x

x

Redazione Comitato scientifico Autori Fotografi Partner
Cerca
ABBONAMENTI LOGIN

Criminalità: l’importanza di linee guida di cooperazione europea sulle indagini digitali

Una delle prerogative della criminalità organizzata è di espandersi su nuovi fronti extranazionali. Chi e come si occupa del trattamento dei dati informatici senza una precisa regolamentazione metodologica?
Criminalità: indagini
Criminalità: indagini

Criminalità: l’importanza di linee guida di cooperazione europea sulle indagini digitali


Abstract Italiano:

Non solo WhatsApp e Telegram, nei procedimenti penali italiani ci si imbatte con frequenza sempre maggiore in indagini che hanno avuto importanti risvolti in seguito alla scoperta di contenuti di messaggistica, multimediali, e di altra natura scambiati mediante sistemi di comunicazione anonimizzata, tra cui i più noti SkyEcc ed Encrochat ormai offline, destinati ad essere presto rimpiazzati con sistemi nuovamente e maggiormente complicati da intercettare/svelare. Europol, organismo di Polizia Europea con sede nei Paesi Bassi, ha dichiarato di aver realizzato il colpaccio scardinando i sistemi di sicurezza dei due servizi di messaggistica precedentemente citati nel Marzo 2021 ed a Giugno 2020, in seguito ad attività durate svariati mesi. Questi servizi hanno server dislocati in vari Paesi, gli utenti che li utilizzavano ed utilizzano sono in tutto il Mondo. Come vengono acquisiti i dati da utilizzare poi nei procedimenti penali scaturiti in diversi Stati e come questi si interfacciano alle procedure del diritto penale?


Abstract English:

Not only WhatsApp and Telegram, in Italian criminal proceedings we come across with increasing frequency investigations that have had important implications following the discovery of messaging, multimedia and other contents exchanged through anonymized communication systems, including the most well-known SkyEcc and Encrochat now offline, destined to be soon replaced with new and more complicated systems to intercept / reveal. Europol, a European Police body based in the Netherlands, declared that it had achieved the coup by unhinging the security systems of the two messaging services previously mentioned in March 2021 and June 2020, following activities lasting several months. These services have servers located in various countries, the users who used and use them are all over the world. How are the data acquired to be used later in criminal proceedings arising in different states and how are they treated from a procedural point of view?


Indice:

La criminalità organizzata e le nuove tecnologie: la necessità di comunicare in “sicurezza”

I casi SkyEcc ed Encrochat: cyber intelligence o intelligence umana alla base dell’exploit dei sistemi crittografati?

Modalità di estrazione, preservazione, trasmissione e custodia dei dati estratti ed i casi in trattazione nei nostri Palazzi di Giustizia

L’importanza di una cooperazione internazionale sul trattamento delle prove digitali


La criminalità organizzata e le nuove tecnologie: la necessità di comunicare in sicurezza

L’espandersi oltrefrontiera di tutte le forme di criminalità organizzata storicamente presenti nel territorio del nostro Paese ha comportato, tra le altre cose, la necessità di collocarsi fisicamente nei territori in cui si muovono i maggiori interessi senza perdere il filo conduttore con il territorio di origine.

Uno dei maggiori esperti di antimafia, parlando dell’organizzazione denominata “ndrangheta” con base in Calabria, infatti, lo ha sempre sostenuto: “per quanto gli appartenenti possano espandersi sul territorio nazionale ed internazionale, questi faranno sempre capo ai mammasantissima presenti sul territorio, ove spesso rimangono per ragioni di presenza e controllo”.

L’avanzare delle nuove tecnologie ha certamente agevolato tali necessità permettendo quindi a vari soggetti dislocati sui territori diversi da quelli di origine di riferire, comunicare, organizzarsi con i referenti per tutte le necessità del caso. A tal proposito, però, l’occhio malizioso della criminalità organizzata ha ben pensato di non dotarsi delle comuni tecnologie, poiché rischiose come appreso nelle varie vicende processuali che sistematicamente coinvolgono gli appartenenti, bensì di dotarsi di sistemi meno comuni, più costosi, più sicuri, allo scopo (ovvio) di eludere controlli indesiderati sia in tempo reale che a seguito di eventuali perquisizioni e sequestri.


I casi SkyEcc ed Encrochat: cyber intelligence o intelligence umana alla base dell’exploit dei sistemi crittografati?

