Caso reale: come un file cancellato ha portato a una condanna per materiale pedopornografico

Un’indagine forense tra file nascosti, cloud, e timestamp manipolati

📍 Il contesto

Vengo incaricato come Consulente Tecnico del Pubblico Ministero (CTPM) in un caso estremamente delicato:

«È stato sequestrato il computer di un soggetto indagato per detenzione e scambio di materiale pedopornografico. Serve una perizia tecnica completa. L'indagato nega ogni addebito.»

La Procura aveva ricevuto una segnalazione tramite canali internazionali (tipicamente NCMEC o Europol), secondo cui un determinato IP italiano risultava coinvolto nella condivisione di materiale illecito tramite rete P2P.

Il mio compito: verificare la presenza di contenuti illeciti, ricostruire attività, e identificare eventuali strumenti di anonimizzazione.

🖥️ Analisi del dispositivo

Il PC sequestrato era un laptop Windows 10 con disco SSD da 1TB.
Ho eseguito una copia forense integrale (bitstream) in formato .E01, rispettando la catena di custodia e sigillando i supporti di origine.

Lavorando su copia, ho avviato l’analisi con strumenti professionali (Autopsy, X-Ways, Magnet AXIOM).

🔍 Recupero e carving di file cancellati

Dalla cartella AppData\Roaming\Shareaza ho notato l’uso di un noto client P2P.
Nonostante la cartella fosse stata parzialmente cancellata, ho recuperato file di configurazione e log datati.

Con un’analisi di tipo carving, ho individuato all’interno dello spazio non allocato:

• 6 file immagine .jpg e .png

• 2 video in formato .mp4

I nomi dei file erano codificati, ma i contenuti sono stati riconosciuti dal sistema Project VIC (hashes noti e classificati a livello internazionale come CSAM – Child Sexual Abuse Material).

📁 Indizi nel cloud: OneDrive e File Sync

Durante l'analisi della cartella OneDrive\Temp, ho trovato riferimenti a file che non erano più presenti localmente, ma che risultavano sincronizzati in passato.

Tramite analisi dei log SyncDiagnostics.log e FileSyncErrors.log, ho ricostruito la presenza di alcuni video sincronizzati e poi cancellati.
Ma i nomi originali sono rimasti nei metadati.

💡 È qui che abbiamo ottenuto un collegamento diretto con il file hashato come CSAM.

🧠 Tentativo di alterazione dei timestamp

Il sistema mostrava DateCreated e DateModified alterati: alcuni file risultavano con date "antiche", addirittura antecedenti l’acquisto del PC.

Ma grazie all’analisi dei metadati NTFS ($MFT + LogFile), ho identificato la data reale di creazione e l’uso di tool per alterare date.

🧑‍⚖️ L’importanza dell’analisi forense

Tutti i file recuperati sono stati hashati e confrontati con database ufficiali.
In sede di udienza preliminare, i risultati della perizia forense sono stati ritenuti decisivi:

• Contenuto illecito identificato

• Presenza in spazio non allocato

• Provenienza tracciata (P2P)

• Tentativi di occultamento accertati

📌 Conclusione

In casi di questo tipo, la metodologia rigorosa, la catena di custodia, e l’uso di strumenti certificati fanno la differenza tra una prova utile e un dato irrilevante.

Il materiale era stato cancellato, ma non era sparito.
E in casi così delicati, ogni byte conta.