Cancellazione dei dati e recupero delle informazioni digitali nel 2025: cosa si può recuperare davvero?

(Una guida chiara, definitiva e scientificamente fondata)

di Domenico Moretta – Criminalista, Esperto in Digital Forensics

Introduzione: un tema pieno di equivoci

Quando si parla di “recuperare dati cancellati”, la percezione comune è che:

• tutto sia recuperabile,

• la tecnologia possa “resuscitare” qualunque cosa,

• un esperto possa trovare sempre “quel messaggio cancellato”.

La realtà, nel 2025, è molto più complessa e dipende da che tipo di dispositivo stiamo analizzando, come sono stati cancellati i dati, quando, e qual è la tecnologia sottostante.

L’obiettivo di questo articolo è fare finalmente chiarezza:

Cancellare non significa sempre eliminare. Ma in molti casi significa eliminare davvero.
E non esistono magie: esistono sistemi, limiti tecnici e margini di recupero oggettivi.

Cosa significa davvero “cancellare” un dato

La cancellazione NON è un’operazione unica.

Esistono tre modi completamente diversi in cui un sistema può “cancellare” un dato:

1. Cancellazione logica

L’utente elimina un file o un messaggio.
Il contenuto resta nella memoria, ma il riferimento viene rimosso.

💡 Recuperabilità: alta (solo su HDD e alcuni Android datati).

2. Cancellazione fisica

Il contenuto viene realmente sovrascritto o azzerato.

💡 Recuperabilità: bassissima o nulla.

3. Cancellazione crittografica

Il file è cifrato. Eliminando la chiave di cifratura, il dato diventa matematicamente irrecuperabile.

💡 Recuperabilità: impossibile senza la chiave.

Recupero dati da COMPUTER (HDD e SSD)

🟦 3.1 HDD (Hard Disk magnetici)

È la tecnologia più “recuperabile”.

Quando un utente cancella un file:

• il sistema elimina solo il puntatore al file,

• i settori su disco restano intatti,

• il contenuto fisico è presente finché non sovrascritto.

💡 Recuperabilità 2025: molto alta
con strumenti come:

• Magnet Axiom

• Belkasoft X

• X-Ways

• FTK

• carving avanzato

• analisi dell’MFT

• shadow copies

È possibile recuperare file, immagini, video e documenti anche molto vecchi.

🟦 3.2 SSD (dischi a stato solido)

Gli SSD moderni sono una rivoluzione anche nella forensics.

Quando si cancella un file:

• il sistema operativo invia un comando TRIM,

• il controller dell’SSD segna i blocchi come “da eliminare”,

• il “garbage collector” li azzera in autonomia,

• spesso dopo pochi secondi.

💡 Recuperabilità 2025: molto bassa
→ Il TRIM elimina fisicamente i dati.
→ Anche il carving trova celle vuote.
→ Il wear-leveling impedisce sovrascrittura controllata.

Conclusione:

Su SSD moderni è difficile recuperare dati cancellati, specialmente dopo alcune ore/giorni.

Recupero dati da SMARTPHONE (Android e iPhone)

🟩 4.1 Android

Android utilizza memorie:

• UFS

• eMMC

e file system:

• EXT4

• F2FS

• A/B partitions

Quando un messaggio viene cancellato:

• il database SQLite della app marca il record come eliminato,

• la struttura della tabella resta finché non avviene “vacuum” o pulizia interna,

• la NAND riceve il TRIM sui blocchi non più usati.

💡 Recuperabilità messaggi (WhatsApp/SMS) nel 2025:

• immediata → possibile

• a distanza di tempo → molto difficile

• dopo reset → quasi impossibile

• su dispositivi cifrati → dipende dalla chiave / stato del device

🟥 4.2 iPhone (iOS)

iOS usa APFS + cifratura hardware.

Quando un messaggio viene cancellato:

• il record viene marcato come “deleted”,

• APFS usa copy-on-write, che frammenta la storia,

• la protezione hardware fa sì che i blocchi vengano rapidamente riutilizzati.

💡 Recuperabilità nel 2025:
→ estremamente bassa
→ molto meglio puntare su iCloud, non sul device

Il mito del “recupero dei messaggi cancellati”

È fondamentale fare una distinzione:

✔ 1. Recuperare messaggi cancellati dal telefono

→ su iPhone: difficilissimo
→ su Android con TRIM: difficile
→ su Android vecchi: possibile
→ tramite estrazioni physical: variabile

✔ 2. Recuperare messaggi cancellati dal cloud

→ spesso possibile

Esempi:

• WhatsApp conserva backup cifrati su Google Drive/iCloud

• Telegram conserva tutto sul cloud

• Facebook Messenger conserva storico remoto

• Gmail conserva cestino e archivi IMAP

💡 Nella maggior parte dei casi, la sorgente cloud è più ricca del dispositivo.

