Da quando nel 1991 il CERN (Centro Europeo di Ricerca Nucleare) annunciò la nascita del World Wide Web, la tecnologia e la trasformazione digitale hanno avuto una costante accelerazione entrando prepotentemente nella vita e nel quotidiano della popolazione mondiale. La riduzione dei costi di produzione che ha consentito la diffusione dei personal computer, l’avvento dei telefoni cellulari e la loro evoluzione in smartphone, ha proiettato gli utenti nel cyberspazio e, la nascita del concetto di social network con l’avvento di Facebook nel 2004, ha dato inizio ad una sorta di vita parallela in un mondo “virtuale” dalle immense potenzialità ma nel contempo ad un mondo ricco di insidie che proliferano nella c.d. ”ignoranza digitale” che in moltissimi casi, sconfina in quello che può essere definito un vero e proprio “analfabetismo digitale”.
La proliferazione dei reati informatici
Ad ottobre del 2020, a fronte di una popolazione mondiale di 7,81 miliardi di persone, gli utilizzatori di telefoni cellulari erano 5,20 miliardi e gli utenti di internet 4,66 miliardi. Il dato più significativo, rilevato nel Global Digital Report, è tuttavia quello che gli utilizzatori di social network hanno superato per la prima volta i 4 miliardi di persone toccando i 4,14 miliardi, con una crescita nell’ultimo anno di oltre il 12%. Persone fisiche di molteplici fasce di età e di ogni contesto socioculturale, ma anche persone giuridiche e quindi piccole, medie e grandi imprese, enti pubblici e privati: una sconfinata miniera di informazioni e dati personali che troppo spesso vengono inconsapevolmente o inconsciamente pubblicati dagli utenti con particolare riferimento all’uso dei social. Oggi, moltissime attività quotidiane sono legate alla tecnologia e sono quindi esposte alle conseguenze di un possibile attacco informatico. Le strumentazioni informatiche assumono un ruolo da protagoniste dalle attività produttive delle imprese alla gestione della domotica nelle abitazioni private e negli uffici; dalla gestione dei conti correnti bancari alle attività di tempo libero. In questo interminabile terreno arato e fertile, proliferano i reati informatici quali, ad esempio, reati di natura comune come molestie, minacce, estorsioni, atti persecutori, diffamazione, compravendita di beni o servizi illeciti, frodi, scommesse illegali, reati pedopornografici, ma anche furto di dati personali e aziendali, danneggiamento di sistemi informatici o telematici, sostituzione di persona ed altri.
La Convenzione di Budapest sulla Criminalità Informatica
Al fine di perseguire una politica penale comune per la protezione della società contro la cybercriminalità, adottando legislazioni appropriate e promuovendo la cooperazione internazionale, il 23 novembre 2001 a Budapest è stato aperto il primo trattato internazionale del Consiglio d’Europa sulle infrazioni penali commesse via internet e su altre reti informatiche. La cosiddetta “Convenzione di Budapest” (Convenzione sulla criminalità informatica) tratta in particolare le violazioni dei diritti d’autore, la frode informatica, la pornografia infantile e le violazioni della sicurezza della rete. Contiene inoltre una serie di misure e procedure appropriate, quali la perquisizione dei sistemi di reti informatiche e l’intercettazione dei dati. Nel nostro Paese, dopo un primo significativo provvedimento normativo finalizzato a punire i crimini informatici, in tema di “modificazioni e integrazioni alle norme del Codice Penale e del Codice di Procedura Penale in tema di criminalità informatica” (legge 23 dicembre 1993 n.547), la “Convenzione di Budapest” del 2001 è stata ratificata con la legge 18 marzo 2008 n.48, che ha apportato modifiche sostanziali al Codice di Procedura Penale, in particolar modo sui mezzi di ricerca della prova e acquisizione dei dati informatici, configurando altresì nuove figure di reato. Possiamo dire che la legge 18 marzo n.48 ridefinisce e riscrive il quadro dei reati cibernetici basandosi su un modello internazionale di riferimento ed introduce delle definizioni fondamentali quali: sistema informatico, dato informatico, service provider e trasmissione dati, distinguendo il sistema informatico dal sistema telematico. Altro fondamentale quanto necessario cambiamento apportato dalla ratifica della “Convenzione di Budapest”, al fine di uniformare ed allineare gli sforzi di lotta al cybercrime a livello internazionale, è stato l’inserimento di reati che gli stati membri sono obbligati a contemplare nel proprio ordinamento aggiungendo inoltre l’art. 24 bis del D.Lgs 231/2001 (delitti informatici e trattamento illecito di dati) che inserisce vari reati informatici, prima assenti, tra i reati presupposto della responsabilità amministrativa delle società e degli enti. Dal momento che le condotte illecite ricollegabili in qualche modo al mondo dell’informatica e del web sono molteplici, i reati informatici