; pena, l’attendibilità delle proprie conclusioni che potrebbero essere viste quantomeno, come “di parte”. Per quanto concerne l’ausiliario di P.G. e chi ne ha esperienza non può che confermarlo, questi è spesso nell’urgenza e nell’immediatezza tratto da personale appartenente talvolta alla stessa azienda perquisita (es. classico l’amministratore di rete dell’azienda, l’IT Manager etc. di importanti realtà aziendali). La scelta per quanto possa apparire inopportuna è spesso (forse troppo) l’unica percorribile.

Accade infatti sovente che l’ausiliario di P.G., per i motivi già tratteggiati in precedenza possa anche essere persona “dipendente” dell’azienda perquisita. La norma di per sé non lo vieta ed è anche altrettanto vero ed innegabile, che molto spesso, solo un dipendente dell’azienda oggetto della perquisizione informatica, incarna quelle competenze tecniche di cui la P.G. è sprovvista. (chi ha esperienze di perquisizioni informatiche … lo sa!)

Al di là di simpatici aneddoti è evidente tuttavia come la nomina di un ausiliario di P.G. “interno” alla stessa compagine aziendale possa costituire quantomeno elemento di imbarazzo sia per l’azienda che per la P.G.

Quest’ultima in particolare dovrà sempre porre particolare attenzione alla “posizione” del soggetto scelto, ovvero che lo stesso per qualsivoglia motivo (e si badi accade più spesso di quanto si creda), non venga poi a ricoprire anche lui la posizione di persona sottoposta alle indagini per reati a lui ascrivibili o in concorso con altri, simili o anche diversi da quelli per cui si procede. O a dirla meglio … si eviti di nominare ausiliari di P.G. coloro che ricoprono posizioni di alta responsabilità spesso “oggettiva” prediligendo nella scelta persone della compagine aziendale in possesso delle specifiche competenze richieste ed in posizioni escluse dalle cosiddette “responsabilità oggettive” legate alla carica.

Un breve accenno, infine, all’aspetto concernente l’eventuale rifiuto a prestare la propria opera da parte dell’ausiliario individuato, che molti sintetizzano in: L’ausiliario di P.G. non può rifiutare la propria opera poiché in virtù della qualifica rivestita incorrerebbe nella violazione dell’art. 328 C.P. (Rifiuto di atti d’ufficio – Omissione).

Il reato in trattazione prevede una sanzione da 6 mesi a due anni, volendo qui significare che non ha certo un effetto deterrente circa eventuali condotte “omissive” di altro genere che l’ausiliario di P.G. potrebbe commettere nell’assolvimento dell’opera (ausiliario di P.G. che non rifiuta l’incarico ma assolve infedelmente lo stesso), va comunque considerato che eventuali altre omissioni potrebbero poi configurare altri reati ben più gravi e puniti in maniera più pesante (favoreggiamento personale ex art. 378 C.P. o casi di concorso nel reato ex art. 110 C.P. ). Ma di ciò spesso non si informa adeguatamente l’ausiliario di P.G. ed ecco che ancora una volta … prediligo la forma scritta.

In conclusione, se dal 1989 l’attuale codice di procedura penale con l’art. 348 comma 4 è risultato al passo coi tempi in tutte quelle situazioni che venivano a richiedere la nomina di un ausiliario di P.G., oggi in un rinnovato ed evoluto mondo digitale (diretto anche verso una imponente e giusta protezione dei dati), questa figura ha anche bisogno di una nuova regolamentazione.

Si affacciano nuove figure nell’ambito del GDPR (General Data Protection Regulation) quale quella del DPO (Data Protection Officer) che in futuro, potrebbe rappresentare quel soggetto capace di interfacciarsi in modo nuovo e moderno con la polizia giudiziaria. Il DPO sarà, infatti, una sorta di ibrido fra il ruolo di vigilanza dei processi interni alla struttura ed il ruolo di consulenza, nonché “ponte di contatto” e super partes con l’Autorità Garante nazionale. Di qui un ruolo certamente “privilegiato” nella gestione dei dati aziendali, tanto da vederlo in futuro, ove presente, il “referente diretto”, “l’ausiliario di P.G. qualificato” ad assolvere ed assecondare personalmente o attraverso collaboratori dallo stesso individuati ma sotto la sua responsabilità, le richieste della P.G.. Elemento di preferenza nella sua individuazione e scelta da parte della P.G. sarà proprio questa sua posizione di terzietà che potrà risolvere molte delle problematiche in questo articolo molto modestamente e senza pretesa di esaustività ho voluto evidenziare.

NOTE

[1]  https://www.ictsecuritymagazine.com/articoli/legge-18-marzo-2008-n-48-lufficiale-polizia-giudiziaria-dieci-anni/

[2]  E’ il caso della polizia giudiziaria che prima di intraprendere le operazioni si avvale quale ausiliario di P.G. di  soggetti in possesso di elevate competenze tecniche – es. digital forensics expert o altri soggetti in possesso di certificazioni internazionali quali CIFI etc. o ancora coloro che in proprio o attraverso società offro anche tale servizio di “ausiliario di P.G.” alla polizia giudiziaria che ne faccia richiesta.

[3]  http://www.procura.udine.giustizia.it/allegati/2016-11-11_Direttiva.pdf

[4]  Sez.III, sent.n. 17177 del 18-02-2010 (ud. Del 18-02-2010), (rv. 246978)

 

A cura di: Pier Luca Toselli 

Pier Luca Toselli

Ufficiale di polizia Giudiziaria con la qualifica di Computer Forensic e Data Analysis

Sono un ufficiale di polizia Giudiziaria che ha maturato un'esperienza ormai trentennale nel settore della sicurezza e delle investigazioni, con specifico riferimento negli ultimi 8 anni alla digital forensic per la quale ho conseguito la qualifica di Computer Forensic e Data Analysis . L'esperienza ha anche permesso di consolidare ed affinare una solida preparazione tecnico-giuridica sia nel settore delle investigazioni in genere sia in quello più prettamente informatico. Sono stato docente nell’ambito del Master Executive di II livello in Criminologia e Cyber Security – Modulo 7: Lotta al Crimine organizzato (Master Sida - Fondazione INUIT Tor Vergata).

Download PDF
Condividi sui Social Network:

ISCRIVITI ALLA NEWSLETTER DI ICT SECURITY MAGAZINE

Una volta al mese riceverai gratuitamente la rassegna dei migliori articoli di ICT Security Magazine

Rispettiamo totalmente la tua privacy, non cederemo i tuoi dati a nessuno e, soprattutto, non ti invieremo spam o continue offerte, ma solo email di aggiornamento.
Privacy Policy