Perizia forense su cellulare

Il nostro smartphone è la scatola nera della nostra vita. Contiene conversazioni private, fotografie, posizioni GPS, email di lavoro e segreti personali. Ma cosa succede quando questo dispositivo diventa la prova chiave in un caso legale, il bersaglio di uno spione o la fonte di un furto di dati?

La risposta è la perizia forense su cellulare. Non si tratta di un semplice "recupero dati", ma di un'indagine scientifica complessa e rigorosa, l'unica in grado di estrarre, preservare e analizzare le prove digitali in un modo che sia ammissibile e valido in un contesto legale.

In qualità di periti informatici forensi, analizziamo quotidianamente smartphone (iPhone e Android) per trovare prove decisive. Questo articolo spiega in dettaglio come si svolge un'analisi forense, cosa possiamo scoprire e perché il "fai-da-te" è il modo più sicuro per distruggere le vostre prove.

Quando è Necessaria un'Analisi Forense dello Smartphone?

Una perizia su cellulare è fondamentale in una vasta gamma di situazioni, sia private che aziendali. Le prove contenute in un telefono possono essere l'ago della bilancia in un procedimento.

1. Contesto Privato e Familiare

Qui l'emotività è alta e le prove sono spesso digitali:

• Stalking e Minacce (Art. 612-bis c.p.): Recuperare messaggi minatori, chat (WhatsApp, Telegram, Messenger) cancellate, registri chiamate e tracciamento GPS per dimostrare la persecuzione.
• Sospetto Spyware e Stalkingware: Il partner, l'ex coniuge o un estraneo potrebbero aver installato un software spia per controllarvi. Un'analisi forense è l'unico modo per trovarlo e provarlo. Questo atto è un reato (es. Art. 615-ter c.p., accesso abusivo).
• Cause di Separazione e Divorzio: Sebbene il tradimento in sé sia un altro argomento, la perizia è cruciale per dimostrare illeciti (come lo spionaggio del coniuge) che possono essere determinanti per l'addebito della separazione.

2. Contesto Aziendale e Lavorativo

Il furto di proprietà intellettuale avviene quasi sempre tramite dispositivi mobili:

• Furto di Dati da Dipendente: Un dipendente o un manager che sta per lasciare l'azienda (spesso per un concorrente) che copia liste clienti, progetti o know-how.
• Concorrenza Sleale: Dimostrare che un ex dipendente sta usando i dati rubati dal telefono aziendale.
• Indagini Interne: Verificare l'uso improprio di dispositivi aziendali, nel rispetto delle policy e delle normative vigenti.

Il Metodo: Acquisizione Forense (Standard ISO 27037)

Questa è la differenza fondamentale tra un professionista e un dilettante. Un perito forense non "accende il telefono e guarda dentro". Questa azione, chiamata "live analysis", contamina le prove. Ogni volta che un telefono viene sbloccato, i dati vengono alterati (log, date di accesso, ecc.).

Per garantire il valore legale, seguiamo un protocollo internazionale rigoroso: lo standard ISO/IEC 27037:2012. Questa norma definisce le linee guida per l'identificazione, la raccolta, l'acquisizione e la preservazione delle evidenze digitali.

Il processo si svolge in fasi precise:

Fase 1: Identificazione e Preservazione

Il dispositivo ("reperto") viene isolato dalla rete (tramite modalità aereo o una Faraday Bag, una speciale borsa che blocca tutti i segnali) per impedire la ricezione di nuovi dati o comandi di cancellazione remota.

Fase 2: Acquisizione Forense (La Copia Bit-per-Bit)

Non si lavora mai sull'originale. Utilizzando hardware specializzato (come un write-blocker) e software forensi (come Cellebrite, AXIOM, Oxygen), creiamo un'immagine forense. Si tratta di una copia "bit-per-bit" (un clone perfetto) dell'intera memoria del telefono.

Fase 3: Verifica dell'Integrità (Valore Hash)

Per dimostrare in tribunale che la nostra copia è identica all'originale, calcoliamo un'impronta digitale unica (un valore hash, es. SHA-256) sia del disco originale sia della copia. I due valori devono combaciare. Questo garantisce l'integrità del dato e costituisce il fondamento della Catena di Custodia (Chain of Custody).

