Digital Forensic. Sommario. Sommario. Digital Forensic: Che cos è?

Transcript

1 Sommario Digital Forensic Alfredo De Santis Marzo 2011 Introduzione Principi e Metodologie (con aspetti legali) Tecniche Antiforensi Indagine forense su sistemi Windows Alibi Digitale Falso Sommario Introduzione Principi e Metodologie (con aspetti legali) Tecniche Antiforensi Indagine forense su sistemi Windows Alibi Digitale Falso Che cos è? Sorgenti potenziali per evidenza digitale Digital Forensic: Che cos è? Investigazione ed analisi delle tracce digitali per trovare evidenza legale Include identificazione, preservazione, estrazione, documentazione ed interpetrazione dell evidenza digitale trovata

2 Digital Forensic Science Una definizione The use of scientifically derived and proven methods toward the preservation, collection, validation, identification, analysis, interpretation, documentation and presentation of digital evidence derived from digital sources for the purpose of facilitating or furthering the reconstruction of events found to be criminal, or helping to anticipate unauthorized actions shown to be disruptive to planned operations. Digital Forensics Research Workshop I, 2001 Complessità analisi Enorme quantità di raw data, cioè sequenze di bit, da analizzare Occorrono tool di analisi per interpetrare i dati ad un livello di astrazione superiore Dati input Regole interpretazione Livello di astrazione Dati output Errore (tool, abilità investigatore, astrazione, attaccante che copre tracce) Universo digitale in espansione Utenti Internet nel mondo Nel 2006 informazione digitale creata e catturata nel mondo 161 exabyte Exabyte = petabytes = gigabytes Tra 2006 e 2010 crescita da 161 a 988 Alcune stime: Numero mailbox da 253 milioni nel 1998 a 1,6 miliardi nel 2006, con traffico di 6 exabyte Numero di immagini catturate da macchine fotografiche 150 miliardi e da cellulari 100 miliardi (500 nel 2010) Studio IDC ed EMC, 2007

3 Evidenza digitale in device elettroniche Evidenza digitale in device elettroniche Computer Device per controllo accessi Telefoni e Segreterie telefoniche Fotocamere e videocamere digitali Hard Drive Memory Card Modem Componenti Rete Stampanti Device Storage Scanner Cellulari Fotocopiatrici Skimmer carta di credito Orologi digitali Macchine fax Navigatori GPS Computer Device per controllo accessi Telefoni e Segreterie telefoniche Fotocamere e videocamere digitali Hard Drive Memory Card Modem Componenti Rete Stampanti Device Storage Scanner Cellulari Fotocopiatrici Skimmer carta di credito Orologi digitali Macchine fax Navigatori GPS File creati da utente File in chiaro (immagini, video, audio, calendari, rubriche, attività Internet, documenti, , ) File protetti da utente Cifrati, nascosti, Steganografia Sistema operativo Backup, file configurazione, cookie, history, log file, file sistema, file temporanei, swap file Altro File cancellati, metadati, partizioni, slack space, data, tempo e password, Evidenza digitale in device elettroniche Evidenza digitale in device elettroniche Computer Device per controllo accessi Telefoni e Segreterie telefoniche Fotocamere e videocamere digitali Hard Drive Memory Card Modem Componenti Rete Stampanti Device Storage Scanner Cellulari Fotocopiatrici Skimmer carta di credito Orologi digitali Macchine fax Navigatori GPS Smart Card Dongle Scanner biometrici Computer Device per controllo accessi Telefoni e Segreterie telefoniche Fotocamere e videocamere digitali Hard Drive Memory Card Modem Componenti Rete Stampanti Device Storage Scanner Cellulari Fotocopiatrici Skimmer carta di credito Orologi digitali Macchine fax Navigatori GPS Messaggi Messaggi cancellati Numeri chiamati Numeri chiamanti (caller identification information) Ultimo numero chiamato Rubrica

