Ruolo del gestore del sistema telematico nelle attività di digital forensics

Non di rado gli inquirenti, quando risulta necessario ricorrere alla digital forensics, si trovano a fronteggiare una serie di problematiche relative all’accesso al sistema informatico da analizzare. Oltre alle tecniche di anti forensics volte all’alterazione dei dati o semplicemente funzionali al rallentamento dell’attività investigativa, è frequente, infatti, che l’autorità procedente si trovi a dover operare su supporti e sistemi protetti da password o su informazioni oscurate mediante l’utilizzo di metodi crittografici^[1] (c.d. data hiding).

Il problema che si pone per gli investigatori sta nel fatto che talvolta i sistemi di crittografia o di protezione potrebbero risultare particolarmente ostici da superare se non addirittura dannosi per l’indagine, come ad esempio può accadere nel caso in cui la crittografia includa sistemi di sicurezza informatica programmati alla cancellazione dei dati protetti o al blocco definitivo del dispositivo per il caso di tentativi di violazione, così implicando un elevato rischio di perdita del possibile elemento di prova.

Appare evidente come in dette situazioni il ricorso all’ausilio di privati esperti del settore o, ancora meglio, dello stesso gestore del sistema telematico attenzionato, possa apportare un contributo non indifferente per la buona riuscita dell’indagine. Il gestore, infatti, potrebbe essere a conoscenza delle debolezze del sistema e delle falle nella sicurezza, potendo talora, almeno in linea teorica, consegnare nelle mani dell’autorità procedente la chiave per l’accesso al dispositivo o comunque facilitare di molto le operazioni per “bucarne” le difese.

In ragione di ciò occorre capire se i privati, tra i quali il gestore del sistema telematico, abbiano un dovere a collaborare alle indagini, oppure se possano rifiutarsi di prestare la loro cooperazione. In altri termini, bisogna comprendere se l’autorità procedente possa pretendere tale assistenza – obbligo che è stato definito da taluno «servitù di giustizia»^[2] – oppure se il privato possa muovere opposizione a simile pretesa.

Partendo dal presupposto che è pacifico, nel nostro ordinamento, che tale pretesa non possa essere avanzata nei confronti dell’indagato e dell’imputato, stante il principio del nemo tenetur se detegere (inteso come il diritto a non dover compiere comportamenti autoincriminanti) ed è altrettanto pacifico che tale richiesta possa, invece, essere rivolta ai consulenti tecnici e privati obbligati a prestare la loro opera in base alle norme codicistiche^[3], bisogna capire se tale obbligo sussista anche in capo al gestore del sistema telematico, il quale potrebbe trovarsi nella scomoda situazione di dover mettere a nudo le vulnerabilità del proprio sistema o peggio, a dover creare delle vulnerabilità ad hoc o rivelare stratagemmi capaci di eludere la propria sicurezza a soggetti che, sebbene membri delle forze dell’ordine o da questi delegati, sono comunque esterni all’azienda. Sotto altri punti di vista potrebbero profilarsi, poi, anche problemi collegati al diritto alla riservatezza, poiché fornire la chiave di crittografia di un sistema telematico, in linea teorica potrebbe rendere accessibile non solo il contenuto crittografato del dispositivo sotto indagine ma anche quello degli altri utenti che condividono la stessa struttura di crittografia.

In buona sostanza, giuridicamente parlando, si tratta quindi di stabilire fino a che punto l’esigenza di ordine pubblico possa spingersi nella compressione di diritti individuali a garanzia della sicurezza sociale, in tema di indagini informatiche^[4].

