La informatica forense (in inglese digital forensics) è una disciplina della scienza forense che si occupa di identificare, preservare, analizzare e presentare informazioni digitali rilevanti per indagini giudiziarie, civili o aziendali. Gli esperti esaminano non solo computer e hard disk, ma anche dispositivi mobili, server, sistemi cloud, dispositivi di rete e oggetti connessi (IoT). Gli specialisti del settore sono spesso chiamati "analisti" o "investigatori" e, quando ricevono il compito di esaminare un computer o un altro dispositivo, si parla comunemente di "indagine".

Quando e perché si svolge un'indagine

Un'indagine di informatica forense avviene tipicamente in diversi contesti:

  • procedimenti penali: quando una persona è sospettata di un crimine che coinvolge dispositivi digitali (furto di dati, truffe online, pedopornografia, hacking, ecc.);
  • procedimenti civili o controversie commerciali: quando è necessario raccogliere prove digitali per controversie tra aziende o privati, attività nota anche come eDiscovery;
  • incidenti di sicurezza: dopo una violazione informatica (spesso a seguito di un'azione di un hacker) per capire come l'intrusione è avvenuta e quali sistemi sono compromessi;
  • attività di conformità e controlli interni: per verificare il rispetto delle policy aziendali e delle normative.

Fasi tipiche di un'indagine forense

  • Identificazione: determinare quali dispositivi e dati possono contenere prove.
  • Preservazione: proteggere i dispositivi e i dati dall'alterazione; questo include il mantenimento della catena di custodia e l'uso di metodi che evitino la modifica delle informazioni.
  • Acquisizione: creare copie forensiche (image) bit‑a‑bit dei supporti digitali usando strumenti certificati, anche di memorie di telefoni cellulari e backup cloud.
  • Analisi: esaminare le immagini per recuperare file cancellati, log di sistema, messaggi, metadati, tracce di attività e artefatti di applicazioni.
  • Interpretazione: contestualizzare i dati per ricostruire eventi e collegare le attività digitali a persone, orari e luoghi.
  • Documentazione e reporting: produrre rapporti tecnici e sintetici che possano essere compresi da magistrati, avvocati e giurie; preparare eventuali testimonianze in tribunale.
  • Conservazione a lungo termine: custodire copie delle prove in modo sicuro per eventuali futuri accertamenti o appelli.

Dispositivi e tipi di dati analizzati

Oltre ai tradizionali computer, le indagini riguardano frequentemente:

  • telefoni cellulari e tablet (SMS, chiamate, chat di app, GPS, dati applicativi, schede SIM e eMMC/flash);
  • server aziendali, database e sistemi di posta elettronica;
  • backup e servizi cloud (Google Drive, iCloud, servizi SaaS);
  • dispositivi di rete, registri dei firewall e dei server di autenticazione;
  • dispositivi IoT e sistemi embedded.

eDiscovery e diritto civile

A volte le indagini forensi si svolgono in ambito di diritto civile, non per accertare un reato, ma per ottenere informazioni utili a controversie tra privati o aziende. In questo contesto si parla di eDiscovery, procedura che prevede raccolta, preservazione e produzione di dati elettronici rilevanti per il contenzioso.

Intrusion detection e incident response

Dopo che un hacker penetra in una rete di computer, oltre alla mera rilevazione dell'intrusione (intrusion detection), è frequente coinvolgere investigatori forensi per l'incident response. L'obiettivo è identificare la tecnica di attacco, le vulnerabilità sfruttate, i sistemi compromessi e le eventuali esfiltrazioni di dati, oltre a fornire elementi utili per il recupero e per eventuali azioni legali.

Aspetti legali e qualità probatoria

Perché una prova digitale sia ammissibile in tribunale deve essere raccolta e documentata seguendo procedure riconosciute, preservando la catena di custodia e dimostrando l'integrità delle copie forensi (hashing, log delle operazioni). La conformità alle normative sulla privacy (es. GDPR) e alle procedure giudiziarie è fondamentale, specialmente quando i dati coinvolgono soggetti terzi o sono ospitati in giurisdizioni estere.

Strumenti e competenze

Gli analisti usano una combinazione di software commerciale e open source (ad es. EnCase, FTK, Autopsy/Sleuth Kit, strumenti per mobile forensics come Cellebrite o analoghi), insieme a competenze in sistemi operativi, reti, crittografia e procedura penale/civile. Spesso sono richieste certificazioni professionali e una forte attenzione alla metodicità e alla documentazione.

Problemi e limiti comuni

  • cifratura dei dispositivi: può rendere difficile o impossibile l'accesso ai dati senza le chiavi;
  • tecniche di anti‑forensics e cancellazione sicura dei dati;
  • dati sparsi su servizi cloud e backup off‑site, con complicazioni giurisdizionali;
  • dispositivi bloccati o danneggiati: il recupero può essere complesso e costoso;
  • privacy e protezione dei dati personali durante l'indagine.

Buone pratiche per chi scopre un possibile reato informatico

  • non spegnere né manomettere il dispositivo interessato (se possibile lasciarlo acceso e isolato dalla rete);
  • contattare subito esperti forensi o le autorità competenti; evitare operazioni fai‑da‑te che possano compromettere le prove;
  • documentare ogni azione compiuta sul dispositivo (chi, quando, cosa);
  • coinvolgere consulenza legale per rispettare obblighi normativi e diritti delle parti coinvolte.

In sintesi, l'informatica forense è un ambito specialistico e multidisciplinare che fornisce strumenti e metodi per trasformare dati digitali in prove utilizzabili, sia per risolvere crimini che per affrontare dispute civili o incidenti di sicurezza. Un'indagine accurata richiede competenze tecniche, attenzione alle procedure legali e un rigoroso approccio metodologico.