Domande e risposte, Informatica giuridica

INDIRIZZO IP

La disciplina:

Art 256 c.p.p. Ordine di esibizione

Art. 132 Codice Privacy

La cd Data Retention

E in Europa??

E i grandi ISP Americani?

La cd Data preservation

La Prova digitale non in rete:

Ispezione – Copia bit stream del device

La polizia giudiziaria, dopo aver trovato le tracce informatiche del reato commesso, ha la possibilità

non solo di redigere il verbale di ispezione, ma anche di acquisire, attraverso una copia bitstream

del supporto di memorizzazione, i dati utili alla prosecuzione dell’indagine.

La copia bitstream è un particolare tipo di duplicazione in cui il contenuto dell’unità fisica viene letto

sequenzialmente caricando la minima quantità di memoria di volta in volta indirizzabile, per poi

registrarla nella stessa sequenza su di un comune file binario generando un file di immagine fisico

del supporto originale che risulta di più facile gestione, rispetto ad altre forme di duplicazione

Perquisizione informatica

Durante una perquisizione locale che abbia ad oggetto supporti informatici, sono necessarie tre

operazioni preliminari:

1. Corretta descrizione dell’ambiente

a. Documentazione fotografica

b. Riprese video

2. Individuazione dei soggetti utilizzatori di tali supporti

a. Verbale di sommarie informazioni di persone informate sui fatti

b. Spontanee dichiarazioni indagato

3. Valutazione del grado di competenze tecniche dell’indagato

a. Elementi accessori ai supporti informatici utili per dimostrare il livello di conoscenze informatiche

dell’indagato

Acquisizione – Sequestro

Rende indisponibile l’oggetto

Il codice di procedura penale prevede tre forme di sequestro:

Preventivo Probatorio

Conservativo 32

Si applica quando vi è Assicura le prove Assicura

pericolo che la libera necessarie l’adempimento

disponibilità di una cosa Per l’accertamento del reato delle obbligazioni

pertinente al reato possa assumendo nell’ambito relative

aggravare o protrarre le della fase investigativa alle pene pecuniarie, alle

conseguenze del reato, una notevole importanza spese processuali ed alle

o (art. 253 c.p.p.) obbligazioni civili

agevolare la derivanti

commissione di altri reati dal reato (art. 316 c.p.p.)

(art. 321 c.p.p.)

Le complessità della digital evidence (Caso Julie Amero)

Una prima caratteristica è data dalla complessità della digital evidence. Il caso Amero ne è una

dimostrazione.

Julie Amero è una supplente della Kelly School di Norwich del Connecticut che venne condannata

per aver mostrato a ragazzi minori di 16 anni immagini pornografiche.

Vedere slide scansione temporale caso Amero

Il caso Amero: Mousetrapping and Pagejacking

Il Mousetrapping e il Pagejacking sono particolare tecniche in forza della quale alcuni siti web

trattengono i

propri visitatori lanciando un’infinita serie di pop-up.

Il processo è stato revisionato, in quanto:

Julie è stata vittima di un mousetrapping, probabilmente generato dall’utilizzo improprio del PC da

parte del docente titolare.

Non è stata rispettata alcuna procedura di digital forensics da parte degli investigatori (nessuna

copia bit

stream e l’attività di analisi effettuata tra il 20 e il 26 ottobre non è stata documentata).

L’avvocato di Julie Amero non riuscì a far acquisire la consulenza tecnica della difesa effettuata sul

computer

L’alibi informatico (Caso Garlasco)

Un’ulteriore, ma fondamentale elemento della digital evidence è l’alterabilità e la capacità di

contenere un innumerevole numero diinformazioni. Il caso di “Garlasco” ne è un chiaro esempio.

Vedere slide scansione temporale caso di Garlasco

L’intercettazione telematica

Le forze di polizia si pongono in un certo punto tra due dispositivi elettronici diciamo tra due

computer e durante la comunicazione riescono ad ottenere la copia del messaggio qualunque

essa sia. Per fare una intercettazione di questo tipo bisogna posizionarsi in un punto della rete

(gateway, router, ecc. ecc.) con autorizzazione del magistrato.

Sue ultime raccomandazioni:

• ricordarsi caratteristiche prova analogica

• ricordarsi differenza tra prova analogica e prova digitale (Metodo di rappresentazione,

Metodo di incorporamento)

• ricordarsi le varie fasi operative

• le due sentenze Lezione del 26/11/2014

Parte legata alla privacy

Trattamento dei dati personali con finalità di marketing: in generale ci sono principi fondamentali:

necessità o limitazione, protezione, trasparenza e legittimazione

Il principio di finalità è quello fondamentale insieme al principio di informativa art 13 T.U. 32

La prima parte del TU è la parte generale. Per completare la normativa di riferimento è il D.Lgs

206/2005, unitamente al, D.Lgs. 196/2003 (codice privacy)e al DLgs. 70/2003 (commercio

elettronico).

