La pervasiva diffusione e il conseguente utilizzo della tecnologia fornisce la possibilità di sostanziare le dichiarazioni che vengono rilasciate in fase di indagini mediante dati oggettivi. Attualmente, particolarmente utili ai fini delle indagini risultano le indagini forensi informatiche, ovvero
una branca della scienza digitale forense legata alle prove acquisite da computer e altri dispositivi di memorizzazione digitale. Lo scopo è quello di esaminare dispositivi digitali seguendo processi di analisi forense al fine di identificare, preservare, recuperare, analizzare e presentare fatti o opinioni riguardanti le informazioni raccolte ( https://it.wikipedia.org/wiki/Informatica_forense).
Le adeguate competenze e strumenti informatici e scientifici rappresentano, attualmente, una componente fondamentale per garantire un servizio investigativo efficiente ed esaustivo. Le tecniche nelle indagini forensi informatiche e scientifiche, piuttosto che rappresentare un differente ambito di indagine, costituiscono un metodo ed uno strumento di investigazione che può trovare applicazione nei tradizionali campi di svolgimento dell’attività investigativa.
COMPUTER E MOBILE FORENSICS
Con l’evoluzione del fenomeno informatico in ogni settore del lavoro e della vita privata, le esigenze di tutela sono sempre più legate ad un tipo di indagine specialistico.
Le indagini informatiche in senso stretto consistono in un servizio di investigazione che va dal recupero di dati informatici alla ricerca di tracce e indizi all’interno degli elaboratori elettronici, di dispositivi mobile e nella rete internet, dall’accertamento dell’autenticità di elementi di prova alla perizia informatica.
Le indagini forensi informatiche, piuttosto che rappresentare un differente ambito di indagine, costituiscono un metodo ed uno strumento di investigazione che può trovare applicazione nei tradizionali campi di svolgimento dell’attività investigativa.
OSINT: Un particolare tipo di indagini forensi informatiche
Con il termine OSINT si intende indicare l’informazione disponibile ed aperta all’accesso pubblico che ha subito un processo di ricerca, selezione, distillazione e diffusione verso un gruppo selezionato di destinatari al fine di soddisfare un preciso bisogno informativo.
Scopo dell’OSINT è dunque quello di dare una risposta ad una specifica domanda o richiesta attraverso la ricerca di informazioni che dovranno essere analizzate e valutate proprio in funzione dello scopo prefisso.
Le informazioni vengono tratte da dati liberamente accessibili, ad esempio: siti web, social network, interviste, video, giornali, archivi, blog, e quant’altro disponibile al pubblico.
Si tratta di un’attività di indagine che ricorre all’acquisizione di tutte le informazioni presenti nel web. Tale ricerca si avvale di diversi strumenti:
– Motori di ricerca: archivi, raccolte di immagini, giornali, blog, archivi statistici;
– Social Networks;
– Recupero di materiale cancellato online nei siti web;
– Indirizzi email e indirizzi IP;
– Numeri telefonici;
– Mappe online;
ecc.
L’attività di ricerca di informazioni tramite OSINT non prevede alcun’attività illecita di intrusione all’interno di siti web o di sottrazione di informazione, ovvero HACKING. L’OSINT rappresenta una metodologia che può essere utilizzata nelle attività di hackeraggio durante la raccolta di informazioni, avendo a disposizione molti tool e strumenti per effettuare un’approfondita ricerca. Va precisato che l’aspetto illegale dell’hackeraggio NON riguarda le indagini OSINT, che come detto in precedenza, riguardano fonti aperte e liberamente accessibili.
I risvolti applicativi delle attività di indagini forensi informatiche OSINT in campo forense sono diversi, di seguito alcuni esempi tratti da perizie svolte:
DIPENDENTE ASSENTEISTA
Il dipendente di una grossa azienda da un anno si ammalava il lunedì mattina e guariva il venerdì sera per poi riammalarsi il lunedì successivo. Questo curioso pattern di malattia durava da un anno e alle visite mediche domiciliari il dipendente si era sempre fatto trovare. Mediante una analisi delle foto postate dai suoi amici su facebook è stato possibile ricostruire che nei periodi in cui avrebbe dovuto essere a casa era stato immortalato in foto che lo vedevano a New York e in Romania.
PRESUNTO ABUSO SESSUALE
in un caso di abuso sessuale la ragazza che lamentava l’abuso aveva riportato al suo psicoterapeuta conseguenze psichiche tali da indurre lo specialista a diagnosticare un Disturbo post traumatico da Stress (DPTS). Uno dei sintomi definienti la sindrome è l’evitamento delle situazione che possono anche solo lontanamente richiamare l’evento stressante (in questo caso la discoteca dove sarebbe avvenuto il reato). L’analisi dei suoi like su Facebook e dei suoi post ha permesso di rilevare come la sua attenzione fosse focalizzata quasi esclusiavamente sui locali notturni cosa questa incompatibile con il sintomo di evitamento che lei aveva riferito alla psicoterapeuta.
VIOLENZA SU MINORE E DETENZIONE MATERIALE PEDOPORNOGRAFICO
Un ragazzo risultava indagato per corruzione e abuso di minorenne a seguito della denuncia di una decina di ragazzine infra quattordicenni del suo paese.
Sono stati analizzati i profili social del ragazzo ed è stato recuperato l’archivio di messaggistica associato a tali profili. A seguito dello studio di tale materiale è stato possibile dimostrare come le ragazzine costituitesi parte civile non solo erano consenzienti, ma ricercavano attivamente l’imputato per incontri e scambi di materiale pornografico (sextings).
