INFORMATICA - DIBATTIMENTO
PRESENTAZIONE RISULTATI E FONTI

In una conferenza in Norvegia mi trovai coinvolto in una interessante questione circa il seguente argomento: "come valutare i risultati di un laboratorio forense?". Scoprii con mio profondo rammarico che diverse organizzazioni scientifico-forensi consideravano come risultati solo le "incriminazioni" dei soggetti indagati. Quindi una buona attività tecnica il cui risultato scagionava l'indagato addirittura veniva considerata come un NON RISULTATO! Questo è contrario alla mia etica professionale e fortunatamente nell'Arma quasi tutti condividono questo mio approccio. In ogni caso non deve realizzarsi neanche il contrario ossia che dopo una buona analisi forense i risultati vengano resi inutilizzabili per errori formali.

Gennaio 2007

Premessa

Contrariamente a quanto si possa pensare la mia idea è che il risultato di una indagine tecnica poggia al 50% sulla pura attività tecnica ed al rimanente 50% sulla professionalità, preparazione e capacità espositiva di chi porta tali risultati nell'ambito dibattimentale. Questo a prescindere dall'incriminare o meno i soggetti coinvolti ma solo nell'ottica di discriminare la verità (dimostrabile) unico obiettivo di un buon investigatore.

Usualmente all'analisi tecnica dello specialista forense segue un report scritto che descrive nei minimi termini le operazioni svolte, i tool impiegati, le problematiche eventuali incontrate, le risultanze tecniche, ecc.. Il responsabile per l'indagine che è poi quello che presenta i risultati in dibattimento studia accuratamente tale report e ne genera una sintesi più improntata all'aspetto legale.

Ad esempio un magistrato può chiedere: "possiamo verificare se è stato lui ad inviare questo messaggio tramite email?", lo specialista può repertare ed analizzare il PC in uso al soggetto e determinare che è recuperabile un messaggio cancellato il quale risulta con determinare caratteristiche tecniche, il responsabile per le indagini ha il compito di riunire tutto quello che è stato determinato dal reperto e verificare se è attendibile il fatto che il soggetto abbia inviato il file. Anche avendo trovato il messaggio cancellato con tutte le caratteristiche compatibili all'invio non è banale rispondere SI al magistrato. Una buona risposta potrebbe essere: "...siamo sicuri al tot% che da questo computer è partito questo messaggio di molto simile o identico a quello in studio...". Come si può vedere non bisogna lasciarsi fuorviare dalle risultanze tecniche perchè il fatto che da un PC sia partito un messaggio non significa necessariamente che sia provabile il fatto che a spedirlo sia stato il proprietario dell'hardware. Il responsabile per le indagini potrebbe rilevare dei dati che contrastano con tale ipotesi, ad esempio il fatto che il messaggio sia stato inviato da un server di posta di nota proprietà di un altro soggetto anch'esso coinvolto.

Esempi di questo tipo, un po' semplicistici, sono importanti per far capire quanto la prova vera e propria non è una conseguenza semplice ed immediata dell'analisi forense (almeno non sempre).

Generalmente il responsabile per le indagini crea un report scritto definitivo che, secondo le disposizioni della legge italiana, non è indispensabile. Secondo il nostro framework legale la prova si forma in dibattimento a seguito quindi di una discussione che è praticamente indispensabile da cui il documento scritto fa usualmente da supporto alla discussione. Possiamo quindi distinguere tra presentazione scritta e presentazione orale:

La presentazione scritta (Report)

Lo scopo della presentazione scritta è fornire al lettore informazioni rilevanti circa le analisi forensi svolte in una forma: chiara, concisa, strutturata e non ambigua in maniera tale che si debba discutere su di essa il meno possibile. Questo approccio non è condiviso da tutti, soprattutto dai laboratori il cui scopo non è mostrare risultati ma evidenziare le possibili ambiguità dei risultati di altri. Il primo approccio quindi è tipico dei laboratori che operano per gli inquirenti mentre il secondo, spesso è tipico dei laboratori che operano per la difesa (in Italia discutere a lungo su qualcosa significa sminuirne la verità...).

Il report deve prevedere allegati tecnici prettamente studiati per tracciare le analisi e conclusioni di natura legale. In generale deve essere strutturato nelle seguenti parti:

1. Identificazione del caso (es. Proc.penale);

2. Intestazione del laboratorio e nome del responsabile per l'indagine con annessi gli eventuali specialisti ed assistenti coinvolti;

3. Qualifica del responsabile per le indagini il quale deve firmare il documento in ogni suo foglio con data annessa;

4. La data di ricezione dei reperti, l'eventuale riconsegna e tutta la catena di custodia;

5. Riferimento del richiedente l'analisi;

6. La lista dei reperti impiegati per l'analisi;

7. La constatazione dello stato dei reperti al momento della ricezione;

8. La lista della documentazione inerente il fascicolo di indagine ricevuta all'inizio dell'indagine;

9. Richiesta relativa all'analisi forense;

10. Dettagli tecnici dell'analisi svolta;

11. Risultati tecnici e risultati legali;

12. Segnalazione degli eventuali reperti che non è stato possibile esaminare e le ragioni specifiche.

13. Descrizione dei tool e dei metodi impiegati o riferimento al manuale di qualità e/o a manuali specifici.

La presentazione orale (Discussion)

Risulta essenziale che il responsabile per le indagini, chiamato a testimoniare, abbia chiaro il caso, le analisi ed i risultati ottenuti per poi restringere assolutamente il campo d'azione ai soli dati riportati nel report scritto e non allargarsi troppo ad opinioni personali che usualmente possono essere attaccati o dare adito a lunghe discussioni. Non bisogna poi assolutamente rispondere a domande che esulino dal proprio campo di specializzazione evidenziando la propria incompetenza fuori da tale area. Classico esempio è quello della domanda: "...ma lei ritiene che questa immagine digitale sia di natura pedo-pornografica?" a meno di avere competenze mediche specifiche lo specialista informatico chiamato a testimoniare deve ammettere di non avere criteri scientifici validi per poter rispondere.

marcomattiucci.it

Informatica:

Digital Forensics - articoli:

Digital forensics: