Le analisi forense e la catena di custodia

Le analisi forense e la catena di custodia

Le analisi forense e la catena di custodia

Quando un oggetto fisico, oppure un dato digitale, diviene “reperto” di natura forense è qualcosa di più dell’oggetto o del dato stesso e quel qualcosa in più che lo accompagnerà sempre da lì in avanti è la sua storia tecnico/legale.

In Italia il termine “catena di custodia” non è molto impiegato in ambito forense proprio perchè richiama inequivocabilmente il più famoso anglosassone “Chain of Custody”, che significa:

lista dettagliata di cosa si è fatto dei dati originali una volta raccolti…”

A questo proposito bisogna tornare indietro ad un altro concetto: la “scena del crimine”, ossia il luogo dove è avvenuto un fatto che viola la legge penale italiana e quindi ne definisce il reato. Sulla scena del crimine, a seguito del processo denominato sopralluogo vengono estratti dati, informazioni ed oggetti di interesse ai fini della risoluzione del caso per poi essere catalogati ed eventualmente sigillati. Si dice quindi che avviene un sequestro e gli oggetti individuati e prelevati vengono denominati corpi del reato.

La catena di custodia deve necessariamente nascere dal sopralluogo e dal relativo sequestro. In particolare vi è l’obbligo di verbalizzare sia le attività del sopralluogo che quelle di sequestro annettendo l’ovvia autorizzazione dell’ufficiale procedente. I primi elementi della catena di custodia “italiana” sono quindi i  verbali di sopralluogo e sequestro.

Quando si decide di sottoporre dei corpi di reato ad analisi in un centro scientifico o quando si decide che degli specialisti scientifico forensi devono intervenire sulla scena del crimine, interviene un’analisi e ricerca sistematica e strutturata di elementi utili ai fini probatori e delle indagini. Da tale ricerca ed analisi vengono estrapolati i reperti ed i referti. I primi possono essere corpi di reato o parti di essi che divengono oggetto di analisi mentre i secondi  sono documenti che evidenziano cosa l’analisi scientifica ha potuto dedurre riguardo i reperti e come sono avvenute tali deduzioni (includono quindi i chiari riferimenti alle basi tecnico/scientifiche di esse).

Un classico e banalissimo esempio consiste nell’avere come corpo  del reato sequestrato un PC il quale nel verbale appare descritto come “…case tower di colore… con lettore di DVD, ecc.” mentre ad una prima analisi si scopre che nel DVD drive un supporto DVD rimasto dentro durante il sequestro e non verbalizzato (la porta del drive si apre solo se il PC è attivo o se si usano particolari stratagemmi meccanici). La domanda ora è cos’è il DVD ritrovato nel drive? non è sicuramente un corpo di reato perchè non appare nel verbale di sequestro ma l’autorità giudiziaria deve essere avvisata della sua presenza in quanto conviene sicuramente sottoporlo ad analisi (si tratta sicuramente di un reperto interessante dato che si trova nel PC sequestrato).

Elementi ritrovati sulla scena del crimine

In definitiva tutti gli elementi di utilità che si individuano sulla scena del crimine sono potenzialmente reperti da analizzare e dal momento della loro individuazione arricchiranno la loro esistenza di due classi di informazioni:

  • la serie di verbali che ne definisce il passaggio di mano fino all’archiviazione, distruzione o restituzione a legittimo proprietario;
  • l’insieme degli elementi indiziari o probatori che possono essere determinati in via scientifica e/o deduttiva da essi (la serie dei referti e delle discussioni dibattimentali correlate).

Dal punto di vista informatico arriva ovviamente il concetto di informazione digitale a complicare ulteriormente le cose. Si può dire che l’informazione digitale estratta da una qualsiasi memoria digitale è un reperto? e cosa dire per i pacchetti di dati intercettati su una rete di computer? tali elementi possono essere sottoposti sicuramente ad analisi scientifico/forense ma sono altamente immateriali e come tali fortemente correlati, per la loro esistenza, ad un verbale che la attesti inequivocabilmente. Se ad esempio si interviene sulla scena del crimine e si preleva un dato digitale copiandolo è lecito parlare di sequestro o di acquisizione di informazioni come nel caso delle intercettazioni? se è sequestro qual’è il corpo del reato? il supporto su cui si trova copiato il dato? e la catena di custodia di tali informazioni deve riguardare il supporto o i dati? Domande lecite che, data la delicatezza dell’argomento in questione, non trovano facili risposte.

A tale scopo risulta utile l’utilizzo di strumenti di firma digitale o, come effetivamente succede nella realtà, predisporre dei verbali che documenti dall’inizio del procedimento la vita e la custodia delle prove acquisite. La catena di custodia permette di garantire che non si sono prodotte alterazioni ai dati dal momento del loro sequestro al momento del dibattimento e per tutte le fasi dell’iter processuale.

Precedente Informatica forense e criminalità informatica Successivo Le fasi dell'attività di analisi della Digital Forensic

Lascia un commento

*