Archivi categoria: TV

Nella “Cantinetta” di Andrea Galeazzi sul canale Youtube hackerato

Hanno rubato e fatto chiudere l’account Google e quindi anche il canale Youtube di Andrea Galeazzi, con quasi 1.5 milioni di follower, tramite social engineering con phishing mirato e finta autenticazione OAuth, nonostante avesse 2FA attivo e fosse consapevole dei rischi degli attacchi mirati agli youtuber.

Paolo Dal Checco con Andrea Galeazzi su Youtube per parlare del canale e account Google hackerato

Andrea Galeazzi racconta in un video – pubblicato sul canale appena riaperto – come è avvenuto l’attacco da parte degli hacker al suo canale, come lo hanno tagliato fuori dal suo account Google nonostante avesse 2FA attivo e come ha reagito per recuperare l’accesso.

Nella famosa “Cantinetta”, tra smartphone e gadget affascinanti, con Andrea ci sono anche io per analizzare gli aspetti tecnici e dare alcuni consigli su come proteggersi da questi hack e come rimediare se il danno è già stato fatto.

Per chi fosse curioso di capire come è stato hackerato Andrea Galeazzi, la compromissione ha avuto origine da un attacco di Spear Phishing (phishing mirato e personalizzato) estremamente sofisticato.

A differenza delle campagne generiche, gli attaccanti hanno confezionato un’esca basata su una fase di reconnaissance precisa, sfruttando le lamentele reali degli utenti sulla qualità audio dei video recenti per proporre una falsa collaborazione con un brand di microfoni noto alla vittima.

Paolo Dal Checco nella Cantinetta di Andrea Galeazzi - Video Youtube sull'hack dell'account Google

L’attuale disponibilità di strumenti basati sull’Intelligenza Artificiale permette ormai di automatizzare la creazione di scenari così contestualizzati, analizzando profili e commenti pubblici per ingannare la vittima con una precisione che un tempo avrebbe richiesto un operatore umano dedicato,.

Sotto il profilo tecnico, il vettore d’attacco non ha mirato alla sottrazione diretta della password, ma allo sfruttamento del protocollo OAuth o meglio, di ciò che pareva essere un’autenticazione OAuth.

Andrea Galeazzi, rassicurato dalla coerenza del contesto e colto in un momento di stanchezza, ha autorizzato l’accesso tramite una maschera di autenticazione che pareva legittima, concedendo di fatto l’accesso ai criminali che hanno proceduto in pochi secondi al hijacking del canale.

Quello che colpisce maggiormente dal punto di vista della Incident Response è la velocità della “Kill Chain”: in meno di venti secondi dall’autorizzazione, gli attaccanti hanno modificato le credenziali, revocato le sessioni attive e, mossa cruciale per la persistenza, impostato un token fisico (chiave hardware FIDO/U2F) come unico metodo di autenticazione, tagliando fuori il legittimo proprietario e rendendo inefficaci i metodi di recupero tradizionali.

Nel video Youtube girato in Cantinetta con Andrea Galeazzi abbiamo evidenziato la debolezza intrinseca del 2FA via SMS, vulnerabile a malware e SIM Swapping, a favore di metodi più robusti come le Passkey o meglio ancora le chiavi di sicurezza hardware come le note YubiKey.

Andrea Galeazzi racconta nella Cantinetta dell'hack del canale Youtube e dell'account Google

Per i profili ad alto rischio, emerge l’importanza del Google Advanced Protection Program, un’impostazione di sicurezza che limita drasticamente l’accesso alle API di terze parti e impone finestre temporali di verifica estese per operazioni critiche come il Google Takeout, mitigando il rischio di esfiltrazione immediata dei dati,.

Dal punto di vista della Digital Forensics, nel video Youtube di Andrea Galeazzi sull’hack al canale Youtube emerge l’importanza di reperire artefatti specifici che provino la titolarità storica dell’account: non basta conoscere l’handle pubblico: è necessario recuperare l’ID univoco del canale, i log storici dei dispositivi che hanno un “trust” per il provider e i dettagli dei metodi di pagamento pregressi.

