Analisi Forense Analisi Forense Analisi Forense
Bologna, Italy
(dalle 8 alle 22)
Analisi Forense Analisi Forense Analisi Forense

WhatsApp si può falsificare? cosa è davvero possibile e cosa no in ambito forense

WhatsApp si può falsificare? cosa è davvero possibile e cosa no in ambito forense

Negli ultimi anni si è diffusa l’idea che i messaggi WhatsApp possano essere facilmente falsificati. Video online e servizi televisivi mostrano database modificati e conversazioni apparentemente alterate. Ma cosa è davvero possibile e cosa no? E soprattutto: cosa cambia in ambito forense e giuridico?

Nota tecnica
Non tutte le dimostrazioni di manipolazione equivalgono a una prova reale. È fondamentale distinguere tra modifiche locali e dati effettivamente presenti nei sistemi WhatsApp.

Da dove nasce il dubbio: database WhatsApp modificati

Molti contenuti online mostrano come sia possibile modificare il database locale di WhatsApp, generalmente il file msgstore.db. Questo file contiene i messaggi salvati sul dispositivo e può essere aperto con strumenti tecnici e modificato manualmente.

Dopo la modifica, il messaggio può apparire all’interno della chat sul telefono, dando l’impressione che sia reale.

Questo tipo di dimostrazione è reale dal punto di vista tecnico, ma viene spesso interpretata in modo errato, sia da chi la produce, sia da chi la utilizza in sede processuale.

Il primo errore: confondere locale e sistema WhatsApp

WhatsApp funziona su due livelli distinti:

  • database locale presente sul dispositivo
  • sistema server che gestisce la sincronizzazione dei messaggi

Il database locale può essere modificato. Il sistema server, invece, non è direttamente alterabile dall’utente.

Questa distinzione è fondamentale per comprendere cosa è realmente falsificabile e, soprattutto, cosa può reggere a una verifica tecnica in sede processuale.

Perché modificare il database non basta

Un messaggio inserito manualmente nel database:

  • non è stato inviato realmente
  • non esiste nei server WhatsApp
  • non viene sincronizzato

Di conseguenza:

  • può apparire solo sul dispositivo modificato
  • non compare su altri dispositivi
  • non compare su WhatsApp Web

Questo significa che la manipolazione resta confinata al telefono e non diventa una prova coerente nel sistema. Un consulente tecnico di parte o un CTU nominato dal giudice, con gli strumenti adeguati, è in grado di rilevare l’incoerenza.

WhatsApp Web: perché cambia tutto

Quando si utilizza WhatsApp Web, la chat visualizzata non deriva dal database locale modificato, ma dalla sincronizzazione con l’account reale.

Questo implica che:

  • vengono mostrati solo i messaggi presenti nel sistema WhatsApp
  • i dati sono coerenti con quelli dei server
  • le modifiche locali non vengono replicate

È proprio questo il motivo per cui una acquisizione effettuata tramite WhatsApp Web, documentata con metodologia forense e con calcolo dell’hash, ha un valore probatorio molto più solido rispetto a una semplice lettura del dispositivo.

Questo non significa che il sistema sia infalsificabile in senso assoluto, ma che una semplice manipolazione locale del database non è sufficiente a ingannare una acquisizione effettuata correttamente.

Il ruolo dell’hash nella verifica dell’integrità

In ambito forense digitale, l’hash crittografico (tipicamente SHA-256 o MD5) è lo strumento principale per verificare che un file non sia stato alterato dopo l’acquisizione. Applicato al database msgstore.db o al file di acquisizione complessivo, produce un’impronta univoca.

Se il file viene modificato anche di un solo carattere, il valore hash cambia completamente. Questo rende immediatamente rilevabile qualsiasi alterazione successiva all’acquisizione.

Una acquisizione forense corretta documenta sempre:

  • la data e l’ora dell’acquisizione
  • il valore hash del file originale
  • la catena di custodia del dato

Senza questi elementi, la prova è più esposta alla contestazione, anche quando il contenuto è autentico.

Quando una falsificazione diventa davvero pericolosa

Esiste però uno scenario più complesso.

