La digital forensics quale scienza di investigazione dei cybercrime e strumento di garanzia della cybersicurity

 

La Digital Forensics quale metodo di investigazione dei cybercrime

La digital forensics (investigazione digitale forense) consiste nell’uso di metodi scientificamente provati per l’attività di:

  • raccolta e conservazione;
  • convalida e identificazione;
  • analisi e interpretazione;
  • documentazione;
  • presentazione

 

di dati digitali, derivanti da dispositivi informatici utilizzati per commettere un reato, ed in particolare cybercrime e transnational cybercrime[1].

Al centro di ogni investigazione digitale forense vi sono le cc.dd. prove digitali, ovverosia un qualsiasi dato digitale contenente informazioni utilizzabili per supportare o confutare l’ipotesi di reato.

La disciplina della digital forensics trova delle sue ramificazioni nella:

  • computer forensics,
  • memory forensics,
  • network forensics,
  • multimedia forensics,
  • mobile forensics e
  • drone forensics[2].

 

L’attualità della criminalità informatica e la Convenzione di Budapest del 2001

Alla luce di quanto detto, il problema che la scienza della digital forensics si pone è come indagare sui crimini che coinvolgono i dispositivi informatici, ancor più se si tratta di cybercrime o transnational cybercrime. Tale esigenza nasce dal fatto che oltre ai siti internet che quotidianamente vengono consultati (c.d. surface web)[3], vi è una parte di deep web[4] che costituisce circa il 96% dell’attività svolta in internet e il cui contenuto fa riferimento ad articoli accademici, risorse governative, documenti finanziari, documenti medici, atti di organizzazioni. Di questo 96%, tuttavia, il 6% costituisce il c.d. dark web al cui interno si trovano atti riconducibili soprattutto ai transnational cybercrime (nella forma di terrorismo, warfare, vendita di armi, riciclaggio, furti di identità)[5].

Visto il rilevante incremento di tali atti, nell’ambito del Consiglio d’Europa è stata adottata la Convenzione sulla criminalità informatica. Essa fu firmata a Budapest nel 2001 ma entrò in vigore il 01/07/2004 al raggiungimento delle cinque ratifiche necessarie[6].  La Convenzione è il primo trattato internazionale sugli illeciti penali commessi via internet e su altre reti informatiche, disciplinando in particolare le violazioni dei diritti d’autore, la frode informatica, la pornografia infantile e le violazioni della sicurezza della rete. Contiene inoltre una serie di misure e procedure di investigazione appropriate, quali la perquisizione dei sistemi di reti informatiche e l’intercettazione dei dati. Il suo obiettivo principale, enunciato nel Preambolo, è perseguire una politica penale comune per la protezione della società contro la cybercriminalità, in special modo adottando legislazioni nazionali ad hoc e promuovendo la cooperazione internazionale in tale materia. Con la l. 48/2008, l’Italia ha ratificato e dato piena ed intera esecuzione alla Convenzione di Budapest[7], introducendo modifiche al codice penale, al codice di procedura penale, alla l. 231/2001 e alla l. 196/2003[8].

Queste nuove fonti giuridiche in materia si rendono necessarie a causa di un’evoluzione che dagli anni ’70 ha investito il cybercrime: fino al nuovo millennio si trattava di attacchi diretti contro sistemi e reti; negli ultimi 20 anni, invece, sono diventate vittime specifiche degli attacchi cyber anche e soprattutto gli individui. Quest’ultima fase, infatti, è caratterizzata dalla manipolazione dei social media e dal furto o dall’acquisto dei dati personali, a seguito di un’accurata selezione delle vittime in base al loro orientamento politico, sessuale, religioso, sociale. Il pericolo è intensificato quando le organizzazioni criminali transnazionali minacciano reti e infrastrutture sensibili delle imprese e del governo, mettendo a rischio la sicurezza del sistema-Paese.                                                                      Alla luce di ciò, la scienza della digital forensics diventa necessaria non solo per verificare l’esistenza e l’entità del reato, ma anche per proteggere la sicurezza dello Stato e dei suoi cittadini.