Si parla poi del concetto di isolamento dei dati (o compartimentazione): abbandonare l’idea di un unico account “monolitico” per tutti i servizi e separare nettamente le identità digitali lavorative, personali e finanziarie, riducendo così il raggio d’azione di un’eventuale compromissione anche con indirizzi email diversi e persino più numeri di cellulare, così da separare attività private e lavorative/bancarie/riservate.

Per fortuna il peggio è passato ma non bisogna mai rilassarsi troppo perché può capitare a chiunque, esperti e professionisti, nessuno escluso, basta trovare il momento o la chiave giusta e chiunque può cadere vittima di hacking o phishing.

Il video di Andrea Galeazzi con Paolo Dal Checco che parlano del furto e hack del canale Youtube e account Google è visionabile al seguente link: https://www.youtube.com/watch?v=rMwLbLAMKg4

Sulle tracce dell’hacker stalker di Noemi con Le Iene

Dopo l’hacker dell’autoscuola sono tornato a collaborare con Le Iene, come perito informatico forense, nel caso di Noemi, una ragazza di Monreale in provincia di Palermo, che da 7 mesi sta raccogliendo prove digitali degli episodi di stalking di cui sarebbe vittima ricevendo quotidianamente messaggi con minacce da parte d’ignoti.

Il servizio de Le Iene, condotto da Veronica Ruggeri, andato in onda in due puntate, la prima il 18 novembre 2025 e la seconda il 26 novembre 2025 si apre con uno scenario nel quale Noemi narra gli eventi di cyberstalking che avrebbe subito nel corso degli ultimi sette mesi, fatti di messaggi SMS o Instagram, chiamate anonime, email con allegati, movimenti sotto casa, luci sospette e persino potenziali telecamere che spiano la vita sua e della madre.

Paolo Dal Checco - Consulente Tecnico Forense per Le Iene nel servizio TV sull'Hacker di Monreale

Gli SMS paiono arrivare dallo stesso numero di telefono della ragazza, si possono quindi fare due ipotesi: spoofing (cioè invio di messaggi utilizzando come mittente il numero di qualcun altro) oppure provenienza degli SMS dallo stesso smartphone che li riceve.

I profili Instagram anonimi paiono essere stati creati e poi cancellati subito dopo le comunicazioni, quindi solo la Polizia Giudiziaria è in grado di ottenere informazioni, dall’esterno anche tramite tecniche OSINT non è possibile ricavare dati che possano essere utili a svelarne l’identità.

Paolo Dal Checco e Matteo Vinci - Forenser per Le Iene

Durante la seconda puntata, nella quale ho contribuito come tecnico informatico forense per Le Iene al fine di far luce sul mistero dello stalker, abbiamo proceduto all’esecuzione di copie forensi tramite software Oxygen Forensics, con varie modalità – inclusa la Full File System FFS tramite Checkm8 – al fine di poter successivamente analizzare i dati acquisiti in maniera forense.

Copia forense smartphone con Checkm8 e Oxygen Forensics

Prima di eseguire le copie forensi, insieme al collega Matteo Vinci – parte della società Forenser – abbiamo provveduto a generare il sysdiagnose degli iPhone e iPad, così da avere traccia dei crash log o bug report, utili per procedere con attività di spyhunting e rilevamento malware e spy software, per verificare l’eventualità che il telefono fosse controllato da remoto.

La gene

Copia forense di smartphone con Oxygen Forensics come consulenza informatica forense per Le Iene

La prima puntata del servizio de Le Iene sull’hacker che minaccia Noemi è visibile a questo link, mentre la seconda puntata – nella quale ho partecipato come consulente informatico forense per Le Iene per produrre copia forense e analisi finalizzata a verificare le attività di cyberstalking e identificarne il potenziale autore – è disponibile sul sito Mediaset nella sezione Le Iene al seguente link.

Analisi forense di pendrive USB e metadati Word per Le Iene

Martedì 4 novembre 2025 è andato in onda il servizio de Le Iene dove, come perito forense, ho aiutato la Iena Filippo Roma a trovare riferimenti a potenziali autori all’interno di una pendrive USB contenente un documento Word.

