ISO/IEC 27037: la norma per la gestione delle prove digitali
Quando un'evidenza digitale viene contestata in giudizio, il primo punto di attacco della controparte non è quasi mai il contenuto: è il modo in cui è stata acquisita. La ISO/IEC 27037 nasce per rispondere a questo problema e definisce come identificare, raccogliere, acquisire e conservare le prove digitali in modo da renderle ammissibili davanti a un giudice, a un'autorità di vigilanza o a un revisore. Pubblicata dall'ISO nel 2012 e recepita in Italia come UNI CEI EN ISO/IEC 27037:2017, è il riferimento operativo per perizie, contenziosi e incident response. Questa guida spiega cosa prevede, ruoli, principi e processi, il quadro normativo IT/UE e gli errori che invalidano più spesso una prova digitale.
Definizione operativa La ISO/IEC 27037:2012, recepita in Italia come UNI CEI EN ISO/IEC 27037:2017, è la norma internazionale che fornisce le linee guida per identificare, raccogliere, acquisire e conservare le prove digitali in modo da renderle ammissibili in giudizio e utilizzabili in procedimenti investigativi, contenziosi civili, contestazioni amministrative e indagini interne. La norma definisce due ruoli operativi (Digital Evidence First Responder, DEFR, e Digital Evidence Specialist, DES) e quattro principi di qualità: auditabilità (auditability), ripetibilità (repeatability), riproducibilità (reproducibility), giustificabilità (justifiability). Si applica a qualsiasi supporto: dispositivi mobili, computer, sistemi di videosorveglianza, log di rete, contenuti web e sistemi cloud accessibili tramite endpoint controllato. Fa parte di una famiglia di quattro standard (ISO/IEC 27037, 27041, 27042, 27043) che coprono l'intero ciclo della prova digitale, dall'identificazione fino alla presentazione, e si integra con eIDAS per la marca temporale qualificata e il sigillo elettronico qualificato.
Cos'è la ISO/IEC 27037 e perché esiste
La ISO/IEC 27037 è una linea guida internazionale che stabilisce regole minime per il trattamento delle prove digitali nelle fasi iniziali. Non è certificabile come la ISO 27001: fornisce una metodologia che professionisti, periti e aziende devono dimostrare di aver seguito.
La definizione ufficiale della norma
Il titolo ufficiale è "Information technology, Security techniques, Guidelines for identification, collection, acquisition and preservation of digital evidence". Sviluppata dal sottocomitato ISO/IEC JTC 1/SC 27, copre prove digitali "potenziali" indipendentemente dal supporto: dispositivi mobili, computer, hard disk, log di rete, contenuti web, sistemi cloud. Non entra nel merito dell'analisi forense in laboratorio, competenza della ISO/IEC 27042.
Il problema che risolve: prova digitale fragile e ammissibilità
Una prova digitale è fragile. Una marca temporale può essere modificata, un file riscritto senza tracce, un'acquisizione affrettata può sovrascrivere dati volatili. Senza un protocollo condiviso, ogni perito agirebbe in modo diverso e la controparte potrebbe sempre eccepire che la prova è stata contaminata.
Il problema risolto dalla norma Prima della ISO/IEC 27037, l'acquisizione di prove digitali in Europa avveniva con metodi eterogenei, ispirati a linee guida nazionali (ACPO nel Regno Unito, SWGDE negli Stati Uniti, NIST SP 800-86 per la gestione tecnica degli incidenti). La conseguenza era una frequente eccezione di inammissibilità in giudizio per prove acquisite senza catena di custodia documentata e una difficoltà sistematica nei contenziosi cross-border, dove ciascuna parte richiamava una linea guida diversa. La norma risolve il problema fornendo un linguaggio comune, ruoli definiti, principi di qualità misurabili e processi sequenziali. Per la prima volta un perito italiano, un investigatore tedesco e un consulente francese possono dichiarare di aver seguito lo stesso protocollo, riducendo lo spazio di contestazione metodologica. L'ammissibilità diventa difendibile quando i quattro principi sono documentati passo dopo passo con artefatti tecnici verificabili da un terzo qualificato.
