La Prova Digitale al Corso Biennale dell’Avvocato Penalista

forenser on 24 Maggio 2026

Nel corso della lezione del 23 maggio 2026 del I Corso Biennale di Specializzazione dell’Avvocato Penalista, organizzato dalla Scuola UCPI di Roma, il Prof. Avv. Marco Pittiruti e il consulente informatico forense e CEO Forenser Dr. Paolo Dal Checco hanno affrontato uno dei temi oggi più delicati del processo penale: la gestione della prova digitale, con particolare riferimento alle perquisizioni e ai sequestri probatori informatici.

L’incontro ha messo in evidenza come l’evoluzione tecnologica abbia profondamente modificato il modo di svolgere le indagini penali. Smartphone, computer, cloud, account online e sistemi di messaggistica rappresentano ormai archivi completi della vita personale e professionale di ogni individuo. Di conseguenza, ogni attività di acquisizione forense comporta inevitabilmente un impatto molto significativo sui diritti fondamentali della persona sottoposta a indagine.

La prova digitale non è una “prova perfetta”

Nel suo intervento introduttivo, il Prof. Marco Pittiruti ha evidenziato come una parte della giurisprudenza abbia per lungo tempo considerato la prova digitale quasi come una prova “autoevidente”, affidabile per definizione e quindi assimilabile a un semplice documento ai sensi dell’art. 234 c.p.p.

Secondo Pittiruti, questa impostazione è ormai superata. Il dato informatico presenta infatti caratteristiche peculiari: è immateriale, facilmente alterabile, duplicabile e spesso estremamente promiscuo, poiché all’interno dello stesso dispositivo convivono informazioni personali, professionali e dati potenzialmente rilevanti per l’indagine.

Da qui nasce il problema centrale affrontato durante la lezione: come conciliare le esigenze investigative con il rispetto del diritto di difesa e del principio di proporzionalità?

Il problema dei sequestri “omnibus”

Uno dei passaggi più significativi dell’intervento ha riguardato il fenomeno dei sequestri “omnibus”, ossia quei provvedimenti con cui vengono acquisiti integralmente computer, smartphone, server o interi archivi digitali senza una preventiva delimitazione dei dati realmente pertinenti all’indagine.

Pittiruti ha osservato come l’attività di sequestro informatico rischi di trasformarsi in vere e proprie “pesche a strascico investigative”, nelle quali il pubblico ministero ottiene accesso indiscriminato a enormi quantità di informazioni, spesso estranee al procedimento penale. Questo problema è particolarmente rilevante perché i moderni dispositivi elettronici contengono ormai l’intera vita digitale dell’individuo: comunicazioni private, dati sanitari, fotografie, attività lavorative, credenziali di accesso, relazioni professionali e informazioni riservate.

Secondo il relatore, il principio di proporzionalità rappresenta oggi il principale strumento difensivo per contrastare queste prassi investigative. La Corte di Cassazione, soprattutto nelle pronunce più recenti, ha progressivamente imposto al pubblico ministero un obbligo di motivazione rafforzata, richiedendo che il decreto di perquisizione e sequestro specifichi in modo concreto:

  • quali dati si intendono cercare;
  • perché sia necessario acquisire determinati dispositivi;
  • quali criteri di selezione verranno utilizzati;
  • quale sia il periodo temporale rilevante per l’indagine.

L’importanza delle parole chiave e dei criteri di selezione

Particolare attenzione è stata dedicata ai criteri di selezione dei dati, spesso realizzati mediante parole chiave utilizzate durante le attività di analisi forense. Pittiruti ha sottolineato come la giurisprudenza più recente richieda che tali criteri siano “effettivi” e non meramente apparenti.

Un esempio concreto citato durante la lezione riguarda l’utilizzo del nome di un’azienda o del dominio di posta elettronica come keyword di ricerca: una scelta apparentemente neutra che, in pratica, può comportare il sequestro indiscriminato di migliaia di email e documenti.

Il tema assume ulteriore rilevanza quando nei dispositivi sequestrati sono presenti comunicazioni coperte da segreto professionale, come quelle tra avvocato e assistito. Pittiruti ha evidenziato come, nella prassi, non sempre vengano adottate adeguate cautele per evitare l’acquisizione di tali contenuti, con il rischio di compromettere il diritto di difesa.

Copia di mezzo e copia di fine

Entrambi I relatori hanno ampiamente parlato della questione legata alla nuova normativa che prevede la creazione di una copia forense che viene identificata inizialmente come “copia di mezzo” o “copia mezzo” e poi, successivamente alla creazione e consolidamento, filtrata tramite selezione basata su keyword (parole chiave), criteri temporali, criteri di contesto o valori hash producendo quella che si definisce “copia di mezzo” o “copia mezzo”.

Nel contesto delle indagini digitali e del diritto processuale penale, la copia-mezzo è infatti la copia integrale e non selettiva di tutti i dati presenti su un dispositivo sequestrato, una copia completa e comprensiva di tutti i dati appresi, inclusi in buona parte dati fuori dal perimetro dell’indagine.

Da questa, gli inquirenti, Polizia Giudiziaria o i consulenti tecnici forensi appositamente nominati dal Pubblico Ministero selezionano solo le informazioni rilevanti al reato, creando così la copia-fine, che entra ufficialmente a far parte del fascicolo probatorio.

La distinzione è fondamentale per tutelare la privacy e il diritto di difesa del cittadino ed è regolamentata in modo preciso: Copia-mezzo (Copia Integrale o Servente) è il duplicato esatto (bit-a-bit) dell’intero dispositivo (es. smartphone, PC) e la sua funzione è tecnica è quella di cristallizzare tutto il contenuto per consentire la restituzione del dispositivo fisico all’avente diritto nel minor tempo possibile. La Copia-fine (Copia Selettiva) è invece l’insieme di dati estratto dalla copia-mezzo che contiene esclusivamente le informazioni pertinenti alle indagini, tanto che solo questi file specifici costituiranno la prova utilizzabile in giudizio.

I concetti di copia-mezzo e copia-fine non derivano da una specifica legge o articolo del codice, ma dalla giurisprudenza della Corte di Cassazione: i Giudici hanno provveduto a colmare un vuoto normativo per adattare le vecchie regole sul sequestro fisico all’era degli smartphone e dei computer. Poiché il codice di procedura penale non menziona esplicitamente i termini “copia di mezzo” e “copia di fine”, la Sentenza della Corte di Cassazione n. 34265 del 22 settembre 2020 (depositata il 2 dicembre 2020) ne ha formalizzato la distinzione e le regole d’uso:

La durata del sequestro e la “vita digitale” dell’indagato

Un altro aspetto affrontato riguarda la durata del sequestro dei dispositivi informatici. Nella pratica investigativa capita frequentemente che smartphone e computer vengano trattenuti per mesi, talvolta anni, con pesanti ripercussioni sulla vita personale e professionale dell’indagato.

La Corte di Cassazione ha progressivamente affermato che il trattenimento dei dati e delle copie forensi deve limitarsi al tempo strettamente necessario alle operazioni di selezione e analisi. Tuttavia, come osservato durante la lezione, nella pratica questo principio si scontra con criteri molto elastici e con l’ampia discrezionalità riconosciuta agli organi investigativi.

La gestione tecnica del reperto informatico

Nella seconda parte dell’incontro, il CEO Forenser Paolo Dal Checco ha affrontato – dal punto di vista del perito informatico forense – gli aspetti tecnici dell’informatica forense, illustrando le metodologie utilizzate per acquisire e analizzare correttamente i dati digitali tramite tecniche di digital forensics.

L’intervento ha evidenziato come l’acquisizione forense non possa essere improvvisata: anche una semplice operazione di collegamento di un dispositivo a un computer può alterare automaticamente i dati presenti sul supporto. Dal Checco ha spiegato che i sistemi operativi moderni eseguono frequentemente operazioni automatiche – come la creazione di file di sistema, la modifica di timestamp o l’indicizzazione dei contenuti – che possono compromettere l’integrità del reperto digitale.

Per questo motivo, nella digital forensics vengono utilizzati strumenti specifici, come i write blocker hardware e software, che impediscono al sistema operativo di scrivere accidentalmente sui supporti sequestrati.

Dal Checco ha inoltre illustrato le differenze operative tra Windows, macOS e Linux nella gestione dei dispositivi acquisiti, evidenziando come alcuni sistemi offrano maggiori garanzie rispetto ad altri nella prevenzione delle alterazioni involontarie dei dati.

Corso Biennale UCPI Specializzazione Avvocato Penalista a Roma

Le best practices e la genuinità della prova

Uno dei punti centrali dell’intervento tecnico ha riguardato il rispetto delle best practices internazionali di digital forensics. La corretta acquisizione del dato richiede infatti:

  • documentazione completa delle operazioni;
  • utilizzo di strumenti verificati;
  • generazione di hash crittografici;
  • tracciabilità delle attività svolte;
  • conservazione sicura delle copie forensi;
  • possibilità di ripetere e verificare le operazioni eseguite.

Sul piano giuridico, Pittiruti ha evidenziato come la violazione di queste procedure non venga ancora considerata dalla giurisprudenza italiana come causa automatica di inutilizzabilità della prova. Tuttavia, alcune recenti pronunce sembrano aprire scenari nuovi, attribuendo crescente importanza alla correttezza metodologica delle operazioni tecniche e alla verifica dell’attendibilità intrinseca della prova digitale.

Il ruolo sempre più centrale del consulente informatico forense

Uno dei messaggi più forti emersi durante la lezione è stato il ruolo ormai imprescindibile del consulente informatico forense nella strategia difensiva.

Secondo entrambi i relatori, oggi non è più sufficiente una difesa esclusivamente giuridica: la comprensione delle metodologie tecniche di acquisizione, conservazione e analisi del dato è diventata essenziale per verificare la legittimità dell’attività investigativa e individuare eventuali anomalie o violazioni.

Il processo penale digitale richiede quindi una collaborazione sempre più stretta tra avvocato e consulente tecnico, affinché il contraddittorio possa svilupparsi non solo sul piano giuridico, ma anche su quello scientifico e metodologico.

Una sfida centrale per il processo penale contemporaneo

La lezione ha mostrato con grande chiarezza come il tema della prova digitale rappresenti oggi una delle principali sfide del processo penale contemporaneo. L’enorme capacità invasiva degli strumenti informatici impone infatti un delicato equilibrio tra esigenze investigative e tutela dei diritti fondamentali.

Da un lato vi è la necessità di acquisire prove spesso decisive; dall’altro emerge sempre più chiaramente il rischio che attività investigative sproporzionate compromettano la riservatezza, il diritto di difesa e la genuinità stessa della prova.

