In un’epoca in cui il crimine informatico è in continua espansione, le prove digitali sono diventate sempre più fondamentali nelle indagini legali. Paolo Dal Checco, Consulente Informatico Forense e Professore dell’Università di Torino, uno dei consulenti più esperti in Italia nel campo della forensic IT, ha approfondito l’importanza delle prove informatiche e la loro gestione, con un focus particolare sul loro utilizzo post-incidente.
Riportiamo qui il video completo del suo intervento al Cybersecurity Summit 2025 dello scorso 20 marzo:
Le prove informatiche: un nuovo tipo di “prova” legale
Dal Checco spiega che le prove informatiche sono essenziali in contesti legali dove è necessario difendersi da accuse o individuare chi accusare. Cosa distingue le prove digitali da quelle tradizionali? «Nel mondo tradizionale, i chimici analizzano la materia fisica e i balistici esaminano le armi: nel mondo digitale le prove sono anch’esse digitali», afferma Dal Checco. Le prove informatiche vanno infatti acquisite, clonate (ove possibile) e documentate in modo da poterle poi utilizzare in tribunale, così come accade con il campione di sangue in un’indagine criminologica.
L’analisi delle prove raccolte è un passaggio cruciale, che però in un primo momento riguarda più un’«evidenza digitale» piuttosto che una vera e propria «prova». Solo successivamente, durante il dibattimento, queste evidenze diventano prove legali vere e proprie.
La normativa italiana e le criticità nell’acquisizione delle prove
In Italia, la legislazione in materia di prove informatiche è ancora parzialmente arretrata, risale alla Legge 48 del 2008. «Questa legge è ormai obsoleta», sottolinea Dal Checco. Essa regolamenta principalmente l’acquisizione delle prove da parte delle forze dell’ordine, ma anche da parte di consulenti privati e aziende. Il principio cardine è che le prove informatiche non devono essere alterate durante la loro acquisizione. È fondamentale che chi gestisce le prove in ambito informatico le tratti con la stessa cura e attenzione con cui un investigatore tratterebbe una scena del crimine, preservando l’integrità delle evidenze per evitare che possano essere compromesse.
Uno degli errori più comuni, secondo Dal Checco, è che le prove sono compromesse o cancellate durante la fase di reazione all’incidente, quando i sistemi sono ripristinati o reinstallati senza le dovute precauzioni per conservare le tracce utili.
La preparazione nelle fasi di incident response
Il consulente forense fa notare che uno degli errori frequenti nelle fasi di incident response è la sottovalutazione dell’importanza della conservazione delle prove. «Quando arriviamo in azienda dopo un attacco informatico, spesso scopriamo che i sistemi sono stati già reinstallati, che molte tracce sono state cancellate o sovrascritte, e ciò che rimane è insufficiente per una ricostruzione completa dell’accaduto», racconta Dal Checco. La preparazione nell’affrontare un incidente informatico dovrebbe includere anche la gestione delle prove, un elemento che troppo spesso viene trascurato in favore di misure di sicurezza immediate.
L’impatto della NIS 2 sulla gestione delle prove informatiche
Un tema che ha animato il Summit è quello delle implicazioni della Direttiva NIS 2. Dal Checco ha recentemente contribuito con un parere tecnico alla Camera dei deputati, in cui ha evidenziato come la legislazione europea non presti sufficiente attenzione alla fase di acquisizione delle prove. «Le aziende colpite da un attacco informatico sono chiamate a comunicare cosa è successo, le misure adottate, e i danni subiti. Ma manca una sezione specifica che indichi l’importanza della gestione delle prove durante l’incidente», afferma Dal Checco.
Secondo l’esperto, sarebbe importante che le aziende riportassero anche le fasi di digital forensics adottate per conservare e cristallizzare le prove. «Includere la gestione delle prove informatiche nel processo di risposta all’incidente non è solo una questione di dovere verso le autorità, ma anche una forma di autodifesa», aggiunge. La documentazione accurata delle attività di acquisizione delle prove potrebbe infatti rappresentare una prova di buona fede nel caso in cui si voglia dimostrare di aver fatto tutto il possibile per prevenire o mitigare l’attacco.
La blockchain e la sicurezza nelle criptovalute
Un altro aspetto interessante affrontato da Dal Checco riguarda il mondo delle criptovalute, in particolare la gestione delle prove in caso di attacchi. L’esperto cita l’esempio del recente data breach di Bybit, per un ammontare di 1,46 miliardi di dollari. La blockchain, grazie alla sua natura immutabile, fornisce una solida base di prove digitali, rendendo la gestione delle transazioni criptate particolarmente interessante. «Nel caso di Bybit, gli esperti forensi hanno ricostruito l’attacco analizzando i timestamp dei file e altre tracce digitali», spiega Dal Checco.
La sicurezza delle criptovalute, purtroppo, non è infallibile. L’attacco a Bybit è stato possibile grazie a una tecnica di phishing che ha ingannato la piattaforma, portando a transazioni fraudolente. Le indagini sono state condotte grazie all’informatica forense, che ha permesso di identificare gli indirizzi coinvolti e rispondere alle domande cruciali su come e chi ha perpetrato l’attacco.
