L’informatica forense è la scienza forense che si occupa del trattamento di dati digitali da utilizzare come prova in un processo.
Le fasi del trattamento del dato digitale previste dalla metodologia di informatica forense sono:
- identificazione
- raccolta
- acquisizione
- analisi
- presentazione
Il perito forense deve adottare tecniche di informatica forense nei seguenti casi:
- reato informatico in senso stretto (ad esempio, accesso abusivo a sistema informatico)
- reato classico commesso con l’ausilio di strumenti informatici (ad esempio, falsa fatturazione), quando occorre un’acquisizione e analisi forense informatica dei dati
- reati nei quali il dato informatico è presente all’interno di sistemi informatici non direttamente coinvolti (es. geolocalizzazione da tabulati telefonici).
Il ricorso all’informatica forense è frequente anche in ambito civile, allorquando ad esempio il CTU informatico deve esaminare dati connessi a un contratto avente ad oggetto la fornitura di servizi informatici.
Le fasi dell’informatica forense
Identificazione
Nella prima fase dell’informatica forense occorre procedere con l’identificazione dei dati digitali rilevanti, evidenziando i dispositivi di memorizzazione di dati digitali come hard disk, computer, chiavette USB, smarpthone…
Raccolta
Dopo l’identificazione, occorre fisicamente disporre dei sistemi contenenti i dati di interesse. Nella fase di raccolta, la consulenza informatica forense prevede che si proceda allo smontaggio dei supporti e alla messa in sicurezza per il trasporto e la conservazione sicura dei dispositivi.
Acquisizione
In una consulenza tecnica di informatica forense la prima attività tecnica da eseguire è la copia di tutti i bit, ossia l’acquisizione: tramite appositi software e dispositivi hardware è possibile produrre una copia forense dei dati digitali che si intende utilizzare come prova. L’acquisizione deve essere completa, deve garantire integrità e inalterabilità dei dati: a tal fine, al termine della procedura di acquisizione si genera un valore di hash, cioè una stringa di caratteri che consente di rappresentare in poco spazio una sorta di impronta digitale utile a poter verificare in ogni successivo momento se i dati digitali hanno subito alterazioni o sono ancora integri.
Analisi
A seconda del caso, nella fase di analisi forense informatica il consulente informatico forense si occupa di estrarre da tutti i bit acquisiti solo quelli rilevanti, attribuendo loro un significato e valutando in che modo può essere utile a sostegno di un’ipotesi accusatoria o di una strategia difensiva.
Ovviamente l’analista forense può eseguire qualsiasi tipo di verifica a prescindere dal dispositivo, quindi sarà possibile eseguire un’analisi forense di cellulare
L’analisi forense informatica può dunque aiutare ad estrarre dei dati, delle date di file, convertire file e molto altro.
Presentazione
Al termine del processo di trattamento di informatica forense del dato informatico, occorre presentare i risultati dell’informatica forense.
Occorre cioè produrre una relazione tecnica di informatica forense e presentare oralmente in sede di esame del consulente tecnico ciò che è emerso nel corso dell’attività tecnica.
