La truffa MiTM dei bonifici su falso IBAN – come funziona e come difendersi

forenser on 15 Giugno 2025

Il CEO Forenser Paolo Dal Checco ha collaborato insieme a Federico Lagni e all’Avv. Marco Cuniberti alla realizzazione di un video sulle truffe dei bonifici falsi e fraudolenti di tipo Man in The Mail (nota anche come “MiTM“), tramite le quali i criminali entrano in una casella di posta elettronica, sostituiscono l’IBAN di pagamento di una fattura e incassano il saldo pagato dal cliente al posto del venditore.

Non sempre l’attacco avviene su una casella di posta, ci sono casi nei quali semplicemente tramite “social engineering” i malfattori ingannano un soggetto (es. la segretaria di un’azienda, un cliente, etc…) convincendolo a fare un bonifico a uno specifico IBAN “taroccato” perché sotto il loro controllo.

Le Frodi sui Bonifici: Un’Analisi Tecnica e Giuridica

L’era digitale, se da un lato ha rivoluzionato il panorama dei pagamenti e delle transazioni, semplificando operazioni complesse, dall’altro ha creato nuove opportunità per la criminalità informatica. La vicenda di Marco, musicista professionista e cliente Tesla, che ha perso oltre 30.000 euro a seguito di una sofisticata truffa, rappresenta un caso emblematico. Questa storia offre una preziosa occasione per esaminare in profondità le vulnerabilità dei sistemi di pagamento e l’importanza di un approccio consapevole e proattivo alla sicurezza, spesso supportato da indagini di informatica forense.

La Cronistoria: Quando la Fiducia Incontra la Frode Digitale

La vicenda di Marco inizia in modo ordinario. Cliente soddisfatto di Tesla dal 2019, decide di acquistare un nuovo modello a fine gennaio, con permuta della sua auto e assegnazione del VIN, seguendo una procedura già sperimentata e ritenuta sicura. A febbraio riceve un’email che sembra provenire direttamente da Tesla, contenente la richiesta di pagamento e la fattura allegata, esattamente come accaduto in precedenza. Fidandosi della regolarità apparente del mittente (@tesla.com) e dei dati bancari inclusi nel PDF allegato, Marco effettua il bonifico di a febbraio tramite la sua app di home banking e riceve persino una conferma via email, tanto che gli viene fissata la data di consegna per marzo.

Truffa del bonifico con attacco MiTM durante acquisto di una Tesla

A marzo, però, l’amara sorpresa: Tesla lo contatta, comunicando che il bonifico non è mai pervenuto. Un’attenta verifica delle email rivela la cruda realtà: l’IBAN presente nel PDF allegato all’email era stato alterato. I fondi non erano finiti a Tesla Motors Italy, bensì su un conto intestato a una SRLS italiana in provincia di Roma. Marco si attiva immediatamente, denunciando l’accaduto all’ufficio frodi della sua banca, ai Carabinieri e alla Polizia Postale. La sua banca, tuttavia, comunica dopo circa quindici giorni che i fondi non sono recuperabili, poiché il conto ricevente era già vuoto, suggerendo un rapido dirottamento del denaro. Questa mancanza di tutela per i consumatori è particolarmente frustrante, soprattutto considerando che truffe simili erano già avvenute ai danni di Tesla in passato, nel Regno Unito nel 2019 e in Australia nel 2021. Marco nota con amarezza che le banche, ad oggi, non hanno l’obbligo di incrociare i dati dell’intestatario del conto con l’IBAN durante un bonifico, una lacuna che lo ha esposto a questo rischio.

Aspetti Tecnici: L’Intervento del “Man in the Mail” e la Necessità della Digital Forensics

La truffa subita da Marco è un esempio classico di attacco “man in the middle” o, più specificamente, “man in the mail”, talvolta nota come “BEC Scam”, “BEC Fraud”, “Business Email Compromise” o anche – con accezioni diverse – “CEO Fraud” o “CEO Scam” perché spesso tramite social engineering viene coinvolto il direttore di un’azienda.

Il CEO Forenser, Paolo Dal Checco, consulente informatico forense, ha fornito una dettagliata spiegazione del meccanismo sottostante la truffa dei bonifici su IBAN taroccato e falso, evidenziando come una perizia informatica ben strutturata e completa sia cruciale per districarsi nei meandri di tali frodi e identificare le responsabilità, in modo da poter ottenere giustizia in un’aula di Tribunale o in via stragiudiziale.

Fattura falsa con IBAN errato per la truffa dei bonifici fraudolenti

I criminali, in questi casi, riescono a violare la casella email della vittima, tipicamente tramite la webmail, acquisendo le credenziali attraverso tecniche come il “password reuse”, il “password stuffing”, il phishing o l’uso di malware. Una volta ottenuto l’accesso, gli attaccanti hanno monitorato il traffico email di Marco in tempo reale. Non appena è arrivata l’email legittima da Tesla con l’IBAN corretto, hanno agito con incredibile velocità: hanno cancellato l’email originale dalla posta in arrivo di Marco, l’hanno modificata via IMAP inserendo una fattura con l’IBAN fraudolento (e persino un QR code, non utilizzato da Tesla, che rimandava al conto del truffatore), e l’hanno ricaricata sempre tramite protocollo IMAP nella sua inbox. Questo processo, reso possibile dal protocollo IMAP che permette non solo di scaricare ma anche di ricaricare le email, è avvenuto così rapidamente che Marco non ha potuto accorgersi della sostituzione, non vivendo “con gli occhi incollati alla casella di posta” come ha riferito.

Fattura con falso IBAN modificato dai criminali nella truffa dei bonifici via email Man In The Mail

L’email contraffatta e con l’IBAN falso appariva indistinguibile dall’originale, mantenendo lo stesso mittente, destinatario, testo e layout. Un’analisi approfondita di digital forensics ha però rivelato che la mail modificata non presentava una firma DKIM valida e verificata e, soprattutto, mancava di il “Message ID” – una sorta di “targa” identificativa univoca per ogni email.

Gli attaccanti hanno intenzionalmente rimosso il Message ID per evitare che il client di posta o la webmail potessero rilevare anomalie e per far sì che il messaggio apparisse esattamente nella posizione desiderata. Questa tecnica si differenzia dal semplice “spoofing”, in quanto la modifica avviene su un’email legittima già transitata, eludendo i controlli antispam e antifishing iniziali.

La perizia informatica ha confermato che la casella di posta di Marco era stata compromessa, mentre l’account Tesla era invece sicuro e attendibile, tanto che sulla casella di Marco c’erano accessi da indirizzi IP non riconducibili a lui e tentativi di autenticazione falliti registrati nei log del provider.

Un ulteriore aspetto tecnico che emerge dalla analisi forense e OSINT con ricerche su fonti aperte è l’organizzazione sottostante alla frode: il conto corrente italiano su cui Marco ha bonificato i soldi era già attivo e pronto per essere utilizzato per scopi illeciti, evidenziando un livello di preparazione che va ben oltre la semplice compromissione di un account email.

Aspetti Giuridici e Responsabilità Condivise: Le Sfide Legali delle Frodi Informatiche

La vicenda di Marco solleva interrogativi cruciali in merito alle responsabilità legali di diversi attori coinvolti in un’ottica di prevenzione e gestione delle frodi che spesso richiedono l’intervento di informatica forense per la ricostruzione dei fatti:

