Cos’è
La “Digital Forensics”, conosciuta anche come informatica forense, è la disciplina che si occupa del trattamento delle informazioni contenute in sistemi informatici (“dati digitali”), al fine di poterli produrre quali elementi di prova in procedimenti civili e penali.
I dati digitali possono essere volatili (dati che sono facilmente alterabili/perdibili in caso di spegnimento del dispositivo che li conserva) e non volatili (conservati in memorie di massa e che non vanno persi in caso di spegnimento del dispositivo).
Questa scienza identifica, analizza e conserva tutti i dati contenuti nei computer, ma anche in tutti gli altri dispositivi digitali (tablet, smartphone, fotocamere digitali, telecamere, navigatori satellitari, sistemi di riconoscimento automatico di voci o immagini, etc.) qualora ritenuti utili allo svolgimento di una attività investigativa.
La digital forensics è una disciplina molta variegata che racchiude diversi ambiti di applicazione. Tra i più noti:
- Computer forensics: vengono analizzati supporti di memorizzazione dei dati, memorie di massa, storage rimovibili, etc.
- Mobile forensics: le indagine vengono effettuate su smartphone, sim card, etc.
- Database forensics: consiste nell’insieme delle tecniche e strumenti per la verifica e l’analisi del database.
- Network forensics: si basa sulla verifica del traffico che transita nelle reti di comunicazione pubbliche e private.
- Cloud forensics: sviluppa metodologie e strumenti per i sistemi cloud, che presentano una serie di specificità rispetto ai sistemi digitali tradizionali, in termini forensici.
La figura che si occupa di tali attività investigative è l’informatico forense.
Il ruolo del “Digital Forensics Expert” o “Informatico Forense”
Il digital forensics expert è un professionista che raccoglie le informazioni contenute all’interno di un dispositivo digitale, che dispone di potenzialità di memorizzazione, con lo scopo di analizzarle e valutarne il valore probatorio nell’ambito di una causa giudiziaria.
Le investigazioni digitali si realizzano in diverse modalità in relazione al caso specifico: a titolo esemplificativo, con l’acquisizione dei dati mediante l’uso di tecniche e metodologie forensi, hashing e chain of custody; mediante l’estrazione di informazioni cancellate o nascoste in un dispositivo digitale; attraverso le indagini post incidente su un server per ricostruirne le dinamiche, etc.
L’informatico forense deve pertanto possedere competenze tecniche ma anche giuridiche altamente specializzate, dovendo garantire procedure conformi alle normative nazionali ed europee oltre alle best practices internazionali.
Queste ultime sono linee guida dettagliate sulle metodologie di acquisizione delle evidenze digitali (es. ISO 27037 – Guidelines for identification, collection, acquisition and preservation of digital evidence).
Le fonti normative
La normativa italiana che si occupa della materia è la Legge n. 48 del 18 Marzo 2008, la ha recepito recepiti i principi fissati dalla Convenzione di Budapest del 2001.
Questa Legge regola il trattamento delle prove digitali e le modalità di ingresso delle stesse nei processi.
Ha, a tutti gli effetti, colmato la lacuna normativa sul tema. Difatti l’unico tentativo realizzato in precedenza lo si rinviene con la Legge n. 547 del 1993, la quale ha introdotto nel codice penale e nel codice di procedura penale modificazioni ed integrazioni in tema di criminalità informatica.
Le fasi
- Identificazione: In questa fase si individuano i dispositivi che potrebbero custodire dati utili all’attività investigativa. Questo processo deve seguire le cd. “best practices”. Il dato raccolto deve essere riconducibile in maniera univoca ed inequivocabile al supporto da cui è estratto.
- Preservazione: In questo stadio, che solitamente viene assorbito in quelli successivi, vengono utilizzati strumenti atti ad impedire una eventuale manomissione dell’evidenza rilevata (es. chain of custody, calcolo dell’hash, copie bit-a-bit, etc.).
- Acquisizione: Una volta identificato il dispositivo viene acquisito il dato digitale. Questa è una fase molto delicata perché occorre preservare l’integrità del dato. Infatti, a tal fine, l’originale non viene mai utilizzato ma si crea una “copia” forense. L’acquisizione può avvenire a dispositivo spento (Post Mortem) o acceso (Live).
- Analisi: Questa fase varia a seconda del caso investigato, dalla tipologia di reato informatico si ritiene sia stato commesso e dai dispositivi rinvenuti. Pertanto si potrà avere una analisi della posta elettronica, della cronologia della navigazione in internet, dei log di accesso, delle attività effettuate su social network, etc.
- Report e Presentazione: I risultati e le conclusioni dedotte devono essere presentati con un linguaggio scevro di tecnicismi, atteso che i destinatari (Giudici, Avvocati, Amministratori di aziende) non sempre possiedono le conoscenze tecniche.
Conclusione
La crescita dei crimini imformatici ha comportato una forte richiesta di queste nuove e fondamentali risorse investigative. Questa scienza digitale forense tradizionalmente è associata alle cause penali, ma assume un ruolo fondamentale anche al di fuori dei Tribunali essendo spesso impiegata in materia civile e aziendale. La figura dell’informatico forense è in forte espansione atteso l’impatto che la tecnologia ha sulla maggior parte degli ambiti professionali, sebbene ad oggi non siano richiesti particolari titoli o certificazioni.
VP
