Slides relative al seminario tenuto dall'Avv. Marco Tullio Giordano il 18 Novembre 2016 per il Corso di Informatica Giuridica dell'Università degli Studi Milano-Bicocca.
Il seminario ha avuto ad oggetto le evoluzioni tecniche ed i progetti normativi inerenti l'utilizzo a fine di indagini dei captatori informatici.
Computer forensics: utilizzabilità ed analisi della prova digitale
Avv. Marco Tullio Giordano - Dal Trojan di Stato al Captatore Informatico
1. Dal Trojan di Stato
al Captatore Informatico
Evoluzioni tecniche e normative
Avv. Marco Tullio Giordano
Università degli Studi di Milano Bicocca
Corso di Informativa Giuridica
Prof. Andrea Rossetti
18 Novembre 2016
2. OSTACOLI E LIMITI DELLE INDAGINI TELEMATICHE A DISTANZA
GIURISDIZIONE e PROCEDURA (vedi M.L.A.T.)
LIMITI TECNOLOGICI (Apple, Whatsapp, Telegram)
IDENTIFICAZIONE e CAMUFFAMENTO (proxy, TOR)
CIFRATURA DEL SISTEMA E DEI DATI
3. SOLUZIONE ALTERNATIVA: IL CAPTATORE INFORMATICO
INTERCETTAZIONE LIVE IN
MANIERA SILENTE DELL’INDAGATO
REGISTRAZIONE DI OGNI
COMUNICAZIONE IN ENTRATA ED
USCITA, POSIZIONE GPS, PAGINE
VISITATE
PERICOLI:
CANCELLAZIONE,INOCULAZIONE O
MANOMISSIONE DI PROVE E
REPERTI
5. Fase I: L’INOCULAZIONE DEL MALWARE
1
• Studio delle abitudini del target
2
• Predisposizione del pacchetto
3
•Il malware si attiva una volta che l’obiettivo apre una semplice email,
scarica un file, si collega a una rete wifi precedentemente attaccata
4
•A questo punto il trojan infetta il computer o il telefonino rimanendo
nascosto
6. Fase II: ESECUZIONE DELLE FUNZIONI DEGLI SPYWARES
1
• Connessione con un server civetta
2
• Trasmissione dei dati intercettati (chat, pagine,
mail, gps)
3
•Possibilità di perquisizioni a distanza
4
•Possibilità di attivazione di microfono e webcam
7. MA SI TRATTA REALMENTE DI UNA NOVITA’?
Preoccupa la capacità di “captare” ogni tipo di informazione anche potenzialmente
estranea alle indagini e in grado di violare la riservatezza di soggetti terzi all’attività
investigativa
Tuttavia, la diffusione dello strumento e l’utilizzo indiscriminato da parte
dell’autorità giudiziaria costituisce indubitabilmente un elemento di forte
preoccupazione
L’utilizzo di tecniche e procedure solitamente “illecite” non è una novità nel nostro
ordinamento (cfr. l’attività sotto copertura, gli agent provocateurs, i siti civetta, le
intercettazioni con finalità di intellingence)
8. BREVE STORIA DEL TROJAN DI STATO
• Cass., Sez. V, 14 ottobre 2009, Virruso, n. 24695
• Cass., Sez. VI, 27 novembre 2012, Bisignani, n. 254865
• Il Cass., Sez. VI, 26 maggio 2015, Musumeci, 2015, n. 27100
9. 2009 – CASO VIRRUSO
La prima pronuncia risale al 2009 e nelle motivazioni, la Suprema
Corte (Cass., Sez. V, 14 ottobre 2009, Virruso, n. 24695)
non ha ravvisato nel captatore alcun tipo di intercettazione
sulla base dell’assunto che l’attività investigativa era consistita nel
prelevare e copiare documenti memorizzati sull’hard disk
dell’apparecchio in uso all’indagato e non aveva avuto ad
oggetto un “flusso di comunicazioni”, ma “una relazione
operativa tra microprocessore e video del sistema
elettronico”.
10. 2012 – BISIGNANI P4
A distanza di tre anni, una nuova pronuncia della Suprema Corte
(Cass., Sez. VI, 27 novembre 2012, Bisignani, n. 254865)
conferma questo orientamento in un procedimento penale
decisamente più noto, in quanto l’indagine ha riguardato il caso
“Bisignani” relativo ad un'inchiesta giudiziaria su una presunta
associazione a delinquere che avrebbe operato nell'ambito della
pubblica amministrazione con finalità corruttive.
