LA GUIDA COMPLETA

Raccolta della prova digitale: il ruolo dello standard ISO/IEC 27037

La prova digitale, per sua stessa natura, può essere alterata, corrotta o distrutta da gestioni e analisi improprie. È dunque importante che il trattamento della digital evidence avvenga seguendo le linee guida dettate dallo standard ISO/IEC 27037 durante le fasi di identificazione, raccolta, acquisizione e conservazione

22 Gen 2020
A
Isabella Alessandrucci

Avvocato e Auditor ISO/IEC27001 – ISO 37001 – ISO 9001

P
Stefano Procopio

Auditor e Resp.le Schemi ISO ICT, Digital Improvement and Development


Immaginiamo di arrivare, un mattino, presso la nostra organizzazione e scoprire di aver ricevuto la visita di ospiti indesiderati che, oltre ad aver rovistato ovunque hanno sottratto qualcosa di critico per il nostro business. Magari, oltre al semilavorato, anche qualcosa non di nostra proprietà, ma in nostro possesso per le attività in corso su un progetto di un vostro cliente.

Accade spesso che oggetto di interesse siano proprio le informazioni e lo scenario ipotizzato può ben realizzarsi tramite un accesso fisico ai locali dell’organizzazione ma anche, soprattutto, a livello logico, rendendo quindi inutili eventuali sistemi antintrusione e videosorveglianza.

Quel che ne consegue è un’attività di indagine indirizzata a raccogliere elementi utili ai fini investigativi e del successivo giudizio. In tale contesto si inserisce la digital evidence (prova digitale) e le connesse operazioni di raccolta o acquisizione da parte dell’accusa e/o della parte offesa, finanche della stessa persona sottoposta alle indagini perché possano andare a costituire il patrimonio conoscitivo dell’organo giudicante in sede decisoria.

Raccolta della prova digitale: elementi imprescindibili

La prova digitale è, di per sé, sensibile ad ogni forma di manomissione. Può, infatti, essere facilmente alterata, corrotta o distrutta da gestioni o da analisi improprie.

Da ciò ne consegue che la superficialità nel gestire i digital device può rendere le potenziali prove digitali ivi contenute inutilizzabili in sede dibattimentale ovvero al momento di applicazione di una misura cautelare reale durante il procedimento penale.

A ciò si aggiunga tutta l’attività di indagine svolta dalla Guardia di Finanza per il contrasto all’evasione e alle frodi fiscali che coinvolge, sempre più massivamente, la documentazione digitale. In tale contesto le Forze dell’Ordine si sono dotate di specifiche procedure e strumenti operativi per le attività di acquisizione delle evidenze digitali.

È del 4 dicembre 2017 la pubblicazione della Circolare 1/2018 della Guardia di Finanza intitolata “Manuale operativo in materia di contrasto all’evasione e alle frodi fiscali” che fornisce ai militari un’indicazione precisa sulla corretta modalità di acquisizione delle evidenze digitali.

Elementi imprescindibili affinché la prova digitale raccolta in sede di indagini possa avere valenza dibattimentale nel contradditorio tra le parti del giudizio sono la sua integrità, genuinità e non ripudiabilità.

Esulano dal presente contributo le considerazioni in ordine all’annosa questione sulla ripetibilità ovvero irripetibilità degli accertamenti svolti di cui agli artt. 359 e 360 c.p.p. che richiederebbero uno specifico approfondimento.

Minacce che possano avere un impatto sugli elementi caratterizzanti la digital evidence e che, quindi, possano pregiudicare la sua valenza dibattimentale in termini patologici sussistono già nel momento della sua apprensione.

A tal proposito occorre evidenziare che la compromissione di una prova digitale ben può avvenire anche e soprattutto in modo involontario, ad esempio con una semplice esposizione a campi elettromagnetici delle potenziali prove digitali contenute nei dispositivi di archiviazione. Risulta essere fondamentale, pertanto, che siano rispettate delle regole che disciplinino l’intero processo, dalla scelta delle informazioni da selezionare fino alla loro conservazione, passando per la loro raccolta ovvero acquisizione.

Raccolta della prova digitale: il panorama normativo

Il panorama normativo attualmente in vigore che stabilisce regole su come debba svolgersi tale processo di acquisizione della prova digitale non conforta.