Volgendo lo sguardo fuori dal nostro sistema giuridico, si deve rilevare come l’ipotesi per la quale l’esigenza investigativa possa scavalcare le ragioni del gestore informatico è stata presa in considerazione anche presso altri paesi. Già da tempo, infatti, in diversi ordinamenti si è discusso sull’opportunità di imporre alle compagnie informatiche di progettare apposite backdoors ad uso investigativo, con ciò intese delle «intenzionali vulnerabilità che l’autore del sistema dovrebbe introdurre nel proprio protocollo di crittografia, fornendone poi la chiave alla forza pubblica così da consentire di accedere, legalmente, ai dati cifrati a fine d’indagine e prevenzione di crimini particolarmente gravi»^[5].

In particolare è interessante osservare come la questione si sia posta in termini pressoché identici nell’ordinamento statunitense, dove sul punto si è sviluppato un nutrito dibattito andato alla ribalta con il caso giurisprudenziale che ha visto contrapposti il Federal Bureau of Investigation (F.B.I.) da una parte e il gigante informatico Apple Inc. dall’altra.

Il caso prendeva le mosse dall’indagine condotta dall’F.B.I. a seguito dell’attentato terroristico di matrice jihadista islamica passato alla cronaca come “la strage di San Bernardino”, portato a segno nell’omonima località della California meridionale nell’autunno del 2015.

Stando all’accadimento dei fatti, durante l’attività investigativa gli inquirenti erano riusciti a rinvenire lo smartphone di uno degli attentatori e a porlo sotto sequestro per l’espletazione delle analisi di informatica forense. Tuttavia, il dispositivo risultava protetto da un complesso sistema crittografico volto alla difesa da accessi indebiti, che in caso di troppi errori nel tentativo di decifrazione avrebbe automaticamente (e definitivamente) cancellato le informazioni delle quali era posto a protezione^[6].

Vista la delicatezza della situazione, al fine di salvaguardare il contenuto digitale del dispositivo che avrebbe apportato un rilevante impulso per le indagini, i detectives dell’F.B.I. si appellavano direttamente alla multinazionale di tecnologia Apple Inc., in qualità di produttrice del modello di smartphone sequestrato e di responsabile del relativo sistema telematico, chiedendo a quest’ultima di prestare la propria collaborazione per lo sblocco del telefono.

Nello specifico veniva formulata richiesta nei confronti della società di creare e mettere nelle mani degli inquirenti un software apposito funzionale all’inibizione del sistema di distruzione dei dati, così da consentire alla pubblica autorità di poter eseguire in totale sicurezza tutti i tentativi che si sarebbero resi necessari per bypassare le difese del dispositivo.

La richiesta di cooperazione, tuttavia, veniva disattesa dalla società. Per il gigante informatico, infatti, la creazione di un programma finalizzato allo scopo voluto dagli investigatori, oltre a manifestarsi in palese contrasto con le politiche di riservatezza perseguite dalla società, se per qualsiasi motivo fosse finito nelle mani sbagliate avrebbe potuto mettere a rischio la privacy di tutti gli utenti in possesso del medesimo sistema.

Questo netto rifiuto finiva per costituire il presupposto per l’attivazione della disputa giudiziaria instaurata dall’F.B.I., rappresentata dal Dipartimento di Giustizia degli Stati Uniti, nei confronti della Apple Inc. Giudizio conclusosi con la dichiarazione di rinuncia alla prosecuzione dell’azione da parte del dipartimento della polizia federale, poiché nel frattempo, nonostante la mancata collaborazione, gli investigatori del Federal Bureau of Investigation erano ugualmente riusciti a superare le difese dello smartphone^[7]. Ad ogni modo, pronunce più recenti vertenti su questioni analoghe hanno visto disattese le richieste della pubblica autorità in favore delle ragioni opposte dai responsabili dei sistemi informatici^[8].

Per quanto concerne il nostro ordinamento si deve precisare che precedenti plateali come quello appena analizzato, per il momento, non si sono ancora verificati; ciononostante la questione giuridica si propone ugualmente di attualità.

