Download - Corso di informatica giuridica
Corso di Informatica GiuridicaDispense didattiche a cura di Alessandro
Prunesti – A.A. 2010-2011http://alessandroprunesti.wordpress.com
Origini dell’informatica giuridica
Caratteristiche della posta elettronica certificata (PEC)
http://alessandroprunesti.wordpress.com
Le origini dell’informatica giuridica
La giurimetria Nel 1949 Lee Loevinger, manager e giurista americano, fonda la giurimetria: una nuova disciplina che ha il compito di indagare in modo scientifico i problemi giuridici. Essa ha 3 campi di applicazione:
Per informatica giuridica si intende l’uso dei calcolatori elettronici nel campo del dirittoNel 1946 Norbert Wiener, fondatore della cibernetica, teorizza la possibilità di applicare al diritto i meccanismi e i principi della cibernetica
Ambito behavioristico previsionale
Negli USA vige il common law e il principio del precedente giurisdizionale vincolante, ossia dello stare decisisScienza giuridica intesa come lo studio del comportamento dei giudiciRicorso a metodi statistici facilmente computerizzabili per prevedere l comportamento dei giudici di fronte a determinati casiQuesto ambito di applicazione si esaurisce nella cultura giuridica americana e lambisce appena l’Europa, dove vige il civil law e la fonte principale del diritto è la legge scritta
http://alessandroprunesti.wordpress.com
Ambito informativo
Raccolta e ricerca automatica delle informazioni giuridiche Questo ambito passa in Europa dove l’inflazione normativa è enormeDiviene il campo di maggiore applicazione dei calcolatori e prende il nome di informatica giuridica documentata
Ambito logico decisionale
Rappresentazione logica del diritto e formalizzazione del ragionamento giuridicoQuesto ambito viene sviluppato sia nel mondo anglosassone sia in quello europeo, e prende il nome di informatica giuridica decisionale o metadocumentaria
http://alessandroprunesti.wordpress.com
Gli strumenti dell’informatica giuridica, oggi
Producono informazione su problemi e argomentiDagli anni ‘60 a oggiBanche dati
Producono conoscenza su problemi (soluzioni, pareri, decisioni, consulenza, ecc.)
Dagli anni ‘70 a oggiSistemi esperti
Da metà anni ‘70 a oggiSistemi per la redazione
degli atti legali
Producono atti e documentiAiutano la redazione fomrale dei documenti giuridici (eggi, sentenze, contratti, ecc.)
Da metà anni ‘70 a oggiSistemi manageriali
Producono procedure di gestione tese a favorire l’automazione dell’ufficio legale
Producono processi di apprendimento utili ad insegnare il diritto
Da anni ‘80 ad oggi
http://alessandroprunesti.wordpress.com
Banche dati giuridiche
http://alessandroprunesti.wordpress.com
Le risorse informativo-giuridiche nel web
•Italgiure della Corte di Cassazione•Infoleges•Leggi d’Italia professionale della De Agostini•InfoUtet•Juris Data della Giuffré•Guritel dell’Istituto Poligrafico e Zecca dello Stato•Parlamento Italiano•LeggiWeb
•Foro Italiano della Zanichelli•Dottina Giuridica (DOGI) del CNR•Corte Costituzionale•Banca dati della Segreteria Generale della giustizia amministrativa•Banca dati della Corte dei Conti
http://alessandroprunesti.wordpress.com
•IusSeek•Ricerca Giuridica•Mapilex•Juranet•Yahoo Law•Diritto e Diritti•Cicerone•Diritto e-spresso•DFP•Lexitalia•Portale IPSOA•QuidJuris
http://alessandroprunesti.wordpress.com
Il documento elettronico e la conservazione sostitutivahttp://alessandroprunesti.wordpress.com
Il documento digitale è pienamente regolamentato dal nostro Legislatore, ma ancora oggi fatica a prendere piede all’interno degli studi legali.Questo accade nonostante si provato che esso consenta di godere di immediati e diretti benefici.
Pensate che la gestione della documentazione cartacea ha un impatto sull’economia del nostro Paese stimabile tra i 42 e i 70 miliari di Euro.(Fonte: primo rapporto dell’Osservatorio sul documento digitale, Info Camere – Net Consulting).
Quali norme e regolamenti prevedono il documento digitale?
http://alessandroprunesti.wordpress.com
Decreto legislativo 12 febbraio 1993, n. 39 (norme in materia di sistemi informativi automatizzati delle amministrazioni pubbliche)
All’art. 176, comma 3, del decreto legislativo 2003, n. 196 (decreto istitutivo del Centro nazionale per l'informatica nella pubblica amministrazione)
DPR 28/12/2000 n. 445 (Disposizioni legislative in materia di documentazione amministrativa)
Deliberazione AIPA n. 42 del 13 dicembre 2001, sostituita dalla
DELIBERAZIONE AIPA 19 febbraio 2004: (Regole tecniche per la riproduzione e conservazione di documenti su supporto ottico idoneo a garantire la conformità dei documenti agli originali )
Queste norme hanno introdotto la facoltà di utilizzare la procedura della conservazione sostitutiva. Essa è la procedura che consente di garantire nel tempo la validità legale di un documento informatico.
Principali norme e regolamenti che prevedono il documento digitale
http://alessandroprunesti.wordpress.com
L’organo preposto a questa funzione
CNIPA
http://alessandroprunesti.wordpress.com
Princìpi generali della conservazione sostitutiva
La conservazione sostitutiva equipara, sotto certe condizioni, i documenti cartacei con quelli elettronici e permette alle aziende e all'amministrazione pubblica di risparmiare sui costi di stampa, conservazione e archiviazione.