DA TENTATO OMICIDIO A TENTATA AGGRESSIONE
Un uomo risultava accusato di tentato omicidio poiché durante una sparatoria in un parcheggio tra bande, le immagini delle telecamere di videosorveglianza lo riprendevano mentre puntava una pistola.
In tal caso, è stato effettuato un lavoro di pulizia e scrematura delle immagini al fine di potenziarne la nitidezza e si è proceduto a misurazioni su parametri biometrici.
Le risultanze hanno mostrato come il soggetto in realtà indossasse un guanto nero tirapugni e non un’arma.
TRUFFA
Un uomo denunciava di essere stato truffato da una donna con la quale intratteneva una relazione per una somma di 70.000 euro. Tale donna aveva fatto poi perdere le tracce e le uniche informazioni che l’uomo possedeva erano il numero telefonico e il nome.
L’analisi OSINT ha permesso di poter svelare la reale identità della donna, la sua rete familiare e amicale, il luogo in cui ella abitava nonché il posto di lavoro in cui nottetempo prestava servizio.
CAPACITA’ GENITORIALE
Durante una CTU sulla valutazione delle capacità genitoriali, alcuni sospetti sulla vita privata della madre hanno dato avvio a un’indagine OSINT sulla sig.ra. Le evidenze raccolte hanno permesso di poter disconfermare quanto dalla stessa sostenuto in sede di consulenza; invero la madre aveva delle frequentazioni inadatte ad una genitrice, faceva uso di sostanze e la geolocalizzazione ha confermato che la stessa non era in casa con la figlia la maggior parte del tempo, lasciando la ragazzina da sola.
ACCUSA DI ASSOCIAZIONE MAFIOSA
Un noto direttore di Banca del Nord Est veniva accusato del delitto di associazione mafiosa a seguito di alcune intercettazioni ambientali.
Tali intercettazioni risultavano di scarsa qualità ed le trascrizioni della PG in molti punti non erano in grado di riportare quanto detto nei dialoghi, classificando tali passaggi come incomprensibili.
La pulizia del file audio mediante specifici software e l’isolamento delle voci dei vari partecipanti alle conversazioni ha permesso di rendere comprensibili tali passaggi, di fatto fondamentali ai fini del processo. Il direttore di Banca è stato assolto poiché l’audio migliorato ha permesso di far luce sulle dinamiche e provare la sua estraneità ai fatti.
Se ti è piaciuto questo articolo e vuoi rimanere informato sulle indagini forensi informatiche visita la nostra pagina LinkedIn e per ogni domanda non esitare a contattarci.
Abbiamo parlato più volte di privacy e investigazioni e abbiamo già visto quali strumenti e quali attività sono consentite durante un accertamento investigativo e quali sono, invece, le attività non autorizzate dalla legge.
In questo articolo voglio soffermarmi su alcune domande che spesso mi vengono poste: – posso registrare una conversazione? – devo incontrarmi con alcune persone e vorrei, a mia tutela, registrare una conversazione: sono obbligato a dire che sto registrando? – in caso, quella conversazione, posso farla ascoltare a terze persone? – sono stato diffamato e finalmente ho il modo di ottenere la prova. Posso utilizzare la registrazione per ripulire la mia immagine agli occhi dei miei amici?
L’ARTICOLO 615 BIS DEL CODICE PENALE
L’articolo 615 bis del Codice Penale regolamenta il reato di Interferenze illecite nella vita privata.
“Chiunque, mediante l’uso di strumenti di ripresa visiva o sonora, si procura indebitamente notizie o immagini attinenti alla vita privata svolgentesi nei luoghi indicati nell’articolo 614, è punito con la reclusione da sei mesi a quattro anni.
Alla stessa pena soggiace, salvo che il fatto costituisca più grave reato, chi rivela o diffonde, mediante qualsiasi mezzo di informazione al pubblico, le notizie o le immagini ottenute nei modi indicati nella prima parte di questo articolo.
I delitti sono punibili a querela della persona offesa; tuttavia si procede d’ufficio e la pena è della reclusione da uno a cinque anni se il fatto è commesso da un pubblico ufficiale o da un incaricato di un pubblico servizio, con abuso dei poteri o con violazione dei doveri inerenti alla funzione o servizio, o da chi esercita anche abusivamente la professione di investigatore privato.”
La normativa parla di due momenti distinti: l’atto durante il quale ci si procura la notizia e la sua diffusione o divulgazione.
La normativa sopra citata ha, inoltre, evidenziato quale aggravante la fattispecie in cui a commettere il reato sia colui che esercita abusivamente la professione di investigatore privato.
Ricordo che all’investigatore privato è riconosciuta una deroga in materia di normativa sulla privacy per poter trattare i dati della persona oggetto di indagini senza fornire un’informativa preventiva. Questo gli consente di svolgere l’attività di indagine e, ad esempio, fotografare il soggetto a patto che resti sul suolo pubblico o accessibile al pubblico. Volendo semplificare: all’investigatore privato è consentito fotografare, e dunque inserire in relazione, tutto ciò che, stando ad esempio sulla pubblica strada, può vedere ad occhio nudo.
Vi faccio un altro esempio: pensiamo al caso in cui il dipendente che dovrebbe essere al lavoro, invece di svolgere le mansioni per le quali viene retribuito, timbra il cartellino, esce dall’azienda e si porta al supermercato vicino per fare la spesa. Il supermercato è un luogo accessibile a chiunque, pertanto, potrò fotografare e riprendere le azioni del soggetto.
Gli elementi emersi potranno essere inseriti all’interno del report investigativo – eventualmente prodotto in giudizio dal legale – ma non potrà in alcun caso essere divulgato a terzi.
Inoltre, non potrò in nessun caso installare microspie o telecamere nascoste all’interno di una proprietà privata o posizionare registratori audio allo scopo di registrare una conversazione tra terze persone e carpire così informazioni riservate.