Nello scenario precedentemente descritto, ha fatto breccia nella fiducia della criminalità organizzata il tipo di servizio offerto da SkyEcc (società di cyber sicurezza con sede in Canada) ed Encrochat (con sede nei Paesi Bassi) che si occupavano di fornire indiscriminatamente a qualunque utente prodotti e servizi di comunicazione crittata e protetta, sia a livello software: applicazioni di cancellazione istantanea dei dati, telefoni crittografati con sub sistemi operativi, disabilitazione dei servizi Google o Apple, disabilitazione di alcune app che generano notifiche push; che a livello hardware: server su cui far circolare i dati dedicati a questi servizi, disabilitazione dai dispositivi dei chip dedicati al GPS, alla fotocamera, al bluetooth, alle schede SD esterne, l’utilizzo di schede SIM dedicate e diverse da quelle degli operatori di telefonia più diffusi.

Tutti questi meccanismi hanno fatto sì che tali sistemi siano risultati funzionanti ed efficienti per svariato tempo, finché qualcosa ha destabilizzato la loro affidabilità.

In questa fase occorre fare una brevissima distinzione tra le modalità di investigazione “cyber” ed “human”: la prima (cyber) è l’attività di intelligence condotta tramite strumenti tecnologici hardware e software, che permettono sostanzialmente la ricerca e l’analisi delle informazioni che possiamo reperire online o tramite l’intercettazione di comunicazioni a mezzo rete informatica che possono essere utilizzate per scopi investigativi.

Per questa particolare attività è necessario disporre di un bagaglio di conoscenze tecniche specifiche della rete internet che abbinate alla capacità di analisi delle informazioni consentono di condurre una indagine in modo appropriato ed efficace.

Dall’analisi delle informazioni reperibili nei social network, motori di ricerca, siti di notizie e dei media, video, immagini e audio, strumenti di ricerca, piattaforme e-commerce ecc., è possibile ricostruire precisi profili identificativi di individui di interesse investigativo da valorizzare nel successivo tentativo di intercettarne le comunicazioni private, magari utilizzando l’attualissimo trojan di Stato, ove l’intercettazione passiva preliminare delle informazioni e delle abitudini del bersaglio gioca un ruolo importantissimo sul successo delle inoculazioni del mezzo intercettivo.

La seconda (human) è l’attività di intelligence che richiede mobilitazione e presenza fisica durante la ricerca ed acquisizione di informazioni condotta tramite fonti umane. La raccolta di notizie avviene tramite informatori umani occulti presenti in un ambiente o organizzazione da penetrare.

La sua metodologia fondamentale è il “ciclo di reclutamento”, un processo composto da diverse fasi, tra cui:

  • individuazione dell’obiettivo da avvicinare;
  • ricerca di notizie sul soggetto al fine di valutarne le vulnerabilità potenzialmente sfruttabili per indurlo a stabilire un rapporto di collaborazione informativa con l’agenzia d’intelligence;
  • sviluppo di una relazione interpersonale amicale ed empatica tra il target e l’operatore intelligence.

Fatta questa necessaria distinzione, torniamo sul successo di Europol circa il “breach” (buco) che ha permesso di accedere alle informazioni dei sistemi di messaggistica anonimizzata. Le interviste ai principali autori di tale indagine sono sempre dal vago tenore tecnico: Siamo riusciti a introdurci nella rete di comunicazioni criptata di una organizzazione criminale, che trafficava grandi quantità di cocaina e commetteva omicidi, ha dichiarato il capo detective di Amsterdam Jonne Janssen. “Si parla di centinaia di milioni di messaggi che sono nelle nostre mani”.

Nulla di chiarificatore pertanto, nessun riferimento alla circostanza se questo successo globale sia stato un grande risultato delle attività di “cyber” o “human”.

Vari esperti, invero, dubitano ci sia stata la concreta possibilità di violare i database contenuti nei server di SkyEcc ed Encrochat attaccandoli direttamente, essendo gli stessi protetti da crittografia come quella “ECC 521 bit” ovvero un algoritmo matematico che genera chiavi di crittografia asimmetrica così sicure da essere state adoperate anche dall’NSA Statunitense per le proprie comunicazioni sicure. Si dubita, quindi, che un attacco come quelli c.d. “brute force” piuttosto che quelli “a dizionario”, seppure magari svolti con una potenza di calcolo notevole, siano stati in grado di scardinare tali sistemi di crittografia che in alcuni casi si prospettano essere pronti anche a subire e sopportare attacchi da computer quantistici.

Si è formato il convincimento, quindi, che un ruolo essenziale sia stato giocato dalla componente “human” dell’investigazione, ovvero che servizi di intelligence governativi abbiano trovato il percorso umano che ha permesso di aprire la banca dati protetta creando una porta di accesso direttamente dal gestore stesso. A maggior probabilità di questa opzione, infatti, si è aggiunto il caso giudiziario che coinvolge direttamente due dirigenti delle aziende fornitrici di questo servizio che sebbene siano scaturiti dopo hanno avuto contezza di alcune anomalie ben prima.

Una cosa è certa, da questo data breach sono scaturiti centinaia di arresti e procedimenti, anche in Italia.


