L’ acquisizione forense di pagine web, detta anche “Web Forensics” è una disciplina informatica molto utile ai legali e agli investigatori per acquisire evidenze probatorie online destinate ad essere prodotte in sede di Giudizio, senza il rischio di vedere la prova invalidata a causa di errori nel processo di acquisizione e conservazione dei dati.
All’interno dei fascicoli, siano essi penali o civili, non è affatto infrequente trovare rappresentazioni grafiche di pagine web che le parti intendono utilizzare come prove. Spesso, infatti, i contenuti web vengono catturati con un semplice screenshot e incollati sulle pagine degli elaboratori di testo. Ma la semplice stampa di una pagina web o lo screenshot della stessa non hanno alcun valore legale, sono spesso oggetto di contestazione e vengono rigettati in dibattimento. Questo perché un screenshot può essere facilmente modificato e non è possibile garantirne l’originalità. Altrettanto invalida è la procedura che prevede l’autenticazione di un contenuto web da parte di un notaio: egli infatti può solo certificare ciò che vede in quel momento, senza poter dare garanzie tecniche sull’originalità di un contenuto.
Per questi motivi, la comunità informatica forense ha elaborato delle metodologie di acquisizione dei contenuti nel Web che garantiscano la cristallizzazione delle prove digitali con metodologie forensi del tutto simili a quelle utilizzate per l’acquisizione dei dati nei telefonini o nei PC. Tali metodologie derivano direttamente dalle best practices indicate nello standard internazionale ISO/IEC 27037:2012 e prendono il nome di “Web Forensics”
La Web Forensics è un processo utilizzato per raccogliere, identificare e preservare informazioni presenti online per scopi legali o investigativi. Si tratta di ottenere una copia “cristallizzata” di un contenuto presente sul Web seguendo modalità forensi finalizzate a rendere la copia valida come prova legale e producibile in giudizio. L’acquisizione dev’essere svolta con procedure verificabili e ripetibili, che garantiscano l’originalità, la conformità e l’immodificabilità dei dati acquisiti.
Il processo di acquisizione forense di prove online inizia con la raccolta dei dati. Questo può essere fatto utilizzando strumenti di acquisizione automatizzati o manuali, come il salvataggio di una pagina web tramite appositi browser installati su macchine virtuali, o l’utilizzo di specifici software di acquisizione. A differenza dei dati digitali su supporti di memoria fisici (pc, telefonini, tablet, ecc.), le informazioni sul web sono molto volatili e l’evidenza probatoria potrebbe essere cancellata o modificata da un momento all’altro.
L’investigatore informatico deve quindi essere tempestivo nell’individuare i dati di interesse probatorio e acquisirli prima che possano essere modificati o rimossi. L’acquisizione non deve limitarsi al contenuto visibile all’utente di Internet, ma deve estendersi ai dati tecnici del sito sul quale tale contenuto è pubblicato. Durante l’acquisizione devono essere contestualmente scaricati anche il codice sorgente della pagina web, i cookies tecnici, il traffico HTTPS e gli eventuali certificati SSL. L’operazione dev’essere svolta da una macchina virtuale appositamente allestita per lo scopo e la sessione di acquisizione dev’essere videoregistrata con un software di registrazione dello schermo. Infine, è necessario certificare, attraverso l’applicazione di una marca temporale, la data e l’ora esatte in cui l’operazione viene svolta.
Una volta raccolti i dati, è importante identificare e catalogare le informazioni rilevanti per l’indagine. Questo può includere informazioni sul proprietario del sito web o del profilo social, sui visitatori del sito, sul contenuto del sito e su eventuali transazioni effettuate attraverso il sito. Successivamente, le informazioni raccolte devono essere conservate in modo sicuro per garantire la loro integrità e autenticità. Per questi motivi, i dati acquisiti vengono certificati e ne viene garantita l’immodificabilità attraverso il calcolo dei codici di hash. Tutti i dati (testo, immagini, video, dati tecnici del sito e dati tecnici del processo di acquisizione) vengono quindi memorizzati in un archivio compresso e salvati su supporto fisso sigillato in busta antistatica, oppure inviati digitalmente a mezzo PEC al richiedente, per garantire la catena di custodia della prova fino al deposito.
Solo a questo punto, l’investigatore redigerà un report riassuntivo incollando gli screenshot dei contenuti di interesse. Tali screenshot saranno utilizzati in dibattimento per semplicità d’esposizione e con mero valore suggestivo, e dovranno essere sempre accompagnati dalla copia forense del dato originale.
L’ acquisizione forense di pagine web è un processo critico per molte indagini legali e investigative, in quanto può fornire prove cruciali per la soluzione di un caso. Tuttavia, è importante che il processo sia eseguito in modo corretto per garantire che le informazioni raccolte siano valide e utilizzabili in tribunale.
L’agenzia investigativa Gruppo Kriteria – attraverso la sua divisione Intelligence – è in grado di acquisire, documentare e certificare contenuti online in modo tempestivo e con procedure valide legalmente, aiutando aziende, privati e studi legali sia in ambito stragiudiziale che in sede di Giudizio.
Prima di agire, conosci.