REGISTRARE UNA CONVERSAZIONE TRA PRESENTI: QUANDO A FARLO E’ IL PRIVATO
Iniziamo ora a rispondere alle domande che vi ho elencato all’inizio di questa trattazione. Quindi, come privato cittadino, posso registrare una conversazione?
Le conversazioni tra i presenti, e parliamo di conversazioni effettuate senza l’esplicito consenso dei partecipanti, possono essere registrate da chiunque. Facciamo attenzione però perché sto parlando di conversazioni tra presenti e non dell’ipotesi di lasciare un registratore acceso in una stanza e andarsene. In questa seconda fattispecie commetterei un grave illecito. Se si sente nella registrazione anche la mia voce, nessuno potrà mai accusarmi di aver detto cose che non avrebbe detto in mia presenza: l’importante, dunque, è essere parte attiva nella conversazione.
Pensiamo ad un incontro tra amici, ad una call o ad una semplice telefonata. Il fatto che io sia presente, quindi il fatto che anche le altre persone siano a conoscenza del fatto che sono presente anche io, mi può permettere di registrare la conversazione. Perché dovrei farlo? Perché magari a quell’incontro è presente una persona che mi sta offendendo o, peggio ancora, minacciando. Non solo posso registrare una conversazione senza dire nulla a chi mi sta offendendo ma posso usare a mia tutela quella prova.
Pensiamo nei casi di stalking alla donna vittima di violenza che riesce a registrare una conversazione con il marito e all’interno di questa conversazione lui la minaccia più e più volte. Quella registrazione, se effettuata con le dovute premure, potrà essere utilizzata contro il persecutore in sede di giudizio. Tale forma di protezione spesso viene consigliata quando le intimidazioni e le minacce avvengono esclusivamente all’interno delle mura domestiche.
Anche in questo caso, però, il consiglio è quello di confrontarsi prima con un professionista che fornirà tutte le indicazioni per evitare di inficiare la prova ottenuta.
REGISTRARE UNA CONVERSAZIONE E DIVULGARLA: IL CASO FEDEZ-RAI
Abbiamo parlato della possibilità di registrare una conversazione. Ma cosa succede se volessimo divulgare quella conversazione a terzi?
Maggio 2021. Il cantante Fedez diffonde l’audio di una telefonata avvenuta, a poche ore dalla sua esibizione, con i vertici della Rai. Per questa ragione, l’emittente televisiva decide di querelare il rapper. Senza volermi addentrare nei particolari e analizzare il caso come ampiamente, all’epoca dell’accaduto, è stato fatto voglio concentrami sugli aspetti legali. La Rai decide di querelare Fedez non perché ha registrato la conversazione ma poiché ne ha divulgato i contenuti.
L’articolo 617 septies del Codice penale configura il Delitto di diffusione di riprese e registrazioni fraudolente.
In particolare, viene stabilito che pubblicare o diffondere conversazioni, incontri privati, registrazioni telefoniche o telematiche costituisce reato e viene punito con ben 4 anni di carcere; ciò però solo a condizione che il fine di chi agisce sia quello di recare danno all’altrui reputazione o immagine.
Quello sopra citato è un caso eclatante finito su tutte le riviste e i telegiornali. Il principio però rimane immutato anche in caso si parli di condivisione del contenuto a pochi amici.
È molto importante portare questa conoscenza anche ai giovani e giovanissimi che, oggi, hanno di certo più familiarità con social e cellulari ma non conoscono appieno i limiti e la pericolosità della diffusione incontrollata di contenuti video e audio. Se necessitate di una tutela o avete bisogno di registrare una conversazione o riprendere una situazione particolare, evitate di correre rischi e confrontatevi prima con un legale o un investigatore esperto in materia.
Durante le indagini informatiche, la fase di acquisizione delle prove è tra quelle più delicate e complesse perché da essa dipende l’esito di un’intera causa. Quando si pensa alla cristallizzazione della prova digitale, si porta in genere l’attenzione verso ciò che per tradizione rappresenta il “contenitore” delle informazioni che da anni vengono utilizzate come elemento probatorio in cause civili e penali: i supporti di memoria.
Un aspetto però sta ulteriormente alzando l’asticella delle prove digitali ed è il mondo delle informazioni che risiedono – o viaggiano – su internet. Se parliamo di indagini informatiche, infatti, sempre più importanza sta assumendo la trattazione di dati che si trovano non su un PC o su un disco, bensì da qualche altra parte: su aree remote, su cloud, su web, siti etc.. Sono dati che viaggiano su canali cifrati, spesso anche dove risiedono, che rimangono all’interno di aree private o sono pubblicamente accessibili ma tutti con una caratteristica comune: non risiedono sul dispositivo oggetto di analisi o non sono comunque in disponibilità fisica del soggetto che li ha prodotti o ne beneficia, benchè appunto ne possa godere dell’accesso.
Da un lato, molti dei dispositivi che utilizziamo quotidianamente tendono a memorizzare sempre meno dati in locale per prediligere l’archiviazione online, per diversi motivi. Qualche anno fa i Chromebook hanno aperto questa rivoluzione, che ha spostato i dati su Internet, rendendo il dispositivo esclusivamente un punto di accesso sul quale se si è fortunati si è in grado di recuperare una sorta di ‘cache’, di specchio di ciò che si trova sulla propria area in rete ma nei casi peggiori non si recupera nulla, essendo appunto solamente un ponte tra l’utente e i dati remoti.
