A ogni incidente di sicurezza consegue una fase di investigazione circa le cause e le responsabilità che ne hanno determinato il verificarsi.
Al verificarsi di incidenti di sicurezza, che possono comportare o meno violazioni di dati personali, consegue l’esigenza per l’organizzazione di tutelare efficacemente i propri diritti e interessi in sede giudiziale o avanti autorità amministrative indipendenti, quale il Garante per la Protezione dei Dati Personali, o l’Autorità Garante per la Concorrenza e il Mercato.
La necessità di indagini (digitali) può avere origine da diverse circostanze: il furto o l’abuso di dati aziendali da parte di soggetti interni o esterni; un attacco di tipo malware o spyware; l’uso illecito di un dispositivo informativo aziendale; o ancora, la violazione di diritti di privativa dell’organizzazione, quali ad esempio segreti commerciali.
L’elenco potrebbe dilungarsi: l’elemento che accomuna tutte queste fattispecie è la necessità di raccogliere e analizzare elementi di prova (digitali) che siano utilizzabili in giudizio. Nasce quindi in questo contesto il concetto di indagini digitali forensi, volte cioè ad acquisire e ad analizzare informazioni di natura digitale, utilizzando tecniche e metodologie idonee a preservare le fonti di prova.
Le indagini digitali forensi vengono effettuate da esperti informatici, anche nel rispetto della norma tecnica ISO/IEC 27037.
Suggerimento pratico: è molto importante che i consulenti tecnici siano affiancati da avvocati esperti nella materia, per assicurare non solo il rispetto della normativa privacy, ma anche ad esempio al fine di verificare che tutte le attività investigative siano svolte con modalità tali da garantire l’ammissibilità delle evidenze raccolte come materiale probatorio.
Dal punto di vista metodologico e procedurale, è possibile – con un buon grado di semplificazione – suddividere le attività di digital forensics in tre distinti momenti: quello dell’acquisizione del materiale probatorio, quello della selezione e quello dell’analisi.
La fase di acquisizione è dedicata all’individuazione e alla copia degli elementi probatori di natura informatica.
Si tratta di una fase estremamente delicata, in quanto volta alla corretta preservazione degli elementi di prova. È determinante garantire che, nell’acquisizione del materiale, questo rimanga inalterato, così da potere essere utilizzato come strumento probatorio.
È determinante che l’acquisizione avvenga tramite tecniche di cd. imaging, volte ad acquisire e “cristallizzare”, anche mediante l’ausilio di tecniche di hashing, un’immagine forense dei supporti di memoria sui quali condurre l’indagine.
Una volta cristallizzate, le evidenze devono essere quindi selezionate. Il processo di selezione è fondamentale per limitare l’oggetto dell’indagine agli elementi di effettivo interesse, anche ai fini del lecito trattamento dei dati personali degli interessati oggetto o comunque coinvolti nell’indagine.
La selezione avviene tipicamente mediante l’applicazione di filtri e di tecniche di indicizzazione del materiale raccolto. La selezione dei filtri da utilizzare rappresenta un compito di un certo rilievo: utilizzare filtri troppo restrittivi rischia di eliminare elementi probatori di interesse, mentre filtri troppo ampi potrebbero portare ad analisi indiscriminate contestabili in giudizio.
La fase di analisi rappresenta invece l’ultimo elemento della catena delle operazioni di investigazione digitale e si concretizza nelle diverse attività di ricerca all’interno del data pool tempo per tempo necessarie.