Sezione Prima LE TECNICHE INFORMATICO-GIURIDICHE DI INVESTIGAZIONE DIGITALE di Giovanni Ziccardi CAPITOLO I SCIENZE FORENSI E TECNOLOGIE INFORMATICHE 1. Scienze forensi ed evoluzione tecnologica.................. 3 2. Alcune definizioni tecniche preliminari................... 10 3. I settori scientifici coinvolti e la multidisciplinarietà della materia. 13 4. Le quattro fasi d evoluzione secondo i teorici nordamericani.... 15 5. Lo stato della disciplina: Stati Uniti d America e Italia a confronto. 17 6. Il futuro della disciplina: gli aspetti etici?................. 25 7. Le conoscenze di base necessarie al forenser: alcune osservazioni. 27 CAPITOLO II L ORIGINE DELLA COMPUTER FORENSICS E LE DEFINIZIONI 1. L origine della computer forensics... 31 2. Le prime definizioni: computer forensics, network forensics e intrusion forensics... 35 3. Il rapporto tra la computer forensics elacomputer security... 38 4. Casey eledefinizionidicomputer forensics.... 41 5. La necessità diunfull spectrum approach alla forensics.... 42 6. La scienza del forensic computing (FC) e la centralità del documentoinformatico... 44 7. La computer forensics come «attività della polizia scientifica».... 46 CAPITOLO III ASPETTI INFORMATICO-GIURIDICI DELLA FONTE DI PROVA DIGITALE 1. La «natura» informatica della fonte di prova digitale......... 49
VI INDICE-SOMMARIO 2. L oggetto della fonte di prova digitale: il computer e le reti in un otticainvestigativa... 52 3. I tool e le procedure dell investigatore informatico........... 55 4. Ulteriori differenze tra prova «fisica» e prova digitale........ 57 5. Casey eladefinizionediprovadigitale... 60 6. I principi di base secondo il Gruppo ad Alta Tecnologia del G8. 61 CAPITOLO IV LA PROCEDURA DI ANALISI DELLA FONTE DI PROVA DIGITALE 1. Leproceduredianalisi... 63 2. Le procedure di computer forensics in una preliminare ottica investigativa... 64 3. La computer forensics in una preliminare ottica tecnica........ 67 4. Il laboratorio per l analisi forense e l IT................... 70 5. Arma dei Carabinieri e forensics investigativa: metodologie di identificazione, conservazione e analisi delle prove digitali e dei dati... 73 6. Come procedere tecnicamente all acquisizione dei dati........ 76 7. Le modalità di trattamento investigativo di dispositivi mobili (palmari, cellulari, smartphones)... 80 8. Le linee guida «gestionali» di Casey per preservare la fonte di provaounaporzionedellastessa... 83 9. Alcuni tool comunemente utilizzati nelle operazioni di forensics.. 85 CAPITOLO V LA COMPUTER FORENSICS AZIENDALE: UN ESEMPIO DI LINEE GUIDA 1. Una defininizione di computer forensics aziendale... 89 2. I fini della computer forensics aziendale... 90 3. La corretta gestione della fonte di prova nella corporate forensics. 91 4. Alcune linee guida per l analisi investigativa informatica in ambito aziendale... 94 5. La tutela del personale dell azienda durante le investigazioni interne 98 CAPITOLO VI BEST PRACTICES DI COMPUTER FORENSICS DEL SECRET SERVICE USA E DELLO IACIS 1. Il progetto dello United States Secret Service.... 103 2. Best practices del Secret Service per il sequestro di prove digitali.. 103 3. Il riconoscimento di potenziali prove.................... 104
