🔍 Contesto del caso

In questo articolo ti mostro un caso reale (anonimizzato) gestito come Perito del Giudice. Il procedimento riguardava la ricezione di messaggi anonimi diffamatori via WhatsApp. Il sospettato negava ogni coinvolgimento, ma la parte offesa era certa della sua responsabilità.

L’obiettivo era eseguire una perizia tecnica che dimostrasse se vi fosse una connessione tra:

• I messaggi ricevuti;

• Il numero telefonico usato;

• Un dispositivo riconducibile all'indagato.

🛠️ Fase 1 – Acquisizione forense: strumenti hardware e software

✅ Hardware impiegato

• Write blocker forense USB: per garantire che i supporti non venissero modificati durante la copia.

• Laptop forense certificato con SSD crittografato, RAM 32 GB e CPU Intel i9.

• Cavi originali dei dispositivi, adattatori e SIM reader.

✅ Software utilizzato

• Cellebrite UFED 4PC: per estrazione logica, file system e, ove possibile, fisica.

• Cellebrite Physical Analyzer: per analisi delle strutture dati SQLite di WhatsApp, Telegram, Signal, ecc.

• Autopsy + Sleuth Kit: per scansioni mirate su immagini disco.

• AXIOM Magnet: usato in parallelo per verifica e timeline degli eventi.

🔄 Tipologia di estrazione

• Estrazione logica: per ottenere dati attivi (chat, media, contatti, cronologia).

• Estrazione file system: per accedere ai database SQLite, log e file cancellati.

• Estrazione cloud (Google/iCloud): quando autorizzata, permette confronto e validazione remota dei dati.

Tutti i dati sono stati salvati in immagini bit-a-bit (dove possibile) e certificati con hash SHA256, generando un report di acquisizione completo.

📂 Fase 2 – Analisi dei dati digitali

Una volta acquisite le immagini, si è proceduto all'analisi tecnica delle prove.

🗂️ Strutture analizzate:

• /data/data/com.whatsapp/databases/msgstore.db (WhatsApp chat e messaggi)

• /data/system/ (log dispositivi, lista app installate)

• /sdcard/DCIM/, /WhatsApp/Media/ (foto, audio, video)

• /data/misc/wifi/wpa_supplicant.conf (cronologia reti WiFi)

🧠 Tecniche utilizzate:

• Parsing delle tabelle SQLite: usando strumenti custom e Physical Analyzer, si sono ricostruite le conversazioni complete, incluse quelle cancellate.

• Recupero metadati: timestamp, ID messaggi, IMEI/ICCID/IMSI.

• Cross-referencing: confronto dei backup WhatsApp locali con le copie cloud.

• Analisi dei WiFi noti: utile per associare l’uso del dispositivo a luoghi specifici.

• Correlazione con geodati: laddove presenti, coordinate GPS sono state mappate.

💡 Esempio pratico:

Nel log msgstore.db, una tabella messages conteneva record cancellati ma non sovrascritti. Con una ricerca diretta in hex editor (e successiva ricostruzione UTF-16), si sono recuperate prove chiave: messaggi anonimi con timestamp compatibili, inviati da una SIM intestata al sospettato.

🧾 Fase 3 – Redazione della relazione tecnica

Il report tecnico è stato redatto secondo lo schema di una Perizia Informatica forense:

1. Introduzione e premessa giuridica (art. 87 e segg. c.p.c. / art. 359 c.p.p. se penale);

2. Descrizione dei dispositivi e dell’ambiente forense;

3. Catena di custodia e hash dei supporti;

4. Metodologia di estrazione e strumenti usati;

5. Analisi dettagliata con evidenze (allegate in appendice);

6. Timeline degli eventi con correlazioni;

7. Conclusioni tecniche, in forma chiara e inequivocabile.

La relazione è stata firmata digitalmente (con certificato CNS/Token USB) e consegnata al legale della parte offesa per il deposito in giudizio.

⚖️ L’importanza dell’approccio scientifico

Ogni fase è stata condotta con approccio scientifico, replicabile e documentabile.
Nessuna prova è stata alterata, ogni estrazione è stata verificata con doppio calcolo hash. Questo è cruciale, perché in sede giudiziaria:

• L’integrità è tutto;

• Le tempistiche di acquisizione possono invalidare una prova se non documentate correttamente;

• La redazione tecnica deve essere chiara, ma anche tecnicamente ineccepibile.

🔚 Conclusioni

Questo caso dimostra il valore di una perizia informatica professionale, non solo per accertare i fatti, ma per supportare il lavoro di avvocati e giudici con evidenze tecniche solide e spiegabili in aula.

Se ti occupi di contenziosi, diritto penale o sei un’azienda o un cittadino vittima di cybercrime, posso affiancarti come Consulente Tecnico, con metodi rigorosi e strumenti di ultima generazione.