4 Evidenza digitale in device elettroniche Evidenza digitale in device elettroniche Computer Device per controllo accessi Telefoni e Segreterie telefoniche Fotocamere e videocamere digitali Hard Drive Memory Card Modem Componenti Rete Stampanti Device Storage Scanner Cellulari Fotocopiatrici Skimmer carta di credito Orologi digitali Macchine fax Navigatori GPS Immagini Video Time stamp Memoria rimovibile Geolocalizzazione Computer Device per controllo accessi Telefoni e Segreterie telefoniche Fotocamere e videocamere digitali Hard Drive Memory Card Modem Componenti Rete Stampanti Device Storage Scanner Cellulari Fotocopiatrici Skimmer carta di credito Orologi digitali Macchine fax Navigatori GPS Come per Computer Evidenza digitale in device elettroniche Evidenza digitale in device elettroniche Computer Device per controllo accessi Telefoni e Segreterie telefoniche Fotocamere e videocamere digitali Hard Drive Memory Card Modem Componenti Rete Stampanti Device Storage Scanner Cellulari Fotocopiatrici Skimmer carta di credito Orologi digitali Macchine fax Navigatori GPS Router, hub, switch, Server Computer Device per controllo accessi Telefoni e Segreterie telefoniche Fotocamere e videocamere digitali Hard Drive Memory Card Modem Componenti Rete Stampanti Device Storage Scanner Cellulari Fotocopiatrici Skimmer carta di credito Orologi digitali Macchine fax Navigatori GPS Documenti Hard drive File log Cartuccia inchiostro, Network identity Time e date stamp

5 Evidenza digitale in device elettroniche Evidenza digitale in device elettroniche Computer Device per controllo accessi Telefoni e Segreterie telefoniche Fotocamere e videocamere digitali Hard Drive Memory Card Modem Componenti Rete Stampanti Device Storage Scanner Cellulari Fotocopiatrici Skimmer carta di credito Orologi digitali Macchine fax Navigatori GPS CD DVD BR Vecchie device: Floppy disk Nastri Computer Device per controllo accessi Telefoni e Segreterie telefoniche Fotocamere e videocamere digitali Hard Drive Memory Card Modem Componenti Rete Stampanti Device Storage Scanner Cellulari Fotocopiatrici Skimmer carta di credito Orologi digitali Macchine fax Navigatori GPS La stessa device! Individuazione scanner usato per pedopornografia, falsificazione banconote, frodi con assegni, Evidenza digitale in device elettroniche Evidenza digitale in device elettroniche Computer Device per controllo accessi Telefoni e Segreterie telefoniche Fotocamere e videocamere digitali Hard Drive Memory Card Modem Componenti Rete Stampanti Device Storage Scanner Cellulari Fotocopiatrici Skimmer carta di credito Orologi digitali Macchine fax Navigatori GPS Rubrica Calendario Memo Caller identification information Password Messaggi Attività Internet Immagini, audio, video Computer Device per controllo accessi Telefoni e Segreterie telefoniche Fotocamere e videocamere digitali Hard Drive Memory Card Modem Componenti Rete Stampanti Device Storage Scanner Cellulari Fotocopiatrici Skimmer carta di credito Orologi digitali Macchine fax Navigatori GPS Documenti in memoria History Time e data stamp Log utilizzo

6 Evidenza digitale in device elettroniche Evidenza digitale in device elettroniche Computer Device per controllo accessi Telefoni e Segreterie telefoniche Fotocamere e videocamere digitali Hard Drive Memory Card Modem Componenti Rete Stampanti Device Storage Scanner Cellulari Fotocopiatrici Skimmer carta di credito Orologi digitali Macchine fax Navigatori GPS Numero carta di credito Data scadenza Nome utente Indirizzo utente Computer Device per controllo accessi Telefoni e Segreterie telefoniche Fotocamere e videocamere digitali Hard Drive Memory Card Modem Componenti Rete Stampanti Device Storage Scanner Cellulari Fotocopiatrici Skimmer carta di credito Orologi digitali Macchine fax Navigatori GPS Rubrica Messaggi Calendario Evidenza digitale in device elettroniche Evidenza digitale in device elettroniche Computer Device per controllo accessi Telefoni e Segreterie telefoniche Fotocamere e videocamere digitali Hard Drive Memory Card Modem Componenti Rete Stampanti Device Storage Scanner Cellulari Fotocopiatrici Skimmer carta di credito Orologi digitali Macchine fax Navigatori GPS Documenti in memoria History Time e data stamp Log utilizzo Numeri telefonici Computer Device per controllo accessi Telefoni e Segreterie telefoniche Fotocamere e videocamere digitali Hard Drive Memory Card Modem Componenti Rete Stampanti Device Storage Scanner Cellulari Fotocopiatrici Skimmer carta di credito Orologi digitali Macchine fax Navigatori GPS Global Positioning Systems (GPS) Casa Destinazioni precedenti Log

