Se le indagini passano dal computer
di Antonio, Morabito
-
17 Giugno 2011
Anche in Italia si sta diffondendo la Digital Forensics, la disciplina per identificare e trattare nelle attività investigative le informazioni provenienti dai sistemi informatici. Un mondo complesso che interessa molto il settore bancario, con aspetti diversi da considerare a livello legale, procedurale e tecnologico. Disponibile un set di regole nelle Linee Guida
L’elevato livello di informatizzazione del settore bancario, unitamente all’intensificazione nell’utilizzo delle tecnologie informatiche finalizzato alla realizzazione di attività criminose, hanno portato a una crescente diffusione sia a livello nazionale che internazionale di atti di criminalità informatica che hanno come bersaglio banche e clientela. Le apparecchiature informatiche e telematiche possono ragionevolmente costituire adeguato supporto ad attività criminose da parte di soggetti motivati dai fini più svariati, quali il furto delle credenziali di accesso ai sistemi di Internet banking, l’alterazione o la distruzione dei dati e delle informazioni raccolte, l’interruzione del funzionamento dei sistemi informativi e dei servizi supportati.
Si manifesta sempre più la necessità di dover ricercare all'interno dei
sistemi informativi della banca e del cittadino
evidenze informatiche che possano costituire adeguata
tutela dei diritti o ragioni delle parti in ogni
sede processuale
, sia penale che civile o amministrativa, per la risoluzione di eventuali contenziosi riconducibili all’utilizzo di sistemi e canali informatici.
Rispetto a questa tipologia di illeciti e in funzione della facilità di alterazione delle eventuali evidenze informatiche, emerge il problema di utilizzare metodologie che consentano di rendere le evidenze raccolte difficilmente contestabili, sotto i profili della genuinità, non ripudiabilità, imputabilità e integrità dei dati raccolti.
A ciò si aggiunge la difficoltà di una
corretta individuazione di tali evidenze
, in virtù della numerosità e della complessità proprie delle strumentazioni informatiche, sia hardware che software che possono contenere, generare, gestire e comunicare dati potenzialmente utili in sede di indagine: hard disk di un personal computer, notebook, stampanti, macchine fotografiche digitali, ma anche server, supporti rimovibili, lettori multimediali, smartphone, etc.
Cosa bisogna sapere
Esistono poi alcune caratterizzazioni relative a questa particolare tipologia di indagine, tra le quali ricordiamo le più impattanti, ai fini della definizione delle attività di ricerca e raccolta delle evidenze informatiche:
il
dato informatico è facilmente alterabile
e modificabile e, una volta compromesso, è pressoché impossibile recuperare la sua integrità;
le metodologie di acquisizione e analisi delle evidenze informatiche richiedono
competenze altamente specialistiche
e differiscono a seconda dell’apparecchiatura da esaminare;
l’attività di investigazione informatica richiede una
conoscenza approfondita del contesto giuridico di riferimento
, al fine di evitare errori che possano avere come conseguenza l’inutilizzabilità dell’evidenza raccolta in sede processuale, o quantomeno una diminuzione della sua attendibilità;
in ambito aziendale occorre tenere conto delle normative vigenti e dei
diritti di terze parti
, quali ad esempio la
riservatezza
, la
tutela dei dati personali
, i diritti dei lavoratori, che possono risultare vincolanti in termini di operatività sulle modalità e sulla tipologia di evidenze rilevabili.
Il problema principale delle attività di investigazione informatica, fermo restando il rispetto delle normative applicabili, è dunque quello di utilizzare metodologie che consentano di rendere le evidenze raccolte difficilmente contestabili in sede processuale. Con la ratifica e l'esecuzione della Convenzione europea sulla criminalità informatica (legge 18 marzo 2008, n. 48) il legislatore italiano, seppur in un contesto esclusivamente penalistico, si è occupato della materia prevedendo che l’autorità giudiziaria, nel porre in essere attività di ricerca di fonti di prova informatiche, in particolare tramite attività di ispezione e perquisizione, debba adottare “misure tecniche dirette ad assicurare la conservazione dei dati originali e ad impedirne l’alterazione”.
Indagini interne ed esterne
Il
legislatore ha dunque preso atto
del fatto che le evidenze informatiche, in considerazione della loro elevatissima alterabilità, devono essere trattate attraverso l’utilizzo di specifiche metodologie, così come avviene per altri campi d’azione in cui opera l’indagine tecnica di polizia scientifica, quali la balistica o la genetica, al fine di garantirne l’attendibilità in sede di valutazione.
In virtù delle modifiche normative citate e in risposta alle esigenze delineate, si
s
ta diffondendo anche in Italia
la disciplina della digital forensics
(già ampiamente diffusa e studiata a livello accademico nel mondo anglosassone), che si pone l’obiettivo di definire corrette metodologie atte a preservare, identificare e studiare le informazioni contenute nei sistemi informativi al fine di evidenziare l’esistenza di prove eventualmente utili allo svolgimento dell’attività investigativa.
Alla digital forensics, prevalentemente associata a un contesto legale o processuale delle attività di investigazione informatica, si sta affiancando la nozione di digital forensics aziendale o
corporate forensics
, con riferimento alle
indagini di natura informatica effettuate all’interno delle organizzazioni
, per la ricostruzione di determinati eventi anche mediante la raccolta di evidenze informatiche a supporto.
In questo specifico ambito, le evidenze informatiche raccolte possono essere utilizzate soltanto ai fini della
conduzione di indagini interne
, ovvero a supporto di una eventuale attività conseguente in sede processuale.
