Page 42 - Digital forensics
P. 42
H Attività info-investigativa e digital evidence
“complementari”
vazione delle prove digitali. Esso nasce per l’utilizzo in ambito penale e fornisce
delle linee guida su come ottenere elementi digitali aventi valore di prova, al fi ne
di poterli produrre in giudizio. È evidente che per poter essere applicabile nei più
svariati Paesi e contesti operativi, deve necessariamente mancare di qualsiasi tipo
di riferimento legislativo, giurisprudenziale o concernente specifi ci software o har-
dware commerciali.
Ad eccezione di alcune situazioni basilari, lo standard non defi nisce minuziosa-
mente i singoli procedimenti da adottare in relazione alle specifi che casistiche sulle
quali ci si può imbattere; bensì defi nisce invece le caratteristiche desiderate dei pro-
cessi e dei loro sottoprodotti, ovvero la giustifi cabilità, la verifi cabilità, la ripetibilità e
la riproducibilità. Un principio cardine su cui si fondano tali linee guida è quello della
giustifi cabilità dei processi, sia dal punto di vista tecnico, sia in relazione al rap-
porto costi-benefi ci, fermo restando la suffi cienza delle potenziali prove acquisite.
Ad esempio, lo standard prevede che non sia necessario acquisire un intero disco
rigido per provare la presenza di un particolare fi le. Se la partizione su cui tale fi le
risiede è più piccola rispetto all’intero disco, in base alle esigenze del caso, si po-
trebbe valutare di acquisire solamente la sola partizione o addirittura il singolo fi le.
Ma se, come si sta sempre più verifi cando, il fi le d’interesse operativo dovesse
risiedere in uno spazio di archiviazione virtuale o remota, la fase di identifi cazione
e conservazione diventano "vitali", mentre quelle della raccolta e dell’acquisizio-
ne possono essere considerate come alternative o complementari tra loro: questo
perché si potrebbe scaricare il fi le, corroborando il tutto con ulteriori elementi a ga-
ranzia della verifi cabilità del processo e, quindi, rendendo decisamente improbabile
che la potenziale prova digitale sia stata costruita o manipolata ad arte (622). Per
quanto concerne la verifi cabilità, idealmente, la potenziale prova digitale dovrebbe
includere una metodologia di verifi ca oggettiva che permetta di compararla con l’o-
riginale, come ad esempio un’impronta crittografi ca, in modo che tale metodologia
adottata garantisca la ripetibilità o la riproducibilità.
Oltre alla veridicità, i principi fondamentali che regolano una prova digitale sono:
• rilevanza,
• affi dabilità,
• suffi cienza.
Alcune caratteristiche e proprietà sono strettamente correlate tra loro. Basti
pensare che, ad esempio, una prova non affi dabile sarà diffi cilmente verifi cabile,
così come una prova non suffi ciente sarà diffi cilmente giustifi cabile.
Andando ad analizzare i singoli principi, possiamo dire che per:
• rilevanza, s’intende semplicemente che quanto acquisito debba essere signifi ca-
tivo per dimostrare la propria tesi investigativa (es. l’illecito subìto);
• affi dabilità, s’intende che la prova debba eff ettivamente possedere le caratteristi-
che dichiarate e richieste dal dibattito processuale;
• suffi cienza, s’intende che non è necessario acquisire integralmente tutto il mate-
riale a disposizione, è, appunto, suffi ciente acquisire il materiale necessario per
provare in modo incontrovertibile il proprio punto, compatibilmente con i vincoli di
costi e tempo.
In merito all’affi dabilità risulta importante precisare che sarebbe necessario dare
prova che gli elementi d’interesse non siano variati dopo l’acquisizione o la raccolta,
(622) Colarocco, Dal documento informatico alla pagina web, in La prova digitale, cit., pp. 62-63, questi
termini in apparenza simili esprimono concetti distinti: il primo si riferisce alla possibilità di ripete-
re la procedura nelle medesime condizioni previste per l’acquisizione e ottenere gli stessi risultati,
partendo dall’originale; il secondo, invece, si riferisce alla possibilità di operare in condizioni diff e-
renti, ad esempio, utilizzando strumenti diversi.
314
