W dobie cyfrowej komunikacji aplikacje takie jak WhatsApp są często wykorzystywane nie tylko do codziennych rozmów, ale również – niestety – do działań o charakterze przestępczym. Coraz częściej w postępowaniach karnych istotne znaczenie dowodowe mają wiadomości przesyłane za pośrednictwem komunikatorów internetowych, nawet jeśli zostały one później usunięte przez jedną ze stron.
Poniższy przypadek pokazuje, że przy odpowiednich narzędziach informatyki śledczej możliwe jest wykazanie istnienia konwersacji, nawet jeśli treść wiadomości została skasowana.
WhatsApp i usunięta korespondencja – czy da się ją wykryć?
W analizowanym przypadku, na telefonie pokrzywdzonej (iPhone) ujawniono konwersację prowadzoną przez WhatsApp z użytkownikiem oznaczonym jako „PAN A” , który posługiwał się urządzeniem marki Samsung (Galaxy). Treść tej rozmowy, o charakterze pedofilskim, została zabezpieczona do celów procesowych.
Na uwagę zasługuje fakt, że znaczna część wiadomości została przez rozmówców usunięta. Jak wykazała analiza, usuwanie konwersacji było wcześniej ustalone przez użytkowników i opisywane w korespondencji slangowym skrótem „czk” – pochodzącym z młodzieżowego żargonu internetowego i oznaczającym „czyszczenie konwersacji”.
Jak działa mechanizm usuwania wiadomości w WhatsApp?
WhatsApp oferuje opcję „Usuń dla wszystkich”, która powoduje, że wiadomość znika zarówno z urządzenia nadawcy, jak i odbiorcy. Jednak – co istotne – pewne dane pozostają w systemowych bazach aplikacji.
W omawianej sprawie, chociaż na telefonie oskarżonego nie odnaleziono treści rozmowy, to w wewnętrznej bazie danych WhatsApp (msgstore.db) zachował się wpis w tabeli jid, odpowiadający numerowi pokrzywdzonej. Tabela ta przechowuje informacje o kontaktach, z którymi użytkownik miał jakąkolwiek formę interakcji – niezależnie od tego, czy wiadomości zostały później usunięte. Obecność wpisu w tej tabeli wskazuje jednoznacznie, że kontakt z pokrzywdzoną istniał.
Co więcej, ten sam numer figurował także w tabeli wa_block_list, co świadczy o tym, że użytkownik zablokował rozmówcę po zakończeniu kontaktu. W połączeniu z brakiem wiadomości oraz brakiem czatu na liście konwersacji, dane te świadczą z dużym prawdopodobieństwem o celowym i świadomym usunięciu historii komunikacji.
Czy możliwe było podszycie się pod użytkownika?
W ramach analizy wykluczono możliwość przejęcia konta WhatsApp przez osobę trzecią – nie stwierdzono żadnych oznak duplikacji karty SIM, wykorzystania WhatsApp Web ani aplikacji towarzyszącej. To oznacza, że wiadomości otrzymywane przez pokrzywdzoną mogły pochodzić wyłącznie od rzeczywistego użytkownika telefonu Samsung Galaxy, posiadającego dostęp do numeru MSISDN użytkowanego przez "PAN A".
Mechanizm szyfrowania end-to-end stosowany przez WhatsApp gwarantuje, że wiadomości są przesyłane tylko między konkretnymi, zautoryzowanymi urządzeniami. Tym samym, w braku ingerencji z zewnątrz, dane te można przypisać bezpośrednio do użytkownika telefonu oskarżonego.
Wnioski dla praktyki procesowej
Analiza danych z komunikatora WhatsApp pokazała, że:
- nawet usunięte wiadomości mogą pozostawić po sobie ślady techniczne (np. w postaci wpisów w bazach danych aplikacji),
- obecność wpisu w tabeli jid bez towarzyszących wiadomości wskazuje na usunięcie rozmowy,
- obecność tego samego numeru w tabeli wa_block_list dodatkowo potwierdza intencjonalność działania,
- dane techniczne mogą wykazać wcześniejsze istnienie komunikacji, nawet jeśli urządzenie nie zawiera już jej treści.
Dla organów ścigania, prokuratury oraz sądu oznacza to, że usunięcie wiadomości w aplikacji nie uniemożliwia ich wykrycia ani oceny prawnej intencji sprawcy.
Jeśli w prowadzonym postępowaniu zachodzi potrzeba odzyskania lub weryfikacji usuniętej komunikacji cyfrowej, kancelaria świadczy usługi w zakresie analizy danych cyfrowych, informatyki śledczej oraz przygotowania opinii sądowych. Zapraszamy do kontaktu.
(autor: mgr inż. Waldemar Chodasiewicz)
(autor: mgr inż. Waldemar Chodasiewicz)
Maj 2025