In questo scenario, la digital forensics non rappresenta soltanto una disciplina tecnica, ma diventa uno strumento essenziale di garanzia processuale.

IISFA Forum 2025 a Roma – Cybercrime, AI e Digital Forensics

forenser on 8 Dicembre 2025

cybercrime-artificialintelligence-digitalforensics-iisfa
locandina-cybercrime-artificialintelligence-digitalforensics-iisfa-1

Venerdì 12 dicembre 2025 si terrà, a Roma, presso il Centro Congressi Frentani Srl (in Via dei Frentani, 4, a pochi passi dalla Stazione Termini di Roma) il seminario “IISFA FORUM 2025 – Cybercrime, Artificial Intelligence & Digital Forensics” durante il quale i partecipanti avranno l’occasione di seguire interventi su Cybercrime, Artificial Intelligence & Digital Forensics.

La conferenza “IISFA Forum 2025 – Cybercrime, Artificial Intelligence e Digital Forensics”, organizzata dall’associazione IISFA, riunisce le principali istituzioni e professionisti italianiimpegnati nella sicurezza informatica, digital forensics e intelligenza artificiale per analizzare l’evoluzione delle minacce informatiche e il ruolo crescente dell’AI nelle attività investigative.

IISFA Forum 2025 a Roma - Programma dell'evento gratuito aperto a tutti

La mattinata è dedicata ad approfondire i trend nazionali sui cyber attacchi, le nuove forme di cybercrime e l’impatto delle tecnologie emergenti sulle indagini, grazie agli interventi di rappresentanti dell’Agenzia per la Cybersicurezza Nazionale, della Polizia Postale, dei Carabinieri, della Guardia di Finanza e di esperti del settore legale e forense. Due tavole rotonde approfondiscono i temi etici legati all’IA e la relazione tra criminalità informatica, social media e comunicazione giornalistica.

Nel pomeriggio, la conferenza si concentrerà su specifici argomenti d’informatica forense, con interventi dedicati allo spyhunting su dispositivi mobili, alle investigazioni digitali in ambito aziendale, ai nuovi reati informatici legati alla cybersecurity e all’IA, fino alle sfide della post-quantum security e all’evoluzione dei ransomware.

La giornata si conclude con un coinvolgente cyber forensics game, una simulazione pratica su un caso reale di analisi forense, che permette al pubblico di confrontarsi direttamente con metodologie e tecniche operative utilizzate nei moderni scenari investigativi.

I temi al centro dell’evento IISFA

locandina-cybercrime-artificialintelligence-digitalforensics-iisfa-2

Nel corso della giornata si alterneranno interventi dedicati a:

  • Cybercrime e nuove forme di criminalità informatica;
  • Intelligenza artificiale e impatti sulle attività investigative e difensive;
  • Ransomware e gestione degli incidenti;
  • Post-quantum security;
  • OSINT (Open Source Intelligence);
  • Digital Forensics in ambito giudiziario, aziendale e istituzionale.

L’intervento del nostro CEO Paolo Dal Checco

La società Forenser sarà presente all’IISFA Forum 2025 a Roma attraverso il CEO Paolo Dal Checco, che durante l’evento “Cybercrime, Artificial Intelligence e Digital Forensics” organizzato da IISFA – International Information Systems Forensics Association – parlerà di “Spyhunting su sistemi cellulari” raccontandone lo stato dell’arte.

locandina-cybercrime-artificialintelligence-digitalforensics-iisfa-3

Alle 14:30, infatti, il CEO di Forenser Paolo Dal Checco interverrà con una relazione dedicata a “Spyhunting sui sistemi cellulari: lo stato dell’arte“, durante la quale verranno affrontati:

  • le principali tecniche di individuazione di software spia e attività malevole sui sistemi cellulari;
  • gli strumenti di analisi forense utilizzati oggi per l’attività di spyhunting su smartphone;
  • le tipologie di copia forense di smartphone (logical, ADB backup, iTunes Backup, advanced logical, Full File System / FFS, physical) e il loro utilizzo nel rilevamento di malware
  • l’utilizzo dei log e dei dump (sysdiagnose, unified logs, shutdown.log, event log, crash log, bug report, logcat, tombstone, ANR, etc…) per rinvenire tracce delle infezioni da malware sui disposivi;
  • gli strumenti di estrazione dati, analisi e malware detection come Mobile Verification Toolkit (MVT), Android Quick Forensics, Sysdiagnose Parser;
  • le potenzialità della intelligenza artificiale nel rilevamento di malware e spy software;
  • l’analisi del traffico di rete come strumento di rilevamento di attività malevola di spy software su smartphone;
  • casi d’uso e scenari investigativi in cui l’analisi forense mobile è centrale per la ricostruzione dei fatti;
  • spunti operativi per professionisti che operano in ambito cybercrime, incident response e consulenza tecnica.

L’obiettivo del talk è fornire una panoramica aggiornata sullo stato dell’arte, con un taglio pratico e orientato alle esigenze di chi si occupa quotidianamente di investigazioni digitali su smartphone, in particolare in ambito di rilevamento malware e infezioni da trojan, captatori o spy software.

Locandina dell’evento IISFA Forum 2025 a Roma

L’evento rappresenta un’occasione di confronto tra professionisti del settore, condivisione di buone pratiche e aggiornamento sulle evoluzioni tecnologiche e normative.

Per tutti i dettagli sul programma, gli orari e i relatori, è disponibile la locandina ufficiale in formato PDF:

Locandina IISFA Forum 2025 a RomaDownload

Programma dell’evento IISFA Forum 2025 a Roma

L’evento IISFA Forum 2025 che si terrà a Roma venerdì 12 dicembre 2025 vede la partecipazione di numerosi professionisti del diritto, esperti d’informatica forense, personalità istituzionali e consulenti informatici forensi.

Ore 9:30 – Saluti di indirizzo

  • Gerardo Costabile – Presidente IISFA
  • Nunzia Ciardi – Vicedirettore Agenzia per la Cybersicurezza Nazionale
  • Amm. Gianluca Galasso – Direttore del Servizio Operazioni e gestione delle crisi cyber/CSIRT Italia – Agenzia per la Cybersicurezza Nazionale
    Trend nazionale dei cyber attacchi: lo stato dell’arte in Italia
  • Ivano Gabrielli – Direttore del Servizio Polizia Postale e per la Sicurezza Cibernetica
    Cybercrime e nuovi trend
  • Gen. Vincenzo Molinese – Comandante ROS Carabinieri
    Intelligenza Artificiale e attività investigative
  • Gen. Antonio Mancazzo – Comandante del Nucleo Speciale Tutela Privacy e Frodi Tecnologiche della Guardia di Finanza
    Cybercrime e follow the money: evoluzione e nuovi scenari
  • Stefano Mele – Partner, Head of Cybersecurity & Space Law Department, Gianni & Origoni
    Anatomia di un attacco ransomware: ricatti, psicologia e cryptoasset in attesa di una strategia italiana

Tavola rotonda
Intelligenza artificiale, etica e informatica forense

Partecipano:

  • Eugenio Albamonte (Direzione Nazionale Antimafia)
  • Giuseppe Corasaniti (Professore ordinario UniMercatorum)
  • Paolo Galdieri (Avvocato)
  • Mattia Epifani (Presidente ONIF)
  • Marco Calonzi (Direttivo IISFA)
  • Gianluca Boccacci (Presidente Cyber Actors)

Tavola rotonda
Cybercrime, social media e comunicazione giornalistica tra forma e sostanza

Partecipano:

  • Domenico Colotta (Assocomunicatori)
  • Arturo di Corinto (Giornalista professionista, Agenzia Cybersicurezza Nazionale)
  • Luigi Garofalo (Direttore responsabile Cybersecurity Italia)
  • Roland Kapidani (Red Hot Cyber)

Ore 13:30 – Pausa pranzo

Ore 14:30 – Sessione pomeridiana

  • Paolo Dal CheccoConsulente Informatico forense
    Spyhunting sui sistemi cellulari: lo stato dell’arte
  • Michela Carloni Gammon, Direttore Everbridge – Veronica Vacchi, Dinova
    Tutela aziendale, media investigation e open source intelligence
  • Stefano Aterno (Studio E-lex)
    I nuovi reati informatici nella cybersecurity e nell’intelligenza artificiale
  • Prof. Aniello Castiglione – Università di Salerno
    Post quantum security, evoluzione dei ransomware e complessità investigative
  • Cosimo de Pinto (Direttivo IISFA) & Salvatore Filograno (Direttivo IISFA)
    Cyber forensics game: simulazione con l’intervento del pubblico su un caso reale di analisi forense

Come partecipare alla conferenza IISFA Forum 2025 a Roma

L’evento è gratuito e aperto a tutti, non soltanto ai soci IISFA, sono quindi benvenuti professionisti della cybersecurity, esperti e consulenti di informatica forense, aavvocati, CTU informatici e CTP informatici che operano in procedimenti con evidenze digitali, responsabili IT, DPO, CISO e figure coinvolte nella gestione degli incidenti digitali.

Si ricorda che l’evento si terrà a Roma il 12 dicembre 2025, al Centro Congressi Frentani, in Via dei Frentani 4, a pochi passi dalla Stazione Termini di Roma: per partecipare è sufficiente registrarsi online su Eventbrite e presentarsi venerdì 12 dicembre 2025 presso la sede del congresso alle ore 9:30 per l’inizio dei lavori.

I posti sono limitati ma vi sono ancora alcune disponibilità, raccomandiamo di affrettarvi con la registrazione e di cancellare l’adesione in caso d’impossibilità di partecipare all’evento IISFA a Roma.

Informatica Forense e NIS2, un connubio indissolubile

forenser on 22 Ottobre 2025

Martedì 21 ottobre il CEO Fornser Paolo Dal Checco ha partecipato come docente al Seminario in FAD sincrona dal titolo “Informatica Forense e NIS2, un connubio indissolubile ma sottovalutato” durante il quale ha presentato i punti di contatto tra la direttiva NIS2 e la digital forensics, mostrando come il testo di legge possa essere letto alla luce di uno scenario nel quale l’informatica forense possa essere di supporto sia per la fase di prevenzione sia per quella di gestione dell’incidente informatico.

La giornata di corso sulla normativa NIS2, organizzata dal FOIM – Fondazione Ordine Ingegneri della Provincia di Milano – con Responsabile Scientifico l’Ing. Luca Reggiani, ha visto tra i docenti stimati professionisti che hanno illustrato ai discenti questioni legate alla cybersecurity, informatica forense, strumenti pratici, analisi dei rischi, compliance e standard.