Art. 13. Informativa

1. L'interessato o la persona presso la quale sono raccolti i dati personali sono previamente

informati oralmente o per iscritto circa:

a) le finalita' e le modalita' del trattamento cui sono destinati i dati;

b) la natura obbligatoria o facoltativa del conferimento dei dati;

c) le conseguenze di un eventuale rifiuto di rispondere;

d) i soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati o che

possono venirne a conoscenza in qualita' di responsabili o incaricati, e l'ambito di diffusione dei

dati medesimi;

e) i diritti di cui all'articolo 7;

f) gli estremi identificativi del titolare e, se designati, del rappresentante nel territorio dello Stato ai

sensi dell'articolo 5 e del responsabile. Quando il titolare ha designato piu' responsabili e' indicato

almeno uno di essi, indicando il sito della rete di comunicazione o le modalita' attraverso le quali e'

conoscibile in modo agevole l'elenco aggiornato dei responsabili. Quando e' stato designato un

responsabile per il riscontro all'interessato in caso di esercizio dei diritti di cui all'articolo 7, e'

indicato tale responsabile.

2. L'informativa di cui al comma 1 contiene anche gli elementi previsti da specifiche disposizioni

del presente codice e puo' non comprendere gli elementi gia' noti alla persona che fornisce i dati o

la cui conoscenza puo' ostacolare in concreto l'espletamento, da parte di un soggetto pubblico, di

funzioni ispettive o di controllo svolte per finalita' di difesa o sicurezza dello Stato oppure di

prevenzione, accertamento o repressione di reati.

3. Il Garante puo' individuare con proprio provvedimento modalita’ semplificate per l'informativa

fornita in particolare da servizi telefonici di assistenza e informazione al pubblico.

4. Se i dati personali non sono raccolti presso l'interessato, l'informativa di cui al comma 1,

comprensiva delle categorie di dati trattati, e' data al medesimo interessato all'atto della

registrazione dei dati o, quando e' prevista la loro comunicazione, non oltre la prima

comunicazione.

5. La disposizione di cui al comma 4 non si applica quando:

a) i dati sono trattati in base ad un obbligo previsto dalla legge, da un regolamento o dalla

normativa comunitaria;

b) i dati sono trattati ai fini dello svolgimento delle investigazioni difensive di cui alla legge 7

dicembre 2000, n. 397, o, comunque, per far valere o difendere un diritto in sede giudiziaria,

sempre che i dati siano trattati esclusivamente per tali finalita' e per il periodo strettamente

necessario al loro perseguimento;

c) l'informativa all'interessato comporta un impiego di mezzi che il Garante, prescrivendo eventuali

misure appropriate. Dichiari manifestamente sproporzionati rispetto al diritto tutelato, ovvero si

riveli,

a giudizio del Garante, impossibile.

Art. 23 Consenso

1. Il trattamento di dati personali da parte di privati o di enti pubblici economici e' ammesso solo

con il consenso espresso dell'interessato.

2. Il consenso puo' riguardare l'intero trattamento ovvero una o piu' operazioni dello stesso.

3. Il consenso e' validamente prestato solo se e' espresso liberamente e specificamente in

riferimento ad un trattamento chiaramente individuato, se e' documentato per iscritto, e se sono

state rese all'interessato le informazioni di cui all'articolo 13.

4. Il consenso e' manifestato in forma scritta quando il trattamento riguarda dati sensibili.

Il legislatore ha distinto il marketing, per fini commerciali, il quale viene estrinsecato

sostanzialmente attraverso questi mezzi:

il Telemarketing

il Direct marketing

L’E-mail marketing 32

Tutti quanti gli altri mezzi che possono essere utilizzati (sms, mms, ecc. ecc.)

Art. 130 Codice Privacy

1. Fermo restando quanto stabilito dagli articoli 8 e 21 del decreto legislativo 9 aprile 2003, n. 70,

( commercio elettronico ) l'uso di sistemi automatizzati di chiamata o di comunicazione di

chiamata senza l'intervento di un operatore per l'invio di materiale pubblicitario o di vendita diretta

o per il compimento di ricerche di mercato o di comunicazione commerciale è consentito con il

consenso del contraente o utente. (1)

2. La disposizione di cui al comma 1 si applica anche alle comunicazioni elettroniche, effettuate

per le finalità ivi indicate, mediante posta elettronica, telefax, messaggi del tipo Mms (Multimedia

Messaging Service) o Sms (Short Message Service) o di altro tipo.

3. Fuori dei casi di cui ai commi 1 e 2, ulteriori comunicazioni per le finalità di cui ai medesimi

commi effettuate con mezzi diversi da quelli ivi indicati, sono consentite SOLO ai sensi degli articoli

23 e 24 nonché ai sensi di quanto previsto dal comma 3-bis del presente articolo. (2)

3-bis. In deroga a quanto previsto dall'articolo 129, il trattamento dei dati di cui all'articolo 129,

comma 1, mediante l'impiego del telefono e della posta cartacea per le finalità di cui all'articolo 7,

comma 4, lettera b), è consentito nei confronti di chi non abbia esercitato il diritto di opposizione,

con modalità semplificate e anche in via telematica, mediante l'iscrizione della numerazione della

quale è intestatario e degli altri dati personali di cui all'articolo 129, comma 1, in un registro

pubblico delle opposizioni. (3) (opt-in o opt-out)

3-ter. Il registro di cui al comma 3-bis è istituito con decreto del Presidente della Repubblica da

adottare ai sensi dell'articolo 17, comma 2, della legge 23 agosto 1988, n. 400, previa

deliberazione del Consiglio dei ministri, acquisito il parere del Consiglio di Stato e delle

Commissioni parlamentari competenti in materia, che si pronunciano entro trenta giorni dalla

richiesta, nonchè, per i relativi profili di competenz