Sembra un paradosso, ma è la realtà quotidiana nei tribunali.
Il tuo tecnico IT di fiducia è un alleato prezioso: tiene in piedi l’azienda, risolve i problemi dei server e ti salva la giornata quando la tecnologia ti abbandona. Ma quando entra in gioco un contenzioso legale, la sua stessa “forma mentis” può diventare il tuo rischio più grande.
La differenza tra un tecnico e un esperto forense non sta nella bravura, ma nell’obiettivo.
Risolvere vs. Preservare
Il compito di un tecnico è l’efficienza: se un file non si apre, lui prova a ripararlo. Se un sistema è lento, lo pulisce. Per la Digital Forensics, questo è “inquinamento delle prove”. Ogni accesso non protetto altera i metadati (timestamp). In un processo, un file con la data di ultimo accesso modificata può essere dichiarato inammissibile. Noi non “aggiustiamo”: noi congeliamo la verità.
La Catena di Custodia (Il cuore della prova)
Un bravo informatico può copiare i dati, ma solo un Informatico Forense garantisce l’integrità legale. Ad esempio, utilizza strumenti di write-blocking per impedire la scrittura di anche un solo bit sul supporto originale e genera “impronte digitali” (hash) che rendono la prova inattaccabile. Senza questi protocolli, la tua prova regina diventa carta straccia processuale.
Un caso concreto: la Concorrenza Sleale
Immagina che un ex socio o un dirigente si dimetta portando con sé segreti industriali e database clienti. Semplificando, al fine di agevolare la comprensione, uno degli scenari possibili potrebbe essere il seguente:
- L’approccio del tecnico IT: Accende il PC, naviga tra le cartelle e controlla i “file recenti”. Così facendo, altera le tracce originali. La controparte avrà gioco facile nel sostenere che i dati sono stati manipolati dopo la riconsegna del laptop.
- L’approccio dell’Informatico Forense: Di solito il PC non viene acceso. Si accede al disco “indirettamente” eseguendone una copia bit-a-bit. Analizzando i file di registro (LNK file, ShellBags), si dimostra non solo che i file sono stati copiati, ma anche l’esatto numero di serie della chiavetta USB usata e l’ora precisa dell’operazione. Questa è la prova dirimente che vince la causa.
Una responsabilità da Codice Penale
L’Informatico Forense è la figura di raccordo tra evidenza tecnologica e ordinamento giuridico. Opera nel rigore della Legge 48/2008, degli standard ISO/IEC 27037 e del GDPR, garantendo l’integrità della prova attraverso una rigorosa Catena di Custodia la cui violazione può rendere la prova giuridicamente inammissibile. Che agisca come CTU o CTP, presidia il contraddittorio con piena responsabilità civile e penale, traducendo la complessità tecnica in certezze processuali.
In sintesi: Chiederesti mai al tuo medico di base di eseguire un’autopsia per un’indagine giudiziaria? Probabilmente no. Entrambi conoscono l’anatomia, ma hanno scopi e protocolli diversi.
In azienda, la distinzione deve essere netta:
✅ Tecnico IT: Business Continuity e operatività.
✅ Informatico Forense: Tutela legale e prova giudiziaria.
Non rischiare di perdere una causa per non aver distinto queste due figure. La verità digitale è solida solo se trattata con il metodo corretto.
Conclusioni
Non si tratta di sminuire la professionalità dei tecnici IT, ma di riconoscere che la Digital Forensics è una disciplina specialistica.
Affidare un’indagine digitale a un non-specialista è come affidare un rilievo balistico a un appassionato di caccia: la conoscenza dello strumento non garantisce la validità scientifica del metodo investigativo. Quando la posta in gioco è una causa milionaria o la reputazione di un’azienda, la scelta del professionista non è un dettaglio tecnico, ma una decisione strategica fondamentale.
Qualche suggerimento:
Checklist di primo intervento per le aziende
- Non accendere il computer sospetto.
- Scollegare il dispositivo dalla rete (se non necessario per la business continuity).
- Sigillare fisicamente il reperto.
- Chiamare immediatamente un esperto forense certificato.