A chi si rivolge: professionisti, periti, aziende
Periti informatici e CTU la usano in perizia. Team di incident response vi si appoggiano durante un attacco. Consulenti legali e DPO la richiamano nei contratti con fornitori. Le Forze dell'Ordine la applicano ex artt. 244, 247 e 254-bis c.p.p. Aziende che gestiscono dati sensibili (banche, assicurazioni, sanità, telco) hanno interesse a integrarne i principi nei processi di conformità.
Struttura della norma e principi cardine
La ISO/IEC 27037 si articola in cinque parti: scope, riferimenti normativi, termini e definizioni, panoramica e processi operativi. La parte più citata è quella sui processi, ma il vero motore concettuale sono i principi cardine, che traducono l'ammissibilità in requisiti tecnici verificabili.
Storia: dalla ISO/IEC 27037:2012 alla UNI CEI EN 27037:2017
Pubblicata dall'ISO il 15 ottobre 2012, adottata dal CEN nel 2016 e recepita in Italia nel 2017 come UNI CEI EN ISO/IEC 27037:2017. Una revisione (2024) è in lavorazione ma non ancora pubblicata.
Ambito di applicazione e cosa la norma NON copre
La norma copre la gestione iniziale della prova (identificazione, raccolta, acquisizione, conservazione). Non copre l'analisi del contenuto, l'interpretazione e la presentazione in tribunale (materie di ISO/IEC 27042 e 27043), né le responsabilità giuridiche locali, che restano materia del diritto nazionale.
I quattro principi fondamentali
I quattro principi di qualità sono il cuore della norma e ricorrono in ogni processo: sono ciò che un giudice si aspetterà di trovare nel verbale di perizia.
I quattro principi della ISO/IEC 27037 1. Auditability (auditabilità): ogni azione svolta sulla prova deve poter essere ricostruita da un terzo qualificato, attraverso log, screenshot, hash e verbali. Non basta dire cosa è stato fatto, occorre poterlo dimostrare con artefatti tecnici verificabili in qualsiasi momento successivo. 2. Repeatability (ripetibilità): la stessa procedura, eseguita dalla stessa persona sullo stesso sistema con gli stessi strumenti, deve produrre gli stessi risultati. È il criterio del laboratorio, fondamentale per la verifica interna. 3. Reproducibility (riproducibilità): la stessa procedura, eseguita da persone diverse con strumenti equivalenti, deve produrre risultati comparabili. È il criterio scientifico, fondamentale per la verifica esterna da parte di un secondo perito o di un consulente d'ufficio. 4. Justifiability (giustificabilità): ogni scelta tecnica, anche quando deroga dai principi precedenti (per esempio sistemi che non possono essere spenti o prove deperibili), deve essere motivata e documentata nel verbale di acquisizione.
I principi si rinforzano a vicenda. Un'acquisizione auditabile ma non riproducibile, eseguita con uno script personale non documentato, è esposta a contestazione perché un secondo perito non può verificare il risultato.
I ruoli operativi: DEFR e DES
La norma definisce due ruoli operativi distinti. Sono ruoli, non titoli: la stessa persona può ricoprirli entrambi a seconda della formazione e dell'autorizzazione. Il distinguo chiarisce chi può fare cosa nelle prime ore di un'indagine.
Chi è il Digital Evidence First Responder (DEFR)
Il DEFR è la persona autorizzata a intervenire sulla scena, identificare i sistemi rilevanti, raccoglierli o acquisirli in sicurezza. Non analizza la prova, la mette in condizione di essere analizzata. Le competenze richieste includono conoscenza dei dispositivi, valutazione della volatilità dei dati, dimestichezza con write blocker e imaging forense, capacità di documentare la scena.
Chi è il Digital Evidence Specialist (DES)
Il DES è il professionista autorizzato a operare su sistemi complessi: RAID, ambienti virtualizzati, cloud, dispositivi di rete enterprise, sistemi industriali. Viene coinvolto quando serve un intervento specialistico per non perdere dati volatili.
