Copia forense di un sito web: cos’è, come si fa e valore legale

Avvocati, CTU, investigatori e team di compliance si trovano spesso nella stessa situazione: devono acquisire prove digitali da pagine web. Un post diffamatorio su un social, un annuncio ingannevole di un concorrente, una clausola contrattuale modificata su un portale. Il contenuto è online oggi, domani potrebbe sparire. La reazione istintiva è fare uno screenshot o cercare la pagina nell’archivio della Wayback Machine. Il problema? Nessuno dei due metodi produce una copia forense con integrità verificabile. Uno screenshot è un file immagine senza metadati certificati, modificabile con qualsiasi editor grafico. La Wayback Machine non offre catena di custodia, non applica marca temporale qualificata e, come stabilito dalla giurisprudenza statunitense (Weinhoffer v. Davie Shoring, 5th Circuit), richiede autenticazione aggiuntiva per essere ammessa come prova. Per ottenere pieno valore legale in tribunale, la copia forense di un sito web deve seguire un percorso diverso: acquisizione conforme allo standard ISO/IEC 27037, catena di custodia integra, sigillo digitale qualificato e marca temporale. Il Forensic Browser di TrueScreen rende questo processo accessibile anche a chi non ha competenze di informatica forense.

Questo approfondimento fa parte della guida: Forensic Browser

Cos’è una copia forense di un sito web: definizione

La copia forense (detta anche immagine forense o bit-stream image) è la riproduzione integrale e certificata di una pagina web, comprensiva di codice HTML, risorse multimediali, metadati, header HTTP e traffico di rete. A differenza di un semplice salvataggio, viene eseguita con strumenti conformi allo standard ISO/IEC 27037 e sigillata con hash crittografico SHA-512 e marca temporale qualificata. Il risultato è un pacchetto probatorio opponibile in sede giudiziaria.

Screenshot, Wayback Machine e copia forense: tre approcci a confronto

Cos’è una copia forense di un sito web? La replica integrale di una pagina, comprensiva di DOM, risorse caricate, traffico di rete e metadati tecnici, acquisita con strumenti che ne garantiscono integrità e riferibilità temporale. Non una copia autentica della pagina web nel senso notarile, ma un’acquisizione forense di pagine web che preserva ogni elemento tecnico necessario a dimostrarne l’autenticità in sede giudiziaria. Il mercato della digital forensics vale 15 miliardi di dollari nel 2025, con crescita annua del 12% verso i 22,8 miliardi nel 2030 (MarketsandMarkets). La gestione delle evidenze digitali segue lo stesso andamento: 8,7 miliardi nel 2024, proiezione a 17,3 miliardi entro il 2030 (IMARC Group). Le indagini su crimini digitali sono aumentate del 44% nell’ultimo anno (Axon 2026 Digital Evidence Trends). Con questi volumi, la differenza tra un’acquisizione valida e una contestabile determina spesso l’esito di un procedimento: chi presenta prove digitali in tribunale senza catena di custodia digitale rischia di vederle escluse o ridimensionate.

Perché uno screenshot non basta in tribunale

La Corte di Cassazione, con la sentenza 34212/2024, ha riconosciuto gli screenshot come prova documentale ai sensi dell’art. 234 c.p.p. Ma questo non li rende incontestabili. L’art. 2712 del Codice Civile stabilisce che le riproduzioni meccaniche formano piena prova solo se non vengono specificamente disconosciute dalla controparte. Lo screenshot come prova non ha hash crittografico, non registra i metadati di rete, non certifica il momento dell’acquisizione con marca temporale qualificata. Il valore legale dello screenshot resta quindi debole: basta che la controparte contesti l’autenticità per ridurne il peso probatorio in modo drastico.

I limiti della Wayback Machine come prova legale

La Wayback Machine come prova legale ha limiti che vanno oltre la mancanza di certificazione. Non cattura contenuti dinamici generati da JavaScript, ignora le pagine protette da login, non registra cookie né sessioni utente. Il 5th Circuit statunitense, nel caso Weinhoffer v. Davie Shoring, ha negato la judicial notice per i contenuti archiviati, richiedendo forme aggiuntive di autenticazione. La Cassazione italiana ha chiarito fin dal 2003 che la stampa di una pagina web priva di garanzie di rispondenza e riferibilità temporale non ha valore di prova. Chi si affida alla Wayback Machine presenta al giudice un documento senza catena di custodia, senza firma digitale, senza marca temporale qualificata.