VII 4. Prepararsi per la ricerca di dati sul sistema e/o il sequestro..... 106 5. Condurrelaricercaoilsequestro... 106 6. Altri strumenti elettronici che possono contenere informazioni... 107 7. Tracciare un messaggio di posta elettronica in Internet........ 110 8. LelineeguidadiIACIS... 111 CAPITOLO VII LE LINEE GUIDA DELLA ASSOCIATION OF CHIEF POLICE OFFICERS INGLESE 1. Lelineeguida... 115 2. I principi della prova elettronica basata su computer.......... 116 3. Le investigazioni basate su computer e la fragilità della prova... 117 4. La corretta gestione di un computer desktop o laptop che sia spento 118 5. La corretta gestione di un computer desktop o laptop che sia acceso. 119 6. L attività di custodia dopo il sequestro................... 120 7. La raccolta e la gestione della prova..................... 120 8. I primi contatti con una vittima di un incidente informatico e i possibiliquesiti... 121 Sezione Seconda LA DISCIPLINA PROCESSUALE E LE GARANZIE DIFENSIVE di Luca Lupária CAPITOLO I PROCESSO PENALE E SCIENZA INFORMATICA: ANATOMIA DI UNA TRASFORMAZIONE EPOCALE 1. L accertamento penale alla prova dell evoluzione informatica: questioni di fondo e scenari futuribili.................... 127 2. I contorni di una dinamica relegata ai margini del dibattito scientifico. 130 3. Il concreto rischio di una deriva tecnicista e l importanza dei naturalia deldirittoprocessualepenale... 134 4. L irrompere della computer forensics nelle aule di giustizia: uno sguardocomparativo... 137 CAPITOLO II LA RICERCA DELLA PROVA DIGITALE TRA ESIGENZE COGNITIVE E VALORI COSTITUZIONALI 1. Alcune distinzioni concettuali sullo sfondo del mito della digital evidence qualeprovaperfetta... 141 2. Genuinità della prova elettronica e affidabilità della catena di custodia... 147
VIII INDICE-SOMMARIO 3. Sull ipotesi di una irripetibilità intrinseca delle attività di computer forensics... 149 4. Le investigazioni informatiche come terreno fertile per possibili forme di abuso degli strumenti processuali................ 155 5. Il pericolo di risposte compulsive alle contingenze della cronaca: il nuovo procedimento di distruzione dei dati digitali illegalmente acquisiti... 156 6. Alcune riflessioni sui diritti fondamentali dell imputato nel quadrodell accertamentodigitale... 158 CAPITOLO III LE INVESTIGAZIONI INFORMATICHE NELL ORDINAMENTO PROCESSUALE ITALIANO 1. L istituto delle intercettazioni telematiche tra incoerenze del codice e quesiti dettati dallo sviluppo tecnologico............. 161 2. Le captazioni preventive nel prisma dell irrobustimento delle strategieanti-terrorismo... 167 3. L apprensione della corrispondenza elettronica: una questione ancorairrisolta... 170 4. Le particolari attività di contrasto attuabili in materia di pornografia minorile on line.... 173 5. Perquisizione, ispezione e sequestro probatorio nell ambito della investigazioneinformatica... 175 6. Il regime giuridico dei file di log e la disciplina del data retention. 178 7. L altro volto della computer forensics: le azioni investigative del difensore... 182 CAPITOLO IV ACCERTAMENTI TECNICO-INFORMATICI E BEST PRATICES INTERNAZIONALI 1. Cenni sulla perizia e la consulenza tecnica in materia informatica. 187 2. Il rilievo processuale dei protocolli investigativi e degli standard internazionali... 189 3. Sul ruolo dell organo giudicante di fronte all ingresso nel circuito processualedellascienzainformatica... 191 4. Verso la sedimentazione di linee guida condivise............ 192 CAPITOLO V L INVALIDITÀ DELLE ATTIVITÀ DI COMPUTER FORENSICS NELLE PRIME INTERPRETAZIONI GIURISPRUDENZIALI 1. La sentenza Vierika : un leading case non del tutto condivisibile. 195
IX 2. Gli orientamenti giurisprudenziali sull apprensione dei file di Log e sulla genuinità deldatodigitale... 200 3. Il sequestro del computer nelle pronunce di merito e di legittimità... 202 CAPITOLO VI LE PROBLEMATICHE TRANSNAZIONALI 1. La convenzione di Budapest sul cybercrime e i riflessi sull ordinamentointerno... 205 2. Il disegno di legge governativo di recepimento dell accordo internazionale... 208 3. Linee della cooperazione giudiziaria tra Stati nel settore delle investigazioniinformatiche... 211 4. Le prospettive di sviluppo nello spazio giudiziario dell Unione europea... 212