DEFR vs DES: differenze, competenze, responsabilità
La distinzione è meno netta nella prassi italiana, dove spesso un consulente copre entrambi i ruoli. La norma resta utile come griglia di responsabilità: separarli costringe a documentare chi è autorizzato a fare cosa.
| Caratteristica | DEFR | DES |
|---|---|---|
| Ambito | Identificazione, raccolta e acquisizione base | Acquisizione su sistemi complessi (RAID, cloud, virtualizzati, industriali) |
| Competenze | Dispositivi, write blocker, imaging, verbale, fotografia della scena | Architetture enterprise, dump memoria, acquisizione live, sistemi distribuiti |
| Autorità | Riceve mandato dal committente (azienda, magistrato, autorità) | Interviene su delega del DEFR o sotto mandato diretto |
| Output | Verbale di sopralluogo, copia forense, hash, log catena di custodia | Immagine bit-stream di sistemi complessi, dump di memoria volatile |
| Esempio | Laptop sequestrato: fotografia sigilli, write blocker, imaging | Cluster Hyper-V con VM attive da preservare in stato di esecuzione |
I quattro processi della ISO/IEC 27037
Il cuore operativo della norma è la sequenza dei quattro processi. Non è rigida: in scenari reali si itera. Ogni processo va però documentato come tale.
Identification: cosa cercare e dove
Il primo processo mappa i sistemi rilevanti, ne valuta lo stato (acceso o spento, connesso, criptato) e il rischio di perdita di dati volatili. In un attacco ransomware spegnere la macchina fa perdere RAM, processi attivi e chiavi di cifratura. Si decide cosa acquisire prima sulla base della "order of volatility".
Collection: spostare l'evidenza fuori dalla scena
La raccolta trasferisce la prova nell'ambiente sicuro dove sarà acquisita, quando il sistema può essere spento. Richiede etichettatura, sigilli, documentazione fotografica e custodia continua. Senza sigilli la prova perde una parte significativa del valore probatorio.
Acquisition: creazione della copia forense (bit-stream image)
L'acquisizione è il momento tecnico più delicato. La norma chiede una copia "bit-per-bit" del supporto (bit-stream image) con hash di integrità. La copia non deve introdurre modifiche all'originale: per questo si usano write blocker. Quando il sistema non può essere spento si procede con acquisizione "live" documentando la deroga ai principi di ripetibilità. Per il web l'acquisizione assume forme specifiche (DOM, MHTML, screenshot certificato, metadati di rete), approfondite nella guida sull'applicazione operativa della norma all'acquisizione di pagine web.
Preservation: conservazione nel tempo
La conservazione accompagna gli altri processi: l'integrità della prova deve essere verificabile in qualsiasi momento. Comprende custodia fisica (caveau, server controllato), logica (hash, sigilli, marca temporale qualificata) e documentale (verbali, log).
| Processo | Scopo | Output | Principio | Deliverable |
|---|---|---|---|---|
| Identification | Mappare le prove digitali e decidere l'ordine di intervento | Inventario sistemi, valutazione volatilità | Justifiability | Verbale di sopralluogo |
| Collection | Trasferire la prova in ambiente controllato | Etichettatura, sigilli, verbale di prelievo | Auditability | Verbale di raccolta, ricevuta di custodia |
| Acquisizione | Creare copia bit-stream verificabile | Imaging forense, calcolo hash | Repeatability + Reproducibility | Copia forense, hash SHA-256, report |
| Preservation | Mantenere l'integrità nel tempo | Custodia fisica e logica, log accessi | Auditability continua | Registro custodia, sigillo elettronico |
I quattro processi spiegati La gestione della prova digitale secondo la ISO/IEC 27037 si articola in quattro processi che nella prassi si intrecciano. L'identification mappa la scena e individua le prove rilevanti, valutando volatilità e ordine di intervento sulla base dell'order of volatility descritta nelle RFC e ripresa dalla norma. La collection sposta fisicamente la prova in un ambiente controllato, con sigilli, etichette e verbali, quando il sistema può essere spento e rimosso. L'acquisition crea una copia bit-stream verificabile attraverso una funzione di hash crittografica (tipicamente SHA-256) e, quando necessario, write blocker hardware o software per evitare alterazioni del supporto originale. La preservation accompagna gli altri processi e conserva la prova nel tempo attraverso custodia fisica (caveau, server controllato), logica (sigillo elettronico qualificato, marca temporale qualificata, ricalcolo periodico dell'hash) e documentale (verbali, log di accesso). Ogni processo è soggetto ai quattro principi di qualità della norma e deve essere documentato con artefatti verificabili.
