Certificazione Accessi Abusivi Account con IP | FEDIS

Prerequisiti fondamentali per la certificazione

La certificazione di accessi abusivi è possibile solo se:

• Hai ripreso il controllo dell’account (password cambiata, hacker espulso);
• I log di attività sono accessibili (activity log, cronologia accessi, dispositivi utilizzati);
• Gli accessi abusivi sono visibili nei log con IP, data/ora, dispositivo;
• I log non sono stati ancora cancellati (solitamente conservati 6-12 mesi).

Importante: Se l’hacker ha ancora il controllo o i log non sono accessibili, la certificazione non è tecnicamente possibile.

📧 Google / Gmail Certificazione

• Activity log completo: https://myaccount.google.com/device-activity con IP accessi, dispositivi, ubicazioni;
• Google Takeout: archivio completo Gmail (MBOX), Drive, Calendar, Photos, YouTube, Contacts;
• Gmail activity: email lette, inviate, cancellate con timestamp e IP;
• Drive activity: file scaricati, modificati, condivisi dall’hacker;
• Calendar activity: appuntamenti modificati/cancellati;
• Photos access: foto visualizzate/scaricate;
• YouTube activity: video caricati/cancellati, commenti;
• Dispositivi riconosciuti: quale dispositivo ha usato l’hacker (modello, sistema operativo, browser);
• Sessioni attive: sessioni contemporanee da IP diversi (impossibile fisicamente).

Dati tecnici acquisiti: IP pubblico hacker, geolocalizzazione (paese/città), ISP provider, User Agent, timestamp UTC.

💼 Microsoft 365 / Outlook Certificazione

• Pagina dispositivi: https://account.microsoft.com/devices con dispositivi utilizzati per accesso;
• Recent activity: cronologia accessi con IP e location;
• Outlook activity: email lette/inviate da IP non autorizzato;
• OneDrive activity: file scaricati, modificati, condivisi;
• Teams activity: chat lette, messaggi inviati;
• Office 365 audit log: log completo attività account aziendale;
• Sign-in logs: tentativi accesso riusciti/falliti con IP;
• Unusual activity alerts: alert Microsoft per accessi sospetti.

Dati tecnici acquisiti: IP accessi, location, device type, browser, app utilizzate, orari accesso.

📱 Facebook / Instagram / Meta Certificazione

• Dove hai effettuato l’accesso: sezione Facebook/Instagram con IP, dispositivi, ubicazioni accessi;
• Sessioni attive: sessioni correnti non autorizzate;
• Dispositivi riconosciuti: quale dispositivo ha usato hacker;
• Download tue informazioni: archivio completo attività account (post, messaggi, foto, video, ricerche);
• Activity log: azioni compiute dall’hacker (post pubblicati, messaggi inviati, foto caricate);
• Login alerts: notifiche accessi sospetti ricevute;
• Authorized apps: app collegate all’account usate per accesso.

Dati tecnici acquisiti: IP pubblico, città approssimativa, tipo dispositivo, browser, timestamp accessi.

🍎 Apple iCloud Certificazione

• Dispositivi associati: https://appleid.apple.com con dispositivi collegati all’Apple ID;
• Activity log: accessi recenti con IP e location;
• iCloud access: da dove è stato accessato iCloud Drive, Photos, Contacts;
• Find My iPhone activity: utilizzo Find My da parte dell’hacker;
• iMessage/FaceTime access: messaggi letti/inviati;
• Password changes: tentativi cambio password;
• Two-factor notifications: notifiche 2FA ricevute per accessi sospetti.

Dati tecnici acquisiti: IP, location, device model, iOS version, timestamp.

🛒 Altre piattaforme certificabili

• Amazon: Login history con IP, dispositivi collegati, ordini non autorizzati;
• PayPal: Cronologia accessi IP, transazioni sospette, dispositivi collegati;
• Dropbox: Security events, file scaricati, linked devices;
• LinkedIn: Where you’re signed in, recent activity, devices;
• Twitter/X: Apps and sessions, login history;
• TikTok: Security and login, devices;
• Spotify: Account overview, recent activity;
• Netflix: Recent device streaming activity.

Richiedi un preventivo

Forniremo immediatamente la valutazione di fattibilità tecnica (verifica prerequisiti), la modalità di acquisizione, i tempi di esecuzione e il preventivo economico dettagliato. Intervento rapido disponibile per casi urgenti (log a rischio cancellazione).

