Che cos’è l’eDiscovery?

Defensis si occupa di fornire i servizi di eDiscovery in tutta Italia.

Il termine eDiscovery è l’abbreviazione delle parole inglesi eletronic discovery, ovvero “scoperta elettronica”. Si tratta di un processo che permette l’identificazione di dati informatici rilevanti ai fini di un’indagine forense, conservati su supporti digitali o in cloud.



Tale attività può essere svolta in modo efficace da esperti di informatica forense e ha il primario obbiettivo di avere la certezza che tutti i dati di interesse siano identificati, in secondo luogo che possano essere eventualmente utilizzati serenamente ai fini di un procedimento legale. L’obiettivo primario della eDiscovery è quindi quello di isolare tutte le informazioni memorizzate in formato digitale (electronically stored information o ESI), conservarle in un luogo sicuro e renderle disponibili al Giudice o alle parti che ne fanno richiesta.

La eDiscovery è davvero così affidabile?

I dati digitali sono notoriamente più complessi da distruggere rispetto ai documenti cartacei (che possono invece essere facilmente bruciati o macerati) ed allo stesso tempo sono più facili da spostare, copiare e archiviare in luoghi multipli. Cancellare completamente ogni traccia di un’informazione digitale non è impossibile, ma è tuttavia estremamente complesso e richiede l’impiego di tecniche di wiping o la distruzione fisica del supporto su cui essa è memorizzata.

Tali proprietà rendono i file elettronici una consistente fonte di prove nel corso di un’indagine forense. Si sottolinea, inoltre, come i suddetti dati si prestino meglio ad una ricerca automatizzata, la quale può offrire riscontri precisi in base a specifiche keywords (parole chiave) o codici di HASH. Ciò si traduce in un notevole risparmio di tempo e in risultati affidabili.

Ricorrere alla eDiscovery significa avere l'esigenza di disporre di potenti strumenti di analisi forense, capaci di identificare dati in una rete informatica complessa ed arrivare a poter produrre un output con valenza legale. I dati possono essere estrapolati da diverse fonti digitali, le più comuni delle quali comprendono:

• documenti di testo;
• email;
• fogli di calcolo;
• presentazioni;
• immagini;
• video;
• voci di calendario;
• contatti;
• database;
• chat;
• file audio;
• pagine web e siti internet;
• programmi informatici;

Tra quelle citate, e-mail e documenti digitali sono per nostra esperienza oggetto di maggiore interesse nelle attività di ediscovery. A differenza dei file cartacei tali file racchiudono in buona parte tutto il contenuto necessario nei principali procedimenti legali per cui le attività di ediscovery sono richieste.

Tali file inoltre tendono ad essere conservate e archiviate con cura, spesso anche sul desktop locale degli utenti, o in share di rete in cui non dovrebbero essere. E' importante verificare sempre che non ci siano tracce (lnk, jump list, shellbags...) dei documenti di interesse che puntano ad archivi mobili quali ad esempio USB o altri device.

I passaggi fondamentali per qualunque attività di eDiscovery

Svolgere l’attività di eDiscovery, come già asserito, richiede elevate competenze nell’informatica forense. Per tale ragione è cruciale rivolgersi a tecnici esperti che siano consci dei limiti e delle possibilità offerte dai sistemi in cui risiedono le informazioni e dei software che possono scandagliare tali sistemi seguire al fine di garantire la più completa individuazione dei file, secondo le best practice tecniche internazionali.

Analizziamo di seguito un caso semplice ma approfondito di una ediscovery importante su un singolo hard disk fisico. Se il caso è delicato, si potrebbe procedere nel seguente modo in via precauzionale:

• se il PC è spento il reperto informatico (hard disk) viene estratto fisicamente dal computer da tecnici specializzati;
• si procede poi con la creazione di una copia forense identica al supporto originale (acquisizione forense);
• le attività di ricerca e indagine si svolgono sulla copia creata, mentre l’hdd originale viene conservato in luoghi idonei (come ad esempio l’ufficio dei reperti informatici del consulente di informatica forese che ha svolto le precedenti operazioni oppure una cassaforte o armadio chiuso a chiave);
• una volta messa al sicuro la copia originale, e compilata la catena di custodia, si può cominciare il carving e l’indicizzazione dei dati, ovvero un’analisi automatica di tutti i file contenuti all’interno del supporto.
• Si procede quindi alla ricerca dei file tramite codici HASH e parole chiave specifiche.
• Si relazione l'attività in un referto tecnico completo di allegati, copia forense e catena di custosia

Il procedimento sopra descritto consente ai tecnici di identificare, catalogare e conservare tutti di dati pertinenti all’indagine. I file estratti possono poi essere inviati direttamente al committente, oppure convertiti in un formato standard ovvero possono essere fornite delle dashboard in modo tale che ulteriori step di ricerca possano essere svolti in autonomia.

L’eDiscovery è il metodo migliore per individuare file di interesse in maniera completa, efficiente, sicura e veloce.