Analisi Forense Analisi Forense Analisi Forense
Bologna, Italy
(dalle 8 alle 22)
Analisi Forense Analisi Forense Analisi Forense

Video su chiavetta USB: quale valore probatorio ha davvero?

Video su chiavetta USB: quale valore probatorio ha davvero?

Sempre più spesso ci viene portato un video salvato su una chiavetta USB con la richiesta di stabilire se sia autentico, se provenga da un certo dispositivo o se possa essere utilizzato in un procedimento legale. Le aspettative sono spesso molto alte. La realtà tecnica è molto più articolata — e conoscerla in anticipo permette di evitare errori costosi e delusioni.

Perché un video su chiavetta USB non è automaticamente una prova

Nel senso comune, un video che mostra un evento viene percepito come una prova di quell’evento. Nel diritto e nell’informatica forense, invece, un file digitale non è una prova in sé: lo diventa solo se è possibile dimostrare la sua integrità, la sua origine e la correttezza del percorso che lo ha portato davanti al giudice.

Un file video salvato su una chiavetta USB è già, per definizione, una copia. Non si trova più nel dispositivo che lo ha generato, non è accompagnato dai dati di contesto che circondano ogni registrazione originale, e non esiste documentazione tecnica su come è stato trasferito. Questo non significa che sia inutile, ma significa che il suo utilizzo richiede consapevolezza.

Cosa si perde quando un video viene copiato su una chiavetta USB

Quando un video viene registrato da uno smartphone, il file non nasce isolato. Il dispositivo genera contestualmente una serie di informazioni che sono distribuite nel sistema operativo e nei database interni del telefono. Tra queste:

  • il percorso originale del file nel file system del dispositivo
  • i database della galleria fotografica con timestamp di creazione e modifica
  • le miniature generate automaticamente al momento della registrazione
  • la cache delle applicazioni fotografiche
  • i log di sistema relativi alla creazione del file
  • eventuali dati di geolocalizzazione integrati
  • altri file registrati nello stesso periodo di tempo, utili per contestualizzare

Tutte queste informazioni rimangono nel telefono. Il file copiato sulla chiavetta porta con sé solo una parte di esse — e spesso nemmeno quella, se durante il trasferimento sono state rimosse involontariamente.

Quando il telefono originale viene formattato, smarrito, ceduto o semplicemente non è più disponibile, molte di queste informazioni scompaiono in modo definitivo e irreversibile.

Cosa si può invece analizzare in un file video isolato

Anche senza il dispositivo originale, un file video contiene al proprio interno alcune informazioni tecniche che possono essere oggetto di analisi forense.

In particolare è possibile esaminare:

  • I metadata del container: informazioni sul formato del file, il software o il dispositivo che lo ha generato, la data di creazione dichiarata.
  • Il codec e il profilo di encoding: ogni dispositivo produce video con caratteristiche tecniche specifiche che possono essere confrontate con profili noti.
  • La struttura dei frame: la disposizione interna dei fotogrammi può rivelare anomalie compatibili con un montaggio o una rielaborazione.
  • I parametri di compressione: alterazioni locali nella compressione possono essere indicatori di editing su porzioni del video.
  • I tag software: alcuni dispositivi inseriscono nel file informazioni sul modello della fotocamera o sulla versione del firmware.
  • L’analisi del rumore: pattern statistici nel segnale visivo possono essere compatibili o incompatibili con specifici tipi di sensori.

Queste analisi permettono di formulare valutazioni tecniche sul file. Non permettono, nella maggior parte dei casi, di stabilire con certezza quale dispositivo abbia prodotto il video né di escludere in modo assoluto qualsiasi manipolazione.

Il concetto di catena di custodia e perché è determinante

Nell’informatica forense, la catena di custodia è il principio che descrive come deve essere acquisita, conservata e trasmessa una prova digitale affinché il suo valore probatorio sia riconoscibile in sede giudiziaria.

Una prova digitale acquisita correttamente deve soddisfare alcune condizioni fondamentali:

  • deve essere stata acquisita con strumenti che non modificano i dati originali
  • deve essere stata conservata con procedure documentate
  • deve essere possibile dimostrare che nessuna modifica è avvenuta dopo l’acquisizione
  • ogni passaggio di mano deve essere registrato e verificabile

Un file copiato su una chiavetta USB da una persona non esperta, senza documentazione del processo, senza hash di verifica calcolato al momento del trasferimento, non soddisfa questi requisiti. Questo non significa che il contenuto non abbia valore, ma significa che il suo utilizzo in un procedimento sarà soggetto a un esame critico molto più severo.

Nota legale
In molti procedimenti italiani i video portati come prove su supporti esterni vengono qualificati come prove documentali liberamente valutabili dal giudice, anziché come prove tecniche forti. La differenza non è teorica: si traduce nel peso che il giudice assegna a quella prova rispetto alle altre.

