Posso recuperare dei messaggi cancellati da whatsapp con tecniche o software forensi?

Come perito informatico forense, questa è in assoluto una delle domande che mi viene posta con maggiore frequenza: "Posso recuperare dei messaggi cancellati da WhatsApp con tecniche o software forensi?". Che si tratti di un'indagine aziendale per infedeltà, di una controversia civile, di un caso di stalking o della necessità di recuperare un accordo commerciale sfumato, la speranza di poter "riportare in vita" una chat eliminata è sempre altissima.

La risposta breve a questa domanda è: sì, molto spesso è possibile, ma dipende da fattori tecnici precisi e dal tempismo. Non si tratta di "magia" informatica, ma dell'applicazione rigorosa di metodologie scientifiche sull'architettura della memoria degli smartphone e sui database dell'applicazione.

In questo articolo, esploreremo in profondità come operano le tecniche di mobile forensics, perché la cancellazione non è quasi mai definitiva nell'immediato e quali sono le reali possibilità (e i limiti fisici) del recupero di chat WhatsApp con valore legale.

Il falso mito dell'eliminazione: Cosa succede quando premi "Elimina per me" o "Elimina per tutti"

Per comprendere come i software forensi riescano a recuperare i messaggi, è essenziale capire come i moderni sistemi operativi (iOS e Android) gestiscono la memoria. Quando un utente seleziona un messaggio su WhatsApp e preme "Elimina", il sistema operativo non sovrascrive immediatamente quello specifico blocco di dati con degli zeri (un processo noto come wiping o bonifica).

Al contrario, per ragioni di velocità ed efficienza del dispositivo, il sistema si limita a rimuovere il "puntatore" logico a quel file o a quel record. In parole povere, dice al sistema: "Questo spazio di memoria è ora libero e disponibile per accogliere nuovi dati". Questo spazio prende il nome di spazio non allocato (unallocated space).

WhatsApp archivia le sue conversazioni all'interno di database strutturati in formato SQLite (il file principale su Android, ad esempio, è spesso denominato msgstore.db). Quando un record (il messaggio) viene cancellato dal database SQLite, il testo reale rimane frequentemente "orfano" nelle cosiddette freelists (pagine libere) del database o nei file temporanei di log (come i file WAL - Write-Ahead Logging), finché l'app o il sistema operativo non hanno bisogno di quello spazio esatto per scrivere un nuovo messaggio o salvare una nuova foto.

L'intervento delle Tecniche e dei Software Forensi (Data Carving)

È esattamente in questa "zona grigia", dove il dato è logicamente cancellato ma fisicamente ancora presente sulla memoria flash del dispositivo, che entrano in gioco le strumentazioni professionali del perito informatico.

Non stiamo parlando di app gratuite scaricabili dagli store (che spesso non fanno altro che leggere le notifiche a schermo), ma di software forensi di livello enterprise (come Cellebrite UFED, Magnet AXIOM, MSAB XRY, Oxygen Forensics). Questi strumenti costano decine di migliaia di euro e sono gli stessi utilizzati dalle forze dell'ordine e dai laboratori di digital forensics in tutto il mondo.

La tecnica principale utilizzata si chiama Data Carving (letteralmente "scolpire i dati"). Il software forense bypassa il file system (che "dice" che quel messaggio non esiste più) e scansiona l'intera memoria fisica del dispositivo byte per byte, alla ricerca di specifiche "firme" (signature) o strutture di dati che corrispondono a frammenti di database SQLite di WhatsApp. Ricostruendo questi frammenti, il perito è in grado di estrarre e ricomporre il messaggio cancellato, spesso recuperando anche i metadati essenziali, come il numero di telefono del mittente/destinatario e i timestamp (data e ora esatta di invio e ricezione).

Il Metodo Forense: Acquisizione a norma ISO 27037

Rispondere positivamente alla domanda "Posso recuperare dei messaggi cancellati da WhatsApp con tecniche o software forensi?" non basta se il fine è utilizzare queste chat in un procedimento legale (una causa civile, un divorzio, un'indagine penale). Il recupero, per avere valore probatorio, deve essere inattaccabile.

Se accendete il telefono e provate a collegarlo a un software amatoriale, state contaminando la prova. L'unica procedura riconosciuta per garantire l'integrità, l'autenticità e la ripetibilità dell'operazione è seguire scrupolosamente lo standard internazionale ISO/IEC 27037:2012 (Linee guida per l'identificazione, la raccolta, l'acquisizione e la preservazione delle evidenze digitali).

