Του Αλέξη Μαύρου*
Υπάρχουν, όμως, και υποθέσεις που εξελίσσονται σε κοινωνικά και θεσμικά γεγονότα, προκαλώντας έντονες δημόσιες συζητήσεις, πολιτικές αντιπαραθέσεις και ισχυρές προσωπικές τοποθετήσεις. Η υπόθεση «Σάντη» υπήρξε αναμφίβολα μία από αυτές. Για μήνες η κυπριακή κοινωνία παρακολουθούσε μια σειρά σοβαρών ισχυρισμών που αφορούσαν επικοινωνίες, παρεμβάσεις στη Δικαιοσύνη, οικονομικές συναλλαγές, ταξίδια στο εξωτερικό, σχέσεις μεταξύ δημόσιων προσώπων και άλλα γεγονότα τα οποία, εάν αποδεικνύονταν αληθή, θα μπορούσαν να προκαλέσουν σοβαρές θεσμικές και πολιτικές συνέπειες.
Αποδείξεις
Σε τέτοιες περιπτώσεις η ένταση της δημόσιας συζήτησης δεν μπορεί να υποκαταστήσει την απόδειξη. Οι ισχυρισμοί οφείλουν να διερευνώνται. Η αλήθεια όμως δεν καθορίζεται από το πόσο συχνά επαναλαμβάνεται ένας ισχυρισμός αλλά από τα αποδεικτικά στοιχεία που τον υποστηρίζουν. Αυτό ακριβώς είναι το σημείο στο οποίο παρεμβαίνει η ψηφιακή εγκληματολογία.
Η επιστήμη των ψηφιακών ιχνών
Η ψηφιακή εγκληματολογία είναι η επιστήμη που συλλέγει, διατηρεί, αναλύει και παρουσιάζει ψηφιακά δεδομένα με σκοπό να διαπιστωθεί εάν συνέβη ένα γεγονός, πότε συνέβη και με ποιον τρόπο πραγματοποιήθηκε. Στον φυσικό κόσμο υπάρχουν δακτυλικά αποτυπώματα. Στον ψηφιακό κόσμο υπάρχουν metadata, application databases, system logs, cloud artefacts, backups, ιστορικά τοποθεσίας, δεδομένα τηλεπικοινωνιών και χιλιάδες άλλα τεχνικά ίχνη. Το σημαντικότερο χαρακτηριστικό των ψηφιακών δεδομένων είναι ότι δεν επηρεάζονται από πολιτικές αντιπαραθέσεις, κοινωνικές πιέσεις ή δημόσια αφηγήματα. Υπάρχουν ή δεν υπάρχουν. Και όταν υπάρχουν, αφήνουν πίσω τους ίχνη.
Ποιος, πώς, πότε
Η σύγχρονη ψηφιακή εγκληματολογία δεν εξετάζει μόνο το περιεχόμενο μιας επικοινωνίας. Εξετάζει το περιβάλλον μέσα στο οποίο δημιουργήθηκε. Ποια συσκευή χρησιμοποιήθηκε. Ποιος λογαριασμός ήταν συνδεδεμένος. Πότε δημιουργήθηκε. Πότε τροποποιήθηκε. Πότε διαγράφηκε. Ποια άλλα τεχνικά δεδομένα τη συνοδεύουν. Αυτός είναι ο λόγος που αποτελεί πλέον ένα από τα σημαντικότερα εργαλεία διερεύνησης σύνθετων υποθέσεων διεθνώς.
Η ανεξάρτητη πραγματογνωμοσύνη
Τον Απρίλιο του 2026 κλήθηκα να διενεργήσω ανεξάρτητη δικανική πραγματογνωμοσύνη για λογαριασμό του πρώην ευρωβουλευτή Δημήτρη Παπαδάκη. Η εντολή αφορούσε την τεχνική αξιολόγηση συγκεκριμένων επικοινωνιών που παρουσιάζονταν μέσω screenshots και σχετίζονταν με τους δημόσιους ισχυρισμούς της υπόθεσης. Για τον σκοπό αυτό εξετάστηκαν τρεις διαφορετικές κινητές συσκευές: μία Apple iPhone 11 Pro Max και δύο συσκευές Android διαφορετικών κατασκευαστών. Η δικανική απόκτηση και ανάλυση πραγματοποιήθηκε με τη χρήση τεσσάρων διαφορετικών πιστοποιημένων εργαλείων ψηφιακής εγκληματολογίας που χρησιμοποιούνται διεθνώς από αστυνομικές υπηρεσίες, κυβερνητικούς οργανισμούς και δικανικά εργαστήρια.
