Il telefono non è più un semplice strumento di comunicazione: è diventato l’estensione diretta della nostra identità e custode della nostra vita digitale.
Dai messaggi privati, chat, fotografie, posizione GPS, alle credenziali bancarie, strategie aziendali e corrispondenza legale, tutti i nostri dati più sensibili passato attraverso un dispositivo che portiamo in tasca.
Il nostro smartphone è diventato il bersaglio preferito e più redditiziodi di hacker e per chi installa spyware, trojan e stalkerware: software spia invisibili capaci di trasformare il telefono in una microspia costante.
Un cellulare "spiato" non ci espone solo a gravi intrusioni della privacy, ma ci rende vulnerabili a ricatti, continue esfiltrazione di dati e conseguenti danni economici, reputazionali e giuridici.
La legge non lascia dubbi: uso e installazione di software spia integra gravi reati del Codice Penale • Art. 615-ter accesso abusivo informatico • Art. 617-bis intercettazione di comunicazioni.
Denunciare un'intercettazione però richiede una prova certa, raccolta con protocolli e standard tracciabili.
La bonifica forense certificata è l’unico strumento conforme che consente di:
→ Individuare compromissioni e autori,
→ Non alterare le prove legali in nostra tutela,
→ Ottenere report e perizie conformi a sporgere denuncia e valide in tribunale.
→ Dal sospetto all’evidenza il nostro compito è uno: adottare protocoli tecnico-giuridici conformi, per trasformare indicatori incerti in prove digitali replicabili, condivisibili e opponibili nel contraddittorio.
Affianchiamo in via prioritaria privati e famiglie, quindi studi legali e aziende, con attività svolte in laboratorio e procedure tracciate.
La vera differenza non è capire se sul dispositivo sia presente uno spyware, ma poter dimostrare che c’era, identificare chi lo ha installato, sapere come ha agito e quali dati ha sottratto.
Una bonifica “tecnica” elimina la minaccia visibile; una bonifica forense certificata la individua, la neutralizza e la documenta con valore probatorio.
È un processo strutturato che unisce informatica, sicurezza e diritto, così che il risultato non sia solo un telefono pulito, ma un fascicolo difendibile.
Obiettivi e garanzie:
→ Rilevazione di spyware/stalkerware con metodiche replicabili e strumenti dichiarati.
→ Neutralizzazione senza intaccare i dati leciti dell’utente e preservando le evidenze.
→ Documentazione completa: hash, log, timeline, firme metodologiche e catena di custodia.
→ Conformità a standard (ISO/IEC 27037) e normativa privacy (GDPR).
Valore pratico: il sospetto diventa dimostrabile, le decisioni legali sono fondate su un tracciato tecnico verificabile, la controparte trova un documento che “regge” al contraddittorio.
Gli spyware sono progettati per passare inosservati, ma lasciano indizi.
Riconoscerli in tempo limita i danni e aumenta la qualità della prova raccolta.
Indicatori da non ignorare:
→ Scarico anomalo della batteria e surriscaldamenti senza causa apparente.
→ Picchi di traffico dati e connessioni ricorrenti verso domini esteri sconosciuti.
→ Rallentamenti, blocchi, riavvii inattesi e micro-lag nell’uso quotidiano.
→ App “comuni” che chiedono permessi eccessivi (microfono, SMS, accessibilità).
→ OTP, SMS di verifica e notifiche di accesso mai richiesti dall’utente.
→ Modifiche non spiegate a DNS, profili di configurazione o MDM.
Premessa fondamentale: non eseguire “pulizie” o reset.
La bonifica forense parte da questi indizi per accertare la compromissione, bloccarla e documentarla senza distruggere le tracce utili.
Le minacce mobili evolvono, ma ricadono in famiglie ricorrenti che richiedono approcci mirati di identificazione e neutralizzazione.
Tipologie frequenti:
→ Spyware/Stalkerware – raccolgono chat, foto, audio, posizione GPS; spesso introdotti in contesti relazionali.
