Con la digitalizzazione i crimini informatici aumentano e diventa sempre più strategico il lavoro degli informatici forensi, coinvolti quando è necessario produrre dei giudizi sulla base di prove digitali e informatiche. Ne abbiamo parlato con Paolo Dal Checco, Consulente Informatico Forense.
Paolo, il crimine passa sempre più attraverso strumenti digitali e informatici, quali sono i casi in cui più spesso viene richiesta la consulenza di un informatico forense?
Il consulente informatico forense viene tipicamente contattato quando è necessario produrre in giudizio – in fascicoli penali o civili – una prova digitale oppure elaborare una difesa basata su prove informatiche raccolte da altri, siano essi colleghi informatici forensi o Polizia Giudiziaria.
In sostanza, l’informatico forense lavora a stretto contatto con Avvocati e Studi Legali, ma anche con Pubblici Ministeri o Giudici ed è specializzato nella raccolta a fini probatori e/o analisi di evidenze che possono diventare dirimenti per il processo e che consiste in dati, sistemi, computer, dischi o pendrive, informazioni, cloud, web oppure contestualizzando maggiormente chat, email, messaggi, fotografie, video o registrazioni audio, ma anche scatole nere o sistemi di videosorveglianza.
Di quali casi ti sei occupato e c’è un caso che ha segnato in modo particolare la tua carriera?
Ho lavorato su numerosi casi in oltre 10 anni di attività, producendo perizie informatiche nei contesti più disparati: dagli omicidi più o meno alla cronaca al naufragio o incendio di navi, da incidenti occorsi alle funivie o aerei ai reati economico/finanziari, svolgendo perizie forensi come CTP informatico o CTU/Perito in ambito di truffe, furto o riciclaggio anche tramite criptomonete.
In ambito aziendale, la richiesta di perizia informatica è frequentissima, tipico è il caso del dipendente infedele che lascia l’azienda portando con sé dati, progetti, contatti, documenti che poi utilizzerà per fare concorrenza sleale nei confronti della sua ex azienda, che a quel punto correrà ad esempio ai ripari per la tutela del know how e dei segreti commerciali ex art 98 e 99 cpi, con ricorsi per inibitoria inaudita altera parte, descrizioni giudiziarie oppure in ambito penale sequestro giudiziario e indagini con eventuale rinvio a Giudizio, in procedimenti dove la prova informatica diventa dirimente e strategica per far valere le proprie ragioni o difendersi dalle accuse.
Non ho fatto il conto ma credo di aver lavorato su un paio di migliaia di casi da quando ho iniziato questo lavoro e non ne ricordo uno specifico che abbia segnato la mia carriera, ma posso dire che almeno un centinaio di perizie informatiche sono state particolarmente significative per la complessità tecnica, la sfida su nuove tecnologie o problematiche articolate, la componente giuridica e processuale, il dibattimento duro e serrato, talvolta lo scontro con colleghi che si è quasi sempre svolto nella massima correttezza e per fortuna in genere i risultati positivi per il cliente o l’ente che mi ha commissionato l’incarico.
Quando vieni chiamato come consulente forense come operi e di quali strumenti ti avvali?
Gli strumenti del consulente tecnico forense sono numerosi: una buona parte li ho acquistati e li utilizzo quasi quotidianamente, di alcuni mi avvalgo in caso di necessità specifiche noleggiandoli o coinvolgendo colleghi perché sarebbe impensabile possedere l’intero panorama di programmi forensi, soprattutto perché spesso comportano ingenti costi di acquisto e manutenzione annuale, che spingono a sceglierne uno o due per tipo e valutare alternative in casi specifici.
Gli strumenti d’informatica forense vanno da dispositivi hardware per produrre copie forensi (come il Falcon, Tableau, Wiebetech, etc…) a programmi per analisi forense come Exterro FTK, XWays Forensics, Vound W4, Magnet Axiom, Arsenal, Nuix o Intella oppure software per estrarre dati da sistemi di videosorveglianza come DVR Examiner o HX-Recovery, applicativi per acquisire in maniera forense email, PEC o mailbox come IMAP Downloader di Securcube o Metaspike FEC/Forensic Email Collector, integrabili con sistemi d’intelligence per analisi di messaggi di posta elettronica come FEI/Forensic Email Intelligence, essenziali in casi di truffe bancarie come MiTM, Man in The Mail, dove a causa di attacchi informatici alle caselle di posta vengono disposti bonifici a IBAN fraudolenti facendo perdere anche milioni di euro ad aziende in particolare operanti in contesti internazionali ma non solo.
Il mondo degli smartphone, in ambito d’indagine informatica, ormai è sempre più presente, tanto che la disciplina di acquisizione e analisi di dispositivi mobili viene chiamata “mobile forensics” e chi opera in tale contesto si avvale di strumenti come Cellebrite UFED, Oxygen Forensics, Grayshift, MobilEdit, suite come Elcomsoft o Belkasoft, talvolta integrati da servizi esterni svolti da società in grado di sbloccare telefoni protetti da PIN come la Cellebrite tramite il noto CAS o GrayShift.
