Di pochi giorni fa la notizia: l’acquisizione delle riprese delle telecamere autostradali e la perizia informatica forense svolta sul telefono cellulare dell’autista dello scuolabus che ha tamponato il 19 maggio un camion causando la morte della maestra “hanno consentito di accertare che l’uomo stava guardando il telefono, e in particolare, in quel preciso istante, un messaggio whatsapp che gli era arrivato dall’ufficio, di cui stava facendo lo screenshot utilizzando entrambe le mani”.
Indice degli argomenti
L’analisi forense su smartphone per gli incidenti
Non è il primo caso né l’ultimo anzi, ormai per la quasi totalità dei sinistri – mortali, con feriti ma anche senza vittime – è quasi dovuto l’esame forense dello smartphone dei protagonisti per ricostruire eventuali responsabilità dovute a distrazione alla guida.
Talvolta i risultati sono positivi, come nel caso dell’autista di autobus, spesso invece sono negativi, come mostra la recente analisi forense svolta nell’ambito dell’incidente della motociclista che morì travolta da un’auto a Vezza d’Alba, che ha “consentito di stabilire che l’imputata non stava utilizzando il proprio telefono cellulare, al momento dello scontro”.
Per capire in che modo gli smartphone possono aiutare a ricostruire le dinamiche degli incidenti e soprattutto le responsabilità dei guidatori dobbiamo ricordare che buona parte di ciò che facciamo su un dispositivo elettronico viene tracciato dai cosiddetti “file di log”, cioè dei registri storici che, appunto, descrivono sblocco schermo, registro chiamate, avvio di App, scrittura o lettura di messaggi di testo, ascolto o registrazione di messaggi vocali ma persino la pressione di pulsanti, la gestione del volume, l’utilizzo di auricolari o viva voce e tanti altri eventi che in caso di sinistro possono essere strategici per i legali.
Il tutto viene organizzato all’interno di una “timeline”, talvolta definita “supertimeline” perché raccoglie il maggior numero di elementi possibili, così da poter circostanziare l’utilizzo di un dispositivo anche nell’arco di pochi secondi, presumibilmente quelli in cui è avvenuto l’incidente.
Dove sono i dati su smartphone
Ovviamente i dati presenti su di un dispositivo sono sparsi in diverse parti del Sistema Operativo, delle App, della cache, in log, storico, tracciati o file temporanei: tutti questi dati devono essere estratti, elaborati (tramite il c.d. “parsing” o “parsificazione”) e ordinati in una linea temporale che permette all’informatico forense di concentrarsi su quanto accaduto nell’intorno dell’incidente stradale.
Proprio l’elemento della sincronizzazione temporale rappresenta il primo elemento di attenzione nell’analisi forense di uno smartphone soprattutto se incrociata con dati provenienti da filmati di videosorveglianza, tabulati o altre fonti esterne: è necessario, infatti, che le varie linee temporali siano allineate, così da poter circostanziare nel tempo gli eventi.
Spesso le telecamere di sorveglianza riportano orari diversi, soprattutto se non sono sincronizzate tramite server NTP, mentre gli smartphone – così come i PC – essendo connessi quasi permanentemente a Internet, ma anche a GPS od operatore, sono in genere sincronizzati.
Le problematiche cui s’incorre nella copia forense e analisi di smartphone a seguito d’incidenti stradali sono molteplici, a partire dal fatto che i dispositivi possono essere ritrovati rotti o bloccati da password e pin ignoti.
Riparazione dello smartphone
Nel primo caso si ricorre a tentativi di riparazione, sostituzione delle componenti danneggiate (schermo, etc…) oppure direttamente estrazione del chip tramite chip-off e lettura tramite sistemi esterni, come alternativa al trapianto o “swap” di chip tra dispositivo rotto e dispositivo “donatore”. Se lo smartphone torna funzionante, è possibile procedere con normali acquisizioni forensi in tempi brevi, soprattutto se la password o il PIN di accesso sono noti.
Smartphone di persone decedute: come fare
In diversi casi però gli smartphone possono appartenere a persone decedute durante gli incidenti e quindi si rivela necessario procedere al “bypass” delle credenziali di accesso, cioè allo sblocco dei dispositivi oppure – soltanto in alcuni casi, in particolare quando gli smartphone vengono trovati accesi – all’acquisizione forense del contenuto aggirando il blocco.
