Può capitare che un documento diventi inaccessibile: non si apre, non risulta nel suo percorso o restituisce un messaggio di errore che fa gelare il sangue. In questi scenari, non stiamo parlando esclusivamente di incidenti tecnologici: spesso è l’avvertimento che qualcosa nel sistema ha ceduto – una cancellazione, un danneggiamento o un vincolo che impedisce ogni intervento. Recuperare un file bloccato non è una questione di fortuna, bensì di metodo. Le probabilità di successo dipendono da quanto tempestivamente si interviene, da quanto si è evitato di peggiorare il danno e da quali strumenti si mettono in campo. Nel corso di questo approfondimento analizzeremo tre macro-casi (file cancellati, file corrotti, file protetti) e percorreremo strategie tecniche, limiti e scenari critici.
File cancellati, resuscitare ciò che sembra perduto
Quando un file viene eliminato il sistema operativo, di norma, segna i settori come liberi senza cancellarne il contenuto fino a che non venga sovrascritto. Questa temporanea condizione consente la rianimazione del file mediante software specializzati. Tuttavia, sui dischi SSD, il comando TRIM interviene subito dopo l’eliminazione, cancellando fisicamente i dati e rendendo l’undelete praticamente impossibile. Quindi, uno dei primi passi è interrompere l’uso del dispositivo incriminato: ogni operazione successiva accresce la probabilità di distruggere i dati residui.
Su Windows, Microsoft mette a disposizione Windows File Recovery, uno strumento a riga di comando che esplora i volumi e tenta di recuperare file eliminati in vari scenari. Il funzionamento cambia in base al file system (NTFS, FAT, exFAT, ReFS) e al tipo di modalità (Default, Segment, Signature). Per chi dispone di cronologia versioni abilitata, è possibile accedere a copie precedenti delle cartelle con Ripristina versioni precedenti da Esplora file, saltando la necessità di software esterni.
Nell’ecosistema macOS, la sicurezza contro la perdita è garantita da Time Machine: se i backup sono attivi, possiamo scorrere il tempo e recuperare la versione desiderata. Quando operiamo su dispositivi o su sistemi dove non è attivo un backup set, diventa necessario ricorrere a software di recupero.
Negli ambienti Linux, quando un supporto è stato danneggiato o la tabella delle partizioni è sparita, tools come TestDisk e PhotoRec – sviluppati da CGSecurity – si rivelano indispensabili. TestDisk può ricostruire partizioni perse e ripristinare file cancellati su file system supportati, mentre PhotoRec ignora la struttura del file system e cerca le firme dei file (per esempio, JPG, PDF, DOC) per recuperarli anche da dischi gravemente compromessi. È fondamentale che il recupero venga effettuato su un’unità diversa da quella oggetto dell’operazione.
Esiste un limite fisiologico: se il file è stato cancellato da tempo, se il disco è stato grattato molte volte o se l’SSD ha già eseguito un trim estensivo, il recupero software è quasi certamente impossibile. In tali casi, non resta che rivolgersi a laboratori specializzati che operano in camera bianca, a un costo elevato, ma con la possibilità – almeno teorica – di intervenire su componenti hardware o microlettura dei supporti.
File corrotti: guarire ciò che è alterato
A volte il problema non sta nel file singolo, bensì in un sistema di archiviazione danneggiato. Se le cartelle restituiscono errori o non si aprono, può esserci un danno al file system. Sul fronte Windows, si può iniziare con DISM per riparare l’immagine del sistema e successivamente con System File Checker (SFC) per controllare e sostituire file protetti danneggiati. Dopo aver eseguito queste operazioni in modalità amministratore, un riavvio può risolvere anomalie che sembravano inspiegabili.
In macOS, per dischi non di avvio, si utilizza l’Utility Disco con la funzione First Aid o SOS per verificare e riparare errori logici nel volume. Nel caso di volumi di avvio, occorre passare alla modalità di recupero e operare da lì. Se il software segnala problemi irrisolvibili o la partizione è danneggiata, conviene pensare subito a cloni o immagini di backup.