Catena di custodia, hash e integrità della prova
La catena di custodia (catena di custodia) lega tutti i processi della norma. Se la catena di custodia delle prove digitali si interrompe in un solo punto, anche un'acquisizione perfetta può essere contestata.
Cosa documenta la catena di custodia
La catena di custodia documenta quattro elementi. Identificazione: chi ha eseguito l'azione, con quale strumento, dove, quando. Preservazione: hash SHA-256, marca temporale qualificata, sigillo. Trasferimento: log firmato di ogni passaggio. Presentazione: verbale di perizia con riferimento all'art. 234-bis c.p.p. per il penale, all'art. 2712-bis c.c. per il civile. Sui requisiti tecnici della catena di custodia digitale approfondiamo i pilastri.
Funzioni hash per la verifica di integrità (SHA-256, SHA-1, MD5)
Una funzione di hash trasforma un file in un'impronta a lunghezza fissa: cambiare anche un solo bit produce un'impronta diversa. La 27037 non impone uno specifico algoritmo, ma la prassi forense converge su SHA-256. SHA-1 è deprecato dopo gli attacchi di collisione dal 2017, MD5 dal 2008. Una perizia che presenta MD5 come unica verifica espone la prova a un'eccezione tecnica.
Marca temporale qualificata e sigillo elettronico: il ponte con eIDAS
L'hash dice che un file non è cambiato, non quando. Per fissare il "quando" in modo opponibile a terzi serve una marca temporale qualificata, definita dal Regolamento UE 910/2014 (eIDAS) come quella emessa da un Trust Service Provider qualificato (QTSP), con presunzione di accuratezza ex articolo 41. Il sigillo elettronico qualificato aggiunge l'identità del soggetto: anche un'organizzazione può apporlo tramite un QTSP.
Catena di custodia e hash: la formula tecnica Secondo la ISO/IEC 27037, una catena di custodia opponibile a terzi si costruisce combinando quattro elementi tecnici verificabili indipendentemente. L'hash SHA-256 della copia forense, calcolato al momento dell'acquisizione e annotato nel verbale, garantisce l'integrità del contenuto bit per bit. La marca temporale qualificata eIDAS, che fissa il momento dell'acquisizione in modo verificabile dal QTSP emittente, soddisfa il requisito di "quando" opponibile a terzi richiesto dall'articolo 41 del Regolamento 910/2014. Il sigillo elettronico qualificato identifica l'organizzazione responsabile dell'acquisizione e attesta l'integrità del pacchetto evidenziale. Il registro di custodia documenta ogni successivo accesso, trasferimento o copia con marca temporale e firma. La perdita di uno solo di questi elementi non invalida automaticamente la prova, ma ne riduce la difendibilità nelle eccezioni di parte. SHA-1 è deprecato per nuove acquisizioni, MD5 va affiancato e mai usato come unica verifica.
La famiglia ISO/IEC 27037-27041-27042-27043
La ISO/IEC 27037 fa parte di una famiglia di quattro standard che copre l'intero ciclo della prova digitale.
