Filmati persi e telefoni sequestrati in ritardo: i file della tragedia di Crans-Montana si possono recuperare?

La notte della tragedia, le telecamere del Constellation si sono spente pochi minuti prima che l'incendio devastasse il locale. Durante la settimana, è emerso che anche le registrazioni di oltre 250 telecamere pubbliche di Crans-Montana sono state cancellate dopo il rogo. Parliamo di immagini che, in entrambi i casi, sarebbero potute essere cruciali nelle indagini. Ma non solo. Anche le fotografie postate sui social dei locali dei Moretti sono sparite dal web, quando gli appositi profili sono stati cancellati. E, ancora, il fatto che i coniugi abbiano dovuto consegnare i loro smartphone alle autorità solamente otto giorni dopo i fatti non fa che aumentare i dubbi su possibili contenuti – messaggi, chiamate, foto e video o dati sulla localizzazione – cancellati, fatti sparire, magari per nascondere qualcosa.

Sull'inchiesta di Crans-Montana ci sono ombre. Ma anche il materiale che sembra apparentemente perso potrebbe essere recuperato. Ne abbiamo parlato con Alessandro Trivilini,  esperto di sicurezza e informatica forense. 

Per capire come sia possibile risalire a file cancellati è opportuno inquadrare il discorso tecnico di recupero. «Ci sono due questioni: la prima è una questione di metodo. La seconda è una questione operativa di recupero eventuale di accesso ai contenuti cancellati, parzialmente cancellati, oppure disponibili, che avviene dopo aver definito il metodo», esordisce Trivilini. Per capire meglio come si procede in questi casi, partiamo con quanto successo con gli smartphone dei coniugi Moretti, sequestrati solo diversi giorni dopo i fatti. «Nell'informatica forense, come in questo caso, far passare 8 giorni prima di ritirare i telefoni è tanto. Questo perché, in un caso simile, la disponibilità dei dispositivi elettronici era immediata». In altre parole, l'infrastruttura non risiedeva in un altro Paese, per cui erano previste rogatorie. Tantomeno era infrastruttura di un server di un Paese intercontinentale. «Parliamo, invece, di dispositivi mobili che erano nelle tasche di persone che vivono e si trovano a disposizione e vicinissime al luogo in cui si stanno conducendo le indagini».

Per l'esperto, dunque, 8 giorni di attesa prima del sequestro degli smartphone non sono pochi. Ma si tratta, tuttavia, di un primo elemento. Una volta avvenuto il sequestro, entra in gioco quello che viene definito «metodo di movimento». In questi casi, nel momento in cui le autorità giudiziarie sequestrano i telefoni, si cristallizza il dispositivo e tutto ciò che c'è all'interno. «È come se venisse congelato: da quel momento in poi non escono e non entrano più dati. Quindi, viene fatta una copia forense, un'immagine bit a bit dei dispositivi affinché questi possano anche essere riconsegnati ai proprietari. Nel frattempo, però, tutto quello che c'è dentro in termini di dati – applicazioni, immagini, documenti, e così via – rimane a disposizione delle autorità giudiziarie». Ed è a questo punto che subentra il terzo elemento del metodo: con gli strumenti di informatica, molto avanzati, di cui sono dotate le autorità giudiziarie si accede a questa «immagine forense» del dispositivo. «Su mandato del procuratore, che ha in mano le indagini, tendenzialmente attraverso parole chiave specifiche, per evitare di violare la privacy del proprietario dello smartphone, si cercano i contenuti di cui si ha bisogno, entrando nella parte operativa», spiega Trivilini.

Ed è qui che inizia «il bello».  «Quando si trova un contenuto – il quarto elemento – tecnicamente è possibile ricostruirlo, dal momento che questi software hanno la capacità e l'intelligenza – anche artificiale –, con delle interpolazioni matematiche, per riuscirci. Nello specifico, si può trovare una traccia – che può essere anche un'immagine cancellata – rimasta a diversi livelli all'interno del dispositivo, o completamente o parzialmente». Come evidenzia l'esperto, questi strumenti possono trovare anche piccoli pezzi di tracce, se non addirittura, «la pistola fumante»: ossia l'immagine, specifica, che si sta cercando. «Questi strumenti sono in grado, tecnicamente, di ricostruire interamente o in parte gli elementi mancanti del contenuto», chiarisce Trivilini.

Entra quindi in gioco il quinto elemento nel metodo: quello della ricostruzione delle prove. Che, come sottolinea l'esperto, non avviene su una base soggettiva dello strumento, perché si basa su una logica di ricostruzione matematica, che è chiara e definita. «La si può spiegare perché il principio cardine fondamentale, quando si fanno analisi informatiche forensi di questo tipo è la riproducibilità delle prove. Un dato digitale, come un'immagine, un video o un documento, può essere utile e valido in sede probatoria se e solo se può essere riprodotto nel tempo, da qualsiasi perito, da qualsiasi strumento, seguendo un certo metodo riconosciuto e descritto». Ciò avviene secondo quanto prevede la norma internazionale ISO 27037 che segue anche la Svizzera, dedicata all'acquisizione e al trattamento delle prove nel campo digitale e forense. 