NIS2 e Informatica Forense per Ordine Ingegneri Provincia di Milano

Programma del corso sulla NIS2 organizzato dal FOIM

Il programma del corso sulla NIS2, organizzato dalla Fondazione Ordine degli Ingegneri della Provincia di Milano è stato il seguente:

  • 14.28 | Collegamento alla piattaforma
  • 14.30 | Presentazione del seminario
  • 14.35 | NIS 2: ermeneutica della complessità, un approccio organizzativo integrato alla cybersicurezza – Giuseppe SERAFINI – Avv.
  • 15.10 | Informatica Forense e NIS2, un connubio indissolubile ma sottovalutato – Paolo DAL CHECCO – Consulente Informatico Forense
  • 15.45 | Question time
  • 16.00 | Strumenti pratici per l’implementazione dei prerequisiti NIS-2, ISO27001, GDPR – Alberto BENZONI – Fast-Group
  • 16.35 | Kill Risk: analisi dei rischi rispetto ai controlli (da ISO 27001 a NIST CSF passando per la NIS2) – Gianluigi ANGOTTI – Cons.
  • 17.10 | Recepimento NIS2 e armonizzazione cybersecurity: compliance, standard internazionali e impatti organizzativi – Roberto RE – Cons.
  • 17.45 | Question time
  • 18.00 | Conclusioni e chiusura seminario

Docenti del corso sulla normativa NIS2

I docenti del corso sulla Normativa NIS2 tenuto per la Fondazione Ordine degli Ingegneri della Provincia di Milano sono stati i seguenti:

  • Dott. Paolo Dal Checco, Consulente Informatico Forense
  • Ing. Gianluigi Angotti, CISO (Chief Information Security Officer)
  • Ing. Roberto Re, Consigliere dell’Ordine degli Ingegneri della Provincia di Milano
  • Avv. Giuseppe Serafini, Avvocato presso Studio Legale
  • Dott. Alberto Benzoni, Amministratore Delegato Eureka Srl

Cos’è la direttiva NIS2? 

La Direttiva NIS2 (Network & Information Systems Directive) è stata formalizzata nel 2022 e recepita in Italia con il D.lgs. 138/2024 in sostituzione della precedente direttiva NIS del 2018), ampliandone l’ambito e rafforzando i requisiti di sicurezza per le infrastrutture digitali.

La normativa, entrata in vigore il 16 ottobre 2024, mira ad armonizzare le misure di sicurezza informatica tra i Paesi dell’UE, potenziando la capacità di risposta delle aziende e prevenendo i rischi informatici.

La direttiva introduce una serie di obblighi per migliorare la sicurezza digitale, tra cui uniformare il livello di protezione informatica in tutti gli Stati membri, aumentare la robustezza attraverso requisiti più stringenti e sanzioni severe e preparare le aziende a fronteggiare attacchi informatici mediante piani di resilienza e continuità operativa. 

A chi è destinata la normativa NIS2? 

NIS2 non è destinata a tutti è applicabile ad alcuni settori critici come l’energia, i trasporti, la finanza, la sanità e le infrastrutture digitali, utilizzando un criterio che definisce l’applicabilità in base alla dimensione delle imprese

Le imprese soggette alla NIS2 devono adeguarsi a requisiti più dettagliati in tema di gestione del rischio, sicurezza della catena di fornitura e risposta agli incidenti. Inoltre, la normativa introduce una forte responsabilità dei manager, che impone ai dirigenti di adottare misure di sicurezza adeguate e di promuovere la formazione del personale.  

L’intervento di Paolo Dal Checco su NIS2 e Informatica Forense

L’intervento del CEO Forenser Paolo Dal Checco, nel corso sulla NIS2, è stato intitolato “Informatica Forense e NIS2: Un Connubio Indispensabile per la Sicurezza Sistemica” ed è stato dedicato all’importanza critica del legame tra Informatica Forense e la Direttiva NIS2, un binomio che, sebbene indissolubile, è ancora troppo sottovalutato.

In qualità di Consulente Informatico Forense e fondatore di Forenser Srl, forte di un’esperienza decennale sul campo e oltre 2.000 casi gestiti in ruoli tecnici e legali – esperienza maturata a partire Dottorato di Ricerca in Informatica focalizzato sulla crittografia e la sicurezza delle comunicazioni – il Dr. Dal Checco ha voluto sottolineare come la NIS2 imponga un radicale cambio di paradigma.

Non è più sufficiente limitarsi ad acquistare soluzioni tecnologiche; la normativa richiede infatti di dimostrare l’efficacia misurabile delle misure di sicurezza implementate, adottando un approccio multi-rischio che deve essere proporzionale al livello di rischio precedentemente valutato.

NIS2 e Compliance - digital forensics e informatica forense in aiuto

L’informatica forense o digital forensics si rivela essenziale non solo nella risposta agli attacchi, ma in ogni misura minima prevista dall’Articolo 24. Per esempio, è fondamentale per condurre una corretta Analisi dei Rischi, poiché solo l’analisi retrospettiva degli incidenti passati – inclusi quelli tentati o “mancati” – può fornire i dati necessari per questa valutazione. Essa rappresenta il campo di gioco principale nella Gestione degli Incidenti e nella verifica dell’integrità dei sistemi di Continuità Operativa, dove solo un’analisi approfondita può confermare che i backup non siano stati compromessi. Inoltre, l’analisi post-incidente è l’unica vera metrica per la Valutazione dell’Efficacia degli strumenti di logging, EDR o SIEM utilizzati, e risulta imprescindibile per rispondere alla domanda fondamentale in termini di sicurezza del personale: “Chi ha fatto cosa, quando e come?”.

NIS2 e questione temporale per i CISO - Informatica Forense per la gestione dell'incidente informatico

La sfida più grande si concentra tuttavia sulla gestione delle tempistiche stringenti dettate dall’Articolo 25. Dalla pre-notifica da inviare al CSIRT Italia entro 24 ore fino alla Relazione Finale Completa richiesta entro un mese, la pressione sui CISO è altissima. Questa relazione finale deve obbligatoriamente includere la Root Cause Analysis, ovvero l’identificazione precisa della causa originale che ha innescato l’evento dannoso. Ed è qui che emerge il punto cruciale della lezione: è impossibile identificare con certezza la root cause – come pare effettivamente richiesto dalla normativa NIS2 – senza condurre un’indagine approfondita di Informatica Forense o Digital Forensics.

In conclusione, la Direttiva NIS2 ci spinge verso un approccio olistico alla sicurezza che integra misure Tecniche, Organizzative e Operative; in questo scenario, i log di sistema e le procedure operative diventano la fonte primaria di prova. L’informatica forense, dunque, non è un’opzione, ma una necessità tecnica e legale imprescindibile per soddisfare gli obblighi normativi e garantire una protezione efficace dell’organizzazione in un contesto normativo che si focalizza sull’interruzione dei servizi essenziali e sull’impatto sistemico.

FTK Imager PRO: supporto alla cifratura e iOS

forenser on 28 Settembre 2025

Dopo quasi 25 anni dall’uscita del preziosissimo – oltre che gratuito, anche per uso commerciale – software FTK Imager, la società Exterro (che ha acquisito AccessData) ha fatto uscire la versione “Pro” che ne contiene le stesse caratteristiche ma con il supporto alla decifratura e all’acquisizione logica di dispositivi iOS.

L’idea che si legge sulla pagina ufficiale di FTK Imager Pro su Exterro è quella di espandere le capacità già solide della versione gratuita con funzioni più sofisticate, soprattutto per trattare prove cifrate, dispositivi mobili e per ridurre i tempi nelle attività forensi. Secondo Exterro, FTK Imager Pro “permette di evitare l’imaging completo del disco e visualizzare file decrittati istantaneamente, preservando la catena di custodia e accelerando le indagini.

Caratteristiche e prezzo di FTK Imager PRO

Nella pagina del “coming soon” del negozio Exterro, sono elencate le caratteristiche chiave previste per la versione Pro:

  • acquisizione logica avanzata “Advanced Logical” da Smartphone Apple iOS (messaggi, foto, dati app, registri chiamate);
  • rilevamento di immagini cifrate e richiesta delle credenziali per decrittarle;
  • accesso “live” a dati decrittati direttamente dal dispositivo, senza dover necessariamente creare prima un’immagine cifrata completa.

Il prezzo indicato sul sito del negozio è 499 USD all’anno per utente, la licenza è legata al PC sul quale viene installato il software.

La versione gratuita di FTK Imager: cosa offre

Per comprendere il salto rappresentato da FTK Imager Pro, è utile ricordare le funzioni offerte dalla versione gratuita di FTK Imager:

  • Creazione di copia forense di hard disk o supporti di memoria nei formati standard (E01, AFF, RAW, ecc.);
  • Creazione di copie forensi di cartelle o singoli file tramite contenitori forensi in formato A01;
  • Anteprima di file e directory contenuti nelle immagini o nei dispositivi collegati;
  • Esportazione tramite di file e cartelle selezionati da immagini forensi (es file di registro, eventi, etc…);
  • Calcolo e verifica degli hash (MD5, SHA1, SHA256) per garantire l’integrità dei dati acquisiti;
  • Montaggio di immagini forensi come unità virtuali per ispezione.

Queste funzionalità rendono la versione gratuita uno strumento molto utile e robusto per attività di copia forense di base, prendando ovviamente limitazioni quando si devono trattare dati cifrati, dispositivi mobili o situazioni in cui non si vuole acquisire l’intero disco indiscriminatamente.

Confronto: la versione gratuita di FTK Imager vs FTK Imager Pro

Sul sito ufficiale viene fornita una ottima tabella di confronto tra la versione gratuita di FTK Imager vs FTK Imager Pro:

Da questo confronto tra le due versioni – FTK Imager free edition e FTK Imager PRO a pagamento – emerge chiaramente che la Pro punta a colmare le lacune più critiche della versione gratuita, specialmente nelle aree dell’encryption, dell’analisi “live” e del supporto a dispositivi mobili.

Punti strategici e vantaggi principali di FTK Imager Pro

Emergono dai documenti evidenti vantaggi della versione a pagamento di FTK Imager PRO, tra i quali:

1. Trattamento delle evidenze cifrate / crittografia

Uno dei punti di forza più citati per FTK Imager Pro è la capacità di rilevare immagini cifrate (come BitLocker, FileVault, e altre) e richiedere le credenziali per decrittarle, permettendo di visualizzare i dati senza dover prima creare un’immagine cifrata completa. Questo è particolarmente utile, poiché oggi molte installazioni operative – persino sistemi Windows moderni – adottano cifratura di default, e dover acquisire un’intera copia forense cifrata per poi scoprire che l’oggetto d’interesse è piccolo può essere inefficiente.

