Paolo Reale: ICT & Digital Forensics Consulting

ICT & Digital Forensics Consulting

TABULATI, LOCALIZZAZIONI, INTERPRETAZIONI: TRE IMPORTANTI ED INSIDIOSE CASISTICHE

Pubblicato il: 21 Dicembre 2023 da Paolo Reale

Nell’ultimo numero della rivista “Sicurezza e Giustizia“, il n. III del 2023, ho pubblicato un articolo di approfondimento nell’ambito dell’analisi dei tabulati telefonici, che propongo qui di seguito. Per l’articolo nel formato pubblicato sulla rivista, qui è a disposizione il relativo pdf.

L’analisi dei tabulati di traffico telefonico, finalizzata a formulare ipotesi di geolocalizzazione dei terminali mobili di interesse, è molto spesso utilizzata nell’ambito delle investigazioni e dei procedimenti giudiziari. Ciò che, tuttavia, non è sempre chiaro è il limite intrinseco di questa analisi, ovvero i limiti di precisione e quindi l’errore commesso nella valutazione.

Partendo dal presupposto che l’area in cui offre copertura una determinata cella può raggiungere le decine e decine di chilometri quadrati, ne deriva che non sempre potrà avere carattere dirimente, anche se spesso si dimostra di grandissima utilità. Risulta quindi fondamentale adottare le opportune cautele, con grande scrupolo, al fine di evitare errori o interpretazioni non corrette, derivanti da una sottovalutazione di questo terreno, che nasconde facilmente delle insidie, se -soprattutto- non si presta attenzione ai limiti e alle particolarità delle differenti casistiche.

La sentenza della Corte di Cassazione penale sez. V – 14/02/2023, n. 12771

Un concetto importante, ampiamente esposto già in diversi articoli di questa rivista, è stato ripreso in modo puntuale nella sentenza qui citata, in alcuni passaggi addirittura con le medesime parole, in merito a quali sono i limiti di una ipotesi di localizzazione effettuata sulla base dell’aggancio di una cella telefonica. Di seguito si propone uno stralcio della sentenza:

Poiché, dunque, l’apparato radiomobile che aggancia una determinata cella può trovarsi in tutti i punti del territorio che ricadono all’interno di essa, la possibilità di identificare la sua posizione è strettamente collegata alla superficie di copertura della cella stessa: in altri termini, la precisione è maggiore se la cella è piccola (cella urbana), minore, se si tratta di una ‘macrocella’, tipica degli ambienti extraurbani.

A ciò dovendosi aggiungere che, in particolari condizioni di sovraccarico telefonico, è ben possibile che l’apparato telefonico mobile agganci una cella contigua alla porzione di territorio in cui si trovi, che risulti più libera.

Le indicazioni fornite dal segnale captato dalla cella non consentono, dunque, l’esatta localizzazione dell’utenza abbinata ad un apparecchio telefonico mobile, sussistendo margini di errore anche di centinaia di metri, se non di chilometri.

E’ vero che esistono situazioni e contesti in cui è possibile formulare delle valutazioni più precise in merito all’area di incertezza, che -in base alla configurazione delle celle, alla loro tipologia e peculiare tecnologia- può eventualmente essere ridotta o comunque costituire elemento probatorio utile, se non essenziale, nel procedimento. Ciò che, tuttavia, non può mai mancare, è che tale valutazione tecnica sia necessariamente corroborata da ulteriori elementi oggettivi, come p. es. la disponibilità di misure del campo elettromagnetico nei punti di interesse, o l’acquisizione delle mappe di copertura fornite dal gestore, o ancora l’analisi statistica del complessivo traffico disponibile, che offre comunque la possibilità di individuare abitudini negli spostamenti, o nelle celle maggiormente agganciate, o altro ancora che consente appunto di perfezionare gli spunti investigativi o le ipotesi in esame. In altre parole, quello che spesso viene proposto come sillogismo “ha agganciato la cella di via Rossi, e quindi l’utenza di trovava nel punto X”, che troppo spesso si rileva in annotazioni o consulenze, è in realtà una fallacia logica e tecnica!

Al limite si potrà parlare di mera compatibilità, e in alcuni casi neppure di quello, come p.es. se la cella di riferimento in questione è agganciata nella maggior parte del tempo in quanto vicina al luogo di dimora o di lavoro dell’utenza in esame, rendendo impossibile discriminare in modo scientifico qualsiasi altra posizione nella stessa area.