Il ruolo dei metadata e i loro limiti

I metadata sono informazioni incorporate nel file che descrivono le sue caratteristiche. Un video può contenere dati come il modello del dispositivo, la data e l’ora di registrazione, le impostazioni della fotocamera, le coordinate GPS.

Questi dati sono utili ma non sono affidabili di per sé. I motivi principali sono:

  • possono essere modificati con software comuni, accessibili a chiunque
  • alcune operazioni di trasferimento o conversione li eliminano automaticamente
  • la data e l’ora dipendono dall’orologio del dispositivo, che potrebbe non essere sincronizzato correttamente
  • non esiste un meccanismo di verifica integrato nei metadata stessi

Per questo motivo gli esperti forensi utilizzano i metadata come un elemento dell’analisi, non come prova conclusiva.

Analisi dei deepfake: cosa può realmente stabilire uno strumento di AI

Con la diffusione dei contenuti generati o manipolati con intelligenza artificiale, molti si rivolgono a noi chiedendo se sia possibile stabilire con certezza che un video sia un deepfake. La risposta richiede una spiegazione tecnica.

Gli strumenti di analisi dei deepfake sono basati su modelli di machine learning. Questi sistemi vengono addestrati su dataset di video autentici e video manipolati e imparano a riconoscere pattern statistici associati alle manipolazioni. Il risultato è un valore di probabilità, non una certezza.

Nei primi anni di diffusione di questi strumenti, molti sistemi restituivano risultati espressi come percentuale: “questo video ha l’85% di probabilità di essere manipolato”. Questo tipo di output è stato molto criticato in ambito forense per una ragione precisa: una percentuale evoca una certezza scientifica che non esiste.

I problemi principali sono:

  • i modelli di analisi hanno una data di aggiornamento: le tecniche di generazione di deepfake evolvono rapidamente e un modello addestrato un anno fa potrebbe non riconoscere le manipolazioni più recenti
  • la qualità di compressione del video influenza fortemente i risultati
  • video autentici possono risultare “sospetti” per caratteristiche tecniche particolari
  • la percentuale prodotta da un algoritmo non ha lo stesso significato di una probabilità statistica classica

Per questi motivi oggi gli esperti forensi preferiscono formulare le proprie valutazioni in termini qualitativi:

  • non sono emerse evidenze tecniche di editing
  • il file presenta caratteristiche compatibili con una registrazione da smartphone
  • sono presenti anomalie nella struttura interna del file compatibili con una rielaborazione
  • l’origine del file non è verificabile con i dati disponibili

L’impronta digitale del sensore: la tecnica PRNU

Una delle tecniche più avanzate disponibili nell’informatica forense per i contenuti multimediali si basa su un principio fisico preciso. Ogni sensore fotografico, nel processo di produzione industriale, sviluppa imperfezioni microscopiche uniche. Queste imperfezioni producono un pattern statistico nel segnale acquisito, chiamato Photo Response Non-Uniformity, indicato con l’acronimo PRNU.

Questo pattern si comporta come un’impronta digitale del sensore. Se sono disponibili più immagini o video prodotti dallo stesso dispositivo, è possibile estrarre il profilo PRNU e confrontarlo con quello presente nel file in esame.

Questa tecnica è stata utilizzata in procedimenti giudiziari in diversi paesi e rappresenta uno dei metodi più solidi per collegare un contenuto multimediale a un dispositivo specifico. Tuttavia richiede la disponibilità di campioni di riferimento registrati con lo stesso dispositivo e una qualità tecnica del file in esame sufficientemente alta.

Quando la certezza non è raggiungibile: cosa dirà l’esperto

Una delle difficoltà più frequenti nella relazione con i clienti riguarda la gestione delle aspettative. Molte persone arrivano convinte che un’analisi forense possa stabilire con certezza assoluta se un video sia autentico o manipolato. In molti casi, questa certezza non è tecnicamente raggiungibile.

Un esperto forense serio non affermerà mai più di quanto i dati disponibili consentano di affermare. Se il file è di qualità insufficiente, se mancano dati di riferimento, se la catena di custodia è interrotta, la perizia lo dichiarerà esplicitamente.

Questo non è un limite dell’esperto: è la correttezza metodologica che distingue una perizia forense da un’opinione.

Attenzione alle false certezze
Diffidate di chiunque prometta di stabilire con certezza assoluta l’autenticità o la falsità di un video senza prima valutare il file, le condizioni di acquisizione e il contesto. Una valutazione seria inizia sempre da un’analisi delle informazioni disponibili.

Come rafforzare il valore probatorio di un video: la certificazione preventiva

Il modo più efficace per garantire il valore probatorio di un video non è l’analisi successiva, ma la certificazione preventiva al momento della creazione o della prima conservazione del file.

Attraverso strumenti di hash crittografico e marcatura temporale certificata è possibile:

  • calcolare l’impronta digitale univoca del file (hash) nel momento in cui il contenuto è ritenuto rilevante
  • associare questa impronta a una marca temporale che ne certifica l’esistenza in una data precisa
  • dimostrare in qualsiasi momento futuro che il file non è stato modificato dopo quella data

Questa procedura non richiede che l’evento sia già diventato oggetto di una controversia. Anzi, è molto più efficace se eseguita in anticipo, prima che il file venga utilizzato in sede legale.