2. Preview / accesso live ai dati decrittati

Invece di dover acquisire e poi analizzare per intero un disco, Pro consente l’accesso immediato ai file decrittati dal dispositivo, riducendo in modo drastico i tempi iniziali delle indagini (il cosiddetto “triage”). Questa funzionalità permette un flusso operativo più agile: si può decidere cosa acquisire in modo selettivo, anziché “prendere tutto”.

3. Supporto migliorato per dispositivi mobili (iOS)

FTK Imager Pro integra una modalità di copia forense logica avanzata per i dispositivi iOS: acquisizione forense di foto, messaggi, dati delle app, registri delle chiamate e così via, con un’interfaccia guidata.

FTK Imager Pro e l'acquisizione forense logica di iOS

Questo riduce la necessità di strumenti esterni di mobile forensics per l’acquisizione forense di iOS, consolidando in un’unica interfaccia maggior parte dei processi iniziali di raccolta di dati da smarthpone Apple iPhone con iOS.

FTK Imager Pro e Acquisizione Forense di iPhone con iOS

La iOS Advanced Logical Collection di FTK Imager Pro sembra simile a una Advanced Logical tipica degli strumenti tradizionali di mobile forensics, basata su backup iTunes come Cellebrite UFED, MSAB XRY, Oxygen Forensics, Magnet Axiom e simili.

4. Efficienza e riduzione dei tempi

Con le funzioni pro di decrittazione “on the fly” e l’accesso live, Exterro afferma che gli operatori possono “chiudere casi più rapidamente e con meno sforzo”. In scenari reali, dove il tempo è cruciale (incident response, indagini penali, contenziosi), questa efficacia può essere strategica.

5. Mantenimento della catena di custodia

Nonostante l’accesso diretto ai dati decrittati, l’obiettivo è preservare i principi forensi, tracciando gli accessi e controllando che qualsiasi modifica non comprometta l’integrità dell’evidenza. Exterro sostiene che Pro mantiene la catena di custodia anche nelle operazioni più snelle.

6. Unificazione delle funzionalità

FTK Imager Pro combina più funzioni (imaging, decrittazione, raccolta mobile) in un solo tool “leggero”, evitando di dover passare tra più strumenti o moduli. Questo può semplificare la formazione del personale e ridurre l’errore operativo.

Potenziali svantaggi e limiti da considerare

Il prodotto pare molto interessante ma ci sono alcune criticità o limiti ancora da valutare:

Costo / modello di licenza
Pro sarà offerto con un abbonamento annuale (499 USD per utente) il che rappresenta un investimento più che percorribile anche per piccole strutture ma la licenza è legata al singolo dispositivo (PC, Workstation) e non pare essere disponibile versione con licenza su dongle.

Dipendenza da credenziali valide
Le capacità di decrittazione “on demand” funzionano solo se si dispone delle credenziali corrette. In assenza delle chiavi, l’accesso live potrebbe non essere possibile, costringendo comunque ad acquisizioni complete o brute force nel caso in cui non si disponga delle password.

Complessità e rischi operativi
L’accesso “live” ai dati può esporre a rischi di alterazione accidentale o manipolazione: anche se il tool si propone di preservare integrità e catena di custodia, l’operatore deve essere cauta/o e ben addestrata/o.

Limitazioni nelle analisi più avanzate

FTK Imager (in versione gratuita o Pro) non è un tool di analisi forense completa che possa essere utilizzato come strumento principale per una perizia informatica, per esempio, non è pensato per compiere analisi complesse su file cancellati, recuperi approfonditi, correlazioni, reportistica forense sofisticata. Per queste funzioni, esiste il “FTK Forensic Toolkit” (la suite completa) che integra motori di analisi, ricerche full-text, database, e reportistica avanzata così come altre soluzioni di produttori concorrenti come Intella, Nuix, Magnet Axiom, Belkasoft, etc…

Stabilità / maturità del prodotto

Essendo un prodotto d’informatica forense “nuovo” (o comunque di recente rilascio), potrebbero emergere bug, limitazioni nelle versioni iniziali, o mancanze rispetto a casi limite non previsti. Occorre valutare affidabilità, aggiornamenti e supporto nel tempo, dato che non molto tempo fa era emerso un problema con una versione di FTK Imager gratuita rilasciata e subito ritirata dal web.

Compatibilità e dipendenze ambientali

Potrebbero esserci limitazioni legate ai sistemi operativi, alle versioni dei file system cifrati, a nuove forme di cifratura emergenti che non siano inizialmente supportate, a modelli iOS non previsti, ecc.

Conclusioni

Nel complesso, il software FTK Imager Pro sembra un ottimo prodotto per eseguire perizie informatiche forensi su supporti digitali come hard disk, pendrive e ora anche smartphone Apple iPhone con iOS: valuteremo di aggiornare l’articolo in base a test o feedback una volta che ve ne saranno.

La truffa MiTM dei bonifici su falso IBAN – come funziona e come difendersi

forenser on 15 Giugno 2025

Il CEO Forenser Paolo Dal Checco ha collaborato insieme a Federico Lagni e all’Avv. Marco Cuniberti alla realizzazione di un video sulle truffe dei bonifici falsi e fraudolenti di tipo Man in The Mail (nota anche come “MiTM“), tramite le quali i criminali entrano in una casella di posta elettronica, sostituiscono l’IBAN di pagamento di una fattura e incassano il saldo pagato dal cliente al posto del venditore.

Non sempre l’attacco avviene su una casella di posta, ci sono casi nei quali semplicemente tramite “social engineering” i malfattori ingannano un soggetto (es. la segretaria di un’azienda, un cliente, etc…) convincendolo a fare un bonifico a uno specifico IBAN “taroccato” perché sotto il loro controllo.

Le Frodi sui Bonifici: Un’Analisi Tecnica e Giuridica

L’era digitale, se da un lato ha rivoluzionato il panorama dei pagamenti e delle transazioni, semplificando operazioni complesse, dall’altro ha creato nuove opportunità per la criminalità informatica. La vicenda di Marco, musicista professionista e cliente Tesla, che ha perso oltre 30.000 euro a seguito di una sofisticata truffa, rappresenta un caso emblematico. Questa storia offre una preziosa occasione per esaminare in profondità le vulnerabilità dei sistemi di pagamento e l’importanza di un approccio consapevole e proattivo alla sicurezza, spesso supportato da indagini di informatica forense.

La Cronistoria: Quando la Fiducia Incontra la Frode Digitale

La vicenda di Marco inizia in modo ordinario. Cliente soddisfatto di Tesla dal 2019, decide di acquistare un nuovo modello a fine gennaio, con permuta della sua auto e assegnazione del VIN, seguendo una procedura già sperimentata e ritenuta sicura. A febbraio riceve un’email che sembra provenire direttamente da Tesla, contenente la richiesta di pagamento e la fattura allegata, esattamente come accaduto in precedenza. Fidandosi della regolarità apparente del mittente (@tesla.com) e dei dati bancari inclusi nel PDF allegato, Marco effettua il bonifico di a febbraio tramite la sua app di home banking e riceve persino una conferma via email, tanto che gli viene fissata la data di consegna per marzo.

Truffa del bonifico con attacco MiTM durante acquisto di una Tesla

A marzo, però, l’amara sorpresa: Tesla lo contatta, comunicando che il bonifico non è mai pervenuto. Un’attenta verifica delle email rivela la cruda realtà: l’IBAN presente nel PDF allegato all’email era stato alterato. I fondi non erano finiti a Tesla Motors Italy, bensì su un conto intestato a una SRLS italiana in provincia di Roma. Marco si attiva immediatamente, denunciando l’accaduto all’ufficio frodi della sua banca, ai Carabinieri e alla Polizia Postale. La sua banca, tuttavia, comunica dopo circa quindici giorni che i fondi non sono recuperabili, poiché il conto ricevente era già vuoto, suggerendo un rapido dirottamento del denaro. Questa mancanza di tutela per i consumatori è particolarmente frustrante, soprattutto considerando che truffe simili erano già avvenute ai danni di Tesla in passato, nel Regno Unito nel 2019 e in Australia nel 2021. Marco nota con amarezza che le banche, ad oggi, non hanno l’obbligo di incrociare i dati dell’intestatario del conto con l’IBAN durante un bonifico, una lacuna che lo ha esposto a questo rischio.

Aspetti Tecnici: L’Intervento del “Man in the Mail” e la Necessità della Digital Forensics

La truffa subita da Marco è un esempio classico di attacco “man in the middle” o, più specificamente, “man in the mail”, talvolta nota come “BEC Scam”, “BEC Fraud”, “Business Email Compromise” o anche – con accezioni diverse – “CEO Fraud” o “CEO Scam” perché spesso tramite social engineering viene coinvolto il direttore di un’azienda.

Il CEO Forenser, Paolo Dal Checco, consulente informatico forense, ha fornito una dettagliata spiegazione del meccanismo sottostante la truffa dei bonifici su IBAN taroccato e falso, evidenziando come una perizia informatica ben strutturata e completa sia cruciale per districarsi nei meandri di tali frodi e identificare le responsabilità, in modo da poter ottenere giustizia in un’aula di Tribunale o in via stragiudiziale.

Fattura falsa con IBAN errato per la truffa dei bonifici fraudolenti

I criminali, in questi casi, riescono a violare la casella email della vittima, tipicamente tramite la webmail, acquisendo le credenziali attraverso tecniche come il “password reuse”, il “password stuffing”, il phishing o l’uso di malware. Una volta ottenuto l’accesso, gli attaccanti hanno monitorato il traffico email di Marco in tempo reale. Non appena è arrivata l’email legittima da Tesla con l’IBAN corretto, hanno agito con incredibile velocità: hanno cancellato l’email originale dalla posta in arrivo di Marco, l’hanno modificata via IMAP inserendo una fattura con l’IBAN fraudolento (e persino un QR code, non utilizzato da Tesla, che rimandava al conto del truffatore), e l’hanno ricaricata sempre tramite protocollo IMAP nella sua inbox. Questo processo, reso possibile dal protocollo IMAP che permette non solo di scaricare ma anche di ricaricare le email, è avvenuto così rapidamente che Marco non ha potuto accorgersi della sostituzione, non vivendo “con gli occhi incollati alla casella di posta” come ha riferito.