Se un messaggio viene realmente inviato, ad esempio tramite strumenti modificati o utilizzi impropri dell’applicazione, quel messaggio:

  • raggiunge i server
  • viene sincronizzato
  • diventa parte del sistema reale

In questo caso non si tratta più di una modifica locale, ma di un evento reale, anche se generato in modo artificiale. Questa fattispecie può integrare il reato di falsità in documenti informatici ai sensi dell’art. 491-bis del Codice Penale, che equipara il documento informatico a quello cartaceo ai fini della falsificazione.

Il quadro normativo: cosa dice la legge italiana

In Italia, la valenza probatoria delle chat WhatsApp è regolata da un insieme di norme che è necessario conoscere per valutare correttamente una prova digitale.

L’art. 2712 del Codice Civile stabilisce che le riproduzioni informatiche e le registrazioni formano piena prova dei fatti e delle cose rappresentate, se colui contro il quale sono prodotte non ne disconosce la conformità ai fatti o alle cose medesime. Questo significa che uno screenshot o una registrazione audio/video ha valore di prova fino a quando la controparte non ne contesta esplicitamente l’autenticità. Se la contestazione avviene, il giudice dovrà valutare la prova nel suo complesso, ed è in quel momento che la qualità dell’acquisizione forense diventa determinante.

L’art. 491-bis del Codice Penale, introdotto dalla Legge 547/1993 e modificato dal D.Lgs. 7/2016, punisce la falsità in documenti informatici pubblici o privati aventi efficacia probatoria. Chi altera artificialmente un database di messaggistica per produrre prove false commette un reato penalmente rilevante.

A livello europeo, il Regolamento eIDAS (UE) n. 910/2014 fornisce il quadro normativo per i documenti elettronici e le firme digitali. Sebbene non si applichi direttamente alle chat di messaggistica, stabilisce i principi generali sull’affidabilità dei documenti elettronici nell’Unione Europea, principi che i giudici italiani sempre più spesso richiamano nelle proprie valutazioni.

La giurisprudenza: cosa dicono i tribunali

La Corte di Cassazione si è pronunciata in più occasioni sul valore probatorio delle chat WhatsApp. In sintesi, l’orientamento consolidato è il seguente:

  • uno screenshot di una conversazione, da solo, non è sufficiente come prova documentale in senso tecnico
  • il giudice può però valutarlo come prova atipica o indizio, da contestualizzare con altri elementi
  • la difendibilità della prova aumenta significativamente quando l’acquisizione è stata effettuata con metodologia certificata, con hash, catena di custodia documentata e verifica della coerenza con i server

In particolare, la Cassazione ha chiarito che i messaggi WhatsApp rientrano nella categoria dei documenti informatici e che la loro produzione in giudizio deve rispettare i criteri previsti dal Codice di Procedura Civile e, in sede penale, dal Codice di Procedura Penale in combinato con le norme sul documento digitale.

Lo standard tecnico di riferimento: ISO/IEC 27037

In ambito internazionale, la norma ISO/IEC 27037 definisce le linee guida per l’identificazione, la raccolta, l’acquisizione e la conservazione delle prove digitali. È lo standard di riferimento riconosciuto anche in sede giudiziaria italiana quando si tratta di valutare la correttezza metodologica di una perizia informatica.

I principi fondamentali della norma sono:

  • rilevanza: acquisire solo ciò che è pertinente al caso
  • affidabilità: il processo deve essere ripetibile e verificabile
  • integrità: la prova non deve essere alterata durante l’acquisizione
  • sufficienza: la quantità di prove deve essere adeguata a supportare le conclusioni

Una acquisizione forense che rispetta questi principi è strutturalmente più solida di fronte a qualsiasi contestazione tecnica.

Il vero rischio: la manipolazione del contesto

Nella pratica, il rischio più frequente non è la falsificazione tecnica avanzata, ma la manipolazione del contesto.

Ad esempio:

  • selezionare solo alcuni messaggi
  • nascondere parti della conversazione
  • presentare sequenze incomplete

In questi casi il contenuto è reale, ma la rappresentazione è distorta. Questo tipo di manipolazione è più difficile da rilevare tecnicamente, ma può essere smontata da una acquisizione completa e documentata dell’intera conversazione.

Perché una acquisizione forense corretta è difendibile

Una certificazione eseguita con metodologia tecnica, come quella offerta dal nostro servizio “CERTIFICAZIONE CHAT WHATSAPP DA REMOTO”:

  • documenta l’intero processo con marca temporale
  • acquisisce la chat in modo continuo, senza lacune
  • mantiene il contesto completo della conversazione
  • calcola e conserva i valori hash
  • riduce la possibilità di manipolazioni

La forza della prova non sta nel singolo messaggio, ma nella coerenza dell’insieme e nella solidità del processo che ha portato alla sua acquisizione.