→ Trojan – aprono backdoor e abilitano controllo remoto, registrazione, esfiltrazione periodica.
→ Malware bancari – intercettano token, sovrappongono overlay alle app finanziarie, sottraggono credenziali.
→ MDM abusivi – profili di gestione remota installati senza consenso per imporre policy e app.
→ Manipolazioni DNS – dirottano traffico su server controllati dall’attaccante.
La bonifica forense cataloga la minaccia, ricostruisce vettori e comportamenti, e allega evidenze tecniche replicabili per l’uso in sede civile o penale.
Non è una “scansione”: è un percorso in fasi, ognuna tracciata e firmata.
La qualità del risultato dipende dalla disciplina con cui si rispettano i passaggi.
Fasi principali:
→ Diagnosi preliminare (24–48h): raccolta sintomi, indicatori, contesto d’uso.
→ Preventivo e piano: obiettivi, tempi, responsabilità, limiti tecnici.
→ Presa in carico: verbali e catena di custodia, sigilli e registri di movimentazione.
→ Analisi in rete isolata: ispezione traffico, log, permessi, profili e configurazioni.
→ Neutralizzazione: rimozione, ripristino sicuro e hardening di base.
→ Report court-ready: metodologia, strumenti, hash, timeline, evidenze.
→ Riconsegna: supporti cifrati e istruzioni di conservazione/retention.
Effetto: un percorso trasparente, replicabile e difendibile dall’inizio alla fine.
La trasparenza degli strumenti è parte del valore probatorio.
Ogni tool e tecnica impiegati sono elencati nel report per garantire verificabilità.
Approcci e verifiche:
→ Isolamento del dispositivo su rete dedicata e segmentata.
→ Analisi del traffico: DNS inspection, sniffing controllato, anomalia di flussi e beaconing.
→ Ispezione di profili MDM, certificati, permessi e servizi di accessibilità attivati.
→ Revisione log, processi attivi, pianificazioni e meccanismi di persistenza.
→ Correlazione indicatori (IOC) con artefatti e timeline d’uso.
Strumenti di riferimento: Magnet AXIOM, Cellebrite, FTK Imager e suite ausiliarie di rete.
Il “come” conta quanto il “cosa”: solo ciò che è tracciato e replicabile è difendibile.
La presenza di software spia configura reati e violazioni privacy.
La bonifica forense fornisce materiale tecnico utile alla qualificazione giuridica della condotta.
Riferimenti essenziali:
→ Art. 615-ter c.p. – accesso abusivo a sistema informatico o telematico.
→ Art. 617-bis c.p. – installazione di apparecchiature atte a intercettare comunicazioni.
→ Reg. (UE) 2016/679 – GDPR (liceità, minimizzazione, sicurezza del trattamento).
La relazione tecnica correla fatti e dati: indica cosa è accaduto, come, quando e con quali effetti, offrendo al legale una base probatoria concreta.
Il risultato della bonifica è un elaborato forense conforme e “court-ready”: ammissibile in sede di denuncia, leggibile da un giudice, comprensibile da un avvocato, replicabile da un tecnico.
Contenuti chiave:
→ Metodologia e strumenti dichiarati (con versioni e parametri).
→ Impronte hash, metadati, log e timeline delle evidenze.
→ Esiti della neutralizzazione e stato finale del dispositivo.
→ Conformità a ISO/IEC 27037 e principi GDPR.
Non un racconto, ma un tracciato tecnico che resiste a verifiche e contestazioni.
Il target principale sono le persone comuni.
Molti casi nascono da contesti relazionali (stalkerware, controllo abusivo, conflitti familiari).
La bonifica forense tutela la sfera privata e produce documentazione seriamente utilizzabile.
Esigenze tipiche:
→ Protezione di chat, galleria, posizione, wallet e account personali.
→ Sicurezza per minori ed executive esposti a rischio.
→ Gestione corretta della prova in situazioni di separazione e contenziosi familiari.
L'intenzione è favorire la serenità d’uso del dispositivo e un fascicolo tecnico pronto in caso di azioni legali.
