Il rapido sviluppo delle tecnologie informatiche ed il loro uso di massa, ha portato le autorità inquisitorie a porre una particolare attenzione all’acquisizione di prove digitali nell’ambito delle proprie attività investigative.
Tuttavia, l’acquisizione di elementi di prove digitali può risultare particolarmente complessa e dispendiosa in quanto soggetta spesso alla cooperazione dei provider stranieri sui cui server vengono detenuti grandi numeri di dati. Nello specifico, l’acquisizione di dati conservati all’estero richiede di norma l’attivazione di procedure dette di mutua assistenza legale, e consiste nel rivolgersi alle autorità dello Stato in cui i dati sono conservati (o in cui ha sede il provider), le quali valutano la richiesta e, eventualmente, provvedono ad ottenere i dati stessi secondo le procedure applicabili nel proprio paese.
Tali procedure, che ad oggi avvengono in più della metà delle indagini penali, tendono ad essere lente, onerose e inefficienti, determinando talvolta la chiusura di molte indagini per oggettiva impossibilità di concluderle nei termini di legge. Per questo numerosi Stati si stanno attivando per facilitare la cooperazione diretta con i provider ed ottenere i dati conservati all’estero senza passare attraverso le dispendiose procedure di mutua assistenza legale.
La Commissione europea ha recentemente presentato due proposte legislative, una di Regolamento e una di Direttiva: il Regolamento proposto istituisce ordini europei di produzione e di conservazione di prove digitali, mentre la Direttiva rende obbligatorio per i prestatori di servizi extra-europei di designare un rappresentante legale nell’Unione Europea incaricato di ricevere i suddetti ordini europei. Tali iniziative, però, non offrono che una risposta parziale al problema, dato che affrontano in maniera unilaterale una questione che per sua stessa natura è transnazionale, rischiando inoltre di porsi in contrasto con alcuni principi cardine del diritto internazionale.
Sul piano internazionale, la cooperazione tra Stati nella raccolta di prove digitali è già in parte regolamentata dalla Convenzione del Consiglio d’Europa sulla criminalità informatica (la cosiddetta Convenzione di Budapest), il primo trattato internazionale in materia di reati informatici esaminato nell’articolo Indagini penali e dati all’estero: le norme in arrivo in Europa pubblicato su AgendaDigitale. La Convenzione impone alle parti di definire i poteri e le procedure per ottenere prove digitali e prestarsi assistenza giudiziaria, non solo in relazione ai reati informatici.
L’attuale assetto della Convenzione di Budapest non sembra, di nuovo, fornire risposte adeguate a tutte le difficoltà che gli inquirenti si trovano attualmente ad affrontare nell’acquisizione di prove digitali. Un esempio, la mancata regolamentazione specifica della cooperazione diretta con i provider, un tema che la sempre maggior diffusione dei servizi di cloud computing rende di estrema attualità. Attraverso la redazione di un protocollo addizionale alla Convenzione di Budapest, che possa fissare regole più precise ed aggiornate sull’accesso transfrontaliero alle prove digitali, si sta cercando una soluzione al problema, permettendo inoltre di ottenere dati in maniera meno dispendiosa e più veloce.
Peccato solo dover attendere alcuni anni prima che diventi effettivamente operativo, ovviamente, sempre che si riesca ad adottarlo.
L’intervento transfrontaliero risulta inoltre necessario in un contesto sempre più multinazionale come quello delle minacce informatiche. Anche in questo caso, infatti, la tempestività dell’intervento e la possibilità di ottenere informazioni cruciali, grazie ad una adeguata cooperazione fra stati, incide in modo rilevante sulla capacità di mitigazione degli attacchi in tempi rapidi, sulla gestione del danno e sulle capacità di assicurare alla giustizia i perpetratori degli attacchi.
È ormai la norma di tutti gli attacchi di ultima generazione, infatti, utilizzare server (spesso compromessi) in molteplici giurisdizioni al fine di ostacolare, depistare o rallentare le indagini e soprattutto rendere complesse le possibili contromisure da attuare. Un esempio lo possiamo evidenziare negli APT, Advanced Persistent Threat, un tipo di attacco sofisticato ma anche estremamente mirato, come presentato in dettaglio da ZeroUno nell’articolo APT: cosa sono e in che modo mettono a rischio la sicurezza aziendale, in cui la difficoltà di rilevamento che lo caratterizza, fa sì che possano passare anche diversi mesi tra il momento della intrusione iniziale e la sua scoperta e neutralizzazione. Fino ad oggi questi attacchi sono stati effettuati da grandi organizzazioni verso rilevanti aziende/enti a livello nazionale e internazionale, e la gestione della mitigazione e delle indagini è spesso incompatibile con i tempi della giustizia, poiché si tratta spesso di procedere “a cascata” da un server ad un altro, in differenti stati, in attesa continua dei diversi tempi di autorizzazione.
La disponibilità di intese e protocolli che rendano veloce l’intervento anche in un contesto multinazionale è sicuramente una condizione necessaria per pensare di poter agire con efficacia contro tutte le minacce di ultima generazione.
A cura di Jusef Khamlichi Consulente senior presso P4I – Partners4Innovation e Gaia Rizzato, Information & Cyber Security Back office Management Partners4Innovation
