|
LA NUOVA LEGISLAZIONE IN
MATERIA DI CRIMINI INFORMATICI
La pubblicazione sulla Gazzetta Ufficiale n. 80 del 4 aprile 2008
supplemento ordinario n. 79 - della legge 18 marzo 2008, n. 48 ha
introdotto una serie di modifiche concernenti i reati in materia
informatica. Il testo della legge introduce modifiche al codice
penale ed al codice di procedura penale relativi a fattispecie di
reato in dipendenza di delitti informatici e trattamento illecito
di dati.
La legge 48, come riporta il Capo I, ratifica le norme previste
dal Consiglio d'Europa sulla criminalità informatica, previste
nella Convenzione realizzata a Budapest il 23 novembre 2001. Il
codice penale italiano, prima di queste modifiche, prevedeva alcuni
articoli introdotti dalla legge 547/1993. L'ordinamento puniva -
art. 635 bis - il "Danneggiamento di sistemi informatici e
telematici". La legge 48/2008, oltre a sostituire integralmente nel
codice penale l'art. 635 bis, introduce ulteriori tre fattispecie
indicate agli artt. 635 ter, 635 quater, 635 quinquies. La modifica
ottempera ad una puntuale applicazione di quanto disposto dalla
Convenzione che ha distinto nettamente tra danneggiamento
dell'integrità dei dati e danneggiamento dell'integrità del sistema
(artt. 4 e 5). La disciplina è stata differenziata anche in
relazione alla rilevanza pubblica dell'oggetto della tutela,
prevedendo per questi casi pene più elevate.
L'introduzione degli artt. 635 ter e 635 quinquies c.p.
determinava possibili conflitti con le norme indicate dall'art. 420
c.p., commi 2 e 3 - che hanno come oggetto la tutela agli impianti
di pubblica utilità - le cui fattispecie sono molto simili a quelle
introdotte dai nuovi articoli. Il problema è stato risolto con
l'abrogazione dei commi 2 e 3 dell'art. 420 (art. 6). Oltre al
citato art. 635, che è stato completamente riscritto, la legge
48/2008 introduce nel d.lgs. 231/2001 in alcuni casi modificandone
il contenuto i seguenti delitti informatici:
1)art. 615 ter c.p., relativo all'accesso abusivo ad un sistema
informatico o telematico;
2)art. 615 quater c.p. - che non ha subito modifiche da parte
della legge 48 in merito alla detenzione e diffusione abusiva di
codici di accesso a sistemi informatici o telematici;
3)art. 615 quinquies che punisce la diffusione di apparecchiature,
dispositivi o programmi diretti a danneggiare o interrompere il
funzionamento di un sistema informatico. Modificato dalla legge
48/2008 in quanto precedentemente puniva la sola diffusione di
programmi e non contemplava i dispositivi;
4)artt. 617 quater e 617 quinquies c.p., relativi alle
intercettazioni - anche attraverso l'installazione di apparati - ed
all'impedimento o interruzione di comunicazioni informatiche o
telematiche;
5)art. 491 bis c.p., riguardante la falsità di un documento
informatico;
6)art. 640 quinquies c.p., introdotto ex novo dalla legge 48/2008,
che ha come oggetto la frode informatica del soggetto che presta
servizi di certificazione di firma elettronica.
È necessario soffermarsi sull'art. 1 della Convenzione, che
definisce il concetto di sistema e di dato informatico. La
Convenzione di Budapest del 2001 risolve il problema di tale
definizione, esistente da anni, esprimendo il concetto: "computer
system means any device or a group of interconnected or related
devices, one or more of which, pursuant to a program, performs
automatic processing of data". La cui traduzione porta alla
seguente definizione di "sistema informatico": "qualsiasi
apparecchiatura, dispositivo, gruppo di apparecchiature o
dispositivi, interconnesse o collegate, una o più delle quali, in
base ad un programma, eseguono l'elaborazione automatica di dati".
Si tratta di una definizione molto generale che permette di
includere qualsiasi strumento elettronico, informatico o
telematico, in rete (gruppo di dispositivi) o anche in grado di
lavorare in completa autonomia. In questa definizione rientrano
anche i dispositivi elettronici che, al giorno d'oggi, sono tutti
dotati di un software (o anche solo un firmware) che permette il
loro funzionamento elaborando delle informazioni (o comandi). Ad
esempio, con questa definizione è possibile inserire come
dispositivo tutelato dalla legge un telefono cellulare, uno
strumento PDA o un dispositivo elettronico inserito in un
impianto per la produzione industriale.
