Computer Forensics Intervista all’avvocato Giuseppe Serafini

I sistemi informatici sono presenti in ogni aspetto della nostra esistenza, ci sono di supporto costantemente in ambito lavorativo e personale. Ecco perché anche in ambito forense, l’informatica ha per forza di cose una nuova e specifica attenzione. A questo proposito intervistiamo Giuseppe Serafini, esperto appunto in computer forensics.

R: Siamo con l’avvocato Giuseppe Serafini, esperto in computer forensics. Allora Giuseppe dicci che cos’è computer forensics

S: intanto buongiorno a tutti gli ascoltatori, computer forensics o digital forensics, è un termine naturalmente inglese che noi traduciamo in italiano con l’espressione investigazione digitale, ed è una scienza di recente formazione che si occupa della individuazione in senso ampio di evidenze digitali, di prove, all’interno di sistemi elettronici di elaborazione di varia natura. E’ ovvio che questo tipo di attività e di operatività, con l’evoluzione tecnologica ha subìto un incremento esponenziale. E’ sufficiente per noi riflettere sul fatto che il 90% delle prove di un’attività umana al giorno d’oggi passa attraverso sistemi elettronici di elaborazione. Si pensi all’uso continuo che facciamo di computer, al fatto che semplicemente uscendo di casa per recarci al posto di lavoro possiamo essere ripresi da sistemi di videoprotezione installati da banche, ospedali o negozi, oppure al fatto che gli stessi ospedali archiviano i nostri dati sanitari in supporti digitali e le istituzioni bancarie ci consentono di effettuare pagamenti attraverso strumenti elettronici. Di tutte queste occorrenze può darsi il caso di doverne tenere il conto e di doverne tenere traccia nel momento in cui un’autorità giudiziaria dovesse necessitare di provarle nel corso di un procedimento. A quel punto si pone il problema di come condurre queste prove queste evidenze digitali di fronte all’autorità giudiziaria, e qui interviene l’investigazione digitale, la computer forensics, che si occupa appunto come dicevo all’inizio di individuazione, conservazione, protezione, estrazione, documentazione e presentazione all’Autorità di evidenze (prove) digitali.

R: Senti Giuseppe ma qual è il grado di consapevolezza delle aziende italiane rispetto al fenomeno del cyber crime, sono ben strutturate, sono protette, oppure no?

S: Devo dire che la mia esperienza che mi vede operare nei confronti di numerose imprese anche come Data Protection Officer , mi porta a rispondere purtroppo negativamente a questa domanda, nel senso che se pensiamo alla sicurezza informatica come ad un processo che implica una sicurezza fisica, logica, organizzativa e legale, scopriamo che questo processo è soltanto parzialmente attuato nella maggior parte delle imprese italiane, perché c’è un’attenzione direi minimale a quello che la legge rende obbligatorio in termini di attuazione di misure minime di sicurezza, per cui capita spesso di trovare società che hanno implementato soluzioni antivirus, che hanno implementato soluzioni antispam, che hanno implementato firewall, però il passo successivo è cioè quello di costruire attorno a una soluzione tecnologica una sensibilità e di una organizzazione, difficilmente trova riscontro nella realtà operativa della maggior parte delle imprese. E cioè si pensa purtroppo ancora che la soluzione da sola sia sufficiente a preservare l’impresa dal rischio collegato al fenomeno del cyber crime. Purtroppo sappiamo che questo non è. Sappiamo che occorrono sì strumenti, ma sappiamo che occorro persone che quegli strumenti li sappiano interpretare.

R: Ci sembra di capire che il problema sia ancora quello della consapevolezza da parte dell’operatore 

S: Decisamente. Abbiamo cognizione dei pericoli, perché è inevitabile avere cognizione dei pericoli, perché semplicemente leggendo i giornali o essendo un minimo utilizzatori della rete, di internet, si scopre che la criminalità dell’informatica riempie le pagine dei quotidiani. Però il passo successivo, è quello di attrezzarsi per prevenire, e in caso in cui l’evento si verifica, documentare quello che è successo è ancora di là da venire. Ecco che avere una consapevolezza più specifica su quello che è l’investigazione digitale e la sicurezza informatica aiuterebbe l’impresa non soltanto a prevenire, che è naturalmente il risultato auspicato, ma anche a reagire prontamente in modo da minimizzare il danno che si verifica a seguito di un evento di compromissione dei dati per esempio.

R: A questo proposito la legge 196 del 2003, la famosa legge sulla privacy, ha dettato delle linee guida?

