La computer forensics nasce nei laboratori del FBI negli Stati Uniti per far fronte all’incremento della domanda di analisi dei dati digitali a fini di investigazione e di giustizia.
Almeno dal 2000, anche in Italia si parla di informatica forense come la disciplina che concerne le attività di individuazione, conservazione, protezione, estrazione, documentazione ed ogni altra forma di trattamento ed interpretazione del dato informatico per essere valutato come prova in un processo; inoltre essa studia i procedimenti, le tecniche e gli strumenti per l’analisi forense dei sistemi informatici e telematici. La legge di riferimento più recente per l'informatica forense è la L. 48/2008, con la quale lo Stato italiano ha ratificato la della Convenzione di Budapest sul Cybercrime del 2001.
Inoltre, dal 15 ottobre 2012 l'ISO - International Organization for Standardization – ha varato la prima edizione delle ISO/IEC 27037/12: Information technology - Security techniques - Guidelines for identification, collection, acquisition and preservation of digital evidence. Tale standard costituisce il primo compendio di regole tecniche e metodologiche da seguire nella prassi forense a prescindere dal particolare contesto giuridico (infatti è svincolato dalle regole giuridiche); a esso è seguita la redazione e il rilascio di ulteriori standard nel 2015.
L’informatica forense è nata come una delle scienze ausiliarie del diritto penale (al pari della medicina legale o della balistica forense) strumentale all’accertamento dei fatti costituenti reato tipicamente informatico (per esempio, accesso abusivo a sistema informatico), ovvero costituenti reato a condotta libera ma commesso con un sistema informatico e telematico (per esempio, una diffamazione via Internet) ovvero un reato di qualsiasi tipo le cui prove siano contenute in un sistema informatico o telematico (per esempio, geolocalizzazione del telefono cellulare per la ricostruzione dei movimenti di un indiziato di omicidio).
Dall’analisi dei dati prodotti dall’elaboratore e dalla rete potranno emergere gli elementi utili alla ricostruzione dei fatti oggetto di prova del reato.
A seguito della diffusione della tecnologia digitale, l'informatica forense trova applicazione non solo nel contesto processuale penale, ma anche in ogni altro contesto processuale come per esempio in quello civile, amministrativo, tributario, contabile, militare.
L'indagine forense può avvenire sui sistemi informatici (computer forensics), su sistemi telematici (network forensics), su sistemi di comunicazione mobile (mobile forensics), nonché su tutti i nuovi dispositivi digitali che quotidianamente vengono immessi sul mercato.
L’obiettivo dell’informatica forense è costituito dallo studio delle tecniche per l’individuazione, acquisizione-conservazione, analisi e valutazione dei dati prodotti da un sistema informatico o telematico senza alterarli, tale obiettivo viene normalmente perseguito adottando tecniche e metodologie che consentono di acquisire tutti i dati registrati in un supporto digitale per riportarli inalterati su un supporto diverso. Talvolta, l’informatico forense è costretto a ricorrere a tecniche di hacking del sistema di protezione per poter acquisire i dati oggetto di acquisizione.
Lo svolgimento di tali operazioni richiede il rispetto di norme giuridiche e tecniche cosicché si impone la necessità di descrivere e documentare tutte le procedure tecniche, gli strumenti hardware e software utilizzati per l’ acquisizione ed analisi dei dati, al fine di consentire in ogni momento il controllo e la verifica tecnica e di legalità delle conclusioni.
Già questi pochi elementi introduttivi evidenziano come ogni informatico forense, oltre ad una profonda preparazione tecnica, debba possedere anche una rilevante formazione giuridica in diritto pubblico, in diritto penale e in diritto processuale penale, oltre che in tutti gli ambiti del diritto sostanziale e processuale che di volta in volta richiedano tali competenze. Gli informatici, per altro, devono conoscere con precisione le implicazioni giuridiche delle loro attività e quindi i principi di diritto sostanziale, di diritto processuale ed in particolare il regime dei mezzi di prova e di ricerca della prova, per evitare errori talvolta irrimediabili.
