Il Garante per la privacy e le consulenze tecniche informatiche
...mi concedo ad una frivola considerazione: la privacy nelle indagini è desiderata da tutti ma solo fino a quando non si è la parte lesa!
Dicembre 2008
Questa pagina nasce da una delibera del Garante per la protezione dei dati personali che tanto ha avuto risonanza negli scorsi mesi nel mondo delle indagini tecniche di Polizia Giudiziaria e precisamente le: Linee guida in materia di trattamento di dati personali da parte dei consulenti tecnici e dei periti ausiliari del giudice e del pubblico ministero (Deliberazione n. 46 del 26 giugno 2008 - Gazzetta Ufficiale n. 178 del 31 luglio 2008).
Rif. http://www.garanteprivacy.it/garante/doc.jsp?ID=1537357
Rif. http://www.garanteprivacy.it/garante/doc.jsp?ID=1534086
Nei limiti delle mie capacità ed esperienza, vorrei riportare delle considerazioni su alcuni punti di tale delibera che possano risultare quantomeno utili a tutti coloro che svolgono l'attività di perito o consulente tecnico per giudici e magistrati, ovviamente nel ristretto ambito del digital forensics di cui mi occupo (se non dovessero risultare utili spero almeno siano fonte di riflessione su questa delicata attività).
Obiettivo della delibera
Inizio citando: "Le presenti linee guida mirano a fornire indicazioni di natura generale ai professionisti nominati consulenti tecnici e periti dall'autorità giudiziaria nell'ambito di procedimenti civili, penali e amministrativi al fine esclusivo di garantire il rispetto dei princìpi in materia di protezione dei dati personali ai sensi del Codice in materia protezione dei dati personali (d.lg. 30 giugno 2003, n. 196)".
Il consulente tecnico del PM o perito del Giudice, quando svolge l'attività per la quale è incaricato ufficialmente, deve attenersi alle disposizioni dell'Autorità Giudiziaria (AG) ed agire nei limiti delle autorizzazioni da questa rilasciate.
Purtroppo questo aspetto è ben lungi dall'essere chiaro e definito dal punto di vista pratico, sebbene teoricamente tutto sia indiscutibile.
Proprio il settore del digital forensics è particolarmente sensibile in tal senso, creando discrasie di difficile gestione che è sempre il consulente a dover fronteggiare nell'immediato. L'esempio principe è ovviamente quello del repertamento ed analisi di un data base. Non è raro vedere richieste di attività nel digital forensics del tipo: "si autorizza ad accedere il sistema di archiviazione elettronico X ed a prelevare i dati di possibile interesse per le indagini Y". Sfortunatamente per chi deve svolgere tale attività raramente i dati nel data base sono strettamente ed unicamente inerenti il procedimento in parola. Molto spesso, invece:
a) In fase di analisi il consulente si trova a selezionare i dati rilevanti e per farlo deve inequivocabilmente valutare tutti i dati presenti, talvolta con procedure informatizzate, altre volte con valutazioni di natura soggettiva non automatizzabili.
b) In fase di repertamento copiare l'intero repository di dati, oltre ad essere molto oneroso in termini di risorse è palesemente contrario alle direttive inerenti la privacy. Anche il repertamento dei dati, quindi, si risolve spesso in una copia selettiva, frutto di una analisi sommaria, meno raffinata della precedente.
L'information filtering, come si può capire, è determinante ed il consulente deve essere ben avveduto dei suoi limiti di azione in base a quanto previsto dal garante, ciò, sia per supportare velocemente ed efficacemente l'AG (spesso aiutandoli ad emettere decreti di natura più specifica o particolareggiati) che ovviamente per cautelarsi da eventuali errori la cui responsabilità potrebbe ricadere su di essi.
Dati necessari
Cito: "Particolare attenzione deve essere inoltre posta dal consulente e dal perito nell'acquisire e utilizzare solo le informazioni che risultino effettivamente necessarie in riferimento alle specifiche finalità di accertamento perseguite". A questo proposito, nel digital forensics, si possono aprire diverse questioni.
In particolare, se si considera la computer forensics ed in particolare il repertamento ed analisi delle memorie di massa, mi trovo a dover osservare che raramente tutti i dati presenti in una bitstream-copy di un hard disk sono pertinenti ed "effettivamente necessari" all'accertamento. Da quanto citato, il consulente tecnico o perito, si dovrebbe astenere dall'acquisire memorie in senso generalizzato a basso livello e compiere sempre e solo acquisizioni selettive (si torna al problema dell'information filtering). A questo va aggiunto che, in taluni casi, il consulente non ha visibilità delle "specifiche finalità" dell'accertamento, ma si deve limitare a rendere disponibili ad AG e Polizia Giudiziaria (PG) i dati presenti (cancellati o meno)...
