La conservazione delle prove digitali: la catena di custodia
Nel mondo digitale ogni azione lascia una traccia: un file creato, un accesso registrato, una comunicazione inviata. Queste tracce possono trasformarsi in prove decisive in ambito investigativo e giudiziario. Tuttavia, la loro validità dipende da come vengono raccolte, documentate e conservate: un errore tecnico può comprometterne per sempre l’autenticità e il valore legale.
Le prove digitali
Le prove digitali sono informazioni generate, memorizzate o trasmesse in formato elettronico che possono assumere valore probatorio; ne sono alcuni esempi le e-mail, i messaggi istantanei, i file di testo o multimediali, le registrazioni di accesso, i log di sistema, i dati di rete o anche i metadati che accompagnano i documenti.
A differenza delle prove tradizionali, quelle digitali presentano caratteristiche peculiari: sono volatili, perché possono essere modificate o cancellate facilmente; replicabili, poiché possono essere copiate infinite volte; e manipolabili, in quanto la loro alterazione può non lasciare tracce visibili.
Le prove digitali si distinguono in due tipologie: le prove statiche, ovvero quelle conservate in modo stabile su supporti fisici o digitali (come un hard disk o una chiavetta USB), e quelle dinamiche, che si modificano costantemente nel tempo, come i log di un server o i dati di sessione in rete. Proprio per questa loro natura instabile, le prove digitali richiedono metodologie di raccolta e conservazione rigorose, capaci di garantire la loro integrità e autenticità nel tempo.
La catena catena di custodia
La catena di custodia rappresenta la documentazione cronologica e continua che attesta tutte le fasi di conservazione di un reperto, dal momento del suo recupero fino alla presentazione in giudizio: una volta prelevato dalla scena del crimine, infatti, diventa fondamentale garantire l’autenticità originaria in ogni successivo passaggio.
Nel caso delle prove digitali (digital evidence), la tutela della catena di custodia ha l’obiettivo di preservare i dati nel medesimo stato in cui sono stati rinvenuti, affinché possano essere ammessi nel processo senza compromissioni.
I principi fondamentali della catena di custodia sono:
- Integrità e autenticità: la prova deve restare integra e genuina dal momento dell’acquisizione fino alla sua presentazione in giudizio.
- Verificabilità e tracciabilità: ogni operazione effettuata sulla prova deve essere registrata in modo tale che un esperto possa ricostruire e controllare l’intera procedura.
- Conformità all’originale: le attività di acquisizione e duplicazione devono garantire che la copia sia perfettamente identica all’originale e non modificabile.
In ambito digital forensics, la catena di custodia assume la forma di un documento che riporta non solo la descrizione dettagliata del reperto digitale, ma anche ogni operazione eseguita su di esso, specificando data, ora e identità del soggetto che l’ha effettuata. Il documento include inoltre informazioni sugli eventuali spostamenti, sul luogo di conservazione e sulle modalità di custodia adottate.
In pratica, questo documento ricostruisce l’intero ciclo di vita della prova digitale, dall’acquisizione iniziale fino alla sua presentazione davanti all’autorità giudiziaria.
Un aspetto peculiare della digital forensics riguarda la necessità di proteggere l’evidenza digitale da interferenze esterne: fattori estranei al supporto o al contenuto digitale che, agendo anche da remoto, possono comprometterne l’integrità. Tali alterazioni, che possono avvenire senza lasciare segni fisici evidenti, rendono particolarmente complesso il mantenimento della catena di custodia e la garanzia di autenticità della prova.
Lo standard ISO/IEC 27037:2012 fornisce precise linee guida volte a garantire la protezione dei dati informatici durante le fasi di raccolta, trasporto e conservazione. In particolare, esso sottolinea l’importanza di prevenire fenomeni di perdita, manomissione e distruzione delle informazioni digitali.
Una volta individuata e prelevata regolarmente la potenziale prova è essenziale che essa venga conservata correttamente per evitare qualunque forma di contaminazione o alterazione fino al suo utilizzo in sede legale.