In questo articolo andremo ad analizzare in maniera più approfondita la struttura interna di una perizia informatica di cui abbiamo iniziato a parlare nel precedente articolo.
Come anticipato, l’indice di una perizia informatica completa e strutturata adeguatamente dovrebbe essere come il seguente:
- Copertina;
- Indice;
- Executive Summary;
- Biografia;
- Obiettivi dell’indagine;
- Metodologia utilizzata;
- Supporti elettronici esaminati;
- Risultati dell’esame;
- Dettagli dell’indagine collegati al caso;
- Allegati/Appendici;
- Conclusioni.
Andiamo ora a descrivere nel dettaglio le voci appena riportate.
La copertina
Sulla copertina di una perizia informatica devono comparire almeno queste informazioni:
- Titolo del rapporto;
- Autore;
- Organizzazione;
- Numero dell’indagine;
- Data del rapporto.
Sulla copertina possono essere riportati anche firma e data di ciascuna delle persone coinvolte nell’indagine.
L’indice
Un rapporto ben organizzato deve comprendere un indice che faciliti gli avvocati dell’accusa e della difesa così come gli eventuali esperti chiamati a testimoniare, ad esaminare e consultare il rapporto.
Infatti, una buona perizia informatica, deve essere immediatamente chiara e comprensibile anche ai non esperti del settore.
L’executive summary
La sezione dell’executive summary deve fornire una panoramica dello scopo dell’esame e di quanto l’investigatore ha scoperto. Nelle forze dell’ordine si ha spesso una divisione dei compiti, in particolare nei laboratori di Computer Forensics più grandi. Questo significa che se un investigatore conduce le indagini, un altro svolge l’analisi forense. Nel rapporto andrà incluso il lavoro di ciascuno, che deve essere ben individuato.
La biografia dell’autore della perizia informatica
Va inclusa una breve biografia dell’investigatore o dell’informatico forense, che metta in evidenza tutte le esperienze pertinenti: lauree, certificazioni, corsi di Digital Forensics frequentati. Va indicato anche un numero approssimativo di ore di training pertinente seguite. L’investigatore che redige la perizia informatica deve anche specificare la propria esperienza investigativa e professionale, per esempio da quanti anni è in attività. Alla fine, questa sezione è funzionale a spiegare perchè l’investigatore era un esperto adatto a condurre l’indagine e ad esaminare le evidenze relative al caso.
Gli obiettivi dell’indagine
Questa è una sezione facoltativa. L’autore della perizia informatica, infatti, può avere già spiegato nell’executive summary i motivi per condurre l’indagine. Per impostare il rapporto, chi lo stende può spiegare i motivi dell’indagine e la portata del mandato, il che poi aiuterà a spiegare i tipi di dispositivi e supporti esaminati e le aree della memoria di lavoro e di massa analizzate. Per esempio, file di immagini e video saranno importanti per un caso di sospetta pedofilia, mentre le email possono essere particolarmente importanti in un’indagine di spionaggio industriale e le informazioni bancarie possono esserlo per un’indagine per appropriazione indebita.
La metodologia
La metodologia può essere trattata in una sezione a sè oppure nel seguito del rapporto. La sezione della metodologia spiega l’approccio scientifico alla base dell’esame: deve spiegare l’impostazione seguita dall’esaminatore forense, il che può includere le motivazioni per la scelta del software o dell’hardware utilizzato. L’investigatore può anche dare riferimento a pratiche standard per gli esami di Computer Forensics applicati nell’indagine, che possono essere specifici del laboratorio, mutuati da organi di riferimento o da raccomandazioni e linee guida.
