Che cos’è l’Informatica forense e la criminalità informatica

Oltre alla digital forensic e alla computer forensic spiegate in un altro articolo di questo sito web, possiamo aggiungere concetti simili ma che estendono in un certo senso il significato dei temi appena citati. In letteratura, tutti questi vanno sotto il nome di informatica forense che indica di fatto le procedure e la disciplina che studia l’insieme delle attività che sono rivolte all’analisi e alla soluzione dei casi legati alla criminalità informatica, comprendendo tra questi i crimini realizzati con l’uso di un computer, diretti a un computer o in cui il computer può comunque rappresentare una fonte di prova. Gli scopi dell’informatica forense sono di conservare, identificare, acquisire, documentare e interpretare i dati presenti su un computer.

A livello generale si tratta di individuare le modalità migliori per:

• acquisire le prove senza alterare o modificare il sistema informatico su cui si trovano,
• garantire che le prove acquisite su altro supporto siano identiche a quelle originarie,
• analizzare i dati senza alterarli.

In altre parole, lo scopo principale dell’informatica forense è quello di “dare voce alle prove”. L’informatica forense comprende le attività di verifica dei supporti di memorizzazione dei dati e delle componenti informatiche, delle immagini, audio e video generate da computer, dei contenuti di archivi e basi dati e delle azioni svolte nelle reti telematiche.

Importanti aspetti della disciplina riguardano, a un livello di maggior dettaglio, il ruolo della progettazione e mantenimento di una catena di custodia e gli argomenti principali da prendere in esame quando  si presentano prove in sede processuale.

Il sistema informatico oggetto dell’indagine può essere un personal computer o un server isolato, nel qual caso si parla di computer forensics, ovvero può trattarsi di almeno due elaboratori connessi  tra loro; in tal caso si parla di network forensics.

L’informatica forense agisce dopo che un sistema informatico è stato violato per esaminare i reperti informatici in modo esaustivo, completo, accurato, incontaminato e documentato. Il reperto informatico, per la sua natura digitale, è riproducibile e quindi l’esame può e deve avvenire su una copia onde evitare alterazioni, inquinamenti e contraffazioni dell’originale. Un sistema sicuro non può quindi essere fonte di reperti informatici e, per il loro reperimento, si arriva a dover talora utilizzare tecniche di hacking.

L’informatica forense serve dopo che sono state utilizzati gli strumenti di risposta a un incidente, allorché intervengono gli organi inquirenti. Come noto, si valuta che alcune centinaia di attacchi avvengano ogni giorno, al mondo, verso sistemi informatici. Essi possono essere portati da un attaccante che, tramite la conoscenza di punti vulnerabili di un obiettivo cerca di penetrare in un sistema informatico ovvero da un programma che automaticamente cerca di individuare i punti deboli di un sistema e penetrarvi. Si genera così l’incidente informatico (l’ordinamento giuridico italiano prevede casi nei quali il suo trattamento segua alla querela di parte e casi nei quali si procede d’ufficio). L’azienda di norma si occupa dell’incidente dapprima seguendo le politiche interne di sicurezza e rivolgendosi successivamente agli organi investigativi. Si osserva che da alcuni anni i rischi derivanti da crimini informatici coinvolgono sempre più anche le medie e piccole imprese e non solo le multinazionali e i grandi istituti bancari.