Il risparmio è particolarmente alto per la documentazione che deve essere, a norma di legge, conservata per più anni.
Conservare digitalmente significa sostituire i documenti cartacei, che per legge alcuni soggetti giuridici sono tenuti a conservare, con l'equivalente documento in formato digitale che viene “bloccato” nella forma, contenuto e tempo attraverso la firma digitale e la marcatura temporale.
È infatti la tecnologia della firma digitale che permette di dare la paternità e rendere immodificabile un documento informatico, affiancata poi dalla marcatura temporale permette di datare in modo certo il documento digitale prodotto.
http://alessandroprunesti.wordpress.com
Art. 3 comma 1: Conservazione sostitutiva di documenti informatici
La conservazione sostitutiva di documenti informatici e, eventualmente, anche delle loro impronte, avviene attraverso la memorizzazione in supporti idonei (anche non ottici) e si esaurisce con l'apposizione del riferimento temporale e della firma digitale da parte del responsabile della conservazione che attesta il corretto svolgimento del processo.
Art. 3 comma 2: Conservazione sostitutiva di documenti analogici
Per quanto concerne la conservazione sostitutiva di documenti analogici, l'operazione avviene attraverso la memorizzazione della relativa immagine direttamente sui supporti ottici. L'operazione continua poi con l'apposizione sull'insieme dei documenti o su una evidenza informatica contenente una o più impronte dei documenti o di insiemi di essi, del riferimento temporale e della firma digitale da parte del responsabile della conservazione che attesta così lo svolgimento corretto del processo.
Deliberazione Cnipa 19 febbraio 2004
(Regole tecniche per la riproduzione e conservazione di documenti su supporto ottico
idoneo a garantire la conformità dei documenti agli originali )
http://alessandroprunesti.wordpress.com
Actalis S.p.A. (dal 28/03/2002) Aruba Posta Elettronica Certificata S.p.A. (dal 06/12/2007) Banca d’Italia (dal 24/01/2008) Banca Monte dei Paschi di Siena S.p.A. (dal 03/08/2004) Cedacri S.p.A. (dal 15/11/2001 - Nuova denominazione sociale della Cedacrinord S.p.A.) CNDCEC (dal 10/07/2008) CNIPA (dal 15/03/2001) Comando C4 - IEW (dal 10/04/2003 - Nuova denominazione Comando Trasmissioni e
Informazioni Esercito) Consiglio Nazionale del Notariato (dal 12/09/2002) Consiglio Nazionale Forense (dal 11/12/2003) Consorzio Certicomm (dal 23/06/2005) I.T. Telecom S.r.l. (dal 13/01/2005) In.Te.S.A. S.p.A. (dal 22/03/2001) Infocert S.p.A. (dal 19/07/2007) Intesa Sanpaolo S.p.A. (dal 08/04/2004 - risultato della fusione per incorporazione del
Sanpaolo IMI in Banca Intesa e conseguente cambio di denominazione sociale) Lombardia Integrata S.p.A. (dal 17/08/2004) Postecom S.p.A. (dal 20/04/2000) SOGEI S.p.A. (dal 26/02/2004)
Elenco dei certificatori di firma digitale riconoscuti da DigitPA
http://alessandroprunesti.wordpress.com
In pratica, come può avvenire il procedimento di conservazione sostitutiva?
1. Si passano sullo scanner i documenti cartacei, memorizzandoli in formato elettronico;2. questi documenti vengono “marcati” con impronte elettroniche che li identifichino
per contenuto, sorgente e data, consentendoli di archiviarli e di conservarli nel formato elettronico.
I faldoni dello studio legale possono dunque essere sostitutiti da un archivio elettronico secondo le regole imposte dalla legge e dai regolamenti, che prevedono un meccanismo strutturato in fasi precise:
• Registrazione• Apposizione della firma digitale• Autenticazione da parte dell’organo certificatore• Controllo da parte degli organi di verifica.
Quindi atti, contratti e fatture potranno essere gestiti nel formato digitale senza perdere la sicurezza della conservazione e la certezza della loro data, fonte e contenuto.
http://alessandroprunesti.wordpress.com
Possibili vantaggi
• I tempi di ricerca dei documenti si accorciano fino all’80%
• Il numero dei documenti persi si riduce del 90%
• Avere a disposizione sul computer tutto l’archivio è inoltre un ottimo punto di partenza per la gestione di sistemi di knowledge sharing (condivisione della conoscenza), perché offre a tutti i componenti dello studio la possibilità di consultare contemporaneamente tutti gli atti.
http://alessandroprunesti.wordpress.com
FIRMA ELETTRONICA
http://alessandroprunesti.wordpress.com
Cos’è la firma digitale
È un sistema a chiavi crittografiche asimmetriche che utilizza un certificato digitale con particolari caratteristiche.
Viene rilasciato da un soggetto con specifiche capacità professionali garantite dallo Stato e viene creata mediante un dispositivo con elevate caratteristiche di sicurezza.
Nell’utilizzo del documento informatico, quando si ha la necessità di una sottoscrizione equivalente a quella autografa, è indispensabile utilizzare la firma digitale.
http://alessandroprunesti.wordpress.com
Quando è utileLa firma elettronica è utile quando è necessario sottoscrivere una dichiarazione ottenendo la garanzia di integrità dei dati oggetto della sottoscrizione e di autenticità delle informazioni relative al sottoscrittore.
