Scienze forensi e tecnologie informatiche: la computer and network forensics
| Autore | Giovanni Ziccardi |
| Carica | Professore Associato di Informatica Giuridica e Informatica Giuridica Avanzata |
| Pagine | 103-125 |
Giovanni Ziccardi Professore Associato di Informatica Giuridica e Informatica Giuridica Avanzata, Facoltà di Giurisprudenza, Università degli Studi di Milano.
Page 103
@1. Scienze forensi ed evoluzione tecnologica
L'origine e lo sviluppo di una disciplina di studio denominata «computer forensics»1 sono strettamente correlati all'evoluzione dell'information and communication technology nell'era moderna2.
Page 104
Contestualmente al mutamento portato, in ampi settori della società, dalle nuove tecnologie e, in particolare, dall'avvento dell'elaboratore elettronico e dalle reti, si è verificato un cambiamento nelle modalità di rilevazione, gestione, raccolta e analisi di quegli elementi che, in senso lato e, per ora, assolutamente generico, si possono definire «fonti di prova», «prova», «indizio» o «testimonianza»: si sono affiancati, ad elementi «tradizionali» (naturali e fisici) degli elementi di prova, lato sensu, capaci sì di individuare un fatto, ma inscindibilmente correlati ad un elaboratore elettronico o ad una rete informatica o telematica3.
Il concetto di computer forensics (se una particolare attenzione si vuole riservare al computer), di digital forensics (se l'attenzione si vuole rivolgere al mondo del dato digitale), di network forensics (se l'attenzione si vuole dedicare al mondo delle reti), di mobile forensics (se l'attenzione si vuole indirizzare verso i dispositivi mobili), di PDA o SIM forensics, ha come elemento essenziale, si è visto, l'idea di forensics, ovvero di scienze forensi.
La computer forensics, in primo luogo, altro non è che l'estensione di teorie, principi e prassi, proprie della scienza forense in generale, al mondo dell'informatica e delle nuove tecnologie.
Page 105
Non si tratta, quindi, di un passaggio logico particolarmente complesso, dal punto di vista teorico: la scienza forense (intesa come la scienza che studia il valore processuale di determinati accadimenti ai fini della costituzione di possibili fonti di prova) ha già, in passato, affrontato, senza particolari difficoltà, nuovi «tipi» di prova, nuove metodologie d'analisi, nuovi aspetti delineati dal progresso4.
Nel caso che interessa in questa sede, si analizzeranno, da un punto di vista informatico-giuridico, le modalità tecniche attraverso le quali la tradizionale scienza forense si è avvicinata al mondo del computer e alle prove (e informazioni) da esso generate: si vedrà che alcuni principi sono rimasti immutati, e hanno potuto risolvere egregiamente problemi anche del «mondo digitale», mentre altri principi si sono dovuti adeguare ai cambiamenti che il computer e l'elettronica hanno inevitabilmente portato.
Nel settore della computer forensics, tali cambiamenti hanno riguardato, in estrema sintesi, e ai fini di fornire un quadro «preliminare»:
-
la nascita e sviluppo di una cosiddetta fonte di «prova digitale», che come caratteristiche essenziali ha l'immaterialità e la fragilità intrinseca del dato;
-
lo sviluppo di strumenti (tools) di raccolta della fonte di prova digitale, che devono essere utilizzati secondo un certo «metodo», affinché la prima fase di acquisizione della possibile fonte di prova non si riveli inutile o «contestabile» (di qui le costanti affermazioni circa la necessità di linee guida dedicate anche alle metodologie di trattamento della prova digitale);
-
lo sviluppo di nuova tecnologia per memorizzare e far circolare le possibili fonti di prova digitale, per cui ogni giorno il dato che può essere fonte di prova si può trovare memorizzato, o custodito, su un supporto completamente nuovo, e che richiede un trattamento ad hoc;
Page 106
-
il mancato adeguamento a tali cambiamenti da parte di larghissimi settori della società interessati a queste tematiche giuridiche (soprattutto Magistrati, Avvocati, operatori di Polizia Giudiziaria), che si manifesta con una nulla, o lacunosa, preparazione tecnologica (che porta ad ignorare, a volte, lo stesso tema oggetto principale della questione giuridica o a tenere metodi di indagine errati o inefficaci) o alla automatizzazione di deleghe o expertise per non analizzare o non occuparsi del problema.
Il primo punto (la nascita di un nuovo tipo di prova, la prova digitale) è un dato incontrovertibile e problematico, in quanto la prova digitale in generale è di difficile identificazione, dal momento che muta costantemente.
In più, il diritto si sta muovendo sempre di più verso la digitalizzazione, nel senso che nella società odierna anche in investigazioni correlate a reati tradizionali vi sono, quasi sempre, aspetti tecnologici5.
Non appare pertanto peregrina l'affermazione o, meglio, la previsione, che nel prossimo futuro tutta la prova sarà «digitale», in quanto il processo di informatizzazione e digitalizzazione della nostra società condizionerà direttamente, come è ovvio, il mondo giuridico e il suo aspetto processuale6.
