Messaggi WhatsApp che spariscono
Cosa succede davvero e cosa può fare l’informatica forense
Sempre più spesso, chi subisce una truffa online si trova davanti a uno scenario frustrante: l’unica prova della comunicazione con il truffatore erano i messaggi su WhatsApp, e quei messaggi sono spariti. Non cancellati nel senso tradizionale — semplicemente evaporati, come se non fossero mai esistiti.
Come è possibile? E soprattutto: c’è qualcosa da fare?
WhatsApp e i messaggi “a tempo”: di cosa parliamo
WhatsApp offre due funzioni distinte che è importante non confondere, perché dal punto di vista forense si comportano in modo molto diverso.
La prima si chiama View Once: si tratta di foto o video che possono essere visualizzati una volta sola. Dopo la prima apertura, il contenuto scompare definitivamente anche dalla chat di chi lo ha ricevuto. È pensata per condividere informazioni sensibili – un documento, un codice – senza che rimanga traccia.
La seconda è la funzione dei messaggi a scomparsa, o “messaggi effimeri”: il mittente può impostare un timer (24 ore, 7 giorni o 90 giorni) dopo il quale tutti i messaggi della conversazione vengono automaticamente eliminati. È qui che si inserisce la maggior parte dei casi di truffa che mi vengono portati: il malintenzionato imposta il timer, conduce la truffa, e quando la vittima si accorge di essere stata ingannata le prove sono già sparite.
Come funziona davvero il timer: un dettaglio che fa la differenza
Contrariamente a quanto molti pensano, WhatsApp non cancella i messaggi dal suo server alla scadenza del timer. Il server non ne sa nulla. La cancellazione avviene in modo del tutto autonomo su ogni singolo dispositivo: è l’app installata sul telefono di ciascun partecipante che, alla scadenza, elimina i messaggi localmente.
Questo ha una conseguenza importante: la cancellazione è indipendente su ogni dispositivo. Se hai il telefono spento o sei offline, i messaggi vengono eliminati solo al successivo avvio dell’app. E soprattutto, mittente e destinatario non condividono lo stesso “destino” per ogni singolo messaggio.
La funzione “Conserva nella chat” e il potere di veto del mittente
WhatsApp permette al destinatario di “conservare” un singolo messaggio a scomparsa: tenendo premuto sul messaggio e selezionando l’icona a segnalibro, quel messaggio viene escluso dal timer e rimane visibile nella chat anche dopo la scadenza.
Tuttavia – e questo è un punto cruciale che molti ignorano – il mittente ha il potere di bloccare questa operazione. Come dichiarato esplicitamente da WhatsApp nel blog ufficiale al momento del lancio della funzione nel 2023:
“We believe if you’ve sent the message, it’s your choice whether others in the chat can keep it for later. To make this work, the sender will be notified when someone keeps a message, and the sender will have the ability to veto the decision. If you’ve decided your message can’t be kept by others, your decision is final, no one else can keep it and the message will be deleted when the timer expires.”
In pratica: quando il destinatario tenta di conservare un messaggio, il mittente riceve una notifica e può annullare la conservazione. Se lo fa, la decisione è definitiva – il messaggio sparirà alla scadenza del timer e nessuno potrà più bloccarne la cancellazione.
Questo meccanismo ha due implicazioni opposte, a seconda di come lo si guarda.
Dal punto di vista della privacy legittima, è una tutela ragionevole: chi invia un messaggio sensibile mantiene il controllo su di esso anche dopo l’invio.
Dal punto di vista forense e processuale, è uno strumento che un malintenzionato consapevole può usare per cancellare sistematicamente le prove della propria attività. E il fatto stesso che lo abbia fatto – esercitando attivamente il veto ogni volta che la vittima tentava di conservare un messaggio – è un elemento che in sede processuale può dimostrare la consapevolezza e il dolo nel voler eliminare le tracce.
