Introduzione




              quelle per reati associativi, sino ai casi di omicidio (5) ora tale ruolo è stato assunto,
              ancor di più e con maggiori implicazioni, dall’apparato mobile (sia esso Smartphone
              e/o i-Phone), ormai divenuto il dispositivo più diff uso in Italia a livello personale,
              paragonabile a un vero e proprio computer che ha cambiato la vita delle persone,
              ha cambiato il modo di comunicare delle stesse e, di conseguenza, il modo in cui
              tutti siamo interconnessi. I Tablet hanno ulteriormente raff orzato questo concetto. In
              realtà di tali tipologie di apparecchi non basta solo sfruttare un qualunque sistema
              di analisi per estrarre rubrica, SMS, MMS, qualche foto e suoneria, log delle chia-
              mate o qualche mail, perché questi probabilmente rappresentano solo una "goccia
              nel mare" delle informazioni che si possono trovare all’interno di un apparecchio di
              questo genere. La vita delle persone - anche se parte di loro sono ancora del tutto
              inconsce delle sue capacità, ma ancor di più del suo utilizzo - è ormai scandita
              minuto per minuto dalle funzioni multimediali e di localizzazione di questi appa-
              recchi, integrate con i social network, con gli instant messaging e con migliaia di
              servizi cloud diversifi cati. Per questo l’approccio che deve aversi con tali tipologie

              di strumenti deve avvenire nel modo più corretto possibile affi nché i dati ivi conte-
              nuti possano assurgere ad essere "prova" nel processo, anche perché, in primis,
              occorre tener presente un concetto chiave che diff erenzia l’analisi di un computer
              rispetto a quella di un dispositivo mobile: "non è possibile eff ettuare un’analisi di un
              qualunque dispositivo mobile senza alterarne lo stato". Per questo, è importante
              tener presente che le modalità di acquisizione e analisi dei dati dai dispositivi mobili
              variano in funzione della loro patch di sicurezza, del sistema operativo ivi installato
              e, soprattutto, della conoscibilità o meno del codice di accesso da parte dell’analiz-
              zatore. Non sempre è infatti possibile procedere a una acquisizione (6) di tipo fi sico,

                  2015, XXIV, pp. 13-18, in cui si aff erma che "La fonte di prova, com’è noto, può essere la più varia:
                  un graffi to inciso sulla pietra, la persona di un dichiarante, un supporto magnetico, e via dicendo.

                  L’attività di esame di ciascuna fonte è detta mezzo di prova, in quanto diretta ad estrarre dalla fonte
                  di prova elementi di conoscenza, detti elementi di prova, atti a fondare il convincimento del Giudice
                  nella decisione del fatto sottoposto al suo esame. Pertanto, la prova-attività consta di un complesso
                  di mezzi di prova; la prova risultato consta di un complesso di elementi di prova".
                  AVVEDUTI-LUZI-PISACANE, "La categorizzazione del progetto Evidence: la rappresentazione
                  concettuale del dominio "prova elettronica", in Informatica e Diritto, 2015, XXIV, pp. 181-200, nel-
                  la quale viene specifi cato che "Sebbene tutti i tipi di prove debbano essere sottoposti a trattamenti
                  specifi ci, quella elettronica, pur non essendo concettualmente diversa dalle prove tradizionali, ha
                  bisogno di modi aggiuntivi e peculiari di gestione. La prova elettronica, come ogni prova, va raccol-
                  ta, prodotta e conservata secondo precise procedure che però nel caso specifi co sono in continuo
                  divenire col trasformarsi della tecnologia. Il Consiglio d’Europa è tra le più autorevoli istituzioni ad
                  essersi occupata di stilare delle linee guida per regolamentare questo campo in evoluzione".
                (5) Basti pensare all’alibi informatico di Alberto Stasi nel caso del processo per l’omicidio di Garlasco
                  per avere un’idea di come e quanto, ormai, l’informatica è entrata prepotentemente a far parte del
                  lavoro di indagine e, più in generale, del bagaglio culturale di tutte le parti coinvolte nel processo.
                (6) A tal proposito, nell’ambito del settore della Mobile Forensics, i metodi di acquisizione si distinguo-
                  no in tre tipologie:
                  • acquisizione fi sica: è una modalità di estrazione che consente di eff ettuare una scansione, in
                    modo approfondito, del contenuto grezzo della memoria di un dispositivo (copia bit a bit), per-
                    mettendo di accedere a qualunque dato presente sul disco, ivi compresi gli elementi che sono
                    stati cancellati, purché non siano ancora totalmente sovrascritti, come ad esempio i dati conte-
                    nuti nello slack space;
                  • acquisizione logica: modalità di estrazione rapida che supporta la maggior parte dei dispositi-
                    vi mobili. I tipi di dati che è possibile estrarre da un dispositivo di origine includono: registri delle
                    chiamate, rubriche, sms, eventi del calendario, fi le multimediali (immagini, video, audio) e dati
                    delle applicazioni. I tipi di dati che è possibile estrarre, variano in base alla marca e al modello
                    del dispositivo di origine;
                  • acquisizione File System: acquisizione dei fi le integrati nella memoria di un dispositivo mobi-
                    le. Il File System può contenere fi le di sistema non visibili con un’estrazione logica. Tale opzione
                    consente di accedere a tutti i fi le presenti nella memoria del dispositivo mobile (lo spazio asse-


              6