Ψηφιακό οικοσύστημα
Η εξέταση δεν περιορίστηκε στην αναζήτηση συγκεκριμένων μηνυμάτων. Αναλύθηκαν ενεργά δεδομένα, διαγραμμένα δεδομένα, βάσεις δεδομένων εφαρμογών επικοινωνίας, cloud artefacts, metadata, unallocated space, free space και πλήρη forensic timelines δραστηριότητας. Πραγματοποιήθηκαν επίσης στοχευμένες αναζητήσεις με βάση ονόματα, αριθμούς τηλεφώνου, usernames και περιεχόμενο σχετικό με τα εξεταζόμενα screenshots. Με απλά λόγια, δεν αναζητήθηκε μόνο ένα μήνυμα. Αναζητήθηκε ολόκληρο το ψηφιακό οικοσύστημα που θα αναμενόταν να συνοδεύει μία πραγματική επικοινωνία.
Screenshots
Γιατί τα screenshots δεν αποτελούν από μόνα τους απόδειξη; Ένα από τα σημαντικότερα διδάγματα τής υπόθεσης αφορά τη λανθασμένη αντίληψη ότι ένα screenshot ισοδυναμεί με αποδεικτικό στοιχείο. Στην πραγματικότητα ένα screenshot αποτελεί δευτερογενή απεικόνιση δεδομένων. Δεν περιλαμβάνει τα απαραίτητα τεχνικά μεταδεδομένα που θα επέτρεπαν την ανεξάρτητη επαλήθευση της προέλευσης, της ακεραιότητας και της χρονικής του συσχέτισης. Για αυτό ακριβώς η σύγχρονη ψηφιακή εγκληματολογία δεν σταματά ποτέ στην εικόνα. Αναζητά τα δεδομένα που βρίσκονται πίσω από την εικόνα. Αναζητά τις βάσεις δεδομένων. Αναζητά τα metadata. Αναζητά τα logs. Αναζητά τα cloud δεδομένα. Αναζητά τα ίχνη που αφήνει μια πραγματική επικοινωνία. Και όταν αυτά τα ίχνη απουσιάζουν, η απουσία τους αποτελεί επίσης σημαντικό τεχνικό εύρημα.
Τα ευρήματα της εξέτασης
Μετά την ολοκλήρωση της ανάλυσης, το συμπέρασμα της πραγματογνωμοσύνης ήταν σαφές. Δεν προέκυψε οποιοδήποτε σχετικό τεχνικό εύρημα ή ένδειξη που να υποστηρίζει ότι οι επίμαχες επικοινωνίες υπήρξαν, δημιουργήθηκαν, στάλθηκαν ή λήφθηκαν μέσω των εξεταζόμενων συσκευών. Το συμπέρασμα αυτό δεν βασίστηκε σε ένα μόνο τεχνικό στοιχείο. Βασίστηκε στη συνδυαστική αξιολόγηση ενεργών δεδομένων, διαγραμμένων δεδομένων, application databases, system logs, cloud artefacts, χρονικών συσχετίσεων και πολλαπλών ανεξάρτητων τεχνικών ευρημάτων. Επιπλέον εξετάστηκαν δεδομένα που σχετίζονταν με λογαριασμούς χρηστών και cloud υπηρεσίες, με σκοπό να διαπιστωθεί κατά πόσο υπήρχαν ενδείξεις χρήσης άλλων συσκευών συνδεδεμένων με τους ίδιους λογαριασμούς. Ούτε εκεί προέκυψαν σχετικά τεχνικά ευρήματα.
Απουσία ευρημάτων
Γιατί η απουσία ευρημάτων είναι και αυτή εύρημα; Ένα από τα συχνότερα λάθη που γίνονται στη δημόσια συζήτηση γύρω από μία δικανική διερεύνηση είναι η αντίληψη ότι η μη ανεύρεση ενός συγκεκριμένου στοιχείου δεν έχει αποδεικτική αξία. Συχνά ακούγεται το επιχείρημα: «Αφού δεν βρέθηκε το μήνυμα, μπορεί απλώς να διαγράφηκε» ή «Αφού δεν βρέθηκε το στοιχείο, δεν αποδεικνύεται τίποτα». Στην πραγματικότητα, η σύγχρονη ψηφιακή εγκληματολογία λειτουργεί με διαφορετικό τρόπο. Ο δικανικός αναλυτής δεν αναζητά μόνο το ίδιο το γεγονός. Αναζητά και τα ίχνη που θα αναμενόταν να αφήσει πίσω του το γεγονός αυτό.