Il servizio de Le Iene parla di una questione nella quale non mi addentro, poiché mi è stato semplicemente chiesto se fosse possibile trovare l’autore, il proprietario o l’utilizzatore di una pendrive USB, in particolare basandomi su di un documento Microsoft Office Word in essa contenuto.

Consulente Informatico per Le Iene su analisi metadati pendrive USB

L’attività di perizia informatica è iniziata con la realizzazione di una copia forense della pendrive USB – così da cristallizzarne e preservarne il contenuto all’interno di una immagine forense con estensione EWF, in modo da poterla successivamente analizzare.

L’analisi forense svolta come perito informatico per Le Iene – in particolare per Filippo Roma e l’autore del servizio TV – è stata eseguita tramite il software X-Ways Forensics, con il quale ho eseguito carving, recupero dati e ricostruzione del filesystem, inclusi file cancellati e relativi metadati EXIF di immagini, OOXML di file Word e XMP di file PDF.

Le Iene - Paolo Dal Checco e analisi forense su metadati di documento Word

Il software XWF – X-Ways Forensics – permette a chi opera come consulente informatico forense di eseguire attività di analisi e perizia informatica su immagini forensi al fine di ricostruire file eliminati e categorizzare metadati ed evidenze digitali

Come contro-verifica – in ambito informatica forense è sempre importante l’attività di cross examination – ho utilizzato anche il noto software open source Exiftool, così da poter confermare le risultanze ottenute mediante il tool forense XWF e produrre quindi una valutazione circa l’attribuzione del file.

Paolo Dal Checco - Perito Informatico per Le Iene e analisi dei metadati file word con exiftool

Nella pendrive erano presenti ulteriori file di tipo “.Trashes”, “.TemporaryItems”, “.Spotlight-V100” con i subfolder “Store-V2” e all’interno i vari journal e index, ma in nessuno di tali artefatti erano contenute indicazioni circa l’attribuzione della pendrive o meglio, si sono trovati gli stessi riscontri presenti nel file Word oggetto di analisi.

Dal punto di vista informatico forense, la presenza di uno specifico nominativo nel campo “Creator/Author” o “Last Modified By/Last Saved By” non indica necessariamente l’autore del documento o dell’ultima modifica ma il nominativo con cui è stato configurato il software utilizzato per generare il documento Word.

In genere, quindi, quando si rileva un nominativo nel campo autore del documento o dell’ultima modifica al documento in un file Word – ma anche Excel o Powerpoint, oltre a PDF o eventuali file JPG, multimediali, etc… – possono verificarsi tre situazioni:

  1. Il nominativo presente nei dati EXIF/XMP/OOXML può effettivamente essere l’autore del documento;
  2. Lo user indicato nei metadati del file Word può essere quello con cui è stato configurato il sistema utilizzato per creare o modificare il file ma il file non è stato creato/modificato da tale soggetto;
  3. Lo username reperibile nei meta dati può essere stato inserito apposta nel file da terzi per forzare l’attribuzione di un file a un soggetto (es. per attribuirgli la creazione/modifica del file).

Ovviamente dall’analisi forense di un solo file non è possibile distinguere con una perizia informatica in quale casistica di quelle riportate sopra rientri, se non esaminando ulteriori elementi (es. altri file presenti sul dispositivo, percorsi/path del filesystem lasciati nei file, negli indici o nei dati temporanei, etc…) e quindi non si possono fare ulteriori valutazioni.

Proprio per questo motivo è importante procedere con la massima cautela quando si ricavano informazioni dai metadati dei file, valutando le possibili interpretazioni in base a ulteriori elementi, anche investigativi, che possano confermare o meno l’attendibilità dell’attribuzione.