In particolare, la legge n. 48 del 2008, di ratifica della Convenzione del Consiglio d’Europa sulla criminalità informatica, ha interpolato alcuni articoli del codice di rito. In sede di ispezione, ex art. 244 c.p.p., l’autorità giudiziaria dispone ogni operazione tecnica anche in relazione a sistemi informatici o telematici, adottando misure tecniche dirette ad assicurare la conservazione dei dati originali e ad impedirne l’alterazione.

Il successivo art. 247, comma 1 bis, c.p.p., stabilisce che quando vi sia fondato motivo di ritenere che dati, informazioni, programmi informatici o tracce comunque pertinenti al reato si trovino in un sistema informatico o telematico, ancorché protetto da misure di sicurezza, l’autorità giudiziaria ne dispone la perquisizione, adottando misure tecniche dirette ad assicurare la conservazione dei dati originali e ad impedirne l’alterazione.

In caso di urgenza, qualora il pubblico ministero non possa intervenire tempestivamente ovvero non abbia ancora assunto la direzione delle indagini, gli ufficiali di polizia giudiziaria compiono i necessari accertamenti e rilievi sullo stato dei luoghi e delle cose, adottando, in relazione ai dati, alle informazioni e ai programmi informatici o ai sistemi informatici o telematici, le misure tecniche o impartiscono le prescrizioni, ai sensi dell’art. 354 c.p.p., necessarie ad assicurarne la conservazione e ad impedirne l’alterazione e l’accesso e provvedono, ove possibile, alla loro immediata duplicazione su adeguati supporti, mediante una procedura che assicuri la conformità della copia all’originale e la sua immodificabilità.

La prova digitale e il ruolo dello standard ISO/IEC 27037

La novella codicistica introduce, quindi, nel nostro ordinamento il ricorso a best practice di settore intese quali norme, non codificate, cui gli operatori del settore fanno affidamento per svolgere determinate operazioni informatiche su supporti e/o dispositivi e che possano essere di supporto nell’indicazione della catena di conservazione dell’informazione oggetto di acquisizione.

In tal senso, rilievo primario assurge lo standard ISO/IEC 27037 “Information technology – Security techniques – Guidelines for identification, collection, acquisition and preservation of digital evidence” che si pone come linea guida per le attività specifiche nel trattamento delle prove digitali attraverso la fase di loro identificazione, raccolta, acquisizione e conservazione.

Tale processo è finalizzato a mantenere l’integrità delle prove digitali identificando una metodologia che possa ritenersi adeguata affinché esse possano essere ammissibili in eventuali giudizi.

Alla base della gestione delle prove digitali sonno posti quattro aspetti chiave:

  • Verificabilità (Auditability): possibilità di valutare le attività svolte da DEFR e DES. (Devono documentare tutte le azioni intraprese).
  • Ripetibilità (Repeatability): se vengono prodotti gli stessi risultati utilizzando, in qualsiasi momento, la stessa procedura e metodo di misurazione, stessi strumenti e nelle stesse condizioni.
  • Riproducibilità (Reproducibility): se vengono prodotti gli stessi risultati utilizzando lo stesso metodo di misurazione, strumenti diversi e in condizioni diverse.
  • Giustificabilità (Justifiability): dimostrazione che le decisioni prese sono state le migliori per ottenere tutte le potenziali prove digitali.

Si fa ricorso, quindi, alla digital forensics che perviene al ruolo di disciplina di una metodologia adeguata ad assicurare l’integrità e l’autenticità delle prove digitali.

Prova digitale: la definizione normativa

Nell’ambito della norma, la prova digitale è definita come informazioni o dati, conservati o trasmessi in forma binaria, che possono essere attendibili come prova.

Essa è, pertanto, un documento informatico che contiene la rappresentazione informatica di atti, fatti o dati giuridicamente rilevanti (D.lgs. n. 82 del 2005, CAD, art.1, lett. p). Lo stesso art. 1, lett. b), della Convenzione di Budapest lo definisce come “qualunque presentazione di fatti, informazioni o concetti in forma suscettibile di essere utilizzata in un sistema computerizzato, incluso un programma in grado di consentire a un sistema computerizzato di svolgere una funzione”, mentre per il Regolamento eIDAS n. 910/2014 il documento elettronico è “qualsiasi contenuto conservato in forma elettronica, in particolare testo o registrazione sonora, visiva o audiovisiva”.

