Page 25 - Digital forensics
P. 25
D
D PROCESSO DI CRISTALLIZZAZIONE DELLA PROVA
Nella conduzione delle indagini, anche di quelle digitali, è molto importante, e a
volte risulta determinante, la scelta del metodo da seguire nello svolgimento dell’at-
tività investigativa.
Servirsi, infatti, di un metodo non corretto, può portare al fallimento dell’indagine
o quanto meno a un risultato non soddisfacente, fi no al rischio di mettere del tutto in
discussione quanto acquisito, prestando il fi anco ad eccezioni procedurali.
Da qui la necessità di giovarsi di un metodo adeguato al tipo d’indagine che si
è chiamati a svolgere.
D1 FASI DELLA DIGITAL FORENSICS
Tra i metodi più seguiti nello svolgimento dell’attività investigativa vi è quel-
lo proposto nel 2001 dal primo digital forensics Research Workgroup (DFRW), il
workshop di digital forensics che riunisce annualmente a Washington accademici
e operatori del settore, ma in realtà quello che è risultato essere il più importante e
conosciuto è il "metodo Casey", ideato dallo statunitense E. Casey (236), e messo
a punto successivamente dai suoi connazionali M. Reith, C. Carr e G. Gunsch. In-
dipendentemente dai metodi seguiti ed adottati da ciascuno di questi soggetti, tutti
sono concordi nel ritenere che l’acquisizione delle digital evidence costituiscono il
risultato di un percorso operativo costituito da diverse fasi.
Il metodo Casey, per esempio, individua un percorso operativo costituito da
ben 7 fasi di validazione del dato informatico, contemplando, tra l’altro quella del
riconoscimento, della conservazione, della raccolta, della documentazione, della
classifi cazione, della comparazione, nonché dell’individuazione e della ricostruzio-
ne, mentre il metodo DFRW è caratterizzato dalla conservazione, raccolta, esame,
analisi, presentazione e decisione.
Anche il Gruppo ad Alta Tecnologia (237) del G8, ha elaborato alcuni principi di
massima da applicare in tutti i casi in cui si maneggiano prove digitali. Il primo punto
riguarda l’applicazione dei criteri che, in linea di massima, devono essere seguiti in
tutti i laboratori forensi, ancorché dotati di modelli di organizzazione diff erenti.
Il secondo punto si riferisce alla possibile alterazione dei reperti durante il se-
questro; alterazione che "implica il minimizzare l’interazione tra i reperti ed i non
reperti eventualmente presenti sul luogo del sequestro, utilizzare un buon metodo di
repertamento ed imballaggio, conservare i reperti in luoghi adeguati e documentare
qualsiasi fatto anomalo inerente trasporto e detenzione dei reperti" stessi.
Il terzo principio è inerente alla formazione professionale degli esperti che in-
tervengono sulla scena del crimine, i quali devono essere i soli a maneggiare le
possibili evidenze digitali. L’ultimo punto riguarda le attività di sequestro, accesso e
(236) Vaciago, Digital Evidence - I mezzi di ricerca della prova digitale nel procedimento penale e le ga-
ranzie dell’indagato, cit., p. 11, fu uno dei primi che nel tentativo di defi nire la Computer Forensics,
intesa come insieme delle metodologie e delle regole per le investigazioni digitali in ambito penale,
distinse, in primis, tra il computer "come arma" e il computer come "contenitore di dati" relativi alle
attività di chi lo utilizza. Nel primo caso, aff ermava Casey, siamo in presenza di Computer Foren-
sics in senso proprio, mentre nel secondo si assiste a un semplice impatto della dinamica sociale
nei sistemi informativi, che non sempre e non dovunque richiede l’utilizzo di tecnologia forensics
per la ricerca o la conservazione della prova.
(237) Il Gruppo ad Alta Tecnologia, formato nel 1998, si è evoluto nello Scientifi c Working Group on Dig-
ital Evidence (Gruppo di lavoro scientifi co sulle prove digitali). Lo SWGDE è un gruppo di lavoro
scientifi co formato da Forze dell’ordine, organizzazioni accademiche e commerciali e si occupa di
sviluppare linee guida e standard interdisciplinari per il recupero, la conservazione e l’esame delle
prove digitali.
139
