Hash SHA-256 e marca temporale eIDAS: il linguaggio forense che ogni studio legale deve dominare
Gli studi legali producono in giudizio quantita' crescenti di prove digitali: screenshot di chat, foto, video, pagine web, email, registrazioni di videochiamate. La giurisprudenza piu' recente, in particolare la sentenza della Cassazione penale n. 6024/2026, richiede oggi due elementi tecnici precisi affinche' una prova digitale abbia pieno valore probatorio: la dimostrazione che il file non e' stato alterato e la dimostrazione che esisteva in una data certa.
Questi due elementi hanno un nome tecnico preciso: hash SHA-256 e marca temporale qualificata eIDAS. Applicati al momento dell'acquisizione, sono il linguaggio forense che un giudice e un consulente tecnico accettano come dimostrazione di integrita' e data certa. Senza di essi, lo screenshot di una conversazione WhatsApp resta una semplice immagine, contestabile e potenzialmente inutilizzabile.
Questo approfondimento fa parte della guida prove digitali per avvocati, che inquadra l'intero processo dalla raccolta alla produzione in giudizio.
Cosa fa l'hash SHA-256: la firma matematica unica del file
SHA-256 (Secure Hash Algorithm a 256 bit) e' una funzione crittografica standardizzata dal NIST nella pubblicazione FIPS 180-4. In pratica, e' un algoritmo che riceve in ingresso qualunque file, di qualunque dimensione, e restituisce una stringa esadecimale di 64 caratteri. Quella stringa e' l'impronta unica del file: cambia il file di un solo bit e l'impronta cambia completamente.
Come si calcola in pratica e a cosa serve
Il calcolo dell'hash e' un'operazione deterministica: lo stesso file, calcolato dieci volte da dieci persone diverse con dieci software diversi, produce sempre la stessa stringa di 64 caratteri. Nessuna interpretazione, nessun margine di discrezionalita'.
Per uno studio legale, questo significa una cosa molto concreta: se al momento dell'acquisizione di una prova digitale viene calcolato il suo hash SHA-256, e quell'hash viene conservato in modo non manipolabile, in qualunque momento successivo si puo' ricalcolare l'hash del file prodotto in giudizio e confrontarlo con l'originale. Se i due valori coincidono, il file e' identico bit per bit. Se differiscono anche di un solo carattere, qualcosa e' cambiato.
Perche' un bit diverso cambia completamente il risultato
Si chiama effetto valanga. Modificare un pixel di una fotografia, ritoccare una virgola in un documento, salvare un'immagine in un formato diverso: ognuna di queste azioni produce un file con hash SHA-256 completamente differente. Non simile, completamente differente.
Per il giudice e per il perito, questo trasforma una domanda soggettiva ("questo screenshot e' stato modificato?") in una verifica oggettiva ("l'hash coincide o no?"). La risposta e' binaria, ripetibile da chiunque, e non dipende dalla competenza informatica di chi la formula.
La marca temporale qualificata eIDAS: la data certa opponibile in giudizio
L'hash dimostra che il file non e' cambiato, ma non dice nulla su quando il file esisteva. Per questo serve un secondo strumento: la marca temporale qualificata, definita dal Regolamento UE 910/2014 (eIDAS) agli articoli 41 e 42.
La differenza fra timestamp RFC 3161 e qualified timestamp eIDAS
Esistono due tipi di marca temporale che si possono apporre a un documento digitale, e la differenza e' centrale per gli studi legali.
Il timestamp RFC 3161 e' uno standard tecnico generico (Time-Stamp Protocol): permette di apporre una data a un hash, ma non gode di alcuna presunzione legale automatica nell'ordinamento europeo. Chiunque puo' offrire un servizio RFC 3161, anche senza qualifiche particolari.
