Archivi tag: whatsapp

Ripetibilità e Irripetibilità delle Copie Forensi

Ripetibilità e Irripetibilità delle Acquisizioni Forensi

Il seguente mio scritto su Ripetibilità e Irripetibilità delle Acquisizioni Forensi è tratto dagli Atti del Convegno della tavola rotonda su “Ripetibilità e irripetibilità delle acquisizioni forensi in ambito d’indagini digitali” dove il 19 ottobre 2016 ho tenuto un intervento come relatore a Roma, insieme agli amici e ottimi professionisti Giovanni Ziccardi, Francesco Paolo Micozzi, Andrea Ghirardini e Mattia Epifani durante il Forum ICT 2016 organizzato da Tecna Editrice.

Ripetibilità e Irripetibilità delle Acquisizioni Forensi

Durante la tavola rotonda tenutasi a Roma a ottobre 2016 si è parlato delle problematiche di ripetibilità e irripetibilità ex art 360 c.p.p. e 359 c.p.p. delle fasi di copia forense e acquisizione delle evidenze digitali in ambito di computer, hard disk, pendrive, cloud, smartphone e cellulari, cloud, siti e pagine web, NAS e datacenter con la partecipazione di consulenti informatici forensi e giuristi specializzati nelle nuove tecnologie.

Introduzione

Ripetibilità e Irripetibilità delle Copie ForensiIl dibattito sulla ripetibilità o irripetibilità degli accertamenti in campo d’informatica forense è fra i più accesi: fin dagli esordi della disciplina è stato argomento di discussione fra Consulenti, Pubblici Ministeri, Giudici e Giuristi senza che si riuscisse purtroppo ad arrivare a una linea condivisa. Al contrario, l’aumentare della complessità dei dispositivi di archiviazione e trasmissione dati ha fatto sì che le modalità di acquisizione diventassero sempre più invasive e si rimettessero in discussione le poche certezze che, con il tempo, sembravano essersi fatte strada tra gli esperti del settore.
Precisiamo che parlando di ripetibilità e irripetibilità degli accertamenti ci riferiamo alle fasi della consulenza tecnica in ambito giudiziario ove al Consulente viene richiesto elaborare e valutare elementi di prova, eventualmente previa acquisizione di una copia. Questo tipo di accertamenti – ex artt. 359 o 360 c.p.p. – si differenzia dalle operazioni tecniche eseguite nel corso delle attività di Polizia Giudiziaria, in genere finalizzate alla mera rilevazione degli elementi a disposizione.

Art. 359 o art. 360 c.p.p.?

La discussione origina, essenzialmente, dall’interpretazione di due articoli di Legge che vengono citati durante la nomina del Consulente e che delineano la forma in cui si svolgeranno le Operazioni Peritali e quindi la modalità con la quale verranno coinvolte le parti e si formerà la prova.
L’art. 359 c.p.p. descrive la possibilità, per il Pubblico Ministero, di avvalersi di Consulenti per eseguire “accertamenti, rilievi segnaletici, descrittivi o fotografici e ad ogni altra operazione tecnica per cui sono necessarie specifiche competenze”. L’articolo, implicitamente, annovera fra le attività quelle che non causano modificazioni a persone, cose o luoghi, cioè “accertamenti ripetibili”. La “ripetizione” entra in gioco in quanto si richiede – appunto – che un esame porti agli stessi identici risultati anche se ripetuto più volte e da diversi soggetti. Ovviamente affinché ciò avvenga, la fonte di prova deve innanzitutto rimanere integra e non deteriorarsi o distruggersi.
L’art. 360 c.p.p. precisa invece che “quando gli accertamenti previsti dall’art. 359 riguardano persone, cose o luoghi il cui stato è soggetto a modificazione, il pubblico ministero avvisa, senza ritardo, la persona sottoposta alle indagini, la persona offesa dal reato e i difensori del giorno, dell’ora e del luogo fissati per il conferimento dell’incarico e della facoltà di nominare consulenti tecnici”. Si parla in questo caso di “accertamenti irripetibili”, nelle quali cioè lo stato degli oggetti sottoposti ad esame è stato modificato e accertamenti successivi porterebbero a risultati diversi o persino potrebbero non essere più esperibili perché gli oggetti sono andati distrutti. Alcuni esempi tipici esami su stati soggetti a modificazione sono i rilievi stradali, accertamenti sui corpi umani o in ambienti aperti dove le condizioni meteo possono causare alterazioni. Tutti casi nei quali “i difensori nonché i consulenti tecnici eventualmente nominati hanno diritto di assistere al conferimento dell’incarico, di partecipare agli accertamenti e di formulare osservazioni e riserve” a meno che prima del conferimento dell’incarico, la persona sottoposta alle indagini non abbia formulato riserva di promuovere incidente probatorio”. Si consideri come non si parla soltanto della fase di acquisizione, ma anche di analisi: ci sono infatti esami che possono essere eseguiti una sola volta, si pensi ad esempio all’analisi del DNA di una particella molto esigua di sangue che, durante l’esame stesso, viene interamente utilizzata.

