Quella dell’informatica forense è un’area di interesse scientifico, tecnico e giuridico che negli ultimi anni ha visto una grande crescita di interesse e di addetti. In conseguenza alla diffusione sempre più capillare di dispositivi digitali e di archiviazione dei dati, si è data la necessità per il legislatore di definire quando e in quali condizioni una prova digitale possa avere valore giuridico e le professionalità e procedure che possono garantire la validità delle prove in un tribunale.

In questo articolo cercheremo di fornire informazioni di base per chi si avvicina a questo argomento e sottolineare la necessità di lavorare con esaminatori forensi certificati. Partiamo da una definizione.

Cosa si intende per informatica forense

L’informatica forense consiste nell’applicazione di tecniche di indagine e analisi per raccogliere e conservare prove, da un particolare dispositivo informatico in un modo che le renda adeguate alla presentazione in un tribunale. L’obiettivo della informatica forense è eseguire un’indagine strutturata mantenendo una catena di prove documentata per scoprire esattamente cosa è successo su un dispositivo informatico e chi ne è responsabile.

Gli analisti forensi in genere seguono una serie di procedure standard: dopo aver isolato fisicamente il dispositivo in questione per assicurarsi che non possa essere contaminato accidentalmente, fanno una copia digitale del supporto di memorizzazione del dispositivo. Una volta che il supporto originale è stato copiato, viene messo al sicuro in cassaforte o in un’altra struttura protetta per mantenerne le condizioni originarie. Tutte le indagini vengono eseguite sulla copia digitale.

Gli analisti utilizzano una varietà di tecniche e applicazioni forensi di software per esaminare la copia, cercare cartelle nascoste e spazio su disco non allocato per copie di file eliminati, crittografati o danneggiati. Qualsiasi prova trovata sulla copia digitale è accuratamente documentata in un rapporto e verificata con l’originale in vista di procedimenti legali che implicano scoperte, deposizioni o controversie legali.

Se pensiamo alla costante diffusione dei dispositivi di archiviazione dei dati nelle vite di tutti noi, dagli ambiti lavorativi a quelli privati, intuiamo l’importanza che questa attività riveste oggi.
L’informatica forense, infatti, è diventata una specifica area di competenza scientifica, con corsi di abilitazione e certificazioni per i laboratori che se ne occupano.

La prova digitale giuridica

Nel corso del tempo, la giurisprudenza ha definito più volte cosa si intenda – in concreto – per prova digitale e tra queste ne vogliamo menzionare due: la prima è stata formulata dall’International Organization on Computer Evidence (IOCE) secondo la quale una electronic evidence “è un’informazione generata, memorizzata e trasmessa attraverso un supporto informatico che può avere valore in tribunale”; la seconda definizione è stata adottata dallo Scientific Working Group on Digital Evidence (SWGDE) secondo la quale costituisce una digital evidence “qualsiasi informazione, con valore probatorio, che sia o meno memorizzata o trasmessa in un formato digitale”.

All’interno di queste definizioni generiche possono essere fatti rientrare anche tutti quei dati in formato analogico come ad esempio le audio e video cassette, le pellicole fotografiche e le telefonate compiute attraverso la rete pubblica che possono diventare fonti di prova perché possono essere digitalizzate, anche se non nascono in formato digitale.

Con la legge n.48 del 18 marzo 2008 è stato di fatto sancito l’introduzione dei principi fondanti dell’Informatica forense nel nostro ordinamento, prevedendo importanti aspetti legati alla gestione delle prove digitali che, per loro natura, presentano caratteristiche di estrema volatilità e fragilità.

Nonostante il legislatore si sia mosso cautamente nell’introdurre i nuovi principi per l’assunzione delle prove informatiche, non indicando cioè nel dettaglio le modalità da applicare, si è comunque focalizzata l’attenzione su due aspetti fondamentali, ovvero la corretta procedura di copia dei dati utili alle indagini e la loro integrità e non alterabilità in sede di acquisizione.

La violazione di questi due aspetti fondamentali o la possibilità di non riuscire a garantirli possono rappresentare, infatti, l’aspetto più compromettente per la validità delle prove e la credibilità dell’analista e del laboratorio di analisi forense.

In cosa consiste un’analisi forense

Le analisi forensi, per loro stessa definizione, devono essere eseguite con grande rigore e da personale abilitato. La procedura standard passa attraverso varie fasi:

• Individuazione: ogni analisi inizia con una fase descrittiva che prevede un sopralluogo e un inventario delle evidenze rinvenute, e una fase tecnica che serve ad impedire che i reperti possano in qualche modo interagire con l’ambiente circostante. Questi vengono isolati fino alla successiva fase;
• Acquisizione: è la fase più delicata perché mentre si opera sui reperti bisogna allo stesso tempo garantire l’inalterabilità di ciò che viene analizzato. Generalmente l’acquisizione dell’evidenza digitale consiste nella creazione della cosiddetta “bit stream image”, ovvero nella copia “bit a bit” del dispositivo oggetto d’indagine. In questo modo è possibile lavorare sulla copia senza rischiare di alterare il reperto originale;
• Analisi: in fase di analisi di effettua una approfondita analisi dei dati presenti all’interno del reperto. È chiaro che in qualsiasi ambito giuridico – controversie civili, penale, cyber terrorismo, frodi informatiche, etc. – l’analisi del reperto prevede procedure di di recupero di dati che risultano cancellati, crittati o in qualche modo alterati. È nella ricostruzione e nel recupero dei dati mancanti, infatti, che spesso si riescono a rintracciare le evidenze di un reato o di una azione illecita.

Queste fasi devono essere accompagnate da una completa ed esaustiva documentazione di quanto fatto nelle singole fasi. Il processo di documentazione, infatti, risulta fondamentale per garantire una corretta gestione della catena di custodia dei reperti.

A conclusione del processo di analisi, l’analista raccoglie il risultato della sua attività in una relazione quanto più possibile dettagliata, corredata da documentazione fotografica o video che mostra tutte le fasi di lavoro con lo scopo di fornire un quadro il più completo possibile. Solo in questo modo – in ambito giuridico – si riesce a garantire la validità delle analisi effettuate.

Se vuoi approfondire questo argomento in modo più dettagliato, non esitare a contattarci all’indirizzo info@italyassistance.it