| Norma | Anno | Scope | Ruolo nel ciclo forense |
|---|---|---|---|
| ISO/IEC 27037 | 2012 (recepita UNI 2017) | Identification, collection, acquisition, preservation | Gestione iniziale della prova |
| ISO/IEC 27041 | 2015 | Assicurazione dell'adeguatezza dei metodi investigativi | Validazione metodologica |
| ISO/IEC 27042 | 2015 | Analisi e interpretazione della prova digitale | Esame in laboratorio |
| ISO/IEC 27043 | 2015 | Principi del processo di indagine sugli incidenti | Cornice processuale complessiva |
La relazione tra le quattro norme Le quattro norme della famiglia ISO/IEC 27037 sono complementari e si applicano in sequenza temporale lungo il ciclo di vita della prova digitale. La 27037 fornisce le linee guida operative per le fasi iniziali (identificazione, raccolta, acquisizione, conservazione) ed è il riferimento per il primo intervento sulla scena. La 27041 stabilisce come dimostrare che il metodo investigativo è adeguato allo scopo, attraverso processi di assurance, validation e verification, ed è il riferimento per la giustificazione metodologica. La 27042 disciplina l'analisi e interpretazione del contenuto della prova, dopo che è stata acquisita secondo la 27037, ed è il riferimento per la fase di laboratorio. La 27043 fornisce il quadro processuale complessivo dell'indagine sugli incidenti, integrando le altre tre in un unico processo. Una perizia ben strutturata richiama esplicitamente le quattro norme per le rispettive fasi.
ISO/IEC 27041: assicurazione della metodologia investigativa
La ISO/IEC 27041 spiega come dimostrare che il metodo applicato è adeguato al caso, distinguendo assurance (progettazione corretta), validation (applicazione come previsto), verification (risultato coerente con l'obiettivo). Senza 27041, la giustificabilità della 27037 rischia di restare formale.
ISO/IEC 27042: analisi e interpretazione delle prove
La ISO/IEC 27042 disciplina la fase successiva all'acquisizione: esame del contenuto, interpretazione, documentazione dei limiti. È il riferimento per la "ricostruzione tecnica" della perizia di parte e della consulenza del PM.
ISO/IEC 27043: principi del processo di indagine sugli incidenti
La ISO/IEC 27043 fornisce la cornice del processo investigativo in sette fasi, dalla rilevazione alla post-incident analysis. Si applica agli incidenti enterprise (coordinata con NIS2 e DORA) e ai procedimenti penali.
Standard collegati (ISO/IEC 27035, ISO/IEC 27050)
La ISO/IEC 27035 disciplina la gestione degli incidenti di sicurezza. La ISO/IEC 27050 tratta l'eDiscovery cross-border ed è il complemento della 27037 negli scenari di eDiscovery e EDRM.
ISO 27037 nel quadro normativo italiano ed europeo
La forza della ISO/IEC 27037 in Italia viene da come si incastra con il diritto positivo. Quando una legge richiama "la migliore pratica forense", il giudice cerca uno standard di riferimento: la 27037 è oggi quello standard.
Recepimento italiano: UNI CEI EN ISO/IEC 27037:2017
UNI ha recepito la norma nel 2017. Richiamare "UNI CEI EN ISO/IEC 27037:2017" significa fare riferimento a uno standard adottato in Italia, con valenza nelle gare pubbliche, nei contratti con clausola di conformità a norme italiane vigenti e nei procedimenti che richiedono metodologia riferibile a fonte controllata.
Codice di procedura penale e codice civile
Nel processo penale la fonte principale è l'art. 234-bis c.p.p., introdotto dalla Legge 48/2008 (ratifica della Convenzione di Budapest). Gli artt. 244, 247 e 254-bis richiedono "misure tecniche dirette ad assicurare la conservazione dei dati originali". Nel processo civile, l'art. 2712-bis c.c. attribuisce alle riproduzioni informatiche valore probatorio salvo disconoscimento, e la tracciabilità 27037 difende dalla contestazione.
eIDAS, eIDAS 2.0 e marca temporale qualificata
Il Regolamento UE 910/2014 (eIDAS) stabilisce il quadro europeo per i servizi fiduciari erogati da Trust Service Provider qualificati (QTSP): sigillo elettronico qualificato, marca temporale qualificata. L'articolo 41 attribuisce alla marca temporale presunzione di accuratezza della data, dell'ora e dell'integrità dei dati. Il Regolamento UE 2024/1183 (eIDAS 2.0), pubblicato nell'aprile 2024 con conformità dei QTSP entro settembre 2026, amplia il quadro con il Portafoglio europeo di identità digitale (EUDI Wallet) e l'archiviazione elettronica qualificata.