Ripetibilità e irripetibilità degli accertamenti su memorie di massa

Nella maggioranza dei casi ciò che è memorizzato su un dispositivo di archiviazione dati (hard disk, scheda di memoria, pendrive, etc…) vi rimarrà fino a che non interverrà un ordine esplicito di cancellazione o modifica o un danneggiamento/deperimento dell’hardware. Questa caratteristica fa sì che si possa innanzitutto dividere in due fasi ben distinte l’accertamento sul materiale informatico: l’acquisizione e l’analisi dei dati.

La fase di acquisizione prevede la generazione di una copia il più possibile conforme all’originale, finalizzata a poter eseguire su di essa la fase successiva di analisi, che consiste nell’elaborazione di quanto acquisito per produrre una relazione tecnica che risponda ai quesiti posti dagli inquirenti o dal cliente.
La prima fase, quella di acquisizione, su alcuni dispositivi “tradizionali” come hard disk, schede di memoria o pendrive viene ormai considerata ripetibile. Dal punto di vista tecnico, il motivo è che i dispositivi di archiviazione di massa permettono in genere (tralasciamo per ora le questioni legate ai dischi SSD e al trim o wear leveling delle memorie flash) all’operatore di eseguire una copia integrale dell’intero spazio disponibile per i dati, siano essi presenti o cancellati. La copia integrale viene chiamata “copia forense”, “copia bistream” o “copia bit-to-bit” perché contiene tutti i bit/byte del supporto di memoria, dal primo all’ultimo, allocati (cioè sui quali sono scritti dei dati ancora presenti) o non allocati (cioè vuoti o sui quali vi sono dati non più considerati presenti).
La seconda fase, quella di analisi del dato copiato, è la meno problematica dal punto di vista della ripetibilità perché è per definizione ripetibile. Partendo dalla stessa copia forense, sia il consulente del PM sia quello delle parti e, in un momento successivo, anche l’eventuale Perito del Giudice sarà in grado di ottenere gli stessi risultati.
Dal punto di vista giuridico, secondo giurisprudenza consolidata l’estrazione di un dato da un hard disk di un pc sottoposto a sequestro è un atto ripetibile (si vedano ad esempio le sentenze di Cassazione sez. I 25.2.2009 n. 11503 e sez. I 5.3.2009 n. 14511) poiché un’attività di questo tipo non comporta al-cuna attività di carattere valutativo su base tecnico scientifica né determina alcuna alterazione dello stato delle cose. Questo ovviamente se nell’eseguire la copia dei dati vengono adottate le necessarie precau-zioni, cioè le operazioni avvengano “adottando misure tecniche dirette ad assicurare la conservazione dei dati originali e ad impedirne l’alterazione”, “con una procedura che assicuri la conformità dei dati acquisiti a quelli originali e la loro immodificabilità” (così come prescritto dalla Legge 48/2008).

