AI Forensics

Intelligenza artificiale e investigazione digitale, scenari applicativi e tutela dei diritti fondamentali.

Giuseppe Serafini Giuseppe Serafini

in: Il parere del legale.

argomenti trattati: .

Nell’odierno panorama digitale, caratterizzato da una crescente pervasività tecnologica, l’Intelligenza Artificiale (AI) e la Digital Forensics (DF) si configurano come discipline cruciali, strettamente interconnesse in un rapporto dinamico e complesso, tanto potenzialmente virtuoso, quanto possibile fonte di irrimediabili errori che potrebbero affliggere alcuni dei diritti fondamentali garantiti nel nostro ordinamento giuridico.

Se la crescente sofisticazione degli attacchi informatici, l’utilizzo di tecniche di offuscamento sempre più avanzate e la diffusione di dispositivi connessi (IoT) rendono le indagini digitali sempre più complesse, l’AI non offre solo nuove opportunità per la DF, ma pone anche sfide inedite poiché può essere utilizzata – e lo è – anche per scopi illeciti, generando nuove forme di criminalità digitale e rendendo più difficile l’attribuzione di responsabilità.

In effetti, dal punto di vista dell’ottimizzazione dei risultati, grazie alla sua capacità di automatizzare processi, analizzare enormi volumi di dati e apprendere in modo autonomo, l’AI si sta affermando come un potente strumento in grado di migliorare in modo sensibile, abbreviando i tempi ed in alcuni casi rendendo possibili operazioni sino ad ora impraticabili, i risultati dell’investigazione digitale.

Definire l’AI

In linea generale, per semplificare l’Intelligenza Artificiale (AI) può essere definita come la capacità di un sistema di svolgere compiti che richiedono tipicamente l’intelligenza umana, come l’apprendimento, il ragionamento, la risoluzione di problemi, la comprensione del linguaggio naturale e la percezione.

Più propriamente il recente Regolamento (ue) 2024/1689 del parlamento europeo e del consiglio del 13 giugno 2024, che stabilisce regole armonizzate sull’intelligenza artificiale (AI ACT) ha definito, un sistema di AI come: un sistema automatizzato progettato per funzionare con livelli di autonomia variabili e che può presentare adattabilità dopo la diffusione e che, per obiettivi espliciti o impliciti, deduce dall’input che riceve come generare output quali previsioni, contenuti, raccomandazioni o decisioni che possono influenzare ambienti fisici o virtuali.

Dal punto di vista dell’interpretazione letterale della norma, l’utilizzo del termine “deduce” (tradotto in altre lingue con infer, infiere) per descrivere il processo attraverso il quale il sistema elabora gli input per produrre output, non può essere interpretato in senso restrittivo, limitandolo alle sole inferenze logiche formali, ma sembra invece più coerente ritenere che il legislatore abbia inteso attribuire al termine un significato più ampio, comprensivo di diverse modalità di elaborazione degli input, tra le quali, l’inferenza logica, basata su regole predefinite, l’inferenza basata sull’apprendimento da dati, attraverso modelli statistici o reti neurali, l’identificazione di schemi e regolarità nei dati, anche in assenza di regole logiche esplicite e l’inferenza basata su probabilità e incertezze (ragionamento probabilistico). In letteratura, esistono diverse tipologie di approcci riferiti alle tecnologie di AI, che differenziano le soluzioni disponibili, principalmente in base al loro livello di autonomia, capacità di apprendimento e complessità.

Da una parte, si distingue tra AIForte (o generale) che possiede capacità cognitive simili a quelle umane e può svolgere una varietà di compiti diversi e AIDebole (o ristretta) che è in grado di svolgere compiti specifici, come giocare a scacchi o riconoscere immagini.

All’interno di quest’ultima si individuano il Machine Learning (ML) che si basa sull’apprendimento automatico da dati, senza essere esplicitamente programmata, ed il Deep Learning (DL) che utilizza invece reti neurali artificiali con più livelli di profondità per apprendere pattern complessi da grandi quantità di dati.

Prove ed evidenze

La Digital Forensics (DF) è la scienza che si occupa di identificare, acquisire, preservare, analizzare e documentare prove digitali al fine di supportare indagini e procedimenti legali. Preliminarmente appare doveroso operare una distinzione, non solo terminologica, tra i concetti di “prova” ed “evidenza digitale”: l’evidenza digitale (o “digital evidence”) si riferisce a qualsiasi informazione memorizzata o trasmessa in formato digitale che possa essere rilevante per un’indagine, comprende dati grezzi, metadati, file di log, email, immagini, video, e qualsiasi altra traccia digitale presente su dispositivi informatici o reti ed è, per sua natura, suscettibile di interpretazione e richiede un’analisi forense per essere compresa e contestualizzata; la prova, invece, è un elemento che viene valutato da un giudice per stabilire la verità di un fatto ed è il risultato di un processo di interpretazione e valutazione dell’evidenza, che può essere sia digitale che di altra natura (testimonianze, documenti cartacei, ecc.). Ciò chiarito, le evidenze digitali possono essere presenti in diversi formati e supporti, come computer, smartphone, tablet, hard disk, memorie USB, email, file di log, immagini, video e dati presenti nel cloud.