D’altro lato, le persone hanno spostato la loro vita sempre più online, non solo in termini di archiviazione dei dati ma anche nel modo in cui interagiscono tra di loro comunicando tramite chat, e-mail, siti web, commenti a forum o qualunque altro metodo di comunicazione che coinvolga aree presenti su Internet o anche soltanto la connettività Internet.
L’importanza di ciò che è online si fa sempre più strategica e per questo motivo serve una sorta di metodologia universale, di protocollo, di standard condiviso almeno a livello scientifico da utilizzare e far utilizzare a chi ha intenzione di produrre prove attraverso le indagini informatiche che andranno ad assumere validità giuridica, si tratti di web, cloud, posta elettronica o qualunque altra fonte di evidenze digitali online.
L’acquisizione forense delle evidenze digitali nelle indagini informatiche è un argomento del quale gli informatici forensi si occupano da diversi anni, con numerose evoluzioni che si sono succedute nel tempo. Dal punto di vista normativo e legislativo, uno degli elementi che in informatica forense viene tenuto in massima considerazione è la legge 48 del 2008, contenente la ratifica della convenzione di Budapest del 2001. Tale legge, ha un significato molto profondo che può essere schematizzato in 3 semplici punti:
Nelle acquisizioni delle evidenze digitali durante le indagini informatiche, elemento strategico se non essenziale è quello di non alterare la prova lasciandola per quanto possibile immutata. Questo primo vincolo è un elemento di assoluta importanza al quale non sempre si può essere conformi. Si pensi all’acquisizione di dispositivi mobili come gli smartphone, nei quali talvolta è necessario avviare il telefono tramite il proprio Sistema Operativo per poter accedere alla copia forense, causando già con questa semplice azione alcune modifiche che vanno però a impattare sul sistema e su eventuali elementi accessori e non, tendenzialmente sui dati.
Entra quindi in gioco il concetto di ‘contenitore’ che deve essere distinto dal concetto di ‘contenuto’, poiché quando viene citata la questione della ‘ripetibilità’ ci si riferisce in genere ai dati e dunque al ‘contenuto’, tollerando in alcuni casi che il ‘contenitore’ subisca delle mutazioni a patto che, ovviamente, tali mutazioni non vadano ad inficiare nelle indagini informatiche e investigative per le quali è stata richiesta la copia forense del dispositivo. L’esempio tipico è quello della richiesta di acquisizione dei contenuti di uno smartphone del quale poco importa l’eventuale dato relativo alle accensioni, spegnimenti, utilizzo, quanto invece esplicitamente il contenuto.
Il secondo aspetto evidenzia come la copia che viene realizzata di un elemento digitale deve essere identica all’elemento originale. Con ‘elemento’ si intendono le evidenze digitali per i quali l’uguaglianza può essere calcolata in termini esatti utilizzando il confronto tra bit e byte per poter stabilire eventuali differenze o identità tra file, copia forense, hard disk, memorie flash o altri dispositivi di memoria dei quali sono state fatte acquisizioni forensi.
Il terzo elemento strategico riguarda la conservazione delle copie, ovvero il fatto che la non modificabilità non deve riguardare soltanto il dato originale ma anche il dato copiato. Anche in questo caso, arriva in aiuto la possibilità di utilizzare funzioni hash anche per calcolare le impronte delle copie forensi che sono state prodotte, impronte che devono essere verbalizzate in un contesto effettivamente non modificabile.
LE INDAGINI INFORMATICHE: LA MARCA TEMPORALE
Un ulteriore elemento di rilievo che va ad integrare il corredo di ciò che rende un’acquisizione per indagini informatiche conforme alla legge 48 del 2008 è la marca temporale. Di notevole importanza infatti è non soltanto la possibilità di garantire l’immutabilità del dato originale (così come del dato copiato) ma anche la data esatta nella quale la copia è stata cristallizzata. Questo elemento ovviamente non può garantire la data in cui l’elemento originario è nato o è stato inizialmente prodotto, poiché cristallizza nel tempo semplicemente la presenza di un dato in un certo momento, identificando quindi una sorta di estremo superiore, dopo il quale non è possibile far risalire l’esistenza di un certo dato.
La marca temporale, infatti, identifica – nel momento in cui viene generata – la presenza del dato: questo significa che il dato in quel momento esiste e contiene effettivamente le informazioni che sono state inserite all’interno della marca.
Per poter apporre marche temporali esistono diverse soluzioni:
Utilizzo della posta certificata, inviando tramite PEC a se stessi o a un individuo terzo il valore hash calcolato sul dato al quale si vuole apporre la marca temporale – o il dato stesso se possibile;
Utilizzare le soluzioni offerte dai certificatori di posta elettronica che possibilmente forniscono certificati di marca temporale;
Utilizzare la blockchain, in particolare quella del protocollo Bitcoin.
Come si può intuire da questo articolo, il tema delle indagini informatiche è molto ampio e sarebbero necessarie procedure strutturate per poter svolgere un’analisi in maniera accurata e soprattutto standardizzata.
Il consulente forense che si occupa di indagini informatiche deve essere adeguatamente formato e costantemente aggiornato.
Se necessitate di ulteriori informazioni non esitate a contattarci. Potete inoltre seguirci sulla nostra pagina LinkedIn.
Nel precedente articolo abbiamo visto come è possibile pedinare una persona durante un’indagine investigativa sul campo. In questo articolo, invece, vedremo nel dettaglio come pedinare una persona nel mondo digitale attraverso due casi concreti.
Per pedinare una persona sono particolarmente utili i dati di localizzazione, o dati sulla posizione (anche dati di mobilità) ovvero le informazioni trattate da una rete di comunicazione elettronica o da un servizio di comunicazione elettronica che indicano la posizione geografica dell’apparecchiatura terminale (es. smartphone) di un utente del servizio di comunicazione elettronica.