Se volessimo, quindi, applicare i contenuti di tale norma volontaria all’esempio svolto nell’incipit di questo intervento, il gruppo di indagine dovrebbe, innanzitutto, verbalizzare ogni singola attività svolta. È onere della polizia giudiziaria redigere, all’uopo, un verbale.

A tale dovere si aggiunge quello specificamente previsto nell’ambito dello standard secondo cui il gruppo di intervento deve redigere e mantenere costantemente aggiornato il registro della catena di custodia che raccolga, in senso cronologico, tutte le operazioni ivi compiute.

Le figure chiave nella raccolta della prova digitale

Nell’immediatezza dell’intervento occorre che sia individuato, all’interno del gruppo operativo, il soggetto che possa avere il ruolo, per usare i termini utilizzati dalla ISO/IEC 27037, di Digital Evidence First Responder (DEFR) e quando necessario, ulteriori figure con conoscenze specialistiche, capacità ed abilità di gestire questioni tecniche definite come Digital Evidence Specialist (DES).

Il DEFR è il protagonista principale della specifica attività di indagine sul campo ed è il primo ad agire sulla scena dell’incidente.

È colui che decide (o supporta chi ne ha mandato) in merito alle attività da svolgere con il preciso obiettivo di ridurre al minimo il rischio che vengano alterate potenziali prove digitali e massimizzato il loro valore probatorio.

Egli è tenuto a redigere e mantenere aggiornato il report di raccolta e di acquisizione ma non necessariamente il report delle successive analisi. A lui incombe il dovere di garantire l’integrità e l’autenticità delle potenziali prove digitali.

Il DES è colui che offre supporto tecnico al DEFR nell’identificazione, raccolta, acquisizione e conservazione delle potenziali prove digitali sulla scena dell’incidente.

WEBINAR - 3 NOVEMBRE
CISO as a Service: perché la tua azienda ha bisogno di un esperto di Cyber Security?
Sicurezza
Cybersecurity

Specifiche disposizioni sono dettate dalla norma per l’identificazione dei protagonisti coinvolti nel processo di trattamento delle prove digitali.

In particolare, è da ritenere che il DEFR e/o il DES devono avere competenze tecniche e legali rilevanti. Dietro espressa richiesta essi dovranno essere in grado di dimostrare di essere propriamente qualificati ed avere una cultura tecnica e giuridica idonea a gestire le potenziali prove digitali in maniera appropriata.

Questo include la comprensione di processi e metodi pertinenti per la gestione delle potenziali fonti di prova digitali.

Nell’ambito della norma non mancano richiami ad altre norme ad esempio la ISO/IEC 27035, per rammentare che il DEFR ed il DES potrebbero essere inseriti, in un contesto più strutturato, all’interno dell’Information Security Incident Response Team (ISIRT).

A ciò si aggiunga che il gruppo di indagine, appena giunto sul luogo, potrebbe nominare un dipendente, con conoscenze sul sistema informativo interno all’organizzazione, come ausiliario di PG. Infatti, ai sensi dell’art. 348 c.p.p., la “polizia giudiziaria, quando, di propria iniziativa o a seguito di delega del pubblico ministero, compie atti od operazioni che richiedono specifiche competenze tecniche, può avvalersi di persone idonee le quali non possono rifiutare la propria opera”; egli, nelle operazioni che svolge in tale veste, assume la qualifica di pubblico ufficiale con assunzione delle relative responsabilità, anche penali, nelle condotte a lui imputabili.

Prima che si possa procedere ad acquisizione o raccolta, la scena dell’incidente dovrà essere documentata in maniera visiva fotografando e riprendendo con filmati ovvero semplicemente disegnando la scena come appariva al momento dell’ingresso.

Il trattamento delle prove digitali

Il processo di trattamento delle prove digitali ha inizio con la fase dell’identificazione indirizzata alla ricerca, all’individuazione e alla documentazione delle potenziali prove digitali.

Connesso e strumentale a tale momento è l’attività di attribuzione di una priorità nella raccolta delle prove. Tale assunto di precedenza è strettamente connesso al criterio di volatilità.

Una volta identificati i digital device che possono contenere potenziali prove digitali, il DEFR e il DES dovranno decidere se procedere alla raccolta o all’acquisizione delle prove. Occorre sin d’ora precisare che per raccolta si deve intendere il processo di acquisizione fisica degli oggetti che contengono le prove digitali, mentre per acquisizione su intende il processo di creazione di una copia di dati in un ambiente controllato e adeguato allo scopo.

