Il caso Garlasco rivisto con gli occhi della Digital Forensics: cosa non ha funzionato e cosa possiamo imparare oggi

Introduzione

Il delitto di Garlasco, avvenuto il 13 agosto 2007, resta uno dei casi giudiziari più discussi degli ultimi vent’anni.

Oltre alla drammaticità dell’evento — l’omicidio di Chiara Poggi e la successiva condanna definitiva di Alberto Stasi nel 2015 — questo procedimento è diventato un punto di riferimento per chi si occupa di scienze forensi digitali.

Non tanto per le tecnologie impiegate, quanto per gli errori metodologici che hanno minato l’affidabilità probatoria della digital evidence, in un’epoca in cui la digital forensics in Italia era ancora poco conosciuta e scarsamente normata.

Come criminalista specializzato in digital forensics, ritengo che il “caso Garlasco” rappresenti una lezione fondamentale: dimostra che anche la prova digitale più promettente può perdere valore se non viene gestita con rigore tecnico e rispetto della catena di custodia.

Il contesto tecnologico e metodologico dell’epoca

Nel 2007 le tecniche di acquisizione informatica non erano ancora consolidate nei protocolli operativi delle Forze dell’Ordine.

Le procedure di duplicazione bit-a-bit, la creazione di hash di verifica e la documentazione dei metadati di sistema non erano standardizzati come oggi.
In molte indagini — e quella di Garlasco non fa eccezione — i dispositivi digitali venivano ispezionati direttamente, talvolta accesi e manipolati senza le dovute precauzioni, con conseguente alterazione irreversibile dei dati.

La consapevolezza che ogni singolo accesso, anche non intenzionale, può modificare i registri di sistema e corrompere tracce temporali, allora non era diffusa.
Oggi sappiamo che l’integrità è l’anima della prova digitale: senza un’acquisizione forense corretta, ogni successiva analisi perde significato scientifico.

Le criticità tecniche dell’indagine originaria

a) Il sequestro e la gestione del computer di Stasi

Il personal computer di Alberto Stasi venne consegnato spontaneamente ai Carabinieri il giorno successivo al delitto.
Tuttavia, l’attività tecnica successiva non rispettò pienamente le regole di acquisizione forense: furono installate periferiche USB, aperti file e cartelle, e addirittura svuotato il cestino.
Queste azioni, apparentemente innocue, determinarono una contaminazione della memoria e una modifica dei timestamp dei file, compromettendo l’autenticità dell’evidenza digitale.

I consulenti del RIS e quelli di parte evidenziarono inoltre che mancava un vero verbale di “sequestro informatico” e che le operazioni iniziali rientravano piuttosto nella categoria della ricognizione di cui agli artt. 359 e 360 c.p.p., non sufficiente a garantire la ripetibilità dell’accertamento.
Il risultato fu un computer di enorme rilevanza probatoria — quello che doveva dimostrare l’alibi di Stasi — ma reso inutilizzabile nella sua integrità.

b) L’alibi informatico e i limiti dell’analisi dei metadati

Secondo la difesa, Alberto Stasi aveva trascorso la mattina del 13 agosto al computer, lavorando alla sua tesi.
Le prime analisi mostrarono attività fino alle 10:17, ma da quel momento in poi non furono rilevati log riconducibili ad azioni umane.
Il consulente di parte sostenne che Stasi avesse continuato a scrivere in locale, ma che le operazioni dei carabinieri e la disattivazione automatica del sistema avessero cancellato le tracce.

Il collegio peritale, nominato successivamente, escluse però tale ipotesi, stabilendo che l’attività “umana consapevole” fosse cessata proprio alle 10:17.
Una conclusione che, tuttavia, si basava su dati potenzialmente alterati da accessi non controllati e interventi tecnicamente invasivi.

c) Violazioni di catena di custodia e perdita di integrità probatoria

Le perizie successive accertarono che sul computer di Stasi erano stati effettuati oltre 39.000 accessi e manipolazioni post-sequestro, con sovrascrittura di più di 1.500 file.
In pratica, la scena digitale era stata “calpestata” da una moltitudine di operatori e software non forensi.
Questo rese impossibile distinguere le tracce genuine da quelle indotte e costrinse gli inquirenti a fondare l’analisi su ricostruzioni parziali e deduttive.