Va detto però che nella pratica dei casi di truffa che mi vengono portati, questo scenario è raro: la vittima quasi mai tenta di conservare i messaggi in tempo reale, perché non sa ancora di essere vittima. Il problema è quindi a monte del meccanismo del veto.
Ciò che invece rimane sempre valido è un’altra possibilità: su quale dispositivo avviene la cancellazione? Se il destinatario ha usato “Conserva” su un messaggio e il mittente non ha esercitato il veto in tempo, quel messaggio rimane sul telefono del destinatario indipendentemente da cosa fa il mittente in seguito. Ho verificato personalmente questa situazione: messaggi ricevuti con timer di 24 ore che ho “conservato” sono ancora visibili nella mia chat, mesi dopo, nonostante il timer fosse scaduto da tempo sul dispositivo del mittente.
Quando il veto scade
C’è un ultimo dettaglio che ribalta ulteriormente l’equilibrio a favore del destinatario: il potere di veto del mittente non dura per sempre.
La guida ufficiale di WhatsApp prevede esplicitamente una finestra temporale oltre la quale il mittente perde definitivamente la possibilità di annullare la conservazione effettuata dal destinatario. Superata quella scadenza, il messaggio è al sicuro sul dispositivo del destinatario in modo permanente – nessuno può più toccarlo, nemmeno chi lo ha inviato.
Dal punto di vista forense, questo significa che se una vittima ha conservato anche un solo messaggio del truffatore e il tempo è trascorso, quella prova è intatta e inattaccabile. Vale sempre la pena verificare la sezione “Messaggi conservati” nella chat: un singolo messaggio lì presente, superato il limite temporale, è una prova che nessuna azione successiva del truffatore può cancellare.
Cosa può fare l’informatica forense: le possibilità concrete
Quando una vittima si rivolge a un informatico forense dopo che i messaggi sono già scomparsi, lo scenario cambia molto in base a quando è avvenuta la truffa e a cosa è successo nel frattempo con il dispositivo.
Il database di WhatsApp e le sue “memorie fantasma”
WhatsApp su Android conserva tutti i messaggi in un database di tipo SQLite chiamato msgstore.db. Quando un messaggio viene cancellato – sia manualmente che per scadenza del timer – il record viene rimosso dalla lista attiva, ma lo spazio fisico sul disco non viene immediatamente sovrascritto. Tecnicamente si parla di pagine non allocate e di Write-Ahead Log (WAL): file temporanei che SQLite usa per gestire le transazioni e che possono contenere dati “cancellati” ancora intatti.
Con strumenti forensi specializzati è possibile analizzare questi spazi e recuperare messaggi che il database considera eliminati. Il successo dipende da quanto il dispositivo è stato usato dopo la cancellazione: ogni nuova scrittura sul disco può sovrascrivere quei dati irrecuperabilmente.
I backup: la variabile più importante
WhatsApp genera backup periodici del database. Su Android, i backup locali vengono salvati nella memoria del dispositivo e ruotano ogni 7 giorni: esistono quindi versioni del database relative agli ultimi 7 giorni prima del backup più recente. Su Google Drive, invece, viene conservato solo l’ultimo backup: se la truffa risale a mesi fa, quel backup è quasi certamente già stato sovrascritto.
Il formato dei backup Android è .crypt15: un file cifrato con una chiave AES memorizzata in una zona protetta del dispositivo. Per decrittarlo in ambito forense è necessario estrarre quella chiave, operazione che richiede accesso fisico al dispositivo e specifiche competenze tecniche.
Notifiche, dispositivi periferici e altre fonti
Esistono fonti di recupero meno ovvie ma che a volte si rivelano preziose. Le notifiche push di WhatsApp, su alcuni dispositivi Android, vengono registrate in un log di sistema che conserva il testo in anteprima del messaggio — anche se il messaggio è poi stato cancellato dalla chat. Non è una funzione presente su tutti i dispositivi e su tutte le versioni di Android, ma vale sempre la pena verificare.
