Nella gestione degli incidenti di sicurezza informatica, la prova forense viene spesso percepita come una fase successiva, demandata agli esperti e agli strumenti specialistici.

In realtà, la qualità e la spendibilità della prova si giocano molto prima, nei primi minuti successivi alla scoperta dell’incidente.

Ecco il ruolo decisivo del tempo, della volatilità dei dati e dei comportamenti iniziali, e come come azioni apparentemente banali possano preservare o distruggere irreversibilmente le evidenze.

In un contesto regolatorio come quello della NIS 2, la gestione dei primi istanti diventa una componente strutturale della responsabilità organizzativa e della fiducia istituzionale.

Il tempo come fattore critico e invisibile

Quando si parla di informatica forense, l’immaginario collettivo corre subito agli esperti, ai laboratori e a strumenti tecnologici sofisticati. Si pensa, cioè, alla fase dell’analisi, a ciò che accade “dopo”.

Eppure, questa rappresentazione pur essendo rassicurante, è profondamente ncompleta.

In realtà, la prova forense (o meglio la “fonte di prova”), molto spesso, nasce – o muore – nei primi minuti successivi alla scoperta dell’incidente.

Il semplice trascorrere del tempo può cancellare informazioni decisive, senza che nessuno compia un’azione volontaria.

La verità è che, nella maggior parte dei casi, la sorte della prova forense viene decisa prima ancora che gli esperti entrino in scena.

Questo avviene perché un sistema informativo è un ambiente vivo, in continuo mutamento ed è caratterizzato da:

• processi che si avviano e si arrestano;
• connessioni che cambiano stato;
• dati che vengono sovrascritti automaticamente.

In questo contesto il tempo non è neutro: lavora contro la conservazione delle evidenze e a questo fattore si somma l’elemento umano, spesso guidato dall’urgenza di intervenire.

Anche l’inerzia è una scelta

La memoria di sistema, lo stato delle connessioni di rete, i processi in esecuzione esistono solo finché il sistema resta acceso e operativo e anche l’inerzia è una scelta: attendere troppo, senza contenere o documentare, anche attraverso gli strumenti resi disponibili dalla catena di custodia, significa lasciare che il sistema modifichi da solo il proprio stato.

Quindi, comprendere che il tempo è un fattore attivo, e non un semplice contesto, è il primo passo verso una gestione consapevole dell’incidente.

La volatilità dei dati come parametro decisionale

Non tutti i dati hanno lo stesso valore temporale. La digital forensics si fonda su un principio semplice e spesso ignorato che è l’ordine di volatilità.

Alcune informazioni svaniscono in pochi istanti mentre altre resistono più a lungo ed altre ancora possono essere recuperate anche dopo molto tempo.

I dati più volatili risiedono nella memoria e nello stato operativo del sistema: RAM, cache, connessioni attive, processi in esecuzione.

Quindi, spegnere un dispositivo – per quanto riguarda i dati volatili – equivale, da questo punto di vista, a una distruzione immediata e definitiva.

Seguono i dati temporanei su disco, i log e le configurazioni, che possono essere sovrascritti automaticamente.

Solo in ultima istanza troviamo i dati su storage permanente, backup e archivi.
Questa gerarchia non è un tecnicismo per addetti ai lavori, ma un indicatore operativo che dovrebbe guidare ogni decisione presa nelle fasi iniziali dell’incidente, anche da parte di chi non ha competenze forensi.

L’errore più comune: spegnere tutto

Tra i comportamenti più istintivi e più dannosi vi è lo spegnimento immediato dei sistemi.

È una reazione comprensibile, talvolta anche da parte di esperti, spesso espressa con frasi del tipo: “fermiamo tutto per limitare i danni”.

Eppure, dal punto di vista forense, spegnere è spesso l’atto più distruttivo che si possa compiere.

Spegnere un sistema può avere come effetto:

• perdere i dati in memoria;
• interrompere lo stato delle connessioni;
• cancellare informazioni sui processi in corso e, in alcuni casi particolari, attivare meccanismi di offuscamento o autodistruzione del malware.

Questo non significa che un sistema non debba mai essere spento, ma che tale decisione deve essere consapevole, motivata, documentata e, preferibilmente, guidata da esperti.

L’alternativa corretta è un principio semplice, ma decisivo che consiste nell’isolare senza distruggere. Disconnettere dalla rete, disabilitare il Wi-Fi e scollegare i cavi consente di contenere l’incidente preservando lo stato dei fatti.

Anche in questo caso, la documentazione dell’azione è parte integrante della prova.

Persone, documentazione e custodia della prova forense

Un altro equivoco ricorrente riguarda il ruolo del personale non tecnico.

A queste persone non viene chiesto di indagare, interpretare o comprendere l’incidente. Da costoro ci si aspetta un adempimento fondamentale che è quello di preservare.

Chi entra per primo in contatto con un sistema compromesso diventa, di fatto, il primo custode dell’evidenza e talvolta non ne è per nulla consapevole.

Le sue azioni – o omissioni – possono determinare se un’evidenza sarà utilizzabile o irrimediabilmente compromessa.

Per questo motivo, la formazione deve concentrarsi su poche indicazioni operative chiare che sono:

• non improvvisare;
• evitare di intervenire senza autorizzazione;
• non modificare;
• documentare ogni azione e segnalare tempestivamente.

In questo quadro, la documentazione non è un adempimento formale, ma fa parte della prova forense stessa.

Date, orari, identità dei presenti, condizioni del sistema, fotografie degli schermi o degli ambienti possono rivelarsi determinanti.

Non a caso, molte indagini falliscono non per mancanza di tecnologia, ma per carenze documentali. Così, ancora una volta, si evidenzia il valore della misura organizzativa rispetto a quella tecnica.

Dalla tecnica alla fiducia istituzionale

Quando entrano in gioco gli esperti forensi, un principio resta invalicabile: si lavora sulle copie, mai sugli originali.

I dispositivi originali devono essere preservati e custoditi. Le analisi si svolgono su copie forensi certificate, accompagnate da hash crittografici che ne garantiscano l’integrità.

Ogni intervento non documentato sugli originali compromette la credibilità dell’intero processo di acquisizione delle evidenze.

Questo rigore oltre che all’indagine, serve all’organizzazione.

In un ecosistema come quello disegnato dalla NIS 2, la corretta gestione delle prove, negli eventi di carattere criminale, contribuisce a costruire un messaggio di affidabilità verso le Autorità.

La collaborazione non si dimostra con le dichiarazioni, ma con i fatti e le prove forensi sono fatti.

Senza prova forense non c’è verità

Nel nuovo scenario delineato dalla NIS 2, la prova forense non è un ambito specialistico riservato a pochi tecnici ma una componente strutturale della responsabilità organizzativa.

Senza prove non c’è verità. Accettare questa realtà significa investire in cultura, procedure e formazione, oltre che in tecnologia e comprendere che la sicurezza non termina con il ripristino dei sistemi ma prosegue nella capacità di dimostrare ciò che è accaduto e come è stato gestito.

Nel prossimo capitolo dell’esalogia, si analizzerà il ruolo fondamentale del personale non tecnico, delle procedure e della cultura organizzativa nella gestione iniziale degli incidenti aventi possibile rilevanza criminale e quali misure possono essere messe in campo per preservare la validità delle prove.