Modalità di estrazione, preservazione, trasmissione e custodia dei dati estratti ed i casi in trattazione nei nostri Palazzi di Giustizia

I database svelati hanno permesso di scoprire le chat di varie organizzazioni criminali dislocate nel mondo, le sezioni di Polizia internazionali hanno prontamente informato le varie autorità giudiziarie nazionali circa i contenuti dei database e, nel nostro paese, specialmente le sezioni di Distrettuale Antimafia. Ad oggi, sono circa 20 le operazioni contro la criminalità organizzata italiana scaturite in seguito a questa esposizione di dati: le Procure di Milano, Ancona, Catanzaro, Reggio Calabria, Napoli, Torino, Roma, Firenze hanno emesso centinaia di custodie cautelari che contrastano le attività di narcotraffico, estorsione, traffico di armi, omicidi, tentati omicidi che riguardano vari esponenti di varie criminalità organizzate.

Tuttavia, una precisazione è dovuta.

Le autorità locali si sono occupate della sola trattazione del dato ricevuto e di attribuire alcuni nominativi digitali a vari personaggi di interesse investigativo, nulla è noto circa la precisa e puntuale catena di custodia digitale che è richiesta nella procedura penale italiana, le cd. best practices dell’informatica forense.

La prova digitale richiede una precisa e puntuale categorizzazione ed identificazione a partire dal dispositivo che l’ha generata, ed i principali autori di tali best practices sono proprio l’Europol. Le best practices a cui si fa riferimento nel mondo della digital forensics sono entrate ufficialmente in vigore nel nostro ordinamento il Marzo 2008, con legge n. 48 di ratifica ed esecuzione della Convenzione del Consiglio d’Europa tenuta a Budapest sulla criminalità informatica e la criminalità che utilizza il mezzo informatico.

Si precisa sin da ora che gli organi quali EUROPOL e gli Stati aderenti e promotori quali Belgio, Francia, Paesi Bassi sono stati i principali attori delle disposizioni di questa convenzione, che ha portato delle modifiche anche al codice di procedura penale vigente e al Decreto Legislativo 196/03.

Si cita (fonte www.coe.int – sito del Consiglio d’Europa):

“Obiettivi

  • Criminalizzare le infrazioni contro la riservatezza, l’integrità e la disponibilità di dati e sistemi informatici, le infrazioni associate all’informatica, le infrazioni associate ai contenuti (ovvero pedopornografia, razzismo e xenofobia) e le infrazioni legate alla violazione del copyright e dei diritti correlati.
  • Stabilire procedure per aumentare l’efficienza delle indagini.
  • Fornire una base giuridica per la cooperazione internazionale tra gli Stati parti alla Convenzione, compresi gli scambi di informazioni su base spontanea, l’estradizione e l’assistenza reciproca a livello internazionale e punti di contatto disponibili 24 ore su 24, 7 giorni su 7.

Risultati

  • Utilizzo della Convenzione sulla criminalità informatica come guida o “normativa modello” in molti paesi per il potenziamento della legislazione nazionale.
  • Miglioramento della cooperazione tra le parti interessate, compresa la cooperazione pubblico-privato.
  • Linee guida volte a migliorare la cooperazione tra le autorità preposte all’applicazione della legge e i provider di servizi Internet nell’indagine sulla criminalità informatica, come previsto dal Progetto sulla criminalità informatica (2008). Queste linee guida sono state applicate in diversi paesi e anche l’UE le sta utilizzando.
  • Un concetto per la formazione di giudici e pubblici ministeri sulla criminalità informatica e sulle prove elettroniche (2009).
  • Potenziamento delle indagini internazionali attraverso l’istituzione di punti di contatto disponibili 24 ore su 24, 7 giorni su 7, la formazione delle autorità per la cooperazione giudiziaria e la stretta cooperazione tra Consiglio d’Europa, Interpol, Europol e the Sottogruppo G8 High-tech Crime.”

Gli obiettivi tecnico/giuridici sanciti nella citata legge riguardano (anche) le estrazioni dei dati da dispositivi informatici, e sono principalmente tre:

  • Acquisire le prove, senza alterare il sistema informatico in cui si trovano.
  • Garantire che le prove siano identiche a quelle originali nonché la ripetitività delle operazioni.
  • Analizzare i dati senza che essi ne risultino alterati.

Come si può “fotografare” il contenuto originale di un dispositivo in modo che si possa determinare se sono state introdotte delle modifiche di qualunque tipo in un momento successivo al suo congelamento? Sicuramente non possiamo stamparne il contenuto né limitarci ad affermare che ci sia. Tantomeno utilizzare un copia ed incolla.