Elementi di garanzia della firma elettronica:
1 – Il documento firmato elettronicamente non può essere modificato in alcun modo perché solo il titolare del certificato può aver sottoscritto il documento. Questo perché:
•Possiede il dispositivo di firma (smartcard o token USB)
•E’ l’unico a conoscere il PIN necessario a utilizzare il dispositivo stesso
2 – Il certificatore garantisce la veridicità e la correttezza delle informazioni riportate nel certificato (i dati anagrafici del titolare). Queste forniscono allo strumento firma digitale caratteristiche tali da non consentire al sottoscrittore di disconoscere la propria firma digitale (salvo la possibilità di querela di falso).
http://alessandroprunesti.wordpress.com
Esempi di uso della firma elettronica
• Uso pubblico: denunce, dichiarazioni di cambio residenza o domicilio, richieste di contributi ed esenzioni, ricorsi, ecc.
• Uso privato: sottoscrizione di contratti, verbali di riunioni, risposte a bandi di gara, ecc.
Alcuni comuni che partecipano alla sperimentazione della carta d’identità elettronicahanno dotato i propri cittadini dei dispositivi di firma elettronica, attraverso i quali possono sottoscrivere dichiarazioni, denunce, ricorsi direttamente online.
http://alessandroprunesti.wordpress.com
Equivalenza alla firma autografaLa firma elettronica è equivalente alla firma autografa quando essa soddisfa quattro
requisiti:
1. Deve essere basata su un sistema a chiavi asimmetriche: Deve essere generata con chiavi certificate con le modalità previste nell’allegato I della Direttiva Europea 1999/93/CE sulle firme elettroniche (procedure tecniche specifiche e precise)
2. Deve essere riconducibile a un sistema di chiavi provenienti da un certificatore operante secondo l’allegato II della direttiva e soggetto a vigilanza
3. Deve essere generata utilizzando un dispositivo sicuro che soddisfi i requisiti dell’allegato III.
4. I certificatori iscritti nell’elenco pubblico dei certificatori hanno di fatto le caratteristiche per essere considerati “accreditati”.
http://alessandroprunesti.wordpress.com
Valore legale della firma digitale in Italia
Alla firma digitale che soddisfi i 3 requisiti:
1. Criteri avanzati di elaborazione2. Basata su un certificato qualificato3. Generata attraverso un dispositivo sicuro
Viene data la medesima validità giuridica di una firma autografaautenticata da un pubblico ufficiale.
A tutte le altre tipologie di firma elettronica (ove cioè manchino i 3 o uno dei 3 requisiti di cui sopra) viene esplicitamente conferito valore probatorio, che dovrà però essere analizzato di volta in volta dal giudice nel corso del procedimento legale
http://alessandroprunesti.wordpress.com
Come dotarsi di firma digitale
Per poter generare firme digitali è necessario essere dotati di:
1. Un dispositivo sicuro per la generazione delle firme (smartcard o token USB)
2. Un software in grado di interagire con il dispositivo per la generazione di firme digitali e per la gestione del dispositivo stesso (es. per il cambio del PIN che ne consente l’uso)
Il certificato ha una scadenza, e per questo va rinnovato periodicamente. In genere ha una validità da 1 a 3 anni
http://alessandroprunesti.wordpress.com
In che modo si ottiene il kit di firma digitale
I soggetti che intendono utilizzare la firma digitale devono:
1. Recarsi presso la sede del certificatore per identificarsi
2. sottoscrivere il contratto di servizio e fornitura
3. consegnare l’eventuale documentazione comprovante il possesso dei requisiti richiesti dal certificatore
Le procedure specifiche sono presenti nel manuale operativo di ogni certificatore
http://alessandroprunesti.wordpress.com
Come creare la firma digitale
Occorre considerare:
Chiave privata: utilizzata dal sottoscrittore della firma digitale
Chiave pubblica: è la chiave della quale usufruirà il destinatario del documento per verificare la validità della chiave privata.
Questa viene trasmessa on line al destinatario del documento direttamente dall’ente certificatore (CA), attraverso un apposito software.
http://alessandroprunesti.wordpress.com
1. Occorre disporre di un PC al quale è collegato il lettore/scrittore di smartcard
2. Aprire il software di firma digitale, che ci chiederà di selezionare il documento da sottoscrivere e di inserire la smart card nel lettore, nel caso in cui ancora non avessimo provveduto a farlo
3. Inserire il codice PIN della smart card4. Salvare il file appena sottoscritto, ora pronto ad essere utilizzato5. Il file sottoscritto conserva il suo nome originale, al quale viene aggiunta
l’estensione .p7m
Ad esempio il file contratto.pdf, dopo la sottoscrizione della firma elettronica, sarà salvato come contratto.pdf.p7m
Operazioni da compiere per la sottoscrizione della firma elettronica
http://alessandroprunesti.wordpress.com
La procedura di verifica della firma elettronica
La procedura di verifica della firma elettronica apposta su un documento informatico consente di verificare che:
• Il documento non è stato modificato dopo la firma• Il certificato del sottoscrittore è garantito da una
Autorità di Certificazione inclusa nell’elenco Pubblico dei Certificatori
• Il certificato del sottoscrittore non sia stato sospeso o revocato
http://alessandroprunesti.wordpress.com
Per eseguire queste verifiche, oltre che per rendere leggibile il contenuto del documento, sono utilizzati specifici software. Questi software:
• Sono forniti dai certificatori ai titolari dei certificati di firma elettronica
Ovvero
• In linea di principio, possono essere liberamente da Internet dai comuni cittadini, coloro cioè che non possiedono un kit di firma digitale (es: Firma OK)
http://alessandroprunesti.wordpress.com
Operazioni da compiere per la verifica della firma elettronica
E’ necessario disporre di un PC (ma non è necessario disporre di un lettore di smartcard.