  • Le Banche: L’attuale quadro normativo non obbliga le banche a verificare la corrispondenza tra il nome del beneficiario e l’IBAN. Tuttavia, il nuovo regolamento europeo 2024/886, in vigore dal 9 ottobre 2025, imporrà alle banche di notificare il pagatore in caso di mancata corrispondenza, una misura che avrebbe potuto prevenire il danno a Marco. L’avvocato Marco Coniberti sottolinea che il livello di diligenza richiesto a una banca è elevato, data la natura del servizio. Inoltre, l’apertura di un conto a nome di un’azienda all’insaputa di quest’ultima, o con documenti falsi, implicherebbe una responsabilità diretta della banca per aver violato le misure di sicurezza.
  • I Provider di Servizi Email: Nonostante i provider dispongano di log che registrano tentativi di accesso falliti o accessi da IP insoliti – dati cruciali per una perizia informatica – nel caso di Marco non sono stati inviati alert o notifiche che avrebbero potuto indurlo a cambiare la password. Questa omissione è considerata una negligenza, poiché si prevede che i provider, nel 2025, dispongano di strumenti avanzati per rilevare anomalie.
  • Le Aziende (es. Tesla): L’utilizzo dell’email per veicolare informazioni di pagamento così sensibili è intrinsecamente rischioso, dato che la posta elettronica è definita uno “strumento estremamente insicuro per natura”. Sebbene la fatturazione elettronica e il “cassetto fiscale” offrano un livello di sicurezza superiore, l’abitudine di inviare “copie di cortesia” in PDF ne vanifica spesso il vantaggio, poiché tali copie sono facilmente modificabili. Un’azienda dovrebbe promuovere la compilazione dei campi IBAN nelle fatture elettroniche e, in alcuni contesti, persino scoraggiare la fornitura di copie di cortesia via email per mitigare i rischi.
  • L’Utente (la vittima): Sebbene le truffe siano sempre più sofisticate, all’utente finale è richiesto di adottare precauzioni. Tra le misure preventive essenziali vi sono l’attivazione dell’autenticazione a due fattori (2FA) per la propria casella email, che rende l’accesso molto più difficile anche in caso di furto di password. È inoltre fondamentale verificare sempre l’IBAN per importi consistenti o in caso di modifiche sospette, contattando il fornitore tramite un canale di comunicazione alternativo e fidato, come il telefono o WhatsApp. La pratica dimostra che queste frodi sono “molto più spesso di quello che sembra”, e la testimonianza di Marco è preziosa per aumentare la consapevolezza collettiva.

La storia di Marco e della truffa dei bonifici su IBAN sostituito nella fattura inviata via email – raccontata insieme all’Avv. Marco Pierobon e all’informatico forense Paolo Dal Checco nell’intervista di Federico Lagni – è un esempio lampante di come la sicurezza informatica sia una responsabilità condivisa e di come l’informazione, la prevenzione e, laddove necessario, la perizia informatica forense successiva al danno siano le armi più potenti contro le frodi.

Nonostante l’entità del danno economico subito, la sua testimonianza contribuisce a spingere verso un sistema più sicuro e tutele maggiori per i consumatori, auspicando che esperienze così traumatiche possano essere evitate o almeno attenuate in futuro.

Paolo Dal Checco Consulente Informatico de Le Iene nel servizio su SPID

forenser on 10 Giugno 2025

IL CEO Forenser, Paolo Dal Checco, ha nuovamente collaborato come consulente informatico per Le Iene, questa volta al servizio di Luigi Pelazza nel pezzo andato in onda il 3 giugno 2025 su Italia Uno e intitolato “Usi lo SPID? Occhio alla Truffa”. Un’inchiesta che ha messo in luce una vulnerabilità critica che riguarda gli italiani e la loro identità digitale basata, tra le altre cose, sul sistema SPID, Sistema Pubblico d’Itentità Digitale.

Truffa del Doppio SPID per Le Iene con Luigi Pelazza e Paolo Dal Checco

Lo SPID è ormai indispensabile per un’ampia gamma di servizi: scaricare certificati, pagare le tasse, prenotare visite mediche, iscrivere i bimbi a scuola e persino ricevere la pensione o l’assegno universale per i figli. Purtroppo, proprio la sua centralità lo rende un bersaglio primario per i criminali, che lo utilizzano per compiere truffe basate sul fatto che è possibile creare un clone di uno SPID senza che il soggetto cui è intestato lo venga a sapere, anche se ha un altro account SPID configurato.

Durante il servizio al quale il Dr. Paolo Dal Checco, CEO Forenser, ha partecipato come consulente informatico de Le Iene vengono esplorati grazie all’abile conduzione della iena Luigi Pelazza casi sconcertanti, come quello di Mario, che si è ritrovato il suo cassetto fiscale completamente svuotato: un credito d’imposta di 800.000 euro è sparito nel nulla.

Paolo Dal Checco – Consulente Informatico per Le Iene nel servizio di Luigi Pelazza

La cosa più allarmante che emerge dal servizio in cui Paolo Dal Checco ha prestato servizio in qualità di consulente informatico forense per Le Iene è che gli accessi fraudolenti sono avvenuti tramite uno SPID intestato alla vittima, ma non quello originale attivato nel 2020. Incredibilmente, dagli atti delle indagini svolte, risulta che altri tre SPID clone sono stati creati utilizzando i suoi documenti, senza che Mario ricevesse alcuna notifica via email o cellulare.

Questa frode informatica ha evidenziato una grave criticità: non esiste un database generale e unico che monitori tutte le attivazioni SPID. Di conseguenza, nonostante denunce ripetute alla Guardia di Finanza e alla Polizia Postale, le attività fraudolente non si sono fermate, con accessi continui alle società che Mario rappresenta e manipolazione di crediti fiscali, inclusi quelli per il sisma bonus. L’Agenzia delle Entrate, in questi casi, sembra non essere in grado di monitorare autonomamente e deve essere avvisata dalla persona che ha subito il problema.

La “truffa del doppio SPID” o dello SPID clonato ha già colpito – come frode informatica – migliaia di persone, dai beneficiari di bonus ristrutturazioni a quelli che aspettavano la tredicesima e persino molti studenti che si sono visti sottrarre i 500€ della carta cultura.

La base di tutto è che i truffatori devono riuscire ad acquisire i nostri documenti per poter registrare uno SPID a nostro nome e lo fanno in diversi modi: prelevandoli nel dark web, ottenendoli tramite phishing, rubandoli dalla nostra casella di posta elettronica nel momento in cui riescono ad entrare tramite accesso abusivo se non la proteggiamo a sufficienza.

Una delle caratteristiche più problematiche di questo sistema è che non si viene avvisati se qualcuno attiva uno SPID a nostro nome. Sebbene l’AGID (Agenzia per l’Italia Digitale) supervisioni i 12 fornitori di SPID e abbia multato alcune società per aver accettato documenti falsi o usato sistemi di identificazione non autorizzati, la frammentazione del sistema rende difficile una visione d’insieme utile a rilevare correlazioni tra identità sospette. La possibilità di avere più SPID, nata da una concezione tecnica ormai superata, persiste, sebbene lo SPID stia per essere sostituito dal wallet europeo entro un anno, che servirà anche per comprare biglietti aerei o fare contratti all’estero.

Qui trovate un elenco dei contatti dei 12 provider SPID accreditati in Italia (si ringrazia Matteo Flora che, nel suo video Youtube, ha illustrato abilmente il problema producendo anche un elenco d’indirizzi da contattare):

  1. Intesi Group – spid@intesigroup.com (da elenco soggetti accreditati AGID)
  2. Infocamere – protocollo@pec.infocamere.it (da elenco soggetti accreditati AGID)
  3. TeamSystem – teamsystemgroup@pecteamsystem.com (da elenco soggetti accreditati AGID)
  4. TIM – supportotimid@telecomitalia.it (da contatti portale SPID)
  5. SpidItalia – gestoreidp@pec.register.it (da elenco soggetti accreditati AGID)
  6. Sielte – spid@sielte.it (da contatti portale SPID)
  7. PosteId – centroserviziprivacy@posteitaliane.it (da Privacy Policy, non presente né su SPID né su portale AGID)
  8. Namiral – supportospid@namirial.com (da contatti portale SPID)
  9. Lepida – lepidaid@pec.lepida.it (da elenco soggetti accreditati AGID)
  10. InfoCert – infocert@legalmail.it(da elenco soggetti accreditati AGID)
  11. Aruba – direzione.ca@arubapec.it (da elenco soggetti accreditati AGID)
  12. EtnaId – dpo@eht.eu (da Privacy Policy, non presente né su SPID né su AGID)

Il Dr. Paolo Dal Checco – e con lui lo Studio d’Informatica Forense Forenser – viene spesso chiamato come CTP informatico a difesa delle vittime delle truffe, spesso basate su furto dello SPID o dei documenti d’identità, con l’incarico di produrre una perizia informatica che attesti quanto accaduto e le responsabilità dei vari attori. È quindi importante tenere al sicuro i propri documenti per evitare di cadere vittima della frode informatica: la vigilanza è l’unica difesa in un panorama digitale in continua evoluzione.

Ci auspichiamo che questo servizio dove il CEO Forenser Paolo Dal Checco ha supportato Le Iene come Consulente Informatico Forense possa aumentare la consapevolezza su questi rischi e spingere verso soluzioni più sicure per la nostra identità digitale.

Consulente Informatico per Le Iene nel Servizio sulle Truffe

forenser on 1 Giugno 2025

Martedì 27 maggio 2025 il CEO Forenser Paolo Dal Checco ha nuovamente collaborato – come consulente informatico forense per Le Iene – a un servizio TV andato in onda su Mediaset durante la trasmissione “Le Iene” che mette in guardia le potenziali vittime dalle nuove truffe che arrivano tramite smartphone.

