• >
  • Media & Comunicazione
    >
  • Rassegna dell'Arma
    >
  • La Rassegna
    >
  • Anno 2009
    >
  • N.2 - Aprile-Giugno
    >
  • Informazioni e Segnalazioni
    >

Attualità e Commenti

LA NUOVA LEGISLAZIONE IN MATERIA DI CRIMINI INFORMATICI

La pubblicazione sulla Gazzetta Ufficiale n. 80 del 4 aprile 2008 ­supplemento ordinario n. 79 - della legge 18 marzo 2008, n. 48 ha introdotto una serie di modifiche concernenti i reati in materia informatica. Il testo della legge introduce modifiche al codice penale ed al codice di procedura penale relativi a fattispecie di reato in dipendenza di delitti informatici e trattamento illecito di dati.
La legge 48, come riporta il Capo I, ratifica le norme previste dal Consiglio d’Europa sulla criminalità informatica, previste nella Convenzione realizzata a Budapest il 23 novembre 2001. Il codice penale italiano, prima di queste modifiche, prevedeva alcuni articoli introdotti dalla legge 547/1993. L’ordinamento puniva - art. 635 bis - il “Danneggiamento di sistemi informatici e telematici”. La legge 48/2008, oltre a sostituire integralmente nel codice penale l’art. 635 bis, introduce ulteriori tre fattispecie indicate agli artt. 635 ter, 635 quater, 635 quinquies. La modifica ottempera ad una puntuale applicazione di quanto disposto dalla Convenzione che ha distinto nettamente tra danneggiamento dell’integrità dei dati e danneggiamento dell’integrità del sistema (artt. 4 e 5). La disciplina è stata differenziata anche in relazione alla rilevanza pubblica dell’oggetto della tutela, prevedendo per questi casi pene più elevate.
L’introduzione degli artt. 635 ter e 635 quinquies c.p. determinava possibili conflitti con le norme indicate dall’art. 420 c.p., commi 2 e 3 - che hanno come oggetto la tutela agli impianti di pubblica utilità - le cui fattispecie sono molto simili a quelle introdotte dai nuovi articoli. Il problema è stato risolto con l’abrogazione dei commi 2 e 3 dell’art. 420 (art. 6). Oltre al citato art. 635, che è stato completamente riscritto, la legge 48/2008 introduce nel d.lgs. 231/2001 in alcuni casi modificandone il contenuto i seguenti delitti informatici:
1)art. 615 ter c.p., relativo all’accesso abusivo ad un sistema informatico o telematico;
2)art. 615 quater c.p. - che non ha subito modifiche da parte della legge 48 ­in merito alla detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici;
3)art. 615 quinquies che punisce la diffusione di apparecchiature, dispositivi o programmi diretti a danneggiare o interrompere il funzionamento di un sistema informatico. Modificato dalla legge 48/2008 in quanto precedentemente puniva la sola diffusione di programmi e non contemplava i dispositivi;
4)artt. 617 quater e 617 quinquies c.p., relativi alle intercettazioni - anche attraverso l’installazione di apparati - ed all’impedimento o interruzione di comunicazioni informatiche o telematiche;
5)art. 491 bis c.p., riguardante la falsità di un documento informatico;
6)art. 640 quinquies c.p., introdotto ex novo dalla legge 48/2008, che ha come oggetto la frode informatica del soggetto che presta servizi di certificazione di firma elettronica.
È necessario soffermarsi sull’art. 1 della Convenzione, che definisce il concetto di sistema e di dato informatico. La Convenzione di Budapest del 2001 risolve il problema di tale definizione, esistente da anni, esprimendo il concetto: “computer system means any device or a group of interconnected or related devices, one or more of which, pursuant to a program, performs automatic processing of data”. La cui traduzione porta alla seguente definizione di “sistema informatico”: “qualsiasi apparecchiatura, dispositivo, gruppo di apparecchiature o dispositivi, interconnesse o collegate, una o più delle quali, in base ad un programma, eseguono l’elaborazione automatica di dati”. Si tratta di una definizione molto generale che permette di includere qualsiasi strumento elettronico, informatico o telematico, in rete (gruppo di dispositivi) o anche in grado di lavorare in completa autonomia. In questa definizione rientrano anche i dispositivi elettronici che, al giorno d’oggi, sono tutti dotati di un software (o anche solo un firmware) che permette il loro funzionamento elaborando delle informazioni (o comandi). Ad esempio, con questa definizione è possibile inserire come dispositivo tutelato dalla legge un telefono cellulare, uno strumento PDA o un dispositivo elettronico inserito in un  impianto  per  la  produzione industriale. 