In particolare sono i dati relativi alla: – latitudine; – longitudine; – altitudine; – direzione di marcia; – ora di registrazione della posizione.
Sempre più spesso ultimamente i dati ricavabili con lo scopo di pedinare una persona mediante la Mobile Forensics (la branca della Digital Forensics che si occupa non solo di smartphone, ma anche di tablet, riproduttori audio e video personali e dispositivi GPS) entrano in prima linea nelle aule di giustizia o nelle indagini difensive al fine di provare (o meno) la collocazione di un dato soggetto in un dato spazio e tempo.
Diverse sono le modalità con cui è possibile attingere a tali dati, come diversi sono gli esiti cui tali indagini/analisi possono condurre.
Vediamo di seguito due casi che sfruttano la mobile forensics con esiti opposti. Nel primo il tentativo di pedinare una persona ricavandone la posizione in modo digitale si è rivelato dirimente, nel secondo ha mostrato i suoi limiti ed ha portato ad una piena assoluzione.
Come pedinare una persona digitalmente: casi di studio.
CASO 1 : la cattura di un assassino
Dal 2009, negli USA tutti i cellulari debbono avere incorporato un chip GPS. Il Mandate Enhanced 911 della Federal Communications Commission del 2003 impone che i costruttori facilitino il tracciamento della posizione. L’Enhanced 911 è un ordine federale in base al quale tutti i produttori di cellulari devono fare si che si possano ottenere l’ID del chiamante e i dati sulla posizione dal cellulare di un utente che effettua una chiamata di emergenza al 911.
La polizia può così localizzare una persona in difficoltà mediante Assisted GPS, che usa il chip GPS nel telefono e tecniche di triangolazione anziché basarsi semplicemente sui dati della cella agganciata. Un punto di accesso di sicurezza pubblica (Public Safety Access Point, PSAP) è un call center che riceve le richieste di emergenza del pubblico per polizia, assistenza medica o vigili del fuoco.
Un PSAP può aiutare la polizia tracciando in tempo reale il cellulare di un abbonato. Nell’ottobre del 2004 è stato trovato, nella sua casa di Hearthglow Lane a Richmond, in Virginia, il cadavere di Fred Jablin. Il detective Coby Kelleu ha subito sospettato dell’ex moglie di Jablin, Piper Rountree, e ha rapidamente ottenuto un mandato per i tabulati telefonici della Rountree. Fred Jablin, docente all’università di Richmond, aveva ottenuto il divorzio e la custodia esclusiva dei figli dopo una pesante battaglia legale. Nel settembre 2004, Rountree era in difficoltà, in arretrato di 10.000 dollari nel pagamento degli alimenti.
Il detective Kelley ha ottenuto i tabulati telefonici del cellulare di Piper Rountree, che collocavano il telefono sulla scena del crimine, Kelley ha tracciato il cellulare mentre si spostava verso est sulla I-64 in direzione dell’aeroporto di Norfolk. Dopo una breve interruzione nella localizzazione del segnale, il telefono è stato nuovamente rintracciato a Baltimora, nel Maryland. Piper Rountree ovviamente ha sostenuto di non essere in Virginia al momento dell’omicidio, bensì a Huston, in Texas. Ha anche dichiarato che spesso il suo cellulare era utilizzato dalla sorella, Tina Rountree.
Piper Rountree aveva chiamato il figlio, 14 ore prima dell’omicidio dicendo che si trovava in Texas, ma il suo cellulare era stato agganciato da celle in Virginia. È stato scoperto che il 21 ottobre (pochi giorni prima dell’omicidio), Piper aveva acquistato una parrucca su Internet, attraverso il proprio account, ma l’aveva fatta consegnare alla casella postale dell’ex fidanzato a Houston. Piper aveva tentato di usare la parrucca per fingersi sua sorella Tina.
Un dipendente della Southwestern Airlines ha poi testimoniato di aver visto Piper Rountree salire su un aereo diretto in Virginia. Il 6 maggio 2005, Piper Rountree è stata condannata all’ergastolo, più di tre anni per uso di un’arma da fuoco per commettere un reato. Questo caso illustra chiaramente come sia possibile pedinare una persona online e come i dati ottenuti da un cellulare siano stati prove di conferma, utilizzate in un processo giudiziario.
Accade tuttavia sovente, purtroppo, che il dato GPS e/o la localizzazione al fine di pedinare una persona mediante celle telefoniche dia adito a degli errori giudiziari clamorosi.
Di recente, ciò è avvenuto in un caso in cui figuravamo in qualità di Consulenti di Parte, in cui la prova dell’erronea interpretazione del dato di cella telefonica ha fatto cadere l’impianto accusatorio e sollevato il nostro cliente con un’assoluzione piena.
CASO 2: l’assoluzione di un innocente
In un recente processo in un Tribunale del Nord Italia, un individuo è stato accusato di rapina e tentato omicidio, imputazioni per le quali il PM aveva richiesto la massima pena.
L’impianto accusatorio poggiava sostanzialmente sull’analisi delle celle telefoniche agganciate dall’individuo, poiché le riprese delle telecamere di videosorveglianza dell’abitazione in cui si erano svolti i fatti mostravano un soggetto travisato nel volto e nell’abbigliamento e dunque irriconoscibile.
In quell’occasione l’analisi del PM non aveva tenuto in debita considerazione le molteplici variabili intervenienti in un’analisi sulle celle telefoniche: presenza di lacunosità nel tabulato telefonico, mancata analisi di eventuali barriere architettoniche di disturbo per il segnale, modifiche strutturali alle antenne BTS e altro ancora.