7 Cronaca giudiziaria recente Omicidio di Meredith Kercher a Perugia, 1 nov 2007 In primo grado Raffaele Sollecito e Amanda Knox condannati a 26 e 25 anni di carcere In corso il processo di appello Perizie di centinaia di pagine, in estrema sintesi: Periti difesa: Sollecito ha usato il suo MacBook Pro tutta la notte in modo continuativo Polizia postale: lunghe pause nell utilizzo del Mac quella sera, compatibili con l uscita di casa del ragazzo e l omicidio avvenuto dopo le Sollecito ha affermato di aver trascorso al computer la notte del delitto. Dall'esame del portatile, invece, risultano interazioni con la macchina alle 18.27, per la visione del film "Il favoloso mondo di Amelie" (come riferito dall'imputato), una seconda interazione per lo stesso film alle 21.10, poi nulla fino alle Omicidio di Chiara Poggi a Garlasco Delitto di Garlasco Omicidio Chiara Poggi, 13 agosto 2007 Alberto Stasi, fidanzato, sosteneva che si trovava al computer e lavorava alla propria tesi di laurea Assoluzione in primo grado 17 dicembre 2009 Deposito sentenza gup Stefano Vitelli, marzo 2010 (159 pagine) Sentenza Garlasco In data 14 agosto 2007 Stasi Alberto consegnava spontaneamente alla polizia giudiziaria il proprio computer portatile (marca Compaq ). Da quel momento fino al 29 agosto 2007, quando il reperto informatico veniva consegnato ai consulenti tecnici del pubblico ministero che procedevano all effettuazione delle copie forensi dello stesso, i carabinieri accedevano ripetutamente e scorrettamente (senza l utilizzo, cioè delle necessarie tecniche forensi di indagine) alla quasi totalità del contenuto del computer. il collegio peritale (ing. Porta e dott. Occhetti) evidenziava che le condotte scorrette di accesso da parte dei carabinieri hanno determinato la sottrazione di contenuto informativo con riferimento al personal computer di Alberto Stasi pari al 73,8% dei files visibili (oltre ) con riscontrati accessi su oltre files, interventi di accesso su oltre 1500 files e creazione di oltre 500 files. Dunque, possiamo dire con certezza che Stasi attivava il proprio personal computer alle ore 9.35 ed eseguiva le seguenti operazioni: accedeva al sistema con la digitazione della propria password; quindi alle ore 9.38 (circa) visualizzava una prima immagine di natura erotico/pornografica; alle ore 9.39 (circa) una successiva immagine pornografica; alle ore 9.41 (circa) visualizzava due immagini dello stesso tenore di cui sopra; alle 9.47 (circa) visualizzava un altra immagine di natura erotico/ pornografica. Bisogna precisare che dalle evidenze riscontrate sul registro di windos alle ore 9.50 vengono aperte delle cartelle; quindi alle ore 9.50 visualizzava una nuova immagine di natura erotica/ pornografica; alle ore 9.57 visualizzava una nuova immagine di natura erotica/pornografica; alle apriva la copertina di un filmato hard e poi utilizzava un programma di modifica delle immagini alle ore 10.07; poi alle apriva la tesi. Da quel momento sono state appunto recuperate le evidenze di un attività sostanzialmente continua di videoscrittura sulla tesi di laurea dalle ore fino alle ore (quando il computer veniva messo in standby lasciando il file di word aperto).!"#$%%&&&'()*('+,%-./012),*% :9;<=>?=>@a;<?a<b'#-cd Legislazione italiana Procedure per il trattamento delle evidenze digitali non regolamentato fino al 2008 Legge 18 marzo 2008, n. 48 Ratifica ed esecuzione della Convenzione del Consiglio d'europa sulla criminalità informatica, fatta a Budapest il 23 novembre 2001, e norme di adeguamento dell'ordinamento interno (GU n. 80 del Supplemento Ordinario n. 79)

