L'analisi

DigitAnomalie. Malware legalizzati per scopi giudiziari, negli Usa è possibile (in Italia no)

di Andrea Monti - avvocato, esperto di diritto delle telecomunicazioni |

L'FBI statunitense già impiega tecniche analoghe e ha brillantemente risolto il problema di come utilizzarne i risultati davanti al giudice senza bisogno di nuove leggi, ma in Italia non succede, perché?

La rubrica DigitAnomalie, ovvero riflessioni sul mondo della rete e della cybersecurity, è curata da Andrea Monti – avvocato, esperto di diritto delle telecomunicazioni. Per consultare gli articoli precedenti, clicca qui.

Mentre esperti e politici di varia estrazione e competenza spaccano il capello in quattro per trovare il modo di legalizzare l’uso dei malware nelle indagini dell’autorità giudiziaria italiana, negli Usa la situazione è diversa.

Nel caso n. CR15-5351RJB – United States v. Jay Michaud, trattato davanti alla US District Court for the Western District of Washington at Tacoma, gli elementi di prova addotti dall’FBI tramite la pubblica accusa erano stati raccolti tramite un “Network Investigative Technique” appositamente sviluppata per aggirare la protezione dell’anonimato garantita dal protocollo TOR.

Il funzionamento di questo “NIT” non è chiaro, ma dalla sua descrizione contenuta in un affidavit a supporto della richiesta per l’equivalente di un italico decreto di perquisizione nel corso di un’indagine di competenza dello Eastern District of New York si intuisce che si tratta di un malware installato su un server: il sito web A è stato sequestrato e la US District Court for the Eastern Disctrict of Viriginia ha autorizzato la perquisizione per consentire alla polizia giudiziaria di usare un Network Investigative Technique (“NIT”) sul sito in questione per tentare di identificare il vero numero IP e altri elementi idonei a identificare i computer utilizzati per accedervi.

 

A seguito di questa autorizzazione, ogni volta che un utente accedeva al sito web inserendo username e password, l’FBI era autorizzata ad attivare la NIT che avrebbe inviato una o più comunicazioni al computer dell’utente. Queste comunicazioni erano progettate per indurre il computer destinatario a inviare ad un altro computer noto agli investigatori o da costoro controllato i dati che avrebbero aiutato a identificare il computer, la sua localizzazione, altre informazioni sul computer e l’utente del computer che accedeva al sito web.

Tornando al punto, quando nel processo Michaud l’avvocato difensore ha chiesto di vedere il codice sorgente di questo NIT, l’FBI ha dichiarato di non essere disponibile a renderlo noto e dunque – essendo quelli trovati con la NIT gli unici elementi di prova – il giudice ha dovuto chiudere il processo.

Tecnicamente, si è trattato di un dismiss without prejudice, che consente di riaprire il caso in presenza di nuovi elementi di prova, indipendenti da quelli reperiti tramite il NIT.

Questa vicenda è estremamente indicativa sotto svariati profili.

Il primo riguarda il modo di fare le indagini. Anche in Italia, agli albori delle indagini su reati commessi tramite computer, tutto si concentrava sulla “ferraglia”. Non c’erano indagini tradizionali e – anzi – il ricorso a tecniche “analogiche” era considerato inutile e superato. Poi sono arrivate le assoluzioni basate sull’insufficienza delle “indagini informatiche” e le granitiche convinzioni di chi pensava che non fosse più necessario saper indagare hanno cominciato a scricchiolare rumorosamente.

Il secondo profilo riguarda l’attenzione che il sistema giuridico statunitense riserva al diritto di difesa quando c’è di mezzo la tecnologia.

In Italia è praticamente impossibile ottenere un provvedimento che ordini la messa a disposizione del codice sorgente di un software utilizzato dalla polizia giudiziaria per eseguire le indagini. Negli USA, non solo l’avvocato ha potuto formulare la richiesta, ma l’FBI, pur di non compromettere lo strumento investigativo, ha preferito abbandonare il caso.

Il terzo profilo si ricollega al primo: non c’è bisogno di una legge per l’uso dei trojan durante le indagini preliminari perché la Convenzione di Budapest già li legittima.

Il punto è, come insegna il caso Michaud, trovare elementi di prova indipendenti da quelli reperiti tramite il malware, in modo da far entrare nel fascicolo del dibattimento solo degli elementi probatori non compromessi.

E a chi pensa che questo non sia possibile, va ricordato che la disciplina italiana delle “fonti confidenziali” e quella degli “spunti investigativi” già consentono di svolgere indagini senza dover necessariamente far finire i risultati nel processo.

Sta alla malizia di chi indaga, costruire un castello probatorio che si regga su basi solide e non sulla fragilità di qualche riga di codice informatico, magari pure malscritto.

Anche se, come è o dovrebbe essere noto, la giurisprudenza italiana in materia di prova informatica pone sulla difesa l’obbligo di provare eventuali alterazioni dei contenuti oggetto di sequestro e non sul pubblico ministero il dovere di acquisire prove elettroniche inalterate e inalterabili.

Leggi le altre notizie sull’home page di Key4biz