 

Il Workflow della Digital Forensics

L’attività di digital forensics è costituita da un vero e proprio modello di lavoro ripetibile, le cui fasi mirano all’organizzazione sistematica dei dati informatici presenti nel dispositivo investigato. L’innesco del workflow è la denuncia o la segnalazione dell’attività illecita attraverso le forme di notizia di reato previste dagli ordinamenti interni[9].

A ciò segue un procedimento di investigazione che costituisce il momento più importante di tale modello. Esso consta di cinque fasi che vengono attuate consecutivamente:

  1. identificazione,
  2. raccolta (o acquisizione),
  3. ispezione,
  4. analisi,
  5. presentazione.

 

Le fasi del Workflow, nello specifico

In particolare, l’identificazione consente di individuare i dispositivi informatici che potrebbero contenere prove digitali: tale attività non è sempre agevole per le molteplici forme che i dispositivi possono assumere[10]. Individuato il dispositivo, segue la ricerca del dato informatico al suo interno: se il sistema non è in fase di attività, esso va avviato; una volta che il sistema è attivo, va verificata la presenza di memorie volatili che potrebbero andar perse se il sistema si spegnesse. Il dato informatico, affinché possa costituire una prova all’interno del processo penale, deve essere acquisito senza alcun tipo di alterazione: la ratio è quella di preservare la genuinità della prova e la maggiore difficoltà si riscontra quando gli hardware o i dati sono danneggiati. Per evitare eventuali compromissioni dei dati originali, con conseguente alterazione della prova e sua inutilizzabilità in giudizio, è necessario lavorare su copie “esatte” dei dati. Inoltre, è possibile iniziare ad analizzare il contenuto della copia, solo dopo che l’autorità giudiziaria si sia determinata, seppur in maniera generale ab initio, circa il fatto illecito, di modo da individuare i dati digitali rilevanti ad accertarne l’esistenza ed eventualmente la sua entità e favorire, se del caso, la formulazione di un’accusa più dettagliata. Questa esigenza di selezione dei dati sorge per tutelare la riservatezza dell’autore, dal momento che il suo dispositivo sicuramente contiene informazioni sensibili che possono essere visionate solo su autorizzazione dell’autorità titolare dell’indagine. La fase di analisi, più nello specifico, consente di redigere una timeline che ricostruisca in ordine cronologico le attività di un cybercriminale.

A questo punto, ai fini della sua utilizzabilità in giudizio, il digital foresicser dovrà produrre un verbale contenente il risultato dell’investigazione, così da presentarlo (anche oralmente, se previsto dalle norme interne di procedura) dinnanzi al giudice. Il workflow della digital forensics, dunque, si conclude con la possibile acquisizione in dibattimento del dato digitale che, nei casi di cybercrime, costituisce lo strumento probatorio decisivo ai fini della decisione del giudice circa la colpevolezza o la non colpevolezza dell’imputato.

 

La Digital Forensics e la Cybersecurity

Si è detto in apertura che la commissione di transnational cybercrime può mettere in grave pericolo la sicurezza del sistema-Paese. Tale rischio è rilevabile, per esempio, quando l’attività di attacco avviene mediante l’uso di droni utilizzati per il contrabbando, la violazione della privacy e lo spionaggio di individui, imprese ed enti governativi. Al fine di investigare tali tipi di atti illeciti, sempre più frequenti[11], viene utilizzata la drone forensics, il cui obiettivo fondamentale è quello di ricostruire il tragitto del drone ed analizzare il contenuto della sua memoria.

