Il concetto di informatica forense emerge nei primi anni 80, quando i personal computer cominciano ad essere più accessibili ai consumatori, accrescendone però il loro utilizzo in attività criminali. Parallelamente accrescono il numero di crimini identificati e riconosciuti come crimini informatici. L'informatica forense nasce quindi inizialmente come metodologia per il recupero e l'analisi di prove digitali da utilizzare di fronte ad una corte. Da allora il numero di crimini informatici o legati all'informatica vede una crescita elevata, con un aumento del 67% dei casi tra il 2002 e il 2003. 

​

Al giorno d'oggi l'informatica forense non è più solo uno strumento di analisi di prove ma uno dei principali mezzi di investigazione legato a diversi crimini. Tra questi sono inclusi la pedopornografia, le frodi, lo spionaggio, il cyberstalking, gli omicidi e lo stupro. Nei processi civili nei quali tale scienza è coinvolta, aumentano quindi le cosiddette "computer generated evidence",  ossia le prove generate come output dai computer stessi; ne sono un esempio i dati estrapolati dell'analisi di informazioni associate alle celle telefoniche, ai login ad un ISP, ad una semplice segreteria telefonica e molto altro.

​

L'utilizzo dell'informatica forense e della conoscenza maturata dagli esperti di tale scienza, permette di spiegare lo stato di ciò che prende il nome di artefatto digitale: un sistema informatico, un dispositivo di memorizzazione, un documento elettronico ed altro.

 

Lo scopo di un'analisi forense può variare dal recupero di semplici informazioni alla ricostruzione di una serie di eventi.

​

I processi di investigazione dell'informatica forense seguono spesso gli standard di analisi forense digitale: acquisizione, esame, analisi e segnalazione. L'investigazione è prevalentemente eseguita su dati statici in un laboratorio di analisi (video ed immagini recuperati) anziché sul "campo". Questa metodologia viene a consolidarsi principalmente con la nascita di specializzati ed avanzati strumenti, inizialmente assenti o poco diffusi tra gli analisti forensi.

​

In Italia, la legge di riferimento che definisce come utilizzare a livello giuridico i risultati di un'attività di analisi forense in tribunale, è la legge 18 marzo 2008 n. 48, che ha ratificato la Convenzione del Consiglio d'Europa sulla criminalità informatica, stipulata a Budapest il 23 novembre 2001.

​

La norma prevede:

• sanzioni più pesanti per i reati informatici;

• norme di contrasto più efficace alla pedopornografia in rete;

• sanzioni anche a carico delle società;

• possibilità per le forze dell'ordine di chiedere al provider il congelamento dei dati telematici per 6 mesi;

• maggiori tutele per i dati personali

​

L'utilizzo delle prove digitali nei tribunali è incrementato considerevolmente nel corso degli ultimi anni, da quando Giudici, e PM hanno permesso l'utilizzo di email, fotografie digitali, transazioni elettroniche da sistemi ATM e POS, documenti di videoscrittura, rapporti di messaggistica on line (instant messager e chat, archivi di programmi di contabilità, fogli elettronici, movimenti svolti su browser internet, stampe da computer, tracciamenti da sistemi GPS e di localizzazione geografica, tracciati di varchi di accesso a porte elettroniche, files audio e video digitali.

​

“Digital forensics, also known as computer and network forensics, tanti nomi per indicare? 

•  La varietà di nomi è dovuta alla varietà di dispositivi elettronici che possono essere oggetto di analisi forense

  • Computer Portatili, Desktop, Server

  • Dispositivi di rete (e.g. Router, Switch)

  • Telefoni cellulari, Smartphone, Tablet

  • Periferiche Rimovibili (Hard Disk Esterni, Pen-drive, Schede di memoria, ... )

  • MP3 Player, ...

  • Console (Playstation, Wii, Xbox, Nintendo DS, Sony PSP, ....)

  • Wearable (e.g. Smart-watch, Google Glasses)

  • Internet of Things

  • Apparecchi medicali, Stampanti, Videorecorder...

•  Qualunque dispositivo in grado di immagazzinare informazioni può essere potenzialmente oggetto di analisi forense 

​

L'approcciarsi degli organi della Giustizia Civile e Penale a questa nuova tipologia di prove in giudizio, ha permesso, così come per le altre prove considerate, di allargare il campo e quindi, la necessità di strutturare nuove analisi sulle prove di natura tecnologica e informatica e in ultima analisi una risultante importanza, sempre crescente, alle indagini di informatica forense. 

​

Quattro fasi di attività

“...application of science to the identification, collection, examination, and analysis of data...”

 

    •  RACCOLTA - IDENTIFICAZIONE

Identificare, etichettare, registrare, ed acquisire i dati dalle possibili sorgenti di informazione, seguendo delle procedure che preservino l’integrità dei dati

​

   • ESAME

Esaminare, con approccio forense, i dati raccolti, usando una combinazione di tecniche e strumenti sia automatici che manuali, identificando i dati di particolare interesse e comunque seguendo delle procedure che preservino l’integrità dei dati stessi.

​

   • ANALISI 

Analizzare i risultati ottenuti nella precedente fase, utilizzando tecniche e strumenti legalmente giustificabili, per ottenere informazioni utili a rispondere alle domande da cui la raccolta e l’esame dell’informazioni sono scaturite

​

    • REPORTISTICA
Riportare i risultati dell’analisi, descrivendo quali azioni sono state compiute, e illustrando come e perché gli strumenti e le procedure di analisi sono stati selezionati. 

 

 

Come ogni altra tipologia di prova utilizzata in giudizio, le informazioni generate come risultato delle analisi di informatica forense devono rispondere agli standard di prove ammesse a giudizio definiti dalla Corte di Giustizia. Particolare cura riponiamo nella gestione dei files e degli archivi sospetti, ai quali le manipolazioni possono alterare lo stato originario; inoltre cerchiamo di porre in essere ogni necessaria cautela per proteggere tali atti probatori da virus, danneggiamenti fisici ed elettromagnetici e quindi delle eventuali problematiche generate. 

 

 

while preserving the integrity of the information and maintaining a strict chain of custody of the information...

​

​

•  Preservare l’integrità dell’informazione: fondamentale al fine di garantire l’utilizzabilità della prova in sede processuale (sia civile che penale). La prova permette al giudice di ricostruire correttamente e dimostrare i fatti affermati dalle parti nel corso del processo” (Fonte: Computer Forensics, A. Ghirardini, G. Faggioli)
   

• Chain of custody: documentazione che mostra chi abbia custodito il reperto e come questo sia stato utilizzato (e.g. che tipo di analisi sono state effettuate, se sono state effettuate delle copie del reperto e chi vi ha eventualmente avuto accesso, etc.), dal momento dell’acquisizione del reperto fino al completamento dell’analisi 

​