Conformità
Otto standard di riferimento.
Un solo bundle.
LOCUS non si fregia di loghi di certificazione che non ha. Si dichiara conforme — e consegna gli artefatti che lo dimostrano. Le sezioni qui sotto spiegano ogni standard in lingua semplice, dove tocca il bundle, e dove l'auditor guarderà.
-
§ 01 ISO/IEC 27037:2012
Linee guida per l'identificazione, la raccolta, l'acquisizione e la conservazione delle evidenze digitali
Lo standard ISO/IEC 27037:2012 è il quadro di riferimento internazionale per il trattamento delle potenziali evidenze digitali. Definisce le quattro fasi canoniche del trattamento — identificazione, raccolta, acquisizione e conservazione — e i principi che le governano: pertinenza, sufficienza, affidabilità e ripetibilità. È lo standard più citato nella giurisprudenza italiana ed europea per valutare l'ammissibilità in giudizio di un reperto digitale.
-
§ 02 SWGDE 18-F-002 · 17-V-002 · 23-I-001
Best practice SWGDE per l'acquisizione forense: evidenze digitali (18-F-002), video/audio forense (17-V-002) e imaging (23-I-001)
Pubblicati dallo Scientific Working Group on Digital Evidence (SWGDE) e ampiamente adottati dalle forze dell'ordine e dai laboratori forensi USA/UE, questi documenti codificano le buone pratiche operative per l'acquisizione di evidenze digitali sul posto: 18-F-002 è l'ancora di acquisizione, 17-V-002 copre video e audio forense (usato per il servizio video), 23-I-001 copre l'imaging (immagini fisse e frame video). Affrontano catena di custodia, prevenzione della contaminazione, completezza della documentazione e i metadati tecnici che devono accompagnare ogni cattura. Nota: LOCUS è uno strumento che crea la prova sul campo, quindi non rivendica il 18-F-003 — che riguarda il dispositivo mobile come prova da estrarre, scenario diverso.
-
§ 03 RFC 3161
Internet X.509 Public Key Infrastructure — Time-Stamp Protocol (TSP)
L'RFC 3161 definisce il protocollo usato dalle Time-Stamp Authority (TSA) per emettere una prova crittografica che uno specifico file digitale esisteva in una specifica forma in uno specifico momento. La prova — un token firmato — è verificabile anni dopo da chiunque, senza dipendere dall'emittente online o ancora in attività. È la spina dorsale tecnica di ogni marca temporale digitale moderna giuridicamente rilevante.
-
§ 04 Provenance LOCUS-PROV-v1 (ispirata a C2PA/JUMBF)
Manifest di provenance in-media, ispirato a C2PA/JUMBF
C2PA è lo standard aperto per la provenienza dei contenuti promosso da Adobe, Microsoft, BBC, Intel e altri: un manifest tamper-evident dentro il file media che descrive dispositivo, software e operazioni dalla cattura alla pubblicazione. LOCUS incorpora un manifest di provenance ispirato a C2PA/JUMBF — ma, per trasparenza, non è C2PA standard: usa un contenitore proprietario (APP11 id LOCUS-PROV per JPEG, box BMFF uuid LOCUS-PROV-v1 per MP4), non l'UUID standard C2PA, quindi non è verificabile con c2patool o Content Credentials.
-
§ 05 CASE 1.3 / UCO 1.4
Cyber-investigation Analysis Standard Expression / Unified Cyber Ontology
CASE e UCO sono i vocabolari aperti adottati da INTERPOL, NIST e dalle principali suite di digital forensics (Magnet AXIOM, Cellebrite, X-Ways) per esprimere le entità di un'indagine — immagini, dispositivi, luoghi, tempi osservati, record di provenienza — in un grafo JSON-LD agnostico rispetto allo strumento. Produrre un sidecar CASE significa che il bundle è direttamente importabile in qualunque piattaforma forense che capisce lo standard.
-
§ 06 BagIt RFC 8493 v1.0
Formato di pacchetizzazione file BagIt
BagIt è lo standard della Library of Congress per il packaging gerarchico di file, progettato per la conservazione a lungo termine e il trasferimento di materiale d'archivio. Un "bag" è una directory che contiene il payload (data/), un manifest con lo SHA-256 di ogni file (manifest-sha256.txt), un tag manifest con gli hash dei manifest stessi (tagmanifest-sha256.txt) e metadati leggibili (bag-info.txt).