Servizi come CertifyWebContent permettono di creare questo tipo di documentazione tecnica per file digitali, inclusi i video. Visita la pagina : ONE EXPRESS: Prova di anteriorità, accessibilità e validità nel tempo

Domande frequenti

Un video su chiavetta USB può essere usato come prova in tribunale?

Sì, può essere prodotto come prova documentale. Il suo peso probatorio, però, dipenderà dalla possibilità di dimostrarne l’integrità e l’origine. Senza una catena di custodia documentata, un giudice potrà valutarlo liberamente, attribuendogli il peso che ritiene adeguato anche in assenza di certezze tecniche.

Se non ho più il telefono originale, posso ancora far analizzare il video?

Sì. L’analisi del file isolato è possibile e può fornire indicazioni utili. Tuttavia, senza il dispositivo originale, alcune analisi non sono eseguibili e le conclusioni raggiunte avranno necessariamente un margine di incertezza che sarà indicato nella relazione tecnica.

Posso sapere se qualcuno ha modificato il video prima di portarmelo?

In molti casi è possibile individuare tracce di editing o anomalie nella struttura del file. Tuttavia non esiste un metodo che garantisca il rilevamento di qualsiasi tipo di manipolazione in qualsiasi condizione. Le tecniche di falsificazione evolvono costantemente.

L’analisi di un deepfake garantisce un risultato certo?

No. Gli strumenti di analisi dei deepfake producono valutazioni probabilistiche, non certezze. Un esperto forense responsabile esprimerà le proprie conclusioni in termini qualitativi, indicando chiaramente il grado di affidabilità della valutazione e le limitazioni riscontrate.

Come avrei dovuto conservare il video fin dall’inizio?

La procedura corretta prevede di non manipolare il file originale, di calcolarne l’hash nel momento della prima disponibilità, di conservarlo su supporto dedicato non riutilizzato e di documentare ogni passaggio. Se è possibile, mantenere il dispositivo originale è sempre preferibile a qualsiasi altra soluzione.

Ha senso fare un’analisi forense su un video che ho già usato in una denuncia?

Sì. Anche se il video è già stato prodotto agli atti, una perizia tecnica indipendente può supportare la posizione della parte, rispondere a eventuali contestazioni sulla sua autenticità e fornire documentazione tecnica che integra quanto già depositato.

Quanto tempo richiede un’analisi forense su un file video?

Dipende dalla complessità del caso, dalla durata del video, dalla tipologia di analisi richiesta e dalla disponibilità del dispositivo originale. Prima di avviare qualsiasi incarico, viene effettuata una valutazione preliminare del caso che include una stima dei tempi.

Il percorso corretto in sintesi

  1. Conservare il file senza modificarlo e, se possibile, mantenere disponibile il dispositivo originale.
  2. Calcolare l’hash del file il prima possibile per documentarne lo stato attuale.
  3. Richiedere una valutazione preliminare per capire cosa è tecnicamente analizzabile e quali risultati sono realisticamente raggiungibili.
  4. Procedere con l’analisi forense se esistono elementi concreti che la giustificano o se è necessaria una perizia da allegare a un procedimento legale.

È importante ricordarsi che …

Informatica in Azienda è diretta dal Dott. Emanuel Celano
Ascolta i nostri articoli mentre sei in macchina, clicca qui per i canali podcast:

Podcast sicurezza informatica : in macchina ascolta gli articoli di allerta pericoli informatici


⬇️ CONDIVIDI QUESTO ARTICOLO CON I TUOI AMICI ⬇️
(se stai utilizzando la APP condividi dalla freccia in alto a destra)

App Spia ? Analisi del telefono: cosa si ottiene davvero e quando è necessario farla
I PDF possono essere manipolati? cosa rivelano davvero i metadata
Fai clic per accedere alla pagina di accesso o registrazione
Condividi
Copia il link
×
Panoramica privacy
gdpr logo

Questo sito web utilizza i cookie per consentirci di fornirti la migliore esperienza utente possibile. Le informazioni sui cookie vengono memorizzate nel tuo browser ed eseguono funzioni come riconoscerti quando ritorni sul nostro sito Web e aiutare il nostro team a capire quali sezioni del sito Web trovi più interessanti e utili.

Cookie strettamente necessari

I cookie strettamente necessari dovrebbero essere sempre attivati, per poter salvare le tue preferenze per le impostazioni dei cookie ed avere una navigazione sul sito ottimale.

Cookie di terze parti

Questo sito Web utilizza Google Tag Manager per aggiornare rapidamente e con facilità i codici di monitoraggio e Google Analytics per raccogliere informazioni anonime come il numero di visitatori del sito e le pagine più popolari.

Mantenere questo cookie abilitato ci aiuta a migliorare il nostro sito Web. Vi siamo molto grati di questo!