Cosa è realmente recuperabile nel 2025

✔ ALTAMENTE recuperabile

• file cancellati su HDD

• documenti ancora in MFT

• shadow copies (Windows)

• partizioni non formattate

• file temporanei

• cache di sistema

• database corrotti ma non sovrascritti

✔ POSSIBILMENTE recuperabile

• messaggistica Android recente

• file non sovrascritti su SSD “vecchi”

• dati mobili da WhatsApp (se backup locale presente)

• dati SQLite non vacuizzati

• file in app third-party

✔ DIFFICILMENTE recuperabile

• messaggi cancellati su iPhone

• messaggi cancellati su Android con TRIM attivo

• file cancellati da SSD moderni

• dati dopo factory reset

• dati dopo secure erase o wipe certificato

✔ IRRECUPERABILE (2025)

• contenuti dopo secure erase hardware

• dati crittografati senza chiave

• dati cancellati da APFS con snapshot rimossi

• celle SSD TRIMmate e azzerate

• database SQLite compressi dopo VACUUM

Perché alcune aziende promettono l’impossibile?

Marketing.

Spesso usano espressioni come:

• “Recupero garantito al 100%”

• “Tiriamo fuori qualsiasi dato anche dopo formattazione”

• “Recuperiamo messaggi cancellati da qualsiasi smartphone”

La realtà tecnica è questa:

Esiste una differenza enorme tra cancellazione logica e cancellazione fisica.
E senza conoscere il dispositivo, la tecnologia e il contesto, nessun recupero può essere garantito.

Le domande chiave da porre prima di valutare la recuperabilità

Quando si deve stabilire se un dato cancellato può essere recuperato, è necessario raccogliere alcune informazioni preliminari fondamentali.
Queste domande orientano la valutazione tecnica e definiscono i margini di recuperabilità.

✔ 1. Che tipo di dispositivo è?

• HDD

• SSD

• Smartphone Android

• iPhone

• Tablet

• Memoria esterna (USB/SD)

✔ 2. Quale applicazione o servizio contiene i dati?

• WhatsApp, Telegram, SMS

• Email

• Foto e video

• Documenti

• App specifiche (social, note, archiviazione)

✔ 3. Quando è avvenuta la cancellazione?

Il tempo è un fattore decisivo:
maggiore è l’intervallo, minore è la recuperabilità (soprattutto su SSD e smartphone).

✔ 4. Il dispositivo è stato utilizzato dopo la cancellazione?

L’uso successivo produce scritture che possono sovrascrivere i dati cancellati.

✔ 5. Il dispositivo è cifrato?

La cifratura hardware di smartphone e SSD può rendere il recupero:

• complesso,

• oppure matematicamente impossibile se le chiavi sono perse.

✔ 6. Esistono backup?

• Cloud (Google Drive, iCloud)

• Backup locali

• Export precedenti

• Sincronizzazioni automatiche

• Copie su altri dispositivi

Spesso la fonte più utile non è il dispositivo, ma il cloud.

✔ 7. È stato effettuato un ripristino / reset di fabbrica?

Il factory reset:

• su Android può limitare fortemente la recuperabilità,

• su iOS quasi sempre distrugge la maggior parte delle evidenze,
  per via della cifratura hardware dei dati.

✔ 8. Sono state reinstallate app o ripristinati sistemi?

La reinstallazione di app come WhatsApp, Telegram, Facebook o dei sistemi operativi:

• crea nuovi database,

• invalida i precedenti,

• può sovrascrivere blocchi fondamentali.

“La valutazione della recuperabilità dei dati non può essere fatta in astratto.
Dipende dal dispositivo, dal tipo di dato, dal tempo trascorso, dalle tecnologie di memorizzazione e dalla presenza di backup.
Solo una raccolta preliminare accurata delle informazioni consente una risposta tecnicamente fondata.”

Conclusione: la verità definitiva sulla cancellazione e sul recupero dati nel 2025

“Il recupero dei dati non è magia.
È scienza, è tecnica, è conoscenza profonda delle memorie moderne.
Su HDD la cancellazione è logica e i dati sono spesso recuperabili.
Su SSD e smartphone la cancellazione è fisica (TRIM) e il recupero diventa complesso o impossibile.
La messaggistica cancellata non sempre è riportabile in vita: dipende dal tipo di app, dal dispositivo, dalla cifratura e dal cloud.
Il consulente forense serio non promette miracoli: spiega cosa è tecnicamente possibile e cosa no, valutando ogni caso con metodo e rigore.”

✒️ Nota sull’autore

Domenico Moretta è criminalista forense, consulente tecnico specializzato in digital forensics, audio forense e trascrizioni giuridiche. Esperto in Diritto della Società Digitale. Autore di volumi divulgativi e professionali, affianca all’attività peritale un percorso di formazione universitaria in diritto della società digitale.
Con il progetto www.acquisizioneprovedigitali.it, promuove una cultura integrata tra scienze forensi e tutela dei diritti nell’ambiente digitale.

CLICCA QUI PER RICHIEDERE MAGGIORI INFORMAZIONI