Prima di parlare di recupero dei dati cancellati da un dispositivo elettronico è indispensabile, quanto meno, accennare alla disciplina che si occupa di tale operazione: la cd digital forensics.
Essa tratta i dati digitali di qualsiasi tipo allo scopo di rilevare prove informatiche riproducibili in giudizio.
I principi giuridici della digital forensics sono stati definiti nel 2001 con la Convenzione di Budapest sul Cybercrime, recepita alcuni anni più tardi anche in Italia con la Legge 18 marzo 2008 n. 48.
In precedenza l’informatica forense era regolamentata dalla Legge 547/1993 (“Modificazioni ed integrazioni alle norme del codice penale e del codice di procedura penale in tema di criminalità informatica”).
I dati, anche se cancellati, non vengono eliminati in modo definitivo e possono essere recuperati anche dopo molto tempo, salvo sovrascritture.
Come spiegano gli esperti di Airo, azienda di investigazioni a Brescia, gli investigatori privati possono svolgere un ruolo fondamentale nel recuperare tali dati.
È però fondamentale che al momento dell’acquisizione dei dati, questi non vengano alterati, altrimenti non potranno essere utilizzati in un eventuale giudizio.
Come funziona il recupero dei dati cancellati?
Gli investigatori utilizzano strumenti tecnologici sofisticati rispettando scrupolosamente le best practices internazionali per accedere alle aree non allocate dei dispositivi digitali.
Questo permette loro di recuperare dati precedentemente eliminati.
Tuttavia, il successo del recupero dipende da vari fattori:
- tipo di dispositivo: alcuni dispositivi si prestano più facilmente al recupero, rispetto ad altri;
- sistema operativo: le procedure possono variare a seconda del sistema operativo;
- metodo di cancellazione: il tipo di cancellazione (normale, formattazione, sovrascrittura) influisce drasticamente sul recupero;
- tempo trascorso dalla cancellazione: più tempo passa, meno probabilità di successo.
Strumenti e metodi per il recupero dei dati
Ecco alcuni tra gli strumenti più utilizzati dagli investigatori privati per il recupero dei dati:
- UFED (Universal Forensic Extraction Device) dell’azienda Cellebrite è uno dei dispositivi più utilizzati a livello mondiale per l’estrazione forense di dati da dispositivi mobili. Consente di accedere anche a dati cancellati o protetti, grazie a tecniche di estrazione fisica e logica avanzate, mantenendo la validità forense delle prove raccolte. Esistono diverse versioni, tra cui UFED Touch3 (dispositivo portatile) e UFED 4PC (installabile su laptop), utilizzabili sia in laboratorio che direttamente sul campo.
- Oxygen Forensic Detective è un software di analisi digitale che consente di estrarre e analizzare dati da migliaia di dispositivi, comprese le informazioni provenienti da app come WhatsApp, Telegram, Facebook e Google. Oltre al recupero, permette anche di eseguire analisi avanzate come riconoscimento facciale, geolocalizzazione, lettura OCR, traduzione automatica e persino rilevamento di malware. È uno strumento completo e flessibile, spesso impiegato anche dalle aziende per indagini interne o analisi di incidenti informatici.
