La digital forensic, o informatica forense, è la scienza forense che si occupa dell’identificazione, conservazione, analisi e presentazione delle prove digitali in modo legalmente valido.

Nonostante le normative e le regole che disciplinano questa materia varino in base alla giurisdizione, esistono dei principi e delle linee guida comuni a livello internazionale.

Convenzione di Budapest sulla criminalità informatica (2001)

La Convenzione di Budapest sulla criminalità informatica del 2001, è il primo trattato internazionale vincolante sui reati informatici e sulla cooperazione internazionale nella raccolta di prove digitali. 

La Convenzione di Budapest rappresenta uno strumento di guida per i paesi che desiderino elaborare una legislazione interna completa per combattere il cybercrime e un quadro per la cooperazione nell’ambito tra gli Stati che l’hanno sottoscritta; essa stabilisce una condotta che vada a garantire che le norme e le procedure rimangano valide con l’evolversi della tecnologia. 

La Convenzione di Budapest si è svolta tenendo conto dei seguenti obiettivi:

• criminalizzare diverse infrazioni, come quelle contro la riservatezza, l’integrità e la disponibilità di dati e sistemi informatici, quelle associate all’informatica, quelle associate ai contenuti e quelle legate alla violazione del copyright e dei diritti correlati;
• stabilire delle procedure volte ad aumentare l’efficienza delle indagini informatiche forensi.

Tra i risultati ottenuti nel corso degli anni, troviamo invece:

• un concetto per la formazione adeguata di giudici e pubblici ministeri sulla criminalità informatica e sulle prove digitali;
• l’utilizzo della Convenzione in molti paesi come una normativa modello per il potenziamento della legislazione nazionale;
• sempre a livello dei singoli Stati, il miglioramento della cooperazione tra le parti interessate nell’indagine, compresa la cooperazione pubblico-privato;
• la creazione di linee guida per il miglioramento della collaborazione tra le autorità preposte all’applicazione della legge e i provider di servizi Internet nell’indagine sulla criminalità informatica; queste linee guida sono state applicate in diversi paesi e anche l’UE le sta utilizzando.

ISO/IEC 27037

La ISO/IEC 27037 è uno standard internazionale applicabile in qualsiasi ambito (civile, penale e stragiudiziale) contenente le linee guida per l’identificazione, la raccolta, l’acquisizione, la conservazione e il trasporto delle prove digitali, al fine di creare un protocollo comune a più Paesi. È bene sottolineare che la ISO 27037 non si occupa degli aspetti giuridici, ovvero delle fasi successive, quali sono l’analisi forense e la redazione della relazione tecnica finale di informatica forense, così come il trattamento di dati analogici.

Lo standard ISO 27037 nasce per definire delle regole tecniche omogenee tra diversi paesi e come possibile soluzione al problema rappresentato dalle prove informatiche nell’ambito delle attività della digital forensic, ovvero dare garanzia dell’integrità della prova digitale per consentire a terze parti di verificare le metodologie seguite e gli esiti ottenuti dal processo di acquisizione e dell’analisi, in modo da evitare da rendere inutilizzabile una prova per colpa di sviste, incompetenza o imperizia.

La ISO 27037 oltre a indicare un elenco esemplificativo di dispositivi e tipologie di prove informatiche di competenza dello standard, come PC, tablet, smartphone, fotocamere digitali, ecc, interviene anche nelle fasi del trattamento del reperto informatico, relativamente a:

• l’identificazione, ovvero la ricerca dei supporti e dei dati di interesse inerenti al caso;
• l’acquisizione, ovvero l’esecuzione della copia forense, al fine di di produrre un duplicato dei dati informatici da sottoporre a successiva analisi;
• la conservazione, ovvero la fase in cui si deve proteggere la riservatezza e l’integrità dei supporti informatici e dei dati digitali raccolti e acquisiti;
• il trasporto,ovvero la fase nella quale occorre adottare gli opportuni accorgimenti per il trasporto delle prove.

La norma ISO 27037 stabilisce anche i requisiti della prova digitale, che sono:

• la pertinenza, ovvero si deve dimostrare che il materiale acquisito contiene dati utili e che esiste una buona ragione per acquisirli;
• l’affidabilità, ovvero tutti i processi eseguiti devono essere correttamente documentati e produrre un risultato riproducibile;
• la sufficienza, ovvero raccogliere tutto il materiale digitale necessario al caso;
• la verificabilità, ovvero grazie alla documentazione precisa e puntuale sulle attività svolte, un perito informatico esterno deve essere in grado di valutare tutte le attività svolte;
• la giustificabilità, ovvero dimostrare che le scelte intraprese erano le migliori o le uniche possibili.

Altri standard ISO/IEC

Altri standard che forniscono direttive che vanno a completare il quadro sono:

• ISO/IEC 27041, che fornisce le indicazioni per la selezione e implementazione di strumenti di audit informatico;
• ISO/IEC 27042, che delinea le linee guida sull’esigibilità delle prove, andando ad aiutare le organizzazioni a garantire che quanto raccolto durante le investigazioni forensi informatiche sia valido e utilizzabile come prova in caso di controversia;
• ISO/IEC 27043, che offre indicazioni su come interpretare e presentare i risultati di un audit informatico.
  

Il GDPR

Il GDPR va applicato anche nel contesto della raccolta delle prove digitali, poichè esso obbliga il rispetto della privacy durante la raccolta e l’analisi delle prove digitali e richiede la  minimizzazione dei dati, finalità lecite e base giuridica per il trattamento.