La rappresentazione tabellare degli eventi di traffico (i cosiddetti tabulati telefonici), provvista di indirizzi di cella, fornisce un risultato che può essere fuorviato dalla considerazione della cella come entità puntuale: occorre valutare i connotati di direttività e area di influenza della cella medesima per poter effettuare un processo deduttivo.
Oltre alla consultazione del tabulato telefonico, inoltre, sono previsti due ulteriori step per una completa analisi di questo tipo.
Il primo è costituito dalla rappresentazione cartografica dei soli indirizzi di cella ottenuti dai dati di traffico. E’ possibile infatti che due soggetti, A e B, compiano lo stesso percorso fisico ma gli indirizzi di cella registrati dai dispositivi mostrino un percorso assai diverso. Questo perché i rispettivi gestori erogano gli eventi di traffico su celle distinte e vi siano presenti ostacoli contingenti nel percorso dei terminali quando viene generato l’evento di traffico.
Il secondo è rappresentato dalla georeferenziazione delle aree teoriche coperte dalle celle agganciate di volta in volta dai dispositivi.
Nel caso in questione non era possibile affermare con certezza la posizione esatta del soggetto che aveva in uso il dispositivo mobile in quanto:
Ciascuna cella copre un’ampia area e non è un’entità puntuale;
Per sopperire alla diversa densità di utenze in una data area e fornire il maggior numero di canali disponibili con la minore interferenza possibile, le reti tendono a variare il raggio operativo della cella;
Occorre tener conto di variabili spurie che potrebbero direzionare il traffico telefonico in una cella piuttosto che un’altra.
Un limite molto frequente in questi casi, assolutamente deleterio per il lavoro dell’analista, è il rischio ulteriore di incorrere in ragionamenti di tipo verificazionista, ovvero nel far aderire l’evidenza a delle teorie precostituite, quando – Popper insegna – la logica del metodo scientifico poggia sull’opposto ragionamento falsificazionista.
Con questo articolo abbiamo dimostrato quanto possa essere facile per un professionista pedinare una persona (anche online). Sempre più l’indagine informatica è necessaria non solo ad integrare ma anche a strutturare l’intera attività di indagine sul campo.
Se vuoi saperne di più e necessiti di pedinare una persona per motivi riconosciuti dalla legge, non esitare a contattarci!
Vi siete mai chiesti quanto ci sia di vero in quello che siamo abituati a vedere in televisione o al cinema? Pensiamo alle tecniche di indagine, al come pedinare una persona, agli appostamenti del detective di turno davanti al viottolo di ingresso di una proprietà privata o sotto la luce del lampione. Quante volte abbiamo pensato “se ci fossi io me ne sarei già accorto da un pezzo”?
In effetti, come non darvi torto! Se lavorassimo allo stesso modo nella realtà, con molta probabilità, dopo appena quindici minuti si affaccerebbe la vicina incuriosita dall’autovettura sconosciuta e dalla persona mai vista nel vicinato. Per un investigatore privato o un collaboratore investigativo in indagini elementari comprendere come pedinare una persona passando inosservati è il primo passo! Nascondendosi dietro alle pagine di giornali o mettendosi occhiali e cappelli vistosi come nei film? No di certo! Vediamo allora insieme quali sono le principali tecniche di indagine e come pedinare una persona senza correre il rischio di essere osservati.
COME PEDINARE UNA PERSONA OGGI
Ci tengo a fare una premessa importante! Il modo di svolgere gli accertamenti sta cambiando. Il settore investigativo, così come altri settori, necessita di rimanere al passo con i tempi e soprattutto con la rivoluzione digitale costantemente in atto. Pensate, infatti, a quanto sono cambiate le cose dall’ingresso nelle nostre abitazioni di pc o smartphone. E pensate anche solo agli ultimi due anni e a come è cambiato, ad esempio, il lavoro o il modo di incontrarsi. Quotidianamente partecipiamo a call, meeting, congressi online, webinar su svariate piattaforme come skype, zoom, google meet e chi più ne ha più ne metta. Ancora oggi, nonostante si stia cercando di tornare un passo alla volta alla normalità in seguito ad una pandemia che ci ha messi in ginocchio e costretti in casa, si preferisce in molti posti di lavoro continuare a recarsi in sede soltanto alcuni giorni a settimana e preferire il telelavoro o lo smart working.
Siamo costantemente bombardati da notizie che parlano di furti di informazioni, attacchi ramsomware, rivendita di dati. Negli ultimi anni sono aumentati esponenzialmente i reati informatici e se da un lato aziende e professionisti cercano di correre ai ripari, dall’altro il problema inizia ad essere sempre più sentito anche tra i privati cittadini. Complice non solo una consapevolezza dell’importanza della propria riservatezza e della propria privacy che, seppur timida, inizia a farsi strada ma anche i continui attacchi che riceviamo quotidianamente. Pensiamo al phishing e, in generale, alle truffe online.
Quindi, se il mondo sta cambiando perché non dovrebbero cambiare anche le tecniche di indagine e le strategie per pedinare una persona?
COME PEDINARE UNA PERSONA: LE 4 TIPOLOGIE DI PEDINAMENTO
Potremmo dire che esistono 4 diverse tipologie di pedinamento:
Pedinamento online;
Pedinamento o osservazione statica;
Pedinamento o osservazione dinamica;
Pedinamento elettronico.
In questo articolo ci concentreremo sulle ultime tre tipologie di pedinamento lasciando alla collega dr.ssa Samuela Bolgan, responsabile della divisione informatica Aenigma, la possibilità di dedicare al come pedinare una persona attraverso il pedinamento online una trattazione a parte.
