Il caso della PEC che "non era mai stata letta": una perizia informatica che ha cambiato il corso del procedimento

Come l'analisi forense di un computer e delle evidenze digitali ha consentito di ricostruire la verità dietro una comunicazione PEC contestata

Nel corso della mia attività come Perito Informatico nominato dall'Autorità Giudiziaria mi è capitato di affrontare casi nei quali una semplice domanda ha richiesto settimane di lavoro, centinaia di verifiche e l'analisi approfondita di numerose evidenze digitali.

Uno di questi riguardava una Posta Elettronica Certificata.

A prima vista sembrava una questione relativamente semplice.

Una persona sosteneva di non aver mai letto una PEC contenente informazioni particolarmente rilevanti per il procedimento penale in corso.

La posizione assunta era chiara:

"Non ho mai aperto quella comunicazione e non sono mai venuto a conoscenza del suo contenuto."

La controparte sosteneva invece che il messaggio fosse stato ricevuto e consultato regolarmente.

Alla luce delle contestazioni emerse, il Giudice ritenne necessario disporre una perizia informatica per accertare i fatti dal punto di vista tecnico.

Fu così che venni nominato Perito.

L'incarico del Giudice

Durante il conferimento dell'incarico mi vennero messi a disposizione gli atti del procedimento e tutta la documentazione disponibile.

Tra i documenti acquisiti figuravano:

• ricevute di accettazione della PEC;

• ricevute di consegna;

• documentazione del gestore PEC;

• estratti dei log disponibili;

• il computer in uso al soggetto interessato;

• documentazione prodotta dalle parti.

Il quesito era sostanzialmente uno:

Verificare se esistessero elementi tecnici in grado di dimostrare o escludere l'effettiva presa visione della comunicazione PEC contestata.

L'acquisizione forense del computer

Come avviene in ogni attività di informatica forense, il primo passo fu l'acquisizione del dispositivo.

Il computer venne sottoposto ad una copia forense integrale.

L'operazione consentì di preservare integralmente il contenuto del disco senza alterarne minimamente i dati.

Furono generati gli hash di verifica e venne creata una copia di lavoro sulla quale effettuare tutte le analisi successive.

L'originale venne immediatamente conservato per garantire la ripetibilità degli accertamenti.

Le prime verifiche

Iniziai quindi ad analizzare il sistema.

Vennero esaminate:

• cronologia dei browser;

• file temporanei;

• cache di navigazione;

• cartelle download;

• documenti aperti;

• registri di sistema;

• software di posta elettronica eventualmente installati.

Dopo le prime ore di attività emersero alcuni elementi interessanti.

Nei giorni immediatamente successivi alla consegna della PEC risultavano infatti accessi al portale del gestore di posta certificata.

Si trattava di un dato importante, ma non ancora sufficiente.

Accedere ad una casella PEC non significa necessariamente aver aperto uno specifico messaggio.

Il ritrovamento degli allegati

L'indagine proseguì.

Analizzando il file system del computer emersero alcuni documenti presenti nella cartella Download.

Le date di creazione risultavano compatibili con il periodo oggetto di contestazione, ma ciò che attirò particolarmente l'attenzione fu un altro dettaglio. Alcuni di quei documenti presentavano metadati compatibili con una successiva apertura da parte dell'utente.

In altre parole, non risultavano semplicemente scaricati. Risultavano utilizzati.

La ricostruzione della timeline

A quel punto decisi di costruire una timeline completa degli eventi.

Vennero correlati:

• orario di consegna della PEC;

• accessi alla casella certificata;

• download degli allegati;

• aperture dei documenti;

• attività registrate dal sistema operativo.

Man mano che gli elementi venivano inseriti nella sequenza temporale, il quadro diveniva sempre più chiaro.

Ogni singola evidenza, presa isolatamente, poteva essere oggetto di interpretazioni differenti.

Tutte insieme, invece, raccontavano una storia estremamente coerente.

Le conclusioni della perizia

Al termine delle attività peritali depositai la relazione tecnica presso l'Autorità Giudiziaria.

Le evidenze raccolte consentivano di affermare che:

• la PEC era stata correttamente consegnata;

• la casella risultava accessibile dall'utente nel periodo contestato;

• gli allegati presenti nella comunicazione erano stati scaricati sul computer;

• alcuni documenti risultavano successivamente aperti e consultati.

Pur non esistendo un elemento univoco che certificasse materialmente il clic sul singolo messaggio, l'insieme delle evidenze tecniche risultava fortemente compatibile con l'effettiva presa visione della comunicazione e dei relativi allegati.

L'esito del procedimento

Le conclusioni della perizia vennero acquisite agli atti del procedimento.

L'Autorità Giudiziaria ritenne le evidenze tecniche emerse particolarmente significative ai fini della ricostruzione dei fatti.

La tesi secondo cui il destinatario non fosse mai venuto a conoscenza della comunicazione risultò incompatibile con le tracce digitali rinvenute durante le attività peritali.

La perizia contribuì quindi in maniera determinante all'accertamento della vicenda e alla successiva definizione del procedimento.

Cosa insegna questo caso

Questo caso rappresenta un esempio concreto di quanto possano essere importanti le evidenze digitali all'interno di un processo.

Molte persone immaginano che l'informatica forense si limiti al recupero di file cancellati o all'analisi di smartphone.

In realtà gran parte del lavoro consiste nel ricostruire eventi attraverso centinaia di piccole tracce apparentemente insignificanti.

Un accesso ad una casella di posta, un file scaricato, un documento aperto, una registrazione temporale. Presi singolarmente hanno poco valore. Correlati tra loro possono invece raccontare una storia estremamente precisa.

Ed è proprio questo il compito che il Giudice affida al Perito Informatico: trasformare le tracce digitali in elementi tecnici oggettivi, verificabili e comprensibili, affinché possano contribuire all'accertamento della verità processuale.

Spero che questo racconto possa aver aiutato a comprendere meglio cosa accade dietro le quinte di una perizia informatica e quale sia il ruolo dell'informatica forense nei moderni procedimenti giudiziari.