La cybersicurezza esiste ed è pure garantista (avvisate i russi)
“Procuratori e inquirenti hanno affinato sofistiche tecniche investigative che consentono anche nel campo del cybercrime di produrre in giudizio la ‘probable cause’ di colpevolezza", scrive Cristina Posa
Roma. La lotta al cybercrime rischia di essere poco “garantista”? A sollevare la questione, in occasione della recente conferenza Osce sulla cybersicurezza tenutasi a Roma, è Oleg Khramov, vicesegretario del Consiglio di sicurezza della Federazione russa: “Non c’è dubbio che gli attacchi alla cybersicurezza vadano puniti, ma bisogna prima accertarne la colpa. Invece alcune nazioni sembrano ignorare la presunzione d’innocenza, e hanno designato una parte colpevole sulla base del principio del molto probabile”, sic. A replicargli, seduta stante, è Chris Painter, già coordinatore sulle questioni informatiche per il dipartimento di Stato americano e oggi esponente della Global commission on the stability of cyberspace: “E’ impossibile essere certi al cento percento della provenienza e dell’autore di un attacco ma, in presenza di una moltitudine di prove, ciò non può essere l’alibi per l’inazione”.
Adesso, sul tema spinoso che intreccia sicurezza e stato di diritto, interviene con un articolato dossier, pubblicato sulla rivista Cyber Affairs, Cristina Posa, magistrato di collegamento tra Italia e Stati Uniti.
Lezioni garantiste di paradossale provenienza russa a parte, Posa offre qualche utile precisazione. “Se guardiamo ai fatti, alle modalità di conduzione delle indagini americane nei confronti di alcuni cyberactor maligni di nazionalità russa o sponsorizzati da altri stati, ci rendiamo conto che le accuse espresse dai rappresentanti di Mosca sono prive di fondamento”, dichiara Posa. “Procuratori e inquirenti hanno affinato sofistiche tecniche investigative che, con un approccio multidimensionale, consentono anche nel campo del cybercrime, di per sé coperto da segretezza e anonimato, di produrre in giudizio la ‘probable cause’ di colpevolezza. E’ chiaro che un elevato onere di prova non coincide con lo standard dell’‘oltre ogni ragionevole dubbio’, necessario per ottenere una condanna penale. Tuttavia negli Usa le giurie sono istruite nel senso che la pubblica accusa deve portare in giudizio le prove che escludano qualsiasi ragionevole dubbio riguardo la colpevolezza dell’accusato”. Un esempio è d’aiuto. Nel giugno 2018 il procuratore federale del distretto centrale della California ha ottenuto un mandato di arresto nei confronti del programmatore informatico nordcoreano Park Jin-hyok accusato di aver preso parte a un’associazione a delinquere su scala mondiale con l’obiettivo di condurre attacchi e frodi telematiche per conto del governo della Corea del nord. Le intrusioni informatiche includono la Sony pictures entertainment nel novembre 2014, un cyberfurto di 81 milioni di dollari dalla Bangladesh Bank nel febbraio 2016, e altri cyberattacchi che portano a perdite complessive di oltre un miliardo di dollari. “L’atto accusatorio di 179 pagine è una pietra miliare in quanto descrive dettagliatamente le tecniche d’indagine e di attribuzione di colpevolezza che, nonostante l’oggettiva difficoltà, permettono di individuare i colpevoli. La prova ha incluso non soltanto le analisi forensi delle reti dei computer vittime delle intrusioni e dei malware ma ha anche riguardato informazioni ottenute attraverso circa cento perquisizioni su mille account email e social media, gestiti dai soggetti sotto indagine. Gli investigatori hanno analizzato i profili Facebook impiegati per propagare i malware negli attacchi contro Sony, così come gli hyperlink usati per connettersi ai malware. Le connessioni hanno consentito di risalire a una singola email che conteneva, in allegato, il curriculum di Park, la sua data di nascita e una fotografia”. La collaborazione dei social media si rivela preziosa. “In alcuni casi, è decisiva. L’analisi sui profili social non può essere separata dalla cyberanalisi forense quando l’obiettivo è l’attribuzione della responsabilità penale individuale oltre ogni ragionevole dubbio”.
Le accuse di leso garantismo possono essere rispedite al mittente? “Sono infondate. Anche nelle recenti indagini nei confronti di dodici ufficiali dell’intelligence russa, accusati di interferenze nelle elezioni presidenziali statunitensi del 2016, si sono adoperate tecniche investigative simili a quelle descritte. Le analisi su malware e network delle vittime sono fondamentali ma non bastano. Per ottenere una condanna, occorrono ulteriori categorie di prova, come le informazioni da account online, la traccia di transazioni finanziarie, compresa la criptovaluta, o anche il tradizionale utilizzo di fonti confidenziali umane. L’attribuzione ‘oltre ogni ragionevole dubbio’ è possibile ma richiede un approccio altamente sofisticato e multidimensionale. L’apparato investigativo americano è consapevole della sfida presente”.