Con le Le Iene sulle tracce dell’hacker dell’autoscuola

Nel mese di ottobre 2025 sono andate in onda le tre puntate del servizio de Le Iene “Chi è l’hacker dell’autoscuola?” dove – come perito informatico per Le Iene – ho aiutato la iena Veronica Ruggeri a capire chi è l’hacker che per oltre un anno fa cyberstalking a due dipendenti di una scuola guida – Chiara e Andrea – accedendo ai sistemi e intercettando comunicazioni, inviando centinaia di messaggi giornalieri e monitorando in tempo reale le vittime.

Le Iene - Chi è l'hacker della scuola guida

Nei servizi andati in onda su Mediaset ho collaborato come consulente informatico forense per Le Iene supportando Veronica Ruggeri nella difficile analisi forense di un caso – un hacker che da un anno e mezzo tormenta i dipendenti di una scuola guida – dove la tecnologia è protagonista di una situazione paradossale.

Il caso dell’hacker dell’autoscuola trattato a Le Iene al quale ho avuto l’opportunità di collaborare come perito informatico ha destato notevole interesse perché contiene numerosi elementi tecnici tipici di situazioni nelle quali le vittime subiscono attacchi informatici che si concretizzano poi in diversi reati, tra i quali reati informatici come quelli di accesso abusivo (art. 615-ter, c.p.), danneggiamento di dati e programmi informatici (art. 635-bis, c.p.), intercettazione di comunicazioni informatiche o telematiche (art. 617-quater, c.p.), interferenze illecite nella vita privata (art. 615-bis, c.p.), installazione di apparecchiature atte a intercettare comunicazioni informatiche o telematiche (art. 617-quinquies, c.p.).

Paolo Dal Checco, Tecnico Informatico Forense per Le Iene

Nell’ambito dei tre servizi andati in onda nel mese di ottobre 2025 sono intervenuto – insieme a parte del team Forenser Srl composto per l’occasione da Matteo Vinci, Daniele Scanu e Marco Musumeci – In qualità di esperto informatico per Le Iene nella fase di ricognizione, intervista ai protagonisti, copia forense di smartphone e PC oltre che analisi forense di PC, smartphone, takeout, account e sistemi per poter arrivare a ricostruire la dinamica degli attacchi informatici subiti.

Durante la prima parte del servizio per Le Iene sull’hacker dell’autoscuola, Veronica Ruggeri fa emergere un quadro preoccupante nel quale i due protagonisti – Andrea e Chiara – illustrano oltre un anno di minacce, email anonime, telefonate, SMS, Whatsapp, messaggi su Instagram, accessi a mailbox, Facebook e social network, conti bancari, modem dell’autoscuola e tante altre superfici d’attacco violate dal misterioso attaccante.

Paolo Dal Checco e Veronica Ruggeri nel servizio per Le Iene sull'hacker dell'autoscuola

Dopo la prima ricognizione con le Iene abbiamo formulato diverse ipotesi operative e iniziato a lavorare sulle copie forensi di PC e smartphone prodotte tramite il software di mobile forensics Oxygen Forensics durante il primo accesso presso la scuola guida.

Copie forensi di smartphone e PC per Le Iene con il software Oxygen Forensics

Durante il secondo accesso sono emersi nuovi indizi, non soltanto informatici, tra i quali un principio d’incendio occorso nei locali dell’autoscuola e un approfondimento di Veronica Ruggeri sulle tempistiche di apertura della serranda dell’autoscuola, per capire come possa essere stata pilotata da remoto una tecnologia che è invece stata progettata per essere gestita soltanto dai telecomandi sincronizzati con la centralina.

Nel terzo servizio de Le Iene sull’hacker dell’autoscuola vengono invece presentati i risultati della perizia informatica svolta uno smarthpone tramite un misto di mobile forensics, network forensics, email forensics e più in generale digital forensics sui dispositivi forniti dalle vittime dello stalking, mostrando come numerose tracce dell’hacker sono state rinvenute in particolare su di uno smartphone.

