La scienza forense ha come fine quello di recuperare ed analizzare elementi probatori seguendo modalità, eventuali protocolli e procedure conformi con la normativa vigente, così che possano essere utilizzati in ambito giudiziario.
Quando gli elementi probatori sono contenuti in sistemi di memorie digitali o informatici in generale, la branca della scienza forense che si occupa della loro acquisizione, identificazione, preservazione e del loro studio, mediante l’uso di metodi comprovati e scientifici, al fine di evidenziare l’esistenza di prove utili alla ricostruzione di eventi criminosi o a prevenire azioni potenzialmente dannose, è la “digital forensics”, che rappresenta uno dei molteplici campi che rientrano nell’ambito più generale della cybersecurity. A sua volta la digital forensics si suddivide in ulteriori branche in base alla tipologia di dati digitali trattati ed ai dispositivi sui quali gli stessi sono memorizzati. Si parla quindi di “computer forensics” quando gli accertamenti finalizzati ad ottenere elementi probatori dell’attività criminale compiuta, coinvolgono direttamente i computer. Parliamo di “mobile devices forensics” quando le prove digitali o i dati vengono recuperati da dispositivi mobili. Nella quasi totalità delle attività investigative è ormai sempre presente almeno un telefono cellulare, uno smartphone e/o un tablet. Per la loro natura le attività di raccolta, conservazione ed analisi dei dati, è divenuta sempre più complessa e spesso fondamentale ai fini delle indagini. Basti pensare alla rilevanza che può assumere l’utilizzo di un dispositivo mobile in casi di contestazione di “omicidio stradale” (art. 589 bis c.p.) o l’uso e la posizione in caso di “rapina” (art. 628 c.p.) piuttosto che la necessità di verificare un alibi in caso di contestazione di omicidio (art.575 c.p.). I dispositivi mobili possono contenere una mole di dati macroscopica, l’analisi dei quali “sconfina” in altre branche della digital forensics come ad esempio la “multimedia forensics” che si occupa di analizzare i contenuti multimediali quali ad esempio video, immagini, file audio, ecc., al fine di estrarre informazioni che possono essere utilizzate come elementi probatori. Altre branche della digital forensics sono ad esempio la “database forensics” che si occupa dello studio, da un punto di vista investigativo, dei database e dei loro metadati e la sempre più importante “network forensics” che si occupa del monitoraggio e dell’analisi del traffico in entrata ed in uscita da Internet oltre che nelle reti LAN, per la raccolta di elementi probatori finalizzati alla dimostrazione ad esempio di intrusioni, danneggiamenti, ecc.
Nasce la figura professionale del consulente di informatica forense denominato, a livello internazionale, il Digital Forensic Expert (DFE). Esperto di crimini informatici, si occupa di identificare, preservare e analizzare le informazioni contenute all’interno di dispositivi digitali con potenzialità di memorizzazione al fine di raccogliere elementi probatori da utilizzare in ambito giudiziario. Il DFE può essere un libero professionista o essere parte di una società specializzata e prestare la sua opera per l’autorità giudiziaria, la Polizia Giudiziaria ma anche per gli studi legali, aziende e privati. Oltre specifica competenza nell’ambito informatico e della sicurezza, il DFE deve avere approfondite conoscenze nell’ambito della procedura penale e civile, del Codice in materia di protezione dei dati personali ed il Regolamento generale per la protezione dei dati (Generale Data Protection Regulation o GDPR).
Pur basata su studi approfonditi nei vari ambiti di competenza, il mondo della digital forensics trova i suoi maggiori riferimenti nella “best practice” ossìa nell’insieme delle attività, procedure, comportamenti, che organizzate in modo sistematico, possono essere prese come riferimento e riprodotte per favorire il raggiungimento dei risultati migliori sulla base delle esperienze che hanno consentito l’ottenimento di risultati eccellenti nell’ambito della digital forensics. Lo stesso confronto tra colleghi e lo scambio di esperienze è, soprattutto in Italia, una delle maggiori risorse a cui può attingere il DFE.
Una prova digitale è un dato informatico in grado di assumere rilevanza probatoria in ambito giudiziario in qualunque grado di giudizio civile, penale o amministrativo. Il dato informatico è una successione di bit (0 e 1) e che può essere sempre modificabile se non si adottano specifiche procedure che lo fanno diventare una prova digitale della quale deve essere possibile dimostrare e documentare la genuinità, integrità e non ripudiabilità. In via prioritaria è quindi necessario “congelare” il dato informatico acquisito mediante opportune tecniche crittografiche e marcato mediante specifica funzione matematica detta codice Hash, al fine di poterne sempre verificare l’integrità anche dopo molto tempo. Tutte le attività tecniche devono essere espletate in conformità con la Legge 18.03.2008 n.48 (ratifica della Convenzione di Budapest del 2001) adottando misure tecniche dirette ad assicurare la conservazione dei dati originali e ad impedirne l’alterazione. Pertanto anche la semplice presentazione di una fotografia, un messaggio di posta elettronica, una conversazione chat o anche soltanto un singolo messaggio SMS, perché sia considerato attendibile ed utilizzabile dal punto di vista probatorio e processuale, deve essere acquisito e certificato a norma di legge da un professionista che deve quindi avere specifica competenze in materia forense.
Davide Carnevale – DFE (dottore in Ingegneria Informatica consulente di Informatica Forense e direttore dell’Istituto Investigativo Europeo)