Ripetibilità e irripetibilità degli accertamenti su cellulari, smartphone e cloud

A differenza delle memorie di massa, per quanto riguarda gli smartphone la situazione è certamente più complessa ma si sta lentamente arrivando a una visione condivisa. Dal punto di vista dell’acquisizione, la differenza tra uno smartphone e un hard disk consiste nel fatto che eseguire copie forensi bit-to-bit del primo è sostanzialmente più difficile, talvolta impossibile, mentre sul secondo la pratica è ormai consolidata sia dal punto di vista tecnico sia giuridico.
Per alcuni telefoni (es. alcuni Android) sono disponibili procedure che permettono tramite bootloader di avviare il dispositivo e acquisire copia della memoria così come si farebbe con un hard disk, dal primo all’ultimo byte, senza modificare nessuna area della memoria di massa contenente Sistema Operativo o dati. L’acquisizione così realizzata viene definita “physical” perché – a differenza delle acquisizioni che avvengono in modalità “filesystem” o “logical” – comporta la copia di tutto il supporto su cui vengono scritti i dati. La ripetibilità delle operazioni di acquisizione di questi dispositivi si riconduce a quella della copia di hard disk, ormai pacifica.
Ciò che invece richiede uno sforzo interpretativo maggiore è la copia forense di dispositivi che 1) richiedono l’avvio del Sistema Operativo per poter permettere le operazioni di copia e 2) possono non permettere acquisizione “physical” ma soltanto “logical” o “filesystem”. Il punto 1) già di per sé implica un qualche tipo di modifica all’oggetto che viene copiato, il che non significa necessariamente modifica ai dati. Il punto 2) implica che, non potendo eseguire operazione di copia in modalità “physical”, qualche informazione non possa essere acquisita (primi fra tutti, i dati cancellati ma ancora presenti in aree non allocate).
In questa situazione, ciò che aiuta a uscire dall’impasse è la distinzione tra “dato” e “contenitore” e la precisazione di quale subisce eventuali alterazioni. Se operazioni di copia successive, anche in modalità “logical” o “filesystem” non implicano modifiche ai dati (es. agli SMS, messaggi WhatsApp, foto, email, video, etc…) l’attività – dal punto di vista tecnico e del dato oggetto di eventuale quesito – può essere ripetuta a piacere e produrrà sempre gli stessi risultati. Certamente non saranno acquisiti dati cancellati e informazioni come file di log degli avvii del dispositivo potranno subire modifiche, ma il dato estratto sarà sempre lo stesso.
Per quanto riguarda il cloud, la situazione non è molto diversa da quanto descritto per i cellulari anzi vi è la complessità di un accesso remoto rispetto ad un’operazione su un oggetto che si può esaminare in laboratorio. Una modificazione dell’ambiente è congenita ma va valutato, caso per caso, il contesto sul quale il quesito pone l’attenzione. Il fine è capire se le attività possono non essere – dal punto di vista tecnico – irripetibili a fronte dell’analisi dell’impatto sui dati e dell’affidabilità e conformità di quanto acquisito con l’originale.

Conclusioni

La trattazione di questioni legate a ripetibilità e irripetibilità degli accertamenti (intesi come attività di copia e successivo esame dei dati) non può certamente concludersi nello spazio di poche righe, che però possono essere un punto di partenza per introdurre la problematica, i punti fermi e gli sforzi interpretativi legati alle operazioni sui dispositivi più recenti (cellulari, ma anche cloud).
Per quanto riguarda gli hard disk e le memorie di massa, la giurisprudenza si è già schierata ampiamente verso una condizione di “ripetibilità” delle operazioni, di copia e ancora di più di analisi ed elaborazione del dato. Per quanto riguarda gli smartphone, ma anche il cloud, la situazione è più complessa e va valutata di caso in caso. Certamente, se il quesito focalizza l’attenzione sul dato (es. foto, video, SMS, contatti, chat, etc…) e il dato non viene modificato dalle operazioni di copia, si può concludere che queste possano assumere una connotazione di ripetibilità, almeno dal punto di vista tecnico.

I controlli difensivi secondo l'Avv. Antonino Attanasio di IISFA

L’Avv. Antonino Attanasio sui controlli difensivi per IISFA for you

I controlli difensivi secondo l'Avv. Antonino Attanasio di IISFA Abbiamo già parlato dell’ottima iniziativa chiamata “IISFA for you“, novità proposta dall’Associazione IISFA e in particolare del suo Presidente Gerardo Costabile che prevede la pubblicazione settimanale di brevi video di 10 minuti su argomenti relativi all’informatica forense e alla sicurezza.

Delle interviste già pubblicate sul canale, una in particolare ho trovato interessante perché parla di una problematica che tutti i proprietari d’azienda si trovano ad affrontare prima o poi e, quindi, indirettamente anche i consulenti informatici forensi e gli Avvocati chiamati ad assistere il cliente.