GDPR, NIS2 e DORA: quando la norma diventa requisito operativo
Tre regolamenti europei rendono la 27037 più cogente. Il GDPR (Reg. UE 2016/679) richiede misure tecniche adeguate (art. 32) e notifica delle violazioni entro 72 ore (art. 33). La Direttiva NIS2 (UE 2022/2555) impone segnalazioni in tre tempi (early warning 24 ore, notifica 72 ore, rapporto finale un mese). Il Regolamento DORA (UE 2022/2554), applicato al settore finanziario dal gennaio 2025, richiede processi formalizzati: la metodologia forense diventa requisito di conformità.
Mappatura normativa: dove la ISO 27037 incontra il diritto positivo La ISO/IEC 27037 non è formalmente obbligatoria in Italia, ma diventa cogente attraverso quattro canali normativi convergenti che è bene conoscere. Il codice di procedura penale (artt. 234-bis, 244, 247, 254-bis, introdotti dalla Legge 48/2008 di ratifica della Convenzione di Budapest) richiede misure tecniche per impedire l'alterazione dei dati informatici sequestrati: la 27037 fornisce quelle misure ed è il riferimento citato in perizia. Il codice civile (art. 2712-bis) attribuisce valore probatorio alle riproduzioni informatiche salvo disconoscimento: la tracciabilità 27037 rende il disconoscimento più difficile per la controparte in sede di contenzioso. Il Regolamento eIDAS (UE 910/2014) e eIDAS 2.0 (UE 2024/1183) integrano la norma con marca temporale qualificata e sigillo elettronico qualificato emessi da QTSP. Il pacchetto di conformità europeo (GDPR, NIS2, DORA) trasforma la metodologia forense in requisito operativo per notifica violazioni e gestione degli incidenti significativi.
Quando si applica la ISO/IEC 27037 in azienda
La 27037 si applica in scenari spesso non riconosciuti come "forensi" dai team coinvolti. Vale qui il principio dell'ammissibilità delle prove digitali: se la metodologia non è incorporata nei processi quotidiani, è quasi impossibile applicarla bene sotto pressione.
Incident response e gestione data breach
In un incidente di sicurezza il team di incident response ha l'obbligo (NIS2, DORA, GDPR) di documentare la violazione. La differenza tra documentazione "buona" e difendibile è l'adozione dei principi 27037: identificare i sistemi compromessi, acquisire log e immagini con hash, conservare le evidenze. Senza questa disciplina la notifica al Garante o al CSIRT diventa narrativa, non probatoria.
Contenzioso civile e commerciale
In un contenzioso può servire produrre come prova un'email, un file su server, un contenuto online. Una stampa di email senza sigillo né hash è disconoscibile ex art. 2712-bis. Acquisirla come pacchetto sigillato (file originale, hash SHA-256, marca temporale, metadati di rete) sposta l'onere della prova sulla controparte.
Investigazione interna su frodi o illeciti
La 27037 disciplina le acquisizioni interne che, se sfociano in azione legale, devono reggere un esame forense. Anche se l'azione resta interna, l'adozione della norma protegge l'azienda da eccezioni del lavoratore in contestazione disciplinare.
eDiscovery e raccolta evidenze cross-border
Nei contenziosi cross-border verso giurisdizioni di common law l'eDiscovery richiede raccolta sistematica con tracciabilità completa. La 27037 si combina con la 27050 per fornire un quadro che resiste a sistemi giuridici diversi dal nostro.
Errori frequenti che invalidano la prova digitale
Nei contenziosi più contestati ricorrono pochi errori operativi.
Screenshot non autenticato come unica prova
Uno screenshot salvato sul desktop e portato in giudizio è quasi sempre vulnerabile a eccezione: non porta metadati di rete, hash, marca temporale, contesto. È prova disconoscibile. Sui limiti probatori della Wayback Machine mostriamo come gli archivi pubblici non sostituiscano un'acquisizione forense.
Hash assente o algoritmo deprecato
Un'acquisizione senza hash non si può verificare nel tempo. Un MD5 da solo è poco meglio: la letteratura documenta collisioni dal 2008. La regola operativa: SHA-256, mai SHA-1 o MD5 come unica verifica.
