Cosa si intende per perizia informatica forense e come si effettua
La diffusione ormai capillare delle infrastrutture digitali, anche in ambito economico e finanziario, ha reso il problema della sicurezza informatica sempre più urgente, specie negli ultimi anni. La circolazione e la trasmissione di dati sensibili ed informazioni riservate attraverso strutture accessibili a più soggetti impone politiche di prevenzione e contrasto ai cosiddetti “crimini informatici”. Per questo, a partire dagli anni Ottanta, si è sviluppato un nuovo ramo delle scienze forensi, ovvero la Digital Forensics, che si occupa di individuare, attraverso appositi strumenti e procedure d’indagine, gli elementi (le “prove digitali”) in grado di provare l’esistenza di un crimine informatico. Una delle pratiche più diffuse nell’ambito delle scienze forensi digitali è la perizia informatica: vediamo di seguito di cosa si tratta.
Cos’è una perizia informatica forense
Una perizia informatica forense è una verifica di tipo tecnico e specialistico, effettuata da una particolare figura professione, il perito informatico (oppure il consulente tecnico informatico). Viene effettuata secondo una specifica procedura di indagine che termina con la stesura di una relazione tecnica; rispetto ad una semplice perizia informatica, quella forense ha la specifica funzione di ricercare ed individuare le prove digitali (“digital evidence”), ossia le tracce di un crimine informatico. Per tanto, la si può distinguere da altre procedure, come ad esempio il “Penetration Test”, il cui scopo è quello di testare il livello di sicurezza di una struttura digitale.
A cosa serve la perizia informatica
Come spiega Salvatore Piccinni – Managing Director Head of Southern Europe di Inside Intelligence & Security Investigations, una perizia informatica forense serve anzitutto ad individuare eventuali prove che testimonino un crimine informatico o un reato di altra natura perpetrato anche per mezzo di strumenti e dispositivi digitali, come ad esempio un’intercettazione non autorizzata. In aggiunta, le verifiche tecniche effettuate da un perito informatico possono risultare molto utili anche per la messa a punto dei sistemi e delle infrastrutture digitali, in modo tale da circoscrivere i punti deboli ed intervenire tempestivamente adottando le opportune contromisure.
La perizia tecnica, nel caso in cui porti alla luce le prove digitali comprovanti un crimine informatico, può assumere valore probatorio all’interno di un procedimento giudiziario. La procedura di indagine, infatti, può essere richiesta da una delle parti in causa (in tal caso, si parla di Consulenza Tecnica di Parte o CTP) oppure dal giudice o da un Pubblico Ministero, sia nell’ambito di un processo civile quanto di uno penale. Da questo punto di vista, la perizia informatica è la procedura più efficace per individuare azioni illecite, come ad esempio l’acquisizione indebita di informazioni protette o dati riservati o la violazione dell’apparato di sicurezza di un sistema informatico. Durante un procedimento giudiziario, il mandante della perizia può presentare la relazione tecnica che il perito incaricato redige al termine delle verifiche di rito, per illustrare il lavoro svolto e i risultati ottenuti.
Come viene effettuata una perizia informatica forense
Quando emerge la necessità di effettuare una perizia informatica forense, è consigliabile rivolgersi a specialisti del settore, come ad esempio a periti o consulenti informatici, oppure ad un’agenzia di investigazione privata specializzata in servizi di digital forensics. Una volta individuato il professionista al quale affidare la perizia, il soggetto interessato può dare mandato in prima persona oppure tramite un legale rappresentante; la fase precedente all’inizio delle verifiche consiste nella stipula di un contratto che individua i termini del lavoro da svolgere, come ad esempio clausole di riservatezza (a tutela della privacy e dell’integrità dei dati sottoposti a controllo) oppure gli estremi di identificazione di coloro i quali prendono parte alla perizia.
Sbrigata la burocrazia di rito, gli incaricati possono dedicarsi alla procedura di indagine vera e propria. Lo svolgimento di una perizia informatica forense si sviluppa in tre fasi successive. La prima consiste nell’acquisizione dei dispositivi di memoria, come ad esempio computer portatili, hard disk esterni e ogni altro tipo di device in grado di immagazzinare informazioni in formato digitale.
Successivamente, i periti procedono all’analisi tecnica dei dati contenuti nei dispositivi acquisiti, secondo quanto previsto dallo standard ISO 27037 del 2017 (“Linee guida per l’identificazione, la raccolta, l’acquisizione e la conservazione dei dati digitali”).
“La norma” – si legge sul sito dell’Ente Italiano di Normazione – “definisce le linee guida specifiche per la gestione dei dati digitali che sono l’identificazione, la raccolta, l’acquisizione e la conservazione delle prove digitali che possono essere di valore probatorio. La presente norma fornisce una guida agli individui riguardo alle situazioni comuni riscontrate durante il trattamento dei dati digitali e assiste le organizzazioni nelle loro procedure disciplinari e nel facilitare lo scambio di potenziali prove digitali tra le giurisdizioni”.Nello specifico, lo standard fornisce indicazioni operative per una serie di dispositivi e sistemi che possono essere oggetto di indagine o perizia in varie circostanze, ovvero:
– supporti di memorizzazione digitale utilizzati nei computer come hard disk, floppy disk, unità disco ottiche o magneto-ottiche, dispositivi di dati con funzioni simili;
– telefoni cellulari, Personal Digitale Assistant (PDA), dispositivi elettronici personali (PED), schede di memoria;
– fotocamere e videocamere digitali (tra cui CCTV);
– Personal Computer con connessioni di rete;
– Le reti basate su TCP / IP e su altri protocolli digitali.
Alla luce delle disposizioni contenute nello standard ISO sopra citato, è possibile distinguere, nell’ambito della prima fase della perizia, il momento dell’identificazione da quello della raccolta e dell’acquisizione. In sostanza, il perito incaricato deve, anzitutto, individuare i dispositivi da sottoporre a perizia; i device vanno messi in sicurezza per evitare l’alterazione o la manomissione dei dati memorizzati. In secondo luogo, questi vengono acquisiti, generalmente per mezzo del trasferimento su un altro supporto. Questa procedura ha due scopi: il primo è quello di mettere i dati da analizzare a disposizione del perito, senza dover ricorrere al device di origine; il secondo è quello di poter preservare i dati originali (che in genere costituisce un obbligo contrattuale per il perito). L’acquisizione dei dati può essere selettiva oppure totale; nel primo caso, l’incaricato della perizia individua ed acquisisce solo gli elementi più significativi ai fini della perizia; nel secondo, trasferisce su un dispositivo di supporto tutte le informazioni memorizzate sul device, così da operare successivamente la selezione necessaria.
Una volta acquisiti, i dati possono essere analizzati al fine di identificare elementi ‘sospetti’ e di eventuale natura probatoria, come ad esempio tracce di manomissione, tentativi di cancellazione di file o altri dati (lo stesso dicasi anche per le perizie effettuate su tabulati telefonici o sui filmati acquisiti da un sistema di video sorveglianza a circuito chiuso). Tutte le azioni implementate durante questa e le precedenti fasi di indagine devono essere registrate e documentate, per poi essere incluse nella relazione tecnica finale che il perito consegna al mandante dei controlli.