L’intervista è quella realizzata da Gerardo Costabile all’Avv. Antonino Attanasio, membro del direttivo IISFA, che si occupa da diversi anni di diritti delle nuove tecnologie ed è specializzato in ambiti aziendali, tributari e amministrativi sempre legati alle nuove tecnologie.

L’intervista verte su un tema abbastanza dibattuto all’interno delle aziende e cioè i cosiddetti controlli difensivi, svolti dal datore di lavoro nei confronti del lavoratore dipendente o ex dipendente. Molto spesso la problematica è nota come la questione dei controlli sul computer del dipendente infedele o dell’ex dipendente e se ne dibatte da anni, giostrandosi tra lo Statuto dei Lavoratori, il Garante della Privacy, la legge su accesso abusivo, violazione di corrispondenza, GDPR, D.Lgs 231, etc…

Approfittando di una recente sentenza di conferma di licenziamento avvenuto tramite Whatsapp, Gerardo Costabile apre l’intervista chiedendo all’Avv. Attanasio qual è la modalità giusta e quali sono le regole all’interno dell’azienda per poter consentire al datore di lavoro, o comunque al management, di effettuare quelli che vengono chiamati in gergo i cosiddetti controlli difensivi dei lavoratori da parte del datore di lavoro.

L’avv. Attanasio risponde che “nel 2015 una riforma della normativa del mercato del lavoro ha introdotto il cosiddetto ‘divieto flessibile’ di controllo distanza dell’attività dei lavoratori. Mentre prima non era consentito l’utilizzo di impianti audiovisivi e altri strumenti da cui derivava la possibilità di controllare a distanza l’attività dei lavoratori, adesso questo utilizzo è consentito, per esigenze organizzative produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale.“. Attanasio precisa che “questo elenco non è un elenco casuale ma una gerarchia precisa, perché il patrimonio aziendale è riassuntivo delle esigenze organizzative produttive e della sicurezza del lavoro, che sono i tre elementi, le tre colonne portanti di qualsiasi azienda, senza le quali il patrimonio non è possibile.

L’Avvocato aggiunge che “questo patrimonio non è costituito solo dei beni dell’azienda ma anche il posto di lavoro e patrimonio aziendale, quindi una tutela va concepita anche in funzione del lavoro di tutti, infatti parliamo di organizzazione. Si parla di organizzazione, di esigenze organizzative e quindi di beni e persone. Qual è l’eccezione a questo? L’eccezione a questo sono gli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa e gli strumenti di registrazione degli accessi delle presenze. E questo è ovvio perché le presenze e gli accessi sono connaturati alla prestazione al patrimonio aziendale, sono connaturati all’esecuzione del contratto, quindi per questi non si parla di controllo e quindi non c’è la necessità di una preventiva autorizzazione. Ovviamente se a questo vengono aggiunti altri temi che sono sovrabbondanti rispetto lo scopo, allora il divieto scatta. In effetti possiamo dire che la riforma del così detto Jobs Act non è altro che la traduzione, in parte, di tutto quello che la giurisprudenza ha elaborato. Soprattutto rimane sempre il succo della normativa sulla privacy che dice che in fondo i dati non possono mai essere utilizzati oltre lo scopo per cui sono dichiaratamente raccolti.

Attanasio introduce quindi il concetto di strumenti personali e strumenti aziendali, precisando che “ben venga la distinzione tra strumenti personali strumenti aziendali. Sarebbe opportuno separare le due sfere, fare modo che l’azienda sia un patrimonio veramente condiviso, sia come tempo libero, sia come tempo destinato all’attività lavorativa. Come al solito è meglio la prevenzione di una repressione faticosa, improbabile e soprattutto molto costosa. E’ stato fatto riferimento al licenziamento intimato via Whatsapp dove giustamente, a mio avviso, il tribunale di Catania ha detto che i requisiti di forma ci sono tutti. La comunicazione è arrivata, nel senso che il lavoratore l’ha ricevuta, tanto è vero che fatto ricorso e aveva tutti gli elementi per fare ricorso. È ovvio che al limite poteva essere un problema del datore di lavoro indicare dei motivi puntuali e per i quali c’era la necessità di ottenere un riscontro sulla effettiva ricezione. Paradossalmente gli avvocati del lavoratore avrebbero potuto non far nulla, avrebbero potuto dire che non era dimostrabile che il lavoratore all’ avesse ricevuto o meno, che Whatsapp non è uno strumento di effettivo controllo del datore di lavoro. Quindi io non vedrei problemi su questo. I problemi ci sono laddove si utilizzano strumenti molto invasivi di cui non sia affatto la padronanza in termini di materialità, come può essere qualsiasi bene di compravendita materiale.