Dobbiamo applicare, pertanto, tutte le metodologie e le strumentazioni idonee allo scopo di “congelare” il dato informatico così come è stato creato dagli utilizzatori di quel dispositivo/sistema fino al momento di interesse investigativo.

Al fine di garantire la completezza delle evidenze digitali, è necessario acquisire tutte le parti del dispositivo, e non solo quelle utilizzate per memorizzare i file:

  • Aree contenenti file cancellati e/o loro frammenti
  • Aree contenenti informazioni gestite dal sistema operativo e non visibili all’utente

Tali metodologie e strumentazioni, combinate, danno vita a quelle che volgarmente chiamiamo nelle sedi giudiziarie “copie forensi” o anche copie bit-a-bit, in questa fase lo scopo è quello di rendere un reperto informatico fedele all’originale.

Parte essenziale di queste metodologie e strumentazioni è affidata agli algoritmi di HASH.

In termini estremamente semplificati, l’algoritmo di  Hash  elabora  una  mole  di  Bit  (dati informatici) che nel caso specifico possono essere i dati informatici contenuti all’interno di un server o altri dispositivi di memorizzazione stabile, al fine di identificare ogni file e cartella presenti nel sistema di interesse.

L’identificazione avviene mediante l’assegnazione di una stringa alfanumerica di lunghezza e caratteristiche variabili in base all’algoritmo che è stato applicato.

Durante la fase di estrazione dei dati dal dispositivo sorgente, se si procede con strumentazione e metodologia idonea, l’algoritmo viene calcolato sia alla sorgente che alla destinazione, ossia quando la duplicazione è terminata.

Terminata l’estrazione, si controlla il codice Hash frutto della clonazione, ad esempio, di un singolo file duplicato presente nel supporto di destinazione, che dovrà coincidere con quello presente alla sorgente, per il medesimo file.

Avremo la certezza che il contenuto copiato è pienamente conforme a quanto contenuto nell’originale, in caso contrario i due algoritmi HASH generati non corrisponderanno.

È evidente, pertanto, l’importanza ai fini di giustizia delle procedure sopra riportate, nonché rendere noti i codici Hash ed indicarli nelle relazioni di consulenza o nei verbali di operazioni compiute.

Ma tutto ciò è avvenuto nelle sedi che poi hanno generato i procedimenti scaturiti in Italia? Dalle prime disamine di atti processuali pare proprio di no, vi sono evidenze che dimostrano come in alcuni casi i dati inviati da Europol alle autorità giudiziarie italiane sono dei semplici file “zip” al cui interno sono presenti sottocartelle divise per “nickname” e file che contengono le chat in formato modificabile come “txt”, “xls” o “csv” non corredati da identificativo HASH che permette mediante l’eventuale non corrispondenza dello stesso di verificare alterazioni volontarie e non volontarie. I file presentati nelle sedi giudiziarie spesso si presentano “disordinati” e disallineati, con date e orari rinfusi, spesso disallineati rispetto al testo. Alcuni, addirittura, sono totalmente privi di metadati e non consentono di verificare le date di creazione, modifica, accesso. Situazioni che possono generare gravi problematiche tecniche e conseguenti eccezioni.


L’importanza di una cooperazione internazionale sul trattamento delle prove digitali

Tali problematiche si sarebbero certamente potute evitare adottando proprio le famose best practices precedentemente citate e facendolo tutti sistematicamente: dagli operatori che hanno realizzato la prima estrazione (server), durante le duplicazioni, gli inoltri, e gli arrivi a destinazione.

Una puntuale verbalizzazione corredata dall’identificativo HASH dei vari file trasmessi o perlomeno dei file “zip” che li contengono. Tale lacuna si è presentata poiché, sebbene siano state sancite alcune linee guida, non esiste allo stato attuale un organismo di controllo così strutturato da gestire linearmente le incombenze che si sono generate nel caso di specie.

Un exploit che avrebbe coinvolto una così larga e vasta categoria di criminalità organizzata, lo si può dire, è stato un “imprevisto gestionale” anche per le autorità locali stesse che non hanno avuto il tempo né di confrontarsi né di dare indicazioni sulle diverse procedure vigenti nei vari Stati. Il rischio è quello di invalidare alcune risultanze investigative a fronte di un risultato enorme come l’accesso a queste informazioni.

Ma dalle vicende si impara e si migliora, nuovi servizi di crittografia delle comunicazioni sono già attivi ed altri arriveranno. Si dovesse un giorno, nuovamente, fare il “colpaccio” su altri sistemi simili bisognerà avere tempo e metodo per garantirne i contenuti.

Articoli più letti su questo argomento

Diritto /

Recidiva: sbagliata l’applicazione per la sola presenza di precedenti penali

Diritto /

I fondamenti concettuali della Criminologia

Diritto /

Favoreggiamento personale e mafia

Newsletter Abbonamenti