Nella scienza forense digitale vengono raccolte e analizzate – come suggerisce il nome stesso – le tracce e le prove digitali per ricostruire la dinamica del reato. In teoria ogni reato lascia tracce dietro di sé. Il ladro ha cercato sul suo smartphone la sua destinazione su Google Maps? L’assassino aveva già minacciato prima la sua vittima via e-mail? O è il reato stesso che è stato commesso online, ad esempio una truffa finanziaria?
Affinché le prove digitali possano reggere in tribunale, l’intera procedura di repertamento e analisi delle prove deve essere documentata in maniera completa. Come si raccolgono le prove digitali?
Repertamento dei dispositivi informatici
Tutti i dispositivi presenti sulla scena del crimine, ad esempio hard disk, chiavette USB, telefoni cellulari, scanner, telecamere di sorveglianza, eccetera, vengono repertati e, se possibile, viene recuperata la password delle persone coinvolte. Altrimenti, contrariamente a quanto succede spesso nei film, decodificare la password può essere una procedura lunga e difficile.
Una decisione importante che va presa subito riguarda il computer, se lasciarlo acceso oppure spegnerlo. Se rimane acceso, è possibile seguire in tempo reale l’attività criminale, senza contare il fatto che in questo modo non si mette neanche a rischio il futuro accesso ai dati nel caso in cui il disco rigido sia criptato. Per contro, spegnendo il computer si può impedire la cancellazione dei dati.
