Paper. What i write

La diffusione pervasiva delle tecnologie informatiche e telematiche ha moltiplicato le situazioni in cui le tracce digitali assumono valore probatorio, tanto per dimostrare la responsabilità dell'indagato quanto, all'opposto, per provarne l'estraneità. Il lavoro distingue due scenari: i casi in cui l'attività informatica ha contribuito all'accertamento della verità e quelli in cui, mediante tecniche di anti-forensics, è stato possibile precostituire artatamente un alibi.

"Alibi" è un avverbio latino che significa "altrove": è un'allegazione difensiva volta a dimostrare che l'imputato si trovava in un luogo diverso, o che comunque non avrebbe potuto commettere il fatto. Va distinto dalle cause di giustificazione (scriminanti): l'alibi conduce all'assoluzione "per non aver commesso il fatto", mentre la scriminante porta alla formula "perché il fatto non costituisce reato". Si tratta di una prova logico-fattuale controdeduttiva: alla difesa basta renderlo ragionevole e coerente, tale da impedire all'accusa di raggiungere la soglia dell'"oltre ogni ragionevole dubbio". È cruciale la distinzione tra alibi fallito (semplicemente non dimostrato, e dunque processualmente neutro) e alibi falso (artatamente preordinato): quest'ultimo può valere contro l'imputato solo se inserito in un quadro probatorio sfavorevole più ampio e in presenza di certezza sulla sua falsità.

Geri (presunto "telefonista" delle Brigate Rosse nell'omicidio D'Antona), scagionato grazie all'analisi di file su floppy disk; Bradford, rapina a New York smentita da un aggiornamento Facebook effettuato da un IP riconducibile all'abitazione del padre a Harlem; Stasi (Garlasco), assolto poiché l'analisi dei metadati lo collocò davanti al computer portatile nonostante gli errori di repertamento; Sollecito (omicidio Kercher), il cui alibi cadde per l'inattività del notebook nella finestra critica; Plude (USA), con alibi ritenuto non credibile perché l'accesso alla pagina web risultò artefatto.

Gli autori propongono uno schema mutuato dalla regola delle 5 W: Chi (Quis), Cosa (Quid), Quando, Dove (Ubi), Perché (Cur), Quanto (Quantum), In che modo (Quomodo), Con quali mezzi (Quibus Auxiliis).

In base alla variabile tempo, gli alibi si dividono in quelli generati durante l'evento criminoso e quelli creati in un momento diverso. Ne derivano sei fattispecie (A–F): tracce generate da remoto; simulazione automatizzata dell'uso in presenza; registrazione da parte di terzi o sistemi automatici; azione di un complice; creazione ex novo; riutilizzo di una traccia esistente con alterazione dei riferimenti temporali.

La timeline è la "fotografia" cronologica degli eventi di creazione, ultimo accesso e ultima modifica su file e directory. Si citano mactime e fls di The Sleuth Kit (Brian Carrier), con le cautele sulla sincronizzazione via NTP e una legenda dei tempi MAC per i diversi file system.

Quattro proprietà rendono le tecnologie idonee a costruire alibi: immaterialità, anonimato, virtualizzazione e mediazione tecnologica. Seguono quattro simulazioni di laboratorio: connessione remota tramite KVM over IP; controllo remoto via software portable (TeamViewer Portable) con successivo wiping tramite CCleaner; automazione dell'uso mediante scripting (AutoIt); creazione di prove ex novo mediante modifica della data del BIOS.

La digital forensics è una scienza recente (riconosciuta dall'AAFS nel febbraio 2009) e in rapida evoluzione; vengono richiamati il Daubert test e la rule 702 delle Federal Rules of Evidence. Gli autori segnalano il rischio che il giudice (peritus peritorum) non sia in grado di valutare criticamente il report del consulente. Il principio cardine: una traccia informatica nasce come mero indizio e, per assurgere a prova, necessita di riscontri ulteriori attraverso "catene di relazioni" e indagini tradizionali; anonimato e manipolabilità dei riferimenti temporali ne restano i punti deboli.