8 Testo finale art. 247 (codice procedura penale) Casi e forme delle perquisizioni. Testo finale art. 354 (codice procedura penale) Accertamenti urgenti sui luoghi, sulle cose e sulle persone. Sequestro. 1. Quando vi è fondato motivo di ritenere che taluno occulti sulla persona il corpo del reato o cose pertinenti al reato, è disposta perquisizione personale. Quando vi è fondato motivo di ritenere che tali cose si trovino in un determinato luogo ovvero che in esso possa eseguirsi l'arresto dell'imputato o dell'evaso, è disposta perquisizione locale. 1-bis. Quando vi è fondato motivo di ritenere che dati, informazioni, programmi informatici o tracce comunque pertinenti al reato si trovino in un sistema informatico o telematico, ancorchè protetto da misure di sicurezza, ne è disposta la perquisizione, adottando misure tecniche dirette ad assicurare la conservazione dei dati originali e ad impedirne l alterazione. 2. La perquisizione è disposta con decreto motivato. 3. L'autorità giudiziaria può procedere personalmente ovvero disporre che l'atto sia compiuto da ufficiali di polizia giudiziaria delegati con lo stesso decreto. 1. Gli ufficiali e gli agenti di polizia giudiziaria curano che le tracce e le cose pertinenti al reato siano conservate e che lo stato dei luoghi e delle cose non venga mutato prima dell'intervento del pubblico ministero. 2. Se vi è pericolo che le cose, le tracce e i luoghi indicati nel comma 1 si alterino o si disperdano o comunque si modifichino e il pubblico ministero non può intervenire tempestivamente, ovvero non ha ancora assunto la direzione delle indagini, gli ufficiali di polizia giudiziaria compiono i necessari accertamenti e rilievi sullo stato dei luoghi e delle cose. In relazione ai dati, alle informazioni e ai programmi informatici o ai sistemi informatici o telematici, gli ufficiali della polizia giudiziaria adottano, altresì, le misure tecniche o impartiscono le prescrizioni necessarie ad assicurarne la conservazione e ad impedirne l'alterazione e l'accesso e provvedono, ove possibile, alla loro immediata duplicazione su adeguati supporti, mediante una procedura che assicuri la conformità della copia all'originale e la sua immodificabilità Testo finale art. 244 (codice procedura penale) Casi e forme delle ispezioni. 1. L'ispezione delle persone, dei luoghi e delle cose è disposta con decreto motivato quando occorre accertare le tracce e gli altri effetti materiali del reato. 2. Se il reato non ha lasciato tracce o effetti materiali, o se questi sono scomparsi o sono stati cancellati o dispersi, alterati o rimossi, l'autorità giudiziaria descrive lo stato attuale e, in quanto possibile, verifica quello preesistente, curando anche di individuare modo, tempo e cause delle eventuali modificazioni. L'autorità giudiziaria può disporre rilievi segnaletici, descrittivi e fotografici e ogni altra operazione tecnica, anche in relazione a sistemi informatici o telematici, adottando misure tecniche dirette ad assicurare la conservazione dei dati originali e ad impedirne l alterazione. Legge 18 marzo 2008, n. 48 Quali sono le caratteristiche delle misure tecniche? Non c è una metodologia E saggio usare le Best Practices tecniche, metodi, linee guida, raccolte dalle esperienze più significative, che si considera possono ottenere i risultati migliori

9 Best Practices Scientific Working Group on Digital Evidence (SWGDE) Best practices for Computer Forensics, luglio Association of Chief Police Officers (ACPO) Good Practice Guide for Computer-Based Electronic Evidence, Maggio US Department of Justice, National Institute of Justice Forensic Examination of Digital Evidence: A Guide for Law Enforcement, Aprile Investigative Uses of Technology: Devices, Tools, and Techniques, Ottobre RFC 3227, Guidelines for Evidence Collection and Archiving, Feb 2002 Best practices del SWGDE </+2)EF/DG.HI+)JDKH.0#D.)DL+J+,(MD=N+-2)/2DO<GKL=PDD!"#$%&'()*)"#%+,'%-,.&/$"'%0,'"1#2)#D (Versione 1.0 novembre 2004, Versione 2.1 luglio 2006) 1.0 Seizing Evidence 1.1 Evidence Handling Stand-alone computer (non-networked) Networked computer 1.2 Servers 2.0 Equipment Preparation 3.0 Forensic Imaging 4.0 Forensic Analysis/Examination 4.1 Forensic Analysis/Examination of Non-Traditional Computer Technologies 5.0 Documentation 6.0 Reports Principi Digital Forensic Principle 1: No action taken by law enforcement agencies or their agents should change data held on a digital device or storage media which may subsequently be relied upon in Court. Principle 2: In circumstances where a person finds it necessary to access original data held on a digital device or on storage media, that person must be competent to do so and be able to give evidence explaining the relevance and the implications of their actions. Principle 3: An audit trail or other record of all processes applied to digital device-based electronic evidence should be created and preserved. An independent third party should be able to examine those processes and achieve the same result. Principle 4: The person in charge of the investigation (the case officer) has overall responsibility for ensuring that the law and these principles are adhered to. QRDA**./+(E.)D.CDS!+2CDT.M+/2DUV/2H*DOASTUPDK..-DTH(/E/2DK0+-2DD C.HDS.1#0,2HWX(*2-D=M2/,H.)+/D=N+-2)/2 Fasi investigative processo della digital evidence Identificazione Acquisizione Analisi Presentazione Accurata Verificabile Ammissibile Autentica Chiara e Credibile Chiara all audience Documentazione (anche con dichiarazioni e deposizioni)

