Digital forensics

Digital Forensics: Che Cos'è? - Definizione

L’informatica forense, detta anche digital forensics, è la scienza che studia il trattamento di un dato digitale e la sua trasformazione finale in prova producibile in giudizio, nelle diverse fasi di identificazione, acquisizione, indicizzazione, analisi e report. 

Background Italia svolge perizie forensi, garantendo l'utilizzo di software aggiornati e il rispetto di normative, procedure e best practice internazionali grazie ad un esperienza di oltre 40 anni ed alla ampia possibilitá di agire in relazione alle diverse tipologie di licenze prefettizie per lo svolgimento di investigazioni digitali per conto di aziende e studi legali, sia in fase preventiva consultiva, che in giudizio come CTP.

La digital forensic per le investigazioni

Tecnici informatici esperti in grado di effettuare Perizie Forensi su computer, server, tablet e dispositivi elettronici fissi e mobili. L'uso di particolari software e hardware permette di:
  • Recuperare file cancellati
  • Ricercare file esportati su usb
  • Ricerca uso gmail o casella di posta
  • Perizie informatiche su cellulari e tablet
  • Perizie informatiche su server
  • Perizie informatiche su pc
  • Tracce di esportazione non autorizzata di file
  • uso improprio di software
Il processo di estrazione, recupero e analisi dei dati garantisce:
  1. L’integrità dei dati raccolti e, in generale, di tutti i dati presenti sul dispositivo;
  2. La ripetibilità delle attivitá tecniche;

Integrità del dato e ripetibilità del processo, unitamente alla corretta tenuta di un documento di catena di custodia stanno alla base della producibilità in giudizio dei dati raccolti.

In una materia tecnica complessa, dove anche solo l’accensione scorretta del dispositivo, può comprometterne la piena validitá in giudizio Background Italia puó offrire supporto competente sia in fase di intelligence che in qualitá di CTP.

Fasi di una perizia forense

Per svolgere una perizia forense si possono svolgere alcune o tutte le seguenti attivitá: identificazione, acquisizione e preservazione, analisi, report.

L'attivitá di identificazione consiste nel riconoscere quali potrebbero essere le fonti di origine del dato.
E' una fase meno banale di quanto si possa pensare, infatti aumenta sempre di piú il numero di dispositivi digitali in grado di contenere informazioni, siano essi sistemi di backup di design o dispositivi IOT, quali smartwatch, braccialetti intelligenti, etc.

L'attivitá di acquisizione forense e preservazione presenta innanzitutto due scenari distinti: L'acquisizione "live" di un sistema giá acceso e l'acquisizione di un sistema digitale spento. Nel caso il sistema sia acceso si devono usare tecnologie in grado di raccogliere le cosiddette "evidenze volatili", come ad esempio memorie, processi e connessioni attive, utenti loggati..., che si perdono nel momento in cui il sistema viene spento. In questa fase inoltre il tecnico avrá cura di utilizzare funzioni di calcolo Hash (MD5, SHA256 ad esempio) per dimostrare che il reperto di origine coincide con la copia digitale utilizzata per la perizia forense, garantendone altresí la ripetibilitá.

Svolte tutte le operazioni preliminari si puó quindi procedere con l'attivitá cardine di una perizia forense: l'analisi. In questa fase il perito forense utilizza le sue conoscenze informatiche e diversi software per far emergere dati cancellati, costruire timeline, ricercare keyword e individuare tracce digitali.

Leggi e Normativa delle perizie informatiche

In italia la disciplina dell’informatica forense è contenuta principalmente nella Legge 48 del 2008, ratifica di esecuzione della Convenzione di Budapest del 2001 in materia di criminalità informatica.

L’importanza della prova informatica (Digital Evidence) sta vivendo in questo periodo una crescita esponenziale, principalmente per due motivi:
  1. L’ambito applicativo della normativa sull’informatica forense non si limita ai reati “puramente” informatici, bensì si estende anche ai reati “spuri”, reati comuni commessi mediante l’ausilio di mezzi informatici.
  2. La prova informatica è del tutto assimilata ad una prova scientifica, con margine di errore infinitamente più basso di prove che dipendono dal fattore umano e per questo ormai sempre più accantonate da parte dei giudici, a favore della “certezza” della prova scientifica.
Le caratteristiche di fragilità e immaterialità del dato scientifico rendono tuttavia estremamente stringente la disciplina in merito alla sua raccolta al fine di utilizzarlo come prova in un giudizio: da un lato, la fragilità impone regole e controlli precisi in merito all’integrità del dato raccolto; dall’altro, l’immaterialità comporta norme rigide in tema di sequestro, che garantiscano il rispetto di principi previsti costituzionalmente come quello della proporzionalità, della riservatezza e della protezione dei dati personali.


Richiedi ora maggiori informazioni ad un nostro consulente in merito ai servizi di perizia forense, ricerca e recupero dati. CONTATTACI
Contattaci!