Δευτερογενή ίχνη
Μία πραγματική επικοινωνία δεν δημιουργεί μόνο ένα μήνυμα. Δημιουργεί επαφές, βάσεις δεδομένων εφαρμογών, μεταδεδομένα, αρχεία καταγραφής, αντίγραφα ασφαλείας, cloud συγχρονισμούς, ειδοποιήσεις, χρονικές συσχετίσεις και δεκάδες άλλα τεχνικά artefacts. Ακόμη και όταν ένα μήνυμα διαγραφεί, συχνά παραμένουν δευτερογενή ίχνη τα οποία αποκαλύπτουν ότι η επικοινωνία υπήρξε. Αντίστοιχα, ένα πραγματικό ταξίδι στο εξωτερικό δεν αφήνει μόνο μία αεροπορική κράτηση. Αφήνει στοιχεία αφίξεων και αναχωρήσεων, διαβατηριακούς ελέγχους, δεδομένα αεροπορικών εταιρειών, κρατήσεις ξενοδοχείων, στοιχεία πληρωμών, δεδομένα τοποθεσίας και άλλες καταγραφές. Μία οικονομική συναλλαγή μεγάλου ύψους δεν αφήνει μόνο ένα έμβασμα. Αφήνει τραπεζικά ίχνη, λογιστικές εγγραφές, φορολογικές καταγραφές και κινήσεις λογαριασμών. Όταν μετά από εκτεταμένη διερεύνηση δεν εντοπίζεται ούτε το πρωτογενές στοιχείο ούτε τα αναμενόμενα δευτερογενή ίχνη, που θα έπρεπε να το συνοδεύουν, η απουσία αυτή αποκτά ιδιαίτερη σημασία. Στην επιστήμη της ψηφιακής εγκληματολογίας η απουσία αναμενόμενων ευρημάτων δεν θεωρείται απλώς έλλειψη πληροφορίας. Σε πολλές περιπτώσεις αποτελεί και η ίδια ένα σημαντικό εύρημα.
Όταν τα αφηγήματα συγκρούονται με τα δεδομένα
Η μεταγενέστερη διερεύνηση της Αστυνομίας είχε πολύ ευρύτερο πεδίο. Δεν αφορούσε μόνο την ψηφιακή εγκληματολογία. Περιέλαβε λήψη καταθέσεων, οικονομικές έρευνες, τραπεζικούς ελέγχους, τηλεπικοινωνιακά δεδομένα, κρατικά μητρώα, στοιχεία από το Αρχείο Πληθυσμού, ελέγχους στο Κτηματολόγιο, στον έφορο Εταιρειών, καθώς και διεθνή συνεργασία με τη Europol και το FBI.
Οι επίμαχες επικοινωνίες
Ένας τέτοιος ισχυρισμός μπορεί να επαληθευτεί μέσω κινητών συσκευών, εφαρμογών επικοινωνίας, cloud δεδομένων, τηλεπικοινωνιακών αρχείων και αντιγράφων ασφαλείας. Σύμφωνα με τα αποτελέσματα που παρουσιάστηκαν δημόσια, οι συγκεκριμένες επικοινωνίες δεν υποστηρίχθηκαν από τα τεχνικά ευρήματα.
Το παιδί «Ελπίδα»
Ένας τέτοιος ισχυρισμός αναμένεται να αφήσει ίχνη σε νοσοκομειακά αρχεία, ληξιαρχικές εγγραφές, πιστοποιητικά γέννησης ή θανάτου και κρατικές καταγραφές. Σύμφωνα με τις ανακοινώσεις των Αρχών, τα στοιχεία που εξετάστηκαν δεν επιβεβαίωσαν το αφήγημα που παρουσιάστηκε δημόσια.
Το ταξίδι στη Νίκαια
Η διερεύνηση ενός ταξιδιού στο εξωτερικό μπορεί να βασιστεί σε αεροπορικά δεδομένα, αρχεία αφίξεων και αναχωρήσεων, διαβατηριακούς ελέγχους και κρατήσεις. Σύμφωνα με την Αστυνομία, ο συγκεκριμένος ισχυρισμός δεν επιβεβαιώθηκε.