Anche in questo caso, non si è ritenuto necessario procedere
attraverso un’autorizzazione da parte del Giudice, ma è stato
ritenuto sufficiente un decreto del Pubblico Ministero.
11. 2015 – MUSUMECI
Ci sono voluti ulteriori tre anni perché venissero messi in discussione questi
due precedenti della Suprema Corte.
Nel 2015, la Corte di Cassazione (Cass., Sez. VI, 26 maggio 2015,
Musumeci, 2015, n. 27100) ha sancito che gli elementi acquisiti attraverso
l’utilizzo dello strumento del captatore informatico rientrano nel novero delle
“intercettazioni ambientali” e che le stesse devono avvenire in luoghi ben
circoscritti e individuati ab origine e non in qualunque luogo si trovi il
soggetto.
Tale sentenza riguardava un delicato caso di associazione a delinquere di
stampo mafioso e ha destato molti dibattiti a livello nazionale.
12. LA QUESTIONE ALLE SEZIONI UNITE
A distanza di meno di un anno, in un caso analogo, si è deciso di rimettere la
questione alle Sezioni Unite
(Cass., Sez. Un., 1 luglio 2016, Scurato, n. 26889).
Il quesito posto è stato il seguente:
“E’ possibile l’intercettazione tra presenti mediante l’installazione di un
captatore informatico in dispositivi elettronici portatili (smartphone, tablet o
laptop) anche nei luoghi di privata dimora, pur non singolarmente individuati
e anche se all’interno degli stessi non viene commessa alcuna attività
criminosa?”
13. L’INTERVENTO DELLE SEZIONI UNITE
Le Sezioni Unite hanno espressamente previsto tale facoltà ove il reato sia di
particolare gravità e rientri nel concetto di a delitti di criminalità organizzata, anche
terroristica, ex art. 51, commi 3-bis e 3-quater, c.p.p.
In sostanza quasi ogni tipo di associazione a delinquere e non solo quello di stampo
mafioso è in grado di giustificare l’utilizzo di un captatore informatico.
Le motivazioni che hanno spinto a prendere questa decisione riguardano il fatto che,
secondo l’interpretazione della Corte, l’intercettazione tramite c.d. virus informatico
prescinde dal riferimento al luogo, trattandosi di un’intercettazione ambientale per
sua natura “itinerante”.
14. Oltre alla giurisprudenza, nell’ultimo anno in Italia si sono susseguiti
quattro progetti di legge per formalizzare lo strumento investigativo del
captatore informatico nell’ambito del codice di procedura penale italiano.
LE PROPOSTE DI LEGGE
15. Primo tentativo: Legge 17 aprile 2015 n. 43
Il primo progetto è stato presentato all’interno di della legge in tema di contrasto
al terrorismo (legge 17 aprile 2015 n. 43).
In questo progetto di legge è stato fatto un maldestro tentativo di aggiungere
all’interno dell’articolo 266-bis che disciplina l’intercettazione telematica, la
possibilità di effettuare tale tipo di attività “anche attraverso l’impiego di
strumento o di programmi informatici per l’acquisizione da remoto delle
comunicazioni e dei dati presenti in un sistema informatici”.
16. Primo tentativo: Legge 17 aprile 2015 n. 43
Tale emendamento è stato fortunatamente criticato da molti parlamentari e
dallo stesso Primo Ministro, in quanto inseriva la possibilità di effettuare attività
assolutamente invasive nei confronti dei cittadini senza alcuna garanzia di
legge se non quella di considerare tale strumento come una mera
intercettazione telematica.
17. Progetto di Legge “Greco”
Stessa sorta è subita al Progetto di Legge “Greco” del 2 dicembre 2015.
Nel fervore dei proclami di guerra al terrorismo, successivi agli attacchi sferrati
nelle capitali europee ed in particolare a Parigi, Gaetana Grego (PD) ripropone
l’idea di giustificare ogni attività invasiva dei dispositivi informatici con
l’inserimento di un apposito comma nell’art. 266 bis relativo alle intercettazioni
telematiche.
18. EMENDAMENTI ATTUALMENTE IN DISCUSSIONE
All’inizio del 2016 si sono sviluppati due progetti di legge:
1. Emendamento “Casson”
2. Proposta “Quintarelli”
Sembrano avere un diverso approccio rispetto a quelli dell’anno precedente.