Paolo Dal Checco, Consulente Informatico per Le Iene

Supportando Le Iene in qualità di Consulente Informatico, il CEO Forenser Paolo Dal Checco ha illustrato alcune caratteristiche tecniche che contraddistinguono le 5 nuove truffe raccontate nel servizio TV della iena Matteo Viviani, spiegando anche ove possibile quali contromisure possono essere utilizzate per evitare di cadere vittima dei raggiri.

Le 5 truffe che arrivano via smartphone, raccontate nel servizio dove il CEO Paolo Dal Checco ha partecipato in qualità di consulente informatico per Le Iene sono le seguenti:

1. La truffa “task scam” dei like e delle recensioni facili

Questa truffa inizia con un contatto, spesso tramite telefono, che propone un’offerta di lavoro dopo aver presumibilmente ricevuto un curriculum. L’obiettivo dei truffatori è spostare la conversazione su WhatsApp. Qui, vengono proposti “lavoretti facili” da fare da casa. La vittima viene introdotta a una piattaforma dove, tramite un semplice tasto, può rilasciare recensioni positive su vari prodotti per “accattivare” i clienti. Viene descritto come “il lavoro più facile del mondo”: si clicca “like” su un sito web e compare in automatico un commento positivo.

La fregatura emerge presto. Il sistema richiede di caricare denaro per guadagnare. Ad esempio, caricando €10 si guadagnano €30 tramite le recensioni. Dopo un po’, i prodotti “normali” finiscono, e per continuare a mettere like e recensioni false, bisogna comprare pacchetti speciali. La vittima, pur potendo intuire la truffa, viene abbindolata e carica i soldi. In un caso, una vittima ha caricato €70 e ha ricevuto un bonifico di €160 come “prova” che funzionava. I pagamenti o i guadagni spesso passano per le criptovalute. I truffatori fanno scaricare app di criptovalute che controllano loro, o inviano criptovalute false. Una volta che la vittima è “ingolosita”, la posta in gioco viene alzata. La vittima nell’esempio ha caricato €320 per un secondo pacchetto, ma le sono stati chiesti altri €1700 per sbloccare un guadagno promesso di €10.000.

A questo punto, spesso la vittima inizia a insospettirsi, riconoscendo che guadagnare €70 in pochi giorni è credibile, ma pagare €1700 per ottenerne €10.000 non lo è. I truffatori comunicano solo per messaggio, dicendo che le chiamate sono proibite durante l’orario di lavoro. I numeri usati sono spesso stranieri, anche se alcuni possono sembrare italiani. Se la vittima prova a chiamare o a chiedere chiarimenti, la chat viene bloccata e i truffatori spariscono con i soldi. Ci si può difendere prestando attenzione a offerte “troppo belle per essere vere”, contatti da numeri esteri e all’uso di criptomonete. È utile verificare da quanto tempo esiste un sito web e lo si può fare semplicemente tramite siti di Whois come Whois di Domain Tools o Who.is.

2. La truffa del cane smarrito e ritrovato

Questa truffa colpisce chi ha smarrito un animale domestico, come un cane o un gatto. I truffatori cercano annunci di smarrimento che contengono molti dettagli personali, come la zona di residenza e il nome e la descrizione dell’animale. Ti chiamano, a volte in orari insoliti, da un numero sconosciuto. Dall’altra parte, con una voce arrogante, sostengono che hai abbandonato il tuo animale, usando il nome corretto dell’animale.

Successivamente, chiedono una somma di denaro, anche elevata (nell’esempio, €4000), per restituire l’animale. Giustificano l’importo citando leggi più severe sull’abbandono degli animali, che prevedono multe salate (fino a €10.000) e persino il carcere. Nell’esempio riportato, la truffa non è andata a buon fine perché l’annuncio che i truffatori avevano visto era vecchio, e il cane era già tornato a casa nel frattempo. La vittima ha capito subito la frode. Nonostante ciò, questa truffa sfrutta l’amore dei padroni per i loro animali, spingendoli potenzialmente a pagare pur di riaverli.

3. La truffa dell’emergenza IT-Alert falsa

Una truffa particolarmente cinica sfrutta la paura legata ai disastri naturali, come alluvioni, terremoti o eruzioni vulcaniche, che colpiscono diverse aree in Italia. I criminali inviano un SMS che appare come un messaggio di emergenza autentico “!”IT-Alert”, come quelli che abbiamo tutti ricevuto mesi fa nelle fasi di test del protocollo ItAlert. Questo messaggio che si finge IT Alert contiene un link: cliccando sul link, si viene reindirizzati a un sito web dove viene richiesto di scaricare un’applicazione, ad esempio – per Android – in formato Apk.

Questa applicazione scaricata è in realtà un malware. Una volta installata, l’app prende il controllo del telefono. Inizia a spiare le tue attività, rubare le password, e può persino attivare la telecamera e l’audio del dispositivo. Un rischio enorme riguarda le app bancarie: il malware può utilizzare i dati biometrici salvati sul telefono (come l’impronta digitale o il riconoscimento facciale) per autenticare operazioni bancarie come bonifici o ricariche. In sostanza, il malware può svuotare il conto corrente. Una volta che il malware prende possesso del telefono e inizia ad autenticare operazioni al posto tuo, si è “finiti”.

5. La truffa della votazione per il concorso della nipotina

Arriva un messaggio, spesso dal numero di un contatto o un amico. Il messaggio chiede un semplice favore, come “Ciao, puoi votare per mia figlia o nipote per una borsa di studio importante oppure un concorso di danza o bellezza?” e contiene un link. Cliccando sul link si accede a una pagina dove si vota tra due candidate cliccando sulla foto.

Per poter votare, compare una richiesta di inserire il numero di telefono per l’autenticazione. Dopo aver inserito il numero, si riceve un messaggio (tipicamente via WhatsApp) che richiede una “autorizzazione rapida e semplice via WhatsApp” e fornisce un codice. Questo processo replica quello per attivare WhatsApp sul computer (WhatsApp Web/Desktop). Inserendo il codice ricevuto nell’apposito campo, si autorizza il dispositivo dei truffatori ad accedere al proprio account WhatsApp. In pochi secondi, la tua chat appare sul loro computer.

A quel punto, i truffatori ottengono i tuoi contatti e altre informazioni che riescono a prelevare. Possono quindi mandare messaggi ai tuoi contatti e nei gruppi di cui fai parte per perpetuare la stessa truffa. Prendono il controllo del tuo account WhatsApp, tagliandoti fuori. Iniziano a usare il tuo account per fare truffe a nome tuo, rendendoti inconsapevolmente un loro “collaboratore”.

5. La truffa della vendita online sui siti di compravendita usato

Questa truffa prende di mira le persone che vendono oggetti su piattaforme online. Il processo inizia normalmente: metti in vendita un oggetto, ricevi una proposta di acquisto e accetti. Le comunicazioni iniziali dalla piattaforma (es. Subito) sono reali, confermando l’affare e dicendo di attendere il pagamento.

La truffa inizia con un messaggio che sembra autentico e provenire dalla piattaforma. Questo messaggio dice “Per sbloccare il pagamento clicca qui”. Cliccando il link si apre una pagina che è una copia identica alla tua pagina dell’offerta, completa di brand, foto dell’oggetto venduto e importo. Sulla pagina, un messaggio indica che il pagamento è “bloccato per motivi di sicurezza” e chiede di cliccare per sbloccarlo. Questa pagina viene clonata molto velocemente dopo che l’oggetto è stato messo in vendita, anche solo 10 minuti dopo. Cliccando sul bottone per “sbloccare il pagamento”, viene richiesto di “inserire i dati della tua carta di credito per poter effettuare la transazione”. Questo è il momento cruciale in cui si dovrebbe avere il sospetto. Fornire i dati della carta di credito permetterebbe ai truffatori di accedere ai fondi. La truffa è considerata “furba”. È stato segnalato che anche le piattaforme stesse potrebbero non essere a conoscenza di questa specifica modalità di frode. Le comunicazioni di pagamento reali da parte delle piattaforme dovrebbero generalmente arrivare via email con un link.