Η μετάβαση στη Γερμανία
Ένας ισχυρισμός περί διαμονής στο εξωτερικό μπορεί να διερευνηθεί μέσω μεταναστευτικών αρχείων, στοιχείων εργοδότησης, φορολογικών εγγραφών και τραπεζικών κινήσεων. Σύμφωνα με τα αποτελέσματα που παρουσιάστηκαν, ο ισχυρισμός αυτός δεν επιβεβαιώθηκε.
Το έμβασμα των €850.000
Οι οικονομικοί ισχυρισμοί είναι από τους πλέον αντικειμενικά ελέγξιμους. Τραπεζικά εμβάσματα, κινήσεις λογαριασμών και διεθνείς μεταφορές κεφαλαίων αφήνουν υποχρεωτικά ίχνη. Σύμφωνα με τις δημόσιες ανακοινώσεις, οι σχετικές οικονομικές έρευνες δεν επιβεβαίωσαν τον συγκεκριμένο ισχυρισμό.
Οι Ροδόσταυροι
Οι αναφορές που αφορούσαν τη συγκεκριμένη οργάνωση εξετάστηκαν μέσω καταθέσεων, οικονομικών στοιχείων και άλλων ερευνητικών ενεργειών. Σύμφωνα με τις ανακοινώσεις των Αρχών, τα ευρήματα δεν υποστήριξαν το αφήγημα που είχε παρουσιαστεί.
Οι διορισμοί και οι προσλήψεις
Οι σχετικοί ισχυρισμοί μπορούν να επαληθευτούν μέσω κρατικών μητρώων, αρχείων προσωπικού, αποφάσεων διορισμού και υπηρεσιακών φακέλων. Σύμφωνα με τα αποτελέσματα της διερεύνησης, οι συγκεκριμένοι ισχυρισμοί δεν επιβεβαιώθηκαν.
Τα ηχητικά αρχεία
Η γνησιότητα ενός ηχητικού μπορεί να αξιολογηθεί μέσω εξειδικευμένης δικανικής ανάλυσης ήχου, μεταδεδομένων, χρονικών συσχετίσεων και τεχνικών χαρακτηριστικών εγγραφής.
Όταν διαφορετικές έρευνες συγκλίνουν
Για εμένα προσωπικά, το σημαντικό στοιχείο δεν είναι ότι δύο διαφορετικές διαδικασίες κατέληξαν σε παρόμοια συμπεράσματα. Το σημαντικό στοιχείο είναι ότι οι διαδικασίες αυτές ήταν ανεξάρτητες. Διαφορετικοί εξεταστές. Διαφορετικά δεδομένα. Διαφορετικά στάδια διερεύνησης. Διαφορετικές μεθοδολογίες. Κι όμως, η κατεύθυνση των συμπερασμάτων φαίνεται να είναι κοινή. Αυτό ακριβώς είναι το χαρακτηριστικό της επιστήμης. Η επιστήμη είναι επαναλήψιμη. Όταν διαφορετικοί εξεταστές αναλύουν τα ίδια ή συναφή δεδομένα με ορθή μεθοδολογία οι πιθανότητες να καταλήξουν προς τα ίδια συμπεράσματα είναι ιδιαίτερα υψηλές.
Τι μας δίδαξε η υπόθεση
Η υπόθεση «Σάντη» θα μείνει πιθανότατα στην Ιστορία όχι μόνο για τη δημοσιότητα που έλαβε αλλά και ως χαρακτηριστικό παράδειγμα της σημασίας της ψηφιακής εγκληματολογίας στη σύγχρονη εποχή. Μας υπενθύμισε ότι τα screenshots δεν αποτελούν από μόνα τους απόδειξη. Μας υπενθύμισε ότι οι ισχυρισμοί πρέπει να εξετάζονται. Μας υπενθύμισε ότι τα ψηφιακά δεδομένα αφήνουν ίχνη. Και κυρίως μας υπενθύμισε ότι η αναζήτηση της αλήθειας απαιτεί υπομονή, τεχνική κατάρτιση και επιστημονική μεθοδολογία. Οι ισχυρισμοί μπορεί να είναι εντυπωσιακοί. Οι αποδείξεις όμως είναι εκείνες που τελικά καθορίζουν την πραγματικότητα.
* MSc Digital Investigations & Forensic Computing CFCE – Certified Forensic Computer Examiner, δικανικός αναλυτής ψηφιακών δεδομένων