Per studi legali e imprese la bonifica è un presidio strategico: evita leakage, riduce il rischio di spionaggio e fornisce materiale tecnico per querele e difese.
Ambiti frequenti:
→ Dirigenti e reparti critici (strategie, M&A, R&D).
→ Professionisti esposti (avvocati, consulenti, fiscalisti).
→ Controversie in cui l’avversario contesta autenticità o modalità di raccolta delle prove.
La finalità è fornire dossier tecnici, utili anche a polizze cyber e necessari in casi di responsabilità professionali.
Eliminare un malware non basta, se poi non si può dimostrare nulla.
Determinato lo strumento di "bonifica" serve prima di tutto, distinguere tra “pulizia” e “prova”.
Differenze operative:
→ Bonifica tecnica: rimozione rapida, non tracciata, non spendibile in giudizio.
Output: nessuno ad eccezione della rimozione interferenza.
→ Bonifica forense: documentazione completa e certificata, catena di custodia, hash e timeline.
Output: evidenze di prova certificate, replicabili, opponibili nel contraddittorio.
Chiunque desideri un'effettiva "tutela" legale del propri diritti, necessariamente dovrà optare per un approccio tecnico-forense.
Tempi e costi non sono “a forfait”: dipendono da fattori tecnici (modello/OS, stato del device, tipologia di minaccia) e probatori (perimetro, numero di dispositivi, urgenza).
La trasparenza è parte del metodo: prima la diagnosi, poi un preventivo vincolante con SLA e milestone, quindi la bonifica in ambiente controllato.
Fattori che incidono
→ Modello e versione OS (Android/iOS), cifratura, eventuale MDM/profili di configurazione.
→ Gravità e persistenza della compromissione (spyware/stalkerware, trojan, malware bancari).
→ Numero di dispositivi/account, estensione a SIM/cloud/app collegate.
→ Accesso a credenziali/backup, stato hardware del device (danni, storage pieno).
→ Esigenze probatorie (report esteso, allegati tecnici, eventuale CTP).
→ Urgenza (canale express) e modalità operative (laboratorio / on-site).
Percorso e tempistiche tipiche
→ Diagnosi preliminare: 24–48h (raccolta indicatori, perimetro, piano attività).
→ Presa in carico: prima finestra utile o canale express (priorità 24–48h).
→ Analisi e neutralizzazione: da 1 ora a 1–2 giorni in base a minaccia/complessità.
→ Report court-ready: 24–72h dopo la bonifica (metodologia, hash, log, timeline).
Range economici indicativi
→ Bonifica standard: € 700–800 + IVA
(singolo device, compromissione non persistente).
→ Bonifica complessa: € 2.000–3.000 + IVA
(persistenze avanzate/MDM abusivi, trojan con backdoor, più dispositivi o forti esigenze probatorie).
→ Attività on-site, canale express e dispositivi/add-on (es. acquisizioni cloud) prevedono supplementi concordati ex ante.
Cosa è compreso
→ Verbali e catena di custodia; tracciabilità end-to-end delle operazioni.
→ Bonifica non distruttiva con preservazione dei dati leciti e verifica post-intervento.
→ Report tecnico conforme (ISO/IEC 27037, principi GDPR) con evidenze e raccomandazioni di hardening.
→ Consegna cifrata degli output e breve follow-up di stabilità.
Le tempistiche sono spesso compatibili con l’urgenza, senza derogare al rigore forense; velocità quando serve, metodo sempre.
La bonifica chiude un incidente; la prevenzione evita che si ripeta.
Forniamo un piano essenziale e sostenibile, adattato all’utente o all’organizzazione.
Raccomandazioni pratiche:
→ Aggiornare OS e app, rimuovere profili/permessi superflui, verificare DNS.
→ Abilitare MFA e gestire le credenziali con criterio (password manager).
→ Evitare sideloading e store non ufficiali; revisionare periodicamente i permessi.
→ In azienda: policy BYOD/COPE, segmentazione, formazione mirata.
