Комментарий эксперта. Любые действия в цифровом мире оставляют следы, которые можно найти, интерпретировать и представить суду в определенной процессуальной форме. К примеру, удаленные с компьютера файлы можно восстановить с помощью специальных криминалистических программ, подчищенную электронную переписку воспроизвести из резервных копий на корпоративном сервере, а действия пользователя в бухгалтерской системе выявить с точностью до минуты благодаря их аналитической обработке.

Но бывают и случаи, когда следов действительно почти не осталось. Как подтвердить или опровергнуть факт отправки электронного письма, если вся почта находилась на общедоступном почтовом сервере типа mail.ru и на нее заходили только через веб-форму? В таком случае сложно утверждать, было письмо или не было – после удаления из «Корзины» его уже не восстановить. А если и временные файлы были заботливо уничтожены программой-клинером, то следов не осталось вовсе.

Означает ли это, что поиски зашли в тупик и до истины не докопаться или все-таки есть шанс найти следы спорного письма?

Пример из практики. Одним из доказательств в споре заказчика и исполнителя по договору было сообщение в электронной почте. Истец утверждал, что письмо с документами было, и даже представил суду протокол нотариального осмотра. Ответчик – что письма не было, а что там заверил нотариус ему не известно.

Комментарий эксперта. Шанс есть. Дело в том, что сложная информационная система не ограничивается конкретным ноутбуком. В примере с почтой система гораздо больше – настолько больше, что в нее включена инфраструктура этого почтового сервера. Если подтверждение получения или удаления сообщения нельзя найти на локальном компьютере, его можно получить от провайдера интернет-услуг, от владельца почтового сервера и так далее. Тут поможет технически и юридически правильно составленный запрос, направленный по нужному адресу. Конечно, если почта не ваша или вашего доверителя, такой запрос может быть оставлен без ответа. Но это уже, все-таки, не про криминалистику.

Так что уничтожить или подделать цифровые следы, конечно, возможно. Как и любые другие следы. Но и выявить это вполне реально, обладая должными знаниями и опытом.

Цифровые следы – это, конечно, интересно. Но прикладная польза от них появляется только в том случае, когда они могут быть преобразованы в полновесные доказательства по делу. Чтобы это произошло, нужно как минимум знать несколько базовых правил обращения с цифровыми следами.

Во-первых, важно знать, как и где искать. Следы могут быть умышленно или неумышленно уничтожены, изменены, зашифрованы. Для успешного поиска пригодятся знания и навыки, а также специализированное оборудование и софт. И тогда ноутбук расскажет все о логинах, паролях и ключах шифрования своего владельца, о его транзакциях и переписке. Смартфон дополнит историей звонков, фотографиями и геолокацией. Фитнес-трекер или умные часы расскажут о пульсе во время важного звонка. И это только часть знаний наших электронных спутников.

Во-вторых, цифровые следы – крайне «хрупки» и часто недолговечны. Неумелые действия или упущенное время могут привести к их безвозвратной утрате. Поэтому крайне важно работать с цифровыми следами по актуальным методикам. Простой пример – важно знать, что «обычное» копирование файлов радикально отличается от криминалистического побитового копирования. Для примера – криминалистический блокиратор-копировщик (или как минимум специальный софт) доказательства сохранит, а простая процедура «Ctrl+C/Ctrl+V» может изменить и испортить ключевые доказательства безвозвратно.