È stato infatti correttamente rilevato come i fini della corporate forensics siano sovente i medesimi di quelli della digital forensics, ovvero di
“scoprire un determinato fatto, le sue prove, i collegamenti ad uno o più soggetti, valutare se tale fatto è nocivo o meno ed elaborare dei metodi correttivi per arrivare a tali fini”
. L’eventualità che le attività di indagine interna possano sfociare in azioni esterne rende dunque opportuna l’adozione delle
medesime metodologie utilizzabili
per le finalità processuali, in applicazione dei principi della digital forensics.
Linee Guida per le banche
Emerge dunque l’opportunità di strutturare un approfondimento specifico sulle modalità di applicazione della disciplina della digital forensics al mondo bancario mediante la redazione di apposite Linee Guida. Il progetto nasce nell’ambito delle attività della Centrale d’Allarme
ABI Lab
per Attacchi Informatici, il presidio di riferimento del settore bancario sulle tematiche inerenti la sicurezza informatica, con la collaborazione del Politecnico di Milano e di spike Reply, partner tecnologici dell’Osservatorio.
Nel corso del 2010 è stata condotta un’indagine conoscitiva che ha coinvolto le banche del Tavolo Tecnico della Centrale d’Allarme e che ha consentito di raccogliere indicazioni in merito alla percezione e alle esperienze sviluppate in materia di digital forensics nelle banche italiane.
Dalle analisi condotte è emerso come sempre più frequentemente all’interno degli istituti bancari siano condotte
attività di investigazione di natura informatica in maniera preventiva,
indipendentemente dalla percezione o convinzione di trovarsi di fronte a un illecito.
Nell’ultimo trimestre del 2010 si sono rese comunque necessarie attività di investigazione mirate nel 76% delle realtà intervistate; di queste, soltanto nel 61% dei casi sono state utilizzate metodologie proprie della digital forensics
.
L’opportunità di definire dei processi di indagine preventiva e reattiva in maniera strutturata non sembra ancora rappresentare una priorità per le banche. Nel 95% dei casi, infatti, la gestione delle investigazioni di natura informatica non è stata formalmente assegnata ad una specifica area o struttura aziendale. I due terzi del campione dichiara di non aver provveduto a identificare a priori e secondo una procedura formale terze parti, come ad esempio società di consulenza specializzate, legali, investigatori privati, unità specifiche all’interno delle Forze dell’Ordine, da coinvolgere qualora fosse necessario condurre investigazioni del tipo. Si evidenzia come la situazione descritta possa ragionevolmente portare a ritardi e inefficienze in un contesto in cui la tempestività spesso rappresenta un fattore determinante.
Security o Fraud Manager?
Dal punto di vista organizzativo rileva notare che, sebbene nell’84% dei casi sia definita una procedura formale di gestione degli accadimenti illeciti di natura informatica, tale procedimento recepisce i principi propri della digital forensics per la definizione dei criteri di acquisizione, analisi e preservazione delle evidenze informatiche ai fini di un eventuale utilizzo in sede processuale soltanto nel 23% delle realtà analizzate.
Con riferimento poi alle risorse interne coinvolte, in caso di accadimento di un evento illecito di natura informatica il processo di investigazione viene seguito dal Security Manager (80%) o dal Fraud Manager (62%). Indagini interne sono seguite in un numero limitato di situazioni direttamente dal responsabile delle risorse umane (20%), mentre nel 18% dei casi si registra il coinvolgimento di soggetti esterni, nello specifico le
Forze dell’Ordine e figure legali
.
Tre ambiti da considerare
Ulteriore finalità del documento consiste nell’avvio di un
processo di sensibilizzazione
sul tema della digital forensics, disciplina che sembra destinata a divenire sempre più rilevante in un settore come quello bancario, all’interno del quale si rileva a oggi la limitata diffusione di approcci corretti e strutturati in merito alla identificazione, raccolta e trattamento delle evidenze informatiche per finalità forensi.
Le Linee Guida definiscono un set organizzato di regole di comportamento generali, chiare e condivise, che costituiscono un valido strumento di supporto per gli istituti bancari che intendano avviare dei progetti di implementazione di procedure e tecnologie in ottica di digital forensics. In considerazione delle diverse realtà organizzative nelle quali tali indicazioni potrebbero trovare applicazione, nonché delle differenti modalità di gestione (maggiore attenzione ad aspetti di natura legale piuttosto che tecnica, preferenza di approcci di tipo preventivo piuttosto che reattivo, etc.) e delle specifiche criticità esistenti, l’approccio adottato prevede una trattazione generale che prescinda da specifici riferimenti di natura tecnologica.
Rispetto poi al carattere multidisciplinare della materia, all’interno delle Linee Guida gli approfondimenti sono stati condotti sotto un
profilo legale
(normative applicabili, problematiche giuridiche di maggior rilievo, etc.),
metodologico
(impostazione delle attività, strumenti disponibili, etc.) e
tecnologico
, al fine di promuovere l’adozione di una logica di intervento improntata all’
armonizzazione
degli aspetti gestionali, legali e tecnici
,
auspicando la realizzazione di un approccio preventivo in previsione di accadimenti illeciti di natura informatica.
Altri articoli dello Speciale “Banche e Sicurezza 2011”:
Attacchi agli sportelli e bottino complessivo mai così bassi da oltre 20 anni. I dati Ossif fotografano i successi delle banche, ma anche come il fenomeno rapina cresca negli altri settori, dalle farmacie ai supermercati. Al via una nuova strategia di contrasto comune
Il netto calo delle rapine dipende anche dall’efficacia degli strumenti di contrasto adottati dalle banche
Aumentano gli investimenti per contrastare le frodi e gli attacchi ai clienti sia allo sportello sia online. A rischio l'immagine della banca e il rapporto con il cliente
Tecnologie, soluzioni e strategie per la difesa a tutto campo presentate a Banche e Sicurezza 2011