Il CEO Forenser Paolo Dal Checco come consulente tecnico per Le Iene

Questo servizio TV per Le Iene prosegue un ciclo di servizi dove il CEO Forenser Srl Paolo Dal Checco, in qualità di Consulente Tecnico de Le Iene, ha dato il suo contributo per chiarire gli aspetti tecnici delle frodi informatiche e fornire alcuni spunti per difendersi. L’attività di consulente tecnico per Le Iene, nei servizi nei quali viene coinvolto, è un modo di aiutare le persone a proteggersi dalle truffe, dagli attacchi informatici, dai raggiri e dalle minacce aumentando la consapevolezza del pubblico circa le questioni tecniche che sottendono a questo tipo di minacce.

Confidiamo infatti che, anche grazie ai Servizi TV de Le Iene, le persone possano conoscere in anticipo le mosse dei truffatori ed evitare di essere truffate, dato che la miglior difesa è proprio la consapevolezza, la conoscenza, il “farsi trovare pronti” nel momento in cui verremo contattati via SMS o Whatsapp da potenziali truffatori che tenteranno di farci inserire codici, installare applicazioni, accettare lavori, investire in criptomonete o trading con promesse di facili guadagni o a volte ricatti o estorsioni.

Il Consulente Tecnico de Le Iene Paolo Dal Checco

Le indicazioni fornite da Paolo Dal Checco in risposta alle domande della Iena Matteo Viviani, quale Consulente Tecnico de Le Iene nel servizio sulle 5 truffe al cellulare, possono infatti essere utilizzate per difendersi dalle frodi online e non solo, per quanto ribadiamo che la prima difesa è la consapevolezza e l’attenzione alle comunicazioni che giungono da parte di chi ci chiede soldi, dati o di agire con urgenza, proponendo in genere offerte “too good to be true”, cioè troppo belle per essere vere.

Cosa fare si si è vittima di truffa o frode informatica

Purtroppo è frequente che le persone cadano vittima di questo tipo di truffe e richiedano poi al consulente informatico forense una perizia informatica per poter ricostruire quanto effettivamente accaduto e far valere i propri diritti tramite una querela o una causa in Procura o Tribunale, eventualmente acquisendo tramite copia forense le prove informatiche che testimoniano quanto effettivamente accaduto.

Ovviamente è importante rivolgersi innanzitutto all’Autorità Giudiziaria, ad esempio passando dalle Forze dell’Ordine come la Polizia Postale ma non solo, anche i Carabinieri, Guardia di Finanza o in generale la Procura della Repubblica possono accettare querele o esposti.

Un buon avvocato è altresì strategico per potersi tutelare, consigliamo di scegliere avvocati e studi legali che abbiano pratica nel mondo della informatica forense e nei reati informatici, così che possano comprendere le questioni legate alle prove digitali, all’importanza di una copia forense delle evidenze digitali e sappiano gestire cause basate sul mondo digitale.

Un suggerimento che possiamo dare a chi fosse caduto vittima di queste truffe è procedere immediatamente – in autonomia o con l’ausilio di un perito forense – con acquisizione forense delle prove digitali che testimoniano l’evento e possano ricondurre all’attribuzione dell’autore. Le prove digitali sono infatti uno dei requisiti essenziali per procedere poi con una denuncia/querela in Procura, presso i Carabinieri, Polizia Postale, Guardia di Finanza o Polizia Giudiziaria oppure con una causa civile in Tribunale per risarcimento danni, ricorso, ATP, descrizione, citazione in Giudizio.

Le Nuove frontiere delle Prove Digitali: web forensics a Milano per MSAB

forenser on 17 Aprile 2025

Giovedì 8 maggio 2025 dalle ore 8:30 alle ore 18:30 si terrà a Milano, presso Il Grand Hotel Doria, l’incontro dal titolo “Nuovi Orizzonti per le Indagini Digitali Forensi: Sfide e Soluzioni” organizzato da MSAB, in collaborazione con NUIX, SANS ed E-Trace.

Durante il seminario gli ospiti potranno assistere a presentazioni di importanti esperti d’informatica forense, esponenti di pubbliche autorità europee ed rappresentanti italiani delle relative realtà aziendali coinvolte.

L’ordine del giorno della conferenza sulla digital forensics organizzata da MSAB è il seguente:

  • 8:45 Registrazione Partecipanti
  • 9:30 Introduzione
  • 9:45 Ghennadii Konev & Giovanni Maria Castoldi con l’intervento: “Non Solo FFS, Estrazioni Fisiche BFU con XRY”
  • 10:30 Coffee Break
  • 10:45 Mattia Epifani con l’intervento: “Not So Private Browsing!”
  • 11:45 Dario Beniamini con l’intervento: “Rethinking Digital Investigations: Beyond Keyword Searches”
  • 12:30 Paolo Dal Checco & Andrea Lazzarotto con l’intervento: “Web Forensics: Le Nuove frontiere delle Prove Digitali”
  • 13:15 Pranzo
  • 14:30 Manlio Longinotti con l’intervento: “SANS DFIR Trainings: La Formazione Oltre l’Aggiornamento”
  • 15:00 Pier Luca Toselli & Roberto Murenec con l’intervento: “Perquisizione e Sequestro del Dispositivo “Mobile” Tra Rispetto delle Regole Processuali e delle Garanzie di Parte”
  • 15:45 Coffee Break
  • 16:00 Intervento E-Trace
  • 16:45 Q&A, Demo
  • 18:00 Termine

Nello specifico, durante la conferenza su informatica forense organizzata da MSAB a Milano, insieme al collega Andrea Lazzarotto terrò un intervento sula “Web Forensics”, cioè l’insieme di tecniche, metodologie, princìpi e strumenti d’informatica forense applicati alla cristallizzazione o copia forense di siti web e risorse online finalizzata a un utilizzo in Tribunale in cause civili o penali.

Web Forensics

L’intervento sulla web forensics durante l’evento di Milano, tenuto dal Dott. Paolo Dal Checco e dal Dott. Andrea Lazzarotto, entrambi soci ONIF (Osservatorio Nazionale d’Informatica Forense), sarà un misto tra teorico e pratico, con alcuni esempi di come sia possibile procedere a realizzare copie forensi di siti web, pagine, chat, post, commenti e qualunque risorsa presente su Internet, protetta o meno da password o credenziali di accesso.

Conferenza su digital e web forensics a Milano

I relatori che parteciperanno all’evento MSAB a Milano su informatica forense, mobile e web forensics sono i seguenti:

  • Mattia Epifani, CEO di Reality Net, consulente informatico forense, esperto in attività di Digital Mobile Forensics, docente certificato SANS, docente universitario, autore e divulgatore, con l’intervento: “Not So Private Browsing!“;
  • Paolo Dal Checco, Consulente informatico forense, esperto in attività di Digital Mobile Forensics, analisi e corsi OSINT, perizie informatiche su criptovalute, analisi forense di malware, docente universitario, autore e divulgatore, con l’intervento: “Web Forensics: Le Nuove frontiere delle Prove Digitali”;
  • Andrea Lazzarotto, consulente informatico forense, esperto in attività di Digital Mobile Forensics, ricercatore, sviluppatore, con l’intervento: “Web Forensics: Le Nuove frontiere delle Prove Digitali”;
  • Roberto Murenec, Maresciallo in forza al Comando Provinciale della Guardia di Finanza di Pordenone, autore, divulgatore ed esperto di Digital Forensics e relativa regolamentazione legislativa;
  • Pier Luca Toselli, Luogotenente Carica Speciale in forza al Comando Provinciale della Guardia di Finanza di Bologna, esperto di Digital Forensics e relativa regolamentazione legislativa, con l’intervento: “Perquisizione e Sequestro del Dispositivo ‘Mobile’ Tra Rispetto delle Regole Processuali e delle Garanzie di Parte”
  • responsabili di E-Trace, rivenditore esclusivo MSAB per il territorio italiano;
  • Manlio Longinotti, Responsabile Italia SANS, con l’intervento: “SANS DFIR Trainings: La Formazione Oltre l’Aggiornamento”
  • Dario Beniamini, Esperto in proprietà intellettuale e tutela dei marchi, DFIR, NUIX Senior Consultant, docente certificato SANS, con l’intervento: “Rethinking Digital Investigations: Beyond Keyword Searches”
  • Ghennadii Konev, technical sales engineer di MSAB, con l’intervento: “Non Solo FFS, Estrazioni Fisiche BFU con XRY”
  • Giovanni Maria Castoldi, MSAB North Mediterranean Area Sales Manager.

L’evento è completamente gratuito ed un business lunch, così come le pause caffè, saranno offerte a tutti i partecipanti.

Per informazioni o iscrizioni, è disponibile gratuitamente il link dell’evento sul sito MSAB.