Dall'altro canto, poiché la frequenza e la pervasività dell'innovazione tecnologica fanno si che non vi sia processo senza prove digitali, la corretta applicazione delle norme giuridiche impone a ogni operatore forense (magistrati, avvocati, polizia giudiziaria, ma anche a cancellieri, custodi, consulenti, periti, ecc.) l'obbligo di informazione, formazione e aggiornamento in campo informatico, informatico-giuridico e informatico forense.
Dal 2003 è stato attivato l’insegnamento di "Informatica Forense" nella Facoltà di Giurisprudenza e il Cirsfid si è dotato di un laboratorio dedicato alla didattica delle tecniche di indagine forense in ambito informatico. Si è trattato del primo corso sul tema attivato in Italia e, negli anni, varie sedi sia delle Facoltà di Giurisprudenza che delle Facoltà di Scienze Matematiche, Fisiche e Naturali hanno inserito tale insegnamento nei loro piani di studio. Dall’a.a. 2003-2004 al 2006-2007 e negli a.a. 2009-2010 e 2010-2011 è stato tenuto inoltre, nella Facoltà di Giurisprudenza, un Seminario affine (tre crediti, 24 ore di lezione frontale) dal titolo "Profili giuridici dell’Informatica Forense"; dal 2011-2012 a oggi il Seminario ha preso il titolo di "Profili Giuridici e Tecnologici dell'Informatica Forense", è stato ampliato a 48 ore di lezione frontale ed è stato accreditato dal Consiglio dell'Ordine degli Avvocati di Bologna ai fini della formazione degli avvocati.
Una versione del corso è stata tenuta al Master in Diritto delle nuove tecnologie e Informatica giuridica della Facoltà di Giurisprudenza dal 2002-2003 a oggi.
In questo ambito, tra l’altro, è stata sviluppata DEFT (Digital Evidence & Forensics Toolkit), una distribuzione Linux live per le attività di analisi forense che da diversi anni è utilizzata non solo nei corsi ma anche da forze dell'ordine ed enti nazionali ed internazionali.
Dal 2014-15 una versione del corso è stata tenuta al Master in Amministratore di sistema in diagnostica per immagini e radioterapia della Scuola di Medicina.
Tre start-up sono nate dalle ricerche di questa area.
Sono numerosi i contatti scientifici scaturiti dalle attività connesse al corso con le Forze di polizia, associazioni di avvocati, magistrati inquirenti e giudicanti, Istituzioni anche a livello internazionale. Attualmente alcuni dottorandi del Dottorato Interdisciplinare in Diritto e Nuove Tecnologie organizzato dal Cirsfid svolgono la loro attività di ricerca in relazione a tale disciplina.
Responsabili dell'area:
Raffaella Brighi, raffaella.brighi@unibo.it
Cesare Maioli, cesare.maioli@unibo.it
Principali referenze:
L’area dell’informatica forense al CIRSFID è articolata nei seguenti temi di ricerca:
Inoltre vengono approfonditi i profili giuridici relativi a:
Si riportano, inoltre, in questa pagina le informazioni su un progetto, non attinente all'Informatica forense, nel quale diverse persone del gruppo di ricerca sono coinvolte; si tratta dell'iniziativa
L’architettura peer-to-peer si differenzia da quella client-server in ragione del fatto che la prima è indipendente da server; pertanto i diversi host possono comunicare in maniera diretta tra loro. Questo aspetto di comunicazione senza filtri riduce le possibilità di controlli da parte di qualunque entità, in particolare dell’autorità inquirente, con l’eccezione del caso in cui uno dei due host sia proprio un sistema informatico utilizzato per fini investigativi.
