L’informatica forense o digital forensics è una disciplina che ha l’obiettivo di utilizzare metodi derivati e verificati scientificamente per identificare, acquisire, conservare, analizzare, interpretare convalidare e documentare i dati contenuti all’interno di computer, hard disk, cellulari e smartphone, navigatori, tablet, reti, Internet, social network, server, NAS, email e PEC, console, fotografie e filmati e altri dispositivi di memorizzazione e trasmissione digitale: nell’ambito dei procedimenti giudiziari penali, civili ed amministrativi.
Le informazioni ottenute possono quindi essere utilizzate come elementi di prova in ambito civile e penale. I risultati del lavoro vengono documentati tramite la redazione di una relazione di consulenza tecnica o perizia informatica forense, che può essere utilizzata in sede processuale. Per processi civili o penali, a fini legali e per utilizzo in Tribunale o in sede stragiudiziale
Il termine Digital Forensics Expert è utilizzato per identificare la nuova figura professionale che presta la sua opera nell’ambito dei reati informatici o del Computer Crime.
Esistono diverse specializzazioni della digital forensics:
- disk forensics: si occupa di acquisizione e analisi di supporti di memoria (hard disk, computer, notebook, chiavette USB, server, cd, dvd…)
- network forensics: si occupa di acquisizione e analisi di dati in rete e dati presenti in Internet (ad esempio, in relazione all’acquisizione di pagine web) disamina e correlazione dei file di log di uno o più sistemi
- mobile forensics: si occupa di acquisizione e analisi di dispositivi mobili come telefoni cellulari, tablet, smartphone La mobile forensics consente di preservare, acquisire, estrarre, analizzare e valutare dati dei vari sistemi attualmente in commercio (Apple iOS, Android)
- cloud forensics: si occupa di recuperare i dati che non sono più residenti sul sistema fisico utilizzato dall’utente ma su sistemi remoti
- IoT Forensics: si occupa di dispositivi appartenenti al campo dell’Internet delle cose (IoT), come ad esempio PLC, dispositivi embedded, schede Arduino, Raspberry, ecc.
Durante tutte le operazioni è fondamentale garantire la ripetibilità delle attività svolte, nonché l’integrità, la validità e l’accuratezza dei dati originali. In Italia il principale riferimento normativo per questa disciplina è la Legge 48 del 18 marzo 2008, (Legge 48/2008) in ratifica alla Convenzione di Budapest del Consiglio d’Europa del 2001. Al suo interno sono contenute importanti modifiche al Codice penale, al Codice di procedura penale e al Codice Privacy e sono trattati i metodi investigativi sulle digital evidence. Sono inoltre fornite le indicazioni metodologiche sulle procedure per la loro acquisizione, attraverso l’adozione di “misure tecniche dirette ad assicurare la conservazione dei dati originali e ad impedirne l’alterazione”, e in altri casi “l’adozione di procedure che assicurino la conformità dei dati acquisiti a quelli originali e la loro immodificabilità