Riuscirà la IA a sostituire gli Avvocati? I custom GPT in ambito legal.

forenser on 4 Aprile 2025

“Riuscirà la IA a sostituire gli Avvocati?”. La domanda è provocatoria ma mentre cercavamo la risposta abbiamo scoperto i GPT personalizzati per/da avvocati, un fenomeno interessante e da approfondire.

Probabilmente no, così come per gli esperti di informatica forense di cui abbiamo parlato in altri articoli, ma abbiamo trovato diversi GPT personalizzati che in sostanza si presentano come “Assistenti Legali”, “Esperti di Diritto”, “Avvocato per Divorzio e Famiglia”, “Avvocato GPT”, “Avvocato Intelligente”, etc… programmati dagli utenti per fornire pareri legali gratuiti o supportare giuristi nella loro professione.

Ricordiamo che la differenza tra ChatGPT e un GPT personalizzato è che ChatGPT ha una base di dati enorme ma “generica”, può cercare online ma su risorse più o meno pubbliche, mentre un GPT personalizzato è programmato con istruzioni ma soprattutto documentazione specifica caricata da chi ha addestrato il sistema. Così un GPT civilista sarà programmato con istruzioni specifiche e avrà “in pancia” manuali e codici di diritto civile, esempi di ricorsi, decreti, memorie, atti di causa, etc… che possono aiutare altri avvocati civilisti e relativi studi legali a predisporre le loro, oltre che utenti finali ad avere pareri legali gratis.

Abbiamo testato alcuni Custom GPT in ambito legal, creati da avvocati per avvocati o anche per l’utente finale, verificando da chi sono stati programmati, con cosa sono stati addestrati e come si comportano rispetto a un generico ChatGPT: ve ne riportiamo cinque ma sappiate che l’avvocato digitale è uno dei GPT più presenti, ne abbiamo contate svariate decine solo in italiano, mentre ad esempio per la digital forensics di GPT custom italiano ce n’era uno solo.

1) https://chatgpt.com/g/g-y7PAcCcdL-avvocato-gpt-divorzio-e-famiglia (GPT addestrato in ambito di divorzio e famiglia)

2) https://chatgpt.com/g/g-QmqHyKVuj-avvocato-italiano-gratis-gpt (Assistente virtuale specializzato in consulenza legale preliminare nei settori del diritto penale, civile, divorzio, abitazioni, tributario e costituzionalista)

3) https://chatgpt.com/g/g-9QkahSGdd-esperto-di-diritto-tributario-italiano (GPT che offre risposte su normative fiscali italiane, dichiarazioni e imposte, riforme fiscali, interpretazione di giurisprudenza e supporto fiscale)

4) https://chatgpt.com/g/g-kW4AcNvuL-martelletto-avvocato-intelligente (Assistente Legale Personale)

5) https://chatgpt.com/g/g-hkeYAe7aT-avvocato-gpt-contratti-e-leggi-commerciali (Avvocato Digitale esperto in contrattualistica e diritto del commercio)

Valgono sempre i caveat del non fidarsi troppo di ciò che si ottiene da questi sistemi: anche se sono certamente più precisi di un generico GPT il parere legale gratuito ottenuto non è da considerarsi attendibile se non vagliato da un professionista, anche perché si rischia di finire come a Firenze dove un avvocato ha citato negli atti sentenze inesistenti ricavate da AI con ChatGPT e si è sfiorato il rischio di responsabilità aggravata per lite temeraria.

Stesso dicasi, come già accennato, per i custom GPT in ambito informatica forense e digital forensics: possono fornire una guida, ma attenzione a cosa si carica e cosa si ottiene.

Non è finita qui, nei prossimi articoli illustreremo:

1) Come creare un GPT custom in ambito legal o digital forensics;

2) I due principali modi di trovare GPT custom fatti da altri, anche quelli che magari non era intenzione rendere pubblici;

3) Quali sono i rischi non tanto per chi usa i GPT custom quanto per chi li programma e addestra.

Stay tuned! 🙂

Recupero di messaggi WhatsApp eliminati tramite Msgstore Increment

forenser on 31 Marzo 2025

Recentemente, durante l’analisi di uno smartphone Android, è stato necessario recuperare dei messaggi cancellati appartenenti ad una chat eliminata dall’applicazione di WhatsApp. Fino a poco tempo fa anche effettuando un’analisi tramite software professionali quali Cellebrite UFED, Oxygen Forensic Detective e Magnet Axiom, non era possibile recuperare tale chat poiché eliminata prima del suo inserimento all’interno del classico backup periodico locale del database “msgstore.db” e quindi non visibile con le metodologie standard di recupero dati.

Di recente la funzionalità di recupero delle chat non presenti nei backup periodici è stata aggiunta ai software di mobile forensics, ma riteniamo utile illustrare in dettaglio come era possibile anche prima dell’aggiunta – e lo è tuttora – procedere manualmente con l’ispezione dei file relativi all’applicazione di WhatsApp e recuperare chat cancellate.

Nello specifico, illustreremo come recuperare una porzione della chat – non presenti nel DB o nei backup tradizionali – grazie all’analisi di un altro file di backup, incrementale e non completo: il “msgstore-increment.db“.

Cos’è il msgstore-increment.db e a cosa serve?

L’applicazione di WhatsApp, quando installata su dispositivi Android, effettua dei backup periodici del database principale “msgstore.db”, contenente tutte le informazioni correlate all’account di WhatsApp, inclusi i messaggi.

Purtroppo, la creazione dei backup e la loro gestione, in alcuni casi, può risultare difficoltosa da parte dell’applicazione soprattutto in situazione in cui i dati gestiti risultano essere centinaia di MB se non GB. Per questo motivo, per minimizzare la perdita dei dati e ottimizzare la gestione della memoria sul dispositivo, WhatsApp esegue dei backup incrementali, tra ogni backup completo, dentro i quali vengono salvati solo i cambiamenti avvenuti nell’applicazione: ad esempio, se il giorno successivo al backup completo vengono inviati cento messaggi, essi vengono inclusi all’interno del backup incrementale eseguito per quel giorno.

Questo significa che, se in seguito alla creazione del backup completo vengono inviati cento messaggi e poi cancellati, essi possono essere recuperati dal backup incrementale, ammesso che non siano stati eliminati prima della sua creazione.

A oggi, software professionali come Cellebrite UFED o Oxygen Forensics supportano il parsing del backup incrementale msgstore-increment, ma fino a pochi mesi fa era una funzionalità probabilmente ancora in lavorazione, dato che è comparsa di recente. Di conseguenza, per tentare il recupero dei messaggi eliminati, in passato, è stato necessario comprendere le logiche alla base di questo tipo di dato e creare uno script in grado di automatizzare l’estrazione di eventuali messaggi cancellati, ma ancora presenti nell’increment, mentre oggi chi ha a disposizione software professionali può eseguire il recupero direttamente tramite le funzionalità interne.

Come funziona e come si estraggono i dati dall’archivio msgstore-increment.db?

Il primo passo è stato quello di approfondire il funzionamento del backup incrementale, avendo prima replicato uno scenario in cui questa funzionalità ha generato degli increment. Tramite l’analisi dei dati generati dall’applicazione WhatsApp, sono stati individuati e analizzati diversi file denominati “msgstore-increment.db.crypt14”, ovvero archivi compressi e cifrati. Tali archivi sono stati decifrati attraverso l’utilizzo dello strumento “wa-crypt-tools” (https://github.com/ElDavoo/wa-crypt-tools) e, successivamente, decompressi, ottenendo file strutturati in formato JSON e un file binario denominato “messages.bin”.

archivio-decifrato-increment

Contenuto dell’archivio msgstore-increment.db.crypt14, backup incrementale

Tra i file in JSON ne è presente uno chiamato “header.json” dentro il quale sono contenute informazioni utili, relative agli altri file presenti nella cartella, compreso “messages.bin”. Inoltre, dall’analisi effettuata sul file binario, è stato possibile determinare il formato utilizzato per la codifica dei dati, ovvero il protocollo protobuf.

Protobuf è un formato di serializzazione dati sviluppato da Google e viene spesso utilizzato nella trasmissione delle informazioni tra applicazioni o per la memorizzazione di dati in un formato binario poiché risulta essere più leggero e performante rispetto a JSON o XML.

Il funzionamento è relativamente semplice, è necessario definire la struttura dei dati tramite la creazione di un file “.proto” e utilizzare un compilatore per la creazione di uno script in grado di codificare i dati basandosi, appunto, sul protocollo definito. Di seguito un esempio di definizione del protocollo:

Esempio di definizione per protobuf

Esempio di definizione per protobuf

In questo caso, uno script basato su tale definizione sarà in grado di creare un file binario contenente i dati “nome” ed “eta” riportati nel file protobuf.