E’ necessario dotarsi di un software utile per la verifica del documento e di un collegamento a Internet
E’ necessario che il software di verifica sia aggiornato, cioè abbia caricato in memoria i certificati delle Autorità di Certificazione (CA) necessari per la verifica.
Quando si cercherà di aprire il documento firmato elettronicamente, il software di verifica si collegherà via internet alla lista di revoca dove il certificatore che ha emesso il certificato renderà disponibili le informazioni relative alla sospensione o alla revoca del certificato, nel caso in cui questo si verifichi.
http://alessandroprunesti.wordpress.com
http://alessandroprunesti.wordpress.com
A questo punto sappiamo che la sottoscrizione del documento in questione è perfettamente valida, sappiamo chi ha sottoscritto il documento, epossiamo procedere a salvare copia del documento nel formato originale per lavisualizzazione.
Selezionando quindi “Salva documento” dallafinestra principale ci vienechiesto dove salvare il documento acui viene tolta la firma digitale.
Il documento da conservare con le cure del caso è quello inizialmentericevuto, quello che contiene la firma digitale, riconoscibile dall’estensione “p7m”.
Altri prodotti possono ovviamente avere un’interfaccia grafica diversa, modalità operative peculiari, fermo
restando che devono possedere funzionalità atte ad eseguire le verifiche descritte precedentemente.
Posta Elettronica Certificata - PEChttp://alessandroprunesti.wordpress.com
34
La posta elettronica certificata
• La Posta Elettronica Certificata (PEC) è un sistema di posta elettronica nel quale è fornita al mittente documentazione elettronica, con valenza legale, attestante l'invio e la consegna di documenti informatici
• "Certificare" l'invio e la ricezione - i due momenti fondamentali nella trasmissione dei documenti informatici -significa fornire al mittente, dal proprio gestore di posta, una ricevuta che costituisce prova legale dell’avvenuta spedizione del messaggio e dell’eventuale allegata documentazione.Allo stesso modo, quando il messaggio perviene al destinatario, il gestore invia al mittente la ricevuta di avvenuta (o mancata) consegna con precisa indicazione temporale
http://alessandroprunesti.wordpress.com
35
DPR 11 febbraio 2005, n. 68
• Nel caso in cui il mittente smarrisca le ricevute, la traccia informatica delle operazioni svolte, conservata per legge per un periodo di 30 mesi, consente la riproduzione, con lo stesso valore giuridico, delle ricevute stesse.
Il DPR 11 febbraio 2005, n. 68 (G.U. 28 aprile 2005, n. 97) (PDF) disciplina le modalità di utilizzo della Posta Elettronica Certificata (PEC) non solo nei rapporti con la PA, ma anche tra privati cittadini.
http://alessandroprunesti.wordpress.com
36
DPR 11 febbraio 2005, n. 68
1. nella catena di trasmissione potranno scambiarsi le e-mail certificate sia i privati, sia le PA.
Saranno i gestori del servizio (art. 14), iscritti in apposito elenco tenuto dal Cnipa (che verificherà i requisiti soggettivi ed oggettivi inerenti ad esempio alla capacità ed esperienza tecnico-organizzativa, alla dimestichezza con procedure e metodi per la gestione della sicurezza, alla certificazione ISO9000 del processo), a fare da garanti dell'avvenuta consegna.
http://alessandroprunesti.wordpress.com
37
DPR 11 febbraio 2005, n. 68
2) per iscriversi nell'elenco, i gestori del servizio dovranno possedere un capitale sociale minimo non inferiore a un milione di euro e presentare una polizza assicurativa contro i rischi derivanti dall'attività di gestore;
3) I messaggi vengono sottoscritti automaticamente da parte dei gestori con firme elettroniche. Tali firme sono apposte su tutte le tipologie di messaggi PEC ed in particolare sulle buste di trasporto e sulle ricevute per assicurare l’integrità e l’autenticità del messaggio;
4) i tempi di conservazione: i gestori dovranno conservare traccia delle operazioni per 30 mesi;
http://alessandroprunesti.wordpress.com
38
DPR 11 febbraio 2005, n. 68
5)i virus: i gestori sono tenuti a verificare l'eventuale presenza di virus nelle e-mail ed informare in caso positivo il mittente, bloccandone la trasmissione (art. 12);
6)le imprese, nei rapporti intercorrenti, potranno dichiarare l'esplicita volontà di accettare l'invio di PEC mediante indicazione nell'atto di iscrizione delle imprese.
http://alessandroprunesti.wordpress.com
Caratteristiche della posta elettronica certificata (PEC)
La PEC, in confronto alla e-mail tradizionale, assicura:
• L’identificazione precisa e dettagliata del mittente;• l’integrità del messaggio spedito;• La certezza dell’invio e/o della ricezione;• La perfetta corrispondenza e integrità tra il messaggio ricevuto daldestinatario e quello inviato dal mittente
Il Decreto Ministeriale pubblicato nella G.U. del 15 novembre 2005, n. 266 contiene le “Regole tecniche per la formazione, la trasmissione e la validazione, anche temporale, della posta elettronica certificata" , ossia tutti i requisiti tecnico-funzionali che devono
essere rispettati dalle piattaforme utilizzate per erogare il servizio.