Alla luce di questi attacchi alla sicurezza nazionale anche l’Unione europea ha adottato alcuni atti volti alla protezione dei sistema-Paese: si pensi alla Risoluzione del Parlamento europeo del 12 giugno 2012, al documento finale sulla “Strategia dell’Ue per la cybersicurezza” del 2013, alla Direttiva 1148/2016, al Regolamento 881/2019[12]. L’obiettivo degli Stati membri è quello di proteggere la rete, i sistemi di informazione e la riservatezza degli utenti[13]. Pur riconoscendo che spetta in primo luogo agli Stati membri la competenza ad affrontare le sfide di sicurezza nel cyberspazio, l’Unione europea ha individuato interventi specifici che possono rafforzare la sua efficienza complessiva. Le priorità cyber-strategiche dell’Unione si sintetizzano in:

  • cyberresilienza,
  • riduzione e accertamento del cybercrimine,
  • sviluppo di una politica di cyberdifesa,
  • sviluppo di risorse industriali e tecnologiche per la cybersicurezza,
  • anticipazione del rischio cyber,
  • creazione di una politica internazionale dell’Ue sul cyberspazio che promuova i suoi valori costitutivi[14].

 

Le fonti europee in materia sono solo alcuni degli esempi con cui gli ordinamenti cercano di fronteggiare il pericolo di attacco alla propria sicurezza. A tale scopo per gli Stati diventa sempre più ineludibile l’esigenza di creare una cyberdiplomacy che, oltre allo sfruttamento delle opportunità volte alla promozione del Paese, si incentri sull’aspetto difensivo dei dati da cui dipende la sicurezza della Nazione. In questo senso la digital forensics, non solo rappresenta una scienza utile per l’accertamento del crimine, ma serve anche quale strumento di prevenzione dello stesso.

Informazioni

Alexandrou, Alex. “10 Cybercrime”, International and Transnational Crime and Justice (2019).

Faga, Hemen Philip. “The implications of transnational cyber threats in international humanitarian law: analysing the distinction between cybercrime, cyber attack, and cyber warfare in the 21st century“, Baltic Journal of Law & Politics 10.1 (2017).

Choo, Kim-Kwang Raymond, and Russell G. Smith. “Criminal exploitation of online systems by organised crime groups”, Asian journal of criminology 3.1 (2008).

Årnes, André (Editor). “Digital forensics.” John Wiley & Sons, 2017 (Chapters 1, 2).

Garfinkel, Simson L. “Digital forensics research: The next 10 years.” digital investigation 7 (2010).

Barton, Thomas Edward Allen, and MA Hannan Bin Azhar. “Open source forensics for a multi-platform drone system.” International Conference on Digital Forensics and Cyber Crime. Springer, Cham, 2017.

[1] Così in Årnes, André (Editor), Digital forensics“, John Wiley & Sons, 2017 (Chapters 1, 2).

[2] In ragione del “contenitore” in cui è situato il dato informatico oggetto di investigazione.

[3] Facebook, Twitter, Instagram, Netflix, motori di ricerca vari, etc.

[4] Attenzione a non confondere deep web con darknet. Su quest’ultimo si veda:  https://www.dirittoconsenso.it/2019/02/06/la-darknet-e-il-mercato-della-droga/

[5] Fonte: La Repubblica, Tecnologia e sicurezza, 21/02/2019.

[6] Informazioni reperibili sul sito ufficiale del Consiglio d’Europa https://www.coe.int/it/web/conventions/full-list/-/conventions/treaty/185

[7] Appare degno di nota che, tra i membri del Consiglio d’Europa, l’unico Stato non firmatario della Convenzione è la Federazione Russa, mentre Irlanda e Svezia pur risultando come Stati firmatari non hanno mai proceduto alla sua ratifica.

[8] Per prendere visione della legge di autorizzazione alla ratifica e contenente l’ordine di esecuzione: https://www.camera.it/parlam/leggi/08048L.htm

[9] Per l’ordinamento italiano, si veda l’art. 347 c.p.p.

[10] Si pensi ad una pennetta usb che assume la forma di un tappo di sughero.

[11] Per esempio nel 2017 il cartello messicano ha provato a contrabbandare droga attraverso i droni.

[12] Da ultimo, in maniera più generale, si pensi alla “Strategia digitale europea” del 2020. Per un maggiore approfondimento si veda https://www.dirittoconsenso.it/2020/07/11/la-strategia-digitale-europea/

[13] Cfr. art. 2 reg. Ue 881/2019.

[14] Cfr. Strategia dell’Ue per la cybersicurezza” del 2013.