È proprio completando tutti questi passaggi che emerge, chiaramente, per quale motivo 8 giorni di attesa prima della consegna dei telefoni siano tanti. «L'immagine forense consentiva di liberare eventuali dispositivi se fossero stati necessari per altro, e quindi di non limitare le attività altrui. Con questi strumenti e il metodo si potevano ricostruire tutte le tracce come immagini che possono essere state cancellate o immagini disponibili. Ma anche tutta quella forma di backup, quindi di copia, di cui magari erano soggetti i contenuti perché erano stati messi su un cloud, come quello di Apple e Google». Tante persone, come sottolinea Trivilini, nel proprio smartphone hanno infatti contenuti che conservano su cloud che, anche in questo caso, viene cristallizzato. 

Sebbene il tempo trascorso dalla tragedia al sequestro degli smartphone sia stato troppo, non è comunque troppo tardi per recuperare informazioni cruciali dai dispositivi per l'inchiesta. «Una volta sequestrati i telefoni, si possono capire subito diverse cose, da un punto di vista digitale o investigativo. Come prima cosa, si vede se si tratta di un modello nuovo, recente, se è stato usato oppure no». In altre parole, come spiega Trivilini, analizzando il cellulare è possibile capire sia se sia stato resettato prima di essere consegnato, ma anche se si tratta di un nuovo dispositivo consegnato alle autorità dopo aver nascosto o buttato quello precedente. «Possiamo vedere se la SIM è stata attivata o quando è stata fatta l'installazione del sistema. Insomma, ci sono diversi elementi tecnici che consentono di capire se c'è stata una manipolazione "malintenzionata" nel resettare il telefono, come nel caso in cui fosse stato reinstallato da capo. E questa è una notizia, a livello investigativo». Basti pensare che, prima della tragedia, i Moretti avevano una vita, nella quale utilizzavano quotidianamente il loro smartphone. Proprio per questo motivo, «quando viene acquistato un nuovo dispositivo si capisce subito che non era parte della vita precedente all'incidente». 

E non è tutto. In alcuni casi, possono non emergere dettagli rilevanti sullo stato del telefono: al contempo, però, si possono trovare dati sulle applicazioni che sono state aperte e sui contenuti consultati del dispositivo. «Si tratta di metadati, di informazioni disponibili all'interno dello smartphone che "parlano", raccontano qualcosa. Se apro un'applicazione, infatti, viene registrato il momento in cui è successo, da che utente è stata manipolata, che cosa è stato fatto, per esempio una condivisione, oppure un invio. Tutte queste informazioni, anche dopo 8 giorni, sono disponibili nel tempo e si può vederne la cronologia». Per questo motivo, evidenzia Trivilini, anche se ci fosse stata una manipolazione o un tentativo di cancellazione di un contenuto, se non è palese nella sua totalità, alcune tracce si possono trovare facendo investigazioni di metodo precise. «Si può arrivare a trovare anche solo un frammento di traccia, di un'intenzione di cancellazione o di spostamento, che deve però essere riproducibile. Per questo motivo, si documenta: non si può inventare nulla e non si possono fare supposizioni soggettive: ci troviamo nel campo dell'oggettività». 

Da un lato, secondo l'esperto, questo ritardo nel sequestro degli smartphone può essere riconducibile al fatto che, nella lista delle priorità, la raccolta delle prove digitali era più in basso rispetto a quella di salvare le vittime. «In una procedura normale di un crimine, è grave che siano passati 8 giorni prima del sequestro degli smartphone, ma immagino abbiano voluto valutare il rischio di perdere informazioni o di non aver a disposizione gli strumenti, perché i telefoni erano a disposizione». Tuttavia, nel momento in cui vengono condotte queste indagini, la cosa importante è, come detto, seguire un metodo scientifico fondato sulla riproducibilità. «Chi si occupa di queste investigazioni digitali lo deve fare con un metodo ingegneristico, perché nei casi complessi, dove sono stati magari cancellati file, il software, per quanto evoluto e ben addestrato a ritrovare questi contenuti digitali, non basta. Perché non è lineare: l'architettura software di questi dispositivi è complesso. Basti pensare a quante applicazioni abbiamo dentro al nostro dispositivo, per ognuna delle quali, come detto, bisogna comunque tutelare la privacy dei proprietari».

