Quando si parla di informatica forense, non basta saper acquisire correttamente i dati: è altrettanto importante poter dimostrare, in ogni momento, che quei dati non sono stati alterati e che sono sempre rimasti sotto controllo. Questo insieme di procedure prende il nome di catena di custodia.
Che cos’è la catena di custodia
La catena di custodia è l’insieme dei passaggi documentati che descrivono chi ha avuto accesso a una prova digitale, quando e in quali condizioni. Serve a garantire che il reperto – che sia un hard disk, uno smartphone o un file acquisito – sia lo stesso dall’inizio alla fine del procedimento, senza manipolazioni o contaminazioni.
Possiamo immaginarla come un registro che accompagna la prova per tutta la sua “vita”, dal momento del sequestro fino all’eventuale esibizione in aula. Ogni spostamento, ogni copia forense, ogni accesso viene annotato e certificato.
Perché è fondamentale
La validità di una prova non dipende solo dal contenuto, ma anche dalla fiducia nel percorso che ha seguito. Se non fosse possibile dimostrare chi ha gestito un reperto e con quali modalità, l’intera prova rischierebbe di essere esclusa perché considerata inaffidabile.
Pensiamo a un hard disk sequestrato in un’indagine: se non ci fosse un tracciamento preciso di chi lo ha custodito e di quando è stato esaminato, la difesa potrebbe sostenere che i dati siano stati alterati o sostituiti. La catena di custodia serve proprio a eliminare questi dubbi, preservando la credibilità della prova davanti al giudice.
Come viene garantita
La catena di custodia si realizza attraverso procedure standardizzate e strumenti tecnici:
- Sigillatura dei reperti: dispositivi fisici (come buste antimanomissione) che rendono evidente qualsiasi tentativo di apertura non autorizzata.
- Registri e verbali: documenti ufficiali che annotano ogni passaggio, indicando data, ora, persona responsabile e motivazione dell’operazione.
- Impronte hash: per i dati digitali, il calcolo dell’hash consente di verificare che un file o un disco non siano stati alterati tra una fase e l’altra.
- Accesso controllato: i laboratori forensi devono garantire che solo personale autorizzato possa manipolare i reperti, con sistemi di autenticazione e monitoraggio.
Grazie a questi strumenti, ogni fase è tracciabile e ricostruibile, impedendo contestazioni sull’integrità della prova.