Le Iene e l'hacker dell'autoscuola con la perizia informatica della società d'informatica forense Forenser Srl

Ricordiamo che in tutti i casi nei quali sono necessari accertamenti su dispositivi mobili o fissi (smartphone, notebook, PC, etc…) è importante rivolgersi a società che si occupano d’informatica forense come la Forenser Srl o lo Studio d’Informatica Forense per cristallizzare le evidenze digitali e produrre analisi tecniche che conducano a una perizia informatica forense.

Per chi avesse curiosità di visionare le tre puntate della serie dell’hacker dell’autoscuola, dove ho avuto l’opportunità di collaborare come perito informatico forense per Le Iene, sono disponibili ai seguenti link sul sito Mediaset:

Poiché il servizio per Le Iene sull’hacker della scuola guida ha sensibilizzato notevolmente il pubblico sulla protezione dei propri dati e dei propri dispositivi, ricordiamo che per difendersi da potenziali malware, virus, trojan o spy software, si possono seguire alcuni consigli, tra i quali ad esempio:

  • scegliere password non facili da indovinare, diverse tra loro e non condividerle;
  • aggiornare smartphone e tablet, incluse le App che non sempre si aggiornano automaticamente;
  • evitare di usare dispositivi troppo obsoleti che non possono essere aggiornati all’ultima versione di iOS o Android;
  • non installare App scaricate fuori dagli store ufficiali, come ad esempio APK che si trovano online o vengono riportati su siti web o SMS ricevuti;
  • non fidarsi di email, SMS, Whatsapp che suggeriscono di cliccare su link o installare App;
  • prestare attenzione alle notifiche di richiesta dei permessi per accedere ad audio, video, GPS, etc…
  • utilizzare un secondo fattore di autenticazione (es. Google Authenticator, SMS, Whatsapp, meglio ancora Yubikey o chiavetta U2F) ove possibile non sullo stesso dispositivo che s’intende proteggere;
  • evitare rooting o jailbreak;
  • attivare l’opzione di protezione avanzata per gli account Apple (Advanced Data Protection) e Google (Advanced Protection Program);
  • in caso di dubbi sulla potenziale compromissione del proprio dispositivo Apple, abilitare l’opzione “Lockdown” su iPhone
  • installare antivirus, antimalware, anche su dispositivi Android o Apple e non solo su PC.

Verifica di email originali o contraffatte per Le Iene

Domenica 21 settembre 2025 è andato in onda su ItaliaUno di Mediaset il servizio de Le Iene nel quale come consulente tecnico e perito informatico forense ho aiutato la Iena Filippo Roma a capire se dei messaggi di posta elettronica ricevuti fossero originali integri oppure manipolati e falsi.

Paolo Dal Checco, Perito Informatico Forense per Le Iene nel servizio di Filippo Roma

La domanda cui ho risposto è stata quella che tipicamente viene posta nei quali vengono prodotte come prova informatica delle email, cioè “Come posso verificare se una mail è autentica e originale oppure se è stata manipolata ed è quindi falsa?”.

Senza entrare nel merito del contesto nel quale non è opportuno che mi pronunci – essendo un perito informatico forense e non un giurista – nel servizio andato in onda su Mediaset, come Consulente Informatico de Le Iene ho analizzato alcuni messaggi di posta elettronica ricevuti da una persona, che erano stati disconosciuti e dichiarati falsi da un’altra.

Come consulente informatico per Le Iene ho condotto l’analisi non su stampe cartacee o pdf dei messaggi – assolutamente da evitare come prova digitale perché possono essere creati o manipolati artificiosamente – bensì sul dato “grezzo”, cioè sui messaggi completi di header RFC822 che tipicamente vengono esportati da webmail o programmi di posta in formato EML, MSG o TXT.

Per fare un esempio, questo è ciò su cui si può basare una perizia informatica su email con valutazione dell’integrità di un messaggio di posta elettronica.

Intestazione RFC822 di un messaggio di posta elettronica o header RFC822

Come Consulente Informatico de Le Iene ho quindi proceduto alla verifica dell’originalità o manipolazione di mail fornite al fine di confermare che non si trattasse di falsi creati con Photoshop o email manipolate per modificarne il contenuto.