http://alessandroprunesti.wordpress.com
40
intestazione
testo
allegati
Mittente: PEC Tipo di messaggio
testo
allegati
intesgtazioneOriginal message
or naturallanguage text
Informazioni di certificazione
E-mail tradizionale
Posta elettronica certificata
Mittente,Indirizzo,Oggetto,Data
Provider di posta elettronica certificata
CNIPA
Documenti con firma digitale
Struttura PEC
Caratteristiche della posta elettronica certificata (PEC)
http://alessandroprunesti.wordpress.com
41
1 – scrittura del messaggio e connessione
con il provider
2 – identificazione dell’utente e verifica di
sicurezza
3 – ricevuta di ricezione
4 – apposizione dei certificati e invio
5 – controllo dell’integrità e dei
certificati
6 – conferma di
validazione dei certificati
7 – invio alla casella di posta elettronica del
destinatario
8 – conferma di ricezione
Invio della posta certificata
Receiver’s PEC domain
Functional schema of PEC
9 –lettura del messaggio
http://alessandroprunesti.wordpress.com
42
Tutti i soggetti della Pubblica Amministrazione che dispongono del serviziodi posta elettronica certificata sono verificabili all’indirizzo:
www.indicepa.gov.it.
L’icona indica la presenza della casella di posta
elettronica certificata
http://alessandroprunesti.wordpress.com
43
Diffusione della PEC in Italia
Altri
9%Industria
18%
Enti di Pubblica Amministrazione
32%
Sanità
2%
Università
o enti di
ricerca, 1%
associations,
unioni e
federazioni
4%Camere di
commercio
12%
banche,finanza,
assicurazioni20%
Welfare
2%
ELENCO PUBBLICO DEI GESTORI(ai sensi del DPR 11 febbraio 2005, n. 68 - G.U. 28 aprile 2005, n. 97)
Cliccare qui per visualizzarlo
http://alessandroprunesti.wordpress.com
Il CODICE DELL’AMMISTRAZIONE DIGITALE
http://alessandroprunesti.wordpress.com
http://www.digitpa.gov.it/amministrazione-digitale/CAD-testo-vigente
DECRETO LEGISLATIVO 30 dicembre 2010, n. 235
http://alessandroprunesti.wordpress.com
http://alessandroprunesti.wordpress.com
http://alessandroprunesti.wordpress.com
http://alessandroprunesti.wordpress.com
http://alessandroprunesti.wordpress.com
http://alessandroprunesti.wordpress.com
http://alessandroprunesti.wordpress.com
http://alessandroprunesti.wordpress.com
http://alessandroprunesti.wordpress.com
http://alessandroprunesti.wordpress.com
http://alessandroprunesti.wordpress.com
http://alessandroprunesti.wordpress.com
http://alessandroprunesti.wordpress.com
http://alessandroprunesti.wordpress.com
http://alessandroprunesti.wordpress.com
http://alessandroprunesti.wordpress.com
http://alessandroprunesti.wordpress.com
http://alessandroprunesti.wordpress.comhttp://alessandroprunesti.wordpress.com
http://alessandroprunesti.wordpress.com
http://alessandroprunesti.wordpress.com
http://alessandroprunesti.wordpress.com
http://alessandroprunesti.wordpress.com
http://alessandroprunesti.wordpress.com
http://alessandroprunesti.wordpress.com
http://alessandroprunesti.wordpress.com
Diritto processuale penale dell’informatica e investigazioni informatiche
http://alessandroprunesti.wordpress.com
La computer Forensics
E’ la disciplina che si occupa della preservazione, dell’identificazione, dello studio, delle informazioni contenute nei computer, o nei sistemi informativi in generale, al fine di evidenziare l’esistenza di prove
utili allo svolgimento dell’attività investigativa
Ghirardini-Faggioli, Computer Forensics, 2009
•Network forensics acquisizione dei dati in transito su una rete telematica•Mobile Forensics analisi dei telefoni cellulari, palmari e tablet
http://alessandroprunesti.wordpress.com
http://alessandroprunesti.wordpress.com
Il processo di digitalizzazione delle informazioni
relative alla vita personale e lavorativa di ogni individuo pone dunque le basi per la nascita di questa disciplina che ha come scopo quello di identificare, acquisire, analizzare e catalogare i dati presenti nei dispositivi elettronici per il loro uso in giudizio.
L’interpretazione del dato acquisito, infatti, diviene
l’aspetto principale della computer forensics che si
pone l’obiettivo di ricostruire gli eventi di un crimine attraverso l’analisi di un sistema informatico e dei supporti di memoria in esso contenuti.
http://alessandroprunesti.wordpress.com
Lo studio e l’applicazione di nuove tecniche di computer forensics ha avuto ulteriore impulso dopo l’11 settembre.
Il sempre più frequente ricorso a Internt per la comunicazione delle cellule terroristiche e per gli attacchi a infrastrutture critiche ha spinto i governi a porre in essere nuove misure volte alla lotta e alla prevenzione del terrorismo telematico (cyber terrorismo).