I device che possono contenere potenziali prove digitali sono trasferiti dalla loro posizione originale ad un laboratorio o altro ambiente controllato per la successiva acquisizione ed analisi.

Altra e distinta fase è quella dell’acquisizione delle prove digitali in base alla quale ne viene prodotta una copia fedele (ad esempio partizione completa dell’hard disk, file selezionati) con annessa documentazione dei metodi utilizzati e delle attività svolte.

Il metodo di acquisizione utilizzato (che la norma richiede debba essere validato in anticipo) dovrà produrre una copia affidabile delle potenziali prove digitali o dei digital device contenenti potenziali prove digitali. Infine, le prove digitali devono essere opportunamente conservate per preservarne la loro integrità.

Le procedure dovranno comprendere, al fine di garantire verificabilità, giustificabilità, ripetibilità o riproducibilità a seconda delle circostanze, i seguenti principi fondamentali:

  • minimizzare la manipolazione del digital device e delle potenziali prove digitali;
  • registrare ogni cambiamento e documentare le azioni eseguite;
  • osservare le regole locali riguardo le prove;
  • mantenere i limiti di competenza assegnati al DEFR e il DES.

Al fine di assicurare l’integrità e l’autenticità delle potenziali prove digitali senza che possano subire alternazioni, il DEFR dovrà eseguire una ricerca completa degli strumenti che possono contenere potenziali prove digitali.

Una volta identificati i digital device che possono contenere potenziali prove digitali, il DEFR e il DES dovranno decidere se procedere alla raccolta o all’acquisizione.

In ogni indagine, il DEFR dovrà essere in grado di rendere conto di tutti i dati acquisiti e dei device nel momento in cui si trovano sotto la sua custodia.

È per tale precipua finalità che egli è tenuto a mantenere un registro della catena di custodia volto a identificare la cronologia della movimentazione e del trattamento delle potenziali prove digitali.

È importante che tale registro sia istituito fino dal processo di raccolta e acquisizione. In tal senso dovrà essere documentato anche chiunque abbia accesso al sito e chiunque possa avere una ragione di coinvolgimento con la scena dell’incidente.

Il registro di catena di custodia deve contenere, almeno, le seguenti informazioni:

  • identificatore unico della prova;
  • chi ha avuto accesso alla prova e il tempo e il luogo in cui è accaduto;
  • chi ha registrato e scaricato le prove dal presidio di conservazione e quando è accaduto;
  • perché la prova è stata esaminata (quale caso e lo scopo) e l’autorità competente, se applicabile; e
  • ogni modifica inevitabile alle potenziali prove digitali, così come il nome del soggetto conseguentemente responsabile e la giustificazione per l’introduzione del cambiamento.

Non necessariamente il registro di catena di custodia è rappresentato da un documento ben potendo essere costituito da una serie di documenti collegati, volti a dettagliare la catena di custodia e la registrazione di chi era responsabile delle potenziali prove digitali, sia in forma di dati digitali che in altri formati, ad esempio cartacei.

La catena di custodia dovrà essere mantenuta per tutto il tempo di esistenza delle prove e dovrà essere conservata per un certo periodo di tempo dopo la cessazione dell’esistenza delle prove.

Le attività del Digital Evidence First Responder

I DEFR dovranno eseguire attività che rendano sicuro e proteggano il luogo in cui si trovano le potenziali prove digitali.

Queste attività comprendono: il mettere in sicurezza e prendere il controllo dell’area che contiene i device; determinare chi è il soggetto responsabile del luogo; assicurare che i singoli siano allontanati dai device e dagli alimentatori; tutti i digital device raccolti e le prove potenziali acquisite dovranno essere protetti per quanto è possibile da perdita, alterazione o danneggiamento.

D’altronde, l’attività più importante nel processo di conservazione è quella di mantenere l’integrità e l’autenticità delle potenziali prove digitali e della loro catena di custodia.

I digital device raccolti e le prove potenziali acquisite dovranno essere conservati in una struttura di conservazione delle prove che impieghi controlli di sicurezza fisica come sistemi di controllo degli accessi, sistemi di sorveglianza o sistemi di rilevamento delle intrusioni.

Particolare attenzione andrà posta qualora il device sia trovato acceso: la norma raccomanda di non spegnerlo per non alterare la possibile prova.

