L’informatica forense è quella disciplina investigativa specializzata nella raccolta delle “prove digitali” che verranno utilizzate successivamente in sede giudiziaria
Da una decina d’anni, con l’incremento dei sistemi digitali, è nata una nuova disciplina, la digital forensics. L’informatico forense è un professionista (laureato o comunque che ha conseguito attestati di formazione in materia) con specifiche competenze tecnico-giuridiche che si occupa di raccogliere delle fonti di prova digitale (electronic evidence) che potranno essere utilizzate successivamente durante un processo. Per prova digitale si intende, “un’informazione generata, memorizzata e trasmessa attraverso un supporto informatico che può avere valore in tribunale”. In questa definizione sono compresi anche tutti quei dati in formato analogico (audio e video cassette, pellicole fotografiche, telefonate fatte attraverso la rete pubblica) che possono essere “digitalizzati”, ma che non nascono in formato digitale.
I principi fondamentali della digital forensics sono stati stabiliti dal decreto legislativo n° 48 del 18 marzo 2008 e prevedono, tra le altre cose, importanti aspetti legati alla gestione della prova digitale. L’attenzione è stata focalizzata su due principali questioni, ovvero la corretta procedura di copia dei dati utili alle indagini e la loro integrità e non alterabilità in sede di acquisizione. Le fasi principali che caratterizzano l’attività e le best practices nell’informatica forense possono essere riassunte nell’individuazione, preservazione, acquisizione, analisi e correlazione dei dati assunti, oltre che in una completa ed esaustiva documentazione di quanto effettuato nelle singole fasi.
L’acquisizione della electronic evidence è senz’ombra di dubbio la fase più delicata, poiché dev’essere garantita l’inalterabilità del reperto che viene analizzato. Durante questa fase non potrà essere attuata una mera copia del dato ricercato, bensì dovrà essere creata una cosiddetta “bit stream image”, ovvero la copia “bit a bit” del dispositivo oggetto d’indagine, comprese le aree che contengono informazioni non più visibili all’utilizzatore di quel sistema, adottando metodologie tecniche differenti in base alla tipologia di dispositivo da acquisire. Una copia effettuata con queste modalità presenterà pertanto la stessa sequenza di dati (numero di bit 0-1) del supporto originale. Una corretta gestione dei dati raccolti ha lo scopo di garantire l’autenticità e l’integrità della prova digitale ed implica la documentazione di ogni fase del processo dalla raccolta al trasporto, dalla conservazione alla successiva analisi. La relazione finale dovrà perciò fornire nel dettaglio tutte le evidenze rilevate, dovrà essere correlata da documentazione fotografica e talvolta anche video che mostrerà tutte le fasi di lavoro al fine di fornire un quadro il più completo possibile.