La catena di custodia nella digital forensics

Cos’è la Digital Forensics

Prima di analizzare importanza e limiti della catena di custodia, però, dovremo partire dalle basi e comprendere appieno cosa intendiamo con il termine “Digital Forensics”.

L’informatica forense, in sostanza, deve procurare ogni prova disponibile su supporto informatico. E, dato che esistono moltissimi dispositivi di questo tipo, gli ambiti applicativi della Digital Forensics sono innumerevoli.

È infatti possibile recuperare e analizzare prove informatiche da computer, dispositivi mobili, ma anche hard disk, reti informatiche, database, perfino immagini.

Allo stesso modo, la portata dell’informatica digitale è molto ampia. Non è utile solamente per indagini e processi privati, ma anche in contesti di reati aziendali. Il fine ultimo è quello di consegnare il colpevole alla giustizia, oltre che di condurre un processo utilizzando prove inequivocabili e, soprattutto, corrette e rilevanti.

La prova digitale nelle indagini forensi

Ovviamente, quando si parla di prove digitali contenute su supporto informatico, si possono manifestare diverse problematiche. Le informazioni contenute su questa tipologia di supporto sono purtroppo facilmente modificabili, oltre che soggette a deperimento o perdita.

C’è inoltre un aspetto fondamentale da considerare: alcune prove digitali non hanno valore legale. Pensiamo per esempio agli screenshot effettuati ad una conversazione avvenuta sui social media. Questi, secondo la Digital Forensics, non possono essere considerati delle digital evidence. Non hanno cioè alcun valore legale.

Lo acquisiscono solamente qualora degli esperti si occupino di autenticare tali prove. Ed è proprio per questo che, negli ultimi anni, abbiamo assistito ad uno sviluppo della Digital Forensics. Per poter validare come legali le prove su supporto informatico o digitale, è necessario rivolgersi agli esperti in materia.

La catena di custodia

Infatti, perché una prova digitale sia valida e si mantenga tale anche successivamente, è necessario che questa resti inalterata. Il che vuol dire che, una volta raccolta la prova, è necessario che tutte le sue successive modifiche, eventuali alterazioni o spostamenti siano tracciabili. Ciò può avvenire solamente mediante la catena di custodia. In sostanza, il documento della catena di custodia descrive l’intero ciclo di vita delle digital evidence, dalla raccolta alla presentazione in giudizio.

Infatti, con questo termine, nella Digital Forensics, intendiamo ogni passaggio compiuto dalla prova stessa. Si può cioè seguire l’intero percorso della digital evidence, dalla raccolta della prova fino al suo utilizzo in sede di giudizio.

Poter verificare se vi sono state manomissioni, oltre che conoscere chi effettivamente è entrato in contatto con la prova, infatti, garantisce la salvaguardia della prova stessa.

In realtà, non parliamo di catena di custodia solamente quando ci riferiamo alle prove su supporto informatico. Ogni prova utilizzata in un processo, infatti, deve tener conto della catena di custodia. La quale, però, è particolarmente importante quando si parla di prove informatiche.

Salvaguardia delle digital evidence

Infatti, una gestione corretta della catena di custodia nella digital forensics è essenziale, al fine di mantenere l’integrità delle digital evidence.

La catena servirà a documenta ogni operazione effettuata sulla prova su supporto digitale. Affinchè questa abbia valenza, occorrerà innanzitutto specificare data, ora e persone coinvolte nel raccoglimento delle prove. Tutte queste informazioni non devono mancare perché una prova abbia validità in tribunale.

Ma non finisce qui, perché i dati raccolti vanno anche protetti, mediante apposizione di sigilli sia sui dispositivi elettronici originali, sia sulle copie. Se i sigilli venissero compromessi, è probabile che sia avvenuta una manomissione: le prove non sarebbero più ritenute valide.

Il passaggio successivo della catena di custodia riguarda poi il trasporto. Le digital evidence dovranno necessariamente essere isolate, in quanto è fondamentale che ogni prova non venga contaminata.

Con le prove digitali, il rischio di contaminazione è purtroppo molto elevato. Per questa ragione, esistono diversi dispositivi elettronici atti a garantire la massima sicurezza.

In Digital Forensics vengono spesso utilizzati i jammer, che servono per bloccare le comunicazioni e garantire la massima protezione degli strumenti informatici. Inoltre, a questi dispositivi di protezione vengono spesso affiancate le gabbie di Faraday, atte a garantire un maggiore isolamento.

La mancanza di una normativa specifica

L’utilizzo della catena di custodia nella Digital Forensics, dunque, garantisce che la prova informatica non venga alterata o manomessa. In questo modo, le prove restano attendibili per tutta la durata del processo.

Tuttavia, nonostante l’importanza della catena nella raccolta e nella conservazione delle digital evidence, ad oggi manca purtroppo una normativa specifica in merito.

È vero che possiamo far riferimento alla normativa internazionale, in particolare all’ISO/IEC 27037:2012 che si pone a tutela delle prove digitali. Inoltre, nel nostro Paese, la Legge n. 48/2008 ha ampiamente chiarito i principi basilari dell’informatica forense.

Eppure, manca una chiara norma che riferisca i passaggi necessari per una corretta catena di custodia quando si tratta di prove digitali.

Un riferimento, seppur minimo, lo possiamo reperire nel codice di procedura penale, all’Art. 260 comma 2, dove si specifica che “quando si tratta di dati, di informazioni o di programmi informatici, la copia deve essere realizzata su adeguati supporti, mediante procedura che assicuri la conformità della copia all’originale e la sua immodificabilità”.

Si auspica quindi una futura normativa che renda il processo di acquisizione e custodia delle prove digitali più uniforme e standardizzato.