Spesso viene richiesta l’acquisizione forense di pagine web, la cristallizzazione di siti, post Facebook, commenti o pagine Linkedin, Twitter, ma anche articoli o commenti di blog: il tutto viene realizzato o con sistemi personalizzati come macchine virtuali a uso forense oppure sistemi o servizi come LegalEye, Kopjra, Cliens Prova Digitale, PageFreezer, FAW, Crio ma anche soluzioni gratuite come Internet Web Archive o Perma CC, che in alcuni casi possono arricchire le copie conformi di pagine o siti web eseguite con altri strumenti.
Il mondo delle criptomonete richiede poi ulteriori servizi di blockchain intelligence, come Chainalysis, Crystal Blockchain, CipherTrace e simili finalizzati a deanonimizzare transazioni, ricostrure wallet, tracciare trasferimenti di Bitcoin, Ethereum o Token.
Oltre a questo tipo di analisi, vengono poi spesso richieste attività di perizia informatica su celle e tabulati telefonici, che richiedono conoscenze specifiche e spesso utilizzo di software o servizi come SecurCube Phonelog, oppure indagini su fonti aperte mediante tecniche di OSINT che coinvolgono servizi come Shodan, Censys, SpiderFoot, DomainTools, DomainIQ o software come Maltego.
Talvolta vengono richieste dai clienti o da Pubblici Ministeri o Giudizi perizie su comparazioni vocali, riduzione dei disturbi, saggio fonico, verifica manipolazioni su registrazioni o analisi foniche che richiedono utilizzo di strumenti di audio forense come iZotope RX, Praat, SpectraLayers o tecnologie avanzate come Phonexia, SpeechPro, Easy Voice Biometrics o Impavido.
Non tutti i software per analisi o copie forensi sono a pagamento: esiste un mondo open source e/o gratuito molto attivo nella digital forensics, con distribuzioni forensi come CAINE, TSURUGI, Sumuri Paladin, DEFT, SIFT, Kali o applicativi come FTK Imager o Autopsy. Il punto essenziale è che il software o i servizi d’informatica forense da soli non bastano: gli strumenti aiutano ma è necessario sapere come utilizzarli, conoscere le best practice e valutarne l’utilizzo nelle controperizie quando ad esempio ci si trova a lavorare in qualità di CTP o CTU informatico.
Quali casi ritieni possano essere più complicati da gestire e perché?
Come accennato sopra, l’utilizzo dei cellulari, smartphone, telefonini è sempre più frequente tanto che molte persone non fanno più uso di PC, computer fissi o portatili, ma lavorano direttamente sullo schermo dei propri smartphone dispongono bonifici, scrivono testi, email, documenti, registrano video o audio, utilizzano social network come Facebook, Instagram, Linkedin, TikTok, Twitter o chattano con Telegram, Whatsapp, Signal, scattano fotografie o scambiano messaggi ed email che possono poi diventare una prova informatica in ujn processo.
Purtroppo, il contesto dei dispositivi mobili sta diventando sempre più complesso da gestire: anche a tutela della privacy e sicurezza dei propri utenti i produttori di dispositivi tendono a rendere sempre più complicate le attività di copia forense di smartphone, sblocco dei dispositivi o estrazione di dati che, talvolta, diventano essenziali in una causa. In generale quindi i casi dove viene richiesta perizia informatica su smartphone stanno diventando sempre più complessi, al punto da richiedere spesso più tempo rispetto a indagini forensi su PC o server, producendo talvolta risultati parziali e più impegnativi da ricostruire.
Vi sono poi spesso difficoltà anche su diverse indagini in ambito di criptomonete oppure nei casi di truffe bancarie, malware, banking trojan, Man in The Browser o Man in The Mail con bonifici fraudolenti deviati verso IBAN fraudolenti dove purtroppo la vittima non ha conservato le prove (per disattenzione o perché i criminali le hanno distrutte) e quindi diventa difficile ricostruire la dinamica degli eventi e accertare le responsabilità.
I crimini informatici possono colpire aziende ma anche privati, sono cresciuti i cybercrime negli ultimi anni e cosa possiamo aspettarci per il futuro?
Il futuro sta portando alla diffusione della tecnologia verso tutte le fasce della popolazione, in primo luogo perché non c’è alternativa, dal Covid in poi diverse attività si sono spostate online e anche chi non era avvezzo ha dovuto abituarsi a usare PC o smartphone per fare bonifici, prenotare servizi o dialogare con le istituzioni.
In secondo luogo, il costo della tecnologia è sceso vertiginosamente: un PC decente costa un paio di centinaia di euro, uno smartphone anche la metà, gli abbonamenti dati costano quanto un paio di caffè e si trovano reti wifi ovunque, al punto che chiunque possiede ormai dispositivi digitali e li utilizza per le attività quotidiane.
Ovviamente, i criminali ne approfittano, proprio colpendo aziende o privati che – magari perché poco attenti alle minacce informatiche – sono vulnerabili a diversi tipi di truffe e reati finalizzati a rubare denaro o utilizzare l’identità dei malcapitati per commettere ulteriori reati.
Fortunatamente le istituzioni stanno avanzando in modo equilibrato rincorrendo le problematiche tecniche dei reati informatici e attacchi digitali con gli aspetti legislativi, i regolamenti o le direttive: si pensi al GDPR, al Decreto Legislativo 231, alla direttiva NIS, alla questione delle misure minime di sicurezza per aziende o PA, enti pubblici o militari