Il processo forense corretto si articola in questi step imprescindibili:

• Isolamento (Preservazione): Il dispositivo viene inserito in una Faraday Bag per inibire qualsiasi connessione di rete (Wi-Fi, 4G/5G). Questo impedisce la ricezione di nuovi messaggi, che andrebbero a sovrascrivere lo spazio non allocato distruggendo definitivamente le chat cancellate che vogliamo recuperare.
• Acquisizione Forense: Utilizzando strumenti hardware e software certificati, il perito esegue una copia esatta della memoria del dispositivo (copia bit-stream o Physical/Full File System extraction, a seconda delle vulnerabilità del dispositivo). Non si lavora mai sul telefono originale.
• Hashing: Viene calcolato un algoritmo di hash (es. SHA-256) per generare una "firma digitale" della copia, dimostrando che nessun dato è stato alterato o aggiunto artificialmente dal perito.
• Analisi sulla copia: L'operazione di Data Carving e decodifica dei database di WhatsApp viene eseguita esclusivamente sull'immagine forense.

I limiti fisici del recupero: Quando non si può fare nulla?

La trasparenza è fondamentale nell'informatica forense. Sebbene gli strumenti a nostra disposizione siano potentissimi, esistono dei limiti tecnologici invalicabili. Il recupero non è garantito al 100% in ogni situazione. I fattori ostativi principali sono tre:

1. La Sovrascrittura (Il fattore Tempo)

Il nemico numero uno del recupero dati è il tempo, o meglio, l'utilizzo del dispositivo. Se un messaggio viene cancellato e il telefono continua ad essere usato intensamente (si scaricano app, si fanno aggiornamenti, si inviano nuove foto, si ricevono centinaia di nuovi messaggi), il sistema operativo andrà inevitabilmente a sovrascrivere fisicamente lo spazio non allocato dove risiedeva la vecchia chat. Una volta sovrascritto, il dato è perso per sempre, irreparabilmente.

2. Crittografia avanzata e File-Based Encryption (FBE)

I moderni smartphone (tutti gli iPhone recenti e i dispositivi Android di fascia alta) utilizzano crittografie hardware estremamente complesse. Su dispositivi con File-Based Encryption, quando un file o un database viene cancellato, anche la chiave crittografica ad esso associata potrebbe essere distrutta. Inoltre, la tecnologia TRIM utilizzata nelle moderne memorie flash (UFS/NVMe) si occupa di "pulire" proattivamente i blocchi di memoria cancellati per mantenere alte le prestazioni del dispositivo. Se il comando TRIM è passato, lo spazio non allocato presenterà solo zeri e le probabilità di data carving crollano drasticamente.

3. Impossibilità di Acquisizione Fisica o Full File System

Per fare Data Carving sullo spazio non allocato, il perito ha bisogno di un'acquisizione "Fisica" (Physical Extraction) o quantomeno di un'estrazione completa del File System (Full File System). Sui dispositivi aggiornati con le ultimissime patch di sicurezza e protetti da codici PIN complessi (che non conosciamo), potrebbe essere possibile eseguire solo una "Estrazione Logica" (Logical Extraction), che acquisisce solo i file attualmente visibili al sistema operativo, impedendo l'accesso allo spazio non allocato e rendendo impossibile il recupero del cancellato.

L'importanza della Relazione Tecnica Forense

Una volta ultimato il lavoro di scansione e recupero, il perito non consegna semplicemente un file di testo al cliente. I messaggi estratti, completi di metadati, vengono inseriti all'interno di una rigorosa Relazione Tecnica.

Questo elaborato illustra in maniera dettagliata e oggettiva tutta la catena di custodia e le metodologie applicate in conformità alla norma ISO 27037. Vengono specificati gli hardware e i software utilizzati, le versioni degli applicativi, gli algoritmi di hash calcolati e la decodifica dei database. Questo livello di dettaglio scientifico è ciò che conferisce valore legale probatorio alla chat recuperata, permettendo agli avvocati di depositarla e difenderla con successo in fase dibattimentale o in corso di indagine, neutralizzando le contestazioni della controparte sull'autenticità e l'integrità del dato.