Nell’applicazione di WhatsApp avviene la stessa cosa: il file binario “messages.bin” viene creato da una porzione di codice contenuta nell’applicazione ed è basato su un file “proto” dentro la quale è definita la struttura dei messaggi e delle conversazioni.

Inoltre, il file binario “messages.bin” viene strutturato con una o più porzioni del dato binario codificato con protobuf, tali porzioni vengono definiti anche segmenti o “length-delimited” (https://protobuf.dev/programming-guides/encoding/#length-types). Pertanto, per leggere il contenuto del file è prima necessario separare i vari segmenti e successivamente procedere con la lettura.

Rappresentazione dei segmenti contenuti nel file messages.bin

Rappresentazione dei segmenti contenuti nel file messages.bin

Per la separazione di ogni singolo segmento presente nel file “messages.bin” abbiamo creato uno script in python, che mettiamo a disposizione sulla nostra repository GitHub (https://github.com/Forenser-lab/wa-increment-decoder/blob/main/splitter.py), in grado di leggere il file “messages.bin” e creare diversi file binari ognuno contenente il dato (segmento) protobuf da leggere.

Successivamente, per la lettura di ogni singolo file, abbiamo utilizzato il tool “protobuf inspector” (https://github.com/mildsunrise/protobuf-inspector), uno script in grado di leggere un file binario codificato con protobuf:

Output del tool protobuf_inspector

Output del tool protobuf_inspector

Nonostante sia stato possibile estrapolare i vari messaggi contenuti nei segmenti, essi sono risultati un’aggregazione di dati “anonimi”. Sebbene alcuni dei dati ottenuti dall’estrazione della chat contengano campi con un significato intuitivo, come il testo del messaggio o il timestamp, altri sono risultati ignoti rendendo di conseguenza difficoltoso stabilirne il significato reale. Questo accade poiché noi non siamo in possesso della definizione del protocollo “proto” utilizzato da Meta e in grado di leggere correttamente i dati contenuti nel file binario.

Ciononostante, in rete, sono presenti diversi progetti di reverse engineering aventi oggetto la definizione del protocollo impiegato su WhatsApp, incluso quello del repository GitHub Wa-Proto (https://github.com/wppconnect-team/wa-proto) effettuato sulla versione web del software. Successivamente, provando ad adattare la loro definizione per il nostro scopo, siamo riusciti a decodificare correttamente l’intero contenuto del file binario “messages.bin” ottenendo tutti i dati in chiaro con il loro relativo significato.

A questo punto, è stato semplice creare uno script in grado di generare un file CSV contenente tutti i messaggi presenti nel file binario, indicando il caso in cui un messaggio risultasse essere stato eliminato. Si noti che sono stati effettuati alcuni test che hanno considerato anche i media (immagini, video, etc.) e in alcuni casi nella cartella decifrata e decompressa relativa all’increment è presente il folder “messages.bin” contenente miniature di immagini eliminate (successivi aggiornamenti saranno orientati a verificare in che misura è possibile recupera media o tracce di essi).

Proof of Concept di decifratura e analisi del msgstore-increment.db

Innanzitutto, è stato riprodotto lo scenario: abbiamo inizializzato una nuova chat, utilizzandola per qualche giorno per poi infine eliminarla, evitando che fosse memorizzata nel backup “msgstore.db”. Grazie a questa riproduzione, sebbene i messaggi della chat non siano stati inclusi nel backup settimanale, sono comunque stati inseriti nel backup incrementale giornaliero.

Nell’immagine seguente viene riportata un’illustrazione dello scenario riprodotto. Nello specifico è possibile vedere come il backup principale venga creato alle ore 02:00 AM del 10/01, successivamente alle ore 01:35 PM dello stesso giorno viene creata una conversazione con ID 123 che sarà inclusa nel backup incrementale alle ore 02:00 AM del 11/01. Infine, alle ore 04:00 PM del giorno 11/01 la chat con ID 123, viene eliminata (ma risulta ancora presente nel backup incrementale creato precedentemente):

Timeline dello scenario di riferimento

Timeline dello scenario di riferimento

Successivamente, sono stati estratti i backup incrementali dal dispositivo Android, solitamente contenuti nella directory “/data/media/0/Android/media/com.whatsapp/WhatsApp/Databases/” e opportunamente decriptati tramite l’apposita chiave di cifratura, ottenendo così i seguenti file:

  • msgstore-increment-1-2025-01-16.1.db;
  • msgstore-increment-2-2025-01-16.1.db;
  • msgstore-increment-3-2025-01-16.1.db;
  • msgstore-increment-4-2025-01-16.1.db.

I vari backup sono stati inseriti tutti all’interno della stessa cartella e in seguito è stato eseguito lo script da noi creato per il recupero dei messaggi, il quale ha generato un file CSV contenente la lista di tutti i messaggi estratti:

Generazione del file CSV contenente i messaggi recuperati

Generazione del file CSV contenente i messaggi recuperati

Conclusioni

Grazie ad un approfondimento sulla gestione dei backup nell’applicazione di WhatsApp per dispositivi Android, siamo riusciti a comprendere come essi vengono strutturati tramite il concetto di backup incrementali. L’analisi ci ha portato alla creazione di un piccolo tool, scritto in python, in grado di estrarre in modo strutturato i messaggi dal backup incrementalemsgstore-increment.db” in modo efficiente, con dettagli di rilievo come il timestamp e senza bisogno di utilizzare altri strumenti.

La funzionalità dei backup incrementali permette il recupero di messaggi eliminati tra la creazione di un backup integrale, locale, “msgstore.db.crypt14” e un altro, quindi non recuperabili tramte le tradizionali tecniche di analisi forense e undelete dal DB sqlite o dai backup.

Per chi volesse sperimentare o provare l’estrazione di questi messaggi, lasciamo qui di seguito il link dello script scaricabile dalla nostra repository GitHub (https://github.com/Forenser-lab/wa-increment-decoder).

Albo Nazionale CTU e Periti del Tribunale: come cercare un Consulente Informatico Forense

forenser on 21 Marzo 2025

L’albo nazionale dei CTU e dei Periti del Tribunale è stato rinnovato di recente – sostituendo il precedente Albo locale gestito dai singoli Tribunali – rendendo più semplice trovare un Consulente Informatico Forense in ambito di Perizie Informatiche ma è necessario conoscere l’indirizzo del portale dei CTU e la modalità di ricerca altrimenti si rischia di perdere del tempo.

Il portale dei CTU e dei Periti del Tribunale è presente al link alboctuelenchi.giustizia.it, ove è possibile sia ricercare CTU o Periti sia gestire l’iscrizione all’Albo. Chi cerca un perito o un CTU ovviamente può ignorare la funzione di gestione delle iscrizioni e concentrarsi sulle possibilità di trovare un CTU o un Perito iscritto nell’Albo Nazionale tramite l’inserimento di particolari termini nel campo di ricerca.

Per chi si chiede come e dove trovare un Consulente in Informatica Forense (cioè il nominativo di un Perito Informatico o di un CTU Informatico) nell’Albo dei CTU e dei Periti del Tribunale, suggeriamo di utilizzare direttamente il link di ricerca Perito o CTU all’indirizzo alboctuelenchi.giustizia.it/gestione-albi/ricercaIscritti/load o cliccando sull’immagine seguente.

Ricerca CTU e Periti nell'Albo Nazionale dei Tribunali d'Italia

Per trovare un CTP informatico, CTU informatico o Perito informatico iscritto all’Albo Nazionale è sufficiente selezionare “Informatica” nel. campo “Categoria” e indicare nella “Tipologia albo” la preferenza tra “Albo Periti” (per un perito informatico) e “Albo CTU” (per un CTU informatico) così da poter visionare l’elenco dei consulenti registrati presso l’Albo.

In dettaglio, qui di seguito viene mostrata la ricerca presso il Tribunale Ordinario di Torino di un Perito Informatico (cioè di un consulente informatico forense iscritto all’albo dei periti) dato che è stata selezionata la categoria “Informatica” lasciando vuoto il campo “Specializzazione”. Si otterrà quindi in basso l’elenco dei periti informatici registrati presso l’Albo Nazionale Italiano.