S: noi abbiamo un corpo normativo importante anche se inopinatamente ridimensionato da una, a mio modo di vedere, scellerata attività legislativa avvenuta nel 2012. Resta il fatto che abbiamo comunque un disciplinare interno in materia di misure minime, abbiamo un articolo 34 e un articolo 31 del codice in materia di protezione dei dati personali che specificano quali siano le misure che devono essere adottate, e abbiamo inoltre, cosa non secondaria, e purtroppo non percepita dalla maggior parte degli operatori, una serie di provvedimenti prescrittivi dell’autorità garante che impongono in determinate circostanze numerose misure minime di sicurezza. Quello che è ulteriormente da specificare è che molto spesso l’autorità garante nel prescrivere l’adozione delle misure di sicurezza si fa assistere da quella che è la sanzione prevista dall’articolo 154 lettera C del codice in materia di protezione dei dati personali. E’ una sanzione amministrativa importante che può giungere fino a € 180.000 in caso di inosservanza delle prescrizioni. L’esempio più immediato di questa applicazione può rinvenirsi nel provvedimento del 27/11/2008 in materia di funzione degli amministratori di sistema. Ebbene l’autorità ha prescritto a quei titolari di effettuare determinate operazioni e il mancato rispetto di una prescrizione dell’Autorità è sanzionato con la somma che dicevo prima, per cui, abbiamo l’impianto normativo, abbiamo l’impianto prescrittivo specifico, ma purtroppo manca la consapevolezza della sanzione.

R: Il datore di lavoro è comunque responsabile rispetto all’utilizzo che il suo dipendente fa degli strumenti informatici, ma come può fare in modo che l’utilizzo sia corretto senza invadere i confini della privacy del dipendente?

S: Il tema è molto ampio, è veramente tra i più dibattuti da un punto di vista legislativo, dal punto di vista giurisprudenziale, sia dottrinario, ed è il tema del controllo a distanza che è reso possibile dalle nuove tecnologie e sull’operato del personale dipendente. E qui si innestano almeno due grandi impianti legislativi che sono operanti nel nostro ordinamento giuridico, il primo che è costituito dall’art. 4 dello statuto dei lavoratori, della legge 300 del 1970, ed il secondo che è quello rappresentato dal codice in materia di protezione dei dati personali, ed in particolare, anche qui ritorno sui provvedimenti dell’autorità garante che sono molto importanti, da un provvedimento del 01/03/2007 dell’Autorità Garante per la protezione dei dati personali. In questo provvedimento l’Autorità ha cercato di contemperare le opposte esigenze che derivano dall’impiego in realtà aziendali di strumenti elettronici di elaborazione. Si è detto da una parte lo strumento elettronico è uno strumento di proprietà dell’imprenditore, di proprietà dell’azienda che viene messo a disposizione del dipendente per lo svolgimento di un’attività lavorativa. Accade, e purtroppo molto spesso la realtà è piena di questi episodi, che il dipendente,con quello strumento non sempre lavori soltanto . Ecco allora che potrebbe porsi il problema del come il datore di lavoro possa verificare l’inadempimento del dipendente all’obbligo di erogare la sua prestazione lavorativa mediante strumenti che in ipotesi consentano il controllo a distanza del dipendente, violando così l’articolo 4 dello statuto che si diceva prima. Ora è importante muovere da questa constatazione, che può sembrare banale, ma che in realtà esprime un concetto che deve guidare l’operatività sia del datore di lavoro, sia del personale dipendente. E sia anche dei soggetti che possono essere chiamati a vario titolo ad accertare l’inadempimento o l’uso improprio o l’eventuale reato commesso dal dipendente mediante lo strumento elettronico che gli è stato concesso. E cioè, se il dipendente delinque, il dipendente non sta lavorando e quindi è soggetto all’attività di controllo e di prevenzione come qualsiasi altro cittadino. Se non sta lavorando, non si applica in quel momento l’articolo 4 comma II dello statuto dei lavoratori, perché il divieto è di controllare il dipendente nel corso dell’attività lavorativa. Ma se il dipendente delinque, il dipendente appunto non sta lavorando. Detto questo dobbiamo dire che l’autorità ha prescritto misure specifiche sul come lo strumento deve essere concesso in uso al dipendente e sul come possano essere inibite determinate attività. Il caso più tipico è quello della navigazione in internet, e l’autorità sul punto è inequivoca, prevedendo sì l’obbligo di predeterminare white list, si dice, e black list, cioè siti o applicazioni o soluzioni che si possono usare o che non si possono usare. E’ chiaro che la violazione di una di queste prescrizioni , sovente attuate a livello informatico, fa sì che siano generati dei segnali di allerta e che il datore possa reagire a questa evenienza in modo proporzionato nel rispetto degli accordi sindacali. Un’ulteriore questione che deve affrontarsi è questa, come agire nel caso in cui siano da accertare condotte illecite del dipendente, per illecite intendo dire penalmente rilevanti o anche civilmente rilevanti. A quel punto il ricorso alle autorità di pubblica sicurezza è senz’altro utilissimo, vi è però la possibilità e questa è stata recentemente introdotta nel nostro ordinamento dalla legge sulle investigazioni difensive, di conferire mandato ad un avvocato affinchè nell’ipotesi in cui si verifichi, o possa verificarsi un crimine, lo stesso possa precostituire mediante attività investigativa dedicata, anche digitale, prove che possano poi far sì che il datore di lavoro possa andare esente da responsabilità per il fatto commesso dal dipendente.

