DIGITAL FORENSICS LE LINEE GUIDA

DIGITAL FORENSICS LE LINEE GUIDA

Nell’articolo trattiamo il tema “Digital forensics: le linee guida per il trattamento della prova digitale”.

I requisiti fondamentali che devono caratterizzare l’attività indifferibile su dati informatici sono sostanzialmente due:

l’attendibilità del metodo di “trattamento”;
l’idoneità del metodo ad essere sottoposto a controllo, quanto meno differito.

L’attendibilità dell’evidenza digitale nel processo penale dipende da una garanzia complessa che copra tanto l’originale, in termini di “conservazione”, quanto la copia del dato, in punto di “genuinità” e di “non modificabilità”.

La verificabilità del metodo dipende dalla intelligibilità della procedura di acquisizione del dato digitale.

Digital forensics: le linee guida per il trattamento della prova digitale -La prassi investigativa internazionale

Tali risultati possono essere raggiunti attraverso un preciso protocollo che deriva dalle migliori metodologie invalse nella prassi investigativa internazionale.

Si tratta di linee guida che hanno come obiettivo comune la prevenzione dal rischio di inquinamento della risultanza digitale. La scienza che si occupa della implementazione di tali protocolli è nota con il nome di digital forensics.

Occorre dunque uno sforzo per mantenere alto il livello di aggiornamento e la specificità di conoscenze e di competenze della tecnologia informatica, al fine di far rivivere in concreto i principi nella dimensione specifica che oggi devono assumere.

La digital forensics, o scienza delle investigazioni digitali o, ancora, informatica forense, è la disciplina che studia, in generale, il “trattamento” del dato digitale per fini processuali. Quale “scienza forense” essa studia le modalità più opportune per salvaguardare il “valore processuale” di determinati accadimenti, al fine precipuo di far assurgere la rappresentazione di tali fatti al rango di “prove”.

La peculiarità di tale scienza risiede nel fatto che i fatti e gli elementi oggetto di studio sono i dati digitali.

Digital forensics: le linee guida per il trattamento della prova digitale -Le macro attività

Nell’ambito di un’attività investigativa finalizzata alla assicurazione di fonti di prova di natura digitale si rende necessaria l’esecuzione delle seguenti macro-attività:

individuazione e riconoscimento della fonte di prova;
acquisizione dei dati;
conservazione dei dati;

Infine si procede all’analisi forense e presentazione dei risultati.

Vediamo nel dettaglio le macro attività

Digital forensics: le linee guida per il trattamento della prova digitale – Individuazione della fonte di prova

Il primo step del digital forensic expert consiste nella esatta individuazione della fonte dell’evidenza digitale. Si tratta di un’attività di mera osservazione che non dovrebbe mai comportare un accesso tecnico al sistema informatico o telematico oggetto di interesse investigativo. Sostanzialmente, tale fase consiste nella mera constatazione dello status quo e, a livello operativo, si traduce nella osservazione preliminare delle condizioni in cui si presentano i dispositivi da esaminare, al fine di immortalare e documentare lo stato dell’ambiente digitale prima dell’intervento dell’investigatore. Più in dettaglio, si tratta di verificare quali e quanti sono i dispositivi da “trattare”, come sono collegati fra loro, se esista un collegamento internet attivo o una rete interna, ecc.

La scena criminis digitale, inoltre, deve essere delimitata: è necessario quindi individuare i supporti di memorizzazione digitale di interesse investigativo, scartando quelli ritenuti superflui. Questa attività può non essere così semplice e scontata come appare: il dato dematerializzato, infatti, può essere contenuto in diverse tipologie di supporti, come hard disk, media rimovibili, oppure può consistere in un file di log su un server.

Digital forensics: le linee guida per il trattamento della prova digitale – Acquisizione dei dati

Lo step, sicuramente il più delicato di tutto il processo di digital forensics, consiste nell’acquisizione genuina degli elementi di prova digitale.

L’acquisizione della prova informatica è sicuramente la fase che presenta maggiori criticità, proprio perché deve garantire l’inalterabilità dell’elemento che viene ad essere acquisito.

Tale procedura non potrà essere attuata come una mera “copia” del dato ricercato, poiché un’operazione di questo tipo comporterebbe, oltre all’irreparabile perdita dei c.d. metadati, anche la mancanza di un’esatta corrispondenza contenutistica tra dato originale e copia.

Dal punto di vista tecnico, l’integrità dei file originali può essere garantita attraverso la c.d. bit stream image, ovvero una copia-clone (bit a bit), on site, delle informazioni digitali. A differenza di un semplice backup dei dati, che si preoccupa di salvare su un supporto differente una copia dei dati presenti sul disco originale, una copia bit a bit è un duplicato esatto dell’intero supporto originale. Tale sistema consente di mantenere inalterata la loro sequenza e collocazione fisica e logica all’interno di un nuovo dispositivo di memorizzazione, senza preoccuparsi di interpretarne il significato.

La procedura di copia può essere realizzata con diverse modalità acquisitiva purché garantisca la salvaguardia dell’integrità dei dati digitali ovvero garantire la non alterazione del dato e la sua affidabilità e genuinità. Pertanto, viene richiesto di adottare “misure tecniche dirette ad assicurare la conservazione dei dati originali e ad impedire l’alterazione”.

Una volta terminata l’acquisizione, è necessario garantire, provandola, l’aderenza assoluta della copia rispetto all’originale. Tale scopo viene raggiunto attraverso un vero e proprio “sigillo digitale”, che prende il nome di funzione di hash.

Si ricorda che qualora venga posta in essere una modalità acquisitiva urgente, in sede di accertamento, tale deve garantire la possibilità di controllare quanto effettuato a posteriori. Dal punto di vista tecnico è quindi necessario utilizzare software open source o commerciali (per la mobile forensics) che consentono quindi, grazie alla possibilità di consultare il codice sorgente, di ripercorrere le tappe dell’operazione acquisitiva eseguita d’urgenza onde verificarne la correttezza metodologica.

Digital forensics: le linee guida per il trattamento della prova digitale – Conservazione dell’evidenza digitale

Il terzo step consiste nella adozione di cautele idonee a garantire la “conservazione” dei dati digitali, tanto degli originali, quanto delle copie. In particolare, “conservare” un elemento di natura digitale significa garantirne l’integrità (assenza di fattori esterni di alterazione) e documentarne la vita post acquisizione (attraverso la c.d. catena di custodia). Tecnicamente, l’obiettivo della conservazione in ambito digitale presuppone l’adozione di cautele diverse a seconda che si parli di preservazione fisica o logica.

Se hai specifiche esigenze di individuazione, acquisizione e produzione di elementi digitali puoi contattaci per una consulenza gratuita.

DIGITAL FORENSICS LE LINEE GUIDA

Cyberbullismo minori: legge, casi pratici e analisi forense

Trascrizione forense: cos’è, cosa dice la legge italiana e perché serve un protocollo

Diffamazione online senza IP: quando la Cassazione conferma la condanna

Frode informatica e conto corrente: responsabilità penale anche senza prove del phishing

Cassazione 8231/2025: WhatsApp è molestia, l’e-mail no

DIGITAL FORENSICS LE LINEE GUIDA

Share This Story, Choose Your Platform!

Post correlati

Cyberbullismo minori: legge, casi pratici e analisi forense

Trascrizione forense: cos’è, cosa dice la legge italiana e perché serve un protocollo

Diffamazione online senza IP: quando la Cassazione conferma la condanna

Frode informatica e conto corrente: responsabilità penale anche senza prove del phishing

Cassazione 8231/2025: WhatsApp è molestia, l’e-mail no