Criterio Screenshot Wayback Machine Copia forense certificata
Hash crittografico Assente Assente SHA-512 per ogni elemento
Catena di custodia Non garantita Non garantita Integra e verificabile
Marca temporale Metadato modificabile Data di crawl, non certificata Marca temporale qualificata (QTSP)
Firma digitale Assente Assente Sigillo qualificato eIDAS
Contenuti dinamici Solo immagine statica Non catturati DOM live + HTML originale + MHTML
Traffico di rete Non registrato Non registrato HAR + PCAP completi
Valore probatorio Contestabile (art. 2712 c.c.) Richiede autenticazione aggiuntiva Pieno valore ex art. 20 CAD
Certificazione pagine web TrueScreen

Funzionalità

How to Certify a Web Page with Legal Value

Scopri come TrueScreen certifica pagine web con sigillo eIDAS e marca temporale qualificata.

Scopri di più →

Come si esegue una copia forense di una pagina web

La copia forense di una pagina web non è un salvataggio. È un processo che deve rispettare requisiti precisi per produrre un’evidenza digitale ammissibile in giudizio. La Legge 48/2008, che ha ratificato la Convenzione di Budapest sulla criminalità informatica, stabilisce che l’acquisizione deve avvenire con strumenti validati, producendo una copia identica all’originale, senza alterare il dato e dimostrando la sua non alterabilità successiva.

Requisiti tecnici secondo ISO/IEC 27037

Lo standard ISO/IEC 27037:2012 prevede quattro fasi per la gestione delle evidenze digitali: identificazione, raccolta, acquisizione e conservazione. Ogni fase richiede documentazione completa e tracciabilità delle operazioni. Nella fase di identificazione si determina quali elementi della pagina web costituiscono potenziale evidenza. La raccolta riguarda la messa in sicurezza dell’ambiente di acquisizione forense dei siti web. L’acquisizione vera e propria cattura l’intero ambiente tecnico: DOM, risorse caricate, protocollo TLS, certificati SSL, risoluzione DNS, cookie e traffico di rete. Non basta catturare il contenuto visibile: serve un browser forense che registri ogni interazione tra client e server. Ogni elemento va hashato individualmente per garantirne l’integrità. La conservazione richiede che l’intero pacchetto sia sigillato con marca temporale qualificata emessa da un prestatore di servizi fiduciari qualificato (QTSP) secondo il regolamento eIDAS. Il sigillo garantisce la non alterabilità del dato nel tempo.

In Italia, la Legge 48/2008 (ratifica della Convenzione di Budapest sul cybercrime) ha modificato gli articoli 244, 247, 352, 354 e 360 del codice di procedura penale, introducendo l’obbligo di adottare misure tecniche che assicurino la conservazione dei dati originali e ne impediscano l’alterazione durante l’acquisizione. Questo quadro normativo rende la copia forense lo standard probatorio di riferimento per qualsiasi evidenza digitale presentata in giudizio, sia in sede civile che penale.

Cosa deve contenere una copia forense completa

Una copia forense completa di una pagina web, conforme alla Legge 48/2008 e allo standard ISO 27037, comprende: screenshot del viewport e della pagina intera, codice HTML nella versione live e in quella originale del server, archivio MHTML, registro completo del traffico HTTP (formato HAR) e del traffico di rete raw (formato PCAP), certificati SSL con catena completa in formato PEM, risoluzione DNS, analisi del protocollo TLS, rilevamento di VPN/proxy/Tor, verifica temporale NTP su server indipendenti e hash SHA-512 di ogni singolo elemento acquisito. La catena di custodia va documentata dalla prima interazione fino alla conservazione finale.

TrueScreen Forensic Browser

Funzionalità

Forensic Browser

Naviga, cattura e certifica pagine web con integrità forense e valore legale.

Scopri di più →

Quando serve una copia forense di un sito web

L’acquisizione forense di pagine web è richiesta in numerosi procedimenti giudiziari: diffamazione online, contraffazione di prodotti su marketplace, violazione di marchi e proprietà intellettuale, cyberbullismo, stalking, revenge porn, frode commerciale e concorrenza sleale. In ambito civile, è frequente anche in contenziosi contrattuali per documentare accordi via email o chat, e in ricorsi amministrativi per impugnare bandi pubblicati online. Strumenti tradizionali come FAW o HTTrack richiedono installazione locale e competenze tecniche specifiche. Il Forensic Browser di TrueScreen rende invece l’acquisizione forense accessibile a qualsiasi professionista, generando automaticamente un report certificato con catena di custodia completa.

TrueScreen Forensic Browser: acquisizione forense certificata per tutti

Fino a poco tempo fa, acquisire forensicamente una pagina web richiedeva competenze tecniche specialistiche, strumenti costosi e procedure manuali lunghe. Il Forensic Browser di TrueScreen, the Data Authenticity Platform, elimina questa barriera. È un’applicazione desktop per macOS e Windows con cui navigare qualsiasi sito web e acquisire pagine con integrità forense, anche senza conoscenze specialistiche. L’output è un pacchetto ZIP strutturato con media, DOM, web archive e dati forensi in formato JSON, firmato RSA-2048 e sigillato con seal qualificato eIDAS più timestamp qualificato da QTSP. Il report finale viene generato in PDF, JSON e XML.