vengono comunemente suddivisi in due categorie: “reati informatici propri” e “reati informatici impropri”. I primi sono caratterizzati da fatti penalmente rilevanti nei quali la condotta criminosa ha per forza di cose ad oggetto dei sistemi informatici, come ad esempio l’accesso abusivo ad un sistema informatico o telematico (art.615 ter c.p.). I reati informatici impropri, invece, sono reati “comuni” che vengono tuttavia commessi mediante l’utilizzo di strumenti informatici, come ad esempio la truffa realizzata on line, la diffamazione via Internet, ecc. Con l’ormai capillare presenza a livello mondiale di Internet è aumentata esponenzialmente la possibilità di aggredire non soltanto i beni giuridici tradizionali, quali ad esempio: l’onore e la reputazione, il patrimonio, la proprietà intellettuale, ecc., ma anche dati personali, nonché l’integrità e la riservatezza informatica che il legislatore ha giustamente reputato di tutelare dal punto di vista penale.
Negli ultimi mesi, l’emergenza sanitaria a livello mondiale “Covid-19” ha rapidamente cambiato le modalità operative di un macroscopico numero di aziende, le quali hanno dovuto riorganizzare la loro attività “a distanza”. Miliardi di persone nel mondo stanno lavorando da casa utilizzando servizi di teleconferenza ed in moltissimi casi collegandosi alle loro postazioni di lavoro, ancora presenti in azienda, mediante applicazioni di desktop remoto. È implicito che l’infrastruttura digitale di oggi debba rimanere funzionale, resistente e impenetrabile in un momento in cui è maggiormente sotto stress, non solo per l’uso eccessivo e il carico di dati, ma anche per i cyber attacchi. La società israeliana Check Point Software (Cps), specializzata nella sicurezza informatica, ha stimato che il numero totale di attacchi informatici segnalati a livello globale è passato dai 200 pre-pandemia a oltre 5.000 al giorno e i danni relativi alla criminalità informatica potrebbero arrivare a costare fino a 6.000 miliardi di dollari l’anno entro la fine del 2021. In questo contesto aumentano le denunce sporte da piccole e medie imprese che lamentano di aver subito una violazione della sicurezza e, in moltissimi casi, di aver subito il blocco dell’operatività e la crittografazione dei dati a causa di un ransomware che è un tipo di software dannoso utilizzato per perpetrare un’estorsione. Quando un dispositivo viene attaccato con successo, blocca lo schermo o crittografa i dati memorizzati sull’unità. Nella maggior parte dei casi il ransomware informa la vittima dell’attacco visualizzando una richiesta di denaro per ripristinare i dati allo stato precedente, una vera e propria richiesta di riscatto.
Dal punto di vista giudiziario si configura in tal modo, oltre ai reati di cui agli artt. 615 ter, 615 quinquies e 635 bis c.p., per l’accesso abusivo e danneggiamento di dati, anche il reato di estorsione. A maggio 2020, “Repubblica.it” ha pubblicato un articolo nel quale si stimava che il 41% delle aziende italiane aveva subìto un attacco ransomware nell’ultimo anno. Oltre che per quelli aziendali, anche tra gli utenti privati è sempre più diffusa una particolare tipologia di truffa (art. 640 ter c.p.) realizzata sulla rete Internet che viene denominata phishing. La truffa viene realizzata principalmente attraverso messaggi di posta elettronica. In pratica la vittima riceve una e-mail che, in maniera ingannevole, mostra quale mittente un istituto finanziario, una banca o una società emittente di carte di credito oppure un sito web che richiede l’accesso previa registrazione. Nel messaggio vengono rappresentate problematiche di varia natura, che possono essere risolti o chiariti dal destinatario al quale viene offerta e suggerita l’opportunità di accedere ai servizi mediante l’inserimento delle proprie credenziali. Nel corpo del messaggio viene solitamente riportato un link che rimanda falsamente al sito web dell’istituto di credito o del servizio a cui si è registrati ma che nella realtà non corrisponde al vero sito web bensì ad un suo clone artatamente creato ed identico a quello originale (pharming). Nel momento in cui la vittima andrà ad inserire le sue credenziali, queste saranno nella disponibilità dei criminali. I criminali informatici si avvalgono altresì di malware al fine di carpire informazioni personali e credenziali di accesso a servizi a cui la vittima è registrata. La modalità di infezione più comune è il classico allegato al messaggio di posta elettronica. Oltre i file eseguibili, i virus si diffondono in documenti di Word o in formato “pdf”, come ad esempio false fatture, contravvenzioni o avvisi di consegna pacchi. Tra i più diffusi e pericolosi malware si evidenzia il cosiddetto “trojan banking” creato per carpire dati finanziari. È bene comprendere che nessun Istituto Bancario invierà mai messaggi di questo tenore utilizzando altri canali per la comunicazione con i propri clienti.
