Strumenti digital forensic utilizzati dalla Polizia Giudiziaria per l'analisi di dispositivi digitali, evidenziando l'importanza della formazione continua e dell'adozione delle migliori pratiche.

Legge 18 marzo 2008, n. 48 – L’ufficiale di polizia giudiziaria dieci anni dopo

Tra pochi mesi festeggeremo i dieci anni della Legge 18 marzo 2008, n. 48 – Ratifica ed esecuzione della Convenzione del Consiglio d’Europa sulla criminalità informatica, fatta a Budapest il 23 novembre 2001, e norme di adeguamento dell’ordinamento interno”. Non è mia intenzione rinverdire critiche ed elogi alle modifiche apportate dalla stessa al codice di procedura penale, per le quali sono stati scritti numerosi articoli, ma vorrei cogliere la ricorrenza per una riflessione, su alcuni aspetti che maggiormente interessano e vedono protagonisti gli odierni operatori di polizia giudiziaria allorquando sono impegnati in attività di ispezione e perquisizione che coinvolgono a vario titolo dispositivi “digitali”.

La nascita della Digital Forensic nella Polizia Giudiziaria prima del 2008

Va evidenziato che la “digital forensic” per le forze di polizia non nasce certo nel 2008,  già prima della convenzione di Budapest anche nel nostro paese la “realtà giudiziaria”  aveva tratteggiato attraverso storici casi giudiziari  e conseguenti sentenze quali fossero le procedure minime da adottare nell’esecuzione di ispezioni e perquisizioni oggi comunemente definite “informatiche”.

Le forze di polizia, del resto, ben prima del 2008 si erano già “attrezzate” per fronteggiare le problematiche sorte a seguito di un inarrestabile evoluzione tecnologica che vedeva apparati digitali direttamente o indirettamente coinvolti sulla “scena criminis”.

Principali Sfide della Digital Forensic

Le principali difficoltà erano e,  sono rimaste legate,  essenzialmente alla volatilità del dato e alla salvaguardia della catena di custodia del reperto, tanto che ben prima della convenzione di Budapest, i corpi di polizia nazionali,  avevano avvertito la necessità di costituire articolazioni ed unità specializzate/qualificate da impegnare in quelle attività di ispezione/perquisizione di maggior complessità, a titolo di mero esempio, cito il Servizio di Polizia Postale e delle Comunicazioni della Polizia di Stato;  l’allora Gruppo Anticrimine Tecnologico (G.A.T.) della Guardia di Finanza, oggi Nucleo Speciale Frodi Telematiche e il Raggruppamento Carabinieri Investigazioni Scientifiche – Reparto Tecnologie Informatiche.

Dall’introduzione della Legge  18 marzo 2008, n. 48 si è visto tuttavia,  un rinnovato e grande interesse da parte degli organi di polizia a formare ulteriore personale specializzato/qualificato, anche perché, come notato dai più attenti commentatori della norma,  il legislatore,  non ha attribuito una competenza specifica alle succitate  articolazioni ed unità nell’esecuzione delle ispezioni e perquisizioni informatiche, ma di  fatto,  e a parere di chi scrive con lungimiranza ed attenzione ha  allargato ed imposto a tutti gli ufficiali di polizia giudiziaria di adottare  “misure tecniche dirette ad assicurare la conservazione dei dati originali e ad impedirne l’alterazione”.

Si è quindi venuto a creare dal 2008 un diverso modo di approcciare le problematiche legate all’ispezione e perquisizione di un dispositivo digitale tanto che se prima erano “cosa/materia/compito” di pochi e specializzati reparti,  oggi,   deve essere “cosa”  di ogni ufficiale di polizia giudiziaria, quantomeno in punto di trattamento dei dati, circa la loro conservazione ed impedimento della loro alterazione .

Si pensi solo per un istante all’ internet of things e a quali saranno le sue implicazioni da oggi e per il futuro sulla scena del crimine.

Di qui la necessità per le forze di polizia di estendere a ciascun ufficiale di polizia giudiziaria quel minimo di conoscenze tecnico-informatiche e giuridiche che permettessero di volta in volta e caso per caso il rispetto di quel “mantra” dettato dal legislatore .…  “ adottando misure tecniche dirette ad assicurare la conservazione dei dati originali e ad impedirne l’alterazione” …, nella consapevolezza ormai, innegabile,   che il progresso tecnologico attuale già ci porta a poter affermare  che non esistono “crimini”,  scevri dal coinvolgimento diretto o indiretto di strumenti digitali.

L’importanza delle Best Practices nella Digital Forensic

Il mantra dettato dal legislatore come detto sopra è stata una scelta, al di là delle critiche e condivisioni che ne sono derivate, che ha comunque permesso:  da un lato, di garantire  la genuina acquisizione di elementi che potrebbero poi assumere la valenza di prova in dibattimento, dall’altro, di permettere un controllo sull’operato degli ufficiali di polizia giudiziaria circa le procedure adottate per assicurare la conservazione dei dati originali e impedirne la loro alterazione.

E’ ormai fuori di dubbio che il legislatore, abbia imposto agli ufficiali di polizia giudiziaria di ricorrere alle cd. “best practices” ormai consolidatesi ed affermatesi nel settore,  e senza imporre specifiche tecniche o procedure abbia lasciato al singolo operatore di polizia giudiziaria di potersi avvalere degli strumenti e delle tecniche preferite, con il solo  vincolo, pena la loro efficacia probatoria, di assicurare la conservazione del dato ed impedirne l’alterazione, elementi ormai imprescindibili.

