Windows 10 e 11 registrano ancora le tue attività: cosa rivela il file ActivitiesCache.db

Con il lancio di Windows 10, Microsoft introdusse un sistema che ha come obiettivo quello di registrare e ricostruire le attività svolte dall’utente. La sua presenza permane anche in Windows 11, anche se si tratta ormai di una funzionalità nascosta tra le “pieghe” del sistema operativo. Il file ActivitiesCache.db è infatti un database SQLite utilizzato da Windows come archivio locale delle attività dell’utente.

Non si tratta di un semplice elenco di file recenti, ma di una struttura pensata per memorizzare eventi legati al contesto di lavoro dell’utente: applicazioni utilizzate, documenti aperti o modificati, riferimenti a URI o risorse, metadati temporali.

I dati conservati nel file ActivitiesCache.db alimentano la funzionalità nota come Cronologia attività (Timeline, in inglese), visibile in Windows 10 tramite Visualizzazione attività, icona che compare nella barra delle applicazioni (compare anche premendo Windows+TAB). Com’è noto, Visualizzazione attività è scomparsa in Windows 11 ma il file ActivitiesCache.db e la registrazione delle attività svolte dall’utente sono ancora presenti.

Nonostante la rimozione dall’interfaccia di Windows 11, Microsoft non ha mai eliminato il meccanismo che registra e correla le attività dell’utente. Il database ActivitiesCache.db continua a raccogliere informazioni. Comprendere cosa contiene e com’è composto permette di valutare con maggiore consapevolezza sia gli aspetti legati alla privacy sia il valore di questi dati in ambito tecnico e forense.

Dove trovare il file che contiene le attività dell’utente in Windows 10 e Windows 11

Il file che contiene le attività dell’utente registrate dal sistema operativo (ActivitiesCache.db) è creato e gestito dal servizio Connected Devices Platform (CDPSvc) e associato al singolo profilo utente. Il percorso non è unico in senso assoluto, poiché dipende dall’identificativo di sicurezza (SID) dell’utente, ma segue uno schema stabile e prevedibile.

Su Windows 10 e Windows 11, il database si trova nel percorso raggiungibile premendo Windows+R quindi digitando quanto segue:

%localappdata%\ConnectedDevicesPlatform

All’interno della directory ConnectedDevicesPlatform possono essere presenti più sottocartelle, ciascuna corrispondente a un SID diverso. Questo accade, ad esempio, in sistemi con più account locali, account Microsoft differenti o profili temporanei. Ai fini dell’analisi è fondamentale individuare il SID corretto, ovvero quello associato all’utente oggetto di interesse.

È importante chiarire che ActivitiesCache.db è un file per-utente, non globale: ogni profilo Windows mantiene un proprio database separato, indipendente da quello degli altri utenti presenti sul sistema.

L’utilizzo di ActivitiesCache.db nell’analisi delle attività e in ambito forense

Dal punto di vista della digital forensics, ActivitiesCache.db è spesso considerato una potenziale fonte di alto valore per la ricostruzione delle attività dell’utente. Il database permette di correlare applicazioni, documenti e intervalli temporali, offrendo una visione contestuale delle azioni svolte sul sistema. In pratica, però, il suo utilizzo richiede cautela interpretativa.

ActivitiesCache.db non è un log generato in modo passivo dal sistema operativo, ma il risultato di una catena di pubblicazione attiva: le applicazioni devono emettere eventi tramite le User Activity API, il sistema deve accettarli e la pipeline di diagnostica deve essere operativa. Di conseguenza, l’assenza di dati non indica necessariamente inattività dell’utente, ma può riflettere scelte di configurazione, policy di hardening o limiti strutturali del modello stesso.

Quando il database contiene attività utente reali, le informazioni presenti consentono di stabilire che un’attività è stata registrata, in quale finestra temporale e con quale applicazione. In generale, comunque, ActivitiesCache.db va quindi inteso come fonte di supporto, utile per rafforzare o correlare evidenze provenienti da altre fonte, non come strumento primario.

Come aprire il contenuto del file che registra le attività dell’utente

Trattandosi di un database SQLite, si può aprire il file ActivitiesCache.db con un software come DB Browser for SQLite. Con un approccio ancora più semplice, si può usare il programma da riga di comando WxTCmd sviluppato da Eric Zimmerman.

Estraendo il contenuto dell’archivio compresso di WxTCmd in una cartella di appoggio, ad esempio C:\WxTCmd, si può quindi aprire il prompt dei comandi con i diritti di amministratore (digitare cmd nella casella di ricerca e selezionare Esegui come amministratore). Al prompt dei comandi, si può digitare quanto segue:

cd %userprofile%

C:\WxTCmd\WxTCmd.exe -f "%localappdata%\ConnectedDevicesPlatform\SID_UTENTE\ActivitiesCache.db" --csv %userprofile%

Al posto di SID_UTENTE va indicato il lungo identificativo alfanumerico estratto in precedenza.