Tradizionalmente, le principali aree di applicazione della DF sono la Computer Forensics, vale a dire, l’analisi di computer e dispositivi per individuare prove di reati informatici, furto di dati, sabotaggio; la Mobile Forensics, cioè l’analisi di dispositivi mobili (smartphone, tablet) per recuperare dati cancellati, messaggi, contatti, foto, ecc; la Network Forensics che si occupa dell’analisi del traffico di rete per individuare intrusioni, attacchi informatici, attività illecite; la Malware Forensics che si concentra sull’ analisi di software dannoso (malware) per comprenderne il funzionamento, l’origine e gli obiettivi e la Data Recovery: recupero di dati cancellati o danneggiati da supporti digitali.

La DF si basa su alcuni principi fondamentali, sanciti dalla standardizzazione in materia, ed in particolare dallo standard ISO/IEC 27037:2012 che garantiscono, in particolare, l’ammissibilità e l’utilizzabilità delle evidenze digitali raccolte e/o generate in sede processuale. Secondo lo standard le evidenze digitali devono essere preservate nella loro forma originale, senza alterazioni o modifiche (Integrità), attribuibili in modo certo, oltre ogni ragionevole dubbio, alla fonte o all’autore del reato o della condotta illecita (Autenticità), protette da accessi non autorizzati e divulgate solo alle autorità competenti (Confidenzialità), accessibili e utilizzabili per tutta la durata delle indagini e del processo (Disponibilità).

Le principali fasi di un’indagine di DF sono l’identificazione, cioè individuazione delle fonti di prova digitali rilevanti per il caso, l’acquisizione, vale a dire la copia forense dei dati originali, preservandone l’integrità, la preservazione che significa la conservazione e la protezione delle copie forensi in modo sicuro, l’analisi, che consiste nell’ esame dei dati per individuare prove, pattern, anomalie e informazioni utili all’indagine, la documentazione dei findings attraverso la creazione di un rapporto dettagliato sulle attività svolte e sui risultati ottenuti ed infine, la presentazione e cioè, l’esposizione delle evidenze in modo chiaro e comprensibile in sede processuale.

Quali applicazioni

Gli strumenti tradizionali della DF includono software specializzati per l’acquisizione e l’analisi di dati, tool di recupero file, analizzatori di rete, software di imaging e clonazione di dischi, ecc. In questo ambito le tecnologie di AI si rivelano decisive sotto più punti di vista; in primo luogo, per automatizzare compiti ripetitivi e time-consuming, come l’analisi di grandi quantità di dati, l’identificazione di malware e la ricostruzione di eventi, consentendo agli analisti di concentrarsi su attività più complesse e strategiche, in secondo luogo, con riferimento alle attività di prevenzione di illeciti, grazie alle sue capacità di apprendimento automatico, possono identificare rapidamente specifici pattern e anomalie nei dati che sarebbero difficili da individuare manualmente, in terzo luogo, possono contribuire a migliorare l’accuratezza e l’affidabilità delle evidenze digitali, riducendo il rischio di errori umani e interpretazioni errate, ed infine, ma non per importanza, possono essere utilizzata per analizzare dati storici e identificare potenziali minacce future, consentendo di adottare misure preventive e proattive (Analisi predittiva).

Giuseppe Serafini

Avvocato del Foro di Perugia. BSI - ISO/IEC 27001:2013 Lead Auditor; Master Privacy Officer; perfezionato in Digital Forenscis, Cloud & Data Protection. Già docente di Informatica Giuridica presso la Scuola di Specializzazione in Professioni Legali di Perugia, L. Migliorini e collaboratore della cattedra di Informatica Giuridica della Facoltà di Giu...

Office Automation è il periodico di comunicazione, edito da Soiel International in versione cartacea e on-line, dedicato ai temi dell’ICT e delle soluzioni per il digitale.


Soiel International, edita le riviste

Officelayout 200

Officelayout

Progettare arredare gestire lo spazio ufficio
Gennaio-Marzo
N. 200

Abbonati
Innovazione.PA n. 59

innovazione.PA

La Pubblica Amministrazione digitale
Gennaio-Febbraio
N. 59

Abbonati
Executive.IT n.1 2025

Executive.IT

Da Gartner strategie per il management d'impresa
Gennaio-Febbraio
N. 1

Abbonati