Nel medesimo articolo è contenuta anche la definizione di "dato
informatico", che descrive il concetto derivandolo dall'uso:
"computer data means any representation of facts, information or
concepts in a form suitable for processing in a computer system,
including a program suitable to cause a computer system to perform
a function"; tradotto letteralmente con la definizione: "qualunque
rappresentazione di fatti, informazioni o concetti in forma idonea
per l'elaborazione con un sistema informatico, incluso un programma
in grado di consentire ad un sistema informatico di svolgere una
funzione". In questo caso la definizione ha dovuto comprendere due
argomenti, il dato in senso stretto ed i programmi. Entrambi sono
memorizzati in forma digitale di byte all'interno di files ma con
due funzioni ben differenti.
I primi sono i dati dell'utente che vengono generati e salvati
attraverso l'uso di un applicativo. Per programma (o applicativo)
si intende il software. In questa definizione rientrano anche i
sistemi operativi, driver3, firmware ovvero tutti quei programmi
anche di base che sono presenti su un elaboratore
o apparato elettronico e necessari al loro funzionamento. La
differenza tra i files di dati (o informazioni) e di programmi è
che sono la rappresentazione digitale di un documento (testo,
immagine, archivio, ecc.) realizzato attraverso l'uso di un
software. Normalmente ogni documento è contenuto in un singolo
file. Il programma invece è un insieme di files, che vengono
richiamati gli uni dagli altri a seconda di comandi impartiti
dall'utente, contenenti algoritmi in grado di eseguire
funzioni.
L'art. 1 della Convenzione riveste un'importanza rilevante in
quanto per la prima volta viene chiarita, in modo univoco ed
accettato da tutti i Paesi europei che hanno ratificato il
trattato, la definizione di un sistema informatico o telematico, di
dato e di programma. Per schematizzare la struttura, il sistema
informatico è un dispositivo hardware che "contiene" uno o più
programmi tra cui obbligatoriamente un sistema operativo con cui si
possono gestire i dati. Da questa espressione generale si comprende
la ragione del diverso trattamento sanzionatorio: colpire un dato
informatico non significa impedire il funzionamento del sistema,
colpire quest'ultimo significa impedire l'uso dell'intera struttura
e di quanto in essa memorizzato. Di conseguenza deriva la necessità
di differenziare, negli articoli del codice penale, gli illeciti
che hanno come oggetto la struttura hardware rispetto a quelli
relativi ai files (che siano questi contenitori di dati o di
programmi).
In questo articolo si intende dare rilievo alla modifica apportata
dalla legislazione all' art. 244 C.p.p. comma 2, secondo periodo:
"anche in relazione a sistemi informatici o telematici, adottando
misure tecniche dirette ad assicurare la conservazione dei dati
originali e ad impedirne l'alterazione".
L'introduzione di questo concetto nella legislazione italiana fa sì
che le attività di perquisizione e sequestro debbano essere
condotte attraverso un preciso disciplinare informatico forense.
Mentre fin'ora l'adozione di queste tecniche era frutto del
semplice scrupolo personale, ora la mancata adozione può far sì che
vengano invalidate le prove acquisite.
La prima riflessione va rivolta al materiale che deve essere
sequestrato. Considerato che, nella maggior parte dei casi,
l'oggetto del sequestro è costituito da dati o programmi
immateriali -si procede con l'acquisizione di un dispositivo
hardware - memoria di massa contenente le informazioni.
Per "memoria di massa" si intendono tutte quelle memorie, di
qualsiasi tipologia funzionale, atte a memorizzare files al loro
interno. Tra queste possiamo annoverare HD, floppy, CD-Rom, DVD,
memorie di tipo USB. Durante un'attività di sequestro va tenuto
presente che al giorno d'oggi ogni dispositivo informatico o
elettronico può essere impiegato come contenitore di dati
(navigatore satellitare, lettore MP3, registratori vocali, etc.).
Analizziamo ora come deve essere svolta l'attività di sequestro.
Differenziamo i casi in cui si procede all'acquisizione di files,
rispetto a quando è necessario acquisire l'hardware completo.
Sostanzialmente il sequestro potrebbe essere sempre indirizzato ai
soli dati, l'apparato hardware dovrebbe essere prelevato solamente
nei casi in cui non si possa procedere alla duplicazione per
ragioni di dimensioni e di tempo o nei casi in cui la copia
potrebbe non essere sufficiente per la documentazione delle
condotte.