Se i dispositivi vengono rinvenuti accesi infatti si può utilizzare la funzione “AFU Bypass”, per superare il blocco di accesso senza dover forzare la password o il PIN, soltanto se non sono trascorse 72 ore dall’ultimo unlock fatto dal proprietario. Per questo motivo, tra l’altro, è essenziale non spegnere i dispositivi ritrovati sul luogo dell’incidente e procedere al più presto al tentativo d’ingresso/sblocco.
“AFU” è acronimo di “After First Unlock” e rappresenta infatti lo stato di un dispositivo dopo l’inserimento del PIN o della password di accesso, stato nel quale il dispositivo è sempre protetto ma il contenuto è come se fosse non cifrato, dato che deve essere accessibile all’utente e al Sistema Operativo.
In queste particolari condizioni, software di copia forense e analisi di smarthpone come Cellebrite Inseyets, MSAB XRY o Axiom Graykey sono in grado di superare in pochi secondi il blocco di accesso senza dover fare tentativi di brute force della password.
Se il dispositivo è invece rotto o trovato spento, è necessario ripararlo e procedere con tentativi di sblocco basati sulla cosiddetta “forza bruta”, cioè il tentativo di tutte le password o i PIN possibili fino a trovare quello potenzialmente corretto. Anche questi casi sono gestibili con software di mobile forensics come Cellebrite Inseyets, MSAB XRY o Axiom Graykey che riescono a procedere con le prove di centinaia di migliaia di PIN e password senza rischiare di mandare in protezione il dispositivo.
Dati di spostamento: su cloud e su dispositivo
Vi sono poi casistiche nelle quali i dati di rilievo per la ricostruzione dell’incidente stradale tramite una perizia informatica non risiedono sullo smartphone ma sul cloud, come ad esempio quando vengono utilizzate App di gestione dell’auto che permettono di visualizzare il percorso tracciato dal mezzo al fine di ottimizzazione della guida – o anche soltanto per rintracciare il luogo di parcheggio del veicolo.
Tali App possono essere acquisite in diversi modi, non sempre però i dati sono ottenibili all’interno dell’app stessa, spesso richiedono l’accesso al cloud. Tale accesso – in caso di necessità in ambito d’indagini informatiche – andrà eseguito in contraddittorio o in maniera da rendere il download o la sincronizzazione dei dati il più oggettiva possibile.
In passato anche la cronologia delle posizioni di Google – ora semplicemente “Spostamenti” – era memorizzata sul cloud e conteneva numerose informazioni di rilievo per la ricostruzione degli incidenti stradali, come la velocità, direzione del mezzo e orientamento del dispositivo, eventuali urti subiti.
A partire dal 18 maggio 2025, Google ha modificato la gestione del Posizioni, ora chiamata Spostamenti. I dati storici delle posizioni non vengono più salvati sui server di Google, ma rimangono memorizzati localmente sul dispositivo dell’utente e solo se l’utente ha confermato di volerli scaricare in locale prima della scadenza, impostando poi la memorizzazione per le posizioni successive al 18 maggio. È ancora possibile tenere una copia degli spostamenti nel cloud ma solo sotto forma di backup, cifrato, non accedibile direttamente da web/app ma finalizzato a fornire una copia di sicurezza delle posizioni.
Proprio per questo motivo, in caso d’incidente stradale può essere strategico verificare la presenza degli “Spostamenti” dell’utente, memorizzati in locale sul dispositivo. L’esportazione delle posizioni, in caso di triage o intervento sul campo, è eseguibile direttamente da iPhone o Android utilizzando l’App Google Maps su iPhone oppure la sezione di Posizione e Privacy nel menù delle impostazioni dello smartphone, mentre su Android la funzione di esportazione della propria timeline non si trova dentro Google Maps ma nelle impostazioni del Sistema Operativo.
L’incrocio di dati smartphone con altre fonti di prova
Ovviamente è opportuno che tutto ciò che si ricava dall’analisi forense dello smartphone venga incrociato con ulteriori fonti di prova come filmati, agganci di reti WiFi o BTS per confermare posizioni e timestamp, sensori interni (accelerometro, giroscopio, magnetometro, barometro), tabulati delle telefonate o degli SMS.
Ad esempio, la tipica chiamata ai soccorsi post incidente, le comunicazioni vocali o via SMS con i parenti o la compagnia assicurativa, etc… sono tutti dati che possono aiutare a confermare la corretta datazione e orario del dispositivo. Mai come nella ricostruzione degli incidenti stradali, infatti, uno scarto anche di pochi secondi può fare la differenza nell’esito delle indagini forensi.