Gerardo Costabile chiede quindi all’Avv. Antonino Attanasio ciò che tanti datori di lavoro si chiedono, e cioè “se una persona utilizza un computer, quindi in azienda, un portatile o comunque un computer, il datore di lavoro può durante la sua assenza entrare in quel computer, guardare la posta, guardare Internet, farsi una copia dai dati? E se sì, cosa è possibile e quando, ovvero, in quale contesto aziendale questo è possibile? È necessario fare delle azioni per poter puoi fare questa attività in modo occulto trasparente?

L’avv. Antonino Attanasio risponde che “per quanto riguarda tutta la strumentazione aziendale, in qualsiasi momento, previa adozione di una policy chiara sul punto, ovvero i beni sono accessibili in qualsiasi momento il datore di lavoro. Gli strumenti aziendali no. La casella privata di posta del prestatore di lavoro no, la casella di posta elettronica assegnata dal datore al prestatore di lavoro sempre, perché aziendale. Il confine è questo. È chiaro che in casi dubbi è preferibile sempre una policy aziendale che descriva minutamente tutto l’utilizzo di questi strumenti, ma se vogliamo non è necessario di particolare elucubrazione, basta semplicemente fare ricorso ai principi base del codice civile.

L’Avv. Attanasio procede con un esempio chiarificatore, adducendo che “non ci si fa nessun dubbio che una pala usata da un becchino non possa essere usata per scopi diversi di quello di scavare la terra per la bara, perché ci sono problemi igienici, problemi di sicurezza, problemi di tutela del patrimonio, è chiaro che tu la pala non la si può portare a casa e usarla per altre cose. E’ ovvio ed evidente, basta applicare questi principio di strumenti elettronici, facendo però mente locale sul fatto che lo strumento elettronico per sua natura genera l’immaterialità, l’inconsistenza, e quindi è difficile stabilire dove finisce il diritto e dove comincia un dovere, Per cui la soluzione migliore e la separazione, la qualifica aziendale di qualsiasi cosa impedisce l’uso privato a meno che come capita il datore di lavoro non faccio una deroga, ma si fa una delega poi ne subisce gli effetti“.

Il Presidente IISFA conclude osservando che “questo sicuramente è interessante come principio, noi consigliamo ai dipendenti, ai lavoratori e ai datori di lavoro di separare quello che la vita privata Facebook chat anche lo stesso Whatsapp che può essere utilizzato anche dal computer, come sapete, consigliamo di lasciare un po’ meno tracce, perché poi un’attività investigativa interna per motivi diversi può andare a impattare su dei dati che, impropriamente o involontariamente il dipendente hai inserito perché ha usato lo stesso sistema sia per motivi professionali sia per motivi più ludici privati ,che il datore di lavoro ha consentito senza andare a filtrare.
L’Avv. Attanasio conclude facendo osservare come “con la necessità di integrare persone con disabilità il confine tra privato e aziendale diventerà molto molto evanescente, perché cambierà per forza l’approccio.

Textalyzer di Cellebrite permette analisi forense degli smartphone in caso d'incidente stradale

Textalyzer, analisi forense degli smartphone per prevenire incidenti stradali

Circa un anno fa la società israeliana Cellebrite – produttrice di uno dei software maggiormente utilizzato in ambito di mobile forensics – ha annunciato lo sviluppo di textalizer, un’applicazione che permetterà alle Forze dell’Ordine di verificare se un cellulare è stato utilizzato di recente per inviare o ricevere SMS o messaggi di chat come Whatsapp o Telegram.