Per questo motivo, un lavoro di questo tipo deve essere fatto da un inquirente di polizia, formato su questi strumenti, ma che a sua volta deve essere affiancato da un ingegnere che ha le conoscenze tecniche dell'architettura software, perché il software, da solo, potrebbe non trovare la cosiddetta «pistola fumante». Diversamente da quanto si possa pensare, infatti, i file non si recuperano infatti «premendo un bottone che in 30 secondi fa tutto». «Di metodo, in team, avendo competenze dell'architettura, delle reti, della privacy, dell'applicazione e di come gestiscono i dati e dove vengono contenuti nelle cartelle temporanee, si uniscono conoscenze utili». E, in questo modo, si scopre che qualcosa è stato cancellato, perché «c'è un'evidenza, un'azione registrata»: pur non avendo il contenuto originale, andando in alcuni luoghi del file system o del telefono è possibile trovare la traccia per cui l'immagine è passata di lì si può descrivere e documentare. «Un buon informatico forense deve affidarsi al metodo ingegneristico, e non solo ai tool esistenti, che sono solo un primo passo. Nei casi complessi e importanti come questo bisogna invece trovare la capillarità delle prove». 

Il discorso non è molto diverso per quanto concerne le telecamere di sorveglianza di cui, come detto, si sono perse o sono state cancellate diverse immagini. Negli scorsi giorni, come aveva riportato il quotidiano tedesco Bild, dalle prime indagini è emerso che le riprese delle telecamere di sorveglianza del Constellation si interrompono pochi minuti prima dello scoppio dell'incendio. «Anche in questo caso dobbiamo ragionare di metodo e di strumento», osserva Trivilini. «La prima cosa da fare, è verificare l'anzianità dell'impianto di sorveglianza, perché se è vecchio, arcaico o un po' obsoleto, cambiano le cose. Va anche verificato se si affida a un cloud per aver più spazio, se è dotato di intelligenza artificiale per proteggere, per esempio, la privacy, magari dei negozi o degli appartamenti vicini». Stratagemmi tecnici evoluti e moderni, questi, che un impianto oggi tendenzialmente possiede. 

Diventare cruciale, dunque, verificare le condizioni dell'impianto e, a quel punto, si aprono due strade. «Se è obsoleto, si può probabilmente capire il danno dal punto di vista tecnico, nei limiti che ha di funzionamento. Per esempio, potrebbe aver superato lo spazio disponibile, o magari non era aggiornato il sistema software. In quel caso, poteva essere vecchio ed essersi interrotto per fatalità, magari anche molto prima che ce ne si accorgesse». 

Le cose sarebbero leggermente diverse se ci si trovasse di fronte a un sistema moderno e recente. «In quel caso, si procederebbe con lo stesso metodo che abbiamo visto con gli smartphone. Quindi, si andrebbe a cristallizzare l'impianto, a cercare le cause, guardare gli ultimi accessi, chi è stato l'ultimo utente che ha attivato il sistema, eventualmente chi lo ha spento, che cosa ha causato il danno, se si tratta di un problema software oppure hardware». Una volta analizzata l'età dell'apparecchio, si può definire il metodo di analisi: se è aggiornato si segue lo stesso identico metodo dello smartphone, mentre se fosse obsoleto si deve risalire ad altri dati, come il tipo di sistema operativo che era attivo. «In questi casi si parla anche di responsabilità di gestione di chi possiede l'impianto: è inutile dotarsi di un sistema di sicurezza nel momento in cui è obsoleto e non è più aggiornato».

C'è, tuttavia, un altro aspetto importante da menzionare. Come evidenzia Trivilini, quando si parla di file cancellati e da recuperare, la questione si analizza dal punto di vista del metodo, perché «sul metodo non si può discutere». «Si riduce la parte di interpretazione, di complottismo, di scarico delle colpe sul metodo scientifico. Quando una cosa non si può fare, si spiega perché è così, con tutti gli elementi che abbiamo menzionato». 

Ma c'è di più. La cosa più importante di questo metodo è che è «universale». «È bene specificarlo, dal momento che in corso una crisi diplomatica tra Italia e Svizzera: il metodo che abbiamo descritto vale in tutto il mondo. In ogni Paese, poi, c'è l'interpretazione di una prova, che arriva nel momento in cui è riconosciuta come tale. In Svizzera, ogni Cantone può seguire le proprie linee guida, ma si deve basare su un metodo che sia riproducibile, perché se dovesse scambiare dati con altri Paesi non potrebbe fornirli manipolati a immagine e somiglianza». Come sottolinea l'esperto, al contrario, deve essere fornita la «ricetta completa» affinché un altro Paese, con i suoi periti, tecnici e giudici seguendo quel metodo arrivi allo stesso risultato. «In quel caso l'inchiesta diventa costruttiva, incrementale e collaborativa. Ma se non c'è un metodo scientifico, riproducibile, non funziona».