Ricerca di un periti informatico nell'albo nazionale dei periti del Tribunale

Allo stesso modo, qui di seguito viene mostrata la ricerca presso il Tribunale Ordinario di Torino di un CTU Informatico (cioè un consulente informatico forense iscritto all’albo dei CTU) dato che è stata selezionata la categoria “Informatica” lasciando vuoto il campo “Specializzazione”. La ricerca produrrà come risultato l’elenco dei CTU informatici registrati presso l’Albo Nazionale dei Tribunali d’Italia.

Ricerca di un CTU informatico nell'albo nazionale dei CTU del Tribunale

È possibile lasciare vuoto anche il campo “Tribunale” e quindi ottenere l’elenco dei periti informatici o dei consulenti informatici forensi presenti in tutta Italia, oppure specificare un Tribunale di una delle seguenti città: Agrigento, Alessandria, Ancona, Aosta, Arezzo, Ascoli Piceno, Asti, Avellino, Avezzano, Barcellona Pozzo di Gotto, Bari, Belluno, Benevento, Bergamo, Biella, Bologna, Bolzano – Bozen, Brescia, Brindisi, Busto Arsizio, Cagliari, Caltagirone, Caltanissetta, Campobasso, Cassino, Castrovillari, Catania, Catanzaro, Chieti, Civitavecchia, Como, Cosenza, Cremona, Crotone, Cuneo, Enna, Fermo, Ferrara, Firenze, Foggia, Forlì, Frosinone, Gela, Genova, Gorizia, Grosseto, Imperia, Isernia, Ivrea, L’Aquila, La Spezia, Lagonegro, Lamezia Terme, Lanciano, Lanusei, Larino, Latina, Lecce, Lecco, Livorno, Locri, Lodi, Lucca, Macerata, Mantova, Marsala, Massa, Matera, Messina, Milano, Modena, Monza, Napoli, Napoli Nord, Nocera Inferiore, Nola, Novara, Nuoro, Oristano, Padova, Palermo, Palmi, Paola, Parma, Patti, Pavia, Perugia, Pesaro, Pescara, Piacenza, Pisa, Pistoia, Pordenone, Potenza, Prato, Ragusa, Ravenna, Reggio di Calabria, Reggio nell’Emilia, Rieti, Rimini, Roma, Rovereto, Rovigo, Salerno, Santa Maria Capua Vetere, Sassari, Savona, Sciacca, Siena, Siracusa, Sondrio, Spoleto, Sulmona, Taranto, Tempio Pausania, Teramo, Termini Imerese, Terni, Tivoli, Torino, Torre Annunziata, Trani, Trapani, Trento, Treviso, Trieste, Udine, Urbino, Vallo della Lucania, Varese, Vasto, Velletri, Venezia, Verbania, Vercelli, Verona, Vibo Valentia, Vicenza e Viterbo.

Ad esempio, cercando Paolo Dal Checco come CTU informatico o un Perito Informatico Forense presso il Tribunale di Torino si ottengono i due risultati qui sotto, è po sufficiente cliccare sull’immagine con l’occhio a destra in ogni entry per ottenere i dettagli dell’anagrafica, come data d’iscrizione all’Albo (che corrisponde alla migrazione dal vecchio albo al nuovo avvenuta nel 2024), PEC, etc…

Perito informatico e CTU del Tribunale a Torino nell'Albo Nazionale

Si precisa che l’Albo dei CTU e dei Periti del Tribunale – ora Albo Nazionale – può essere utilizzato per la consultazione anche da parte di privati, studi legali, avvocati e giuristi per la scelta di un CTP informatico – Consulente Tecnico di Parte – che assista la parte in cause civili o penali. I nominativi inseriti negli Albi dei CTU e dei Periti infatti sono di professionisti che operano sia come CTU Informatici o Periti Informatici del Tribunale sia come Consulenti di Parte in ambito privato, possono quindi essere contattati ai riferimenti contenuti nell’Albo come la PEC.

GPT personalizzati su informatica forense e digital forensics

forenser on 20 Marzo 2025

Per chi fosse nteressato all’uso della IA in ambito informatica forense, segnaliamo tre GPT personalizzati e custom creati da utenti esterni su ChatGPT utilizzabili da chiunque, configurati per fornire supporto su argomenti che riguardano la digital forensics e la perizia informatica.

GPT custom per digital forensics

Nei repository pubblici di GPT sono presenti decine di custom GPT in tema digital forensics, non conosciamo gli sviluppatori e quindi non possiamo garantire sulla qualità, considerato però che la parte iniziale del dialogo con l’IA può essere proprio orientata a capire su che basi sono stati configurati i bot, con quali documenti, tramite quali indicazioni operative, limiti e vincoli, così da valutare l’ambito di applicazione di ogni GPT.

1) https://chatgpt.com/g/g-g4xE4lNk0-digital-forensics-ita

GPT italiano che rappresenta – tramite l’intelligenza artificiale – un esperto digitale in Informatica Forense che applica normativa italiana in Mobile, Computer, Cloud e Network Forensics e con specializzazione su:

✔ Acquisizione e analisi forense di dati da computer, dispositivi mobili, reti e cloud.
✔ Identificazione di violazioni di dati e analisi di eventuali compromissioni.
✔ Utilizzo di strumenti forensi (come EnCase, FTK, Cellebrite, Autopsy) e tecniche di scripting per analisi avanzate.
✔ Supporto legale e conformità alla normativa italiana sulla digital forensics.
✔ Redazione di report forensi validi in tribunale.

2) https://chatgpt.com/g/g-H1VZzHBSK-digital-forensics-advanced-specialist

GPT custom in inglese personalizzato sulla Digital Forensics, progettato su ChatGPT per supportare chi esegue perizie informatiche tramite intelligenza artificiale esperti nell’analisi forense di dispositivi digitali, tra cui smartphone, tablet, droni e altri dispositivi elettronici. È basato su una vasta raccolta di manuali e guide forensi, coprendo strumenti come Cellebrite Physical Analyzer, Oxygen Forensic Suite, Magnet AXIOM, Exterro FTK, e altri, specializzato su:

✔ Estrazione e analisi dei dati da dispositivi mobili, computer e droni.
✔ Recupero dati e prove digitali, incluse cronologie di navigazione, dati eliminati e registri di sistema.
✔ Utilizzo di strumenti forensi per acquisizione e analisi, con procedure e best practice.
✔ Principi di sicurezza e gestione delle prove digitali, fondamentali per garantire l’integrità e l’ammissibilità delle prove.

3) https://chatgpt.com/g/g-66mvwhTqv-dfir-digital-forensics-and-incident-response

Custom GPT specializzato in supporto alla perizia informatica mediante AI personalizzato su Digital Forensics e Incident Response (DFIR), ovvero l’analisi forense digitale e la risposta agli incidenti di sicurezza informatica, in particolare utile per:

✔ Analisi forense digitale – Raccolta ed esame di prove digitali da dispositivi come computer, smartphone e reti.
✔ Risposta agli incidenti – Strategie per identificare, contenere e mitigare minacce informatiche come malware, attacchi ransomware o data breach.
✔ Recupero di dati e tracce digitali – Tecniche per estrarre informazioni da hard disk, memorie volatili, file cancellati e log di sistema.
✔ Threat hunting e analisi malware – Identificazione di comportamenti sospetti e analisi di codice dannoso.
✔ Best practice di sicurezza – Consigli su come proteggere sistemi e dati da attacchi informatici.

Ci sono decine di GPT negli archivi ChatGPT sull’argomento informatica forense e perizie informatiche che possono fornire supporto agli analisti grazie all’intelligenza artificiale: ne abbiamo segnalati tre tra quelli con maggiori feedback e consigliamo ovviamente di non caricare documenti riservati né fidarsi ciecamente di ciò che produce l’AI ma può talvolta essere utile – quantomeno dal punto di vista tecnico e giuridico – per trovare suggerimenti, idee o spunti.

Sequestro e confisca di criptomonete al convegno CryptoSafe di Bologna

forenser on 10 Gennaio 2025

Martedì 14 gennaio 2025 si terrà, a Bologna, dalle ore 15:00 alle ore 18:00, il convegno sulle Indagini e strumenti operativi per il sequestro e la confisca di criptovalute. La conferenza si colloca all’interno dei progetti Cryptosafe e EcoCyber-SERICS, con il patrocinio di ONIF, Osservatorio Nazionale Informatica Forense ed è in corso di accreditamento presso l’Ordine degli Avvocati di Bologna.