La duplicazione deve avvenire con metodologie forensi ovvero
attraverso uno copia bit to bit. Questa modalità operativa
garantisce la possibilità di ricostruire anche eventuali files
eliminati. La duplicazione deve avvenire in parallelo al calcolo di
un checksum. Checksum, tradotto letteralmente significa somma di
controllo, è una sequenza di bit che viene utilizzata per
verificare l'integrità di un dato o di un messaggio che potrebbe
subire alterazioni. Il tipo più semplice di checksum consiste nel
sommare tutti i byte del messaggio e di memorizzare il valore
risultante. Per controllare l'integrità del dato sarà sufficiente
effettuare la stessa operazione di somma e confrontarla con il
checksum allegato alla presente relazione. Se i due valori
coincidono, i dati possono essere considerati privi di qualsiasi
alterazione.
I checksum vengono usati in informatica forense per poter garantire
che i dati nel tempo non subiscano alterazioni, premettendo il
ricalcolo in qualsiasi fase dell' analisi a garanzia della corretta
conservazione dei dati. Sarà ottimale rilasciare un certificato
della duplicazione almeno con due formati di calcolo, i più usati
sono l'MD5 e l'SHA1.
Nel caso si proceda con la duplicazione dei dati o delle memorie
con il calcolo dei certificati, sarà sufficiente documentare nel
verbale di perquisizione e sequestro l'esatta descrizione delle
memorie originali, della memoria usata per effettuare la copia, del
sistema impiegato per la duplicazione ed i relativi
certificati.
L'acquisizione di files o memorie può servire in tutti i casi in
cui si debbano acquisire files di log, singoli documenti, intere
memorie, dati di server non trasferibili, server o PC virtuali,
siti WEB, messaggi di posta elettronica, etc. I files risultati
saranno memorizzati su DVD-Rom o su Memorie di massa.
Nel primo caso è utile far controfirmare il supporto dai presenti,
nel secondo sarà necessario sigillare la memoria di massa
garantendola con un adeguato contenitore.
Si presenteranno casi in cui non sarà possibile procedere alla
duplicazione della memoria e si renderà necessario dover prelevare
tutto l'hardware. In questo specifico caso è indispensabile
sigillare il dispositivo hardware in modo che non possa avvenire
alcuna accensione o interferenza con il mondo esterno. È
consigliato apporre sigilli sugli interruttori e sulle prese di
alimentazione, in questo modo si garantisce che il sistema non
possa essere acceso o alimentato.
Non potendo procedere al calcolo del checksum nel luogo in cui
avviene il sequestro, sarà necessario effettuare questa operazione
prima di ogni analisi, convocando le parti indagate, in modo che
possano presenziare. Questa attività è indispensabile anche quando
le attività peritali venissero svolte in modalità ripetibile. In
pratica costituisce la garanzia per l'indagato e per l'Autorità
Giudiziaria che i dati acquisiti non subiscano alcun tipo di
modifica.
In sostanza per poter garantire l'adozione di misure tecniche
dirette ad assicurare la conservazione dei dati originali e ad
impedirne l'alterazione come previsto dalla nuova legislazione si
hanno due alternative. La prima è di porre un sigillo informatico
ai dati in presenza dell'indagato sul luogo del sequestro ed
acquisire i soli dati di interesse alle indagini. Il secondo è di
differire questa operazione acquisendo tutto l'hardware che
contiene i dati utili, sigillandolo e rendendo impossibile
qualsiasi alterazione fino al momento in cui avvenga l'operazione
tecnica con appositi dispositivi informatici.
Nei casi in cui si ponga in Giudiziale Sequestro attrezzature
particolarmente complesse è necessario procedere nel verbale di
sequestro ad una descrizione delle connessioni che il sistema ha
con altri dispositivi e soprattutto descrivere i software attivi e
la loro configurazione. Meglio di tutto è procedere anche ad un
rilievo fotografico dei sistemi interconnessi tra loro, prima della
loro rimozione.
La modifica legislativa implica una maggior attenzione nelle
operazioni di sequestro. La sola accensione di un dispositivo dopo
l'acquisizione, senza l'impiego di apposite tecnologie che ne
evitano l'alterazione, provoca una modifica del contenuto di una
qualsiasi memoria. Si può passare dalla semplice modifica di una
data, che avviene ogni volta che si accende un PC, fino ad
eliminare dei dati per azione di automatismi messi in pratica
dall'indagato. Per loro natura i dati sono volatili e devono essere
trattati con la massima cura per evitare qualsiasi intervento
esterno. |
