Il fine della digital forensics consiste nell'analizzare fatti inerenti sistemi digitali in cui risultino violazioni di leggi civili, penali e/ o di regolamenti interni ad organizzazioni. Se, quindi, non c'è una violazione di qualche tipo, il forensics non interviene. L'analisi condotta deve permettere di ottenere delle fonti di prova digitali, ossia dati che possano testimoniare, nella maniera più certa possibile, i fatti connessi alla violazione da accertare, evidenziando i tempi, gli eventi, i sistemi impiegati, le linee e i mezzi di comunicazione, nonché gli elementi identificativi come nomi utente, IP, MAC address, password, codici biometrici, etc. Le fonti di prova acquisite in tal modo saranno utilizzate quali supporto alle decisioni attraverso il loro ingresso e la discussione in giudizio. Le caratteristiche essenziali della conduzione di una analisi di digital forensics sono essenzialmente tre: 1) impieghi di procedure scientificamente accettate; 2) determinismo e giusta tempistica delle attività svolte; 3) ripetibilità degli accertamenti tecnici. L'impiego di procedure scientificamente accettate (accettabilità scientifica dei metodi) riveste una importanza primaria nel campo dell'analisi; infatti, seguire procedure scientificamente non contestate (e difficilmente contestabili) faciliterà l'impiego dei mezzi di prova in giudizio, mettendo al riparo le evidenze e le risultanze dell'analisi da possibili contestazioni. Allo stato attuale, non esistono delle procedure codificate per condurre una analisi forense, per cui ciascun operatore e ciascuna forza di polizia e/ o ente privato hanno sviluppato dei protocolli interni da seguire, che sono in costante evoluzione e miglioramento.
La digital forensics è una branca delle scienze forensi, ovvero di quelle discipline mediche, biologiche, elettriche, meccaniche, elettroniche, informatiche, etc. che possono fornire evidenze tecno-scientifiche “oggettive” quali elementi di giudizio sia nel caso di procedimenti civili che penali.
Il compito delle scienze forensi è quindi quello di produrre evidenze scientifiche da poter introdurre all'interno di un procedimento giudiziario sotto forma di mezzi di prova, sulle quali il giudice baserà il proprio convincimento e quindi la propria decisione. Si può sicuramente affermare che la digital forensics deve soddisfare sia esigenze di natura tecnico/metodologica che giuridico/legale. La nascita e lo sviluppo della digital forensics come branca indipendente è strettamente correlata all'evoluzione della società dell'informazione ( Information and Communication Technology, ICT ) Sul tema non esiste un'omogeneità nella produzione normativa; la disciplina può essere ricondotta ad almeno tre settori di interesse: i crimini commessi attraverso l'uso delle nuove tecnologie (diritto penale dell'informatica), i documenti elettronici e la sicurezza dei sistemi informatici, la tutela dei dati personali. In tutti i casi si tratta di una produzione normativa recente, sviluppatasi nell'arco temporale dell'ultimo ventennio. I reati informatici sono disciplinati nel codice penale e in alcune leggi speciali successive. La convenzione di Budapest del 23 novembre 2001 del Consiglio d'Europa sulla criminalità informatica (ratificata con la legge 48/ 2008) può essere considerata il primo vero accordo internazionale riguardante i crimini commessi attraverso internet o altre reti informatiche, con l'obiettivo di realizzare una politica comune fra gli Stati sottoscrittori, attraverso l'adozione di una legislazione appropriata, che consenta di combattere il crimine informatico in maniera coordinata.
2.3.1 Ripetibilità
Con l'espressione ripetibilità degli accertamenti si intende la possibilità di rieseguire integralmente le analisi su modelli assolutamente identici all'originale; la ripetibilità si configura, quindi, come un fattore chiave soprattutto quando si opera su reati e si devono presentare dei risultati in dibattimento per una incriminazione. In altre parole, si presuppone la possibilità di realizzare uno studio post-mortem dei sistemi, limitando completamente le interazioni con l'esterno. Le fonti di prova digitali validamente ottenute da procedure di digital forensics, dal punto di vista tecnico-scientifico, dovrebbero possedere le seguenti caratteristiche: integrità, coerenza e documentazione.
Massimiliano Dal Cero – Sistema server-side di acquisizione forense di contenuti Web asincroni
Tutte le analisi di digital forensics si caratterizzano, nella pratica, per il compimento di quattro diverse tipologie di operazioni: l'identificazione e il prelievo dei reperti, la preservazione e l'archiviazione dei reperti, l'analisi dei reperti, la redazione della relazione tecnica contenete i risultati.
Integrità
Per integrità della fonte si intende la possibilità di congelare le evidenze riscontrate in modo da non consentire l'alterabilità nel tempo. Dopo il prelievo della fonte, questa procedura comporta l'adeguata conservazione dei dati.
Coerenza
La coerenza della fonte consiste nel dimostrare che le informazioni assunte durante le analisi di forensics evidenziano fatti logicamente correlati tra loro in una sequenza temporale che sia coerente con le altre informazioni processuali provenienti anche al di fuori dell'ambito digitale.
Documentazione
Per disponibilità della documentazione si intende la procedura documentale certificata che dettaglia tutti i passi inerenti l'estrazione e l'individuazione delle fonti di prova, compresi i metodi e le procedure impiegate, i problemi incontrati, le soluzioni approntate ad hoc, le applicazioni impiegate con relativa versione e licenza, il personale che ha condotto l'analisi con le relative qualificazioni scientifiche, la catena di custodia dei reperti dalla scena del crimine fino al laboratorio, etc.
2.4
Digital Evidence
Si può considerare digital evidence ogni informazione probatoria la cui rilevanza processuale dipende dal contenuto del dato o dalla particolare allocazione su di una determinata periferica, oppure dal fatto di essere stato trasmesso secondo modalità informatiche o telematiche.
Nell'elaborazione dottrinale italiana, per fronteggiare le questioni poste dall'ingresso delle nuove risorse scientifico-tecniche nel processo penale, si è spesso ricorso all'ampio contenitore della prova “atipica”, la cui generica disciplina è fornita dall'art. 189 c.p.p., che consente al giudice l'acquisizione di una prova “non disciplinata dalla legge, se essa
risulta idonea ad assicurare l'accertamento dei fatti e non pregiudica la libertà morale della persona”