La necessità di software di digital forensics direttamente gestiti e controllati dallo Stato

Casi come Cellebrite Ufed v. Signal pongono in luce come la cybersecurity sia un fattore essenziale per la corretta riuscita di un’indagine di digital forensics. In particolare, emerge come uno scarso livello di sicurezza del software utilizzato per l’analisi della copia forense rischi in concreto di tradursi in un’indagine fuorviante, dalla quale non potranno che conseguire risultati inattendibili.

È opportuno, tuttavia, osservare come nell’assetto giuridico che disciplina la materia manchi del tutto una normativa tecnica che imponga livelli minimi di sicurezza nelle strumentazioni utilizzate. Sul punto, il rinvio del legislatore alle best practices – tra le quali ve ne sono di specifiche che si occupano di sicurezza – è l’unico appoggio normativo che possa rinvenirsi riguardo al dovere di rispettare criteri minimi di cybersecurity. Però, dal momento che la giurisprudenza ha stabilito come il mancato rispetto delle buone pratiche internazionali non comporti automaticamente l’inutilizzabilità delle evidenze digitali, sorge spontaneo chiedersi se la soluzione adottata sul piano legislativo si possa valutare sufficiente oppure se sia il caso di introdurre accorgimenti giuridici ulteriori.

In realtà, se si prende in considerazione la rapidità con cui evolvono le minacce informatiche e se si considera l’entità del danno che un’indagine potrebbe subire in caso di mancanza d’uso di strumenti sicuri, appare palese come l’attuale impostazione della disciplina contenga un vuoto normativo che, in un contesto di crescente ricorso alle tecniche di digital forensics, corre il rischio di aumentare sempre più la percentuale di errori giudiziari.

La questione assume un tono di maggiore inquietudine se si considera che strumenti con acclarate vulnerabilità, come ad esempio la precedente versione del software Phisycal Anayzer di Cellebrite Ufed, sono stati largamente usati dalle procure e dalle forze dell’ordine del nostro Paese e potenzialmente potrebbero tuttora essere in utilizzo presso i medesimi organi.

Il problema si pone dal momento che, non disponendo la Pubblica Amministrazione di strumenti e software di digital forensics prodotti direttamente dallo Stato, procure e forze dell’ordine per munirsi di simili sistemi sono costrette a rivolgersi ad aziende private, quasi sempre straniere. Tale circostanza, in assenza di una normativa specifica che disponga standard minimi di sicurezza, comporta che l’acquirente – in questo caso, gli organi statali – debbano necessariamente rifarsi ai livelli di sicurezza che propone l’azienda venditrice, la quale agendo secondo logiche privatistiche potrebbe talvolta ritenere non necessario incrementare le difese dei propri sistemi. Si rammenti, a titolo esemplificativo, che il precedente di Phisycal Analyzer veniva ad esistenza proprio a causa del mancato ammodernamento del software, che circolava con un aggiornamento obsoleto poiché non implementato da anni dalla casa produttrice.

Alla luce di quanto esposto, si presenta sempre più necessario il perfezionamento di un intervento normativo diretto a colmare il vuoto legislativo in tema di sicurezza e volto all’eliminazione delle attuali incertezze.

L’intervento, nello specifico, dovrebbe muoversi su due piani distinti ma connessi tra loro. Innanzitutto, andrebbero stabiliti dei livelli minimi di sicurezza che gli applicativi usati per le operazioni di digital forensics dovrebbero rispettare per poter essere adoperati ai fini d’indagine. In secondo luogo, occorrerebbe fare in modo che lo Stato sia messo concretamente nella posizione di valutare attivamente lo standard di sicurezza minima essenziale di tali applicativi.

Per fare ciò, bisognerebbe mettere a punto un sistema di controllo diretto dello Stato sulle aziende fornitrici: ipotesi allo stato attuale molto difficile, sia perché le maggiori aziende tech sono straniere e sia perché le medesime, in ottica di mercato, tendono a proteggere il segreto delle loro invenzioni, anche nei confronti degli Stati a cui offrono il servizio.

Oltre alla possibilità di creare dei software di completa proprietà dello Stato – in linea teorica la scelta migliore, ma in termini pratici di complessa realizzazione nonché estremamente dispendiosa^[1] – un’altra soluzione potrebbe essere incentivare la nascita di un gruppo di aziende conformi a specifici criteri, organizzate in consorzio e sottoposte alla diretta vigilanza dello Stato, che ne costituirebbe il primo fruitore dei servizi^[2]. Una simile soluzione, se opportunamente regolata, permetterebbe allo Stato di imporre a tali aziende il rispetto di livelli di sicurezza minimi per i loro prodotti e la necessità di sottoporsi a controlli specifici che garantirebbero l’efficienza dei servizi e la più completa trasparenza al riguardo. Di ritorno, tali aziende avrebbero la certezza di un cliente sicuro quale la Pubblica Amministrazione.

È chiaro che una soluzione del genere andrebbe disciplinata a regola d’arte al fine di evitare situazioni di abuso e in ogni caso non sarebbe realizzabile nel breve termine.

Non vi è dubbio, tuttavia, che la questione della sicurezza informatica nella digital forensics debba essere quanto prima attenzionata a livello normativo; così da impedire da un lato che sia compromessa la genuinità delle indagini di informatica forense e dall’altro tutelando la posizione processuale dell’indagato.