Parimenti qualora il device sia spento, in tal caso è opportuno che non venga acceso. Infatti, lo standard ipotizza tre possibili scenari in cui potrebbe essere necessario condurre l’acquisizione: quando i digital device sono accesi, quando sono spenti e quando sono accesi ma non possono essere spenti.

In tutti questi scenari, al DEFR viene richiesto di fare un’accurata copia digitale probatoria degli strumenti di archiviazione dei digital device che si sospetta contengano potenziali prove digitali.

Qualora non sia possibile ottenere un’immagine, possono essere acquisite copie accurate di file specifici che si sospetta contengano potenziali prove digitali.

Idealmente, si dovranno produrre sia una copia principale verificata che delle copie di lavoro. La copia principale non dovrà essere utilizzata nuovamente.

Seguono, quindi, una serie di attività distinte a seconda di come viene trovato il device. Infatti, qualora questo sia rinvenuto spento occorre, primariamente, che tale situazione di off sia effettivamente assicurata, rimuovere, poi, l’archivio ed etichettarlo come archivio sospetto.

Tutte le attività devono essere opportunamente documentate e gli oggetti etichettati (nome del modello, numero di serie e dimensioni dell’archivio). Infine, è necessario eseguire il processo di imaging utilizzando uno strumento appropriato e convalidato per creare una copia di prova digitale del disco sospetto.

In tutti questi scenari, al DEFR viene richiesto di fare un’accurata copia digitale probatoria dei digital device che si sospetta contengano potenziali prove digitali.

Dopo che è stato completato il processo di acquisizione, i DEFR dovranno sigillare i dati acquisiti utilizzando le funzioni di verifica o le firme digitali per stabilire che le copie di prova digitale sono equivalenti ai loro originali. Inoltre, gli aspetti di sicurezza richiedono controlli che applichino il principio di proteggere la confidenzialità, l’integrità e la disponibilità delle potenziali prove digitali.

Il DEFR dovrà anche valutare se utilizzare un detector di segnali wireless per scoprire ed identificare segnali da wireless device nascosti.

Una volta identificato e registrato il supporto è necessario raccogliere le evidenze informatiche. La raccolta può avvenire fisicamente oppure digitalmente, tramite il processo di acquisizione.

In ragione di ciò occorre considerare la volatilità delle potenziali prove digitali, la sussistenza di una crittazione di tutto il disco o di volumi crittati, i punti critici del sistema, i requisiti legali della giurisdizione, le risorse (dimensione dell’archivio richiesto, disponibilità di personale, limiti di tempo).

Occorre dare una priorità alla raccolta o acquisizione delle potenziali prove digitali comprendendo la ragione ultima in base alla quale le prove vengono raccolte o acquisite mantenendo costante il principio di minimizzazione stabilito dalla normativa vigente in materia di trattamento dei dati personali.

È possibile procedere anche ad un’acquisizione parziale allorché sia ritenuto che l’archivio di sistema è troppo grande da acquisire, trattasi di sistemi mission-critical che non possono essere spenti, quando siano presenti anche altri dati irrilevanti all’interno del medesimo sistema ovvero nel caso in cui fosse l’Autorità Giudiziaria a seguito di decreto di perquisizione a limitare lo scopo dell’acquisizione.

In tali casi le attività per l’acquisizione dovranno, almeno, includere l’identificazione dei folder, dei file o ogni altra opzione disponibile del sistema proprietario rilevante per acquisire i dati desiderati e l’acquisizione logica su questi dati identificati.

La conservazione della prova digitale

Il processo di conservazione è finalizzato al mantenimento e alla salvaguardia dell’integrità e/o delle condizioni originali delle potenziali prove digitali al fine di garantire la loro utilizzabilità futura. Tale attività è, appunto, finalizzata a mantenere la completezza e l’autenticità delle potenziali prove digitali e della loro catena di custodia.

A tale scopo, è opportuno proteggere l’integrità delle prove e dei digital device che le contengono. Tale attività accompagna tutto l’iter di raccolta delle prove sin dal momento della loro identificazione. Scopo peculiare è l’inalterabilità delle prove raccolte e la dimostrazione dell’assenza di manipolazioni sulla prova.

Nella migliore delle ipotesi non ci dovrà essere alcuna alterazione dei dati o dei metadati ad essi associati (ad esempio data e ora di creazione o di ultima modifica) ed il DES dovrà essere in grado di dimostrare che le prove non sono state modificate da quando sono state raccolte o acquisite, oppure produrre la razionale e la documentazione dell’attività se sono stati apportati cambiamenti inevitabili.