Textalyzer di Cellebrite permette analisi forense degli smartphone in caso d'incidente stradale

L’idea è quella di affiancare i test della percentuale di alcool nel sangue tramite etilometro con quelli di utilizzo del cellulare, a seguito d’incidenti stradali o preventivamente, con controlli a campione da parte della Polizia Stradale. Così come l’etilometro misura la percentuale di alcool nel sangue, il “textometro” (non esiste ancora traduzione ufficiale) misura l’attività del cellulare negli ultimi minuti, in particolare relativamente all’utilizzo di strumenti di chat, invio o ricezione messaggi di testo SMS. In caso d’incidente, quindi, le Forze dell’Ordine sono così in grado di valutare le condizioni degli autisti anche in merito a eventuale utilizzo di cellulare alla guida, non soltanto per telefonate ma anche per scrivere o leggere messaggi di testo.

Lo strumento non è una novità, Cellebrite fornisce da anni UFED, un tool di mobile forensics che permette acquisizioni forensi certificate di cellulari, smartphone e tablet con il quale gli investigatori sono già in grado di esaminare l’utilizzo del cellulare. In genere, però, UFED viene utilizzato in laboratorio e l’acquisizione non è immediata, cos’ come la reportistica, che richiede talvolta ore di elaborazione. E’ già quindi possibile  valutare – nell’ambito di perizie informatiche su cellulari – l’eventuale utilizzo dello smartphone del guidatore a seguito d’incidenti stradali, utilizzando appunto UFED per estrazione dati e ricostruzione di timeline e poi analizzando manualmente i log degli applicativi di messaggistica come Whatsapp, Telegram o Signal o degli strumenti d’invio e ricezione SMS presenti negli smartphone, siano essi Android (Samsung, HTC, Motorola, Sony, etc…) o iOS (Apple). Lo strumento textalizer però velocizzerà queste analisi rendendole possibile sul campo direttamente da parte degli Operatori e rendendo meno intrusiva la fase di acquisizione forense: Cellebrite infatti dichiara che il tool non acquisisce o mostra dati personali degli utenti, immagini o contenuto dei messaggi, essendo appunto soltanto finalizzato a verificare l’utilizzo del dispositivo nei minuti precedenti l’incidente o il controllo da parte della Polizia Stradale.

In diverse città americane le autorità stanno puntando verso l’inserimento del controllo del cellulare in caso d’incidente e durante le fermate ai posti di blocco, insieme all’etilometro, proprio per disincentivare l’utilizzo degli smartphone durante la guida e poter verificare eventuali responsabilità durante gli incidenti stradali. Chicago si è già portata avanti ma anche a New York e in Tennessee le Autorità stanno lavorando per conferire agli Organi di Controllo il potere di controllare i cellulari dei guidatori anche durante i normali interventi di verifica a campione. I guidatori avranno la possibilità di rifiutare di consegnare il proprio telefonino ma rischieranno, così come già avviene per gli alcohol test, di vedersi ritirare la patente o incorrere in sanzioni pecuniarie.

Ovviamente questa novità non ha nulla a che fare con il messaggio Whatsapp che sta circolando in questi giorni in Italia e che cita:

Vi comunico che a partire da maggio entrerà in vigore il nuovo codice della strada. Oggi e stato approvato l’articolo più pesante ed era anche giusto. Cioè vi spiego chiunque verrà sorpreso alla guida del veicolo anche se è fermo ai semafori o agli stop con il cellulare o altri apparecchi. La sanzione e la seguente, ritiro della patente immediata e la multa parte da 180 euro fino a 680 euro. Quindi state molto attenti organizzativi con i viva voce. Credo sia utile diffondere. Buongiorno.

Il messaggio è impreciso, anche se è confermato che già a maggio potrebbe essere inserita una modifica al Codice della Strada tramite un decreto, in attesa che riparta l’iter legislativo del nuovo Codice, che introdurrebbe la sospensione della patente (mentre oggi si paga la multa e si perdono 5 punti) per un mese già la prima volta che si viene sorpresi alla guida mentre si sta utilizzando lo smartphone.

Certamente uno strumento come Textalyzer, di Cellebrite, per verificare e dimostrare l’utilizzo del dispositivo durante la guida potrebbe tornare utile anche per rafforzare il rispetto del Codice della Strada ed evitare contestazioni o ricorsi.