Chi usa WhatsApp su più dispositivi – un tablet, un PC con WhatsApp Desktop – potrebbe avere copie dei messaggi in database locali separati, ognuno con la propria copia dei dati. Anche gli smartwatch sincronizzati con lo smartphone ricevono e memorizzano le notifiche.
Infine, se nella conversazione erano stati scambiati foto o video, Google Photos potrebbe averne conservato una copia nel backup automatico della galleria – una fonte spesso trascurata.
La realtà dei casi con messaggi vecchi di mesi
Essere onesti con i propri clienti è parte del lavoro. Se i messaggi risalgono a sette o otto mesi fa e il dispositivo è stato usato normalmente nel frattempo, le probabilità di recupero attraverso il carving del database sono molto basse – nell’ordine del 5-15%. Il tempo e l’uso del dispositivo sono i peggiori nemici della prova digitale.
Le probabilità salgono sensibilmente solo in presenza di circostanze particolari: il dispositivo è rimasto inutilizzato dopo la truffa, esiste un backup su PC effettuato in prossimità degli eventi, oppure – la situazione più favorevole – la vittima ha inconsapevolmente usato la funzione “mantieni” su almeno uno dei messaggi.
Come agire se si è vittime: il decalogo pratico
Se stai leggendo questo articolo perché temi di essere vittima di una truffa o perché stai raccogliendo prove per denunciare, ricorda che la tempestività è fondamentale.
Ecco cosa fare subito:
- Non usare il telefono. Ogni operazione rischia di sovrascrivere i dati che potrebbero essere recuperati. Ad ogni modo usa il telefono il meno possibile.
- Non cancellare nulla dalla chat, anche se sembra già vuota.
- Fotografa lo schermo con un secondo dispositivo, documentando data e ora visibili.
- Attiva la registrazione schermo (disponibile dal pannello delle notifiche su Android 11 e successivi) prima di aprire qualsiasi messaggio sospetto che non hai ancora visualizzato.
- Usa la funzione “Mantieni” (segnalibro) su ogni messaggio significativo non appena ti insospettisci — ma sappi che il mittente riceverà una notifica e potrà annullare la tua conservazione. Agisci quindi con rapidità e affianca sempre questa operazione alla fotografia dello schermo con un secondo dispositivo.
- Non fare backup manuali su Google Drive: sovrascriveresti il backup precedente, che potrebbe contenere i messaggi.
- Porta il dispositivo a un informatico forense prima di qualsiasi altra operazione tecnica.
- Conserva qualsiasi comunicazione correlata: e-mail, bonifici, ricevute, schermate di altri canali.
- Annota subito tutto quello che ricordi del contenuto dei messaggi, con date e orari approssimativi: una deposizione scritta tempestiva ha valore probatorio.
- Sporgi denuncia alla Polizia Postale: questo atto formale può, in determinate circostanze, innescare la richiesta a Meta dei metadati della conversazione (orari, numeri, IP) anche quando il contenuto non è recuperabile.
Anche senza il contenuto, la prova esiste
Un ultimo punto, spesso sottovalutato: anche quando il contenuto dei messaggi è irrecuperabile, il database di WhatsApp conserva comunque i metadati di ogni messaggio ricevuto – il timestamp di ricezione e apertura, il numero del mittente, il tipo di messaggio (incluso se si trattava di un messaggio a scomparsa), le dimensioni del file allegato.
Non è il contenuto, ma è la prova che quella comunicazione è avvenuta. In un procedimento penale, dimostrare che in una certa data e ora la vittima ha ricevuto e aperto un messaggio di tipo “a scomparsa” da quel numero specifico è già un elemento significativo per la ricostruzione dei fatti.
In conclusione, ogni caso è a se stante e l’informatica forense non è magia: non recupera sempre tutto. Ma sa trovare, anche nelle situazioni apparentemente più compromesse, qualcosa su cui costruire.