La resilienza è un processo: piccoli accorgimenti riducono in modo concreto il rischio.
Prima della presa in carico è essenziale non alterare le prove. Errori in buona fede possono distruggere tracce decisive.
Cosa fare/subito:
→ Non eseguire factory reset, “pulitori”, disinstallazioni sospette.
→ Evitare nuovi accessi a wallet, email o app sensibili.
→ Quando possibile, attivare modalità aereo e disattivare Wi-Fi/Bluetooth; non spegnere se non indicato.
→ Conservare device, SIM e accessori nello stato attuale e consegnarli insieme.
Perché conta: preservare prima, analizzare poi. È la condizione perché la prova sia utilizzabile.
Alcune azioni rendono impossibile la ricostruzione forense o indeboliscono gravemente il valore probatorio.
Evitare assolutamente:
→ Reset/factory reset e formattazioni.
→ Root/Jailbreak o sblocco bootloader non documentato.
→ Clonazioni non forensi, backup “casalinghi”, sincronizzazioni massive post-incidente.
→ Uso intenso del device compromesso (nuove chat, scatti, download).
La regola è semplice: toccare il meno possibile finché non inizia la bonifica certificata.
La profondità dell’analisi varia per OS, versione e stato del dispositivo.
Essere chiari sui limiti è parte del nostro metodo.
Scenario sintetico:
→ Android – ampia visibilità su log e permessi; risultati variabili per vendor/versione.
→ iOS – ecosistema più chiuso; focus su rete, configurazioni, profili e app autorizzate.
→ MDM – verifica certificati, policy e profili di controllo remoto.
→ Device cifrati/danneggiati – tempi maggiori e possibili restrizioni d’accesso.
Trasparenza e pianificazione riducono attriti, attese e aspettative non realistiche.
I dati sono trattati secondo principi GDPR di minimizzazione, sicurezza e responsabilizzazione. Il cliente mantiene sempre la titolarità.
Policy operative:
→ Conservazione cifrata solo per il tempo necessario alle finalità dichiarate.
→ Accessi tracciati, ruoli segregati, audit di laboratorio.
→ Cancellazione sicura a fine incarico con attestazione di avvenuta distruzione.
Valore: tutela sostanziale della riservatezza, senza sacrificare la qualità della prova.
Esempio reale-simulato per illustrare metodo e output. Un dirigente nota battery drain e OTP inattesi: viene attivata la procedura forense.
Sviluppo dell’intervento:
→ Isolamento del device, diagnosi e piano attività; presa in carico con catena di custodia.
→ Analisi in rete dedicata: traffico anomalo verso domini esteri; profilo MDM non autorizzato.
→ Neutralizzazione, ripristino sicuro e hardening; verifica post-bonifica.
→ Report court-ready con hash, log, timeline e raccomandazioni.
Esito: dossier consegnato al legale; in azienda introdotte policy BYOD rafforzate.
Non ogni anomalia è un attacco, ma alcune condizioni impongono la bonifica certificata per tutelare persona e prova.
Casi tipici:
→ Indicatori multipli di compromissione (dati, batteria, notifiche, permessi).
→ Ruoli esposti (avvocati, executive, professionisti con dati sensibili).
→ Contesti conflittuali (separazioni, contenziosi, stalking).
→ Sospetto di profili MDM o configurazioni imposte senza consenso.
Meglio intervenire presto: prima si preserva, maggiore è la qualità delle evidenze.
Una preoccupazione frequente: “perderò foto e chat?”. La risposta, nel protocollo forense, è no. L’obiettivo è rimuovere la minaccia preservando il lecito.
Principi operativi:
→ Interventi non distruttivi, focalizzati su componenti malevoli e configurazioni abusive.
→ Verifica post-bonifica del corretto funzionamento e della persistenza dei contenuti leciti.
→ Export selettivi solo quando necessario e con cautele di privacy e sicurezza.
Il device torna sicuro; la memoria personale resta intatta.