Relazioni Tecniche
L'aspetto: "In ossequio al principio di pertinenza nel trattamento dei dati, le relazioni e le informative fornite al magistrato ed eventualmente alle parti non devono né riportare dati, specie se di natura sensibile o di carattere giudiziario o comunque di particolare delicatezza, chiaramente non pertinenti all'oggetto dell'accertamento peritale, né contenere ingiustificatamente informazioni personali relative a soggetti estranei al procedimento..." è determinante nella realizzazione del report diretto ad AG e PG.
Nel digital forensics è usuale vedere relazioni di centinaia di pagine con stampe di foto, tabulati, log e sempre più spesso con DVD o hard disk allegati che contengono Gibabyte di dati sensibili. Il consulente o perito, in onestà e buona volontà, spesso fornisce all'AG e PG, un quadro di insieme dell'analisi talmente esaustivo da includere un incredibile ammontare di dati non strettamente inerenti il procedimento (anche perchè molti di questi dati divengono poi rilevanti con il proseguire delle indagini). Mi chiedo, in definitiva, se sia sempre possibile filtrare tali dati nelle relazioni e poi anche se tale attività non risulti più onerosa di quella stessa di indagine...!
Ricerca incrociata
In relazione a: "...l'eventuale utilizzo incrociato di dati può ritenersi consentito se è chiaramente collegato alle indagini delegate ed è stato autorizzato dalle singole autorità giudiziarie dinanzi alle quali pendono i procedimenti o, se questi si sono conclusi, che ebbero a conferire l'incarico o da altra autorità giudiziaria competente." mi trovo a fare una considerazione di natura generale e personale.
Pur comprendendo la ragione alla base del voler limitare gli incroci e le correlazioni tra i dati in ambito investigativo generico, vorrei puntare l'attenzione del lettore sulle attività criminose che hanno particolari caratteristiche di ricorrenza e/o per le quali le reti di collegamento tra criminali sono un fatto determinante. Limitandosi a due settori particolarmente rilevanti come il crimine organizzato e la pedopornografia, le innumerevoli indagini tecniche svolte nel corso degli anni dalle varie procure e PG, hanno passato al setaccio migliaia di Terabyte di dati i quali, localmente considerati, hanno avuto una valenza più o meno importante ma la cui correlazione, sono ragionevolmente sicuro, potrebbe portare alla risoluzione di diversi casi insoluti di omicidi, violenze sessuali, ecc.
L'importanza dei data base scientifico-forensi è ormai inequivocabile. E' importante che siano regolati ed autorizzati con molta attenzione ma la loro attività di correlazione ed incrocio dei dati può condurre a dei risultati investigativi e giudiziari enormi. Si pensi all'importanza che ha avuto e che ha l'AFIS (Automatic Fingerprint Identification System) in rapporto alla limitatezza delle informazioni che contiene e si pensi ai risultati che si potrebbero avere automatizzando anche solo la memorizzazione e gestione delle relazioni tecniche per l'AG a livello nazionale.
Depositare TUTTI i dati
L'importante direttiva: "...espletato l'incarico e terminato quindi il connesso trattamento delle informazioni personali, l'ausiliario deve consegnare per il deposito agli atti del procedimento non solo la propria relazione, ma anche la documentazione consegnatagli dal magistrato e quella ulteriore acquisita nel corso dell'attività svolta, salvo quanto eventualmente stabilito da puntuali disposizioni normative o da specifiche autorizzazioni dell'autorità giudiziaria che dispongano legittimamente ed espressamente in senso contrario." trova mia grande approvazione ma, ancora una volta, la realtà è ben lungi dalla teoria. I procedimenti penali in Italia restano attivi per diversi anni (senza scandalizzare nessuno talvolta anche 10 anni) ed in tale periodo spesso i consulenti tecnici non solo devono detenere le informazioni ma anche gli stessi reperti fisici, ciò in quanto ad accertamenti tecnici che devono essere ripetuti in diverse direzioni investigative o ripetuti di sana pianta dalla controparte o semplicemente perchè l'AG non vuole depositare per motivate ragioni reperti e dati presso il competente ufficio corpi di reato della Procura.