@2. Alcune definizioni tecniche preliminari
Prima di riportare definizioni tecniche di eminenti studiosi, sia nazionali sia internazionali, che si sono occupati di queste tematiche, e che con varie modalità cercano di ben inquadrare questa scienza in continua evoluzione, si potrebbe, in assoluta modestia, cercare di dare una definizione di massima, volutamente generica, che possa comprendere ogni possibile aspetto di questa multiforme disciplina.
Una definizione tecnica iniziale potrebbe essere la seguente: per computer forensics s'intende quella scienza che studia il valore che un dato cor-Page 107relato ad un sistema informatico o telematico può avere in un ambito sociale, giuridico, o legale che dir si voglia7.
Il concetto di «valore», nel caso de quo e dal punto di vista esclusivamente tecnologico, si può intendere come capacità di resistenza ad eventuali contestazioni e capacità di convincimento del giudice e delle parti processuali o di altri soggetti (nel caso si ritenesse che la forensics non abbia solo un aspetto strettamente correlato all'ambito legal) in ordine alla genuinità, non ripudiabilità, imputabilità e integrità del dato stesso e dei fatti dallo stesso dimostrati.
Come si è ricordato poco sopra, si vorrebbe dare una definizione e un inquadramento innanzitutto tecnologico, certo è che l'aspetto tecnologico della prova digitale e della computer forensics in generale è sempre stato collegato a una «lite», a un processo di contestazione, alla volontà di provare qualcosa in una determinata sede che, nella maggior parte dei casi, è una sede giudiziaria.
Page 108
Ecco perché, a parere di chi scrive, l'aspetto della «resistenza informatica» alle contestazioni, ovvero la possibilità di provare scientificamente in ogni momento che il dato è integro, non ripudiabile, correlabile direttamente ad un determinato soggetto e che ha valori di luogo e di tempo ben identificabili, diventa l'aspetto centrale in un'analisi definitoria tecnologica della computer forensics.
Ad onor del vero, si vedrà ben presto, che la definizione di cui sopra può assumere due aspetti ben distinti nel caso si volesse evidenziare o meno quell'aspetto «sociale» poco sopra evidenziato.
In particolare, avremo una definizione di computer forensics «pura», che comprende solo, ed esclusivamente, l'ambito legale, o processuale, dell'acquisizione, analisi e esposizione del dato.
In tal caso, l'aspetto legale è essenziale, e se il dato non «entra» in un contesto giuridico non si può parlare di forensics.
Si vedrà, in seguito, che esiste però anche una consolidata tradizione di forensics aziendale, una categoria concettuale che può risultare difficile da comprendere se si intende il termine forensics correlato esclusivamente all'ambito giuridico.
La computer forensics in ambito aziendale altro non è che una simulazione di attività che potrebbero essere finalizzate alla produzione della prova in giudizio effettuata, però, in ambito interno aziendale, seguendo, eventualmente, identiche metodologie8. Ecco allora che in molte pubblicazioni scientifiche9 si trova l'accezione computer forensics aziendale, o forensics aziendale, quando in realtà di forensics in senso stretto c'è ben poco.
Ci sono, al contrario, metodologie comunemente utilizzate a fini processuali o da investigatori delle forze di Polizia che vengono usate, in questo caso, per indagini interne aziendali.
Si pensi, paradossalmente, ad un'indagine effettuata internamente all'organico di un'azienda da parte di un responsabile del personale usan-Page 109do, in ipotesi, metodologie (interrogatorio, testimonianza) che sono comunemente usate in ambito giudiziario, ma che non hanno alcuna rilevanza esterna al di fuori della struttura aziendale.
Ovviamente, alcune indagini interne di forensics aziendale possono, poi, concretizzarsi in azioni esterne, ma ciò non accade sempre.
In questa sede si prediligerà una divisione concettuale delle «due forensics» piuttosto rigida: quando si parla di computer forensics, o di prova digitale, o d'indagini, ci si riferisce all'ambito dell'applicazione della legge, strettamente giuridico.
In ogni occasione nella quale si parlerà dell'ambito aziendale, si preciserà che ci si riferisce a forensics aziendale (o corporate forensics).
I fini delle «due forensics» sono, però, sovente gli stessi: scoprire un determinato fatto, le sue prove, i collegamenti ad uno o più soggetti, valutare se tale fatto è nocivo o meno ed elaborare dei metodi corretti per arrivare a tali fini.
@3. I settori scientifici coinvolti e la multidisciplinarietà della materia
La computer forensics è una di quelle discipline dove sono coinvolte competenze difformi tra loro: si può rilevare un aspetto prettamente informatico, uno prettamente giuridico (processuale e tecnico) e uno prettamente investigativo.
Non appare, quindi, strano che dette tematiche siano, da tempo, analizzate da informatici, da processualpenalisti, da informatico-giuridici, da Avvocati, da Magistrati, da Forze dell'Ordine, e che ognuno di questi «attori» abbia un approccio singolare e che conduce, sovente, a risultati...
Per continuare a leggere
RICHIEDI UNA PROVA