Fattura con falso IBAN modificato dai criminali nella truffa dei bonifici via email Man In The Mail

L’email contraffatta e con l’IBAN falso appariva indistinguibile dall’originale, mantenendo lo stesso mittente, destinatario, testo e layout. Un’analisi approfondita di digital forensics ha però rivelato che la mail modificata non presentava una firma DKIM valida e verificata e, soprattutto, mancava di il “Message ID” – una sorta di “targa” identificativa univoca per ogni email.

Gli attaccanti hanno intenzionalmente rimosso il Message ID per evitare che il client di posta o la webmail potessero rilevare anomalie e per far sì che il messaggio apparisse esattamente nella posizione desiderata. Questa tecnica si differenzia dal semplice “spoofing”, in quanto la modifica avviene su un’email legittima già transitata, eludendo i controlli antispam e antifishing iniziali.

La perizia informatica ha confermato che la casella di posta di Marco era stata compromessa, mentre l’account Tesla era invece sicuro e attendibile, tanto che sulla casella di Marco c’erano accessi da indirizzi IP non riconducibili a lui e tentativi di autenticazione falliti registrati nei log del provider.

Un ulteriore aspetto tecnico che emerge dalla analisi forense e OSINT con ricerche su fonti aperte è l’organizzazione sottostante alla frode: il conto corrente italiano su cui Marco ha bonificato i soldi era già attivo e pronto per essere utilizzato per scopi illeciti, evidenziando un livello di preparazione che va ben oltre la semplice compromissione di un account email.

Aspetti Giuridici e Responsabilità Condivise: Le Sfide Legali delle Frodi Informatiche

La vicenda di Marco solleva interrogativi cruciali in merito alle responsabilità legali di diversi attori coinvolti in un’ottica di prevenzione e gestione delle frodi che spesso richiedono l’intervento di informatica forense per la ricostruzione dei fatti:

  • Le Banche: L’attuale quadro normativo non obbliga le banche a verificare la corrispondenza tra il nome del beneficiario e l’IBAN. Tuttavia, il nuovo regolamento europeo 2024/886, in vigore dal 9 ottobre 2025, imporrà alle banche di notificare il pagatore in caso di mancata corrispondenza, una misura che avrebbe potuto prevenire il danno a Marco. L’avvocato Marco Coniberti sottolinea che il livello di diligenza richiesto a una banca è elevato, data la natura del servizio. Inoltre, l’apertura di un conto a nome di un’azienda all’insaputa di quest’ultima, o con documenti falsi, implicherebbe una responsabilità diretta della banca per aver violato le misure di sicurezza.
  • I Provider di Servizi Email: Nonostante i provider dispongano di log che registrano tentativi di accesso falliti o accessi da IP insoliti – dati cruciali per una perizia informatica – nel caso di Marco non sono stati inviati alert o notifiche che avrebbero potuto indurlo a cambiare la password. Questa omissione è considerata una negligenza, poiché si prevede che i provider, nel 2025, dispongano di strumenti avanzati per rilevare anomalie.
  • Le Aziende (es. Tesla): L’utilizzo dell’email per veicolare informazioni di pagamento così sensibili è intrinsecamente rischioso, dato che la posta elettronica è definita uno “strumento estremamente insicuro per natura”. Sebbene la fatturazione elettronica e il “cassetto fiscale” offrano un livello di sicurezza superiore, l’abitudine di inviare “copie di cortesia” in PDF ne vanifica spesso il vantaggio, poiché tali copie sono facilmente modificabili. Un’azienda dovrebbe promuovere la compilazione dei campi IBAN nelle fatture elettroniche e, in alcuni contesti, persino scoraggiare la fornitura di copie di cortesia via email per mitigare i rischi.
  • L’Utente (la vittima): Sebbene le truffe siano sempre più sofisticate, all’utente finale è richiesto di adottare precauzioni. Tra le misure preventive essenziali vi sono l’attivazione dell’autenticazione a due fattori (2FA) per la propria casella email, che rende l’accesso molto più difficile anche in caso di furto di password. È inoltre fondamentale verificare sempre l’IBAN per importi consistenti o in caso di modifiche sospette, contattando il fornitore tramite un canale di comunicazione alternativo e fidato, come il telefono o WhatsApp. La pratica dimostra che queste frodi sono “molto più spesso di quello che sembra”, e la testimonianza di Marco è preziosa per aumentare la consapevolezza collettiva.

La storia di Marco e della truffa dei bonifici su IBAN sostituito nella fattura inviata via email – raccontata insieme all’Avv. Marco Pierobon e all’informatico forense Paolo Dal Checco nell’intervista di Federico Lagni – è un esempio lampante di come la sicurezza informatica sia una responsabilità condivisa e di come l’informazione, la prevenzione e, laddove necessario, la perizia informatica forense successiva al danno siano le armi più potenti contro le frodi.

Nonostante l’entità del danno economico subito, la sua testimonianza contribuisce a spingere verso un sistema più sicuro e tutele maggiori per i consumatori, auspicando che esperienze così traumatiche possano essere evitate o almeno attenuate in futuro.

Paolo Dal Checco Consulente Informatico de Le Iene nel servizio su SPID

forenser on 10 Giugno 2025

IL CEO Forenser, Paolo Dal Checco, ha nuovamente collaborato come consulente informatico per Le Iene, questa volta al servizio di Luigi Pelazza nel pezzo andato in onda il 3 giugno 2025 su Italia Uno e intitolato “Usi lo SPID? Occhio alla Truffa”. Un’inchiesta che ha messo in luce una vulnerabilità critica che riguarda gli italiani e la loro identità digitale basata, tra le altre cose, sul sistema SPID, Sistema Pubblico d’Itentità Digitale.

Truffa del Doppio SPID per Le Iene con Luigi Pelazza e Paolo Dal Checco

Lo SPID è ormai indispensabile per un’ampia gamma di servizi: scaricare certificati, pagare le tasse, prenotare visite mediche, iscrivere i bimbi a scuola e persino ricevere la pensione o l’assegno universale per i figli. Purtroppo, proprio la sua centralità lo rende un bersaglio primario per i criminali, che lo utilizzano per compiere truffe basate sul fatto che è possibile creare un clone di uno SPID senza che il soggetto cui è intestato lo venga a sapere, anche se ha un altro account SPID configurato.

Durante il servizio al quale il Dr. Paolo Dal Checco, CEO Forenser, ha partecipato come consulente informatico de Le Iene vengono esplorati grazie all’abile conduzione della iena Luigi Pelazza casi sconcertanti, come quello di Mario, che si è ritrovato il suo cassetto fiscale completamente svuotato: un credito d’imposta di 800.000 euro è sparito nel nulla.

Paolo Dal Checco – Consulente Informatico per Le Iene nel servizio di Luigi Pelazza

La cosa più allarmante che emerge dal servizio in cui Paolo Dal Checco ha prestato servizio in qualità di consulente informatico forense per Le Iene è che gli accessi fraudolenti sono avvenuti tramite uno SPID intestato alla vittima, ma non quello originale attivato nel 2020. Incredibilmente, dagli atti delle indagini svolte, risulta che altri tre SPID clone sono stati creati utilizzando i suoi documenti, senza che Mario ricevesse alcuna notifica via email o cellulare.

Questa frode informatica ha evidenziato una grave criticità: non esiste un database generale e unico che monitori tutte le attivazioni SPID. Di conseguenza, nonostante denunce ripetute alla Guardia di Finanza e alla Polizia Postale, le attività fraudolente non si sono fermate, con accessi continui alle società che Mario rappresenta e manipolazione di crediti fiscali, inclusi quelli per il sisma bonus. L’Agenzia delle Entrate, in questi casi, sembra non essere in grado di monitorare autonomamente e deve essere avvisata dalla persona che ha subito il problema.

La “truffa del doppio SPID” o dello SPID clonato ha già colpito – come frode informatica – migliaia di persone, dai beneficiari di bonus ristrutturazioni a quelli che aspettavano la tredicesima e persino molti studenti che si sono visti sottrarre i 500€ della carta cultura.

La base di tutto è che i truffatori devono riuscire ad acquisire i nostri documenti per poter registrare uno SPID a nostro nome e lo fanno in diversi modi: prelevandoli nel dark web, ottenendoli tramite phishing, rubandoli dalla nostra casella di posta elettronica nel momento in cui riescono ad entrare tramite accesso abusivo se non la proteggiamo a sufficienza.

Una delle caratteristiche più problematiche di questo sistema è che non si viene avvisati se qualcuno attiva uno SPID a nostro nome. Sebbene l’AGID (Agenzia per l’Italia Digitale) supervisioni i 12 fornitori di SPID e abbia multato alcune società per aver accettato documenti falsi o usato sistemi di identificazione non autorizzati, la frammentazione del sistema rende difficile una visione d’insieme utile a rilevare correlazioni tra identità sospette. La possibilità di avere più SPID, nata da una concezione tecnica ormai superata, persiste, sebbene lo SPID stia per essere sostituito dal wallet europeo entro un anno, che servirà anche per comprare biglietti aerei o fare contratti all’estero.

Qui trovate un elenco dei contatti dei 12 provider SPID accreditati in Italia (si ringrazia Matteo Flora che, nel suo video Youtube, ha illustrato abilmente il problema producendo anche un elenco d’indirizzi da contattare):

  1. Intesi Group – spid@intesigroup.com (da elenco soggetti accreditati AGID)
  2. Infocamere – protocollo@pec.infocamere.it (da elenco soggetti accreditati AGID)
  3. TeamSystem – teamsystemgroup@pecteamsystem.com (da elenco soggetti accreditati AGID)
  4. TIM – supportotimid@telecomitalia.it (da contatti portale SPID)
  5. SpidItalia – gestoreidp@pec.register.it (da elenco soggetti accreditati AGID)
  6. Sielte – spid@sielte.it (da contatti portale SPID)
  7. PosteId – centroserviziprivacy@posteitaliane.it (da Privacy Policy, non presente né su SPID né su portale AGID)
  8. Namiral – supportospid@namirial.com (da contatti portale SPID)
  9. Lepida – lepidaid@pec.lepida.it (da elenco soggetti accreditati AGID)
  10. InfoCert – infocert@legalmail.it(da elenco soggetti accreditati AGID)
  11. Aruba – direzione.ca@arubapec.it (da elenco soggetti accreditati AGID)
  12. EtnaId – dpo@eht.eu (da Privacy Policy, non presente né su SPID né su AGID)

Il Dr. Paolo Dal Checco – e con lui lo Studio d’Informatica Forense Forenser – viene spesso chiamato come CTP informatico a difesa delle vittime delle truffe, spesso basate su furto dello SPID o dei documenti d’identità, con l’incarico di produrre una perizia informatica che attesti quanto accaduto e le responsabilità dei vari attori. È quindi importante tenere al sicuro i propri documenti per evitare di cadere vittima della frode informatica: la vigilanza è l’unica difesa in un panorama digitale in continua evoluzione.