Convegno CryptoSafe su sequestro e confisca di criptovalute a Bologna

La conferenza CryptoSafe si terrà fisicamente a Bologna presso il Centro Alma Human AI sito in Via Galliera 3 ma sarà possibile seguirlo anche online tramite piattaforma Teams aperta a tutti collegandosi al presente link.

L’evento CryptoSafe che si terrà a Bologna sarà dedicato alla presentazione di esperienze, tecnologie, strumenti, princìpi legati al sequestro e alla confisca delle criptomonete, con introduzione di Giulia Lasagni e Raffaella Brighi (Università di Bologna) e tramite gli interventi dei relatori Roberto Murenec (Digital Evidence Specialist), Paolo Dal Checco (Consulente Informatico Forense, CEO Forenser Srl) e Alessandro Rella (Digital Forensic Expert & Cybercrime Investigator) con il supporto dei discussant Ulrico Bardari (Università di Bologna, Polizia di Stato), Chiara Buffon (Università di Torino), Andrea Cabiale (Università di Torino), Alessandro Cantelli Forti (RASS-CNIT Pisa), Pier Giorgio Chiara (Università di Bologna), Jacopo Della Torre (Università di Genova), Corrado Federici (Cybersecurity & DF Consultant), Michele Ferrazzano (Università di Bologna), Isadora Neroni Rezende (Università di Bologna), Andrea Paselli (Università di Bologna, Polizia postale), Antonio Pugliese (Università di Bologna).

Durante l’evento presso l’Università degli Studi di Bologna si parlerà di argomenti quali indagini forensi sulle criptomonete, sequestro di cryptocurrency come Bitcoin, Eth, USD, Token ERC20, etc… con considerazioni tecniche, investigative e giuridiche sulle procedure adottate per i sequestri di crypto, le confische di bitcoin, il sequestro per equivalente, la confisca di criptomonete con conversione in euro convogliati presso il FUG (Fondo Unico di Giustizia) del Tribunale, le attività di Polizia Giudiziaria in ambito criptovalute, il dissequestro di cryptocurrency e le problematiche che emergono durante gli incarichi conferiti dal Tribunale o dalla Procura della Repubblica relativamente alle perizie informatiche in ambito crypto. Durante la conferenza, i relatori e i discussant parleranno anche di casi pratici e reali di sequestro di criptomonete, presso wallet fisici, exchange, con confisca e conversione in valuta fiat verso il FUG.

Il progetto sul sequestro di criptomonete è finanziato dall’Unione Europea – NextGenerationEU attraverso il Ministero dell’Università e della Ricerca italiano nell’ambito del PNRR – Missione 4 Componente 2, Investimento 1.3 “Partenariati estesi a Università, centri di ricerca, imprese e finanziamento progetti di ricerca”, Avviso MUR n. 341 del 15/03/2022, Progetto SERICS – SEcurity and RIghts in the CyberSpace, Codice proposta: PE00000014 Finanziato dall’Unione Europea – NextGenerationEU a valere sul Piano Nazionale di Ripresa e Resilienza (PNRR) – Missione 4 Istruzione e ricerca – Componente 2 Dalla ricerca all’impresa – Investimento 1.1, Avviso Prin 2022 PNRR indetto con DD N. 1409 del 14/09/2022, dal titolo “CRYPTOSAFE – Towards a safe seizure and confiscation of crypto-assets in criminal proceedings”, codice proposta P2022HW85A – CUP J53D23018940001.

L’evento formativo CryptoSafe “Indagini e strumenti operativi per il sequestro e la confisca di criptovalute”” è accreditato presso l’Ordine degli Avvocati di Bologna con l’erogazione di 3 CF ai partecipanti in presenza.

Il volantino con la locandina e il programma dell’evento è scaricabile da questo link:

Convegno CryptoSafe su Sequestro e Confisca di Criptovalute a BolognaDownload

Per informazioni e accreditamenti sul seminario durante il quale si parlerà d’indagini forensi per attività di sequestro e confisca di criptovalute è possibile contattare Federica Zagaroli (federica.zagaroli2@unibo.it) e Lorenzo Farneti (lorenzo.farneti7@unibo.it).

Sicurezza e strategie di difesa al National Security Hub 2024 a Roma

forenser on 1 Dicembre 2024

Martedì 3 dicembre si terrà a Palazzo Wedekind, in Piazza Colonna, 366 a Roma, la seconda edizione del National Security Hub, Forum durante la quale si parlerà d’infrastrutture critiche e strategiche, sicurezza e resilienza, responsabilità etica dell’uso energetico nei data center e nella gestione dei dati, attacchi di precisione nelle
aziende e nella pubblica amministrazione.

L’evento, moderato da Barbara Carfagna, verterà su tre tematiche fondamentali:

  • Sicurezza energetica e protezione delle infrastrutture critiche
  • Data center e responsabilità etica nella gestione dei dati e dell’energia
  • Cittadini e soldati: Manager e Generali. L’educazione agli attacchi di precisione nelle aziende e nella pubblica amministrazione

Per partecipare al Forum “National Security Hub” che si terrà a Roma il 3 dicembre 2024 è sufficiente compilare il seguente form online e per maggiori informazioni contattare info@corelations.it.

Il programma del National Security Hub 2024 è il seguente:

9:30 | Welcome Coffee

10:00 | Saluti istituzionali

10:15 | Panel I – Sicurezza energetica e protezione delle infrastrutture strategiche

Il panel esamina minacce e strategie per proteggere infrastrutture critiche ed energetiche in un contesto globale vulnerabile. L’attenzione sarà rivolta alle tecnologie e alle collaborazioni necessarie per garantire sicurezza e resilienza, affrontando sfide che mirano a destabilizzare risorse essenziali.

Opening remarks

  • Cristiano Leggeri, Direttore della III Divisione del Servizio Polizia postale e per la sicurezza cibernetica
  • Comandante Antonio Bufis, Marina Militare
  • Pierluigi Contucci, Professore ordinario, Dipartimento di Matematica Università di Bologna

Discussant

  • Corrado Giustozzi, Founding Partner & Chief Strategist Rexilience
  • Alessandro Manfredini, Presidente AIPSA – Associazione Italiana Professionisti Security Aziendale

11:00 | Panel II – Data center e responsabilità etica nella gestione dei dati e dell’energia

Questo panel esplora la responsabilità etica dell’uso energetico nei data center e nella gestione dei dati. Analizzeremo l’equilibrio tra ottimizzazione delle risorse, impatto ambientale e tutela della privacy, esplorando approcci che rispettino normative e promuovano una gestione etica in ambito digitale.

Opening Remarks

  • Giovanni Amato, Funzionario Agenzia per l’Italia Digitale con responsabilità diretta sulle operazioni del CERT-AgID ed esperto di cybersicurezza
  • Antonio Mancazzo, Comandante del Nucleo Speciale Tutela Privacy e Frodi Tecnologiche Guardia di Finanza
  • Alessandro Marzi, Head of Group Cyber Defence – CISO A2A

Discussant

  • Nicola Bernardi, Presidente e Membro del Consiglio Direttivo Federprivacy
  • Paolo Dal Checco, Consulente informatico Forense e CEO Forenser Srl
  • Sergio Fumagalli, Clusit Privacy & Security Consultant, Esg advisor P4I
  • Paola Generali, Presidente, Associazione nazionale imprese ICT
Paolo Dal Checco al National Security Hub 2024 a Roma

11:45 | Panel III – Cittadini e soldati: Manager e Generali. L’educazione agli attacchi di precisione nelle aziende e nella pubblica amministrazione

Il panel affronta la preparazione di manager e dirigenti pubblici alla gestione di attacchi mirati. Verranno esplorati approcci formativi ispirati a strategie militari per migliorare la resilienza e la risposta rapida contro minacce specifiche in ambiti aziendali e istituzionali.

Opening Remarks

  • Mirko Lapi, Intelligent & Security Consultant Osintitalia
  • Michele Mezza, Giornalista e Docente Università Federico II Napoli
  • Alessandro Politi, Direttore Nato Defence College Foundation
  • Valerio Visconti, CISO Autostrade per l’Italia
  • Dan Cimpean, The Director, National Cyber Security Directorate and Member of ECCC Governing Board, ENISA Management Board, ECSO Board of Directors

Discussant

  • Gianluca Boccacci, Presidente Cyber Actors
  • Fabrizio D’amore, Direttore del master Sapienza in Sicurezza delle informazioni e informazione strategica e Professore di Cybersecurity nel corso magistrale di Engineering in Computer Science di Sapienza Università di Roma
  • Pierguido Iezzi, Strategic Business Director di Tinexta

13:00 | LIGHT LUNCH