A differenza dell’esperienza statunitense, però, parrebbe che per il nostro assetto normativo l’interesse alla sicurezza collettiva debba essere considerato preponderante rispetto ai diritti dei singoli, fatta eccezione per una serie di situazioni giuridiche, tassative, che fanno da limite all’espansione del diritto alla sicurezza della collettività con conseguente riverbero in tema di repressione del crimine e quindi con effetti limitativi alla funzione investigativa: si pensi ad esempio alla centralità del diritto di difesa che impone il divieto di intercettare le conversazioni tra imputato e difensore, al diritto di non incriminarsi, alla tutela apprestata dalla legge al segreto professionale o, ancora, alle garanzie costituzionali relative alla dignità della persona^[9].

Pertanto, al di fuori delle limitazioni espressamente previste dalla legge, è ben possibile che il gestore di un sistema telematico sia chiamato a prestare obbligatoriamente la propria assistenza alle forze dell’ordine anche nell’evenienza di indagini di digital forensics.

Questo articolo è stato estratto dal white paper “La Digital forensics nel processo penale” disponibile in maniera libera e gratuita al seguente link: https://www.ictsecuritymagazine.com/pubblicazioni/digital-forensics-nel-processo-penale/

 

 

 

Note

^[1] Per crittografia s’intende quella «tecnica di rappresentazione di un messaggio in una forma tale che l’informazione in esso contenuta possa essere recepita solo dal destinatario; ciò si può ottenere con due diversi metodi: celando l’esistenza stessa del messaggio o sottoponendo il testo del messaggio a trasformazioni che lo rendano incomprensibile», https://www.treccani.it/enciclopedia/crittografia/#:~:text=crittografia%20Tecnica%20di%20rappresentazione%20di,a%20trasformazioni%20che%20lo%20rendano.

^[2] Tale locuzione è utilizzata in M. TORRE, op. cit., p. 1675 e pp. 1684 – 1685.

^[3] Si veda ad esempio l’art. 359 c.p.p. in tema di accertamenti tecnici dove si precisa che i consulenti «non possono rifiutare la loro opera».

^[4] La questione è posta in termini simili anche in M. TORRE, op. cit., pp. 1675 e ss.

^[5] R. DE VITA e L. LAUDISA, “Vita digitale a rischio: i captatori informatici tra pericoli per i diritti umani e riduzionismo giuridico”, in Osservatorio CyberSecurity Eurispes, p. 3, articolo del 18 novembre 2019, consultabile sul sito https://www.devita.law/wp-content/uploads/2019/11/Vita-digitale-a-rischio.pdf.

^[6] Nel particolare tecnico, il dispositivo recuperato dalla polizia «risultava bloccato da un codice di blocco a 4 cifre e impostato per il wiping dei dati dopo 10 tentativi falliti nell’inserimento del codice di blocco, opzione presente nei dispositivi iPhone», così F. MASSA, “Il caso San Bernardino: APPLE vs FBI” in sicurezzaegiustizia.com, consultabile sul sito https://www.sicurezzaegiustizia.com/il-caso-san-bernardino-apple-vs-fbi/. Quindi, il sistema di blocco consisteva in una strategia di sicurezza messa direttamente a disposizione dalla casa produttrice del congegno e non una struttura difensiva messa a punto dall’attentatore. È intuibile comprendere, dunque, come il gestore del sistema telematico avrebbe potuto aggirare le difese del dispositivo con relativa semplicità, o comunque apportare un contributo non indifferente al lavoro delle forze di polizia.

^[7] Per una ricostruzione dettagliata della vicenda processuale in questione si rimanda a M. TORRE, op. cit., pp. 1678 e ss., qui preme osservare come un prima pronuncia sulla questione accoglieva le pretese del Dipartimento di Giustizia. Altri casi analoghi, invece, anche successivi alla vicenda riportata, hanno visto le richieste della forza pubblica disattese in favore delle ragioni dei gestori di sistemi telematici.

^[8] Ibidem.

^[9] Cfr. M. TORRE, op. cit., p. 1685.

 

Articolo a cura di Francesco Lazzini