Il Consulente Informatico de Le Iene Paolo Dal Checco verifica originalità o manipolazione di una mail

Partendo dal “codice sorgente” di un messaggio, avendo ove possibile anche accesso alla mailbox, è possibile infatti operare diverse analisi, tra le quali l’analisi della firma DKIM apposta dal server sulle email inviate.

Il protocollo DKIM (DomainKeys Identified Mail) permette ai server mittente di apporre una firma digitale su specifici campi della mail (mittente, destinatario, oggetto, data e altri campi ma soprattutto sul testo. Un controllo positivo garantisce che né i campi né il testo siano stati alterati dopo l’invio o siano comunque originali. Un’email creata artificiosamente impostando come mittente un indirizzo Gmail, ad esempio, non può essere firmata dal server Google e quindi la verifica DKIM risulterà negativa.

Verifica di email tramite DKIM con tecniche d'informatica forense

In aggiunta, ARC (Authenticated Received Chain) fornisce ulteriori garanzie sulla catena di inoltro del messaggio di posta elettronica, dato che spesso le mail vengono inoltrate tramite forward o gestite mediante liste d’inoltro.

L’analisi forense delle firme DKIM permette di verificare eventuale manipolazione, falsificazione o spoofing dei messaggi di posta elettronica. lo spoofing consiste nella impersonificazione d’indirizzi email di terzi creando mail inviate apparentemente forgiate con il mittente “falso”, così che chi riceve i messaggi sia persuaso di averli ricevuti dai mittenti immediatamente visibili nell’intestazione “Da” o “From” mentre invece sono messaggi di posta falsificati e artefatti ad hoc.

Esistono diversi servizi che permettono d’inviare “spoofed email”, cioè email con mittente che impersona un indirizzo di terzi, uno dei più noti è Emkei, utilizzabile da chiunque per provare a inviare una mail con il proprio indirizzo e verificare se a destinazione l’email viene scartata o accettata dalla mailbox. Nell’ambito delle truffe informatiche molto spesso poi vengono spesso direttamente modificate le email nella mailbox di ricezione, stampate o artefatte senza necessità di utilizzare la tecnica dello spoofing.

Esistono diversi metodi per la verifica della firma DKIM nelle email, per valutarne l’integrità e l’originalità, quello mostrato nel servizio dove ho svolto l’attività di consulente informatico per Le Iene è il servizio MXtoolbox Email Header Analyzer.

Verifica di manipolazione o falsificazione di messaggi di posta elettronica

MXtoolbox è una suite di servizi dedicati alla posta elettronica e da di essi si trova l’analizzatore d’intestazioni – o header – RFC 822. Si tratta di un servizio online sul quale è possibile incollare nel campo di testo l’intestazione di un messaggio di posta elettronica ma in realtà la verifica completa può essere operata soltanto incollando l’intero contenuto del sorgente del messaggio di posta, non soltanto l’header.

Una volta incollato il contenuto del codice sorgente messaggio (integralmente, non soltanto l’header) si otteranno delle spunte in corrispondenza delle varie verifiche SPF, DMARC e DKIM.

Verifica originalità messaggio email tramite analisi SPF DMARC e DKIM dell'header

In base alle spunte verdi è possibile valutare se i vari parametri sono corretti e in particolare se la firma DKIM risulta verificata e quindi autentica in base al selector indicato nel messaggio stesso, cioè al riferimento del dominio che ha inviato o gestito l’invio del messaggio di posta elettronica, che deve ovviamente coincidere con quello del mittente.

Verifica se una email è originale o falsa tramite firma DKIM

Nel caso migliore tutte le spunte interne alla verifica DKIM sono verdi, a significare che l’email è originale, autentica ed effettivamente inviata dall’indirizzo che risulta essere indicato nel campo mittente.

Accedendo direttamente alla mailbox, è poi possibile estrarre la data di ricezione interna (INTERNALDATE) e l’identificativo univoco (UID) assegnato dal server a ogni messaggio: le incoerenze – soprattuto con altri messaggi inviati o ricevuti nella stessa giornata – possono suggerire manipolazioni o importazioni sospette di messaggi.