Nel  medesimo  articolo  è contenuta anche la definizione di “dato informatico”, che descrive il concetto derivandolo dall’uso: “computer data means any representation of facts, information or concepts in a form suitable for processing in a computer system, including a program suitable to cause a computer system to perform a function”; tradotto letteralmente con la definizione: “qualunque rappresentazione di fatti, informazioni o concetti in forma idonea per l’elaborazione con un sistema informatico, incluso un programma in grado di consentire ad un sistema informatico di svolgere una funzione”. In questo caso la definizione ha dovuto comprendere due argomenti, il dato in senso stretto ed i programmi. Entrambi sono memorizzati in forma digitale di byte all’interno di files ma con due funzioni ben differenti.
I primi sono i dati dell’utente che vengono generati e salvati attraverso l’uso di un applicativo. Per programma (o applicativo) si intende il software. In questa definizione rientrano anche i sistemi operativi, driver3, firmware ovvero tutti quei programmi anche di base che sono presenti su un elaboratore
o apparato elettronico e necessari al loro funzionamento. La differenza tra i files di dati (o informazioni) e di programmi è che sono la rappresentazione digitale di un documento (testo, immagine, archivio, ecc.) realizzato attraverso l’uso di un software. Normalmente ogni documento è contenuto in un singolo file. Il programma invece è un insieme di files, che vengono richiamati gli uni dagli altri a seconda di comandi impartiti dall’utente, contenenti algoritmi in grado di eseguire funzioni.

L’art. 1 della Convenzione riveste un’importanza rilevante in quanto per la prima volta viene chiarita, in modo univoco ed accettato da tutti i Paesi europei che hanno ratificato il trattato, la definizione di un sistema informatico o telematico, di dato e di programma. Per schematizzare la struttura, il sistema informatico è un dispositivo hardware che “contiene” uno o più programmi tra cui obbligatoriamente un sistema operativo con cui si possono gestire i dati. Da questa espressione generale si comprende la ragione del diverso trattamento sanzionatorio: colpire un dato informatico non significa impedire il funzionamento del sistema, colpire quest’ultimo significa impedire l’uso dell’intera struttura e di quanto in essa memorizzato. Di conseguenza deriva la necessità di differenziare, negli articoli del codice penale, gli illeciti che hanno come oggetto la struttura hardware rispetto a quelli relativi ai files (che siano questi contenitori di dati o di programmi).
In questo articolo si intende dare rilievo alla modifica apportata dalla legislazione all’ art. 244 C.p.p. comma 2, secondo periodo: “anche in relazione a sistemi informatici o telematici, adottando misure tecniche dirette ad assicurare la conservazione dei dati originali e ad impedirne l’alterazione”.
L’introduzione di questo concetto nella legislazione italiana fa sì che le attività di perquisizione e sequestro debbano essere condotte attraverso un preciso disciplinare informatico forense. Mentre fin’ora l’adozione di queste tecniche era frutto del semplice scrupolo personale, ora la mancata adozione può far sì che vengano invalidate le prove acquisite.
La prima riflessione va rivolta al materiale che deve essere sequestrato. Considerato che, nella maggior parte dei casi, l’oggetto del sequestro è costituito da dati o programmi ­immateriali -si procede con l’acquisizione di un dispositivo hardware - memoria di massa ­contenente le informazioni.
Per “memoria di massa” si intendono tutte quelle memorie, di qualsiasi tipologia funzionale, atte a memorizzare files al loro interno. Tra queste possiamo annoverare HD, floppy, CD-Rom, DVD, memorie di tipo USB. Durante un’attività di sequestro va tenuto presente che al giorno d’oggi ogni dispositivo informatico o elettronico può essere impiegato come contenitore di dati (navigatore satellitare, lettore MP3, registratori vocali, etc.). Analizziamo ora come deve essere svolta l’attività di sequestro. Differenziamo i casi in cui si procede all’acquisizione di files, rispetto a quando è necessario acquisire l’hardware completo.
Sostanzialmente il sequestro potrebbe essere sempre indirizzato ai soli dati, l’apparato hardware dovrebbe essere prelevato solamente nei casi in cui non si possa procedere alla duplicazione per ragioni di dimensioni e di tempo o nei casi in cui la copia potrebbe non essere sufficiente per la documentazione delle condotte.