Appostarsi davanti l’abitazione di un soggetto oggetto di indagine, previo ricevimento di un conferimento di incarico scritto e pedinarlo al fine di monitorarne gli spostamenti è un’attività lecita. Certo, una specifica è d’obbligo: infatti a svolgere tale attività non può essere il privato cittadino ma il professionista al quale è stata rilasciata una licenza ai sensi dell’articolo 134 del Tulps e i suoi collaboratori – previa comunicazione alla Prefettura territorialmente competente. L’articolo appena citato, nello specifico, indica che:
“senza Licenza del Prefetto è vietato ad enti e privati di prestare opera di vigilanza o custodia di proprietà mobiliari e immobiliari e di eseguire investigazioni o ricerche o di raccogliere informazioni per conto di privati. (…)”.
Ma come pedinare una persona senza essere scoperti?
La parola d’ordine se si vuole pedinare una persona è “passare inosservati”. Non mi riferisco di certo all’indossare occhiali e cappelli enormi o oppure nascondersi dietro ad alcune pagine di giornale. Per passare inosservati dobbiamo essere il più naturali possibili. Sembrerà strano ma è proprio così! Vi faccio un esempio. Se stessi pedinando il conducente della vettura che mi procede, in assenza di copertura, qualora si fermasse ad un semaforo rosso, sarei più visibile se frenassi bruscamente accostandomi al lato della strada o se, come accade abitualmente, rallentassi accostandomi in attesa che scatti il verde? Vi sono poi altri espedienti per passare inosservati come, ad esempio:
La corretta scelta dell’abbigliamento che dovrà essere il più consono possibile;
Il modello e il colore dell’autovettura che guidiamo;
L’adattamento dello stile di guida a quello dell’indagato;
L’evitare i dettagli che potrebbero attirare l’attenzione o permettere di distinguerci. Non mi riferisco solo ad un tatuaggio o ad orecchini vistosi ma anche ad adesivi appiccicati all’autovettura;
L’adeguarsi alla situazione. Pensiamo ad un’indagine atta a verificare quali sono le frequentazioni di un minore che, ad esempio, frequenta parchi o pub e locali e ad un’indagine atta, invece, a verificare quelle che sono le frequentazioni e gli spostamenti del socio di una grande azienda;
Il pedinamento o l’appostamento in coppia;
Il pedinamento a più autovetture.
Vi è poi un’altra strategia per pedinare una persona: il pedinamentoelettronico.
Per pedinamento elettronico si intende il pedinamento attraverso un dispositivo di localizzazione satellitare. Anche quest’ultimo, se effettuato da un investigatore abilitato è lecito a patto che l’autovettura alla quale viene installato il dispositivo sia intestata al soggetto indagato – e a lui abitualmente in uso – e che non si commettano una violazione di domicilio o proprietà privata nell’atto dell’installazione.
Il gps, tuttavia, dovrebbe rimanere un semplice supporto all’attività di indagine e non un sostituto dell’investigatore o del collaboratore investigativo. Cosa succederebbe, infatti, se il soggetto quel giorno decidesse di farsi venire a prendere da un collega o di spostarsi con i mezzi? E se parcheggiasse davanti ad un grande magazzino e se ne andasse in centro?
Quindi ricordiamo che la tecnologia, se si vuole pedinare una persona, è utilissima ma non potrà mai sostituire l’operatore. Per passare inosservati è fondamentale essere il più naturali possibili, adattarci ad ogni situazione e, aggiungerei, avere una buona capacità di problem solving.
Come sempre, ricordo che puoi seguirci sulle nostre pagine Instagram, Facebook e LinkedIn. Puoi ,inoltre, contattarci in caso necessitassi di ulteriori informazioni!
In questo articolo andremo ad analizzare in maniera più approfondita la struttura interna di una perizia informatica di cui abbiamo iniziato a parlare nel precedente articolo.
Come anticipato, l’indice di una perizia informatica completa e strutturata adeguatamente dovrebbe essere come il seguente:
Copertina;
Indice;
Executive Summary;
Biografia;
Obiettivi dell’indagine;
Metodologia utilizzata;
Supporti elettronici esaminati;
Risultati dell’esame;
Dettagli dell’indagine collegati al caso;
Allegati/Appendici;
Conclusioni.
Andiamo ora a descrivere nel dettaglio le voci appena riportate.
La copertina
Sulla copertina di una perizia informatica devono comparire almeno queste informazioni:
Titolo del rapporto;
Autore;
Organizzazione;
Numero dell’indagine;
Data del rapporto.
Sulla copertina possono essere riportati anche firma e data di ciascuna delle persone coinvolte nell’indagine.
L’indice
Un rapporto ben organizzato deve comprendere un indice che faciliti gli avvocati dell’accusa e della difesa così come gli eventuali esperti chiamati a testimoniare, ad esaminare e consultare il rapporto. Infatti, una buona perizia informatica, deve essere immediatamente chiara e comprensibile anche ai non esperti del settore.
L’executive summary
La sezione dell’executive summary deve fornire una panoramica dello scopo dell’esame e di quanto l’investigatore ha scoperto. Nelle forze dell’ordine si ha spesso una divisione dei compiti, in particolare nei laboratori di Computer Forensics più grandi. Questo significa che se un investigatore conduce le indagini, un altro svolge l’analisi forense. Nel rapporto andrà incluso il lavoro di ciascuno, che deve essere ben individuato.
La biografia dell’autore della perizia informatica
Va inclusa una breve biografia dell’investigatore o dell’informatico forense, che metta in evidenza tutte le esperienze pertinenti: lauree, certificazioni, corsi di Digital Forensics frequentati. Va indicato anche un numero approssimativo di ore di training pertinente seguite. L’investigatore che redige la perizia informatica deve anche specificare la propria esperienza investigativa e professionale, per esempio da quanti anni è in attività. Alla fine, questa sezione è funzionale a spiegare perchè l’investigatore era un esperto adatto a condurre l’indagine e ad esaminare le evidenze relative al caso.