Per quanto concerne i sistemi di archiviazione digitale ne esistono di diverse tipologie che includono le attività di:

  • verifica e di documentazione della posizione (ad esempio, connettori, USB, etc.), forma, modello e numero di serie;
  • scelta se portare via lo strumento di archiviazione digitale identificato ovvero procedere ad acquisizione sul posto;
  • l’attività di etichettatura di tutti gli strumenti di archiviazione digitale e ogni parte ad essi associata;
  • l’acquisizione di tutti gli strumenti raccolti ed immagazzinaggio al fine di assicurare l’integrità dello strumento raccolto.

Quando si tratti di una possibile prova, dovrà essere sigillata con sigilli antimanomissione e il DEFR o il personale incaricato dovrà firmare sull’etichetta. Gli strumenti di archiviazione digitale raccolti dovranno essere conservati in un ambiente idoneo alla salvaguardia dei dati.

Oggetto di indagine possono essere anche networked device che sono considerati come computer o altri digital device connessi ad un network sia tramite cavo che in modalità wireless.

Questi networked device possono includere mainframe, server, computer desktop, access point, switch, hub, router, mobile device, PDA, PED, Bluetooth device, sistemi CCTV e molti altri. In questo caso, come nell’ipotesi di estrazione di sequenze video da un sistema DVR CCTV basato o integrato in un computer, si seguono le medesime raccomandazioni di attenzione ed accortezza in sede di raccolta delle informazioni specificamente declinate dalla norma ISO/IEC 27035.

La conservazione delle prove digitali necessariamente coinvolge anche controlli di sicurezza fisica, ivi compresi i sistemi di controllo degli accessi, sistemi di sorveglianza o sistemi di rilevamento delle intrusioni sulle strutture deputate alla loro archiviazione.

Il mantra che deve accompagnare ogni singola attività pertinente la raccolta o l’acquisizione delle prove digitali è la preoccupazione di proteggere e prevenire la perdita, il danneggiamento e l’alterazione, e di consentire la loro verificabilità in ogni tempo e da diversi soggetti coinvolti nella vicenda giudiziaria.

In tal senso lo standard si preoccupa di dettare specifiche disposizioni in ordine alle modalità di mantenimento, anche fisico, dei digital device oggetto di indagine come le tecniche per il loro imballaggio, il cui ambiente dovrà essere privo di elettricità statica e di polvere, lubrificanti e inquinanti chimici, nonché in totale assenza di raggi UV al fine di non degradare i supporti digitali raccolti, nell’ambito del quale si raccomanda di indossare guanti privi di filamenti ed assicurarsi che le mani siano pulite e asciutte, di proteggerli dall’influenza di fonti elettromagnetiche, di minimizzare la possibilità di effetto copia (c.d. print-through) che può prodursi quando i nastri sono conservati per lunghi periodi senza uso attivo.

I digital device dovranno essere assolutamente protetti dallo shock termico.

Tutto il materiale raccolto dovrà essere opportunamente etichettato.

Specifiche regole vanno poi disposte per il loro trasporto raccomandando che non rimangano incustodite, anche per brevi periodi, e che, durante lo stesso, sia sempre mantenuto il costante aggiornamento della catena di custodia.

Qualora le potenziali prove digitali non siano trasportate dal DEFR o dal DES è raccomodato l’uso della crittografia.

Conclusioni

Dando seguito alle indicazioni normative contenute nel citato art. 247, comma 1 bis, c.p.p., è quindi opportuno, in assenza di specifiche norme cogenti, fare ricorso a best practice di settore per individuare quelle “misure tecniche dirette ad assicurare la conservazione dei dati originali e ad impedirne l’alterazione” volte a superare l’elevato rischio di contaminazione insito in ogni prova digitale.

Nell’ambito, quindi, di tali possibili e molteplici scenari, una corretta ed appropriata gestione delle prove digitali può portare valore aggiunto anche in ottica di prevenzione, come ad esempio per l’internal hacking.

In tale contesto assume, quindi, importanza cruciale il rispetto di regole, seppur non cogenti, che diano indicazioni in ordine alle idonee modalità di trattamento delle digital evidences e che bilancino procedure di qualità probatoria, puntualità dell’analisi, ripristino del servizio e costi di raccolta delle prove digitali.

@RIPRODUZIONE RISERVATA

Articolo 1 di 3