10 Fasi investigative processo della digital evidence Identificazione Acquisizione Analisi Accurata Verificabile Ammissibile Autentica Chiara e Credibile Identificare tutti i dispositivi che possono contenere prove (digital evidence) Fasi investigative processo della digital evidence Identificazione Acquisizione Analisi Accurata Verificabile Ammissibile Autentica Chiara e Credibile : non devono esserci dubbi sull autenticità e sui risultati ottenuti Presentazione Chiara all audience Documentazione (anche con dichiarazioni e deposizioni) Presentazione Chiara all audience Documentazione (anche con dichiarazioni e deposizioni) Fasi investigative processo della digital evidence Identificazione Fasi investigative processo della digital evidence Identificazione Acquisizione Accurata Verificabile : tutte le informazioni rilevanti, non solo quelle di una parte del caso Acquisizione Accurata Verificabile Accurata: senza errori Analisi Ammissibile Autentica Chiara e Credibile Analisi Ammissibile Autentica Chiara e Credibile Presentazione Chiara all audience Documentazione (anche con dichiarazioni e deposizioni) Presentazione Chiara all audience Documentazione (anche con dichiarazioni e deposizioni)

11 Fasi investigative processo della digital evidence Identificazione Fasi investigative processo della digital evidence Identificazione Acquisizione Accurata Verificabile Verificabile: riproducibile, un altro investigatore arriverebbe allo stesso risultato con gli stessi dati Acquisizione Accurata Verificabile Live Analisys Analisi Post Mortem Analisi Ammissibile Autentica Chiara e Credibile Analisi Ammissibile Autentica Chiara e Credibile Presentazione Chiara all audience Documentazione (anche con dichiarazioni e deposizioni) Presentazione Chiara all audience Documentazione (anche con dichiarazioni e deposizioni) Post Mortem e Live forensic Se il dispositivo/computer da investigare è spento (analisi post mortem) Se il computer fosse acceso? Se il computer non si potesse spegnere? Ambito militare, medico, videosorveglianza, Se lo spegnere il computer creasse danni ad altri? Server per database, posta, Serve una Live Analysis Acquisizione evidenza forense Raccolta di evidenza forense di tutti i tipi Seguire procedure rigorose e ben testate Proteggerla da contaminazione o distruzione e da accuse di alterazione e gestione impropria L evidenza della Digital forensic non è differente Non seguire le procedure potrebbe portare all esclusione in tribunale

12 Acquisizione evidenza forense Registrazione della scena Foto e/o video Registrare dati in uso (live forensic) Se il sistema è on, registrare i dati volatili Se ci sono file aperti salvarli su device esterne Labellazione cavi e connessioni Dopo le foto e/o video Per ricordare quali cavi e dove erano connessi Cercare password Non è raro memorizzare le password nelle vicinanze della device digitale Fasi investigative processo della digital evidence Identificazione Acquisizione Analisi Presentazione Accurata Verificabile Ammissibile Autentica Chiara e Credibile Ammissibile: utilizzabile come prova, accettata in tribunale Chiara all audience Documentazione (anche con dichiarazioni e deposizioni) Fasi investigative processo della digital evidence Identificazione Acquisizione Analisi Accurata Verificabile Investigatore deve mantenere un log di tutte le azioni Serve a mostrare Ammissibile che si è fatto tutto nel modo giusto Utile anche Autentica come checklist Chiara e Credibile Chain of Custody Report finale Presentazione Chiara all audience Documentazione (anche con dichiarazioni e deposizioni) Chain of Custody (Catena di Custodia) Documento che!contiene le informazioni di!ciò che!è stato fatto e quali persone fisiche hanno avuto accesso alla prova originale ed alle copie forensi realizzate, a partire dall'acquisizione fino ad arrivare al giorno del processo. Utile per mostrare l integrità della prova e la sua validità nel processo Il custode può testimoniare che non è stata alterata Tracciabilità della prova