R: Ci racconti un caso di computer forensics particolarmente significativo nella tua esperienza?

S: Proprio in questi giorni sono stato chiamato da una società per documentare e accertare una condotta illecita compiuta da un dipendente, il quale dipendente anziché naturalmente svolgere la sua prestazione durante l’orario di lavoro, ne svolgeva una parallela impiegando per questo fine del software abusivamente duplicato dalla rete internet. Quindi è stato necessario innanzitutto verificare sul computer quali fossero i programmi installati e se questo software che questo dipendente utilizzava fosse tra i programmi autorizzati. E questo è stato possibile farlo grazie a una serie di strumenti di investigazione digitale che consentono di verificare in tempo reale quali sono le attività svolte dal dipendente e quali sono gli strumenti utilizzati. E in questo caso, la società, con lungimiranza, aveva conferito al difensore uno specifico incarico a svolgere attività di investigazione difensiva, e quindi si è proceduto effettuando una copia forense del dispositivo ed effettuando una successiva analisi delle prove rinvenute.

R: La copia forense sarebbe la copia perfettamente uguale..

S: la copia forense è una specifica copia di un supporto che contiene informazioni digitali realizzata mediante determinati software che restituiscono un’immagine fedele, identica, del supporto duplicato. Occorre premunirsi di una copia forense perché vi è l’obbligo di non alterare il dato originale, perché un’alterazione di un dato originale potrebbe condurre ad una contestazione nel processo di manipolazione del dato

R: Cioè di un inquinamento della prova

S: Si, di un inquinamento della prova, e quindi a cascata una non utilizzazione della prova, che non è più genuina ma alterata, compromessa. Quindi il problema dell’investigazione digitale passa attraverso la frase, “rispetto della prova”, passa attraverso una serie di cautele dirette prima di tutto a far sì che l’originale, ovvero il luogo dove sono custoditi i dati sia preservato, e poi a condurre analisi su copie appunto forensi quanto più penetranti possibile. Quella vicenda si è conclusa con un provvedimento di licenziamento per giusta causa e con la predisposizione di un atto di denuncia per duplicazione abusiva di opera dell’ingegno e appropriazione indebita.

R: In buona sostanza che cosa faceva, rivendeva software pirati?

S: no, lui utilizzava un software che si era illecitamente procurato per svolgere un’attività diversa da quella lavorativa per la quale chiedeva del denaro.

R: Esiste uno standard per la sicurezza informatica al quale conformarsi?

S: secondo me questa è la domanda dei nostri tempi, nel senso che sicuramente ci sono degli standard, sono standard anche molto difficili e anche molto articolati che però non devono spaventare, perché si pensa normalmente ad uno standard, come può essere ad esempio lo standard ISO 27001 come ad un percorso che inizia con un’analisi e finisce con una certificazione. E può essere così. Quello che deve però guidarci è di fatto che esiste un luogo, questo standard ISO 27001, che noi possiamo frequentare per avere informazioni specifiche su come configurare i nostri sistemi. E qual è l’effetto immediato e più utile, anche semplicemente di seguire le prescrizioni senza ricorrere alla certificazione, è quello di poter documentare che ci si è preoccupati della sicurezza e che ci si è preoccupati al punto tale da seguire determinate prescrizioni. L’effetto legale di questo non è un effetto secondario, perché va a incidere sulla misura della colpa che potrebbe essere addebitata ad un’impresa se si verificasse un danno per esempio da furto di dati, e se il danneggiato chiedesse un risarcimento. Ecco se allora noi si siamo preoccupati di parametrare il nostro livello di sicurezza ad una serie di prescrizioni, l’intensità della nostra colpa è sicuramente minore, e potrebbe condurci, in ipotesi, addirittura ad evitare la responsabilità.

R: Un po’ come dire che nel momento in cui seguo uno standard ISO le misure di sicurezza non possono essere non considerate idonee

S: Si, diciamo che il tema è proprio questo. E in effetti se noi guardiamo con attenzione la legge sulla privacy si parla a un certo punto di progresso tecnico. L’articolo 31 non parla di progresso tecnico e allora noi potremmo cominciare a chiederci dov’è il progresso tecnico, cioè esiste un posto che mi dice qual è il progresso tecnico? E questo posto lo possiamo rinvenire a determinate condizioni negli standard, e nello standard ISO sicuramente, perché è uno standard valido in tutto il mondo e in tutti i settori. Quanto poi a valutare l’idoneità della misura dobbiamo fare un ulteriore passo, ma è un passo che ci conduce all’analisi caso per caso, della situazione che si è verificata e quindi da un punto di vista generale non può essere affrontato. Certo è che l’applicazione di uno standard facilita di molto la dimostrazione dell’applicazione delle misure di sicurezza.

R: Grazie Giuseppe!

S: Grazie a voi, grazie a te..