-
§ 07 EXIF 2.32
Exchangeable image file format per fotocamere digitali
EXIF è lo standard di metadati mantenuto dalla Japan Electronics and Information Technology Industries Association che ogni fotocamera consumer e smartphone usa per incorporare i parametri di scatto (ISO, apertura, focale, esposizione, bilanciamento del bianco, modello obiettivo, GPS) direttamente dentro il JPEG. Preservare l'EXIF originale è essenziale per dimostrare l'origine genuina di un'immagine.
-
§ 08 eIDAS 910/2014
Regolamento (UE) n. 910/2014 su identificazione elettronica e servizi fiduciari
Il Regolamento eIDAS è il quadro normativo UE che riconosce alle marche temporali elettroniche qualificate lo stesso valore legale delle marche temporali su supporto cartaceo ai sensi della legge nazionale. Una marca qualificata può essere emessa solo da un Qualified Trust Service Provider iscritto alla EU Trusted List. In giudizio, una marca eIDAS qualificata inverte l'onere della prova: si presume esatta salvo prova contraria.
Riservatezza
Privacy by design: il server non conserva la prova
Il contenuto reale della prova — foto, fotogrammi, video, audio — non viene mai trasmesso né conservato sui nostri server. Resta unicamente nel bundle BagIt sigillato in possesso dell'operatore. Al server arriva solo una rappresentazione che non rivela il contenuto ma resta legata in modo verificabile al media.
- Cosa viene trasmesso al server. Un'immagine dell'istogramma (distribuzione di luminanza + canali RGB) e una terna di hash percettivi — aHash, dHash e pHash (DCT) — calcolati a bordo dispositivo e firmati nel manifest (Ed25519) insieme al resto della catena di custodia. Per il video gli istogrammi e gli hash sono per-fotogramma; per l'audio si applicano alla waveform.
- Complementari, non sostitutivi. Gli hash percettivi sono robusti (resistono alla ricompressione) ma non sono l'àncora di integrità: l'integrità byte-per-byte resta garantita dagli hash crittografici MD5/SHA-256/SHA-512 e dalla firma. Il pHash serve a confermare che l'istogramma pubblicato corrisponde davvero al media sigillato, e a riconoscere una copia ri-esportata della stessa prova.
- Posizione GPS. La pagina di verifica pubblica non mostra né l'immagine reale né la posizione GPS: indica solo che la posizione è presente e firmata nel bundle. Coordinate, mappa e percorso restano nel bundle sigillato (accessibili a chi lo detiene).
- Verifica offline. Il Locus Validator ricalcola istogramma e hash percettivi dal media presente nel bundle e ne conferma la corrispondenza con i valori firmati — completamente offline, senza dipendere dal server.
Riferimenti
Standard e regolamenti su cui si fonda il bundle
La dichiarazione di conformità di ogni bundle è calibrata sul media: gli standard di dominio sono citati solo dove pertinenti (17-V-002 per il video, 23-I-001 per immagini e fotogrammi). Standard estranei allo scopo — come quelli di estrazione da dispositivi mobili (SWGDE 18-F-003) — non vengono citati, perché LOCUS non estrae dati da un dispositivo ma lo usa come strumento di ripresa per generare nuova prova.
| Standard tecnici e forensi | Titolo / riferimento |
|---|---|
| ISO/IEC 27037:2012 | Guidelines for identification, collection, acquisition and preservation of digital evidence. |
| IETF RFC 8493 | The BagIt File Packaging Format (V1.0). |
| IETF RFC 3161 | Internet X.509 PKI Time-Stamp Protocol (TSP). |
| IETF RFC 8032 | Edwards-Curve Digital Signature Algorithm (EdDSA). |
| FIPS PUB 180-4 | Secure Hash Standard (SHA-2). |
| ISO/IEC 14496-12 | ISO Base Media File Format (BMFF). |
| ISO/IEC 19566-5 | JPEG Universal Metadata Box Format (JUMBF). |
| SWGDE 18-F-002 | Best Practices for Digital Evidence Collection. |
| SWGDE 23-I-001 | Legal and Scientific Support Related to the Admissibility of Image Examinations. |
| SWGDE 17-V-002 | Best Practices for Data Acquisition from Digital Video Recorders. |
| SWGDE 15-M-001 | Training Guidelines for Video Analysis, Image Analysis, and Photography. |
| CASE / UCO | Cyber-investigation Analysis Standard Expression / Unified Cyber Ontology. |
| C2PA | Coalition for Content Provenance and Authenticity (provenance reference framework). |
| Riferimenti regolamentari | Oggetto |
|---|---|
| Reg. (UE) 910/2014 — eIDAS | Servizi fiduciari, incluse le marche temporali elettroniche e qualificate. |
| Reg. (UE) 2016/679 — GDPR | Protezione dei dati personali presenti nelle acquisizioni. |