L’autenticità e l’attendibilità della prova digitale
Come già spiegato, la legge 18 marzo 2008 n. 48 ha segnato un radicale cambiamento nella procedura penale soprattutto dal punto di vista delle modalità operative adottate in fase d’indagine ed acquisizione della prova. Si è voluto standardizzare a livello internazionale non soltanto la modalità di presentazione di un documento informatico nell’ambito di un procedimento penale, in qualunque grado di giudizio, ma sono state concordate ed unificate le misure procedurali da adottare nella ricerca, all’atto dell’acquisizione della prova informatica nonché alla sua custodia e conservazione, affinché possa essere ritenuta valida ed utilizzabile ai fini probatori. L’aspetto più delicato ruota attorno all’esigenza di garantire la genuinità della prova digitale, come già traspariva nella Raccomandazione R (95) del 13 settembre 2001 firmata dal Comitato dei Ministri del Consiglio d’Europa, antesignano della Convenzione, nella quale si sottolinea l’esigenza “to collect, preserve, and present electronic evidence in ways that best ensure and reflect their integrity and irrefutable authenticity (…) should be recognized” (art. 13).
Il Codice dell’Amministrazione Digitale definisce il documento informatico come “rappresentazione informatica di atti, fatti o dati giuridicamente rilevanti” in contrapposizione al documento analogico “rappresentazione non informatica di atti, fatti o dati giuridicamente rilevanti”, definizione già esplicata nel DPR 513/1997. Quando facciamo riferimento ad un documento informatico, assume subito rilevanza il concetto di originale e di copia. Digitalmente parlando questi due termini non hanno alcuna differenza dal momento che un documento digitale è sempre lo stesso, indipendentemente ed a prescindere dal numero di copie che vengono effettuate dello stesso, dal momento che essendo una sequenza numerica binaria replicabile in un numero infinito di copie. In realtà in ambito forense la copia di un documento digitale è giuridicamente rischiosa. La mera accensione di un dispositivo elettronico, il collegamento di un supporto di memoria di massa o il semplice accesso ad un file concretizza il rischio di un’alterazione del documento in relazione al mantenimento della sua autenticità ed attendibilità.
Il legislatore a seguito della ratifica della Convenzione di Budapest già più volte menzionata, ha apportato sostanziali modifiche al Codice di Procedura Penale aggiornando parte delle disposizioni in tema di mezzi di ricerca della prova, facendo espresso riferimento a “sistemi informatici o telematici” e prescrivendo in maniera esplicita che le attività di raccolta della prova debbano assicurare la conservazione dei dati originali e la non alterabilità dei dati stessi. Le tecniche informatiche divengono un tutt’uno con le norme giuridiche nella sfera delle scienze forensi. In altri termini, “il processo di identificare, preservare, analizzare e presentare la prova digitale deve rappresentarsi come accettabile in un procedimento legale o in un contesto legale” e deve quindi essere conforme alle prescrizioni dettate dal recepimento italiano della Convenzione di Budapest. Assume quindi rilevanza, per l’investigatore privato professionista, la conoscenza sulle modalità e le procedure da adottare per la cristallizzazione della prova informatica, la sua acquisizione, conservazione e produzione, affinché non vengano commessi errori anche involontari che pregiudicherebbero l’utilizzabilità dei dati dal punto di vista probatorio, prima che intervenga un consulente di informatica forense per l’espletamento delle attività necessarie.
Dott. Davide Carnevale (direttore dell’Istituto Investigativo Europeo)