Precedenti emblematici: il caso Mered e la sentenza di primo grado sul caso di Garlasco

Al pari delle altre prove scientifiche, la digital evidence esige di essere trattata con estrema cura e valutata con particolare attenzione. Il fatto che l’elemento probatorio sia il frutto di un procedimento scientifico non significa di per sé che sia sicuramente attendibile; o meglio, sebbene scientificamente attendibile, non dimostra automaticamente che un soggetto abbia realizzato una determinata condotta criminosa. Per fare un esempio, il rinvenimento di una traccia genetica in un luogo non vuol dire conseguenzialmente che il soggetto che l’ha lasciata abbia commesso il delitto ivi consumato. Costui potrebbe essere passato in quel luogo in un momento precedente o successivo, oppure la traccia genetica potrebbe esservi stata trasportata involontariamente da altri soggetti sui quali, per qualsiasi ragione, si era posata. Da questo esempio si comprende agevolmente il fattore da tenere sempre in considerazione quando ci si trova a trattare la prova scientifica, ovvero la contestualizzazione del reperto rinvenuto.

Ne deriva che anche il dato digitale estratto mediante acquisizione in copia forense vada valutato e contestualizzato all’interno dell’intero quadro investigativo, tenendo a mente che da un’errata analisi potrebbe scaturire un’erronea interpretazione del quadro probatorio nel suo complesso e, di conseguenza, un errore giudiziario.

Tra i casi giudiziari più recenti dove una scorretta interpretazione degli esiti delle operazioni di informatica forense ha rischiato di trasformarsi in un clamoroso errore giudiziario vi è il processo celebratosi presso la Corte d’Assise del Tribunale di Palermo nei confronti del cittadino eritreo Behre Medhanie Tasmafarian, noto alla cronaca giudiziaria come caso Mered^[1].

Una serie di errori investigativi avevano convinto le autorità britanniche a ritenere che Behre Medhanie Tasmafarian fosse in realtà il trafficante di migranti Medhanie Yehdego Mered detto “il generale”, ricercato dalle forze dell’ordine di diversi paesi.

Le errate intuizioni portavano nel 2016 all’arresto del cittadino eritreo mentre si trovava in Sudan e successivamente alla sua consegna mediante estradizione in Italia, dove veniva posto sotto custodia cautelare in carcere e quindi processato con l’accusa di tratta di esseri umani.

Le inesattezze investigative originavano dall’interpretazione di alcune frasi pronunciate dal Bhere, mentre comunicava col proprio telefono cellulare, parlando di viaggi migratori. Questa circostanza, unita all’omonimia tra il cittadino eritreo e il generale, induceva le forze britanniche ad inciampare nella convinzione che si trattasse della stessa persona. Seguiva il sequestro del dispositivo e la sua sottoposizione alla procedura di estrazione in copia forense, mediante la quale venivano clonate tutte le chat presenti sul dispositivo – quelle presenti sui social network comprese – tutti i file audio, video, immagine, i dati di navigazione internet e tutta la cronologia delle telefonate effettuate, sia tramite applicazione che sulla linea telefonica tradizionale^[2]. Tuttavia, ancora una volta, i dati estratti venivano fraintesi non facendo altro che avvalorare l’erronea tesi propugnata dall’accusa, in seguito smontata unicamente grazie alla prova genetica e agli esiti della perizia fonica che accertavano come si fosse trattato, in realtà, di soggetti diversi. Seguiva quindi, dopo tre anni di carcerazione preventiva, la sentenza assolutoria con la quale il Tribunale di Palermo stabiliva il non doversi procedere dopo aver accertato l’avvenuto scambio d’identità tra il cittadino eritreo coinvolto nel processo e il trafficante di migranti Medhanie Yehdego Mered.

Un altro caso emblematico, dove la digital forensics ha giocato un ruolo fondamentale, è il celebre “delitto di Garlasco”, relativo al tragico omicidi o di una giovane ragazza nell’omonima località della provincia pavese e dal quale è scaturito uno dei processi mediatici più seguiti dalla cronaca giudiziaria italiana.

Senza entrare nel merito della vicenda processuale, durata ben cinque gradi di giudizio con due pronunce della Suprema Corte e conclusasi con la condanna definitiva del fidanzato della vittima, è di interesse la pronuncia assolutoria di primo grado emessa dal Tribunale di Vigevano^[3], dove sono stati effettuati ampi ragionamenti in merito al valore attribuibile ad una prova informatica colpita da fenomeni contaminativi^[4].