Catena di custodia interrotta o non documentata
La catena di custodia si interrompe in punti banali: un file copiato via email senza log, un disco in cassetto senza sigillo, una macchina di laboratorio condivisa senza controllo accessi. La buona prassi: log automatico, sigilli verificabili, ricalcolo periodico dell'hash, conservazione in data room certificata.
Ruoli DEFR/DES non definiti formalmente
Le aziende spesso saltano un passo: definire DEFR e DES, con formazione e autorizzazione. In contenzioso, l'assenza di un mandato scritto è la prima eccezione. Definire i ruoli in una policy interna con riferimento esplicito alla norma evita problemi a valle.
ISO 27037 e TrueScreen: i principi della norma applicati all'acquisizione digitale
TrueScreen è la piattaforma italiana che traduce i principi della ISO/IEC 27037 in un processo automatico per l'acquisizione e la certificazione di prove digitali. Ogni acquisizione produce un pacchetto sigillato con hash SHA-256 del contenuto, marca temporale qualificata erogata da QTSP terzo integrato via API, sigillo elettronico qualificato emesso dallo stesso QTSP e registro completo della catena di custodia. I quattro principi della norma (auditability, repeatability, reproducibility, justifiability) sono incorporati nell'architettura: ogni azione è registrata in log immutabili, la stessa acquisizione produce risultati equivalenti su esecuzioni indipendenti, le scelte tecniche sono motivate nel verbale. TrueScreen è utilizzato da legali, periti CTU, responsabili della conformità e team di incident response per generare evidenze allineate alla norma e ammissibili in giudizio in Italia e nell'Unione Europea.
Acquisizione conforme ai principi della norma
L'acquisizione TrueScreen produce in un'unica operazione un pacchetto che incorpora i quattro processi della norma. L'identificazione avviene con metadati di rete (IP del server, certificato SSL/TLS, header HTTP, redirect chain). La raccolta è automatica e scarica il contenuto in formato verificabile (DOM, MHTML, screenshot multipli, allegati). L'acquisizione produce una copia bit-stream con hash SHA-256. La conservazione è garantita dal pacchetto sigillato e dal registro di custodia.
Sigillo elettronico e marca temporale qualificata tramite QTSP integrati
TrueScreen non è un Trust Service Provider qualificato. Sigillo elettronico qualificato e marca temporale qualificata sono erogati da QTSP terzi ai sensi del Regolamento eIDAS, integrati via API. L'evidenza prodotta incorpora il valore legale di un servizio fiduciario qualificato europeo ed è ammissibile in giudizio in tutta l'Unione Europea.
Pacchetto evidenziale immutabile e catena di custodia automatizzata
Il pacchetto è immutabile per costruzione: qualsiasi modifica produce un hash diverso. Ogni accesso, download e condivisione è registrato in un log sigillato con marca temporale qualificata. Il risultato è una documentazione tracciabile, ricostruibile da un terzo, conforme ai principi di auditability e repeatability della norma.
TrueScreen e i principi ISO: il modello operativo L'integrazione tra metodologia forense documentata e sigillo qualificato di QTSP terzi è il modello che TrueScreen implementa per applicare operativamente la ISO/IEC 27037 all'acquisizione di prove digitali. La piattaforma incorpora i quattro principi della norma (auditability, repeatability, reproducibility, justifiability) nel proprio funzionamento, generando per ogni acquisizione un pacchetto sigillato verificabile da un perito o da un giudice attraverso strumenti standard di verifica eIDAS, senza necessità di accesso ai sistemi TrueScreen. La separazione dei ruoli è chiara e tracciabile: TrueScreen acquisisce e certifica il processo applicando la metodologia, il QTSP integrato eroga marca temporale qualificata e sigillo elettronico qualificato secondo il Regolamento eIDAS. Il risultato è un'evidenza utilizzabile in procedimenti giudiziari, segnalazioni regolamentari (Garante, CSIRT NIS2, autorità di vigilanza finanziaria DORA), arbitrati internazionali ed eDiscovery cross-border in giurisdizioni di common law e civil law europee, con valore probatorio equivalente in ogni Stato membro dell'Unione.
FAQ: domande frequenti su ISO/IEC 27037
Cos'è la norma ISO/IEC 27037?