13 Chain of Custody (Catena di Custodia) Tipiche informazioni potenziali contenute nel documento: Numero del caso Azienda incaricata dell'investigazione Investigatore assegnato al caso Natura e breve descrizione del caso Investigatore incaricato della duplicazione dei dati Data e ora di inizio custodia Luogo di rinvenimento del supporto Produttore del supporto Modello del supporto Numero di serie del supporto Ogni volta che il supporto oggetto di indagini è affidato ad un nuovo investigatore, nel documento bisogna aggiungere: Nome dell'incaricato all'analisi Data e ora di presa in carico del supporto Data e ora di restituzione del supporto Premessa Quesiti Incarico Report finale Operazioni svolte Risposta ai quesiti Conclusioni Consegna a chi di competenza (Avvocati, PM, P.G., ) Errori comuni durante l investigazione Non mantenimento della documentazione opportuna è lungo e noioso Modifica dati sistema da investigare Aprire file (cambia time stamp!) Installare software (sovrascrittura precedente evidenza!) Non consapevolezza dei propri limiti Area vasta e complessa Se si raggiunge il limite della propria conoscenza, chiedere aiuto Aspetti legali Perito, Consulente tecnico Prova Ammissibilità Frye Test Daubert Test

14 Perito Consulente TecnicoD Art 220 c.p.p.: La perizia è ammessa quando occorre svolgere indagini o acquisire dati o valutazioni che richiedono specifiche competenze tecniche, scientifiche o artistiche. Il Perito / Consulente Tecnico (CT) è un soggetto che testimonia in un aula giudiziaria poiché ha particolari conoscenze in un determinato settore. I testimoni (e non consulenti) possono deporre solo su ciò che hanno osservato/assistito e non su personali opinioni. Art 359 c.p.p. Consulenti tecnici del pubblico ministero! 1. Il pubblico ministero, quando procede ad accertamenti, rilievi segnaletici, descrittivi o fotografici e ad ogni altra operazione tecnica per cui sono necessarie specifiche competenze, può nominare ed avvalersi di consulenti, che non possono rifiutare la loro opera. 2. Il consulente può essere autorizzato dal pubblico ministero ad assistere a singoli atti di indagine Art 360 c.p.p. Accertamenti tecnici non ripetibili 1. Quando gli accertamenti previsti dall art. 359 riguardano persone, cose o luoghi il cui stato è soggetto a modificazione (116, 117 att.), il pubblico ministero avvisa, senza ritardo, la persona sottoposta alle indagini, la persona offesa dal reato e i difensori del giorno, dell`ora e del luogo fissati per il conferimento dell`incarico e della facoltà di nominare consulenti tecnici. Consulenti nel processo civile Consulente Tecnico di Parte (CTP) Consulente Tecnico d Ufficio (CTU) Il CTU può essere nominato solo se il giudice ha nominato un CTU nei termini fissati dal giudice (art. 201 c.p.c., Consulente tecnico di parte) CTU presta formale giuramento, CTP no CTU vincolato ai quesiti del giudice CTP risponde solo al cliente CTP funzione di controllo tecnico su operato del CTU, può presentare osservazioni, istanze al CTU ed al giudice (art. 194 c.p.c. Attività del consulente)

15 Consulenti nel processo penale Simile al processo civile In ambito penale, due tipi di consulenza: Consulenza tecnica ripetibile, art. 359 c.p.p. Consulenza tecnica irripetibile, art. 360 c.p.p. Nel caso di consulenza irripetibile, il CTU deve verificare il corretto operato del CTP Prova scientifica In generale, non solo nel mondo digitale Quali sono le caratteristiche? Quando è ammissibile nelle aule giudiziarie? Uso distorto prova scientifica Qualche esempio negli USA: Falsificazione di risultati da parte di un ematologo forense in centinaia di casi in un periodo di circa 10 anni in West Virginia, contribuendo alla condanna all ergastolo per centinaia di accusati. Falsificazione dei risultati di un patologo forense di numerose autopsie, in Texas, contribuendo a portare ad almeno 20 condanne a morte. Falsificazione dei risultati di un chimico della Polizia americana di diverse indagini tecniche contribuendo alla condanna al carcere di centinaia di innocenti ingiustamente accusati di violenza sessuale. La prova nelle aule giudiziarie (USA) Il Frye Test Decisione del 1923 della Corte d Appello federale (Frye v. United States, 293 F. 1013, 1014, D.C. Cir. 1923). Fino agli anni 1990 lo standard per determinare l ammissibilità di nuove tecniche scientifiche sia nelle corti federali sia in quelle statali. La decisione Daubert Caso Daubert v. Merrell Dow (1993) La Corte Suprema USA decise di non accettare il Frye test

