Claudio Marchesini

Perito Informatico Forense

Affidabilità, Competenza, Riservatezza nelle indagini digitali e nella sicurezza informatica.

Contatta il Perito

Trovare prove di accesso abusivo al PC

La sensazione che qualcuno sia entrato nel proprio computer senza autorizzazione è una delle violazioni più profonde della privacy moderna. Il sospetto che i propri file, le proprie email o le proprie foto siano state lette, copiate o alterate da un ex partner, un collega o uno sconosciuto è destabilizzante. Questo atto non è solo un tradimento della fiducia: è un reato.

Molti utenti cercano online "come capire se il mio PC è spiato" o "tracce di accesso non autorizzato", ma spesso i tentativi "fai-da-te" finiscono per peggiorare la situazione, distruggendo le prove. L'unico modo per ottenere una risposta certa e trovare prove valide per un'eventuale azione legale è attraverso un'analisi informatica forense.

In qualità di periti forensi, il nostro lavoro è scoprire la verità nascosta nei log e nei file. Questo articolo spiega come si raccolgono legalmente le prove di un accesso abusivo a un PC.

Cos'è l'Accesso Abusivo al PC (Art. 615-ter c.p.)?

Prima di tutto, definiamo il contesto legale. In Italia, l'atto di entrare nel computer di un'altra persona senza permesso è un reato penale disciplinato dall'Art. 615-ter del Codice Penale, intitolato "Accesso abusivo a un sistema informatico o telematico".

La legge punisce chiunque:

  1. Si introduce abusivamente in un sistema informatico protetto da misure di sicurezza.
  2. Si mantiene nel sistema contro la volontà (espressa o tacita) di chi ha il diritto di escluderlo.

Questo significa che non solo l'intrusione iniziale è un reato, ma lo è anche il semplice fatto di "rimanere a guardare" dopo esservi entrati legalmente (ad esempio, un collega che approfitta della vostra pausa caffè per sbirciare nel vostro PC lasciato sbloccato).

Per poter sporgere una denuncia (querela) efficace, non basta un sospetto. Servono prove digitali.

I Campanelli d'Allarme: Come Capire se Qualcuno è Entrato nel Tuo PC?

Sebbene solo un'analisi forense possa dare la certezza, esistono alcuni segnali d'allarme comuni che possono indicare un accesso non autorizzato o la presenza di un software spia (spyware, keylogger, trojan):

  • Attività del mouse: Il puntatore del mouse si muove da solo o vedete cliccare su icone senza il vostro intervento (chiaro segno di controllo remoto).
  • Webcam accesa: La spia della vostra webcam si accende inspiegabilmente quando non state usando applicazioni video.
  • File modificati o mancanti: Trovate file che non ricordate di aver creato, o, peggio, file importanti sono scomparsi o sono stati spostati.
  • Programmi sconosciuti: Notate l'installazione di software che non riconoscete, specialmente nelle cartelle di avvio automatico.
  • Notifiche di accesso: Ricevete email di sicurezza (da Google, Microsoft, social) che vi avvisano di login da luoghi sconosciuti.
  • Antivirus disabilitato: Trovate il vostro antivirus o il firewall di Windows misteriosamente disattivati.
  • Lentezza e attività di rete: Il PC è insolitamente lento e la spia dell'attività del disco o della rete lampeggia freneticamente anche quando non state facendo nulla (potrebbe essere un software che sta copiando o inviando i vostri dati).

L'Errore Critico: il "Fai-da-Te" Distrugge le Prove (Contaminazione)

Questa è la parte più importante dell'articolo. Se avete anche solo il minimo sospetto, l'istinto vi dirà di "andare a vedere". Accenderete il PC, cercherete i file sospetti, aprirete la cronologia, eseguirete una scansione antivirus.

NON FATELO.

Ogni singola azione che compite su quel PC distrugge le prove digitali. Questo processo si chiama contaminazione della prova.

Perché? Il semplice avvio di Windows e l'apertura di un file alterano irrimediabilmente i metadati (come la data di "ultimo accesso", la data di "modifica", ecc.). Un bravo avvocato di controparte, in un'eventuale causa, chiederà: "Come possiamo essere sicuri che queste tracce non le abbia create lei stesso, il proprietario, *dopo* il presunto accesso, mentre 'cercava' le prove?".

Avviare il PC, installare un antivirus o "pulitori" di sistema (come CCleaner) può sovrascrivere lo spazio su disco dove si trovano i file cancellati (ma ancora recuperabili) lasciati dall'intruso. L'unica azione corretta da fare è:

  1. Scollegare immediatamente il PC dalla rete Internet (staccare il cavo Ethernet o disattivare il Wi-Fi).
  2. Spegnere il PC forzatamente tenendo premuto il tasto di accensione (per evitare che il sistema operativo scriva altri dati in fase di chiusura).
  3. Contattare un perito informatico forense.

