Digital forensics, best practices per il trattamento delle prove informatiche

A fronte di un costante aumento di reati che coinvolgono i sistemi informatici, una corretta acquisizione delle informazioni digitali è fondamentale per produrre elementi di prova efficaci in sede di giudizio

Considerato il crescente utilizzo dei dispositivi tecnologici nella vita di tutti i giorni, una moltitudine di reati, di diversa natura, vengono commessi attraverso strumenti informatici. Di conseguenza, sono altrettanto numerosi i procedimenti legali che coinvolgono elementi digitali in qualità di prove, perciò la corretta acquisizione e trattamento degli stessi possono condurre a risultati diversi, se non opposti, in sede di giudizio.

La disciplina che si occupa delle fonti di prova costituite da dati informatici è la Digital forensics o Informatica forense. Al fine di produrre evidenze non contestabili in tribunale, le linee guida per l’identificazione, la raccolta, il trasporto, l’analisi, la valutazione e la presentazione di evidenze digitali sono state formalizzate a livello internazionale dallo standard ISO 21037 che, pur non trovando corrispondenza in specifici ordinamenti o norme giuridiche, è applicabile in qualsiasi ambito: civile, penale e stragiudiziale.

Per ogni fase del processo di acquisizione e trattamento delle prove informatiche esistono delle best practices che seguono i principi fondamentali di documentazione e accountability, ossia l’obbligo di documentare attentamente ogni operazione e di attribuire una determinata attività ad un preciso soggetto in un preciso periodo di tempo. Seguendo i principi e le linee guida è possibile produrre una copia forense inattaccabile e superare le criticità tipiche del dato informatico, ossia l’alta modificabilità, la deteriorabilità e la riproduzione senza perdita di informazione.

I metodi più diffusi per garantire l’integrità di un dato informatico sono le tecniche di hashing (si tratta di un algoritmo in grado di verificare l’eventuale alterazione del dato e garantire per ciascuna di esse l’autenticità e la certezza temporale), la registrazione del traffico di rete e la registrazione visiva dell’esperienza d’uso. Soltanto in presenza di ciascuna di queste tre metodologie, effettuate in maniera concorrente, scientifica e rigorosa, il documento acquisito risulterà inattaccabile, liberando il campo da qualsiasi tipo di contestazione.