La duplicazione deve avvenire con metodologie forensi ovvero attraverso uno copia bit to bit. Questa modalità operativa garantisce la possibilità di ricostruire anche eventuali files eliminati. La duplicazione deve avvenire in parallelo al calcolo di un checksum. Checksum, tradotto letteralmente significa somma di controllo, è una sequenza di bit che viene utilizzata per verificare l’integrità di un dato o di un messaggio che potrebbe subire alterazioni. Il tipo più semplice di checksum consiste nel sommare tutti i byte del messaggio e di memorizzare il valore risultante. Per controllare l’integrità del dato sarà sufficiente effettuare la stessa operazione di somma e confrontarla con il checksum allegato alla presente relazione. Se i due valori coincidono, i dati possono essere considerati privi di qualsiasi alterazione.
I checksum vengono usati in informatica forense per poter garantire che i dati nel tempo non subiscano alterazioni, premettendo il ricalcolo in qualsiasi fase dell’ analisi a garanzia della corretta conservazione dei dati. Sarà ottimale rilasciare un certificato della duplicazione almeno con due formati di calcolo, i più usati sono l’MD5 e l’SHA1.
Nel caso si proceda con la duplicazione dei dati o delle memorie con il calcolo dei certificati, sarà sufficiente documentare nel verbale di perquisizione e sequestro l’esatta descrizione delle memorie originali, della memoria usata per effettuare la copia, del sistema impiegato per la duplicazione ed i relativi certificati.
L’acquisizione di files o memorie può servire in tutti i casi in cui si debbano acquisire files di log, singoli documenti, intere memorie, dati di server non trasferibili, server o PC virtuali, siti WEB, messaggi di posta elettronica, etc. I files risultati saranno memorizzati su DVD-Rom o su Memorie di massa.
Nel primo caso è utile far controfirmare il supporto dai presenti, nel secondo sarà necessario sigillare la memoria di massa garantendola con un adeguato contenitore.
Si presenteranno casi in cui non sarà possibile procedere alla duplicazione della memoria e si renderà necessario dover prelevare tutto l’hardware. In questo specifico caso è indispensabile sigillare il dispositivo hardware in modo che non possa avvenire alcuna accensione o interferenza con il mondo esterno. È consigliato apporre sigilli sugli interruttori e sulle prese di alimentazione, in questo modo si garantisce che il sistema non possa essere acceso o alimentato.
Non potendo procedere al calcolo del checksum nel luogo in cui avviene il sequestro, sarà necessario effettuare questa operazione prima di ogni analisi, convocando le parti indagate, in modo che possano presenziare. Questa attività è indispensabile anche quando le attività peritali venissero svolte in modalità ripetibile. In pratica costituisce la garanzia per l’indagato e per l’Autorità Giudiziaria che i dati acquisiti non subiscano alcun tipo di modifica.
In sostanza per poter garantire l’adozione di misure tecniche dirette ad assicurare la conservazione dei dati originali e ad impedirne l’alterazione come previsto dalla nuova legislazione si hanno due alternative. La prima è di porre un sigillo informatico ai dati in presenza dell’indagato sul luogo del sequestro ed acquisire i soli dati di interesse alle indagini. Il secondo è di differire questa operazione acquisendo tutto l’hardware che contiene i dati utili, sigillandolo e rendendo impossibile qualsiasi alterazione fino al momento in cui avvenga l’operazione tecnica con appositi dispositivi informatici.
Nei casi in cui si ponga in Giudiziale Sequestro attrezzature particolarmente complesse è necessario procedere nel verbale di sequestro ad una descrizione delle connessioni che il sistema ha con altri dispositivi e soprattutto descrivere i software attivi e la loro configurazione. Meglio di tutto è procedere anche ad un rilievo fotografico dei sistemi interconnessi tra loro, prima della loro rimozione.
La modifica legislativa implica una maggior attenzione nelle operazioni di sequestro. La sola accensione di un dispositivo dopo l’acquisizione, senza l’impiego di apposite tecnologie che ne evitano l’alterazione, provoca una modifica del contenuto di una qualsiasi memoria. Si può passare dalla semplice modifica di una data, che avviene ogni volta che si accende un PC, fino ad eliminare dei dati per azione di automatismi messi in pratica dall’indagato. Per loro natura i dati sono volatili e devono essere trattati con la massima cura per evitare qualsiasi intervento esterno.