Ci auspichiamo che questo servizio dove il CEO Forenser Paolo Dal Checco ha supportato Le Iene come Consulente Informatico Forense possa aumentare la consapevolezza su questi rischi e spingere verso soluzioni più sicure per la nostra identità digitale.

Consulente Informatico per Le Iene nel Servizio sulle Truffe

forenser on 1 Giugno 2025

Martedì 27 maggio 2025 il CEO Forenser Paolo Dal Checco ha nuovamente collaborato – come consulente informatico forense per Le Iene – a un servizio TV andato in onda su Mediaset durante la trasmissione “Le Iene” che mette in guardia le potenziali vittime dalle nuove truffe che arrivano tramite smartphone.

Paolo Dal Checco, Consulente Informatico per Le Iene

Supportando Le Iene in qualità di Consulente Informatico, il CEO Forenser Paolo Dal Checco ha illustrato alcune caratteristiche tecniche che contraddistinguono le 5 nuove truffe raccontate nel servizio TV della iena Matteo Viviani, spiegando anche ove possibile quali contromisure possono essere utilizzate per evitare di cadere vittima dei raggiri.

Le 5 truffe che arrivano via smartphone, raccontate nel servizio dove il CEO Paolo Dal Checco ha partecipato in qualità di consulente informatico per Le Iene sono le seguenti:

1. La truffa “task scam” dei like e delle recensioni facili

Questa truffa inizia con un contatto, spesso tramite telefono, che propone un’offerta di lavoro dopo aver presumibilmente ricevuto un curriculum. L’obiettivo dei truffatori è spostare la conversazione su WhatsApp. Qui, vengono proposti “lavoretti facili” da fare da casa. La vittima viene introdotta a una piattaforma dove, tramite un semplice tasto, può rilasciare recensioni positive su vari prodotti per “accattivare” i clienti. Viene descritto come “il lavoro più facile del mondo”: si clicca “like” su un sito web e compare in automatico un commento positivo.

La fregatura emerge presto. Il sistema richiede di caricare denaro per guadagnare. Ad esempio, caricando €10 si guadagnano €30 tramite le recensioni. Dopo un po’, i prodotti “normali” finiscono, e per continuare a mettere like e recensioni false, bisogna comprare pacchetti speciali. La vittima, pur potendo intuire la truffa, viene abbindolata e carica i soldi. In un caso, una vittima ha caricato €70 e ha ricevuto un bonifico di €160 come “prova” che funzionava. I pagamenti o i guadagni spesso passano per le criptovalute. I truffatori fanno scaricare app di criptovalute che controllano loro, o inviano criptovalute false. Una volta che la vittima è “ingolosita”, la posta in gioco viene alzata. La vittima nell’esempio ha caricato €320 per un secondo pacchetto, ma le sono stati chiesti altri €1700 per sbloccare un guadagno promesso di €10.000.

A questo punto, spesso la vittima inizia a insospettirsi, riconoscendo che guadagnare €70 in pochi giorni è credibile, ma pagare €1700 per ottenerne €10.000 non lo è. I truffatori comunicano solo per messaggio, dicendo che le chiamate sono proibite durante l’orario di lavoro. I numeri usati sono spesso stranieri, anche se alcuni possono sembrare italiani. Se la vittima prova a chiamare o a chiedere chiarimenti, la chat viene bloccata e i truffatori spariscono con i soldi. Ci si può difendere prestando attenzione a offerte “troppo belle per essere vere”, contatti da numeri esteri e all’uso di criptomonete. È utile verificare da quanto tempo esiste un sito web e lo si può fare semplicemente tramite siti di Whois come Whois di Domain Tools o Who.is.

2. La truffa del cane smarrito e ritrovato

Questa truffa colpisce chi ha smarrito un animale domestico, come un cane o un gatto. I truffatori cercano annunci di smarrimento che contengono molti dettagli personali, come la zona di residenza e il nome e la descrizione dell’animale. Ti chiamano, a volte in orari insoliti, da un numero sconosciuto. Dall’altra parte, con una voce arrogante, sostengono che hai abbandonato il tuo animale, usando il nome corretto dell’animale.

Successivamente, chiedono una somma di denaro, anche elevata (nell’esempio, €4000), per restituire l’animale. Giustificano l’importo citando leggi più severe sull’abbandono degli animali, che prevedono multe salate (fino a €10.000) e persino il carcere. Nell’esempio riportato, la truffa non è andata a buon fine perché l’annuncio che i truffatori avevano visto era vecchio, e il cane era già tornato a casa nel frattempo. La vittima ha capito subito la frode. Nonostante ciò, questa truffa sfrutta l’amore dei padroni per i loro animali, spingendoli potenzialmente a pagare pur di riaverli.

3. La truffa dell’emergenza IT-Alert falsa

Una truffa particolarmente cinica sfrutta la paura legata ai disastri naturali, come alluvioni, terremoti o eruzioni vulcaniche, che colpiscono diverse aree in Italia. I criminali inviano un SMS che appare come un messaggio di emergenza autentico “!”IT-Alert”, come quelli che abbiamo tutti ricevuto mesi fa nelle fasi di test del protocollo ItAlert. Questo messaggio che si finge IT Alert contiene un link: cliccando sul link, si viene reindirizzati a un sito web dove viene richiesto di scaricare un’applicazione, ad esempio – per Android – in formato Apk.

Questa applicazione scaricata è in realtà un malware. Una volta installata, l’app prende il controllo del telefono. Inizia a spiare le tue attività, rubare le password, e può persino attivare la telecamera e l’audio del dispositivo. Un rischio enorme riguarda le app bancarie: il malware può utilizzare i dati biometrici salvati sul telefono (come l’impronta digitale o il riconoscimento facciale) per autenticare operazioni bancarie come bonifici o ricariche. In sostanza, il malware può svuotare il conto corrente. Una volta che il malware prende possesso del telefono e inizia ad autenticare operazioni al posto tuo, si è “finiti”.

5. La truffa della votazione per il concorso della nipotina

Arriva un messaggio, spesso dal numero di un contatto o un amico. Il messaggio chiede un semplice favore, come “Ciao, puoi votare per mia figlia o nipote per una borsa di studio importante oppure un concorso di danza o bellezza?” e contiene un link. Cliccando sul link si accede a una pagina dove si vota tra due candidate cliccando sulla foto.

Per poter votare, compare una richiesta di inserire il numero di telefono per l’autenticazione. Dopo aver inserito il numero, si riceve un messaggio (tipicamente via WhatsApp) che richiede una “autorizzazione rapida e semplice via WhatsApp” e fornisce un codice. Questo processo replica quello per attivare WhatsApp sul computer (WhatsApp Web/Desktop). Inserendo il codice ricevuto nell’apposito campo, si autorizza il dispositivo dei truffatori ad accedere al proprio account WhatsApp. In pochi secondi, la tua chat appare sul loro computer.

A quel punto, i truffatori ottengono i tuoi contatti e altre informazioni che riescono a prelevare. Possono quindi mandare messaggi ai tuoi contatti e nei gruppi di cui fai parte per perpetuare la stessa truffa. Prendono il controllo del tuo account WhatsApp, tagliandoti fuori. Iniziano a usare il tuo account per fare truffe a nome tuo, rendendoti inconsapevolmente un loro “collaboratore”.

5. La truffa della vendita online sui siti di compravendita usato

Questa truffa prende di mira le persone che vendono oggetti su piattaforme online. Il processo inizia normalmente: metti in vendita un oggetto, ricevi una proposta di acquisto e accetti. Le comunicazioni iniziali dalla piattaforma (es. Subito) sono reali, confermando l’affare e dicendo di attendere il pagamento.

La truffa inizia con un messaggio che sembra autentico e provenire dalla piattaforma. Questo messaggio dice “Per sbloccare il pagamento clicca qui”. Cliccando il link si apre una pagina che è una copia identica alla tua pagina dell’offerta, completa di brand, foto dell’oggetto venduto e importo. Sulla pagina, un messaggio indica che il pagamento è “bloccato per motivi di sicurezza” e chiede di cliccare per sbloccarlo. Questa pagina viene clonata molto velocemente dopo che l’oggetto è stato messo in vendita, anche solo 10 minuti dopo. Cliccando sul bottone per “sbloccare il pagamento”, viene richiesto di “inserire i dati della tua carta di credito per poter effettuare la transazione”. Questo è il momento cruciale in cui si dovrebbe avere il sospetto. Fornire i dati della carta di credito permetterebbe ai truffatori di accedere ai fondi. La truffa è considerata “furba”. È stato segnalato che anche le piattaforme stesse potrebbero non essere a conoscenza di questa specifica modalità di frode. Le comunicazioni di pagamento reali da parte delle piattaforme dovrebbero generalmente arrivare via email con un link.

Il CEO Forenser Paolo Dal Checco come consulente tecnico per Le Iene

Questo servizio TV per Le Iene prosegue un ciclo di servizi dove il CEO Forenser Srl Paolo Dal Checco, in qualità di Consulente Tecnico de Le Iene, ha dato il suo contributo per chiarire gli aspetti tecnici delle frodi informatiche e fornire alcuni spunti per difendersi. L’attività di consulente tecnico per Le Iene, nei servizi nei quali viene coinvolto, è un modo di aiutare le persone a proteggersi dalle truffe, dagli attacchi informatici, dai raggiri e dalle minacce aumentando la consapevolezza del pubblico circa le questioni tecniche che sottendono a questo tipo di minacce.

Confidiamo infatti che, anche grazie ai Servizi TV de Le Iene, le persone possano conoscere in anticipo le mosse dei truffatori ed evitare di essere truffate, dato che la miglior difesa è proprio la consapevolezza, la conoscenza, il “farsi trovare pronti” nel momento in cui verremo contattati via SMS o Whatsapp da potenziali truffatori che tenteranno di farci inserire codici, installare applicazioni, accettare lavori, investire in criptomonete o trading con promesse di facili guadagni o a volte ricatti o estorsioni.