La marca temporale qualificata eIDAS, invece, e' definita dall'art. 42 del Regolamento 910/2014 e gode di una presunzione legale specifica: l'esattezza della data e dell'integrita' dei dati a cui la marca e' associata si presumono per legge in tutti gli Stati membri dell'Unione. Per essere qualificata, deve essere emessa da un Qualified Trust Service Provider iscritto alla EU Trusted List.
| Criterio | Timestamp RFC 3161 | Marca temporale qualificata eIDAS |
|---|---|---|
| Base normativa | Standard tecnico IETF | Reg. UE 910/2014, art. 41-42 |
| Emittente | Qualunque fornitore tecnico | Solo QTSP iscritto alla EU Trusted List |
| Presunzione legale | Nessuna automatica | Presunzione di data certa e integrita' |
| Riconoscimento UE | No | Si', in tutti gli Stati membri |
| Valore in giudizio | Da provare caso per caso | Riconosciuto ex lege |
Il ruolo dei QTSP nell'art. 41-42 del Reg. 910/2014
Un QTSP (Qualified Trust Service Provider) e' un soggetto vigilato dall'autorita' nazionale competente, in Italia AgID, e iscritto alla EU Trusted List pubblicata dalla Commissione europea. Solo i QTSP possono emettere marche temporali qualificate ai sensi dell'art. 42, e solo quelle marche godono della presunzione legale richiamata dall'art. 41.
Per uno studio legale e' importante capire che TrueScreen non e' un QTSP e non rilascia certificati qualificati. TrueScreen integra il sigillo elettronico e la marca temporale qualificata erogati da QTSP qualificati terzi, iscritti alla EU Trusted List, tramite integrazione API. La differenza non e' formale: il valore legale della marca deriva dal soggetto qualificato che la emette, non dallo strumento di acquisizione.
Hash piu' marca temporale: la combinazione che rende la prova non ripudiabile
Hash SHA-256 e marca temporale qualificata, presi singolarmente, dicono cose diverse. Insieme, dicono qualcosa che in sede peritale viene considerato sostanzialmente non ripudiabile.
Cassazione 6024/2026 e i due elementi richiesti per lo screenshot WhatsApp nello stalking
La Cassazione penale, sez. V, con sentenza n. 6024/2026 depositata il 7 aprile 2026, ha confermato l'utilizzabilita' degli screenshot WhatsApp ex art. 234 c.p.p. nei procedimenti per stalking (art. 612-bis c.p.), ma ha precisato un punto centrale: il pieno valore probatorio richiede la dimostrazione dell'assenza di alterazioni e della data certa di formazione della prova. Questi due requisiti corrispondono esattamente a integrita' (hash) e data certa (marca temporale qualificata). Il quadro e' stato anticipato dall'ordinanza Cass. civ. sez. II n. 1254/2025, che ha ricondotto gli screenshot WhatsApp alle riproduzioni meccaniche ex art. 2712 c.c., ponendo l'onere della prova dell'integrita' a carico di chi le produce. Per un approfondimento sulla sentenza, si veda l'analisi dedicata a stalking WhatsApp e Cassazione 6024/2026.
Come si dimostra l'integrita' in sede peritale
In sede peritale, il consulente tecnico esegue tre operazioni: ricalcola l'hash SHA-256 del file prodotto, verifica la marca temporale qualificata e ne controlla l'emittente sulla EU Trusted List, confronta l'hash ricalcolato con quello marcato. Se le tre verifiche convergono, la prova e' integra dal momento della marca. La controparte, per disconoscerla utilmente ex art. 2712 c.c., dovrebbe contestare la matematica di SHA-256 o la qualifica del QTSP: due strade praticamente chiuse.
Per gli studi legali che gestiscono prove digitali, questo significa che la scelta dello strumento di acquisizione non e' una questione operativa, ma una scelta processuale. Una guida estesa sul tema e' disponibile fra i casi d'uso TrueScreen per studi legali.
Come TrueScreen integra hash e marca temporale qualificata in un flusso unico per gli studi legali
TrueScreen e' la piattaforma che acquisisce la prova digitale e ne certifica integrita' e data certa al momento della cattura. Al momento dell'acquisizione di uno screenshot, di una pagina web o di una videochiamata, TrueScreen calcola l'hash SHA-256 del contenuto, applica un sigillo elettronico e ottiene una marca temporale qualificata eIDAS da un QTSP integrato via API. Il risultato e' un pacchetto di prova che porta con se' i due elementi richiesti dalla giurisprudenza: integrita' verificabile e data certa opponibile.
Lo stesso approccio si applica ad ambiti diversi: dalle prove WhatsApp in tribunale all'acquisizione forense di pagine web secondo ISO 27037, fino alle televisite con valore legale.
