Multidisciplinarità della Computer Forensics: computer forensics vs criminalistica


di Maurizio Tonellotto,

Nell’ambito delle indagini informatiche, al fine di poter addivenire ad un quadro probatorio certo oltre ogni ragionevole dubbio, le prove indiziarie rinvenute sulla scena crimins dovranno necessariamente essere messe in relazione con altri elementi.

Per poter determinare una valenza probatoria, le ipotesi ottenute a seguito dell’analisi delle singole tracce informatiche, devono trovare conferma attraverso un procedimento inferenziale di correlazione tra più elementi.

Tale procedimento di astrazione trova la sua tipizzazione nella classica attività di indagine di Polizia Giudiziaria, ovvero in un’azione investigativa coordinata.

E’ noto come possa risultare relativamente semplice alterare una traccia digitale e come un dato informatico possa essere estremamente volatile ed inconsistente.

In linea di principio, si deve considerare come le tracce rilevate su un elaboratore non sempre possano risultare esaustive o sufficienti a delineare gli elementi probatori per una condotta delittuosa.

Basti pensare che con le necessarie competenze tecniche, sulla rete internet non è di fatto impossibile compiere una qualsiasi azione nel più completo e totale anonimato, ma è altrettanto vero però, che una qualsiasi operazione nel mondo virtuale, lascia, come nel mondo reale, delle tracce, deboli, a volte precarie e non direttamente rilevabili, ma che in linea di massima, possono essere utilizzate per ricostruire l’azione al fine di individuare l’elaboratore attraverso il quale è stata posta in essere una data condotta.

Per questo motivo la computer forensics non può essere relegata ad una mera attività funzionale alle investigazioni, bensì deve trovare la sua collocazione proprio nell’ambito delle indagini criminali.

Quanto detto sopra non è da considerarsi esclusivamente come un mero esercizio stilistico od accademico, al fine di fornire una definizione di tale disciplina, bensì trova giustificazione nel fatto che, com’è noto, la criminalistica, come tutte le attività di polizia scientifica, affiancano le indagini fornendo elementi indiziari e giustificazioni scientifiche alle ipotesi investigative, senza però entrare nel merito dell’indagine stessa.

Il rinvenimento di un frammento di DNA sulla scena del crimine, ad esempio, colloca, senza ombra di dubbio, la persona a cui quel profilo genetico appartiene, in quella stessa scena, senza però fornire un quadro temporale o una interpretazione di quella presenza nel contesto.

La stessa persona potrebbe avere una giustificazione logica e plausibile (alibi) che motivi la sua presenza nella scena, senza per forza essere collegato in relazione all’evento criminoso.

Spetta dunque agli investigatori definire il contesto spazio-temporale, assumendo prove, escutendo testimoni, piuttosto che rilevando elementi che possano argomentare l’alibi fornito.

Il biologo forense fornisce un indizio a seguito di esami scientifici, senza però interagire con la mera attività di polizia giudiziaria.

Diverso è per le attività d’indagine compiute a livello informatico o che comunque contemplino l’analisi delle evidenze informatiche come fondamento per un’ipotesi accusatoria.

Al fine di una ben più precisa esplicazione della tesi proposta in questa dissertazione, che sottolinea come la computer forensics non sia una mera disciplina della criminalistica, ma più propriamente rientri nel novero delle attività dell’investigazione criminale, occorre riprendere alcuni dei concetti evidenziati precedentemente, soffermandosi un attimo sul contesto delle attività tipiche delle indagini informatiche.

Alcuni autorevoli autori hanno fornito più di una interpretazione delle attività tipiche della digital investigation, e tra le altre si è introdotta la definizione per cui, la computer forensics, sia un complesso di tecniche tese alla «manipolazione controllata dei dati e delle informazioni»[1].

L’obbiettivo dell’analista forense in ambito digitale è proprio quello di individuare, acquisire ed analizzare il dato informatico, garantendone ovviamente i requisiti di genuinità ed integrità.

Ebbene, a questo punto, risulta quanto meno necessario comprendere la differenza che intercorre tra dato ed informazione vera e propria.

Nel linguaggio comune, l’informazione può essere definita come un elemento che permette di addivenire alla conoscenza di qualcosa; mentre il dato potrebbe essere definito come un elemento conosciuto o conoscibile.

In informatica, invece, un dato è un elemento informativo, costituito da simboli, che devono essere elaborati: l’elaborazione dei dati produce informazioni.

Ad esempio, il dato “Bianchi” esprime un cognome, il dato “Mario” un nome, il dato “BNCMRR83B01L219X” un ipotetico codice fiscale. Se l’utente interroga un database per sapere qual è il codice fiscale dell’utente Mario Bianchi, i tre dati costituiscono una informazione

Questo preambolo definitorio diviene utile a capire come nelle indagini informatiche non sia necessaria la mera estrazione dei dati presenti all’interno di un qualsiasi dispositivo di memorizzazione, bensì risulti fondamentale che un’attenta disamina di tali dati produca un’informazione, ovvero produca, in termini giuridici un elemento indiziario o, ancor meglio, una prova.

Una qualsiasi attività di indagine che vede coinvolti elementi ad alto impatto tecnologico richiede una sinergica collaborazione tra analista ed investigatore. Per tale motivo è pressoché auspicabile che queste due figure siano vincolate da uno stretto mandato collaborativo o, ancor meglio, vengano identificate in una sola persona.

Solo un attento investigatore può avere la possibilità di verificare, sempre e comunque, ogni indizio rilevato, per converso, solo un esperto analista forense di sistemi informativi dispone delle necessarie competenze per evidenziare le minime tracce lasciate su un elaboratore.

Competenze informatiche ed elevate capacità investigative devono essere alla base dell’investigatore informatico proprio perché, in questo ambito, non può essere sufficiente una fredda e spersonalizzata analisi di prove scientifiche in quanto le evidenze devono obbligatoriamente essere collegate ai fatti reato ed agli eventi accaduti.

L’analisi balistica, la comparazione delle tracce lasciate sulle superficie dai dermatoglifi, l’estrazione ed il confronto del DNA da liquidi corporei, rilevati sulla scena del crimine, sono strumenti fondamentali per l’analisi della scena, per determinare le dinamiche dell’evento, fin’anche per individuarne il responsabile.

La criminalistica, intesa come metodo scientifico applicato alle indagini criminali, fornisce un contributo importantissimo e oramai irrinunciabile all’attività dell’investigatore, è però a quest’ultima figura che si richiede una spiccata capacità di astrazione e l’intuito necessario per portare a termine l’attività d’indagine.

Il biologo forense può rilevare le tracce di DNA di un soggetto sulla scena del crimine, fornendo dunque il contesto spaziale, ma è l’analisi spazio-temporale ed il collegamento con altri elementi indiziari che determinano se quello stesso soggetto può essere o meno coinvolto nel fatto criminoso. Tali analisi spettano all’investigatore e non allo scienziato, anche se questi può appartenere ai ranghi di reparti specialistici delle forze di polizia.

 

[1] G. Costabile, Computer forensics e informatica investigativa alla luce della Legge n.48 del 2008, in Ciberspazio e Diritto, nr. 3/2010, p.465.

Lascia un commento