Richiedi preventivo

🌐 Indirizzo IP pubblico dell’hacker

L’IP pubblico è l’elemento probatorio fondamentale per identificare l’aggressore:

• IP address completo: es. 185.220.101.45, 91.198.174.192;
• Timestamp preciso: data e ora esatta accesso (UTC);
• Geolocalizzazione IP: paese, regione, città approssimativa (usando database MaxMind, IPinfo);
• ISP identification: quale provider internet fornisce quell’IP (es. Rostelecom Russia, TIM Italia, Vodafone);
• Reverse DNS lookup: hostname associato all’IP;
• IP reputation: l’IP è noto per attività malevole? È un VPN/Proxy/Tor exit node?;
• ASN (Autonomous System Number): identificativo rete ISP.

Utilizzo legale: Con IP pubblico, Polizia Postale può richiedere a ISP identificazione abbonato intestatario connessione al momento dell’accesso.

📱 Dispositivo e User Agent utilizzati

Identificazione del dispositivo usato dall’hacker:

• Tipo dispositivo: smartphone, tablet, computer desktop/laptop;
• Sistema operativo: Windows 10/11, macOS, iOS, Android (versione specifica);
• Browser utilizzato: Chrome, Firefox, Safari, Edge (versione);
• User Agent string: stringa tecnica completa identificativa;
• Modello dispositivo: iPhone 12, Samsung Galaxy S21, MacBook Pro (quando disponibile);
• Risoluzione schermo: indicazione dimensioni display;
• App utilizzata: accesso da app mobile ufficiale o browser web.

Rilevanza probatoria: Dimostra dispositivo hacker diverso da quelli legittimi della vittima.

⏰ Timeline cronologica accessi

Ricostruzione temporale completa della violazione:

• Primo accesso abusivo: quando l’hacker è entrato la prima volta;
• Accessi successivi: frequenza e pattern temporale (ogni giorno alle 3am? Una tantum?);
• Durata sessioni: quanto tempo è rimasto connesso;
• Azioni compiute: cosa ha fatto durante ogni sessione (letto email X, scaricato file Y, inviato messaggio Z);
• Ultimo accesso abusivo: quando hacker ha perso accesso;
• Scoperta violazione: quando la vittima se n’è accorta;
• Recupero controllo: quando password cambiata e hacker espulso;
• Overlap temporale: accessi simultanei impossibili (vittima a Milano, hacker in Russia nello stesso momento).

🎯 Azioni specifiche compiute dall’hacker

Documentazione dettagliata delle attività abusive:

• Email lette: quali email ha aperto e quando;
• Email inviate: messaggi inviati dal tuo account (phishing, truffe, diffamazione);
• Email cancellate: prove distrutte dall’hacker;
• File scaricati: documenti, foto, video copiati da Drive/OneDrive;
• File modificati/cancellati: documenti alterati o distrutti;
• File condivisi: documenti resi accessibili a terzi;
• Post pubblicati: contenuti pubblicati su social dal tuo account;
• Messaggi inviati: chat/DM inviati a contatti;
• Password cambiate: tentativi modifica credenziali;
• Impostazioni modificate: inoltro email attivato, 2FA disabilitato;
• Acquisti effettuati: ordini Amazon/PayPal non autorizzati.

⚖️ Comparazione IP legittimo vs IP abusivo

Dimostrazione che accessi provengono da fonte diversa dalla vittima:

• IP abituale vittima: pattern normale accessi (es. sempre da 93.45.xxx.xxx TIM Fibra Milano);
• IP hacker: completamente diverso (es. 185.220.xxx.xxx Rostelecom San Pietroburgo);
• Pattern geografico: vittima sempre Italia, hacker da Russia/Nigeria/Romania;
• Pattern temporale: vittima accede ore lavorative, hacker di notte ore italiane;
• Accessi impossibili: login simultaneo da Milano (vittima) e Lagos (hacker) – fisicamente impossibile;
• Dispositivi incongruenti: vittima usa iPhone/Mac, hacker usa Android/Windows;
• Mappa visuale: visualizzazione geografica accessi legittimi vs abusivi.