Fase 4: Analisi sulla Copia

Solo dopo aver messo al sicuro l'originale, iniziamo l'analisi sulla copia. È qui che avviene la vera "magia":

• Recupero Dati Cancellati (Data Carving): Andiamo a cercare i dati nello spazio "non allocato", recuperando chat, foto e file che l'utente pensava di aver eliminato per sempre.
• Analisi degli Artefatti: Esaminiamo i "resti" lasciati dal sistema operativo che ci dicono cosa ha fatto l'utente: quali reti Wi-Fi ha usato, quali app ha installato, quali ricerche ha fatto.
• Ricerca di Spyware: Cerchiamo firme di codice, processi anomali e connessioni di rete sospette che indicano la presenza di un software spia.

Cosa Possiamo Trovare e Recuperare?

Un'analisi forense completa può rivelare una quantità enorme di informazioni, anche cancellate:

• Messaggi e Chat: SMS, iMessage, chat WhatsApp, Telegram, Signal (inclusi messaggi cancellati, gruppi, e a volte anche "messaggi che si autodistruggono").
• Foto e Video: Immagini scattate, ricevute e cancellate, complete di metadati (data, ora e, spesso, posizione GPS).
• Cronologia delle Posizioni: Una mappa dettagliata di dove è stato il telefono (e quindi l'utente) utilizzando i dati del GPS, delle celle telefoniche e delle reti Wi-Fi.
• Cronologia Internet: Siti visitati, ricerche effettuate (anche in modalità "incognito", che lascia comunque tracce forensi).
• File e Documenti: PDF, documenti, note vocali inviate o ricevute.
• Connessioni: Elenco dei dispositivi Bluetooth collegati (es. l'auricolare in auto) e delle reti Wi-Fi a cui si è connesso.

Domande Frequenti (FAQ)

È possibile analizzare un telefono rotto o che non si accende?

Spesso sì. Se lo schermo è rotto ma il telefono funziona, l'acquisizione è quasi sempre possibile. Se il telefono è "morto" (es. danni da liquidi, non si accende), la situazione è più complessa. Fintanto che il chip di memoria è intatto, possiamo tentare tecniche avanzate come il "JTAG" o il "Chip-Off" (dissaldando fisicamente la memoria) per estrarre i dati. Sono procedure complesse e costose, ma possibili.

È possibile analizzare un telefono bloccato da PIN o password?

Dipende. Questa è la sfida più grande. La crittografia moderna (specialmente su iPhone) è molto robusta. Esistono tecniche e software forensi che tentano di aggirare o "rompere" il blocco, ma il successo non è garantito e dipende dal modello, dalla versione del sistema operativo e dalla complessità della password. È essenziale non tentare di indovinare la password troppe volte, o si rischia la cancellazione automatica dei dati.

Quanto costa una perizia forense su un cellulare?

Non esiste un prezzo fisso. Il costo dipende dalla complessità del caso: il tipo di dispositivo (un vecchio Android è diverso da un iPhone 15), lo stato del telefono (rotto, bloccato), e il tipo di analisi richiesta (cercare uno spyware è diverso dal recuperare 2 anni di chat cancellate). Diffidate da chi offre prezzi stracciati: un'analisi forense richiede software costosi, hardware specializzato e ore di lavoro altamente qualificato.

Uno screenshot di una chat non è sufficiente?

Assolutamente no. Uno screenshot è legalmente debolissimo. È un'immagine che può essere facilmente falsificata (photoshoppata), è priva di metadati (non si può provare chi ha inviato cosa e quando) e mostra solo una parte della conversazione. Una perizia forense, invece, estrae il dato originale dal database del telefono, completo di data, ora, e numeri di telefono del mittente e del destinatario, in modo non contestabile.

Conclusione: La Prova è nel Metodo

Un telefono cellulare è un testimone. Può contenere la prova che vi serve per difendervi da uno stalker, per vincere una causa di lavoro o per proteggere la vostra azienda. Ma se questo testimone viene "interrogato" nel modo sbagliato, le sue prove vengono invalidate per sempre.

Affidarsi a un perito informatico forense che segue rigorosamente gli standard internazionali (come l'ISO 27037) non è un costo: è un investimento per garantire che la verità digitale possa essere presentata in un contesto legale con piena forza e integrità.