I supporti elettronici analizzati
Anche queste informazioni potrebbero essere inserite all’interno di un’altra sezione del rapporto, piuttosto che in una sezione ad hoc. È importante, comunque, descrivere in dettaglio i supporti esaminati, in quali relazioni fossero con altri supporti e quali relazioni sussistano fra questi oggetti e il sospettato. Un esempio potrà aiutare a chiarire:
“un esame del file property list sul computer del sospettato indicava che altri dispositivi erano stati sincronizzati sul suo MacBook. I file property list sono file di configurazione che elencano le modifiche apportate alla configurazione di un computer. Quando al computer si collegano, con un cavo USB, un iPhone, un iPod o qualche altro dispositivo, in genere nel computer vengono registrati il tipo di dispositivo e un numero di serie che lo identifica in modo univoco. Queste informazioni hanno portato l’investigatore a richiedere un mandato di perquisizione per l’iPhone del sospettato, che in seguito è stato sequestrato, il 17 gennaio 2022. Poi l’iPhone del sospettato è stato esaminato […] i dettagli relativi all’iPhone del sospettato trovati nei file property list hanno poi condotto l’esaminatore ad analizzare i file di backup sul MacBook del sospettato. Il file di backup si trovava in…”
Come si evince, bisogna indicare chiaramente e dettagliatamente date e ore di ogni passo intrapreso nel corso dell’esame.
I risultati
Come si è già osservato, la perizia informatica deve essere molto chiaro in merito a quanto è stato scoperto, relativamente alla natura dell’indagine e nell’ambito di tutti i mandati di perquisizione. Tutti i termini tecnici devono essere spiegati chiaramente. È importante che l’investigatore esponga i fatti ed eviti le interpretazioni: queste spettano agli avvocati e eventualmente, alla giuria. Vediamo di seguito un esempio di formulazione scorretta a confronto con una esposizione appropriata.
- Scorretta: Mario Rossi ha scaricato migliaia di immagini di minori abusati;
- Corretta: è stata condotta un’analisi del disco rigido rimosso dal computer Dell, Model E6400, Service Tag 4X39P5. Questo computer è stato sequestrato dall’abitazione di Mario Rossi, via Tagliamento 88, 00131, Roma. Su tale computer erano state scaricate in totale 578.239 immagini di bambini. Mario Rossi, nella dichiarazione resa alla polizia in data 12 gennaio 2021, ha sostenuto di essere l’unico utente di quel computer nella sua abitazione. Nel corso dell’analisi, si è scoperto, dall’esame del Registro di Windows, che sul computer era stato configurato un unico utente. L’esaminatore ha scoperto su questo computer Dell anche un login e una password.
I dettagli dell’indagine relativi al caso
Questa non è necessariamente una sezione separata, ma è importante elencare le prove non digitali a sostegno dell’indagine: per esempio dichiarazioni del sospettato e dei testimoni eventuali.
Gli allegati/appendici
Gli allegati della perizia informatica possono essere fotografie degli oggetti sequestrati, schermate catturate dal computer, fotografie etichettate, email stampate e altri file. In appendice può essere inserita la modulistica, come l’elenco delle prove ed i mandati di perquisizione.
Il glossario
Inserire un ampio glossario alla fine (o anche all’inizio) del rapporto è una buona pratica. Gli avvocati della difesa lamentano spesso di essere svantaggiati, per mancanza di risorse nelle proprie indagini, rispetto a quelle disponibili alle forze dell’ordine. Assistendo e cooperando attivamente con gli avvocati della difesa e includendo nel rapporto un buon glossario, note a piè di pagina e altre risorse utili, si possono ridurre queste lamentele di disparità.
La redazione di una corretta perizia informatica è condizione fondamentale per rendere l’investigazione intellegibile, comprensibile, replicabile e garantirne l’affidabilità e la validità!!
Se questo articolo sulla perizia informatica ti è piaciuto non dimenticarti di seguire anche i nostri profili Facebook, Youtube e Linkedin!
Se invece sei interessato a ricevere maggiori informazioni sui corsi di Forensics Academy scrivici a info@forensicsteam.it!
Se vuoi saperne di più sulla perizia informatica o se sei interessato a questo tipo di servizio puoi contattare l’investigatore privato del nostro team, Valentina Grazzi.
Visita il sito di Aenigma Studio Tecnico Investigativo per saperne di più!
Articolo di Samuela Bolgan