Nell’ambito delle applicazione di file sharing a mezzo peer-to-peer può quindi accadere che due host si scambino file illeciti. Di particolare interesse risultano le applicazioni di tali principi alle ipotesi di pedopornografia come previste dagli articoli 600-ter e 600-quater del codice penale. La semplice rilevazione del possesso di file illeciti non consente di ritenere il possessore automaticamente colpevole, essendo infatti necessaria la concomitante sussistenza dell’elemento della "consapevolezza" dell’indagato,
Questo ambito di ricerca si propone di definire una metodologia di analisi approfondita dei sistemi informatici e telematici usati per commettere tali tipi di reati al fine di acquisire più informazioni possibili per ricostruire le intenzioni dell’utente utilizzatore del sistema informatico. Per ottimizzare le procedure di analisi e i tempi necessari, vengono studiati i software di file sharing esistenti al fine di approntare gli strumenti di analisi di informatica forense che consentano di estrapolare le informazioni utili a sostenere la presenza o meno di elementi di consapevolezza (per esempio, parole chiave utilizzate per la ricerca, presenza di file fake, accesso ai file illeciti ed eventuale cancellazione, numero di invii di file illeciti).
Principali referenze:
Le attività di monitoraggio, intercettazione e filtraggio del traffico uscente dalla rete nazionale possono consentire di affrontare alcuni profili critici legati all’evoluzione dei sistemi di trasmissione a livello mondiale e all’utilizzo del computer come strumento utile per celare la propria identità.
Per la rete Internet, infatti, il primo problema è l'identificazione degli utenti, sia per il collegamento tramite Internet Service Provider sia per quello indiretto, tramite Access Service Provider.
L’individuazione di connessioni stabilite da utenti appartenenti agli Internet Service Provider nazionali con un sito obiettivo ubicato, per esempio, fuori dal territorio italiano – attraverso protocolli di largo uso come http, ftp oppure attraverso reti di file sharing – è, attualmente, un obiettivo non facile da raggiungere a causa dei limiti imposti dalla tecnologia e dalla normativa vigente.
Questo ambito di ricerca si propone di affrontare la fase sperimentale volta allo sviluppo di tecniche, in collaborazione con operatori nazionali per acquisire informazioni di routing e dati utente nell’ambito una intranet (sfruttando la dorsale Internet), preservando la confidenzialità degli stessi dati utente.
Il legislatore, con l’art. 13 della L. 23.12.1993, n. 547, ha previsto la possibilità di disporre intercettazioni telematiche anche in relazione alle c.d. "intercettazioni preventive", inserendo nell'art. 25-ter, la possibilità di captazione del "flusso di comunicazioni relativo a sistemi informatici o telematici". Si intende analizzare lo strumento dell'intercettazione preventiva, quale strumento di particolare efficacia nel contrasto delle attività tecnologiche della criminalità organizzata.
Principali referenze:
Il Cloud computing è un modello di business secondo cui le risorse informatiche non vengono acquistate, ma piuttosto consumate come servizio. L'idea di risorse computazionali erogabili in una quantità proporzionale alle richieste dell'utenza e di conseguenza tariffate risale agli anni 60, ma solo nell'ultimo decennio gli straordinari progressi nella gestione dei data center compiuti da pionieri come Amazon o Google hanno comportato economie di scala tali da abbattere i costi a livello delle tradizionali utility come il gas o l'acqua. Il Cloud sta trasformando il tradizionale approccio che aziende private e pubbliche amministrazioni hanno sempre avuto nei confronti dell'information technology e sembra destinato ad assumere un'importanza paragonabile a quella della telefonia mobile. La pervasiva disponibilità di potenza di calcolo e spazio di memorizzazione a basso costo si può tradurre da un lato nella straordinaria opportunità per gli esperti forensi di trovare nel Cloud un formidabile alleato per condurre l'analisi di reperti digitali in maniera più efficiente e tempestiva. Dall'altro, tuttavia, implica un'accresciuta possibilità che tali servizi possano essere utilizzati per ospitare ed elaborare dati relativi a reati informatici e tradizionali, come numeri di carte di credito o credenziali utente rubate.