Il sensibile aumento delle intercettazioni telematiche e la facilità di intercettazione di dati su sistemi privi di adeguate misure di sicurezza ha
dato vita all’Anti-forensics studio delle tecnologie al fine di
impedire le indagini e i controlli effettuati con procedure di computer forensics.
Cyber-terrorismo e anti-forensics
http://alessandroprunesti.wordpress.com
La prova digitale
La PROVA DIGITALE è caratterizzata dalle qualità proprie del dato
informatico, ovvero l’immaterialità e la fragilità.
Obiettivo della computer forensics, ai fini della piena validità della prova e della sua utilizzabilità in giudizio, è la verificabilità delle procedure attuate durante l’intera indagine informatica. La trasparenza delle operazioni compiute e la loro ripetibilità innanzi al magistrato giudicante, sono conditiosine qua non di ogni perizia in materia di investigazioni informatiche.
Il valore probatorio della prova informatica è inteso come “capacità
di resistenza ad eventuali contestazioni e capacità di convincimento del giudice, delle parti processuali o di altri soggetti in ordine alla genuinità, non ripudiabilità, imputabilità e integrità del dato stesso e dei fatti dallo stesso dimostrati”
Ziccardi, Lineamenti di informatica giuridica avanzata, 2003
http://alessandroprunesti.wordpress.com
Documento informatico e processo civile
Nel procedimento civile, la prova serve all’attore per dimostrare i fatti costitutivi della pretesa vantata in giudizio e a convincere il magistrato della fondatezza delle proprie richieste. In tale sede assumono particolare rilevanza, a livello probatorio, le prove precostituite, cioè quelle prove formate al di fuori del processo e che vengono prodotte in giudizio dalle parti.Le più importanti prove precostituite sono quelle documentali:Atto pubblico, scrittura privata e riproduzione meccanografica.
Tra le prove documentali rientra anche il documento informatico, la cui
idoneità a soddisfare il requisito della forma scritta è liberamente valutabile in giudizio tenuto conto delle sue caratteristiche oggettive di qualità, sicurezza, integrità e immodificabilità. Identico valore probatorio è previsto anche per il documento informatico sottoscritto con firma elettronica.Il documento informatico sottoscritto con firma digitale o altra firma elettronica qualificata invece, ha valore di prova legale ed assume l’efficacia prevista dall’art. 2702 c.c.
Un qualsiasi documento informatico sottoscritto con firma digitale, prodotto in un giudizio civile, avrà quindi lo stesso valore probatorio previsto per la scrittura privata, salvo che il titolare del dispositivo di firma non proponga la querela di falso, fornendo la prova che la sottoscrizione è avvenuta contro la sua volontà
Codice Amm.ne Digitale - Art. 20 co. 1 Bis: “l’idonetà del documento informatico a soddisfare il requisito della forma scritta è liberamente valutabile in giudizio, tenuto conto delle sue caratteristiche oggettive di qualità, sicurezza, integrità e immodificabilità, fermo restando quanto disposto dal comma 2”
Codice Amm.ne Digitale - Art. 21 co. 1: “Il documento informatico cui è apposta una firma elettonica, sul piano probatoriio è liberamente valutabile in giudizio, tenuto conto delle sue caratteristiche oggettive di qualità, sicurezza, integrità e immodificabili”
Codice Amm.ne Digitale - Art. 21 co. 2 : “Il documento informatico, sottoscritto con firma digitale o con un altro tipo di firma elettronic qualificata, ha l’efficacia prevista dall’ Arrt. 2702 del codice civile. L’utilizzo del dispositivo di firma di presume riconducibile al titolare, salvo che questi dia prova contraria”
Art. 2702 c.c. – Efficacia della scrittura privata : “La scrittura privata fa piena prova, fino a querela di falso, della provenienza delle dichiarazioni da chi l’ha sottoscritta, se colui contro il quale la scrittura è prodotta ne riconosce la sottoscrizione, ovvero se questa è legalmente considerata come riconosciuta”
http://alessandroprunesti.wordpress.com
Gli strumenti di ricerca della prova digitale nel processo penale
Nel giudizio penale, la prova aiuta il magistrato a valutare se la condotta dell’imputato
integri una fattispecie di reato prevista dalla legge.
Il giudice può disporre l’acquisizione di qualunque mezzo di prova ritenuto idoneo all’accertamento dei fatti purché non pregiudichino la libertà morale della persona
(Art. 189 c.p.p.)
Il processo penale, al contrario di quello civile, non è caratterizzato dalla tipicità dei mezzi di prova ammissibili, ma dagli strumenti previsti dal legislatore per la ricerca di fonti di prova a sostegno dell’accusa.
La ricerca dei mezzi di prova ricade principalmente all’interno della delicata fase delle
“indagini preliminari” imperniata sull’attività investigativa svolta dall’autorità
giudiziaria, sotto la direzione e il costante controllo del pubblico ministero e volta ad acquisire elementi di prova che consentano di ricostruire gli eventi e a sostenere, se nel caso, l’accusa.
I mezzi di ricerca della prova previsti dal codice di procedura penale sono le
ispezioni, le perquisizioni, i sequestri e le intercettazioni.
http://alessandroprunesti.wordpress.com
Le ispezioni, disciplinate dall’art. 244 c.p.p., sono disposte con decreto motivato dal
pubblico ministero “quando occorre accertare le tracce e gli altri effetti materiali del reato”.