Il report non è un “riassunto”: è la traduzione giuridica del lavoro tecnico. Deve essere chiaro, tracciabile e replicabile per essere ammissibile e utile alla difesa.
Cosa lo rende “court-ready”:
→ Metodologia scritta, strumenti dichiarati e parametri utilizzati.
→ Impronte hash, log, timeline e correlazioni tra eventi e artefatti.
→ Conformità a standard riconosciuti e principi privacy.
Valore: funge da base per querele, memorie, CTP e osservazioni alla CTU.
Autodiagnosi affidabili non esistono, ma alcuni passi riducono l’incertezza in attesa della bonifica.
Indicazioni pragmatiche:
→ Verificare permessi insoliti concessi ad app “normali”.
→ Controllare profili di configurazione/MDM non richiesti.
→ Esaminare consumi dati/batteria e cronologia DNS (ove possibile).
→ Attivare modalità aereo e raccogliere note su orari e anomalie.
Queste verifiche non sostituiscono l’analisi forense; servono a prepararla meglio e a non distruggere indizi.
Le app spia moderne mascherano icone, nomi e servizi. La loro individuazione passa per controlli incrociati su rete, permessi, processi e profili.
Criteri di rilevazione:
→ Incongruenze tra permessi richiesti e funzione apparente dell’app.
→ Servizi in background con persistenze anomale e riavvii forzati.
→ Beaconing periodico verso domini fissi; tunnel cifrati “insoliti”.
→ Profili MDM e certificati installati senza percorso ufficiale.
Il riscontro avviene con suite forensi e conserva sempre l’attenzione alla prova (hash e timeline).
La sicurezza si misura su due fronti: protezione dell’utente e tutela della prova. Il protocollo forense persegue entrambi.
Presidi:
→ Interventi non distruttivi, salvaguardia dei contenuti leciti.
→ Documentazione completa di ogni step e verifica post-bonifica.
→ Conservazione cifrata dei dati tecnici, accessi tracciati, retention minima.
Risultato: device ripristinato e dossier tecnico che supera verifiche e obiezioni.
Sì, se eseguita e documentata correttamente.
La bonifica forense produce materiale che il legale può utilizzare in querele, memorie e audizioni.
Condizioni per l’uso:
→ Metodologia formalizzata, strumenti dichiarati, parametri documentati.
→ Evidenze con impronte hash e timeline coerenti.
→ Catena di custodia integra dalla presa in carico alla riconsegna.
Da “telefonata sospetta” a “prova tecnica”: la differenza è tutta nel metodo.
Un triage preliminare può avvenire da remoto; la bonifica certificata, invece, richiede ambiente controllato e tracciabilità completa.
Linea guida:
→ Remote triage: raccolta indizi, istruzioni di preservazione, prenotazione presa in carico.
→ Bonifica forense: laboratorio, rete isolata, strumenti certificati, verbali e report.
Compromessi al ribasso riducono il valore probatorio. Per difendersi serve un percorso completo.
I costi dipendono da modello, OS, minaccia e urgenza. Comunichiamo sempre un preventivo vincolante prima di iniziare.
Ordini di grandezza:
→ Diagnosi: inclusa o a tariffa minima, scalata in caso di conferma intervento.
→ Bonifica certificata: da poche centinaia di euro, con variazioni per complessità/urgenza.
→ Report court-ready: compreso nel servizio, con allegati tecnici al bisogno.
Chiarezza e trasparenza: niente sorprese, tempi e costi concordati ex ante.
Per i privati, un controllo è opportuno al manifestarsi di indizi multipli o dopo eventi a rischio (furto, riparazioni non certificate, conflitti relazionali).
Per profili esposti, utile una verifica periodica.
Suggerimenti:
→ Privati: on-demand alla comparsa di segnali; in prevenzione, una verifica annuale.
→ Executive e professionisti: controlli programmati (es. semestrali) e hardening continuo.
→ Aziende: policy BYOD/COPE con check ciclici e triage in caso di alert SOC.
Prevenire costa meno che gestire un incidente: è una regola valida specialmente per mobile device.