Questo ambito di ricerca si occupa pertanto di approfondire tale duplice ruolo rivestito dal Cloud nei confronti dell'informatica forense ed ha quindi lo scopo di:
Principali referenze:
Le applicazioni tecnologiche in ambito socio-sanitario sono destinate a divenire la chiave di volta nello sviluppo dei sistemi sanitari e nelle metodologie di gestione delle informazioni sanitarie della persona, anche in un’ottica transfrontaliera. I vantaggi dell’adozione di sistemi di sanità elettronica, o e-Health, sono molteplici: miglior cura del paziente che, peraltro, è maggiormente coinvolto nel suo percorso di cura; efficienza del sistema sanitario; maggiore disponibilità di dati per la ricerca; contenimento dei costi per le strutture pubbliche, per citarne alcuni. La digitalizzazione dell’informazione è l’elemento comune sul quale si basano sia i moderni sistemi informativi sanitari per la gestione dei sistemi di eHealth e di eCare, sia le procedure sanitarie in senso stretto basate sulla tecnologia digitale, che raccolgono una grande quantità di dataset di dati personali, sanitari, amministrativi, contabili, prodotti e conservati in formato digitale per l’esercizio dell’attività sanitaria. Tali dati costituiscono anche la principale fonte di informazioni cui possono attingere le parti di un qualsiasi tipo di procedimento giudiziale in senso lato, sia esso penale che civile, ma anche amministrativo, erariale, tributario, nonché la stessa struttura sanitaria per i procedimenti disciplinari interni a carico dei propri dipendenti.
Questo ambito di ricerca si occupa di studiare l’applicazione delle metodologie giuridiche e tecniche dell’Informatica Forense anche al trattamento dei dati digitali prodotti dai sistemi di sanità digitale sia nel caso di incidente informatico sia per il miglioramento del governo clinico e delle azioni di risk management.
Principali referenze:
La crisi delle scienze forensi, e in particolare dell’informatica forense, sembra oggi superata grazie all’attuazione a livello internazionale di piani di governance integrati che comprendono diversi elementi di armonizzazione. Un nuovo approccio epistemologico, più attento alle fasi precedenti al processo giudiziario e a alla valutazione del contesto di riferimento, si coniuga con la definizione di un quadro giuridico comune di contrasto al crimine informatico e con la condivisione di protocolli operativi e standard tecnologici. Anche l’istituzione di centri specializzati per la gestione dei reperti digitali - che, attraverso la realizzazione di ambienti virtuali, automatizzano alcune fasi della gestione, memorizzazione e analisi forense - rende le indagini più efficienti e limita il ricorso alla “cattiva scienza”. La formazione interdisciplinare, infine, è una leva strategica per il cambiamento perché ciascuno dei due gruppi, scienziati forensi e operatori del diritto, abbia una comprensione delle necessità e dei limiti dell’altro. Questo ambito di ricerca approfondisce le tendenze delle scienze forensi a livello epistemologico e implementativo.
Principali referenze:
L’ISO, organizzazione internazionale che si occupa di standard, ha emanato la norma ISO 27037:2012 che costituisce una valida base di condivisibili procedure operative e modalità di indagini per gli informatici forensi in tema di identificazione, raccolta, acquisizione e conservazione delle prove.
Alla ISO 27037:2012, ormai consolidata, si è recentemente aggiunto, nel 2015, un sistema organico di standard internazionali che copre ulteriori aspetti fondamentali, secondo quattro direzioni: 1) gestione degli incidenti per la definizione dei processi di preparazione che devono venire previsti, sviluppati e implementati, per poter effettuare in modo efficace le investigazioni senza pregiudicare la ripresa delle attività; 2) analisi delle evidenze, loro interpretazione e comunicazione dei risultati, per i processi successivi a quelli coperti dalla ISO 27037; 3) valutazione dell’idoneità e dell’adeguatezza dei metodi e degli strumenti di investigazione per delinearne le modalità di validazione; 4) principi e processi delle investigazioni per raffinare la descrizione della fasi di investigazione.
Questo ambito di ricerca si pone l'obiettivo di studiare a fondo, eventualmente identificando carenze, le linee guide, individuando punti di incontro con altri standard (norme tecniche) e con leggi vigenti (norme giuridiche).
