La catena di custodia (in inglese chain of custody) in materia di informatica forense è un documento che consente la tracciatura dei dettagli dei reperti informatici trattati.

Per ogni reperto, sono indicati cronologicamente i diversi attori che hanno trattato il dato informatico e le operazioni svolte.

Lo standard ISO 27037 prevede la compilazione di una catena di custodia in quanto consente di documentare la storia della prova informatica trattata dal consulente informatico.

Quando utilizzare una catena di custodia

L’utilizzo di una catena di custodia avviene ogni volta che si tratta un reperto informatico in un accertamento tecnico di informatica forense.

Infatti, l’informatica forense prevede che ogni attività sia eseguita tecnicamente in maniera corretta e sia ben documentata.

Dunque, non conta solo il risultato ma anche il metodo e la documentazione.

Un documento di questa tipologia si propone di riassumere la vita del reperto informatico che aspira a diventare prova informatica.

Quindi, ogni volta che occorre interagire con dati informatici da utilizzare come prove è fondamentale compilare e aggiornare tale documento di catena informatica.

Questo modus operanti è indipendente dal fatto che l’attività tecnica sia prestata ai fini di un procedimento penale, un procedimento civile o un’investigazione interna.

Quali dati sono presenti nella chain of custody?

Lo standard ISO 27037 definisce in dettagli quali sono i dati che il perito informatico forense deve riportare in una chain of custody.

La digital forensics è la scienza che si occupa di tutte le fasi del trattamento del dato digitale che può essere utilizzato come prova in un processo.

Il rigore scientifico è quindi alla base della disciplina e per questo motivo gli standard tecnici suggeriscono come procedere e come documentare il lavoro svolto.

Innanzitutto occorre definire in dettaglio il reperto informatico, pertanto occorre procedere a una puntuale identificazione:

• tipo di dispositivo
• marca
• modello
• numero seriale
• IMEI
• IMSI
• SIM info
• fotografie

Quindi tutti i dati relativi alle interazioni con il dispositivo e in particolare tempi e persone:

• data e ora di primo rinvenimento (quando viene creata la chain of custody)
• chi prende per primo in custodia il reperto
• ogni passaggio di mano e dunque di “custodia”
• ogni operazione tecnica svolta con dettaglio di descrizione
• luogo in cui vengono svolte le operazioni di acquisizione forense

Nel momento in cui viene eseguita l’acquisizione forense, è importante riportare in catena di custodia l’hash del reperto informatico.

L’immagine che segue mostra un esempio tra i tanti possibili di format di una catena di custodia (esempio di chain of custody del NIST).

Cosa succede se la catena di custodia non è compilata?

L’utilizzo di una catena di custodia è proposta dagli standard tecnici, come ISO 27037, e dalle varie best practice.

Non esiste una norma nell’ordinamento giuridico che obblighi i periti forensi a generare le catene di custodia.

Per questo motivo, l’assenza di una catena di custodia non è motivo di esclusione di una prova informatica.

Tuttavia, gli operatori di settore che si ispirano alle migliori prassi tendono a generare questo documento per dimostrare credibilità e affidabilità del proprio lavoro.