16 Il Frye Test Per essere ammissibile in tribunale, la prova scientifica deve essere raccolta usando tecniche che hanno avuto general acceptance nel campo in cui sono applicate. D Quando si usa una nuova tecnica scientifica o una nuova metodica, bisogna dimostrare la general acceptance in quel campo. Demarcazione tra scienza e pseudoscienza Fuori dall aula giudiziaria le false scienze (astrologia, alchimia, fisiognomica, ) Frye v. United States: caso di omicidio Rifiutata richiesta dell imputato di utilizzare la macchina della verità (analisi della pressione arteriosa per rilevare se si sta dicendo la verità o meno) per provare la sua innocenza. La decisione Daubert Caso Daubert v. Merrell Dow (1993) accusa alla società farmaceutica di aver messo in vendita X2)-2/E)YD un medicinale anti-nausea, per donne in gravidanza che provocava malformazioni fetali) La Corte Suprema USA decise di non accettare il Frye test Fu permesso all'accusa di presentare studi (non accettati dalla comunità scientifica) effettuati direttamente sui feti e sulla composizione molecolare del farmaco sotto accusa per rispondere ad una serie di studi scientifici presentati dalla difesa. Daubert: 5 fattori 1. Theory tested 2. Standards 3. Peer review and publications 4. General acceptance 5. Error rate Daubert: 5 fattori 1. Theory tested 2. Standards 3. Peer review and publications 4. General acceptance 5. Error rate

17 Daubert: 5 fattori 1. Theory tested 2. Standards 3. Peer review and publications Ci sono standard per il metodo utilizzato? 4. General acceptanceomunità scientifica 5. Error rate Daubert: 5 fattori 1. Theory tested 2. Standards 3. Peer review and publications La teoria o la tecnica scientifica è stata sottoposta al vaglio di 4. General giudizi imparziali acceptanceomunità (peer review) in pubblicazioni scientifica scientifiche? Ovvero è stata sottoposta a revisione critica (determinazione di limiti e bias)? 5. Error rate Assicura che errori metodologici possano essere rilevati Dimostra che la metodica può essere applicata anche da altri. Daubert: 5 fattori 1. Theory tested 2. Standards 3. Peer review and publications 4. General acceptance 5. Error rate Godere di generale accettazione da parte della comunità scientifica Daubert: 5 fattori 1. Theory tested Conoscere la percentuale di errore 2. Standards Qual è il tasso di errore noto o potenziale? Ogni idea scientifica è soggetta a 2 tipi di errore: qual è la probabilità di uno dei due? 3. Peer review and publications Tipo I: falso positivo (a true null hypothesis can incorrectly be rejected). Tipo II: falso negativo (a false null hypothesis can fail to be rejected). 4. General acceptance 5. Error rate D

18 Altre caratteristiche Qual è la qualifica dell esperto e la sua considerazione all interno della comunità scientifica? La tecnica si basa solo sulle capacità di un esperto o può essere riprodotta altrove anche da altri esperti? È possibile spiegare alla giuria con sufficiente chiarezza e semplicità la tecnica adottata così che ne venga compreso il funzionamento? La prova nelle aule giudiziarie (Italia) I criteri di ammissibilità sono indicati negli artt. 189 e 190 c.p.p. Art. 189 c.p.p (prove non disciplinate dalla legge). Quando è richiesta una prova non disciplinata dalla legge, il giudice può assumerla se essa risulta idonea ad assicurare l accertamento dei fatti e non pregiudica la libertà morale della persona. Il giudice provvede all ammissione, sentite le parti [ ]. Art. 190 c.p.p (diritto alla prova) 1. Le prove sono ammesse a richiesta di parte. Il giudice provvede senza ritardo con ordinanza escludendo le prove vietate dalla legge e quelle che manifestamente sono superflue o irrilevanti. 2. [ ] 3. [ ].