Gli obiettivi dell’indagine
Questa è una sezione facoltativa. L’autore della perizia informatica, infatti, può avere già spiegato nell’executive summary i motivi per condurre l’indagine. Per impostare il rapporto, chi lo stende può spiegare i motivi dell’indagine e la portata del mandato, il che poi aiuterà a spiegare i tipi di dispositivi e supporti esaminati e le aree della memoria di lavoro e di massa analizzate. Per esempio, file di immagini e video saranno importanti per un caso di sospetta pedofilia, mentre le email possono essere particolarmente importanti in un’indagine di spionaggio industriale e le informazioni bancarie possono esserlo per un’indagine per appropriazione indebita.
La metodologia
La metodologia può essere trattata in una sezione a sè oppure nel seguito del rapporto. La sezione della metodologia spiega l’approccio scientifico alla base dell’esame: deve spiegare l’impostazione seguita dall’esaminatore forense, il che può includere le motivazioni per la scelta del software o dell’hardware utilizzato. L’investigatore può anche dare riferimento a pratiche standard per gli esami di Computer Forensics applicati nell’indagine, che possono essere specifici del laboratorio, mutuati da organi di riferimento o da raccomandazioni e linee guida.
I supporti elettronici analizzati
Anche queste informazioni potrebbero essere inserite all’interno di un’altra sezione del rapporto, piuttosto che in una sezione ad hoc. È importante, comunque, descrivere in dettaglio i supporti esaminati, in quali relazioni fossero con altri supporti e quali relazioni sussistano fra questi oggetti e il sospettato. Un esempio potrà aiutare a chiarire:
“un esame del file property list sul computer del sospettato indicava che altri dispositivi erano stati sincronizzati sul suo MacBook. I file property list sono file di configurazione che elencano le modifiche apportate alla configurazione di un computer. Quando al computer si collegano, con un cavo USB, un iPhone, un iPod o qualche altro dispositivo, in genere nel computer vengono registrati il tipo di dispositivo e un numero di serie che lo identifica in modo univoco. Queste informazioni hanno portato l’investigatore a richiedere un mandato di perquisizione per l’iPhone del sospettato, che in seguito è stato sequestrato, il 17 gennaio 2022. Poi l’iPhone del sospettato è stato esaminato […] i dettagli relativi all’iPhone del sospettato trovati nei file property list hanno poi condotto l’esaminatore ad analizzare i file di backup sul MacBook del sospettato. Il file di backup si trovava in…”
Come si evince, bisogna indicare chiaramente e dettagliatamente date e ore di ogni passo intrapreso nel corso dell’esame.
I risultati
Come si è già osservato, la perizia informatica deve essere molto chiaro in merito a quanto è stato scoperto, relativamente alla natura dell’indagine e nell’ambito di tutti i mandati di perquisizione. Tutti i termini tecnici devono essere spiegati chiaramente. È importante che l’investigatore esponga i fatti ed eviti le interpretazioni: queste spettano agli avvocati e eventualmente, alla giuria. Vediamo di seguito un esempio di formulazione scorretta a confronto con una esposizione appropriata.
Scorretta: Mario Rossi ha scaricato migliaia di immagini di minori abusati;
Corretta: è stata condotta un’analisi del disco rigido rimosso dal computer Dell, Model E6400, Service Tag 4X39P5. Questo computer è stato sequestrato dall’abitazione di Mario Rossi, via Tagliamento 88, 00131, Roma. Su tale computer erano state scaricate in totale 578.239 immagini di bambini. Mario Rossi, nella dichiarazione resa alla polizia in data 12 gennaio 2021, ha sostenuto di essere l’unico utente di quel computer nella sua abitazione. Nel corso dell’analisi, si è scoperto, dall’esame del Registro di Windows, che sul computer era stato configurato un unico utente. L’esaminatore ha scoperto su questo computer Dell anche un login e una password.
I dettagli dell’indagine relativi al caso
Questa non è necessariamente una sezione separata, ma è importante elencare le prove non digitali a sostegno dell’indagine: per esempio dichiarazioni del sospettato e dei testimoni eventuali.
Gli allegati/appendici
Gli allegati della perizia informatica possono essere fotografie degli oggetti sequestrati, schermate catturate dal computer, fotografie etichettate, email stampate e altri file. In appendice può essere inserita la modulistica, come l’elenco delle prove ed i mandati di perquisizione.
Il glossario
Inserire un ampio glossario alla fine (o anche all’inizio) del rapporto è una buona pratica. Gli avvocati della difesa lamentano spesso di essere svantaggiati, per mancanza di risorse nelle proprie indagini, rispetto a quelle disponibili alle forze dell’ordine. Assistendo e cooperando attivamente con gli avvocati della difesa e includendo nel rapporto un buon glossario, note a piè di pagina e altre risorse utili, si possono ridurre queste lamentele di disparità.
La redazione di una corretta perizia informatica è condizione fondamentale per rendere l’investigazione intellegibile, comprensibile, replicabile e garantirne l’affidabilità e la validità!!
Se questo articolo sulla perizia informatica ti è piaciuto non dimenticarti di seguire anche i nostri profili Facebook, Youtube e Linkedin! Se invece sei interessato a ricevere maggiori informazioni sui corsi di Forensics Academy scrivici a info@forensicsteam.it!
Se vuoi saperne di più sulla perizia informatica o se sei interessato a questo tipo di servizio puoi contattare l’investigatore privato del nostro team, Valentina Grazzi. Visita il sito di Aenigma Studio Tecnico Investigativo per saperne di più!
