Cos’è l’informatica forense

L’informatica forense, chiamata anche Digital Forensics, si occupa dell’acquisizione, cristallizzazione ed analisi del contenuto di un dispositivo informatico o digitale in genere, generalmente allo scopo di redigere una Perizia Informatica Forense con la quale si vuole mettere in evidenza determinate prove digitali acquisite ad analizzate dal Perito Informatico Forense. L’informatica forense è utile in tutti i casi in cui sia necessario produrre una prova digitale in giudizio o sia necessario “smontare” prove prodotte dalla controparte. Sfortunatamente, molto privati, aziende ed anche Avvocati ritengono che la semplice produzione di uno screenshot possa bastare per poter dimostrare un determinato fatto. Niente di più sbaglio, come sottolineato anche dalla L.48/2008, la quale pone l’accento attorno all’esigenza di garantire la genuinità della prova digitale.

Informatica forense in Italia

Con la L.48/2008, il legislatore italiano ha “aggiornato” parte delle disposizioni in tema di mezzi di ricerca della prova, facendo riferimento ai “sistemi informatici o telematici” e prevedendo operazioni che mirino alla conservazione dei dati originali ed alla loro non alterabilità. Nella pratica, l’attenzione del legislatore è focalizzata al risultato, più che al modus operandi con cui le attività di Digital Forensics devono essere volte. Il frequente richiamo è infatti alle “misure tecniche dirette ad assicurare la conservazione dei dati originali e ad impedirne l’alterazione“. In particolare, si fa riferimento alle così dette best practices del settore, metodiche e procedure che devono mirare a:

• Acquisizione della prova informatica senza alterare o danneggiare il dispositivo originale
• Autenticazione del reperto e dell’immagine acquisita
• Garanzie di ripetibilità dell’accertamento
• Analisi senza modificazione dei dati originari
• Massima imparzialità da parte dell’Informatico Forense

Copia forense

Tutte le attività di informatica forense partono da quella che è l’acquisizione della prova. Questa infatti, come già ribadito più volte, deve essere effettuata senza alterare o danneggiare il dispositivo originale ed effettuando una copia identica del supporto sorgente. Per fare ciò, si effettua la copia forense (o bit stream image, o copia bit a bit), ovvero una clonazione che permette a tutte le parti in giudizio di verificare l’attendibilità e la non alterazione dei dati sulle quali vengono condotte le analisi, al fine di evitare il disconoscimento di prove informatiche.
Nel caso in cui, ad esempio, si volesse produrre in giudizio una conversazione WhatsApp, uno screenshot non sarebbe sufficiente: potrebbe essere disconosciuto in quanto potenzialmente modificato con attività di fotomontaggio.

Fondamentale, in una copia forense, è la generazione dell’hash che permette di certificare (come un’impronta digitale) il contenuto della copia stessa: anche l’alterazione di un singolo bit modifica l’hash generata e questo garantisce che la copia forense sia identica al supporto clonato. La copia forense può essere effettuata per qualsiasi dispositivo informatico: che sia uno smartphone, un computer, un tablet, una chiavetta USB o un dato nel cloud, questo può essere sottoposto, mediante diverse tecniche, ad una copia forense. L’acquisizione forense può essere effettuata anche per email e caselle di posta nel loro intero.

Step dell’informatica forense

A livello metodologico, possiamo riassumere gli step dell’informatica forense, qui sopra brevemente accennati:

• Valutare la situazione, analizzando la portata dell’indagine le azioni da intraprendere
• Acquisire i dati, proteggendo e conservando le prove originali
• Analizzare ed esaminare i dati sui supporti clonati, mai sul dispositivo originale
• Raccogliere ed organizzare le informazioni raccolte e scrivere il rapporto finale

Copia forense WhatsApp

Quando è necessario produrre una conversazione WhatsApp valida a fini legali, è necessario effettuare la copia forense del dispositivo all’interno del quale i messaggi sono memorizzati. Anche in questo caso, l’informatica forense permette di effettuare una clonazione dello smartphone, tramite diverse metodologie, in base al modello e marca di cellulare, rendendo incontestabile il contenuto dei messaggi prodotti. In linea di massima, è necessario poter sbloccare lo smartphone sottoposto a copia forense prima delle attività forensi: è quindi necessario avere accesso al PIN dello smartphone oppure ad eventuali password o codici di accesso che ne blocchino l’utilizzo. Nel caso in cui non si disponga dal PIN di sblocco dello smartphone, in taluni casi è possibile procedere forzatamente allo sblocco, ma i dispositivi più recenti richiedono costose procedure ed archi temporali importanti (anche superiori ai 30 giorni) per procedere in tali situazioni.

Oltre alla copia forense dell’interno dispositivo, è anche possibile procedere effettuando la copia forense dei singoli database nei quali sono contenute le conversazioni WhatsApp.
Nel caso in cui non fosse stata effettuata una copia forense, è possibile il disconoscimento dei messaggi WhatsApp.

Copia forse email

Quando è necessario procedere all’acquisizione forense di email o di caselle di posta nel loro intero, anche in questo caso si hanno davanti diverse strade percorribili: è infatti possibile procedere ad una copia dell’intera casella di posta, quindi mediante le credenziali di accesso al server nelle quale le conversazioni si trovano, oppure è possibile (ed a volte necessario) effettuare una clonazione del dispositivo dove i messaggi sono memorizzati. In entrambi casi, il principio alla base è sempre lo stesso: garantire la non alterazione delle prove acquisite e la ripetibilità delle operazioni svolte.