La digital forensics, nota in ambienti anglosassoni anche come computer forensics, è l’equivalente italiano dell’informatica forense, cioè la scienza forense che si occupa del trattamento di dati digitali di qualsiasi tipo allo scopo di rilevare prove informatiche utili all’attività investigativa.
Ad essere precisi, digital forensics non è sinonimo di computer forensics in quanto il primo ricopre l’intera categoria di dispositivi mentre il secondo è specifico di PC e supporti di memorizzazione. Più in dettaglio le aree della digital forensics sono:
- la computer forensics, o disk forensics, che si occupa del trattamento di computer, laptop, hard disk, pendrive, DVD, CD…
- la mobile forensics che si occupa di effettuare analisi forense di smartphone, tablet, telefoni cellulare e ogni altro dispositivo mobile
- la network forensics che si occupa di analizzare e intercettare traffico telematico e di correlare eventi su diversi sistemi connessi in rete
- l’image forensics che si occupa di migliorare la qualità di immagini e video al fine di estrarre informazioni da essi
- l’embedded forensics che si occupa di dispositivi “non tradizionali” quali ad esempio antifurti
- vehicle forensics per l’analisi forense di autoveicoli
In generale, a prescindere dall’ambito specifico, le fasi del trattamento del dato digitale in contesto di digital forensics sono:
- individuazione
- raccolta
- acquisizione
- analisi e valutazione
- presentazione
Naturalmente l’esecuzione di tali attività tecniche richiede la disponibilità di un laboratorio di informatica forense adeguato con tutta la strumentazione software e hardware necessaria allo scopo.
In particolare, rientrano nelle competenze della computer forensics tutte le attività relative a
- reati informatici in senso stretto (quale ad esempio l’accesso abusivo a un sistema informatico)
- reati commessi con dispositivi informatici (ad esempio la diffamazione a mezzo Internet)
- ogni altra azione che può essere ricostruita grazie a dati informatici memorizzati in qualche sistema informatico (ad esempio, recupero di SMS per un attentato terrostico)
Le fasi della digital forensics
Individuazione dei dati informatici
La digital forensics prevede inizialmente l’individuazione dei reperti informatici e dei dati digitali rilevanti: smartphone, tablet, telefoni cellulari, computer, notebook, supporti ottici, chiavette USB, nastri, server, navigatori satellitari e così via. Ogni dispositivo che tratta dati digitali può essere di interesse.
Raccolta dei reperti informatici
Si procede quindi alla raccolta dei dispositivi informatici individuati, eventualmente smontando i computer e i server per estrarre dal loro interno gli hard disk da sottoporre alla successiva fase di copia forense.
La fase di acquisizione
Nella fase di acquisizione si procede ala duplicazione dei dati, ad esempio mediante copia forense di hard disk o acquisizione di tablet. Tutte le copie sono identificate grazie a degli hash calcolate dai software e hardware utilizzati per lo scopo.
Analisi, valutazione e report
L’analisi forense della copia prodotta in fase di acquisizione è trattata attraverso specifici software selezionati in base al tipo di richiesta, tipicamente è richiesta un’operazione di recupero dati cancellati.
Al termine dell’analisi viene redatta una relazione tecnica informatica nella quale si illustrano metodologie utilizzate e riscontri rilevati.
Aspetti giuridici della digital forensics
I principi giuridici della digital forensics sono stati definiti nel 2001 con la Convenzione di Budapest sul Cybercrime, recepita alcuni anni più tardi anche in Italia con la Legge 48/2008 (legge di Ratifica ed esecuzione della Convenzione del Consiglio d’Europa sulla criminalità informatica, fatta a Budapest il 23 novembre 2001, e norme di adeguamento dell’ordinamento interno). La Legge 48/2008 tuttavia non ha introdotto da zero questi principi nell’ordinamento italiano in quanto in precedenza l’informatica forense era regolamentata in Italia dalla Legge 547/1993 (modificazioni ed integrazioni alle norme del codice penale e del codice di procedura penale in tema di criminalità informatica).
Chi è l’esperto di digital forensics?
In Italia non esiste una qualifica di digital forensics expert (o digital forenser) riconosciuta pertanto chiunque può svolgere questa professione. L’informatico forense è il professionista che si occupa di tutte le fasi del trattamento del reperto informatico, affiancando l’avvocato durante le udienze e nella scelta delle strategie difensive.
BIT4LAW è una società di informatica forense che grazie ai propri CTP informatici offre servizi di digital forensics all’interno di procedimenti civili e penali.
Le perizie informatiche forensi di BIT4LAW sono rivolte ad aziende di tutti i tipi, avvocati, studi legali, autorità giudiziaria, privati e investigatori privati.