Nel caso di specie, il reperto informatico attenzionato durante le indagini consisteva nel personal computer dell’imputato, utile al fine di stabilire l’attendibilità dell’alibi del medesimo durante la mattina in cui si era svolta l’azione delittuosa. Secondo la ricostruzione dell’imputato, infatti, durante i momenti in cui si consumava l’omicidio egli si sarebbe trovato nella propria abitazione, innanzi al proprio computer, intento a lavorare alla tesi di laurea.

L’analisi del dispositivo, una volta accertato che per motivi tecnici non sarebbe stato possibile un suo utilizzo sulla scena del crimine, si palesava dunque necessaria al fine della ricostruzione della timeline delle attività ivi compiute, al fine di stabilire se il dispositivo fosse stato realmente adoperato in orari compatibili con quelli dell’omicidio.

Si poneva, tuttavia, un problema di non poco conto: durante le prime fasi d’indagine la genuinità delle informazioni memorizzate nel computer era stata pesantemente compromessa. Come riportato in sentenza, «quando il reperto informatico veniva consegnato ai consulenti tecnici del pubblico ministero che procedevano all’effettuazione delle copie forensi dello stesso, i carabinieri accedevano ripetutamente e scorrettamente (senza l’utilizzo, cioè delle necessarie tecniche forensi di indagine) alla quasi totalità del contenuto del computer»^[5]. L’effettuazione di tali accessi, condotti senza il rispetto dei principi basilari dell’informatica forense già noti all’epoca delle indagini^[6], provocava «la sottrazione di contenuto informativo con riferimento al personal computer di Alberto Stasi pari al 73,8% dei files visibili (oltre 56.000) con riscontrati accessi su oltre 39.000 files, interventi di accesso su oltre 1500 files e creazione di oltre 500 files. Insomma interventi che hanno prodotto effetti devastanti in rapporto all’integrità complessiva dei supporti informatici (in questi termini si esprime il collegio peritale)», come si legge in un passaggio successivo «Si deve, dunque, ritenere che questa preliminare e sommaria attività investigativa è stata posta in essere secondo una metodologia sicuramente scorretta, disattendendo i protocolli già invalsi in materia (anche prima dell’entrata in vigore della legge citata) venendo, quindi, a costituire una causa di potenziale alterazione e dispersione del contenuto del documento informatico».

Alla luce dei danni arrecati al contenuto digitale del dispositivo, descritti come «devastanti», il giudice si trovava dunque innanzi alla necessità di comprendere se le informazioni in esso ricavabili potessero essere ugualmente utilizzabili in giudizio – e in caso positivo fino a che punto – oppure se, a prescindere, si fosse dovuta dichiararne l’inutilizzabilità.

Partendo dall’assunto che, nonostante gli accessi incauti dei primi investigatori, i consulenti dell’accusa riuscirono ugualmente a stabilire, con le immancabili incertezze del caso, una timeline delle operazioni del dispositivo^[7], in sentenza non è stata adottata una posizione di assoluto rifiuto nei confronti della prova informatica acquisita con le modalità sopra viste.

Il giudice, nel percorso logico che lo ha condotto alla decisione, ha operato una verifica degli elementi informatici incrociandoli con dati estratti da altri dispositivi elettronici. Sostanzialmente, l’attendibilità delle digital evidence estratte dal computer dell’imputato non è stata cercata unicamente all’interno delle stesse, bensì si è fatto ricorso ad elementi esterni ad esse per valutare se e in che modo tutte le risultanze, ad un esame incrociato, combaciassero tra loro.

In altre parole è stato fornito un giudizio di attendibilità della prova informatica, con conseguente conferma positiva circa la sua utilizzabilità processuale, ricorrendo ad altri elementi che in qualche modo, secondo il giudice, hanno consentito di dare conferma della genuinità delle informazioni estratte dal computer dell’imputato per quanto riguarda la linea temporale delle operazioni svolte.