La Formazione degli Ufficiali di Polizia Giudiziaria

Già, gli strumenti e le tecniche preferite…, nonostante i lodevoli sforzi dei corpi di polizia ad oggi la formazione del personale da impiegare nelle specifiche attività di digital forensic non è arrivata ancora a fornire a ciascun ufficiale di polizia giudiziaria quel bagaglio minimo di conoscenze necessarie a saper affrontare le principali difficoltà che sorgono nell’acquisizione di dati informatici destinati spesso a costituire prova informatica in un processo. Molto è ancora lasciato alla buona volontà dei singoli e di coloro che maggiormente si preoccupano di far giungere al processo, genuini e saldi, elementi probatori.

Tanto da consigliare il ricorso, ogni qual volta si abbia il sentore della presenza di dispositivi digitali, a personale esperto che tuttavia a cagione di un non ancora sufficiente numero organico non ha sempre la possibilità di intervenire tempestivamente.

Viene quindi da auspicare per il futuro, che consci di questa importate innovazione apportata al codice si giunga ad una formazione permanente non di solo poco personale specializzato ma dell’intera platea degli ufficiali di polizia giudiziaria.

L’ideale sarebbe quello della creazione di due figure: un cd. “first responder” da considerarsi quale figura così diffusa a livello organico di ciascuna forza di polizia da poter assicurare la sua presenza in ogni attività di polizia giudiziaria o meglio e per farla breve ogni ufficiale di polizia giudiziaria  dovrebbe essere un “first responder”; un cd. “specialist digital forensic” capace di affrontare le situazioni più delicate e complicate e che potrebbe intervenire di volta in volta solo in quegli scenari connaturati da maggior complessità e difficoltà operative.

La formazione in tal senso dovrebbe iniziare fin dalla cd. formazione di base introducendo la digital forensic tra quelle materie fondamentali  quali il diritto penale e il diritto processuale penale, che il futuro ufficiale di polizia giudiziaria apprende dal suo ingresso negli istituti di formazione.

Sul piano degli strumenti e tecniche il panorama è assai eterogeneo tra soluzioni commerciali ed open source. Vi è chi tende ad escludere una a favore dell’altra e chi invece vede nella loro commistione tra soluzioni commerciali ed open source, il giusto compromesso. Non è questa la sede per un approfondimento su cosa sia meglio o peggio, l’una, l’altra o entrambe, tuttavia resta innegabile come soluzioni open source (che non inciderebbero economicamente sui bilanci dello Stato) potrebbero e dovrebbero divenire patrimonio di ciascun operatore di polizia giudiziaria quantomeno per quelle operazioni elementari da svolgersi su dispositivi digitali quali la ricerca di elementi,  la loro estrazione, l’acquisizione di memorie di massa e  il dump della RAM.

Soluzioni Open Source per la Digital Forensic

Il pensiero corre allora a distribuzioni linux forensic quali DEFT Linux o CAINE entrambe frutto del genio Italico  : http://www.deftlinux.net/ e http://www.caine-live.net/ che danno peraltro la possibilità di utilizzare un cd. “windows side ” ( rispettivamente DART e Win-UFO) per attività di Incident Response/Live Analysis su  Windows systems.

Orbene, la pretesa non è certo quella di riuscire ad insegnare ad ogni “first responder” l’utilizzo delle centinaia di tool presenti su dette distribuzioni, ma è alla portata di tutti con poche ore di esercizio, apprendere l’utilizzo di quei tool fondamentali per l’acquisizione di memorie di massa o per altre operazioni elementari che possono e devono essere effettuate nell’immediatezza delle attività di ispezione e perquisizione.

E’ necessario a parere di chi scrive unire alla formazione teorica e giuridica una formazione pratica anche attraverso questi strumenti, con il doppio vantaggio di : a) formare il personale alle attività quantomeno di first responder; b) far emergere tra quel personale le professionalità innate da formare quali  “specialist digital forensic”. E ciò dovrebbe essere diretto come già detto a tutto il personale che inizia corsi di formazione presso le forze di polizia.

In conclusione auspico che il raggiunto traguardo dei dieci anni della Legge 18 marzo 2008, n. 48, non sopisca gli animi degli addetti ai lavori, ma anzi, serva come rinnovato impegno a continuare nella formazione di personale tra le forze di polizia. La speranza è quella di poter vedere uscire dalle scuole di formazione di polizia un “ufficiale di polizia giudiziaria 4.0”, pronto e preparato ad affrontare le sfide future di un inarrestabile e velocissimo progresso tecnologico che vedrà sempre di più presenti sulla scena del crimine dispositivi digitali prova dei delitti o elementi utili al prosieguo delle indagini e all’accertamento dei fatti.

A cura di: Pier Luca Toselli

Profilo Autore

Sono un ufficiale di polizia Giudiziaria che ha maturato un'esperienza ormai trentennale nel settore della sicurezza e delle investigazioni, con specifico riferimento negli ultimi 8 anni alla digital forensic per la quale ho conseguito la qualifica di Computer Forensic e Data Analysis . L'esperienza ha anche permesso di consolidare ed affinare una solida preparazione tecnico-giuridica sia nel settore delle investigazioni in genere sia in quello più prettamente informatico. Sono stato docente nell’ambito del Master Executive di II livello in Criminologia e Cyber Security – Modulo 7: Lotta al Crimine organizzato (Master Sida - Fondazione INUIT Tor Vergata).

Condividi sui Social Network:

Ultimi Articoli