Le prove informatiche sono dati raccolti da un disco rigido del computer e utilizzati nel processo di un’indagine su un crimine. Poiché è relativamente facile corrompere i dati archiviati su un disco rigido, gli esperti forensi fanno di tutto per proteggere e proteggere i computer sequestrati nell’ambito del processo investigativo. L’estrazione dei dati deve avvenire in circostanze altamente controllate e deve essere eseguita da professionisti delle forze dell’ordine specificamente formati nel processo.
Non è insolito che i computer vengano raccolti ogni volta che vengono trovati sulla scena del crimine. Ad esempio, quando un individuo viene trovato assassinato nella sua casa, c’è una buona probabilità che qualsiasi computer portatile o desktop trovato sulla scena venga confiscato. Allo stesso modo, se un individuo viene arrestato con l’accusa di qualche tipo di frode o appropriazione indebita, è probabile che i suoi computer personali e di lavoro vengano raccolti per l’analisi da parte di esperti.
Il processo di ricerca di prove informatiche inizia con un’analisi approfondita di tutti i file trovati sul disco rigido. Per fare ciò, il disco rigido viene accuratamente selezionato per eventuali file nascosti o protetti che potrebbero non essere immediatamente evidenti. Poiché i dischi rigidi salvano copie di file eliminati dalle directory pubbliche, gli esperti coinvolti nell’indagine forense cercheranno di individuare ed estrarre i file eliminati. Questo è importante, poiché esiste la possibilità che includano dati che potrebbero confermare la colpevolezza o eventualmente fornire la prova che l’individuo arrestato non era coinvolto nella commissione del reato.
Molti tipi diversi di file possono fornire prove informatiche che possono aiutare a risolvere un crimine. Immagini visive, e-mail, fogli di calcolo e altri tipi comuni di file possono essere crittografati e nascosti in varie cache sul disco rigido. Gli esperti sanno come trovare queste cache nascoste, accedervi e visualizzare il contenuto di tali cache. Molti sistemi operativi eseguono automaticamente questa funzione anche quando i file vengono eliminati, creando copie che vengono collocate nelle cache nascoste. Ciò significa che anche se il criminale ha preso provvedimenti per cancellare le prove incriminanti dal disco rigido, ci sono buone probabilità che una o più di queste cache nascoste vengano trascurate e possano essere estratte dalle forze dell’ordine.
La raccolta di prove informatiche è un’attività altamente qualificata che di solito viene condotta in fasi specifiche. Una volta che il computer viene confiscato, viene trasportato in un sito sicuro. Solo un numero limitato di persone autorizzate ha accesso al sistema mentre viene estratto per possibili prove. Poiché l’estrazione e l’estrazione vengono eseguite in condizioni così rigorose, è praticamente impossibile che il disco rigido venga manomesso. Ciò rende possibile che tutte le prove raccolte siano utili nell’indagine in corso.
L’uso di prove informatiche in tribunale ha guadagnato più consenso negli ultimi anni. Le preoccupazioni per la manomissione o il danneggiamento delle prove negli anni passati a volte hanno portato a restrizioni sulla quantità di prove raccolte dai computer potrebbero riguardare un dato caso. Tuttavia, poiché le forze dell’ordine hanno migliorato i propri metodi per preservare e proteggere i dischi rigidi da possibili contaminazioni, più sistemi legali in tutto il mondo considerano le prove informatiche pienamente ammissibili in un tribunale.