Quando il supporto mostra sintomi di cedimento – settori lenti, errori intermittenti, rumori – qualsiasi tentativo diretto di recupero può peggiorare la situazione. In questo contesto, clonare il disco è l’approccio più prudente: con strumenti come GNU ddrescue, si esegue una copia bit-a-bit su un’unità integra, preservando il contenuto residuo. Da quel clone si può agire con strumenti di recupero software, limitando il rischio di provocare ulteriori danni al disco originale.
Se il problema è contenuto nel file (documento, foglio di calcolo, archivio ZIP), spesso esistono strumenti interni o di terze parti che tentano di correggere errori. Ad esempio, alcuni editor Office offrono modalità ripara file all’apertura. Per archivi ZIP o RAR danneggiati, esistono tool che analizzano la struttura dell’archivio e cercano di ricostruire i file interni. In ogni caso, la chiave è lavorare su una copia del file danneggiato, non sull’originale.
File protetti: chi ha l’esclusiva?
Può succedere che un file non si cancelli o sposti perché un programma lo sta utilizzando. In Windows, l’utility Process Explorer, sviluppata da Microsoft Sysinternals, permette di cercare il nome del file e individuare quale processo ha l’handle aperto; una volta individuato, si può chiudere l’applicazione o liberare l’handle. Anche il Resource Monitor integrato consente una ricerca simile tramite la sezione Associated Handles. Solo quando il file risulta sganciato, è possibile intervenire.
Su sistemi Unix‐like (macOS, Linux), si utilizzano comandi come lsof o fuser, che indicano i processi in ascolto su un file o una directory. Dopo aver identificato il PID corrispondente, si può terminare il processo o chiudere il servizio responsabile, liberando l’accesso al file.
In Windows, un errore Accesso negato può derivare da proprietà mancanti o da permessi NTFS (ACL). Usando il prompt dei comandi con privilegi elevati, il comando takeown consente di acquisire la proprietà del file o della cartella, mentre icacls permette di concedere i permessi necessari per leggere, modificare o cancellare l’elemento. Va fatta molta attenzione a non stravolgere ACL di sistema o cartelle protette: operazioni errate possono compromettere la stabilità o la sicurezza del sistema.
In ambienti Linux con file system ext, può succedere che un file abbia l’attributo immutable (flag i): in tal caso né root né alcun utente possono modificarlo, rinominarlo o cancellarlo. Tramite lsattr si può verificare la presenza di questo flag e, con chattr -i, rimuoverlo, consentendo nuovamente le operazioni standard sul file.
Quando un file è cifrato – che sia tramite BitLocker, EFS su Windows o sistemi di cifratura su macOS/Linux – l’unica via di recupero è disporre della chiave privata o della chiave di ripristino. In ambito Windows, la chiave BitLocker è spesso associata all’account Microsoft, a un Azure AD o a un dominio aziendale e può essere recuperata se si è fatto il backup della chiave. Per i file EFS, il certificato dell’utente che ha cifrato il file è indispensabile: senza la chiave corrispondente, non è tecnicamente possibile decifrare il contenuto. In presenza di ransomware che cifra i file, la strategia è ancor più drastica: non si paga – per motivi etici e pratici – e si controlla se esista un decryptor pubblico per il ceppo di ransomware identificato. Il sito No More Ransom offre strumenti per alcune varianti note, ma l’unica soluzione è recuperare da backup.
Quando ogni tecnica fallisce
In alcuni casi, non esiste più un tornare indietro. Se si lavora su un SSD e il comando TRIM ha già cancellato fisicamente i dati, il recupero software diventa inutilizzabile. Quando il supporto è usurato al punto da avere settori irrecuperabili o danneggiamenti hardware, ogni operazione può peggiorare la situazione. Se la perdita riguarda dati strategici, è consigliabile fermarsi e considerare l’intervento di laboratori professionali in camera bianca: tecnici specializzati possono eseguire riparazioni hardware, letture su chip o smontaggi controllati. Naturalmente il costo è elevato e non garantisce sempre il successo, ma in casi estremi è l’ultima speranza.