Celle di terze parti

Questa riflessione di cui sopra porta ad un secondo tema, particolarmente critico sotto il profilo del rischio di formulare ipotesi completamente errate. Nella fattispecie -in un caso giudiziario- la prova di accusa proveniente dal tabulato consisteva negli agganci di cella di una conversazione telefonica, indicati come prova del passaggio dell’imputato nel luogo di commissione del reato. Tuttavia, ad una disamina più attenta, tenendo in considerazione le posizioni e gli orientamenti delle celle agganciate all’inizio e alla fine della conversazione incriminata, si arrivava ad una situazione di evidente anomalia: la distanza delle celle agganciate, nel centro di una metropoli, e la breve durata della conversazione, rendevano fisicamente impossibile quella situazione: per poter realizzare uno spostamento tra le due aree coperte dai due siti radiomobili sarebbe stato necessario un elicottero!

Detta impossibilità, di fatto, è stata resa ancor più evidente una volta acquisite dal gestore le mappe di copertura delle celle rappresentate nel tabulato in corrispondenza di quell’evento. Un’ulteriore analisi del tabulato nel complessivo periodo disponibile, alla ricerca di eventuali ripetizioni di tale casistica ha consentito di individuare effettivamente altri eventi telefonici caratterizzati dalla stessa “impossibilità” di realizzazione, in considerazione sempre della distanza tra le celle indicate e il tempo minimo necessario per lo spostamento tra le due zone.

Nell’impossibilità di dirimere il punto, è stato formulato un apposito quesito al gestore telefonico, in modo da comprendere se si fosse in presenza di errori o altre casistiche.

E, in effetti, quella che è emersa è una casistica piuttosto insidiosa, non nota in generale e che probabilmente avrebbe dovuto essere gestita sul tabulato in modo differente, al fine di poterla individuare senza ambiguità: la risposta del gestore è che nella particolare città metropolitana erano stati attivati dei punti radianti (antenne) di un fornitore terzo, per offrire copertura outdoor, collegate a BTS (Stazioni Radio Base) situate in sale tecniche specifiche. Nel caso specifico si era proprio in questa situazione: un punto radiante, molto vicino al sito indicato come cella iniziale, ma “collegato” ad un’altra stazione base, quella indicata nel tabulato come cella finale. Che, quindi, non era stata proprio agganciata dal cellulare, pur risultando nel tabulato.

L’esito di questa verifica è particolarmente critico, in quanto il dato tecnico presente nel tabulato era -possiamo dire- “errato”, in quanto l’effettivo aggancio che sarebbe dovuto risultare sul tabulato era quello della cella di terze parti, con la sua effettiva posizione geografica, e non la BTS ‘fittiziamente collegata’ per esigenze probabilmente di gestione sui sistemi dell’operatore.

Anche questo approfondimento dovrebbe porre in guardia da una facile formulazione di geolocalizzazioni tramite le celle telefoniche: occorre sempre parlare di ipotesi di localizzazione, e proprio per tale ragione è quanto mai opportuno corroborare dette ipotesi con ulteriori rilievi investigativi, proprio per evitare errori come quello qui individuato, non senza difficoltà… Ovviamente il dubbio rimane per tutti gli altri casi giudiziari in cui questa evidenza tecnica non è emersa, e quindi l’interpretazione delle localizzazioni è risultata necessariamente errata!

Interpretazione dei dati provenienti dalle celle agganciate per traffico dati

E’ già noto, anche da quanto prodotto in precedenti articoli sul tema, come la verifica delle localizzazioni provenienti dai tabulati relativi al traffico dati siano a volte ambigui, di non immediata lettura, e quindi un esperto attento dovrebbe sempre cercare i dovuti riscontri in merito alla corretta interpretazione di tali dati.

Nella fattispecie qui approfondita, il gestore aveva già fornito alcune note tecniche utili a spiegare le corrette modalità di lettura in alcuni casi specifici, senza -probabilmente- adottare una modalità di spiegazione più generale, ovvero una sorta di “guida” alla lettura dei dati relativi a come interpretare correttamente le celle agganciate e i momenti di aggancio relativi.

Tale ambiguità ha creato, nell’ambito di un procedimento giudiziario, una difforme lettura dei dati provenienti dal tabulato del gestore in questione: l’interpretazione accusatoria prevedeva di non considerare affatto le celle indicate nel tabulato in corrispondenza di eventi di traffico dati di tipo “23” in cui la data e ora di inizio e di fine non coincideva. Di fatto, secondo tale interpretazione, nella porzione di tabulato in esame solo una cella poteva considerarsi certa, mentre le altre due sarebbero state da ignorare in quanto “incerte”, in netto contrasto con la lettura difensiva, che invece considerava tutte le celle come sicuramente agganciate.