Il Consulente Tecnico de Le Iene Paolo Dal Checco

Le indicazioni fornite da Paolo Dal Checco in risposta alle domande della Iena Matteo Viviani, quale Consulente Tecnico de Le Iene nel servizio sulle 5 truffe al cellulare, possono infatti essere utilizzate per difendersi dalle frodi online e non solo, per quanto ribadiamo che la prima difesa è la consapevolezza e l’attenzione alle comunicazioni che giungono da parte di chi ci chiede soldi, dati o di agire con urgenza, proponendo in genere offerte “too good to be true”, cioè troppo belle per essere vere.

Cosa fare si si è vittima di truffa o frode informatica

Purtroppo è frequente che le persone cadano vittima di questo tipo di truffe e richiedano poi al consulente informatico forense una perizia informatica per poter ricostruire quanto effettivamente accaduto e far valere i propri diritti tramite una querela o una causa in Procura o Tribunale, eventualmente acquisendo tramite copia forense le prove informatiche che testimoniano quanto effettivamente accaduto.

Ovviamente è importante rivolgersi innanzitutto all’Autorità Giudiziaria, ad esempio passando dalle Forze dell’Ordine come la Polizia Postale ma non solo, anche i Carabinieri, Guardia di Finanza o in generale la Procura della Repubblica possono accettare querele o esposti.

Un buon avvocato è altresì strategico per potersi tutelare, consigliamo di scegliere avvocati e studi legali che abbiano pratica nel mondo della informatica forense e nei reati informatici, così che possano comprendere le questioni legate alle prove digitali, all’importanza di una copia forense delle evidenze digitali e sappiano gestire cause basate sul mondo digitale.

Un suggerimento che possiamo dare a chi fosse caduto vittima di queste truffe è procedere immediatamente – in autonomia o con l’ausilio di un perito forense – con acquisizione forense delle prove digitali che testimoniano l’evento e possano ricondurre all’attribuzione dell’autore. Le prove digitali sono infatti uno dei requisiti essenziali per procedere poi con una denuncia/querela in Procura, presso i Carabinieri, Polizia Postale, Guardia di Finanza o Polizia Giudiziaria oppure con una causa civile in Tribunale per risarcimento danni, ricorso, ATP, descrizione, citazione in Giudizio.

Recupero di messaggi WhatsApp eliminati tramite Msgstore Increment

forenser on 31 Marzo 2025

Recentemente, durante l’analisi di uno smartphone Android, è stato necessario recuperare dei messaggi cancellati appartenenti ad una chat eliminata dall’applicazione di WhatsApp. Fino a poco tempo fa anche effettuando un’analisi tramite software professionali quali Cellebrite UFED, Oxygen Forensic Detective e Magnet Axiom, non era possibile recuperare tale chat poiché eliminata prima del suo inserimento all’interno del classico backup periodico locale del database “msgstore.db” e quindi non visibile con le metodologie standard di recupero dati.

Di recente la funzionalità di recupero delle chat non presenti nei backup periodici è stata aggiunta ai software di mobile forensics, ma riteniamo utile illustrare in dettaglio come era possibile anche prima dell’aggiunta – e lo è tuttora – procedere manualmente con l’ispezione dei file relativi all’applicazione di WhatsApp e recuperare chat cancellate.

Nello specifico, illustreremo come recuperare una porzione della chat – non presenti nel DB o nei backup tradizionali – grazie all’analisi di un altro file di backup, incrementale e non completo: il “msgstore-increment.db“.

Cos’è il msgstore-increment.db e a cosa serve?

L’applicazione di WhatsApp, quando installata su dispositivi Android, effettua dei backup periodici del database principale “msgstore.db”, contenente tutte le informazioni correlate all’account di WhatsApp, inclusi i messaggi.

Purtroppo, la creazione dei backup e la loro gestione, in alcuni casi, può risultare difficoltosa da parte dell’applicazione soprattutto in situazione in cui i dati gestiti risultano essere centinaia di MB se non GB. Per questo motivo, per minimizzare la perdita dei dati e ottimizzare la gestione della memoria sul dispositivo, WhatsApp esegue dei backup incrementali, tra ogni backup completo, dentro i quali vengono salvati solo i cambiamenti avvenuti nell’applicazione: ad esempio, se il giorno successivo al backup completo vengono inviati cento messaggi, essi vengono inclusi all’interno del backup incrementale eseguito per quel giorno.

Questo significa che, se in seguito alla creazione del backup completo vengono inviati cento messaggi e poi cancellati, essi possono essere recuperati dal backup incrementale, ammesso che non siano stati eliminati prima della sua creazione.

A oggi, software professionali come Cellebrite UFED o Oxygen Forensics supportano il parsing del backup incrementale msgstore-increment, ma fino a pochi mesi fa era una funzionalità probabilmente ancora in lavorazione, dato che è comparsa di recente. Di conseguenza, per tentare il recupero dei messaggi eliminati, in passato, è stato necessario comprendere le logiche alla base di questo tipo di dato e creare uno script in grado di automatizzare l’estrazione di eventuali messaggi cancellati, ma ancora presenti nell’increment, mentre oggi chi ha a disposizione software professionali può eseguire il recupero direttamente tramite le funzionalità interne.

Come funziona e come si estraggono i dati dall’archivio msgstore-increment.db?

Il primo passo è stato quello di approfondire il funzionamento del backup incrementale, avendo prima replicato uno scenario in cui questa funzionalità ha generato degli increment. Tramite l’analisi dei dati generati dall’applicazione WhatsApp, sono stati individuati e analizzati diversi file denominati “msgstore-increment.db.crypt14”, ovvero archivi compressi e cifrati. Tali archivi sono stati decifrati attraverso l’utilizzo dello strumento “wa-crypt-tools” (https://github.com/ElDavoo/wa-crypt-tools) e, successivamente, decompressi, ottenendo file strutturati in formato JSON e un file binario denominato “messages.bin”.

archivio-decifrato-increment

Contenuto dell’archivio msgstore-increment.db.crypt14, backup incrementale

Tra i file in JSON ne è presente uno chiamato “header.json” dentro il quale sono contenute informazioni utili, relative agli altri file presenti nella cartella, compreso “messages.bin”. Inoltre, dall’analisi effettuata sul file binario, è stato possibile determinare il formato utilizzato per la codifica dei dati, ovvero il protocollo protobuf.

Protobuf è un formato di serializzazione dati sviluppato da Google e viene spesso utilizzato nella trasmissione delle informazioni tra applicazioni o per la memorizzazione di dati in un formato binario poiché risulta essere più leggero e performante rispetto a JSON o XML.

Il funzionamento è relativamente semplice, è necessario definire la struttura dei dati tramite la creazione di un file “.proto” e utilizzare un compilatore per la creazione di uno script in grado di codificare i dati basandosi, appunto, sul protocollo definito. Di seguito un esempio di definizione del protocollo:

Esempio di definizione per protobuf

Esempio di definizione per protobuf

In questo caso, uno script basato su tale definizione sarà in grado di creare un file binario contenente i dati “nome” ed “eta” riportati nel file protobuf.

Nell’applicazione di WhatsApp avviene la stessa cosa: il file binario “messages.bin” viene creato da una porzione di codice contenuta nell’applicazione ed è basato su un file “proto” dentro la quale è definita la struttura dei messaggi e delle conversazioni.

Inoltre, il file binario “messages.bin” viene strutturato con una o più porzioni del dato binario codificato con protobuf, tali porzioni vengono definiti anche segmenti o “length-delimited” (https://protobuf.dev/programming-guides/encoding/#length-types). Pertanto, per leggere il contenuto del file è prima necessario separare i vari segmenti e successivamente procedere con la lettura.

Rappresentazione dei segmenti contenuti nel file messages.bin

Rappresentazione dei segmenti contenuti nel file messages.bin

Per la separazione di ogni singolo segmento presente nel file “messages.bin” abbiamo creato uno script in python, che mettiamo a disposizione sulla nostra repository GitHub (https://github.com/Forenser-lab/wa-increment-decoder/blob/main/splitter.py), in grado di leggere il file “messages.bin” e creare diversi file binari ognuno contenente il dato (segmento) protobuf da leggere.

Successivamente, per la lettura di ogni singolo file, abbiamo utilizzato il tool “protobuf inspector” (https://github.com/mildsunrise/protobuf-inspector), uno script in grado di leggere un file binario codificato con protobuf:

Output del tool protobuf_inspector

Output del tool protobuf_inspector

Nonostante sia stato possibile estrapolare i vari messaggi contenuti nei segmenti, essi sono risultati un’aggregazione di dati “anonimi”. Sebbene alcuni dei dati ottenuti dall’estrazione della chat contengano campi con un significato intuitivo, come il testo del messaggio o il timestamp, altri sono risultati ignoti rendendo di conseguenza difficoltoso stabilirne il significato reale. Questo accade poiché noi non siamo in possesso della definizione del protocollo “proto” utilizzato da Meta e in grado di leggere correttamente i dati contenuti nel file binario.

Ciononostante, in rete, sono presenti diversi progetti di reverse engineering aventi oggetto la definizione del protocollo impiegato su WhatsApp, incluso quello del repository GitHub Wa-Proto (https://github.com/wppconnect-team/wa-proto) effettuato sulla versione web del software. Successivamente, provando ad adattare la loro definizione per il nostro scopo, siamo riusciti a decodificare correttamente l’intero contenuto del file binario “messages.bin” ottenendo tutti i dati in chiaro con il loro relativo significato.

A questo punto, è stato semplice creare uno script in grado di generare un file CSV contenente tutti i messaggi presenti nel file binario, indicando il caso in cui un messaggio risultasse essere stato eliminato. Si noti che sono stati effettuati alcuni test che hanno considerato anche i media (immagini, video, etc.) e in alcuni casi nella cartella decifrata e decompressa relativa all’increment è presente il folder “messages.bin” contenente miniature di immagini eliminate (successivi aggiornamenti saranno orientati a verificare in che misura è possibile recupera media o tracce di essi).

Proof of Concept di decifratura e analisi del msgstore-increment.db

Innanzitutto, è stato riprodotto lo scenario: abbiamo inizializzato una nuova chat, utilizzandola per qualche giorno per poi infine eliminarla, evitando che fosse memorizzata nel backup “msgstore.db”. Grazie a questa riproduzione, sebbene i messaggi della chat non siano stati inclusi nel backup settimanale, sono comunque stati inseriti nel backup incrementale giornaliero.

