Giuseppe Serafini: alla scoperta dell'investigazione digitale

I sistemi informatici supportano ogni aspetto della nostra esistenza. Ecco perché anche in ambito forense, l'informatica necessita di una nuova e specifica attenzione. A questo proposito intervistiamo Giuseppe Serafini, esperto in computer forensics. 

R: Siamo con l’avvocato Giuseppe Serafini, esperto in computer forensics. Allora Giuseppe dicci che cos’è computer forensics

S: Computer forensics o digital forensics è un termine inglese che si traduce con l'espressione investigazione digitale. Si tratta di una scienza di recente formazione che si occupa dell'individuazione di evidenze digitali ovvero di prove all'interno di sistemi elettronici di varia natura. Il 90% delle attività umane passa attraverso sistemi elettronici di elaborazione. Si pensi all'uso continuo dei computer, al fatto che uscendo di casa veniamo continuamente ripresi da sistemi di video protezione installati da negozi o banche, ai nostri dati sanitari che vengono archiviati in supporti digitali e alle banche che ci consentono di effettuare pagamenti con strumenti elettronici. Di tutte queste evidenze digitali si potrebbe aver bisogno nel caso in cui un'autorità giudiziaria ci richiedesse di provarle nel corso di un procedimento. Ed è proprio qui che interviene la computer forensics poichè il suo ruolo è proprio quello di individuare, conservare, proteggere, estrarre, documentare e presentare queste prove digitali alle autorità.

R: Senti Giuseppe ma qual è il grado di consapevolezza delle aziende italiane rispetto al fenomeno del cyber crime, sono ben strutturate, sono protette, oppure no?

S: L'esperienza che mi vede operare nei confronti di numerose imprese anche come Data Protection Officer, mi porta a rispondere negativamente a questa domanda. Se pensiamo alla sicurezza informatica come ad un processo che implica una sicurezza fisica, logica, organizzativa e legale, scopriamo che questo processo è soltanto parzialmente attuato nella maggior parte delle imprese italiane. C’è un’attenzione minima a quello che la legge rende obbligatorio in termini di attuazione di misure minime di sicurezza, per cui capita spesso di trovare società che hanno implementato soluzioni antivirus, antispam e firewall, ma il passo successivo che consiste nel costruire attorno alla soluzione tecnologica una sensibilità e un'organizzazione adeguate difficilmente trova riscontro nella realtà operativa. Si pensa purtroppo ancora che la soluzione da sola sia sufficiente a preservare l’impresa dal rischio collegato al fenomeno del cyber crime, ma così non è: oltre agli strumenti occorrono persone che li sappiano usare e soprattutto implementare.

R: Il datore di lavoro è comunque responsabile rispetto all’utilizzo che il suo dipendente fa degli strumenti informatici, ma come può fare in modo che l’utilizzo sia corretto senza invadere i confini della privacy del dipendente?

S: Il tema del controllo a distanza sull'operato del personale dipendente attraverso le nuove tecnologie è molto ampio e dibattuto dal punto di vista legislativo, giurisprudenziale e dottrinale. Da una parte lo strumento elettronico è uno strumento di proprietà dell’imprenditore o dell’azienda che viene messo a disposizione del dipendente per lo svolgimento di un’attività lavorativa. Accade, purtroppo spesso, che il dipendente con quello strumento non sempre lavori soltanto. Si pone quindi il problema di come il datore di lavoro possa verificare gli inadempimenti del dipendente mediante strumenti che in ipotesi consentano il controllo a distanza del dipendente, violando così l’articolo 4 dello statuto dei lavoratori. Se il dipendente delinque però, è evidente che in quel momento non sta lavorando: quindi è soggetto all’attività di prevenzione come qualsiasi altro cittadino e non si può applicare l’articolo 4 comma II dello statuto dei lavoratori in quanto il divieto di controllo è circoscritto allo svolgimento dell'attività lavorativa. L’autorità ha prescritto misure specifiche su come lo strumento deve essere concesso in uso al dipendente e su come possano essere inibite determinate attività. Il caso più tipico è quello della navigazione in internet per la quale è previsto  l’obbligo di predeterminare white list e black list, cioè siti,applicazioni o soluzioni che si possono usare o non. E’ chiaro che la violazione di una di queste prescrizioni fa sì che siano generati dei segnali di allerta dinnanzi ai quali il datore può reagire nel rispetto degli accordi sindacali. Un'ulteriore questione da affrontare è come agire nel caso in cui siano da accertare condotte illecite, ovvero penalmente o civilmente rilevanti, da parte del dipendente. A quel punto il ricorso alle autorità di pubblica sicurezza è senz’altro utilissimo, vi è però la possibilità, recentemente introdotta nel nostro ordinamento dalla legge sulle investigazioni difensive, di conferire mandato ad un avvocato affinché nell’ipotesi in cui si verifichi, o possa verificarsi un crimine, lo stesso possa precostituire,mediante attività investigativa dedicata anche digitale, prove che facciano risultare il datore di lavoro esente da responsabilità per il fatto commesso dal dipendente.

R: Ci racconti un caso di computer forensics particolarmente significativo nella tua esperienza?

S: Proprio in questi giorni sono stato chiamato da una società per documentare e accertare una condotta illecita compiuta da un dipendente, il quale anziché svolgere la sua prestazione durante l’orario di lavoro, ne praticava una parallela impiegando per questo fine del software abusivamente duplicato dalla rete internet. E' stato necessario innanzitutto verificare sul computer quali fossero i programmi installati e se il software utilizzato dal dipendente fosse tra i programmi autorizzati. Tutto ciò è stato reso possibile grazie a una serie di strumenti di investigazione digitale volti a verificare in tempo reale quali sono le attività svolte dal dipendente e quali sono gli strumenti utilizzati. In questo caso, la società, con lungimiranza, aveva conferito al difensore lo specifico incarico di svolgere attività di investigazione difensiva pertanto si è proceduto effettuando una copia forense del dispositivo ed una successiva analisi delle prove rinvenute.

R: La copia forense sarebbe la copia perfettamente uguale..

S: la copia forense è una specifica copia di un supporto che contiene informazioni digitali realizzata mediante determinati software che restituiscono un’immagine fedele, identica, del supporto duplicato. Occorre munirsi di una copia forense perché vi è l’obbligo di non alterare il dato originale: l'alterazione di quest'ultimo infatti, potrebbe condurre ad una contestazione nel processo di manipolazione del dato

R: Cioè di un inquinamento della prova

S: Si, di un inquinamento della prova e quindi diuna non utilizzazione della stessa in quanto non più genuina bensì alterata, compromessa. Quindi il problema dell’investigazione digitale passa attraverso la frase “rispetto della prova”, attraverso una serie di cautele dirette prima di tutto a far sì che l’originale, ovvero il luogo dove sono custoditi i dati sia preservato, e infine a condurre analisi su copie forensi quanto più penetranti possibile. La vicenda citata, si è conclusa con un provvedimento di licenziamento per giusta causa e con la predisposizione di un atto di denuncia per duplicazione abusiva di opera dell’ingegno e appropriazione indebita. In buona sostanza lui utilizzava un software che si era illecitamente procurato per svolgere un’attività diversa da quella lavorativa e per la quale chiedeva del denaro.