Benché l’aver giudicato utilizzabile del materiale ottenuto con metodologie di acclarata scorrettezza procedurale desti sicuramente delle perplessità, si deve osservare come in ogni caso la pronuncia abbia il merito di aver chiarito come metodi investigativi non conformi alle logiche scientifiche possano comportare, nelle procedure di digital forensics, danni irreparabili alle evidenze informatiche, le quali, peraltro, necessitano di essere calate all’interno dell’intero quadro dell’indagine e non valutate in autonomia^[8].

Questo articolo è stato estratto dal white paper “La Digital forensics nel processo penale” disponibile in maniera libera e gratuita al seguente link: https://www.ictsecuritymagazine.com/pubblicazioni/digital-forensics-nel-processo-penale/

 

 

 

Note

^[1] Corte d’Assise del Tribunale di Palermo, Sent. del 12 luglio 2019.

^[2] Sulla questione si veda l’inchiesta dalla testata giornalistica online Irpimedia, “Errori giudiziari: come la prova tecnologica manda in carcere un innocente” realizzata ad opera di R. COLUCCINI, consultabile sul sito https://irpimedia.irpi.eu/prova-tecnologica-caso-mered/.

^[3] Tribunale di Vigevano, Sent. del 17 dicembre 2009.

^[4] Sullo stesso argomento si veda anche A. GAMMAROTA con relatore C. MAIOLI, “Informatica forense e processo penale: la prova digitale tra innovazione normativa e incertezze giurisprudenziali” [dissertation thesis], 2016, pp. 120 e ss., consultabile sul sito http://amsdottorato.unibo.it/7723/1/Gammarota_Antonio_tesi.pdf, opera dalla quale si sono prese le mosse per la disamina della questione.

^[5] Nel particolare le operazioni scorrette svolte dai carabinieri che per primi accedevano al dispositivo erano consistite in «sette (e non cinque come riferito) accessi al personal computer di Alberto Stasi; non corretta indicazione dell’avvenuta installazione ed utilizzo di diverse periferiche USB (oltre a quella correttamente indicata); non corretta indicazione dell’avvenuto accesso al disco esterno in uso ad Alberto Stasi; non corretta indicazione di accessi multipli al file della tesi di laurea in vari percorsi di memorizzazione dello stesso: si vedano sul punto i rilievi del collegio peritale tecnico/informatico».

^[6] Sul punto si deve tenere presente che, sebbene la sentenza risalga alla fine del 2009, le attività di indagine sul dispositivo si sono svolte in un periodo di poco successivo alla commissione del delitto, risalente all’estate del 2007, momento in cui la legge n. 48 del 2008 ancora non era entrata a far parte del nostro ordinamento. Tuttavia, la pronunci mette in chiaro come, nonostante la legge sia entrata in vigore in un momento successivo alle indagini, le metodologie tecniche proprie della digital forensics erano già invalse nella prassi delle attività investigative aventi ad oggetto reperti informatici.

^[7] Più precisamente in sentenza si legge: «Il complesso di queste alterazioni veniva rilevato anche dai consulenti tecnici del pubblico ministero (i Ris di Parma) nella loro successiva analisi. Pur tenendo conto di quanto sopra, i Ris, nella loro relazione tecnica e successive integrazioni e chiarimenti, concludevano sostanzialmente nel senso che il giorno 13 agosto 2007 il computer portatile di Alberto Stasi veniva acceso alle ore 9.36; quindi venivano aperte delle fotografie digitali fino alle ore 9.57 e dopo le ore 10.17 non sarebbero presenti tracce informatiche che comportino la presenza attiva di un utente che interagisce con il PC», tuttavia, il collegio peritale, sempre come indicato in sentenza, riusciva in ogni caso mediante l’estrazione dei metadati esterni al sistema operativo a stabilire «con certezza (e questo è un’evidenza probatoria non contestata dalle parti) l’interazione diretta e sostanzialmente continuativa dell’utente con il computer dalle ore 10.17 fino alle ore 12.20 del giorno 13 agosto».

^[8] Si veda A. GAMMAROTA, op. cit., pp. 136-138 dove, nonostante la sentenza sia ormai risalente nel tempo, si ritiene che «il percorso logico-argomentativo della sentenza appena ripercorsa si pone come moderno paradigma per la corretta valutazione dell’attendibilità dei dati, nonché della corretta interrelazione delle informazioni derivanti dai dispositivi digitali».

Articolo a cura di Francesco Lazzini