📧 Email lette/inviate senza autorizzazione

Scenario tipico: Hacker accede a Gmail/Outlook, legge email riservate (contratti, dati sensibili, comunicazioni personali), invia email dal tuo account (phishing ai contatti, richieste denaro, diffamazione), cancella email per nascondere tracce.

Cosa certifichiamo: Activity log Gmail/Outlook con IP hacker evidenziato, timestamp accessi, lista email lette/inviate/cancellate, geolocalizzazione IP (es. Romania mentre vittima in Italia), comparazione con IP legittimo vittima.

Reato: Art. 615-ter c.p. (accesso abusivo) + eventualmente Art. 617-quater c.p. (intercettazione comunicazioni) se email lette.

💾 File rubati da cloud storage

Scenario tipico: Hacker scarica documenti riservati da Google Drive/OneDrive/Dropbox (contratti, bilanci, progetti, foto personali), condivide file con account esterni, cancella documenti per sabotaggio.

Cosa certifichiamo: Drive/OneDrive activity log con IP download, lista file scaricati con timestamp, file condivisi con chi, eventuali cancellazioni, geolocalizzazione IP hacker, device utilizzato.

Reato: Art. 615-ter c.p. + Art. 635-bis c.p. (danneggiamento dati) se file cancellati + possibile furto proprietà intellettuale.

📱 Profilo social usato per truffe/diffamazione

Scenario tipico: Hacker accede a Facebook/Instagram, pubblica post diffamatori, invia messaggi ai contatti chiedendo denaro con scuse (“sono in difficoltà, prestami soldi”), pubblica foto/video compromettenti.

Cosa certifichiamo: Facebook “Dove hai effettuato l’accesso” con IP hacker, device utilizzato, timestamp, “Download tue informazioni” con post/messaggi inviati dall’hacker, comparazione IP vittima vs hacker.

Reato: Art. 615-ter c.p. + Art. 640 c.p. (truffa) se richieste denaro + Art. 595 c.p. (diffamazione) se post offensivi.

🛒 Acquisti fraudolenti con account e-commerce

Scenario tipico: Hacker usa account Amazon/PayPal violato per fare acquisti non autorizzati, cambia indirizzo spedizione, svuota saldo PayPal.

Cosa certifichiamo: Amazon login history con IP ordine fraudolento, PayPal transaction history con IP transazione, timestamp, geolocalizzazione (ordine fatto da IP estero), dettagli ordine/transazione.

Reato: Art. 615-ter c.p. + Art. 640-ter c.p. (frode informatica).

💔 Stalking digitale da ex partner

Scenario tipico: Ex partner conosce ancora password (mai cambiata dopo rottura), accede regolarmente a Gmail/iCloud per leggere email, controllare Calendar (dove sei, con chi), vedere Google Photos/iCloud Photos, tracciare posizione tramite Find My.

Cosa certifichiamo: Activity log Gmail/iCloud con pattern accessi sospetti da IP/dispositivo ex partner, frequenza accessi (ogni giorno per mesi), azioni compiute (email lette, Calendar visualizzato, Photos accessate), correlazione IP con residenza ex.

Reato: Art. 615-ter c.p. + Art. 612-bis c.p. (atti persecutori/stalking).

💼 Sabotaggio aziendale da ex dipendente

Scenario tipico: Ex dipendente licenziato ha ancora accesso a Microsoft 365 aziendale (credenziali non revocate), accede e cancella documenti, email, progetti per vendetta, scarica dati riservati prima di uscita definitiva.

Cosa certifichiamo: Microsoft 365 audit log aziendale con accessi ex dipendente post-licenziamento, IP accessi (da casa ex dipendente, non da ufficio), file cancellati/scaricati, timeline azioni vs data licenziamento.

Reato: Art. 615-ter c.p. + Art. 635-bis c.p. (danneggiamento) + possibile violazione segreto aziendale.

🇮🇹 Normativa italiana – Art. 615-ter c.p.

Reato principale: Accesso abusivo a sistema informatico o telematico (Legge 547/1993).

Articolo 615-ter Codice Penale: “Chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo, è punito con la reclusione fino a tre anni.”