Art. 8 L.48/2008 “Modifiche al titolo III del libro terzo del c.p.p.” ha aggiunto il seguente periodo: “…anche in relazione a sistemi informatici o telematici, adottando misure tecniche dirette ad assicurare la conservazione dei dati originali e ad impedirne l’alterazione”.
Questa norma introduce il concetto di “misure tecniche” volte all’acquisizione e conservazione del dato digitale, nonché isure per la sua conservazione, elementi mutuati dalle nozioni di base della computer forensics.
Il trattamento del dato digitale nelle fasi di ispezione, perquisizione o sequestro è il momento più delicato della fase investigativa: l’applicazione di un corretto metodo di lavoro è fondamentale per non compromettere informazioni rilevanti per l’impianto accusatorio.
La ricerca della prova digitale si estende, oltre che sui PC, anche su fotocamere digitali, lettori multimediali, pen drive usb, navigatori satellitari, e qualsiasi device disponga di una memoria.
Art. 247 c.p.p.: Le perquisizioni possono essere estese anche ai sistemi informatici, con l’ausilio di personale specializzato.
http://alessandroprunesti.wordpress.com
Art. 254 bis c.p.p.: Il Legislatore, con la L- 48/08, ha formulato una nuova norma inerente
il sequestro di dati informatici presso fornitori di servizi informatici,
telematici e di telecomunicazioni, con espressa previsione dell’obbligo di adozione di opportune misure volte alla tutela dell’integrità del dato acquisito e alla sua conformità al dato originale.
La stessa norma prevede la concreta possibilità di ordinare al service provider di “conservare e proteggere adeguatamente i dati originali” con obbligo, quindi, di evitare che gli stessi vengano alterati o distrutti.
http://alessandroprunesti.wordpress.com
Intercettazioni di comunicazioni e conversazioni telematiche
Oggi i criminali tendono a sostituire le chiamate telefoniche e gli scambi di email con le
comunicazioni VOIP, che consentono comunicazioni difficilmente intercettabili
dalle forze di polizia, perché utilizzano algoritmi di crittografia la cui possibilità decodifica è difficile e, quindi, altamente improbabile.
Skype
Utilizzato da più di 400 milioni di utenti nel mondo, compresi, purtroppo, molti criminali.
Gli algoritmi di cifratura del software sono proprietari.L’impossibilità di intercettare le comunicazioni effettuate via Skypeha portato il Ministero dell’Interno a costituire un pool di esperti con lo scopo specifico di rendere possibile le intercettazioni delle
comunicazioni tra gli utenti.
Per questo motivo, al momento, si privilegiano i vecchi metodi di intercettazione, quali le intercettazioni ambientali, che
consentono però di captare solo una parte della conversazione, soprattutto se uno dei 2 utenti è all’estero.
Nel 2009 Skype ha annunciato di essere pronta a lavorare fianco a fianco di
Eurojust, l’organo istituito nel 2002 allo scopo di promuovere il
coordinamento di indagini e procedimenti giudiziari fra gli Stati membri dell’Ue.
Apertura giudicata cautamente positiva negli ambienti investigativi, visto che in passato Skype aveva affermato di collaborare già con le autorità.
http://ricerca.repubblica.it/repubblica/archivio/repubblica/2009/02/14/su-skype-il-boss-imprendibile.html
http://alessandroprunesti.wordpress.com
http://www.eurojust.europa.eu/
http://alessandroprunesti.wordpress.com
Informatica e Pubblica Amministrazione
Art. 18, comma 2, L. 241/1990: questa norma, anche se ancora largamente inattuata, pone a suo fondamento il principio giuridico, finora sconosciuto alla Pubblica
Amministrazione, dell’inversione dell’onere della prova documentale.
L’obbligo di provare fatti, stati e qualità già note all’amministrazione non è più a carico del cittadino, ma è compito della Pubblica Amministrazione.
L. 241/1990: Nuove norme in materia di procedimento amministrativo e di diritto di accesso ai documenti amministrativi
Con questo principio la pubblica amministrazione si presenta davvero come un servizio rivolto al cittadino.
La telematica e l’informatica sono gli strumenti di base per favorire l’assunzione di questo nuovo ruolo da parte della P.A.
http://alessandroprunesti.wordpress.com
Tutta la normativa in materia è basata sullaL. n. 48/2008
di ratifica ed esecuzione della Convenzione del Consiglio Europeo sulla criminalità informatica, stipulata a Budapest il 23 novembre 2001
Essa ha apportato alcune modifiche alla disciplina penale dei reali informatici, andando a ritoccare fattispecie incriminatrici preesistenti collocate nel libro II c.p. ai titoli V, VII,
XII, XIII e configurandone di nuove.
REATI INFORMATICI
http://alessandroprunesti.wordpress.com
REATI INFORMATICI (art. 635 bis c.p.)
IL reato di danneggiamento informatico è stato introdotto per la prima volta dalla L. 547/1993, che introduce l’art. 635 bis c.p.:
Danneggiamento di informazioni, dati e programmi informatici.
Questo articolo, oltre a modificare il testo della fattispecie in esame, ha introdotto altre 3 figure autonome di reato.
I beni tutelati ex art. 635 bis c.p. sono i dati, le informazioni e i programmi, cioè entità immateriali.
I sistemi informatici e telematici sono protetti dall’art. 635 quarter.
