La prova digitale

L'utilizzo di prove digitali nei tribunali è incrementato considerevolmente nel corso degli ultimi anni, da quando giudici e pubblici ministeri hanno permesso l'utilizzo di e-mail, fotografie digitali, transazioni elettroniche da sistemi ATM e POS, documenti di videoscrittura, rapporti di messaggistica online (instant messages e chat), archivi di programmi di contabilità, fogli elettronici, movimenti svolti su browsers Internet, archivi di database, contenuti di memorie digitali ed informatiche, copie di back-up di dati, stampe da computer, tracciamenti da sistemi GPS di localizzazione geografica, tracciati di varchi di accesso e porte elettroniche, files audio e video digitali.


Come ogni altra tipologia di prova utilizzata in giudizio, le informazioni generate come risultanza di un' indagine informatica forense devono rispondere agli standards di prove ammesse a giudizio definiti dalla Corte di Giustizia. Particolare cura deve essere pertanto posta nella gestione dei files ed archivi sospetti, tra cui manipolazioni che ne possano alterare lo stato originario e le roblematiche derivanti dalla presenza di virus, danneggiamenti fisici ed elettromagnetici.
 

La prova digitale giuridica

Esistono varie enunciazioni per definire cos’è in concreto una prova digitale e tra le più importanti ne spiccano due, la prima è stata formulata dall’International Organization on Computer Evidence (IOCE) secondo la quale la electronic evidence “è un’informazione generata, memorizzata e trasmessa attraverso un supporto informatico che può avere valore in tribunale”, la seconda è stata adottata dallo Scientific Working Group on Digital Evidence (SWGDE) per cui costituisce digital evidence “qualsiasi informazione, con valore probatorio, che sia o meno memorizzata o trasmessa in un formato digitale”.

All’interno di questa cerchia possiamo trovare anche tutti i dati in formato analogico come ad esempio le audio e video cassette, le pellicole fotografiche e le telefonate compiute attraverso la rete pubblica: tutte fonti di prova che possono essere “digitalizzate”, ma che non nascono in formato digitale.

 

Legge n° 48 del 18 marzo 2008 e best practices per l’acquisizione della prova informatica

L’entrata in vigore della legge n° 48 del 18 marzo 2008 ha di fatto sancito l’introduzione dei principi fondanti della computer forensics all’interno del nostro ordinamento, prevedendo importanti aspetti legati alla gestione delle digital evidence che, per loro natura, presentano caratteristiche di estrema volatilità e fragilità.

Seppur il legislatore si sia mosso cautamente nell’introdurre i nuovi principi per l’assunzione delle prove informatiche, non indicando cioè nel dettaglio le modalità esecutorie da applicare nell’utilizzo di tali istituti, si è comunque focalizzata l’attenzione su due basilari aspetti, sicuramente più vincolati al risultato finale che non al metodo da utilizzare, ovvero la corretta procedura di copia dei dati utili alle indagini e la loro integrità e non alterabilità in sede di acquisizione.

 

Best practices da seguire nella digital forensics

Le fasi principali che caratterizzano l’attività e le best practices nella digital forensic che possono essere riassunte nell’individuazione, preservazione, acquisizione, analisi e correlazione dei dati assunti, oltre che in una completa ed esaustiva documentazione di quanto effettuato nelle singole fasi.

Le procedure di individuazione ed isolamento contemplano una fase descrittiva, che prevede il sopralluogo con un puntuale inventario delle evidenze rinvenute, ed una fase tecnica, che ha lo scopo di impedire qualsiasi interazione dei reperti con l’ambiente circostante sino alla successiva fase di acquisizione.

 

L’acquisizione della prova informatica è sicuramente la fase che presenta una maggior criticità, proprio perché deve garantire l’inalterabilità dell’elemento che viene analizzato.

Tale procedura non potrà essere attuata come una mera copia del dato ricercato, poiché un’operazione di questo tipo comporterebbe l’irreparabile perdita di tutti quegli elementi che caratterizzano la prova stessa.

Generalmente l’acquisizione dell’evidenza digitale consiste nella creazione della cosiddetta “bit stream image”, ovvero nella copia “bit a bit” del dispositivo oggetto d’indagine.

Una copia effettuata con tali modalità presenterà pertanto la stessa sequenza di dati (formata da sequenze composte da bit 0 e 1) del supporto originale, comprese le aree che contengono informazioni non più visibili all’utilizzatore di quel sistema.

Nella pratica si dovranno adottare metodologie tecniche, differenziate in base alla tipologia di dispositivo da acquisire, che tenderanno ad un approccio alla prova in modalità read-only, ovvero “leggere” il contenuto del dispositivo senza introdurre alcuna modifica su di esso.

È indubbio che l’acquisizione presenti delle criticità notevoli ma, come si è evidenziato, utilizzando adeguata tecnologia e seguendo le procedure indicate dalle best practices risulta possibile effettuare una copia forense in termini di assoluta ripetibilità.

 

Il processo di documentazione risulta fondamentale per garantire una corretta gestione della catena di custodia dei reperti.

Per catena di custodia si intendono tutte quelle operazioni, opportunamente documentate e dettagliate in ordine cronologico, che definiscono quando, come, dove e a quale scopo un reperto viene gestito.

Una corretta gestione del reperto contempla tutte quelle procedure atte a documentarne la raccolta, il trasporto, la sua corretta conservazione e l’analisi.

Tali procedure hanno lo scopo di garantire che l’autenticità e l’integrità di quel reperto sia stata mantenuta in ogni fase, dalla sua individuazione alla presentazione nelle aule di tribunale.

La relazione dovrà essere chiara e dovrà fornire nel dettaglio tutte le evidenze rilevate, dovrà essere correlata da documentazione fotografica e talvolta anche video che mostrerà tutte le fasi di lavoro al fine di fornire un quadro il più completo possibile.


Come iscritto all'ALBO NAZIONALE INFORMATICI PROFESSIONISTI svolgo attività di INFORMATICA FORENSE. In particolare, opero su incarico diretto di Pubblici Ministeri e studi legali nella realizzazione di perizie complete, o in collaborazione con altri Periti o personale addetto delle forze dell'ordine o giudiziarie su attività più specifiche o delimitate.

Iscrizione all'Albo Nazionale Informatici Professionisti al n° 257 9

SECURFOR  - via Reggio, 6 PARMA -  per info: 05211855199 - c.mauro@securfor.it - P.I. IT 02307220349