L'Indagine Forense: Come Acquisiamo le Prove (Il Metodo Professionale)

Un'analisi forense non è una semplice "occhiata" al computer. È un processo scientifico e rigoroso che garantisce l'integrità dei dati e la validità legale delle scoperte.

1. Acquisizione Forense (Standard ISO 27037)

Non lavoriamo mai sul computer originale (il "reperto"). Per prima cosa, dobbiamo creare una copia perfetta. Per farlo, seguiamo un protocollo internazionale rigoroso: lo standard ISO/IEC 27037:2012, che definisce le linee guida per l'identificazione, la raccolta, l'acquisizione e la preservazione delle evidenze digitali.

Utilizziamo un write-blocker, un dispositivo hardware che ci permette di leggere i dati dall'hard disk del vostro PC senza scrivere (e quindi alterare) nemmeno un singolo bit. Creiamo così un'immagine forense (una copia bit-per-bit) del disco.

Per garantire che la copia sia identica all'originale, calcoliamo un'impronta digitale unica (un valore hash, es. SHA-256) per entrambi. Se i due valori hash combaciano, abbiamo la certezza matematica che la nostra copia è perfetta e l'originale è rimasto intatto. Tutta l'analisi si svolgerà *solo* sulla copia.

2. Analisi della Copia Forense

Una volta al sicuro nel nostro laboratorio, analizziamo l'immagine forense con software specializzati. Non cerchiamo solo i file visibili, ma andiamo molto più in profondità:

  • Analisi dei Log di Sistema: I registri eventi di Windows (Event Logs) tracciano ogni accesso, ogni tentativo fallito, ogni avvio e spegnimento, con data e ora precise.
  • Recupero File Cancellati (Data Carving): Analizziamo lo spazio "non allocato" del disco per recuperare file (documenti, foto, cronologia) che l'intruso ha cercato di cancellare per nascondere le sue tracce.
  • Analisi degli Artefatti: Analizziamo file specifici del sistema operativo (come Prefetch, file LNK, Jump Lists) che ci dicono esattamente quali programmi sono stati eseguiti, quali file sono stati aperti e quando.
  • Analisi dei Dispositivi Esterni: Il registro di sistema ci rivela quali chiavette USB o hard disk esterni sono stati collegati al PC, con marca, modello e data/ora esatta.
  • Ricerca di Spyware: Cerchiamo firme di keylogger, trojan o software di controllo remoto (RAT - Remote Access Trojan) che potrebbero essere nascosti.

Caso Pratico: Quali Prove Troviamo Concretamente?

Immaginiamo uno scenario: un ex-coniuge è entrato in casa e ha installato uno spyware sul vostro PC.

Una nostra analisi forense può produrre le seguenti prove:

  • La prova dell'accesso fisico: La traccia (data, ora, modello) di una chiavetta USB, contenente il software spia, inserita nel PC in un giorno in cui voi eravate al lavoro.
  • La prova dell'installazione: I file di installazione del keylogger, recuperati anche se "cancellati", con una data di creazione che corrisponde all'inserimento della USB.
  • La prova dell'attività di spionaggio: I file di log creati dal keylogger stesso (nascosti nel PC) che contengono tutto ciò che avete digitato, incluse le vostre password.
  • La prova dell'esfiltrazione dei dati: Le tracce di connessione di rete (nei log del firewall) che mostrano il PC contattare un indirizzo IP sconosciuto (il server dello stalker) per inviare i dati rubati.

Conclusione: Dal Sospetto alle Prove Valide per una Denuncia

Se sospettate un accesso abusivo, non vivete nell'ansia e nel dubbio. Un'analisi "fai-da-te" vi darà solo risposte parziali e vi impedirà di usare quelle scoperte in un contesto legale. L'unica strada è affidarsi a un professionista.

Una perizia informatica forense, condotta nel rispetto degli standard internazionali come l'ISO 27037, è l'unico strumento che può trasformare un sospetto in prove concrete e legalmente valide, necessarie per sporgere una denuncia, supportare un'azione legale (civile o penale) e, soprattutto, ripristinare la vostra sicurezza e la vostra privacy.

Sospetti che qualcuno stia monitorando il tuo pc?

Non aspettare che sia troppo tardi. Contatta il nostro studio per una consulenza preliminare riservata e gratuita. Analizzeremo il tuo caso e ti forniremo la soluzione migliore per proteggere la tua privacy e i tuoi diritti.

Chiama ora o compila il form di contatto per un'analisi forense professionale.

Contatti

Dottor Marc Cybersecurity

Per richiedere una consulenza o per maggiori informazioni, non esitate a contattare il Perito Claudio Marchesini.

Email: claudio.marchesini@dottormarc.it

Telefono: +39 0455118550

PEC: dottormarcsrl@pec.it