Lezioni di digital forensics dal caso Garlasco

Il caso Garlasco dimostra che:

1. La digital evidence è un’entità fragile: anche un accesso improprio può comprometterne il valore probatorio.

2. Ogni dispositivo deve essere duplicato con strumenti certificati, calcolando gli hash di integrità (MD5, SHA-1, SHA-256).

3. Tutte le operazioni devono essere documentate, fotograficamente e nei log, con responsabilità nominative.

4. Il consulente tecnico deve lavorare su una copia forense, mai sull’originale.

5. La corretta conservazione dei reperti digitali è parte integrante della catena di custodia.

In mancanza di queste cautele, il rischio è duplice: l’imputato non può dimostrare la propria innocenza, e il Pubblico Ministero non può confermare con certezza la colpevolezza.

Il nuovo scenario: l’indagine su Andrea Sempio

Diciotto anni dopo, l’inchiesta su Garlasco è tornata d’attualità.
Nel 2025 la Procura di Pavia ha riaperto il fascicolo, iscrivendo Andrea Sempio — amico della vittima — nel registro degli indagati.
Il punto di partenza è l’“impronta 33”, rilevata originariamente ma rivalutata con nuove tecniche di biologia molecolare e scanner ottici ad altissima risoluzione, strumenti che nel 2007 non erano disponibili.
(Fonte: RaiNews, maggio 2025)

Le nuove tecnologie offrono potenzialità enormi, ma devono essere usate con cautela metodologica: la prova “rivitalizzata” dopo molti anni rischia di subire le stesse obiezioni di integrità che penalizzarono il materiale digitale di allora.
Catena di custodia, conservazione, validazione delle nuove metodiche: sono elementi essenziali per garantire che le conclusioni abbiano valore scientifico e giuridico.

Garlasco ieri e oggi: il valore della prova digitale

La digital forensics non è una disciplina accessoria, ma il cardine della moderna giustizia penale.
Ogni dispositivo elettronico — un computer, uno smartphone, una chiavetta USB — può contenere la differenza fra colpevolezza e innocenza.
Tuttavia, la tecnologia da sola non basta: serve metodo, documentazione e rispetto degli standard internazionali.

Il caso Garlasco insegna che senza rigore tecnico non c’è verità processuale, ma solo interpretazione.
Oggi, di fronte alle nuove indagini su Andrea Sempio, la comunità forense ha il dovere di applicare tutto ciò che l’esperienza passata ci ha insegnato: che la prova digitale è tanto potente quanto fragile, e che la scienza forense non ammette scorciatoie.

Conclusione

A distanza di quasi vent’anni, Garlasco continua a essere una lezione aperta.
Le tecnologie evolvono, ma la metodologia resta il vero discrimine tra scienza e opinione.
L’errore più grande dell’indagine originaria non fu tecnico, ma culturale: considerare il computer un oggetto “da consultare” e non un reperto irripetibile.
Oggi, come allora, la verità digitale richiede disciplina, formazione e rispetto della prova.
Solo così la scienza potrà davvero aiutare la giustizia.

✒️ Nota sull’autore

Domenico Moretta è criminalista forense, consulente tecnico specializzato in digital forensics, audio forense e trascrizioni giuridiche. Esperto in Diritto della Società Digitale. Autore di volumi divulgativi e professionali, affianca all’attività peritale un percorso di formazione universitaria in diritto della società digitale.
Con il progetto www.acquisizioneprovedigitali.it, promuove una cultura integrata tra scienze forensi e tutela dei diritti nell’ambiente digitale.

CLICCA QUI PER RICHIEDERE MAGGIORI INFORMAZIONI