Principali referenze:
Questo ambito di ricerca, basandosi sullo studio del quadro legislativo sovranazionale e nazionale, delle ISO/IEC 27037/12 e successive, nonché dei casi rassegnati dalla giurisprudenza, individua le pratiche ottimali che il perito, il consulente tecnico di ufficio ed il consulente tecnico di parte sono tenuti ad adottare allorquando in sede processuale forniscano consulenze giudiziali, d’ufficio o di parte.
Principali referenze:
La norma di riferimento nel panorama giuridico italiano è la legge n. 48 del 18/03/2008 di Ratifica della Convenzione di Budapest. Essa fornisce gli elementi normativi di riferimento, individua i poteri di indagine e predisposizione dei mezzi di cooperazione internazionale e presenta un insieme di strumenti per le indagini informatiche da affrontarsi sulla base di principi di affidabilità tecnico-scientifica, alla cui adozione si sono impegnati tutti i Paesi firmatari.
Tuttavia, l'applicazione di tale legge presenta ancora molte criticità giuridiche, teoriche ed applicative oggetto di approfondimento dottrinale e giurisprudenziale.
Questo ambito di ricerca copre i temi connessi a: leggi scientifiche, tecnologia e indagini; indagini a oggetto informatico; indagini e trattamento dei dati personali; investigazioni difensive in materia informatica; investigazioni difensive e privacy; formazione giuridica del consulente tecnico e del perito in materia informatica; aspetti giuridici e pratici circa l'adozione di strumenti proprietari e open source.
Inoltre, rientra in tale ambito di ricerca l'analisi della giurisprudenza di merito e di legittimità sulle problematiche attinenti la prova informatica sia in ambito penale e civile, sia in tutti gli altri ambiti forensi (militare, tributario, amministrativo, contabile, ecc.) nei quali sorga l'esigenza di ricerca, analisi e valutazione della prova informatica.
Principali referenze:
Il progetto di ricerca si situa nell’ambito dell’informatica giudiziaria (e.justice) studia l’utilizzo dei sistemi informatici nel processo penale, una realtà meno studiata rispetto al processo civile, malgrado anch’esso sia afflitto da una significativa crisi di efficienza.
L’analisi e la progettazione di tale sistema viene parametrata in rapporto ad un ideale modello concettuale che vede tutti gli applicativi sviluppati per le diverse fasi e gradi di giudizio inseriti all’interno di un'unica "catena del valore" del processo penale; in questa prospettiva diventa evidente l’importanza di una corretta gestione delle informazioni: la non ridondanza, la quantità, l’accuratezza, l’aggiornamento, la rapidità di accesso alle stesse sono fattori così cruciali per il processo penale che l’efficienza del sistema informativo e la qualità della giustizia erogata sono fortemente interrelate.
Questo ambito di ricerca intende individuare quali siano le condizioni in cui l’efficienza può essere effettivamente raggiunta e, soprattutto, di verificare quali siano le scelte tecnologiche che possono preservare, o anche potenziare, i principi e le garanzie del processo penale senza incidere sugli equilibri del processo stesso, cioè senza alterare i delicati rapporti di forza tra i diritti in gioco (diritti dell’imputato e del condannato - diritti di difesa sociale).
La classificazione e valutazione dei progetti è stata elaborata nella prospettiva delle diverse fasi processuali (dalle indagini preliminari alla esecuzione penale), dei soggetti coinvolti, delle procedure normative e organizzative del processo penale.
Nella ricerca non si trascura il panorama internazionale con attenzione particolare al contesto dell’Unione europea e sono esaminate le risposte ai fenomeni di criminalità transnazionale che privilegiano l’utilizzo delle tecnologie informatiche e telematiche, focalizzandosi in particolare sullo scambio transfrontaliero di informazioni, c.d. cooperazione informativa, realizzato con la interconnessione di diversi sistemi informativi nazionali sia giudiziari che di polizia.