Non va sottovalutato poi il campo Message-ID è un identificatore unico che dovrebbe seguire logiche ben precise, spesso legate al dominio mittente o a timestamp codificati. Confrontare il Message-ID con campi come In-Reply-To consente di scoprire anomalie nella ricostruzione del thread.

Confrontare più messaggi appartenenti alla stessa conversazione consente inoltre di notare discrepanze nei riferimenti temporali o negli identificativi dei messaggi, segnalando possibili manipolazioni. Allo stesso modo, gli header contengono date in diversi formati, inclusi quelli basati su EpochTime. Incoerenze tra i vari timestamp possono rivelare alterazioni o inserimenti anomali nel flusso delle comunicazioni.

La struttura multipart MIME di un messaggio può contenere testo semplice, HTML, immagini inline e allegati. Analizzare i MIME boundaries permette di scoprire manipolazioni, omissioni o inserimenti sospetti.

Gli allegati, a loro volta, possono essere sottoposti a analisi forense: metadati EXIF in immagini o documenti Office possono rivelare autori, software utilizzati o date di creazione non coerenti con quanto dichiarato.

Infine è strategico, per verificare se un messaggio di posta elettronica è originale o alterato, non sottovalutare i campi TO, CC e BCC: è infatti possibile individuare destinatari ulteriori, contattarli e acquisire copie indipendenti dello stesso messaggio rafforza l’attendibilità dell’analisi.

In ultimo, in ambito d’indagine informatica e OSINT, è importante verificare se nei messaggi EML o MSG sono presenti campi personalizzati detti X-Fields, che possono fornire indizi preziosi sul percorso di consegna, sullo spam scoring o sul software utilizzato, talvolta persino sull’indirizzo IP del mittente.

Perché serve la copia forense della mailbox

Tutte queste analisi hanno un punto in comune: non possono essere eseguite su una semplice stampa PDF o uno screenshot. Per una perizia informatica solida e incontestabile né disconoscibile è necessario acquisire quantomeno i messaggi di posta con i loro header RFC822 completi (cioè il file TXT, EML o MSG integrale) ma è raccomandabile poter procedere tramite copia forense della mailbox all’estrazione diretta dal cloud anche dei metadati.

Le tecniche di email forensics richiedono infatti che le email o la mailbox oggetto di analisi siano il più possibile complete di header rfc822, metadati, dettagli e log tipicamente presenti all’interno di una copia forense, un takeout o una esportazione forense dei dati sui quali successivamente operare una analisi forense.

Solo così si può attribuire – talvolta, non sempre – integrità probatoria anche in assenza di firme DKIM e si può ricostruire con precisione il ciclo di vita del messaggio.

A cosa serve la perizia informatica sulle mail e quanto costa?

Dal servizio de Le Iene per il quale ho fatto da consulente tecnico e perito informatico per illustrare come riconoscere un messaggio di posta elettronica vero e originale da uno falso e artefatto emerge chiaramente l’importanza di una perizia informatica di acquisizione forense e analisi dei messaggi in ambito di dispute ove esistono prove digitali consistenti in email o PEC.

Consigliamo quindi, in ambito di processi penali o civili, di conferire incarico a un professionista – ad esempio un consulente informatico forense – per l’esecuzione di copia forense a valore legale e per utilizzo in Tribunale dei messaggi di posta elettronica, con successiva analisi, validazione e certificazione dell’originalità e integrità dell’intestazione header RFC822 e del contenuto.

Per questo motivo, la perizia informatica sulle mailbox resta uno strumento essenziale non solo in tribunale, ma anche in contesti aziendali e investigativi dove la verità di un messaggio può fare la differenza.

Nell’era in cui le e-mail rappresentano prove cruciali in indagini penali, civili e commerciali, affidarsi a verifiche superficiali può infatti compromettere l’intero procedimento. L’analisi forense delle e-mail non si limita a leggere un testo, ma entra nei dettagli tecnici più nascosti per stabilire, con metodo scientifico, se un messaggio sia autentico, integro e affidabile.