Secondo la IOCE (International Organization on Computer Evidence), la Prova digitale è “Un’informazione generata, memorizzata e trasmessa attraverso un supporto informatico che può avere valore in tribunale”.
Invece, secondo lo SWGDE (Scientific Working Group on Digital Evidence), è “Qualsiasi informazione, con valore probatorio, che sia o meno memorizzata o trasmessa in formato digitale”: sono prove digitali anche dati in formato analogico che possono essere digitalizzati: audio e video cassette, pellicole fotografiche, conversazioni telefoniche svolte attraverso la rete pubblica.
Che cos'è la prova digitale
Acquisire la prova digitale
Riferimenti legislativi e buone pratiche
“Preservare l’integrità dell’informazione: fondamentale al fine di garantire l’utilizzabilità della prova in sede processuale (sia civile che penale). La prova permette al giudice di ricostruire correttamente e dimostrare i fatti affermati dalle parti nel corso del processo.”
(A. Ghirardini, G. Faggioli, “Computer Forensics”, ed. Apogeo 2009)
Per corrispondere ai requisiti di ammissibilità definiti dalla Corte di giustizia, ogni fase dell’attività dell’informatico forense deve rispettare l’integrità dei supporti e delle informazioni che raccoglie e analizza.
Ad esempio, è necessario prestare particolare attenzione alla gestione di file e archivi sospetti: il loro stato originario deve essere protetto da manipolazioni e da virus, danni fisici ed elettromagnetici.
Tutti i reperti sono soggetti alla catena di custodia dell’informazione, composta dalla documentazione che mostra chi e come li ha custoditi e utilizzati dal momento dell’acquisizione fino al termine dell’analisi e comprende dati che possono riguardare, ad esempio, le tipologie di analisi effettuate, la presenza di eventuali copie e chi vi ha avuto accesso.
Integrità dei dati
La legge N. 48 del 18/03/2008, che ha introdotto i fondamenti dell’informatica forense nel nostro ordinamento, prevede importanti aspetti legati alla gestione delle prove digitali, per loro natura molto fragili e volatili. Il testo non indica nel dettaglio le modalità con cui eseguire le operazioni di acquisizione e analisi delle prove, ma si concentra su due aspetti molto importanti:
• La corretta procedura di copia dei dati
• L’integrità e non alterabilità delle prove in fase di acquisizione.
Come ogni tipo di prova utilizzata in giudizio, infatti, le informazioni tratte da un’analisi forense devono rispettare i requisiti di ammissibilità definiti dalla Corte di giustizia.
Quando si acquisisce una prova informatica, non basta farne una semplice copia; per conservare tutti gli elementi e i dati che la caratterizzano, è necessario creare una “bit stream image”, cioè una copia “bit per bit” del dispositivo sottoposto ad indagine, e fornire l’accesso ai dati in modalità di sola lettura: così il contenuto del dispositivo sarà visibile ma non potrà essere alterato.
Informatica forense
La prova digitale
La prova
digitale
Secondo la IOCE (International Organization on Computer Evidence), la Prova digitale è “Un’informazione generata, memorizzata e trasmessa attraverso un supporto informatico che può avere valore in tribunale”.
Invece, secondo lo SWGDE (Scientific Working Group on Digital Evidence), è “Qualsiasi informazione, con valore probatorio, che sia o meno memorizzata o trasmessa in formato digitale”: sono prove digitali anche dati in formato analogico che possono essere digitalizzati: audio e video cassette, pellicole fotografiche, conversazioni telefoniche svolte attraverso la rete pubblica.
Che cos'è la prova digitale
Acquisire la prova digitale
Riferimenti legislativi e buone pratiche
La legge N. 48 del 18/03/2008, che ha introdotto i fondamenti dell’informatica forense nel nostro ordinamento, prevede importanti aspetti legati alla gestione delle prove digitali, per loro natura molto fragili e volatili. Il testo non indica nel dettaglio le modalità con cui eseguire le operazioni di acquisizione e analisi delle prove, ma si concentra su due aspetti molto importanti:
• La corretta procedura di copia dei dati
• L’integrità e non alterabilità delle prove in fase di acquisizione.
Come ogni tipo di prova utilizzata in giudizio, infatti, le informazioni tratte da un’analisi forense devono rispettare i requisiti di ammissibilità definiti dalla Corte di giustizia.
Quando si acquisisce una prova informatica, non basta farne una semplice copia; per conservare tutti gli elementi e i dati che la caratterizzano, è necessario creare una “bit stream image”, cioè una copia “bit per bit” del dispositivo sottoposto ad indagine, e fornire l’accesso ai dati in modalità di sola lettura: così il contenuto del dispositivo sarà visibile ma non potrà essere alterato.
Integrità dei dati
“Preservare l’integrità dell’informazione: fondamentale al fine di garantire l’utilizzabilità della prova in sede processuale (sia civile che penale). La prova permette al giudice di ricostruire correttamente e dimostrare i fatti affermati dalle parti nel corso del processo.”
(A. Ghirardini, G. Faggioli, “Computer Forensics”, ed. Apogeo 2009)
Per corrispondere ai requisiti di ammissibilità definiti dalla Corte di giustizia, ogni fase dell’attività dell’informatico forense deve rispettare l’integrità dei supporti e delle informazioni che raccoglie e analizza.
Ad esempio, è necessario prestare particolare attenzione alla gestione di file e archivi sospetti: il loro stato originario deve essere protetto da manipolazioni e da virus, danni fisici ed elettromagnetici.
Tutti i reperti sono soggetti alla catena di custodia dell’informazione, composta dalla documentazione che mostra chi e come li ha custoditi e utilizzati dal momento dell’acquisizione fino al termine dell’analisi e comprende dati che possono riguardare, ad esempio, le tipologie di analisi effettuate, la presenza di eventuali copie e chi vi ha avuto accesso.