CONCLUSIONI

La rivoluzione digitale che caratterizza l’attuale fase storica ha notevolmente impattato, tra gli altri, anche i settori del diritto processuale e delle scienze forensi. Qui, le nuove tecnologie stanno trovando larghissimo impiego soprattutto per quanto concerne l’ambito investigativo e il ricorso alle tecniche di digital forensics si rivela, sempre più di frequente, un elemento imprescindibile per gli inquirenti. L’analisi dei dispositivi elettronici rinvenuti sulla scena del crimine o in uso dall’indagato permette infatti di reperire informazioni, trovare indizi, collezionare elementi di prova e raggiungere risultati che le indagini tradizionali, in un mondo sempre più informatizzato, difficilmente riuscirebbero a ottenere.

Per contro, a causa della delicatezza che caratterizza questo tipo di operazioni, le potenzialità investigative della digital forensics si scontrano inevitabilmente con una serie di criticità.

Ove non adeguatamente tenuta in conto durante le fasi di acquisizione, analisi e catena di custodia, la fragilità della digital evidence rischia di compromettere da un lato il buon esito delle indagini e, dall’altro, le garanzie difensive del soggetto indagato, che nella normalità della casistica riveste, durante l’espletamento delle attività forensi, un ruolo meramente passivo.

Inoltre, proprio la natura digitale di questo tipo di indagine non lascia immune la digital forensics dai pericoli che riguardano il settore informatico in generale, imponendo la necessità di adottare opportuni accorgimenti anche per quanto concerne la sicurezza. Come dimostrato dai recenti casi di cronaca, infatti, il concetto di cybersecurity nella digital forensics non può assolutamente essere sottovalutato al fine di garantire la completa attendibilità dell’indagine.

Per quanto riguarda la disciplina normativa si è visto come in Italia, anziché regolare dettagliatamente la materia, sia stata scelta una strategia di rinvio alle c.d. best practices internazionali, inserendo all’interno del codice di procedura penale esclusivamente l’obbligo, nel maneggiare le evidenze digitali, di fare ricorso a tecniche atte a preservare l’integrità e l’immodificabilità dei dati.

Questo atteggiamento legislativo, seppur giustificabile alla luce della continua evoluzione tecnologica, ha lasciato ampio spazio di manovra alla giurisprudenza; la quale, avendo chiarito la non obbligatorietà per gli inquirenti di rispettare le best practices, parrebbe aver addirittura ridimensionato il proposito della legge n. 48/2008.

Il nostro modello giuridico propone, attualmente, un contemperamento tra garanzie del diritto di difesa ed esigenze investigative nettamente sbilanciato in favore di queste ultime, ponendo l’indagato in una posizione oltremodo subalterna e relegandone le tutele costituzionali in secondo piano. Per tutelarne quanto più possibile la posizione processuale potrebbe essere utile, allora, trovare nuove strategie per anticipare il contraddittorio: ad esempio con la possibilità di nominare un consulente per la difesa che intervenga ancor prima della discovery delle prove. Si rammenta in proposito che la giurisprudenza ha ricompreso le operazioni di digital forensics tra gli atti ripetibili, eseguibili pertanto senza la necessità di integrare il contraddittorio con l’indagato: evenienza che tuttavia, unita alla possibilità di discostarsi dalle best practices, rischia di assumere i contorni propri del processo inquisitorio. Secondo l’attuale impostazione, infatti, l’onere probatorio (inquadrabile come probatio diabolica) di indicare come il discostamento dagli standard internazionali abbia compromesso le evidenze digitali ricade in capo all’indagato, anche laddove non abbia potuto partecipare alle operazioni.

La mancata previsione di una disciplina specifica in tema di cybersecurity può, inoltre, riverberarsi negativamente sull’attendibilità delle risultanze che vengano analizzate con strumenti di digital forensics non sostenuti da idonei sistemi di sicurezza. Andrebbero altresì previsti opportuni controlli sulle aziende fornitrici di questi servizi, per poter valutare l’efficienza dei prodotti in uso presso le Pubbliche Amministrazioni.

Alla luce di tali considerazioni appare ormai necessaria la creazione di un assetto normativo più dettagliato, che sappia calibrare correttamente il peso delle criticità che permeano una materia delicata come l’informatica forense per individuare il corretto bilanciamento tra esigenze investigative, cybersecurity e diritto di difesa.

Questo articolo è stato estratto dal white paper “La Digital forensics nel processo penale” disponibile in maniera libera e gratuita al seguente link: https://www.ictsecuritymagazine.com/pubblicazioni/digital-forensics-nel-processo-penale/

Note

^[1] Si consideri che il mondo della sicurezza è in continua evoluzione e, in ottica di spese, per lo Stato sviluppare software proprietari significherebbe investire in maniera continuativa somme di denaro molto ingenti obbligandolo ad uno sforzo economico di elevate proporzioni.

^[2] Una soluzione simile è stata proposta anche per quanto riguarda la materia del captatore informatico, strumento che per molti aspetti, se non in maniera addirittura più rilevante, patisce dal punto di vista della cybersecurity delle medesime problematicità a cui soggiacciono gli strumenti informatici per la digital forensics. Si veda sul punto il servizio giornalistico intitolato “Infiltrato speciale”, curato da P. MONDANI nella trasmissione “Report”, puntata del 18/11/2019.

Articolo a cura di Francesco Lazzini