Errore comune: pensare che “si può falsificare tutto”

L’idea che qualsiasi contenuto digitale sia facilmente falsificabile porta a una conclusione sbagliata: che nessuna prova sia affidabile.

In realtà:

  • alcuni elementi sono modificabili
  • altri no
  • la coerenza complessiva è difficile da alterare senza lasciare tracce rilevabili

È proprio su questa coerenza che si basa il lavoro forense e che i giudici tendono a fondare la loro valutazione quando devono decidere se ammettere o escludere una prova digitale.

Cosa significa davvero in ambito legale

Dal punto di vista probatorio, una chat WhatsApp:

  • non è automaticamente valida
  • non è automaticamente falsa
  • deve essere valutata nel suo contesto tecnico e metodologico

Una acquisizione corretta aumenta significativamente la difendibilità della prova. Uno screenshot prodotto autonomamente, senza alcuna documentazione del processo di acquisizione, è invece facilmente contestabile, indipendentemente dalla sua autenticità.

Il rischio più sottovalutato: partire da una teoria

Uno degli errori più frequenti nelle analisi digitali non è tecnico, ma metodologico. Si tende a partire da una convinzione e cercare elementi che la confermino.

Questo approccio può portare a:

  • interpretare dati neutri come sospetti
  • trascurare elementi contrari
  • costruire una narrazione distorta dei fatti

In ambito forense il processo corretto è opposto: si parte dai dati e si costruisce l’interpretazione solo dopo averli verificati, documentati e confrontati con tutte le fonti disponibili.

Una chat WhatsApp, come qualsiasi prova digitale, deve essere analizzata per ciò che è realmente, non per ciò che si pensa che sia.

Valutazioni Finali

Un database WhatsApp può essere modificato. Questo è un fatto tecnico. Ma una prova forense acquisita correttamente non si basa su un singolo file, bensì su un processo documentato, coerente e verificabile, costruito nel rispetto degli standard tecnici internazionali e del quadro normativo italiano ed europeo.

La differenza tra una dimostrazione e una prova è proprio qui: nella metodologia, nella catena di custodia, nell’hash e nella coerenza complessiva del dato acquisito.

È importante ricordarsi che …

Un messaggio può essere alterato. Una prova costruita correttamente, con hash, documentazione del processo e rispetto della ISO/IEC 27037 è molto più difficile da contestare, e molto più difficile da ignorare da parte di un giudice.

Informatica in Azienda è diretta dal Dott. Emanuel Celano
Ascolta i nostri articoli sulla sicurezza informatica mentre sei in macchina, click qui per i canali podcast:

Podcast sicurezza informatica : in macchina ascolta gli articoli di allerta pericoli informatici


⬇️CONDIVIDI QUESTO ARTICOLO CON I TUOI AMICI⬇️
(Scarica le nostre App ufficiali)

I PDF possono essere manipolati? cosa rivelano davvero i metadata
Quando si pensa di essere spiati ma non lo si è: come distinguere tra problemi tecnici e percezione
Fai clic per accedere alla pagina di accesso o registrazione
Condividi
Copia il link
×
Panoramica privacy
gdpr logo

Questo sito web utilizza i cookie per consentirci di fornirti la migliore esperienza utente possibile. Le informazioni sui cookie vengono memorizzate nel tuo browser ed eseguono funzioni come riconoscerti quando ritorni sul nostro sito Web e aiutare il nostro team a capire quali sezioni del sito Web trovi più interessanti e utili.

Cookie strettamente necessari

I cookie strettamente necessari dovrebbero essere sempre attivati, per poter salvare le tue preferenze per le impostazioni dei cookie ed avere una navigazione sul sito ottimale.

Cookie di terze parti

Questo sito Web utilizza Google Tag Manager per aggiornare rapidamente e con facilità i codici di monitoraggio e Google Analytics per raccogliere informazioni anonime come il numero di visitatori del sito e le pagine più popolari.

Mantenere questo cookie abilitato ci aiuta a migliorare il nostro sito Web. Vi siamo molto grati di questo!