Come funziona il processo di acquisizione

Il Forensic Browser prevede due modalità. Con Page Screenshots cattura screenshot del viewport e della pagina completa, HTML live e originale del server, archivio MHTML, cookie, browser fingerprint e verifiche di integrità del DOM: ogni screenshot viene hashato SHA-512. Con Video Recording registra la navigazione in continuo a 16 fps con audio e permette snapshot on-demand durante la sessione. In entrambi i casi vengono acquisiti automaticamente tutti i metadati forensi: IP dell’operatore a inizio e fine sessione, rilevamento VPN/proxy/Tor, risoluzione DNS, analisi TLS, rilevamento macchina virtuale, traffico HTTP e di rete completo, certificati SSL con catena PEM.

Conformità eIDAS e valore legale in tutta Europa

Il sigillo elettronico qualificato eIDAS garantisce origine e integrità del documento con presunzione legale in tutti i 27 Stati membri dell’Unione Europea. L’art. 42 del regolamento eIDAS attribuisce al timestamp qualificato la presunzione di accuratezza della data. Una copia forense realizzata con il Forensic Browser ha quindi pieno valore legale ai sensi dell’art. 20 del CAD, senza bisogno di perizie aggiuntive per dimostrare l’integrità del dato. Il sigillo eIDAS e la conformità ISO 27037 restano il riferimento normativo più solido per le prove digitali ammissibili e per la certificazione di pagine web con valore legale anche in ambito internazionale.

FAQ: domande frequenti sulla copia forense di siti web

Uno screenshot di una pagina web ha valore legale in tribunale?
Sì, ma con limiti concreti. La Cassazione (sentenza 34212/2024) lo riconosce come prova documentale, però l’art. 2712 c.c. consente alla controparte di disconoscerlo. Senza hash crittografico, marca temporale qualificata e catena di custodia, il peso probatorio resta esposto a contestazioni. Una copia forense certificata elimina questo rischio.
Come si esegue una copia forense di un sito web?
Serve uno strumento conforme allo standard ISO/IEC 27037 che catturi il contenuto visibile, il codice sorgente, il traffico di rete, i certificati SSL e i metadati tecnici. Ogni elemento va hashato singolarmente (SHA-512), e l’intero pacchetto va sigillato con marca temporale qualificata e firma digitale. Il Forensic Browser di TrueScreen automatizza l’intero processo.
Qual è la differenza tra salvare una pagina e acquisirla forensicamente?
Salvare una pagina (Ctrl+S, PDF, Wayback Machine) produce un file senza garanzie di integrità: il contenuto può essere modificato, manca la riferibilità temporale certificata, non esiste catena di custodia. L’acquisizione forense cattura invece l’intera pagina con tutti i metadati tecnici, applica hash crittografici a ogni elemento e sigilla il pacchetto con marca temporale qualificata e firma digitale. Il risultato è un’evidenza legalmente opponibile.
La copia forense di una pagina web è un atto irripetibile?
Generalmente no. La Cassazione ha stabilito che la copia forense non è di per sé un accertamento tecnico irripetibile ai sensi dell’art. 360 c.p.p., poiché l’operazione può essere ripetuta. Tuttavia, la volatilità dei contenuti web rende la tempestività un fattore critico: se la pagina viene modificata o rimossa dopo l’acquisizione, quell’operazione specifica diventa di fatto irripetibile. Per questo è fondamentale procedere con urgenza e documentare ogni passaggio della catena di custodia.
Chi può eseguire una copia forense di un sito web?
La copia forense può essere eseguita da un consulente tecnico (CTP o CTU) incaricato dal giudice o dalle parti, oppure dalle forze dell’ordine nell’ambito di indagini. Oggi, strumenti come TrueScreen Forensic Browser permettono anche ad avvocati, aziende e privati di eseguire autonomamente un’acquisizione forense certificata, senza competenze tecniche specifiche, ottenendo un report con hash SHA-512, marca temporale qualificata e catena di custodia completa.
Cosa contiene il report di una copia forense di una pagina web?
Il report forense include: codice HTML integrale (versione live e originale del server), fogli di stile CSS, script JavaScript, tutte le risorse multimediali, archivio MHTML, header HTTP, risultati DNS, analisi TLS, certificati SSL, traffico di rete completo in formato HAR e PCAP, e hash SHA-512 di ogni singolo elemento. Il pacchetto viene sigillato con marca temporale qualificata e firma digitale per garantirne l’integrità nel tempo.

Certifica le tue prove digitali con valore legale

Acquisisci pagine web, social media e contenuti online con integrità forense e catena di custodia certificata.

mockup app