Aggravanti (reclusione fino a 5 anni):

• Se fatto da pubblico ufficiale/incaricato pubblico servizio abusando poteri;
• Se uso violenza su cose/persone o minaccia;
• Se derive distruzione/danneggiamento sistema o interruzione totale/parziale funzionamento;
• Se derive distruzione/danneggiamento dati/informazioni/programmi.

Procedibilità: Reato procedibile d’ufficio (Polizia può procedere anche senza querela vittima).

Nota: La giurisprudenza consolidata considera “sistema protetto da misure di sicurezza” anche account con semplice username/password. L’accesso con credenziali altrui (rubate, indovinate, ottenute con phishing) costituisce accesso abusivo.

🔗 Reati connessi frequenti

• Art. 617-quater c.p. – Intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche (se email lette);
• Art. 635-bis c.p. – Danneggiamento di informazioni, dati e programmi informatici (se file cancellati/modificati);
• Art. 640-ter c.p. – Frode informatica (se usato account per acquisti/transazioni non autorizzate);
• Art. 612-bis c.p. – Atti persecutori/stalking (se accessi ripetuti da ex partner);
• Art. 595 c.p. – Diffamazione (se pubblicati post offensivi);
• Art. 660 c.p. – Molestie (se messaggi inviati a contatti);
• Art. 623-bis c.p. – Diffusione illecita di immagini/video sessualmente espliciti (se diffuse foto intime).

🇪🇺 Direttiva europea 2013/40/UE

La Direttiva 2013/40/UE sugli attacchi contro i sistemi di informazione obbliga gli Stati membri UE a criminalizzare l’accesso abusivo a sistemi informatici. Ogni paese ha implementato con proprie norme penali nazionali equivalenti all’Art. 615-ter italiano.

Armonizzazione EU: La certificazione forense con metodologia eIDAS è riconosciuta in tutti gli Stati UE per procedimenti penali relativi ad accessi abusivi.

Processo di certificazione

1. Verifica prerequisiti tecnici:
   
   • Account recuperato dalla vittima? Password cambiata?
   • Activity log accessibili?
   • Accessi abusivi visibili nei log con IP?
   • Log non ancora cancellati?
   • Se tutti prerequisiti soddisfatti → procediamo
2. Acquisizione forense immediata:
   
   • Accesso guidato (con credenziali cliente) a sezioni activity log piattaforma;
   • Screenshot multipli alta risoluzione di: activity log completo, accessi con IP evidenziati, dispositivi utilizzati, azioni compiute;
   • Download export completo quando disponibile (Google Takeout, Facebook Download tue informazioni, Microsoft data export);
   • Acquisizione sorgente HTML pagine log;
   • Timestamp qualificato eIDAS su ogni acquisizione;
   • Calcolo hash SHA-256 di ogni file acquisito;
3. Analisi tecnica approfondita:
   
   • IP analysis: geolocation lookup (MaxMind GeoIP2), ISP identification (WHOIS), reverse DNS, IP reputation check (AbuseIPDB, Shodan);
   • Device fingerprinting: analisi User Agent, identificazione sistema operativo/browser/device model;
   • Timeline ricostruzione: cronologia completa primo accesso → azioni → ultimo accesso → recupero;
   • Comparazione pattern: IP/device/orari vittima vs hacker per evidenziare incongruenze;
   • Accessi impossibili: identificazione sovrapposizioni temporali fisicamente impossibili;
4. Documentazione azioni compiute:
   
   • Estrazione lista email lette/inviate/cancellate con timestamp;
   • Estrazione file scaricati/modificati/cancellati da cloud;
   • Estrazione post/messaggi social pubblicati/inviati;
   • Estrazione transazioni/ordini effettuati;
   • Cross-reference ogni azione con IP/timestamp hacker;
5. Report tecnico completo:
   
   • Executive summary per Polizia Postale/Carabinieri;
   • Sezione IP analysis dettagliata;
   • Timeline grafica accessi;
   • Mappa geografica IP vittima vs IP hacker;
   • Lista azioni compiute con evidenze;
   • Comparazione pattern;
   • Allegati tecnici (screenshot, export, hash);

Richiedi un preventivo

Forniremo immediatamente la valutazione di fattibilità (verifica prerequisiti), la modalità tecnica di acquisizione, i tempi di esecuzione e il preventivo economico dettagliato. Intervento URGENTE 24-48h disponibile per casi con log a rischio cancellazione imminente.

Richiedi preventivo