Quando si pensa all’informatica forense, si immagina spesso una scienza fredda, tecnica, fatta di numeri e codici. Ma dietro ogni caso c’è una storia, un’intuizione, e talvolta anche un colpo di fortuna.
Oggi voglio raccontarti un caso reale in cui sono stato coinvolto su richiesta diretta della Procura della Repubblica, nell’ambito di un procedimento penale per violazione di segreti aziendali (art. 623 c.p.).

⚖️ Il contesto giudiziario: una chiamata dalla Procura

Ricevo una telefonata dal Pubblico Ministero titolare di un’indagine molto delicata.
Una società aveva sporto denuncia contro un ex dipendente, accusato di aver prelevato e diffuso documenti riservati, tra cui bozze di accordi commerciali e analisi di mercato. Il sospetto era che li avesse venduti a un concorrente estero.

La polizia giudiziaria aveva sequestrato un notebook aziendale che risultava recentemente formattato. Il sospetto? Che i documenti fossero stati cancellati per ostacolare le indagini.

🛠️ Acquisizione forense: il primo passo

Come da prassi, ho proceduto con l’acquisizione forense dell’intero disco tramite FTK Imager, producendo un’immagine .E01 con hash MD5/SHA1.
Tutti i passaggi sono stati documentati con verbale tecnico, come richiesto in ambito penale.

La mia prima scansione non ha dato esito: nessun file recuperabile, nessun contenuto visibile, struttura NTFS apparentemente sovrascritta.
Il disco risultava bonificato con un software di tipo "wiping", probabilmente CCleaner con la funzione di distruzione sicura.

Un dispositivo “pulito”, certo. Ma ho imparato a non fermarmi mai all’apparenza.

⚠️ L’ostacolo: bonifica completa e pagine vuote

Anche le aree “unallocated” non restituivano risultati validi.
Era evidente che chi aveva manomesso il disco sapeva cosa fare.
Eppure, qualcosa non mi tornava: in alcuni settori grezzi rilevavo stringhe di testo scollegate, parole chiave come “riservato”, “allegato”, “Q3 targets”.

💡 L’intuizione che ha cambiato tutto

È stato in quel momento che mi sono chiesto:

“E se quei documenti fossero stati stampati? Magari per essere consegnati a mano a qualcun altro?”

Ricordavo che Windows, nei sistemi pre-Windows 11, spesso mantiene copie temporanee dei documenti nei buffer di stampa o nei file di paging.
Mi sono concentrato su due aree:

• C:\Windows\System32\spool\PRINTERS

• pagefile.sys (memoria virtuale)

Ho montato l'immagine con X-Ways Forensics, indicizzando esclusivamente queste aree. Dopo un’analisi mirata… bingo! 😁.

🧾 Il documento chiave: “Analisi_Mercato_Confidenziale.docx”

Tra i dati decompressi in pagefile.sys ho trovato frammenti di un file Word, contenente una bozza di report di mercato con dettagli sull’espansione in un paese straniero, gli stessi citati nella denuncia.

Il nome del file era eloquente: Analisi_Mercato_Confidenziale.docx.
Insieme ai contenuti testuali, erano presenti anche metadati Word: nome autore, timestamp di modifica e percorso sul vecchio account utente.

Non avevo il file completo, ma abbastanza da dimostrare che quel documento era esistito e che era stato intenzionalmente cancellato.

📊 Il report tecnico per il magistrato

Nel report forense, che ho firmato digitalmente e consegnato in Procura, ho inserito:

• l’origine del dato (file di paging)

• le tracce residue rilevate e ricostruite

• la catena di custodia

• la probabile volontarietà dell’occultamento

Il PM, colpito dalla precisione della relazione, ha deciso di usare il documento come elemento centrale nell’atto d’accusa.

⚖️ Conseguenze nel processo

Durante l’udienza, il giudice ha ammesso la prova tecnica.
L'avvocato difensore ha tentato di contestarla, ma l’integrità dell’acquisizione, il tracciamento degli hash e la presenza nei file temporanei hanno fatto cadere ogni dubbio.

Il documento ha contribuito alla richiesta di rinvio a giudizio per violazione di segreti aziendali e distruzione dolosa di prove digitali.

🧠 Conclusione: la tecnica non basta, serve intuito

Questo caso mi ha insegnato (di nuovo) che i dati digitali lasciano sempre una traccia, e che spesso la prova più importante si trova dove nessuno pensa di cercare.

A volte, il vero “strumento forense” più potente non è un software, ma la testa di chi lo usa.