Per tale palese discrepanza di interpretazione, è stato chiesto l’intervento del responsabile tecnico del gestore, tramite il quale è stato possibile dirimere il punto senza ambiguità ulteriori[1].

Nel tabulato ci sono degli eventi che entrano come se fossero degli eventi parziali: per consentire alla Polizia giudiziaria di associare nella corretta sequenza temporale gli eventi, e di associarli rispetto a quelli che sono i dati di geolocalizzazione, quindi all’informazione della zona cella rispetto ad altre tipologie di eventi presenti nel tabulato, affermiamo che sostanzialmente rispetto a cartellini di traffico che vengono generati da questa tipologia di traffico dati, quindi marcati nel tabulato come eventi di tipo 23, “assicuriamo la certezza della localizzazione (quindi del terminale in questo caso con all’interno la sim di riferimento), relativamente a quegli eventi di tipo 23 dove la data inizio e la data fine coincidono”, quindi in quel caso noi siamo in grado di associare, secondo appunto quelle che sono le specifiche del sistema, etc., e affermare con certezza che quell’utenza in quella data e ora era associata appunto in quella località servita da quel determinato apparato.

Poi ci sono tutta una serie di eventi dove nei cartellini non coincide la data e ora tra inizio e fine, che sono da considerarsi come se fossero degli eventi parziali, e quindi in questo caso possiamo dire che sì l’utente ha agganciato quella cella che si trova sul tabulato, ma non siamo temporalmente in grado di associare la cosa: questo però significa che, rispetto a data ora inizio e fine, in quell’arco temporale sicuramente ci sarà stato un fattore che ha consentito a quell’utente di agganciare quell’eventuale antenna, che magari può essere differente rispetto a quella certificata precedentemente.

In altre parole, nel caso di traffico dati, caratterizzato sul tabulato Vodafone come evento di tipo 23:

  • quando la data e ora di inizio e fine coincidono: la cella indicata è stata agganciata in quell’esatto istante;
  • quando la data e ora di inizio differisce dalla data e ora di fine: la cella indicata è stata certamente agganciata, sebbene non sia possibile individuare il momento certo, all’interno dell’intervallo temporale individuato dal cartellino, in cui è avvenuto l’aggancio di quella cella.

Nel secondo caso, in base a quanto è ridotto o esteso questo intervallo temporale, è facile comprendere come l’informazione di cella agganciata si possa rivelare essenziale nella ricostruzione della dinamica degli eventi, fornendo quindi degli elementi di valutazione ulteriori: se p.es. l’intervallo è di un minuto o poco più, la perfetta collocazione dell’aggancio della cella individuata nel tabulato non è un fattore critico sotto il profilo temporale, mentre può esserlo sotto il profilo geografico.

Conclusioni

E’ importante che gli esperti che analizzano i dati provenienti dai tabulati siano ben consapevoli delle tre situazioni analizzate in questo articolo, a prescindere dalla parte processuale per cui operano. Le localizzazioni che si fondano esclusivamente sui dati provenienti dal tabulato di traffico, quindi necessariamente a posteriori e limitatamente a quanto il tabulato fornisce, devono essere ben approfondite, nella consapevolezza che si tratterà sempre di ipotesi di localizzazione su un’area verosimilmente estesa.

Troppo spesso, infatti, la valutazione di localizzazione realizzata con questo strumento viene posta come elemento di certezza della presenza del terminale analizzato in uno specifico luogo: ciò può essere considerato attendibile qualora si abbiano anche dati come la localizzazione satellitare con GPS, o altre rilevazioni dotate di medesima precisione (p.es. telecamere), ma nel caso del solo tabulato sarà verosimilmente un dato approssimativo e con un errore di precisione tendenzialmente significativo.

Ciò non significa che non si possano avere situazioni in cui è possibile arrivare ad una precisione più elevata, ma un risultato di tale natura non può che discendere da un’attenta disamina dei dati: una migliore valutazione non potrà che contemplare adeguati approfondimenti, tramite le mappe di copertura, la valutazione dei tempi di percorrenza reali, le misure operate sul campo, l’analisi storica dei dati su un periodo adeguatamente ampio (per poter formulare anche valutazioni statistiche), e altro ancora.

In assenza di tali approfondimenti, le conclusioni assertive e apodittiche che si basano magari su un ‘unicum’ di un tabulato dovrebbero essere sempre “prese con le pinze”, adottando un doveroso spirito di analisi critica (scientifica) del dato, o -ancora meglio- fatte approfondire in una perizia in cui gli esperti possano esprimersi nel pieno contraddittorio.

[1] Si veda l’estratto del relativo verbale di udienza

Blog, mobile forensics, perizie informatiche, Senza categoria

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

*

*

*