Anche se ancora in discussione e non in versione definitiva, ciò che emerge è
la necessità di regolare tale strumento.
19. PROPOSTE DI REGOLAMENTAZIONE
1
• Limitazione dell’utilizzo dello strumento solo per i reati più
gravi
2
• Necessaria autorizzazione del Giudice per le indagini
preliminari e non del Pubblico Ministero
3
• Possibilità di notifica ritardata all’indagato in caso di
sequestro informatico
4
• Facoltà di quest’ultimo di analizzare i dati sequestrati in
contradditorio con il Pubblico Ministero
20. PROPOSTE DI REGOLAMENTAZIONE
5
• Istituzione di un processo di certificazione dei captatori autorizzati all’uso e
presenti sul mercato attraverso sistemi idonei di verifica che garantiscano
imparzialità e segretezza
6
• Diritto per la difesa di ottenere la documentazione relativa a tutte le operazioni
eseguite tramite captatori e di verificare tecnicamente che i captatori in uso siano
certificati
7
• Disinstallazione dei programmi al termine dell’uso autorizzato, anche fornendo
all’utente le informazioni necessarie a provvedervi autonomamente in alcuni casi
8
• Necessità di indicare fin dalla fase autorizzativa dello strumento, quali moduli
saranno installati e quali di essi saranno attivati
21. CONSIDERAZIONI FINALI
Come si può notare, dalla sentenza del 2009 e dai progetti del
2015, è stato fatto un percorso finalizzato a rendere l’utilizzo
del captatore informatico rispettoso dei diritti fondamentali
dell’indagato garantiti dalla Costituzione Italiana e della
Convenzione Europea per la salvaguardia dei diritti dell’uomo.
22. CONSIDERAZIONI FINALI
Quale che sia il futuro della giurisprudenza e della legislazione
sul punto è difficile prevederlo, ma è certo che questo nuovo
strumento investigativo nei prossimi anni sostituirà
progressivamente la tradizionale intercettazione telefonica
offrendo tuttavia un volume di informazioni decisamente più
rilevante.
Forse proprio per questa ragione, in Francia, Spagna,
Portogallo e, ultimanente, anche in Finlandia ed Estonia sono
state adottate delle legislazioni nazionali che ne hanno
consentito, ma anche regolamentato l’utilizzo.
23. GRAZIE
Avv. Marco Tullio Giordano
marco.giordano@replegal.it
https://it.linkedin.com/in/marcogiordano
Notas do Editor
Ipotesi di attività non finalizzate specificamente ad esportare il patrimonio informativo aziendale, ma ugualmente capaci di paralizzare l’attività aziendale o a disperdere/danneggiare il know how
Il captatore informatico è un Rootkit, un pacchetto offensivo in grado di infettare ogni tipo di device (dai computer, ai tablet, agli smartphone): trojan + spywares
Schema di decreto delegato attuativo della legge n. 183/2014 (cd. “Jobs Act”), adottato in sede preliminare dal Consiglio dei Ministri l’11 giugno 2015.
L’art. 23 del decreto prevede che l'accordo sindacale o l’intervento dell’Ispettorato del lavoro non siano più necessari per effettuare un’attività di controllo dei lavoratori dipendenti su strumenti come laptop, tablet, cellulari e quant’altro anche se consentano una sorveglianza a distanza dell’attività lavorativa. Tale controllo è limitato esclusivamente a finalità organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale
La formazione dovrebbe essere effettuata regolarmente e dovrebbe focalizzarsi su benefici, opportunità e potenziali rischi connessi all'utilizzo degli strumenti informatici
Particolare enfasi dovrebbe essere posta sui metodi di Social Engineering, sugli exploit più comuni e sulle minacce alla privacy che presentano i Social Media, in modo di aumentare la consapevolezza dei rischi diffusa in azienda. Questa consapevolezza è, in sé stessa, una contromisura assai importante, soprattutto se si estende anche alle figure apicali dell’organizzazione.
Le relazioni con gli utenti esterni - clienti o potenziali clienti - devono essere considerate senza escludere a priori nessuno scenario tra quelli possibili: una catalogazione dei rischi specifici consente di avere un riferimento, seppur molto generale, con cui confrontarsi.