La ISO/IEC 27037 è lo standard internazionale che definisce come identificare, raccogliere, acquisire e conservare le prove digitali in modo da renderle ammissibili in giudizio. Pubblicata nel 2012 e recepita in Italia come UNI CEI EN ISO/IEC 27037:2017, definisce due ruoli (DEFR, DES), quattro processi (identification, collection, acquisition, preservation) e quattro principi (auditability, repeatability, reproducibility, justifiability). Non è certificabile: stabilisce una metodologia, non un certificato. È il riferimento tecnico richiamato dal codice di procedura penale e dal Regolamento eIDAS.
Qual è la differenza tra ISO 27037 e ISO 27001?
La ISO 27001 disciplina i sistemi di gestione della sicurezza delle informazioni (ISMS) ed è certificabile da un ente accreditato. La ISO 27037 disciplina la gestione della prova digitale, è una linea guida tecnica non certificabile e si applica a professionisti e processi. Le due sono complementari: un'azienda certificata ISO 27001 che subisce un incidente applica la 27037 per acquisire le prove in modo difendibile.
ISO 27037 è obbligatoria in Italia?
Formalmente no, ma nella prassi diventa cogente. Il codice di procedura penale (artt. 234-bis, 244, 247, 254-bis introdotti dalla Legge 48/2008) richiede misure tecniche per impedire l'alterazione dei dati informatici sequestrati: la 27037 fornisce quelle misure. L'art. 2712-bis c.c. attribuisce valore probatorio alle riproduzioni informatiche salvo disconoscimento. NIS2, DORA e GDPR la rendono necessaria nella prassi. UNI CEI EN ISO/IEC 27037:2017 è il recepimento italiano disponibile su store.uni.com.
Chi è il DEFR (Digital Evidence First Responder)?
Il Digital Evidence First Responder è la persona autorizzata a intervenire per prima sulla scena, con il compito di identificare i sistemi rilevanti, raccoglierli o acquisirli in sicurezza e documentare il proprio operato. Le competenze richieste includono conoscenza dei dispositivi, uso di write blocker e imaging software, documentazione della scena e valutazione della volatilità dei dati. Il DEFR non analizza la prova: la mette in sicurezza per l'analisi del DES o del laboratorio.
Qual è la differenza tra ISO 27037 e ISO 27042?
Sono complementari. La 27037 disciplina le fasi iniziali (identificazione, raccolta, acquisizione, conservazione). La 27042 disciplina la fase successiva: analisi e interpretazione del contenuto in laboratorio, rapporto tecnico, documentazione dei limiti dell'analisi. Una perizia completa richiama entrambe e le applica in sequenza temporale.
La ISO 27037 vale anche per chat WhatsApp e social media?
Sì, si applica a qualsiasi prova digitale. Una chat WhatsApp può essere acquisita in tre modi: dump del dispositivo, backup criptato, acquisizione live della conversazione visualizzata. In tutti i casi la norma chiede hash, marca temporale qualificata e catena di custodia. Per social media e pagine web l'acquisizione richiede strumenti che catturano DOM, MHTML e metadati di rete.
Quale algoritmo hash usare secondo ISO 27037?
La norma non impone uno specifico algoritmo, ma la prassi forense converge su SHA-256. SHA-1 è deprecato dopo gli attacchi di collisione dal 2017, MD5 dal 2008. La regola è SHA-256 per ogni nuova acquisizione, calcolato al momento, annotato nel verbale e ricalcolato a intervalli regolari.
ISO 27037 è compatibile con eIDAS?
Sì, ed è dall'integrazione tra le due che si costruisce un'evidenza opponibile a terzi in Europa. La 27037 fornisce la metodologia di acquisizione. Il Regolamento UE 910/2014 (eIDAS) e il Regolamento UE 2024/1183 (eIDAS 2.0) forniscono gli strumenti fiduciari: marca temporale qualificata e sigillo elettronico qualificato. La marca gode di presunzione di accuratezza ex art. 41. Combinare 27037 e servizi qualificati eIDAS è il modello di riferimento nell'Unione Europea.
