Informatica forense e forensic readiness

La digitalizzazione delle attività umane e non, nei processi organizzativi di gestione delle fasi di realizzazione di un servizio o di un prodotto, è oggetto, ormai da tempo, di una attenta opera di disciplina normativa, sia da parte del legislatore nazionale, sia da parte del legislatore europeo, che pare destinata a intensificarsi negli anni a venire, con sempre maggiore impatto nelle scelte quotidiane di ogni singola organizzazione.
Si pensi alla necessità di regolamentare fenomeni nuovi dei quali non si conoscono del tutto le potenzialità, sia in termini positivi, sia in termini negativi, quali quelli correlati alla profilazione algoritmica dei comportamenti umani o ancora, alle implicazioni, anche etiche, derivanti dal ricorso sempre più diffuso alle tecnologie di intelligenza artificiale o di robotica.

Obblighi di comunicazione in crescita

Per avere degli esempi di norme nazionali che disciplinano l’attività di elaborazione dei dati, ci si può riferire, oltre che, alle norme cardine contenute nel Codice dell’Amministrazione Digitale (CAD), da una parte, alle norme del codice civile e del codice di procedura civile, in materia di efficacia probatoria dei documenti informatici e, dall’altra, alle norme del codice penale e del codice di procedura penale in materia di crimini informatici e diritto alla prova, quali derivanti dal recepimento, in Italia, della Convenzione di Budapest sulla criminalità informatica del 23 novembre 2001.
Più recentemente, con la legge 18 novembre 2019, n. 133 di Conversione con modificazioni, del decreto-legge 21 settembre 2019, n. 105, recante disposizioni urgenti in materia di perimetro di sicurezza nazionale cibernetica (GU Serie Generale n.272 del 20-11-2019), emanata in attuazione della Direttiva NIS (Network Information Security) il legislatore italiano è intervenuto per disciplinare i confini del perimetro di sicurezza nazionale cibernetica, individuando nuovi obblighi per i soggetti destinatari della norma, assistiti, in alcuni casi da significative sanzioni penali.
Nello specifico, ai sensi dell’art. 1 comma 2 della norma da ultimo citata, entro quattro mesi dallo scorso 21 novembre, data di entrata in vigore della legge, con decreto del Presidente del Consiglio dei ministri, adottato su proposta del Comitato interministeriale per la sicurezza della Repubblica (CISR) saranno individuati le amministrazioni pubbliche, gli enti e gli operatori pubblici e privati, aventi una sede nel territorio nazionale, inclusi nel perimetro di sicurezza nazionale cibernetica e tenuti al rispetto delle misure e degli obblighi previsti.
Rispetto a tali soggetti, si prevede espressamente, anche con riferimento alle vigenti disposizioni di legge in materia di responsabilità amministrativa delle persone giuridiche, di cui al Decreto legislativo 231/2001 che, la mancata comunicazione, nei casi previsti, dell’intenzione di procedere all’affidamento di forniture di beni, sistemi e servizi ICT, nei termini prescritti, sia punita con la sanzione amministrativa pecuniaria da euro 300.000 a euro 1.800.000.
Sul fronte del diritto comunitario, e in particolare in relazione a operazioni di trattamento anche elettronico dei dati personali, il Regolamento Generale 679/2016 (GDPR), ha contribuito ad affermare, nel mondo, una serie di principi e criteri applicabili alla tutela dei diritti della personalità. Tra tutti il diritto alla protezione dei dati personali, con ricadute importanti in termini di obblighi di progettazione dei sistemi informativi e di documentazione delle azioni intraprese per la sicurezza delle operazioni.

Cosa conservare, in che modo e per quanto tempo

Il quadro normativo descritto sopra, del tutto esemplificativo e non esaustivo, nel sancire a carico del soggetto responsabile della attività di elaborazione dati una serie di obblighi importanti – responsabilità da computazione – anche in termini di conservazione delle registrazioni delle attività svolte dai sistemi elettronici impiegati, introduce, a parere di chi scrive, la necessità che siano condivise, nelle organizzazioni, al più alto livello possibile, le scelte relative ad almeno due ordini di problemi.
Il primo, prioritario, correlato all’individuazione, sulla base del dettato normativo, di quali siano le registrazioni da conservare; e il secondo, non meno importante dal punto di vista della protezione sin dalla progettazione del diritto di difesa, correlato alle modalità e ai tempi di conservazione della riservatezza, dell’integrità e della disponibilità delle registrazioni individuate.
Il rischio che si corre, nell’omettere le considerazioni relative alle questioni da ultimo richiamate, è quello dell’assoggettamento dell’organizzazione, in alcuni casi, ma anche delle persone fisiche che la rappresentano, o che ne manifestano la volontà, alle gravi sanzioni pecuniarie, e non solo, previste per i casi di inosservanza.
Ciò poiché, in considerazione della necessità di assicurare continuità ad alcuni servizi vitali, per l’esistenza stessa delle istituzioni democratiche, l’ordinamento richiede, determinando una vera e propria posizione di garanzia in capo al soggetto obbligato, non solo, che i dati, i sistemi, i servizi, le reti, e le risorse impiegate nelle attività di elaborazione elettronica siano identificati, adeguati e protetti, per rispettare i diritti degli interessati, o per impedire che terzi malintenzionati possano farne un uso arbitrario o dannoso per la collettività o le istituzioni. Ma anche che, di quanto precede, sia possibile fornire evidenza – prova – con modalità e procedure adeguate.

La necessità di disporre di evidenze digitali

Logica conseguenza di quanto precede, sembra essere la necessità di individuare, in concreto, tra i ruoli e le responsabilità da assegnare all’interno delle strutture organizzative preposte alla gestione e alla documentazione delle varie fasi correlate all’adempimento delle norme esemplificativamente richiamate, e alle altre applicabili, quelle da dedicare alla creazione di sistemi di gestione delle funzioni proprie dell’informatica forense.
In effetti, ciò che emerge dall’analisi delle diverse norme richiamate è la necessità, prioritaria, di comporre, nel modo più proficiente possibile, le problematiche riferibili alle diverse funzioni di una organizzazione in relazione alla necessità di disporre, in caso di necessità, di evidenze digitali utilizzabili per far valere o difendere un diritto in giudizio.
Sarà, infatti indispensabile, poter fare affidamento su competenze, da certificare, ove possibile, da una parte, relative a fenomeni di elevata complessità tecnica, si pensi, per comprendere appieno il ragionamento, alla conoscenza specialistica necessaria per svolgere analisi di file di log generati da sistemi eterogenei, tra di loro collegati per mezzo di API se non, addirittura nella disponibilità fisica di terzi, e nel contempo, dall’altra parte, relative alla disciplina legale di riferimento, che possano individuare, in determinati casi, con urgenza, quali siano o quali possano essere, nelle fattispecie controverse, le norme specifiche da applicare. Per esempio, per quanto riguarda i tempi di conservazione delle registrazioni degli accessi degli utenti a specifici contenuti, dati o servizi, localizzati all’interno del network aziendale.
Si tratterà quindi, in ultima analisi, nella maggior parte dei casi, di non procrastinare oltre, le indispensabili attività di coordinamento tecnico e organizzativo, attraverso la redazione di apposite procedure e politiche – prima fra tutte quella relativa alla classificazione delle informazioni (Data Classification Policy) – di disciplina delle principali vicende afferenti la generazione, la raccolta, l’acquisizione, l’analisi e la custodia dei dati relativi ai sistemi elettronici impiegati dall’organizzazione, che potranno essere utilizzati come prova.