L’e-discovery (o eDiscovery o electronic discovery) è il processo che, nell’ambito delle attività di informatica forense, consente di cercare e individuare dati informatici presenti in archivi digitali. L’attività di eDiscovery è richiesta nei casi di indagine ove informazioni e prove digitali di tipo documentale (ad esempio email, fogli di calcolo, documenti…) possono essere individuate all’interno di sistemi informatici per poi essere utilizzate come prove informatiche. L’e-discovery dunque si occupa della ricerca di informazioni memorizzate in formato digitale (in inglese electronically stored information, abbreviato in ESI).

Perché affidarsi all’eDiscovery?

Per sua natura, il dato digitale si presta favorevolmente alla ricerca automatizzata rispetto alla stessa tipologia di operazione all’interno di documenti cartacei: infatti, mentre i documenti cartacei vanno ispezionati singolarmente e richiedono un elevato livello di attenzione, i dati digitali possono essere analizzati mediante uno strumento efficacissimo quale la ricerca per parola chiave (o keyword search).

Inoltre, se da un lato il documento cartaceo può essere distrutto senza lasciare tracce, ad esempio bruciando o macerando un foglio di carta, il dato digitale è difficile da distruggere nel momento in cui se ne perde il controllo, con la conseguenza che tracce di un documento informatico possono essere rinvenute all’interno di aree del disco cancellate. Pertanto per distruggere completamente un dato informatico occorre procedere con la distruzione fisica o logica (mediante tecniche di wiping) dei supporti che hanno visto transitare quel dato.

Nel processo di e-discovery, i dati digitali contenuti all’interno dei sistemi informatici possono essere analizzati per poi essere utilizzati come prova in formato digitale. Qualsiasi tito di dato può essere rilevante a tal fine:

cosa-e-l-ediscovery

  • documenti di testo
  • email
  • fogli di calcolo
  • presentazioni
  • immagini
  • video
  • immagini
  • voci di calendario
  • contatti
  • database
  • chat
  • file audio
  • pagine web e siti internet
  • programmi informatici
  • progetti
  • e più in generale ogni altro tipo di documento

In particolare, le email sono tra i documenti più utilizzati come prove, a favore o contro una parte, in tutti gli ambiti del diritto: infatti, a differenza delle lettere cartacee, le email non hanno un costo di invio e gli utilizzatori tendono ad archiviare e conservare ogni singolo messaggio di posta ricevuto e inviato, comprese le bozze, cioè le email in composizione che non sono più oggetto di invio. Ecco quindi che l’e-discovery è di fondamentale importanza per individuare tutte queste tracce che possono essere utili per documentare attività illecite quali, ad esempio, la concorrenza sleale o il comportamento illecito di un dipendente infedele.

In che modo si svolgono le operazioni di e-discovery?

Alla base di ogni processo di e-discovery devono esserci le tecniche di informatica forense, ovvero la scienza che si occupa del trattamento del dato informatico che può essere utilizzato come prova all’interno di un processo. Quindi nei casi in cui l’e-discovery riguardi contenuti di un hard disk di un computer, occorre preventivamente procede alle operazioni di:

  • raccolta del reperto informatico, ovvero di smontaggio dell’hard disk dal computer
  • acquisizione forense, ovvero alla creazione di una copia forense di hard disk che rappresenti la copia identica, bit per bit, del supporto originario
  • conservazione dell’hard disk originale all’interno di un luogo idoneo al mantenimento dell’integrità nel caso in cui il Giudice ne chieda l’esibizione; luogo ideale potrebbe essere l’ufficio reperti informatici del laboratorio del consulente tecnico di informatica forense che esegue le operazioni tecniche
  • indicizzazione dei dati, ovvero all’analisi automatica di tutti i dati contenuti all’interno della copia forense – che equivalgono ai contenuti dell’hard disk originale – per consentire successive ricerche basate su parola chiave

Nell’e-discovery il compito del consulente tecnico di informatica forense è solo quello di trattare correttamente il reperto informatico, acquisire i dati informatici ivi contenuti e procedere all’estrazione. I file estratti sono quindi forniti così come sono oppure convertiti in un formato documentale generico (ad esempio PDF) che non creano problemi di consultazione e non richiedono software specifici. I file così prodotti vengono forniti al proprio committenti o ai legali che, consapevoli di ciò che è accaduto, dei ruoli degli utilizzatori del sistema informatico analizzato e dell’obiettivi della ricerca, possono consultare tutti i file alla ricerca dei soli documenti rilevanti.

I file individuati durante le operazioni di e-discovery sono identificati singolarmente e classificati, eventualmente con l’ausilio di un sistema di catalogazione (electronic records management system, abbreviato in ERM), che consente una rapida catalogazione e organizzazione per il successivo utilizzo, nonchè per correlazione e verifica di coerenza.

Il processo e-discovery di BIT4LAW

fasi-di-ediscovery Nei casi in cui BIT4LAW è coinvolta in processi di e-discovery, si propone al cliente il seguente processo:

  • colloquio preliminare per conoscere il caso, definire in maniera precisa l’esigenza, l’ambito di intervento e i ruoli delle varie parti
  • identificazione dei reperti informatici effettivamente rilevanti per il caso trattato
  • raccolta del supporto informatico ad opera di personale tecnico qualificato, eventualmente in collaborazione con referenti IT del committente
  • acquisizione forense dell’hard disk o del supporto o dato di riferimento (altri sistemi possono essere ad esempio smartphone, tablet, file di log…)
  • elaborazione dei dati acquisiti mediante idonei strumenti specifici per il settore dell’eDiscovery
  • trasmissione dei dati elaborati al committente per la sua consultazione, rimanendo a disposizione per ogni chiarimento in merito all’uso del sistema di consultazione fornito o per eventuali approfondimenti di dettaglio sulla copia forense di partenza
  • comunicazione delle evidenze individuate dal committente con la successiva fase di individuazione puntuale all’interno del sistema originario
  • colloquio con i legali per definire la strategia difensiva
  • redazione della relazione tecnica di informatica forense che illustri metodologie ed esiti delle attività svolte

Un consulente di BIT4LAW è a disposizione per valutare la strategia migliore da seguire per il caso che coinvolge la tua azienda.

[tfuse_contactform tf_cf_formid=”1″]