Nella cartella del profilo utente corrente (%userprofile%), WxTCmd crea 3 file CSV: quello che ci interessa contiene il suffisso Activity. Aprendolo con un foglio elettronico, si può ottenere una lista piuttosto puntuale delle operazioni svolte dall’utente.

Valori diversi da 11 e 15 nella colonna la colonna ActivityType indicano attività utente (11 e 15 si riferiscono ad attività di sistema).

Il file SQLite.Interop.dll può essere manualmente rimosso dalla cartella %userprofile%.

Perché vale la pena estrarre il contenuto dei file CSV

L’estrazione dei file CSV tramite WxTCmd non ha un valore meramente descrittivo, ma consente di osservare in modo concreto come Windows abbia costruito il contesto operativo dell’utente nel tempo. Analizzando le colonne più significative, emergono pattern che vanno oltre il singolo evento: sequenze di utilizzo delle applicazioni, finestre temporali di attività, ripetizioni che indicano abitudini operative o flussi di lavoro ricorrenti.

In molti casi è possibile correlare l’apertura di un documento con l’applicazione utilizzata, la durata dell’interazione e la successiva transizione verso un’altra attività, offrendo una rappresentazione temporale delle azioni svolte. Questo tipo di informazione risulta particolarmente utile quando si vuole stabilire non solo se un’attività è avvenuta, ma in quale contesto e con quale continuità rispetto ad altre operazioni.

Al tempo stesso, i dati estratti mettono in evidenza i limiti strutturali del modello: attività frammentarie, eventi mancanti o registrazioni apparentemente incomplete sono indicativi del fatto che ActivitiesCache.db riflette ciò che il sistema ha deciso (o potuto) raccogliere, non necessariamente l’intero comportamento dell’utente.

I CSV generati vanno quindi letti come una rappresentazione approssimativa delle attività, utile per individuare tendenze e correlazioni, ma non come una cronaca esaustiva o infallibile.

Cosa succede disattivando il servizio CDPSvc in Windows 10 e Windows 11

Il servizio CDPSvc rappresenta il componente centrale dell’infrastruttura di Windows deputata alla gestione delle attività utente e delle funzionalità di continuità tra applicazioni e dispositivi. La sua disattivazione ha effetti diretti e misurabili sulla capacità del sistema di raccogliere, mantenere e rendere disponibili le informazioni relative alle attività dell’utente.

Può essere disattivato premendo Windows+R, quindi digitando services.msc e infine cercando Servizio piattaforma dispositivi connessi nell’elenco. Con un doppio clic quindi selezionando Interrompi e infine Disabilitato come Tipo di avvio, è possibile evitare la creazione del file ActivitiesCache.db o l’aggiornamento del database.

Su Windows 10, tuttavia, la funzionalità Cronologia attività non funzionerà più. Viene meno, inoltre, l’intera infrastruttura che consente a Windows di riprendere attività su più dispositivi, suggerire documenti o app aperti altrove, mantenere un contesto di lavoro condiviso.

Inoltre, smettono di funzionare o diventano inconsistenti alcune integrazioni di Collegamento al telefono, suggerimenti contestuali basati su attività recenti, la Condivisione nelle vicinanze, la funzione Salva automaticamente le app riavviabili e riavviale quando accedo di nuovo configurabile nella sezione Opzioni di accesso delle impostazioni di Windows.

Impatto della disattivazione delle policy di diagnostica

Nel nostro articolo che spiega come ottimizzare e velocizzare Windows 11 abbiamo presentato uno script che permette, tra le altre cose, di disattivare i servizi di diagnostica. La stessa cosa l’avevamo fatta nel caso di Windows 10. Anche altri strumenti, come quelli per il debloating di Windows 11 realizzati da Chris Titus, applicano le medesime modifiche.

Quando la telemetria risulta disabilitata, anche il file ActivitiesCache.db non viene più popolato da parte di Windows 10 e Windows 11: al suo interno si vedranno al massimo riferimenti ad ActivityType con valori 11 o 15.

La policy più rilevante in assoluto è AllowTelemetry, quando impostata al valore più restrittivo. In questa configurazione, Windows riduce la diagnostica al minimo indispensabile per la sicurezza del sistema, disabilitando di fatto la raccolta dei dati di utilizzo.

Conclusioni

ActivitiesCache.db rappresenta un esempio emblematico di come funzionalità apparentemente dismesse a livello di interfaccia possano continuare a esistere come componenti strutturali del sistema operativo Microsoft.

In Windows 11, il database non va interpretato come un residuo del passato, ma come parte di un’infrastruttura ancora attiva, seppur fortemente condizionata dalle impostazioni di telemetria, dalle policy di sistema e dal comportamento delle applicazioni.

Dal punto di vista forense, costituisce una fonte di supporto utile per contestualizzare le attività dell’utente nel tempo, mentre sotto il profilo della privacy evidenzia come la raccolta dei dati non sia sempre immediatamente visibile o intuitiva. La sua analisi, quindi, non serve solo a capire cosa Windows registra, ma anche quando e perché tali informazioni sono effettivamente generate o, al contrario, smettono di essere raccolte.