Tale fattispecie, dunque, tutela quello che è il contenuto dei sistemi informatici o telematici.
http://alessandroprunesti.wordpress.com
Condotta: sono quelle già previste dal vecchio art. 635 bis, modellato sulla figura tradizionale del danneggiamento:
Distruggere, deteriorare, rendere inservibili
e quelle nuove, riferibili a dati, informazioni e programmi:
CancellareAlterare
Sopprimere
Aggravanti: Nel caso in cui il danneggiamento di dati informatici o programmi si realizzitramite violenza sulle persone o con minacce, o se il fatto è commesso con l’abusodella qualità di operatore del sistema.Nell’ipotesi semplice: è previsto a querela della persona offesa;Nell’ipotesi aggravata: scatta la perseguibilità d’ufficio.
Art. 635 ter: Danneggiamento di informazioni, dati e programmi informatici utilizzatidallo Stato o da altro ente pubblico, o comunque di pubblica utilità
Tale fattispecie incrimina in forma anticipata fatti analoghi a quelli di cui all’art. 635 bisc.p. commessi però contro programmi utilizzati dallo Stato o da un ente della PubblicaAmministrazione.
http://alessandroprunesti.wordpress.com
Essendo sottesa la rilevanza pubblica, il trattamento sanzionatorio è rigoroso:
Oggetto giuridico: è lo stesso del 635 bis, ma qualificato dalla rilevanza pubblica degli oggetti dell’azione.
Condotta: commettere un fatto diretto a distruggere, danneggiare, cancellare, alterare, sopprimere informazioni, dati e programmi di rilevanza pubblica.
Aggravanti: uso di violenza o minaccia / abuso di qualità di operatore del sistema.
Art. 635 quarter c.p.: danneggiamento di sistemi informatici o telematici
Questa nuova fattispecie di reato prende in considerazione soltanto il danneggiamento di sistemi informatici e telematici concepiti in senso stretto.
http://alessandroprunesti.wordpress.com
Sistema informatico
Complesso organico per l’elaborazione automatizzata dei dati per mezzo di elaboratori elettronici, costituito da componenti materiali (hardware).Vi rientrano anche:•Le carte di pagamento con microprocessore•Le carte di pagamento a banda magnetica
Sistema telematicoComplesso organico per l’elaborazione e la comunicazione a distanza di dati per mezzo di strumenti informatici.
L’ultima riforma ha aumentato le pene previste per il danneggiamento di sistemi informatici e telematici, in quanto a tale reato è stato attribuito un danno maggiore rispetto al danno provocato a dati, programmi e informazioni.
http://alessandroprunesti.wordpress.com
Condotta: Oltre a quelle richiamate già dall’art. 635 bis, introduce nmuove modalità comportamentali:
IntroduzioneTrasmissioneDi dati, informazioni o programmi
Da una delle suddette forme di condotta ne consegue un evento, consistente nella distruzione, danneggiamento, inutilizzabilità, grave ostacolo al funzionamento del sistema informatico.
Aggravanti: le stesse dell’art. 635 bis c.p.
http://alessandroprunesti.wordpress.com
Art. 635 quinques c.p.: danneggiamento di sistemi informatici o telematici di pubblica utilità
Da un punto di vista strutturale, tale norma ripete lo schema dell’art. 635 ter c.p.
Art. 640 quinques c.p.: frode informatica del soggetto che presta servizi di certificazione di firma elettronica
Nel configurare questa nuova fattispecie, il legislatore ha utilizzato lo stesso modello dell’art. 495 bis che punisce le false dichiarazioni sull’identità, lo stato e le qualità personali rese a un certificatore nel caso di apposizione di firma elettronica.
Prima dell’introduzione di questa fattispecie criminosa, la responsabilità del certificatore era soltanto di natura civilistica (ex art. 30, comma 1, Dlgs 82/2005).
I soggetti certificatori sono definiti dall’art. 1, comma 1, lett. G, del Dlgs 82/2005 come quei soggetti che prestano servizi di certificazione delle firme elettroniche o che forniscono altri servizi connessi con queste ultime.
http://alessandroprunesti.wordpress.com
Ad essi è attribuita la possibilità di svolgere i servizi connessi al servizio di certificatore, tra i quali si individuano (secondo quanto stabilità dalla Direttiva 1999/93/CE):
Si tratta dunque di un reato proprio, perché solo il soggetto che presta servizi di certificazione potrà violare gli obblighi previsti dalla legge per il rilascio di un certificato qualificato.
http://alessandroprunesti.wordpress.com
Reati informatici Responsabilità amministrativa degli Enti
La Legge 48/2008 ha inserito nel Dlgs. 231/2001 l’art. 24 bis, estendendo la responsabilità amministrativa degli enti anche ai delitti informatici e al trattamento illecito di dati, in coerenza con l’evoluzione della tecnologia digitale.
Al fine di non incorrere nella responsabilità amministrativa, gli Enti devono dotarsi di un modello: devono, cioè, predisporre preventive e idonee misure di sicurezza e di controllo per prevenire che al loro interno possano configurarsi reati informatici.
L’ente può essere chiamato a rispondere di tale responsabilità solo se colui che commette uno dei reati elencati dal Dlgs. 231/01 sia un soggetto apicale o un suo sottoposto e sempre che il fatto illecito apporti all’ente un interesse o un vantaggio.
http://alessandroprunesti.wordpress.com
Testo consigliato per lo studio
Giancarlo Taddei Elmi, Corso di Informatica giuridica, III Edizione,
Edizioni Simone
http://alessandroprunesti.wordpress.com