Nell’immagine seguente viene riportata un’illustrazione dello scenario riprodotto. Nello specifico è possibile vedere come il backup principale venga creato alle ore 02:00 AM del 10/01, successivamente alle ore 01:35 PM dello stesso giorno viene creata una conversazione con ID 123 che sarà inclusa nel backup incrementale alle ore 02:00 AM del 11/01. Infine, alle ore 04:00 PM del giorno 11/01 la chat con ID 123, viene eliminata (ma risulta ancora presente nel backup incrementale creato precedentemente):

Timeline dello scenario di riferimento

Timeline dello scenario di riferimento

Successivamente, sono stati estratti i backup incrementali dal dispositivo Android, solitamente contenuti nella directory “/data/media/0/Android/media/com.whatsapp/WhatsApp/Databases/” e opportunamente decriptati tramite l’apposita chiave di cifratura, ottenendo così i seguenti file:

  • msgstore-increment-1-2025-01-16.1.db;
  • msgstore-increment-2-2025-01-16.1.db;
  • msgstore-increment-3-2025-01-16.1.db;
  • msgstore-increment-4-2025-01-16.1.db.

I vari backup sono stati inseriti tutti all’interno della stessa cartella e in seguito è stato eseguito lo script da noi creato per il recupero dei messaggi, il quale ha generato un file CSV contenente la lista di tutti i messaggi estratti:

Generazione del file CSV contenente i messaggi recuperati

Generazione del file CSV contenente i messaggi recuperati

Conclusioni

Grazie ad un approfondimento sulla gestione dei backup nell’applicazione di WhatsApp per dispositivi Android, siamo riusciti a comprendere come essi vengono strutturati tramite il concetto di backup incrementali. L’analisi ci ha portato alla creazione di un piccolo tool, scritto in python, in grado di estrarre in modo strutturato i messaggi dal backup incrementalemsgstore-increment.db” in modo efficiente, con dettagli di rilievo come il timestamp e senza bisogno di utilizzare altri strumenti.

La funzionalità dei backup incrementali permette il recupero di messaggi eliminati tra la creazione di un backup integrale, locale, “msgstore.db.crypt14” e un altro, quindi non recuperabili tramte le tradizionali tecniche di analisi forense e undelete dal DB sqlite o dai backup.

Per chi volesse sperimentare o provare l’estrazione di questi messaggi, lasciamo qui di seguito il link dello script scaricabile dalla nostra repository GitHub (https://github.com/Forenser-lab/wa-increment-decoder).

GPT personalizzati su informatica forense e digital forensics

forenser on 20 Marzo 2025

Per chi fosse nteressato all’uso della IA in ambito informatica forense, segnaliamo tre GPT personalizzati e custom creati da utenti esterni su ChatGPT utilizzabili da chiunque, configurati per fornire supporto su argomenti che riguardano la digital forensics e la perizia informatica.

GPT custom per digital forensics

Nei repository pubblici di GPT sono presenti decine di custom GPT in tema digital forensics, non conosciamo gli sviluppatori e quindi non possiamo garantire sulla qualità, considerato però che la parte iniziale del dialogo con l’IA può essere proprio orientata a capire su che basi sono stati configurati i bot, con quali documenti, tramite quali indicazioni operative, limiti e vincoli, così da valutare l’ambito di applicazione di ogni GPT.

1) https://chatgpt.com/g/g-g4xE4lNk0-digital-forensics-ita

GPT italiano che rappresenta – tramite l’intelligenza artificiale – un esperto digitale in Informatica Forense che applica normativa italiana in Mobile, Computer, Cloud e Network Forensics e con specializzazione su:

✔ Acquisizione e analisi forense di dati da computer, dispositivi mobili, reti e cloud.
✔ Identificazione di violazioni di dati e analisi di eventuali compromissioni.
✔ Utilizzo di strumenti forensi (come EnCase, FTK, Cellebrite, Autopsy) e tecniche di scripting per analisi avanzate.
✔ Supporto legale e conformità alla normativa italiana sulla digital forensics.
✔ Redazione di report forensi validi in tribunale.

2) https://chatgpt.com/g/g-H1VZzHBSK-digital-forensics-advanced-specialist

GPT custom in inglese personalizzato sulla Digital Forensics, progettato su ChatGPT per supportare chi esegue perizie informatiche tramite intelligenza artificiale esperti nell’analisi forense di dispositivi digitali, tra cui smartphone, tablet, droni e altri dispositivi elettronici. È basato su una vasta raccolta di manuali e guide forensi, coprendo strumenti come Cellebrite Physical Analyzer, Oxygen Forensic Suite, Magnet AXIOM, Exterro FTK, e altri, specializzato su:

✔ Estrazione e analisi dei dati da dispositivi mobili, computer e droni.
✔ Recupero dati e prove digitali, incluse cronologie di navigazione, dati eliminati e registri di sistema.
✔ Utilizzo di strumenti forensi per acquisizione e analisi, con procedure e best practice.
✔ Principi di sicurezza e gestione delle prove digitali, fondamentali per garantire l’integrità e l’ammissibilità delle prove.

3) https://chatgpt.com/g/g-66mvwhTqv-dfir-digital-forensics-and-incident-response

Custom GPT specializzato in supporto alla perizia informatica mediante AI personalizzato su Digital Forensics e Incident Response (DFIR), ovvero l’analisi forense digitale e la risposta agli incidenti di sicurezza informatica, in particolare utile per:

✔ Analisi forense digitale – Raccolta ed esame di prove digitali da dispositivi come computer, smartphone e reti.
✔ Risposta agli incidenti – Strategie per identificare, contenere e mitigare minacce informatiche come malware, attacchi ransomware o data breach.
✔ Recupero di dati e tracce digitali – Tecniche per estrarre informazioni da hard disk, memorie volatili, file cancellati e log di sistema.
✔ Threat hunting e analisi malware – Identificazione di comportamenti sospetti e analisi di codice dannoso.
✔ Best practice di sicurezza – Consigli su come proteggere sistemi e dati da attacchi informatici.

Ci sono decine di GPT negli archivi ChatGPT sull’argomento informatica forense e perizie informatiche che possono fornire supporto agli analisti grazie all’intelligenza artificiale: ne abbiamo segnalati tre tra quelli con maggiori feedback e consigliamo ovviamente di non caricare documenti riservati né fidarsi ciecamente di ciò che produce l’AI ma può talvolta essere utile – quantomeno dal punto di vista tecnico e giuridico – per trovare suggerimenti, idee o spunti.

Sicurezza e strategie di difesa al National Security Hub 2024 a Roma

forenser on 1 Dicembre 2024

Martedì 3 dicembre si terrà a Palazzo Wedekind, in Piazza Colonna, 366 a Roma, la seconda edizione del National Security Hub, Forum durante la quale si parlerà d’infrastrutture critiche e strategiche, sicurezza e resilienza, responsabilità etica dell’uso energetico nei data center e nella gestione dei dati, attacchi di precisione nelle
aziende e nella pubblica amministrazione.

L’evento, moderato da Barbara Carfagna, verterà su tre tematiche fondamentali:

  • Sicurezza energetica e protezione delle infrastrutture critiche
  • Data center e responsabilità etica nella gestione dei dati e dell’energia
  • Cittadini e soldati: Manager e Generali. L’educazione agli attacchi di precisione nelle aziende e nella pubblica amministrazione

Per partecipare al Forum “National Security Hub” che si terrà a Roma il 3 dicembre 2024 è sufficiente compilare il seguente form online e per maggiori informazioni contattare info@corelations.it.

Il programma del National Security Hub 2024 è il seguente:

9:30 | Welcome Coffee

10:00 | Saluti istituzionali

10:15 | Panel I – Sicurezza energetica e protezione delle infrastrutture strategiche

Il panel esamina minacce e strategie per proteggere infrastrutture critiche ed energetiche in un contesto globale vulnerabile. L’attenzione sarà rivolta alle tecnologie e alle collaborazioni necessarie per garantire sicurezza e resilienza, affrontando sfide che mirano a destabilizzare risorse essenziali.

Opening remarks

  • Cristiano Leggeri, Direttore della III Divisione del Servizio Polizia postale e per la sicurezza cibernetica
  • Comandante Antonio Bufis, Marina Militare
  • Pierluigi Contucci, Professore ordinario, Dipartimento di Matematica Università di Bologna

Discussant

  • Corrado Giustozzi, Founding Partner & Chief Strategist Rexilience
  • Alessandro Manfredini, Presidente AIPSA – Associazione Italiana Professionisti Security Aziendale

11:00 | Panel II – Data center e responsabilità etica nella gestione dei dati e dell’energia

Questo panel esplora la responsabilità etica dell’uso energetico nei data center e nella gestione dei dati. Analizzeremo l’equilibrio tra ottimizzazione delle risorse, impatto ambientale e tutela della privacy, esplorando approcci che rispettino normative e promuovano una gestione etica in ambito digitale.

Opening Remarks

  • Giovanni Amato, Funzionario Agenzia per l’Italia Digitale con responsabilità diretta sulle operazioni del CERT-AgID ed esperto di cybersicurezza
  • Antonio Mancazzo, Comandante del Nucleo Speciale Tutela Privacy e Frodi Tecnologiche Guardia di Finanza
  • Alessandro Marzi, Head of Group Cyber Defence – CISO A2A

Discussant

  • Nicola Bernardi, Presidente e Membro del Consiglio Direttivo Federprivacy
  • Paolo Dal Checco, Consulente informatico Forense e CEO Forenser Srl
  • Sergio Fumagalli, Clusit Privacy & Security Consultant, Esg advisor P4I
  • Paola Generali, Presidente, Associazione nazionale imprese ICT
Paolo Dal Checco al National Security Hub 2024 a Roma

11:45 | Panel III – Cittadini e soldati: Manager e Generali. L’educazione agli attacchi di precisione nelle aziende e nella pubblica amministrazione

Il panel affronta la preparazione di manager e dirigenti pubblici alla gestione di attacchi mirati. Verranno esplorati approcci formativi ispirati a strategie militari per migliorare la resilienza e la risposta rapida contro minacce specifiche in ambiti aziendali e istituzionali.

Opening Remarks

  • Mirko Lapi, Intelligent & Security Consultant Osintitalia
  • Michele Mezza, Giornalista e Docente Università Federico II Napoli
  • Alessandro Politi, Direttore Nato Defence College Foundation
  • Valerio Visconti, CISO Autostrade per l’Italia
  • Dan Cimpean, The Director, National Cyber Security Directorate and Member of ECCC Governing Board, ENISA Management Board, ECSO Board of Directors

Discussant

  • Gianluca Boccacci, Presidente Cyber Actors
  • Fabrizio D’amore, Direttore del master Sapienza in Sicurezza delle informazioni e informazione strategica e Professore di Cybersecurity nel corso magistrale di Engineering in Computer Science di Sapienza Università di Roma
  • Pierguido Iezzi, Strategic Business Director di Tinexta

13:00 | LIGHT LUNCH