(1) Dato che nell'ambito del digital forensics è prassi consolidata effettuare copie di basso livello determinando così dei reperti virtuali (conformemente a quanto stabilito dalla ratifica della convenzione di Budapest - L. 48/2008) è ormai indispensabile che le Procure si attrezzino con sistemi di archiviazione digitali ad alta affidabilità ed efficacemente "journalized" che fungano da ufficio corpi di reato "virtuali" specializzati nell'ospitare le citate copie.
(2) L'esistenza dei reperti virtuali scalza quasi completamente quella dei reperti fisici da cui sono stati estratti. Perchè allora si continua a detenere i reperti fisici spesso per anni in completa mancanza di impiego fino alla loro inevitabile degradazione? Fatto peraltro che determina ulteriori problematiche dibattimentali...
(3) Sebbene, lo ripeto, io sia completamente d'accordo con il fatto che i dati dell'indagine debbano essere depositati agli atti del procedimento senza eccezioni, dalla relazione fino ai dati elaborati o copiati, vi è un piccolo fatto pratico da considerare. Un consulente tecnico di medio profilo svolge almeno 3 indagini tecniche al mese e si ritrova a testimoniare per esse (nella media) dopo 3 o 5 anni. A questo ritmo, come fa a ricordare bene ciò che ha svolto quando deve testimoniare? L'ipotesi più avvalorata è, quantomeno, che abbia un data base o archivio di relazioni tecniche... è ovvio che questa è solo una mia ipotesi ma è anche una spinta alla riflessione per gli eventuali detentori di tali archivi, infatti: "Ove non ricorrano tali ultime due ipotesi (disposizioni legali specifiche) , il consulente e il perito non possono quindi conservare, in originale o in copia, in formato elettronico o su supporto cartaceo, informazioni personali acquisite nel corso dell'incarico concernenti i soggetti, persone fisiche o giuridiche, nei cui confronti hanno svolto accertamenti".
Cancellazione dei dati
E' importante evidenziare: "...ulteriori informazioni devono essere quindi cancellate, oppure trasformate in forma anonima anche per finalità scientifiche o statistiche, tale da non poter essere comunque riferita a soggetti identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione". Per la cancellazione il Garante ha deliberato alcune indicazioni:
Rif. http://www.garanteprivacy.it/garante/doc.jsp?ID=1571514
inerente Rifiuti di apparecchiature elettriche ed elettroniche (Raae) e misure di sicurezza dei dati personali - 13 ottobre 2008 - G.U. n. 287 del 9 dicembre 2008 e poi:
Rif. http://www.garanteprivacy.it/garante/doc.jsp?ID=1574080
Istruzioni pratiche per una cancellazione sicura dei dati: le raccomandazioni degli operatori - Scheda informativa - 12 dicembre 2008.
In base a queste indicazioni: "Per prevenire l'acquisizione indebita di dati è necessario operare in diversi modi e tempi a seconda delle circostanze:
- preventivamente, con tecniche di memorizzazione sicura;
- immediatamente prima della cessione o dismissione dell'apparato elettronico, con strumenti software di cancellazione sicura (a condizione che l'apparato sia funzionante);
- al momento della cessione o dismissione, con la demagnetizzazione (degaussing), che azzera tutte le aree di memoria elettronica e rende l'apparato inutilizzabile, o con la distruzione fisica del dispositivo di memorizzazione."
Il consulente tecnico o perito, in pratica, deve assicurarsi di operare su un sistema "safe" dal punto di vista del digital forensics, ossia su un sistema che, decisa la cancellazione dei dati inerenti l'indagine, non deve consentirne il recupero o l'analisi. L'indicazione di impiegare tecniche di memorizzazione sicura è in tal senso importantissima. Molti tecnici pensano che il wiping delle memorie di massa impiegate prima di iniziare un nuovo accertamento sia l'unica cosa richiesta. Il garante considera invece che debbano essere impiegati ambienti cripto per tutta l'attività. Dal mio umile punto di vista, aggiungerei che, oltre al cripto, vanno usati ambienti completamente virtualizzati in maniera tale che anche tracce indirette dell'attività (le quali possono riflettersi ad esempio sul sistema operativo) vadano a scomparire con la distruzione della macchina virtuale impiegata. In letteratura, infatti, è ben noto che il vero anti-forensics è solo quello che risulta frutto di una opportuna virtualizzazione.
Non aggiungo particolari osservazioni sulla dismissione o cessione dell'apparato normalmente usato per lo svolgimenti degli accertamenti tecnici.