Come viene effettuata la raccolta prove in informatica forense
Sempre più aziende, operative in settori di vario tipo, si avvalgono di strumenti informatici e digitali per le funzioni più disparate, dalla gestione delle risorse d’archivio all’assistenza clienti, passando per l’organizzazione dei bilanci. Ciò implica l’utilizzo di strutture e dispositivi che hanno il compito di memorizzare e gestire una gran quantità di dati e informazioni, alcuni dei quali possono essere di natura riservata.La costante e diffusa digitalizzazione implica un problema di sicurezza informatica, dal momento che tutti i dati che passano attraverso una rete o un dispositivo devono essere accessibili solo al personale autorizzato, al riparto da ‘intrusioni’ fraudolente da parte di soggetti esterni. Ecco perché, negli ultimi anni si sono sviluppate nuove tecniche di indagine forense digitale e informatica: vediamo di seguito di cosa si tratta.
Di cosa si occupa l’informatica forense
L’informatica forense è un ramo delle scienze forensi digitali (“digitalforensics” in inglese); quest’ultima, a sua volta, include tutte quelle procedure d’indagine specialistiche volte al recupero ed all’analisi di dati informatici e digitali che possono assumere valore probatorio rispetto ad un crimine informatico. In altre parole, l’informatica forense si occupa, anzitutto di ricercare quegli elementi che possono costituire una “prova digitale”, ossia una “digital evidence”: si tratta, come spiega Salvatore Piccinni – Managing Director Head of Southern Europe di Inside Intelligence & Security Investigations, di un dato digitalizzato che, nell’ambito di un processo giudiziario, può essere utilizzato come prova (ossia risulti ammissibile in quanto tale).
Per tanto, quando si parla di informatica forense in generale, si fa riferimento ad un insieme di procedure tecniche e scientifiche specializzate, impiegate in ambito investigativo per la raccolta di riscontri in grado di dimostrare l’effettiva sussistenza di un crimine informatico. Come negli altri procedimenti d’indagine di natura forense, le (possibili) prove devono essere raccolte a norma delle prescrizioni di legge, secondo specifiche procedure che non invalidino i dati ottenuti, rendendoli inammissibili o inutilizzabili nell’ambito di un procedimento giudiziario. Anche per questo motivo, le indagini di digitalforensics (e tutte le sue sottocategorie, come ad esempio la network forensics o la mobile forensics, a seconda se incentrata su reti informatiche o dispositivi mobili) devono essere affidate a tecnici esperti e qualificati, in gradi di implementare le procedure necessarie ad un corretto svolgimento dell’intero iter investigativo.
Come avviene la raccolta prove
Le indagini di informatica forense vengono generalmente disposte da un soggetto, come ad esempio una società o un’azienda, che abbiano bisogno di verificare il livello di sicurezza delle infrastrutture e delle reti digitali, sia a scopo preventivo sia perché vi sia il legittimo sospetto di una violazione forzosa, volta ad un’acquisizione fraudolenta di dati riservati e informazioni sensibili. Il mandato di indagine può essere conferito direttamente dal mandante in prima persona oppure per tramite di un legale rappresentante; le investigazioni devono essere affidate a soggetti specializzati quali un’agenzia di investigazioni privata in grado di fornire questo genere di servizi.
La raccolta di prove informatiche o digitali rappresenta la fase iniziale del più ampio processo di indagine che serve a dimostrare la sussistenza di un crimine informatico. Il processo di analisi forense, infatti, prevede in primo luogo l’acquisizione dei dati contenuti nei supporti fisici di memorizzazione dei dati digitali: questo passaggio, a differenza di quanto si possa pensare, è il più delicato dell’intero iter investigativo, in quanto i tecnici incaricati devono usare tutte le precauzioni necessarie affinché l’acquisizione non comporti un’alterazione o, peggio, una perdita dei dati da sottoporre successivamente ad analisi. A questo scopo, i tecnici incaricati, una volta acquisito il supporto sul quale lavorare, devono preoccuparsi anzitutto di isolare il device, in modo tale che le informazioni contenute al suo interno non vengano manomesse da agenti esterni, alterando i risultati dell’indagine forense. In alternativa, i tecnici possono realizzare una copia forense (per mezzo di un writeblocker o di un copiatore), estrapolando in maniera selettiva (o generica) i dati presenti all’interno di un dispositivo di memoria. In tal modo, la raccolta avviene in maniera tempestiva e l’analisi può essere effettuata in maniera completamente sicura.
Per quanto riguarda le tecniche di indagine, esse variano a seconda dell’approccio scelto dagli incaricati (a sua volta determinato dagli obiettivi concordati dagli investigatori con il mandante).Il recupero dei file eliminati, ad esempio, è una delle più comuni e sfrutta software sviluppati appositamente per questo tipo di procedure (dal momento che l’eliminazione fraudolenta di file e dati può integrare un reato informatico); l’analisi cross-drive, invece, si basa sulla comparazione dei dati estrapolati da due (o più) dispositivi di memorizzazione di dati digitali. Alcuni software consentono di procede in tempo reale all’analisi di una rete o di un dispositivo (analisi live) mentre, in assenza di dispositivi digitali, è possibile ricorrere al modello dell’analisi stocastica, basata su parametri statistici di riferimento. Ciascuna di queste tecniche viene quasi sempre integrata da un’analisi manuale preliminare dei dispositivi da sottoporre ad indagine.
In base al protocollo dell’iter investigativo, una volta raccolti i dati devono essere catalogati (se l’acquisizione non è stata selettiva) in base alla tipologia di file (immagini, documenti, cartelle e così via); il processo di catalogazione è propedeutico all’analisi vera e propria, la fase investigativa che serve a determinare quali dati o elementi costituiscano effettivamente una prova.
A cosa serve la raccolta prove
Come già accennato, la raccolta di dati informatici nel corso di indagini forensi condotte su dispositivi digitali e strutture informatiche di rete è utile all’individuazione di un reato informatico. Una prova digitale è tale solo se, considerato il metodo di acquisizione, al dato in formato elettronico può essere riconosciuto un valore probatorio. A tale scopo è necessario sottolineare come le procedure investigative approntate dai tecnici si concludono con la stesura di una relazione tecnica, all’interno della quale gli incaricati delle indagini illustrano il lavoro svolto ed evidenziano i risultati con esso ottenuti. Anche la relazione, nel contesto di un procedimento giudiziario, può assumere valore probatorio qualora il mandante denunci di essere stato vittima di un crimine informatico.
Questo genere di reati è stato annoverato nel sistema giudiziario italiano nei primi anni Duemila, con una serie di modifiche apportate al Codice Penale e al Codice di Procedura Penale (l’articolo 640 ter, ad esempio,definisce il reato di frode informatica mentre l’articolo 617 quater riguarda gli atti di “intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche”). Poiché i reati informatici sono punibili solo dietro la denuncia della parte offesa, la raccolta delle digitalevidence è fondamentale per permettere al querelante di ottemperare all’onere della prova, secondo quanto stabilito dall’articolo 2697 del Codice Civile. In sintesi, chi sporge querela è chiamato a supportare la propria posizione presentando elementi probatori validi ed ammissibili: i riscontri delle indagini di informatica forense possono assolvere a questo scopo.