Principali referenze:
Nuova sfida per le indagini basate sull'informatica forense da alcuni anni sono i protocolli di blockchain che rappresentano un modo nuovo di trasferire diritti nella società globalizzata: nati con funzione di pagamento, oggi vengo utilizzati sia in funzione certificativa, per esempio per la gestione di sistemi domain names o sistemi di archivio notarile, sia per la c.d. smart property, regolando il passaggio di diritti su beni digitali o addirittura amministrando sistemi come gli smart contract nei quali molti tipi di clausole contrattuali possono essere parzialmente automatizzate. Questo ambito di ricerca muove dall’analisi del modello matematico e delle ragioni giuridiche e ideologiche che ne hanno determinato lo sviluppo, proseguendo con l’esame delle realtà applicative di protocolli e piattaforme di contrattazione, lo scopo è di stabilire il ruolo di questi strumenti nella circolazione economica e in quali termini la loro regolamentazione rappresenti una forma di incentivo all’autonomia privata. Il metodo di indagine applicato è quello di Law and Economics, che mira alla costruzione di precetti di diritto efficienti fondati sulle preferenze e sui valori fondamentali espressi dai consociati.
Le attività sono inquadrate in due progetti internazionali come:
Kantara Inititive Blockchains and Smart Contracts Discussion Group https://kantarainitiative.org/ - MIT Research Network
CommonAccord slack team http://www.commonaccord.org/
Principali referenze:
La Cátedra Cultural "Francisco Tomás y Valiente" svolge attività di interesse per giudici, magistrati, studiosi, forze di polizia, avvocati e professionisti interessati al diritto.
Essa ha avviato una collaborazione di ricerca col Cirsfid su temi di Informatica forense.
Formalmente si sono tenuti due simposi, nel 2012 e nel 2013 cui hanno partecipato tutti i membri del gruppo di ricerca e gli argomenti sviluppati sono stati:
Si riporta, per dare un quadro complessivo delle attività del gruppo, il progetto seguente attinente l’area di Informatica giuridica.
Il nome del progetto, finanziato dal Ministero della Ricerca e Tecnologia della Spagna, dal 2008 al 2014, è "El Registro de la Propiedad como instrumento vertebrador de la Información territorial; datos, metadatos espaciales y Directiva INSPIRE". Nel 2015 ne è stato approvato un prolungamento, fino al 2018, dal titolo “Situación actual y perspectivas de futuro de la información registral: hacia un nuevo modelo de administración del territorio”.
L’interesse parte dal ruolo del Catasto, visto dai piani di e-government come un sistema informativo geografico specializzato nei dati fiscali immobiliari a tutti gli effetti, nella prospettiva della la sua integrazione nel contesto più generale dei Sistemi Informativi Geografici della PA, con altri sistemi informativi geografici, tramite azioni e definizione di intese specifiche. Gli accordi che si stipulano sono finalizzati al miglioramento dell’interoperabilità geografica.
Le informazioni catastali costituiscono una componente importante della Infrastruttura di Informazione Territoriale europea come definita nella Direttiva 2007/2/CE (INSPIRE): la parcella catastale è di importanza basilare per tale infrastruttura, costituendo il riferimento di dati cruciale per l'interoperabilità delle informazioni territoriali.
La creazione di Infrastrutture di Informazione Territoriale a livello locale, nazionale e sopranazionale fornisce accesso distribuito a informazioni sulla proprietà e livelli cartografici che sono necessari dagli utilizzatori di dati territoriali che si occupano di ambiente, abitazioni, trasporti, cultura, agricoltura, turismo. Un sistema catastale e di pubblicità della proprietà immobiliare che funzioni in maniera efficiente rappresenta la spina dorsale dell'amministrazione del territorio, e sostiene molte attività amministrative ed economiche sul territorio. L'integrazione nelle Infrastrutture di Informazione Territoriale - principalmente dotate di informazioni geografiche, di dati sugli immobili, come quella di dati cartografici e indirizzi urbani - fornisce efficaci strumenti agli utenti per l'accesso a informazioni sulla proprietà, valore e uso.
Principali referenze: